Samsung KNOX, SEAMS und SAFE

Endpoint Management bietet Unterstützung und Erweiterung von Samsung for Enterprise- (SAFE) und Samsung KNOX-Richtlinien auf kompatiblen Samsung-Geräten. Samsung KNOX umfasst den Dienst SE for Android Management Service (SEAMS). SEAMS bietet Steuerung der Sicherheitsrichtlinien-Engine von Samsung auf API-Ebene.

Zum Steuern, wie und wann Android-Geräte eine Verbindung zum Endpoint Management-Dienst herstellen, verwenden Sie Firebase Cloud Messaging (FCM). Weitere Informationen finden Sie unter Firebase Cloud Messaging.

Endpoint Management registriert Android-Geräte im MDM+MAM- oder im MDM-Modus, Benutzer können sich jedoch auch im Nur-MAM-Modus registrieren. Endpoint Management unterstützt die folgenden Authentifizierungstypen für Android-Geräte im MDM+MAM-Modus. Weitere Informationen finden Sie in den Artikeln unter Zertifikate und Authentifizierung.

  • Domäne
  • Domäne plus Sicherheitstoken
  • Clientzertifikat
  • Clientzertifikat plus Domäne
  • Identitätsanbieter:
    • Azure Active Directory
    • Citrix Identitätsanbieter

Eine weitere, selten verwendete Authentifizierungsmethode ist das Clientzertifikat plus Sicherheitstoken. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX215200.

Die Android-Geräteverwaltung wird generell folgendermaßen begonnen:

  1. Durchführen des Onboarding-Prozesses. Weitere Informationen finden Sie unter Onboarding und Einrichten von Ressourcen und Vorbereitung zum Registrieren von Geräten und Bereitstellen von Ressourcen.

  2. Auswahl und Konfigurieren der Registrierungsmethode. Weitere Informationen finden Sie unter Unterstützte Registrierungsmethoden.

  3. Bereitstellen der Samsung-Lizenzschlüssel.

  4. Aktivieren des Samsung KNOX-Nachweises.

  5. Konfigurieren der Samsung-Geräterichtlinien.

  6. Einrichten von Sicherheitsaktionen für Apps und Geräte. Weitere Informationen finden Sie unter Sicherheitsaktionen.

Informationen zu unterstützten Betriebssystemen finden Sie unter Unterstützte Gerätebetriebssysteme.

Unterstützte Registrierungsmethoden

In der folgenden Tabelle werden die Registrierungsmethoden aufgelistet, die Endpoint Management für Android-Geräte unterstützt:

Methode Unterstützt
Massenregistrierung Ja (KNOX)
Manuelle Registrierung Ja
Registrierungseinladungen Ja

Verwenden Sie Samsung KNOX Mobile Enrollment, um mehrere Samsung KNOX-Geräte bei Endpoint Management (oder einem beliebigen Manager für mobile Geräte) zu registrieren, ohne Geräte einzeln manuell zu konfigurieren. Weitere Informationen finden Sie unter Samsung KNOX Massenregistrierung.

Informationen zur Registrierung finden Sie unter Registrieren von Android-Geräten.

Bereitstellen der Samsung-Lizenzschlüssel

Samsung bietet ELM-Schlüssel (Enterprise License Management) und KLM-Schlüssel (KNOX License Management). Samsung-Lizenzen können von Samsung bezogen werden.

  • KNOX: Die KNOX-Plattform erfordert den Kauf einer Samsung KNOX Workspace-Lizenz. Zum Aktivieren von KNOX-APIs und zum Bereitstellen von KNOX-Richtlinien und -Einschränkungen auf Geräten konfigurieren Sie zuerst die Citrix Endpoint Management-Geräterichtlinie “Samsung MDM-Lizenzschlüssel”. Um KNOX zu aktivieren, müssen Sie mindestens eine KNOX-spezifische Einschränkungsrichtlinie zusammen mit dem ELM- und KLMS-Schlüssel per Push bereitstellen.

