Bereitstellungshandbuch: Migration vom Android-Geräteadministrator zu Android Enterprise mit Citrix Endpoint Management

Einführung

Android Enterprise ist eine Sammlung von Tools und Diensten, die von Google als Unternehmensverwaltungslösung für Android-Geräte bereitgestellt werden. Mit Android Enterprise verwenden Sie Citrix Endpoint Management (CEM), um unternehmenseigene Unternehmen zu verwalten und Ihre eigenen (BYOD) Android-Geräte mitzubringen. Sie können das gesamte Gerät oder ein separates Profil auf dem Gerät verwalten. Das separate Profil isoliert geschäftliche Konten, Apps und Daten von persönlichen Konten, Apps und Daten. Sie können damit auch dedizierte Einzweckgeräte verwalten, z. B. Geräte für die Bestandsverwaltung.

Einen Überblick über die Android Enterprise-Funktionen von Google finden Sie unter Android Enterprise Management

Vor Android Enterprise verwendeten Unternehmen Device Administrator (DA), um Android-Geräte zu verwalten und zu sichern. Da sich die Anforderungen von Unternehmen ändern, erreichen Geräte jetzt mehr Unternehmens- und vertrauliche Daten als je zuvor. Gleichzeitig benötigen Endnutzer den Schutz personenbezogener Daten und sind besorgt über ihre Privatsphäre. Damit kündigte Google die Missbilligung des DA-Modus (Di) zugunsten von Android Enterprise an, einer modernen Verwaltungsplattform, die sich auf Sicherheit und Datenschutz der Nutzer konzentriert. Google empfiehlt Kunden, die den Geräteadministratormodus verwenden, aufgrund der Abschreibung des Geräteadministrators (DA) auf Android Enterprise zu migrieren.

Dieser Leitfaden soll Schritt für Schritt Informationen zum Wechsel von einer Android-Bereitstellung eines Legacy-Geräteadministrators zu Android Enterprise mithilfe eines verwalteten Google Play-Kontos bereitstellen.

Weitere Informationen finden Sie im Android Enterprise Migration Bluebook.

Voraussetzungen für die Verwendung von Android Enterprise

Wenn Sie CEM in verwaltetes Google Play integrieren, um Android Enterprise zu nutzen, wird ein Unternehmen erstellt. Google definiert ein Unternehmen als Bindung zwischen der Android Enterprise-Organisation und Ihrer Enterprise Mobile Management (EMM) -Lösung. Die Registrierung von Citrix als Ihr EMM Provider ist im Rahmen dieses Prozesses erforderlich. Alle Benutzer und Geräte, die das Unternehmen über Ihre EMM-Lösung verwaltet, gehören zum geschaffenen Unternehmen.

Wenn Sie kein G-Suite-Konto verwenden, ist ein gemeinsames Google-Konto für persönliche/Unternehmen erforderlich, um die Unternehmensregistrierung abzuschließen. Dieses Konto ist dann für dieses Unternehmen verantwortlich und wird zum verwalteten Google Play-Hauptkonto. Weitere Informationen finden Sie unter dem folgenden Link.

Die G-Suite und die persönlichen/geschäftlichen Shared Accounts sind kostenlos. Der Hauptunterschied zwischen einem verwalteten Google Play-Konto und einem verwalteten Google-Konto besteht darin, dass das verwaltete Google-Konto auf einem G-Suite-Abonnement basiert und den Besitz der Domain nachweisen muss. Sehen Sie den folgenden Link.

Wenn Sie kein Google-Konto haben, um dieses Unternehmen zu erstellen, befolgen Sie die folgenden Anweisungen und Voraussetzungen, um Ihr Konto zu erstellen.

Für Administratoren von Citrix Endpoint Management (CEM) kombiniert verwaltetes Google Play die Benutzererfahrungs- und App Store-Funktionen von Google Play, die für Unternehmen entwickelt wurden.

Managed Google Play bietet einen Store für Endbenutzer, die vom Administrator verwaltet und kontrolliert werden.

