Citrix Endpoint Management

Android Enterprise

Android Enterprise ist eine Sammlung von Tools und Diensten, die von Google als Unternehmensverwaltungslösung für Android-Geräte bereitgestellt werden. Bei Einsatz von Android Enterprise:

  • Sie verwalten unternehmenseigene Android-Geräte und private Android-Arbeitsgeräte (BYOD) mit Endpoint Management.
  • Sie können das gesamte Gerät oder ein separates Profil auf dem Gerät verwalten. Das separate Profil isoliert geschäftliche Konten, Apps und Daten von persönlichen Konten, Apps und Daten.
  • Sie können damit auch dedizierte Einzweckgeräte verwalten, z. B. Geräte für die Bestandsverwaltung. Eine Übersicht über Android Enterprise-Funktionen von Google finden Sie auf der Android Enterprise Management.

Eine Liste mit Begriffen und Definitionen für Android Enterprise finden Sie unter Android Enterprise terminology im Google Android Enterprise-Entwicklerhandbuch. Diese Liste wird von Google häufig aktualisiert.

Eine Liste der Android-Betriebssysteme mit Unterstützung für Endpoint Management finden Sie unter Unterstützte Gerätebetriebssysteme.

Wenn Sie Endpoint Management mit verwaltetem Google Play zur Verwendung von Android Enterprise integrieren, erstellen Sie ein Unternehmen. Google definiert ein Unternehmen als Bindeglied zwischen der Organisation und Ihrer EMM-Lösung (Enterprise Mobile Management). Alle Benutzer und Geräte, die die Organisation über Ihre Lösung verwaltet, gehören zu diesem Unternehmen.

Ein Unternehmen für Android Enterprise besteht aus drei Komponenten: einer EMM-Lösung, einer DPC-App (Device Policy Controller) und einer Google-Plattform für Unternehmensapps. Wenn Sie Endpoint Management mit Android Enterprise integrieren, besteht die Komplettlösung aus folgenden Komponenten:

  • Citrix Endpoint Management: EMM-Lösung von Citrix. Endpoint Management ist die einheitliche Endpunktverwaltung für einen sicheren digitalen Workspace. Endpoint Management bietet IT-Administratoren die Möglichkeit, Geräte und Apps für ihre Organisationen zu verwalten.
  • Citrix Secure Hub: DPC-App von Citrix. Secure Hub ist das Launchpad für Endpoint Management. Secure Hub ermöglicht das Durchsetzen von Richtlinien auf dem Gerät.
  • Verwaltetes Google Play: Googles Plattform für Unternehmensapps, die mit Endpoint Management integriert ist. Die Google Play EMM-API legt App-Richtlinien fest und verteilt Apps.

Diese Abbildung zeigt die Interaktion von Administratoren mit den Komponenten und die Interaktion der Komponenten untereinander.

Android Enterprise-Workflow

Verwenden von verwaltetem Google Play mit Endpoint Management

Hinweis:

Sie können Citrix über verwaltetes Google Play oder über G Suite als Ihren EMM-Anbieter registrieren. Im Folgenden wird die Verwendung von Android Enterprise mit verwaltetem Google Play beschrieben. Wenn Ihre Organisation die G Suite für den App-Zugriff verwendet, können Sie sie mit Android Enterprise verwenden. Siehe Legacy Android Enterprise für G Suite-Kunden.

Wenn Sie verwaltetes Google Play verwenden, stellen Sie verwaltete Google Play-Konten für Geräte und Endbenutzer bereit. Über verwaltete Google Play-Konten können Benutzer auf verwaltetes Google Play zugreifen und Apps installieren und verwenden, die Sie zur Verfügung stellen. Wenn Ihre Organisation den Identitätsdienst eines Drittanbieters verwendet, können Sie verwaltete Google Play-Konten mit den bestehenden Identitätskonten verknüpfen.

Da dieser Unternehmenstyp nicht an eine Domäne gebunden ist, können Sie für jede Organisation mehrere Unternehmen erstellen. Beispielsweise kann sich jede Abteilung oder Region in einer Organisation als ein eigenes Unternehmen anmelden. Durch Einrichten mehrerer Unternehmen können Sie separate Gruppen von Geräten und Apps verwalten.

Für Endpoint Management-Administratoren bietet verwaltetes Google Play neben der Benutzererfahrung und den App Store-Features von Google Play diverse Verwaltungsfunktionen für Unternehmen. Sie verwenden verwaltetes Google Play zum Hinzufügen, Erwerben und Genehmigen von Apps für die Bereitstellung in dem Android Enterprise-Workspace von Geräten. Über Google Play können Sie öffentliche Apps, private Apps und Apps von Drittanbietern bereitstellen.

Für Benutzer von verwalteten Geräten ist verwaltetes Google Play der Store für Unternehmensapps. Benutzer können Apps durchsuchen, App-Details anzeigen und sie installieren. Im Gegensatz zur öffentlichen Google Play-Version können Benutzer vom verwalteten Google Play nur die Apps installieren, die Sie ihnen zur Verfügung stellen.

Szenarien und Profile für die Gerätebereitstellung

Gerätebereitstellungsszenarios legen fest, wer Besitzer der bereitgestellten Geräte ist und wie Sie sie verwalten. Geräteprofile beziehen sich auf die Art und Weise, wie der DPC Richtlinien auf Geräten verwaltet und durchsetzt.

Ein Arbeitsprofil isoliert geschäftliche Konten, Apps und Daten von persönlichen Konten, Apps und Daten. Weitere Informationen zu Arbeitsprofilen finden Sie in der Google Android Enterprise-Hilfe unter Was ist ein Arbeitsprofil?.

Wichtig:

Beim Update von Android Enterprise-Geräten auf Android 11 migriert Google Geräte, mit der Einstellung “Vollständig verwaltet mit Arbeitsprofil” zu einem neuartigen Arbeitsprofil mit verbesserter Sicherheit. Weitere Informationen finden Sie unter Changes ahead for Android Enterprise’s Fully Managed with Work Profile.

Geräteverwaltung Anwendungsfälle Arbeitsprofil Persönliches Profil Hinweise
Unternehmenseigene Geräte (vollständig verwaltet) Unternehmenseigene Geräte, die nur für den geschäftlichen Einsatz bestimmt sind Nein Ja. Der DPC kann geräteweite Aktionen ausführen, z. B. die Konnektivität für das Gerät konfigurieren, globale Einstellungen konfigurieren und die Werkseinstellungen zurücksetzen. Nur für neue oder auf die Werkseinstellungen zurückgesetzte Geräte. Siehe Provisioning vollständig verwalteter Geräte mit Android Enterprise.
Vollständig verwaltet mit Arbeitsprofil Unternehmenseigene Geräte, die für den geschäftlichen und privaten Einsatz bestimmt sind Ja Ja. Es werden zwei DPC-Kopien auf den Geräten ausgeführt, wobei ein DPC das Gerät im Gerätebesitzermodus und der zweite das Arbeitsprofil im Profilbesitzermodus verwaltet. Sie können separate Richtlinien für Gerät und Arbeitsprofil festlegen. Solche Geräte wurden früher als COPE-Geräte (Unternehmenseigentum, vom Benutzer verwaltet) bezeichnet. Siehe Provisioning vollständig verwalteter Android Enterprise-Geräte mit Arbeitsprofil (COPE-Geräte).
Dedizierte Geräte* Unternehmenseigene Geräte, die für einen einzigen Anwendungsfall konfiguriert sind, z. B. digitale Werbetechnik oder Ticketdruck Nein Ja. Sie stellen nur die erforderlichen Apps bereit und verhindern, dass Benutzer weitere Apps hinzufügen. Dedizierte Geräte wurden früher auch als unternehmenseigene Einzweckgeräte (COSU) bezeichnet. Siehe Provisioning von dedizierten Geräten mit Android Enterprise.
BYOD-Arbeitsprofil** Private Geräte, die bei der Arbeitsprofilverwaltung registriert sind (auch “Profilbesitzermodus”) Ja Ja. Der DPC verwaltet nur das Arbeitsprofil, nicht das gesamte Gerät. Diese Geräte müssen nicht neu oder auf die Werkseinstellungen zurückgesetzt sein. Siehe Provisioning von Arbeitsprofilgeräten mit Android Enterprise.

* Die Benutzer können ein dediziertes Gerät gemeinsam verwenden. Wenn sich ein Benutzer bei einer App auf einem dedizierten Gerät anmeldet, ist sein Arbeitsstatus nicht gerätebezogen, sondern App-bezogen.

** Zebra-Geräte können in Endpoint Management nicht als Geräte im BYOD-Arbeitsprofilmodus verwendet werden. Endpoint Management unterstützt Zebra-Geräte als vollständig verwaltete Geräte und als Geräte im Legacymodus (auch als Geräteadministratormodus bezeichnet).

Informationen zum Migrieren vom Legacymodus zum Gerätebesitzer- oder Profilbesitzermodus finden Sie unter Migration von der Geräteverwaltung zu Android Enterprise.

Authentifizierungsmethoden

Registrierungsprofile bestimmen, ob Android-Geräte bei MAM, MDM oder MDM+MAM registriert werden, wobei im letzteren Modus die Benutzer ggf. MDM abwählen können.

Der Registrierungsmodus Benutzername + PIN ist für Android Enterprise nicht verfügbar. Weitere Informationen zum Festlegen der Sicherheitsstufe und zum Registrierungsverfahren finden Sie unter Benutzerkonten, Rollen und Registrierungseinstellungen.

Endpoint Management unterstützt die folgenden Authentifizierungsverfahren für bei MDM+MAM registrierte Android-Geräte. Weitere Informationen finden Sie unter Zertifikate und Authentifizierung.

  • Domäne
  • Domäne plus Sicherheitstoken
  • Clientzertifikat
  • Clientzertifikat plus Domäne
  • Identitätsanbieter:
    • Azure Active Directory
    • Citrix-Identitätsanbieter

Eine weitere, selten verwendete Authentifizierungsmethode ist das Clientzertifikat plus Sicherheitstoken. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX215200.

