Geräteverwaltung

Die Geräteverwaltung umfasst die Registrierung von Geräten, Sicherheitsaktionen und Geräteüberwachung.

Endpoint Management AutoDiscovery Service

Wichtig:

Die AutoDiscovery-Service-URL discovery.mdm.zenprise.com ist nach dem 31. Dezember 2018 nicht mehr verfügbar. Der neue vollqualifizierte Domänenname ist ads.xm.cloud.com. Weitere Informationen finden Sie im Citrix-Supportartikel https://support.citrix.com/article/CTX202044.

Autodiscovery ist ein wichtiger Teil vieler Endpoint Management-Bereitstellungen. Autodiscovery vereinfacht den Registrierungsvorgang für Benutzer. Diese können bei der Geräteregistrierung ihren Netzwerkbenutzernamen und ihr Active Directory-Kennwort verwenden, statt Angaben für Endpoint Management eingeben zu müssen. Der Benutzername wird im Benutzerprinzipalnamenformat (UPN) eingegeben, z. B. user@mycompany.com. Mit dem Endpoint Management Autodiscovery Service können Sie einen Autodiscoverydatensatz ohne Unterstützung durch Citrix Support erstellen und bearbeiten.

Zum Zugreifen auf den Endpoint Management Autodiscovery Service navigieren Sie zu https://tools.xm.cloud.com und klicken auf Autodiscovery-Anforderung.

Abbildung des XenMobile Autodiscovery Service

Anfordern von Autodiscovery

  1. Auf der Seite des Autodiscovery Service müssen Sie zunächst eine Domäne beanspruchen. Klicken Sie auf Add Domain.

    Abbildung des Bildschirms "Add Domain"

  2. Geben Sie in dem Dialogfeld, das geöffnet wird, den Domänennamen Ihrer Endpoint Management-Umgebung ein und klicken Sie dann auf Next.

    Abbildung des Felds "Domain Name"

  3. Im nächsten Schritt wird überprüft, ob Sie tatsächlich der Eigentümer der Domäne sind.

    • Kopieren Sie das über das Endpoint Management Tools-Portal zur Verfügung gestellte DNS-Token.

    • Erstellen Sie einen DNS-TXT-Datensatz in der Zonendatei für Ihre Domäne über das Portal des Domänenhostinganbieters.

      Zum Erstellen eines DNS-TXT-Datensatzes müssen Sie sich bei dem Portal des Hostinganbieters der Domäne anmelden, die Sie in Schritt 2 oben hinzugefügt haben. Über das Domänenhostingportal können Sie die Domänennamenserverdatensätze bearbeiten und einen benutzerdefinierten TXT-Datensatz hinzufügen. Weiter unten finden Sie ein Beispiel für einen DNS-TXT-Eintrag auf dem Hostingportal einer Beispieldomäne “domain.com”.

    • Fügen Sie das Domänentoken in Ihren DNS-TXT-Datensatz ein und speichern Sie den Domänennamenserverdatensatz.

    • Klicken Sie im Endpoint Management Tools-Portal auf Done, um die DNS-Prüfung zu starten.

    Das System erkennt den DNS-TXT-Datensatz. Alternativ können Sie auf I’ll update later klicken, und der Datensatz wird gespeichert. Die DNS-Prüfung wird erst gestartet, wenn Sie auf den Datensatz mit dem Status “Waiting” und dann auf DNS Check klicken.

    Diese Prüfung dauert im Idealfall ungefähr eine Stunde, aber es kann auch bis zu zwei Tage dauern, bis eine Antwort zurückgegeben wird. Darüber hinaus müssen Sie möglicherweise das Portal verlassen und wieder zurückkehren, um die Statusänderung zu sehen.

    Abbildung des Dialogfelds "Verify your Domain"

  4. Nachdem Sie Ihre Domäne beansprucht haben, geben Sie Informationen zum Autodiscovery Service ein. Klicken Sie mit der rechten Maustaste auf den Domänendatensatz, für den Sie Autodiscovery anfordern, und klicken Sie auf Add ADS.

    Wenn Ihre Domäne bereits einen Autodiscoverydatensatz hat, öffnen Sie einen Fall beim Citrix Support, um diesen nach Bedarf zu ändern.

    Abbildung der Option "Add ADS"

  5. Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf Next. Wenn Sie nicht sicher sind, fügen Sie eine Standardinstanz “zdm” hinzu.

    Abbildung der Optionen für "Endpoint Management Info"

    Hinweis:

    Zum vorherigen Screenshot muss erwähnt werden, dass Worx Home jetzt Secure Hub heißt.

  6. Geben Sie die folgenden Informationen für Secure Hub ein und klicken Sie dann auf Weiter.

    • User ID Type: Wählen Sie für den ID-Typ, mit dem Benutzer sich anmelden, entweder E-mail address oder UPN aus.

      UPN wird verwendet, wenn der UPN (Benutzerprinzipalname) des Benutzers mit seiner E-Mail-Adresse übereinstimmt. Bei beiden Methoden erfolgt die Suche der Serveradresse anhand der eingegebenen Domäne. Bei Verwendung von E-mail address werden die Benutzer aufgefordert, den Benutzernamen und das Kennwort einzugeben, bei Verwendung von UPN müssen sie ihr Kennwort eingeben.

    • HTTPS Port: Geben Sie den Port an, über den auf Secure Hub über HTTPS zugegriffen werden soll. Normalerweise ist dies Port 443.

    • iOS Enrollment Port: Geben Sie den Port an, über den auf Secure Hub für die iOS-Registrierung zugegriffen werden soll. In der Regel wird hierfür Port 8443 verwendet.

    • Required Trusted CA for Endpoint Management: Geben Sie an, ob für den Zugriff auf Endpoint Management ein vertrauenswürdiges Zertifikat erforderlich ist. Diese Option kann auf ON oder OFF festgelegt werden. Derzeit kann kein Zertifikat für dieses Feature hochgeladen werden. Wenn Sie dieses Feature verwenden möchten, wenden Sie sich an den Citrix Support und lassen Sie Autodiscovery vom Support einrichten. Weitere Informationen über das Zertifikatpinning finden Sie unter Secure Hub in der Dokumentation zu den mobilen Produktivitätsapps von Citrix. Informationen zu den für das Zertifikatpinning erforderlichen Ports finden Sie im Supportartikel Endpoint Management Port Requirements for ADS Connectivity.

    Abbildung der Einstellungen für "Worx Home (Secure Hub) Info"

    Hinweis: Zum vorherigen Screenshot muss erwähnt werden, dass Worx Home jetzt Secure Hub heißt.

  7. Auf einer Zusammenfassungsseite werden alle in den oben beschriebenen Schritten eingegebenen Informationen angezeigt. Stellen Sie sicher, dass die Daten richtig sind, und klicken Sie dann auf Save.

     Abbildung der Zusammenfassungsseite

    Hinweis: Zum vorherigen Screenshot muss erwähnt werden, dass Worx Home jetzt Secure Hub heißt.

Aktivieren von Autodiscovery

Autodiscovery vereinfacht den Registrierungsvorgang für Benutzer. Diese können bei der Geräteregistrierung dann ihren Netzwerkbenutzernamen und ihr Active Directory-Kennwort verwenden, statt Angaben zum Endpoint Management-Server eingeben zu müssen. Der Benutzername wird im Benutzerprinzipalnamenformat (UPN) eingegeben, z. B. user@mycompany.com.

Zum Aktivieren von Autodiscovery können Sie das Portal für den Autodiscovery Service unter https://tools.xm.cloud.com aufrufen.

In einigen Fällen ist zum Aktivieren der Autodiscovery eine Anfrage beim Citrix Support erforderlich. Folgen Sie hierfür den Anweisungen unten, um dem Support Ihre Bereitstellungsinformationen und – für Windows-Geräte – ein SSL-Zertifikat zukommen zu lassen. Wenn Citrix diese Informationen erhalten hat, werden bei der Geräteregistrierung die Domäneninformationen extrahiert und einer Serveradresse zugeordnet. Diese Informationen werden in der Endpoint Management-Datenbank gepflegt, sodass sie bei jeder Registrierung durch einen Benutzer verfügbar und zugänglich sind.

  1. Wenn Sie Autodiscovery über das Autodiscovery-Dienstportal nicht aktivieren können, öffnen Sie über das Citrix Supportportal einen Supportfall und geben Sie folgende Informationen an:

    • Die Domäne mit den Konten, mit denen Benutzer Geräte registrieren.
    • Vollqualifizierter Domänenname (FQDN) des Endpoint Management-Servers.
    • Der Name für die Endpoint Management-Instanz. Standardmäßig lautet der Instanzname (Groß-/Kleinschreibung beachten) zdm.
    • Benutzer-ID-Typ (entweder UPN oder E-Mail). Standardeinstellung ist UPN.
    • Der für die iOS-Registrierung verwendete Port, wenn Sie die standardmäßige Portnummer 8443 geändert haben.
    • Der Port, über den der Endpoint Management-Server Verbindungen annimmt, wenn Sie die standardmäßige Portnummer 443 geändert haben.
    • E-Mail-Adresse des Endpoint Management-Administrators (optional).
  2. Wenn Windows-Geräte registriert werden sollen, führen Sie die folgenden Schritte aus:

    • Beschaffen Sie ein öffentlich signiertes SSL-Zertifikat (kein Wildcard-Zertifikat) für enterpriseenrollment.mycompany.com, wobei mycompany.com die Domäne mit den Konten ist, die die Benutzer bei der Registrierung verwenden. Senden Sie das SSL-Zertifikat in PFX-Format und das zugehörige Kennwort im Anhang Ihrer Anforderung.
    • Erstellen Sie einen Datensatz mit einem kanonischen Namen (CNAME) im DNS und weisen Sie die Adresse des SSL-Zertifikats (enterpriseenrollment.mycompany.com) der Adresse autodisc.zc.zenprise.com zu. Wenn ein Benutzer ein Windows-Gerät unter Angabe des UPNs und der Details des Endpoint Management-Servers registriert, weist der Citrix Registrierungsserver das Gerät an, ein gültiges Zertifikat vom Endpoint Management-Server anzufordern.

    Ihr Supportfall wird aktualisiert, sobald Ihre Daten und ggf. das Zertifikat den Citrix Servern hinzugefügt wurden. Nun ist eine Registrierung mit Autodiscovery möglich.

    Hinweis:

    Für eine Registrierung mit mehreren Domänen können Sie auch ein Multidomänenzertifikat verwenden. Das Multidomänenzertifikat muss folgende Struktur haben:

    SubjectDN mit einem CN, der die primäre Domäne für das Zertifikat angibt (z. B. enterpriseenrollment.mycompany1.com).

    Die entsprechenden SANs für die verbleibenden Domänen (z. B. enterpriseenrollment.mycompany2.com, enterpriseenrollment.mycompany3.com usw.).

Registrieren von Geräten

Für die sichere Remoteverwaltung von Benutzergeräten registrieren Sie diese bei Endpoint Management. Die Endpoint Management-Clientsoftware wird auf dem Benutzergerät installiert und die Identität des Benutzers wird authentifiziert. Anschließend werden Endpoint Management und das Benutzerprofil installiert. In der Endpoint Management-Konsole können Sie dann Geräteverwaltungsaufgaben durchführen. Sie können Richtlinien anwenden, Apps bereitstellen, Daten per Push auf das Gerät verschieben und verlorene oder gestohlene Geräte sperren, löschen und suchen.

Die Registrierung über Azure Active Directory wird für iOS-, Android- und Windows 10-Geräte unterstützt. Weitere Informationen zum Konfigurieren von Azure als Identitätsanbieter (IdP) finden Sie unter Single Sign-On mit Azure Active Directory.

Hinweis:

Vor dem Registrieren von iOS-Geräten müssen Sie ein APNs-Zertifikat anfordern. Einzelheiten finden Sie unter Zertifikate und Authentifizierung.

Zum Aktualisieren der Konfigurationsoptionen für Benutzer und Geräte verwenden Sie die Seite Verwalten > Registrierungseinladungen. Weitere Informationen finden Sie unter Senden einer Registrierungseinladung in diesem Artikel.

Android-Geräte

Hinweis:

Informationen zur Registrierung von Android Enterprise-Geräten finden Sie unter Android Enterprise.

  1. Rufen Sie auf dem Android-Gerät Google Play auf, laden Sie die Citrix Secure Hub-App herunter und tippen Sie dann auf die App.
  2. Wenn Sie zum Installieren der App aufgefordert werden, klicken Sie auf Next und dann auf Install.
  3. Wenn Secure Hub installiert ist, tippen Sie auf Öffnen.
  4. Geben Sie Ihre geschäftlichen Anmeldeinformationen ein, z. B. den Namen des Endpoint Management-Servers, Ihren Benutzerprinzipalnamen oder Ihre E-Mail-Adresse. Klicken Sie dann auf Weiter.
  5. Tippen Sie im Bildschirm Geräteadministrator aktivieren auf Aktivieren.
  6. Geben Sie Ihr geschäftliches Kennwort ein und tippen Sie dann auf Anmelden.
  7. Je nachdem, wie Endpoint Management konfiguriert ist, werden Sie möglicherweise aufgefordert, eine Citrix PIN zu erstellen. Mit dieser PIN können Sie sich bei Secure Hub und anderen Endpoint Management-aktivierten Apps wie Secure Mail und Citrix Files anmelden. Sie müssen die Citrix PIN zweimal eingeben. Geben Sie im Bildschirm Citrix PIN erstellen eine PIN ein.
  8. Geben Sie die PIN erneut ein. Secure Hub wird geöffnet. Sie können nun auf den App-Store zugreifen und Apps für die Installation auf dem Android-Gerät anzeigen.
  9. Wenn Sie Endpoint Management so konfiguriert haben, dass Apps nach der Registrierung automatisch per Push auf Geräten bereitgestellt werden, werden die Benutzer zur Installation der Apps aufgefordert. Darüber hinaus werden Richtlinien, die Sie in Endpoint Management konfigurieren, auf dem Gerät bereitgestellt. Tippen Sie auf Installieren, um die Apps zu installieren.

