Product Documentation

Samsung KNOX Massenregistrierung

Mar 27, 2018

Verwenden Sie KNOX Mobile Enrollment, um mehrere Samsung KNOX-Geräte in XenMobile (oder einem beliebigen Manager für mobile Geräte) zu registrieren, ohne Geräte einzeln manuell zu konfigurieren. Die Registrierung muss bei der Erstverwendung oder nach dem Zurücksetzen auf die Werkseinstellungen ausgeführt werden.

Hinweis

Das Setup für KNOX Mobile Enrollment hat nichts mit dem XenMobile KNOX-Container zu tun.

Voraussetzungen für KNOX Mobile Enrollment

  • Samsung-Geräte mit KNOX 2.4 oder höher
  • Einige Geräte, die keinen Device Root Key (DRK) haben, unterstützen Mobile Enrollment mit der Binärdatei von KNOX 2.4.1. Eine Liste der unterstützten Geräte finden Sie unter KNOX Mobile Enrollment. Die zu registrierenden Geräte müssen von Samsung genehmigt sein.
  • Beim Hinzufügen von Geräten zum KNOX-Portal geben Sie Geräte-IMEIs oder Seriennummern ein. Voraussetzungen zum Registrieren von mehreren Geräten:
    • Die Geräte müssen von zugelassenen Samsung-Fachhändlern erworben worden sein, oder
    • die Geräte müssen von Fachhändlern erworben worden sein, die bereit sind, die IMEIs direkt an Samsung weiterzugeben. Eine Liste der zulässigen Fachhändler für Ihr Land erhalten Sie vom KNOX Kundensupport.

Weitere Informationen zu den Anforderungen zur Geräteverifizierung erhalten Sie vom KNOX-Support.

  • KNOX-Partnerkonto
  • XenMobile Server muss konfiguriert sein (einschließlich Lizenzen und Zertifikate) und ausgeführt werden.
  • Secure Hub-APK-Datei: Sie laden die Datei bei der Einrichtung von KNOX Mobile Enrollment hoch.

Herunterladen der Secure Hub APK-Datei

1. Melden Sie sich an der Citrix Downloadsite an und navigieren Sie zu XenMobile Downloads.

2. Navigieren Sie zu "XenMobile Apps and MDX Toolkit" und wählen Sie die gewünschte Edition.

3. Laden Sie die Datei für Citrix Secure Hub für Android herunter.

Konfigurieren von Firewallausnahmen

Konfigurieren Sie für den Zugriff auf Knox Mobile Enrollment die folgenden Ausnahmen. Einige dieser Firewallausnahmen sind für alle Geräte erforderlich und einige sind spezifisch für die geografische Region des Geräts.

Device's Region URL Port Destination

alle

https://gslb.secb2b.com

443

Globaler Load Balancer

für Knox Mobile

Registrierungsinitiierung

alle

http://gslb.secb2b.com

80

Globaler Load Balancer

für Knox Mobile

Registrierungsinitiierung

auf einigen limitierten Legacy-

Geräten

alle

umc-cdn.secb2b.com

443

Samsung Agent-

Update-Server

alle

bulkenrollment.s3.amazonaws.com

80

Knox Mobile

Registrierungskunden

Lizenzvereinbarungen

alle

eula.secb2b.com

443

Knox Mobile

Registrierungskunden

Lizenzvereinbarungen

alle

us-be-api-mssl.samsungknox.com

443

Samsung-Server für

IMEI-Überprüfung

Vereinigte Staaten

https://us-segd-api.secb2b.com

443

Samsung Enterprise

Gateway für die US-Region

Europa

https://eu-segd-api.secb2b.com

443

Samsung Enterprise

Gateway für europäische

Region

China

https://china-segd-api.secb2b.com

443

Samsung Enterprise

Gateway für die chinesische

Region

Zugreifen auf KNOX Mobile Enrollment

Folgen Sie diesen Anleitungen, um Zugriff auf KNOX Mobile Enrollment zu erhalten.

Wenn Sie ein KNOX-Webportal-Konto haben:

1. Melden Sie sich am KNOX-Webportal an und navigieren Sie zu Ihrem Samsung KNOX-Dashboard.

2. Klicken Sie unter "KNOX Mobile Enrollment" auf Erste Schritte.

3. Füllen Sie die entsprechenden Felder aus und klicken Sie dann auf Beantragen.

Wenn Ihr Antrag bewilligt wird, erhalten Sie eine Willkommens-E-Mail mit Hinweisen zur Verwendung des KNOX Mobile Enrollment-Tools. Geben Sie alle relevanten Informationen, wie die Kontaktdaten für Ihren Fachhändler und Samsung-Vertreter sowie alle anderen Informationen an, die bei Ihrer Genehmigung hilfreich sein können.

