Citrix Endpoint Management

Automatisierte Aktionen

Mit automatisierten Aktionen in Citrix Endpoint Management programmieren Sie eine Reaktion auf:

  • Ereignisse
  • Benutzer- oder Geräteeigenschaften
  • vorhandene Apps auf Benutzergeräten

Beim Erstellen einer automatisierten Aktion legen Sie über Auslöser die Auswirkungen auf den Geräten von Benutzern fest, wenn diese mit Citrix Endpoint Management verbunden sind. Wenn ein Ereignis ausgelöst wird, können Sie eine Nachricht mit einer Aufforderung zur Problembeseitigung an den betroffenen Benutzer senden, bevor Maßnahmen ergriffen werden.

Sie können folgende automatische Auswirkungen festlegen:

  • Vollständige oder selektive Datenlöschung
  • Einstufung von Geräten als nicht richtlinientreu
  • Widerrufen von Geräten
  • Senden einer Benachrichtigung an Benutzer mit der Aufforderung zur Problembehebung

Sie können Aktionen für App-Sperre und App löschen für den Nur-MAM-Modus konfigurieren.

Sie können automatisierte Aktionen verwenden, um mit Azure Active Directory (AD) verbundene Windows 10- und Windows 11-Geräte als nicht richtlinientreu in Azure AD zu kennzeichnen.

Hinweis:

Sie können Benutzer nur benachrichtigen, wenn Sie in den Citrix Endpoint Management-Einstellungen Benachrichtigungsserver für SMTP konfiguriert haben, damit Citrix Endpoint Management Nachrichten senden kann. Weitere Informationen finden Sie unter Benachrichtigungen. Bevor Sie fortfahren, richten Sie alle Benachrichtigungsvorlagen ein, die Sie verwenden möchten. Weitere Informationen finden Sie unter Benachrichtigungen. Siehe Benachrichtigungsvorlagen erstellen und aktualisieren.

Beispielaktionen

Beispiele für die Verwendung automatisierter Aktionen:

Erstes Beispiel

  • Sie möchten eine App (z. B. Words with Friends) erkennen, die Sie auf die Sperrliste gesetzt haben. Sie können einen Auslöser angeben, der das Benutzergerät nach dem Erkennen der App “Words with Friends” als nicht richtlinientreu einstuft. Die Aktion informiert die Benutzer dann darüber, dass sie die App entfernen müssen, damit ihr Gerät wieder den Richtlinien entspricht. Sie können auch ein Limit für die Wartezeit auf die Reaktion der Benutzer festlegen. Nach Ablauf des Zeitlimits erfolgt eine definierte Aktion, beispielsweise das selektive Löschen des Geräts.

Zweites Beispiel

  • Sie möchten überprüfen, ob Kunden die neueste Firmware verwenden, und den Zugriff auf Ressourcen blockieren, wenn Benutzer ihre Geräte aktualisieren müssen. Sie können einen Auslöser festlegen, durch den ein Benutzergerät als nicht richtlinientreu eingestuft wird, wenn nicht die neueste Version auf dem Gerät installiert ist. Sie verwenden automatisierte Aktionen, um Ressourcen zu blockieren und Kunden zu benachrichtigen.

Drittes Beispiel

  • Ein Benutzergerät wird in einen nicht richtlinientreuen Zustand versetzt und der Benutzer behebt das Problem. Sie können eine Richtlinie zur Bereitstellung eines Pakets konfigurieren, das das Gerät in einen richtlinientreuen Zustand zurücksetzt.

Viertes Beispiel

  • Sie möchten Benutzergeräte, die eine bestimmte Zeitlang inaktiv waren, als nicht richtlinientreu markieren. Sie können eine automatisierte Aktion für inaktive Geräte wie folgt erstellen:

    1. Gehen Sie in der Citrix Endpoint Management-Konsole zu Einstellungen > Netzwerkzugriffssteuerung und wählen Sie Inaktive Geräte aus. Weitere Informationen über die Einstellung Inaktive Geräte finden Sie unter Netzwerkzugriffssteuerung.
    2. Führen Sie die unter Hinzufügen und Verwalten von Aktionen beschriebenen Schritte aus, um eine Aktion hinzuzufügen. Der einzige Unterschied besteht in der Wahl folgender Konfiguration auf der Seite Aktionsdetails:
      • Auslöser: Wählen Sie Geräteeigenschaft, Nicht richtlinientreu und Wahr.
      • Aktion. Wählen Sie Benachrichtigung senden und dann eine unter Benachrichtigungsvorlage > Einstellungen erstellte Vorlage. Legen Sie die Verzögerung bis zum Ausführen der Aktion in Tagen, Stunden oder Minuten fest. Legen Sie das Intervall fest, in dem die Aktion wiederholt wird, bis der Benutzer reagiert.

