Citrix Endpoint Management

Samsung Knox-Massenregistrierung

Verwenden Sie Knox Mobile Enrollment, um mehrere Samsung Knox-Geräte in Endpoint Management (oder einem beliebigen Manager für mobile Geräte) zu registrieren, ohne Geräte einzeln manuell zu konfigurieren. Die Registrierung muss bei der Erstverwendung oder nach dem Zurücksetzen auf die Werkseinstellungen ausgeführt werden. Administratoren können Benutzernamen und Kennwörter auch direkt an das Gerät weitergeben, sodass Benutzer bei der Registrierung keine Informationen eingeben müssen.

Hinweis:

Das Setup für Knox Mobile Enrollment hat nichts mit dem Endpoint Management Knox-Container zu tun. Weitere Informationen zu Knox Mobile Enrollment finden Sie unter Knox Mobile Enrollment Admin Guide.

Voraussetzungen für Knox Mobile Enrollment

  • Endpoint Management muss konfiguriert sein (einschließlich Lizenzen und Zertifikate) und ausgeführt werden.
  • Secure Hub-APK-Datei: Sie laden die Datei bei der Einrichtung von Knox Mobile Enrollment hoch.
  • Eine Liste der KME-Anforderungen finden Sie unter Einführung in Knox Mobile Enrollment.
  • Lizenz für Samsung Knox Platform for Enterprise (PKE), erforderlich für die Anwendung von Geräterichtlinien. Geben Sie den Lizenzschlüssel in der Endpoint Management-Geräterichtlinie “Knox Platform for Enterprise” ein.

Herunterladen der Secure Hub APK-Datei

Laden Sie Citrix Secure Hub für Android aus dem Google Play-Store herunter.

Konfigurieren von Firewallausnahmen

Konfigurieren Sie für den Zugriff auf Knox Mobile Enrollment die folgenden Ausnahmen. Einige dieser Firewallausnahmen sind für alle Geräte erforderlich und einige sind spezifisch für die geografische Region des Geräts.

Region des Geräts URL Port Ziel
Alle https://gslb.secb2b.com 443 Globaler Load Balancer für die Initiierung von Knox Mobile Enrollment
Alle https://gslb.secb2b.com 80 Globaler Load Balancer für die Initiierung von Knox Mobile Enrollment auf einigen limitierten Legacy-Geräten
Alle umc-cdn.secb2b.com 443 Samsung Agent-Update-Server
Alle bulkenrollment.s3.amazonaws.com 80 EULAs für Knox Mobile Enrollment
Alle eula.secb2b.com 443 EULAs für Knox Mobile Enrollment
Alle us-be-api-mssl.samsungknox.com 443 Samsung-Server für IMEI-Überprüfung
Vereinigte Staaten https://us-segd-api.secb2b.com 443 Samsung Enterprise Gateway für die US-Region
Europa https://eu-segd-api.secb2b.com 443 Samsung Enterprise Gateway für die Region Europa
China https://china-segd-api.secb2b.com 443 Samsung Enterprise Gateway für die Region China

Hinweis:

Eine vollständige Liste der Firewall-Ausnahmen finden Sie unter Knox Mobile Enrollment Admin Guide.

Zugreifen auf Knox Mobile Enrollment

Folgen Sie der Samsung-Dokumentation unter Erste Schritte mit KME, um Zugriff auf Knox Mobile Enrollment zu erhalten.

Einrichten von Knox Mobile Enrollment

Wenn Sie Zugriff auf Knox Mobile Enrollment erhalten haben, melden Sie sich im Knox-Portal an.

Die Registrierung umfasst die folgenden allgemeinen Schritte.

  1. Erstellen Sie ein MDM-Profil mit den Informationen und Einstellungen Ihrer MDM-Konsole.

    Das MDM-Profil zeigt den Geräten an, wie eine Verbindung mit dem MDM hergestellt wird.

  2. Fügen Sie Ihrem MDM-Profil Geräte hinzu.

    Laden Sie dazu eine CSV-Datei mit Geräteinformationen hoch oder installieren und verwenden Sie die Knox-Bereitstellungs-App aus Google Play.

  3. Samsung benachrichtigt Sie, wenn der Gerätebesitz verifiziert ist.

  4. Stellen Sie Benutzern die MDM-Anmeldeinformationen bereit. Weisen Sie die Benutzer an, sich über Wi-Fi mit dem Internet zu verbinden und die Registrierungsaufforderung für ihre Geräte zu akzeptieren.

Erstellen eines MDM-Profils

Befolgen Sie die Schritte in der Samsung-Dokumentation unter Profilkonfiguration.

Wenn folgende Felder oder Schritte angezeigt werden, konfigurieren Sie sie wie folgt:

  • Pick your MDM: Wählen Sie Citrix aus dem Menü aus. Nur für Gerätebesitzerprofile.
  • MDM Agent APK: nur für Gerätebesitzerprofile. Geben Sie die URL zum Herunterladen der Secure Hub-APK-Datei ein: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile.

    Die APK-Datei kann auf einem beliebigen Server sein, solange die Geräte während der Registrierung darauf zugreifen können. Bei der Registrierung führt ein Gerät folgende Schritte aus:

    • Download von Secure Hub von der APK-Download-URL.
    • Installation von Secure Hub.
    • Öffnen von Secure Hub mit den nachfolgend beschriebenen benutzerdefinierten JSON-Daten.

