Richtlinie für verwaltete Android Enterprise-Konfigurationen

Mit der Richtlinie für verwaltete Android Enterprise-Konfigurationen können Sie verschiedene App-Konfigurationsoptionen und App-Einschränkungen steuern. Der App-Entwickler legt fest, welche Optionen und QuickInfos für eine App verfügbar sind. Wenn in einer QuickInfo von einem “Vorlagenwert” gesprochen wird, verwenden Sie stattdessen das entsprechende Endpoint Management-Makro. Weitere Informationen finden Sie unter Remote configuration overview (auf der Android Developer-Website) und Makros.

Die App-Konfigurationseinstellungen können folgende Elemente umfassen:

  • App-E-Mail-Einstellungen
  • URL-Positiv- oder Sperrlisten für einen Webbrowser
  • Option für eine gesteuerte Synchronisierung von App-Inhalten über eine Mobilfunkverbindung oder nur über eine Wi-Fi-Verbindung

Weitere Informationen zu den Einstellungen für Ihre Apps erhalten Sie vom App-Entwickler.

Voraussetzungen

Zum Hinzufügen oder Konfigurieren dieser Richtlinie gehen Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen finden Sie unter Geräterichtlinien.

Android Enterprise-Einstellungen

Nachdem Sie eine Richtlinie für verwaltete Android Enterprise-Konfigurationen hinzugefügt haben, werden Sie zur Auswahl einer App aufgefordert. Wenn Endpoint Management keine Android Enterprise-Apps hinzugefügt wurden, können Sie nicht fortfahren.

Nachdem Sie eine App ausgewählt haben, konfigurieren Sie die Richtlinieneinstellungen. Die Einstellungen sind App-spezifisch.

Abbildung des Konfigurationsbildschirms für Geräterichtlinien

Konfigurieren von VPN-Profilen für Android Enterprise

Mit der Citrix SSO-App und der Geräterichtlinie für verwaltete Android Enterprise-Konfigurationen können Sie VPN-Profile für Android Enterprise-Geräte bereitstellen.

Fügen Sie zunächst Citrix SSO als Google Play Store-App zur Endpoint Management-Konsole hinzu (siehe Hinzufügen von Apps aus einem öffentlichen App-Store).

Bild der SSO-App in der Konsole

Erstellen einer verwalteten Android Enterprise-Konfiguration für Citrix SSO

Konfigurieren Sie zum Erstellen von VPN-Profilen die Geräterichtlinie für verwaltete Android Enterprise-Konfigurationen für Citrix SSO. Geräte mit installierter Citrix SSO-App und bereitgestellter Richtlinie können auf die von Ihnen erstellten VPN-Profile zugreifen.

Sie benötigen Ihren Citrix Gateway-FQDN und -Port.

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Geräterichtlinien. Klicken Sie auf Hinzufügen.

  2. Wählen Sie Android Enterprise. Klicken Sie auf Verwaltete Android Enterprise-Konfigurationen.

    Bild der Auswahl der Android Enterprise-Richtlinien

  3. Im dann angezeigten Fenster Anwendungs-ID auswählen wählen Sie Citrix SSO aus der Liste aus und klicken auf OK.

    Bild des Fensters "Anwendungs-ID auswählen"

  4. Geben Sie einen Namen und eine Beschreibung für Ihre VPN-Konfiguration mit Citrix SSO ein. Klicken Sie auf Weiter.

    Bild des Assistenten für verwaltete Android Enterprise-Konfigurationen

  5. Konfigurieren Sie VPN-Profilparameter.

    • VPN-Profilname. Geben Sie einen Namen für das VPN-Profil ein. Wenn Sie mehrere VPN-Profile erstellen, verwenden Sie für jedes Profil einen eindeutigen Namen. Wenn Sie keinen Namen angeben, wird die im Feld Serveradresse eingegebene Adresse als VPN-Profilname verwendet.

    • Serveradresse(*). Geben Sie Ihren Citrix Gateway-FQDN ein. Geben Sie auch den Citrix Gateway-Port ein, wenn Sie nicht Port 443 verwenden. Verwenden Sie das URL-Format. Beispiel: https://gateway.mycompany.com:8443.

