Geräteverwaltung

Die Geräteverwaltung umfasst die Registrierung von Geräten, Sicherheitsaktionen und Geräteüberwachung.

Registrieren von Geräten

Für die sichere Remoteverwaltung von Benutzergeräten registrieren Sie diese bei Endpoint Management. Die Endpoint Management-Clientsoftware wird auf dem Benutzergerät installiert und die Identität des Benutzers wird authentifiziert. Anschließend werden Endpoint Management und das Benutzerprofil installiert. Informationen zur Registrierung von Geräten mit unterstützten Plattformen finden Sie in den Artikeln zu Geräten im vorliegenden Abschnitt.

Zum Aktualisieren der Konfigurationsoptionen für Benutzer und Geräte verwenden Sie die Seite Verwalten > Registrierungseinladungen. Weitere Informationen finden Sie unter Senden einer Registrierungseinladung in diesem Artikel.

Senden von Registrierungseinladungen

In der Endpoint Management-Konsole können Sie Registrierungseinladungen an Benutzer mit iOS-, macOS und Android-Geräten senden. Sie können auch einen Installationslink an Benutzer mit iOS- oder Android-Geräten senden.

Registrierungseinladungen werden wie folgt gesendet:

  • Registrierungseinladungen für einzelne lokale oder Active Directory-Benutzer erhalten die Benutzer per SMS unter der von Ihnen angegebenen Telefonnummer und dem von Ihnen angegebenen Netzbetreibernamen.

  • Registrierungseinladungen für Gruppen erhalten die Benutzer per SMS. Active Directory-Benutzer mit einer in Active Directory verzeichneten E-Mail-Adresse und Mobiltelefonnummer erhalten die Einladung. Lokale Benutzer erhalten die Einladung über die in den Benutzereigenschaften angegebene E-Mail-Adresse und Telefonnummer.

Nach der Registrierung werden die betreffenden Geräte unter Verwalten > Geräte als verwaltet angezeigt. Der Status der Einladungs-URL wird als Angenommen angezeigt.

Voraussetzungen

  • LDAP konfiguriert
  • Bei Verwendung lokaler Gruppen und Benutzer:

    • Eine oder mehrere lokale Gruppen

    • Lokale Benutzer, die lokalen Gruppen zugewiesen sind

    • Bereitstellungsgruppen, die lokalen Gruppen zugeordnet sind

  • Bei Verwendung von Active Directory:

    • Bereitstellungsgruppen, die Active Directory-Gruppen zugeordnet sind

Erstellen von Registrierungseinladungen

  1. Klicken Sie in der Endpoint Management-Konsole auf Verwalten > Registrierungseinladungen. Die Seite Registrierungseinladungen wird angezeigt.

    Abbildung der Seite "Registrierungseinladungen" der Endpoint Management-Konsole

  2. Klicken Sie auf Hinzufügen. Ein Menü mit Registrierungsoptionen wird eingeblendet.

    Abbildung des Menüs "Einladung hinzufügen"

    • Zum Senden einer Registrierungseinladung an einen Benutzer oder eine Gruppe klicken Sie auf Einladung hinzufügen.
    • Zum Senden eines Installationslinks an eine Reihe von Benutzern über SMTP oder per SMS klicken Sie auf Installationslink senden.

    Das Senden von Registrierungseinladungen und Installationslinks wird weiter unten beschrieben.

  3. Klicken Sie auf Einladung hinzufügen. Die Seite Registrierungseinladung wird angezeigt.

    Abbildung des Bildschirms "Registrierungseinladung"

  4. Konfigurieren Sie folgende Einstellungen:

    • Empfänger: Wählen Sie Gruppe oder Benutzer.
    • Wählen Sie eine Plattform: Bei Auswahl von Gruppe für Empfänger sind alle Plattformen ausgewählt. Sie können die Plattformauswahl ändern. Bei Auswahl von Benutzer für Empfänger ist keine Plattform ausgewählt. Wählen Sie eine Plattform.
    • Gerätebesitz: Wählen Sie Unternehmen oder Mitarbeiter.

    Es werden die in den folgenden Abschnitten beschriebenen Einstellungen für Benutzer oder Gruppen angezeigt.

Senden einer Registrierungseinladung an einen Benutzer

Abbildung der Einstellungen für "Registrierungseinladung"

  1. Konfigurieren Sie folgende Einstellungen für Benutzer:

    • Benutzername: Geben Sie einen Benutzernamen ein. Der Benutzer muss als lokaler Benutzer auf dem Endpoint Management-Server oder als Active Directory-Benutzer vorliegen. Legen Sie bei lokalen Benutzern die E-Mail-Eigenschaft fest, damit Benachrichtigungen an die Benutzer gesendet werden können. Bei Active Directory-Benutzern muss LDAP konfiguriert sein.
    • Geräteinfo: Diese Einstellung wird nicht angezeigt, wenn Sie mehrere Plattformen oder nur macOS wählen. Wählen Sie Seriennummer, UDID oder IMEI. Wenn Sie eine Option auswählen, wird ein Feld angezeigt, in das Sie den entsprechenden Wert für das Gerät eingeben können.
    • Telefonnummer: Diese Einstellung wird nicht angezeigt, wenn Sie mehrere Plattformen oder nur macOS wählen. Geben Sie optional die Telefonnummer des Benutzers ein.
    • Netzbetreiber: Diese Einstellung wird nicht angezeigt, wenn Sie mehrere Plattformen oder nur macOS wählen. Wählen Sie einen Netzbetreiber für die Zuordnung zu der Telefonnummer des Benutzers.
    • Registrierungsmodus: Wählen Sie die gewünschte Registrierungsmethode. Die Standardeinstellung ist Benutzername + Kennwort. Einige der folgenden Optionen stehen nicht für alle Plattformen zur Verfügung:
      • Benutzername + Kennwort
      • High Security
      • Einladungs-URL
      • Einladungs-URL + PIN
      • Einladungs-URL + Kennwort
      • Zweistufig
      • Benutzername + PIN

    Es werden nur die Registrierungsmodi angezeigt, die für die ausgewählten Plattformen zulässig sind. Eine PIN für die Registrierung wird auch als “Einmal-PIN” bezeichnet. Solche PINs gelten nur bei der Registrierung.

    Hinweis:

    Wenn Sie einen Registrierungsmodus mit PIN auswählen, wird das Feld Vorlage für Registrierungs-PIN eingeblendet. Klicken Sie auf Registrierungs-PIN.

    • Vorlage für Agentdownload: Wählen Sie die Downloadlinkvorlage Downloadlink. Diese Vorlage ist für alle unterstützten Plattformen vorgesehen.
    • Vorlage für Registrierungs-URL: Wählen Sie Registrierungseinladung.
    • Vorlage für Registrierungsbestätigung: Wählen Sie Registrierungsbestätigung.
    • Ablauf nach: Dieses Feld wird ausgefüllt, wenn Sie den Registrierungsmodus konfigurieren. Es gibt an, wann die Registrierung abläuft. Weitere Informationen zum Konfigurieren von Registrierungsmodi finden Sie unter Konfigurieren von Registrierungsmodi.
    • Maximale Versuche: Dieses Feld wird festgelegt, wenn Sie den Registrierungsmodus konfigurieren und gibt an, wie oft der Registrierungsprozess maximal ausgeführt wird.
    • Einladung senden: Wählen Sie EIN, um die Einladung sofort zu senden. Wählen Sie AUS, um die Einladung ohne zu senden in die Tabelle auf der Seite Registrierungseinladungen einzufügen.
  2. Klicken Sie auf Speichern und senden, wenn Sie Einladung senden ausgewählt haben. Klicken Sie andernfalls auf Speichern. Die Einladung wird in der Tabelle auf der Seite Registrierungseinladungen aufgeführt.

    Abbildung der Tabelle auf der Seite "Registrierungseinladungen"

Senden einer Registrierungseinladung an eine Gruppe

Die folgende Abbildung zeigt die Einstellungen zum Konfigurieren einer Registrierungseinladung für eine Gruppe.

