Produktdokumentation
XenMobile® Server
PDF anzeigen

Legacy Android Enterprise für Google Workspace (ehemals G Suite)-Kunden

April 29, 2026
Beitrag von: 
C C

Google Workspace (ehemals G Suite)-Kunden müssen die Legacy Android Enterprise-Einstellungen verwenden, um Legacy Android Enterprise zu konfigurieren.

Anforderungen für Legacy Android Enterprise:

  • Eine öffentlich zugängliche Domäne
  • Ein Google-Administratorkonto
  • Geräte, die verwaltete Profilunterstützung bieten und Android 5.0+ Lollipop ausführen
  • Ein Google-Konto mit installiertem Google Play
  • Ein auf dem Gerät eingerichtetes Arbeitsprofil

Um die Konfiguration eines Legacy Android Enterprise zu starten, klicken Sie auf Legacy Android Enterprise auf der Seite Android Enterprise in den XenMobile®-Einstellungen.

Image of legacy Android Enterprise option

Android Enterprise-Konto erstellen

Bevor Sie ein Android Enterprise-Konto einrichten können, müssen Sie Ihren Domänennamen bei Google verifizieren.

Wenn Sie Ihren Domänennamen bereits bei Google verifiziert haben, können Sie diesen Schritt überspringen: Einrichten eines Android Enterprise-Dienstkontos und Herunterladen eines Android Enterprise-Zertifikats.

  1. Navigieren Sie zu https://gsuite.google.com/signup/basic/welcome.

    Die folgende Seite wird angezeigt, auf der Sie Ihre Administrator- und Unternehmensinformationen eingeben.

    Image of account setup page

  2. Geben Sie Ihre Administrator-Benutzerinformationen ein.

    Image of administrator user information

  3. Geben Sie Ihre Unternehmensinformationen zusätzlich zu Ihren Administratorkontoinformationen ein.

    Image of company information screen

    Der erste Schritt des Prozesses ist abgeschlossen und Sie sehen die folgende Seite.

    Image of verification page.

Domäneninhaberschaft verifizieren

Lassen Sie Google Ihre Domäne auf eine der folgenden Weisen verifizieren:

  • Fügen Sie einen TXT- oder CNAME-Eintrag zur Website Ihres Domänenhosts hinzu.
  • Laden Sie eine HTML-Datei auf den Webserver Ihrer Domäne hoch.
  • Fügen Sie ein <meta>-Tag zu Ihrer Startseite hinzu. Google empfiehlt die erste Methode. Dieser Artikel behandelt nicht die Schritte zur Verifizierung Ihrer Domäneninhaberschaft, aber Sie finden die benötigten Informationen hier: https://support.google.com/a/answer/6248925.

  1. Klicken Sie auf Start, um die Verifizierung Ihrer Domäne zu beginnen.

    Die Seite Domäneninhaberschaft verifizieren wird angezeigt. Befolgen Sie die Anweisungen auf der Seite, um Ihre Domäne zu verifizieren.

  2. Klicken Sie auf Verifizieren.

    Image of the Verify button

    Image of the Verify confirmation

  3. Google verifiziert Ihre Domäneninhaberschaft.

    Image of domain ownership verification

  4. Nach erfolgreicher Verifizierung wird die folgende Seite angezeigt. Klicken Sie auf Weiter.

    Image of success confirmation page

  5. Google erstellt ein EMM-Bindungstoken, das Sie Citrix® zur Verfügung stellen und bei der Konfiguration der Android Enterprise-Einstellungen verwenden. Kopieren und speichern Sie das Token; Sie benötigen es später im Einrichtungsprozess.

    Image of binding token

  6. Klicken Sie auf Fertig stellen, um die Einrichtung von Android Enterprise abzuschließen. Eine Seite wird angezeigt, die bestätigt, dass Sie Ihre Domäne erfolgreich verifiziert haben.

Nachdem Sie ein Android Enterprise-Dienstkonto erstellt haben, können Sie sich bei der Google Admin-Konsole anmelden, um Ihre Mobilitätsmanagement-Einstellungen zu verwalten.

Ein Android Enterprise-Dienstkonto einrichten und ein Android Enterprise-Zertifikat herunterladen

Damit XenMobile Google Play- und Verzeichnisdienste kontaktieren kann, müssen Sie ein Dienstkonto über das Google Project-Portal für Entwickler erstellen. Dieses Dienstkonto wird für die Server-zu-Server-Kommunikation zwischen XenMobile und Google-Diensten für Android verwendet. Weitere Informationen zum verwendeten Authentifizierungsprotokoll finden Sie unter https://developers.google.com/identity/protocols/OAuth2ServiceAccount.

  1. Gehen Sie in einem Webbrowser zu https://console.cloud.google.com/project und melden Sie sich mit Ihren Google-Administratoranmeldeinformationen an.