    • Benutzername (optional). Geben Sie den Benutzernamen an, den Endbenutzer für die Authentifizierung beim Citrix Gateway verwenden. Sie können für dieses Feld auch das Endpoint Management-Makro {user.username} verwenden. (Siehe Makros.) Wenn Sie keinen Benutzernamen angeben, werden Benutzer beim Herstellen einer Verbindung mit Citrix Gateway aufgefordert, einen Benutzernamen anzugeben.

    • Kennwort (optional). Geben Sie das Kennwort an, das Endbenutzer für die Authentifizierung beim Citrix Gateway verwenden. Wenn Sie kein Kennwort angeben, werden Benutzer beim Herstellen einer Verbindung mit Citrix Gateway aufgefordert, ein Kennwort anzugeben.

    • Zertifikatalias (optional). Geben Sie im Android-Schlüsselspeicher einen Zertifikatalias an, der für die Clientzertifikatauthentifizierung verwendet werden soll. Dieses Zertifikat ist bei Verwendung der zertifikatbasierten Authentifizierung für Benutzer vorausgewählt.

    • Pro-App-VPN-Typ (optional). Wenn Sie mit Pro-App-VPN beschränken, welche Apps das VPN verwenden, können Sie diese Einstellung konfigurieren. Bei Auswahl von Zulassen wird der Netzwerkdatenverkehr für die in der App-Liste für Pro-App-VPN aufgeführten App-Paketnamen über das VPN geleitet. Der Netzwerkverkehr aller anderen Apps wird nicht über das VPN geleitet. Bei Auswahl von Nicht zulassen wird der Netzwerkdatenverkehr für die in der App-Liste für Pro-App-VPN aufgeführten App-Paketnamen nicht über das VPN geleitet. Der Netzwerkverkehr aller anderen Apps wird über das VPN geleitet. Die Standardeinstellung ist Zulassen.

    • App-Liste für Pro-App-VPN. Eine Liste aller Apps, deren Datenverkehr auf dem VPN zugelassen oder nicht zugelassen ist, festgelegt durch den Wert für Pro-App-VPN-Typ. Die App-Paketnamen sind durch Kommas oder Semikolons in der Liste getrennt. Die Groß- und Kleinschreibung wird berücksichtigt und die Schreibweise der App-Paketnamen in der Liste müssen mit dem Namen im Google Play Store identisch sein. Diese Liste ist optional. Beim Provisioning eines geräteweiten VPNs lassen Sie die Liste unausgefüllt.

    • VPN-Standardprofil. Geben Sie den Namen des VPN-Profils ein, das verwendet werden soll, wenn Benutzer in der Benutzeroberfläche der Citrix SSO-App nicht auf ein bestimmtes Profil, sondern auf die Verbindungsoption tippen. Wenn dieses Feld leer gelassen wird, wird das Hauptprofil für die Verbindung verwendet. Wenn nur ein Profil konfiguriert ist, wird es als Standardprofil markiert. Für Always-On-VPN muss dieses Feld auf den Namen des VPN-Profils gesetzt werden, das für das Always-On-VPN verwendet werden soll.

    • Benutzerprofile deaktivieren. Bei der Einstellung EIN können Benutzer keine eigenen VPNs auf ihren Geräten erstellen. Bei der Einstellung AUS können Benutzer eigene VPNs auf ihren Geräten erstellen. Die Standardeinstellung ist Aus.

    • Nicht vertrauenswürdige Server blockieren. Wählen Sie die Einstellung “Aus”, wenn Sie ein selbstsigniertes Zertifikat für Citrix Gateway verwenden oder wenn das Stammzertifikat für die Zertifizierungsstelle, die das Citrix Gateway-Zertifikat ausstellt, nicht in der Liste der Systemzertifizierungsstellen aufgeführt ist. Bei der Einstellung “Ein” wird das Citrix Gateway-Zertifikat vom Android-Betriebssystem überprüft. Wenn die Validierung fehlschlägt, wird die Verbindung nicht zugelassen. Der Standardwert ist EIN.

