XenMobile Server

Android Enterprise

Android Enterprise ist eine Sammlung von Tools und Diensten, die von Google als Unternehmensverwaltungslösung für Android-Geräte bereitgestellt werden. Bei Einsatz von Android Enterprise gilt:

  • Sie verwalten firmeneigene Android-Geräte und private Android-Arbeitsgeräte (BYOD) mit XenMobile.

  • Sie können das gesamte Gerät oder ein separates Profil auf dem Gerät verwalten. Das separate Profil isoliert geschäftliche Konten, Apps und Daten von persönlichen Konten, Apps und Daten.

  • Sie können damit auch dedizierte Einzweckgeräte verwalten, z. B. Geräte für die Bestandsverwaltung. Eine Übersicht über Android Enterprise-Funktionen von Google finden Sie unter Android Enterprise Management.

Ressourcen:

  • Eine Liste mit Begriffen und Definitionen für Android Enterprise finden Sie unter Android Enterprise terminology im Google Android Enterprise-Entwicklerhandbuch. Diese Liste wird von Google häufig aktualisiert.

  • Informationen zu Android-Betriebssystemen, die von XenMobile unterstützt werden, finden Sie unter Unterstützte Gerätebetriebssysteme.

  • Weitere Informationen zu den ausgehenden Verbindungen beim Einrichten von Netzwerkumgebungen für Android Enterprise finden Sie im Google-Hilfeartikel Android Enterprise Network Requirements.

Wenn Sie XenMobile mit verwaltetem Google Play zur Verwendung von Android Enterprise integrieren, erstellen Sie ein Unternehmen. Google definiert ein Unternehmen als Bindeglied zwischen der Organisation und Ihrer EMM-Lösung (Enterprise Mobile Management). Alle Benutzer und Geräte, die die Organisation über Ihre Lösung verwaltet, gehören zu diesem Unternehmen.

Ein Unternehmen für Android Enterprise besteht aus drei Komponenten: einer EMM-Lösung, einer DPC-App (Device Policy Controller) und einer Google-Plattform für Unternehmensapps. Wenn Sie XenMobile und Android Enterprise kombinieren, besteht die Komplettlösung aus folgenden Komponenten:

  • XenMobile: Endpunktverwaltungslösung von Citrix. XenMobile ist die einheitliche XenMobile-Lösung für einen sicheren digitalen Workspace. XenMobile bietet IT-Administratoren die Möglichkeit, Geräte und Apps für ihre Organisationen zu verwalten.
  • Citrix Secure Hub: Die DPC-App von Citrix. Secure Hub ist das Launchpad für XenMobile. Secure Hub ermöglicht das Durchsetzen von Richtlinien auf dem Gerät.
  • Verwaltetes Google Play: Googles Plattform für Unternehmensapps, die mit XenMobile integriert ist. Die Google Play EMM-API legt App-Richtlinien fest und verteilt Apps.

Diese Abbildung zeigt die Interaktion von Administratoren mit den Komponenten und die Interaktion der Komponenten untereinander.

Image

Verwenden von verwaltetem Google Play mit XenMobile

Hinweis:

Sie können Citrix über verwaltetes Google Play oder über Google Workspace als Ihren EMM-Anbieter registrieren. Im Folgenden wird die Verwendung von Android Enterprise mit verwaltetem Google Play beschrieben. Wenn Ihre Organisation Google Workspace für den App-Zugriff verwendet, können Sie es mit Android Enterprise verwenden. Siehe Kunden mit Legacy Android Enterprise für Google Workspace (ehemals G Suite).

Wenn Sie verwaltetes Google Play verwenden, stellen Sie verwaltete Google Play-Konten für Geräte und Endbenutzer bereit. Über verwaltete Google Play-Konten können Benutzer auf verwaltetes Google Play zugreifen und Apps installieren und verwenden, die Sie zur Verfügung stellen. Wenn Ihre Organisation den Identitätsdienst eines Drittanbieters verwendet, können Sie verwaltete Google Play-Konten mit den bestehenden Identitätskonten verknüpfen.

Da dieser Unternehmenstyp nicht an eine Domäne gebunden ist, können Sie für jede Organisation mehrere Unternehmen erstellen. Beispielsweise kann sich jede Abteilung oder Region in einer Organisation als ein eigenes Unternehmen anmelden, um separate Gruppen von Geräten und Apps zu verwalten.

Für XenMobile-Administratoren bietet verwaltetes Google Play neben der Benutzererfahrung und den App Store-Features von Google Play diverse Verwaltungsfunktionen für Unternehmen. Sie verwenden verwaltetes Google Play zum Hinzufügen, Erwerben und Genehmigen von Apps für die Bereitstellung in dem Android Enterprise-Workspace von Geräten. Über Google Play können Sie öffentliche Apps, private Apps und Apps von Drittanbietern bereitstellen.

Für Benutzer von verwalteten Geräten ist verwaltetes Google Play der Store für Unternehmensapps. Benutzer können Apps durchsuchen, App-Details anzeigen und sie installieren. Im Gegensatz zur öffentlichen Google Play-Version können Benutzer vom verwalteten Google Play nur die Apps installieren, die Sie ihnen zur Verfügung stellen.

Szenarien und Betriebsmodi der Gerätebereitstellung

Das Szenario der Gerätebereitstellung legt fest, wer Besitzer der bereitgestellten Geräte ist und wie Sie sie verwalten. Geräteprofile beziehen sich auf die Art und Weise, wie der DPC Richtlinien auf Geräten verwaltet und durchsetzt.

Ein Arbeitsprofil isoliert geschäftliche Konten, Apps und Daten von persönlichen Konten, Apps und Daten. Weitere Informationen zu Arbeitsprofilen finden Sie in der Google Android Enterprise-Hilfe unter Was ist ein Arbeitsprofil?.

Wichtig:

Beim Update von Android Enterprise-Geräten auf Android 11 migriert Google alle Geräte mit der Einstellung “Vollständig verwaltet mit Arbeitsprofil” zu einem neuartigen Arbeitsprofil mit verbesserter Sicherheit. Weitere Informationen finden Sie unter Changes ahead for Android Enterprise’s Fully Managed with Work Profile.

Geräteverwaltung Anwendungsfälle Arbeitsprofil Persönliches Profil Hinweise
Unternehmenseigene Geräte (vollständig verwaltet) Unternehmenseigene Geräte, die nur für den geschäftlichen Einsatz bestimmt sind Nein Ja. Der DPC kann geräteweite Aktionen ausführen, z. B. die Konnektivität für das Gerät konfigurieren, globale Einstellungen konfigurieren und die Werkseinstellungen zurücksetzen. Nur für neue oder auf die Werkseinstellungen zurückgesetzte Geräte.
Vollständig verwaltet mit Arbeitsprofil Unternehmenseigene Geräte, die für den geschäftlichen und privaten Einsatz bestimmt sind Ja Ja. Es werden zwei DPC-Kopien auf den Geräten ausgeführt, wobei ein DPC das Gerät im Gerätebesitzermodus und der zweite das Arbeitsprofil im Profilbesitzermodus verwaltet. Sie können separate Richtlinien für Gerät und Arbeitsprofil festlegen. Solche Geräte wurden früher als COPE-Geräte (Unternehmenseigentum, vom Benutzer verwaltet) bezeichnet.
Dedizierte Geräte* Unternehmenseigene Geräte, die für einen einzigen Anwendungsfall konfiguriert sind, z. B. digitale Werbetechnik oder Ticketdruck Nein Ja. Sie stellen nur die erforderlichen Apps bereit und verhindern, dass Benutzer weitere Apps hinzufügen. Dedizierte Geräte wurden früher auch als unternehmenseigene Einzweckgeräte (COSU) bezeichnet.
BYOD-Arbeitsprofil** Private Geräte, die im Arbeitsprofilmodus registriert sind (auch “Profilbesitzermodus”) Ja Ja. Der DPC verwaltet nur das Arbeitsprofil, nicht das gesamte Gerät. Diese Geräte müssen nicht neu oder auf die Werkseinstellungen zurückgesetzt sein.

* Die Benutzer können ein dediziertes Gerät gemeinsam verwenden. Wenn sich ein Benutzer bei einer App auf einem dedizierten Gerät anmeldet, ist sein Arbeitsstatus nicht gerätebezogen, sondern App-bezogen.

** Zebra-Geräte können in XenMobile nicht als Geräte im BYOD-Arbeitsprofilmodus verwendet werden. XenMobile unterstützt Zebra-Geräte als vollständig verwaltete Geräte und als Geräte im Legacy-Modus (auch als Geräteadministratormodus bezeichnet).

Informationen zum Migrieren vom Legacymodus zum Gerätebesitzer- oder Profilbesitzermodus finden Sie unter Migration von der Geräteverwaltung zu Android Enterprise.

Authentifizierungsmethoden

Registrierungsprofile bestimmen, ob Android-Geräte bei MAM, MDM oder MDM+MAM registriert werden, wobei im letzteren Modus die Benutzer ggf. MDM abwählen können.

Weitere Informationen zum Festlegen der Sicherheitsstufe und zum Registrierungsverfahren finden Sie unter Konfigurieren von Registrierungssicherheitsmodi.

XenMobile unterstützt die folgenden Authentifizierungsverfahren für Android-Geräte, die in MDM+MAM registriert sind. Weitere Informationen finden Sie in den Artikeln unter Zertifikate und Authentifizierung.

  • Domäne
  • Domäne plus Sicherheitstoken
  • Clientzertifikat
  • Clientzertifikat plus Domäne
  • Identitätsanbieter:
    • Azure Active Directory
    • Citrix Identitätsanbieter

Eine weitere, selten verwendete Authentifizierungsmethode ist das Clientzertifikat plus Sicherheitstoken. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX215200.

Anforderungen

Vor dem Einsatz von Android Enterprise ist Folgendes erforderlich:

  • Konten und Anmeldeinformationen:

    • Ein Google-Unternehmenskonto zum Einrichten von Android Enterprise mit verwaltetem Google Play
    • Ein Citrix-Kundenkonto zum Download der aktuellen MDX-Dateien
    • Ein Google-Entwicklerkonto zum Bereitstellen privater Apps (optional)
  • Konfiguration von Firebase Cloud Messaging (FCM) für XenMobile Weitere Informationen hierzu finden Sie unter Firebase Cloud Messaging.

