Android Enterprise

Android Enterprise ist eine Sammlung von Tools und Diensten, die von Google als Unternehmensverwaltungslösung für Android-Geräte bereitgestellt werden. Mit Android Enterprise verwalten Sie firmeneigene Android-Geräte und private Android-Arbeitsgeräte (BYOD) mit Endpoint Management. Sie können das gesamte Gerät oder ein separates Profil auf dem Gerät verwalten. Das separate Profil isoliert geschäftliche Konten, Apps und Daten von persönlichen Konten, Apps und Daten. Sie können damit auch dedizierte Einzweckgeräte verwalten, z. B. Geräte für die Bestandsverwaltung.

Informationen zu Android-Betriebssystemen mit Unterstützung für Endpoint Management finden Sie unter Unterstützte Gerätebetriebssysteme.

Eine Liste mit Begriffen und Definitionen in Bezug auf Android Enterprise finden Sie unter Android Enterprise terminology im Google Android Enterprise-Entwicklerhandbuch. Diese Liste wird von Google häufig aktualisiert.

Wenn Sie Endpoint Management mit verwaltetem Google Play zur Verwendung von Android Enterprise integrieren, erstellen Sie ein Unternehmen. Google definiert ein Unternehmen als Bindeglied zwischen der Organisation und Ihrer EMM-Lösung (Enterprise Mobile Management). Alle Benutzer und Geräte, die die Organisation über Ihre Lösung verwaltet, gehören zu diesem Unternehmen.

Ein Unternehmen für Android Enterprise besteht aus drei Komponenten: einer EMM-Lösung, einer DPC-App (Device Policy Controller) und einer Google-Plattform für Unternehmensapps. Wenn Sie Endpoint Management mit Android Enterprise integrieren, besteht die Komplettlösung aus folgenden Komponenten:

  • Citrix Endpoint Management: EMM-Lösung von Citrix. Endpoint Management ist die einheitliche Endpunktverwaltung für einen sicheren digitalen Workspace. Endpoint Management bietet IT-Administratoren die Möglichkeit, Geräte und Apps für ihre Organisationen zu verwalten.
  • Citrix Secure Hub: DPC-App von Citrix. Secure Hub ist das Launchpad für Endpoint Management. Secure Hub ermöglicht das Durchsetzen von Richtlinien auf dem Gerät.
  • Verwaltetes Google Play: Googles Plattform für Unternehmensapps, die mit Endpoint Management integriert ist. Die Google Play EMM-API legt App-Richtlinien fest und verteilt Apps.

Diese Abbildung zeigt die Interaktion von Administratoren mit den Komponenten und die Interaktion der Komponenten untereinander.

Android Enterprise-Workflow

Verwenden von verwaltetem Google Play mit Endpoint Management

Hinweis:

Sie können Citrix über verwaltetes Google Play oder über G Suite als Ihren EMM-Anbieter registrieren. Im Folgenden wird die Verwendung von Android Enterprise mit verwaltetem Google Play beschrieben. Wenn Ihre Organisation die G Suite für den App-Zugriff verwendet, können Sie sie mit Android Enterprise verwenden. Siehe Legacy Android Enterprise für G Suite-Kunden.

Wenn Sie verwaltetes Google Play verwenden, stellen Sie verwaltete Google Play-Konten für Geräte und Endbenutzer bereit. Über verwaltete Google Play-Konten können Benutzer auf verwaltetes Google Play zugreifen und Apps installieren und verwenden, die Sie zur Verfügung stellen. Wenn Ihre Organisation den Identitätsdienst eines Drittanbieters verwendet, können Sie verwaltete Google Play-Konten mit den bestehenden Identitätskonten verknüpfen.

Da dieser Unternehmenstyp nicht an eine Domäne gebunden ist, können Sie für jede Organisation mehrere Unternehmen erstellen. Beispielsweise kann sich jede Abteilung oder Region in einer Organisation als ein eigenes Unternehmen anmelden, um separate Gruppen von Geräten und Apps zu verwalten.

Für Endpoint Management-Administratoren bietet verwaltetes Google Play neben der Benutzererfahrung und den App Store-Features von Google Play diverse Verwaltungsfunktionen für Unternehmen. Sie verwenden verwaltetes Google Play zum Hinzufügen, Erwerben und Genehmigen von Apps für die Bereitstellung in dem Android Enterprise-Workspace von Geräten. Über Google Play können Sie öffentliche Apps, private Apps und Apps von Drittanbietern bereitstellen.

Für Benutzer von verwalteten Geräten ist verwaltetes Google Play der Store für Unternehmensapps. Benutzer können Apps durchsuchen, App-Details anzeigen und sie installieren. Im Gegensatz zur öffentlichen Google Play-Version können Benutzer vom verwalteten Google Play nur die Apps installieren, die Sie ihnen zur Verfügung stellen.

Szenarien und Betriebsmodi der Gerätebereitstellung

Das Szenario der Gerätebereitstellung legt fest, wer Besitzer der bereitgestellten Geräte ist und wie Sie sie verwalten. Der Betriebsmodus legt fest, wie Richtlinien vom Device Policy Controller (DPC) auf dem Gerät verwaltet und durchgesetzt werden. Der Betriebsmodus unterstützt das Szenario der Gerätebereitstellung.

Arbeitsprofil: Bereitstellung als privates Arbeitsgerät (BYOD), Profilbesitzermodus

Ein Szenario mit BYOD-Bereitstellung ermöglicht es Mitarbeitern, mit privaten Arbeitsgeräten auf unternehmensinterne Informationen und Anwendungen zuzugreifen.

Der Betriebsmodus Profilbesitzer unterstützt BYOD-Bereitstellungen. Das Unternehmen ermöglicht über den DPC den Einsatz von privaten Arbeitsgeräten, indem auf dem Gerät zusätzlich zum primären Benutzerkonto ein Arbeitsprofil eingerichtet wird. Das Arbeitsprofil isoliert geschäftliche Konten, Apps und Daten von persönlichen Konten, Apps und Daten. Das Arbeitsprofil ist dem primären Benutzer als separates Profil zugeordnet. Als Profilbesitzer verwaltet der DPC nur das Arbeitsprofil auf dem Gerät, während seine Steuerungsfunktionen außerhalb des Arbeitsprofils begrenzt sind. Weitere Informationen zu Arbeitsprofilen finden Sie in der Google Android Enterprise-Hilfe unter Was ist ein Arbeitsprofil?.

Der Profilbesitzermodus wird aktiviert, wenn das Gerät bei Endpoint Management registriert wird. Da der DPC nur das Arbeitsprofil und nicht das gesamte Gerät verwaltet, müssen im Profilbesitzermodus registrierte Geräte nicht neu oder auf die Werkseinstellungen zurückgesetzt sein.

Ein Gerät im Profilbesitzermodus wird auch als Arbeitsprofilgerät bezeichnet. Der Profilbesitzermodus wird auch als Arbeitsprofilmodus oder verwalteter Profilmodus bezeichnet.

Hinweis:

Zebra-Geräte können in Endpoint Management nicht als Geräte im Profilbesitzermodus verwendet werden. Endpoint Management unterstützt Zebra-Geräte als vollständig verwaltete Geräte und als Geräte im Legacy-Modus (auch als Geräteadministratormodus bezeichnet).

Vollständig verwaltet: Bereitstellung als firmeneigenes Gerät, Gerätebesitzermodus

In einem Bereitstellungsszenario mit firmeneigenen Geräten gehören die verwendeten Geräte dem Unternehmen und werden von diesem vollständig verwaltet. In der Regel stellen Organisationen firmeneigene Geräte bereit, wenn sie das gesamte Gerät streng überwachen und verwalten müssen.

Der Betriebsmodus Gerätebesitzer unterstützt Bereitstellungen mit firmeneigenen Geräten. Im Gerätebesitzermodus verwaltet der Device Policy Controller das gesamte Gerät. Als Gerätebesitzer kann der DPC geräteweite Aktionen ausführen, z. B. die Konnektivität für das Gerät konfigurieren, globale Einstellungen konfigurieren und die Werkseinstellungen zurücksetzen.