    Bild des Assistenten für verwaltete Android Enterprise-Konfigurationen

  6. Optional können Sie benutzerdefinierte Parameter erstellen. Die benutzerdefinierten Parameter XenMobileDeviceID und UserAgent werden unterstützt. Wählen Sie die aktuelle VPN-Konfiguration und klicken Sie auf Hinzufügen.

    Bild des Assistenten für verwaltete Android Enterprise-Konfigurationen

    1. Erstellen Sie einen benutzerdefinierten Parameter:

      • Parametername. Geben Sie XenMobileDeviceID ein. Dies ist die Geräte-ID, die für die Netzwerkzugriffsprüfung basierend auf der Geräteregistrierung in Endpoint Management verwendet wird. Wenn das Gerät von Endpoint Management registriert und verwaltet wird, wird die VPN-Verbindung zugelassen. Andernfalls schlägt die Authentifizierung bei der VPN-Einrichtung fehl.

      • Parameterwert. Damit der Registrierungs- und Verwaltungsstatus von Geräten in Endpoint Management bestimmt werden kann, wird der Wert für XenMobileDeviceID auf DeviceID_${device.id} festgelegt.

    Bild des Assistenten für verwaltete Android Enterprise-Konfigurationen

    1. Zum Erstellen eines weiteren benutzerdefinierten Parameters klicken Sie erneut auf Hinzufügen. Erstellen Sie diesen benutzerdefinierten Parameter.

      • Parametername. Geben Sie UserAgent ein. Dieser Text wird zur zusätzlichen Prüfung von Citrix Gateway an den User-Agent-HTTP-Header angehängt. Der Wert dieses Textes wird während der Kommunikation mit Citrix Gateway von der Citrix SSO-App an den User-Agent-HTTP-Header angehängt.

      • Parameterwert. Geben Sie den Text ein, den Sie an den User-Agent-HTTP-Header anhängen möchten. Dieser Text muss den Vorgaben für den HTTP-User-Agent entsprechen.

  7. Optional können Sie weitere VPN-Profilkonfigurationen erstellen. Klicken Sie unter der Liste der Konfigurationen auf Hinzufügen. Eine neue Konfiguration wird in der Liste angezeigt. Wählen Sie die neue Konfiguration aus und wiederholen Sie Schritt 5 und optional Schritt 6.

    Bild des Assistenten für verwaltete Android Enterprise-Konfigurationen

  8. Wenn Sie alle gewünschten VPN-Profile erstellt haben, klicken Sie auf Weiter.

  9. Konfigurieren Sie Bereitstellungsregeln für diese verwaltete Konfiguration für Citrix SSO.

  10. Klicken Sie auf Speichern.

Diese verwaltete Konfiguration für Citrix SSO wird nun in der Liste der konfigurierten Geräterichtlinien angezeigt.

Zum Aktivieren von Always-On für die konfigurierten VPN-Profile, setzen Sie die Endpoint Management-Optionsrichtlinie für Geräte.

Zugriff vom Gerät auf VPN-Profile

Für den Zugriff auf die von Ihnen erstellten VPN-Profile installieren Android Enterprise-Benutzer Citrix SSO aus dem Google Play Store.

Die konfigurierten VPN-Profile werden im Bereich Verwaltete Verbindungen der App angezeigt. Benutzer tippen auf das gewünschte VPN-Profil, um eine Verbindung herzustellen.

Bild des Bereichs "Verwaltete Verbindungen" der SSO-App auf dem Gerät

Nachdem Benutzer sich authentifiziert und eine Verbindung hergestellt haben, wird neben dem VPN-Profil ein Häkchen angezeigt. Das Schlüsselsymbol zeigt an, dass eine Verbindung zum VPN vorliegt.

Bild des Bereichs "Verwaltete Verbindungen" der SSO-App auf dem Gerät

Richtlinie für verwaltete Android Enterprise-Konfigurationen