Aktivierung von Android Enterprise

Um Android Enterprise für Ihre Organisation einzurichten, registrieren Sie Citrix über verwaltetes Google Play als EMM-Anbieter. Das Abschließen dieses Setups führt zur Gründung Ihres Unternehmens, das verwaltetes Google Play mit Citrix Endpoint Management verbindet.

Die Google Play-Infrastruktur wird verwendet, um Dienste anzubieten, die einen verwalteten, privaten App-Bereitstellungsspeicher für Unternehmen umfassen. Google Play ist auch der Ort, an dem Geräteprofile leben. Die gute Nachricht ist, dass das Setup ziemlich einfach ist.

Um Android Enterprise zu aktivieren, navigieren Sie zu Ihren CEM-Einstellungen, wählen Sie Android Enterprise aus und folgen Sie den Anweisungen.

da-to-ae-migration-Image-01

Hinweis: Abhängig von Ihrer Endpoint Management-Version wird ein anderes Menü angezeigt, das zum Erstellen des Android Enterprise-Kontos verwendet wird. In allen Versionen wird eine Enterprise ID für Android Enterprise in Ihrer Konsole hinzugefügt.

Da-zu-AE-Migrations-Image-01

Wählen Sie Android Enterprise aktivieren aus.

Hinweis: Wenn Sie bereits Registrierungsprofile mit dem Android Legacy-Modus verwenden, wird folgende Meldung angezeigt:

Da-zu-AE-Migrations-Image-01

Registrierungsprofile für Konfiguration für Android Enterprise

In Citrix Endpoint Management und in XenMobile Version 10.12+ haben wir mehrere Enrollment-Profile. Registrierungsprofile steuern, wie Android-Geräte registriert werden, wenn Android Enterprise für Ihre Endpoint Management-Bereitstellung aktiviert ist. Registrierungsprofile legen fest, ob Android-Geräte als Android Enterprise-Geräte oder als Legacygeräte (Geräteadministrator) registriert werden.

Diese Profile ermöglichen es Administratoren, mit der einfachen Migration auf Android Enterprise zu beginnen. Vollständige Unterstützung für alle Android Enterprise-Management-Profile ist verfügbar.

  • Vollständig verwaltete Geräte
  • Dedizierte Geräte (COSU-Geräte)
  • Vollständig verwaltete Geräte mit einem Arbeitsprofil (Cope-Geräte)

Hinweis: Bei Cloud-Bereitstellungen stehen mehr Optionen zur Verfügung, um zwischen Arbeitsprofil und anderen Modi zu unterscheiden. RBAC ist auch für die Einrichtung von dedizierten Geräten nicht erforderlich

On-Prem-Bereitstellungen haben diese Option nicht und müssen RBAC für die Einrichtung dedizierter Geräte verwenden. On-Prem-Bereitstellungen bieten auch keine Option in Registrierungsprofilen für dedizierte Geräte. Weitere Informationen finden Sie im Folgenden.

Weitere Informationen zu Anmeldeprofilen finden Sie unter dem Link.

Hinweis: Bei Android 11 wird sich das alles ändern. Weitere Informationen finden Sie im Blog Änderungen für das vollständig verwaltete Arbeitsprofil von Android Enterprise .

Da-zu-AE-Migrations-Image-01

Wenn Sie Registrierungsprofile erstellen, müssen Sie ihnen Bereitstellungsgruppen zuweisen. Wenn ein Benutzer zu mehreren Bereitstellungsgruppen mit unterschiedlichen Registrierungsprofilen gehört, bestimmt der Name der Bereitstellungsgruppe das verwendete Registrierungsprofil.

Wählen Sie in einem Konflikt mit der Bereitstellungsgruppe die Bereitstellungsgruppe aus, die zuletzt in einer alphabetischen Liste von Bereitstellungsgruppen angezeigt wird. Weitere Informationen finden Sie unter Anmeldeprofile.