Aufheben der Registrierung eines Android-Geräts auf und erneute Registrierung

Benutzer können über Secure Hub die Registrierung aufheben. Wenn Benutzer die Registrierung mit dem folgenden Verfahren aufheben, wird das Gerät weiterhin im Gerätebestand der Endpoint Management-Konsole angezeigt. Aktionen können jedoch nicht auf dem Gerät ausgeführt werden. Sie können das Gerät nicht verfolgen und Sie können die Gerätekonformität nicht überwachen.

  1. Öffnen Sie die Secure Hub-App.

  2. Abhängig davon, ob Sie ein Smartphone oder ein Tablet haben, führen Sie folgende Schritte aus:

    Auf einem Smartphone:

    • Streichen Sie von der linken Seite des Bildschirms, um den Bereich “Einstellungen” zu öffnen.

    • Tippen Sie auf Einstellungen gefolgt von Konten und dann auf Konto löschen.

    Auf einem Tablet:

    • Tippen Sie auf den Pfeil neben Ihrer E-Mail-Adresse in der oberen rechten Ecke.

    • Tippen Sie auf Einstellungen gefolgt von Konten und dann auf Konto löschen.

  3. Tippen Sie auf Neu registrieren. Eine Meldung wird angezeigt, um zu bestätigen, dass Sie das Gerät erneut registrieren möchten.

  4. Tippen Sie auf OK.

    Die Registrierung des Geräts wird aufgehoben.

  5. Folgen Sie dann den Anweisungen auf dem Bildschirm, um das Gerät erneut zu registrieren.

iOS-Geräte, auf denen vom Benutzer bereitgestellte Anmeldeinformationen verwendet werden

  1. Laden Sie die Secure Hub-App aus dem Apple iTunes-App Store auf das Gerät herunter und installieren Sie sie auf dem Gerät.

  2. Tippen Sie auf dem Homebildschirm des iOS-Geräts auf die Secure Hub-App.

  3. Wenn die Secure Hub-App geöffnet wird, geben Sie die vom Helpdesk erhaltene Serveradresse ein.

    Die angezeigten Seiten unterscheiden sich je nach Endpoint Management-Konfiguration u. U. von den folgenden Beispielen.

    Abbildung von Secure Hub mit Aufforderung zur Eingabe der Serveradresse

  4. Geben Sie Ihren Benutzernamen und das Kennwort oder die PIN ein, wenn Sie dazu aufgefordert werden. Klicken Sie auf Weiter.

    Abbildung des Anmeldebildschirms

  5. Wenn Sie zur Registrierung aufgefordert werden, klicken Sie auf Ja, registrieren und geben Sie Ihre Anmeldeinformationen ein, wenn Sie dazu aufgefordert werden.

    Abbildung der Schaltfläche "Ja, registrieren"

  6. Tippen Sie auf Installieren, um den Citrix Profildienst zu installieren.

    Abbildung des Bildschirms für Citrix Profildienste

  7. Tippen Sie auf Vertrauensstellung.

    Abbildung des Bildschirms zum Aktivieren der Remoteverwaltung

  8. Tippen Sie auf Öffnen und geben Sie Ihre Anmeldeinformationen ein.

    Abbildung der Aufforderung zum Öffnen von Secure Hub

    Abbildung der Eingabeaufforderung für die Anmeldeinformationen

iOS-Geräte, auf denen abgeleitete Anmeldeinformationen verwendet werden

Die Registrierung erfordert, dass Benutzer ihre Smartcard in einen an den Desktop angeschlossenen Smartcardleser einlegen.

  1. Der Benutzer installiert Secure Hub und die App des Anbieters für abgeleitete Anmeldeinformationen.

    Die App für Intercede heißt MyID for Citrix. Das Logo sieht folgendermaßen aus:

    Abbildung des Intercede-Logos

  2. Der Benutzer startet Secure Hub. Wenn sie dazu aufgefordert werden, geben Benutzer den vollqualifizierten Domänennamen für den Endpoint Management-Server ein und klicken auf Weiter. Die Registrierung wird in Secure Hub gestartet. Wenn der Endpoint Management-Server abgeleitete Anmeldeinformationen unterstützt, fordert Secure Hub den Benutzer auf, eine Citrix-PIN zu erstellen.

    Abbildung des Bildschirms zur Registrierung bei Secure Hub

    Abbildung der Schaltfläche "Ja, registrieren"

    Abbildung des Bildschirms zur Eingabe der Citrix PIN

  3. Der Benutzer folgt den Anweisungen zum Aktivieren der Smartcard-Anmeldeinformationen. Ein Begrüßungsbildschirm wird angezeigt, gefolgt von einer Eingabeaufforderung zum Scannen eines QR-Codes.

    Abbildung des Bildschirms zum Scannen des QR-Codes

  4. Der Benutzer legt die Smartcard in den Smartcardleser ein, der an den Desktop angeschlossen ist. In der Desktop-App wird dann ein QR-Code angezeigt und der Benutzer zum Scannen des Codes mit dem Mobilgerät aufgefordert.

    Abbildung des Bildschirms zur Identitätsbestätigung

  5. Der Benutzer gibt bei entsprechender Aufforderung seine Secure Hub-PIN ein.

    Abbildung des Bildschirms für die PIN-Eingabe

  6. Nach der Authentifizierung der PIN lädt Secure Hub die Zertifikate herunter. Der Benutzer folgt anschließend den Anweisungen zum Abschließen der Registrierung.

Zum Anzeigen von Geräteinformationen in der Endpoint Management-Konsole:

  • Gehen Sie zu Verwalten > Geräte und wählen Sie ein Gerät zum Anzeigen eines Befehlsfelds aus. Klicken Sie auf Mehr anzeigen.

  • Gehen Sie zu Analysieren > Dashboard.

Mac OS-Geräte

Endpoint Management bietet zwei Registrierungsmethoden für Geräte, auf denen Mac OS ausgeführt wird. Beide Methoden ermöglichen die Registrierung per Funk direkt über das Gerät.

  • Senden einer Registrierungseinladung: Bei dieser Registrierungsmethode können Sie jeden der folgenden Registrierungsmodi für macOS-Geräte festlegen:

    • Benutzername + Kennwort

    • Benutzername + PIN

    • Zweistufig

    Wenn der Benutzer die Anweisungen in der Registrierungseinladung befolgt, wird eine Registrierungsseite angezeigt, auf der sein Name bereits eingetragen ist.

  • Senden von Installationslinks: Bei dieser Registrierungsmethode für macOS-Geräte erhält der Benutzer einen Registrierungslink, den er in Safari oder Chrome öffnen kann. Der Benutzer registriert sich dann mit seinem Benutzernamen und Kennwort.

    Soll die Registrierung per Installationslink auf macOS-Geräten nicht verwendet werden, legen Sie die Servereigenschaft Enable macos.OTAE auf false fest. Mac OS-Geräte können dann nur per Registrierungseinladung registriert werden.

Senden von Registrierungseinladungen

  1. Richten Sie optional macOS-Geräterichtlinien in der Endpoint Management-Konsole ein. Weitere Informationen zu Geräterichtlinien finden Sie unter Geräterichtlinien.

  2. Fügen Sie eine Registrierungseinladung für Mac OS-Benutzer hinzu. Weitere Informationen finden Sie unter Senden einer Registrierungseinladung in diesem Artikel.

  3. Wenn ein Benutzer die Einladung erhält und auf den Link klickt, wird in Safari folgende Seite angezeigt: Der Benutzername wird von Endpoint Management eingetragen. Wenn Sie den Registrierungsmodus Zweifaktor auswählen, wird ein weiteres Feld angezeigt.

    Abbildung der Meldung zur Anmeldung mit Stammzertifikat im Safari-Browser

  4. Die Benutzer installieren die benötigten Zertifikate. Ob Benutzer zur Installation von Zertifikaten aufgefordert werden, hängt davon ab, ob Sie ein öffentlich vertrauenswürdiges SSL-Zertifikat und ein öffentlich vertrauenswürdiges digitales Signaturzertifikat für macOS konfiguriert haben. Weitere Informationen über Zertifikate finden Sie unter Zertifikate und Authentifizierung.

  5. Der Benutzer gibt die angeforderten Anmeldeinformationen ein.

    Die Mac-Geräterichtlinien werden installiert. Sie können Macs nun mit Endpoint Management genauso verwalten wie Mobilgeräte.

  1. Richten Sie optional macOS-Geräterichtlinien in der Endpoint Management-Konsole ein. Weitere Informationen zu Geräterichtlinien finden Sie unter Geräterichtlinien.

  2. Senden Sie den Registrierungslink https://serverFQDN:8443/instanceName/macos/otae, den die Benutzer in Safari oder Chrome öffnen können.

    • serverFQDN ist der vollqualifizierte Domänenname (FQDN) des Servers, auf dem Endpoint Management ausgeführt wird.
    • Port 8443 ist der sichere Standardport. Wenn Sie einen anderen Port konfiguriert haben, verwenden Sie diesen anstelle von 8443.
    • Der Instanzname, oft als zdm dargestellt, ist der Name, der bei der Serverinstallation angegeben wird.

    Weitere Informationen zum Senden von Installationslinks finden Sie unter Senden von Installationslinks.

  3. Die Benutzer installieren die benötigten Zertifikate. Wenn Sie ein öffentlich vertrauenswürdiges SSL-Zertifikat und ein digitales Signaturzertifikat für iOS und Mac OS konfiguriert haben, wird den Benutzern die Aufforderung zum Installieren von Zertifikaten angezeigt. Weitere Informationen über Zertifikate finden Sie unter Zertifikate und Authentifizierung.

  4. Die Benutzer melden sich bei ihren Macs an.

    Die Mac-Geräterichtlinien werden installiert. Sie können Macs nun mit Endpoint Management genauso verwalten wie Mobilgeräte.

Windows-Geräte

Hinweis:

Dieser Abschnitt enthält Verweise auf Windows Phone 8.1-Geräte, für die Microsoft am 11. Juli 2017 das Ende des Supports bekanntgegeben hat. Endpoint Management unterstützt Windows Phone 8.1-Geräte derzeit nur für die MDM-Registrierung.

Geräte mit Windows 10 werden mit Microsoft Azure als Active Directory-Verbundauthentifizierung registriert. Sie können Microsoft Azure AD Windows 10-Geräte mit einem der folgenden Verfahren hinzufügen:

  • Registrierung bei MDM im Rahmen des Standardbeitritts zu Azure AD beim ersten Einschalten des Geräts
  • Registrierung bei MDM im Rahmen des Beitritts zu Azure AD unter Verwendung der Seite “Windows-Einstellungen” nach dem Konfigurieren des Geräts

Sie können in Endpoint Management Geräte mit folgenden Windows-Betriebssystemen registrieren:

  • Windows 10 Phone und Tablet
  • Windows Phone 8.1

Benutzer können sich direkt über ihre Geräte registrieren.

Hinweis:

Benutzer von Windows 10 RS2 Phone- und Tablet-Geräten werden bei der erneuten Registrierung nicht zur Eingabe der Server-URL aufgefordert. Starten Sie als Workaround das Gerät neu. Alternativ tippen Sie auf dem Bildschirm mit der E-Mail-Adresse auf das X für den Aufbau der Verbindung mit einem Dienst und navigieren Sie zu der Seite Server-URL. Dies ist ein Drittanbieterproblem.

Sie müssen Autodiscovery und den Windows-Ermittlungsdienst für die Benutzerregistrierung aktivieren, um die Verwaltung von unterstützten Windows-Geräten zu ermöglichen.

Bevor Benutzer von Windows-Geräten sich über Azure registrieren können, müssen Sie die Servereinstellungen zu Microsoft Azure in Endpoint Management konfigurieren. Weitere Informationen finden Sie unter Single Sign-On mit Azure Active Directory.

Hinweis:

Das SSL-Listenerzertifikat muss ein öffentliches Zertifikat sein, damit Windows-Geräte sich registrieren können. Bei einem selbstsignierten SSL-Zertifikat schlägt die Registrierung fehl.

Registrieren von Windows-Geräten mit Autodiscovery

Um die Verwaltung von Windows-Geräten zu ermöglichen, empfiehlt Citrix, dass Sie Autodiscovery und den Windows-Ermittlungsdienst konfigurieren. Weitere Informationen finden Sie unter Aktivieren von Autodiscovery.

  1. Prüfen Sie auf dem Gerät auf Updates und installieren Sie alle verfügbaren Windows-Updates.

  2. Für Windows 10: Tippen Sie im Menü “Charms” auf Einstellungen und dann auf Konten > Arbeitsplatz oder Schule > Mit Arbeitsplatz oder Schule verbinden. Für Windows 8.1-Telefone: Tippen Sie auf PC-Einstellungen > Netzwerk > Arbeitsbereich.

  3. Geben Sie Ihre geschäftliche E-Mail-Adresse ein und tippen Sie dann auf Weiter (Windows 10) oder auf Geräteverwaltung einschalten (Windows 8.1). Zur Registrierung als lokaler Benutzer geben Sie eine nicht vorhandene E-Mail-Adresse mit dem richtigen Domänennamen (z. B. foo@mydomain.com) ein. Dies ermöglicht die Umgehung einer bekannten Microsoft-Einschränkung, wobei die Registrierung von Windows integrierter Geräteverwaltung vorgenommen wird. Geben Sie im Dialogfeld Mit einem Dienst verbinden den Benutzernamen und das Kennwort des lokalen Benutzers ein. Das Gerät sucht automatisch einen Endpoint Management-Server und startet die Registrierung.

