Product Documentation

Samsung KNOX Massenregistrierung

Verwenden Sie KNOX Mobile Enrollment, um mehrere Samsung KNOX-Geräte in XenMobile (oder einem beliebigen Manager für mobile Geräte) zu registrieren, ohne Geräte einzeln manuell zu konfigurieren. Die Registrierung muss bei der Erstverwendung oder nach dem Zurücksetzen auf die Werkseinstellungen ausgeführt werden. Administratoren können Benutzernamen und Kennwörter auch direkt an das Gerät weitergeben, sodass Benutzer bei der Registrierung keine Informationen eingeben müssen.

Hinweis:

Das Setup für KNOX Mobile Enrollment hat nichts mit dem XenMobile KNOX-Container zu tun. Weitere Informationen zu Knox Mobile Enrollment finden Sie unter KME Requirements.

Voraussetzungen für KNOX Mobile Enrollment

  • Samsung-Geräte mit KNOX 2.4 oder höher

    Hinweis:

    Nur TIMA-fähige Samsung 2.4-Geräte werden vom Samsung KNOX Mobile Enrollment-Tool standardmäßig unterstützt.

  • Einige Geräte, die keinen Device Root Key (DRK) haben, unterstützen Mobile Enrollment mit der Binärdatei von KNOX 2.4.1. Eine Liste der unterstützten Geräte finden Sie unter KNOX Mobile Enrollment. Die zu registrierenden Geräte müssen von Samsung genehmigt sein.
  • Beim Hinzufügen von Geräten zum KNOX-Portal geben Sie Geräte-IMEIs oder Seriennummern ein. Voraussetzungen zum Registrieren von mehreren Geräten:
    • Die Geräte müssen von zugelassenen Samsung-Fachhändlern erworben worden sein, oder
    • die Geräte müssen von Fachhändlern erworben worden sein, die bereit sind, die IMEIs direkt an Samsung weiterzugeben. Eine Liste der zulässigen Fachhändler für Ihr Land erhalten Sie vom KNOX Kundensupport.

Weitere Informationen zu den Anforderungen zur Geräteverifizierung erhalten Sie vom KNOX-Support.

  • KNOX-Partnerkonto
  • XenMobile Server muss konfiguriert sein (einschließlich Lizenzen und Zertifikate) und ausgeführt werden.
  • Secure Hub-APK-Datei: Sie laden die Datei bei der Einrichtung von KNOX Mobile Enrollment hoch.

Herunterladen der Secure Hub APK-Datei

  1. Melden Sie sich an der Citrix Downloadsite an und navigieren Sie zu XenMobile Downloads.

  2. Navigieren Sie zu “XenMobile Apps and MDX Toolkit” und wählen Sie die gewünschte Edition.

  3. Laden Sie die Datei für Citrix Secure Hub für Android herunter.

Konfigurieren von Firewallausnahmen

Konfigurieren Sie für den Zugriff auf Knox Mobile Enrollment die folgenden Ausnahmen. Einige dieser Firewallausnahmen sind für alle Geräte erforderlich und einige sind spezifisch für die geografische Region des Geräts.

Region des Geräts URL Port Ziel
Alle https://gslb.secb2b.com 443 Globaler Load Balancer für die Initiierung von Knox Mobile Enrollment
Alle http://gslb.secb2b.com 80 Globaler Load Balancer für die Initiierung von Knox Mobile Enrollment auf einigen limitierten Legacy-Geräten
Alle umc-cdn.secb2b.com 443 Samsung Agent-Update-Server
Alle bulkenrollment.s3.amazonaws.com 80 EULAs für Knox Mobile Enrollment
Alle eula.secb2b.com 443 EULAs für Knox Mobile Enrollment
Alle us-be-api-mssl.samsungknox.com 443 Samsung-Server für IMEI-Überprüfung
Vereinigte Staaten https://us-segd-api.secb2b.com 443 Samsung Enterprise Gateway für die US-Region
Europa https://eu-segd-api.secb2b.com 443 Samsung Enterprise Gateway für die Region Europa
China https://china-segd-api.secb2b.com 443 Samsung Enterprise Gateway für die Region China

Zugreifen auf KNOX Mobile Enrollment

Folgen Sie diesen Anleitungen, um Zugriff auf KNOX Mobile Enrollment zu erhalten.

