Citrix Endpoint Management

Compliance-Erzwingung für Android-Gerät (Technical Preview)

Hinweis:

Kunden haben die Möglichkeit, Technical Previews in ihren Umgebungen, die nicht oder nur eingeschränkt zur Produktion verwendet werden, zu nutzen und Feedback zu geben. Citrix akzeptiert keine Supportanfragen für Features in Technical Previews, begrüßt jedoch Feedback zur Verbesserung der Features. Sie können uns Feedback zu dieser Funktion geben, indem Sie auf Feedback senden klicken. Basierend auf Schweregrad, Kritikalität und Wichtigkeit behält sich Citrix eine Reaktion auf das Feedback vor.

Für Android-Geräte, die im Gerätebesitzermodus registriert sind, kann der Kundenadministrator die Gerätekonformität verwalten. Sie können benutzerdefinierte Regeln definieren, um die Einhaltung der Vorschriften zu bewerten, darunter:

  • Stellen Sie sicher, dass die Sicherheit des Gerätekennworts den angegebenen Standards entspricht.
  • Überprüfung der Installation aller erforderlichen Apps.
  • Bestätigung der Entfernung verbotener Apps.

In Fällen, in denen festgestellt wird, dass Geräte nicht den Anforderungen entsprechen, können Kunden die Benutzer auffordern, die Probleme zu beheben. Darüber hinaus sind strengere Maßnahmen verfügbar, z. B. das Einfrieren von Apps auf dem Gerät, um den Benutzerzugriff einzuschränken, bis die Einhaltung der Vorschriften erreicht ist. Um diese Funktion zu aktivieren, sind zwei Voraussetzungen erforderlich, da Änderungen sowohl auf Server- als auch auf Clientseite erforderlich sind:

  • Führen Sie ein Upgrade von CEM Server auf Version 24.8.0 durch.
  • Führen Sie ein Upgrade von Secure Hub auf Version 24.8.0 durch.

Verfahren zur Compliance-Verwaltung von Android-Geräten

  1. Aktivieren Sie das Feature-Flag afw.policy.compliance speziell für den CEM-Server.
  2. Fügen Sie eine Compliance-Richtlinie hinzu und stellen Sie sie bereit.
    1. Wählen Sie auf der Registerkarte Konfigurieren die Option Geräterichtlinien aus und klicken Sie auf Compliance.

      Geräterichtlinien

    2. Konfigurieren Sie die Richtlinie mit den folgenden Einstellungen:

      • Konformitätsprüfung aktivieren: Diese Einstellung steuert, ob Geräte Konformitätsprüfungen unterzogen werden. Um eine bereitgestellte Konformitätsrichtlinie zu widerrufen, deaktivieren Sie diese Option und stellen Sie die Richtlinie erneut bereit. Das bloße Entfernen der Richtlinie aus der Bereitstellungsgruppe ist nicht wirksam.

      Konformitätsprüfung aktivieren

      • Aktion bei Nichteinhaltung: Wählen Sie zwischen Nur Warnung und Apps sperren (nur firmeneigenes Gerät). Wenn Sie Nur Warnung auswählen, werden Benutzer in Secure Hub über nicht konforme Elemente informiert und aufgefordert, diese Probleme zu beheben. Wenn Sie Apps einfrieren (nur unternehmenseigenes Gerät) wählen, werden alle Apps auf dem Gerät gesperrt. Administratoren können jedoch eine Liste mit nicht eingefrorenen Apps anpassen, um bestimmte Apps auszunehmen, z. B. Secure Hub (zum Anzeigen und Beheben nicht kompatibler Inhalte), Google Play Store (für die Installation der erforderlichen Apps), Einstellungen (für Werkseinstellungen) und SMS (für Notfallkommunikation). Die Apps einfrieren (nur firmeneigenes Gerät) gelten nur für unternehmenseigene Geräte.