Abbildung der Seite "Registrierungseinladung" für eine Gruppe

  1. Konfigurieren Sie folgende Einstellungen:

    • Domäne: Wählen Sie die Domäne der Gruppe, die die Einladung erhalten soll.
    • Gruppe: Wählen Sie die Gruppe, die die Einladung erhalten soll.
    • Registrierungsmodus: Wählen Sie die gewünschte Registrierungsmethode. Die Standardeinstellung ist Benutzername + Kennwort. Einige der folgenden Optionen stehen nicht für alle Plattformen zur Verfügung:
      • Benutzername + Kennwort
      • High Security
      • Einladungs-URL
      • Einladungs-URL + PIN
      • Einladungs-URL + Kennwort
      • Zweistufig
      • Benutzername + PIN

    Es werden nur die Registrierungsmodi angezeigt, die für die ausgewählten Plattformen zulässig sind.

    Hinweis:

    Wenn Sie einen Registrierungsmodus mit PIN auswählen, wird das Feld Vorlage für Registrierungs-PIN eingeblendet. Klicken Sie auf Registrierungs-PIN.

    • Vorlage für Agentdownload: Wählen Sie die Downloadlinkvorlage Downloadlink. Diese Vorlage ist für alle unterstützten Plattformen vorgesehen.
    • Vorlage für Registrierungs-URL: Wählen Sie Registrierungseinladung.
    • Vorlage für Registrierungsbestätigung: Wählen Sie Registrierungsbestätigung.
    • Ablauf nach: Dieses Feld wird ausgefüllt, wenn Sie den Registrierungsmodus konfigurieren. Es gibt an, wann die Registrierung abläuft. Weitere Informationen zum Konfigurieren von Registrierungsmodi finden Sie unter Konfigurieren von Registrierungsmodi.
    • Maximale Versuche: Dieses Feld wird festgelegt, wenn Sie den Registrierungsmodus konfigurieren und gibt an, wie oft der Registrierungsprozess maximal ausgeführt wird.
    • Einladung senden: Wählen Sie EIN, um die Einladung sofort zu senden. Wählen Sie AUS, um die Einladung ohne zu senden in die Tabelle auf der Seite Registrierungseinladungen einzufügen.
  2. Klicken Sie auf Speichern und senden, wenn Sie Einladung senden ausgewählt haben. Klicken Sie andernfalls auf Speichern. Die Einladung wird in der Tabelle auf der Seite Registrierungseinladung aufgeführt.

    Abbildung der Registrierungseinladungstabelle

Zum Senden von Installationslinks für die Registrierung müssen Sie Kanäle (SMTP oder SMS) auf dem Benachrichtigungsserver über die Seite Einstellungen konfigurieren. Details finden Sie unter Benachrichtigungen.

Abbildung der Seite "Installationslink senden"

  1. Konfigurieren Sie die Einstellungen und klicken Sie auf Speichern.

    • Empfänger: Für jeden Empfänger, den Sie hinzufügen möchten, klicken Sie auf Hinzufügen und führen Sie folgende Schritte aus:
      • E-Mail: Geben Sie die E-Mail-Adresse des Empfängers ein. Diese Angabe ist erforderlich.
      • Telefonnummer: Geben Sie die Telefonnummer des Empfängers ein. Diese Angabe ist erforderlich.

      Hinweis:

      Zum Löschen eines Empfängers zeigen Sie auf dessen Zeile und klicken Sie auf das Papierkorbsymbol auf der rechten Seite. Ein Bestätigungsdialogfeld wird angezeigt. Klicken Sie auf Löschen zum Löschen des Eintrags oder auf Abbrechen, um ihn beizubehalten.

      Zum Bearbeiten eines Empfängers zeigen Sie auf dessen Zeile und klicken Sie auf das Stiftsymbol auf der rechten Seite. Nehmen Sie die gewünschten Änderungen am Eintrag vor und klicken Sie auf Speichern, um die Änderungen zu speichern, oder auf Abbrechen, um den Vorgang abzubrechen.

    • Kanäle: Wählen Sie den Kanal zum Senden des Installationslinks aus. Sie können Benachrichtigungen über SMTP oder SMS senden. Diese Kanäle werden erst aktiviert, wenn Sie die Servereinstellungen unter Benachrichtigungsserver auf der Seite Einstellungen konfiguriert haben. Details finden Sie unter Benachrichtigungen.
    • SMTP: Konfigurieren Sie die folgenden optionalen Einstellungen. Wenn Sie diese Felder nicht ausfüllen, werden die Standardwerte der Benachrichtigungsvorlage für die ausgewählte Plattform verwendet:
      • Absender: Geben Sie optional einen Absender ein.
      • Betreff: Geben Sie optional einen Betreff für die Benachrichtigung ein. Beispiel: “Registrieren Sie Ihr Gerät”.
      • Nachricht: Geben Sie optional eine Nachricht ein, die an den Empfänger gesendet werden soll. Beispiel: “Registrieren Sie Ihr Gerät für den Zugriff auf Unternehmens-Apps und -E-Mail”.
    • SMS: Konfigurieren Sie diese Einstellung. Wenn Sie dieses Feld nicht ausfüllen, wird der Standardwert der Benachrichtigungsvorlage für die ausgewählte Plattform verwendet:
      • Nachricht: Geben Sie eine Nachricht ein, die an die Empfänger gesendet werden soll. Dieses Feld ist für die Benachrichtigung per SMS erforderlich.

        In Nordamerika werden SMS-Nachrichten mit mehr als 160 Zeichen in mehrere Nachrichten aufgeteilt.

  2. Klicken Sie auf Senden.

    Hinweis:

    Wird in der Umgebung SAMAccountName verwendet, müssen Benutzer nach dem Erhalt der Einladung auf den Link klicken und dann den Benutzernamen ändern, um die Authentifizierung abzuschließen. Der Benutzername wird in der Form sAMAccountName@domainname.com angezeigt. Die Benutzer müssen den Teil @domainname.com entfernen.

Geräteregistrierungslimit

Endpoint Management enthält ein Standardregistrierungsprofil, mit dem Benutzer eine unbegrenzte Anzahl von Geräten registrieren können. Das Standardprofil heißt “Global”. Erstellen Sie Registrierungsprofile nur dann, wenn Sie die Anzahl der Geräte einschränken möchten, die Benutzer registrieren können. Sie weisen Registrierungsprofile Bereitstellungsgruppen zu.

Das Geräteregistrierungslimit gilt für die Servermodi ENT, MDM und MAM. Das Feature steht nur für iOS- und Android-Geräte zur Verfügung.

Wenn Ihre Endpoint Management-Bereitstellung COSU-Geräte enthält, registriert ein einzelner Endpoint Management-Administrator oder eine kleine Gruppe von Administratoren viele COSU-Geräte. Damit diese Administratoren alle erforderlichen Geräte registrieren können, erstellen Sie für sie ein Registrierungsprofil unter Zulassung einer unbegrenzten Anzahl an Geräten pro Benutzer. Weitere Informationen finden Sie unter Hinzufügen eines COSU-Registrierungsprofils im Artikel “Android Enterprise”.

  1. Navigieren Sie zu Konfigurieren > Registrierungsprofile. Das Standardprofil “Global” wird angezeigt.

    Abbildung des Standardprofils "Global"

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite Registrierungsinfo einen Namen für das Registrierungsprofil ein und wählen Sie dann die Anzahl der Geräte aus, die Mitglieder mit diesem Profil registrieren können.

    Abbildung der Registrierungsinfo

  3. Klicken Sie auf Weiter. Die Seite Bereitstellungsgruppenzuweisung wird angezeigt.

    Abbildung der Seite "Bereitstellungsgruppenzuweisung"

  4. Wählen Sie die Bereitstellungsgruppen für das Registrierungsprofil und klicken Sie auf Speichern.

    Die Seite Bereitstellungsgruppen wird angezeigt.

    Abbildung der Seite "Bereitstellungsgruppen"

    Zum Ändern der einer Bereitstellungsgruppe zugeordneten Registrierungsprofile klicken Sie unter Konfigurieren > Bereitstellungsgruppen auf Registrierungsprofile.