Ein Gerät im Gerätebesitzermodus ist ein vollständig verwaltetes Gerät.

Der Gerätebesitzermodus wird bei der Ersteinrichtung des Geräts aktiviert. Nur neue Geräte oder auf die Werkseinstellungen zurückgesetzte Geräte können in Endpoint Management im Gerätebesitzermodus registriert werden.

Dediziertes Gerät: Bereitstellung als firmeneigenes Gerät, Gerätebesitzermodus

Ein dediziertes Gerät ist ein vollständig verwaltetes Gerät. Dedizierte Geräte sind firmeneigene Geräte, die im Gerätebesitzermodus ausgeführt werden. Dedizierte Geräte bieten eine begrenzte Anzahl von Apps, die einem bestimmten Zweck dienen, z. B. digitale Werbetechnik, Ticketdruck oder Bestandsverwaltung. Beim Bereitstellen eines dedizierten Geräts stellen Sie nur die erforderlichen Apps bereit und verhindern, dass Benutzer weitere Apps hinzufügen.

Dedizierte Geräte werden auch als unternehmenseigene Einzweckgeräte (COSU) oder als Geräte im Kioskmodus bezeichnet.

Bereitstellung als Legacy-Gerät, Legacy-Modus

Szenarien mit Legacy-Bereitstellung gelten für Geräte, auf denen Android-Versionen vor 5.0 ausgeführt werden. Android-Versionen vor 5.0 unterstützen weder Gerätebesitzer- noch Profilbesitzermodus. Die Android-Version 5.1 unterstützt den Gerätebesitzermodus, aber nicht den Profilbesitzermodus.

Der Legacy-Betriebsmodus (auch Geräteadministratormodus genannt) unterstützt Legacy-Gerätebereitstellungen. Im Legacy-Modus hat der DPC eingeschränkte Kontrolle über ein Gerät. Der DPC kann ein Gerät löschen, einen Passcode fordern oder einige Richtlinien durchsetzen. Um die App-Verwaltung auf Legacy-Geräten zu ermöglichen, verwenden Sie Google Play und erlauben Benutzern, ein Google-Konto hinzuzufügen. Sie können auch mit dem DPC ein verwaltetes Google Play-Konto zum Legacy-Gerät hinzufügen.

Der Legacy-Modus sollte nur verwendet werden, wenn Sie in Ihrer Bereitstellung keinen Gerätebesitzer- oder Profilbesitzermodus implementieren können. Google empfiehlt, stets die höchstmögliche Geräteverwaltungsstufe zu verwenden, anstatt auf allen Geräten eine einheitliche, aber schwächere Lösung zu verwenden. Informationen zum Migrieren vom Legacy-Modus zum Gerätebesitzer- oder Profilbesitzermodus finden Sie unter Migration von der Geräteverwaltung zu Android Enterprise.

Hinweis:

Citrix verwendet den Begriff Legacy auch für Kunden, die Endpoint Management und G Suite (anstelle von verwaltetem Google Play) für verwaltete Android Enterprise-Geräte verwenden.

Authentifizierungsmethoden

Endpoint Management registriert Android-Geräte im MDM+MAM- oder im MDM-Modus, Benutzer können sich jedoch auch im Nur-MAM-Modus registrieren. Endpoint Management unterstützt die folgenden Authentifizierungsverfahren für Android-Geräte im MDM+MAM-Modus. Weitere Informationen finden Sie in den Artikeln unter Zertifikate und Authentifizierung.

  • Domäne
  • Domäne plus Sicherheitstoken
  • Clientzertifikat
  • Clientzertifikat plus Domäne
  • Identitätsanbieter:
    • Azure Active Directory
    • Citrix Identitätsanbieter

Eine weitere, selten verwendete Authentifizierungsmethode ist das Clientzertifikat plus Sicherheitstoken. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX215200.

Anforderungen

Vor dem Einsatz von Android Enterprise ist Folgendes erforderlich:

  • Konten und Anmeldeinformationen:

    • Ein Google-Unternehmenskonto zum Einrichten von Android Enterprise mit verwaltetem Google Play
    • Ein Citrix-Kundenkonto zum Download der aktuellen MDX-Dateien
    • Ein Google-Entwicklerkonto zum Bereitstellen privater Apps (optional)
  • Knox Premium-Lizenzen für Samsung Knox Mobile Enrollment (optional)

Verbinden von Endpoint Management mit Google Play

Um Android Enterprise für Ihre Organisation einzurichten, registrieren Sie Citrix über verwaltetes Google Play als EMM-Anbieter. Damit wird verwaltetes Google Play mit Endpoint Management verbunden und ein Unternehmen für Android Enterprise in Endpoint Management erstellt.

Sie benötigen ein Google-Unternehmenskonto, um sich bei Google Play anzumelden.

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf der Seite Einstellungen auf Android Enterprise. Einstellungsseite mit markiertem Android Enterprise

  3. Klicken Sie auf der Seite Android Enterprise in den Endpoint Management-Einstellungen auf Verbinden. Google Play wird geöffnet. Verbindung von Android Enterprise mit Google Play

  4. Melden Sie sich mit den Anmeldeinformationen für Ihr Google-Unternehmenskonto bei Google Play an. Geben Sie den Namen Ihrer Organisation ein und bestätigen Sie, dass Citrix Ihr EMM-Anbieter ist.

  5. Eine Unternehmens-ID wurde für Android Enterprise hinzugefügt. Um Android Enterprise zu aktivieren, schieben Sie Android Enterprise aktivieren auf Ja.

    Android Enterprise aktivieren (Option)

Ihre Enterprise-ID wird in der Endpoint Management-Konsole angezeigt.

Android Enterprise-ID

Ihre Umgebung ist mit Google verbunden und kann Geräte verwalten. Sie können nun Apps für Benutzer bereitstellen.

Endpoint Management kann verwendet werden, um Benutzern mobile Produktivitätsapps von Citrix, MDX-Apps, Apps aus dem öffentlichen App-Store, Web- und SaaS-Apps, Unternehmensapps und Weblinks zur Verfügung zu stellen. Weitere Informationen zu diesen Apptypen und zu ihrer Bereitstellung finden Sie unter Hinzufügen von Apps.

Im folgenden Abschnitt wird gezeigt, wie mobile Produktivitätsapps bereitgestellt werden.

Bereitstellen mobiler Produktivitätsapps von Citrix für Android Enterprise-Benutzer

Zum Bereitstellen mobiler Produktivitätsapps von Citrix für Android Enterprise-Benutzer sind folgende Schritte erforderlich.

  1. Genehmigen Sie im verwalteten Google Play Store alle Apps, die Benutzer erhalten sollen. Siehe Genehmigen von Apps in verwaltetem Google Play.

  2. Veröffentlichen Sie die App in der Endpoint Management-Konsole als öffentliche App-Store-App. Weitere Informationen unter Konfigurieren von Apps als öffentliche App-Store-Apps.

  3. Veröffentlichen Sie in der Endpoint Management-Konsole dieselbe App erneut als MDX-App, damit die App MDX-Richtlinien erhalten kann. Siehe Konfigurieren von Apps als MDX-Apps.

  4. Konfigurieren Sie in der Endpoint Management-Konsole die Regeln für die Sicherheitsabfrage, die Ihre Benutzer für den Zugriff auf die Arbeitsprofile auf ihren Geräten verwenden. Siehe Konfigurieren der Richtlinie für die Sicherheitsabfrage.

Die veröffentlichten Apps sind für Geräte verfügbar, die in Ihrem Android Enterprise-Unternehmen registriert sind.

Genehmigen von Apps in verwaltetem Google Play

Bevor Sie Apps zu Endpoint Management hinzufügen, müssen Sie sie zunächst in Ihrem verwalteten Google Play Store genehmigen. Ohne Genehmigung der App in Ihrem verwalteten Google Play Store wird beim Hinzufügen der App folgende Fehlermeldung in der Endpoint Management-Konsole angezeigt:

Android Enterprise-Fehler

Prüfen Sie im verwalteten Google Play Store, welche Apps bereits verfügbar sind und für die Verwendung in Ihrem Unternehmen genehmigt wurden.