      Apps einfrieren

      • Passcode-Konformität überprüfen: Prüft, ob Gerätekennwörter den angegebenen Standards entsprechen. Wird normalerweise mit Passcoderichtlinien verwendet.
      • Erforderliche Apps überprüfen: Zeigt eine Liste der obligatorischen Apps an. Stellt sicher, dass diese Apps auf dem Gerät installiert sind.

      Hinweis:

      • Apps, die unter Erforderliche Apps aufgeführt sind, müssen auch im Abschnitt “Erforderliche Apps” der Bereitstellungsgruppe enthalten sein, um ihre Funktionalität sicherzustellen. Andernfalls sind sie nicht wirksam.
      • Da erforderliche Apps im verwalteten Google Play möglicherweise nicht verfügbar sind, bleiben die Endnutzer im gesperrten Modus.

      Erforderliche Apps überprüfen

      • Verbotene Apps überprüfen: Zeigt eine Liste verbotener Apps an. Stellt sicher, dass keine dieser Apps installiert ist.

      Hinweis:

      Administratoren sollten davon absehen, vorinstallierte System-Apps zur Liste der verbotenen Apps hinzuzufügen, da Endbenutzer nicht berechtigt sind, sie zu entfernen.

  3. Richtlinie bereitstellen.
    1. Klicken Sie in Secure Hub auf Richtlinie aktualisieren oder warten Sie auf die 6-stündige regelmäßige Synchronisierung, um die Richtlinie auf Geräten bereitzustellen.
    2. Nach der Bereitstellung wird sofort eine Konformitätsprüfung ausgelöst. Nicht konforme Geräte im Modus “Apps einfrieren” schränken sowohl das Gerät als auch die zugehörigen Apps ein, bis die Konformität erfüllt ist.

    Geräterichtlinie

    Wenn der Administrator die Nichtkonformitätsaktion so konfiguriert, dass Apps eingefroren werden, schränken sowohl Secure Hub als auch das Gerät selbst die App-Nutzung ein. Konkret:

    • In der Benachrichtigungsleiste erscheint eine permanente Benachrichtigung, die den Benutzer daran erinnert, dass Apps eingefroren wurden.

    Citrix Secure Hub

    • Apps, mit Ausnahme der Apps, die als standardmäßig zulässig oder in der Liste der nicht eingefrorenen Apps aufgeführt sind, werden eingefroren und reagieren nicht, wenn darauf geklickt wird.
    • Dieser Status bleibt bestehen, bis das Gerät die Konformität erreicht hat. Selbst nach einem Neustart oder einem System-Upgrade kehrt das Gerät sofort in diesen eingefrorenen Zustand zurück (außer bei Secure Hub-Upgrades, die einen manuellen Start durch den Benutzer erfordern).
  4. Behebung von Verstößen:
    • Wenn ein Gerät nicht konform ist, wird Secure Hub daran gehindert, die Richtlinie mit der üblichen Methode zu aktualisieren (klicken Sie auf die Schaltfläche Richtlinie aktualisieren auf der Geräteinformationsseite ).
    • Stattdessen bietet sich eine alternative Lösung an, indem Sie die Seite herunterziehen, auf der die nicht kompatiblen Elemente angezeigt werden, und das Aktualisierungsergebnis wird durch eine Toast-Benachrichtigung übermittelt.

    Aktualisierungsanfrage war erfolgreich

    • Spezifische Aktionen für Benutzer:
      • Stellen Sie einen komplexeren Passcode ein, um die Standards zu erfüllen.
      • Installieren Sie die erforderlichen Apps aus dem Google Play Store.
      • Deinstalliere verbotene Apps.
  5. Überwachung der Einhaltung
    • Konformitätsstatus anzeigen: Ein neues Symbol für den Konformitätsstatus unter Verwalten -> Geräte -> Status. Grün steht für Konformität, Orange für Nichteinhaltung.

    Status der Einhaltung

    • Ein detaillierter Konformitätsstatus ist unter Verwalten -> Geräte -> Gerätedetails -> Eigenschaften -> Sicherheitsinformationenverfügbar.

