XenMobile Server: Aktuelles Release

Optionen der Benutzerregistrierung

Es gibt mehrere Verfahren, mit denen Benutzer ihre Geräte bei XenMobile registrieren können. Bevor Sie Einzelheiten überlegen, entscheiden Sie, welche Geräte Sie bei MDM+MAM, MDM oder MAM registrieren möchten. Weitere Informationen über diese Verwaltungsmodi finden Sie unter Verwaltungsmodi.

Auf der höchsten Stufe gibt es vier Registrierungsoptionen:

  • Registrierungseinladung: Senden Sie Benutzern eine Registrierungseinladung oder einen Einladungslink.
  • Selbsthilfeportal: Richten Sie ein Portal ein, über das Benutzer Secure Hub herunterladen und ihre Geräte registrieren oder sich selbst eine Registrierungseinladung senden können.
  • Manuelle Registrierung: Informieren Sie Benutzer per E-Mail, Handbuch oder auf anderem Wege, dass das System bereit für die Registrierung ist. Benutzer laden dann Secure Hub herunter und registrieren ihre Geräte manuell.
  • Unternehmen: Weitere Optionen für die Geräteregistrierung sind das Deployment Program von Apple sowie Android Enterprise von Google. Über jedes dieser Programme können Sie vorkonfigurierte Geräte erwerben, die sofort einsatzbereit sind. Weitere Informationen finden Sie in den Artikeln zum Deployment Program von Apple beim Apple-Support und in der Dokumentation zu Google Android Enterprise auf der Android Enterprise-Website.

Registrierungseinladung

Sie können per E-Mail eine Registrierungseinladung an Benutzer mit iOS-, macOS- und Android-Geräten senden. Sie können auch einen Installationslink über SMTP oder SMS an Benutzer mit iOS-, macOS-, Android- oder Windows-Geräten senden. Weitere Informationen finden Sie unter Registrieren von Geräten.

Wenn Sie Registrierungseinladungen verwenden, können Sie:

  • je nach Plattform aus bis zu sieben Anmeldungsmodi wählen.
  • die Modi in beliebiger Kombination verwenden.
  • die Modi auf der Seite Einstellungen aktivieren oder deaktivieren.
  • einen Standardwert aus den Einstellungen “Benutzername + Kennwort”, “Zweistufig” und “Benutzername + PIN” auswählen. Weitere Informationen zu jedem Registrierungsmodus finden Sie unter Konfigurieren von Registrierungsmodi.

Wenn Sie “Zertifikatbasiert” wählen, sollten Sie die traditionelle Authentifizierung “Benutzername + Kennwort” von den zulässigen Optionen ausschließen. Die Authentifizierung mit Benutzernamen + Kennwort könnte einen schwachen Onboardingvektor in Ihre Umgebung freilegen und möglicherweise die vorgeschriebene Sicherheitsqualität ungültig machen.

Einladungen erfüllen viele Zwecke. Ihre häufigste Verwendung besteht darin, Benutzer zu benachrichtigen, dass das System verfügbar ist und sie sich registrieren können. Einladungs-URLs sind eindeutig. Nachdem ein Benutzer eine Einladungs-URL verwendet hat, ist die URL nicht mehr verfügbar. Nutzen Sie diese Eigenschaft zur Einschränkung der Benutzer oder Geräte, die sich im System registrieren.

Sie können in XenMobile festlegen, dass Benutzer von iOS-Geräten bei der Registrierung ihre Anmeldeinformationen eingeben und dafür eins der folgenden Verfahren nutzen:

  • Benutzer geben ihre Anmeldeinformationen bei der Registrierung ein.

  • Benutzer geben eine Smartcard mit abgeleiteten Anmeldeinformationen in ein am Desktop angeschlossenes Lesegerät ein. Informationen zu abgeleiteten Anmeldeinformationen finden Sie unter Abgeleitete Anmeldeinformationen.

Beim Konfigurieren eines Registrierungsprofils können Sie die Anzahl der Geräte steuern, die bestimmte Benutzer registrieren können, basierend auf Active Directory-Gruppen. Beispielsweise könnten Sie für die Finanzabteilung nur ein Gerät pro Benutzer zulassen.

Berücksichtigen Sie zusätzlich entstehende Kosten und mögliche Risiken bestimmter Registrierungsoptionen. Der Versand von Einladungen per SMS erfordert beispielsweise zusätzliche Infrastruktur. Weitere Informationen zu dieser Option finden Sie unter Benachrichtigungen.

Wenn Sie Registrierungseinladungen per E-Mail senden möchten, müssen Sie außerdem sicherstellen, dass die Benutzer außerhalb von Secure Hub auf ihre E-Mails zugreifen können. Verwenden Sie gegebenenfalls Registrierungsmodi mit Einmalkennwort (OTP) als Alternative zu Active Directory-Kennwörtern für die MDM-Registrierung.

Selbsthilfeportal

Die Benutzer können eine Registrierungseinladung über das Selbsthilfeportal anfordern. Der Standardmodus ist “Benutzername + Kennwort”, Sie können diese Anforderung jedoch in “Zweistufige Authentifizierung” oder “Benutzername + PIN” ändern. Weitere Informationen zum Einrichten des Selbsthilfeportals finden Sie unter Konfigurieren von Registrierungsmodi.

