Vorbereitung zum Registrieren von Geräten und Bereitstellen von Ressourcen

Wichtig:

Bevor Sie fortfahren, müssen Sie alle Schritte ausführen, die unter Onboarding und Einrichten von Ressourcen beschrieben werden.

Endpoint Management unterstützt verschiedene Registrierungsoptionen. In diesem Artikel wird das Basissetup beschrieben, das für die Registrierung aller unterstützten Geräte erforderlich ist. Die folgende Abbildung fasst die Grundschritte für das Setup zusammen.

Workflowdiagramm: Vorbereiten einer Umgebung für die Geräteregistrierung

Eine Liste der unterstützten Geräte finden Sie unter Unterstützte Gerätebetriebssysteme.

Einrichten eines APNs-Zertifikats für iOS-Geräte

Endpoint Management erfordert ein APNs (Apple Dienst für Pushbenachrichtigungen)-Zertifikat von Apple, um iOS-Geräte zu registrieren und zu verwalten. Endpoint Management erfordert außerdem ein APNs-Zertifikat für Secure Mail für iOS-Pushbenachrichtigungen.

Einrichten von Firebase Cloud Messaging (FCM) für Android-Geräte

Firebase Cloud Messaging (FCM) steuert, wie und wann Android-Geräte eine Verbindung zum Endpoint Management-Dienst herstellen. Sicherheitsaktionen oder Bereitstellungsbefehle lösen eine Pushbenachrichtigung aus. Die Benachrichtigung fordert Benutzer auf, sich neu mit Endpoint Management zu verbinden.

  • Für das FCM-Setup müssen Sie Ihr Google-Konto konfigurieren. Erstellen der Google Play-Anmeldeinformationen, siehe Verwalten der Developer-Kontoinformationen. Sie verwenden auch Google Play zum Hinzufügen, Erwerben und Genehmigen von Apps für die Bereitstellung in dem Android Enterprise-Workspace von Geräten. Über Google Play können Sie private Android-Apps, öffentliche Apps und solche von Drittanbietern bereitstellen.

  • Informationen zum Einrichten von FCM finden Sie unter Firebase Cloud Messaging.

Einrichten des Endpoint Management AutoDiscovery-Diensts

Wichtig:

Am 31. Dezember 2018 wurde die AutoDiscovery-Dienst-URL discovery.mdm.zenprise.com durch die URL ads.xm.cloud.com ersetzt. Weitere Informationen finden Sie im Citrix-Supportartikel https://support.citrix.com/article/CTX202044.

Autodiscovery ist ein wichtiger Teil vieler Endpoint Management-Bereitstellungen. Autodiscovery vereinfacht den Registrierungsvorgang für Benutzer. Benutzer:

  • Sie können bei der Geräteregistrierung ihren Netzwerkbenutzernamen und ihr Active Directory-Kennwort verwenden.
  • Sie müssen keine Details zu Endpoint Management eingeben.
  • Der Benutzername wird im Benutzerprinzipalnamenformat (UPN) eingegeben Zum Beispiel, user@mycompany.com.

Mit dem Endpoint Management Autodiscovery-Dienst können Sie einen Autodiscoverydatensatz ohne Unterstützung durch Citrix Support erstellen und bearbeiten.

Autodiscovery wird für Umgebungen mit hoher Sicherheit empfohlen. AutoDiscovery unterstützt Zertifikatpinning, was Man-in-the-Middle-Angriffen verhindert. Zertifikatpinning stellt sicher, dass das von Ihrem Unternehmen signierte Zertifikat bei der Kommunikation zwischen Citrix-Clients und Endpoint Management verwendet wird. Informationen über das Zertifikatpinning finden Sie unter Zertifikatpinning.

Zum Zugreifen auf den Endpoint Management Autodiscovery-Dienst navigieren Sie zu https://tools.xm.cloud.com (gewerblich) oder https://tools.cem.cloud.us (Behörden) und klicken auf Autodiscovery-Anforderung.

Der Autodiscovery-Dienst

Anfordern von Autodiscovery

  1. Auf der Seite des Autodiscovery-Diensts müssen Sie eine Domäne beanspruchen. Klicken Sie auf Add Domain.

    Bildschirm "ADS-Liste"

  2. Geben Sie in dem Dialogfeld, das geöffnet wird, den Domänennamen Ihrer Endpoint Management-Umgebung ein und klicken Sie dann auf Next.

    Feld "Domain Name"

  3. Im nächsten Bildschirm wird überprüft, ob Sie tatsächlich der Eigentümer der Domäne sind.

    Bildschirm zum Überprüfen Ihrer Domäne

    • Kopieren Sie das über das Endpoint Management Tools-Portal zur Verfügung gestellte DNS-Token.

    • Zum Erstellen eines DNS-TXT-Datensatzes in der Zonendatei für Ihre Domäne über das Portal des Domänenhostinganbieters:

      Melden Sie sich beim Portal des Domänenhostinganbieters für die Domäne an. Sie können die Domänennamenserverdatensätze bearbeiten und einen benutzerdefinierten TXT-Datensatz hinzufügen.