  1. Melden Sie sich unter https://play.google.com/work mit den Anmeldeinformationen für Ihr Google-Konto an.
  2. Klicken Sie auf My managed apps, um alle Apps anzuzeigen, die für Ihre Benutzer genehmigt wurden. Google Play-Genehmigungsstatus

Genehmigen einer App im verwalteten Google Play Store:

  1. Melden Sie sich im verwalteten Google Play an und wählen Sie die App aus, die Sie genehmigen möchten. Auf der App-Seite wird eine Schaltfläche Approve angezeigt. Google Play-Genehmigung
  2. Klicken Sie auf Approve. Google Play-Genehmigungseinstellungen
  3. Klicken Sie erneut auf Approve.
  4. Wählen Sie Keep approved when app requests new permissions aus. Klicken Sie auf Speichern. Google Play-Genehmigungseinstellungen

Konfigurieren von Apps als öffentliche App-Store-Apps

Konfigurieren von Citrix ShareFile als öffentliche App-Store-App für Android Enterprise:

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Apps. Die Seite Apps wird angezeigt. Apps-Konfigurationsbildschirm

  2. Klicken Sie auf Hinzufügen. Das Dialogfeld App hinzufügen wird angezeigt.

    Apps-Konfigurationsbildschirm

  3. Klicken Sie auf Öffentlicher App-Store. Die Seite App-Informationen wird angezeigt.

  4. Geben Sie auf der Seite App-Informationen die folgenden Informationen ein:

    • Name: Geben Sie einen aussagekräftigen Namen für die App ein. Dieser wird unter App-Name in der Tabelle Apps angezeigt.
    • Beschreibung: Geben Sie optional eine Beschreibung der App ein.
    • App-Kategorie: Klicken Sie optional in der Liste auf die Kategorie, der Sie die App hinzufügen möchten. Weitere Informationen zu App-Kategorien finden Sie unter Erstellen von App-Kategorien.
  5. Klicken Sie auf Weiter. Die Seite Plattform wird angezeigt.

  6. Wählen Sie unter Plattformen die Option Android Enterprise. Deaktivieren Sie die anderen Plattformen.

  7. Geben Sie unter Android Enterprise die Paket-ID für die App ein und klicken Sie auf Suchen. Die App-ID finden Sie in der URL der App im Google Play Store. Paket-ID für Android Enterprise-App

  8. Wenn angezeigt wird, dass die App im Google Play Store nicht genehmigt ist, klicken Sie auf Ja, um sie zu genehmigen. Android Enterprise-App nicht genehmigt

  9. Wählen Sie die App aus, um sie hinzuzufügen. Klicken Sie auf Weiter. Feld zum Hinzufügen der Android Enterprise-App

  10. Weisen Sie die App mindestens einer Bereitstellungsgruppe zu. Android Enterprise-Bereitstellungsgruppe

  11. Klicken Sie auf Speichern.

Wiederholen Sie diese Schritte für Citrix Secure Mail und Citrix Secure Web.

Konfigurieren von Apps als MDX-Apps

Mobile Produktivitätsapps verwenden nicht das native Android-Manifest. Sie müssen diese Apps als MDX-Apps hinzufügen und ihre MDX-Richtlinien konfigurieren, bevor Sie die Apps für Benutzer bereitstellen.

Laden Sie vor dem Hinzufügen von MDX-Apps die aktuellen Android MDX-Dateien herunter:

  1. Gehen Sie zur Downloadseite von Citrix Endpoint Management und melden Sie sich mit Ihren Anmeldeinformationen als Citrix Kunde an: https://www.citrix.com/downloads/citrix-endpoint-management/product-software/xenmobile-enterprise-edition-worx-apps-and-mdx-toolkit.html.

    Download der MDX-Datei

  2. Dekomprimieren Sie die heruntergeladene Datei und extrahieren Sie den Inhalt.

Hinzufügen und Konfigurieren einer MDX-App:

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Apps. Die Seite Apps wird angezeigt.

    Apps-Konfigurationsbildschirm

  2. Klicken Sie auf Hinzufügen. Das Dialogfeld App hinzufügen wird angezeigt.

    Apps-Konfigurationsbildschirm

  3. Klicken Sie auf MDX. Die Seite App-Informationen für MDX wird angezeigt.

  4. Benennen Sie die Anwendung und klicken Sie auf Weiter. MDX-App-Informationen

  5. Klicken Sie auf Weiter, um zur Android-Plattformkonfiguration zu gelangen.

  6. Klicken Sie auf Upload. MDX-Upload

  7. Navigieren Sie zum Speicherort der MDX-Datei und wählen Sie die zu installierende MDX-Datei aus. Auswahl der MDX-Datei

  8. Der Netzwerkzugriff in einigen Apps ist standardmäßig blockiert. Aktivieren Sie den Netzwerkzugriff. Klicken Sie auf das Menü und wählen Sie Tunnel - Web-SSO aus. Netzwerkzugriffsoptionen

  9. Klicken Sie auf allen Seiten (mit Ausnahme der Standardeinstellungen) auf Weiter, bis Sie die Seite erreichen, auf der die Zuweisung zu Bereitstellungsgruppen erfolgt.

  10. Weisen Sie die App denselben Bereitstellungsgruppen wie bei der Veröffentlichung als öffentliche App-Store-App zu.

  11. Klicken Sie auf Speichern.

Wiederholen Sie die Schritte, um eine MDX-App für jede mobile Produktivitätsapp zu konfigurieren.

Konfigurieren der Richtlinie für die Sicherheitsabfrage

Die Passcode-Geräterichtlinie in Endpoint Management konfiguriert die Regeln für die Sicherheitsabfrage, mit der Benutzer auf ihre Geräte bzw. die Android Enterprise-Arbeitsprofile auf ihren Geräten zugreifen. Eine Sicherheitsabfrage kann ein Passcode oder eine biometrische Erkennung sein. Weitere Hinweise zur Passcoderichtlinie finden Sie unter Passcode-Geräterichtlinie.

Wenn in Ihrer Android Enterprise-Bereitstellung auch BYOD-Geräte enthalten sind, konfigurieren Sie die Passcoderichtlinie für das Arbeitsprofil. Wenn Ihre Bereitstellung vollständig verwaltete, firmeneigene Geräte umfasst, konfigurieren Sie die Passcoderichtlinie für das Gerät selbst. Wenn Ihre Bereitstellung beide Gerätetypen umfasst, konfigurieren Sie beide Arten von Passcoderichtlinien.

Konfigurieren der Passcoderichtlinie:

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Geräterichtlinien.

  2. Klicken Sie auf Hinzufügen.

  3. Klicken Sie auf Filter einblenden, um den Bereich Richtlinienplattform anzuzeigen. Wählen Sie im Bereich Richtlinienplattform die Option Android Enterprise aus.

  4. Klicken Sie im rechten Fensterbereich auf Passcode. Kennwortsicherheitsoption

  5. Geben Sie einen Richtliniennamen ein. Klicken Sie auf Weiter. Kennwortsicherheitsname

  6. Konfigurieren Sie die Einstellungen für die Passcoderichtlinie.
    • Setzen Sie Gerätepasscode erforderlich auf Ein, um die verfügbaren Einstellungen für Sicherheitsabfragen für das Gerät anzuzeigen.
    • Setzen Sie Sicherheitsabfrage für das Arbeitsprofil erforderlich auf Ein, um die verfügbaren Einstellungen für Sicherheitsabfragen für das Arbeitsprofil anzuzeigen.
  7. Klicken Sie auf Weiter.