Anforderungen

Vor dem Einsatz von Android Enterprise ist Folgendes erforderlich:

  • Konten und Anmeldeinformationen:

    • Ein Google-Unternehmenskonto zum Einrichten von Android Enterprise mit verwaltetem Google Play
    • Ein Citrix-Kundenkonto zum Download der aktuellen MDX-Dateien
    • Ein Google-Entwicklerkonto zum Bereitstellen privater Apps (optional)
  • Firebase Cloud Messaging (FCM) ist für Endpoint Management konfiguriert. Unter Firebase Cloud Messaging finden Sie Anweisungen.

  • Knox Premium-Lizenzen für Samsung Knox Mobile Enrollment (optional)

Verbinden von Endpoint Management mit Google Play

Um Android Enterprise für Ihre Organisation einzurichten, registrieren Sie Citrix über verwaltetes Google Play als EMM-Anbieter. Damit wird verwaltetes Google Play mit Endpoint Management verbunden und ein Unternehmen für Android Enterprise in Endpoint Management erstellt.

Sie benötigen ein Google-Unternehmenskonto, um sich bei Google Play anzumelden.

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf der Seite Einstellungen auf Android Enterprise.

Einstellungsseite mit markiertem Android Enterprise

  1. Klicken Sie auf der Seite Android Enterprise in den Endpoint Management-Einstellungen auf Verbinden. Google Play wird geöffnet.

Verbindung von Android Enterprise mit Google Play

  1. Melden Sie sich mit den Anmeldeinformationen für Ihr Google-Unternehmenskonto bei Google Play an. Geben Sie den Namen Ihrer Organisation ein und bestätigen Sie, dass Citrix Ihr EMM-Anbieter ist.

  2. Eine Unternehmens-ID wurde für Android Enterprise hinzugefügt. Um Android Enterprise zu aktivieren, schieben Sie Android Enterprise aktivieren auf Ja.

    Android Enterprise aktivieren (Option)

Ihre Enterprise-ID wird in der Endpoint Management-Konsole angezeigt.

Android Enterprise-ID

Ihre Umgebung ist mit Google verbunden und kann Geräte verwalten. Sie können nun Apps für Benutzer bereitstellen.

Endpoint Management kann verwendet werden, um Benutzern mobile Produktivitätsapps von Citrix, MDX-Apps, Apps aus dem öffentlichen App-Store, Web- und SaaS-Apps, Unternehmensapps und Weblinks zur Verfügung zu stellen. Weitere Informationen zu diesen Apptypen und zu ihrer Bereitstellung finden Sie unter Hinzufügen von Apps.

Im folgenden Abschnitt wird gezeigt, wie mobile Produktivitätsapps bereitgestellt werden.

Bereitstellen mobiler Produktivitätsapps von Citrix für Android Enterprise-Benutzer

Zum Bereitstellen mobiler Produktivitätsapps von Citrix für Android Enterprise-Benutzer sind folgende Schritte erforderlich.

  1. Veröffentlichen Sie die Apps als MDX-Apps. Siehe Konfigurieren von Apps als MDX-Apps.

  2. Konfigurieren Sie die Regeln für die Sicherheitsabfrage, die die Benutzer für den Zugriff auf die Arbeitsprofile auf ihren Geräten verwenden. Siehe Konfigurieren der Richtlinie für die Sicherheitsabfrage.

Die veröffentlichten Apps sind für Geräte verfügbar, die in Ihrem Android Enterprise-Unternehmen registriert sind.

Hinweis:

Wenn Sie einem Android-Benutzer eine App für Android Enterprise aus dem öffentlichen App-Store bereitstellen, wird dieser Benutzer automatisch bei Android Enterprise registriert.

Konfigurieren von Apps als MDX-Apps

Gehen Sie zum Konfigurieren einer Citrix Produktivitätsapp als MDX-App für Android Enterprise folgendermaßen vor:

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Apps. Die Seite Apps wird angezeigt.

    Apps-Konfigurationsbildschirm

  2. Klicken Sie auf Hinzufügen. Das Dialogfeld App hinzufügen wird angezeigt.

    Apps-Konfigurationsbildschirm

  3. Klicken Sie auf MDX. Die Seite App-Informationen wird angezeigt.

  4. Wählen Sie links Android Enterprise als Plattform aus.

  5. Geben Sie auf der Seite App-Informationen die folgenden Informationen ein:

    • Name: Geben Sie einen aussagekräftigen Namen für die App ein. Dieser wird unter App-Name in der Tabelle Apps angezeigt.
    • Beschreibung: Geben Sie optional eine Beschreibung der App ein.
    • App-Kategorie: Klicken Sie optional in der Liste auf die Kategorie, der Sie die App hinzufügen möchten. Weitere Informationen zu App-Kategorien finden Sie unter Erstellen von App-Kategorien.
  6. Klicken Sie auf Weiter. Die Seite Android Enterprise MDX-App wird angezeigt.

  7. Klicken Sie auf Hochladen und navigieren Sie zum Speicherort der MDX-Dateien für die App. Wählen Sie die Datei aus und klicken Sie auf Öffnen.

  8. Es wird eine Meldung angezeigt, wenn die angehängte Anwendung eine Genehmigung des verwalteten Google Play-Stores erfordert. Klicken Sie auf Ja, um die Anwendung zu genehmigen, ohne die Citrix Endpoint Management-Konsole zu verlassen.

    Hinzufügen von MDX-Apps

  9. Wenn die Seite des verwalteten Google Play-Stores geöffnet wird, klicken Sie auf Approve.

    Genehmigen einer MDX-App

  10. Klicken Sie erneut auf Genehmigen.

  11. Wählen Sie Keep approved when app requests new permissions aus. Klicken Sie auf Speichern.

    Google Play-Genehmigungseinstellungen

  12. Wenn die App genehmigt und gespeichert wurde, werden weitere Einstellungen auf der Seite angezeigt. Konfigurieren Sie folgende Einstellungen:

    • Dateiname: Geben Sie den Dateinamen der App ein.
    • App-Beschreibung: Geben Sie eine Beschreibung für die App ein.
    • Produktschiene: Geben Sie an, welche Produktversion Sie auf Benutzergeräte übertragen möchten. Wenn Sie ein spezielles Testprodukt haben, können Sie dies auswählen und Ihren Benutzern zuweisen. Die Standardeinstellung ist Produktion.
    • App-Version: Geben Sie optional die Nummer der App-Version ein.
    • Paket-ID: URL der App im Google Play-Store.
    • OS-Version (Minimum): Geben Sie optional die älteste Betriebssystemversion ein, unter der die App ausgeführt werden kann.
    • OS-Version (Maximum): Geben Sie optional die neueste Betriebssystemversion ein, unter der die App ausgeführt werden kann.
    • Ausgeschlossene Geräte: Geben Sie optional Hersteller oder Gerätemodelle an, auf denen die App nicht ausgeführt werden kann.
  13. Konfigurieren Sie die MDX-Richtlinien. Weitere Informationen zu App-Richtlinien für MDX-Apps finden Sie unter MDX-Richtlinien auf einen Blick und Überblick über das MAM-SDK.

  14. Konfigurieren Sie die Bereitstellungsregeln. Weitere Informationen finden Sie unter Bereitstellen von Ressourcen.

  15. Erweitern Sie Storekonfiguration. Diese Einstellung gilt nicht für Android Enterprise-Apps, die nur im verwalteten Google Play angezeigt werden.

    Apps-Konfigurationsbildschirm

    Sie können optional FAQ oder Screenshots für die App zur Anzeige im App-Store hinzufügen. Sie können außerdem festlegen, ob Benutzer die App bewerten oder kommentieren können.

    • Konfigurieren Sie folgende Einstellungen:
      • App FAQ: Fügen Sie häufig gestellte Fragen und Antworten für die App hinzu.
      • App-Screenshots: Fügen Sie Screenshots zur Klassifizierung der App im App-Store hinzu. Die hochgeladene Grafikdatei muss das Format PNG haben. Sie können keine GIF- oder JPEG-Bilder hochladen.
      • App-Bewertungen zulassen: Wählen Sie aus, ob eine Bewertung der App durch die Benutzer zugelassen werden soll. Die Standardeinstellung ist Ein. App-Kommentare zulassen: Wählen Sie aus, ob eine Kommentierung der App durch die Benutzer zugelassen werden soll. Die Standardeinstellung ist Ein.
  16. Klicken Sie auf Weiter. Die Seite Genehmigungen wird angezeigt.

    Apps-Konfigurationsbildschirm

    Wenn für das Erstellen von Benutzerkonten eine Genehmigung erforderlich ist, verwenden Sie Workflows. Wenn Sie keine Genehmigungsworkflows einrichten möchten, fahren Sie mit Schritt 15 fort.