  2. Klicken Sie in der Liste Projekte auf Projekt erstellen.

    Image of the Create Project option

  3. Geben Sie unter Projektname einen Namen für das Projekt ein.

    Image of the Project name option

  4. Klicken Sie im Dashboard auf Google APIs verwenden.

    Image of the Use Google APIs option

  5. Klicken Sie auf Bibliothek, geben Sie in Suchen den Begriff EMM ein und klicken Sie dann auf das Suchergebnis.

    Image of the EMM search option

  6. Klicken Sie auf der Seite Übersicht auf Aktivieren.

    Image of the Enable option

  7. Klicken Sie neben Google Play EMM API auf Zu Anmeldeinformationen wechseln.

    Image of the Go to Credentials option

  8. Klicken Sie in der Liste Anmeldeinformationen zu unserem Projekt hinzufügen in Schritt 1 auf Dienstkonto.

    Image of the service account option

  9. Klicken Sie auf der Seite Dienstkonten auf Dienstkonto erstellen.

    Image of the Create Service Account option

  10. Geben Sie unter Dienstkonto erstellen einen Namen für das Konto ein und aktivieren Sie das Kontrollkästchen Neuen privaten Schlüssel bereitstellen. Klicken Sie auf P12, aktivieren Sie das Kontrollkästchen Google Apps Domain-weite Delegierung aktivieren und klicken Sie dann auf Erstellen.

    Image of the Create service account options

    Das Zertifikat (P12-Datei) wird auf Ihren Computer heruntergeladen. Speichern Sie das Zertifikat unbedingt an einem sicheren Ort.

  11. Klicken Sie auf der Bestätigungsseite Dienstkonto erstellt auf Schließen.

    Image of the confirmation page

  12. Klicken Sie unter Berechtigungen auf Dienstkonten und dann unter Optionen für Ihr Dienstkonto auf Client-ID anzeigen.

    Image of the View Client ID option

  13. Die für die Kontoberechtigung in der Google Admin-Konsole erforderlichen Details werden angezeigt. Kopieren Sie die Client-ID und die Dienstkonto-ID an einen Ort, von dem Sie die Informationen später abrufen können. Sie benötigen diese Informationen zusammen mit dem Domänennamen, um sie an den Citrix Support zur Genehmigung zu senden.

    Image of the account authorization details

  14. Suchen Sie auf der Seite Bibliothek nach Admin SDK und klicken Sie dann auf das Suchergebnis.

    Image of the Admin SDK search

  15. Klicken Sie auf der Seite Übersicht auf Aktivieren.

    Image of the Enable button

  16. Öffnen Sie die Google Admin-Konsole für Ihre Domäne und klicken Sie dann auf Sicherheit.

    Image of the Security option

  17. Klicken Sie auf der Seite Einstellungen auf Mehr anzeigen und dann auf Erweiterte Einstellungen.

    Image of the Advanced settings

    Image of Advanced settings

  18. Klicken Sie auf API-Clientzugriff verwalten.

    Image of the Manage API client access option

  19. Geben Sie unter Clientname die zuvor gespeicherte Client-ID ein, geben Sie unter Ein oder mehrere API-Bereiche https://www.googleapis.com/auth/admin.directory.user ein und klicken Sie dann auf Autorisieren.

    Image of the Client name options

Bindung an EMM

Bevor Sie XenMobile zur Verwaltung Ihrer Android-Geräte verwenden können, müssen Sie den technischen Support von Citrix kontaktieren und Ihren Domänennamen, Ihr Dienstkonto und Ihr Bindungstoken angeben. Citrix bindet das Token als Ihren EMM-Anbieter (Enterprise Mobility Management) an XenMobile. Kontaktinformationen für den technischen Support von Citrix finden Sie unter Citrix Technical Support.

  1. Um die Bindung zu bestätigen, melden Sie sich beim Google Admin-Portal an und klicken Sie dann auf Sicherheit.

  2. Klicken Sie auf EMM-Anbieter für Android verwalten.

    Sie sehen, dass Ihr Google Android Enterprise-Konto an Citrix als Ihren EMM-Anbieter gebunden ist.

    Nachdem Sie die Token-Bindung bestätigt haben, können Sie die XenMobile-Konsole zur Verwaltung Ihrer Android-Geräte verwenden. Importieren Sie das in Schritt 14 generierte P12-Zertifikat. Richten Sie die Android Enterprise-Servereinstellungen ein, aktivieren Sie SAML-basiertes Single-Sign-On (SSO) und definieren Sie mindestens eine Android Enterprise-Geräterichtlinie.

    Image of the Manage EMM provide for Android options

Das P12-Zertifikat importieren

Führen Sie die folgenden Schritte aus, um Ihr Android Enterprise P12-Zertifikat zu importieren:

  1. Melden Sie sich bei der XenMobile-Konsole an.

  2. Klicken Sie auf das Zahnradsymbol in der oberen rechten Ecke der Konsole, um die Seite Einstellungen zu öffnen, und klicken Sie dann auf Zertifikate. Die Seite Zertifikate wird angezeigt.

    Image of the Certificates page

  3. Klicken Sie auf Importieren. Das Dialogfeld Importieren wird angezeigt.

    Image of the Import dialog box

    Konfigurieren Sie die folgenden Einstellungen:

    • Importieren: Wählen Sie in der Liste Keystore.
    • Keystore-Typ: Wählen Sie in der Liste PKCS#12.
    • Verwenden als: Wählen Sie in der Liste Server.
    • Keystore-Datei: Klicken Sie auf Durchsuchen und navigieren Sie zum P12-Zertifikat.
    • Passwort: Geben Sie das Keystore-Passwort ein.
    • Beschreibung: Geben Sie optional eine Beschreibung des Zertifikats ein.