    Abbildung der Seite "Registrierungsprofile"

Benutzererfahrung mit einem Geräteregistrierungslimit

Wenn Sie das Geräteregistrierungslimit festlegen, können Benutzer ein neues Gerät mit den folgenden Schritten registrieren:

  1. Melden Sie sich bei Secure Hub an.

  2. Geben Sie eine Serveradresse für die Registrierung ein.

  3. Geben Sie die Anmeldeinformationen ein.

  4. Bei Erreichen des Gerätelimits wird eine entsprechende Fehlermeldung angezeigt.

    Abbildung des Bildschirms zur Registrierung bei Secure Hub

    Der Bildschirm zur Registrierung bei Secure Hub wird erneut angezeigt.

Sicherheitsaktionen

Auf der Seite Verwalten > Geräte können Sie Sicherheitsaktionen für Geräte und Apps durchführen. Zu den Geräteaktionen gehören Widerrufen, Sperren, Entsperren und Löschen. Zu den App-Sicherheitsaktionen gehören Sperren und Löschen.

  • Aktivierungssperre umgehen: entfernt die Aktivierungssperre auf betreuten iOS-Geräten vor der Geräteaktivierung. Dieser Befehl erfordert keine persönliche Apple-ID und kein Kennwort seitens des Benutzers.

  • App-Sperre: verhindert den Zugriff auf alle Apps auf einem Gerät. Auf Android-Geräten können Benutzer sich nach Eintreten einer App-Sperre nicht bei Endpoint Management anmelden. Unter iOS können Benutzer sich anmelden, jedoch nicht auf Apps zugreifen.

  • App löschen: Diese Option löscht auf Android-Geräten das Benutzerkonto aus Endpoint Management. Unter iOS löscht sie das Benutzerkonto in Secure Hub.

  • ASM-DEP-Aktivierungssperre: erstellt einen Code zum Umgehen der Aktivierungssperre für beim Apple School Manager-DEP registrierte iOS-Geräte.

  • Einschränkungen deaktivieren: Dieser Befehl ermöglicht auf betreuten iOS-Geräten das Deaktivieren des vom Benutzer festgelegten Einschränkungskennworts und der Einschränkungseinstellungen durch Endpoint Management.

  • Modus ‘Verloren’ aktivieren: versetzt betreute iOS-Geräte in den Modus “Verloren” und sendet eine Nachricht, Telefonnummer und Fußnote an das Gerät zur Anzeige. Mit “Modus ‘Verloren’ deaktivieren” wird der Modus “Verloren” auf Geräten wieder aufgehoben.

  • Vollständig löschen: löscht sofort alle Daten und Apps von Geräten, einschließlich Speicherkarten.

    • Bei Android-Geräten kann diese Anforderung auch die Option zum Löschen von Daten auf Speicherkarten umfassen.

    • Bei iOS-, macOS- und tvOS-Geräten erfolgt die Löschung sofort, selbst wenn ein Gerät gesperrt ist.

      Für iOS 11-Geräte (Mindestversion): Wenn Sie die vollständige Löschung bestätigen, können Sie entscheiden, ob Sie den Mobilfunktarif auf dem Gerät beibehalten.

      Für iOS 11.3-Geräte (Mindestversion): Wenn Sie die vollständige Löschung bestätigen, können Sie verhindern, dass iOS-Geräte ein Proximity Setup durchführen. Bei der Einrichtung eines neuen iOS-Geräts können die Benutzer normalerweise ein bereits konfiguriertes iOS-Gerät nutzen. Sie können das Proximity Setup für Geräte deaktivieren, die von Endpoint Management verwaltet und gelöscht wurden.

    • Bei Windows Phone-Geräten werden durch eine vollständige Löschung sämtliche Endpoint Management-Informationen sowie alle Benutzerdaten gelöscht. Dazu gehören persönliche Inhalte wie Apps, E-Mail, Kontakte und Medien.

    • Wenn der Benutzer das Gerät ausschaltet, bevor der Inhalt der Speicherkarte gelöscht ist, kann er möglicherweise weiterhin auf Gerätedaten zugreifen.

    • Sie können die Löschanforderung noch so lange abbrechen, bis sie an das Gerät gesendet wurde.

  • Suchen: dient zur Suche nach einem Gerät und zeigt den Gerätestandort einschließlich Karte auf der Seite Verwalten > Geräte unter Gerätedetails > Allgemein an.

  • Sperren: dient zur Remotesperre von Geräten. Dies ist nützlich, wenn ein Gerät vermisst wird und die Gefahr besteht, dass es gestohlen wurde. Endpoint Management generiert dann einen PIN-Code und stellt ihn für das Gerät ein. Für den Zugriff auf das Gerät muss die PIN eingegeben werden. Verwenden Sie Sperren abbrechen, um ein Gerät über die Endpoint Management-Konsole zu entsperren.

  • Sperren und Kennwort zurücksetzen: sperrt Geräte remote und setzt das Kennwort zurück.

  • Benachrichtigen (Klingeln): gibt einen Ton auf Android-Geräten aus.

  • Neu starten: startet Windows 10-Geräte neu. Bei Windows-Tablets und -PCs erscheint die Meldung “System wird bald neu gestartet” und der Neustart erfolgt fünf Minuten später. Bei Windows Phone erfolgt der Neustart nach einigen Minuten ohne Warnung der Benutzer.

  • AirPlay-Synchronisierung anfordern/AirPlay-Synchronisierung beenden: startet bzw. beendet die AirPlay-Synchronisierung auf betreuten iOS-Geräten.

  • Neu starten/Herunterfahren: startet betreute iOS-Geräte sofort bzw. fährt sie sofort herunter. tvOS unterstützt den Befehl “Neu starten”, nicht aber “Herunterfahren”.

  • Widerrufen: Verhindert die Verbindung zwischen Geräten und Endpoint Management.

  • Sperren/Autorisieren (iOS, macOS): führt die gleichen Aktionen aus wie “Selektiv löschen”. Nach einer Sperrung können Sie Geräte neu autorisieren, um sie erneut zu registrieren.

  • Klingeln: spielt einen Ton auf betreuten iOS-Geräten ab, wenn diese im Modus “Verloren” sind. Der Ton wird abgespielt, bis Sie den Modus “Verloren” des Geräts deaktivieren oder der Benutzer den Ton deaktiviert.

  • Selektiv löschen: löscht alle Unternehmensdaten und -Apps von Geräten, private Daten und Apps bleiben erhalten. Nach einer selektiven Löschung kann der Benutzer das Gerät erneut registrieren.

    • Beim selektiven Löschen auf einem Android-Gerät wird dieses nicht von Device Manager und dem Unternehmensnetzwerk getrennt. Um zu verhindern, dass das Gerät auf Device Manager zugreift, müssen Sie außerdem die Gerätezertifikate widerrufen.
    • Bei Geräten mit aktivierter Samsung KNOX-API wird beim selektiven Löschen auch der Samsung KNOX-Container entfernt.
    • Bei iOS- und Mac OS-Geräten werden mit diesem Befehl sämtliche über MDM installierten Profile entfernt.
    • Auf Windows-Geräten wird beim selektiven Löschen auch der Inhalt des Profilordners aller gerade bei dem Gerät angemeldeter Benutzer entfernt. Webclips, die Sie den Benutzern über eine Konfiguration bereitstellen, werden beim selektiven Löschen nicht entfernt. Zum Entfernen von Webclips müssen die Benutzer die Registrierung ihres Geräts manuell aufheben. Geräte, auf denen eine selektive Löschung durchgeführt wurde, können nicht erneut registriert werden.
    • Beim selektiven Löschen auf Windows Phone-Geräten wird das Unternehmenstoken entfernt, das die Installation von Apps auf dem Gerät durch Endpoint Management ermöglicht. Außerdem werden alle Endpoint Management-Zertifikate und -Konfigurationen von den Geräten entfernt. Windows Phone-Geräte, auf denen eine selektive Löschung durchgeführt wurde, können nicht erneut registriert werden.
    • Durch selektives Löschen werden Android-Geräte außerdem widerrufen. Sie können ein solches Gerät erst dann erneut registrieren, wenn Sie es neu autorisiert oder von der Konsole gelöscht haben.
  • Entsperren: löscht den Passcode, der beim Sperren an das Gerät gesendet wurde. Mit dem Befehl wird das Gerät nicht entsperrt.