  4. Geben Sie Ihr Kennwort ein. Verwenden Sie das Kennwort eines Kontos, das zu einer Benutzergruppe in Endpoint Management gehört.

  5. Für Windows 10: Geben Sie im Dialogfeld Nutzungsbedingungen an, dass Sie der Verwaltung Ihres Geräts zustimmen, und tippen Sie dann auf Annehmen. Für Windows 8.1: Geben Sie im Dialogfeld Apps und Dienste des IT-Administrators zulassen an, dass Sie der Verwaltung Ihres Geräts zustimmen, und tippen Sie auf Einschalten.

Registrieren von Windows-Geräten ohne Autodiscovery

Windows-Geräte können ohne Autodiscovery registriert werden. Citrix empfiehlt jedoch die Verwendung von Autodiscovery. Da bei einer Registrierung ohne Autodiscovery ein Aufruf an Port 80 erfolgt, bevor eine Verbindung mit der gewünschten URL hergestellt wird, ist sie kein optimales Verfahren bei einer Produktionsbereitstellung. Citrix empfiehlt die Verwendung dieses Verfahrens nur in Bereitstellungen für Testzwecke und Machbarkeitsstudien.

  1. Prüfen Sie auf dem Gerät auf Updates und installieren Sie alle verfügbaren Windows-Updates.

  2. Für Windows 10: Tippen Sie im Menü “Charms” auf Einstellungen und dann auf Konten > Arbeitsplatz oder Schule > Mit Arbeitsplatz oder Schule verbinden. Für Windows 8.1: Tippen Sie auf PC-Einstellungen > Netzwerk > Arbeitsbereich.

  3. Geben Sie Ihre geschäftliche E-Mail-Adresse ein.

  4. Für Windows 10: Wenn Autodiscovery nicht konfiguriert ist, wird eine Option zur Eingabe der Serverinformationen (siehe Schritt 5) angezeigt. Für Windows 8.1: Wenn das automatische Erkennen der Serveradresse auf Aktiviert gesetzt ist, tippen Sie darauf, um die Option auf Aus zu setzen.

  5. Für Windows 10: Geben Sie im Feld Serveradresse eingeben folgende Adresse ein: https://serverfqdn:8443/serverInstance/wpe.

    Wenn für SSL-Verbindungen ohne Authentifizierung eine andere Portnummer als 8443 verwendet wird, geben Sie die verwendete Portnummer mit der Adresse ein.

    Für Windows 8.1: Geben Sie die Serveradresse im folgenden Format ein: https://serverfqdn:8443/serverInstance/Discovery.svc.

    Wenn für SSL-Verbindungen ohne Authentifizierung eine andere Portnummer als 8443 verwendet wird, geben Sie die verwendete Portnummer mit der Adresse ein.

  6. Geben Sie das Kennwort ein.

  7. Für Windows 10: Geben Sie im Dialogfeld Nutzungsbedingungen an, dass Sie der Verwaltung Ihres Geräts zustimmen, und tippen Sie dann auf Annehmen. Für Windows 8.1: Geben Sie im Dialogfeld Apps und Dienste des IT-Administrators zulassen an, dass Sie der Verwaltung Ihres Geräts zustimmen, und tippen Sie auf Einschalten.

Registrieren von Windows Phone-Geräten

Für die Registrierung von Windows Phone-Geräten in Endpoint Management benötigen die Benutzer ihre Active Directory- oder netzwerkinterne E-Mail-Adresse und ihr Kennwort. Ist Autodiscovery nicht eingerichtet, benötigen die Benutzer zudem die Serverwebadresse des Endpoint Management-Servers. Sie folgen dann den nachfolgenden Anweisungen zur Registrierung ihres Geräts.

Hinweis:

Wenn Sie Apps über den Windows Phone-Unternehmensstore vor der Registrierung der Benutzer bereitstellen möchten, müssen Sie vorher eine Enterprise Hub-Richtlinie erstellen (mit einer signierten Windows Phone-App für Secure Hub für jede unterstützte Plattform).

  1. Tippen Sie auf der Hauptseite des Windows Phone-Geräts auf das Symbol Einstellungen.

    • Für Windows 10: Tippen Sie je nach Version entweder auf Konten > Arbeitsplatz oder Schule > Mit Arbeitsplatz oder Schule verbinden oder auf Konten > Arbeitsplatzzugriff > Für MDM-Verwaltungsdienst registrieren.
    • Für Windows 8.1: Tippen Sie auf PC-Einstellungen > Netzwerk > Arbeitsplatz und dann auf Konto hinzufügen.
  2. Geben Sie im nächsten Bildschirm eine E-Mail-Adresse und ein Kennwort ein und tippen Sie dann auf Anmelden.

    Wenn Autodiscovery für die Domäne konfiguriert ist, werden die in den nächsten Schritten angeforderten Informationen automatisch eingetragen. Gehen Sie zu Schritt 8.

    Wenn Autodiscovery für die Domäne nicht konfiguriert ist, fahren Sie mit dem nächsten Schritt fort. Zur Registrierung als lokaler Benutzer geben Sie eine nicht vorhandene E-Mail-Adresse mit dem richtigen Domänennamen (z. B. foo@mydomain.com) ein. Dies ermöglicht die Umgehung einer bekannten Microsoft-Einschränkung. Geben Sie im Dialogfeld Mit einem Dienst verbinden den Benutzernamen und das Kennwort des lokalen Benutzers ein.

  3. Geben Sie im nächsten Bildschirm die Webadresse des Endpoint Management-Servers ein. Beispiel: https://<xenmobile_server>:<portnumber>/<instancename>/wpe. Beispiel: https://mycompany.mdm.com:8443/zdm/wpe.

    Hinweis:

    Die Portnummer muss gemäß der vorliegenden Implementierung geändert werden. Es muss der gleiche Port verwendet werden wie für die iOS-Registrierung.

  4. Geben Sie den Benutzernamen und die Domäne ein, sofern die Authentifizierung über einen Benutzernamen und eine Domäne erfolgt und tippen Sie auf Anmelden.

  5. Wenn ein Problem mit dem Zertifikat gemeldet wird, ist dieser Fehler auf die Verwendung eines selbstsignierten Zertifikats zurückzuführen. Wird der Server als vertrauenswürdig eingestuft, tippen Sie auf Fortfahren. Andernfalls tippen Sie auf Abbrechen.

  6. Wenn das Konto unter Windows Phone 8.1 hinzugefügt wurde, wird die Option Unternehmensapp installieren angeboten. Wenn der Administrator einen Unternehmens-App-Store konfiguriert hat, wählen Sie diese Option aus und tippen Sie dann auf Fertig. Wenn Sie diese Option deaktivieren, müssen Sie sich erneut registrieren, um den Unternehmens-App-Store zu erhalten.

  7. Tippen Sie unter Windows Phone 8.1 im Bildschirm Konto hinzugefügt auf Fertig.

  8. Zum Erzwingen einer Verbindung mit dem Server tippen Sie auf das Symbol zum Aktualisieren. Wenn das Gerät nicht manuell eine Verbindung mit Server herstellt, versucht Endpoint Management, die Verbindung wiederherzustellen. Endpoint Management versucht 5 Mal alle 3 Minuten eine Verbindung herzustellen, anschließend alle 2 Stunden. Sie können diese Verbindungsrate unter Servereigenschaften über die Option Windows WNS-Taktintervall ändern. Nachdem die Registrierung abgeschlossen ist, wird Secure Hub im Hintergrund registriert. Der Abschluss der Installation wird nicht angezeigt. Tippen Sie auf dem Bildschirm Alle Apps auf “Secure Hub”.

Chrome OS-Geräte

Chrome OS-Geräte werden über die Registrierung hinzugefügt. Autodiscovery wird auch für Chrome OS-Geräte unterstützt. Chrome OS-Geräte werden nur im MDM-Modus registriert.

Das manuelle Hinzufügen von Chrome OS-Geräten oder das Hinzufügen durch Massenregistrierung wird nicht unterstützt. Das Senden von Registrierungseinladungen für Chrome OS-Geräte wird nicht unterstützt.

Systemanforderungen:

  • Chrome OS 46 und höher

Konfigurieren der G Suite für die Registrierung von Chrome OS-Geräten

Bevor Sie Chrome OS-Geräte registrieren, konfigurieren Sie die G Suite für die Geräteregistrierung.

Die Konfiguration erzwingt die Installation der Secure Hub-Erweiterung auf dem Chrome OS-Gerät und verhindert das Deaktivieren oder Löschen der Erweiterung.

  1. Rufen Sie https://admin.google.com auf und melden Sie sich an Ihrem G Suite-Konto an.

  2. Klicken Sie in der Google-Administratorkonsole auf Device Management.

    Bild der Google-Administratorkonsole

  3. Klicken Sie auf Chrome management.

    Bild der Google-Administratorkonsole

  4. Klicken Sie auf der Chrome-Geräteverwaltungsseite auf User Settings.

    Bild der Google-Administratorkonsole

  5. Suchen Sie auf der Seite User Settings nach Clientzertifikaten. Fügen Sie dieses Muster hinzu:

    {"pattern": "https://[*.]xm.cloud.com", "filter": {}}

    Das Hinzufügen dieses Musters zu den Clientzertifikaten stellt sicher, dass von Endpoint Management an das Gerät gesendete Gerätezertifikate automatisch ausgewählt werden, ohne den Benutzer zur Auswahl aufzufordern.

    Bild der Google-Administratorkonsole

  6. Klicken Sie auf Speichern.

  7. Suchen Sie nach Force-installed Apps and Extensions und klicken Sie dann auf Manage force-installed apps.

    Bild der Google-Administratorkonsole

  8. Klicken Sie auf Specify a Custom App.

    Bild der Google-Administratorkonsole

  9. Klicken Sie auf das ID-Feld und geben Sie cnkimbgkdakemjcipljhmoplehfcjban ein.

  10. Klicken Sie auf das URL-Feld und geben Sie https://chrome.google.com/webstore/detail/cnkimbgkdakemjcipljhmoplehfcjban ein.

  11. Klicken Sie auf Hinzufügen.

  12. Klicken Sie im Dialogfenster “Force-installed Apps and Extensions” auf Save.

  13. Klicken Sie auf der Benutzereinstellungsseite auf Save.

Endpoint Management mit G Suite verbinden

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben und dann auf Einstellungen > Google Chrome.

    Abbildung der Endpoint Management-Konsole mit den Google Chrome-Einstellungen

  2. Klicken Sie auf Connect. Ein Anmeldefenster für ein Google-Konto wird angezeigt.

    Abbildung des Google-Anmeldefensters

  3. Melden Sie sich mit Ihren Google-Kontoanmeldeinformationen an und klicken Sie auf Weiter.

  4. Endpoint Management füllt den Namen der G Suite-Domäne und des G Suite-Kontoadministrators aus. Die Schaltfläche Verbinden ändert sich in Trennen. Endpoint Management ist mit G Suite verbunden.

    Abbildung der Endpoint Management-Konsole, Google Chrome ist verbunden

Registrieren von Chrome OS-Geräten

Bevor ein Chrome OS-Gerät in Endpoint Management registriert werden kann, muss es in der G Suite-Domäne Ihres Unternehmens registriert werden. Informationen zum Registrieren von Chrome OS-Geräten finden Sie im Google-Artikel Enroll Chrome devices.

Wenn ein Chrome OS-Gerät bei Endpoint Management registriert wird, muss eine Citrix PIN erstellt werden. Diese PIN kann nicht zurückgesetzt werden. Wenn ein Nutzer diese PIN vergisst, muss die Registrierung des Chrome OS-Geräts aufgehoben und das Gerät dann erneut registriert werden.

  1. Melden Sie sich mit Ihren G Suite-Anmeldeinformationen bei dem Chrome OS-Gerät an.

  2. Klicken Sie in Chrome auf die Secure Hub-Erweiterung. Die Secure Hub-Erweiterung wird neben der Adressleiste des Browsers angezeigt, ist ausgegraut und sieht wie folgt aus:

    Abbildung der Secure Hub-Erweiterung

  3. Das Secure Hub-Registrierungsfenster wird angezeigt. Klicken Sie auf Registrierung.

    Bild des Registrierungsfensters

  4. Geben Sie Ihre geschäftlichen Anmeldeinformationen ein, z. B. den Namen des Endpoint Management-Servers, Ihren Benutzerprinzipalnamen oder Ihre E-Mail-Adresse. Klicken Sie dann auf Weiter.

    Abbildung des Unternehmensanmeldeinformationsfensters

  5. Wenn Sie dazu aufgefordert werden, geben Sie Ihren Unternehmensbenutzernamen ein. Geben Sie Ihr Unternehmenskennwort ein. Klicken Sie dann auf Anmelden.

    Abbildung der Anmeldefensters

  6. Erstellen Sie eine Citrix PIN. Diese PIN muss sechs Zeichen lang sein. Sie kann nur Buchstaben und Ziffern enthalten. Geben Sie Ihre Citrix PIN zweimal ein und klicken Sie auf Fertig stellen.

    Abbildung des Bildschirms zum Erstellen der Citrix PIN

    Nachdem die Registrierung abgeschlossen ist, ist das Secure Hub-Erweiterungssymbol aktiviert.

Anmelden bei einem registrierten Chrome OS-Gerät

So melden Sie sich bei einem Chrome OS-Gerät an, das bei Endpoint Management registriert ist:

  1. Melden Sie sich mit Ihren G Suite-Anmeldeinformationen an.

  2. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Citrix PIN ein. Die PIN wurde erstellt, als das Gerät bei Endpoint Management registriert wurde.

