Citrix Endpoint Management

Windows-Desktop-/Tablet

Endpoint Management registriert Windows 10-Geräte bei MDM. Endpoint Management unterstützt die folgenden Authentifizierungstypen für bei MDM registrierte Windows 10-Geräte.

  • Domänenbasierte Authentifizierung
    • Active Directory
    • Azure Active Directory
  • Identitätsanbieter:
    • Azure Active Directory
    • Citrix-Identitätsanbieter

Weitere Informationen zu unterstützten Authentifizierungstypen finden Sie unter Zertifikate und Authentifizierung.

Die Verwaltung von Windows 10-Geräten kann über folgendes Standardverfahren gestartet werden:

  1. Durchführen des Onboarding-Prozesses. Siehe Onboarding und Einrichten von Ressourcen und Vorbereitung zum Registrieren von Geräten und Bereitstellen von Ressourcen.

    Wenn Sie Windows-Geräte über den AutoDiscovery-Dienst registrieren möchten, müssen Sie den Citrix AutoDiscovery-Dienst konfigurieren. Unterstützung hierfür erhalten Sie beim technischen Support von Citrix. Weitere Informationen finden Sie unter Anfordern von AutoDiscovery für Windows-Geräte.

  2. Auswahl und Konfigurieren der Registrierungsmethode. Siehe Unterstützte Registrierungsmethoden.

  3. Konfigurieren der Geräterichtlinien für Windows-Desktops/-Tablets.

  4. Registrieren von Windows 10-Geräten durch Benutzer.

  5. Einrichten von Sicherheitsaktionen für Apps und Geräte. Siehe Sicherheitsaktionen.

Weitere Informationen zu unterstützten Betriebssystemen finden Sie unter Unterstützte Gerätebetriebssysteme.

Unterstützte Registrierungsmethoden

Über Registrierungsprofile legen Sie fest, wie Windows 10-Geräte verwaltet werden. Zwei Optionen stehen zur Verfügung.

  • Vollständig verwaltet (MDM-Registrierung)
  • Ohne Geräteverwaltung (keine MDM-Registrierung)

Um Registrierungseinstellungen für Windows 10-Geräte zu konfigurieren, gehen Sie zu Konfigurieren > Registrierungsprofile > Windows. Weitere Informationen zu Registrierungsprofilen finden Sie unter Registrierungsprofile.

Seite "Registrierungsprofil" für Windows

In der folgenden Tabelle werden die Registrierungsmethoden aufgelistet, die Endpoint Management für Windows 10-Geräte unterstützt:

Methode Unterstützt
Registrierung über Azure Active Directory Ja
Registrierung über die Citrix Workspace-App Ja
Registrierung über den AutoDiscovery-Dienst Ja
Windows-Massenregistrierung Ja
Manuelle Registrierung Ja
Registrierungseinladungen Nein

Hinweis:

  • Für die manuelle Registrierung müssen Benutzer den vollqualifizierten Domänennamen (FQDN) des Endpoint Management-Servers eingeben. Die manuelle Registrierung wird von uns nicht empfohlen. Verwenden Sie stattdessen andere Methoden, um den Registrierungsprozess für Benutzer zu vereinfachen.
  • Sie können keine Registrierungseinladungen an Windows-Geräte senden. Benutzer von Windows-Geräten registrieren diese direkt über das Gerät.

Konfigurieren der Geräterichtlinien für Windows-Desktops/-Tablets

Verwenden Sie diese Richtlinien, um die Interaktion von Endpoint Management mit Geräten zu konfigurieren, auf denen Windows 10 ausgeführt wird. In dieser Tabelle werden alle für Windows-Desktops/-Tablets verfügbaren Geräterichtlinien aufgeführt.