Auf der Seite Verwalten > Geräte werden unter Gerätedetails außerdem Sicherheitseigenschaften aufgeführt. Dazu gehören Starke ID, Gerätesperrung, Umgehen der Aktivierungssperre und weitere plattformspezifische Informationen. Das Feld Gerät vollständig löschen enthält den Benutzer-PIN-Code. Der Benutzer muss den Code eingeben, anschließend erfolgt die Löschung. Wenn der Benutzer den Code vergessen hat, können Sie ihn hier nachsehen.

Sie können einige Aktionen automatisieren. Weitere Informationen hierzu finden Sie unter Automatisierte Aktionen.

Entfernen von Geräten aus der Endpoint Management-Konsole

Wichtig:

Wenn Sie ein Gerät aus der Endpoint Management-Konsole entfernen, verbleiben verwaltete Apps und Daten auf dem Gerät. Informationen zum Entfernen verwalteter Apps und Daten Geräten finden Sie weiter unten in diesem Artikel unter “Löschen von Geräten”.

Zum Entfernen eines Geräts aus der Endpoint Management-Konsole navigieren Sie zu Verwalten > Geräte, wählen Sie ein verwaltetes Gerät und klicken Sie auf Löschen.

Abbildung der Option "Löschen"

Durchführen einer selektiven Löschung

  1. Navigieren Sie zu Verwalten > Geräte, wählen Sie ein verwaltetes Gerät aus und klicken Sie auf Sicherheit.

  2. Klicken Sie unter Sicherheitsaktionen auf Selektiv löschen.

  3. Android-Geräte: Klicken Sie nach der Datenlöschung auf Sicherheitsaktionen > Widerrufen, um das Gerät vom Unternehmensnetzwerk zu trennen.

    Wenn Sie die Löschanforderung vor deren Ausführung zurücknehmen möchten, klicken Sie auf Sicherheitsaktionen > Selektives Löschen abbrechen.

Löschen von Geräten

Bei diesem Vorgang werden verwaltete Anwendungen und Daten aus dem Gerät entfernt und das Gerät aus der Liste der Geräte der Endpoint Management-Konsole gelöscht.

  1. Navigieren Sie zu Verwalten > Geräte, wählen Sie ein verwaltetes Gerät aus und klicken Sie auf Sicherheit.

  2. Klicken Sie auf Selektiv löschen. Wenn Sie dazu aufgefordert werden, klicken Sie auf Selektives Löschen durchführen.

  3. Um sich zu vergewissern, dass der Löschbefehl erfolgreich war, aktualisieren Sie die Seite Verwalten > Geräte. Eine gelbe Färbung für MDM und MAM in der Spalte Modus zeigt an, dass der Löschbefehl erfolgreich war.

    Abbildung eines erfolgreichen Löschbefehls

  4. Wählen Sie auf der Seite Verwalten > Geräte ein verwaltetes Gerät aus und klicken Sie auf Löschen. Wenn Sie dazu aufgefordert werden, klicken Sie erneut auf Löschen.

Sperren, Entsperren, Löschen und Aufheben der Löschung von Apps

  1. Navigieren Sie zu Verwalten > Geräte, wählen Sie ein verwaltetes Gerät aus und klicken Sie auf Sicherheit.

  2. Klicken Sie unter Sicherheitsaktionen auf die App-Aktion.

    Sie können im Feld Sicherheitsaktionen auch den Status eines Geräts für einen Benutzer überprüfen, dessen Konto deaktiviert oder aus Active Directory gelöscht wurde. Wenn die Aktionen “App-Sperre aufheben” oder “Löschen der Apps rückgängig machen” vorhanden sind, gibt es Apps, die gesperrt oder gelöscht wurden.

Sperren von iOS-Geräten

Sie können ein verlorenes iOS-Gerät sperren und eine entsprechende Nachricht und Telefonnummer auf dem Sperrbildschirm anzeigen lassen.

Zum Anzeigen einer Nachricht und Telefonnummer auf einem gesperrten Gerät muss die Richtlinie Passcode in der Endpoint Management-Konsole auf wahr festgelegt werden. Alternativ können Benutzer den Passcode auf dem Gerät auch manuell aktivieren.

  1. Klicken Sie auf Verwalten > Geräte. Die Seite Geräte wird angezeigt.

    Abbildung der Seite "Geräte"

  2. Wählen Sie das iOS-Gerät aus, das Sie sperren möchten.

    Aktivieren Sie das Kontrollkästchen neben einem Gerät, um das Menü mit den Optionen oberhalb der Liste anzuzeigen. Klicken Sie an eine andere Stelle in der Liste, um das Menü mit den Optionen rechts daneben anzuzeigen.

    Abbildung des Menüs "Optionen"

    Abbildung des Menüs "Optionen"

  3. Wählen Sie im Menü “Optionen” die Option Sicherheit. Das Dialogfeld Sicherheitsaktionen wird angezeigt.

    Abbildung des Dialogfelds "Sicherheitsaktionen"

  4. Klicken Sie auf Sperren. Das Bestätigungsdialogfeld Sicherheitsaktionen wird angezeigt.

    Abbildung der Sicherheitsaktionenbestätigung

  5. Geben Sie optional eine Meldung und Telefonnummer ein, die auf dem Sperrbildschirm des Geräts angezeigt werden sollen.

    iOS hängt die Wörter “Lost iPad” an alles an, was Sie im Feld Nachricht eingeben.

    Wenn Sie das Feld Nachricht leer lassen und eine Telefonnummer angeben, wird die Meldung “Besitzer anrufen” auf dem Sperrbildschirm des Geräts angezeigt.

  6. Klicken Sie auf Gerät sperren.

Versetzen von iOS-Geräten in den Modus “Verloren”

Die Geräteeigenschaft “Endpoint Management-Modus ‘Verloren’” versetzt iOS-Geräte in den Modus “Verloren”. Im Gegensatz zum von Appple verwalteten Modus “Verloren” muss ein Benutzer beim Modus “Verloren” in Endpoint Management keine der folgenden Aktionen ausführen, um sein Gerät zu suchen: Konfigurieren der Einstellung Find My iPhone/iPad oder Aktivieren der Ortungsdienste für Citrix Secure Hub.

Im Endpoint Management-Modus “Verloren” kann ein Gerät nur über Endpoint Management entsperrt werden. (Wenn Sie hingegen das Endpoint Management-Feature zum Sperren von Geräten verwenden, können die Benutzer Geräte direkt durch Eingabe eines von Ihnen bereitgestellten PIN-Codes entsperren.)

Aktivieren oder Deaktivieren des Modus “Verloren”: Gehen Sie zu Verwalten > Geräte, wählen Sie ein betreutes iOS-Gerät aus und klicken Sie auf Sicherheit. Klicken Sie dann auf Modus ‘Verloren’ aktivieren oder Modus ‘Verloren’ deaktivieren.

Abbildung der Optionen für den Modus "Verloren"

Wenn Sie auf Modus ‘Verloren’ aktivieren klicken, geben Sie die Informationen ein, die auf dem Gerät angezeigt werden sollen, wenn es im Modus “Verloren” ist.

Bild der Informationen, die auf einem Gerät angezeigt werden

Verwenden Sie eine der folgenden Methoden, um den Status des Modus “Verloren” zu überprüfen:

  • Überprüfen Sie im Fenster Sicherheitsaktionen, ob die Schaltfläche auf Modus ‘Verloren’ deaktivieren gesetzt ist.
  • Zeigen Sie über Verwalten > Geräte auf der Registerkarte Allgemein unter Sicherheit die letzte Aktion zum Aktivieren oder Deaktivieren des Modus “Verloren” an.

Abbildung der Registerkarte "Allgemein"

  • Überprüfen Sie unter Verwalten > Geräte auf der Registerkarte Eigenschaften, ob die Einstellung MDM-Modus “Verloren” aktiviert richtig festgelegt ist.