    Bei fehlender Eingabe Ihrer Citrix PIN:

    • Sie werden so lange jede Minute zur Eingabe aufgefordert, bis Sie die PIN eingegeben haben.
    • Nach fünf Minuten wird der Zugriff auf alle Websites außer google.com, citrix.com, gotomeeting.com, cloud.com gesperrt.
    • Wenn Sie versuchen, auf eine andere Website zuzugreifen, wird eine Fehlermeldung angezeigt und Sie werden aufgefordert, sich mit Ihrer Citrix PIN anzumelden.

Aufheben der Registrierung eines Chrome OS-Geräts und Neuregistrierung

Um die Registrierung eines Chrome OS-Geräts bei Endpoint Management aufzuheben, löschen Benutzer ihr Konto.

  1. Klicken Sie im Chrome-Browser auf das Symbol für die Secure Hub-Erweiterung.
  2. Klicken Sie im Secure Hub-Registrierungsfenster auf Löschen.
  3. Klicken Sie auf Ja, löschen, um den Löschvorgang zu bestätigen.

    Das Secure Hub-Registrierungsfenster wird geschlossen und das Symbol für die Secure Hub-Erweiterungs ist ausgegraut.

Neuregistrierung:

  1. Melden Sie sich von Ihrem Chrome OS-Gerät ab und dann mit den G Suite-Anmeldeinformationen wieder an.
  2. Klicken Sie auf Registrieren und folgen Sie den Anweisungen zur Neuregistrierung.

Senden von Registrierungseinladungen

In der Endpoint Management-Konsole können Sie Registrierungseinladungen an Benutzer mit iOS-, macOS und Android-Geräten senden. Sie können auch einen Installationslink an Benutzer mit iOS- oder Android-Geräten senden.

Registrierungseinladungen werden wie folgt gesendet:

  • Registrierungseinladungen für einzelne lokale oder Active Directory-Benutzer erhalten die Benutzer per SMS unter der von Ihnen angegebenen Telefonnummer und dem von Ihnen angegebenen Netzbetreibernamen.

  • Registrierungseinladungen für Gruppen erhalten die Benutzer per SMS. Active Directory-Benutzer mit einer in Active Directory verzeichneten E-Mail-Adresse und Mobiltelefonnummer erhalten die Einladung. Lokale Benutzer erhalten die Einladung über die in den Benutzereigenschaften angegebene E-Mail-Adresse und Telefonnummer.

Nach der Registrierung werden die betreffenden Geräte unter Verwalten > Geräte als verwaltet angezeigt. Der Status der Einladungs-URL wird als Angenommen angezeigt.

Voraussetzungen

  • LDAP konfiguriert
  • Bei Verwendung lokaler Gruppen und Benutzer:

    • Eine oder mehrere lokale Gruppen

    • Lokale Benutzer, die lokalen Gruppen zugewiesen sind

    • Bereitstellungsgruppen, die lokalen Gruppen zugeordnet sind

  • Bei Verwendung von Active Directory:

    • Bereitstellungsgruppen, die Active Directory-Gruppen zugeordnet sind

Erstellen von Registrierungseinladungen

  1. Klicken Sie in der Endpoint Management-Konsole auf Verwalten > Registrierungseinladungen. Die Seite Registrierungseinladungen wird angezeigt.

    Abbildung der Seite "Registrierungseinladungen" der Endpoint Management-Konsole

  2. Klicken Sie auf Hinzufügen. Ein Menü mit Registrierungsoptionen wird eingeblendet.

    Abbildung des Menüs "Einladung hinzufügen"

    • Zum Senden einer Registrierungseinladung an einen Benutzer oder eine Gruppe klicken Sie auf Einladung hinzufügen.
    • Zum Senden eines Installationslinks an eine Reihe von Benutzern über SMTP oder per SMS klicken Sie auf Installationslink senden.

    Das Senden von Registrierungseinladungen und Installationslinks wird weiter unten beschrieben.

  3. Klicken Sie auf Einladung hinzufügen. Die Seite Registrierungseinladung wird angezeigt.

    Abbildung des Bildschirms "Registrierungseinladung"

  4. Konfigurieren Sie folgende Einstellungen:

    • Empfänger: Wählen Sie Gruppe oder Benutzer.
    • Wählen Sie eine Plattform: Bei Auswahl von Gruppe für Empfänger sind alle Plattformen ausgewählt. Sie können die Plattformauswahl ändern. Bei Auswahl von Benutzer für Empfänger ist keine Plattform ausgewählt. Wählen Sie eine Plattform.
    • Gerätebesitz: Wählen Sie Unternehmen oder Mitarbeiter.

    Es werden die in den folgenden Abschnitten beschriebenen Einstellungen für Benutzer oder Gruppen angezeigt.

Senden einer Registrierungseinladung an einen Benutzer

Abbildung der Einstellungen für "Registrierungseinladung"

  1. Konfigurieren Sie folgende Einstellungen für Benutzer:

    • Benutzername: Geben Sie einen Benutzernamen ein. Der Benutzer muss als lokaler Benutzer auf dem Endpoint Management-Server oder als Active Directory-Benutzer vorliegen. Stellen Sie bei lokalen Benutzern sicher, dass die E-Mail Eigenschaft eingestellt ist, damit Benachrichtigungen an sie gesendet werden können. Bei Active Directory-Benutzern muss LDAP konfiguriert sein.
    • Geräteinfo: Diese Einstellung wird nicht angezeigt, wenn Sie mehrere Plattformen oder nur macOS wählen. Wählen Sie Seriennummer, UDID oder IMEI. Wenn Sie eine Option auswählen, wird ein Feld angezeigt, in das Sie den entsprechenden Wert für das Gerät eingeben können.
    • Telefonnummer: Diese Einstellung wird nicht angezeigt, wenn Sie mehrere Plattformen oder nur macOS wählen. Geben Sie optional die Telefonnummer des Benutzers ein.
    • Netzbetreiber: Diese Einstellung wird nicht angezeigt, wenn Sie mehrere Plattformen oder nur macOS wählen. Wählen Sie einen Netzbetreiber für die Zuordnung zu der Telefonnummer des Benutzers.
    • Registrierungsmodus: Wählen Sie die gewünschte Registrierungsmethode. Die Standardeinstellung ist Benutzername + Kennwort. Einige der folgenden Optionen stehen nicht für alle Plattformen zur Verfügung:
      • Benutzername + Kennwort
      • Hohe Sicherheit
      • Einladungs-URL
      • Einladungs-URL + PIN
      • Einladungs-URL + Kennwort
      • Zweistufig
      • Benutzername + PIN

    Es werden nur die Registrierungsmodi angezeigt, die für die ausgewählten Plattformen zulässig sind. Eine PIN für die Registrierung wird auch als “Einmal-PIN” bezeichnet. Solche PINs gelten nur bei der Registrierung.

    Hinweis:

    Wenn Sie einen Registrierungsmodus mit PIN auswählen, wird das Feld Vorlage für Registrierungs-PIN eingeblendet, in dem Sie auf Registrierungs-PIN klicken.

    • Vorlage für Agentdownload: Wählen Sie die Downloadlinkvorlage Downloadlink. Diese Vorlage ist für alle unterstützten Plattformen vorgesehen.
    • Vorlage für Registrierungs-URL: Wählen Sie Registrierungseinladung.
    • Vorlage für Registrierungsbestätigung: Wählen Sie Registrierungsbestätigung.
    • Ablauf nach: Dieses Feld wird ausgefüllt, wenn Sie den Registrierungsmodus konfigurieren. Es gibt an, wann die Registrierung abläuft. Weitere Informationen zum Konfigurieren von Registrierungsmodi finden Sie unter Konfigurieren von Registrierungsmodi.
    • Maximale Versuche: Dieses Feld wird festgelegt, wenn Sie den Registrierungsmodus konfigurieren und gibt an, wie oft der Registrierungsprozess maximal ausgeführt wird.
    • Einladung senden: Wählen Sie EIN, um die Einladung sofort zu senden. Wählen Sie AUS, um die Einladung ohne zu senden in die Tabelle auf der Seite Registrierungseinladungen einzufügen.
  2. Klicken Sie auf Speichern und senden, wenn Sie Einladung senden ausgewählt haben. Klicken Sie andernfalls auf Speichern. Die Einladung wird in der Tabelle auf der Seite Registrierungseinladungen aufgeführt.

    Abbildung der Tabelle auf der Seite "Registrierungseinladungen"

Senden einer Registrierungseinladung an eine Gruppe

Die folgende Abbildung zeigt die Einstellungen zum Konfigurieren einer Registrierungseinladung für eine Gruppe.

Abbildung der Seite "Registrierungseinladung" für eine Gruppe

  1. Konfigurieren Sie folgende Einstellungen:

    • Domäne: Wählen Sie die Domäne der Gruppe, die die Einladung erhalten soll.
    • Gruppe: Wählen Sie die Gruppe, die die Einladung erhalten soll.
    • Registrierungsmodus: Wählen Sie die gewünschte Registrierungsmethode. Die Standardeinstellung ist Benutzername + Kennwort. Einige der folgenden Optionen stehen nicht für alle Plattformen zur Verfügung:
      • Benutzername + Kennwort
      • Hohe Sicherheit
      • Einladungs-URL
      • Einladungs-URL + PIN
      • Einladungs-URL + Kennwort
      • Zweistufig
      • Benutzername + PIN

    Es werden nur die Registrierungsmodi angezeigt, die für die ausgewählten Plattformen zulässig sind.

    Hinweis:

    Wenn Sie einen Registrierungsmodus mit PIN auswählen, wird das Feld Vorlage für Registrierungs-PIN eingeblendet, in dem Sie auf Registrierungs-PIN klicken.

    • Vorlage für Agentdownload: Wählen Sie die Downloadlinkvorlage Downloadlink. Diese Vorlage ist für alle unterstützten Plattformen vorgesehen.
    • Vorlage für Registrierungs-URL: Wählen Sie Registrierungseinladung.
    • Vorlage für Registrierungsbestätigung: Wählen Sie Registrierungsbestätigung.
    • Ablauf nach: Dieses Feld wird ausgefüllt, wenn Sie den Registrierungsmodus konfigurieren. Es gibt an, wann die Registrierung abläuft. Weitere Informationen zum Konfigurieren von Registrierungsmodi finden Sie unter Konfigurieren von Registrierungsmodi.
    • Maximale Versuche: Dieses Feld wird festgelegt, wenn Sie den Registrierungsmodus konfigurieren und gibt an, wie oft der Registrierungsprozess maximal ausgeführt wird.
    • Einladung senden: Wählen Sie EIN, um die Einladung sofort zu senden. Wählen Sie AUS, um die Einladung ohne zu senden in die Tabelle auf der Seite Registrierungseinladungen einzufügen.
  2. Klicken Sie auf Speichern und senden, wenn Sie Einladung senden ausgewählt haben. Klicken Sie andernfalls auf Speichern. Die Einladung wird in der Tabelle auf der Seite Registrierungseinladung aufgeführt.

    Abbildung der Registrierungseinladungstabelle

Zum Senden von Installationslinks für die Registrierung müssen Sie Kanäle (SMTP oder SMS) auf dem Benachrichtigungsserver über die Seite Einstellungen konfigurieren. Details finden Sie unter Benachrichtigungen.

Abbildung der Seite "Installationslink senden"

  1. Konfigurieren Sie die Einstellungen und klicken Sie auf Speichern.

    • Empfänger: Für jeden Empfänger, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
      • E-Mail: Geben Sie die E-Mail-Adresse des Empfängers ein. Diese Angabe ist erforderlich.
      • Telefonnummer: Geben Sie die Telefonnummer des Empfängers ein. Diese Angabe ist erforderlich.

      Hinweis:

      Zum Löschen eines Empfängers zeigen Sie auf dessen Zeile und klicken Sie auf das Papierkorbsymbol auf der rechten Seite. Ein Bestätigungsdialogfeld wird angezeigt. Klicken Sie auf Löschen zum Löschen des Eintrags oder auf Abbrechen, um ihn beizubehalten.

      Zum Bearbeiten eines Empfängers zeigen Sie auf dessen Zeile und klicken Sie auf das Stiftsymbol auf der rechten Seite. Nehmen Sie die gewünschten Änderungen am Eintrag vor und klicken Sie auf Speichern, um die Änderungen zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.

    • Kanäle: Wählen Sie den Kanal zum Senden des Installationslinks aus. Sie können Benachrichtigungen über SMTP oder SMS senden. Diese Kanäle werden erst aktiviert, wenn Sie die Servereinstellungen unter Benachrichtigungsserver auf der Seite Einstellungen konfiguriert haben. Details finden Sie unter Benachrichtigungen.
    • SMTP: Konfigurieren Sie die folgenden optionalen Einstellungen. Wenn Sie diese Felder nicht ausfüllen, werden die Standardwerte der Benachrichtigungsvorlage für die ausgewählte Plattform verwendet:
      • Absender: Geben Sie optional einen Absender ein.
      • Betreff: Geben Sie optional einen Betreff für die Benachrichtigung ein. Beispiel: “Registrieren Sie Ihr Gerät”.
      • Nachricht: Geben Sie optional eine Nachricht ein, die an den Empfänger gesendet werden soll. Beispiel: “Registrieren Sie Ihr Gerät für den Zugriff auf Unternehmens-Apps und -E-Mail”.
    • SMS: Konfigurieren Sie diese Einstellung. Wenn Sie dieses Feld nicht ausfüllen, wird der Standardwert der Benachrichtigungsvorlage für die ausgewählte Plattform verwendet:
      • Nachricht: Geben Sie eine Nachricht ein, die an die Empfänger gesendet werden soll. Dieses Feld ist für die Benachrichtigung per SMS erforderlich.

        In Nordamerika werden SMS-Nachrichten mit mehr als 160 Zeichen in mehrere Nachrichten aufgeteilt.