     
App-Konfiguration App-Bestand App-Sperre
App-Deinstallation Application Guard BitLocker
OS-Update steuern Anmeldeinformationen Benutzerdefiniertes XML
Defender Device Guard Device Health Attestation
Exchange Firewall Kiosk
Office Passcode Einschränkungen
Store AGB VPN
Webclip Wi-Fi Windows Agent
Windows Hello für Unternehmen Windows-GPO-Konfiguration Windows Information Protection

Registrierung von Windows 10-Geräten über Azure Active Directory

Wichtig:

Bevor Benutzer sich registrieren können, müssen Sie Azure Active Directory (AD)-Einstellungen in Azure konfigurieren und dann Endpoint Management konfigurieren. Einzelheiten finden Sie unter Verbinden von Endpoint Management und Azure AD.

Windows 10-Geräte können mit Microsoft Azure als Active Directory-Verbundauthentifizierung registriert werden. Für diese Registrierung ist ein Azure AD Premium-Abonnement erforderlich. Weitere Informationen finden Sie unter https://docs.microsoft.com/en-us/azure/active-directory/devices/overview#license-requirements.

Mit den folgenden Verfahren können Sie Windows 10-Geräte in Microsoft Azure AD einbinden:

MDM-Registrierung beim Einbinden in Azure AD nach der Gerätekonfiguration

  1. Navigieren Sie auf einem Gerät im Startmenü zu Einstellungen > Konten > Arbeitsplatz oder Schule und klicken Sie auf Verbinden.

  2. Klicken Sie unter Geschäfts-, Schul- oder Unikonto einrichten unter Alternative Aktionen auf Dieses Gerät in Azure Active Directory einbinden.

  3. Geben Sie die Azure AD-Anmeldeinformationen ein und klicken Sie auf Anmelden.

  4. Akzeptieren Sie die Nutzungsbedingungen der Organisation.

    • Wenn Benutzer auf Ablehnen klicken, wird das Gerät weder in Azure AD eingebunden noch in Endpoint Management registriert.
  5. Klicken Sie auf Beitreten, um mit der Registrierung fortzufahren.

  6. Klicken Sie auf Fertig, um die Registrierung abzuschließen.

MDM-Registrierung beim Registrieren in Azure AD

  1. Navigieren Sie auf einem Gerät im Startmenü zu Einstellungen > Konten > Arbeitsplatz oder Schule und klicken Sie auf Verbinden.

  2. Geben Sie im Dialogfeld Geschäfts-, Schul- oder Unikonto einrichten die Azure AD-Anmeldeinformationen ein und klicken Sie auf Anmelden.

  3. Akzeptieren Sie die Nutzungsbedingungen der Organisation. Das Gerät wird in Azure AD und bei Endpoint Management registriert.

    • Wenn Benutzer auf Ablehnen klicken, wird das Gerät zwar in Azure AD registriert, aber nicht in Endpoint Management. Es gibt keine Info-Schaltfläche zum Konto.
  4. Klicken Sie auf Beitreten, um mit der Registrierung fortzufahren.

  5. Klicken Sie auf Fertig, um die Registrierung abzuschließen.

Registrieren von Windows 10-Geräten über die Citrix Workspace-App (Preview)

Endpoint Management unterstützt die automatische Registrierung von Windows 10-Geräten über die Citrix Workspace-App. Damit können Benutzer unterstützte Windows 10-Geräte registrieren.

Voraussetzungen:

  • Cloud-basierte Bereitstellung
  • Citrix Workspace-App 1911 oder höher
  • Citrix Endpoint Management 20.1.0 oder höher
  • Citrix Endpoint Management-Integration in Citrix Workspace

    Weitere Informationen zur Endpoint Management-Integration in Citrix Workspace finden Sie unter Integration in die Citrix Workspace-Benutzeroberfläche. Weitere Informationen zum Aktivieren der Workspace-Integration für Endpoint Management in Citrix Cloud finden Sie unter Endpoint Management in der Dokumentation zu Citrix Workspace.

Die folgende Registrierungsaufforderung wird angezeigt, wenn Benutzer ihre Anmeldeinformationen eingeben, um einen Store in der Citrix Workspace-App hinzuzufügen:

Registrierungsaufforderung in der Citrix Workspace-App für Windows

Die Registrierungsaufforderung wird nur angezeigt, wenn die folgenden Bedingungen erfüllt sind:

  • Das Gerät ist nicht MDM-registriert.