    Für HTC-spezifische Richtlinien unterstützt Endpoint Management die HTC API-Version 0.5.0. Für Sony-spezifische Richtlinien unterstützt Endpoint Management Sony Enterprise SDK 2.0.

  • SAFE: Stellen Sie den integrierten Samsung ELM-Schlüssel auf Geräten bereit, bevor Sie SAFE-Richtlinien und -Einschränkungen bereitstellen. Konfigurieren Sie zum Bereitstellen dieses Schlüssels die Endpoint Management- Geräterichtlinie “Samsung MDM-Lizenzschlüssel”.

Samsung Enterprise Firmware-Over-The-Air (E-FOTA)

Endpoint Management unterstützt zudem den Dienst Samsung E-FOTA (Enterprise Firmware-Over-The-Air). Mit Samsung E-FOTA können Sie festlegen, wann Geräte mit welcher Firmware-Version aktualisiert werden sollen und Updates testen, bevor Sie sie bereitstellen. Weitere Informationen finden Sie unter Konfigurieren der Samsung E-FOTA-Einstellungen.

Aktivieren des Samsung KNOX-Nachweises

Sie können Endpoint Management für die Abfrage der REST-APIs des Samsung KNOX-Nachweisservers konfigurieren.

Samsung KNOX bietet Hardware-Sicherheitsmerkmale mit mehreren Schutzstufen für Betriebssystem und Apps. Eine Schutzstufe besteht im Nachweis auf der Plattform. Ein Nachweisserver bietet die Überprüfung der Kernsystemsoftware eines Mobilgeräts (z. B. Bootloader und Kernel). Die Verifizierung erfolgt zur Laufzeit basierend auf Daten, die während eines vertrauenswürdigen Starts gesammelt wurden.

  1. Klicken Sie in der Endpoint Management-Webkonsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf Samsung KNOX.

    Abbildung der Samsung KNOX-Seite

  3. Legen Sie Samsung KNOX-Nachweis aktivieren auf Ja fest, um den Samsung KNOX-Nachweis zu aktivieren. Die Standardeinstellung ist Nein.

  4. Führen Sie in der Liste Webdienst-URL einen der folgenden Schritte aus:

    • Klicken Sie auf den geeigneten Nachweisserver.

    • Klicken Sie auf Neu hinzufügen und geben Sie dann die Webdienste-URL ein.

  5. Klicken Sie auf Verbindung testen, um die Verbindung zu prüfen. Es wird dann ein Erfolg oder Fehler gemeldet.

  6. Klicken Sie auf Speichern.

Konfigurieren der Samsung-Geräterichtlinien

Geräterichtlinien für Samsung KNOX:

     
App-Einschränkungen App-Deinstallation Browser
Apps in Samsung Container kopieren Exchange Passcode
Einschränkungen Samsung MDM-Lizenzschlüssel VPN

Geräterichtlinien für Samsung SAFE:

     
App-Einschränkungen Einschränkungen für App-Deinstallation Browser
Firewall Kiosk OS-Update
Einschränkungen Samsung MDM-Lizenzschlüssel Speicherverschlüsselung
VPN    

Geräterichtlinien für Samsung SEAMS:

     
Apps in Samsung Container kopieren    

Sicherheitsaktionen

Android unterstützt die folgenden Sicherheitsaktionen. Eine Beschreibung der einzelnen Sicherheitsaktionen finden Sie unter Sicherheitsaktionen.

     
App-Sperre App löschen Zertifikaterneuerung
Vollständig löschen Suchen Sperren
Lock and Reset Password Benachrichtigen Widerrufen
Selektiv löschen    

Hinweis:

Bei Geräten mit Android 6.0 und höher muss der Benutzer zur Verwendung der Sicherheitsaktion “Orten” bei der Registrierung eine Standortberechtigung erteilt haben. Der Benutzer kann das Erteilen der Berechtigung ablehnen. Wenn der Benutzer die Berechtigung bei der Registrierung nicht erteilt hat, fordert Endpoint Management sie beim Senden des Ortungsbefehls noch einmal an.