  2. Klicken Sie auf Senden.

    Hinweis:

    Wird in der Umgebung SAMAccountName verwendet, müssen Benutzer nach dem Erhalt der Einladung auf den Link klicken und dann den Benutzernamen ändern, um die Authentifizierung abzuschließen. Der Benutzername wird in der Form sAMAccountName@domainname.com angezeigt. Die Benutzer müssen den Teil @domainname.com entfernen.

Geräteregistrierungslimit

Endpoint Management enthält ein Standardregistrierungsprofil, mit dem Benutzer eine unbegrenzte Anzahl von Geräten registrieren können. Das Standardprofil heißt “Global”. Erstellen Sie Registrierungsprofile nur dann, wenn Sie die Anzahl der Geräte einschränken möchten, die Benutzer registrieren können. Sie weisen Registrierungsprofile Bereitstellungsgruppen zu.

Das Geräteregistrierungslimit gilt für die Servermodi ENT, MDM und MAM. Das Feature steht nur für iOS- und Android-Geräte zur Verfügung.

Wenn Ihre Endpoint Management-Bereitstellung COSU-Geräte enthält, registriert ein einzelner Endpoint Management-Administrator oder eine kleine Gruppe von Administratoren viele COSU-Geräte. Damit diese Administratoren alle erforderlichen Geräte registrieren können, erstellen Sie für sie ein Registrierungsprofil unter Zulassung einer unbegrenzten Anzahl an Geräten pro Benutzer. Weitere Informationen finden Sie unter Hinzufügen eines COSU-Registrierungsprofils im Artikel “Android Enterprise”.

  1. Navigieren Sie zu Konfigurieren > Registrierungsprofile. Das Standardprofil “Global” wird angezeigt.

    Abbildung des Standardprofils "Global"

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite Registrierungsinfo einen Namen für das Registrierungsprofil ein und wählen Sie dann die Anzahl der Geräte aus, die Mitglieder mit diesem Profil registrieren können.

    Abbildung der Registrierungsinfo

  3. Klicken Sie auf Weiter. Die Seite Bereitstellungsgruppenzuweisung wird angezeigt.

    Abbildung der Seite "Bereitstellungsgruppenzuweisung"

  4. Wählen Sie die Bereitstellungsgruppen für das Registrierungsprofil und klicken Sie auf Speichern.

    Die Seite Bereitstellungsgruppen wird angezeigt.

    Abbildung der Seite "Bereitstellungsgruppen"

    Zum Ändern der einer Bereitstellungsgruppe zugeordneten Registrierungsprofile klicken Sie unter Konfigurieren > Bereitstellungsgruppen auf Registrierungsprofile.

    Abbildung der Seite "Registrierungsprofile"

Benutzererfahrung mit einem Geräteregistrierungslimit

Wenn Sie das Geräteregistrierungslimit festlegen, können Benutzer ein neues Gerät mit den folgenden Schritten registrieren:

  1. Melden Sie sich bei Secure Hub an.

  2. Geben Sie eine Serveradresse für die Registrierung ein.

  3. Geben Sie die Anmeldeinformationen ein.

  4. Bei Erreichen des Gerätelimits wird eine entsprechende Fehlermeldung angezeigt.

    Abbildung des Bildschirms zur Registrierung bei Secure Hub

    Der Bildschirm zur Registrierung bei Secure Hub wird erneut angezeigt.

Sicherheitsaktionen

Auf der Seite Verwalten > Geräte können Sie Sicherheitsaktionen für Geräte und Apps durchführen. Zu den Geräteaktionen gehören Widerrufen, Sperren, Entsperren und Löschen. Zu den App-Sicherheitsaktionen gehören Sperren und Löschen.

  • Aktivierungssperre umgehen: entfernt die Aktivierungssperre auf betreuten iOS-Geräten vor der Geräteaktivierung. Dieser Befehl erfordert keine persönliche Apple-ID und kein Kennwort seitens des Benutzers.

  • App-Sperre: verhindert den Zugriff auf alle Apps auf einem Gerät. Auf Android-Geräten können Benutzer sich nach Eintreten einer App-Sperre nicht bei Endpoint Management anmelden. Unter iOS können Benutzer sich anmelden, jedoch nicht auf Apps zugreifen.

  • App löschen: Diese Option löscht auf Android-Geräten das Benutzerkonto aus Endpoint Management. Unter iOS löscht sie das Benutzerkonto in Secure Hub.

  • ASM-DEP-Aktivierungssperre: erstellt einen Code zum Umgehen der Aktivierungssperre für beim Apple School Manager-DEP registrierte iOS-Geräte.

  • Einschränkungen deaktivieren: Dieser Befehl ermöglicht auf betreuten iOS-Geräten das Deaktivieren des vom Benutzer festgelegten Einschränkungskennworts und der Einschränkungseinstellungen durch Endpoint Management.

  • Modus ‘Verloren’ aktivieren: versetzt betreute iOS-Geräte in den Modus “Verloren” und sendet eine Nachricht, Telefonnummer und Fußnote an das Gerät zur Anzeige. Mit “Modus ‘Verloren’ deaktivieren” wird der Modus “Verloren” auf Geräten wieder aufgehoben.

  • Vollständig löschen: löscht sofort alle Daten und Apps von Geräten, einschließlich Speicherkarten.

    • Bei Android-Geräten kann diese Anforderung auch die Option zum Löschen von Daten auf Speicherkarten umfassen.

    • Bei iOS-, macOS- und tvOS-Geräten erfolgt die Löschung sofort, selbst wenn ein Gerät gesperrt ist.

      Für iOS 11-Geräte (Mindestversion): Wenn Sie die vollständige Löschung bestätigen, können Sie entscheiden, ob Sie den Mobilfunktarif auf dem Gerät beibehalten.

      Für iOS 11.3-Geräte (Mindestversion): Wenn Sie die vollständige Löschung bestätigen, können Sie verhindern, dass iOS-Geräte ein Proximity Setup durchführen. Bei der Einrichtung eines neuen iOS-Geräts können die Benutzer normalerweise ein bereits konfiguriertes iOS-Gerät nutzen. Sie können das Proximity Setup für Geräte deaktivieren, die von Endpoint Management verwaltet und gelöscht wurden.

    • Bei Windows Phone-Geräten werden durch eine vollständige Löschung sämtliche Endpoint Management-Informationen sowie alle Benutzerdaten, einschließlich persönlicher Inhalte wie Apps, E-Mail, Kontakte und Medien, gelöscht.

    • Nach einer Datenlöschung auf Geräten mit Windows Mobile 6 oder einer älteren Windows Mobile-Version muss das Gerät u. U. zum Laden des ursprünglichen Betriebssystems und/oder der ursprünglichen Software an den Hersteller zurückgeschickt werden.

    • Wenn der Benutzer das Gerät ausschaltet, bevor der Inhalt der Speicherkarte gelöscht ist, kann er möglicherweise weiterhin auf Gerätedaten zugreifen.

    • Sie können die Löschanforderung noch so lange abbrechen, bis sie an das Gerät gesendet wurde.

  • Suchen: dient zur Suche nach einem Gerät und zeigt den Gerätestandort einschließlich Karte auf der Seite Verwalten > Geräte unter Gerätedetails > Allgemein an.

  • Sperren: dient zur Remotesperrung von Geräten. Diese Option ist nützlich, wenn ein Gerät verloren wurde, Sie aber nicht sicher sind, ob es gestohlen wurde. Endpoint Management generiert dann einen PIN-Code und stellt ihn für das Gerät ein. Für den Zugriff auf das Gerät muss die PIN eingegeben werden. Verwenden Sie Sperren abbrechen, um ein Gerät über die Endpoint Management-Konsole zu entsperren.

  • Sperren und Kennwort zurücksetzen: sperrt Geräte remote und setzt das Kennwort zurück.

  • Benachrichtigen (Klingeln): gibt einen Ton auf Android-Geräten aus.

  • Neu starten: startet Windows 10-Geräte neu. Bei Windows-Tablets und -PCs erscheint die Meldung “System wird bald neu gestartet” und der Neustart erfolgt fünf Minuten später. Bei Windows Phone erfolgt der Neustart nach einigen Minuten ohne Warnung der Benutzer.

  • AirPlay-Synchronisierung anfordern/AirPlay-Synchronisierung beenden: startet bzw. beendet die AirPlay-Synchronisierung auf betreuten iOS-Geräten.

  • Neu starten/Herunterfahren: startet betreute iOS-Geräte sofort bzw. fährt sie sofort herunter.

  • Widerrufen: Verhindert die Verbindung zwischen Geräten und Endpoint Management.

  • Sperren/Autorisieren (iOS, macOS): führt die gleichen Aktionen aus wie “Selektiv löschen”. Nach einer Sperrung können Sie Geräte neu autorisieren, um sie erneut zu registrieren.

  • Klingeln: spielt einen Ton auf betreuten iOS-Geräten ab, wenn diese im Modus “Verloren” sind. Der Ton wird abgespielt, bis Sie den Modus “Verloren” des Geräts deaktivieren oder der Benutzer den Ton deaktiviert.

  • Selektiv löschen: löscht alle Unternehmensdaten und -Apps von Geräten, private Daten und Apps bleiben erhalten. Nach einer selektiven Löschung kann der Benutzer das Gerät erneut registrieren.

    • Beim selektiven Löschen auf einem Android-Gerät wird dieses nicht von Device Manager und dem Unternehmensnetzwerk getrennt. Um zu verhindern, dass das Gerät auf Device Manager zugreift, müssen Sie außerdem die Gerätezertifikate widerrufen.
    • Bei Geräten mit aktivierter Samsung KNOX-API wird beim selektiven Löschen auch der Samsung KNOX-Container entfernt.
    • Bei iOS- und Mac OS-Geräten werden mit diesem Befehl sämtliche über MDM installierten Profile entfernt.
    • Auf Windows-Geräten wird beim selektiven Löschen auch der Inhalt des Profilordners aller gerade bei dem Gerät angemeldeter Benutzer entfernt. Webclips, die Sie den Benutzern über eine Konfiguration bereitstellen, werden beim selektiven Löschen nicht entfernt. Zum Entfernen von Webclips müssen die Benutzer die Registrierung ihres Geräts manuell aufheben. Geräte, auf denen eine selektive Löschung durchgeführt wurde, können nicht erneut registriert werden.
    • Beim selektiven Löschen auf Windows Phone-Geräten wird das Unternehmenstoken entfernt, das die Installation von Apps auf dem Gerät durch Endpoint Management ermöglicht. Außerdem werden alle Endpoint Management-Zertifikate und -Konfigurationen von den Geräten entfernt. Windows Phone-Geräte, auf denen eine selektive Löschung durchgeführt wurde, können nicht erneut registriert werden.
    • Android-Geräte werden durch eine selektive Löschung widerrufen und können erst wieder registriert werden, nachdem sie erneut autorisiert oder von der Konsole gelöscht wurden.
  • Entsperren: löscht den Passcode, der beim Sperren an das Gerät gesendet wurde. Mit dem Befehl wird das Gerät nicht entsperrt.

Auf der Seite Verwalten > Geräte werden unter Gerätedetails außerdem Sicherheitseigenschaften aufgeführt. Dazu gehören Starke ID, Gerätesperrung, Umgehen der Aktivierungssperre und weitere plattformspezifische Informationen. Das Feld Gerät vollständig löschen enthält den Benutzer-PIN-Code. Der Benutzer muss den Code eingeben, anschließend erfolgt die Löschung. Wenn der Benutzer den Code vergessen hat, können Sie ihn hier nachsehen.

Sicherheitsaktionen für Android-Geräte

Sicherheitsaktion Android (außer für Android Enterprise-Geräte) Android Enterprise (BYOD) Android Enterprise (Unternehmensbesitz)
App-Sperre Ja Nein Nein
App löschen Ja Nein Nein
Vollständig löschen Ja Nein Ja
Suchen Ja: Bei Geräten mit Android 6.0 und höher muss der Benutzer zur Verwendung der Suchfunktion bei der Registrierung eine Suchberechtigung erteilt haben. Der Benutzer kann das Erteilen der Berechtigung ablehnen. Wenn der Benutzer die Berechtigung bei der Registrierung nicht erteilt hat, fordert Endpoint Management sie beim Senden des Suchbefehls noch einmal an. Ja: Bei Geräten mit Android 6.0 und höher muss der Benutzer zur Verwendung der Suchfunktion bei der Registrierung eine Suchberechtigung erteilt haben. Der Benutzer kann das Erteilen der Berechtigung ablehnen. Wenn der Benutzer die Berechtigung bei der Registrierung nicht erteilt hat, fordert Endpoint Management sie beim Senden des Suchbefehls noch einmal an. Ja: Bei Geräten mit Android 6.0 und höher muss der Benutzer zur Verwendung der Suchfunktion bei der Registrierung eine Suchberechtigung erteilt haben. Der Benutzer kann das Erteilen der Berechtigung ablehnen. Wenn der Benutzer die Berechtigung bei der Registrierung nicht erteilt hat, fordert Endpoint Management sie beim Senden des Suchbefehls noch einmal an.
Sperren Ja Ja Ja
Lock and Reset Password Ja Nein Ja
Notify (Ring) Ja Ja Ja
Widerrufen Ja Ja Ja
Selektiv löschen Ja Ja Nein

Sicherheitsaktionen für iOS-, macOS- und tvOS-Geräte

Sicherheitsaktion iOS macOS tvOS
Aktivierungssperre umgehen Ja Nein Nein
App-Sperre Ja Nein Nein
App löschen Ja Nein Nein
ASM-DEP-Aktivierungssperre Ja Nein Nein
Einschränkungen deaktivieren Ja Nein Nein
Modus “Verloren” aktivieren/deaktivieren Ja Nein Nein
Tracking aktivieren/deaktivieren Ja Nein Nein
Vollständig löschen Ja Ja Ja
Suchen Ja Nein Nein
Sperren Ja Ja Nein
Klingeln Ja Ja Nein
AirPlay-Synchronisierung anfordern/beenden Ja Nein Nein
Neustart/Herunterfahren Ja Nein Ja (Neustart)
Wiederrufen/Autorisieren Ja Ja Ja
Selektiv löschen Ja Ja Nein
Entsperren Ja Nein Nein

Weitere Informationen zu Sicherheitsaktionen für geteilte iPads finden Sie unter Sicherheitsaktionen für geteilte iPads.