    • Fügen Sie das Domänentoken in Ihren DNS-TXT-Datensatz ein und speichern Sie den Domänennamenserverdatensatz.

    • Klicken Sie im Endpoint Management Tools-Portal auf Done, um die DNS-Prüfung zu starten.

    Das System erkennt den DNS-TXT-Datensatz. Alternativ können Sie auf I’ll update later klicken, um den Datensatz zu speichern. Die DNS-Prüfung wird erst gestartet, wenn Sie auf den Datensatz mit dem Status “Waiting” und dann auf DNS Check klicken.

    Diese Prüfung dauert in der Regel etwa eine Stunde. Es kann jedoch bis zu zwei Tage dauern, bis eine Rückmeldung erfolgt. Die Statusänderung wird möglicherweise erst im Tools-Portal angezeigt, wenn Sie sich abmelden und erneut anmelden.

    Status "Waiting" im ADS-Listenbildschirm

  4. Nachdem Sie Ihre Domäne beansprucht haben, geben Sie Informationen zum Autodiscovery-Dienst ein. Klicken Sie mit der rechten Maustaste auf den Domänendatensatz, für den Sie Autodiscovery anfordern, und klicken Sie auf Add ADS.

    Status "Claimed" im ADS-Listenbildschirm

  5. Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf Next. Wenn Sie Ihren Instanznamen nicht wissen, fügen Sie die Standardinstanz zdm hinzu.

  6. Geben Sie die folgenden Informationen für Secure Hub ein und klicken Sie dann auf Weiter.

    Secure Hub-Infoeinstellungen

    • User ID Type: Wählen Sie für den ID-Typ, mit dem Benutzer sich anmelden, entweder E-mail address oder UPN aus.

      Um die Benutzer aufzufordern, ihren Benutzernamen und ihr Kennwort einzugeben, wählen Sie E-Mail-Addresse. Um Benutzer zur Eingabe ihres Kennworts aufzufordern, wählen Sie UPN. Verwenden Sie UPN, wenn der Benutzerprinzipalname mit der E-Mail-Adresse übereinstimmt. Bei beiden Methoden erfolgt die Suche der Serveradresse anhand der eingegebenen Domäne.

    • HTTPS Port: Geben Sie den Port an, über den auf Secure Hub über HTTPS zugegriffen werden soll. Normalerweise ist der HTTPS-Port 443.

    • iOS Enrollment Port: Geben Sie den Port an, über den auf Secure Hub für die iOS-Registrierung zugegriffen werden soll. In der Regel wird hierfür Port 8443 verwendet.

    • Required Trusted CA for Endpoint Management: Geben Sie an, ob für den Zugriff auf Endpoint Management ein vertrauenswürdiges Zertifikat erforderlich ist. Diese Option kann auf ON oder OFF festgelegt werden. Um ein vertrauenswürdiges Zertifikat zu verwenden, wenden Sie sich an Citrix Support, um das Zertifikat hochzuladen. Weitere Informationen über das Zertifikatpinning finden Sie unter Secure Hub. Informationen zu den für das Zertifikatpinning erforderlichen Ports finden Sie im Supportartikel Endpoint Management Port Requirements for ADS Connectivity.

  7. Auf einer Zusammenfassungsseite werden alle in den oben beschriebenen Schritten eingegebenen Informationen angezeigt. Stellen Sie sicher, dass die Daten richtig sind, und klicken Sie dann auf Save.

    Zusammenfassungsseite

An diesem Punkt können Sie alle unterstützten Geräte registrieren. Fahren Sie mit dem nächsten Abschnitt fort, um die Bereitstellung von Ressourcen für Geräte vorzubereiten.

Standard-Geräterichtlinien und mobile Produktivitätsapps

Bei einer Erstverwendung von Endpoint Management ab Version 19.5.0 oder höher sind einige Geräterichtlinien und mobile Produktivitätsapps bereits vorab konfiguriert. Mit dieser Konfiguration können Sie sofort grundlegende Funktionen für Gerätebenutzer bereitstellen.

Für die Plattformen Android, Android Enterprise, iOS, macOS und Windows Desktop/Tablet enthält Ihre Site folgende vorkonfigurierte Geräterichtlinien:

  • Passcode-Geräterichtlinie: Die Passcode-Geräterichtlinie ist auf Ein gesetzt und alle Passcode-Standardeinstellungen sind aktiviert.

  • App-Bestandsrichtlinie für Geräte: Die App-Bestandsrichtlinie für Geräte ist auf Ein gesetzt.

  • Geräteeinschränkungsrichtlinie: Die Geräteeinschränkungsrichtlinie ist auf Ein gesetzt und alle Standardeinstellungen zu Einschränkungen sind aktiviert.