  8. Weisen Sie die Richtlinie mindestens einer Bereitstellungsgruppe zu.

  9. Klicken Sie auf Speichern.

Provisioning von Arbeitsprofilgeräten mit Android Enterprise

Android Enterprise-Arbeitsprofilgeräte sind im Profilbesitzermodus registriert. Diese Geräte müssen nicht neu oder auf die Werkseinstellungen zurückgesetzt sein. BYOD-Geräte werden als Arbeitsprofilgeräte registriert. Die Registrierung ähnelt der Android-Registrierung in Endpoint Management. Die Benutzer laden Secure Hub aus Google Play herunter und registrieren ihre Geräte.

Standardmäßig sind die Einstellungen “USB-Debugging” und “Unbekannte Quellen” auf einem Gerät deaktiviert, wenn es bei Android Enterprise als Arbeitsprofilgerät registriert ist.

Beim Registrieren von Geräten als Arbeitsprofilgerät in Android Enterprise wechseln Sie stets zu Google Play. Aktivieren Sie dort Secure Hub, das dann im persönlichen Profil des Benutzers angezeigt wird.

Provisioning vollständig verwalteter Geräte mit Android Enterprise

Sie können vollständig verwaltete Geräte in der Bereitstellung registrieren, die Sie in den vorherigen Abschnitten eingerichtet haben. Vollständig verwaltete Geräte sind firmeneigene Geräte und werden im Gerätebesitzermodus registriert. Nur neue Geräte oder auf die Werkseinstellungen zurückgesetzte Geräte können im Gerätebesitzermodus registriert werden.

Sie können Geräte mit einer der folgenden Registrierungsmethoden im Gerätebesitzermodus registrieren:

  • DPC-ID-Token: Bei dieser Registrierungsmethode geben Benutzer beim Einrichten des Geräts die Zeichenfolge afw#xenmobile ein. afw#xenmobile ist der DPC-ID-Token von Citrix. Der Token identifiziert das Gerät als von Endpoint Management verwaltet und lädt Secure Hub vom Google Play Store herunter. Siehe Registrierung von Geräten mit dem Citrix DPC-ID-Token.
  • Datenübertragung per NFC (Near Field Communication): Bei dieser kontaktlosen Registrierungsmethode erfolgt der Datenaustausch zwischen zwei Geräten über die Nahfeldkommunikation (NFC). Bluetooth, Wi-Fi und andere Kommunikationsmodi sind auf einem neuen Gerät oder einem Gerät mit Werkseinstellungen deaktiviert. NFC ist das einzige Kommunikationsprotokoll, das das Gerät in diesem Zustand verwenden kann. Siehe Registrieren von Geräten per NFC-Datenübertragung.
  • QR-Code: Die Registrierung per QR-Code empfiehlt sich für verteilte Geräte im Bestand, die NFC nicht unterstützen (z. B. Tablets). Dabei wird der Geräteprofilmodus vom Setupassistenten durch Scannen eines QR-Codes eingerichtet und konfiguriert. Siehe Registrieren von Geräten per QR-Code.
  • Zero Touch: Mit der Zero-Touch-Registrierung können Sie festlegen, dass Geräte beim ersten Einschalten automatisch registriert werden. Die Zero-Touch-Registrierung wird auf einigen Android-Geräten mit Android 8.0 oder höher unterstützt. Siehe Zero-Touch-Registrierung.
  • Google-Konten: Benutzer geben die Anmeldeinformationen für ihr Google-Konto ein, um das Provisioning einzuleiten. Diese Option gilt für Unternehmen mit G Suite.

Registrierung von Geräten mit dem Citrix DPC-ID-Token

Benutzer geben afw#xenmobile ein, nachdem sie ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät für die Ersteinrichtung eingeschaltet haben und aufgefordert wurden, ein Google-Konto einzugeben. Mit dieser Aktion wird Secure Hub heruntergeladen und installiert. Die Benutzer folgen anschließend den Anweisungen in Secure Hub zum Abschließen der Registrierung.

Diese Registrierungsmethode wird für die meisten Kunden empfohlen, da die aktuelle Secure Hub-Version aus Google Play heruntergeladen wird. Im Gegensatz zu anderen Registrierungsmethoden wird Secure Hub nicht zum Herunterladen vom Endpoint Management-Server bereitgestellt.

Systemanforderungen

  • Wird auf allen Android-Geräten mit Android-OS unterstützt.

Registrieren des Geräts

  1. Schalten Sie ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät ein.

  2. Die Ersteinrichtung des Geräts wird geladen und der Benutzer wird aufgefordert, ein Google-Konto einzugeben. Falls das Gerät den Startbildschirm lädt, überprüfen Sie, ob in der Benachrichtigungsleiste die Benachrichtigung Finish Setup angezeigt wird.

    Anmeldeaufforderung zum Einrichten des Geräts

  3. Geben Sie afw#xenmobile im Feld Email oder phone ein.

    Einrichtungstext für Gerät

  4. Tippen Sie im Android Enterprise-Bildschirm auf Install, um Secure Hub zu installieren.

    Android Enterprise-Installation

  5. Tippen Sie im Secure Hub-Installationsbildschirm auf Install.

    Secure Hub-Installation

  6. Tippen Sie für alle App-Berechtigungsanforderungen auf Allow.

  7. Tippen Sie auf Accept & Continue, um Secure Hub zu installieren und das Gerät damit zu verwalten.

    Secure Hub-Berechtigungen

  8. Secure Hub ist installiert und der Standard-Registrierungsbildschirm wird angezeigt. In diesem Beispiel ist Autodiscovery nicht eingerichtet. Bei aktivierter Funktion können Benutzer ihren Benutzernamen bzw. ihre E-Mail-Adresse eingeben und es wird ein Server für sie gefunden. Geben Sie stattdessen die Registrierungs-URL für die Umgebung ein und tippen Sie auf Weiter.

    Secure Hub-Anmeldeinformationen

  9. In der Standardkonfiguration für Endpoint Management können Benutzer auswählen, ob sie MAM oder MDM+MAM verwenden. Wenn die Aufforderung angezeigt wird, tippen Sie auf Ja, Registrieren, um MDM+MAM auszuwählen.

    Geräteregistrierung in Secure Hub

  10. Geben Sie den Benutzernamen und das Kennwort ein und tippen Sie auf Weiter.

    Secure Hub-Anmeldung

  11. Der Benutzer wird aufgefordert, einen Gerätepasscode zu konfigurieren. Tippen Sie auf Festlegen und geben Sie einen Passcode ein.

    Secure Hub-Passcode

  12. Der Benutzer wird aufgefordert, eine Methode zum Entsperren des Arbeitsprofils zu konfigurieren. Tippen Sie in diesem Beispiel auf Kennwort und dann auf PIN und geben Sie eine PIN ein.

    Passcode-Optionen

  13. Das Gerät zeigt jetzt Eigene Apps, die Startseite von Secure Hub. Tippen Sie auf Apps aus dem Store hinzufügen.

    Bildschirm für Secure Hub-Apps

  14. Tippen Sie zum Hinzufügen von Secure Web auf Secure Web.

    Secure Hub-Store

  15. Tippen Sie auf Hinzufügen.

    Secure Web-Store

  16. Secure Hub leitet den Benutzer zum Google Play Store, um Secure Web zu installieren. Tippen Sie auf Installieren.

    Sichere App-Installation

  17. Tippen Sie nach der Installation von Secure Web auf Öffnen. Geben Sie die URL einer internen Website in die Adressleiste ein, um zu prüfen, ob die Seite geladen wird.

    Secure Web-Test

  18. Navigieren Sie zu Einstellungen > Konten auf dem Gerät. Beachten Sie, dass Verwaltetes Konto nicht geändert werden kann. Die Entwickleroptionen zur Bildschirmfreigabe oder für den Remotesupport sind ebenfalls blockiert.

    Kontoänderung

Registrieren von Geräten per NFC-Datenübertragung

Um ein Gerät per NFC-Funktion als vollständig verwaltetes Gerät zu registrieren, sind zwei Geräte erforderlich: Ein Gerät, das auf die Werkseinstellungen zurückgesetzt wurde, und ein Gerät, auf dem das Endpoint Management Provisioning Tool ausgeführt wird.