Manuelle Registrierung

Bei einer manuellen Registrierung verbinden sich Benutzer über Autodiscovery oder über Eingabe der Serverinformationen mit XenMobile. Bei Verwendung von AutoDiscovery benötigen Benutzer für die Anmeldung nur ihre E-Mail-Adresse oder die Active Directory-Anmeldeinformationen im UPN-Format (Benutzerprinzipalname). Ohne AutoDiscovery müssen sie die Serveradresse und ihre Active Directory-Anmeldeinformationen eingeben. Weitere Informationen zum Einrichten von AutoDiscovery finden Sie unter XenMobile Autodiscovery Service.

Es gibt mehrere Möglichkeiten, die manuelle Registrierung einfacher zu gestalten. Sie können eine Anleitung erstellen und diese an Benutzer verteilen, damit sie sich selbst registrieren. Sie können Ihre IT-Abteilung beauftragen, Benutzergruppen in bestimmten Zeitfenstern manuell zu registrieren. Sie können jede andere Methode verwenden, bei der Benutzer ihre Anmelde- und/oder Serverinformationen eingeben müssen.

Onboarding von Benutzern

Nach dem Einrichten Ihrer Umgebung müssen Sie festlegen, wie Sie Benutzer in die Umgebung aufnehmen. Weiter oben wurden bereits die einzelnen Registrierungsmodi für Benutzer erläutert. In diesem Abschnitt wird beschrieben, wie Sie Benutzer erreichen können.

Offene Registrierung vs. Selektive Einladung

Beim Onboarding von Benutzern können Sie die Registrierung über zwei grundlegende Methoden zulassen:

  • Offene Registrierung. Standardmäßig kann sich jeder Benutzer mit LDAP-Anmeldeinformationen und den XenMobile-Umgebungsinformationen registrieren.
  • Eingeschränkte Registrierung. Sie können die Anzahl der Benutzer einschränken, indem sich nur eingeladene Benutzer registrieren können. Sie können auch die offene Registrierung nach Active Directory-Gruppe einschränken.

Bei Verwendung einer Einladung können Sie auch die Anzahl der Geräte beschränken, die ein Benutzer registrieren kann. In den meisten Situationen ist eine offene Registrierung zulässig, es sind jedoch folgende Punkte zu berücksichtigen:

  • Für MAM können Sie die Registrierung problemlos über die Active Directory-Gruppenmitgliedschaft beschränken.
  • Für MDM können Sie die Registrierung nur einschränken, indem Sie auf Basis der Active Directory-Gruppenmitgliedschaft die Anzahl der Geräte beschränken, die registriert werden können. Wenn Sie nur Unternehmensgeräte in Ihrer Umgebung zulassen, ist diese Einschränkung in der Regel unerheblich. Die Methode könnte sich jedoch für BYOD-Arbeitsbereiche eignen, wo Sie die Anzahl der Geräte in Ihrer Umgebung einschränken möchten.

Die selektive Einladung wird in der Regel seltener verwendet, da sie mehr Aufwand erfordert als eine offene Registrierung. Damit Benutzer ihre Geräte in Ihrer Umgebung registrieren können, müssen Sie an jeden Benutzer eine separate Einladung senden. Informationen zum Senden von Registrierungseinladungen finden Sie unter Senden von Registrierungseinladungen.

Es ist zwar möglich, Einladungen mithilfe von Active Directory-Gruppen zu bündeln, dies muss jedoch gestaffelt erfolgen.

Erster Kontakt mit Benutzern

Nachdem Sie sich für die offene Registrierung bzw. selektive Einladung entschieden und Ihre Umgebung entsprechend eingerichtet haben, müssen Sie Benutzer über ihre Registrierungsoptionen informieren.

Beim selektiven Einladungsverfahren sind E-Mail- und SMS-Nachrichten Teil des Verfahrens. Auch bei der offenen Registrierung können Sie E-Mails über die XenMobile-Konsole senden. Einzelheiten finden Sie unter Senden von Registrierungseinladungen.

Bedenken Sie in beiden Fällen, dass Sie für E-Mails einen SMTP-Server benötigen. Für Textnachrichten benötigen Sie einen SMS-Server. Ein solcher Server kann zusätzliche Kosten verursachen, die bei der Entscheidung zu berücksichtigen sind. Sie sollten vor der Wahl eines Verfahrens bedenken, auf welche Weise neue Benutzer auf Informationen wie E-Mail zugreifen. Wenn alle Benutzer über XenMobile auf ihre E-Mail zugreifen, ist das Senden einer Einladung per E-Mail problematisch.

Sie können für eine offene Registrierungsumgebung die Benachrichtigungen auch auf andere Weise außerhalb von XenMobile senden. Achten Sie bei dieser Option darauf, alle relevanten Informationen einzubeziehen. Teilen Sie den Benutzern mit, wo sie die Secure Hub App erhalten und welche Methode für die Registrierung verwendet werden soll. Wenn Sie die Discovery deaktiviert haben, müssen Sie den Benutzern auch die XenMobile-Serveradresse mitteilen. Weitere Informationen zu Autodiscovery finden Sie unter XenMobile Autodiscovery Service.

Optionen der Benutzerregistrierung