Sicherheitsaktionen für Windows-Geräte

Sicherheitsaktion Windows Phone 10 Windows Tablet 10 Windows Phone 8.1
Suchen Ja Ja Nein
Sperren Ja Ja Ja
Lock and Reset Password Ja Nein Ja
Führen Sie einen Neustart aus. Ja Ja Nein
Widerrufen Ja Ja Ja
Klingeln Ja Nein Ja
Selektiv löschen Ja Ja Ja
Löschen Ja Nein Ja

Der Rest dieses Artikels enthält Anweisungen zum Ausführen diverser Sicherheitsaktionen. Sie können einige Aktionen automatisieren. Weitere Informationen hierzu finden Sie unter Automatisierte Aktionen.

Sperren von iOS-Geräten

Sie können ein verlorenes iOS-Gerät sperren und eine entsprechende Nachricht und Telefonnummer auf dem Sperrbildschirm anzeigen lassen. Dieses Feature wird für iOS 7-Geräte und höher unterstützt.

Zum Anzeigen einer Nachricht und Telefonnummer auf einem gesperrten Gerät muss die Richtlinie Passcode in der Endpoint Management-Konsole auf wahr festgelegt werden. Alternativ können Benutzer den Passcode auf dem Gerät auch manuell aktivieren.

  1. Klicken Sie auf Verwalten > Geräte. Die Seite Geräte wird angezeigt.

    Abbildung der Seite "Geräte"

  2. Wählen Sie das iOS-Gerät aus, das Sie sperren möchten.

    Aktivieren Sie das Kontrollkästchen neben einem Gerät, um das Menü mit den Optionen oberhalb der Liste anzuzeigen. Klicken Sie an eine andere Stelle in der Liste, um das Menü mit den Optionen rechts daneben anzuzeigen.

    Abbildung des Menüs "Optionen"

    Abbildung des Menüs "Optionen"

  3. Wählen Sie im Menü “Optionen” die Option Sicherheit. Das Dialogfeld Sicherheitsaktionen wird angezeigt.

    Abbildung des Dialogfelds "Sicherheitsaktionen"

  4. Klicken Sie auf Sperren. Das Bestätigungsdialogfeld Sicherheitsaktionen wird angezeigt.

    Abbildung der Sicherheitsaktionenbestätigung

  5. Geben Sie optional eine Meldung und Telefonnummer ein, die auf dem Sperrbildschirm des Geräts angezeigt werden sollen.

    iPads ab iOS 7: iOS hängt die Wörter “Lost iPad” an alles an, was Sie im Feld Nachricht eingeben.

    iPhones ab iOS 7: Wenn Sie das Feld Nachricht leer lassen und eine Telefonnummer angeben, wird die Meldung “Besitzer anrufen” auf dem Sperrbildschirm des Geräts angezeigt.

  6. Klicken Sie auf Gerät sperren.

Entfernen von Geräten aus der Endpoint Management-Konsole

Wichtig:

Wenn Sie ein Gerät aus der Endpoint Management-Konsole entfernen, verbleiben verwaltete Apps und Daten auf dem Gerät. Informationen zum Entfernen verwalteter Apps und Daten Geräten finden Sie weiter unten in diesem Artikel unter “Löschen von Geräten”.

Zum Entfernen eines Geräts aus der Endpoint Management-Konsole navigieren Sie zu Verwalten > Geräte, wählen Sie ein verwaltetes Gerät und klicken Sie auf Löschen.

Abbildung der Option "Löschen"

Durchführen einer selektiven Löschung

  1. Navigieren Sie zu Verwalten > Geräte, wählen Sie ein verwaltetes Gerät aus und klicken Sie auf Sicherheit.

  2. Klicken Sie unter Sicherheitsaktionen auf Selektiv löschen.

  3. Android-Geräte: Klicken Sie nach der Datenlöschung auf Sicherheitsaktionen > Widerrufen, um das Gerät vom Unternehmensnetzwerk zu trennen.

    Wenn Sie die Löschanforderung vor deren Ausführung zurücknehmen möchten, klicken Sie auf Sicherheitsaktionen > Selektives Löschen abbrechen.

Löschen von Geräten

Bei diesem Vorgang werden verwaltete Anwendungen und Daten aus dem Gerät entfernt und das Gerät aus der Liste der Geräte der Endpoint Management-Konsole gelöscht.

  1. Navigieren Sie zu Verwalten > Geräte, wählen Sie ein verwaltetes Gerät aus und klicken Sie auf Sicherheit.

  2. Klicken Sie auf Selektiv löschen. Wenn Sie dazu aufgefordert werden, klicken Sie auf Selektives Löschen durchführen.

  3. Um sich zu vergewissern, dass der Löschbefehl erfolgreich war, aktualisieren Sie die Seite Verwalten > Geräte. Eine gelbe Färbung für MDM und MAM in der Spalte Modus zeigt an, dass der Löschbefehl erfolgreich war.

    Abbildung eines erfolgreichen Löschbefehls

  4. Wählen Sie auf der Seite Verwalten > Geräte ein verwaltetes Gerät aus und klicken Sie auf Löschen. Wenn Sie dazu aufgefordert werden, klicken Sie erneut auf Löschen.

Sperren, Entsperren, Löschen und Aufheben der Löschung von Apps

  1. Navigieren Sie zu Verwalten > Geräte, wählen Sie ein verwaltetes Gerät aus und klicken Sie auf Sicherheit.

  2. Klicken Sie unter Sicherheitsaktionen auf die App-Aktion.

    Sie können im Feld Sicherheitsaktionen auch den Status eines Geräts für einen Benutzer überprüfen, dessen Konto deaktiviert oder aus Active Directory gelöscht wurde. Wenn die Aktionen “App-Sperre aufheben” oder “Löschen der Apps rückgängig machen” vorhanden sind, gibt es Apps, die gesperrt oder gelöscht wurden.

Versetzen von iOS-Geräten in den Modus “Verloren”

Die Geräteeigenschaft “Endpoint Management-Modus ‘Verloren’” versetzt iOS-Geräte in den Modus “Verloren”. Im Gegensatz zum von Appple verwalteten Modus “Verloren” muss ein Benutzer beim Modus “Verloren” in Endpoint Management keine der folgenden Aktionen ausführen, um sein Gerät zu suchen: Konfigurieren der Einstellung “Find My iPhone/iPad” oder Aktivieren der Ortungsdienste für Citrix Secure Hub.

Im Endpoint Management-Modus “Verloren” kann ein Gerät nur über Endpoint Management entsperrt werden. (Wenn Sie hingegen das Endpoint Management-Feature zum Sperren von Geräten verwenden, können die Benutzer Geräte direkt durch Eingabe eines von Ihnen bereitgestellten PIN-Codes entsperren.)

Aktivieren oder Deaktivieren des Modus “Verloren”: Gehen Sie zu Verwalten > Geräte, wählen Sie ein betreutes iOS-Gerät aus und klicken Sie auf Sicherheit. Klicken Sie dann auf Modus ‘Verloren’ aktivieren oder Modus ‘Verloren’ deaktivieren.

Abbildung der Optionen für den Modus "Verloren"

Wenn Sie auf Modus ‘Verloren’ aktivieren klicken, geben Sie die Informationen ein, die auf dem Gerät angezeigt werden sollen, wenn es im Modus “Verloren” ist.

Bild der Informationen, die auf einem Gerät angezeigt werden

Verwenden Sie eine der folgenden Methoden, um den Status des Modus “Verloren” zu überprüfen:

  • Überprüfen Sie im Fenster Sicherheitsaktionen, ob die Schaltfläche auf Modus ‘Verloren’ deaktivieren gesetzt ist.
  • Zeigen Sie über Verwalten > Geräte auf der Registerkarte Allgemein unter Sicherheit die letzte Aktion zum Aktivieren oder Deaktivieren des Modus “Verloren” an.

Abbildung der Registerkarte "Allgemein"

  • Überprüfen Sie unter Verwalten > Geräte auf der Registerkarte Eigenschaften, ob die Einstellung MDM-Modus “Verloren” aktiviert richtig festgelegt ist.

Abbildung der Einstellung "MDM-Modus "Verloren" aktiviert"

Wenn Sie den Endpoint Management-Modus “Verloren” auf iOS-Geräten aktivieren, ändert sich die Endpoint Management-Konsole wie folgt:

  • In der über Konfigurieren > Aktionen aufgerufenen Liste Aktionen sind die folgenden automatisierten Aktionen nicht enthalten: Gerät widerrufen, Gerät selektiv löschen und Gerät vollständig löschen.
  • In der über Verwalten > Geräte aufgerufenen Liste Sicherheitsaktionen sind die Geräteaktionen Widerrufen und Selektiv löschen nicht mehr enthalten. Sie können weiterhin eine Sicherheitsaktion verwenden, um die Aktion Vollständig löschen nach Bedarf auszuführen.

iPads ab iOS 7: iOS hängt die Wörter “Lost iPad” an alles an, was Sie im Feld Nachricht des Bildschirms Sicherheitsaktionen eingeben.

iPhones ab iOS 7: Wenn Sie das Feld Nachricht leer lassen und eine Telefonnummer angeben, wird die Meldung “Besitzer anrufen” auf dem Sperrbildschirm des Geräts angezeigt.

Umgehen einer iOS-Aktivierungssperre

Die Aktivierungssperre ist ein Feature von “Mein iPhone/iPad suchen”, mit dem das Reaktivieren von verlorenen oder gestohlenen betreuten Geräten verhindert wird. Die Aktivierungssperre erfordert die Eingabe der Apple-ID und des Benutzerkennworts, bevor ein beliebiger Benutzer “Mein iPhone/iPad suchen” deaktivieren, die Daten auf dem Gerät löschen oder das Gerät neu aktivieren kann. Für Geräte im Besitz Ihres Unternehmens kann ein Umgehen der Aktivierungssperre erforderlich sein, um Geräte zurückzusetzen oder neu zuzuweisen.

Zum Aktivieren der Aktivierungssperre müssen Sie die Endpoint Management-Geräterichtlinie “MDM-Optionen” konfigurieren und bereitstellen. Sie können dann ein Gerät über die Endpoint Management-Konsole ohne die Apple-Anmeldeinformationen des Benutzers verwalten. Um die erforderliche Eingabe der Apple-Anmeldeinformationen bei einer Aktivierungssperre zu umgehen, geben Sie die Sicherheitsaktion “Aktivierungssperre umgehen” auf der Endpoint Management-Konsole ein.

Nehmen wir folgendes Beispiel: Ein Benutzer bringt ein verlorenes Telefon zurück oder möchte ein Gerät vor oder nach einem vollständigen Löschen einrichten. Die dabei geforderte Eingabe der Anmeldeinformationen für das iTunes-Konto können Sie umgehen, indem Sie die Sicherheitsaktion “Aktivierungssperre umgehen” auf der Endpoint Management-Konsole aktivieren.

Geräteanforderungen für das Umgeben der Aktivierungssperre

  • iOS 7.1 (Mindestversion)
  • Betreuter Modus mit Apple Configurator oder Apple DEP
  • Konfiguration mit iCloud-Konto
  • “Mein iPhone/iPad suchen” ist aktiviert
  • Bei Endpoint Management registriert
  • Bereitgestellte Geräterichtlinie “MDM-Optionen” mit aktivierter Aktivierungssperre

Umgehen einer Aktivierungssperre vor dem vollständigen Löschen eines Geräts:

  1. Wählen Sie unter Verwalten > Geräte das Gerät, klicken Sie auf Sicherheit und dann auf Aktivierungssperre umgehen.
  2. Löschen Sie das Gerät. Die Aktivierungssperre wird während des Gerätesetups nicht angezeigt.

Umgehen einer Aktivierungssperre nach dem vollständigen Löschen eines Geräts:

  1. Setzen Sie das Gerät zurück oder löschen Sie es. Die Aktivierungssperre wird während des Gerätesetups angezeigt.
  2. Wählen Sie unter Verwalten > Geräte das Gerät, klicken Sie auf Sicherheit und dann auf Aktivierungssperre umgehen.
  3. Tippen Sie auf dem Gerät auf die Taste “Zurück”. Der Homebildschirm wird angezeigt.

