Samsung

Samsung bietet mehrere mit Citrix Endpoint Management kompatible Lösungen.

  • Endpoint Management unterstützt und erweitert die Samsung for Enterprise (SAFE)- und Knox-Richtlinien auf kompatiblen Samsung-Geräten.
  • Knox enthält den SEAMS-Dienst (SE for Android Management Service). SEAMS bietet Steuerung der Sicherheitsrichtlinien-Engine von Samsung auf API-Ebene.
  • Das Knox-Service-Plug-In (KSP) ist eine App, die einige Features der Knox Platform for Enterprise unterstützt.

Zum Steuern, wie und wann Android-Geräte eine Verbindung zum Endpoint Management-Dienst herstellen, verwenden Sie Firebase Cloud Messaging (FCM). Weitere Informationen finden Sie unter Firebase Cloud Messaging.

Endpoint Management registriert Android-Geräte im MDM+MAM- oder im MDM-Modus, Benutzer können sich jedoch auch im Nur-MAM-Modus registrieren. Endpoint Management unterstützt die folgenden Authentifizierungstypen für Android-Geräte im MDM+MAM-Modus. Weitere Informationen finden Sie in den Artikeln unter Zertifikate und Authentifizierung.

  • Domäne
  • Domäne plus Sicherheitstoken
  • Clientzertifikat
  • Clientzertifikat plus Domäne
  • Identitätsanbieter:
    • Azure Active Directory
    • Citrix Identitätsanbieter

Eine weitere, selten verwendete Authentifizierungsmethode ist das Clientzertifikat plus Sicherheitstoken. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX215200.

Die Android-Geräteverwaltung wird generell folgendermaßen begonnen:

  1. Durchführen des Onboarding-Prozesses. Siehe Onboarding und Einrichten von Ressourcen und Vorbereitung zum Registrieren von Geräten und Bereitstellen von Ressourcen.

  2. Auswahl und Konfigurieren der Registrierungsmethode. Siehe Unterstützte Registrierungsmethoden.

  3. Bereitstellen der Samsung-Lizenzschlüssel.

  4. Aktivieren des Knox-Nachweises.

  5. Konfigurieren der Samsung-Geräterichtlinien.

  6. Einrichten von Sicherheitsaktionen für Apps und Geräte. Siehe Sicherheitsaktionen.

Informationen über unterstützte Betriebssysteme finden Sie unter Unterstützte Gerätebetriebssysteme.

Unterstützte Registrierungsmethoden

In der folgenden Tabelle werden die Registrierungsmethoden aufgelistet, die Endpoint Management für Android-Geräte unterstützt:

Methode Unterstützt
Massenregistrierung Ja (Knox)
Manuelle Registrierung Ja
Registrierungseinladungen Ja

Mit Knox Mobile Enrollment können Sie mehrere Knox-Geräte bei Endpoint Management (oder einem anderen Manager für Mobilgeräte) registrieren, ohne jedes Gerät manuell zu konfigurieren. Weitere Informationen finden Sie unter Knox Massenregistrierung.

Informationen zur Registrierung finden Sie unter Registrieren von Android-Geräten.

Bereitstellen der Samsung-Lizenzschlüssel

Samsung bietet ELM-Schlüssel (Enterprise License Management) und KLM-Schlüssel (Knox License Management). Samsung-Lizenzen können von Samsung bezogen werden.

  • Knox: Für die Knox-Plattform ist der Kauf einer Knox Workspace-Lizenz erforderlich. Zum Aktivieren von Knox-APIs und zum Bereitstellen von Knox-Richtlinien und -Einschränkungen auf Geräten konfigurieren Sie zuerst die Citrix Endpoint Management-Geräterichtlinie “Samsung MDM-Lizenzschlüssel”. Um Knox zu aktivieren, müssen Sie mindestens eine Knox-spezifische Einschränkungsrichtlinie zusammen mit dem ELM- und KLMS-Schlüssel per Push bereitstellen.

    Für HTC-spezifische Richtlinien unterstützt Endpoint Management die HTC API-Version 0.5.0. Für Sony-spezifische Richtlinien unterstützt Endpoint Management Sony Enterprise SDK 2.0.

  • SAFE: Stellen Sie den integrierten Samsung ELM-Schlüssel auf Geräten bereit, bevor Sie SAFE-Richtlinien und -Einschränkungen bereitstellen. Konfigurieren Sie zum Bereitstellen dieses Schlüssels die Endpoint Management- Geräterichtlinie “Samsung MDM-Lizenzschlüssel”.

Samsung Enterprise Firmware-Over-The-Air (E-FOTA)

Endpoint Management unterstützt zudem den Dienst Samsung E-FOTA (Enterprise Firmware-Over-The-Air). Mit Samsung E-FOTA können Sie festlegen, wann Geräte mit welcher Firmware-Version aktualisiert werden sollen und Updates testen, bevor Sie sie bereitstellen. Weitere Informationen finden Sie unter Konfigurieren der Samsung E-FOTA-Einstellungen.

Aktivieren des Knox-Nachweises

Sie können Endpoint Management für die Abfrage der REST-APIs des Knox-Nachweisservers konfigurieren.