  • Knox Premium-Lizenzen für Samsung Knox Mobile Enrollment (optional)

Verbinden von XenMobile mit Google Play

Um Android Enterprise für Ihre Organisation einzurichten, registrieren Sie Citrix über verwaltetes Google Play als EMM-Anbieter. Dieses Setup verbindet verwaltetes Google Play mit XenMobile und erstellt ein Unternehmen für Android Enterprise in XenMobile.

Sie benötigen ein Google-Unternehmenskonto, um sich bei Google Play anzumelden.

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Gehen Sie zu Einstellungen > Android Enterprise.

Einstellungsseite mit markiertem Android Enterprise

  1. Klicken Sie auf Verbinden. Google Play wird geöffnet.

Verbindung von Android Enterprise mit Google Play

  1. Melden Sie sich mit den Anmeldeinformationen für Ihr Google-Unternehmenskonto bei Google Play an. Geben Sie den Namen Ihrer Organisation ein und bestätigen Sie, dass Citrix Ihr EMM-Anbieter ist.

  2. Eine Unternehmens-ID wurde für Android Enterprise hinzugefügt. Um Android Enterprise zu aktivieren, schieben Sie Android Enterprise aktivieren auf Ja.

    Android Enterprise aktivieren (Option)

Ihre Enterprise-ID wird in der XenMobile-Konsole angezeigt.

Image

Ihre Umgebung ist mit Google verbunden und kann die Geräte verwalten. Sie können nun Apps für Benutzer bereitstellen.

XenMobile kann verwendet werden, um Benutzern mobile Produktivitätsapps von Citrix, MDX-Apps, Apps aus dem öffentlichen App-Store, Web- und SaaS-Apps, Unternehmensapps und Weblinks zur Verfügung zu stellen. Weitere Informationen zu diesen App-Typen und zu ihrer Bereitstellung finden Sie unter Hinzufügen von Apps.

Im folgenden Abschnitt wird gezeigt, wie mobile Produktivitätsapps bereitgestellt werden.

Bereitstellen mobiler Produktivitätsapps von Citrix für Android Enterprise-Benutzer

Zum Bereitstellen mobiler Produktivitätsapps von Citrix für Android Enterprise-Benutzer sind folgende Schritte erforderlich.

  1. Veröffentlichen Sie die Apps als MDX-Apps. Siehe Konfigurieren von Apps als MDX-Apps.

  2. Konfigurieren Sie die Regeln für die Sicherheitsabfragen, die die Benutzer für den Zugriff auf die Arbeitsprofile auf ihren Geräten verwenden. Siehe Konfigurieren der Richtlinie für die Sicherheitsabfrage.

Die veröffentlichten Apps sind für Geräte verfügbar, die in Ihrem Android Enterprise-Unternehmen registriert sind.

Hinweis:

Wenn Sie einem Android-Benutzer eine App für Android Enterprise aus dem öffentlichen App-Store bereitstellen, wird dieser Benutzer automatisch bei Android Enterprise registriert.

Konfigurieren von Apps als MDX-Apps

Gehen Sie zum Konfigurieren einer Citrix Produktivitätsapp als MDX-App für Android Enterprise folgendermaßen vor:

  1. Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Apps. Die Seite Apps wird angezeigt.

    Apps-Konfigurationsbildschirm

  2. Klicken Sie auf Hinzufügen. Das Dialogfeld App hinzufügen wird angezeigt.

    Apps-Konfigurationsbildschirm

  3. Klicken Sie auf MDX. Die Seite App-Informationen wird angezeigt.

  4. Wählen Sie links Android Enterprise als Plattform aus.

  5. Geben Sie auf der Seite App-Informationen die folgenden Informationen ein:

    • Name: Geben Sie einen aussagekräftigen Namen für die App ein. Dieser wird unter App-Name in der Tabelle Apps angezeigt.
    • Beschreibung: Geben Sie optional eine Beschreibung der App ein.
    • App-Kategorie: Klicken Sie optional in der Liste auf die Kategorie, der Sie die App hinzufügen möchten. Weitere Informationen zu App-Kategorien finden Sie unter App-Kategorien.
  6. Klicken Sie auf Weiter. Die Seite Android Enterprise MDX-App wird angezeigt.

  7. Klicken Sie auf Hochladen und navigieren Sie zum Speicherort der MDX-Dateien für die App. Wählen Sie die Datei aus und klicken Sie auf Öffnen.

  8. Es wird eine Meldung angezeigt, wenn die angehängte Anwendung eine Genehmigung des verwalteten Google Play-Stores erfordert. Klicken Sie auf Ja, um die Anwendung zu genehmigen, ohne die XenMobile-Konsole zu verlassen.

    MDX-App hinzufügen

  9. Wenn die Seite des verwalteten Google Play-Stores geöffnet wird, klicken Sie auf Approve.

    Genehmigen einer MDX-App

  10. Klicken Sie erneut auf Approve.

  11. Wählen Sie Keep approved when app requests new permissions aus. Klicken Sie auf Speichern.

    Google Play-Genehmigungseinstellungen

  12. Wenn die App genehmigt und gespeichert wurde, werden weitere Einstellungen auf der Seite angezeigt. Konfigurieren Sie folgende Einstellungen:

    • Dateiname: Geben Sie den Dateinamen der App ein.
    • App-Beschreibung: Geben Sie eine Beschreibung für die App ein.
    • Produktschiene: Geben Sie an, welche Produktversion Sie auf Benutzergeräte übertragen möchten. Wenn Sie ein spezielles Testprodukt haben, können Sie dies auswählen und Ihren Benutzern zuweisen. Die Standardeinstellung ist Produktion.
    • App-Version: Geben Sie optional die Nummer der App-Version ein.
    • Paket-ID: URL der App im Google Play-Store.
    • OS-Version (Minimum): Geben Sie optional die älteste Betriebssystemversion ein, unter der die App ausgeführt werden kann.
    • OS-Version (Maximum): Geben Sie optional die neueste Betriebssystemversion ein, unter der die App ausgeführt werden kann.
    • Ausgeschlossene Geräte: Geben Sie optional Hersteller oder Gerätemodelle an, auf denen die App nicht ausgeführt werden kann.
  13. Konfigurieren Sie die MDX-Richtlinien. Weitere Informationen zu App-Richtlinien für MDX-Apps finden Sie unter MDX-Richtlinien und Überblick über das MAM-SDK.

  14. Konfigurieren Sie die Bereitstellungsregeln. Informationen finden Sie unter Ressourcen bereitstellen.

  15. Erweitern Sie Storekonfiguration. Diese Einstellung gilt nicht für Android Enterprise-Apps, die nur im verwalteten Google Play angezeigt werden.

    Apps-Konfigurationsbildschirm

    Sie können optional FAQ oder Screenshots für die App zur Anzeige im App-Store hinzufügen. Sie können außerdem festlegen, ob Benutzer die App bewerten oder kommentieren können.

    • Konfigurieren Sie folgende Einstellungen:
      • App FAQ: Fügen Sie häufig gestellte Fragen und Antworten für die App hinzu.
      • App-Screenshots: Fügen Sie Screenshots zur Klassifizierung der App im App-Store hinzu. Die hochgeladene Grafikdatei muss das Format PNG haben. Sie können keine GIF- oder JPEG-Bilder hochladen.
      • App-Bewertungen zulassen: Wählen Sie aus, ob eine Bewertung der App durch die Benutzer zugelassen werden soll. Die Standardeinstellung ist Ein. App-Kommentare zulassen: Wählen Sie aus, ob eine Kommentierung der App durch die Benutzer zugelassen werden soll. Die Standardeinstellung ist Ein.
  16. Klicken Sie auf Weiter. Die Seite Genehmigungen wird angezeigt.

    Apps-Konfigurationsbildschirm

    Wenn für das Erstellen von Benutzerkonten eine Genehmigung erforderlich ist, verwenden Sie Workflows. Wenn Sie keine Genehmigungsworkflows einrichten möchten, fahren Sie mit Schritt 15 fort.

    Konfigurieren Sie folgende Einstellungen zum Erstellen oder Zuweisen eines Workflows:

    • Verwendete Workflows: Klicken Sie in der Liste auf einen Workflow oder klicken Sie auf Neuen Workflow erstellen. Die Standardeinstellung ist Ohne.
    • Wenn Sie Neuen Workflow erstellen ausgewählt haben, konfigurieren Sie die folgenden Einstellungen: Weitere Informationen finden Sie unter Anwenden von Workflows.
    • Name: Geben Sie einen aussagekräftigen Namen für den Workflow ein.
    • Beschreibung: Geben Sie optional eine Beschreibung für den Workflow ein.
    • Vorlagen für E-Mail-Genehmigung: Wählen Sie die E-Mail-Genehmigungsvorlage aus, die zugewiesen werden soll. Wenn Sie auf das Augensymbol rechts neben dem Feld klicken, wird ein Dialogfeld zur Vorschau der ausgewählten Vorlage angezeigt.
    • Ebenen für Managergenehmigung: Wählen Sie in der Liste die Anzahl der Managergenehmigungsebenen für den Workflow aus. Der Standardwert ist 1 Ebene. Mögliche Optionen:
      • Nicht erforderlich
      • 1 Ebene
      • 2 Ebenen
      • 3 Ebenen
    • Active Directory-Domäne wählen: Wählen Sie in der Liste die für den Workflow zu verwendende Active Directory-Domäne aus.
    • Weitere erforderliche Freigabeberechtigte suchen: Geben Sie den Namen der zusätzlich erforderlichen Person in das Suchfeld ein und klicken Sie dann auf Suchen. Für die Namen wird Active Directory verwendet.
    • Wenn der Name im Feld angezeigt wird, aktivieren Sie das Kontrollkästchen daneben. Der Name und die E-Mail-Adresse der Person werden im Feld Ausgewählte zusätzliche erforderliche Freigabeberechtigte angezeigt.
      • Zum Entfernen einer Person aus der Liste Selected additional required approvers führen Sie einen der folgenden Schritte aus:
        • Klicken Sie auf Suchen, um eine Liste aller Personen in der ausgewählten Domäne anzuzeigen.
        • Geben Sie den Namen der Person vollständig oder teilweise in das Suchfeld ein und klicken Sie dann auf Search, um das Suchergebnis einzuschränken.
        • Die Namen der Personen in der Liste Selected additional required approvers sind im Suchergebnis mit einem Häkchen gekennzeichnet. Navigieren Sie durch die Liste und deaktivieren Sie die Kontrollkästchen aller Personen, die Sie entfernen möchten.
  17. Klicken Sie auf Weiter. Die Seite Bereitstellungsgruppenzuweisung wird angezeigt.