    Konfigurieren Sie folgende Einstellungen zum Erstellen oder Zuweisen eines Workflows:

    • Verwendete Workflows: Klicken Sie in der Liste auf einen Workflow oder klicken Sie auf Neuen Workflow erstellen. Die Standardeinstellung ist Ohne.
    • Wenn Sie Neuen Workflow erstellen ausgewählt haben, konfigurieren Sie die folgenden Einstellungen: Weitere Informationen finden Sie unter Erstellen und Verwalten von Workflows.
    • Name: Geben Sie einen aussagekräftigen Namen für den Workflow ein.
    • Beschreibung: Geben Sie optional eine Beschreibung für den Workflow ein.
    • Vorlagen für E-Mail-Genehmigung: Wählen Sie die E-Mail-Genehmigungsvorlage aus, die zugewiesen werden soll. Wenn Sie auf das Augensymbol rechts neben dem Feld klicken, wird ein Dialogfeld zur Vorschau der ausgewählten Vorlage angezeigt.
    • Ebenen für Managergenehmigung: Wählen Sie in der Liste die Anzahl der Managergenehmigungsebenen für den Workflow aus. Die Standardeinstellung ist 1 Ebene. Mögliche Optionen:
      • Nicht erforderlich
      • 1 Ebene
      • 2 Ebenen
      • 3 Ebenen
    • Active Directory-Domäne wählen: Wählen Sie in der Liste die für den Workflow zu verwendende Active Directory-Domäne aus.
    • Weitere erforderliche Freigabeberechtigte suchen: Geben Sie den Namen der zusätzlich erforderlichen Person in das Suchfeld ein und klicken Sie dann auf Suchen. Für die Namen wird Active Directory verwendet.
    • Wenn der Name im Feld angezeigt wird, aktivieren Sie das Kontrollkästchen daneben. Der Name und die E-Mail-Adresse der Person werden im Feld Ausgewählte zusätzliche erforderliche Freigabeberechtigte angezeigt.
      • Zum Entfernen einer Person aus der Liste Selected additional required approvers führen Sie einen der folgenden Schritte aus:
        • Klicken Sie auf Suchen, um eine Liste aller Personen in der ausgewählten Domäne anzuzeigen.
        • Geben Sie den Namen der Person vollständig oder teilweise in das Suchfeld ein und klicken Sie dann auf Search, um das Suchergebnis einzuschränken.
        • Die Namen der Personen in der Liste Selected additional required approvers sind im Suchergebnis mit einem Häkchen gekennzeichnet. Navigieren Sie durch die Liste und deaktivieren Sie die Kontrollkästchen aller Personen, die Sie entfernen möchten.
  17. Klicken Sie auf Weiter. Die Seite Bereitstellungsgruppenzuweisung wird angezeigt.

    Apps-Konfigurationsbildschirm

  18. Nehmen Sie neben Bereitstellungsgruppen wählen eine Eingabe vor, um nach einer Bereitstellungsgruppe zu suchen, oder wählen Sie eine oder mehrere Gruppen in der Liste aus. Diese ausgewählten Gruppen werden in der Liste Bereitstellungsgruppen für App-Zuweisung angezeigt.

  19. Erweitern Sie Bereitstellungszeitplan und konfigurieren Sie folgende Einstellungen:

    • Klicken Sie neben Bereitstellen auf Ein, um die Bereitstellung zu planen, oder auf Aus, um die Bereitstellung zu verhindern. Die Standardeinstellung ist Ein.
    • Klicken Sie neben Bereitstellungszeitplan auf Jetzt oder Später. Die Standardeinstellung ist Jetzt.
    • Wenn Sie Später auswählen, klicken Sie auf das Kalendersymbol und wählen Sie Datum und Uhrzeit für die Bereitstellung aus.
    • Klicken Sie neben Bereitstellungsbedingung auf Bei jeder Verbindung oder auf Nur bei Fehler in der vorherigen Bereitstellung. Die Standardeinstellung ist Bei jeder Verbindung.
    • Stellen Sie sicher, dass neben Bereitstellen für immer aktive Verbindungen die Option Aus ausgewählt ist. Die Standardeinstellung ist Aus. Die immer aktiven Verbindungen sind für Android Enterprise nicht verfügbar für Kunden, die Endpoint Management in einer Version ab 10.18.19 verwenden. Wir empfehlen diese Verbindungen nicht für Kunden, die Endpoint Management in einer Version vor 10.18.19 verwenden.

      Diese Option gilt, wenn Sie unter Einstellungen > Servereigenschaften den Schlüssel für die Bereitstellung im Hintergrund konfiguriert haben.

      Der Bereitstellungszeitplan gilt für alle Plattformen. Alle von Ihnen vorgenommenen Änderungen gelten für alle Plattformen, mit Ausnahme von Bereitstellen für immer aktive Verbindungen.

  20. Klicken Sie auf Speichern.

Wiederholen Sie die Schritte für jede mobile Produktivitätsapp.

Konfigurieren der Richtlinie für die Sicherheitsabfrage

Die Geräterichtlinie für Endpoint Management-Passcode konfiguriert Sicherheitsabfrageregeln. Die Abfragen werden angezeigt, wenn Benutzer auf ihre Geräte oder auf die Android Enterprise-Arbeitsprofile auf ihren Geräten zugreifen. Eine Sicherheitsabfrage kann ein Passcode oder eine biometrische Erkennung sein. Weitere Hinweise zur Passcoderichtlinie finden Sie unter Passcode-Geräterichtlinie.

  • Wenn in Ihrer Android Enterprise-Bereitstellung auch BYOD-Geräte enthalten sind, konfigurieren Sie die Passcoderichtlinie für das Arbeitsprofil.
  • Wenn Ihre Bereitstellung vollständig verwaltete, firmeneigene Geräte umfasst, konfigurieren Sie die Passcoderichtlinie für das Gerät selbst.
  • Wenn Ihre Bereitstellung beide Gerätetypen umfasst, konfigurieren Sie beide Arten von Passcoderichtlinien.

Konfigurieren der Passcoderichtlinie:

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Geräterichtlinien.

  2. Klicken Sie auf Hinzufügen.

  3. Klicken Sie auf Filter einblenden, um den Bereich Richtlinienplattform anzuzeigen. Wählen Sie im Bereich Richtlinienplattform die Option Android Enterprise aus.

  4. Klicken Sie im rechten Fensterbereich auf Passcode.

Kennwortsicherheitsoption

  1. Geben Sie einen Richtliniennamen ein. Klicken Sie auf Weiter.

    Kennwortsicherheitsname

  2. Konfigurieren Sie die Einstellungen für die Passcoderichtlinie.
    • Setzen Sie Gerätepasscode erforderlich auf Ein, um die verfügbaren Einstellungen für Sicherheitsabfragen für das Gerät anzuzeigen.
    • Setzen Sie Sicherheitsabfrage für das Arbeitsprofil erforderlich auf Ein, um die verfügbaren Einstellungen für Sicherheitsabfragen für das Arbeitsprofil anzuzeigen.
  3. Klicken Sie auf Weiter.

  4. Weisen Sie die Richtlinie mindestens einer Bereitstellungsgruppe zu.

  5. Klicken Sie auf Speichern.

Registrierungsprofile erstellen

Registrierungsprofile steuern, wie Android-Geräte registriert werden, wenn Android Enterprise für Ihre Endpoint Management-Bereitstellung aktiviert ist. Wenn Sie ein Registrierungsprofil für Android Enterprise-Geräte erstellen, können Sie es so konfigurieren, dass neue und auf Werkseinstellungen zurückgesetzte Geräte wie folgt registriert werden:

  • Als vollständig verwaltete Geräte
  • Als unternehmenseigene Einzweckgeräte (COSU-Geräte)
  • Als vollständig verwaltete Geräte mit Arbeitsprofil (COPE-Geräte)

Sie können jedes dieser Android Enterprise-Registrierungsprofile auch so konfigurieren, dass BYOD-Android-Geräte als Arbeitsprofilgeräte registriert werden.

Wenn Android Enterprise für Ihre Endpoint Management-Bereitstellung aktiviert ist, werden alle neu registrierten oder wieder registrierten Android-Geräte als Android Enterprise-Geräte registriert. Standardmäßig registriert das globale Registrierungsprofil neue und werkseitig zurückgesetzte Android-Geräte als vollständig verwaltete Geräte und BYOD Android-Geräte als Arbeitsprofilgeräte.

Wenn Sie Registrierungsprofile erstellen, weisen Sie ihnen Bereitstellungsgruppen zu. Wenn ein Benutzer zu mehreren Bereitstellungsgruppen mit unterschiedlichen Registrierungsprofilen gehört, bestimmt der Name der Bereitstellungsgruppe das verwendete Registrierungsprofil. Endpoint Management wählt die letzte Bereitstellungsgruppe in der alphabetisch geordneten Bereitstellungsgruppenliste aus. Weitere Informationen finden Sie unter Registrierungsprofile.

Hinzufügen eines Registrierungsprofils für vollständig verwaltete Geräte

Das globale Registrierungsprofil registriert Geräte standardmäßig als vollständig verwaltet, Sie können jedoch weitere Registrierungsprofile erstellen, um vollständig verwaltete Geräte zu registrieren.

  1. Gehen Sie in der Endpoint Management-Konsole zu Konfigurieren > Registrierungsprofile.

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite “Registrierungsinfo” einen Namen für das Registrierungsprofil ein.

  3. Legen Sie die Anzahl der Geräte fest, die Mitglieder mit diesem Profil registrieren können.

  4. Wählen Sie für Plattformen die Option Android oder klicken Sie auf Weiter. Die Seite “Registrierungskonfiguration” wird angezeigt.

  5. Legen Sie Verwaltung auf Android Enterprise fest.

  6. Legen Sie den Gerätebesitzermodus auf Unternehmenseigenes Gerät fest.

    Konfigurationsbildschirm für Registrierungsprofile

  7. Mit BYOD-Arbeitsprofil können Sie das Registrierungsprofil so konfigurieren, dass BYOD-Geräte als Arbeitsprofilgeräte registriert werden. Neue Geräte und Geräte, die auf die Werkseinstellungen zurückgesetzt wurden, werden als vollständig verwaltete Geräte registriert. Legen Sie BYOD-Arbeitsprofil auf Ein fest, um die Registrierung von BYOD-Geräten als Arbeitsprofilgeräte zu ermöglichen. Legen Sie BYOD-Arbeitsprofil auf Aus fest, um die Registrierung auf vollständig verwaltete Geräte zu beschränken. Die Standardeinstellung ist Ein.

  8. Wählen Sie aus, ob Geräte bei Citrix MAM registriert werden sollen.

  9. Wenn Sie BYOD-Arbeitsprofil auf Ein festlegen, konfigurieren Sie die Einstellung “Zustimmung des Benutzers”. Sollen die Benutzer von BYOD-Arbeitsprofilgeräten die Geräteverwaltung bei der Registrierung ihrer Geräte ablehnen können, legen Sie Benutzer dürfen Geräteverwaltung ablehnen auf Ein fest.