Wenn Sie ein KNOX-Webportal-Konto haben

  1. Melden Sie sich am KNOX-Webportal an und navigieren Sie zu Ihrem Samsung KNOX-Dashboard.

  2. Klicken Sie unter “KNOX Mobile Enrollment” auf Erste Schritte.

  3. Füllen Sie die entsprechenden Felder aus und klicken Sie dann auf Beantragen.

Wenn Ihr Antrag bewilligt wird, erhalten Sie eine Willkommens-E-Mail mit Hinweisen zur Verwendung des KNOX Mobile Enrollment-Tools. Geben Sie alle relevanten Informationen, wie die Kontaktdaten für Ihren Fachhändler und Samsung-Vertreter sowie alle anderen Informationen an, die bei Ihrer Genehmigung hilfreich sein können.

Wenn Sie kein KNOX-Webportal-Konto haben

  1. Klicken Sie auf der KNOX Mobile Enrollment-Seite auf Erste Schritte.

  2. Füllen Sie die erforderlichen Felder aus.

  3. Sie erhalten eine E-Mail zur Bestätigung Ihrer Registrierung im KNOX-Portal. Klicken Sie auf Registrierung abschließen, um fortzufahren.

  4. Geben Sie Ihr Kennwort für das KNOX-Webportal ein und bestätigen Sie es.

  5. Klicken Sie in Ihrem Samsung KNOX-Dashboard unter “KNOX-Massenregistrierungsprogramm” auf KNOX Mobile Enrollment starten.

  6. Geben Sie alle relevanten Informationen, wie die Kontaktdaten für Ihren Fachhändler und Samsung Vertreter sowie alle anderen Informationen an, die bei Ihrer Genehmigung hilfreich sein können.

Einrichten von KNOX Mobile Enrollment

Wenn Sie Zugriff auf KNOX Mobile Enrollment erhalten haben, gehen Sie zum KNOX-Portal und klicken Sie auf Mobile Enrollment starten.

Abbildung des Startbildschirms für die mobile Registrierung

Wenn Samsung das Konto nicht für die Massenregistrierung autorisieren kann, wird dieser Bildschirm angezeigt:

Abbildung der Schaltfläche "Zurück"

Die Registrierung erfolgt dann mit den folgenden allgemeinen Schritten, die in den folgenden Abschnitten detailliert beschrieben werden.

  1. Erstellen Sie ein MDM-Profil mit den Informationen und Einstellungen Ihrer MDM-Konsole.

    Das MDM-Profil zeigt den Geräten an, wie eine Verbindung mit dem MDM hergestellt wird.

  2. Fügen Sie Ihrem MDM-Profil Geräte hinzu.

    Laden Sie dazu eine CSV-Datei mit Geräteinformationen hoch oder scannen Sie die Geräte mit der Mobile Enrollment-App von Google Play.

  3. Samsung benachrichtigt Sie, wenn der Gerätebesitz verifiziert ist.

  4. Stellen Sie Benutzern die MDM-Anmeldeinformationen bereit. Weisen Sie die Benutzer an, sich über Wi-Fi mit dem Internet zu verbinden und die Registrierungsaufforderung für ihre Geräte zu akzeptieren.

Erstellen eines MDM-Profils

Sie müssen ein MDM-Profil erstellen, das den zu verwendenden XenMobile Server definiert. Erstellen Sie ein Profil pro XenMobile Server.

  1. Melden Sie sich an der Website “KNOX Mobile Enrollment” an.

  2. Klicken Sie auf die Registerkarte MDM Profiles, klicken Sie auf Add und dann auf Server URI not required for my MDM.

    Abbildung der Registerkarte "MDM-Profile"

    Abbildung der Option zur MDM-Serververbindung

    Hinweis:

    Geben Sie keine MDM-Server-URI an. XenMobile unterstützt das Samsung MDM-Protokoll nicht.