  4. Klicken Sie auf Importieren.

Android Enterprise-Servereinstellungen einrichten

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol in der oberen rechten Ecke der Konsole. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf Android Enterprise. Die Seite Android Enterprise wird angezeigt.

    Image of the Android Enterprise page

    Konfigurieren Sie die folgenden Einstellungen und klicken Sie dann auf Speichern.

    • Domänenname: Geben Sie Ihren Android Enterprise-Domänennamen ein; zum Beispiel domain.com.
    • Domänen-Admin-Konto: Geben Sie Ihren Domänenadministrator-Benutzernamen ein; zum Beispiel das für das Google Developer Portal verwendete E-Mail-Konto.
    • Dienstkonto-ID: Geben Sie Ihre Dienstkonto-ID ein; zum Beispiel die im Google-Dienstkonto (serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com) zugeordnete E-Mail-Adresse.
    • Client-ID: Geben Sie die numerische Client-ID Ihres Google-Dienstkontos ein.
    • Android Enterprise aktivieren: Wählen Sie diese Option, um Android Enterprise zu aktivieren oder zu deaktivieren.

SAML-basiertes Single-Sign-On aktivieren

  1. Melden Sie sich bei der XenMobile-Konsole an.

  2. Klicken Sie auf das Zahnradsymbol in der oberen rechten Ecke der Konsole. Die Seite Einstellungen wird angezeigt.

  3. Klicken Sie auf Zertifikate. Die Seite Zertifikate wird angezeigt.

    Image of the Certificates page

  4. Klicken Sie in der Zertifikatsliste auf das SAML-Zertifikat.

  5. Klicken Sie auf Exportieren und speichern Sie das Zertifikat auf Ihrem Computer.

  6. Melden Sie sich mit Ihren Android Enterprise-Administratoranmeldeinformationen beim Google Admin-Portal an. Informationen zum Zugriff auf das Portal finden Sie im Google Admin-Portal.

  7. Klicken Sie auf Sicherheit.

    Abbildung der Option „Sicherheit“

  8. Klicken Sie unter Sicherheit auf Single Sign-On (SSO) einrichten und konfigurieren Sie dann die folgenden Einstellungen.

    Abbildung der SSO-Einstellungen

    • URL der Anmeldeseite: Geben Sie die URL für Benutzer ein, die sich bei Ihrem System und Google Apps anmelden. Beispiel: https://<Xenmobile-FQDN>/aw/saml/signin.
    • URL der Abmeldeseite: Geben Sie die URL ein, zu der Benutzer nach der Abmeldung weitergeleitet werden. Beispiel: https://<Xenmobile-FQDN>/aw/saml/signout.
    • URL zum Ändern des Kennworts: Geben Sie die URL ein, über die Benutzer ihr Kennwort in Ihrem System ändern können. Beispiel: https://<Xenmobile-FQDN>/aw/saml/changepassword. Wenn dieses Feld definiert ist, wird Benutzern diese Aufforderung auch dann angezeigt, wenn SSO nicht verfügbar ist.
    • Verifizierungszertifikat: Klicken Sie auf DATEI AUSWÄHLEN und navigieren Sie dann zu dem aus XenMobile exportierten SAML-Zertifikat.

  9. Klicken Sie auf ÄNDERUNGEN SPEICHERN.

Android Enterprise-Geräterichtlinie einrichten

Richten Sie eine Kenncode-Richtlinie ein, damit Benutzer beim ersten Registrieren einen Kenncode auf ihren Geräten festlegen müssen.

Abbildung der Kenncode-Richtlinienseite

Die grundlegenden Schritte zum Einrichten einer Geräterichtlinie sind wie folgt.

  1. Melden Sie sich bei der XenMobile-Konsole an.

  2. Klicken Sie auf Konfigurieren und dann auf Geräterichtlinien.

  3. Klicken Sie auf Hinzufügen und wählen Sie dann im Dialogfeld Neue Richtlinie hinzufügen die Richtlinie aus, die Sie hinzufügen möchten. In diesem Beispiel klicken Sie auf Kenncode.

  4. Füllen Sie die Seite Richtlinieninformationen aus.

  5. Klicken Sie auf Android Enterprise und konfigurieren Sie dann die Einstellungen für die Richtlinie.

  6. Weisen Sie die Richtlinie einer Bereitstellungsgruppe zu.

Android Enterprise-Kontoeinstellungen konfigurieren

Bevor Sie mit der Verwaltung von Android-Apps und -Richtlinien auf Geräten beginnen können, müssen Sie eine Android Enterprise-Domäne und Kontoinformationen in XenMobile einrichten. Zuerst müssen Sie die Android Enterprise-Setup-Aufgaben bei Google abschließen, um einen Domänenadministrator einzurichten und eine Dienstkonto-ID sowie ein Bindungstoken zu erhalten.

  1. Klicken Sie in der XenMobile-Webkonsole auf das Zahnradsymbol in der oberen rechten Ecke. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf Android Enterprise. Die Konfigurationsseite Android Enterprise wird angezeigt.