Berücksichtigen Sie dabei Folgendes:

  • Fordern Sie die Benutzer auf, “Mein iPhone/iPad suchen” nicht zu deaktivieren. Löschen Sie das Gerät nicht vollständig. In beiden Fällen wird der Benutzer aufgefordert, das Kennwort des iCloud-Kontos einzugeben. Nach der Kontovalidierung wird dem Benutzer kein Bildschirm zum Aktivieren des iPhones/iPads angezeigt, nachdem alle Inhalte und Einstellungen gelöscht wurden.
  • Für Geräte mit generiertem Code zum Umgehen der Aktivierungssperre und aktivierter Aktivierungssperre: Wenn Sie das Gerät vollständig löschen und danach die Aktivierungsseite für das iPhone/iPad nicht umgehen können, müssen Sie das Gerät nicht aus Endpoint Management löschen. Sie oder der Benutzer können sich direkt an den Apple-Support wenden, um das Gerät entsperren zu lassen.
  • Während einer Hardwareinventur ruft Endpoint Management den Code zum Umgehen der Aktivierungssperre von einem Gerät ab. Wenn ein Umgehungscode verfügbar ist, wird er vom Gerät an Endpoint Management gesendet. Um den Umgehungscode dann vom Gerät zu entfernen, aktivieren Sie auf der Endpoint Management-Konsole die Sicherheitsaktion “Aktivierungssperre umgehen”. Damit haben Endpoint Management und Apple den erforderlichen Umgehungscode, um das Gerät zu entsperren.
  • Die Sicherheitsaktion “Aktivierungssperre umgehen” stützt sich auf die Verfügbarkeit eines Apple-Diensts. Wenn die Aktion nicht funktioniert, können Sie ein Gerät auf folgende Weise entsperren. Geben Sie auf dem Gerät manuell die Anmeldeinformationen des iCloud-Kontos ein. Alternativ können Sie das Feld “Benutzername” leer lassen und den Umgehungscode im Feld “Kennwort” eingeben. Zum Ermitteln der Umgehungscodes wählen Sie das Gerät unter Verwalten > Geräte aus, klicken auf Bearbeiten und dann auf Eigenschaften. Der Code zum Umgehen der Aktivierungssperre steht unter Sicherheitsinformationen.

Gemeinsam genutzte Geräte

Endpoint Management ermöglicht die Konfiguration von Geräten, die von mehreren Benutzern verwendet werden können. Ärzte in Krankenhäusern können so beispielsweise das jeweils nächstgelegene Gerät für den Zugriff auf Apps und Daten nutzen, anstatt ein bestimmtes Gerät mit sich herumtragen zu müssen. Die gemeinsame Gerätenutzung kann auch für Personal im Außendienst eingeführt werden, um Ausrüstungskosten zu senken.

Wichtige Hinweise zur gemeinsamen Gerätenutzung

Sie können alle unterstützten iOS- und Android-Geräte als gemeinsam genutzte Geräte verwenden. Eine Liste der unterstützten Geräte finden Sie unter Unterstützte Gerätebetriebssysteme.

MDM-Modus

  • Auf iOS- und Android-Tablets und -Telefonen verfügbar. Die einfache Registrierung per Device Enrollment Program (DEP) wird für gemeinsam genutzte Geräte unter Endpoint Management Enterprise nicht unterstützt. In diesem Modus ist für gemeinsam genutzte Geräte ein autorisiertes DEP erforderlich.
  • Clientzertifikatauthentifizierung, Citrix PIN, Touch ID, Benutzerentropie und zweistufige Authentifizierung werden nicht unterstützt.

MDM+MAM-Modus

  • Nur auf iOS- und Android-Tablets verfügbar.
  • Nur die Authentifizierung mit Active Directory-Benutzernamen und Kennwort wird unterstützt.
  • Clientzertifikatauthentifizierung, Worx-PIN, Touch ID, Benutzerentropie und zweistufige Authentifizierung werden nicht unterstützt.
  • Der MAM-Only-Modus wird nicht unterstützt. Die Geräte müssen in MDM registriert werden.
  • Nur Secure Mail, Secure Web und die mobile App für Citrix Files werden unterstützt. HDX-Apps werden nicht unterstützt.
  • Es werden nur Active Directory-Benutzer unterstützt, keine lokalen Benutzer und Gruppen.
  • Eine erneute Registrierung vorhandener und nur per MDM verwalteter gemeinsam genutzter Geräte ist erforderlich, um ein Update auf den MDM+MAM-Modus durchzuführen
  • Die Benutzer können nur mobile Produktivitätsapps von Citrix und mit MDX umschlossene Apps gemeinsam nutzen. Native Apps können nicht gemeinsam genutzt werden.
  • Nach dem Download während der Erstregistrierung werden mobile Produktivitätsapps von Citrix nicht jedes Mal neu heruntergeladen, wenn sich ein neuer Benutzer am Gerät anmeldet. Ein neuer Benutzer kann sich einfach am Gerät anmelden und loslegen.
  • Damit Sie unter Android die Daten der einzelnen Benutzer für Sicherheitszwecke isolieren können, muss die Richtlinie für die Unzulässigkeit von Geräten mit Rooting in der Endpoint Management-Konsole auf Ein festgelegt sein.

Voraussetzungen für die Registrierung gemeinsam genutzter Geräte

Vor dem Registrieren gemeinsam genutzter Geräte müssen Sie die folgenden Schritte ausführen:

Voraussetzungen für MDM+MAM-Modus

  1. Erstellen Sie eine Active Directory-Gruppe mit einem aussagekräftigen Namen. In diesem Beispiel wird Shared Device Enrollers verwendet.
  2. Fügen Sie der Gruppe Active Directory-Benutzer hinzu, die gemeinsam genutzte Geräte registrieren. Wenn Sie für diesen Zweck ein neues Konto verwenden möchten, erstellen Sie einen neuen Active Directory-Benutzer (z. B. sdenroll) und fügen Sie den Benutzer der Active Directory-Gruppe hinzu.

Konfigurieren eines gemeinsam genutzten Geräts

Mit den folgenden Schritten konfigurieren Sie ein gemeinsam genutztes Gerät.

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.
  2. Klicken Sie auf Rollenbasierte Zugriffssteuerung und dann auf Hinzufügen. Die Seite Rolle hinzufügen wird angezeigt.
  3. Erstellen Sie eine Benutzerrolle für die Registrierung gemeinsam genutzter Geräte namens Registrierungsbenutzer für gemeinsam genutzte Geräte mit den Berechtigungen Registrierung für gemeinsam genutzte Geräte unter Autorisierter Zugriff. Erweitern Sie Geräte unter Konsolenfeatures und wählen Sie Gerät selektiv löschen aus. Mit dieser Einstellung wird sichergestellt, dass die über das Konto “Registrierungsbenutzer für gemeinsam genutzte Geräte” bereitgestellten Apps und Richtlinien von Secure Hub gelöscht werden, wenn die Registrierung des Geräts aufgehoben wird.

    Behalten Sie die Standardeinstellung Auf alle Benutzergruppen für Berechtigungen anwenden bei oder weisen Sie bestimmten Active Directory-Benutzergruppen Berechtigungen mit der Option Auf bestimmte Benutzergruppen zu.

    Abbildung der Optionen für "Berechtigungen anwenden"

    Klicken Sie auf Weiter, um den Bildschirm Zuweisung anzuzeigen. Weisen Sie die Registrierungsrolle für gemeinsam genutzte Geräte, die Sie gerade erstellt haben, der Active Directory-Gruppe zu, die Sie für Registrierungsbenutzer für gemeinsam genutzte Geräte in Schritt 1 unter “Voraussetzungen” erstellt haben. In der Abbildung unten ist citrix.lab die Active Directory-Domäne und Shared Device Enrollers ist die Active Directory-Gruppe.

    Abbildung des Zuweisungsbildschirms

  4. Erstellen Sie eine Bereitstellungsgruppe mit den grundlegenden Richtlinien, Apps und Aktionen, die für das Gerät gelten sollen, wenn kein Benutzer angemeldet ist, und weisen Sie die Bereitstellungsgruppe der Active Directory-Gruppe für die Registrierung des gemeinsam genutzten Geräts zu.

    Abbildung der Bereitstellungsgruppeneinstellungen

  5. Installieren Sie Secure Hub auf dem gemeinsam genutzten Gerät und registrieren Sie es in Endpoint Management mit dem Benutzerkonto für die Registrierung des gemeinsam genutzten Geräts. Sie können das Gerät nun über die Endpoint Management-Konsole anzeigen und verwalten. Weitere Informationen finden Sie unter Registrieren von Geräten.

  6. Zum Anwenden unterschiedlicher Richtlinien oder zum Bereitstellen zusätzlicher Apps für authentifizierte Benutzer müssen Sie eine diesen Benutzern zugewiesene Bereitstellungsgruppe erstellen und sie nur auf gemeinsam genutzten Geräten bereitstellen. Konfigurieren Sie beim Erstellen der Bereitstellungsgruppen Bereitstellungsregeln, um sicherzustellen, dass sie für gemeinsam genutzte Geräte bereitgestellt werden. Weitere Informationen finden Sie unter Bereitstellen von Ressourcen.

  7. Zum Beenden der gemeinsamen Gerätenutzung führen Sie einen selektiven Löschvorgang durch, um das Benutzerkonto für die Registrierung des gemeinsam genutzten Geräts zusammen mit allen bereitgestellten Apps und Richtlinien von dem Gerät zu löschen.

Benutzererfahrung bei gemeinsam genutzten Geräten

MDM-Modus

Jedem Benutzer werden nur die ihm verfügbaren Ressourcen angezeigt und seine Benutzererfahrung ist auf jedem gemeinsam genutzten Gerät gleich. Die Richtlinien und Apps für gemeinsam genutzte Geräte bleiben immer auf dem Gerät. Wenn ein Benutzer, der nicht für gemeinsam genutzte Geräte registriert ist, sich bei Secure Hub anmeldet, werden die Richtlinien und Apps des Benutzers auf dem Gerät bereitgestellt. Wenn sich der Benutzer abmeldet, werden die Richtlinien und Apps entfernt, die sich von denen unterscheiden, die bei der Registrierung als gemeinsam genutztes Gerät bereitgestellt werden, während die Ressourcen des gemeinsam genutzten Geräts intakt bleiben.

MDM+MAM-Modus

Secure Mail und Secure Web werden auf dem Gerät bereitgestellt, wenn die Registrierung von dem Benutzer für gemeinsam genutzte Geräte durchgeführt wird. Die Benutzerdaten werden sicher auf dem Gerät gespeichert. Die Daten werden anderen Benutzern nicht angezeigt, wenn sie sich bei Secure Mail oder Secure Web anmelden.

Es kann sich nur jeweils ein Benutzer bei Secure Hub anmelden. Der vorherige Benutzer muss sich abmelden, bevor der nächste Benutzer sich anmelden kann. Aus Sicherheitsgründen speichert Secure Hub keine Anmeldeinformationen auf gemeinsam genutzten Geräten, sodass Benutzer ihre Anmeldeinformationen bei jeder Anmeldung eingeben müssen. Damit ein neuer Benutzer nicht auf die Ressourcen des vorherigen zugreifen kann, lässt Secure Hub nicht zu, dass neue Benutzer sich während des Entfernens der Richtlinien, Apps und Daten des vorherigen Benutzers anmelden.

Der Upgradevorgang für Apps ändert sich bei gemeinsam genutzten Geräten nicht. Sie können Upgrades wie gewohnt Benutzern gemeinsam genutzter Geräte per Push bereitstellen und Benutzer können Upgrades von Apps direkt auf ihren Geräten durchführen.

Empfohlene Richtlinien für Secure Mail

  • Für die optimale Leistung von Secure Mail legen Sie denmaximalen Synchronisierungszeitraum basierend auf der Anzahl der Benutzer fest, die das Gerät gemeinsam verwenden. Das Zulassen unbegrenzter Synchronisierungen wird nicht empfohlen.
Anzahl Benutzer, die Gerät gemeinsam verwenden Empfohlener maximaler Synchronisierungszeitraum
21–25 1 Woche oder weniger
6–20 2 Wochen oder weniger
5 oder weniger 1 Monat oder weniger
  • Blockieren Sie das Exportieren von Kontakten, damit Benutzer, die das Gerät gemeinsam verwenden, nicht auf die Kontakte der anderen Benutzer zugreifen können.

  • Auf iOS können nur die folgenden Einstellungen pro Benutzer festgelegt werden. Alle anderen Einstellungen gelten für alle Benutzer, die das Gerät gemeinsam verwenden:

    • Benachrichtigungen
    • Signatur
    • Abwesend
    • E-Mail-Synchronisierungszeitraum
    • S/MIME
    • Rechtschreibprüfung

Informationen über über Geräte abrufen

In der Endpoint Management-Datenbank wird eine Liste der Mobilgeräte gespeichert. Jedes Mobilgerät ist durch eine eindeutige Seriennummer oder eine IMEI (International Mobile Station Equipment Identity) bzw. einen MEID (Mobile Equipment Identifier) gekennzeichnet. Sie können der Endpoint Management-Konsole Geräte manuell hinzufügen oder eine Liste mit Geräten aus einer Datei importieren. Weitere Informationen zu Dateiformaten für das Geräteprovisioning finden Sie unter Geräte-Provisioningdateiformate weiter unten in diesem Artikel.

Auf der Seite Verwalten > Geräte der Endpoint Management-Konsole werden alle Geräte mit folgenden Informationen aufgelistet:

  • Status (Symbole, die angeben, ob ein Jailbreak vorliegt, ob das Gerät verwaltet wird, ob ActiveSync Gateway verfügbar ist und welchen Bereitstellungszustand das Gerät aufweist)
  • Modus (ob das Gerät im MDM- oder MAM-Modus oder beidem verwaltet wird)
  • Weitere Informationen, z. B. Benutzername, Geräteplattform, Betriebssystemversion, Gerätemodell, Letzter Zugriff und Inaktivität (in Tagen). Dies sind die standardmäßig angezeigten Tabellenspalten.

Zum Anpassen der Tabelle Geräte klicken Sie auf den Pfeil nach unten in der letzten Spaltenüberschrift. Wählen Sie dann zusätzliche Spaltenüberschriften für die Anzeige in der Tabelle, bzw. deaktivieren Sie Spaltenüberschriften, die nicht angezeigt werden sollen.

Abbildung der Anpassungsoptionen für die Gerätetabelle

Sie können Geräte manuell hinzufügen, Geräte aus einer Geräteprovisioningdatei importieren, Gerätedetails bearbeiten, Sicherheitsaktionen durchführen und Benachrichtigungen an Geräte senden. Sie können auch alle Gerätedaten aus der Tabelle in eine CSV-Datei exportieren, um einen benutzerdefinierten Bericht zu erstellen. Es werden alle Geräteattribute exportiert. Wenn Sie Filter anwenden, werden diese beim Erstellen der CSV-Datei von Endpoint Management berücksichtigt.