  • Der Benutzer ist Mitglied der lokalen Administratorgruppe auf dem Endpunkt.

  • Für Windows 10-Geräte ist ein Registrierungsprofil vorhanden.

Registrieren von Windows-Geräten über den AutoDiscovery-Dienst

Wenden Sie sich an den technischen Support von Citrix, um den AutoDiscovery-Dienst für Windows-Geräte zu konfigurieren. Weitere Informationen finden Sie unter Anfordern von AutoDiscovery für Windows-Geräte.

Hinweis:

Das SSL-Listenerzertifikat muss ein öffentliches Zertifikat sein, damit Windows-Geräte sich registrieren können. Bei einem selbstsignierten SSL-Zertifikat schlägt die Registrierung fehl.

Benutzer führen die folgenden Schritte aus, um die Registrierung abzuschließen:

  1. Navigieren Sie auf einem Gerät im Startmenü zu Einstellungen > Konten > Zugriff auf Geschäfts-, Schul- oder Unikonto und klicken Sie auf Nur bei Geräteverwaltung registrieren.

  2. Geben Sie im Dialogfeld Geschäfts-, Schul- oder Unikonto einrichten eine E-Mail-Adresse des Unternehmens ein und klicken Sie auf Weiter.

    Zur Registrierung als lokaler Benutzer geben Sie eine nicht vorhandene E-Mail-Adresse mit dem richtigen Domänennamen (z. B. foo\@mydomain.com) ein. Damit können Benutzer eine bekannte Microsoft-Einschränkung umgehen, durch die die integrierte Geräteverwaltung unter Windows die Registrierung durchführt. Geben Sie im Dialogfeld Mit einem Dienst verbinden den Benutzernamen und das Kennwort des lokalen Benutzers ein. Das Gerät sucht dann einen Endpoint Management-Server und startet die Registrierung.

  3. Geben Sie die Anmeldeinformationen ein und klicken Sie auf Weiter.

  4. Stimmen Sie im Dialogfeld Nutzungsbedingungen der Verwaltung Ihres Geräts zu und tippen Sie auf Annehmen.

Das Registrieren von domänengebundenen Windows-Geräten über den AutoDiscovery-Dienst schlägt fehl, wenn die Domänenrichtlinie die MDM-Registrierung deaktiviert. Benutzer können stattdessen eine der folgenden Methoden verwenden:

  • Entfernen Sie die Geräte aus der Domäne, registrieren Sie sie und binden Sie sie erneut ein.
  • Geben Sie den vollqualifizierten Domänennamen des Endpoint Management-Servers ein, um fortzufahren.

Windows-Massenregistrierung

Per Windows-Massenregistrierung können Sie viele Geräte für die Verwaltung durch einen MDM-Server ohne Reimaging der Geräte einrichten. Sie können das Provisioningpaket für die Massenregistrierung von Windows 10-Desktops/-Tablets verwenden. Weitere Informationen finden Sie unter Massenregistrierung von Windows-Geräten.

Sicherheitsaktionen

Windows 10-Geräte unterstützen die folgenden Sicherheitsaktionen. Eine Beschreibung der einzelnen Sicherheitsaktionen finden Sie unter Sicherheitsaktionen.

     
Suchen Sperren Führen Sie einen Neustart aus.
Widerrufen Selektiv löschen Löschen

Verbinden von Endpoint Management und Azure AD

Windows 10-Geräte können sich in Azure registrieren. Benutzer, die in Azure AD erstellt wurden, können auf diese Geräte zugreifen. Endpoint Management wird in Microsoft Azure als MDM-Dienst bereitgestellt. Durch das Verbinden von Endpoint Management und Azure AD können Benutzer ihre Geräte automatisch bei Endpoint Management registrieren, wenn sie sie in Azure AD registrieren.