Abbildung der Einstellung "MDM-Modus "Verloren" aktiviert"

Wenn Sie den Endpoint Management-Modus “Verloren” auf iOS-Geräten aktivieren, ändert sich die Endpoint Management-Konsole wie folgt:

  • In der über Konfigurieren > Aktionen aufgerufenen Liste Aktionen sind die folgenden automatisierten Aktionen nicht enthalten: Gerät widerrufen, Gerät selektiv löschen und Gerät vollständig löschen.
  • In der über Verwalten > Geräte aufgerufenen Liste Sicherheitsaktionen sind die Geräteaktionen Widerrufen und Selektiv löschen nicht mehr enthalten. Sie können weiterhin eine Sicherheitsaktion verwenden, um die Aktion Vollständig löschen nach Bedarf auszuführen.

iOS hängt die Wörter “Lost iPad” an alles an, was Sie im Feld Nachricht des Bildschirms Sicherheitsaktionen eingeben.

Wenn Sie das Feld Nachricht leer lassen und eine Telefonnummer angeben, wird die Meldung “Besitzer anrufen” auf dem Sperrbildschirm des Geräts angezeigt.

Umgehen einer iOS-Aktivierungssperre

Die Aktivierungssperre ist ein Feature von “Mein iPhone/iPad suchen”, mit dem das Reaktivieren von verlorenen oder gestohlenen betreuten Geräten verhindert wird. Die Aktivierungssperre erfordert die Eingabe der Apple-ID und des Benutzerkennworts, bevor ein beliebiger Benutzer “Mein iPhone/iPad suchen” deaktivieren, die Daten auf dem Gerät löschen oder das Gerät neu aktivieren kann. Für Geräte im Besitz Ihres Unternehmens kann ein Umgehen der Aktivierungssperre erforderlich sein, um Geräte zurückzusetzen oder neu zuzuweisen.

Zum Aktivieren der Aktivierungssperre müssen Sie die Endpoint Management-Geräterichtlinie “MDM-Optionen” konfigurieren und bereitstellen. Sie können dann ein Gerät über die Endpoint Management-Konsole ohne die Apple-Anmeldeinformationen des Benutzers verwalten. Um die erforderliche Eingabe der Apple-Anmeldeinformationen bei einer Aktivierungssperre zu umgehen, geben Sie die Sicherheitsaktion “Aktivierungssperre umgehen” auf der Endpoint Management-Konsole ein.

Nehmen wir folgendes Beispiel: Ein Benutzer bringt ein verlorenes Telefon zurück oder möchte ein Gerät vor oder nach einem vollständigen Löschen einrichten. Die dabei geforderte Eingabe der Anmeldeinformationen für das iTunes-Konto können Sie umgehen, indem Sie die Sicherheitsaktion “Aktivierungssperre umgehen” auf der Endpoint Management-Konsole aktivieren.

Geräteanforderungen für das Umgeben der Aktivierungssperre

  • Betreuter Modus mit Apple Configurator oder Apple DEP
  • Konfiguration mit iCloud-Konto
  • “Mein iPhone/iPad suchen” ist aktiviert
  • Bei Endpoint Management registriert
  • Bereitgestellte Geräterichtlinie “MDM-Optionen” mit aktivierter Aktivierungssperre

Umgehen einer Aktivierungssperre vor dem vollständigen Löschen eines Geräts:

  1. Wählen Sie unter Verwalten > Geräte das Gerät, klicken Sie auf Sicherheit und dann auf Aktivierungssperre umgehen.
  2. Löschen Sie das Gerät. Die Aktivierungssperre wird während des Gerätesetups nicht angezeigt.

Umgehen einer Aktivierungssperre nach dem vollständigen Löschen eines Geräts:

  1. Setzen Sie das Gerät zurück oder löschen Sie es. Die Aktivierungssperre wird während des Gerätesetups angezeigt.
  2. Wählen Sie unter Verwalten > Geräte das Gerät, klicken Sie auf Sicherheit und dann auf Aktivierungssperre umgehen.
  3. Tippen Sie auf dem Gerät auf die Taste “Zurück”. Der Homebildschirm wird angezeigt.

Berücksichtigen Sie dabei Folgendes:

  • Fordern Sie die Benutzer auf, “Mein iPhone/iPad suchen” nicht zu deaktivieren. Löschen Sie das Gerät nicht vollständig. In beiden Fällen wird der Benutzer aufgefordert, das Kennwort des iCloud-Kontos einzugeben. Nach der Kontovalidierung wird dem Benutzer kein Bildschirm zum Aktivieren des iPhones/iPads angezeigt, nachdem alle Inhalte und Einstellungen gelöscht wurden.
  • Für Geräte mit generiertem Code zum Umgehen der Aktivierungssperre und aktivierter Aktivierungssperre: Wenn Sie das Gerät vollständig löschen und danach die Aktivierungsseite für das iPhone/iPad nicht umgehen können, müssen Sie das Gerät nicht aus Endpoint Management löschen. Sie oder der Benutzer können sich direkt an den Apple-Support wenden, um das Gerät entsperren zu lassen.
  • Während einer Hardwareinventur ruft Endpoint Management den Code zum Umgehen der Aktivierungssperre von einem Gerät ab. Wenn ein Umgehungscode verfügbar ist, wird er vom Gerät an Endpoint Management gesendet. Um den Umgehungscode dann vom Gerät zu entfernen, aktivieren Sie auf der Endpoint Management-Konsole die Sicherheitsaktion “Aktivierungssperre umgehen”. Damit haben Endpoint Management und Apple den erforderlichen Umgehungscode, um das Gerät zu entsperren.
  • Die Sicherheitsaktion “Aktivierungssperre umgehen” stützt sich auf die Verfügbarkeit eines Apple-Diensts. Wenn die Aktion nicht funktioniert, können Sie ein Gerät auf folgende Weise entsperren. Geben Sie auf dem Gerät manuell die Anmeldeinformationen des iCloud-Kontos ein. Alternativ können Sie das Feld “Benutzername” leer lassen und den Umgehungscode im Feld “Kennwort” eingeben. Zum Ermitteln der Umgehungscodes wählen Sie das Gerät unter Verwalten > Geräte aus, klicken auf Bearbeiten und dann auf Eigenschaften. Der Code zum Umgehen der Aktivierungssperre steht unter Sicherheitsinformationen.

Informationen über über Geräte abrufen

In der Endpoint Management-Datenbank wird eine Liste der Mobilgeräte gespeichert. Jedes Mobilgerät ist durch eine eindeutige Seriennummer oder eine IMEI (International Mobile Station Equipment Identity) bzw. einen MEID (Mobile Equipment Identifier) gekennzeichnet. Sie können der Endpoint Management-Konsole Geräte manuell hinzufügen oder eine Liste mit Geräten aus einer Datei importieren. Weitere Informationen zu Dateiformaten für das Geräteprovisioning finden Sie unter Geräte-Provisioningdateiformate weiter unten in diesem Artikel.

Auf der Seite Verwalten > Geräte der Endpoint Management-Konsole werden alle Geräte mit folgenden Informationen aufgelistet:

  • Status (Symbole, die angeben, ob ein Jailbreak vorliegt, ob das Gerät verwaltet wird, ob das ActiveSync-Gateway verfügbar ist und welchen Bereitstellungszustand das Gerät aufweist)
  • Modus: Gibt den Gerätemodus an, z. B. MDM oder MAM+MDM.
  • Weitere Informationen, z. B. Benutzername, Geräteplattform, Letzter Zugriff und Inaktivität (in Tagen). Dies sind die standardmäßig angezeigten Tabellenspalten.

Zum Anpassen der Tabelle Geräte klicken Sie auf den Pfeil nach unten in der letzten Spaltenüberschrift. Wählen Sie dann zusätzliche Spaltenüberschriften für die Anzeige in der Tabelle, bzw. deaktivieren Sie Spaltenüberschriften, die nicht angezeigt werden sollen.

Abbildung der Anpassungsoptionen für die Gerätetabelle

Sie können Geräte manuell hinzufügen, Geräte aus einer Geräteprovisioningdatei importieren, Gerätedetails bearbeiten, Sicherheitsaktionen durchführen und Benachrichtigungen an Geräte senden. Sie können auch alle Gerätedaten aus der Tabelle in eine CSV-Datei exportieren, um einen benutzerdefinierten Bericht zu erstellen. Es werden alle Geräteattribute exportiert. Wenn Sie Filter anwenden, werden diese beim Erstellen der CSV-Datei von Endpoint Management berücksichtigt.