    Tipp:

    Zum Löschen inaktiver Geräte in großen Mengen verwenden Sie die öffentliche REST-API von Citrix Endpoint Management. Sie beschaffen zunächst manuell die IDs der inaktiven Geräte und führen dann die Lösch-API aus, um sie in einem Durchgang zu löschen.

Hinzufügen und Verwalten von Aktionen

Hinzufügen, Bearbeiten und Filtern von automatisierten Aktionen:

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf Konfigurieren > Aktionen. Die Seite Aktionen wird angezeigt.

  2. Führen Sie auf der Seite Aktionen einen der folgenden Schritte aus:

    • Klicken Sie auf Hinzufügen, um eine Aktion hinzuzufügen.
    • Wählen Sie eine vorhandene Aktion zum Bearbeiten oder Löschen aus. Klicken Sie auf die gewünschte Option.
  3. Die Seite Aktionsinformationen wird angezeigt.

  4. Konfigurieren Sie auf der Seite Aktionsinformationen die folgenden Informationen:

    • Name: Geben Sie einen Namen zur Identifizierung der Aktion ein. Dieses Feld ist erforderlich.
    • Beschreibung: Geben Sie eine Beschreibung dessen ein, was die Aktion bewirkt.
  5. Klicken Sie auf Weiter. Die Seite Aktionsdetails wird angezeigt.

    Das folgende Beispiel zeigt, wie ein Ereignisauslöser eingerichtet wird. Wenn Sie einen anderen Auslöser auswählen, werden andere Optionen als die in der Abbildung angezeigt.

    Konfigurationsbildschirm für Aktionen

  6. Konfigurieren Sie auf der Seite Aktionsdetails die folgenden Informationen:

    Klicken Sie in der Liste Auslöser auf den Auslösertyp für die Aktion. Wählen Sie einen der folgenden Auslöser:

    • Ereignis: Überprüft, ob der Gerätestatus mit dem von Ihnen gewählten Ereignis für Nichtlinientreue übereinstimmt und reagiert darauf.
    • Geräteeigenschaft: Überprüft, ob auf einem mit MDM verwalteten Gerät ein bestimmter Wert für ein Geräteattribut vorliegt, und reagiert darauf. Weitere Informationen finden Sie unter Namen und Werte von Geräteeigenschaften.
    • Benutzereigenschaft: Reagiert auf einen bestimmten Wert für ein Benutzerattribut, normalerweise aus Active Directory.
    • Name der installierten App: reagiert auf eine App, die gerade installiert wird. Gilt nicht für den Nur-MAM-Modus. Hierfür muss die App-Bestandsrichtlinie auf dem Gerät aktiviert sein. Die App-Bestandsrichtlinie ist auf allen Plattformen standardmäßig aktiviert. Weitere Informationen finden Sie unter App-Bestandsrichtlinien für Geräte.
    • Von der Richtlinie zurückgegebener Wert: Überprüft, ob der von PowerShell-Skripts zurückgegebene Wert spezifische Logikkriterien erfüllt. Die Windows Agent-Geräterichtlinie muss aktiviert und konfiguriert sein. Weitere Informationen zu dieser Richtlinie finden Sie unter Windows Agent-Geräterichtlinie.
  7. Klicken Sie in der nächsten Liste auf die Reaktion auf den Auslöser.

  8. Klicken Sie in der Liste Aktion auf die Aktion, die ausgeführt werden soll, wenn das Auslösekriterium erfüllt wird. Mit Ausnahme der Aktion Benachrichtigung senden können Sie für alle Optionen einen Zeitraum festlegen, in dem Benutzer das für den Auslöser ursächliche Problem beheben können. Wenn das Problem in diesem Zeitraum nicht behoben wird, wird die ausgewählte Aktion durchgeführt. Definitionen der Aktionen, finden Sie unter Sicherheitsaktionen.

    Wenn Sie die Option Benachrichtigung senden auswählen, führen Sie die folgenden Schritte aus, um eine Benachrichtigungsaktion zu erstellen.