Abbildung der Android Enterprise-Konfigurationsseite

  1. Konfigurieren Sie auf der Seite Android Enterprise die folgenden Einstellungen:

    • Domänenname: Geben Sie Ihren Domänennamen ein.
    • Domänenadministratorkonto: Geben Sie den Benutzernamen Ihres Domänenadministrators ein.
    • Dienstkonto-ID: Geben Sie Ihre Google-Dienstkonto-ID ein.
    • Client-ID: Geben Sie die Client-ID Ihres Google-Dienstkontos ein.
    • Android Enterprise aktivieren: Wählen Sie aus, ob Android Enterprise aktiviert werden soll oder nicht.

  2. Klicken Sie auf Speichern.

Google Workspace-Partnerzugriff für XenMobile einrichten

Einige Endpunktverwaltungsfunktionen für Chrome verwenden Google-Partner-APIs zur Kommunikation zwischen XenMobile und Ihrer Google Workspace-Domäne. XenMobile benötigt die APIs beispielsweise für Geräterichtlinien, die Chrome-Funktionen wie den Inkognito-Modus und den Gastmodus verwalten.

Um die Partner-APIs zu aktivieren, richten Sie Ihre Google Workspace-Domäne in der XenMobile-Konsole ein und konfigurieren dann Ihr Google Workspace-Konto.

Ihre Google Workspace-Domäne (ehemals G Suite) in XenMobile einrichten

Um XenMobile die Kommunikation mit den APIs in Ihrer Google Workspace-Domäne zu ermöglichen, gehen Sie zu Einstellungen > Google Chrome-Konfiguration und konfigurieren Sie die Einstellungen.

  • G Suite-Domäne: Die Google Workspace-Domäne, die die von XenMobile benötigten APIs hostet.
  • G Suite-Administratorkonto: Das Administratorkonto für Ihre G Suite-Domäne.
  • G Suite-Client-ID: Die Client-ID für Citrix. Verwenden Sie diesen Wert, um den Partnerzugriff für Ihre Google Workspace-Domäne zu konfigurieren.
  • G Suite-Unternehmens-ID: Die Unternehmens-ID für Ihr Konto, die aus Ihrem Google-Unternehmenskonto übernommen wird.

Partnerzugriff für Geräte und Benutzer in Ihrer Google Workspace-Domäne aktivieren

  1. Melden Sie sich bei der Google Admin-Konsole an: https://admin.google.com

  2. Klicken Sie auf Geräteverwaltung.

    Abbildung der Google-Administratorkonsole

  3. Klicken Sie auf Chrome-Verwaltung.

    Abbildung der Google-Administratorkonsole

  4. Klicken Sie auf Benutzereinstellungen.

    Abbildung der Google-Administratorkonsole

  5. Suchen Sie nach Chrome-Verwaltung – Partnerzugriff.

    Abbildung der Google-Administratorkonsole

  6. Aktivieren Sie das Kontrollkästchen Chrome-Verwaltung – Partnerzugriff aktivieren.

  7. Bestätigen Sie, dass Sie den Partnerzugriff verstehen und aktivieren möchten. Klicken Sie auf Speichern.

  8. Klicken Sie auf der Seite „Chrome-Verwaltung“ auf Geräteeinstellungen.

    Abbildung der Google-Administratorkonsole

  9. Suchen Sie nach Chrome-Verwaltung – Partnerzugriff.

    Abbildung der Google-Administratorkonsole

  10. Aktivieren Sie das Kontrollkästchen Chrome-Verwaltung – Partnerzugriff aktivieren.

  11. Bestätigen Sie, dass Sie den Partnerzugriff verstehen und aktivieren möchten. Klicken Sie auf Speichern.

  12. Gehen Sie zur Seite Sicherheit und klicken Sie dann auf Erweiterte Einstellungen.

    Abbildung der Google-Administratorkonsole

  13. Klicken Sie auf API-Clientzugriff verwalten.

  14. Gehen Sie in der XenMobile-Konsole zu Einstellungen > Google Chrome-Konfiguration und kopieren Sie den Wert der Google Workspace-Client-ID. Kehren Sie dann zur Seite API-Clientzugriff verwalten zurück und fügen Sie den kopierten Wert in das Feld Clientname ein.

  15. Fügen Sie unter Ein oder mehrere API-Bereiche die URL hinzu: https://www.googleapis.com/auth/chromedevicemanagementapi

    Abbildung der Google-Administratorkonsole

  16. Klicken Sie auf Autorisieren.

    Die Meldung „Ihre Einstellungen wurden gespeichert“ wird angezeigt.

Abbildung des Konfigurationsbildschirms für Geräterichtlinien

Registrieren von Android Enterprise-Geräten

Wenn Ihr Geräteregistrierungsprozess die Eingabe eines Benutzernamens oder einer Benutzer-ID erfordert, hängt das akzeptierte Format davon ab, wie der XenMobile Server für die Benutzersuche nach User Principal Name (UPN) oder SAM-Kontoname konfiguriert ist.

Wenn der XenMobile Server für die Benutzersuche nach UPN konfiguriert ist, müssen Benutzer einen UPN im Format eingeben:

  • Benutzername@Domäne

Wenn der XenMobile Server für die Benutzersuche nach SAM konfiguriert ist, müssen Benutzer einen SAM in einem dieser Formate eingeben:

  • Benutzername@Domäne
  • Domäne\Benutzername

Um festzustellen, welcher Benutzernamentyp für Ihren XenMobile Server konfiguriert ist:

  1. Klicken Sie in der XenMobile Server-Konsole auf das Zahnradsymbol in der oberen rechten Ecke. Die Seite Einstellungen wird angezeigt.
  2. Klicken Sie auf LDAP, um die Konfiguration der LDAP-Verbindung anzuzeigen.