    Wenn BYOD-Arbeitsprofil auf Ein festgelegt wurde, ist die Option Benutzer dürfen Geräteverwaltung ablehnen standardmäßig auf Ein festgelegt. Wenn BYOD-Arbeitsprofil auf Aus festgelegt wurde, ist die Option Benutzer dürfen Geräteverwaltung ablehnen deaktiviert.

  10. Wählen Sie Zuweisung (Optionen). Der Bildschirm für die Bereitstellungsgruppenzuweisung wird angezeigt.

  11. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die voll verwaltete Geräte registrieren sollen. Klicken Sie auf Speichern.

    Die Seite “Registrierungsprofil” wird mit dem von Ihnen hinzugefügten Profil angezeigt.

    Konfigurationsbildschirm für Registrierungsprofile

Hinzufügen eines Registrierungsprofil für dedizierte Geräte

Wenn Ihre Endpoint Management-Bereitstellung dedizierte Geräte enthält, können zahlreiche dedizierte Geräte durch einen oder mehrere Endpoint Management-Administratoren registriert werden. Damit diese Administratoren alle erforderlichen Geräte registrieren können, erstellen Sie für sie ein Registrierungsprofil unter Zulassung einer unbegrenzten Anzahl an Geräten pro Benutzer.

  1. Gehen Sie in der Endpoint Management-Konsole zu Konfigurieren > Registrierungsprofile.

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite “Registrierungsinfo” einen Namen für das Registrierungsprofil ein. Legen Sie für die Anzahl der Geräte, die Mitglieder mit diesem Profil anmelden können, “Unbegrenzt” fest.

  3. Wählen Sie für Plattformen die Option Android oder klicken Sie auf Weiter. Die Seite “Registrierungskonfiguration” wird angezeigt.

  4. Legen Sie Verwaltung auf Android Enterprise fest.

  5. Legen Sie den Gerätebesitzermodus auf Dediziertes Gerät fest.

    Seite "Registrierungsprofile"

  6. Mit BYOD-Arbeitsprofil können Sie das Registrierungsprofil so konfigurieren, dass BYOD-Geräte als Arbeitsprofilgeräte registriert werden. Neue Geräte und Geräte, die auf die Werkseinstellungen zurückgesetzt wurden, werden als dedizierte Geräte registriert. Legen Sie BYOD-Arbeitsprofil auf Ein fest, um die Registrierung von BYOD-Geräten als Arbeitsprofilgeräte zu ermöglichen. Legen Sie BYOD-Arbeitsprofil auf Aus fest, um die Registrierung auf unternehmenseigene Geräte zu beschränken. Die Standardeinstellung ist Ein.

  7. Wählen Sie aus, ob Geräte bei Citrix MAM registriert werden sollen.

  8. Wenn Sie BYOD-Arbeitsprofil auf Ein festlegen, konfigurieren Sie die Einstellung “Zustimmung des Benutzers”. Sollen die Benutzer von BYOD-Arbeitsprofilgeräten die Geräteverwaltung bei der Registrierung ihrer Geräte ablehnen können, legen Sie Benutzer dürfen Geräteverwaltung ablehnen auf Ein fest.

    Wenn BYOD-Arbeitsprofil auf Ein festgelegt wurde, ist die Option Benutzer dürfen Geräteverwaltung ablehnen standardmäßig auf Ein festgelegt. Wenn BYOD-Arbeitsprofil auf Aus festgelegt wurde, ist die Option Benutzer dürfen Geräteverwaltung ablehnen deaktiviert.

  9. Wählen Sie Zuweisung (Optionen). Der Bildschirm für die Bereitstellungsgruppenzuweisung wird angezeigt.

  10. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die dedizierte Geräte registrieren sollen. Klicken Sie auf Speichern.

    Die Seite “Registrierungsprofil” wird mit dem von Ihnen hinzugefügten Profil angezeigt.

    Konfigurationsbildschirm für Registrierungsprofile

Hinzufügen eines Registrierungsprofils für vollständig verwaltete Geräte mit Arbeitsprofil

  1. Gehen Sie in der Endpoint Management-Konsole zu Konfigurieren > Registrierungsprofile.

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite “Registrierungsinfo” einen Namen für das Registrierungsprofil ein.

  3. Legen Sie die Anzahl der Geräte fest, die Mitglieder mit diesem Profil registrieren können.

  4. Wählen Sie für Plattformen die Option Android oder klicken Sie auf Weiter. Die Seite “Registrierungskonfiguration” wird angezeigt.

  5. Legen Sie Verwaltung auf Android Enterprise fest. Legen Sie den Gerätebesitzermodus auf Vollständig verwaltet mit Arbeitsprofil fest.

    Konfigurationsbildschirm für Registrierungsprofile

  6. Mit BYOD-Arbeitsprofil können Sie das Registrierungsprofil so konfigurieren, dass BYOD-Geräte als Arbeitsprofilgeräte registriert werden. Neue Geräte und Geräte, die auf die Werkseinstellungen zurückgesetzt wurden, werden als vollständig verwaltete Geräte mit Arbeitsprofil registriert. Legen Sie BYOD-Arbeitsprofil auf Ein fest, um die Registrierung von BYOD-Geräten als Arbeitsprofilgeräte zu ermöglichen. Legen Sie BYOD-Arbeitsprofil auf Aus fest, um die Registrierung auf dedizierte Geräte zu beschränken. Die Standardeinstellung ist Aus.

  7. Wählen Sie aus, ob Geräte bei Citrix MAM registriert werden sollen.

  8. Wenn Sie BYOD-Arbeitsprofil auf Ein festlegen, konfigurieren Sie die Einstellung “Zustimmung des Benutzers”. Sollen die Benutzer von BYOD-Arbeitsprofilgeräten die Geräteverwaltung bei der Registrierung ihrer Geräte ablehnen können, legen Sie Benutzer dürfen Geräteverwaltung ablehnen auf Ein fest.

    Wenn BYOD-Arbeitsprofil auf Ein festgelegt wurde, ist die Option Benutzer dürfen Geräteverwaltung ablehnen standardmäßig auf Ein festgelegt. Wenn BYOD-Arbeitsprofil auf Aus festgelegt wurde, ist die Option Benutzer dürfen Geräteverwaltung ablehnen deaktiviert.

  9. Wählen Sie Zuweisung (Optionen). Der Bildschirm für die Bereitstellungsgruppenzuweisung wird angezeigt.

  10. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die voll verwaltete Geräte mit Arbeitsprofil registrieren sollen. Klicken Sie auf Speichern.

    Die Seite “Registrierungsprofil” wird mit dem von Ihnen hinzugefügten Profil angezeigt.

    Seite "Registrierungsprofile"

Hinzufügen eines Registrierungsprofils für Legacygeräte

Der Geräteadministratormodus für die Geräteverwaltung ist veraltet und wurde von Google eingestellt. Google empfiehlt Kunden, alle Android-Geräte im Gerätebesitzermodus oder im Profilbesitzermodus zu verwalten. (Weitere Informationen finden Sie in den Entwicklerhandbüchern zu Google Android Enterprise unter Geräteadministrator – Einstellung der Unterstützung.)

Unterstützen dieser Änderung:

  • Für Citrix ist Android Enterprise die Standardoption bei der Registrierung von Android-Geräten.
  • Wenn Android Enterprise für Ihre Endpoint Management-Bereitstellung aktiviert ist, werden alle neu registrierten oder wieder registrierten Android-Geräte als Android Enterprise-Geräte registriert.

Ihre Organisation ist unter Umständen noch nicht in der Lage, Android-Legacygeräte mit Android Enterprise zu verwalten. In diesem Fall können Sie sie weiterhin im Geräteadministratormodus verwalten. Alle bereits im Geräteadministratormodus registrierten Geräte werden von Endpoint Management weiterhin in diesem Modus verwaltet.

Erstellen Sie ein Registrierungsprofil für Legacygeräte, um bei der Neuregistrierung dieser Android-Geräte den Geräteadministratormodus zu verwenden.

Erstellen eines Registrierungsprofils für Legacygeräte:

  1. Gehen Sie in der Endpoint Management-Konsole zu Konfigurieren > Registrierungsprofile.

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite “Registrierungsinfo” einen Namen für das Registrierungsprofil ein.

  3. Legen Sie die Anzahl der Geräte fest, die Mitglieder mit diesem Profil registrieren können.

  4. Wählen Sie für Plattformen die Option Android oder klicken Sie auf Weiter. Die Seite “Registrierungskonfiguration” wird angezeigt.

  5. Legen Sie Verwaltung auf Legacygeräteverwaltung fest (nicht empfohlen) . Klicken Sie auf Weiter.

    Konfigurationsbildschirm für Registrierungsprofile

  6. Wählen Sie aus, ob Geräte bei Citrix MAM registriert werden sollen.

  7. Sollen die Benutzer die Geräteverwaltung bei der Registrierung ihrer Geräte ablehnen können, legen Sie Benutzer dürfen Geräteverwaltung ablehnen auf Ein fest. Die Standardeinstellung ist Ein.

  8. Wählen Sie Zuweisung (Optionen). Der Bildschirm für die Bereitstellungsgruppenzuweisung wird angezeigt.

  9. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die dedizierte Geräte registrieren sollen. Klicken Sie auf Speichern.

Die Seite “Registrierungsprofil” wird mit dem von Ihnen hinzugefügten Profil angezeigt.

Seite "Registrierungsprofil"

Um das Legacygerät weiterhin im Geräteadministratormodus zu verwalten, registrieren Sie es mit diesem Profil oder registrieren Sie es neu. Sie registrieren Geräteadministratorgeräte ähnlich wie Arbeitsprofilgeräte, indem Benutzer Secure Hub herunterladen und eine Registrierungsserver-URL angeben.