  9. Wählen Sie in der nächsten Liste die Vorlage für die Benachrichtigung aus. Für das ausgewählte Ereignis relevante Benachrichtigungsvorlagen werden angezeigt. Gibt es keine Vorlage für den Benachrichtigungstyp werden Sie aufgefordert, eine Vorlage zu konfigurieren. Erstellen Sie eine Vorlage mit der Option Benachrichtigungsvorlage in Einstellungen.

    Um Benutzer zu benachrichtigen, konfigurieren Sie unter Einstellungen > Benachrichtigungsserver die Einstellungen für SMTP, damit Citrix Endpoint Management Nachrichten senden kann. Siehe Benachrichtigungen. Richten Sie außerdem unter Einstellungen > Benachrichtigungsvorlage alle gewünschten Benachrichtigungsvorlagen ein, bevor Sie fortfahren. Siehe Benachrichtigungsvorlagen erstellen und aktualisieren.

    Konfigurationsbildschirm für Aktionen

    Nach Auswahl der Vorlage klicken Sie auf Vorschau für Benachrichtigung.

    Konfigurationsbildschirm für Aktionen

  10. Legen Sie in den folgenden Feldern die Verzögerung bis zum Ausführen der Aktion in Tagen, Stunden oder Minuten fest. Legen Sie das Intervall fest, in dem die Aktion wiederholt wird, bis der Benutzer reagiert.

    Konfigurationsbildschirm für Aktionen

  11. Vergewissern Sie sich unter Zusammenfassung, dass die automatisierte Aktion wie gewünscht erstellt wurde.

    Konfigurationsbildschirm für Aktionen

  12. Nach dem Konfigurieren der Aktionsdetails können Sie für jede Plattform separat Bereitstellungsregeln festlegen. Führen Sie hierfür Schritt 13 für jede gewünschte Plattform aus.

  13. Konfigurieren Sie Bereitstellungsregeln. Allgemeine Informationen zum Konfigurieren der Bereitstellungsregeln finden Sie unter Ressourcen bereitstellen.

    Im vorliegenden Beispiel:

    • Der Gerätebesitz muss BYOD sein.
    • Das Gerät muss passcode-richtlinientreu sein.
    • Der MCC des Geräts kann nicht nur Andorra sein.
  14. Nach dem Konfigurieren der Bereitstellungsregeln für die Aktion klicken Sie auf Weiter. Die Zuweisungsseite Aktionen wird angezeigt, auf der Sie die Aktion Bereitstellungsgruppen zuweisen können. Dieser Schritt ist optional.

  15. Nehmen Sie neben Bereitstellungsgruppen wählen eine Eingabe vor, um nach einer Bereitstellungsgruppe zu suchen, oder wählen Sie Gruppen in der Liste aus. Diese ausgewählten Gruppen werden in der Liste Bereitstellungsgruppen für App-Zuweisung angezeigt.

  16. Erweitern Sie Bereitstellungszeitplan und konfigurieren Sie folgende Einstellungen:

    • Klicken Sie neben Bereitstellen auf Ein, um die Bereitstellung zu planen, oder auf Aus, um die Bereitstellung zu verhindern. Die Standardeinstellung ist Ein. Wenn Sie Aus wählen, sind keine weiteren Optionen erforderlich.

    • Klicken Sie neben Bereitstellungszeitplan auf Jetzt oder Später. Die Standardeinstellung ist Jetzt.

    • Wenn Sie Später auswählen, klicken Sie auf das Kalendersymbol und wählen Sie Datum und Uhrzeit für die Bereitstellung aus.

    • Klicken Sie neben Bereitstellungsbedingung auf Bei jeder Verbindung oder auf Nur bei Fehler in der vorherigen Bereitstellung. Die Standardeinstellung ist Bei jeder Verbindung.

    • Klicken Sie neben Bereitstellen für immer aktive Verbindungen auf Ein oder Aus. Die Standardeinstellung ist Aus.

      Diese Option gilt, wenn Sie unter Einstellungen > Servereigenschaften den Schlüssel für die Bereitstellung im Hintergrund konfiguriert haben.

      Hinweis:

      Diese Option gilt, wenn Sie unter Einstellungen > Servereigenschaften den Schlüssel für die Bereitstellung im Hintergrund konfiguriert haben.

