Citrix Endpoint Management

Android für Workspace

In Android für Workspace wird die von Google bereitgestellte Android Management API (AMAPI) verwendet, um Android-Geräte zu verwalten. Bei Android für Workspace müssen die Benutzer ihre Geräte nicht mehr über Secure Hub registrieren. Die Benutzer führen die Registrierung über die Citrix Workspace-App aus und greifen über Workspace auf alle Apps und Inhalte zu.

Android für Workspace ist nur für Cloudbereitstellungen mit aktiviertem Citrix Workspace verfügbar. Das erste Release von Android für Workspace unterstützt nur die Registrierung mit Arbeitsprofil. Bei dieser Registrierungsmethode besitzen Geräte ein Arbeitsprofil und ein persönliches Profil, um Unternehmensdaten von privaten Daten zu trennen. Arbeitsprofile und persönliche Profile werden auf Betriebssystemebene getrennt. Weitere Informationen zu Arbeitsprofilen finden Sie in der Google-Hilfe unter Was ist ein Arbeitsprofil?.

Die Plattform ist nicht mit der Android Enterprise-Plattform verwandt. Android Enterprise-Konfigurationen sind nicht mit Android für Workspace kompatibel. Wenn Sie Android Enterprise konfiguriert haben, müssen Sie neue Versionen der folgenden Elemente erstellen:

  • Google-Konto
  • Bereitstellungsgruppen
  • Registrierungsprofile
  • Richtlinien für Geräte und Apps

Außerdem müssen Android Enterprise-Benutzer, die bei Endpoint Management registriert sind, eine erneute Registrierung per Citrix Workspace-App ausführen.

Informationen zur Verwendung von Android Enterprise ohne AMAPI-Features finden Sie unter Android Enterprise.

Anforderungen

Vor dem Einsatz von Android für Workspace ist Folgendes erforderlich:

  • Citrix Gateway Service

  • Konten und Anmeldeinformationen:

    • Ein Google-Unternehmenskonto zum Einrichten von Android für Workspace mit verwaltetem Google Play
    • Ein Citrix-Kundenkonto zum Download der aktuellen MDX-Dateien
  • Zur Verwendung von Android für Workspace muss auf einem Gerät Folgendes installiert sein:

    • Android 7 oder höher
    • Citrix Workspace-App

Erste Schritte mit Android für Workspace

Pfad für erste Schritte

Einmalige Einrichtung

Folgen Sie diesen Schritten zur Ersteinrichtung der Android für Workspace-Plattform.

  1. Erstellen Sie ein Google-Konto. Wenn Sie bereits Android Enterprise eingerichtet haben, müssen Sie ein Google-Konto mit einer anderen E-Mail-Adresse verwenden.

    Siehe Verwenden von verwaltetem Google Play mit Endpoint Management und Anforderungen.

  2. Binden Sie Ihr Google-Konto in Endpoint Management ein.

    Siehe Verbinden von Endpoint Management mit Google Play.

  3. Erstellen und konfigurieren Sie Registrierungsprofile.

    Siehe Registrierungsprofile erstellen.

  4. Bereiten Sie die Bereitstellung von MDX-fähigen Apps vor.

    Verwenden Sie das MAM-SDK, um Apps zu entwickeln.

    Siehe Überblick über das MAM-SDK.

Konfigurieren von Geräten

  1. Erstellen Sie Bereitstellungsgruppen. Bereitstellungsgruppen für Android Enterprise liefern keine Ressourcen an Android für Workspace-Geräte.

    Legen Sie fest, welcher Benutzer zu welchem Zeitpunkt Zugriff auf welche Ressourcen erhält. Siehe Bereitstellen von Ressourcen.

  2. Hinzufügen von Apps Sie können die Apps in Google Play direkt über die Endpoint Management-Konsole genehmigen.

  3. Erstellen Sie Registrierungsprofile.

    Legen Sie Registrierungsoptionen für die Geräte- und App-Verwaltung fest. Siehe Registrierungsprofile erstellen.