Provisioning von Arbeitsprofilgeräten mit Android Enterprise

Android Enterprise-Arbeitsprofilgeräte sind im Profilbesitzermodus registriert. Diese Geräte müssen nicht neu oder auf die Werkseinstellungen zurückgesetzt sein. BYOD-Geräte werden als Arbeitsprofilgeräte registriert. Die Registrierung ähnelt der Android-Registrierung in Endpoint Management. Die Benutzer laden Secure Hub aus Google Play herunter und registrieren ihre Geräte.

Standardmäßig sind die Einstellungen “USB-Debugging” und “Unbekannte Quellen” auf einem Gerät deaktiviert, wenn Sie es bei Android Enterprise als Arbeitsprofilgerät registrieren.

Beim Registrieren von Geräten als Arbeitsprofilgerät in Android Enterprise wechseln Sie stets zu Google Play. Aktivieren Sie dort Secure Hub, das dann im persönlichen Profil des Benutzers angezeigt wird.

Provisioning vollständig verwalteter Geräte mit Android Enterprise

Sie können vollständig verwaltete Geräte in der Bereitstellung registrieren, die Sie in den vorherigen Abschnitten eingerichtet haben. Vollständig verwaltete Geräte sind firmeneigene Geräte und werden im Gerätebesitzermodus registriert. Nur neue Geräte oder auf die Werkseinstellungen zurückgesetzte Geräte können im Gerätebesitzermodus registriert werden.

Sie können Geräte mit einer der folgenden Registrierungsmethoden im Gerätebesitzermodus registrieren:

  • DPC-ID-Token: Bei dieser Registrierungsmethode geben Benutzer beim Einrichten des Geräts die Zeichenfolge afw#xenmobile ein. afw#xenmobile ist der DPC-ID-Token von Citrix. Der Token identifiziert das Gerät als von Endpoint Management verwaltet und lädt Secure Hub vom Google Play Store herunter. Siehe Registrierung von Geräten mit dem Citrix DPC-ID-Token.
  • Datenübertragung per NFC (Near Field Communication): Bei dieser kontaktlosen Registrierungsmethode erfolgt der Datenaustausch zwischen zwei Geräten über die Nahfeldkommunikation (NFC). Bluetooth, Wi-Fi und andere Kommunikationsmodi sind auf einem neuen Gerät oder einem Gerät mit Werkseinstellungen deaktiviert. NFC ist das einzige Kommunikationsprotokoll, das das Gerät in diesem Zustand verwenden kann. Siehe Registrieren von Geräten per NFC-Datenübertragung.
  • QR-Code: Die Registrierung per QR-Code empfiehlt sich für verteilte Geräte im Bestand, die NFC nicht unterstützen (z. B. Tablets). Dabei wird der Geräteprofilmodus vom Setupassistenten durch Scannen eines QR-Codes eingerichtet und konfiguriert. Siehe Registrieren von Geräten per QR-Code.
  • Zero Touch: Mit der Zero-Touch-Registrierung können Sie festlegen, dass Geräte beim ersten Einschalten automatisch registriert werden. Die Zero-Touch-Registrierung wird auf einigen Android-Geräten mit Android 8.0 oder höher unterstützt. Siehe Zero-Touch-Registrierung.
  • Google-Konten: Benutzer geben die Anmeldeinformationen für ihr Google-Konto ein, um das Provisioning einzuleiten. Diese Option gilt für Unternehmen mit G Suite.

Registrierung von Geräten mit dem Citrix DPC-ID-Token

Benutzer geben afw#xenmobile ein, nachdem sie ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät für die Ersteinrichtung eingeschaltet haben und aufgefordert wurden, ein Google-Konto einzugeben. Mit dieser Aktion wird Secure Hub heruntergeladen und installiert. Die Benutzer folgen anschließend den Anweisungen in Secure Hub zum Abschließen der Registrierung.

Diese Registrierungsmethode wird für die meisten Kunden empfohlen, da die aktuelle Secure Hub-Version aus Google Play heruntergeladen wird. Im Gegensatz zu anderen Registrierungsmethoden wird Secure Hub nicht zum Herunterladen vom Endpoint Management-Server bereitgestellt.

Systemanforderungen

  • Wird auf allen Android-Geräten mit Android-OS unterstützt.

Registrieren des Geräts

  1. Schalten Sie ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät ein.

  2. Die Ersteinrichtung des Geräts wird geladen und der Benutzer wird aufgefordert, ein Google-Konto einzugeben. Falls das Gerät den Startbildschirm lädt, überprüfen Sie, ob in der Benachrichtigungsleiste die Benachrichtigung Finish Setup angezeigt wird.

    Anmeldeaufforderung zum Einrichten des Geräts

  3. Geben Sie afw#xenmobile im Feld Email oder phone ein.

    Einrichtungstext für Gerät

  4. Tippen Sie im Android Enterprise-Bildschirm auf Install, um Secure Hub zu installieren.

    Android Enterprise-Installation

  5. Tippen Sie im Secure Hub-Installationsbildschirm auf Install.

    Secure Hub-Installation

  6. Tippen Sie für alle App-Berechtigungsanforderungen auf Allow.

  7. Tippen Sie auf Accept & Continue, um Secure Hub zu installieren und das Gerät damit zu verwalten.

    Secure Hub-Berechtigungen

  8. Secure Hub ist installiert und der Standard-Registrierungsbildschirm wird angezeigt. In diesem Beispiel ist AutoDiscovery nicht eingerichtet. Bei aktivierter Funktion können Benutzer ihren Benutzernamen bzw. ihre E-Mail-Adresse eingeben und es wird ein Server für sie gefunden. Geben Sie stattdessen die Registrierungs-URL für die Umgebung ein und tippen Sie auf Weiter.

    Secure Hub-Anmeldeinformationen

  9. In der Standardkonfiguration für Endpoint Management können Benutzer auswählen, ob sie MAM oder MDM+MAM verwenden. Wenn die Aufforderung angezeigt wird, tippen Sie auf Ja, Registrieren, um MDM+MAM auszuwählen.

    Geräteregistrierung in Secure Hub

  10. Geben Sie den Benutzernamen und das Kennwort ein und tippen Sie auf Weiter.

    Secure Hub-Anmeldung

  11. Der Benutzer wird aufgefordert, einen Gerätepasscode zu konfigurieren. Tippen Sie auf Festlegen und geben Sie einen Passcode ein.

    Secure Hub-Passcode

  12. Der Benutzer wird aufgefordert, eine Methode zum Entsperren des Arbeitsprofils zu konfigurieren. Tippen Sie in diesem Beispiel auf Kennwort und dann auf PIN und geben Sie eine PIN ein.

    Passcode-Optionen

  13. Das Gerät zeigt jetzt Eigene Apps, die Startseite von Secure Hub. Tippen Sie auf Apps aus dem Store hinzufügen.

    Bildschirm für Secure Hub-Apps

  14. Tippen Sie zum Hinzufügen von Secure Web auf Secure Web.

    Secure Hub-Store

  15. Tippen Sie auf Hinzufügen.

    Secure Web-Store

  16. Secure Hub leitet den Benutzer zum Google Play Store, um Secure Web zu installieren. Tippen Sie auf Installieren.

    Sichere App-Installation

  17. Tippen Sie nach der Installation von Secure Web auf Öffnen. Geben Sie die URL einer internen Website in die Adressleiste ein, um zu prüfen, ob die Seite geladen wird.

    Secure Web-Test

  18. Navigieren Sie zu Einstellungen > Konten auf dem Gerät. Beachten Sie, dass Verwaltetes Konto nicht geändert werden kann. Die Entwickleroptionen zur Bildschirmfreigabe oder für den Remotesupport sind ebenfalls blockiert.

    Kontoänderung

Registrieren von Geräten per NFC-Datenübertragung

Um ein Gerät per NFC-Funktion als vollständig verwaltetes Gerät zu registrieren, sind zwei Geräte erforderlich: Ein Gerät, das auf die Werkseinstellungen zurückgesetzt wurde, und ein Gerät, auf dem das Endpoint Management Provisioning Tool ausgeführt wird.

Systemanforderungen und Voraussetzungen

  • Unterstützte Android-Geräte.
  • Ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät, das für Android Enterprise als vollständig verwaltetes Gerät bereitgestellt wurde. Das Verfahren hierfür finden Sie weiter unten in diesem Artikel.
  • Ein Gerät mit NFC-Funktion, auf dem das konfigurierte Provisioning Tool ausgeführt wird. Das Provisioning Tool ist in Secure Hub und auf der Citrix-Downloadseite verfügbar.

Auf jedem Gerät kann nur ein Android Enterprise-Profil mit verwaltetem Secure Hub installiert sein. Auf jedem Gerät ist nur ein Profil zulässig. Sobald Sie eine zweite DPC-App hinzufügen, wird der installierte Secure Hub entfernt.

Per NFC übertragene Daten

Für das Provisioning eines auf Werkseinstellungen zurückgesetzten Geräts müssen Sie die folgenden Daten per NFC senden, damit Android Enterprise initialisiert wird:

  • Paketname der DPC-App, die als Gerätebesitzer fungiert (in diesem Fall Secure Hub).
  • Intranet-/Internetspeicherort, von dem das Gerät die DPC-App herunterlädt.
  • SHA1-Hash der DPC-App, um zu überprüfen, ob der Download erfolgreich ist.
  • WiFi-Verbindungsdetails, sodass ein auf Werkseinstellungen zurückgesetztes Gerät eine Verbindung herstellen und die DPC-App herunterladen kann. Hinweis: Android unterstützt für diesen Schritt nicht 802.1x.
  • Zeitzone für das Gerät (optional).
  • Geografischer Standort des Geräts (optional).

Wenn die beiden Geräte eine Verbindung herstellen, werden die Daten vom Provisioning Tool an das Gerät mit den Werkseinstellungen gesendet. Diese Daten werden dann zum Download von Secure Hub mit Administratoreinstellungen verwendet. Wenn Sie keine Werte für Zeitzone und Speicherort eingeben, konfiguriert Android sie automatisch auf dem neuen Gerät.