  3. Geben Sie auf dem Bildschirm Create an MDM Profile Folgendes an:

    • Einen Namen für das Profil.
    • Für die MDM Agent APK die Download-URL der Secure Hub-APK-Datei. Beispiel:

      http://example.com/zdm/worxhome.apk

      https://pmdm.mycorp-inc.net/zdm/worxhome.apk

      Die APK-Datei kann auf einem beliebigen Server sein, solange die Geräte während der Registrierung darauf zugreifen können. Während der Registrierung laden Geräte Secure Hub von dieser URL herunter, installieren es und öffnen es, wie nachfolgend beschrieben, mit den benutzerdefinierten JSON-Daten.

      Hinweis:

      Die Groß-/Kleinschreibung des APK-Dateinamens muss mit der Schreibweise in der URL übereinstimmen. Beispiel: Wenn der Dateiname nur aus Kleinbuchstaben besteht, muss er auch in der URL in Kleinbuchstaben eingegeben werden.

    • Geben Sie für benutzerdefinierte JSON-Daten Serveradresse, Benutzername und Kennwort für XenMobile im folgenden Format an: {“serverURL”: “URL“, “xm_username”:"Username", “xm_password”:"Password"}

      Beispiele:

      {"serverURL":"https://example.com/zdm", “xm_username”:"userN", “xm_password”:"password1234"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm", “xm_username”:"james.cork", “xm_password”:"aDin20_1fa"}

      Sie können auch benutzerdefiniertes JSON für Android Zero-Touch eingeben.

           {
               “android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE”:
               {
                   “serverURL”:“URL“,“xm_username”:"username",“xm_password”:password"
               }
           }
      

      Hinweis:

      Die Secure Hub-APK-Datei muss auf den im Bereich “Apps” angegebenen Server hochgeladen werden (Beispiel: https://pmdm.mycorp-inc.net:4443). Der Vorgang gleicht dem Hochladen von Unternehmensapps.

      Abbildung der MDM-Profilseite

Wenn die Massenregistrierung für ein Gerät gestartet wird, verwendet das Gerät die Profildaten. Zuerst wird Secure Hub über die angegebene URL heruntergeladen, installiert und mit den benutzerdefinierten JSON-Daten als Parameter gestartet. Secure Hub hat bereits die XenMobile Server-Adresse und muss sie nicht anfordern. Die Registrierung erfolgt automatisch, da die JSON-Datei auch die Anmeldeinformationen bereitstellt.

Hinzufügen von Geräten mit einer CSV-Datei

Laden Sie zum Hinzufügen von Geräten Geräte-IDs hoch und ordnen Sie sie einem der zuvor erstellten MDM-Profile zu. Laden Sie eine CSV-Datei hoch. Die verschiedenen Methoden zum Erstellen der Datei sind auf der KNOX-Website dokumentiert. Die einfachste Methode ist, wie folgt eine IMEI pro Zeile einzugeben.

Hinweis:

Alternativ können Sie Geräte hinzufügen, indem Sie sie scannen, wie im nächsten Abschnitt beschrieben.

  1. Navigieren Sie zu Geräte > Alle Geräte und klicken Sie auf Geräte hochladen.

    Abbildung der Option "Geräte hochladen"

  2. Klicken Sie unter CSV-Dateiformat auf Dateivorlage herunterladen.

  3. Machen Sie in der Vorlage Angaben in den entsprechenden Spalten:

    • Geräteinfo: IMEI, MEID oder Seriennummer
    • Benutzername (optional): Wenn der Benutzer über einen Benutzernamen für das MDM Ihres Unternehmens verfügt.
    • Passwort (optional): Wenn der Benutzer über ein Kennwort für das MDM-Setup Ihres Unternehmens verfügt.
    • Zusätzliche Informationen (optional): Weitere Informationen, die Sie zum Gerät angeben möchten.
  4. Markieren Sie alle Zellen in der Tabelle.