Systemanforderungen und Voraussetzungen

  • Unterstützte Android-Geräte.
  • Ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät, das für Android Enterprise als vollständig verwaltetes Gerät bereitgestellt wurde. Das Verfahren hierfür finden Sie weiter unten in diesem Artikel.
  • Ein Gerät mit NFC-Funktion, auf dem das konfigurierte Provisioning Tool ausgeführt wird. Das Provisioning Tool ist in Secure Hub und auf der Citrix-Downloadseite verfügbar.

Auf jedem Gerät kann nur ein Android Enterprise-Profil mit verwaltetem Secure Hub installiert sein. Auf jedem Gerät ist nur ein Profil zulässig. Sobald Sie eine zweite DPC-App hinzufügen, wird der installierte Secure Hub entfernt.

Per NFC übertragene Daten

Für das Provisioning eines auf Werkseinstellungen zurückgesetzten Geräts müssen Sie die folgenden Daten per NFC senden, damit Android Enterprise initialisiert wird:

  • Paketname der DPC-App, die als Gerätebesitzer fungiert (in diesem Fall Secure Hub).
  • Intranet-/Internetspeicherort, von dem das Gerät die DPC-App herunterlädt.
  • SHA1-Hash der DPC-App, um zu überprüfen, ob der Download erfolgreich ist.
  • WiFi-Verbindungsdetails, sodass ein auf Werkseinstellungen zurückgesetztes Gerät eine Verbindung herstellen und die DPC-App herunterladen kann. Hinweis: Android unterstützt für diesen Schritt nicht 802.1x.
  • Zeitzone für das Gerät (optional).
  • Geografischer Standort des Geräts (optional).

Wenn die beiden Geräte eine Verbindung herstellen, werden die Daten vom Provisioning Tool an das Gerät mit den Werkseinstellungen gesendet. Diese Daten werden dann zum Download von Secure Hub mit Administratoreinstellungen verwendet. Wenn Sie keine Werte für Zeitzone und Speicherort eingeben, konfiguriert Android sie automatisch auf dem neuen Gerät.

Konfigurieren des Endpoint Management Provisioning Tools

Bevor Sie Daten per NFC übertragen können, müssen Sie das Provisioning Tool konfigurieren. Diese Konfiguration wird dann während der NFC-Übertragung an das auf die Werkseinstellungen zurückgesetzte Gerät gesendet.

Provisioning Tool-Konfiguration

Sie können Daten in die erforderlichen Felder eintragen oder die Felder mit einer Textdatei ausfüllen. Nachfolgend wird beschrieben, wie Sie die Textdatei konfigurieren und welche Felder diese enthält. Die App speichert die eingegebenen Informationen nicht. Erstellen Sie daher eine Textdatei zur Aufbewahrung der Informationen.

Konfigurieren des Provisioning Tools mit einer Textdatei

Nennen Sie die Datei nfcprovisioning.txt und speichern Sie sie auf der SD-Karte des Geräts im Ordner /sdcard/. Die App liest die Textdatei und fügt die Werte ein.

Die Textdatei muss die folgenden Daten enthalten:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Dies ist der Intranet-/Internetspeicherort der EMM-Anbieter-App. Wenn das auf Werkseinstellungen zurückgesetzte Gerät nach der NFC-Übertragung eine WiFi-Verbindung herstellt, muss es für den Download Zugriff auf diesen Speicherort haben. Die URL ist eine normale URL ohne spezielle Formatierung.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Dies ist die Prüfsumme der EMM-Anbieter-App. Sie wird verwendet, um zu prüfen, ob der Download erfolgreich ist. Das Verfahren zum Abrufen der Prüfsumme wird weiter unten in diesem Artikel beschrieben.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Dies ist die Wi-Fi-SSID des Geräts, auf dem das Provisioning Tool ausgeführt wird.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Es werden WEP und WPA2 unterstützt. Wenn das WiFi nicht geschützt ist, muss dieses Feld leer sein.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wenn das WiFi nicht geschützt ist, muss dieses Feld leer sein.

android.app.extra.PROVISIONING_LOCALE=<locale>

Geben Sie die Sprach- und Ländercodes ein. Sprachcodes sind nach ISO 639-1 definierte ISO-Sprachcodes, die aus zwei Kleinbuchstaben bestehen (z. B. en). Ländercodes sind nach ISO 3166-1 definierte ISO-Ländercodes, die aus zwei Großbuchstaben bestehen(z. B. US). Geben Sie z. B. de_DE für Deutsch/Deutschland ein. Wenn Sie keinen Länder- und Sprachcode eingeben, werden diese Felder automatisch ausgefüllt.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

Die Zeitzone, in der das Gerät ausgeführt wird. Geben Sie ein: Name im Format Gebiet/Ort. Beispiel: America/Los_Angeles für Pacific Time. Wenn Sie keine Zeitzone eingeben, wird sie automatisch eingetragen.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Keine Eingabe ist erforderlich, da der Wert in der App als Secure Hub hartcodiert ist. Er wird hier nur der Vollständigkeit halber angegeben.

Bei einem mit WPA2 geschützten Wi-Fi könnte die Datei nfcprovisioning.txt wie folgt aussehen:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Bei einem ungeschützten WiFi könnte die Datei nfcprovisioning.txt wie folgt aussehen:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Abrufen der Secure Hub-Prüfsumme

Wenn Sie die Prüfsumme einer App abrufen möchten, fügen Sie die App als Unternehmensapp hinzu.

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Apps und dann auf Hinzufügen.

    Das Fenster Apps hinzufügen wird angezeigt.

  2. Klicken Sie auf Enterprise.

    Die Seite App-Informationen wird angezeigt.

    App-Informationsseite

  3. Wählen Sie die folgende Konfiguration und klicken Sie auf Weiter.

    Die Seite Android Enterprise-Unternehmensapp wird angezeigt.

    Android Enterprise-Unternehmensapp

  4. Geben Sie den Pfad für die APK-Datei an und klicken Sie auf Weiter, um die Datei hochzuladen.

    Wenn der Upload abgeschlossen ist, werden die Details des hochgeladenen Pakets angezeigt.

    Dateiuploadseite

  5. Klicken Sie auf Weiter. Klicken Sie auf JSON herunterladen, um die Seite zum Herunterladen der JSON-Datei für den Upload in Google Play aufzurufen. Für Secure Hub ist kein Upload in Google Play erforderlich, aber Sie benötigen die JSON-Datei, um den SHA1-Wert auszulesen.

    Seite für den Download der JSON-Datei

    Eine typische JSON-Datei sieht wie folgt aus:

    Eine typische JSON-Datei

  6. Kopieren Sie den Wert file_sha1_base64 und geben Sie ihn in das Feld Hash im Provisioning Tool ein.

    Hinweis: Der Hash muss URL-geeignet sein.

    • Konvertieren Sie alle +-Symbole in -
    • Konvertieren Sie alle /-Symbol in _
    • Ersetzen Sie \u003d am Ende durch =

    Die App führt die Sicherheitskonvertierung durch, wenn Sie den Hash-Wert in der Datei nfcprovisioning.txt auf der SD-Karte des Geräts speichern. Wenn Sie den Hash-Wert manuell eingeben, sind Sie dafür verantwortlich, dass er URL-sicher ist.

Verwendete Bibliotheken

Das Provisioning Tool verwendet die folgenden Bibliotheken im Quellcode:

  • v7 AppCompat Library, Design Support Library und v7 Palette Library von Google unter Apache 2.0-Lizenz

    Weitere Informationen finden Sie unter Support Library Features Guide.

  • Butter Knife von Jake Wharton unter Apache-Lizenz 2.0

Registrieren von Geräten per QR-Code

Sie registrieren ein vollständig verwaltetes Gerät per QR-Code, indem Sie zunächst ein JSON-Objekt erstellen und dieses in einen QR-Code umwandeln. Der QR-Code wird mit der Gerätekamera gescannt, um das Gerät zu registrieren.

Systemanforderungen

  • Wird auf allen Android-Geräten ab Android 7.0 unterstützt.

Erstellen eines QR-Codes aus einer JSON-Datei

Erstellen Sie eine JSON-Datei mit den folgenden Feldern.