Diese Richtlinien befinden sich in der Bereitstellungsgruppe AllUsers, die alle Active Directory- und lokalen Benutzer enthält. Es wird empfohlen, die Bereitstellungsgruppe “AllUsers” nur für erste Tests zu verwenden. Erstellen Sie anschließend Ihre Bereitstellungsgruppen und deaktivieren Sie die Bereitstellungsgruppe “AllUsers”.

Alle Endpoint Management-Geräterichtlinien werden unter Geräterichtlinien dokumentiert. Dieser Artikel enthält Informationen zum Bearbeiten von Geräterichtlinien über die Konsole. Informationen zu häufig verwendeten Geräterichtlinien finden Sie unter Geräterichtlinien und Anwendungsverhalten.

Für die Plattformen iOS und Android enthält Ihre Site folgende vorkonfigurierte mobile Produktivitätsapps:

  • Secure Mail
  • Secure Web
  • Citrix Files

Diese Apps sind in der Bereitstellungsgruppe AllUsers.

Weitere Informationen siehe Mobile Produktivitätsapps und Überblick über die MDX-Richtlinien für mobile Produktivitätsapps.

Fortsetzen der Endpoint Management-Konfiguration

Nachdem Sie das Basissetup für die Geräteregistrierung abgeschlossen haben, hängt die Konfiguration von Endpoint Management stark von Ihrem Anwendungsfall ab. Zum Beispiel:

  • Was sind Ihre Sicherheitsanforderungen und wie möchten Sie diese Anforderungen mit der Benutzererfahrung in Einklang bringen?
  • Welche Geräteplattformen unterstützen Sie?
  • Besitzen Benutzer die Geräte oder verwenden sie unternehmenseigene Geräte?
  • Welche Geräterichtlinien möchten Sie auf Geräte übertragen?
  • Welche Arten von Apps stellen Sie Benutzern zur Verfügung?

Dieser Abschnitt hilft, durch die zahlreichen Konfigurationsentscheidungen zu navigieren, indem Sie auf die entsprechenden Artikeln in dieser Dokumentation geführt werden.

Wenn Sie die Konfiguration auf Websites von Drittanbietern abschließen, notieren Sie die Informationen und ihren Speicherort zur Referenz beim Konfigurieren der Einstellungen in der Endpoint Management-Konsole.

Sicherheit und Authentifizierung

Endpoint Management verwendet Zertifikate, um sichere Verbindungen zu erstellen und Benutzer zu authentifizieren. Citrix stellt Platzhalterzertifikate für Ihre Endpoint Management-Instanz bereit.

Empfohlene Hintergrundlektüre:

Eine Besprechung der Authentifizierungskomponenten und der empfohlenen Konfigurationen nach Sicherheitsstufe finden Sie unter “Erweiterte Konzepte” in Authentifizierung.

Weitere Informationen unter Sicherheit und Benutzererfahrung.

Eine Übersicht über die Authentifizierungskomponenten, die während der Endpoint Management-Vorgänge verwendet werden, finden Sie unter Zertifikate und Authentifizierung.

Sie können unter den folgenden Authentifizierungstypen wählen. Die Konfiguration der Authentifizierung umfasst Aufgaben in den Konsolen von Endpoint Management und Citrix Gateway.

Um Zertifikate an Benutzer zu übermitteln, konfigurieren Sie:

Weitere Authentifizierungsoptionen finden Sie in unter Zertifikate und Authentifizierung.

Geräteregistrierung

Geräteregistrierungsmodi geben die Arten der Anmeldeinformationen an, die die Benutzer für die Registrierung ihrer Geräte bei Endpoint Management benötigen. Die Geräteregistrierungsmodi weisen unterschiedliche Sicherheitsstufen auf und legen die erforderlichen Schritte für die Benutzerregistrierung fest.

Die Registrierung über Azure Active Directory wird für iOS-, Android- und Windows 10-Geräte unterstützt. Informationen zum Konfigurieren von Azure als Identitätsanbieter (IdP) finden Sie unter Single Sign-On mit Azure Active Directory.

Geräterichtlinien und -verwaltung

Vorbereiten von Apps für die Bereitstellung

Informationen zu den von Endpoint Management unterstützten Apps finden Sie unter Hinzufügen von Apps.

Sonstige Konfiguration

  • Mit der rollenbasierten Zugriffssteuerung (RBAC) in Endpoint Management können Sie Benutzern und Gruppen vordefinierte Rollen bzw. Berechtigungssätze zuweisen. Diese Berechtigungen steuern den Zugriff der Benutzer auf Systemfunktionen. Weitere Informationen finden Sie unter Konfigurieren von Rollen mit RBAC.

  • Sie können in Endpoint Management mit automatisierten Aktionen eine Reaktion auf Ereignisse, bestimmte Einstellungen oder das Vorhandensein von Apps auf Benutzergeräten festlegen. Weitere Informationen finden Sie unter Automatisierte Aktionen.