Knox bietet Hardwaresicherheitsmerkmale mit mehreren Schutzstufen für Betriebssystem und Apps. Eine Schutzstufe besteht im Nachweis auf der Plattform. Ein Nachweisserver bietet die Überprüfung der Kernsystemsoftware eines Mobilgeräts (z. B. Bootloader und Kernel). Die Verifizierung erfolgt zur Laufzeit basierend auf Daten, die während eines vertrauenswürdigen Starts gesammelt wurden.

  1. Klicken Sie in der Endpoint Management-Webkonsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf Samsung Knox.

    Abbildung der Knox-Seite

  3. Legen Sie Samsung Knox-Nachweis aktivieren auf Ja fest, um den Knox-Nachweis zu aktivieren. Die Standardeinstellung ist Nein.

  4. Führen Sie in der Liste Webdienst-URL einen der folgenden Schritte aus:

    • Klicken Sie auf den geeigneten Nachweisserver.

    • Klicken Sie auf Neu hinzufügen und geben Sie dann die Webdienste-URL ein.

  5. Klicken Sie auf Verbindung testen, um die Verbindung zu prüfen. Es wird dann ein Erfolg oder Fehler gemeldet.

  6. Klicken Sie auf Speichern.

Konfigurieren der Samsung-Geräterichtlinien

Geräterichtlinien für Knox:

     
App-Einschränkungen App-Deinstallation Browser
Apps in Samsung Container kopieren Exchange Schlüssel für Knox Platform for Enterprise
Passcode Einschränkungen Samsung MDM-Lizenzschlüssel
VPN    

Geräterichtlinien für Samsung SAFE:

     
Einschränkungen für App-Deinstallation Browser Exchange
Firewall Kiosk Knox Platform for Enterprise
OS-Update Einschränkungen Samsung MDM-Lizenzschlüssel
Speicherverschlüsselung VPN  

Geräterichtlinien für Samsung SEAMS:

     
Apps in Samsung Container kopieren    

Sicherheitsaktionen

Android unterstützt die folgenden Sicherheitsaktionen. Eine Beschreibung der einzelnen Sicherheitsaktionen finden Sie unter Sicherheitsaktionen.

     
App-Sperre App löschen Zertifikaterneuerung
Vollständig löschen Suchen Sperren
Lock and Reset Password Benachrichtigen Widerrufen
Selektiv löschen    

Hinweis:

Bei Geräten mit Android 6.0 und höher muss der Benutzer zur Verwendung der Sicherheitsaktion “Orten” bei der Registrierung eine Standortberechtigung erteilt haben. Der Benutzer kann das Erteilen der Berechtigungen ablehnen. Wenn der Benutzer die Berechtigung bei der Registrierung nicht erteilt hat, fordert Endpoint Management sie beim Senden des Ortungsbefehls noch einmal an.

Hinzufügen der KSP-App (Knox-Service-Plug-In)

Wenn Sie Android Enterprise mit Knox verwenden möchten, fügen Sie das Knox-Service-Plug-In (KSP) in Endpoint Management hinzu. Die KSP-App verwendet AndroidOemConfig, um Funktionen wie Sicherheitsrichtlinien, eine flexible VPN-Konfiguration und die biometrische Authentifizierung zu unterstützen. Mit AndroidOEMConfig können OEMs und Endpoint Mobility Manager (EMM) benutzerdefinierte OEM-APIs für Anwendungsfälle unterstützen, die von Android Enterprise nicht unterstützt werden. Weitere Informationen zu KSP finden Sie unter Samsung-Dokumentation.

  1. Melden Sie sich in Ihrem Google-Konto an und navigieren Sie zu https://play.google.com/work/apps/details?id=com.samsung.android.knox.kpu. Genehmigen Sie die App.
  2. Melden Sie sich an der Endpoint Management-Konsole an und fügen Sie das Knox-Service-Plug-In als öffentliche App Store-App hinzu. Weitere Informationen zum Hinzufügen von Apps aus dem öffentlichen App Store finden Sie unter Hinzufügen von Apps aus einem öffentlichen App-Store. Bild der KSP-App
  3. Navigieren Sie in der Endpoint Management-Konsole zu Konfigurieren > Geräterichtlinien. Klicken Sie auf Hinzufügen.
  4. Klicken Sie auf Verwaltete Android Enterprise-Konfigurationen. Wählen Sie im angezeigten Dialogfeld den Menüeintrag Knox Service Plugin. Weitere Informationen zur Richtlinie für verwaltete Android Enterprise-Konfigurationen finden Sie unter Richtlinie für verwaltete Android Enterprise-Konfigurationen.
  5. Geben Sie einen Namen für die Richtlinie ein und rufen Sie anschließend die Plattformseite auf. Bild der Richtlinie für verwaltete Android Enterprise-Konfigurationen mit Knox-Service-Plug-In
  6. Geben Sie auf der Plattformseite einen Profilnamen für Ihr Knox-Profil und den KPE-Premiumlizenzschlüssel von Samsung ein. Die Richtlinien, die unter diesen Feldern angezeigt werden, stammen aus der Knox-Bereitstellung. Weitere Informationen zu Knox-Richtlinien finden Sie unter https://docs.samsungknox.com/knox-platform-for-enterprise/admin-guide/about-knox-workspace.htm. Bild der Richtlinienauswahl
  7. Klicken Sie auf Weiter und konfigurieren Sie Bereitstellungsregeln für die Richtlinie.
  8. Klicken Sie auf Speichern.