WICHTIG: Weisen Sie das neue Registrierungsprofil derzeit keiner Bereitstellungsgruppe zu, wenn Sie einen Benutzer haben, der mehreren Bereitstellungsgruppen angehört.

Erstellen der Bereitstellungsgruppe zur Verwendung in Android Enterprise

Der beste Weg, um zu beginnen, besteht darin, eine vorhandene Bereitstellungsgruppe zu kopieren, die einem Android Enterprise Enrollment Profil zugeordnet wird:

  • Schritt 1: Benennen Sie die neue Bereitstellungsgruppe
    • Stellen Sie sicher, dass Sie den Namen in alphabetischer Reihenfolge halten. Beispiel zTestUserGroup
  • Schritt 2: Weisen Sie die neue Bereitstellungsgruppe dem neuen Registrierungsprofil zu
    • Weisen Sie der Bereitstellungsgruppe KEINE AD-Gruppe zu, bis Ihre Einstellungen abgeschlossen sind

Migrationsapps

Mobile Produktivitätsapps für Android Enterprise-Benutzer

Obwohl CEM Unterstützung für viele verschiedene Anwendungstypen bietet, zeigen wir für dieses Migrationsszenario, wie Secure Mail migriert wird.

  • Schritt 1: Erstellen einer App-App-Kategorie für bestehende iOS- und Android-Apps

    Da-zu-AE-Migrations-Image-01

  • Schritt 2: Verschieben Sie Citrix Secure Mail, das für Android (Legacy-DA) konfiguriert ist, in diese neue Kategorie, um eine klare Trennung der Android- (Legacy-DA-Anwendungen) zu erreichen. HINWEIS: Diese Aktion muss für alle Android-Anwendungen (Legacy-DA) in Ihrer Umgebung durchgeführt werden

  • Schritt 3: Bearbeiten Sie Secure Mail Android (Legacy-DA) mit der folgenden Bereitstellungsregel, um zu verhindern, dass die App zweimal im Secure Hub angezeigt wird (One: Android (Legacy-DA) Two: Android Enterprise)

da-to-ae-migration-Image-01

Begrenzung durch bekannten Geräteigenamen Android Enterprise Enabled-Geräte-ID ist nicht gleich true

Hinweis: Dieser Wert ist nur verfügbar, wenn Sie bereits ein Android Enterprise-Gerät registriert haben

  • Schritt 4: Erstellen Sie eine zweite Kategorie für Secure Mail for Android Enterprise HINWEIS: Diese Aktion muss für alle Android Enterprise-Anwendungen in Ihrer Umgebung durchgeführt werden.

  • Schritt 5: Konfigurieren von Secure für Android Enterprise
  • Beispiel: SecureMail_AE
    • Weisen Sie die App der Kategorie Android Enterprise zu.
    • Konfigurieren Sie die App nur für die Verwendung in Android Enterprise.
    • Genehmigen Sie die App in Google Play für Work Store innerhalb der CEM-Konsole.
    • Weisen Sie die App der Bereitstellungsgruppe zur Verwendung im Android Enterprise-Registrierungsprofil zu.
  • Schritt 6: Bearbeiten Sie die Richtlinien und Aktionen der App so, dass sie mit Ihrer vorherigen Version von Secure Mail Android (Legacy DA) im Abschnitt Android Enterprise übereinstimmen.

Veröffentlichen von Unternehmens-Apps (MDX und Nicht-MDX)

Wenn Sie keine privat entwickelten Anwendungen oder Unternehmensanwendungen verwenden, können Sie diesen Abschnitt überspringen. Klicken Sie hier, um zum nächsten Abschnitt zu gelangen.