    Apps-Konfigurationsbildschirm

  18. Nehmen Sie neben Bereitstellungsgruppen wählen eine Eingabe vor, um nach einer Bereitstellungsgruppe zu suchen, oder wählen Sie eine oder mehrere Gruppen in der Liste aus. Diese ausgewählten Gruppen werden in der Liste Bereitstellungsgruppen für App-Zuweisung angezeigt.

  19. Erweitern Sie Bereitstellungszeitplan und konfigurieren Sie folgende Einstellungen:

    • Klicken Sie neben Bereitstellen auf EIN, um die Bereitstellung zu planen, oder auf AUS, um die Bereitstellung zu verhindern. Die Standardeinstellung ist Ein.
    • Klicken Sie neben “Bereitstellungszeitplan” auf Jetzt oder Später. Die Standardeinstellung ist Jetzt.
    • Wenn Sie Später auswählen, klicken Sie auf das Kalendersymbol und wählen Sie Datum und Uhrzeit für die Bereitstellung aus.
    • Klicken Sie neben Bereitstellungsbedingung auf Bei jeder Verbindung oder auf Nur bei Fehler in der vorherigen Bereitstellung. Die Standardeinstellung ist Bei jeder Verbindung.
    • Stellen Sie sicher, dass neben Bereitstellen für immer aktive Verbindungen die Option Aus ausgewählt ist. Die Standardeinstellung ist AUS. Die immer aktiven Verbindungen sind für Android Enterprise nicht verfügbar wenn Sie XenMobile erstmals in einer Version ab 10.18.19 verwendet haben. Wir empfehlen diese Verbindungen nicht für Kunden, die XenMobile erstmals in einer Version vor 10.18.19 verwendet haben.

      Diese Option gilt, wenn Sie unter Einstellungen > Servereigenschaften den Schlüssel für die Bereitstellung im Hintergrund konfiguriert haben.

      Der konfigurierte Bereitstellungszeitplan ist für alle Plattformen gleich. Alle von Ihnen vorgenommenen Änderungen gelten für alle Plattformen, mit Ausnahme von Bereitstellen für immer aktive Verbindungen.

  20. Klicken Sie auf Speichern.

Wiederholen Sie die Schritte, um eine MDX-App für jede mobile Produktivitätsapp zu konfigurieren.

Konfigurieren der Richtlinie für die Sicherheitsabfrage

Die Passcode-Geräterichtlinie in XenMobile konfiguriert die Regeln für die Sicherheitsabfrage, mit der Benutzer auf ihre Geräte bzw. die Android Enterprise-Arbeitsprofile auf ihren Geräten zugreifen. Eine Sicherheitsabfrage kann ein Passcode oder eine biometrische Erkennung sein. Weitere Informationen zur Passcoderichtlinie finden Sie unter Passcoderichtlinien für Geräte.

  • Wenn in Ihrer Android Enterprise-Bereitstellung auch BYOD-Geräte enthalten sind, konfigurieren Sie die Passcoderichtlinie für das Arbeitsprofil.
  • Wenn Ihre Bereitstellung vollständig verwaltete, firmeneigene Geräte umfasst, konfigurieren Sie die Passcoderichtlinie für das Gerät selbst.
  • Wenn Ihre Bereitstellung beide Gerätetypen umfasst, konfigurieren Sie beide Arten von Passcoderichtlinien.

Konfigurieren der Passcoderichtlinie:

  1. Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Geräterichtlinien.

  2. Klicken Sie auf Hinzufügen.

  3. Klicken Sie auf Filter einblenden, um den Bereich Richtlinienplattform anzuzeigen. Wählen Sie im Bereich Richtlinienplattform die Option Android Enterprise aus.

  4. Klicken Sie im rechten Fensterbereich auf Passcode.

Kennwortsicherheitsoption

  1. Geben Sie einen Richtliniennamen ein. Klicken Sie auf Weiter.

    Kennwortsicherheitsname

  2. Konfigurieren Sie die Einstellungen für die Passcoderichtlinie.
    • Setzen Sie Gerätepasscode erforderlich auf Ein, um die verfügbaren Einstellungen für Sicherheitsabfragen für das Gerät anzuzeigen.
    • Setzen Sie Sicherheitsabfrage für das Arbeitsprofil erforderlich auf Ein, um die verfügbaren Einstellungen für Sicherheitsabfragen für das Arbeitsprofil anzuzeigen.
  3. Klicken Sie auf Weiter.

  4. Weisen Sie die Richtlinie mindestens einer Bereitstellungsgruppe zu.

  5. Klicken Sie auf Speichern.

Registrierungsprofile erstellen

Registrierungsprofile steuern, wie Android-Geräte registriert werden, wenn Android Enterprise für Ihre XenMobile-Bereitstellung aktiviert ist. Wenn Sie ein Registrierungsprofil für Android Enterprise-Geräte erstellen, können Sie es so konfigurieren, dass neue und auf Werkseinstellungen zurückgesetzte Geräte wie folgt registriert werden:

  • Als vollständig verwaltete Geräte
  • Als unternehmenseigene Einzweckgeräte (COSU-Geräte)
  • Als vollständig verwaltete Geräte mit Arbeitsprofil (COPE-Geräte)

Sie können jedes dieser Android Enterprise-Registrierungsprofile auch so konfigurieren, dass BYOD-Android-Geräte als Arbeitsprofilgeräte registriert werden.

Wenn Android Enterprise für Ihre XenMobile-Bereitstellung aktiviert ist, werden alle neu oder erneut registrierten Android-Geräte als Android Enterprise-Geräte registriert. Standardmäßig registriert das globale Registrierungsprofil neue und werkseitig zurückgesetzte Android-Geräte als vollständig verwaltete Geräte und BYOD Android-Geräte als Arbeitsprofilgeräte.

Wenn Sie Registrierungsprofile erstellen, weisen Sie ihnen Bereitstellungsgruppen zu. Wenn ein Benutzer zu mehreren Bereitstellungsgruppen mit unterschiedlichen Registrierungsprofilen gehört, bestimmt der Name der Bereitstellungsgruppe das verwendete Registrierungsprofil. XenMobile wählt die letzte Bereitstellungsgruppe in der alphabetisch geordneten Bereitstellungsgruppenliste aus. Weitere Informationen finden Sie unter Registrierungsprofile.

Sie können Registrierungsprofile verwenden, um mehrere Anwendungsfälle wie nur MDM, MDM+MAM und nur MAM zu kombinieren. Der in der Servereigenschaft xms.server.mode angegebene XenMobile Server-Lizenztyp bestimmt die Einstellungen, die unter Konfigurieren > Registrierungsprofile verfügbar sind.

Hinzufügen eines Registrierungsprofils für vollständig verwaltete Geräte

Das globale Registrierungsprofil registriert Geräte standardmäßig als vollständig verwaltet, Sie können jedoch weitere Registrierungsprofile erstellen, um vollständig verwaltete Geräte zu registrieren.

  1. Gehen Sie in der XenMobile-Konsole zu Konfigurieren > Registrierungsprofile.

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite “Registrierungsinfo” einen Namen für das Registrierungsprofil ein.

  3. Legen Sie die Anzahl der Geräte fest, die Mitglieder mit diesem Profil registrieren können.

  4. Wählen Sie für Plattformen die Option Android oder klicken Sie auf Weiter. Die Seite “Registrierungskonfiguration” wird angezeigt.

  5. Legen Sie Verwaltung auf Android Enterprise fest.

  6. Legen Sie den Gerätebesitzermodus auf Unternehmenseigenes Gerät fest.

    Konfigurationsbildschirm für Registrierungsprofile

  7. Mit BYOD-Arbeitsprofil können Sie das Registrierungsprofil so konfigurieren, dass BYOD-Geräte als Arbeitsprofilgeräte registriert werden. Neue Geräte und Geräte, die auf die Werkseinstellungen zurückgesetzt wurden, werden als vollständig verwaltete Geräte registriert.

    • Legen Sie BYOD-Arbeitsprofil auf Ein fest, um die Registrierung von BYOD-Geräten als Arbeitsprofilgeräte zu ermöglichen. Die Standardeinstellung ist Ein.
    • Legen Sie BYOD-Arbeitsprofil auf Aus fest, um die Registrierung auf vollständig verwaltete Geräte zu beschränken.
  8. Wählen Sie aus, ob Geräte bei Citrix MAM registriert werden sollen.

  9. Wenn Sie BYOD-Arbeitsprofil auf Ein festlegen, konfigurieren Sie die Einstellung “Zustimmung des Benutzers”. Sollen die Benutzer von BYOD-Arbeitsprofilgeräten die Geräteverwaltung bei der Registrierung ihrer Geräte ablehnen können, legen Sie Benutzer dürfen Geräteverwaltung ablehnen auf Ein fest.

    Wenn BYOD-Arbeitsprofil auf Ein festgelegt wurde, ist die Option Benutzer dürfen Geräteverwaltung ablehnen standardmäßig auf Ein festgelegt. Wenn BYOD-Arbeitsprofil auf Aus festgelegt wurde, ist die Option Benutzer dürfen Geräteverwaltung ablehnen deaktiviert.

  10. Wählen Sie Zuweisung (Optionen). Der Bildschirm für die Bereitstellungsgruppenzuweisung wird angezeigt.

  11. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die voll verwaltete Geräte registrieren sollen. Klicken Sie auf Speichern.

    Die Seite “Registrierungsprofil” wird mit dem von Ihnen hinzugefügten Profil angezeigt.