      Die Option “Always-On”:

      • Ist für iOS-Geräte nicht verfügbar
      • Ist nicht verfügbar für Kunden, die Android und Android Enterprise sowie Citrix Endpoint Management in einer Version ab 10.18.19 verwenden
      • Wird nicht empfohlen für Kunden, die Android und Android Enterprise sowie Citrix Endpoint Management in einer Version vor 10.18.19 verwenden

      Der konfigurierte Bereitstellungszeitplan ist für alle Plattformen gleich. Alle von Ihnen vorgenommenen Änderungen gelten für alle Plattformen, mit Ausnahme von Bereitstellen für immer aktive Verbindungen.

  17. Klicken Sie auf Weiter. Die Seite Zusammenfassung wird angezeigt, auf der Sie die Konfiguration der Aktion prüfen können.

  18. Klicken Sie auf Speichern, um die Aktion zu speichern.

Aktionen für App-Sperre und App löschen im Nur-MAM-Modus

Sie können für die vier Auslöserkategorien in der Citrix Endpoint Management-Konsole (Ereignis, Geräteeigenschaft, Benutzereigenschaft und Name der installierten App) Apps auf einem Gerät löschen oder sperren.

Konfigurieren der automatischen Löschung oder Sperre von Apps

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf Konfigurieren > Aktionen.

  2. Klicken Sie auf der Seite Aktionen auf Hinzufügen.

  3. Geben Sie auf der Seite Aktionsinformationen einen Namen für die Aktion und optional eine Beschreibung ein.

  4. Wählen Sie auf der Seite Aktionsdetails den gewünschten Auslöser aus.

  5. Wählen Sie unter Aktion eine Aktion.

    Berücksichtigen Sie bei diesem Schritt Folgendes:

    Wenn der Auslösertyp Ereignis und der Wert nicht Active Directory, deaktivierter Benutzer ist, werden die Aktionen App löschen und App sperren nicht angezeigt.

    Wenn der Auslöser Geräteeigenschaft und der Wert MDM-Modus ‘Verloren’ aktiviert ist, werden die folgenden Aktionen nicht angezeigt:

    • Gerät selektiv löschen
    • Gerät vollständig löschen
    • Gerät widerrufen

    Für jede Option wird automatisch 1 Stunde Verzögerung festgelegt, aber Sie können die Verzögerungszeit auf Minuten, Stunden oder Tagen einstellen. Die Verzögerung soll den Benutzern Zeit geben, ein Problem zu beheben, bevor die Aktion ausgeführt wird. Weitere Informationen zu den Aktionen zum Löschen und Sperren von Apps finden Sie unter Sicherheitsaktionen.

    Hinweis:

    Wenn Sie den Auslöser auf Ereignis festlegen, wird als Wiederholungsintervall automatisch mindestens 1 Stunde festgelegt. Das Gerät muss eine Aktualisierung der Richtlinien zur Synchronisierung mit dem Server ausführen, damit Benachrichtigung empfangen werden. Normalerweise erfolgt die Synchronisierung eines Geräts mit dem Server, wenn der Benutzer sich anmeldet oder die Richtlinien manuell über Citrix Secure Hub aktualisiert.

    Eine zusätzliche Verzögerung von etwa 1 Stunde vor der Ausführung der Aktion ist möglich, damit die Active Directory-Datenbank mit Citrix Endpoint Management synchronisiert werden kann.

    Konfigurationsbildschirm für Aktionen

  6. Konfigurieren Sie die Bereitstellungsregeln und klicken Sie auf Weiter.

  7. Konfigurieren Sie die Zuweisungen für Bereitstellungsgruppen und einen Bereitstellungszeitplan, und klicken Sie auf Weiter.

  8. Klicken Sie auf Speichern.

Überprüfen des Status für App-Sperre oder App-Löschen

  1. Gehen Sie zu Verwalten > Geräte, wählen Sie ein Gerät aus und klicken Sie auf Mehr anzeigen.

    Bildschirm zur Geräteverwaltung

  2. Führen Sie einen Bildlauf zu Apps von Gerät löschen und App-Sperre für Gerät durch.

    Bildschirm zur Geräteverwaltung

    Nach einer Löschung wird der Benutzer aufgefordert, einen PIN-Code einzugeben. Wenn der Benutzer diesen Code vergessen hat, können Sie ihn in den Gerätedetails nachsehen.

    Bildschirm zur Geräteverwaltung

Kennzeichnen von Windows 10- und Windows 11-Geräten als nicht richtlinientreu in Azure AD

Wenn mit Azure AD verbundene Windows 10- und Windows 11-Geräte in Citrix Endpoint Management als nicht richtlinientreu gekennzeichnet werden, können sie auch in Azure AD als nicht richtlinientreu gekennzeichnet werden. Um diese Funktionalität zu aktivieren, fügen Sie im Azure AD-Portal der On-Premises-MDM-Anwendung die Berechtigung zum Zugriff auf die Microsoft Graph-API hinzu.