    Die Groß-/Kleinschreibung des APK-Dateinamens muss mit der Schreibweise in der URL übereinstimmen. Beispiel: Wenn der Dateiname nur aus Kleinbuchstaben besteht, muss er auch in der URL in Kleinbuchstaben eingegeben werden.

  • MDM Server URI: Geben Sie keinen MDM-Server-URI an. Endpoint Management unterstützt das Samsung MDM-Protokoll nicht.
  • Custom JSON Data: Secure Hub erfordert die Adresse des Endpoint Management-Servers und den Benutzernamen und das Kennwort für die Registrierung. Sie können diese Informationen in der JSON bereitstellen, damit Secure Hub sie nicht bei den Benutzern anfordert. Secure Hub fordert die Benutzer nur dann zur Eingabe von Serveradresse, Benutzernamen und Kennwort auf, wenn das Feld in der JSON weggelassen wird.

    Format für benutzerdefinierte JSON-Daten: {"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}

    In diesem für die Massenregistrierung typischen Beispiel fordert Secure Hub die Benutzer bei der Registrierung nicht zur Eingabe der Serveradresse oder ihrer Anmeldeinformationen auf:

    {"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"userN2", "xm_password":"password7890"}

    In diesem für Kiosk-basierte Geräte typischen Beispiel fordert Secure Hub die Benutzer zur Eingabe ihrer Anmeldeinformationen auf:

    {"serverURL":"https://example.com/zdm"}

    Sie können auch benutzerdefiniertes JSON für die Zero-Touch-Registrierung für Android Enterprise eingeben.

         {
             "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
             {
                 "serverURL":"URL","xm_username":"username","xm_password":"password"
             }
         }
    

Wenn ein Gerät die Registrierung beginnt, lädt es Secure Hub von der angegebenen URL herunter, installiert und öffnet es.

Weitere Konfiguration

Weitere Konfigurationshinweise finden Sie auf den folgenden Seiten der Samsung-Dokumentation:

Registrieren von Geräten mit einer Knox-API vor Version 2.4

Auf Geräten mit einer Knox-API-Version vor 2.4 wird die Massenregistrierung nicht automatisch bei der Ersteinrichtung des Geräts gestartet. Benutzer müssen die Registrierung selbst initiieren. Hierfür laden sie den neuen Mobile Enrollment-Client von einer Samsung-Site herunter und starten die Registrierung.

Der heruntergeladene Enrollment-Client verwendet das MDM-Profil und die APKs, die im Knox-Massenregistrierungsportal für die Knox 2.4/2.4.1-Geräte konfiguriert wurden.

In der Regel sind die folgenden Schritte auszuführen:

  1. Schalten Sie das Gerät ein und stellen Sie eine Verbindung mit Wi-Fi her. Wenn Mobile Enrollment nicht startet oder Wi-Fi nicht verfügbar ist, führen Sie folgende Schritte aus:

    1. Navigieren Sie zu Samsung Knox Mobile Enrollment.

    2. Tippen Sie auf die Schaltfläche Next, um Geräte über eine mobile Verbindung zu registrieren.

  2. Wenn Enroll with KNOX angezeigt wird, tippen Sie auf Continue.

  3. Lesen Sie die Lizenzvereinbarung (falls verfügbar). Tippen Sie auf Weiter.

  4. Geben Sie bei Aufforderung unter User ID und Password die vom IT-Administrator bereitgestellten Informationen ein.

Nun werden die Anmeldeinformationen des Benutzers überprüft und das Gerät wird von der IT-Umgebung Ihres Unternehmens registriert.

Aktivieren und Deaktivieren der biometrischen Authentifizierung für Samsung-Geräte

Endpoint Management unterstützt die Authentifizierung per Fingerabdruck oder Iriserkennung (auch als biometrische Authentifizierung bezeichnet). Sie können die biometrische Authentifizierung für Samsung-Geräte ohne Aktion der Benutzer aktivieren und deaktivieren. Wenn Sie die biometrische Authentifizierung in Endpoint Management deaktivieren, können Benutzer und Drittanbieter-Apps das Feature nicht aktivieren.

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Geräterichtlinien. Die Seite Geräterichtlinien wird angezeigt.

  2. Klicken Sie auf Hinzufügen. Die Seite Neue Richtlinie hinzufügen wird angezeigt.

  3. Klicken Sie auf Passcode. Die Seite Passcode wird angezeigt.

  4. Geben Sie im Bereich Richtlinieninformationen die folgenden Informationen ein:

    • Richtlinienname: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie optional eine Beschreibung der Richtlinie ein.
  5. Klicken Sie auf Weiter. Die Seite Plattformen wird angezeigt.

  6. Wählen Sie unter Plattformen die Option Android oder Samsung Knox.

  7. Wählen Sie unter Biometrische Authentifizierung konfigurieren die Einstellung Ein.

  8. Bei Auswahl von Android unter Samsung SAFE aktivieren Sie die Option Fingerabdruck zulassen oder Iriserkennung zulassen oder beides.

    Option zum Konfigurieren der biometrischen Authentifizierung

Samsung Knox-Massenregistrierung