    Konfigurationsbildschirm für Registrierungsprofile

Hinzufügen eines Registrierungsprofil für dedizierte Geräte

Wenn Ihre XenMobile-Bereitstellung dedizierte Geräte enthält, registriert ein einzelner XenMobile-Administrator oder eine kleine Gruppe von Administratoren viele dedizierte Geräte. Damit diese Administratoren alle erforderlichen Geräte registrieren können, erstellen Sie für sie ein Registrierungsprofil unter Zulassung einer unbegrenzten Anzahl an Geräten pro Benutzer.

  1. Gehen Sie in der XenMobile-Konsole zu Konfigurieren > Registrierungsprofile.

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite “Registrierungsinfo” einen Namen für das Registrierungsprofil ein. Legen Sie für die Anzahl der Geräte, die Mitglieder mit diesem Profil registrieren können, “Unbegrenzt” fest.

  3. Wählen Sie für Plattformen die Option Android oder klicken Sie auf Weiter. Die Seite “Registrierungskonfiguration” wird angezeigt.

  4. Legen Sie Verwaltung auf Android Enterprise fest.

  5. Legen Sie den Gerätebesitzermodus auf Dediziertes Gerät fest.

    Seite "Registrierungsprofile"

  6. Mit BYOD-Arbeitsprofil können Sie das Registrierungsprofil so konfigurieren, dass BYOD-Geräte als Arbeitsprofilgeräte registriert werden. Neue Geräte und Geräte, die auf die Werkseinstellungen zurückgesetzt wurden, werden als dedizierte Geräte registriert. Legen Sie BYOD-Arbeitsprofil auf Ein fest, um die Registrierung von BYOD-Geräten als Arbeitsprofilgeräte zu ermöglichen. Legen Sie BYOD-Arbeitsprofil auf Aus fest, um die Registrierung auf unternehmenseigene Geräte zu beschränken. Die Standardeinstellung ist Ein.

  7. Wählen Sie aus, ob Geräte bei Citrix MAM registriert werden sollen.

  8. Wenn Sie BYOD-Arbeitsprofil auf Ein festlegen, konfigurieren Sie die Einstellung “Zustimmung des Benutzers”. Sollen die Benutzer von BYOD-Arbeitsprofilgeräten die Geräteverwaltung bei der Registrierung ihrer Geräte ablehnen können, legen Sie Benutzer dürfen Geräteverwaltung ablehnen auf Ein fest.

    Wenn BYOD-Arbeitsprofil auf Ein festgelegt wurde, ist die Option Benutzer dürfen Geräteverwaltung ablehnen standardmäßig auf Ein festgelegt. Wenn BYOD-Arbeitsprofil auf Aus festgelegt wurde, ist die Option Benutzer dürfen Geräteverwaltung ablehnen deaktiviert.

  9. Wählen Sie Zuweisung (Optionen). Der Bildschirm für die Bereitstellungsgruppenzuweisung wird angezeigt.

  10. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die dedizierte Geräte registrieren sollen. Klicken Sie auf Speichern.

    Die Seite “Registrierungsprofil” wird mit dem von Ihnen hinzugefügten Profil angezeigt.

    Konfigurationsbildschirm für Registrierungsprofile

Hinzufügen eines Registrierungsprofils für vollständig verwaltete Geräte mit Arbeitsprofil

  1. Gehen Sie in der XenMobile-Konsole zu Konfigurieren > Registrierungsprofile.

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite “Registrierungsinfo” einen Namen für das Registrierungsprofil ein.

  3. Legen Sie die Anzahl der Geräte fest, die Mitglieder mit diesem Profil registrieren können.

  4. Wählen Sie für Plattformen die Option Android oder klicken Sie auf Weiter. Die Seite “Registrierungskonfiguration” wird angezeigt.

  5. Legen Sie Verwaltung auf Android Enterprise fest. Legen Sie den Gerätebesitzermodus auf Vollständig verwaltet mit Arbeitsprofil fest.

    Konfigurationsbildschirm für Registrierungsprofile

  6. Mit BYOD-Arbeitsprofil können Sie das Registrierungsprofil so konfigurieren, dass BYOD-Geräte als Arbeitsprofilgeräte registriert werden. Neue Geräte und Geräte, die auf die Werkseinstellungen zurückgesetzt wurden, werden als vollständig verwaltete Geräte mit Arbeitsprofil registriert. Legen Sie BYOD-Arbeitsprofil auf Ein fest, um die Registrierung von BYOD-Geräten als Arbeitsprofilgeräte zu ermöglichen. Legen Sie BYOD-Arbeitsprofil auf Aus fest, um die Registrierung auf dedizierte Geräte zu beschränken. Die Standardeinstellung ist Aus.

  7. Wählen Sie aus, ob Geräte bei Citrix MAM registriert werden sollen.

  8. Wenn Sie BYOD-Arbeitsprofil auf Ein festlegen, konfigurieren Sie die Einstellung “Zustimmung des Benutzers”. Sollen die Benutzer von BYOD-Arbeitsprofilgeräten die Geräteverwaltung bei der Registrierung ihrer Geräte ablehnen können, legen Sie Benutzer dürfen Geräteverwaltung ablehnen auf Ein fest.

    Wenn BYOD-Arbeitsprofil auf Ein festgelegt wurde, ist die Option Benutzer dürfen Geräteverwaltung ablehnen standardmäßig auf Ein festgelegt. Wenn BYOD-Arbeitsprofil auf Aus festgelegt wurde, ist die Option Benutzer dürfen Geräteverwaltung ablehnen deaktiviert.

  9. Wählen Sie Zuweisung (Optionen). Der Bildschirm für die Bereitstellungsgruppenzuweisung wird angezeigt.

  10. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die voll verwaltete Geräte mit Arbeitsprofil registrieren sollen. Klicken Sie auf Speichern.

    Die Seite “Registrierungsprofil” wird mit dem von Ihnen hinzugefügten Profil angezeigt.

    Seite "Registrierungsprofile"

Hinzufügen eines Registrierungsprofils für Legacygeräte

Google stellt den Geräteadministratormodus für die Geräteverwaltung ein. Google empfiehlt Kunden, alle Android-Geräte im Gerätebesitzermodus oder im Profilbesitzermodus zu verwalten. (Weitere Informationen finden Sie in den Entwicklerhandbüchern zu Google Android Enterprise unter Device admin deprecation.)

Unterstützen dieser Änderung:

  • Für Citrix ist Android Enterprise die Standardoption bei der Registrierung von Android-Geräten.
  • Wenn Android Enterprise für Ihre XenMobile-Bereitstellung aktiviert ist, werden alle neu oder erneut registrierten Android-Geräte als Android Enterprise-Geräte registriert.

Ihre Organisation ist unter Umständen noch nicht in der Lage, Android-Legacygeräte mit Android Enterprise zu verwalten. In diesem Fall können Sie sie weiterhin im Geräteadministratormodus verwalten. Alle bereits im Geräteadministratormodus registrierten Geräte werden von XenMobile weiterhin in diesem Modus verwaltet.

Erstellen Sie ein Registrierungsprofil für Legacygeräte, um bei der Neuregistrierung dieser Android-Geräte den Geräteadministratormodus zu verwenden.

Erstellen eines Registrierungsprofils für Legacygeräte:

  1. Gehen Sie in der XenMobile-Konsole zu Konfigurieren > Registrierungsprofile.

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite “Registrierungsinfo” einen Namen für das Registrierungsprofil ein.

  3. Legen Sie die Anzahl der Geräte fest, die Mitglieder mit diesem Profil registrieren können.

  4. Wählen Sie für Plattformen die Option Android oder klicken Sie auf Weiter. Die Seite “Registrierungskonfiguration” wird angezeigt.

  5. Legen Sie Verwaltung auf Legacygeräteverwaltung fest (nicht empfohlen) . Klicken Sie auf Weiter.

    Konfigurationsbildschirm für Registrierungsprofile

  6. Wählen Sie aus, ob Geräte bei Citrix MAM registriert werden sollen.

  7. Sollen die Benutzer die Geräteverwaltung bei der Registrierung ihrer Geräte ablehnen können, legen Sie Benutzer dürfen Geräteverwaltung ablehnen auf Ein fest. Die Standardeinstellung ist Ein.

  8. Wählen Sie Zuweisung (Optionen). Der Bildschirm für die Bereitstellungsgruppenzuweisung wird angezeigt.

  9. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die dedizierte Geräte registrieren sollen. Klicken Sie auf Speichern.

Die Seite “Registrierungsprofil” wird mit dem von Ihnen hinzugefügten Profil angezeigt.

Seite "Registrierungsprofil"

Um ein Legacygerät weiterhin im Geräteadministratormodus zu verwalten, registrieren Sie es mit diesem Profil oder registrieren Sie es neu. Sie registrieren Geräteadministratorgeräte ähnlich wie Arbeitsprofilgeräte, indem Benutzer Secure Hub herunterladen und eine Registrierungsserver-URL angeben.

Provisioning von Arbeitsprofilgeräten mit Android Enterprise

Android Enterprise-Arbeitsprofilgeräte sind im Profilbesitzermodus registriert. Diese Geräte müssen nicht neu oder auf die Werkseinstellungen zurückgesetzt sein. BYOD-Geräte werden als Arbeitsprofilgeräte registriert. Die Registrierung ähnelt der Android-Registrierung in XenMobile. Die Benutzer laden Secure Hub aus Google Play herunter und registrieren ihre Geräte.

Standardmäßig sind die Einstellungen USB-Debugging und Unbekannte Quellen auf einem Gerät deaktiviert, wenn es bei Android Enterprise als Gerät mit Arbeitsprofil registriert ist.

Beim Registrieren von Geräten als Arbeitsprofilgerät in Android Enterprise wechseln Sie stets zu Google Play. Aktivieren Sie dort Secure Hub, das dann im persönlichen Profil des Benutzers angezeigt wird.