  1. Melden Sie sich mit Ihren Azure AD-Administratoranmeldeinformationen am Azure AD-Portal an.

  2. Navigieren Sie im Azure AD-Portal zu Azure Active Directory > Mobility (MDM and MAM). Wählen Sie On-premises MDM application.

  3. Klicken Sie auf On-premises Application Settings > Required Permissions > Add > Select an API > Microsoft Graph. Klicken Sie auf Select und Speichern Sie.

  4. Wählen Sie unter Required permissions die Option Microsoft Graph. Wählen Sie unter Enable Access die Option Read and write directory data.

  5. Wählen Sie unter Required permissions die Option Microsoft Graph. Klicken Sie dann auf Grant permissions.

  6. Klicken Sie auf Yes, um die Berechtigung zu gewähren.

Wenn ein in Azure AD registriertes Gerät, auf dem Windows 10 oder Windows 11 ausgeführt wird, in Citrix Endpoint Management als nicht richtlinientreu gekennzeichnet wird, wird es auch in Azure AD als nicht richtlinientreu gekennzeichnet.

Erstellen einer automatisierten Aktion basierend auf einem Ergebnis der Windows Agent-Geräterichtlinie

Über die Windows Agent-Geräterichtlinie können Sie Skripts bereitstellen, die Registrierungswerte auf verwalteten Windows-Desktops und -Tablets überwachen. Sie können dann eine automatisierte Aktion basierend auf den von einem Skript zurückgegebenen Werten konfigurieren.

  1. Konfigurieren Sie eine Windows Agent-Geräterichtlinie und überprüfen Sie die vom Skript zurückgegebenen Werte. Informationen zu dieser Richtlinie finden Sie unter Windows Agent-Geräterichtlinie.

    Der Artikel und der vorliegende Abschnitt enthalten ein Beispiel mit einem Skript namens EntApp_2019_checkFirewall. Die zugehörige Windows Agent-Geräterichtlinie definiert eine Konfiguration namens cName_checkFirewall. Diese Konfiguration führt das Beispielskript aus.

    Nach Ausführung des Skripts auf einem Gerät erhalten Sie die zum Erstellen einer Aktion erforderlichen Informationen (siehe Windows Agent-Geräterichtlinie).

  2. Klicken Sie in der Citrix Endpoint Management-Konsole auf Konfigurieren > Aktionen.
  3. Klicken Sie auf der Seite Aktionen auf Hinzufügen.
  4. Geben Sie auf der Seite Aktionsinformationen einen Namen für die Aktion und optional eine Beschreibung ein.
  5. Wählen Sie auf der Seite Aktionsdetails unter Von der Richtlinie zurückgegebener Wert den gewünschten Auslöser aus.

    Bildschirm "Aktionsdetails"

  6. Definieren Sie in den angezeigten Feldern den Auslöser und die Aktion:

    • Windows Agent-Einstellungen: Geben Sie den Richtliniennamen, den Konfigurationsnamen und den Schlüsselnamen für die erstellte Windows Agent-Richtlinie ein.
    • Dropdownmenü: Wählen Sie Is, Is Not, Contains oder Does Not Contain. Diese Logik gilt für das nächste Feld und bewirkt, dass die Aktion ausgelöst wird, sofern die Logik zutrifft.
    • Geben Sie eine Zeichenfolge ein: Geben Sie die Zeichenfolge ein, die durch die Ausführung des in die Richtlinie hochgeladenen PowerShell-Skripts zurückgegeben wurde. Informationen zum Auffinden dieser Zeichenfolge finden Sie unter Windows Agent-Geräterichtlinie.
    • Aktion: Wählen Sie eine Aktion sowie einen Wert und Zeitrahmen für die Aktion aus.

    Im gezeigten Beispiel: Wenn Schlüssel firewallEnabled den Wert true zurückgibt, markiert die folgende Aktion das Gerät als richtlinientreu.

    Bildschirm "Aktionsdetails"

    Wenn Schlüssel firewallEnabled den Wert false zurückgibt, markiert die folgende Aktion das Gerät als nicht richtlinientreu.

    Bildschirm "Aktionsdetails"

  7. Legen Sie bei Bedarf einen Bereitstellungsplan und Bereitstellungsgruppen fest.