Samsung Knox Massenregistrierung

Verwenden Sie Knox Mobile Enrollment, um mehrere Samsung Knox-Geräte in Endpoint Management (oder einem beliebigen Manager für mobile Geräte) zu registrieren, ohne Geräte einzeln manuell zu konfigurieren. Die Registrierung muss bei der Erstverwendung oder nach dem Zurücksetzen auf die Werkseinstellungen ausgeführt werden. Administratoren können Benutzernamen und Kennwörter auch direkt an das Gerät weitergeben, sodass Benutzer bei der Registrierung keine Informationen eingeben müssen.

Hinweis:

Das Setup für Knox Mobile Enrollment hat nichts mit dem Endpoint Management Knox-Container zu tun. Weitere Informationen zu Knox Mobile Enrollment finden Sie unter Knox Mobile Enrollment Admin Guide.

Voraussetzungen für Knox Mobile Enrollment

  • Endpoint Management muss konfiguriert sein (einschließlich Lizenzen und Zertifikate) und ausgeführt werden.
  • Secure Hub-APK-Datei: Sie laden die Datei bei der Einrichtung von Knox Mobile Enrollment hoch.
  • Eine Liste der KME-Anforderungen finden Sie unter Knox Mobile Enrollment Admin Guide.

Herunterladen der Secure Hub APK-Datei

  1. Melden Sie sich an der Citrix Downloadsite an und navigieren Sie zu Citrix Endpoint Management-Downloads.

  2. Navigieren Sie zu Mobile Produktivitätsapps und MDX Toolkit und wählen Sie die gewünschte Edition.

  3. Laden Sie die Datei für Citrix Secure Hub für Android herunter.

Konfigurieren von Firewallausnahmen

Konfigurieren Sie für den Zugriff auf Knox Mobile Enrollment die folgenden Ausnahmen. Einige dieser Firewallausnahmen sind für alle Geräte erforderlich und einige sind spezifisch für die geografische Region des Geräts.

Region des Geräts URL Port Ziel
Alle https://gslb.secb2b.com 443 Globaler Load Balancer für die Initiierung von Knox Mobile Enrollment
Alle https://gslb.secb2b.com 80 Globaler Load Balancer für die Initiierung von Knox Mobile Enrollment auf einigen limitierten Legacy-Geräten
Alle umc-cdn.secb2b.com 443 Samsung Agent-Update-Server
Alle bulkenrollment.s3.amazonaws.com 80 EULAs für Knox Mobile Enrollment
Alle eula.secb2b.com 443 EULAs für Knox Mobile Enrollment
Alle us-be-api-mssl.samsungknox.com 443 Samsung-Server für IMEI-Überprüfung
Vereinigte Staaten https://us-segd-api.secb2b.com 443 Samsung Enterprise Gateway für die US-Region
Europa https://eu-segd-api.secb2b.com 443 Samsung Enterprise Gateway für die Region Europa
China https://china-segd-api.secb2b.com 443 Samsung Enterprise Gateway für die Region China

Hinweis:

Eine vollständige Liste der Firewall-Ausnahmen finden Sie unter Knox Mobile Enrollment Admin Guide.

Zugreifen auf Knox Mobile Enrollment

Folgen Sie diesen Anleitungen, um Zugriff auf Knox Mobile Enrollment zu erhalten.

Wenn Sie ein Knox-Webportalkonto haben

  1. Melden Sie sich am Knox-Webportal an und navigieren Sie zu Ihrem Samsung Knox-Dashboard. Informationen zum Zugriff auf das Knox-Webportal finden Sie auf der Webseite Samsung Account.

  2. Klicken Sie unter Knox Mobile Enrollment auf Erste Schritte.

  3. Füllen Sie die entsprechenden Felder aus und klicken Sie dann auf Beantragen.

Wenn Ihr Antrag bewilligt wird, erhalten Sie eine Willkommens-E-Mail mit Hinweisen zur Verwendung des Knox Mobile Enrollment-Tools. Geben Sie alle relevanten Informationen, wie die Kontaktdaten für Ihren Fachhändler und Samsung-Vertreter sowie alle anderen Informationen an, die bei Ihrer Genehmigung hilfreich sein können.