  3. Sehen Sie sich unten auf der Seite das Feld Benutzersuche nach an:

    • Wenn es auf userPrincipalName eingestellt ist, ist der XenMobile Server für UPN konfiguriert.
    • Wenn es auf sAMAccountName eingestellt ist, ist der XenMobile Server für SAM konfiguriert.

Aufheben der Registrierung eines Android Enterprise-Unternehmens

Sie können die Registrierung eines Android Enterprise-Unternehmens über die XenMobile Server-Konsole und die XenMobile Tools aufheben.

Wenn Sie diese Aufgabe ausführen, öffnet der XenMobile Server ein Popup-Fenster für die XenMobile Tools. Stellen Sie vor Beginn sicher, dass der XenMobile Server die Berechtigung hat, Popup-Fenster in dem von Ihnen verwendeten Browser zu öffnen. Einige Browser, wie Google Chrome, erfordern, dass Sie das Blockieren von Popups deaktivieren und die Adresse der XenMobile-Website zur Zulassungsliste für Popups hinzufügen.

Warnung:

Nachdem die Registrierung eines Unternehmens aufgehoben wurde, werden Android Enterprise-Apps auf Geräten, die bereits darüber registriert wurden, auf ihren Standardzustand zurückgesetzt. Die Geräte werden nicht mehr von Google verwaltet. Eine erneute Registrierung in einem Android Enterprise-Unternehmen stellt die vorherige Funktionalität möglicherweise nicht ohne weitere Konfiguration wieder her.

Nachdem die Registrierung des Android Enterprise-Unternehmens aufgehoben wurde:

  • Geräte und Benutzer, die über das Unternehmen registriert wurden, erhalten die Android Enterprise-Apps auf ihren Standardzustand zurückgesetzt. Zuvor angewendete Richtlinien für Android Enterprise-App-Berechtigungen und Android Enterprise-App-Einschränkungen haben keine Auswirkungen mehr.
  • Geräte, die über das Unternehmen registriert wurden, werden von XenMobile verwaltet, sind aber aus Google-Sicht nicht verwaltet. Es können keine neuen Android Enterprise-Apps hinzugefügt werden. Es können keine Richtlinien für Android Enterprise-App-Berechtigungen oder Android Enterprise-App-Einschränkungen angewendet werden. Andere Richtlinien, wie Zeitplanung, Kennwort und Einschränkungen, können weiterhin auf diese Geräte angewendet werden.
  • Wenn Sie versuchen, Geräte in Android Enterprise zu registrieren, werden sie als Android-Geräte und nicht als Android Enterprise-Geräte registriert.

So heben Sie die Registrierung eines Android Enterprise-Unternehmens auf:

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol in der oberen rechten Ecke. Die Seite „Einstellungen“ wird angezeigt.

  2. Auf der Seite „Einstellungen“ klicken Sie auf Android Enterprise.

  3. Klicken Sie auf Unternehmen entfernen.

    Abbildung der Option „Unternehmen entfernen“

  4. Geben Sie ein Kennwort an. Sie benötigen dieses Kennwort für den nächsten Schritt, um die Aufhebung der Registrierung abzuschließen. Klicken Sie dann auf Registrierung aufheben.

    Abbildung der Option „Registrierung aufheben“

  5. Wenn die Seite „XenMobile Tools“ geöffnet wird, geben Sie das im vorherigen Schritt erstellte Kennwort ein.

    Abbildung des Kennwortfelds

  6. Klicken Sie auf Registrierung aufheben.

    Abbildung der Option „Registrierung aufheben“

Bereitstellen vollständig verwalteter Geräte in Android Enterprise

Nur unternehmenseigene Geräte können vollständig verwaltete Geräte für Android Enterprise sein. Auf vollständig verwalteten Geräten wird das gesamte Gerät, nicht nur das Arbeitsprofil, vom Unternehmen oder der Organisation kontrolliert. Vollständig verwaltete Geräte werden auch als arbeitsverwaltete Geräte bezeichnet.

XenMobile unterstützt die folgenden Registrierungsmethoden für vollständig verwaltete Geräte:

  • afw#xenmobile: Bei dieser Registrierungsmethode gibt der Benutzer beim Einrichten des Geräts die Zeichen „afw#xenmobile“ ein. Dieses Token identifiziert das Gerät als von XenMobile verwaltet und lädt den Secure Hub herunter.
  • QR-Code: Die QR-Code-Bereitstellung ist eine einfache Möglichkeit, eine verteilte Flotte von Geräten bereitzustellen, die NFC nicht unterstützen, wie z. B. Tablets. Die QR-Code-Registrierungsmethode kann auf Flottengeräten verwendet werden, die auf die Werkseinstellungen zurückgesetzt wurden. Die QR-Code-Registrierungsmethode richtet vollständig verwaltete Geräte ein und konfiguriert sie durch Scannen eines QR-Codes aus dem Einrichtungsassistenten.
  • Near Field Communication (NFC) Bump: Die NFC-Bump-Registrierungsmethode kann auf Flottengeräten verwendet werden, die auf die Werkseinstellungen zurückgesetzt wurden. Ein NFC-Bump überträgt Daten zwischen zwei Geräten mithilfe von Near Field Communication. Bluetooth, Wi-Fi und andere Kommunikationsmodi sind auf einem auf die Werkseinstellungen zurückgesetzten Gerät deaktiviert. NFC ist das einzige Kommunikationsprotokoll, das das Gerät in diesem Zustand verwenden kann.