Diese Felder sind erforderlich:

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Wert: com.zenprise/com.zenprise.configuration.AdminFunction

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Wert: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Wert: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

Diese Felder sind optional:

  • android.app.extra.PROVISIONING_LOCALE: Geben Sie den Sprach- und den Ländercode ein.

    Sprachcodes sind nach ISO 639-1 definierte ISO-Sprachcodes, die aus zwei Kleinbuchstaben bestehen (z. B. en). Ländercodes sind nach ISO 3166-1 definierte ISO-Ländercodes, die aus zwei Großbuchstaben bestehen(z. B. US). Geben Sie z. B. de_DE für Deutsch/Deutschland ein.

  • android.app.extra.PROVISIONING_TIME_ZONE: die Zeitzone, in der das Gerät ausgeführt wird.

    Geben Sie ein: Name im Format Gebiet/Ort. Beispiel: America/Los_Angeles für Pacific Time. Wenn Sie keine Zeitzone eingeben, wird sie automatisch eingetragen.

  • android.app.extra.PROVISIONING_LOCAL_TIME: Zeit in Millisekunden seit der Unix-Epoche.

    Die Unix-Zeit (auch POSIX-Zeit oder Unix-Zeitstempel) ist die Anzahl der Sekunden, die seit der Epoche, d. h. dem 1. Januar 1970 (Mitternacht UTC-GMT), verstrichen sind. Schaltsekunden werden nicht mitgezählt (in ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: Wenn Sie dies auf true festlegen, wird die Verschlüsselung während der Profilerstellung übersprungen. Wählen Sie False, um die Verschlüsselung während der Profilerstellung zu erzwingen.

Eine JSON-Datei sieht in etwa wie folgt aus:

Eine typische JSON-Datei

Überprüfen Sie die JSON-Datei mit einem JSON-Validierungstool (z. B. https://jsonlint.com). Konvertieren Sie die JSON-Zeichenfolge mit einem beliebigen QR-Code-Generator (z. B. https://goqr.me) in einen QR-Code.

Der QR-Code wird von einem auf Werkseinstellungen zurückgesetzten Gerät gescannt, um das Gerät als vollständig verwaltetes Gerät zu registrieren.

Registrieren des Geräts

Nach dem Einschalten eines neuen oder auf die Werkseinstellungen zurückgesetzten Geräts:

  1. Tippen Sie sechsmal auf den Begrüßungsbildschirm, um die Registrierung per QR-Code zu starten.
  2. Verbinden Sie das Gerät nach Aufforderung mit dem WiFi-Netzwerk. Über das WiFi-Netzwerk wird dann per QR-Code (codiert in der JSON-Datei) auf den Download-Speicherort von Secure Hub zugegriffen.

    Sobald das Gerät mit dem WiFi verbunden ist, lädt es ein Google-Programm zum Lesen des QR-Codes herunter und aktiviert die Kamera.

  3. Halten Sie die Kamera über den QR-Code, um ihn zu scannen.

    Android lädt Secure Hub vom Speicherort im QR-Code herunter, validiert die Signatur des Signaturzertifikats, installiert Secure Hub und legt die App als Gerätebesitzer fest.

Weitere Informationen finden Sie im Google-Leitfaden für Android EMM-Entwickler unter https://developers.google.com/android/work/prov-devices#qr_code_method.

Zero-Touch-Registrierung

Mit der Zero-Touch-Registrierung können Sie festlegen, dass Geräte beim ersten Einschalten als vollständig verwaltete Geräte bereitgestellt werden.

Ihr Geräte-Vertriebspartner erstellt für Sie ein Konto im Android-Portal für die Zero-Touch-Registrierung, einem Online-Tool zum Konfigurieren von Geräten. Im Android-Portal für die Zero-Touch-Registrierung erstellen Sie eine oder mehrere Konfigurationen für die Zero-Touch-Registrierung und wenden diese dann auf die Geräte an, die Ihrem Konto zugewiesen sind. Wenn Benutzer die Geräte dann einschalten, werden sie automatisch bei Endpoint Management registriert. Die dem Gerät zugewiesene Konfiguration definiert den automatischen Registrierungsprozess.

Systemanforderungen

  • Die Zero-Touch-Registrierung wird ab Android 8.0 unterstützt.

Geräte und Kontoinformationen Ihres Vertriebspartners

  • Geräte mit Zero-Touch-Registrierung können vom Vertriebspartner des Unternehmens oder einem Google-Partner erworben werden. Eine Liste aller Partner für die Zero-Touch-Registrierung für Android Enterprise finden Sie auf der Android-Webseite.

  • Ein von Ihrem Vertriebspartner erstelltes Android Enterprise-Konto im Portal für die Zero-Touch-Registrierung.

  • Von Ihrem Vertriebspartner bereitgestellte Anmeldeinformationen für das Android Enterprise-Konto im Portal für die Zero-Touch-Registrierung.

Erstellen einer Zero-Touch-Konfiguration

Geben Sie beim Erstellen einer Zero-Touch-Konfiguration die Konfigurationsdetails in einem benutzerdefinierten JSON-Objekt an.

Mit diesem JSON-Objekt konfigurieren Sie, dass das Gerät sich beim von Ihnen angegebenen Endpoint Management-Server registriert. Ersetzen Sie “URL” im Beispiel durch die URL Ihres Servers.

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }

Mit einem optionalen JSON-Objekt mit zusätzlichen Parametern können Sie Ihre Konfiguration weiter anpassen. Im folgenden Beispiel sind der Endpoint Management-Server festgelegt sowie der Benutzername und das Kennwort, mit denen Geräte sich in dieser Konfiguration am Server anmelden.

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  1. Navigieren Sie zum Android-Portal für die Zero-Touch-Registrierung unter https://partner.android.com/zerotouch. Melden Sie sich mit den Kontoinformationen an, die Sie vom Vertriebspartner Ihres Zero-Touch-Geräts erhalten haben.

  2. Klicken Sie auf Configuration. Portal für die Zero-Touch-Registrierung

  3. Klicken Sie über der Konfigurationstabelle auf +. Portal für die Zero-Touch-Registrierung

  4. Geben Sie im angezeigten Konfigurationsfenster Ihre Konfigurationsinformationen ein. Portal für die Zero-Touch-Registrierung
    • Configuration name: Geben Sie den für diese Konfiguration gewählten Namen ein.
    • EMM DPC: Wählen Sie Citrix Secure Hub.
    • DPC extras: Fügen Sie hier Ihren benutzerdefinierten JSON-Text ein.
    • Company name: Geben Sie den Namen ein, der beim Provisioning auf Ihren Android Enterprise-Geräten mit Zero-Touch-Registrierung angezeigt werden soll.
    • Support email address: Geben Sie eine E-Mail-Adresse für Supportanfragen von Benutzern ein. Diese Adresse wird vor dem Provisioning auf Ihren Android Enterprise-Geräten mit Zero-Touch-Registrierung angezeigt.
    • Support phone number: Geben Sie eine Telefonnummer für Supportanfragen von Benutzern ein. Diese Telefonnummer wird vor dem Provisioning auf Ihren Android Enterprise-Geräten mit Zero-Touch-Registrierung angezeigt.
    • Custom Message: Erläutern Sie optional in ein oder zwei Sätzen, wie Benutzer Sie erreichen können oder was mit dem Gerät geschieht. Diese benutzerdefinierte Nachricht wird vor dem Provisioning auf Ihren Android Enterprise-Geräten mit Zero-Touch-Registrierung angezeigt.
  5. Klicken Sie auf Hinzufügen.

  6. Zum Erstellen weiterer Konfigurationen wiederholen Sie die Schritte 2 bis 4.

  7. Anwenden einer Konfiguration auf ein Gerät:

    1. Klicken Sie im Android-Portal für die Zero-Touch-Registrierung auf Devices.

    2. Suchen Sie das Gerät in der Geräteliste und wählen Sie die Konfiguration aus, die Sie ihm zuweisen möchten. Portal für die Zero-Touch-Registrierung

    3. Klicken Sie auf Aktualisieren.

Über eine CSV-Datei können Sie eine Konfiguration auf mehrere Geräte anwenden.