Führen Sie die folgenden Schritte aus, um Endpoint Management mit Azure AD zu verbinden:

  1. Navigieren Sie im Azure-Portal zu Azure Active Directory > Mobilität (MDM und MAM) > Anwendung hinzufügen und klicken Sie auf Lokale MDM-Anwendung.

  2. Geben Sie einen Namen für die Anwendung ein und klicken Sie auf Hinzufügen.

  3. Wählen Sie die von Ihnen erstellte Anwendung aus, konfigurieren Sie folgende Einstellungen und klicken Sie auf Speichern.

    • MDM-Benutzerbereich. Wählen Sie Alle.
    • URL für MDM-Nutzungsbedingungen. Geben Sie sie im Format https://<Endpoint Management Enrollment FQDN>:8443/zdm/wpe/tou ein.
    • URL für MDM-Ermittlung. Geben Sie sie im Format https:// <Endpoint Management Enrollment FQDN>:8443/zdm/wpe ein.
  4. Klicken Sie auf Lokale MDM-Anwendungseinstellungen.

    • Geben Sie im Bereich Eigenschaften die App-ID-URI im Format https:// < Endpoint Management Enrollment FQDN>:8443 ein. Diese App-ID-URI ist eine eindeutige ID, die Sie in keiner anderen App wiederverwenden können.
    • Wählen Sie im Bereich Erforderliche Berechtigungen die Optionen Microsoft Graph und Windows Azure Active Directory aus.
    • Erstellen Sie im Bereich Schlüssel den Authentifizierungsschlüssel. Klicken Sie auf Speichern, um den Schlüsselwert anzuzeigen. Der Schlüsselwert wird nur einmal angezeigt. Speichern Sie den Schlüssel für die spätere Verwendung. Sie benötigen den Schlüssel in Schritt 7.
  5. Navigieren Sie in der Endpoint Management-Konsole zu Einstellungen > Identitätsanbieter (IdP) und klicken Sie auf Hinzufügen.

  6. Konfigurieren Sie auf der Seite Discovery-URL folgende Einstellungen und klicken Sie auf Weiter.

    • IdP-Name. Geben Sie einen eindeutigen Namen für die IdP-Verbindung ein, die Sie erstellen.
    • IdP-Typ. Wählen Sie Azure Active Directory.
    • Mandanten-ID. Die Verzeichnis-ID in Azure. Sie sehen sie, wenn Sie in Azure zu Azure Active Directory > Eigenschaften navigieren.
  7. Konfigurieren Sie auf der Seite Info über Win 10 MDM folgende Einstellungen und klicken Sie auf Weiter.

    • App-ID-URI. Der APP-ID-URI-Wert, den Sie in Azure eingegeben haben.
    • Client-ID. Die Anwendungs-ID, die Sie in Azure im Bereich Eigenschaften sehen.
    • Schlüssel. Der Schlüsselwert, den Sie in Schritt 4 erstellt und gespeichert haben.
  8. Konfigurieren Sie folgende Einstellungen auf der Seite IdP-Anspruchsverwendung und klicken Sie auf “Weiter”.

    • Benutzer-ID-Typ. Wählen Sie userPrincipalName.
    • Benutzer-ID-Zeichenfolge. Geben Sie ${id_token}.upn ein.
  9. Klicken Sie auf Speichern.

  10. Fügen Sie einen Azure AD-Benutzer als lokalen Benutzer hinzu und weisen Sie ihn einer lokalen Benutzergruppe zu.

  11. Erstellen Sie eine Geräterichtlinie für Nutzungsbedingungen und eine Bereitstellungsgruppe, die diese lokale Benutzergruppe enthält.