Provisioning vollständig verwalteter Geräte mit Android Enterprise

Sie können vollständig verwaltete Geräte in der Bereitstellung registrieren, die Sie in den vorherigen Abschnitten eingerichtet haben. Vollständig verwaltete Geräte sind firmeneigene Geräte und werden im Gerätebesitzermodus registriert. Nur neue Geräte oder auf die Werkseinstellungen zurückgesetzte Geräte können im Gerätebesitzermodus registriert werden.

Sie können Geräte mit einer der folgenden Registrierungsmethoden im Gerätebesitzermodus registrieren:

  • DPC-ID-Token: Bei dieser Registrierungsmethode geben Benutzer beim Einrichten des Geräts die Zeichenfolge afw#xenmobile ein. afw#xenmobile ist der DPC-ID-Token von Citrix. Der Token identifiziert das Gerät als von XenMobile verwaltet und lädt Secure Hub vom Google Play Store herunter. Siehe Registrierung von Geräten mit dem Citrix DPC-ID-Token.
  • Datenübertragung per NFC (Near Field Communication): Bei dieser kontaktlosen Registrierungsmethode erfolgt der Datenaustausch zwischen zwei Geräten über die Nahfeldkommunikation (NFC). Bluetooth, Wi-Fi und andere Kommunikationsmodi sind auf einem neuen Gerät oder einem Gerät mit Werkseinstellungen deaktiviert. NFC ist das einzige Kommunikationsprotokoll, das das Gerät in diesem Zustand verwenden kann. Siehe Registrieren von Geräten per NFC-Datenübertragung.
  • QR-Code: Die Registrierung per QR-Code empfiehlt sich für verteilte Geräte im Bestand, die NFC nicht unterstützen (z. B. Tablets). Dabei wird der Geräteprofilmodus vom Setupassistenten durch Scannen eines QR-Codes eingerichtet und konfiguriert. Siehe Registrieren von Geräten per QR-Code.
  • Zero Touch: Mit der Zero-Touch-Registrierung können Sie festlegen, dass Geräte beim ersten Einschalten automatisch registriert werden. Die Zero-Touch-Registrierung wird auf einigen Android-Geräten mit Android 9.0 oder höher unterstützt. Siehe Zero-Touch-Registrierung.
  • Google-Konten: Benutzer geben die Anmeldeinformationen für ihr Google-Konto ein, um das Provisioning zu starten. Diese Option gilt für Unternehmen, die Google Workspace verwenden.

Registrierung von Geräten mit dem Citrix DPC-ID-Token

Benutzer geben afw#xenmobile ein, nachdem sie ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät für die Ersteinrichtung eingeschaltet haben und aufgefordert wurden, ein Google-Konto einzugeben. Mit dieser Aktion wird Secure Hub heruntergeladen und installiert. Die Benutzer folgen anschließend den Anweisungen in Secure Hub zum Abschließen der Registrierung.

Diese Registrierungsmethode wird für die meisten Kunden empfohlen, da die aktuelle Secure Hub-Version aus Google Play heruntergeladen wird. Im Gegensatz zu anderen Registrierungsmethoden wird Secure Hub nicht zum Herunterladen vom XenMobile-Server bereitgestellt.

Systemanforderungen

  • Wird auf allen Android-Geräten mit Android-OS unterstützt.

Gerät registrieren

  1. Schalten Sie ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät ein.

  2. Die Ersteinrichtung des Geräts wird geladen und der Benutzer wird aufgefordert, ein Google-Konto einzugeben. Falls das Gerät den Startbildschirm lädt, überprüfen Sie, ob in der Benachrichtigungsleiste die Benachrichtigung Finish Setup angezeigt wird.

  3. Geben Sie afw#xenmobile im Feld Email oder phone ein.

    Einrichtungstext für Gerät

  4. Tippen Sie im Android Enterprise-Bildschirm auf Install, um Secure Hub zu installieren.

  5. Tippen Sie im Secure Hub-Installationsbildschirm auf Install.

  6. Tippen Sie für alle App-Berechtigungsanforderungen auf Allow.

  7. Tippen Sie auf Accept & Continue, um Secure Hub zu installieren und das Gerät damit zu verwalten.

  8. Secure Hub ist installiert und der Standard-Registrierungsbildschirm wird angezeigt. In diesem Beispiel ist AutoDiscovery nicht eingerichtet. Bei aktivierter Funktion können Benutzer ihren Benutzernamen bzw. ihre E-Mail-Adresse eingeben und es wird ein Server für sie gefunden. Geben Sie stattdessen die Registrierungs-URL für die Umgebung ein und tippen Sie auf Weiter.

    Secure Hub-Anmeldeinformationen

  9. In der Standardkonfiguration für XenMobile können Benutzer auswählen, ob sie MAM oder MDM+MAM verwenden. Wenn die Aufforderung angezeigt wird, tippen Sie auf Ja, Registrieren, um MDM+MAM auszuwählen.

  10. Geben Sie den Benutzernamen und das Kennwort ein und tippen Sie auf Weiter.

  11. Der Benutzer wird aufgefordert, einen Gerätepasscode zu konfigurieren. Tippen Sie auf Festlegen und geben Sie einen Passcode ein.

  12. Der Benutzer wird aufgefordert, eine Methode zum Entsperren des Arbeitsprofils zu konfigurieren. Tippen Sie in diesem Beispiel auf Kennwort und dann auf PIN und geben Sie eine PIN ein.

    Passcode-Optionen

  13. Das Gerät zeigt jetzt Eigene Apps, die Startseite von Secure Hub. Tippen Sie auf Apps aus dem Store hinzufügen.

  14. Tippen Sie zum Hinzufügen von Secure Web auf Secure Web.

    Secure Hub-Store

  15. Tippen Sie auf Hinzufügen.

  16. Secure Hub leitet den Benutzer zum Google Play Store, um Secure Web zu installieren. Tippen Sie auf Installieren.

  17. Tippen Sie nach der Installation von Secure Web auf Öffnen. Geben Sie die URL einer internen Website in die Adressleiste ein, um zu prüfen, ob die Seite geladen wird.

  18. Navigieren Sie zu Einstellungen > Konten auf dem Gerät. Beachten Sie, dass Verwaltetes Konto nicht geändert werden kann. Die Entwickleroptionen zur Bildschirmfreigabe oder für den Remotesupport sind ebenfalls blockiert.

    Kontoänderung

Registrieren von Geräten per NFC-Datenübertragung

Um ein Gerät per NFC-Funktion als vollständig verwaltetes Gerät zu registrieren, sind zwei Geräte erforderlich: Ein Gerät, das auf die Werkseinstellungen zurückgesetzt wurde, und ein Gerät, auf dem das XenMobile Provisioning Tool ausgeführt wird.

Systemanforderungen und Voraussetzungen

  • Unterstützte Android-Geräte.
  • Ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät, das für Android Enterprise als vollständig verwaltetes Gerät bereitgestellt wurde. Das Verfahren hierfür finden Sie weiter unten in diesem Artikel.
  • Ein Gerät mit NFC-Funktion, auf dem das konfigurierte Provisioning Tool ausgeführt wird. Das Provisioning Tool ist in Secure Hub und auf der Citrix Downloadseite verfügbar.

Auf jedem Gerät kann nur ein Android Enterprise-Profil mit verwaltetem Secure Hub installiert sein. Auf jedem Gerät ist nur ein Profil zulässig. Sobald Sie eine zweite DPC-App hinzufügen, wird der installierte Secure Hub entfernt.

Per NFC übertragene Daten

Für das Provisioning eines auf Werkseinstellungen zurückgesetzten Geräts müssen Sie die folgenden Daten per NFC senden, damit Android Enterprise initialisiert wird:

  • Paketname der DPC-App, die als Gerätebesitzer fungiert (in diesem Fall Secure Hub).
  • Intranet-/Internetspeicherort, von dem das Gerät die DPC-App herunterlädt.
  • SHA1-Hash der DPC-App, um zu überprüfen, ob der Download erfolgreich ist.
  • Wi-Fi-Verbindungsdetails, sodass ein auf Werkseinstellungen zurückgesetztes Gerät eine Verbindung herstellen und die DPC-App herunterladen kann. Hinweis: Android unterstützt für diesen Schritt nicht 802.1x.
  • Zeitzone für das Gerät (optional).
  • Geografischer Standort des Geräts (optional).

Wenn die beiden Geräte eine Verbindung herstellen, werden die Daten vom Provisioning Tool an das Gerät mit den Werkseinstellungen gesendet. Diese Daten werden dann zum Download von Secure Hub mit Administratoreinstellungen verwendet. Wenn Sie keine Werte für Zeitzone und Speicherort eingeben, konfiguriert Android sie automatisch auf dem neuen Gerät.

Konfigurieren des XenMobile Provisioning Tools

Bevor Sie Daten per NFC übertragen können, müssen Sie das Provisioning Tool konfigurieren. Diese Konfiguration wird dann während der NFC-Übertragung an das auf die Werkseinstellungen zurückgesetzte Gerät gesendet.

Provisioning Tool-Konfiguration

Sie können Daten in die erforderlichen Felder eintragen oder die Felder unter Verwendung einer Textdatei ausfüllen. Nachfolgend wird beschrieben, wie Sie die Textdatei konfigurieren und welche Felder diese enthält. Die App speichert die eingegebenen Informationen nicht. Erstellen Sie daher eine Textdatei zur Aufbewahrung der Informationen.

Provisioning Tool mit einer Textdatei konfigurieren

Nennen Sie die Datei nfcprovisioning.txt und speichern Sie sie auf der SD-Karte des Geräts im Ordner /sdcard/. Die App liest die Textdatei und fügt die Werte ein.