Einrichten von Knox Mobile Enrollment

Wenn Sie Zugriff auf Knox Mobile Enrollment erhalten haben, gehen Sie zum Knox-Portal und klicken Sie auf Mobile Enrollment starten.

Bildschirm für "Mobile Enrollment starten"

Wenn Samsung das Konto nicht für die Massenregistrierung autorisieren kann, wird ein Fehler angezeigt.

Die Registrierung erfolgt dann mit den folgenden allgemeinen Schritten, die in den folgenden Abschnitten detailliert beschrieben werden.

  1. Erstellen Sie ein MDM-Profil mit den Informationen und Einstellungen Ihrer MDM-Konsole.

    Das MDM-Profil zeigt den Geräten an, wie eine Verbindung mit dem MDM hergestellt wird.

  2. Fügen Sie Ihrem MDM-Profil Geräte hinzu.

    Laden Sie dazu eine CSV-Datei mit Geräteinformationen hoch oder installieren und verwenden Sie die Knox-Bereitstellungs-App aus Google Play.

  3. Samsung benachrichtigt Sie, wenn der Gerätebesitz verifiziert ist.

  4. Stellen Sie Benutzern die MDM-Anmeldeinformationen bereit. Weisen Sie die Benutzer an, sich über Wi-Fi mit dem Internet zu verbinden und die Registrierungsaufforderung für ihre Geräte zu akzeptieren.

Erstellen eines MDM-Profils

Erstellen Sie ein MDM-Profil, das den zu verwendenden Endpoint Management-Server definiert. Erstellen Sie ein Profil pro Server.

  1. Melden Sie sich an der Website “Knox Mobile Enrollment” an.

  2. Klicken Sie links auf MDM Profiles. Klicken Sie auf CREATE PROFILE und wählen Sie eine der beiden Optionen aus.
    • DEVICE OWNER: Für vollständig verwaltete oder dedizierte Geräte. Ermöglicht Anwendungen, während der Einrichtung Richtlinien und Einschränkungen anzuwenden.
    • DEVICE ADMIN: Legacy-Option mit anderen Optionen als “Device Owner”, darunter die Option zum Überspringen der Geräteeinrichtung.

    Abbildung der Option zur MDM-Serververbindung

  3. Wenn Sie eine Option ausgewählt haben, geben Sie folgende Informationen ein:
    • Profil Name: einen aussagekräftigen Namen für das Profil
    • Description: kurze Beschreibung zur Unterscheidung des Profils
    • Pick your MDM: Wählen Sie Citrix aus dem Menü aus. Nur für Gerätebesitzerprofile.
    • MDM Agent APK: nur für Gerätebesitzerprofile. Geben Sie die URL zum Herunterladen der Secure Hub-APK-Datei ein. Zum Beispiel:

      https://example.com/zdm/securehub.apk

      https://pmdm.mycorp-inc.net/zdm/securehub.apk

      Die APK-Datei kann auf einem beliebigen Server sein, solange die Geräte während der Registrierung darauf zugreifen können. Während der Registrierung laden Geräte Secure Hub von dieser URL herunter, installieren es und öffnen es, wie nachfolgend beschrieben, mit den benutzerdefinierten JSON-Daten.

      Hinweis:

      Die Groß-/Kleinschreibung des APK-Dateinamens muss mit der Schreibweise in der URL übereinstimmen. Beispiel: Wenn der Dateiname nur aus Kleinbuchstaben besteht, muss er auch in der URL in Kleinbuchstaben eingegeben werden.

    • MDM Server URI: Geben Sie keinen MDM-Server-URI an. Endpoint Management unterstützt das Samsung MDM-Protokoll nicht.
  4. Klicken Sie auf Weiter und konfigurieren Sie Folgendes:
    • MDM Agent APK: nur für Geräteadministratorprofile. Fügen Sie beliebig viele MDM-Apps hinzu, die während der Geräteregistrierung automatisch heruntergeladen werden sollen.
    • Geben Sie für Custom JSON Data die Serveradresse, den Benutzernamen und das Kennwort für Endpoint Management im folgenden Format an: {"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}

      Beispiele:

      {"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"james.cork", "xm_password":"aDin20_1fa"}

      Sie können auch benutzerdefiniertes JSON für die Zero-Touch-Registrierung für Android Enterprise eingeben.