    Gerätekonform

Problembehandlung

  1. Die konfigurierte erforderliche App kann nicht im Google Play Store gefunden werden, was dazu führt, dass das Gerät nicht mehr konform ist und das Problem nicht lösen kann. Das ist ein Konstruktionsfehler.

    Konstruktionsfehler

    Der CEM-Server überträgt die erforderlichen Apps über die Links 1 und 2 an Secure Hub und die Google-Server, aber Link 3 liegt außerhalb unserer Kontrolle. Wenn Secure Hub mithilfe von Link 1 nach erforderlichen Apps sucht, können wir nicht garantieren, dass diese Apps im verwalteten Google Play Store verfügbar sind. Diese Diskrepanz bedeutet, dass Secure Hub diese Apps zwar gemäß den Compliance-Richtlinien installieren muss, sie jedoch möglicherweise nicht sofort im Store gefunden werden. In der Regel übertragen Google-Server die erforderlichen Apps innerhalb von 24 Stunden über Link 3 auf das Gerät.

  2. Vor dem Upgrade von Secure Hub war das Gerät nicht konform und die Apps waren eingefroren. Nach dem Upgrade von Secure Hub wurden jedoch alle Apps entsperrt. Dies geschah, weil der Betrieb von Secure Hub während des Upgradevorgangs beendet wurde, sodass das Einfrieren der App nicht aufrechterhalten werden konnte. Dieses Problem ist bekannt und hat derzeit keine Lösung. Wir arbeiten aktiv mit Google zusammen, um dieses Problem zu lösen, und erwarten Verbesserungen in zukünftigen Versionen. Nach Abschluss des Upgrades können Benutzer Secure Hub manuell starten, um den Vorgang zu starten und die Apps in ihren eingefrorenen Zustand zurückzusetzen.

  3. Wie entfriere ich Apps? Die gängigste Methode besteht darin, dass Benutzer alle nicht richtlinienkonformen Probleme lösen, wodurch das Gerät den Anforderungen entspricht und die Sperrung aller Apps automatisch aufgehoben wird. Wenn es nicht möglich ist, die Konformität schnell zu erreichen, können die folgenden Schritte unternommen werden: - Fügen Sie verwandte Apps zur Liste der nicht eingefrorenen Apps hinzu und führen Sie eine Pulldown-Aktualisierung durch. - Ändern Sie die Aktion “Nichteinhaltung” in “Warnung” und führen Sie eine Pulldown-Aktualisierung durch. - Deaktivieren Sie den Kontrollschalter für nicht konforme Elemente oder den Hauptschalter und führen Sie dann eine Pulldown-Aktualisierung durch. - Wenn keine der oben genannten Methoden funktioniert, aktivieren Sie das Feature-Flag afw.locktaskmode.disable für den jeweiligen CEM-Server und führen Sie eine Pulldown-Aktualisierung durch. Durch diese Aktion werden alle Apps erzwungen, Secure Hub bleibt jedoch blockiert, ähnlich wie wenn die Aktion “Nichteinhaltung” auf Warnung gesetzt ist. - Deaktivieren Sie das Feature-Flag afw.policy.compliance für den jeweiligen CEM-Server und führen Sie eine Pulldown-Aktualisierung durch. - Im schlimmsten Fall, in dem Secure Hub keine Verbindung zum CEM-Server herstellen kann, führen Sie in den Einstellungen einen Werksreset durch.

  4. Der unter Analysieren -> Dashboard angezeigte Konformitätsstatus ist eine andere Art von Konformität in Citrix Endpoint Management als der, auf den in dieser Richtlinie verwiesen wird. Diese Funktion wurde noch nicht entwickelt und wird in zukünftigen Versionen verbessert.

    Dashboard

  5. Dieses Feature gilt nicht für Geräte, die im COSU/WPCOD/BYOD-Modus registriert wurden. Derzeit werden nur Geräte unterstützt, die im Modus Gerätebesitzer (DO) registriert sind.

Compliance-Erzwingung für Android-Gerät (Technical Preview)