Die Textdatei muss die folgenden Daten enthalten:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Dies ist der Intranet-/Internetspeicherort der EMM-Anbieter-App. Wenn das auf Werkseinstellungen zurückgesetzte Gerät nach der NFC-Übertragung eine Wi-Fi-Verbindung herstellt, muss es für den Download Zugriff auf diesen Speicherort haben. Die URL ist eine normale URL ohne spezielle Formatierung.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Dies ist die Prüfsumme der EMM-Anbieter-App. Sie wird verwendet, um zu prüfen, ob der Download erfolgreich ist. Das Verfahren zum Abrufen der Prüfsumme wird weiter unten in diesem Artikel beschrieben.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Dies ist die Wi-Fi-SSID des Geräts, auf dem das Provisioning Tool ausgeführt wird.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Es werden WEP und WPA2 unterstützt. Wenn das WiFi nicht geschützt ist, muss dieses Feld leer sein.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wenn das WiFi nicht geschützt ist, muss dieses Feld leer sein.

android.app.extra.PROVISIONING_LOCALE=<locale>

Geben Sie die Sprach- und Ländercodes ein. Sprachcodes sind nach ISO 639-1 definierte ISO-Sprachcodes, die aus zwei Kleinbuchstaben bestehen (z. B. en). Ländercodes sind nach ISO 3166-1 definierte ISO-Ländercodes, die aus zwei Großbuchstaben bestehen(z. B. US). Geben Sie z. B. de_DE für Deutsch/Deutschland ein. Wenn Sie keinen Länder- und Sprachcode eingeben, werden diese Felder automatisch ausgefüllt.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

Die Zeitzone, in der das Gerät ausgeführt wird. Geben Sie einen Namen im Format Gebiet/Ort ein. Beispiel: America/Los_Angeles für Pacific Time. Wenn Sie keine Zeitzone eingeben, wird sie automatisch eingetragen.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Keine Eingabe ist erforderlich, da der Wert in der App als Secure Hub hartcodiert ist. Er wird hier nur der Vollständigkeit halber angegeben.

Bei einem mit WPA2 geschützten Wi-Fi könnte die Datei nfcprovisioning.txt wie folgt aussehen:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Bei einem ungeschützten WiFi könnte die Datei nfcprovisioning.txt wie folgt aussehen:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Citrix Secure Hub-Prüfsumme abrufen

Die Secure Hub-Prüfsumme ist ein konstanter Wert: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM. Um eine APK-Datei für Secure Hub herunterzuladen, verwenden Sie den folgenden Google Play-Link: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile.

App-Prüfsumme abrufen

Voraussetzungen

  • Das apksigner-Tool aus den Android SDK Build Tools
  • OpenSSL-Befehlszeile

Gehen Sie folgendermaßen vor, um die Prüfsumme einer App abzurufen:

  1. Laden Sie die APK-Datei der App aus Google Play herunter.
  2. Navigieren Sie in der OpenSSL-Befehlszeile zum apksigner-Tool: android-sdk/build-tools/<version>/apksigner und geben Sie Folgendes ein:

    apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
    <!--NeedCopy-->
    

    Der Befehl gibt eine gültige Prüfsumme zurück.

  3. Um den QR-Code zu generieren, geben Sie die Prüfsumme in das Feld PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM ein. Beispiel:
{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}
<!--NeedCopy-->

Verwendete Bibliotheken

Das Provisioning Tool verwendet die folgenden Bibliotheken im Quellcode:

  • v7 appcompat Library, Design Support Library und v7 Palette Library von Google unter Apache 2.0-Lizenz

    Weitere Informationen finden Sie im Handbuch zur Support Library Features Guide.

  • Butter Knife von Jake Wharton unter Apache-Lizenz 2.0

Registrieren von Geräten per QR-Code

Sie registrieren ein vollständig verwaltetes Gerät per QR-Code, indem Sie zunächst ein JSON-Objekt erstellen und dieses in einen QR-Code umwandeln. Der QR-Code wird mit der Gerätekamera gescannt, um das Gerät zu registrieren.

Systemanforderungen

  • Wird auf allen Android-Geräten ab Android 9.0 unterstützt.

Erstellen eines QR-Codes aus einer JSON-Datei

Erstellen Sie eine JSON-Datei mit den folgenden Feldern.

Diese Felder sind erforderlich:

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Wert: com.zenprise/com.zenprise.configuration.AdminFunction

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Wert: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Wert: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

Diese Felder sind optional:

  • android.app.extra.PROVISIONING_LOCALE: Geben Sie den Sprach- und den Ländercode ein.

    Sprachcodes sind nach ISO 639-1 definierte ISO-Sprachcodes, die aus zwei Kleinbuchstaben bestehen (z. B. en). Ländercodes sind nach ISO 3166-1 definierte ISO-Ländercodes, die aus zwei Großbuchstaben bestehen(z. B. US). Geben Sie z. B. de_DE für Deutsch/Deutschland ein.

  • android.app.extra.PROVISIONING_TIME_ZONE: die Zeitzone, in der das Gerät ausgeführt wird.

    Geben Sie einen Namen im Format Gebiet/Ort ein. Beispiel: America/Los_Angeles für Pacific Time. Wenn Sie keine Zeitzone eingeben, wird sie automatisch eingetragen.

  • android.app.extra.PROVISIONING_LOCAL_TIME: Zeit in Millisekunden seit der Unix-Epoche.

    Die Unix-Zeit (auch POSIX-Zeit oder Unix-Zeitstempel) ist die Anzahl der Sekunden, die seit der Epoche, d. h. dem 1. Januar 1970 (Mitternacht UTC-GMT), verstrichen sind. Schaltsekunden werden nicht mitgezählt (in ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: Wenn Sie dies auf true festlegen, wird die Verschlüsselung während der Profilerstellung übersprungen. Wählen Sie False, um die Verschlüsselung während der Profilerstellung zu erzwingen.

Eine JSON-Datei sieht in etwa wie folgt aus:

Eine typische JSON-Datei

Überprüfen Sie die JSON-Datei mit einem JSON-Validierungstool (z. B. https://jsonlint.com). Konvertieren Sie die JSON-Zeichenfolge mit einem beliebigen QR-Code-Generator (z. B. https://www.qr-code-generator.com) in einen QR-Code.

Der QR-Code wird von einem auf Werkseinstellungen zurückgesetzten Gerät gescannt, um das Gerät als vollständig verwaltetes Gerät zu registrieren.

Gerät registrieren

Nach dem Einschalten eines neuen oder auf die Werkseinstellungen zurückgesetzten Geräts:

  1. Tippen Sie sechsmal auf den Begrüßungsbildschirm, um die Registrierung per QR-Code zu starten.
  2. Verbinden Sie das Gerät nach Aufforderung mit dem WiFi-Netzwerk. Über das WiFi-Netzwerk wird dann per QR-Code (codiert in der JSON-Datei) auf den Download-Speicherort von Secure Hub zugegriffen.

    Sobald das Gerät mit dem WiFi verbunden ist, lädt es ein Google-Programm zum Lesen des QR-Codes herunter und aktiviert die Kamera.

  3. Halten Sie die Kamera über den QR-Code, um ihn zu scannen.

    Android lädt Secure Hub vom Speicherort im QR-Code herunter, validiert die Signatur des Signaturzertifikats, installiert Secure Hub und legt die App als Gerätebesitzer fest.

Weitere Informationen finden Sie in diesem Google-Handbuch für Android EMM-Entwickler: https://developers.google.com/android/work/prov-devices#qr_code_method.

Zero-Touch-Registrierung

Mit der Zero-Touch-Registrierung können Sie festlegen, dass Geräte beim ersten Einschalten als vollständig verwaltete Geräte bereitgestellt werden.

Ihr Geräte-Vertriebspartner erstellt für Sie ein Konto im Android-Portal für die Zero-Touch-Registrierung, einem Online-Tool zum Konfigurieren von Geräten. Im Android-Portal für die Zero-Touch-Registrierung erstellen Sie eine oder mehrere Konfigurationen für die Zero-Touch-Registrierung und wenden diese dann auf die Geräte an, die Ihrem Konto zugewiesen sind. Wenn Benutzer die Geräte dann einschalten, werden sie automatisch bei XenMobile registriert. Die dem Gerät zugewiesene Konfiguration definiert den automatischen Registrierungsprozess.

Systemanforderungen

  • Die Zero-Touch-Registrierung wird ab Android 9.0 unterstützt.

Geräte und Kontoinformationen Ihres Vertriebspartners

  • Geräte mit Zero-Touch-Registrierung können vom Vertriebspartner des Unternehmens oder einem Google-Partner erworben werden. Eine Liste aller Partner für die Zero-Touch-Registrierung für Android Enterprise finden Sie auf der Android-Website.

  • Ein von Ihrem Vertriebspartner erstelltes Android Enterprise-Konto im Portal für die Zero-Touch-Registrierung.

  • Von Ihrem Vertriebspartner bereitgestellte Anmeldeinformationen für das Android Enterprise-Konto im Portal für die Zero-Touch-Registrierung.

Erstellen einer Zero-Touch-Konfiguration

Geben Sie beim Erstellen einer Zero-Touch-Konfiguration die Konfigurationsdetails in einem benutzerdefinierten JSON-Objekt an.

Mit diesem JSON-Objekt konfigurieren Sie, dass das Gerät sich beim von Ihnen angegebenen XenMobile-Server registriert. Ersetzen Sie “URL” im Beispiel durch die URL Ihres Servers.

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }
<!--NeedCopy-->

Mit einem optionalen JSON-Objekt mit zusätzlichen Parametern können Sie Ihre Konfiguration weiter anpassen. Im folgenden Beispiel sind der XenMobile-Server sowie der Benutzername und das Kennwort festgelegt, mit denen Geräte sich in dieser Konfiguration am Server anmelden.

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  <!--NeedCopy-->
  1. Navigieren Sie zum Android-Portal für die Zero-Touch-Registrierung unter https://partner.android.com/zerotouch. Melden Sie sich mit den Kontoinformationen an, die Sie vom Vertriebspartner Ihres Zero-Touch-Geräts erhalten haben.