Informationen zum Anwenden einer Konfiguration auf mehrere Geräte finden Sie im Android Enterprise-Hilfethema Zero-touch enrollment for IT admins. Dieses Android Enterprise-Hilfethema enthält weitere Informationen, wie Sie Konfigurationen verwalten und auf Geräte anwenden.

Anzeige vollständig verwalteter Geräte in der Endpoint Management-Konsole

  1. Gehen Sie in der Endpoint Management-Konsole zu Verwalten > Geräte.

  2. Klicken Sie hier auf das Menü am rechten Tabellenrand, um die Spalte Für Android Enterprise aktiviertes Gerät? hinzuzufügen. Android Enterprise-Geräteliste

  3. Um verfügbare Sicherheitsaktionen anzuzeigen, wählen Sie ein vollständig verwaltetes Gerät und klicken auf Sicher. Wenn das Gerät vollständig verwaltet ist, ist die Aktion Vollständig löschen verfügbar, Selektiv löschen jedoch nicht. Dieser Unterschied liegt daran, dass das Gerät nur Apps aus dem verwalteten Google Play Store zulässt. Der Benutzer kann keine Apps aus dem öffentlichen Store installieren. Ihre Organisation verwaltet alle Inhalte auf dem Gerät.

    Sicherheitsaktionen

Provisioning von dedizierten Geräten mit Android Enterprise

Dedizierte Android Enterprise-Geräte sind vollständig verwaltete Einzweckgeräte. Diese Geräte beschränken Sie auf eine oder wenige Apps, die zum Ausführen der für den vorgegebenen Zweck erforderlichen Aufgaben notwendig sind. Außerdem verhindern Sie, dass Benutzer weitere Apps aktivieren oder andere Aktionen auf dem Gerät ausführen.

Dedizierte Geräte werden mit einer der Registrierungsmethoden registriert, die für andere vollständig verwaltete Geräte verwendet werden, wie unter Provisioning vollständig verwalteter Geräte mit Android Enterprise beschrieben. Für das Provisioning dedizierter Geräte ist vor der Registrierung ein zusätzliches Setup erforderlich.

Dedizierte Geräte werden auch als unternehmenseigene Einzweckgeräte (COSU) bezeichnet.

Hinweis:

Im Gegensatz zu anderen vollständig verwalteten Geräten können dedizierte Geräte nur von Benutzern mit Active Directory-Konten registriert werden. Lokale Benutzer können dedizierte Geräte nicht registrieren.

Provisioning dedizierter Geräte:

  • Fügen Sie eine rollenbasierte Zugriffssteuerungsrolle (RBAC-Rolle) hinzu, mit der Endpoint Management-Administratoren dedizierte Geräte bei Endpoint Management registrieren können. Weisen Sie diese Rolle Benutzern zu, für die Sie dedizierte Geräte registrieren möchten.
  • Fügen Sie ein Registrierungsprofil für die Endpoint Management-Administratoren hinzu, denen Sie die Registrierung von dedizierten Geräten bei Endpoint Management gestatten möchten.
  • Setzen Sie die Apps, auf die das dedizierte Gerät zugreifen soll, auf eine Positivliste.
  • Legen Sie optional für Apps fest, dass diese den gesperrten Task-Modus zulassen. Im gesperrten Task-Modus wird eine App an den Gerätebildschirm angeheftet, wenn der Benutzer sie öffnet. Es gibt keine Hometaste und die Zurück-Taste ist deaktiviert. Der Benutzer beendet die App mit einer in der App programmierten Aktion, z. B. Abmelden.
  • Registrieren Sie jedes Gerät als vollständig verwaltetes Gerät.

Systemanforderungen

  • Die Registrierung dedizierter Geräte ist ab Android 6.0 möglich.

Hinzufügen der RBAC-Rolle für dedizierte Geräte

Mit der RBAC-Rolle für die Registrierung von dedizierten Geräten kann Endpoint Management ohne Benutzereingriff ein verwaltetes Google Play-Konto auf dem Gerät bereitstellen und aktivieren. Im Gegensatz zu verwalteten Google Play-Benutzerkonten gehören solche Gerätekonten zu Geräten, die nicht an einen Benutzer gebunden sind.

Diese RBAC-Rolle weisen Sie Endpoint Management-Administratoren zu, damit sie dedizierte Geräte registrieren können.

Hinzufügen der RBAC-Rolle zum Registrieren von dedizierten Geräten:

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf Rollenbasierte Zugriffssteuerung. Die Seite Rollenbasierte Zugriffssteuerung wird angezeigt. Sie enthält die vier Standardbenutzerrollen sowie alle von Ihnen zuvor hinzugefügten Rollen.

  3. Klicken Sie auf Hinzufügen. Die Seite Rolle hinzufügen wird angezeigt.

  4. Geben Sie die folgenden Informationen ein:

    • RBAC-Name: Geben Sie “COSU” oder einen anderen aussagekräftigen Namen für die Rolle ein. Sie können den Namen einer Rolle nicht ändern.
    • RBAC-Vorlage: Wählen Sie die ADMIN-Vorlage aus.
    • Autorisierter Zugriff: Wählen Sie Zugriff über Administratorkonsole und Registrierung für COSU-Geräte.
    • Konsolenfeatures: Wählen Sie Geräte.
    • Berechtigungen anwenden: Wählen Sie die Gruppen aus, denen Sie die COSU-Rolle zuweisen möchten. Wenn Sie auf Auf bestimmte Benutzergruppen klicken, wird eine Liste mit Gruppen angezeigt, in der Sie eine oder mehrere Gruppen auswählen können.
  5. Klicken Sie auf Weiter. Die Seite Zuweisung wird angezeigt.

  6. Geben Sie die folgenden Informationen zum Zuweisen der Rolle zu Active Directory-Gruppen ein.

    • Domäne auswählen: Klicken Sie in der Liste auf eine Domäne.
    • Benutzergruppen einschließen: Klicken Sie auf Suchen, um eine Liste aller verfügbaren Gruppen anzuzeigen. Geben Sie alternativ einen Gruppennamen vollständig oder teilweise ein, um die Liste auf entsprechende Gruppen beschränken.
    • Wählen Sie in der nun angezeigten Liste die Benutzergruppen aus, denen Sie die Rolle zuweisen möchten. Wenn Sie eine Benutzergruppe auswählen, wird die Gruppe in der Liste Ausgewählte Benutzergruppen angezeigt. Add role
  7. Klicken Sie auf Speichern.

Hinzufügen eines dedizierten (COSU)-Registrierungsprofils

Wenn Ihre Endpoint Management-Bereitstellung dedizierte Geräte enthält, können zahlreiche dedizierte Geräte durch einen oder mehrere Endpoint Management-Administratoren registriert werden. Damit diese Administratoren alle erforderlichen Geräte registrieren können, erstellen Sie für sie ein Registrierungsprofil unter Zulassung einer unbegrenzten Anzahl an Geräten pro Benutzer. Weisen Sie dieses Profil einer Bereitstellungsgruppe mit den Administratoren zu, die dedizierte Geräte registrieren werden. Auf diese Weise können Administratoren selbst dann eine unbegrenzte Anzahl an Geräten registrieren, wenn das standardmäßige globale Profil nur eine begrenzte Anzahl von Geräten pro Benutzer zulässt. Den betreffenden Administratoren muss das dedizierte (COSU)-Registrierungsprofil zugewiesen sein.

  1. Gehen Sie in der Endpoint Management-Konsole zu Konfigurieren > Registrierungsprofile. Das Standardprofil “Global” wird angezeigt.

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite “Registrierungsinfo” einen Namen für das Registrierungsprofil ein. Legen Sie für die Anzahl der Geräte, die Mitglieder mit diesem Profil anmelden können, “Unbegrenzt” fest.