  4. Konfigurieren Sie App- und Geräterichtlinien.

    Berücksichtigen Sie hierbei sowohl die Unternehmenssicherheit als auch Datenschutz und Benutzererfahrung. Siehe Konfigurieren von App- und Geräterichtlinien für Android für Workspace.

  5. Verteilen Sie Apps.

    Siehe:

    Für Android für Workspace veröffentlichte Apps haben keine Bereitstellungsregeln. Endpoint Management übergibt alle 30 Minuten neue Apps und Richtlinien an Android für Workspace-Geräte.

  6. Konfigurieren Sie Sicherheitsaktionen, um die Richtlinientreue zu überwachen und sicherzustellen.

    Weitere Informationen finden Sie unter Sicherheitsaktionen.

Verwenden von verwaltetem Google Play mit Endpoint Management

Wenn Sie Endpoint Management mit verwaltetem Google Play zur Verwendung von Android für Workspace integrieren, erstellen Sie ein Unternehmen. Google definiert ein Unternehmen als Bindeglied zwischen der Organisation und Ihrer EMM-Lösung (Enterprise Mobile Management). Alle Benutzer und Geräte, die die Organisation über Ihre Lösung verwaltet, gehören zu diesem Unternehmen.

Ein Unternehmen für Android für Workspace besteht aus zwei Komponenten: einer EMM-Lösung und einer Google-Plattform für Unternehmensapps. Wenn Sie Endpoint Management mit Android für Workspace integrieren, besteht die Komplettlösung aus folgenden Komponenten:

  • Citrix Endpoint Management: EMM-Lösung von Citrix. Endpoint Management ist die einheitliche Endpunktverwaltung für einen sicheren digitalen Workspace. Endpoint Management bietet IT-Administratoren die Möglichkeit, Geräte und Apps für ihre Organisationen zu verwalten.
  • Verwaltetes Google Play: Googles Plattform für Unternehmensapps, die mit Endpoint Management integriert ist. Die Google Play EMM-API legt App-Richtlinien fest und verteilt Apps.

Wenn Sie verwaltetes Google Play verwenden, stellen Sie verwaltete Google Play-Konten für Geräte und Endbenutzer bereit. Über verwaltete Google Play-Konten können Benutzer auf verwaltetes Google Play zugreifen und Apps installieren und verwenden, die Sie zur Verfügung stellen. Wenn Ihre Organisation den Identitätsdienst eines Drittanbieters verwendet, können Sie verwaltete Google Play-Konten mit den bestehenden Identitätskonten verknüpfen.

Da dieser Unternehmenstyp nicht an eine Domäne gebunden ist, können Sie für jede Organisation mehrere Unternehmen erstellen. Beispielsweise kann sich jede Abteilung oder Region in einer Organisation als ein eigenes Unternehmen anmelden. Durch Einrichten mehrerer Unternehmen können Sie separate Gruppen von Geräten und Apps verwalten.

Für Endpoint Management-Administratoren bietet verwaltetes Google Play neben der Benutzererfahrung und den App Store-Features von Google Play diverse Verwaltungsfunktionen für Unternehmen. Sie verwenden verwaltetes Google Play zum Hinzufügen, Erwerben und Genehmigen von Apps für die Bereitstellung in dem Android für Workspace-Workspace von Geräten. Über Google Play können Sie öffentliche Apps, private Apps und Apps von Drittanbietern bereitstellen.

Für Benutzer von verwalteten Geräten ist verwaltetes Google Play der Store für Unternehmensapps. Benutzer können Apps durchsuchen, App-Details anzeigen und sie installieren. Im Gegensatz zur öffentlichen Google Play-Version können Benutzer vom verwalteten Google Play nur die Apps installieren, die Sie ihnen zur Verfügung stellen.