           {
               "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
               {
                   "serverURL":"URL","xm_username":"username","xm_password":"password"
               }
           }
      

      Hinweis:

      Die Secure Hub-APK-Datei muss auf den im Bereich Apps angegebenen Server hochgeladen werden (Beispiel: https://pmdm.mycorp-inc.net:4443). Der Vorgang gleicht dem Hochladen von Unternehmensapps.

      Abbildung der MDM-Profilseite

    • Dual DAR: Aktivieren Sie optional Dual DAR, um zusätzliche Verschlüsselungsebenen auf Gerätebesitzerprofile anzuwenden. Sie können auch die Kryptografie-App eines Drittanbieters verwenden.
    • System apps: nur für Gerätebesitzerprofile. Wählen Sie Disable system apps, um alle Apps mit Ausnahme eines begrenzten Satzes zu deaktivieren. Wählen Sie Leave all system apps enabled, um sicherzustellen, dass das Gerätebesitzerprofil auf alle Apps zugreifen kann.
    • Enrollment settings: nur für Geräteadministratorprofile. Aktivieren Sie bei Bedarf die Kontrollkästchen Skip Setup Wizard oder Allow end user to cancel enrollment.
    • Privacy Policy, EULAs and Terms of Service: Klicken Sie auf ADD LEGAL AGREEMENT, um einen Titel und Text für rechtliche Hinweise einzugeben, der bei der Registrierung angezeigt werden sollen.
    • Company Name: nur für Gerätebesitzerprofile. Geben Sie den Namen der Organisation ein, der bei der Registrierung angezeigt werden soll.
    • Support contact details: Bearbeiten Sie für Geräteadministratorprofile die folgenden Informationen, die bei erfolgreicher Registrierung angezeigt werden:
      • Company Name
      • Company Address
      • Support Phone Number
      • Support Email Address Sie können auch Save as defualt support contact details auswählen, um dieselben Informationen für andere Profile zu verwenden.
    • Associate a Knox license with this profile: Wählen Sie für Geräteadministratorprofile diese Option aus, um den Knox-Lizenzschlüssel direkt an das Gerät zu übergeben. Dies ermöglicht eine einfachere Konfiguration des Knox-Profils. Abbildung der MDM-Profilseite
  5. Klicken Sie auf CREATE, um die Profilerstellung abzuschließen.

Wenn die Massenregistrierung für ein Gerät gestartet wird, verwendet das Gerät die Profildaten. Zuerst wird Secure Hub über die angegebene URL heruntergeladen, installiert und mit den benutzerdefinierten JSON-Daten als Parameter gestartet. Secure Hub hat bereits die Endpoint Management-Adresse und muss sie nicht anfordern. Die Registrierung erfolgt automatisch, da die JSON-Datei auch die Anmeldeinformationen bereitstellt.

Weitere Informationen zum Erstellen von Profilen finden Sie in der Samsung-Dokumentation unter https://docs.samsungknox.com/KME-Getting-Started/Content/create-profiles.htm.

Hinzufügen von Geräten mit einer CSV-Datei

Laden Sie zum Hinzufügen von Geräten Geräte-IDs hoch und ordnen Sie sie einem der zuvor erstellten MDM-Profile zu. Laden Sie eine CSV-Datei hoch. Die verschiedenen Methoden zum Erstellen der Datei sind auf der Knox-Website dokumentiert. Die einfachste Methode ist, wie folgt eine IMEI pro Zeile einzugeben.

Hinweis:

Alternativ können Sie Geräte hinzufügen, indem Sie sie scannen, wie im nächsten Abschnitt beschrieben.

  1. Navigieren Sie auf der KNOX Mobile Enrollment-Website zu Devices > All Devices und klicken Sie auf Upload Devices.

  2. Klicken Sie unter CSV-Dateiformat auf Dateivorlage herunterladen.

  3. Machen Sie in der Vorlage Angaben in den entsprechenden Spalten:

    • Geräteinfo: IMEI, MEID oder Seriennummer
    • Zusätzliche Informationen (optional): Weitere Informationen, die Sie zum Gerät angeben möchten.