ALLE Unternehmens-Apps müssen für die Verwendung mit Android Enterprise auf Google Play hochgeladen werden. Um den App-Management-Workflow von IT-Administratoren zu vereinfachen, haben wir den Managed Google Play-Iframe in Citrix Endpoint Management (CEM) integriert. Dies ermöglicht es IT-Administratoren, öffentliche oder private Apps aus der CEM-Konsole heraus zu genehmigen und zu veröffentlichen. Administratoren müssen nicht mehr außerhalb der Konsole zu den Managed Play- oder Developer-Portalen gehen, um Apps zu genehmigen oder zu veröffentlichen. Mit diesem iFrame können Sie es auf Google Play hochladen, ohne ein Google-Entwicklerkonto zu erstellen (25 USD sparen). Sobald Unternehmens-Apps von IT-Administratoren hochgeladen wurden, sind sie nur in Ihrer Unternehmensbereitstellung verfügbar.

Private Enterprise App als Android Enterprise App hinzufügen (nicht MDX)

Klicken Sie in der Endpoint Management Consoleauf Configure > Apps, wählen Sie Enterprise Apps aus und laden Sie die apk hoch. Die Schaltfläche “Hochladen” öffnet den verwalteten Google Play Store.

Da-zu-AE-Migrations-Image-01

Fügen Sie private Android Enterprise-Apps als mit MDX umwickelte Unternehmen

Verwenden Sie das Befehlszeilen-Toolkit, um eine private AE-App mit dem MDX Toolkit zu umschließen. Ihr Output ist:

a. Eingewickelt.apk (Größe größer als Original apk)

b. .mdx-Datei

  • Laden Sie die APK auf Google Play hoch (ähnlich den oben genannten Nicht-MDX-Apps)
  • Öffnen Sie die MDX-App und laden Sie die MDX-Datei hoch

Weitere Details und ein Beispiel für eine Verpackung finden Sie unter

Bearbeiten vorhandener Richtlinien für den richtigen Gerätetyp Android (Legacy DA) und Android Enterprise (AE

Um Geräte zu unterscheiden, die für Android Enterprise und Android (Legacy-DA) aktiviert sind, kann eine Bereitstellungsregel verwendet werden, um sicherzustellen, dass die richtigen Richtlinien mit der App auf das richtige Gerät bereitgestellt werden. Für Android (Legacy-DA): Begrenzen nach dem bekannten Geräteigenamen Android Enterprise Enabled Device? Ist nicht gleich wahr

Diese Bereitstellungsregel überprüft, ob das Android-Gerät NICHT für Android Enterprise aktiviert ist, und übergibt die Richtlinien zusammen mit der Anwendung.

Da-zu-AE-Migrations-Image-01

Diese Bereitstellungsregel überprüft, ob das Android-Gerät für Android Enterprise aktiviert ist und liefert die Richtlinien zusammen mit der Anwendung.

Da-zu-AE-Migrations-Image-01

Testen und überprüfen

Weisen Sie zum Testen eine Active Directory-Gruppe der kürzlich erstellten Bereitstellungsgruppe zu, die für Android Enterprise verwendet wird. Verwenden Sie dieselbe AD-Gruppe wie zuvor für die vorhandene Bereitstellungsgruppe.

Registrieren Sie das Gerät des Benutzers erneut, um mit der Registrierung für Android Enterprise zu beginnen. Beachten Sie das neue Erscheinungsbild von Android Enterprise

Aufheben der Registrierung und Neuregistrierung des Geräts

Benutzer können über Secure Hub die Registrierung aufheben. Folgen Sie den ausführlichen Anweisungen

In diesem Handbuch verwenden wir den Besitzermodus des Arbeitsprofils, damit das Gerät nicht neu oder auf die Werkseinstellungen zurückgesetzt werden muss.

Da-zu-AE-Migrations-Image-01

Ihr Gerät ist jetzt Android Enterprise-fähig.

Navigieren Sie von Ihrer CEM-Konsoleaus zu Manage gefolgt von Devices, um einen Überblick darüber zu erhalten, welche Geräte für Android Enterprise aktiviert sind.

Da-zu-AE-Migrations-Image-01

Nach erfolgreicher Wiedereinschreibung sehen Sie zwei Geräte, ein Android (Legacy-DA) und das andere Android Enterprise. Das zuvor aufgelistete Android-Gerät (Legacy DA) kann gelöscht werden, um die aktuellste Geräteliste zu gewährleisten.