Verbinden von Endpoint Management mit Google Play

Um Android für Workspace für Ihre Organisation einzurichten, registrieren Sie Citrix über verwaltetes Google Play als EMM-Anbieter. Damit wird verwaltetes Google Play mit Endpoint Management verbunden und ein Unternehmen für Android für Workspace in Endpoint Management erstellt.

Sie benötigen ein Google-Unternehmenskonto, um sich bei Google Play anzumelden.

  1. Wechseln Sie in der Endpoint Management-Konsole zu Einstellungen > Android für Workspace.

  2. Klicken Sie auf Verbinden. Google Play wird geöffnet.

    Verbindung von Android für Workspace mit Google Play

  3. Melden Sie sich mit den Anmeldeinformationen für Ihr Google-Unternehmenskonto bei Google Play an. Geben Sie den Namen Ihrer Organisation ein und bestätigen Sie, dass Citrix Ihr EMM-Anbieter ist.

  4. Für Android für Workspace wurde eine Unternehmens-ID hinzugefügt. Ihre Enterprise-ID wird in der Endpoint Management-Konsole angezeigt.

    Android für Workspace-Unternehmens-ID

Ihre Umgebung ist mit Google verbunden und kann Geräte verwalten. Sie können nun Apps für Benutzer bereitstellen.

Endpoint Management kann verwendet werden, um Benutzern mobile Produktivitätsapps von Citrix, MDX-Apps, Apps aus dem öffentlichen App-Store, Web- und SaaS-Apps, Unternehmensapps und Weblinks zur Verfügung zu stellen. Weitere Informationen zu diesen App-Typen und zu ihrer Bereitstellung finden Sie unter Hinzufügen von Apps.

Registrierungsprofile erstellen

Registrierungsprofile steuern, wie Android-Geräte registriert werden, wenn Android für Workspace für Ihre Endpoint Management-Bereitstellung aktiviert ist. Konfigurieren Sie das Registrierungsprofil so, dass neue Geräte und auf Werkseinstellungen zurückgesetzte Geräte als Android für Workspace-Arbeitsprofilgeräte registriert werden. Sie können jedes dieser Android für Workspace-Registrierungsprofile auch so konfigurieren, dass BYOD-Android-Geräte als Arbeitsprofilgeräte registriert werden.

Citrix Workspace ist eine MDM+MAM-Lösung. Wenn sich ein Benutzer über die Workspace-App bei Endpoint Management registriert, muss er der Geräteverwaltung und der App-Verwaltung zustimmen.

Die Authentifizierungsmethode für Android für Workspace-Geräte ist standardmäßig diejenige, die für die Citrix Workspace-App eingerichtet wurde. Das Konfigurieren einer Authentifizierungsmethode in der Endpoint Management-Konsole hat keine Auswirkungen auf diese Geräte. Siehe Ändern der Authentifizierungsmethoden.

Wenn Sie Registrierungsprofile erstellen, weisen Sie ihnen Bereitstellungsgruppen zu. Wenn ein Benutzer zu mehreren Bereitstellungsgruppen mit unterschiedlichen Registrierungsprofilen gehört, bestimmt der Name der Bereitstellungsgruppe das verwendete Registrierungsprofil. Endpoint Management wählt die letzte Bereitstellungsgruppe in der alphabetisch geordneten Bereitstellungsgruppenliste aus. Weitere Informationen finden Sie unter Registrierungsprofile.

Hinzufügen eines Registrierungsprofils für Geräte mit Arbeitsprofil

  1. Gehen Sie in der Endpoint Management-Konsole zu Konfigurieren > Registrierungsprofile.

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite “Registrierungsinfo” einen Namen für das Registrierungsprofil ein.

  3. Legen Sie die Anzahl der Geräte fest, die Mitglieder mit diesem Profil registrieren können.

  4. Wählen Sie für Plattformen die Option Android oder klicken Sie auf Weiter. Die Seite “Registrierungskonfiguration” wird angezeigt.