Wenn Sie kein KNOX-Webportal-Konto haben:

1. Klicken Sie auf der KNOX Mobile Enrollment-Seite auf Erste Schritte.

2. Füllen Sie die erforderlichen Felder aus.

3. Sie erhalten eine E-Mail zur Bestätigung Ihrer Registrierung im KNOX-Portal. Klicken Sie auf Registrierung abschließen, um fortzufahren.

4. Geben Sie Ihr Kennwort für das KNOX-Webportal ein und bestätigen Sie es.

5. Klicken Sie in Ihrem Samsung KNOX-Dashboard unter "KNOX-Massenregistrierungsprogramm" auf KNOX Mobile Enrollment starten.

6. Geben Sie alle relevanten Informationen, wie die Kontaktdaten für Ihren Fachhändler und Samsung Vertreter sowie alle anderen Informationen an, die bei Ihrer Genehmigung hilfreich sein können.

Einrichten von KNOX Mobile Enrollment

Wenn Sie Zugriff auf KNOX Mobile Enrollment erhalten haben, gehen Sie zum KNOX-Portal und klicken Sie auf Mobile Enrollment starten.

localized image

Wenn Samsung das Konto nicht für die Massenregistrierung autorisieren kann, wird dieser Bildschirm angezeigt:

localized image

Die Registrierung erfolgt dann mit den folgenden allgemeinen Schritten, die in den folgenden Abschnitten detailliert beschrieben werden.

1. Erstellen Sie ein MDM-Profil mit den Informationen und Einstellungen Ihrer MDM-Konsole.

Das MDM-Profil zeigt den Geräten an, wie eine Verbindung mit dem MDM hergestellt wird.

2. Fügen Sie Ihrem MDM-Profil Geräte hinzu.

Laden Sie dazu eine CSV-Datei mit Geräteinformationen hoch oder scannen Sie die Geräte mit der Mobile Enrollment-App von Google Play.

3. Samsung benachrichtigt Sie, wenn der Gerätebesitz verifiziert ist.

4. Stellen Sie Benutzern die MDM-Anmeldeinformationen bereit. Weisen Sie die Benutzer an, sich über Wi-Fi mit dem Internet zu verbinden und die Registrierungsaufforderung für ihre Geräte zu akzeptieren.

Erstellen eines MDM-Profils

Sie müssen ein MDM-Profil erstellen, das den zu verwendenden XenMobile Server definiert. Erstellen Sie ein Profil pro XenMobile Server.

1. Melden Sie sich an der Website "KNOX Mobile Enrollment" an.

2. Klicken Sie auf die Registerkarte MDM-Profile, klicken Sie auf Hinzufügen und dann auf Server-URI ist für mein MDM nicht erforderlich.

localized image
localized image

Hinweis: Geben Sie keine MDM-Server-URI an. XenMobile unterstützt das Samsung MDM-Protokoll nicht.

3. Geben Sie auf dem Bildschirm zum Erstellen eines MDM-Profils Folgendes an:

  • Einen Namen für das Profil.
  • Für die MDM-Agent-APK-Datei die Download-URL der Secure Hub-APK-Datei. Beispiel:

http://example.com/zdm/worxhome.apk
https://pmdm.mycorp-inc.net/zdm/worxhome.apk

Die APK-Datei kann auf einem beliebigen Server sein, solange die Geräte während der Registrierung darauf zugreifen können. Während der Registrierung laden Geräte Secure Hub von dieser URL herunter, installieren es und öffnen es, wie nachfolgend beschrieben, mit den benutzerdefinierten JSON-Daten.

Hinweis: Die Groß-/Kleinschreibung des APK-Dateinamens muss mit der Schreibweise in der URL übereinstimmen. Beispiel: Wenn der Dateiname nur aus Kleinbuchstaben besteht, muss er auch in der URL in Kleinbuchstaben eingegeben werden.

  • Geben Sie für benutzerdefinierte JSON-Daten die XenMobile-Serveradresse im folgenden Format an:
    {"serverURL":"URL"}

    Beispiele:

{"serverURL":"https://example.com/zdm"}
{"serverURL":"https://pmdm.mycorp-inc.net/zdm"}

Hinweis: Die Secure Hub-APK-Datei muss auf den im Bereich "Apps" angegebenen Server hochgeladen werden (Beispiel: https://pmdm.mycorp-inc.net:4443). Der Vorgang gleicht dem Hochladen von Unternehmensapps.

localized image

Wenn ein Gerät die Massenregistrierung startet, verwendet es die Profildaten: Zuerst wird Secure Hub über die angegebene URL heruntergeladen, installiert und mit den benutzerdefinierten JSON-Daten als Parameter gestartet. Dann wird in Secure Hub die Seite mit den Anmeldeinformationen geöffnet. Secure Hub hat bereits die XenMobile Server-Adresse und muss sie nicht anfordern.