Konfigurieren des Endpoint Management Provisioning Tools

Bevor Sie Daten per NFC übertragen können, müssen Sie das Provisioning Tool konfigurieren. Diese Konfiguration wird dann während der NFC-Übertragung an das auf die Werkseinstellungen zurückgesetzte Gerät gesendet.

Provisioning Tool-Konfiguration

Sie können Daten in die erforderlichen Felder eintragen oder die Felder mit einer Textdatei ausfüllen. Nachfolgend wird beschrieben, wie Sie die Textdatei konfigurieren und welche Felder diese enthält. Die App speichert die eingegebenen Informationen nicht. Erstellen Sie daher eine Textdatei zur Aufbewahrung der Informationen.

Konfigurieren des Provisioning Tools mit einer Textdatei

Nennen Sie die Datei nfcprovisioning.txt und speichern Sie sie auf der SD-Karte des Geräts im Ordner /sdcard/. Die App liest die Textdatei und fügt die Werte ein.

Die Textdatei muss die folgenden Daten enthalten:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Dies ist der Intranet-/Internetspeicherort der EMM-Anbieter-App. Wenn das auf Werkseinstellungen zurückgesetzte Gerät nach der NFC-Übertragung eine WiFi-Verbindung herstellt, muss es für den Download Zugriff auf diesen Speicherort haben. Die URL ist eine normale URL ohne spezielle Formatierung.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Dies ist die Prüfsumme der EMM-Anbieter-App. Sie wird verwendet, um zu prüfen, ob der Download erfolgreich ist. Das Verfahren zum Abrufen der Prüfsumme wird weiter unten in diesem Artikel beschrieben.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Dies ist die Wi-Fi-SSID des Geräts, auf dem das Provisioning Tool ausgeführt wird.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Es werden WEP und WPA2 unterstützt. Wenn das WiFi nicht geschützt ist, muss dieses Feld leer sein.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wenn das WiFi nicht geschützt ist, muss dieses Feld leer sein.

android.app.extra.PROVISIONING_LOCALE=<locale>

Geben Sie die Sprach- und Ländercodes ein. Sprachcodes sind nach ISO 639-1 definierte ISO-Sprachcodes, die aus zwei Kleinbuchstaben bestehen (z. B. en). Ländercodes sind nach ISO 3166-1 definierte ISO-Ländercodes, die aus zwei Großbuchstaben bestehen (z. B. DE). Geben Sie z. B. de_DE für Deutsch/Deutschland ein. Wenn Sie keinen Länder- und Sprachcode eingeben, werden diese Felder automatisch ausgefüllt.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

Die Zeitzone, in der das Gerät ausgeführt wird. Geben Sie den Datenbanknamen des Gebiets/Standorts ein. Geben Sie beispielsweise America/Los_Angeles für “Pacific Time” ein. Wenn Sie keinen Namen eingeben, wird die Zeitzone automatisch eingefügt.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Keine Eingabe ist erforderlich, da der Wert in der App als Secure Hub hartcodiert ist. Er wird hier nur der Vollständigkeit halber angegeben.

Bei einem mit WPA2 geschützten Wi-Fi könnte die Datei nfcprovisioning.txt wie folgt aussehen:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Bei einem ungeschützten WiFi könnte die Datei nfcprovisioning.txt wie folgt aussehen:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Abrufen der Citrix Secure Hub-Prüfsumme

Die Secure Hub-Prüfsumme ist ein konstanter Wert: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM. Um eine APK-Datei für Secure Hub herunterzuladen, verwenden Sie den folgenden Google Play-Link: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile.

Abrufen einer App-Prüfsumme

Voraussetzungen:

  • Das apksigner-Tool aus den Android SDK Build Tools
  • OpenSSL-Befehlszeile

Gehen Sie folgendermaßen vor, um die Prüfsumme einer App abzurufen:

  1. Laden Sie die APK-Datei der App aus Google Play herunter.
  2. Navigieren Sie in der OpenSSL-Befehlszeile zum apksigner-Tool: android-sdk/build-tools/<version>/apksigner und geben Sie Folgendes ein:

    apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
    

    Der Befehl gibt eine gültige Prüfsumme zurück.

  3. Um den QR-Code zu generieren, geben Sie die Prüfsumme in das Feld PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM ein. Beispiel:
{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}

Verwendete Bibliotheken

Das Provisioning Tool verwendet die folgenden Bibliotheken im Quellcode:

  • v7 appcompat Library, Design Support Library und v7 Palette Support Library von Google unter Apache 2.0-Lizenz

    Weitere Informationen finden Sie unter Support Library Features Guide.

  • Butter Knife von Jake Wharton unter Apache-Lizenz 2.0

Registrieren von Geräten per QR-Code

Sie registrieren ein vollständig verwaltetes Gerät per QR-Code, indem Sie zunächst ein JSON-Objekt erstellen und dieses in einen QR-Code umwandeln. Der QR-Code wird mit der Gerätekamera gescannt, um das Gerät zu registrieren.

Systemanforderungen

  • Wird auf allen Android-Geräten ab Android 7.0 unterstützt.

Erstellen eines QR-Codes aus einer JSON-Datei

Erstellen Sie eine JSON-Datei mit den folgenden Feldern.

Diese Felder sind erforderlich:

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Wert: com.zenprise/com.zenprise.configuration.AdminFunction

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Wert: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Wert: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

Diese Felder sind optional:

  • android.app.extra.PROVISIONING_LOCALE: Geben Sie den Sprach- und den Ländercode ein.

    Sprachcodes sind nach ISO 639-1 definierte ISO-Sprachcodes, die aus zwei Kleinbuchstaben bestehen (z. B. en). Ländercodes sind nach ISO 3166-1 definierte ISO-Ländercodes, die aus zwei Großbuchstaben bestehen (z. B. DE). Geben Sie z. B. de_DE für Deutsch/Deutschland ein.

  • android.app.extra.PROVISIONING_TIME_ZONE: die Zeitzone, in der das Gerät ausgeführt wird.

    Geben Sie den Datenbanknamen des Gebiets/Standorts ein. Geben Sie beispielsweise America/Los_Angeles für “Pacific Time” ein. Wenn Sie keinen Namen eingeben, wird die Zeitzone automatisch eingefügt.

  • android.app.extra.PROVISIONING_LOCAL_TIME: Zeit in Millisekunden seit der Unix-Epoche.

    Die Unix-Zeit (auch POSIX-Zeit oder Unix-Zeitstempel) ist die Anzahl der Sekunden, die seit der Epoche, d. h. dem 1. Januar 1970 (Mitternacht UTC-GMT), verstrichen sind. Schaltsekunden werden nicht mitgezählt (in ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: Wenn Sie dies auf true festlegen, wird die Verschlüsselung während der Profilerstellung übersprungen. Wählen Sie False, um die Verschlüsselung während der Profilerstellung zu erzwingen.

Eine JSON-Datei sieht in etwa wie folgt aus:

Eine typische JSON-Datei

Überprüfen Sie die JSON-Datei mit einem JSON-Validierungstool (z. B. https://jsonlint.com). Konvertieren Sie die JSON-Zeichenfolge mit einem beliebigen QR-Code-Generator in einen QR-Code (z. B. https://goqr.me).

Der QR-Code wird von einem auf Werkseinstellungen zurückgesetzten Gerät gescannt, um das Gerät als vollständig verwaltetes Gerät zu registrieren.

Registrieren des Geräts

Nach dem Einschalten eines neuen oder auf die Werkseinstellungen zurückgesetzten Geräts:

  1. Tippen Sie sechsmal auf den Begrüßungsbildschirm, um die Registrierung per QR-Code zu starten.
  2. Verbinden Sie das Gerät nach Aufforderung mit dem WiFi-Netzwerk. Über das WiFi-Netzwerk wird dann per QR-Code (codiert in der JSON-Datei) auf den Download-Speicherort von Secure Hub zugegriffen.

    Sobald das Gerät mit dem WiFi verbunden ist, lädt es ein Google-Programm zum Lesen des QR-Codes herunter und aktiviert die Kamera.

  3. Halten Sie die Kamera über den QR-Code, um ihn zu scannen.

    Android lädt Secure Hub vom Speicherort im QR-Code herunter, validiert die Signatur des Signaturzertifikats, installiert Secure Hub und legt die App als Gerätebesitzer fest.

Weitere Informationen finden Sie in diesem Google-Handbuch für Android EMM-Entwickler: https://developers.google.com/android/work/prov-devices#qr_code_method.

Zero-Touch-Registrierung

Mit der Zero-Touch-Registrierung können Sie festlegen, dass Geräte beim ersten Einschalten als vollständig verwaltete Geräte bereitgestellt werden.

Ihr Geräte-Vertriebspartner erstellt für Sie ein Konto im Android-Portal für die Zero-Touch-Registrierung, einem Online-Tool zum Konfigurieren von Geräten. Im Android-Portal für die Zero-Touch-Registrierung erstellen Sie eine oder mehrere Konfigurationen für die Zero-Touch-Registrierung und wenden diese dann auf die Geräte an, die Ihrem Konto zugewiesen sind. Wenn Benutzer die Geräte dann einschalten, werden sie automatisch bei Endpoint Management registriert. Die dem Gerät zugewiesene Konfiguration definiert den automatischen Registrierungsprozess.

Systemanforderungen

  • Die Zero-Touch-Registrierung wird ab Android 8.0 unterstützt.

Geräte und Kontoinformationen Ihres Vertriebspartners

  • Geräte mit Zero-Touch-Registrierung können vom Vertriebspartner des Unternehmens oder einem Google-Partner erworben werden. Eine Liste aller Partner für die Zero-Touch-Registrierung für Android Enterprise finden Sie auf der Android-Webseite.

  • Ein von Ihrem Vertriebspartner erstelltes Android Enterprise-Konto im Portal für die Zero-Touch-Registrierung.

  • Von Ihrem Vertriebspartner bereitgestellte Anmeldeinformationen für das Android Enterprise-Konto im Portal für die Zero-Touch-Registrierung.