    Hinweis:

    Die Vorlage enthält die Spalten “Benutzername” und “Kennwort”. Ältere Android Enterprise- und Samsung-Benutzergeräte, auf denen eine Version vor Knox 3.0 ausgeführt wird, können sich nicht mit ihrem Benutzernamen und Kennwort in Secure Hub anmelden. Daher können Sie diese Spalten leer lassen.

    Wenn Sie Android Enterprise- und Samsung-Benutzergeräte verwenden, auf denen Knox 3.0 oder höher ausgeführt wird, können Sie optional einen Benutzernamen und ein Kennwort eingeben. Benutzername und Kennwort wurde beim Enterprise MDM-Setup für Benutzer festgelegt.

  4. Markieren Sie alle Zellen in der Tabelle.

  5. Klicken Sie mit der rechten Maustaste auf die markierten Zellen, und wählen Sie Zellen formatieren aus.

  6. Klicken Sie in der Registerkarte Zahlen unter Kategorie auf Text und klicken Sie dann auf OK.

  7. Speichern Sie die Tabelle als CSV-Datei.

Registrieren von Geräten mit einer CSV-Datei

  1. Klicken Sie auf die Registerkarte Geräte.

  2. Klicken Sie auf Geräte hochladen.

    Bildschirm "Geräte hochladen"

  3. Klicken Sie im Dialogfeld Geräte hinzufügen auf Durchsuchen, wählen Sie Ihre CSV-Datei aus und klicken Sie auf Hochladen.

  4. Geben Sie Ihre Kaufdaten ein. Das Knox Mobile Enrollment-Tool prüft Ihre Kaufdaten, um zu gewährleisten, dass das jeweilige Gerät beim richtigen Unternehmen registriert ist.

  5. Wählen Sie unter Profil zuweisen das von Ihnen hinzugefügte MDM-Profil aus.

  6. Klicken Sie auf Senden.

In der Liste Alle Geräte werden Anmeldestatus und Profil aller Geräte angezeigt, die Sie registriert haben.

Die Geräte müssen mit einem WLAN verbunden sein und die Endnutzer müssen dem Download und der Installation von Secure Hub zustimmen, damit die Geräte beim Unternehmen registriert werden können.

Hinzufügen von Geräten durch Scannen

  1. Laden Sie die Knox Mobile Enrollment-App von Google Play herunter und installieren Sie sie.

  2. Geben Sie Ihre Anmeldeinformationen für das Samsung-Portal ein und tippen Sie auf SIGN IN.

  3. Tippen Sie auf Scan Devices.

  4. Tippen Sie auf Scan new devices.

  5. Richten Sie den Strichcode zum Scannen an der roten Linie aus.

  6. Wenn der Scan erfolgreich ist, wird die Geräte-IMEI angezeigt. Tippen Sie auf Speichern.

  7. Die gescannten Geräte werden in der Warteschlange angezeigt. Tippen Sie auf Upload.

Registrieren von gescannten Geräten

  1. Melden Sie sich bei Ihrem Knox-Webportalkonto an und klicken Sie auf Mobile Enrollment starten.

  2. Tippen Sie auf Gescannt, um alle hinzugefügten Geräte anzuzeigen.

  3. Wählen Sie die Geräte aus, die Sie registrieren möchten, und tippen Sie dann auf Auswahl senden. Um alle gescannten Geräte zu senden, tippen Sie auf Alle senden.

  4. Geben Sie im Popupfenster Gescannte Geräte senden Ihre Kaufdaten ein, um den Besitz des Geräts zu bestätigen.

  5. Wählen Sie im Dropdownmenü MDM-Profil zuweisen das Profil aus, mit dem Sie die Geräte registrieren möchten, und klicken Sie auf Senden.

Sie erhalten eine Bestätigungs-E-Mail, wenn die Geräteinformationen verifiziert worden sind.

Aus Sicherheitsgründen werden Geräte nicht sofort dem Massenregistrierungskonto zugewiesen. Samsung stellt erst sicher, dass die Geräte der Entität gehören, die das Massenregistrierungskonto einrichtet.

Daher werden Sie auf dem nächsten Bildschirm nach der Identität des Fachhändlers und den entsprechenden Verkaufsbelegen gefragt.

