Vorbereitung zum Registrieren von Geräten und Bereitstellen von Ressourcen

Wichtig:

Bevor Sie fortfahren, müssen Sie alle Schritte ausführen, die unter Onboarding und Einrichten von Ressourcen beschrieben werden.

Endpoint Management unterstützt verschiedene Registrierungsoptionen. In diesem Artikel wird das Basissetup beschrieben, das für die Registrierung aller unterstützten Geräte erforderlich ist. Die folgende Abbildung fasst die Grunschritten für das Setup zusammen.

Workflowdiagramm über das Vorbereiten einer Umgebung für die Geräteregistrierung

Eine Liste der unterstützten Geräte finden Sie unter Unterstützte Gerätebetriebssysteme.

Einrichten eines APNs-Zertifikats für iOS-Geräte

Endpoint Management erfordert ein APNs (Apple Dienst für Pushbenachrichtigungen)-Zertifikat von Apple, um iOS-Geräte zu registrieren und zu verwalten. Endpoint Management erfordert außerdem ein APNs-Zertifikat, wenn Sie Pushbenachrichtigungen für Secure Mail für iOS verwenden möchten.

Einrichten von Firebase Cloud Messaging (FCM) für Android-Geräte

Firebase Cloud Messaging (FCM) steuert, wie und wann Android-Geräte eine Verbindung zum Endpoint Management-Dienst herstellen. Sicherheitsaktionen oder Bereitstellungsbefehle lösen eine Pushbenachrichtigung aus, mit der Benutzer aufgefordert werden, sich neu mit Endpoint Management zu verbinden.

  • Für das FCM-Setup müssen Sie Ihr Google-Konto konfigurieren. Zum Erstellen von Google Play-Anmeldeinformationen siehe Manage your developer account information. Sie verwenden auch Google Play zum Hinzufügen, Erwerben und Genehmigen von Apps für die Bereitstellung in dem Android Enterprise-Workspace von Geräten. Über Google Play können Sie private Android-Apps, öffentliche Apps und solche von Drittanbietern bereitstellen.

  • Zum Einrichten von FCM, siehe Firebase Cloud Messaging.

Einrichten von Endpoint Management AutoDiscovery Service

Wichtig:

Die AutoDiscovery-Service-URL discovery.mdm.zenprise.com ist nach dem 31. Dezember 2018 nicht mehr verfügbar. Der neue vollqualifizierte Domänenname ist ads.xm.cloud.com. Weitere Informationen finden Sie im Citrix-Supportartikel https://support.citrix.com/article/CTX202044.

Autodiscovery ist ein wichtiger Teil vieler Endpoint Management-Bereitstellungen. Autodiscovery vereinfacht den Registrierungsvorgang für Benutzer. Sie können bei der Geräteregistrierung ihren Netzwerkbenutzernamen und ihr Active Directory-Kennwort verwenden. Sie müssen keine Details zu Endpoint Management eingeben. Der Benutzername wird im Benutzerprinzipalnamenformat (UPN) eingegeben, z. B. user@mycompany.com. Mit dem Endpoint Management Autodiscovery Service können Sie einen Autodiscoverydatensatz ohne Unterstützung durch Citrix Support erstellen und bearbeiten.

Autodiscovery wird für Umgebungen mit hoher Sicherheit empfohlen. AutoDiscovery unterstützt Zertifikatpinning, was Man-in-the-Middle-Angriffen verhindert. Zertifikatpinning stellt sicher, dass das von Ihrem Unternehmen signierte Zertifikat bei der Kommunikation zwischen Citrix-Clients und Endpoint Management verwendet wird. Informationen über das Zertifikatpinning finden Sie unter Zertifikatpinning.

Zum Zugreifen auf den Endpoint Management Autodiscovery Service navigieren Sie zu https://tools.xm.cloud.com und klicken auf Autodiscovery-Anforderung.