  5. Klicken Sie mit der rechten Maustaste auf die markierten Zellen, und wählen Sie Zellen formatieren aus.

  6. Klicken Sie in der Registerkarte Zahlen unter Kategorie auf Text und klicken Sie dann auf OK.

  7. Speichern Sie die Tabelle als CSV-Datei.

Registrieren von Geräten mit einer CSV-Datei

  1. Klicken Sie auf die Registerkarte Geräte.

  2. Klicken Sie auf Geräte hochladen.

    Abbildung des Bildschirms "Geräte hochladen"

  3. Klicken Sie im Dialogfeld Geräte hinzufügen auf Durchsuchen, wählen Sie Ihre CSV-Datei aus und klicken Sie auf Hochladen.

  4. Geben Sie Ihre Kaufdaten ein. Das KNOX Mobile Enrollment-Tool prüft Ihre Kaufdaten, um zu gewährleisten, dass das jeweilige Gerät beim richtigen Unternehmen registriert ist.

  5. Wählen Sie unter Profil zuweisen das von Ihnen hinzugefügte MDM-Profil aus.

  6. Klicken Sie auf Senden.

In der Liste Alle Geräte werden Anmeldestatus und Profil aller Geräte angezeigt, die Sie registriert haben.

Die Geräte müssen mit einem WLAN verbunden sein und die Endnutzer müssen dem Download und der Installation von Secure Hub zustimmen, damit die Geräte beim Unternehmen registriert werden können.

Hinzufügen von Geräten durch Scannen

  1. Laden Sie die KNOX Mobile Enrollment-App von Google Play herunter und installieren Sie sie.

  2. Geben Sie Ihre Anmeldeinformationen für das Samsung-Portal ein und tippen Sie auf SIGN IN.

  3. Tippen Sie auf Scan Devices.

  4. Tippen Sie auf Scan new devices.

  5. Richten Sie den Strichcode zum Scannen an der roten Linie aus.

  6. Wenn der Scan erfolgreich ist, wird die Geräte-IMEI angezeigt. Tippen Sie auf Save.

  7. Die gescannten Geräte werden in der Warteschlange angezeigt. Tippen Sie auf Upload.

Registrieren von gescannten Geräten

  1. Melden Sie sich bei Ihrem KNOX-Webportal-Konto an und klicken Sie auf Mobile Enrollment starten.

  2. Tippen Sie auf Gescannt, um alle hinzugefügten Geräte anzuzeigen.

  3. Wählen Sie die Geräte aus, die Sie registrieren möchten, und tippen Sie dann auf Auswahl senden. Um alle gescannten Geräte zu senden, tippen Sie auf Alle senden.

  4. Geben Sie im Popupfenster Gescannte Geräte senden Ihre Kaufdaten ein, um den Besitz des Geräts zu bestätigen.

  5. Wählen Sie im Dropdownmenü MDM-Profil zuweisen das Profil aus, mit dem Sie die Geräte registrieren möchten, und klicken Sie auf Senden.

Sie erhalten eine Bestätigungs-E-Mail, wenn die Geräteinformationen verifiziert worden sind.

Aus Sicherheitsgründen werden Geräte nicht sofort dem Massenregistrierungskonto zugewiesen. Samsung stellt erst sicher, dass die Geräte der Entität gehören, die das Massenregistrierungskonto einrichtet.

Daher werden Sie auf dem nächsten Bildschirm nach der Identität des Fachhändlers und den entsprechenden Verkaufsbelegen gefragt.

Abbildung der Aufforderung zur Fachhändleridentifizierung

Wichtig:

Aus rechtlichen Gründen unterhält Samsung zwei verschiedene Servergruppen: Americas und EU. US-amerikanische Benutzergeräte müssen mit einem KNOX-Konto für die US-Region registriert werden. EU-Geräte und Geräte anderer Regionen mit Ausnahme von China müssen mit einem KNOX-Konto für die EU-Region registriert werden.