Hinzufügen von Geräten mit einer CSV-Datei

Laden Sie zum Hinzufügen von Geräten Geräte-IDs hoch und ordnen Sie sie einem der zuvor erstellten MDM-Profile zu. Laden Sie eine CSV-Datei hoch. Die verschiedenen Methoden zum Erstellen der Datei sind auf der KNOX-Website dokumentiert. Die einfachste Methode ist, wie folgt eine IMEI pro Zeile einzugeben.

Hinweis

Alternativ können Sie Geräte hinzufügen, indem Sie sie scannen, wie im nächsten Abschnitt beschrieben.

1. Navigieren Sie zu Geräte > Alle Geräte und klicken Sie auf Geräte hochladen.

localized image

2. Klicken Sie unter CSV-Dateiformat auf Dateivorlage herunterladen.

3. Machen Sie in der Vorlage Angaben in den entsprechenden Spalten:

  • Geräteinfo: IMEI, MEID oder Seriennummer
  • Benutzername (optional): Wenn der Benutzer über einen Benutzernamen für das MDM Ihres Unternehmens verfügt.
  • Passwort (optional): Wenn der Benutzer über ein Kennwort für das MDM-Setup Ihres Unternehmens verfügt.
  • Zusätzliche Informationen (optional): Weitere Informationen, die Sie zum Gerät angeben möchten.

4. Markieren Sie alle Zellen in der Tabelle.

5. Klicken Sie mit der rechten Maustaste auf die markierten Zellen, und wählen Sie Zellen formatieren aus.

6. Klicken Sie in der Registerkarte Zahlen unter Kategorie auf Text und klicken Sie dann auf OK.

7. Speichern Sie die Tabelle als CSV-Datei.

Registrieren von Geräten mit einer CSV-Datei

1. Klicken Sie auf die Registerkarte Devices.

2. Klicken Sie auf Geräte hochladen.

localized image

3. Klicken Sie im Dialogfeld Geräte hinzufügen auf Durchsuchen, wählen Sie Ihre CSV-Datei aus und klicken Sie auf Hochladen.

4. Geben Sie Ihre Kaufdaten ein. Das KNOX Mobile Enrollment-Tool prüft Ihre Kaufdaten, um zu gewährleisten, dass das jeweilige Gerät beim richtigen Unternehmen registriert ist.

5. Wählen Sie unter Profil zuweisen das von Ihnen hinzugefügte MDM-Profil aus.

6. Klicken Sie auf Senden.

In der Liste Alle Geräte werden Anmeldestatus und Profil aller Geräte angezeigt, die Sie registriert haben.

Nur TIMA-fähige Samsung 2.4-Geräte werden vom Samsung KNOX Mobile Enrollment-Tool standardmäßig unterstützt. Die Geräte müssen außerdem mit einem WiFi verbunden sein und die Endnutzer müssen dem Download und der Installation von Secure Hub zustimmen, damit die Geräte beim Unternehmen registriert werden können.

Hinzufügen von Geräten durch Scannen

1. Laden Sie die KNOX Mobile Enrollment-App von Google Play herunter und installieren Sie sie.

2. Geben Sie Ihre Anmeldeinformationen für das Samsung-Portal ein und tippen Sie auf SIGN IN.

3. Tippen Sie auf Scan Devices.

4. Tippen Sie auf Scan new devices.

5. Richten Sie den Strichcode zum Scannen an der roten Linie aus.

6. Wenn der Scan erfolgreich ist, wird die Geräte-IMEI angezeigt. Tippen Sie auf Save.

7. Die gescannten Geräte werden in der Warteschlange angezeigt. Tippen Sie auf Upload.

Registrieren von gescannten Geräten

1. Melden Sie sich bei Ihrem KNOX-Webportal-Konto an und klicken Sie auf Mobile Enrollment starten.

2. Tippen Sie auf Gescannt, um alle hinzugefügten Geräte anzuzeigen.

3. Wählen Sie die Geräte aus, die Sie registrieren möchten, und tippen Sie dann auf Auswahl senden. Um alle gescannten Geräte zu senden, tippen Sie auf Alle senden.

4. Geben Sie im Popupfenster Gescannte Geräte senden Ihre Kaufdaten ein, um den Besitz des Geräts zu bestätigen.

5. Wählen Sie im Dropdownmenü MDM-Profil zuweisen das Profil aus, mit dem Sie die Geräte registrieren möchten.

6. Klicken Sie auf Submit.

Sie erhalten eine Bestätigungs-E-Mail, wenn die Geräteinformationen verifiziert worden sind.