afw#xenmobile

Die Registrierungsmethode wird nach dem Einschalten eines neuen oder auf die Werkseinstellungen zurückgesetzten Geräts für die Ersteinrichtung verwendet. Benutzer geben „afw#xenmobile“ ein, wenn sie zur Eingabe eines Google-Kontos aufgefordert werden. Diese Aktion lädt Secure Hub herunter und installiert es. Benutzer folgen dann den Secure Hub-Einrichtungsaufforderungen, um die Registrierung abzuschließen.

Diese Registrierungsmethode wird den meisten Kunden empfohlen, da die neueste Version von Secure Hub aus dem Google Play Store heruntergeladen wird. Im Gegensatz zu anderen Registrierungsmethoden stellen Sie Secure Hub nicht zum Download vom XenMobile Server bereit.

Voraussetzungen:

  • Unterstützt auf allen Android-Geräten mit Android 5.0 und höher.

QR-Code

Um ein Gerät im Gerätemodus mithilfe eines QR-Codes zu registrieren, generieren Sie einen QR-Code, indem Sie ein JSON erstellen und das JSON in einen QR-Code konvertieren. Gerätekameras scannen den QR-Code, um das Gerät zu registrieren.

Voraussetzungen:

  • Unterstützt auf allen Android-Geräten mit Android 7.0 und höher.

Erstellen eines QR-Codes aus einem JSON

Erstellen Sie ein JSON mit den folgenden Feldern.

Diese Felder sind erforderlich:

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Value: com.zenprise/com.zenprise.configuration.AdminFunction

Key: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Value: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Key: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Value: https://path/to/securehub.apk

Hinweis:

Wenn Secure Hub als Unternehmens-App auf den Citrix XenMobile Server hochgeladen wird, kann es von https://<fqdn>:4443/*instanceName*/worxhome.apk heruntergeladen werden. Der Pfad zur Secure Hub-APK muss über die WLAN-Verbindung zugänglich sein, mit der sich das Gerät während der Bereitstellung verbindet.

Diese Felder sind optional:

  • android.app.extra.PROVISIONING_LOCALE: Geben Sie Sprach- und Ländercodes ein.

    Die Sprachcodes sind zweistellige Kleinbuchstaben-ISO-Sprachcodes (wie z. B. en), wie in ISO 639-1 definiert. Die Ländercodes sind zweistellige Großbuchstaben-ISO-Ländercodes (wie z. B. US), wie in ISO 3166-1 definiert. Geben Sie beispielsweise en_US für Englisch ein, wie es in den Vereinigten Staaten gesprochen wird.

  • android.app.extra.PROVISIONING_TIME_ZONE: Die Zeitzone, in der das Gerät ausgeführt wird.

    Geben Sie einen Olson-Namen der Form Bereich/Ort ein. Zum Beispiel America/Los_Angeles für die Pazifische Zeit. Wenn Sie keine eingeben, wird die Zeitzone automatisch ausgefüllt.

  • android.app.extra.PROVISIONING_LOCAL_TIME: Zeit in Millisekunden seit der Epoche.

    Die Unix-Epoche (oder Unix-Zeit, POSIX-Zeit oder Unix-Zeitstempel) ist die Anzahl der Sekunden, die seit dem 1. Januar 1970 (Mitternacht UTC/GMT) vergangen sind. Die Zeit enthält keine Schaltsekunden (in ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: Setzen Sie auf true, um die Verschlüsselung während der Profilerstellung zu überspringen. Setzen Sie auf false, um die Verschlüsselung während der Profilerstellung zu erzwingen.

Ein typisches JSON sieht wie folgt aus:

Abbildung eines typischen JSON

Validieren Sie das erstellte JSON mit einem beliebigen JSON-Validierungstool, wie z. B. https://jsonlint.com. Konvertieren Sie diesen JSON-String mit einem beliebigen Online-QR-Code-Generator, wie z. B. https://goqr.me, in einen QR-Code.

Dieser QR-Code wird von einem auf Werkseinstellungen zurückgesetzten Gerät gescannt, um das Gerät im Modus für geschäftlich verwaltete Geräte zu registrieren.

So registrieren Sie das Gerät

Um ein Gerät als vollständig verwaltetes Gerät zu registrieren, muss sich das Gerät im Werkszustand befinden.

  1. Tippen Sie auf dem Begrüßungsbildschirm sechsmal auf den Bildschirm, um den QR-Code-Registrierungsablauf zu starten.

  2. Wenn Sie dazu aufgefordert werden, stellen Sie eine Verbindung zum WLAN her. Der Download-Speicherort für Secure Hub im QR-Code (im JSON codiert) muss über dieses WLAN-Netzwerk zugänglich sein.

    Sobald das Gerät erfolgreich eine Verbindung zum WLAN hergestellt hat, lädt es einen QR-Code-Leser von Google herunter und startet die Kamera.