Erstellen einer Zero-Touch-Konfiguration

Geben Sie beim Erstellen einer Zero-Touch-Konfiguration die Konfigurationsdetails in einem benutzerdefinierten JSON-Objekt an.

Mit diesem JSON-Objekt konfigurieren Sie, dass das Gerät sich beim von Ihnen angegebenen Endpoint Management-Server registriert. Ersetzen Sie “URL” im Beispiel durch die URL Ihres Servers.

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }

Mit einem optionalen JSON-Objekt mit zusätzlichen Parametern können Sie Ihre Konfiguration weiter anpassen. Im folgenden Beispiel sind der Endpoint Management-Server festgelegt sowie der Benutzername und das Kennwort, mit denen Geräte sich in dieser Konfiguration am Server anmelden.

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  1. Navigieren Sie zum Android-Portal für die Zero-Touch-Registrierung unter https://partner.android.com/zerotouch. Melden Sie sich mit den Kontoinformationen an, die Sie vom Vertriebspartner Ihres Zero-Touch-Geräts erhalten haben.

  2. Klicken Sie auf Konfiguration. Portal für die Zero-Touch-Registrierung

  3. Klicken Sie über der Konfigurationstabelle auf +. Portal für die Zero-Touch-Registrierung

  4. Geben Sie im angezeigten Konfigurationsfenster Ihre Konfigurationsinformationen ein. Portal für die Zero-Touch-Registrierung
    • Configuration name: Geben Sie den für diese Konfiguration gewählten Namen ein.
    • EMM DPC: Wählen Sie Citrix Secure Hub.
    • DPC extras: Fügen Sie hier Ihren benutzerdefinierten JSON-Text ein.
    • Company name: Geben Sie den Namen ein, der beim Provisioning auf Ihren Android Enterprise-Geräten mit Zero-Touch-Registrierung angezeigt werden soll.
    • Support email address: Geben Sie eine E-Mail-Adresse für Supportanfragen von Benutzern ein. Diese Adresse wird vor dem Provisioning auf Ihren Android Enterprise-Geräten mit Zero-Touch-Registrierung angezeigt.
    • Support phone number: Geben Sie eine Telefonnummer für Supportanfragen von Benutzern ein. Diese Telefonnummer wird vor dem Provisioning auf Ihren Android Enterprise-Geräten mit Zero-Touch-Registrierung angezeigt.
    • Custom Message: Erläutern Sie optional in ein oder zwei Sätzen, wie Benutzer Sie erreichen können oder was mit dem Gerät geschieht. Diese benutzerdefinierte Nachricht wird vor dem Provisioning auf Ihren Android Enterprise-Geräten mit Zero-Touch-Registrierung angezeigt.
  5. Klicken Sie auf Hinzufügen.

  6. Zum Erstellen weiterer Konfigurationen wiederholen Sie die Schritte 2 bis 4.

  7. Anwenden einer Konfiguration auf ein Gerät:

    1. Klicken Sie im Android-Portal für die Zero-Touch-Registrierung auf Devices.

    2. Suchen Sie das Gerät in der Geräteliste und wählen Sie die Konfiguration aus, die Sie ihm zuweisen möchten. Portal für die Zero-Touch-Registrierung

    3. Klicken Sie auf Aktualisieren.

Über eine CSV-Datei können Sie eine Konfiguration auf mehrere Geräte anwenden.

Informationen zum Anwenden einer Konfiguration auf mehrere Geräte finden Sie im Android Enterprise-Hilfethema Zero-touch enrollment for IT admins. Dieses Android Enterprise-Hilfethema enthält weitere Informationen, wie Sie Konfigurationen verwalten und auf Geräte anwenden.

Provisioning von dedizierten Geräten mit Android Enterprise

Dedizierte Android Enterprise-Geräte sind vollständig verwaltete Einzweckgeräte. Dedizierte Geräte werden auch als unternehmenseigene Einzweckgeräte (COSU) bezeichnet. Diese Geräte beschränken Sie auf eine oder wenige Apps, die zum Ausführen der für den vorgegebenen Zweck erforderlichen Aufgaben notwendig sind. Außerdem verhindern Sie, dass Benutzer weitere Apps aktivieren oder andere Aktionen auf dem Gerät ausführen.

Registrieren Sie dedizierte Geräte mit einer der Registrierungsmethoden, die für andere vollständig verwaltete Geräte verwendet werden, wie unter Provisioning vollständig verwalteter Geräte mit Android Enterprise beschrieben. Für das Provisioning dedizierter Geräte ist vor der Registrierung ein zusätzliches Setup erforderlich.

Provisioning dedizierter Geräte:

  • Fügen Sie ein Registrierungsprofil für die Endpoint Management-Administratoren hinzu, denen Sie die Registrierung von dedizierten Geräten bei Endpoint Management gestatten möchten. Siehe Registrierungsprofile erstellen.
  • Um einem dedizierten Gerät den Zugriff auf Apps zu ermöglichen, fügen Sie diese zur Positivliste hinzu.
  • Legen Sie optional für zugelassene Apps fest, dass diese den LockTask-Modus zulassen. Im gesperrten Task-Modus wird eine App an den Gerätebildschirm angeheftet, wenn der Benutzer sie öffnet. Es gibt keine Hometaste, und die Zurück-Taste ist deaktiviert. Der Benutzer beendet die App mit einer in der App programmierten Aktion, z. B. Abmelden.
  • Registrieren Sie jedes Gerät im hinzugefügten Registrierungsprofil.

Systemanforderungen

  • Die Registrierung dedizierter Geräte ist ab Android 6.0 möglich.

Zulassen von Apps und Festlegen des LockTask-Modus

Über die Kioskgeräterichtlinie können Sie Apps zulassen (d. h. auf die Positivliste setzen) und den LockTask-Modus festlegen. Secure Hub- und Google Play-Dienste stehen standardmäßig auf der Positivliste.

Hinzufügen der Kioskrichtlinie

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Geräterichtlinien. Die Seite Geräterichtlinien wird angezeigt.

  2. Klicken Sie auf Hinzufügen. Das Dialogfeld Neue Richtlinie hinzufügen wird angezeigt.

  3. Erweitern Sie Mehr und klicken Sie unter “Sicherheit” auf Kiosk. Die Seite Kioskrichtlinie wird angezeigt.

  4. Wählen Sie unter “Plattformen” die Option Android Enterprise. Deaktivieren Sie andere Plattformen.

  5. Geben Sie im Bereich Richtlinieninformationen den Richtliniennamen und optional eine Beschreibung ein.

  6. Klicken Sie auf Weiter und dann auf Hinzufügen.

  7. Zum Zulassen einer App und Festlegen des LockTask-Modus gehen Sie wie folgt vor:

    Wählen Sie die gewünschte App aus der Liste aus.

    Wählen Sie Zulassen, um festzulegen, dass die App an den Gerätebildschirm angeheftet wird, wenn der Benutzer die App startet. Wählen Sie Verweigern, um festzulegen, dass die App nicht angeheftet werden soll. Die Standardeinstellung ist Zulassen.

    Konfigurationsbildschirm für Geräterichtlinien

  8. Klicken Sie auf Speichern.

  9. Klicken Sie zum Zulassen einer weiteren App und Festlegen des LockTask-Modus auf Hinzufügen.

  10. Konfigurieren Sie Bereitstellungsregeln und wählen Sie Bereitstellungsgruppen. Weitere Informationen finden Sie unter Geräterichtlinien.

Registrieren des Geräts

  1. Klicken Sie auf Weiter oder wählen Sie Android unter Plattformen aus. Die Seite “Registrierungskonfiguration” wird angezeigt.

  2. Legen Sie Verwaltung auf Android Enterprise fest.

  3. Legen Sie den Gerätebesitzermodus auf Dediziertes Gerät fest.

    Konfigurationsbildschirm für Registrierungsprofile

  4. Wählen Sie Zuweisung (Optionen). Der Bildschirm für die Bereitstellungsgruppenzuweisung wird angezeigt.

  5. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die dedizierte Geräte registrieren sollen. Klicken Sie auf Speichern.

Wenn Sie BYOD-Arbeitsprofil im Registrierungsprofil aktiviert haben, werden Geräte, die nicht neu sind oder auf die Werkseinstellungen zurückgesetzt wurden, als Arbeitsprofilgeräte registriert. Siehe Provisioning von Arbeitsprofilgeräten mit Android Enterprise.

Provisioning vollständig verwalteter Android Enterprise-Geräte mit Arbeitsprofil (COPE-Geräte)

Vollständig verwaltete Geräte mit Arbeitsprofil, früher auch als COPE-Geräte bezeichnet, sind unternehmenseigene Geräte, die für geschäftliche und private Zwecke verwendet werden. Ihre Organisation verwaltet die gesamten Geräte. Sie können einige Richtlinien auf das Gerät und andere Richtlinien auf das Arbeitsprofil anwenden.

In der Endpoint Management-Konsole werden vollständig verwaltete Geräte mit Arbeitsprofil wie folgt angezeigt:

  • Als Gerätebesitzer wird “Unternehmen” angegeben.

  • Als Android Enterprise-Installationstyp wird “COPE (Unternehmenseigentum, vom Benutzer verwaltet)” angegeben.

Systemanforderungen

  • Die Registrierung vollständig verwalteter Geräte mit Arbeitsprofil wird ab Android 8.0 unterstützt.

Hinzufügen eines Registrierungsprofils für vollständig verwaltete Geräte mit Arbeitsprofil

  1. Gehen Sie in der Endpoint Management-Konsole zu Konfigurieren > Registrierungsprofile.

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite “Registrierungsinfo” einen Namen für das Registrierungsprofil ein. Legen Sie für die Anzahl der Geräte, die Mitglieder mit diesem Profil registrieren können, “Unbegrenzt” fest.

  3. Klicken Sie auf Weiter oder wählen Sie Android unter Plattformen aus. Die Seite “Registrierungskonfiguration” wird angezeigt.