Geräteverwaltung bei Integration mit Workspace Environment Management

Nur mit Workspace Environment Management (WEM) sind MDM-Bereitstellungen nicht möglich. Mit Endpoint Management allein können Sie nur Windows 10-Geräten verwalten. Durch die Integration beider Managementtools können Sie mit WEM auf MDM-Features zugreifen und mit Endpoint Management ein breiteres Spektrum an Windows-Betriebssystemen verwalten. Die Verwaltung erfolgt über die Konfiguration von Windows-Gruppenrichtlinienobjekten. Derzeit importieren Administratoren eine ADMX-Datei in Citrix Endpoint Management und übertragen sie auf Windows 10-Desktops und -Tablets, um bestimmte Anwendungen zu konfigurieren. Mit der Geräterichtlinie zur Windows-GPO-Konfiguration können Sie Gruppenrichtlinienobjekte konfigurieren und Änderungen an den WEM-Dienst übertragen. Der WEM-Agent wendet dann die Gruppenrichtlinienobjekte auf Geräte und ihre Apps an.

Die Mobilgeräteverwaltung (MDM) ist keine Voraussetzung für die WEM-Integration. Sie können GPO-Konfigurationen auf jedes von WEM unterstützte Gerät übertragen, selbst wenn Endpoint Management das Gerät nicht nativ unterstützt.

Eine Liste der unterstützten Geräte finden Sie unter Betriebssystemanforderungen.

Geräte, die die Geräterichtlinie zur Windows-GPO-Konfiguration empfangen, werden im neuen Endpoint Management-Modus “WEM” ausgeführt. Unter Verwalten > Geräte wird in der Liste registrierter Geräte in der Spalte Modus für WEM-verwaltete Geräte WEM angezeigt.

Weitere Informationen finden Sie unter Geräterichtlinie “Windows-GPO-Konfiguration”.

BitLocker-Wiederherstellungsschlüssel

Das Verschlüsseln von Datenträgern mit BitLocker ist ein nützliches Sicherheitsfeature. Das Entsperren eines Geräts kann allerdings schwierig werden, wenn ein Benutzer seinen BitLocker-Wiederherstellungsschlüssel verliert. Endpoint Management kann jetzt automatisch und sicher BitLocker-Wiederherstellungsschlüssel für Benutzer speichern. Die Benutzer können ihren BitLocker-Wiederherstellungsschlüssel im Selbsthilfeportal finden. Aktivieren und Finden des BitLocker-Wiederherstellungsschlüssels:

  1. Navigieren Sie in der Endpoint Management-Konsole zu Einstellungen > Servereigenschaften.
  2. Suchen Sie shp und aktivieren Sie das Feature shp.console.enable. Stellen Sie sicher, dass enable.new.shp deaktiviert bleibt. Weitere Informationen zum Aktivieren des Selbsthilfeportals finden Sie unter Konfigurieren von Registrierungsmodi.
  3. Gehen Sie zu Konfigurieren > Geräterichtlinien. Suchen Sie die BitLocker-Richtlinie oder erstellen Sie eine und aktivieren Sie die Einstellung BitLocker-Wiederherstellungsbackup auf Endpoint Management.

Beim Entsperren ihres Geräts sehen Endbenutzer eine Meldung, in der sie aufgefordert werden, ihren Schlüssel einzugeben. Die Meldung enthält auch die ID des Wiederherstellungsschlüssels.

BitLocker-Wiederherstellungsmeldung

Die Benutzer können ihren BitLocker-Wiederherstellungsschlüssel im Selbsthilfeportal finden.

  1. Dort rufen sie unter Allgemein die Option BitLocker-Wiederherstellungsdaten auf.
    • Wiederherstellungsschlüssel-ID: ID des BitLocker-Wiederherstellungsschlüssels, der zum Verschlüsseln des Datenträgers verwendet wurde. Diese ID muss mit der in der vorherigen Meldung angegebenen Schlüssel-ID übereinstimmen.
    • Wiederherstellungsschlüssel: Schlüssel, den der Benutzer eingeben muss, um seinen Datenträger zu entsperren. Geben Sie diesen Schlüssel an der Entsperrungsaufforderung ein. BitLocker-Wiederherstellungsschlüssel im Selbsthilfeportal

Weitere Informationen über die BitLocker-Geräterichtlinie finden Sie unter BitLocker-Geräterichtlinie.