  3. Richten Sie die Kamera auf den QR-Code, um den Code zu scannen.

    Android lädt Secure Hub vom Download-Speicherort im QR-Code herunter, validiert die Signatur des Signaturzertifikats, installiert Secure Hub und legt es als Gerätebesitzer fest.

Weitere Informationen finden Sie in diesem Google-Leitfaden für Android EMM-Entwickler: https://developers.google.com/android/work/prov-devices#qr_code_method.

NFC-Bump

Um ein Gerät als vollständig verwaltetes Gerät mithilfe von NFC-Bumps zu registrieren, sind zwei Geräte erforderlich: Eines, das auf die Werkseinstellungen zurückgesetzt wurde, und eines, auf dem das XenMobile Provisioning Tool ausgeführt wird.

Voraussetzungen:

  • Unterstützt auf allen Android-Geräten mit Android 5.0, Android 5.1, Android 6.0 und höher.
  • Ein XenMobile Server Version 10.4, der für Android Enterprise aktiviert ist.
  • Ein neues oder auf Werkseinstellungen zurückgesetztes Gerät, das für Android Enterprise als vollständig verwaltetes Gerät bereitgestellt wurde. Schritte zum Erfüllen dieser Voraussetzung finden Sie später in diesem Artikel.
  • Ein weiteres Gerät mit NFC-Funktion, auf dem das konfigurierte Provisioning Tool ausgeführt wird. Das Provisioning Tool ist in Secure Hub 10.4 oder auf der Citrix Download-Seite verfügbar.

Jedes Gerät kann nur ein Android Enterprise-Profil haben, das von einer Enterprise Mobility Management (EMM)-App verwaltet wird. In XenMobile ist Secure Hub die EMM-App. Nur ein Profil ist auf jedem Gerät zulässig. Der Versuch, eine zweite EMM-App hinzuzufügen, entfernt die erste EMM-App.

Datenübertragung per NFC-Bump

Die Bereitstellung eines auf Werkseinstellungen zurückgesetzten Geräts erfordert, dass Sie die folgenden Daten über einen NFC-Bump senden, um Android Enterprise zu initialisieren:

  • Paketname der EMM-Anbieter-App, die als Gerätebesitzer fungiert (in diesem Fall Secure Hub).
  • Intranet-/Internet-Speicherort, von dem das Gerät die EMM-Anbieter-App herunterladen kann.
  • SHA1-Hash der EMM-Anbieter-App, um zu überprüfen, ob der Download erfolgreich war.
  • WLAN-Verbindungsdetails, damit sich ein auf Werkseinstellungen zurückgesetztes Gerät verbinden und die EMM-Anbieter-App herunterladen kann. Hinweis: Android unterstützt für diesen Schritt kein 802.1x Wi-Fi mehr.
  • Zeitzone für das Gerät (optional).
  • Geografischer Standort für das Gerät (optional).

Wenn die beiden Geräte aneinandergehalten werden, werden die Daten vom Provisioning Tool an das auf Werkseinstellungen zurückgesetzte Gerät gesendet. Diese Daten werden dann verwendet, um Secure Hub mit Administratoreinstellungen herunterzuladen. Wenn Sie keine Zeitzonen- und Standortwerte eingeben, konfiguriert Android die Werte auf dem neuen Gerät automatisch.

Konfigurieren des XenMobile Provisioning Tools

Bevor Sie einen NFC-Bump durchführen, müssen Sie das Provisioning Tool konfigurieren. Diese Konfiguration wird dann während des NFC-Bumps an das auf Werkseinstellungen zurückgesetzte Gerät übertragen.

Abbildung der Konfiguration des Provisioning Tools

Sie können Daten in die erforderlichen Felder eingeben oder diese über eine Textdatei füllen. Die Schritte im nächsten Verfahren beschreiben, wie die Textdatei konfiguriert wird und enthalten Beschreibungen für jedes Feld. Die App speichert Informationen nach der Eingabe nicht, daher sollten Sie eine Textdatei erstellen, um die Informationen für die zukünftige Verwendung aufzubewahren.

So konfigurieren Sie das Provisioning Tool mithilfe einer Textdatei

Nennen Sie die Datei nfcprovisioning.txt und legen Sie die Datei im Ordner /sdcard/ auf der SD-Karte des Geräts ab. Die App kann dann die Textdatei lesen und die Werte ausfüllen.

Die Textdatei muss die folgenden Daten enthalten:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Diese Zeile ist der Intranet-/Internet-Speicherort der EMM-Anbieter-App. Nachdem sich das auf Werkseinstellungen zurückgesetzte Gerät nach dem NFC-Bump mit dem WLAN verbunden hat, muss das Gerät Zugriff auf diesen Speicherort zum Herunterladen haben. Die URL ist eine reguläre URL, für die keine spezielle Formatierung erforderlich ist.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Diese Zeile ist die Prüfsumme der EMM-Anbieter-App. Diese Prüfsumme wird verwendet, um zu überprüfen, ob der Download erfolgreich war. Schritte zum Abrufen der Prüfsumme werden später in diesem Artikel erläutert.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Diese Zeile ist die verbundene WLAN-SSID des Geräts, auf dem das Provisioning Tool ausgeführt wird.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Unterstützte Werte sind WEP und WPA2. Wenn das WLAN ungeschützt ist, muss dieses Feld leer sein.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wenn das WLAN ungeschützt ist, muss dieses Feld leer sein.