Gerät manuell hinzufügen

  1. Klicken Sie in der Endpoint Management-Konsole auf Verwalten > Geräte. Die Seite Geräte wird angezeigt.

    Abbildung der Seite "Geräte"

  2. Klicken Sie auf Hinzufügen. Die Seite Gerät hinzufügen wird angezeigt.

    Abbildung der Seite "Gerät hinzufügen"

  3. Konfigurieren Sie folgende Einstellungen:

    • Plattform wählen: Klicken Sie auf iOS oder Android.
    • Seriennummer: Geben Sie die Seriennummer des Geräts ein.
    • IMEI/MEID: Geben Sie optional die IMEI/MEID des Geräts ein (nur Android-Geräte).
  4. Klicken Sie auf Hinzufügen. Die Tabelle Geräte wird angezeigt. Das hinzugefügte Gerät befindet sich am Ende der Liste. Um die Gerätedetails zu überprüfen, wählen Sie das hinzugefügte Gerät aus und klicken Sie in dem nun angezeigten Menü auf Bearbeiten.

    Hinweis:

    Wenn Sie das Kontrollkästchen neben einem Gerät aktivieren, wird das Menü mit den Optionen oberhalb der Liste angezeigt. Wenn Sie an eine andere Stelle in der Liste klicken, wird das Menü mit den Optionen rechts daneben angezeigt.

    • LDAP konfiguriert

    • Bei Verwendung lokaler Gruppen und Benutzer:

      • Eine oder mehrere lokale Gruppen

      • Lokale Benutzer, die lokalen Gruppen zugewiesen sind

      • Bereitstellungsgruppen, die lokalen Gruppen zugeordnet sind

    • Bei Verwendung von Active Directory:

      • Bereitstellungsgruppen, die Active Directory-Gruppen zugeordnet sind

      Abbildung der Gerätedetailliste

  5. Auf der Seite Allgemein werden Gerätekennungen aufgeführt, z. B. die Seriennummer und weitere plattformspezifische Informationen. Wählen Sie für Gerätebesitz die Option Unternehmen oder BYOD.

    Auf der Seite Allgemein werden zudem Sicherheitseigenschaften aufgeführt, z. B. starke ID, Gerätesperrung, Umgehen der Aktivierungssperre und weitere plattformspezifische Informationen. Das Feld Gerät vollständig löschen enthält den Benutzer-PIN-Code. Der Benutzer muss den Code eingeben, anschließend erfolgt die Löschung. Wenn der Benutzer den Code vergessen hat, können Sie ihn hier nachsehen.

  6. Auf der Seite Eigenschaften werden die von Endpoint Management bereitgestellten Geräteeigenschaften aufgeführt. Diese Liste enthält alle in der beim Hinzufügen des Geräts verwendeten Provisioningdatei enthaltenen Geräteeigenschaften. Wenn Sie eine Eigenschaft hinzufügen möchten, klicken Sie auf Hinzufügen und wählen Sie eine Eigenschaft in der Liste aus. Gültige Werte für jede Eigenschaft finden Sie in der PDF Device property names and values.

    Wenn Sie eine Eigenschaft hinzufügen, wird sie zunächst in der Kategorie angezeigt, in der Sie sie hinzufügen. Wenn Sie anschließend auf Weiter klicken und dann zu der Seite Eigenschaften zurückkehren, wird die Eigenschaft in der richtigen Liste angezeigt.

    Zum Löschen einer Eigenschaft zeigen Sie auf die Auflistung und klicken Sie dann auf das X auf der rechten Seite. Endpoint Management löscht das Element sofort.

  7. Die verbleibenden Abschnitte mit Gerätedetails enthalten zusammenfassende Informationen zu dem Gerät.

    • Benutzereigenschaften: zeigt RBAC-Rollen, Gruppenmitgliedschaften, VPP-Konten und Eigenschaften des Benutzers an. Auf dieser Seite können Sie ein VPP-Konto deaktivieren.
    • Zugewiesene Richtlinien: zeigt die Anzahl der zugewiesenen bereitgestellten, ausstehenden und fehlgeschlagenen Richtlinien an. Für die einzelnen Richtlinien werden Name, Typ und letzte Bereitstellung angezeigt.
    • Apps: zeigt die Anzahl der installierten, ausstehenden und fehlgeschlagenen App-Bereitstellungen der letzten Bestandsaufnahme an. Es werden App-Name, ID, Typ und weitere Informationen angezeigt. Eine Beschreibung von iOS- und macOS-Bestandsschlüsseln, z. B. HasUpdateAvailable, finden Sie unter Mobile Device Management (MDM) Protocol.
    • Medien: zeigt die Anzahl der erfolgreichen, ausstehenden und fehlgeschlagenen Medienbereitstellungen der letzten Bestandsaufnahme an.
    • Aktionen: zeigt die Anzahl der bereitgestellten, ausstehenden und fehlgeschlagenen Aktionen an. Es werden Aktionsname und Uhrzeit der letzten Bereitstellung angezeigt.
    • Bereitstellungsgruppen: zeigt die Anzahl der erfolgreichen, ausstehenden und fehlerhaften Bereitstellungsgruppen an. Für jede Bereitstellung werden der Name der Bereitstellungsgruppe und die Uhrzeit der Bereitstellung angezeigt. Wählen Sie eine Bereitstellungsgruppe aus, um weitere Informationen (Status, Aktion und Kanal oder Benutzer) anzuzeigen.
    • iOS-Profile: zeigt den aktuellen iOS-Profilbestand mit Namen, Typ, Unternehmen und Beschreibung an.
    • iOS-Provisioningprofil: zeigt Informationen zum Provisioningprofil für die Verteilung im Unternehmen an, z. B. UUID, Ablaufdatum und Verwaltungsstatus.
    • Zertifikate: zeigt Informationen für gültige, abgelaufene und gesperrte Zertifikate an, z. B. Typ, Anbieter, Herausgeber, Seriennummer und Zeit in Tagen bis zum Ablauf.
    • Verbindungen: zeigt den ersten und letzten Verbindungsstatus an. Für jede Verbindung werden zudem der Benutzername und der Zeitpunkt der vorletzten und letzten Authentifizierung angezeigt.
    • MDM-Status: zeigt Informationen wie MDM-Status, Zeitpunkt der letzten Pushbenachrichtigung und letzte Geräteantwortzeit an.
    • TouchDown (nur Android-Geräte): zeigt die letzte Geräteauthentifizierung und die letzte Benutzerauthentifizierung an. Es werden Name und Wert jeder angewendeten Richtlinie angezeigt.

Importieren von Geräten aus einer Provisioningdatei

Sie können die Datei eines Mobilfunkanbieters oder Geräteherstellers oder Ihre eigene Provisioningdatei importieren. Weitere Informationen finden Sie unter Geräte-Provisioningdateiformate in diesem Artikel.

  1. Gehen Sie zu Verwalten > Geräte und klicken Sie auf Importieren. Das Dialogfeld Import Provisioning File wird angezeigt.

    Abbildung des Dialogfelds "Provisioningdatei anzeigen"

  2. Klicken Sie auf Datei wählen und navigieren Sie zu der Datei, die Sie importieren möchten.

  3. Klicken Sie auf Importieren. Die importierte Datei wird der Tabelle Geräte hinzugefügt.

  4. Zum Bearbeiten der Geräteinformationen wählen Sie die Datei und klicken Sie auf Bearbeiten. Informationen über die Seiten mit den Gerätedetails finden Sie unter Manuelles Hinzufügen von Geräten.

Senden einer Benachrichtigung an Geräte

Sie können Benachrichtigungen an Geräte über die Seite Geräte senden. Weitere Informationen zu Benachrichtigungen finden Sie unter Benachrichtigungen.

  1. Wählen Sie auf der Seite Verwalten > Geräte das oder die Geräte aus, an die Sie die Benachrichtigung senden möchten.

  2. Klicken Sie auf Benachrichtigen. Das Dialogfeld Benachrichtigung wird angezeigt. Im Feld Empfänger werden alle Geräte aufgeführt, die die Benachrichtigung erhalten sollen.