  4. Legen Sie Verwaltung auf Android Enterprise fest.

  5. Legen Sie den Gerätebesitzermodus auf Vollständig verwaltet mit Arbeitsprofil fest.

    Konfigurationsbildschirm für Registrierungsprofile

  6. Wählen Sie Zuweisung (Optionen). Der Bildschirm für die Bereitstellungsgruppenzuweisung wird angezeigt.

  7. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die dedizierte Geräte registrieren sollen. Klicken Sie auf Speichern.

    Die Seite “Registrierungsprofil” wird mit dem von Ihnen hinzugefügten Profil angezeigt.

    Konfigurationsbildschirm für Registrierungsprofile

Wenn ein Benutzer zu mehreren Bereitstellungsgruppen mit unterschiedlichen Registrierungsprofilen gehört, bestimmt der Name der Bereitstellungsgruppe das verwendete Registrierungsprofil. Endpoint Management wählt die letzte Bereitstellungsgruppe in der alphabetisch geordneten Bereitstellungsgruppenliste aus.

Registrieren des Geräts

Neue Geräte und Geräte, die auf die Werkseinstellungen zurückgesetzt wurden, werden als vollständig verwaltete Geräte mit Arbeitsprofil registriert. Hierfür kann jede Registrierungsmethode genutzt werden, die für andere vollständig verwaltete Geräte verwendet wird, wie unter Provisioning vollständig verwalteter Geräte mit Android Enterprise beschrieben.

Geräte, die nicht neu oder auf die Werkseinstellungen zurückgesetzt sind, werden als Arbeitsprofilgeräte registriert, wie unter Provisioning von Arbeitsprofilgeräten mit Android Enterprise beschrieben.

Anzeige von Android Enterprise-Geräten in der Endpoint Management-Konsole

Anzeige von vollständig verwalteten Android Enterprise-Geräten, dedizierten Geräten und vollständig verwalteten Geräten mit Arbeitsprofil:

  1. Gehen Sie in der Endpoint Management-Konsole zu Verwalten > Geräte.

  2. Klicken Sie hier auf das Menü am rechten Tabellenrand, um die Spalte Für Android Enterprise aktiviertes Gerät? hinzuzufügen. Android Enterprise-Geräteliste

  3. Um verfügbare Sicherheitsaktionen anzuzeigen, wählen Sie ein vollständig verwaltetes Gerät und klicken auf Sicher. Wenn das Gerät vollständig verwaltet ist, ist die Aktion Vollständig löschen verfügbar, Selektiv löschen jedoch nicht. Dieser Unterschied liegt daran, dass das Gerät nur Apps aus dem verwalteten Google Play Store zulässt. Der Benutzer kann keine Apps aus dem öffentlichen Store installieren. Ihre Organisation verwaltet alle Inhalte auf dem Gerät.

    Sicherheitsaktionen

Konfigurieren von Android Enterprise-Geräterichtlinien

Verwenden Sie diese Richtlinien, um die Interaktion von Endpoint Management mit Geräten zu konfigurieren, auf denen Android Enterprise ausgeführt wird. In dieser Tabelle sind alle für Android Enterprise-Geräte verfügbaren Geräterichtlinien aufgeführt.

Wichtig:

Für Geräte, die bei Android Enterprise registriert werden und MDX-Apps verwenden: Sie können einige Einstellungen über MDX und Android Enterprise steuern. Verwenden Sie die am wenigsten restriktiven Richtlinieneinstellungen für MDX und steuern Sie die Richtlinie über Android Enterprise.

     
App-Berechtigungen in Android Enterprise Verwaltete Android Enterprise-Konfigurationen App-Bestand
App-Deinstallation OS-Update steuern Anmeldeinformationen
Benutzerdefiniertes XML Endpoint Management-Optionen Exchange
Dateien Keyguard-Verwaltung Kiosk
Knox Platform for Enterprise Standort Passcode
Einschränkungen Samsung MDM-Lizenzschlüssel Planung
Wi-Fi    

Geräterichtlinien für vollständig verwaltete Geräte mit Arbeitsprofil (COPE-Geräte)

Bei vollständig verwalteten Geräten mit Arbeitsprofil können Sie mithilfe von Geräterichtlinien separate Einstellungen auf das gesamte Gerät bzw. das Arbeitsprofil anwenden. Mit separaten Geräterichtlinien können Sie bei vollständig verwalteten Geräterichtlinien mit Arbeitsprofil Einstellungen nur auf das gesamte Gerät oder auf das Arbeitsprofil anwenden.

Richtlinie Gültig für
App-Berechtigungen in Android Enterprise Arbeitsprofil
Verwaltete Android Enterprise-Konfigurationen Arbeitsprofil
App-Bestand Arbeitsprofil
App-Deinstallation Arbeitsprofil
OS-Update steuern Nicht zutreffend
Anmeldeinformationen Arbeitsprofil
Benutzerdefiniertes XML Nicht zutreffend
Endpoint Management-Optionen Arbeitsprofil
Exchange Nicht zutreffend
Dateien Arbeitsprofil
Keyguard-Verwaltung Geräte- und Arbeitsprofil
Kiosk Nicht zutreffend
Knox Platform for Enterprise Arbeitsprofil
Standort Gerät (nur Standortmodus)
Passcode Geräte- und Arbeitsprofil
Einschränkungen Geräte- und Arbeitsprofil (separate Richtlinien für Gerät und Arbeitsprofil erstellen)
Samsung MDM-Lizenzschlüssel Nicht zutreffend
Planung Arbeitsprofil
Wi-Fi Geräte

Siehe auch Unterstützte Geräte- und MDX-Richtlinien für Android Enterprise und Überblick über das MAM-SDK.

Sicherheitsaktionen

Android Enterprise unterstützt die folgenden Sicherheitsaktionen. Eine Beschreibung der einzelnen Sicherheitsaktionen finden Sie unter Sicherheitsaktionen.

Sicherheitsaktion Arbeitsprofil Vollständig verwaltet
Zertifikaterneuerung Ja Ja
Vollständig löschen Ja (nach selektivem Löschen) Ja
Suchen Ja Ja
Sperren Ja Ja
Lock and Reset Password Nein Ja
Notify (Ring) Ja Ja
Widerrufen Ja Ja
Selektiv löschen Ja Ja

Hinweise zu Sicherheitsaktionen

  • Die Sicherheitsaktion zur Ortung funktioniert nur, wenn in der Standortrichtlinie der Standortmodus für das Gerät auf Hohe Genauigkeit oder Akku schonen festgelegt ist. Siehe Standortrichtlinie für Geräte.

  • Auf Arbeitsprofilgeräten mit Android-Versionen vor Android 8.0 gilt Folgendes:

    • Die Aktion “Sperren und Kennwort zurücksetzen” wird nicht unterstützt.
  • Auf Arbeitsprofilgeräten mit Android 8.0 oder höher gilt Folgendes:

    • Der gesendete Passcode sperrt das Arbeitsprofil. Das Gerät selbst wird nicht gesperrt.
    • Wenn kein Passcode im Arbeitsprofil festgelegt ist:
      • Wenn kein Passcode gesendet wird oder der gesendete Passcode nicht den Anforderungen entspricht, wird das Gerät gesperrt.
    • Wenn ein Passcode für das Arbeitsprofil festgelegt ist:
      • Wenn kein Passcode gesendet wird oder der gesendete Passcode nicht den Anforderungen entspricht, wird nur das Arbeitsprofil gesperrt (nicht das Gerät selbst).

Registrierung für Android Enterprise-Unternehmen aufheben

Wenn Sie Ihr Android Enterprise-Unternehmen nicht mehr verwenden möchten, können Sie die Registrierung des Unternehmens aufheben.

Warnung:

Nachdem Sie die Registrierung eines Unternehmens aufheben, werden Android Enterprise-Apps auf Geräten, die bereits registriert wurden, auf die Standardeinstellungen zurückgesetzt. Google verwaltet die Geräte nicht mehr. Wenn Sie sich bei einem neuen Android Enterprise-Unternehmen registrieren, müssen Sie Apps für das neue Unternehmen von verwaltetem Google Play genehmigen. Anschließend können Sie die Apps in der Endpoint Management-Konsole aktualisieren.

Nachdem die Registrierung des Android Enterprise-Unternehmens aufgehoben wurde:

  • Für Geräte und Benutzer, die über das Unternehmen registriert sind, wurden die Android Enterprise-Apps auf die Standardeinstellung zurückgesetzt. Zuvor angewendete Richtlinien für verwaltete Android Enterprise-Konfigurationen haben keine Wirkung mehr auf Vorgänge.
  • Endpoint Management verwaltet Geräte, die über das Unternehmen registriert sind. Aus Sicht von Google werden diese Geräte nicht verwaltet. Sie können keine neuen Android Enterprise-Apps hinzufügen. Sie können keine Richtlinien für verwaltete Android Enterprise-Konfigurationen anwenden. Sie können auf diese Geräte andere Richtlinien anwenden, z. B. Planung, Kennwort und Einschränkungen.
  • Wenn Sie versuchen, Geräte in Android Enterprise zu registrieren, werden sie als Android-Geräte und nicht als Android Enterprise-Geräte registriert.

Heben Sie die Registrierung für Android Enterprise-Unternehmen mit der Endpoint Management-Serverkonsole und den Endpoint Management Tools auf.

Wenn Sie diese Aufgabe ausführen, wird in Endpoint Management ein Tools-Popupfenster geöffnet. Stellen Sie darum zunächst sicher, dass Popupfenster im Browser geöffnet werden können. In einigen Browsern (z. B. Google Chrome) müssen Sie die Popupblockierung deaktivieren und die Adresse der Endpoint Management-Site der Positivliste des Popupblockers hinzufügen.

Registrierung für Android Enterprise-Unternehmen aufheben:

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf der Seite “Einstellungen” auf Android Enterprise.

  3. Klicken Sie auf Registrierung aufheben.

    Registrierung aufheben (Option)