android.app.extra.PROVISIONING_LOCALE=<locale>

Geben Sie Sprach- und Ländercodes ein. Die Sprachcodes sind zweistellige Kleinbuchstaben-ISO-Sprachcodes (wie z. B. en), wie in ISO 639-1 definiert. Die Ländercodes sind zweistellige Großbuchstaben-ISO-Ländercodes (wie z. B. US), wie in ISO 3166-1 definiert. Geben Sie beispielsweise en_US für Englisch ein, wie es in den Vereinigten Staaten gesprochen wird. Wenn Sie keine Codes eingeben, werden Land und Sprache automatisch ausgefüllt.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

Die Zeitzone, in der das Gerät ausgeführt wird. Geben Sie einen Olson-Namen der Form Bereich/Ort ein. Zum Beispiel America/Los_Angeles für die Pazifische Zeit. Wenn Sie keinen Namen eingeben, wird die Zeitzone automatisch ausgefüllt.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Diese Daten sind nicht erforderlich, da der Wert in der App als Secure Hub fest codiert ist. Er wird hier nur der Vollständigkeit halber erwähnt.

Wenn ein WLAN mit WPA2 geschützt ist, könnte eine ausgefüllte nfcprovisioning.txt-Datei wie folgt aussehen:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Wenn ein ungeschütztes WLAN vorhanden ist, könnte eine ausgefüllte nfcprovisioning.txt-Datei wie folgt aussehen:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

So erhalten Sie die Secure Hub-Prüfsumme

Um die Prüfsumme einer beliebigen App zu erhalten, fügen Sie die App als Unternehmens-App hinzu.

  1. Gehen Sie in der XenMobile-Konsole zu Konfigurieren > Apps und klicken Sie dann auf Hinzufügen.

    Das Fenster Apps hinzufügen wird angezeigt.

  2. Klicken Sie auf Unternehmen.

    Die Seite App-Informationen wird angezeigt.

    Abbildung der Seite "App-Informationen"

  3. Wählen Sie die folgende Konfiguration aus und klicken Sie dann auf Weiter.

    Die Seite Android Enterprise Enterprise App wird angezeigt.

    Abbildung der Android Enterprise App

  4. Geben Sie den Pfad zur .apk an und klicken Sie dann auf Weiter, um die Datei hochzuladen.

    Sobald der Upload abgeschlossen ist, werden die Details des hochgeladenen Pakets angezeigt.

    Abbildung der Dateiupload-Seite

  5. Klicken Sie auf Weiter, um die Seite zum Herunterladen der JSON-Datei zu öffnen, die Sie dann zum Hochladen in Google Play verwenden. Für Secure Hub ist das Hochladen in Google Play nicht erforderlich, aber Sie benötigen die JSON-Datei, um den SHA1-Wert daraus zu lesen.

    Abbildung der Download-Seite für die JSON-Datei

    Eine typische JSON-Datei sieht wie folgt aus:

    Abbildung einer typischen JSON-Datei

  6. Kopieren Sie den file_sha1_base64-Wert und verwenden Sie ihn im Feld Hash im Provisioning Tool.

    Hinweis:

    Der Hash muss URL-sicher sein.

    • Konvertieren Sie alle +-Symbole in -
    • Konvertieren Sie alle /-Symbole in _
    • Ersetzen Sie das nachgestellte \u003d durch =

    Wenn Sie den Hash in der Datei nfcprovisioning.txt auf der SD-Karte des Geräts speichern, führt die App die Sicherheitskonvertierung durch. Wenn Sie den Hash jedoch manuell eingeben, liegt es in Ihrer Verantwortung, dessen URL-Sicherheit zu gewährleisten.

Verwendete Bibliotheken

Das Provisioning Tool verwendet die folgenden Bibliotheken in seinem Quellcode:

  • v7 appcompat library, Design support library und v7 Palette library von Google unter Apache-Lizenz 2.0

    Weitere Informationen finden Sie unter Support Library Features Guide.

  • Butter Knife von Jake Wharton unter Apache-Lizenz 2.0

Bereitstellen eines Geräts mit Arbeitsprofil in Android Enterprise

Auf Geräten mit Arbeitsprofil in Android Enterprise trennen Sie die Unternehmens- und persönlichen Bereiche auf einem Gerät sicher voneinander. Zum Beispiel können BYOD-Geräte Arbeitsprofilgeräte sein. Die Registrierungserfahrung für Arbeitsprofilgeräte ähnelt der Android-Registrierung in XenMobile. Benutzer laden Secure Hub von Google Play herunter und registrieren ihre Geräte.

Standardmäßig sind die Einstellungen für USB-Debugging und unbekannte Quellen auf einem Gerät deaktiviert, wenn es in Android Enterprise als Arbeitsprofilgerät registriert wird.

Tipp:

Wenn Sie Geräte in Android Enterprise als Arbeitsprofilgeräte registrieren, gehen Sie immer zu Google Play. Aktivieren Sie dort Secure Hub, damit es im persönlichen Profil des Benutzers angezeigt wird.

Legacy Android Enterprise für Google Workspace (ehemals G Suite)-Kunden
April 29, 2026
Beitrag von: 
C C
April 29, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.