    Abbildung des Dialogfelds "Benachrichtigung"

  3. Konfigurieren Sie folgende Einstellungen:

    • Vorlagen: Klicken Sie in der Liste auf den gewünschten Benachrichtigungstyp. Die Felder Betreff und Nachricht werden mit den vorkonfigurierten Angaben aus der ausgewählten Vorlage (Ausnahme: Ad hoc) ausgefüllt.
    • Kanäle: Wählen Sie aus, wie die Benachrichtigung gesendet werden soll. Standardwert ist SMTP und SMS. Klicken Sie auf die Registerkarten zum Anzeigen des Nachrichtenformats für die einzelnen Kanäle.
    • Absender: Geben Sie optional einen Absender ein.
    • Betreff: Geben Sie für eine Ad-hoc-Nachricht einen Betreff ein.
    • Nachricht: Geben Sie für eine Ad-hoc-Nachricht einen Text ein.
  4. Klicken Sie auf Benachrichtigen.

Exportieren der Gerätetabelle

  1. Filtern Sie die Tabelle Geräte nach den Informationen, die in der Exportdatei angezeigt werden sollen.

  2. Klicken Sie auf die Schaltfläche Exportieren oberhalb der Tabelle Geräte. Endpoint Management extrahiert die Informationen in der gefilterten Tabelle Geräte und konvertiert sie in eine CSV-Datei.

  3. Bei Erscheinen der entsprechenden Aufforderung öffnen oder speichern Sie die CSV-Datei.

Geräte manuell per Tag kennzeichnen

Sie können Geräte in Endpoint Management auf folgende Weise manuell kennzeichnen:

  • bei der Registrierung nach Einladung
  • bei der Registrierung über das Selbsthilfeportal
  • durch Hinzufügen von Gerätebesitz als Geräteeigenschaft

Sie können Geräte als Unternehmens- oder Privatgeräte kennzeichnen. Bei der Registrierung eines Geräts über das Selbsthilfeportal können Sie dieses ebenfalls als Unternehmens- oder Privatgerät kennzeichnen. Sie können Geräte auch wie folgt manuell kennzeichnen.

  1. Fügen Sie dem Gerät über die Registerkarte Geräte in der Endpoint Management-Konsole eine Eigenschaft hinzu.
  2. Fügen Sie die Eigenschaft Besitz von hinzu und wählen Sie entweder Unternehmen oder BYOD (Privatgerät).

    Abbildung der Eigenschaftseinstellungen für "Besitz von"

Gerätesuche

Zur schnellen Suche enthält der Standardsuchbereich die folgenden Geräteeigenschaften:

  • Seriennummer
  • IMEI
  • WiFi MAC-Adresse
  • Bluetooth MAC-Adresse
  • Active Sync ID
  • Benutzername

Sie können den Suchbereich über eine neue Servereigenschaft konfigurieren, include.device.properties.during.search, die standardmäßig auf false gesetzt ist. Um alle Geräteeigenschaften in eine Gerätesuche einzubeziehen, gehen Sie zu Einstellungen > Servereigenschaften und ändern Sie die Einstellung in true.

Geräte-Provisioningdateiformate

Viele Mobilfunkanbieter und Mobilgerätehersteller geben Listen autorisierter Mobilgeräte heraus. Sie können diese Listen verwenden, statt lange Mobilgerätelisten manuell einzugeben. Endpoint Management unterstützt ein für alle drei unterstützten Gerätetypen – Android, iOS und Windows – geeignetes Importdateiformat.

Eine manuell erstellte Provisioningdatei zum Importieren von Geräten in Endpoint Management muss folgendes Format haben:

SerialNumber;IMEI;OperatingSystemFamily;propertyName1;propertyValue1;propertyName2;propertyValue2; … propertyNameN;propertyValueN

Berücksichtigen Sie dabei Folgendes:

  • Gültige Werte für jede Eigenschaft finden Sie in der PDF Device property names and values.
  • Verwenden Sie den UTF-8-Standardzeichensatz.
  • Trennen Sie die Felder in der Provisioningdatei durch Semikola (;). Wenn ein Feld ein Semikolon enthält, schützen Sie es mit einem umgekehrten Schrägstrich (\).

    Beispiel:

    propertyV;test;1;2

    Schützen Sie das Semikolon wie unten dargestellt:

    propertyV\;test\;1\;2

  • Die Seriennummer ist für iOS-Geräte erforderlich, da sie bei iOS als Geräte-ID verwendet wird.
  • Für andere Geräteplattformen müssen Sie entweder die Seriennummer oder die IMEI verwenden.
  • Gültige Werte für OperatingSystemFamily sind WINDOWS, ANDROID oder iOS.

Beispiel einer Geräteprovisioningdatei:

`1050BF3F517301081610065510590391;15244201625379901;WINDOWS;propertyN;propertyV\;test\;1\;2;prop 2
2050BF3F517301081610065510590392;25244201625379902;ANDROID;propertyN;propertyV$*&&ééétest
3050BF3F517301081610065510590393;35244201625379903;iOS;test;
4050BF3F517301081610065510590393;;iOS;test;
; 55244201625379903; ANDROID; test.testé; value; `

Jede Zeile der Datei enthält ein Gerät. Der erste Eintrag in dem Beispiel bedeutet Folgendes:

  • SerialNumber: 1050BF3F517301081610065510590391
  • IMEI: 15244201625379901
  • OperatingSystemFamily: WINDOWS
  • PropertyName: propertyN
  • PropertyValue: propertyV\;test\;1\;2;prop 2

Gemeinsam genutzte Geräte

Endpoint Management ermöglicht die Konfiguration von Geräten, die von mehreren Benutzern verwendet werden können. Ärzte in Krankenhäusern können so beispielsweise das jeweils nächstgelegene Gerät für den Zugriff auf Apps und Daten nutzen, anstatt ein bestimmtes Gerät mit sich herumtragen zu müssen. Die gemeinsame Gerätenutzung kann auch für Personal im Außendienst eingeführt werden, um Ausrüstungskosten zu senken.

Wichtige Hinweise zur gemeinsamen Gerätenutzung

Sie können alle unterstützten iOS- und Android-Geräte als gemeinsam genutzte Geräte verwenden. Eine Liste der unterstützten Geräte finden Sie unter Unterstützte Gerätebetriebssysteme.

MDM-Modus

  • Auf iOS- und Android-Tablets und -Telefonen verfügbar. Die einfache Registrierung per Device Enrollment Program (DEP) wird für gemeinsam genutzte Geräte unter Endpoint Management Enterprise nicht unterstützt. Verwenden Sie in diesem Modus für gemeinsam genutzte Geräte ein autorisiertes DEP.
  • Clientzertifikatauthentifizierung, Citrix PIN, Touch ID, Benutzerentropie und zweistufige Authentifizierung werden nicht unterstützt.

MDM+MAM-Modus

  • Nur auf iOS- und Android-Tablets verfügbar.
  • Nur die Authentifizierung mit Active Directory-Benutzernamen und Kennwort wird unterstützt.
  • Clientzertifikatauthentifizierung, Passcode für Secure Hub, Touch ID, Benutzerentropie und zweistufige Authentifizierung werden nicht unterstützt.
  • Der MAM-Only-Modus wird nicht unterstützt. Die Geräte müssen in MDM registriert werden.
  • Nur Secure Mail, Secure Web und die mobile App für Citrix Files werden unterstützt. HDX-Apps werden nicht unterstützt.
  • Es werden ausschließlich Active Directory-Benutzer unterstützt. Lokale Benutzer und Gruppen werden nicht unterstützt.
  • Eine erneute Registrierung vorhandener und nur per MDM verwalteter gemeinsam genutzter Geräte ist erforderlich, um ein Update auf den MDM+MAM-Modus durchzuführen
  • Die Benutzer können nur mobile Produktivitätsapps von Citrix und mit MDX umschlossene Apps gemeinsam nutzen. Native Apps können nicht gemeinsam genutzt werden.
  • Nach dem Download während der Erstregistrierung werden mobile Produktivitätsapps von Citrix nicht jedes Mal neu heruntergeladen, wenn sich ein neuer Benutzer am Gerät anmeldet. Ein neuer Benutzer kann sich einfach am Gerät anmelden und loslegen.
  • Damit Sie unter Android die Daten der einzelnen Benutzer für Sicherheitszwecke isolieren können, aktivieren Sie die Richtlinie für die Unzulässigkeit von Geräten mit Rooting in der Endpoint Management-Konsole.