Ein Gerät einer falschen Region wird vom Konto akzeptiert, die Massenregistrierung des Geräts schlägt jedoch mit einer kryptischen Fehlermeldung fehl. Laden Sie die App “Phone Info Samsung” aus Google Play herunter, um zu prüfen, ob der Ländercode oder das Ursprungsland des Geräts ein anderes Land als die USA ist.

Registrierungserfahrung der Benutzer

Wenn Benutzer nach der zuvor beschriebenen Konfiguration das erste Mal ein Gerät starten und über Wi-Fi eine Verbindung mit dem Internet herstellen, werden die folgenden Bildschirme angezeigt. Der Registrierungsvorgang wird automatisch gestartet und die Benutzer müssen nur Secure Hub herunterladen, installieren und dann gültige Anmeldeinformationen in Secure Hub eingeben, um die Registrierung abzuschließen.

Hinweis:

Bei der Registrierung wird keine Mobilfunkverbindung verwendet, damit den Benutzern keine Kosten anfallen.

Abbildung der Downloadbildschirms

Abbildung des Registrierungsbildschirms

Registrieren von Geräten mit einer KNOX-API vor Version 2.4

Auf Geräten mit einer KNOX-API-Version vor 2.4 funktioniert die Massenregistrierung nicht ohne weiteres. Benutzer müssen sie initiieren, indem sie den neuen Mobile Enrollment-Client von einer Samsung-Site herunterladen und die Registrierung starten.

Der heruntergeladene Enrollment-Client verwendet das MDM-Profil und die APKs, die im KNOX-Massenregistrierungsportal für die KNOX 2.4/2.4.1-Geräte konfiguriert wurden.

In der Regel sind die folgenden Schritte auszuführen:

  1. Schalten Sie das Gerät ein und stellen Sie eine Verbindung mit Wi-Fi her. Wenn Mobile Enrollment nicht startet oder Wi-Fi nicht verfügbar ist, führen Sie folgende Schritte aus:

    • Navigieren Sie zu https://me.samsungknox.com.

    • Tippen Sie auf die Schaltfläche Enroll, um Geräte über eine mobile Verbindung zu registrieren.

  2. Wenn Enroll with KNOX angezeigt wird, tippen Sie auf Continue.

  3. Lesen Sie die Lizenzvereinbarung (falls verfügbar). Tippen Sie auf Next.

  4. Geben Sie bei Aufforderung unter User ID und Password die vom IT-Administrator bereitgestellten Informationen ein.

Nun werden die Anmeldeinformationen des Benutzers überprüft und das Gerät wird von der IT-Umgebung Ihres Unternehmens registriert.

Aktivieren und Deaktivieren der biometrischen Authentifizierung für Samsung-Geräte

Die biometrische Authentifizierung (Authentifizierung per Fingerabdruck und Iriserkennung) für Samsung-Geräte kann in XenMobile ohne Aktion der Benutzer aktiviert und deaktiviert werden. Wenn Sie die biometrische Authentifizierung in XenMobile deaktivieren, können Benutzer und Drittanbieter-Apps das Feature nicht aktivieren.

  1. Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Geräterichtlinien. Die Seite Geräterichtlinien wird angezeigt.

  2. Klicken Sie auf Hinzufügen. Die Seite Neue Richtlinie hinzufügen wird angezeigt.

  3. Klicken Sie auf Passcode. Die Seite Passcode wird angezeigt.

  4. Geben Sie im Bereich Richtlinieninformationen die folgenden Informationen ein:

    • Richtlinienname: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie optional eine Beschreibung der Richtlinie ein.
  5. Klicken Sie auf Weiter. Die Seite Plattformen wird angezeigt.

  6. Wählen Sie unter Plattformen die Option Android oder Samsung KNOX.

  7. Wählen Sie unter Biometrische Authentifizierung konfigurieren die Einstellung Ein (ON).

  8. Bei Auswahl von Android unter Samsung SAFE aktivieren Sie die Option Fingerabdruck zulassen oder Iriserkennung zulassen oder beides.

    Abbildung der Option für die biometrische Authentifizierung