Aus Sicherheitsgründen werden Geräte nicht sofort dem Massenregistrierungskonto zugewiesen. Samsung stellt erst sicher, dass die Geräte der Entität gehören, die das Massenregistrierungskonto einrichtet.

Daher werden Sie auf dem nächsten Bildschirm nach der Identität des Fachhändlers und den entsprechenden Verkaufsbelegen gefragt.

localized image

Important

Aus rechtlichen Gründen unterhält Samsung zwei verschiedene Servergruppen: Americas und EU. US-amerikanische Benutzergeräte müssen mit einem KNOX-Konto für die US-Region registriert werden. EU-Geräte und Geräte anderer Regionen mit Ausnahme von China müssen mit einem KNOX-Konto für die EU-Region registriert werden.

Ein Gerät einer falschen Region wird vom Konto akzeptiert, die Massenregistrierung des Geräts schlägt jedoch mit einer kryptischen Fehlermeldung fehl. Laden Sie die App "Phone Info Samsung" aus Google Play herunter, um zu prüfen, ob der Ländercode oder das Ursprungsland des Geräts ein anderes Land als die USA ist.

Registrierungserfahrung der Benutzer

Wenn Benutzer nach der zuvor beschriebenen Konfiguration das erste Mal ein Gerät starten und über Wi-Fi eine Verbindung mit dem Internet herstellen, werden die folgenden Bildschirme angezeigt. Der Registrierungsvorgang wird automatisch gestartet und die Benutzer müssen nur Secure Hub herunterladen, installieren und dann gültige Anmeldeinformationen in Secure Hub eingeben, um die Registrierung abzuschließen.

Hinweis

Bei der Registrierung wird keine Mobilfunkverbindung verwendet, damit den Benutzern keine Kosten anfallen.

localized image
localized image

Registrieren von Geräten mit einer KNOX-API vor Version 2.4

Auf Geräten mit einer KNOX-API-Version vor 2.4 funktioniert die Massenregistrierung nicht ohne weiteres. Benutzer müssen sie initiieren, indem sie den neuen Mobile Enrollment-Client von einer Samsung-Site herunterladen und die Registrierung starten.

Der heruntergeladene Enrollment-Client verwendet das MDM-Profil und die APKs, die im KNOX-Massenregistrierungsportal für die KNOX 2.4/2.4.1-Geräte konfiguriert wurden.

In der Regel sind die folgenden Schritte auszuführen:

1. Schalten Sie das Gerät ein und stellen Sie eine Verbindung mit Wi-Fi her. Wenn Mobile Enrollment nicht startet oder Wi-Fi nicht verfügbar ist, führen Sie folgende Schritte aus:

a. Navigieren Sie zu https://me.samsungknox.com.

b. Tippen Sie auf die Schaltfläche Enroll, um Geräte über eine mobile Verbindung zu registrieren.

2. Wenn Enroll with KNOX angezeigt wird, tippen Sie auf Continue.

3. Lesen Sie die Lizenzvereinbarung (falls verfügbar). Tippen Sie auf Weiter.

4. Geben Sie bei Aufforderung unter User ID und Password die vom IT-Administrator bereitgestellten Informationen ein.

Nun werden die Anmeldeinformationen des Benutzers überprüft und das Gerät wird von der IT-Umgebung Ihres Unternehmens registriert.

Aktivieren und Deaktivieren der biometrischen Authentifizierung für Samsung-Geräte

Die biometrische Authentifizierung (Authentifizierung per Fingerabdruck und Iriserkennung) für Samsung-Geräte kann in XenMobile ohne Aktion der Benutzer aktiviert und deaktiviert werden.
Wenn Sie die biometrische Authentifizierung in XenMobile deaktivieren, können Benutzer und Drittanbieter-Apps das Feature nicht aktivieren.

  1. Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Geräterichtlinien. Die Seite Geräterichtlinien wird angezeigt.
  2. Klicken Sie auf Hinzufügen. Die Seite Neue Richtlinie hinzufügen wird angezeigt.
  3. Klicken Sie auf Passcode. Die Seite Passcode wird angezeigt.
  4.  Geben Sie im Bereich Richtlinieninformationen die folgenden Informationen ein:
    • Richtlinienname: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein.
    • Beschreibung: Geben Sie optional eine Beschreibung der Richtlinie ein.
  5. Klicken Sie auf Weiter. Die Seite Plattformen wird angezeigt.
  6.  Wählen Sie unter Plattformen die Option Android oder Samsung KNOX.
  7. Wählen Sie unter Biometrische Authentifizierung konfigurieren die Einstellung Ein (ON).
  8.  Bei Auswahl von Android unter Samsung SAFE aktivieren Sie die Option Fingerabdruck zulassen oder Iriserkennung zulassen oder beides.

     

localized image