Abbildung des XenMobile Autodiscovery Service

Anfordern von Autodiscovery

  1. Auf der Seite des Autodiscovery Service müssen Sie eine Domäne beanspruchen. Klicken Sie auf Add Domain.

    Abbildung des Bildschirms "ADS-Liste"

  2. Geben Sie in dem Dialogfeld, das geöffnet wird, den Domänennamen Ihrer Endpoint Management-Umgebung ein und klicken Sie dann auf Next.

    Abbildung des Felds "Domain Name"

  3. Im nächsten Bildschirm wird überprüft, ob Sie tatsächlich der Eigentümer der Domäne sind.

    Abbildung des Bildschirms zum Überprüfen Ihrer Domäne

    • Kopieren Sie das über das Endpoint Management Tools-Portal zur Verfügung gestellte DNS-Token.

    • Erstellen Sie einen DNS-TXT-Datensatz in der Zonendatei für Ihre Domäne über das Portal des Domänenhostinganbieters.

      Zum Erstellen eines DNS-TXT-Datensatzes müssen Sie sich bei dem Portal des Hostinganbieters der Domäne anmelden, die Sie in vorigen Schritt hinzugefügt haben. Sie können die Domänennamenserverdatensätze bearbeiten und einen benutzerdefinierten TXT-Datensatz hinzufügen.

    • Fügen Sie das Domänentoken in Ihren DNS-TXT-Datensatz ein und speichern Sie den Domänennamenserverdatensatz.

    • Klicken Sie im Endpoint Management Tools-Portal auf Done, um die DNS-Prüfung zu starten.

    Das System erkennt den DNS-TXT-Datensatz. Alternativ können Sie auf I’ll update later klicken, und der Datensatz wird gespeichert. Die DNS-Prüfung wird erst gestartet, wenn Sie auf den Datensatz mit dem Status “Waiting” und dann auf DNS Check klicken.

    Diese Prüfung dauert im Idealfall ungefähr eine Stunde, aber es kann auch bis zu zwei Tage dauern, bis eine Antwort zurückgegeben wird. Um die Statusänderung zu sehen, müssen Sie möglicherweise das Portal verlassen und wieder zurückkehren.

    Abbildung des Wartenstatus im ADS-Listenbildschirm

  4. Nachdem Sie Ihre Domäne beansprucht haben, geben Sie Informationen zum Autodiscovery Service ein. Klicken Sie mit der rechten Maustaste auf den Domänendatensatz, für den Sie Autodiscovery anfordern, und klicken Sie auf Add ADS.

    Abbildung des Claimed-Status im ADS-Listenbildschirm

  5. Geben Sie die erforderlichen Informationen ein und klicken Sie dann auf Next. Wenn Sie Ihren Instanznamen nicht wissen, fügen Sie eine Standardinstanz zdm hinzu.

    Abbildung der Optionen für "Endpoint Management Info"

    Hinweis:

    Im vorherigen Screenshot bezieht sich “WorxHome” auf die App, die jetzt Secure Hub heißt.

  6. Geben Sie die folgenden Informationen für Secure Hub ein und klicken Sie dann auf Weiter.

    Abbildung der Einstellungen für "Secure Hub-Info"

    • User ID Type: Wählen Sie für den ID-Typ, mit dem Benutzer sich anmelden, entweder E-mail address oder UPN aus.

      Verwenden Sie UPN, wenn der UPN (Benutzerprinzipalname) des Benutzers mit seiner E-Mail-Adresse übereinstimmt. Bei beiden Methoden erfolgt die Suche der Serveradresse anhand der eingegebenen Domäne. Wenn Sie E-Mail-Addresse wählen, werden Benutzer aufgefordert, ihren Benutzernamen und ihr Kennwort einzugeben. Wenn Sie UPN wählen, werden Benutzer aufgefordert, ihr Kennwort einzugeben.