  5. Aktivieren Sie Registrierung über Workspace-App. Endpoint Management aktiviert BYOD-Arbeitsprofil und Citrix MAM automatisch.

    Konfigurationsbildschirm für Registrierungsprofile

  6. Wählen Sie Zuordnung (optional). Der Bildschirm für die Bereitstellungsgruppenzuweisung wird angezeigt.

  7. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die voll verwaltete Geräte mit Arbeitsprofil registrieren sollen. Klicken Sie auf Speichern.

    Die Seite “Registrierungsprofil” wird mit dem von Ihnen hinzugefügten Profil angezeigt.

    Seite "Registrierungsprofile"

Provisioning von BYOD-Arbeitsprofilgeräten mit Android für Workspace

Android für Workspace-BYOD-Arbeitsprofilgeräte sind im Profilbesitzermodus registriert. Diese Geräte müssen nicht neu oder auf die Werkseinstellungen zurückgesetzt sein. Die Benutzer laden Citrix Workspace aus Google Play herunter und registrieren ihre Geräte.

Standardmäßig deaktiviert Endpoint Management die Einstellungen USB-Debugging und Unbekannte Quellen auf einem Gerät, wenn Sie es bei Android für Workspace als Arbeitsprofilgerät registrieren.

Beim Registrieren von Arbeitsprofilgeräten in Android für Workspace wechseln Sie stets zu Google Play. Aktivieren Sie dort Citrix Workspace, das dann im persönlichen Profil des Benutzers angezeigt wird.

Konfigurieren von App- und Geräterichtlinien für Android für Workspace

Einen Überblick über die Richtlinien, die auf App- und Geräteebene gelten, finden Sie unter Unterstützte Geräte- und MDX-Richtlinien für Android Enterprise.

Wissenswertes über Richtlinien:

  • Geräteeinschränkungen: Es gibt zahlreiche Geräteeinschränkungen, mit denen Sie Features wie die folgenden steuern können:

    • Verwendung der Gerätekamera
    • Verwendung von Kopieren und Einfügen zwischen geschäftlichen und privaten Profilen
  • Pro-App-VPN: Mit der Geräterichtlinie für verwaltete Konfigurationen können Sie VPN-Profile für Android für Workspace konfigurieren.

Geräterichtlinien

Die folgende Liste enthält die für Android für Workspace verfügbaren Geräterichtlinien.

Sicherheitsaktionen

Android für Workspace unterstützt die folgenden Sicherheitsaktionen. Eine Beschreibung der einzelnen Sicherheitsaktionen finden Sie unter Sicherheitsaktionen.

  • Vollständig löschen
  • Suchen
  • Sperren
  • Notify (Ring)
  • Selektiv löschen

Die Sicherheitsaktion zur Ortung funktioniert nur, wenn in der Standortrichtlinie der Standortmodus für das Gerät auf Hohe Genauigkeit oder Akku schonen festgelegt ist. Weitere Informationen finden Sie unter Standortrichtlinie für Geräte.

Registrierung für ein Android für Workspace-Unternehmen aufheben

Wenn Sie Ihr Android für Workspace-Unternehmen nicht mehr verwenden möchten, können Sie die Registrierung des Unternehmens aufheben.

Warnung:

Nachdem Sie die Registrierung eines Unternehmens aufheben, werden Apps auf Geräten, die bereits über das Unternehmen registriert wurden, auf die Standardeinstellungen zurückgesetzt. Google verwaltet die Geräte nicht mehr. Wenn Sie sich bei einem neuen Android für Workspace-Unternehmen registrieren, müssen Sie Apps für das neue Unternehmen von verwaltetem Google Play genehmigen. Anschließend können Sie die Apps in der Endpoint Management-Konsole aktualisieren.