  2. Klicken Sie auf Configuration. Portal für die Zero-Touch-Registrierung

  3. Klicken Sie über der Konfigurationstabelle auf +. Portal für die Zero-Touch-Registrierung

  4. Geben Sie im angezeigten Konfigurationsfenster Ihre Konfigurationsinformationen ein. Portal für die Zero-Touch-Registrierung
    • Configuration name: Geben Sie den für diese Konfiguration gewählten Namen ein.
    • EMM DPC: Wählen Sie Citrix Secure Hub.
    • DPC extras: Fügen Sie hier Ihren benutzerdefinierten JSON-Text ein.
    • Company name: Geben Sie den Namen ein, der beim Provisioning auf Ihren Android Enterprise-Geräten mit Zero-Touch-Registrierung angezeigt werden soll.
    • Support email address: Geben Sie eine E-Mail-Adresse für Supportanfragen von Benutzern ein. Diese Adresse wird vor dem Provisioning auf Ihren Android Enterprise-Geräten mit Zero-Touch-Registrierung angezeigt.
    • Support phone number: Geben Sie eine Telefonnummer für Supportanfragen von Benutzern ein. Diese Telefonnummer wird vor dem Provisioning auf Ihren Android Enterprise-Geräten mit Zero-Touch-Registrierung angezeigt.
    • Custom Message: Erläutern Sie optional in ein oder zwei Sätzen, wie Benutzer Sie erreichen können oder was mit dem Gerät geschieht. Diese benutzerdefinierte Nachricht wird vor dem Provisioning auf Ihren Android Enterprise-Geräten mit Zero-Touch-Registrierung angezeigt.
  5. Klicken Sie auf Hinzufügen.

  6. Zum Erstellen weiterer Konfigurationen wiederholen Sie die Schritte 2 bis 4.

  7. Anwenden einer Konfiguration auf ein Gerät:

    1. Klicken Sie im Android-Portal für die Zero-Touch-Registrierung auf Devices.

    2. Suchen Sie das Gerät in der Geräteliste und wählen Sie die Konfiguration aus, die Sie ihm zuweisen möchten. Portal für die Zero-Touch-Registrierung

    3. Klicken Sie auf Update.

Über eine CSV-Datei können Sie eine Konfiguration auf mehrere Geräte anwenden.

Informationen zum Anwenden einer Konfiguration auf mehrere Geräte finden Sie im Android Enterprise-Hilfethema Zero-Touch-Registrierung für IT-Administratoren. Dieses Android Enterprise-Hilfethema enthält weitere Informationen, wie Sie Konfigurationen verwalten und auf Geräte anwenden.

Provisioning von dedizierten Geräten mit Android Enterprise

Dedizierte Android Enterprise-Geräte sind vollständig verwaltete Einzweckgeräte. Dedizierte Geräte werden auch als unternehmenseigene Einzweckgeräte (COSU) bezeichnet. Sie beschränken diese Geräte auf eine oder wenige Apps, die zum Ausführen der für den vorgegebenen Zweck erforderlichen Aufgaben notwendig sind. Außerdem verhindern Sie, dass Benutzer weitere Apps aktivieren oder andere Aktionen auf dem Gerät ausführen.

Registrieren Sie dedizierte Geräte mit einer der Registrierungsmethoden, die für andere vollständig verwaltete Geräte verwendet werden, wie unter Provisioning vollständig verwalteter Geräte in Android Enterprise beschrieben. Für das Provisioning dedizierter Geräte ist vor der Registrierung ein zusätzliches Setup erforderlich.

Provisioning dedizierter Geräte:

  • Fügen Sie ein Registrierungsprofil für die XenMobile-Administratoren hinzu, denen Sie die Registrierung von dedizierten Geräten bei XenMobile gestatten möchten. Siehe Registrierungsprofile erstellen.
  • Setzen Sie die Apps, auf die das dedizierte Gerät zugreifen soll, auf eine Positivliste.
  • Legen Sie optional für zugelassene Apps fest, dass diese den LockTask-Modus zulassen. Im gesperrten Task-Modus wird eine App an den Gerätebildschirm angeheftet, wenn der Benutzer sie öffnet. Es gibt keine Hometaste, und die Zurück-Taste ist deaktiviert. Der Benutzer beendet die App mit einer in der App programmierten Aktion, z. B. Abmelden.
  • Registrieren Sie jedes Gerät im hinzugefügten Registrierungsprofil.

Systemanforderungen

  • Die Registrierung dedizierter Geräte ist ab Android 6.0 möglich.

Zulassen von Apps und Festlegen des LockTask-Modus

Über die Kioskgeräterichtlinie können Sie Apps zulassen (d. h. auf die Positivliste setzen) und den LockTask-Modus festlegen. Secure Hub- und Google Play-Dienste sind standardmäßig zugelassen.

Hinzufügen der Kioskrichtlinie

  1. Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Geräterichtlinien. Die Seite Geräterichtlinien wird angezeigt.

  2. Klicken Sie auf Hinzufügen. Das Dialogfeld Neue Richtlinie hinzufügen wird angezeigt.

  3. Erweitern Sie Mehr und klicken Sie unter “Sicherheit” auf Kiosk. Die Seite Kioskrichtlinie wird angezeigt.

  4. Wählen Sie unter “Plattformen” die Option Android Enterprise. Deaktivieren Sie andere Plattformen.

  5. Geben Sie im Bereich Richtlinieninformationen den Richtliniennamen und optional eine Beschreibung ein.

  6. Klicken Sie auf Weiter und dann auf Hinzufügen.

  7. Zum Zulassen einer App und Festlegen des LockTask-Modus gehen Sie wie folgt vor:

    Wählen Sie die gewünschte App aus der Liste aus.

    Wählen Sie Zulassen, um festzulegen, dass die App an den Gerätebildschirm angeheftet wird, wenn der Benutzer die App startet. Wählen Sie Verweigern, um festzulegen, dass die App nicht angeheftet werden soll. Die Standardeinstellung ist Zulassen.

    Konfigurationsbildschirm für Geräterichtlinien

  8. Klicken Sie auf Speichern.

  9. Klicken Sie zum Zulassen einer weiteren App und Festlegen des LockTask-Modus auf Hinzufügen.

  10. Konfigurieren Sie Bereitstellungsregeln und wählen Sie Bereitstellungsgruppen. Weitere Informationen finden Sie unter Geräterichtlinien.

Gerät registrieren

  1. Klicken Sie auf Weiter oder wählen Sie Android unter Plattformen aus. Die Seite “Registrierungskonfiguration” wird angezeigt.

  2. Legen Sie Verwaltung auf Android Enterprise fest.

  3. Legen Sie den Gerätebesitzermodus auf Unternehmenseigenes Gerät fest.

    Konfigurationsbildschirm für Registrierungsprofile

  4. Wählen Sie Zuweisung (Optionen). Der Bildschirm für die Bereitstellungsgruppenzuweisung wird angezeigt.

  5. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die dedizierte Geräte registrieren sollen. Klicken Sie auf Speichern.

Wenn Sie BYOD-Arbeitsprofil im Registrierungsprofil aktiviert haben, werden Geräte, die nicht neu sind oder auf die Werkseinstellungen zurückgesetzt wurden, als Arbeitsprofilgeräte registriert. Siehe Provisioning von Arbeitsprofilgeräten mit Android Enterprise.

Provisioning vollständig verwalteter Android Enterprise-Geräte mit Arbeitsprofil (COPE-Geräte)

Vollständig verwaltete Geräte mit Arbeitsprofil, früher auch als COPE-Geräte bezeichnet, sind unternehmenseigene Geräte, die für geschäftliche und private Zwecke verwendet werden. Ihre Organisation verwaltet die gesamten Geräte. Sie können einige Richtlinien auf das Gerät und andere Richtlinien auf das Arbeitsprofil anwenden.

In der XenMobile-Konsole werden vollständig verwaltete Geräte mit Arbeitsprofil wie folgt angezeigt:

  • Als Gerätebesitzer wird “Unternehmen” angegeben.

  • Als Android Enterprise-Installationstyp wird “COPE (Unternehmenseigentum, vom Benutzer verwaltet)” angegeben.

Systemanforderungen

  • Die Registrierung vollständig verwalteter Geräte mit Arbeitsprofil wird ab Android 9.0 bis zu Android 10.x unterstützt.

Hinzufügen eines Registrierungsprofils für vollständig verwaltete Geräte mit Arbeitsprofil

Erstellen Sie ein Registrierungsprofil für vollständig verwaltete Geräte mit Arbeitsprofil. Die Administratoren in den Bereitstellungsgruppen, die diesem Registrierungsprofil zugewiesen sind, können vollständig verwaltete Geräte mit Arbeitsprofil dann registrieren. Damit diese Administratoren alle erforderlichen Geräte registrieren können, erstellen Sie für sie ein Registrierungsprofil unter Zulassung einer unbegrenzten Anzahl an Geräten pro Benutzer. Weisen Sie dieses Profil einer Bereitstellungsgruppe mit den Administratoren zu, die vollständig verwaltete Geräte mit Arbeitsprofil registrieren.

  1. Gehen Sie in der XenMobile-Konsole zu Konfigurieren > Registrierungsprofile.

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite “Registrierungsinfo” einen Namen für das Registrierungsprofil ein. Legen Sie für die Anzahl der Geräte, die Mitglieder mit diesem Profil registrieren können, “Unbegrenzt” fest.

  3. Klicken Sie auf Weiter oder wählen Sie Android Enterprise unter Plattformen. Die Seite “Registrierungskonfiguration” wird angezeigt.

  4. Wählen Sie als Registrierungsart eine der folgenden Optionen:
    • Vollständig verwaltet/Arbeitsprofil: Neue Geräte oder Geräte, die auf die Werkseinstellungen zurückgesetzt wurden, werden als vollständig verwaltete Geräte registriert. Bei registrierten BYOD-Geräten verwalten Sie nur ein Arbeitsprofil.
    • COPE/Arbeitsprofil: Neue Geräte oder Geräte, die auf die Werkseinstellungen zurückgesetzt wurden, werden als vollständig verwaltete Geräte mit Arbeitsprofil registriert. Bei registrierten BYOD-Geräten verwalten Sie nur ein Arbeitsprofil.

    Konfigurationsbildschirm für Registrierungsprofile

  5. Wählen Sie Zuordnung (optional) oder klicken Sie auf Weiter. Der Bildschirm für die Bereitstellungsgruppenzuweisung wird angezeigt.

  6. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die dedizierte Geräte registrieren sollen. Klicken Sie auf Speichern.

    Die Seite “Registrierungsprofil” wird mit dem von Ihnen hinzugefügten Profil angezeigt.