    • HTTPS Port: Geben Sie den Port an, über den auf Secure Hub über HTTPS zugegriffen werden soll. Normalerweise ist der HTTPS-Port 443.

    • iOS Enrollment Port: Geben Sie den Port an, über den auf Secure Hub für die iOS-Registrierung zugegriffen werden soll. In der Regel wird hierfür Port 8443 verwendet.

    • Required Trusted CA for Endpoint Management: Geben Sie an, ob für den Zugriff auf Endpoint Management ein vertrauenswürdiges Zertifikat erforderlich ist. Diese Option kann auf ON oder OFF festgelegt werden. Derzeit kann kein Zertifikat für dieses Feature hochgeladen werden. Wenn Sie dieses Feature verwenden möchten, wenden Sie sich an den Citrix Support und lassen Sie Autodiscovery vom Support einrichten. Weitere Informationen über das Zertifikatpinning finden Sie unter Secure Hub. Informationen zu den für das Zertifikatpinning erforderlichen Ports finden Sie im Supportartikel Endpoint Management Port Requirements for ADS Connectivity.

  7. Auf einer Zusammenfassungsseite werden alle in den oben beschriebenen Schritten eingegebenen Informationen angezeigt. Stellen Sie sicher, dass die Daten richtig sind, und klicken Sie dann auf Save.

    Abbildung der Zusammenfassungsseite

An diesem Punkt können Sie alle unterstützten Geräte registrieren. Fahren Sie mit dem nächsten Abschnitt fort, um die Bereitstellung von Ressourcen für Geräte vorzubereiten.

Fortsetzen der Endpoint Management-Konfiguration

Nachdem Sie das Basissetup für die Geräteregistrierung abgeschlossen haben, hängt die Konfiguration von Endpoint Management stark von Ihrem Anwendungsfall ab. Beispiel:

  • Was sind Ihre Sicherheitsanforderungen und wie möchten Sie diese Anforderungen mit der Benutzererfahrung in Einklang bringen?
  • Welche Geräteplattformen unterstützen Sie?
  • Besitzen Ihre Benutzer die Geräte oder verwenden sie unternehmenseigene Geräte?
  • Welche Geräterichtlinien müssen Sie auf Geräte übertragen?
  • Welche Arten von Apps stellen Sie Benutzern zur Verfügung?

Dieser Abschnitt hilft, durch die zahlreichen Konfigurationsentscheidungen zu navigieren, indem Sie auf die entsprechenden Artikeln in dieser Dokumentation geführt werden.

Wenn Sie die Konfiguration auf Websites von Drittanbietern abschließen, notieren Sie die Informationen und ihren Speicherort zur Referenz beim Konfigurieren der Einstellungen in der Endpoint Management-Konsole.

Sicherheit und Authentifizierung

Endpoint Management verwendet Zertifikate, um sichere Verbindungen zu erstellen und Benutzer zu authentifizieren. Citrix stellt Platzhalterzertifikate für Ihre Endpoint Management-Instanz bereit.

Empfohlene Hintergrundlektüre:

Eine Besprechung der Authentifizierungskomponenten und der empfohlenen Konfigurationen nach Sicherheitsstufe finden Sie unter “Erweiterte Konzepte” in Authentifizierung.

Siehe auch Sicherheit und Benutzererfahrung.

Eine Übersicht über die Authentifizierungskomponenten, die während der Endpoint Management-Vorgänge verwendet werden, finden Sie unter Zertifikate und Authentifizierung.

Sie können unter den folgenden Authentifizierungstypen wählen. Die Konfiguration der Authentifizierung umfasst Aufgaben in den Konsolen von Endpoint Management und Citrix Gateway.

Um Zertifikate an Benutzer zu übermitteln, konfigurieren Sie:

Weitere Authentifizierungsoptionen finden Sie in unter Zertifikate und Authentifizierung.