Nach dem Aufheben der Registrierung für ein Android für Workspace-Unternehmen:

  • Für Geräte und Benutzer, die über das Unternehmen registriert sind, wurden die Apps auf die Standardeinstellung zurückgesetzt. Zuvor angewendete Richtlinien für verwaltete Konfigurationen haben keine Wirkung mehr auf Vorgänge.
  • Endpoint Management verwaltet Geräte, die über das Unternehmen registriert sind. Aus Sicht von Google werden diese Geräte nicht verwaltet. Sie können keine neuen Apps hinzufügen. Sie können keine Richtlinien für verwaltete Konfigurationen anwenden. Sie können auf diese Geräte andere Richtlinien anwenden, z. B. Planung, Kennwort und Einschränkungen.
  • Wenn Sie versuchen, Geräte in Android für Workspace zu registrieren, werden sie als Android-Geräte und nicht als Android für Workspace-Geräte registriert.

Heben Sie die Registrierung für Android für Workspace-Unternehmen mit der Endpoint Management-Serverkonsole und den Endpoint Management Tools auf.

Wenn Sie diese Aufgabe ausführen, wird in Endpoint Management ein Tools-Popupfenster geöffnet. Stellen Sie darum zunächst sicher, dass Popupfenster im Browser geöffnet werden können. In einigen Browsern (z. B. Google Chrome) müssen Sie die Popupblockierung deaktivieren und die Adresse der Endpoint Management-Site der Positivliste des Popupblockers hinzufügen.

Zum Aufheben der Registrierung für ein Android für Workspace-Unternehmen gehen Sie folgendermaßen vor:

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf der Seite Einstellungen auf Android für Workspace.

  3. Klicken Sie auf Registrierung aufheben.

    Registrierung aufheben (Option)

Benutzererfahrung

Bei Android für Workspace registrieren die Benutzer ihre Geräte über die Citrix Workspace-App. Anschließend greifen sie über die Workspace-App auf Apps und Unternehmensdaten zu.

Weitere Informationen zum Einrichten der Citrix Workspace-App finden Sie unter Citrix Workspace-App für Android.

Weitere Informationen zum Registrieren und Einrichten der App auf Benutzergeräten finden Sie unter Info zur Citrix Workspace-App für Android in der Hilfedokumentation.

Bekannte Einschränkungen

  • Die folgenden Features mit Android für Workspace werden von Google nicht unterstützt. Richtlinien, die diese Features betreffen, gelten für diese Geräte nicht, und mobile Produktivitätsapps erlauben Benutzern keinen Zugriff auf diese Funktionen.
    • Kalenderwidget
    • Kalendersynchronisierung mit persönlichem Profil
    • Profilübergreifende Kontakte
  • Endbenutzer müssen Zertifizierungsstellenzertifikate manuell importieren. Endpoint Management überträgt die ZS-Zertifikate nicht an das Gerät.
  • URLs in Secure Mail werden nicht automatisch in Secure Web geöffnet. Die Benutzer müssen In App öffnen wählen und “Secure Web” wählen.
  • Alle im Citrix Gateway Connector konfigurierten DNS-Server müssen in der Lage sein, sämtliche vollqualifizierten Domänennamen (FQDN) aufzulösen. Wenn die DNS-Server nicht alle FQDNs auflösen können, werden URLs möglicherweise nicht in Secure Web geladen.
  • Secure Web kann beim Start einen leeren Bildschirm anzeigen. Öffnen Sie in diesem Fall die Citrix Workspace-App, authentifizieren Sie sich und starten Sie Secure Web erneut.
  • Intranet-Websites werden möglicherweise in Secure Web nicht geladen. Konfigurieren Sie in diesem Fall eine Web-SaaS-App in der App-Bibliothek von Citrix Cloud für diese URL.
  • Mit dem MAM-SDK bearbeitete Apps werden möglicherweise nicht als verwaltet angezeigt. Wenn dieses Problem auftritt, starten Sie die Citrix Workspace-App und öffnen die Apps von dort.