Voraussetzungen für die Registrierung gemeinsam genutzter Geräte

Vor dem Registrieren gemeinsam genutzter Geräte müssen Sie die folgenden Schritte ausführen:

Voraussetzungen für MDM+MAM-Modus

  1. Erstellen Sie eine Active Directory-Gruppe mit einem aussagekräftigen Namen. In diesem Beispiel wird Shared Device Enrollers verwendet.
  2. Fügen Sie dieser Gruppe die Active Directory- Benutzer hinzu, die Sie freigegebene Geräte registrieren möchten. Wenn Sie für diesen Zweck ein neues Konto verwenden möchten, erstellen Sie einen neuen Active Directory-Benutzer (z. B. sdenroll) und fügen Sie den Benutzer der Active Directory-Gruppe hinzu.

Konfigurieren eines gemeinsam genutzten Geräts

Mit den folgenden Schritten konfigurieren Sie ein gemeinsam genutztes Gerät.

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.
  2. Klicken Sie auf Rollenbasierte Zugriffssteuerung und dann auf Hinzufügen. Die Seite Rolle hinzufügen wird angezeigt.
  3. Erstellen Sie eine Benutzerrolle für die Registrierung gemeinsam genutzter Geräte namens Registrierungsbenutzer für gemeinsam genutzte Geräte mit den Berechtigungen Registrierung für gemeinsam genutzte Geräte unter Autorisierter Zugriff. Erweitern Sie Geräte unter Konsolenfeatures und wählen Sie Gerät selektiv löschen aus. Mit dieser Einstellung wird sichergestellt, dass die über das Konto “Registrierungsbenutzer für gemeinsam genutzte Geräte” bereitgestellten Apps und Richtlinien von Secure Hub gelöscht werden, wenn die Registrierung des Geräts aufgehoben wird.

    Behalten Sie die Standardeinstellung Auf alle Benutzergruppen für Berechtigungen anwenden bei oder weisen Sie bestimmten Active Directory-Benutzergruppen Berechtigungen mit der Option Auf bestimmte Benutzergruppen zu.

    Abbildung der Optionen für "Berechtigungen anwenden"

    Klicken Sie auf Weiter, um den Bildschirm Zuweisung anzuzeigen. Weisen Sie die Registrierungsrolle für gemeinsam genutzte Geräte, die Sie erstellt haben, der Active Directory-Gruppe zu, die Sie für Registrierungsbenutzer für gemeinsam genutzte Geräte erstellt haben. In der Abbildung unten ist citrix.lab die Active Directory-Domäne und Shared Device Enrollers ist die Active Directory-Gruppe.

    Abbildung des Zuweisungsbildschirms

  4. Erstellen Sie eine Bereitstellungsgruppe mit den grundlegenden Richtlinien, Apps und Aktionen, die für das Gerät gelten sollen, wenn kein Benutzer angemeldet ist. Weisen Sie dann die Bereitstellungsgruppe der Active Directory-Gruppe für die Registrierung des gemeinsam genutzten Geräts zu.

    Abbildung der Bereitstellungsgruppeneinstellungen

  5. Installieren Sie Secure Hub auf dem gemeinsam genutzten Gerät und registrieren Sie es in Endpoint Management mit dem Benutzerkonto für die Registrierung des gemeinsam genutzten Geräts. Sie können das Gerät nun über die Endpoint Management-Konsole anzeigen und verwalten. Weitere Informationen finden Sie unter Registrieren von Geräten.

  6. Zum Anwenden unterschiedlicher Richtlinien oder zum Bereitstellen zusätzlicher Apps für authentifizierte Benutzer müssen Sie eine diesen Benutzern zugewiesene Bereitstellungsgruppe erstellen und sie nur auf gemeinsam genutzten Geräten bereitstellen. Konfigurieren Sie beim Erstellen der Bereitstellungsgruppen Bereitstellungsregeln, um sicherzustellen, dass sie für gemeinsam genutzte Geräte bereitgestellt werden. Weitere Informationen finden Sie unter Bereitstellen von Ressourcen.

  7. Zum Beenden der gemeinsamen Gerätenutzung führen Sie einen selektiven Löschvorgang durch, um das Benutzerkonto für die Registrierung des gemeinsam genutzten Geräts zu löschen. Durch die selektive Löschung werden auch alle bereitgestellten Apps und Richtlinien von dem Gerät gelöscht.

Benutzererfahrung bei gemeinsam genutzten Geräten

MDM-Modus

Jedem Benutzer werden nur die ihm verfügbaren Ressourcen angezeigt und seine Benutzererfahrung ist auf jedem gemeinsam genutzten Gerät gleich. Die Richtlinien und Apps für gemeinsam genutzte Geräte bleiben immer auf dem Gerät. Wenn ein Benutzer, der nicht für gemeinsam genutzte Geräte registriert ist, sich bei Secure Hub anmeldet, werden die Richtlinien und Apps des Benutzers auf dem Gerät bereitgestellt. Meldet sich der Benutzer wieder ab, werden die Richtlinien und Apps, die sich von denen des für die Registrierung des Geräts verwendeten Benutzers unterscheiden, entfernt. Die Registrierungsressourcen für das gemeinsam genutzte Gerät bleiben intakt.

MDM+MAM-Modus

Secure Mail und Secure Web werden auf dem Gerät bereitgestellt, wenn die Registrierung von dem Benutzer für gemeinsam genutzte Geräte durchgeführt wird. Die Benutzerdaten werden sicher auf dem Gerät gespeichert. Die Daten werden anderen Benutzern nicht angezeigt, wenn sie sich bei Secure Mail oder Secure Web anmelden.

Es kann sich nur jeweils ein Benutzer bei Secure Hub anmelden. Der vorherige Benutzer muss sich abmelden, bevor der nächste Benutzer sich anmelden kann. Aus Sicherheitsgründen speichert Secure Hub keine Anmeldeinformationen auf gemeinsam genutzten Geräten, sodass Benutzer ihre Anmeldeinformationen bei jeder Anmeldung eingeben müssen. Damit ein neuer Benutzer nicht auf die Ressourcen des vorherigen zugreifen kann, lässt Secure Hub nicht zu, dass neue Benutzer sich während des Entfernens der Richtlinien, Apps und Daten des vorherigen Benutzers anmelden.

Der Upgradevorgang für Apps ändert sich bei gemeinsam genutzten Geräten nicht. Sie können Upgrades wie gewohnt Benutzern gemeinsam genutzter Geräte per Push bereitstellen und Benutzer können Upgrades von Apps direkt auf ihren Geräten durchführen.

Empfohlene Richtlinien für Secure Mail

  • Für die optimale Leistung von Secure Mail legen Sie denmaximalen Synchronisierungszeitraum basierend auf der Anzahl der Benutzer fest, die das Gerät gemeinsam verwenden sollen. Das Zulassen unbegrenzter Synchronisierungen wird nicht empfohlen.
Anzahl Benutzer, die Gerät gemeinsam verwenden Empfohlener maximaler Synchronisierungszeitraum
21–25 1 Woche oder weniger
6–20 2 Wochen oder weniger
5 oder weniger 1 Monat oder weniger
  • Blockieren Sie das Exportieren von Kontakten, damit Benutzer, die das Gerät gemeinsam verwenden, nicht auf die Kontakte der anderen Benutzer zugreifen können.

  • Auf iOS können nur die folgenden Einstellungen pro Benutzer festgelegt werden. Alle anderen Einstellungen gelten für alle Benutzer, die das Gerät gemeinsam verwenden:

    • Benachrichtigungen
    • Signatur
    • Abwesend
    • E-Mail-Synchronisierungszeitraum
    • S/MIME
    • Rechtschreibprüfung