Gerät manuell hinzufügen

  1. Klicken Sie in der Endpoint Management-Konsole auf Verwalten > Geräte. Die Seite Geräte wird angezeigt.

    Abbildung der Seite "Geräte"

  2. Klicken Sie auf Hinzufügen. Die Seite Gerät hinzufügen wird angezeigt.

    Abbildung der Seite "Gerät hinzufügen"

  3. Konfigurieren Sie folgende Einstellungen:

    • Plattform wählen: Klicken Sie auf iOS oder Android.
    • Seriennummer: Geben Sie die Seriennummer des Geräts ein.
    • IMEI/MEID: Geben Sie optional die IMEI/MEID des Geräts ein (nur Android-Geräte).
  4. Klicken Sie auf Hinzufügen. Die Tabelle Geräte wird angezeigt. Das hinzugefügte Gerät befindet sich am Ende der Liste. Wählen Sie das hinzugefügte Gerät aus und klicken Sie in dem nun angezeigten Menü auf Bearbeiten, um die Gerätedetails zu überprüfen.

    Hinweis:

    Wenn Sie das Kontrollkästchen neben einem Gerät aktivieren, wird das Menü mit den Optionen oberhalb der Liste angezeigt. Wenn Sie an eine andere Stelle in der Liste klicken, wird das Menü mit den Optionen rechts daneben angezeigt.

    • LDAP konfiguriert

    • Bei Verwendung lokaler Gruppen und Benutzer:

      • Eine oder mehrere lokale Gruppen

      • Lokale Benutzer, die lokalen Gruppen zugewiesen sind

      • Bereitstellungsgruppen, die lokalen Gruppen zugeordnet sind

    • Bei Verwendung von Active Directory:

      • Bereitstellungsgruppen, die Active Directory-Gruppen zugeordnet sind

      Abbildung der Gerätedetailliste

  5. Auf der Seite Allgemein werden Gerätekennungen aufgeführt, z. B. die Seriennummer, ActiveSync-ID und weitere plattformspezifische Informationen. Wählen Sie für Gerätebesitz die Option Unternehmen oder BYOD.

    Auf der Seite Allgemein werden zudem Sicherheitseigenschaften aufgeführt, z. B. starke ID, Gerätesperrung, Umgehen der Aktivierungssperre und weitere plattformspezifische Informationen. Das Feld Gerät vollständig löschen enthält den Benutzer-PIN-Code. Der Benutzer muss den Code eingeben, anschließend erfolgt die Löschung. Wenn der Benutzer den Code vergessen hat, können Sie ihn hier nachsehen.

  6. Auf der Seite Eigenschaften werden die von Endpoint Management bereitgestellten Geräteeigenschaften aufgeführt. Diese Liste enthält alle in der beim Hinzufügen des Geräts verwendeten Provisioningdatei enthaltenen Geräteeigenschaften. Wenn Sie eine Eigenschaft hinzufügen möchten, klicken Sie auf Hinzufügen und wählen Sie eine Eigenschaft in der Liste aus. Gültige Werte für jede Eigenschaft finden Sie in der PDF Device property names and values.

    Wenn Sie eine Eigenschaft hinzufügen, wird sie zunächst in der Kategorie angezeigt, in der Sie sie hinzufügen. Wenn Sie anschließend auf Weiter klicken und dann zu der Seite Eigenschaften zurückkehren, wird die Eigenschaft in der richtigen Liste angezeigt.

    Zum Löschen einer Eigenschaft zeigen Sie auf die Auflistung und klicken Sie dann auf das X auf der rechten Seite. Endpoint Management löscht das Element sofort.

  7. Die verbleibenden Abschnitte mit Gerätedetails enthalten zusammenfassende Informationen zu dem Gerät.

    • Benutzereigenschaften: zeigt RBAC-Rollen, Gruppenmitgliedschaften, VPP-Konten und Eigenschaften des Benutzers an. Auf dieser Seite können Sie ein VPP-Konto deaktivieren.
    • Zugewiesene Richtlinien: zeigt die Anzahl der zugewiesenen bereitgestellten, ausstehenden und fehlgeschlagenen Richtlinien an. Für die einzelnen Richtlinien werden Name, Typ und letzte Bereitstellung angezeigt.
    • Apps: zeigt die Anzahl der installierten, ausstehenden und fehlgeschlagenen App-Bereitstellungen der letzten Bestandsaufnahme an. Es werden App-Name, ID, Typ und weitere Informationen angezeigt. Eine Beschreibung von iOS- und macOS-Bestandsschlüsseln, z. B. HasUpdateAvailable, finden Sie unter Mobile Device Management (MDM) Protocol.
    • Medien: zeigt die Anzahl der erfolgreichen, ausstehenden und fehlgeschlagenen Medienbereitstellungen der letzten Bestandsaufnahme an.
    • Aktionen: zeigt die Anzahl der bereitgestellten, ausstehenden und fehlgeschlagenen Aktionen an. Es werden Aktionsname und Uhrzeit der letzten Bereitstellung angezeigt.
    • Bereitstellungsgruppen: zeigt die Anzahl der erfolgreichen, ausstehenden und fehlerhaften Bereitstellungsgruppen an. Für jede Bereitstellung werden der Name der Bereitstellungsgruppe und die Uhrzeit der Bereitstellung angezeigt. Wählen Sie eine Bereitstellungsgruppe aus, um weitere Informationen (Status, Aktion und Kanal oder Benutzer) anzuzeigen.
    • iOS-Profile: zeigt den aktuellen iOS-Profilbestand mit Namen, Typ, Unternehmen und Beschreibung an.
    • iOS-Provisioningprofil: zeigt Informationen zum Provisioningprofil für die Verteilung im Unternehmen an, z. B. UUID, Ablaufdatum und verwaltet oder nicht.
    • Zertifikate: zeigt Informationen für gültige, abgelaufene und gesperrte Zertifikate an, z. B. Typ, Anbieter, Herausgeber, Seriennummer und Zeit in Tagen bis zum Ablauf.
    • Verbindungen: zeigt den ersten und letzten Verbindungsstatus an. Für jede Verbindung werden zudem der Benutzername und der Zeitpunkt der vorletzten und letzten Authentifizierung angezeigt.
    • MDM-Status: zeigt Informationen wie MDM-Status, Zeitpunkt der letzten Pushbenachrichtigung und letzte Geräteantwortzeit an.
    • TouchDown (nur Android-Geräte): zeigt die letzte Geräteauthentifizierung und die letzte Benutzerauthentifizierung an. Es werden Name und Wert jeder angewendeten Richtlinie angezeigt.

Importieren von Geräten aus einer Provisioningdatei

Sie können die Datei eines Mobilfunkanbieters oder Geräteherstellers oder Ihre eigene Provisioningdatei importieren. Weitere Informationen finden Sie unter Geräte-Provisioningdateiformate in diesem Artikel.

  1. Gehen Sie zu Verwalten > Geräte und klicken Sie auf Importieren. Das Dialogfeld Import Provisioning File wird angezeigt.

    Abbildung des Dialogfelds "Provisioningdatei anzeigen"

  2. Klicken Sie auf Datei wählen und navigieren Sie zu der Datei, die Sie importieren möchten.

  3. Klicken Sie auf Importieren. Die importierte Datei wird der Tabelle Geräte hinzugefügt.

  4. Zum Bearbeiten der Geräteinformationen wählen Sie die Datei und klicken Sie auf Bearbeiten. Informationen über die Seiten mit den Gerätedetails finden Sie unter Manuelles Hinzufügen von Geräten.

Senden einer Benachrichtigung an Geräte

Sie können Benachrichtigungen an Geräte über die Seite Geräte senden. Weitere Informationen zu Benachrichtigungen finden Sie unter Benachrichtigungen.

  1. Wählen Sie auf der Seite Verwalten > Geräte das oder die Geräte aus, an die Sie die Benachrichtigung senden möchten.

  2. Klicken Sie auf Benachrichtigen. Das Dialogfeld Benachrichtigung wird angezeigt. Im Feld Empfänger werden alle Geräte aufgeführt, die die Benachrichtigung erhalten sollen.

    Abbildung des Dialogfelds "Benachrichtigung"

  3. Konfigurieren Sie folgende Einstellungen:

    • Vorlagen: Klicken Sie in der Liste auf den gewünschten Benachrichtigungstyp. Die Felder Betreff und Nachricht werden mit den vorkonfigurierten Angaben aus der ausgewählten Vorlage (Ausnahme: Ad hoc) ausgefüllt.
    • Kanäle: Wählen Sie aus, wie die Benachrichtigung gesendet werden soll. Standardwert ist SMTP und SMS. Klicken Sie auf die Registerkarten zum Anzeigen des Nachrichtenformats für die einzelnen Kanäle.
    • Absender: Geben Sie optional einen Absender ein.
    • Betreff: Geben Sie für eine Ad-hoc-Nachricht einen Betreff ein.
    • Nachricht: Geben Sie für eine Ad-hoc-Nachricht einen Text ein.
  4. Klicken Sie auf Benachrichtigen.

Exportieren der Gerätetabelle

  1. Filtern Sie die Tabelle Geräte nach den Informationen, die in der Exportdatei angezeigt werden sollen.

  2. Klicken Sie auf die Schaltfläche Exportieren oberhalb der Tabelle Geräte. Endpoint Management extrahiert die Informationen in der gefilterten Tabelle Geräte und konvertiert sie in eine CSV-Datei.

  3. Bei Erscheinen der entsprechenden Aufforderung öffnen oder speichern Sie die CSV-Datei.

Geräte manuell per Tag kennzeichnen

Sie können Geräte in Endpoint Management auf folgende Weise manuell kennzeichnen:

  • bei der Registrierung nach Einladung
  • bei der Registrierung über das Selbsthilfeportal
  • durch Hinzufügen von Gerätebesitz als Geräteeigenschaft

Sie können Geräte als Unternehmens- oder Privatgeräte kennzeichnen. Bei der Registrierung eines Geräts über das Selbsthilfeportal können Sie dieses ebenfalls als Unternehmens- oder Privatgerät kennzeichnen. Sie können Geräte auch wie folgt manuell kennzeichnen.

  1. Fügen Sie dem Gerät über die Registerkarte Geräte in der Endpoint Management-Konsole eine Eigenschaft hinzu.
  2. Fügen Sie die Eigenschaft Besitz von hinzu und wählen Sie entweder Unternehmen oder BYOD (Privatgerät).

    Abbildung der Eigenschaftseinstellungen für "Besitz von"

Gerätesuche

Zur schnellen Suche enthält der Standardsuchbereich die folgenden Geräteeigenschaften:

  • Seriennummer
  • IMEI
  • WiFi MAC-Adresse
  • Bluetooth MAC-Adresse
  • Active Sync ID
  • Benutzername

Sie können den Suchbereich über eine neue Servereigenschaft konfigurieren, include.device.properties.during.search, die standardmäßig auf false gesetzt ist. Um alle Geräteeigenschaften in eine Gerätesuche einzubeziehen, gehen Sie zu Einstellungen > Servereigenschaften und ändern Sie die Einstellung in true.

Geräte-Provisioningdateiformate

Viele Mobilfunkanbieter und Mobilgerätehersteller geben Listen autorisierter Mobilgeräte heraus. Sie können diese Listen verwenden, statt lange Mobilgerätelisten manuell einzugeben. Endpoint Management unterstützt ein für alle drei unterstützten Gerätetypen – Android, iOS und Windows – geeignetes Importdateiformat.

Eine manuell erstellte Provisioningdatei zum Importieren von Geräten in Endpoint Management muss folgendes Format haben:

SerialNumber;IMEI;OperatingSystemFamily;propertyName1;propertyValue1;propertyName2;propertyValue2; … propertyNameN;propertyValueN

Berücksichtigen Sie dabei Folgendes:

  • Gültige Werte für jede Eigenschaft finden Sie in der PDF Device property names and values.
  • Verwenden Sie den UTF-8-Standardzeichensatz.
  • Trennen Sie die Felder in der Provisioningdatei durch Semikola (;). Wenn ein Feld ein Semikolon enthält, schützen Sie es mit einem umgekehrten Schrägstrich (\).

    Beispiel:

    propertyV;test;1;2

    Schützen Sie das Semikolon wie unten dargestellt:

    propertyV\;test\;1\;2

  • Die Seriennummer ist für iOS-Geräte erforderlich, da sie bei iOS als Geräte-ID verwendet wird.
  • Für andere Geräteplattformen müssen Sie entweder die Seriennummer oder die IMEI verwenden.
  • Gültige Werte für OperatingSystemFamily sind WINDOWS, ANDROID oder iOS.

Beispiel einer Geräteprovisioningdatei:

`1050BF3F517301081610065510590391;15244201625379901;WINDOWS;propertyN;propertyV\;test\;1\;2;prop 2
2050BF3F517301081610065510590392;25244201625379902;ANDROID;propertyN;propertyV$*&&ééétest
3050BF3F517301081610065510590393;35244201625379903;iOS;test;
4050BF3F517301081610065510590393;;iOS;test;
; 55244201625379903; ANDROID; test.testé; value; `

Jede Zeile der Datei enthält ein Gerät. Der erste Eintrag in dem Beispiel oben bedeutet Folgendes:

  • SerialNumber: 1050BF3F517301081610065510590391
  • IMEI: 15244201625379901
  • OperatingSystemFamily: WINDOWS
  • PropertyName: propertyN
  • PropertyValue: propertyV\;test\;1\;2;prop 2