Aufforderung zur Fachhändleridentifizierung

Wichtig:

Aus rechtlichen Gründen unterhält Samsung zwei verschiedene Servergruppen: Americas und EU. US-amerikanische Benutzergeräte müssen mit einem Knox-Konto für die US-Region registriert werden. EU-Geräte und Geräte anderer Regionen mit Ausnahme von China müssen mit einem Knox-Konto für die EU-Region registriert werden.

Ein Gerät einer falschen Region wird vom Konto akzeptiert, die Massenregistrierung des Geräts schlägt jedoch mit einer kryptischen Fehlermeldung fehl. Laden Sie die App “Phone Info Samsung” aus Google Play herunter, um zu prüfen, ob der Ländercode oder das Ursprungsland des Geräts ein anderes Land als die USA ist.

Registrierungserfahrung der Benutzer

Wenn Benutzer nach der zuvor beschriebenen Konfiguration das erste Mal ein Gerät starten und über Wi-Fi eine Verbindung mit dem Internet herstellen, werden die folgenden Bildschirme angezeigt. Der Registrierungsvorgang wird automatisch gestartet und die Benutzer müssen nur Secure Hub herunterladen, installieren und dann gültige Anmeldeinformationen in Secure Hub eingeben, um die Registrierung abzuschließen.

Hinweis:

Bei der Registrierung wird keine Mobilfunkverbindung verwendet, damit den Benutzern keine Kosten anfallen.

Registrieren von Geräten mit einer Knox-API vor Version 2.4

Auf Geräten mit einer Knox-API-Version vor 2.4 funktioniert die Massenregistrierung nicht ohne Weiteres. Benutzer müssen die Registrierung initiieren, indem sie den neuen Mobile Enrollment-Client von einer Samsung-Site herunterladen und die Registrierung starten.

Der heruntergeladene Enrollment-Client verwendet das MDM-Profil und die APKs, die im Knox-Massenregistrierungsportal für die Knox 2.4/2.4.1-Geräte konfiguriert wurden.

In der Regel sind die folgenden Schritte auszuführen:

  1. Schalten Sie das Gerät ein und stellen Sie eine Verbindung mit Wi-Fi her. Wenn Mobile Enrollment nicht startet oder Wi-Fi nicht verfügbar ist, führen Sie folgende Schritte aus:

    1. Navigieren Sie zu Samsung Knox Mobile Enrollment.

    2. Tippen Sie auf die Schaltfläche Enroll, um Geräte über eine mobile Verbindung zu registrieren.

  2. Wenn Enroll with KNOX angezeigt wird, tippen Sie auf Continue.

  3. Lesen Sie die Lizenzvereinbarung (falls verfügbar). Tippen Sie auf Next.

  4. Geben Sie bei Aufforderung unter User ID und Password die vom IT-Administrator bereitgestellten Informationen ein.

Nun werden die Anmeldeinformationen des Benutzers überprüft und das Gerät wird von der IT-Umgebung Ihres Unternehmens registriert.

Aktivieren und Deaktivieren der biometrischen Authentifizierung für Samsung-Geräte

Die biometrische Authentifizierung (Authentifizierung per Fingerabdruck und Iriserkennung) für Samsung-Geräte kann in Endpoint Management ohne Aktion der Benutzer aktiviert und deaktiviert werden. Wenn Sie die biometrische Authentifizierung in Endpoint Management deaktivieren, können Benutzer und Drittanbieter-Apps das Feature nicht aktivieren.

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Geräterichtlinien. Die Seite Geräterichtlinien wird angezeigt.

  2. Klicken Sie auf Hinzufügen. Die Seite Neue Richtlinie hinzufügen wird angezeigt.

  3. Klicken Sie auf Passcode. Die Seite Passcode wird angezeigt.

  4. Geben Sie im Bereich Richtlinieninformationen die folgenden Informationen ein:

    • Richtlinienname: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie optional eine Beschreibung der Richtlinie ein.
  5. Klicken Sie auf Weiter. Die Seite Plattformen wird angezeigt.

  6. Wählen Sie unter Plattformen die Option Android oder Samsung Knox.

  7. Wählen Sie unter Biometrische Authentifizierung konfigurieren die Einstellung Ein (ON).

  8. Bei Auswahl von Android unter Samsung SAFE aktivieren Sie die Option Fingerabdruck zulassen oder Iriserkennung zulassen oder beides.

    Option zum Konfigurieren der biometrischen Authentifizierung