Geräteregistrierung

Sie konfigurieren Geräteregistrierungsmodi, damit Benutzer ihre Geräte in Endpoint Management registrieren können. Endpoint Management bietet sieben Modi mit verschiedenen Sicherheitsstufen und Schritten, die die Benutzer zum Registrieren von Geräten ausführen müssen.

Die Registrierung über Azure Active Directory wird für iOS-, Android- und Windows 10-Geräte unterstützt. Informationen zum Konfigurieren von Azure als Identitätsanbieter (IdP) finden Sie unter Single Sign-On mit Azure Active Directory.

Geräterichtlinien und -verwaltung

  • Geräterichtlinien (MDM)

    • Alle Endpoint Management-Geräterichtlinien werden unter Geräterichtlinien dokumentiert. Informationen zu häufig verwendeten Geräterichtlinien finden Sie unter Geräterichtlinien und Anwendungsverhalten.

    • Einige Richtlinien gelten für mehrere Plattformen und einige Richtlinien sind plattformspezifisch.

      Sie können Geräterichtlinienlisten in der Endpoint Management-Konsole filtern. Sie können beispielsweise nach Plattform filtern, um eine Liste der Richtlinien anzuzeigen, die für diese Plattform am häufigsten verwendet werden. Informationen finden Sie unter Geräterichtlinien.

  • Clienteigenschaften

  • Bereitstellungsgruppen

Vorbereiten von Apps für die Bereitstellung

Informationen zu den von Endpoint Management unterstützten Apps finden Sie unter Hinzufügen von Apps.

  • Sie können die Lizenzierung von iOS-Apps mit dem Apple iOS-VPP (Volume Purchase Program, Programm für Volumenlizenzen) verwalten. Informationen finden Sie unter Programm für iOS-Volumenlizenzen.

    Mit Endpoint Management können Sie iBooks bereitstellen, die Sie über das Apple-Programm für Volumenlizenzen (VPP) beschafft haben. Informationen finden Sie unter Hinzufügen von Medien.

  • Sie können Endpoint Management mit Microsoft Store für Unternehmen verbinden. Informationen finden Sie unter Bereitstellen von Microsoft Store für Unternehmen-Apps von Endpoint Management.

  • Citrix bietet mobile Produktivitätsapps, einschließlich Secure Mail und Secure Web. Weitere Informationen finden Sie unter Mobile Produktivitätsapps.

    • Als Alternative zu Secure Mail können Sie native E-Mails an Geräte senden. Eine allgemeine Beschreibung der E-Mail-Optionen finden Sie unter E-Mail-Strategie.
  • Allgemeine Informationen zu App-Richtlinien finden Sie unter Szenarios für App-Richtlinien und Anwendungsfälle.

  • Der MDX Service und das MDX Toolkit sind Technologien zum Umschließen von Apps, mit denen Unternehmensapps für die sichere Bereitstellung mit Endpoint Management vorbereitet werden.

    Informationen zu Endpoint Management MDX Service, unserem Cloudtool, finden Sie unter Endpoint Management MDX Service.

    Informationen zum Endpoint Management MDX Toolkit, dem herkömmlichen MDX-Verfahren zum Umschließen von Apps, finden Sie unter MDX Toolkit.

  • Weitere Informationen zu Apps finden Sie in anderen Artikeln unter Hinzufügen von Apps.

Sonstige Konfiguration

  • Mit der rollenbasierten Zugriffssteuerung (RBAC) in Endpoint Management können Sie Benutzern und Gruppen vordefinierte Rollen bzw. Berechtigungssätze zuweisen. Diese Berechtigungen steuern den Zugriff der Benutzer auf Systemfunktionen. Informationen finden Sie unter Konfigurieren von Rollen mit RBAC.

  • Sie können in Endpoint Management mit automatisierten Aktionen eine Reaktion auf Ereignisse, bestimmte Einstellungenoder das Vorhandensein von Apps auf Benutzergeräten festlegen. Informationen finden Sie unter Automatisierte Aktionen.