    Konfigurationsbildschirm für Registrierungsprofile

  3. Klicken Sie auf Weiter. Die Seite Bereitstellungsgruppenzuweisung wird angezeigt.

  4. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die dedizierte Geräte registrieren sollen. Klicken Sie auf Speichern.

    Die Seite “Registrierungsprofil” wird mit dem von Ihnen hinzugefügten Profil angezeigt.

    Konfigurationsbildschirm für Registrierungsprofile

Hinzufügen von Apps zur Positivliste und Festlegen des gesperrten Task-Modus

Über die Kioskgeräterichtlinie können Sie Apps auf die Positivliste setzen und den gesperrten Task-Modus festlegen. Secure Hub- und Google Play-Dienste stehen standardmäßig auf der Positivliste.

Hinzufügen der Kioskrichtlinie

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Geräterichtlinien. Die Seite Geräterichtlinien wird angezeigt.

  2. Klicken Sie auf Hinzufügen. Das Dialogfeld Neue Richtlinie hinzufügen wird angezeigt.

  3. Erweitern Sie Mehr und klicken Sie unter “Sicherheit” auf Kiosk. Die Seite Kioskrichtlinie wird angezeigt.

  4. Wählen Sie unter “Plattformen” die Option Android Enterprise. Deaktivieren Sie andere Plattformen.

  5. Geben Sie im Bereich Richtlinieninformationen den Richtliniennamen und optional eine Beschreibung ein.

  6. Klicken Sie auf Weiter und dann auf Hinzufügen.

  7. Gehen Sie zum Hinzufügen von Apps zur Positivliste und Festlegen des gesperrten Task-Modus wie folgt vor:

    Wählen Sie die gewünschte App aus der Liste aus.

    Wählen Sie Zulassen, um festzulegen, dass die App an den Gerätebildschirm angeheftet wird, wenn der Benutzer die App startet. Wählen Sie Verweigern, um festzulegen, dass die App nicht angeheftet werden soll. Die Standardeinstellung ist Zulassen.

    Konfigurationsbildschirm für Geräterichtlinien

  8. Klicken Sie auf Speichern.

  9. Klicken Sie zum Hinzufügen einer weiteren App zur Positivliste und Festlegen des gesperrten Task-Modus auf Hinzufügen.

  10. Konfigurieren Sie Bereitstellungsregeln und wählen Sie Bereitstellungsgruppen. Weitere Informationen finden Sie unter Geräterichtlinien.

Registrieren des Geräts

  1. Schalten Sie ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät ein.

  2. Registrieren Sie die Geräte als vollständig verwaltetes Gerät und weisen Sie sie einem Benutzer mit RBAC-Rolle für dedizierte Geräte zu.

Nachdem das Gerät registriert ist, wird eine Liste aller Apps angezeigt, die ein Benutzer auf dem Gerät ausführen kann.

App-Liste

In diesem Beispiel ist Gmail zwar auf dem Gerät, kann aber nicht ausgeführt werden.

Konfigurieren von Android Enterprise-Geräterichtlinien

Verwenden Sie diese Richtlinien, um die Interaktion von Endpoint Management mit Geräten zu konfigurieren, auf denen Android Enterprise ausgeführt wird. In dieser Tabelle sind alle für Android Enterprise-Geräte verfügbaren Geräterichtlinien aufgeführt.

     
App-Berechtigungen in Android Enterprise Verwaltete Android Enterprise-Konfigurationen App-Deinstallation
App-Bestand OS-Update steuern Anmeldeinformationen
Benutzerdefiniertes XML Endpoint Management-Optionen Exchange
Dateien Keyguard-Verwaltung Kiosk
Knox Platform for Enterprise Standort Passcode
Einschränkungen Samsung MDM-Lizenzschlüssel Planung
Wi-Fi    

Weitere Informationen unter Von Android Enterprise unterstützte Geräterichtlinien und MDX-Richtlinien.

Sicherheitsaktionen

Android Enterprise unterstützt die folgenden Sicherheitsaktionen. Eine Beschreibung der einzelnen Sicherheitsaktionen finden Sie unter Sicherheitsaktionen.

Sicherheitsaktion Android Enterprise (BYOD) Android Enterprise (unternehmenseigen)
Zertifikaterneuerung Ja Ja
Vollständig löschen Nein Ja
Suchen Ja Ja
Sperren Ja Ja
Lock and Reset Password Nein Ja
Notify (Ring) Ja Ja
Widerrufen Ja Ja
Selektiv löschen Ja Nein

Hinweise:

Die Sicherheitsaktion zur Ortung funktioniert nur, wenn in der Standortrichtlinie für Geräte der Standortmodus für das Gerät auf Hohe Genauigkeit oder Akku schonen festgelegt ist.

Der Befehl “Sperren und Kennwort zurücksetzen” wird nicht auf Arbeitsprofilgeräten unterstützt, auf denen Android-Versionen vor Android 8.0 ausgeführt werden. Auf Arbeitsprofilgeräten mit Android 8.0 oder höher sperrt der gesendete Passcode nur das Arbeitsprofil und nicht das Gerät. Wenn kein Passcode gesendet wird oder der gesendete Passcode nicht den Anforderungen entspricht und noch kein Passcode im Arbeitsprofil festgelegt ist, wird das Gerät gesperrt. Wenn kein Passcode gesendet wird oder der gesendete Passcode nicht den Anforderungen entspricht, aber bereits ein Passcode im Arbeitsprofil festgelegt ist, wird nur das Arbeitsprofil gesperrt und nicht das Gerät.

Registrierung für Android Enterprise-Unternehmen aufheben

Wenn Sie Ihr Android Enterprise-Unternehmen nicht mehr verwenden möchten, können Sie die Registrierung des Unternehmens aufheben.

Warnung:

Nachdem die Registrierung eines Unternehmens aufgehoben wurde, werden Android Enterprise-Apps auf Geräten, die bereits registriert wurden, auf die Standardeinstellungen zurückgesetzt. Google verwaltet die Geräte nicht mehr. Für die Neuregistrierung in einem Android Enterprise-Unternehmen ist möglicherweise eine weitere Konfiguration erforderlich, um die vorherige Funktionalität wiederherzustellen.

Nachdem die Registrierung des Android Enterprise-Unternehmens aufgehoben wurde:

  • Für Geräte und Benutzer, die über das Unternehmen registriert sind, wurden die Android Enterprise-Apps auf die Standardeinstellung zurückgesetzt. Zuvor angewendete Android Enterprise App-Berechtigungen und Richtlinien für verwaltete Android Enterprise-Konfigurationen haben keine Wirkung mehr auf Vorgänge.
  • Endpoint Management verwaltet Geräte, die über das Unternehmen registriert sind. Aus Sicht von Google werden diese Geräte nicht verwaltet. Sie können keine neuen Android Enterprise-Apps hinzufügen. Sie können keine Android Enterprise App-Berechtigungen oder Richtlinien für verwaltete Android Enterprise-Konfigurationen anwenden. Sie können auf diese Geräte andere Richtlinien anwenden, z. B. Planung, Kennwort und Einschränkungen.
  • Wenn Sie versuchen, Geräte in Android Enterprise zu registrieren, werden sie als Android-Geräte und nicht als Android Enterprise-Geräte registriert.

Heben Sie die Registrierung für Android Enterprise-Unternehmen mit der Endpoint Management-Serverkonsole und den Endpoint Management Tools auf.

Wenn Sie diese Aufgabe ausführen, öffnet Endpoint Management ein Popupfenster für Endpoint Management Tools. Bevor Sie beginnen, sollten Sie sicherstellen, dass Endpoint Management im verwendeten Browser die Berechtigung hat, Popupfenster zu öffnen. In einigen Browsern, wie Google Chrome, müssen Sie die Popupblockierung deaktivieren und die Adresse der Endpoint Management-Site der Positivliste des Popupblockers hinzufügen.

Registrierung für Android Enterprise-Unternehmen aufheben:

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf der Seite “Einstellungen” auf Android Enterprise.

  3. Klicken Sie auf Registrierung aufheben.

    Registrierung aufheben (Option)