    Konfigurationsbildschirm für Registrierungsprofile

Wenn ein Benutzer zu mehreren Bereitstellungsgruppen mit unterschiedlichen Registrierungsprofilen gehört, bestimmt der Name der Bereitstellungsgruppe das verwendete Registrierungsprofil. XenMobile wählt die letzte Bereitstellungsgruppe in der alphabetisch geordneten Bereitstellungsgruppenliste aus.

Gerät registrieren

Neue Geräte und Geräte, die auf die Werkseinstellungen zurückgesetzt wurden, werden per DPC-ID-Token, NFC-Übertragung oder QR-Code als vollständig verwaltete Geräte mit Arbeitsprofil registriert. Weitere Informationen finden Sie unter Registrierung von Geräten mit dem Citrix DPC-ID-Token, Registrieren von Geräten per NFC-Datenübertragung oder Registrieren von Geräten per QR-Code.

Geräte, die nicht neu oder auf die Werkseinstellungen zurückgesetzt sind, werden als Arbeitsprofilgeräte registriert, wie unter Provisioning von Arbeitsprofilgeräten mit Android Enterprise beschrieben.

Anzeige von Android Enterprise-Geräten in der XenMobile-Konsole

  1. Gegen Sie in der XenMobile-Konsole zu Verwalten > Geräte.

  2. Klicken Sie hier auf das Menü am rechten Tabellenrand, um die Spalte Für Android Enterprise aktiviertes Gerät? hinzuzufügen. Android Enterprise-Geräteliste

  3. Um verfügbare Sicherheitsaktionen anzuzeigen, wählen Sie ein vollständig verwaltetes Gerät und klicken auf Sicher. Wenn das Gerät vollständig verwaltet ist, ist die Aktion Vollständig löschen verfügbar, Selektiv löschen jedoch nicht. Dieser Unterschied liegt daran, dass das Gerät nur Apps aus dem verwalteten Google Play Store zulässt. Der Benutzer kann keine Apps aus dem öffentlichen Store installieren. Ihre Organisation verwaltet alle Inhalte auf dem Gerät.

    Sicherheitsaktionen

Konfigurieren von App- und Geräterichtlinien für Android Enterprise

Einen Überblick über die Richtlinien, die auf App- und Geräteebene gelten, finden Sie unter Unterstützte Geräte- und MDX-Richtlinien für Android Enterprise.

Wissenswertes über Richtlinien:

  • Schutz vor Datenverlust: Apps sind im XenMobile MAM-Container durch Verschlüsselung und andere mobile DLP-Technologien vor Datenverlust geschützt. Verwenden Sie das Citrix MAM-SDK, oder MDX Toolkit, um Apps MDX-fähig zu machen.

  • Geräteeinschränkungen: Es gibt zahlreiche Geräteeinschränkungen, mit denen Sie Features wie die folgenden steuern können:

    • Verwendung der Gerätekamera
    • Verwendung von Kopieren und Einfügen zwischen geschäftlichen und privaten Profilen
  • Pro-App-VPN: Mit der Geräterichtlinie für verwaltete Konfigurationen können Sie VPN-Profile für Android Enterprise konfigurieren.

  • E-Mail-Richtlinie: Wir empfehlen die Verwendung der Geräterichtlinie für verwaltete Konfigurationen, um Apps zu konfigurieren.

In dieser Tabelle sind alle für Android Enterprise-Geräte verfügbaren Geräterichtlinien aufgeführt.

Wichtig:

Für Geräte, die bei Android Enterprise registriert werden und MDX-Apps verwenden: Sie können einige Einstellungen über MDX und Android Enterprise steuern. Verwenden Sie die am wenigsten restriktiven Richtlinieneinstellungen für MDX und steuern Sie die Richtlinie über Android Enterprise.

     
App-Berechtigungen in Android Enterprise Verwaltete Konfigurationen App-Bestand
App-Deinstallation Verwaltete Apps automatisch aktualisieren OS-Update steuern
Anmeldeinformationen Benutzerdefiniertes XML Exchange
Dateien Keyguard-Verwaltung Kiosk
Standort Passcode Einschränkungen
Samsung MDM-Lizenzschlüssel Planung Wi-Fi
XenMobile-Optionen    

Geräterichtlinien für vollständig verwaltete Geräte mit Arbeitsprofil (COPE-Geräte)

Bei vollständig verwalteten Geräten mit Arbeitsprofil (COPE-Geräten) können mithilfe von Geräterichtlinien separate Einstellungen auf das gesamte Gerät bzw. das Arbeitsprofil angewendet werden. Mit separaten Geräterichtlinien können Sie bei vollständig verwalteten Geräterichtlinien mit Arbeitsprofil Einstellungen nur auf das gesamte Gerät oder auf das Arbeitsprofil anwenden.

Richtlinie Gültig für
App-Berechtigungen in Android Enterprise Arbeitsprofil
Verwaltete Konfigurationen Arbeitsprofil
App-Bestand Arbeitsprofil
App-Deinstallation Arbeitsprofil
Verwaltete Apps automatisch aktualisieren Arbeitsprofil
OS-Update steuern
Anmeldeinformationen Arbeitsprofil
Benutzerdefiniertes XML
Exchange
Dateien Arbeitsprofil
Keyguard-Verwaltung Gerät und Arbeitsprofil
Kiosk
Standort Gerät (nur Standortmodus)
Passcode Gerät und Arbeitsprofil
Einschränkungen Geräte- und Arbeitsprofil (separate Richtlinien für Gerät und Arbeitsprofil erstellen)
Samsung MDM-Lizenzschlüssel
Planung Arbeitsprofil
Wi-Fi Gerät
XenMobile-Optionen Arbeitsprofil

Siehe auch Unterstützte Geräte- und MDX-Richtlinien für Android Enterprise und Überblick über das MAM-SDK.

Sicherheitsaktionen

Android Enterprise unterstützt die folgenden Sicherheitsaktionen. Eine Beschreibung der einzelnen Sicherheitsaktionen finden Sie unter Sicherheitsaktionen.

Sicherheitsaktion Arbeitsprofil Vollständig verwaltet
Zertifikaterneuerung Ja Ja
Vollständig löschen Nein Ja
Orten Ja Ja
Sperren Ja Ja
Lock and Reset Password Nein Ja
Notify (Ring) Ja Ja
Widerrufen Ja Ja
Selektiv löschen Ja Nein

Hinweise zu Sicherheitsaktionen

  • Die Sicherheitsaktion zur Ortung funktioniert nur, wenn in der Standortrichtlinie der Standortmodus für das Gerät auf Hohe Genauigkeit oder Akku schonen festgelegt ist. Weitere Informationen finden Sie unter Standortrichtlinie für Geräte.

  • Auf Arbeitsprofilgeräten mit Android-Versionen vor Android 9.0 gilt Folgendes:

    • Die Aktion “Sperren und Kennwort zurücksetzen” wird nicht unterstützt.
  • Auf Arbeitsprofilgeräten mit Android 9.0 oder höher gilt Folgendes:

    • Der gesendete Passcode sperrt das Arbeitsprofil. Das Gerät selbst wird nicht gesperrt.
    • Wenn kein Passcode im Arbeitsprofil festgelegt ist:
      • Wenn kein Passcode gesendet wird oder der gesendete Passcode nicht den Anforderungen entspricht, wird das Gerät gesperrt.
    • Wenn ein Passcode für das Arbeitsprofil festgelegt ist:
      • Wenn kein Passcode gesendet wird oder der gesendete Passcode nicht den Anforderungen entspricht, wird nur das Arbeitsprofil gesperrt (nicht das Gerät selbst).
  • Auf vollständig verwalteten Geräte mit Arbeitsprofil (COPE-Geräte):

    • Sie können die Sicherheitsaktion “Sperren” auf das Gerät oder auf das Arbeitsprofil anwenden.

Registrierung für Android Enterprise-Unternehmen aufheben

Wenn Sie Ihr Android Enterprise-Unternehmen nicht mehr verwenden möchten, können Sie die Registrierung des Unternehmens aufheben.

Warnung:

Nachdem Sie die Registrierung eines Unternehmens aufheben, werden Android Enterprise-Apps auf Geräten, die bereits registriert wurden, auf die Standardeinstellungen zurückgesetzt. Google verwaltet die Geräte nicht mehr. Wenn Sie sich bei einem neuen Android Enterprise-Unternehmen registrieren, müssen Sie Apps für das neue Unternehmen von verwaltetem Google Play genehmigen. Anschließend können Sie die Apps in der XenMobile-Konsole aktualisieren.

Nachdem die Registrierung des Android Enterprise-Unternehmens aufgehoben wurde:

  • Für Geräte und Benutzer, die über das Unternehmen registriert sind, wurden die Android Enterprise-Apps auf die Standardeinstellung zurückgesetzt. Zuvor angewendete Richtlinien für verwaltete Konfigurationen haben keine Wirkung mehr auf Vorgänge.
  • XenMobile verwaltet Geräte, die über das Unternehmen registriert sind. Aus Sicht von Google werden diese Geräte nicht verwaltet. Sie können keine neuen Android Enterprise-Apps hinzufügen. Sie können keine Richtlinien für verwaltete Konfigurationen anwenden. Sie können auf diese Geräte andere Richtlinien anwenden, z. B. Planung, Kennwort und Einschränkungen.
  • Wenn Sie versuchen, Geräte in Android Enterprise zu registrieren, werden sie als Android-Geräte und nicht als Android Enterprise-Geräte registriert.

Heben Sie die Registrierung eines Android Enterprise-Unternehmens über die XenMobile Server-Konsole und XenMobile Tools auf.

Wenn Sie diese Aufgabe ausführen, öffnet XenMobile ein Popupfenster für XenMobile Tools. Bevor Sie beginnen, stellen Sie sicher, dass XenMobile im verwendeten Browser die Berechtigung hat, Popupfenster zu öffnen. In einigen Browsern, wie Google Chrome, müssen Sie die Popupblockierung deaktivieren und die Adresse der XenMobile-Site der Positivliste des Popupblockers hinzufügen.

Registrierung für Android Enterprise-Unternehmen aufheben:

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf der Seite “Einstellungen” auf Android Enterprise.

  3. Klicken Sie auf Registrierung aufheben.

    Registrierung aufheben (Option)