Neue Features in XenMobile Server 10.8

XenMobile Server 10.8 (PDF-Download)

Weitere Informationen finden Sie unter Upgrade.

Wichtig:

Vor dem Upgrade auf XenMobile 10.8:

Aktualisieren Sie den Citrix Lizenzserver auf 11.14.x oder höher, bevor Sie die aktuelle Version von XenMobile Server 10.8 installieren.

Für Clusterumgebungen: Um Apps aus dem XenMobile Store auf Geräten mit iOS 11 zu installieren, müssen Sie Port 80 auf dem XenMobile Server aktivieren.

Nach dem Upgrade auf XenMobile 10.8:

Wenn Funktionen, für die ausgehende Verbindungen eingesetzt werden, nicht mehr funktionieren und Sie die Verbindungskonfiguration nicht geändert haben, überprüfen Sie das XenMobile Server-Protokoll auf Fehlermeldungen wie etwa “Unable to connect to the VPP Server: Host name ‘192.0.2.0’ does not match the certificate subject provided by the peer.”

Wird ein Fehler bei der Zertifikatvalidierung gemeldet, deaktivieren Sie die Hostnamenüberprüfung unter XenMobile Server. In der Standardeinstellung ist die Hostnamenüberprüfung für ausgehende Verbindungen mit Ausnahme des Microsoft PKI-Servers aktiviert. Wenn die Hostnamenüberprüfung Fehler in der Bereitstellung verursacht, ändern Sie die Servereigenschaft disable.hostname.verification in True. Der Standardwert dieser Eigenschaft ist false.

Informationen zu Fehlerkorrekturen finden Sie unter Behobene Probleme.

Wichtig:

TouchDown von Symantec hat am 3. Juli 2017 das Ende des Lebenszyklus erreicht, der Support wird in aller Form am 2. Juli 2018 eingestellt. Weitere Informationen finden Sie in dem Artikel des Symantec-Supports TouchDown End-of-Life, End-of-Availability, and End-of-Support announcement.

Installieren von Offlinekarten auf betreuten Windows 10 Phone-Geräten

Windows 10 Phone-Geräte unterstützen Offlinekarten. Verwenden Sie die Geräterichtlinie “Karten”, um anzugeben, welche Karten auf Geräte heruntergeladen werden sollen. Der Configuration Service Provider Microsoft Maps unterstützt derzeit Karten von Deutschland, Großbritannien und den USA.

Abbildung des Bildschirms zur Konfiguration von Geräterichtlinien

Neue Einschränkungen für betreute iOS-Geräte

Die folgenden Einschränkungen sind jetzt für iOS-Geräte im betreuten Modus verfügbar: Für jede Einschränkung wird die Mindestversion angegeben.

  • Classroom-App erlauben, die Bildschirme von Schülern remote zu beobachten: Wenn diese Einschränkung deaktiviert ist, können Lehrkräfte die Bildschirme von Lernenden nicht mit der Classroom-App remote beobachten. In der Standardeinstellung ist die Einschränkung aktiviert, d. h. Lehrkräfte können die App zum Beobachten der Bildschirme verwenden. Die Einstellung Classroom-App die Verwendung von AirPlay und Bildschirmansicht ohne Aufforderung ermöglichen legt fest, ob Lernende eine Aufforderung erhalten, die Bildschirmansicht durch die Lehrkraft zuzulassen. Für Geräte im betreuten Modus mit iOS 9.3 (Mindestversion).
  • Classroom-App die Verwendung von AirPlay und Bildschirmansicht ohne Aufforderung ermöglichen: Wenn diese Einschränkung ausgewählt ist, kann die Lehrkraft AirPlay und Bildschirmansichten ausführen, ohne dass der Lernende zur Erteilung einer entsprechenden Berechtigung aufgefordert wird. Die Einstellung ist standardmäßig deaktiviert. Für Geräte im betreuten Modus mit iOS 10.3 (Mindestversion).
  • Classroom-App das Sperren einer App und des Geräts ohne Aufforderung erlauben: Wenn diese Einschränkung auf Ein festgelegt ist, ist das Sperren von Geräten auf eine App und das Sperren von Geräten ohne Aufforderung an die Benutzer möglich. Die Standardeinstellung ist Aus. Für Geräte im betreuten Modus mit iOS 11 (Mindestversion).
  • Automatische Teilnahme an Klassen der Classroom-App ohne Aufforderung: Wenn diese Einschränkung auf Ein festgelegt ist, werden Benutzer automatisch und ohne Aufforderung Classroom-Klassen hinzugefügt. Die Standardeinstellung ist Aus. Für Geräte im betreuten Modus mit iOS 11 (Mindestversion).
  • AirPrint zulassen: Wenn diese Einschränkung auf Aus festgelegt ist, können Benutzer nicht über AirPrint drucken. Die Standardeinstellung ist Ein. Wenn diese Einschränkung auf Ein festgelegt ist, erscheinen die nachfolgend aufgeführten zusätzlichen Einschränkungen. Für Geräte im betreuten Modus mit iOS 11 (Mindestversion).
  • Speichern von AirPrint-Anmeldeinformationen in Schlüsselbund zulassen: Wenn diese Einschränkung deaktiviert ist, werden AirPrint-Benutzername und -Kennwort nicht im Schlüsselbund gespeichert. Die Einstellung ist standardmäßig aktiviert. Für Geräte im betreuten Modus mit iOS 11 (Mindestversion).
  • Ermittlung von AirPrint-Druckern mit iBeacons zulassen: Wenn diese Einschränkung deaktiviert ist, ist die iBeacon-Erkennung von AirPrint-Druckern deaktiviert. Deaktivieren der Erkennung verhindert ein Netzwerkverkehrs-Phishing durch gefälschte AirPrint-Bluetooth-Beacons. Die Einstellung ist standardmäßig aktiviert. Für Geräte im betreuten Modus mit iOS 11 (Mindestversion).
  • AirPrint nur bei Zielen mit vertrauenswürdigen Zertifikaten zulassen: Wenn diese Einschränkung aktiviert ist, können die Benutzer AirPrint nur für Ziele mit vertrauenswürdigen Zertifikaten verwenden. Die Einstellung ist standardmäßig deaktiviert. Für Geräte im betreuten Modus mit iOS 11 (Mindestversion).
  • Hinzufügen von VPN-Konfigurationen: Wenn diese Einschränkung auf Aus festgelegt ist, können die Benutzer keine VPN-Konfigurationen erstellen. Die Standardeinstellung ist Ein. Für Geräte im betreuten Modus mit iOS 11 (Mindestversion).
  • Einstellungen für Mobilnetzabo ändern: Wenn diese Einschränkung auf Aus festgelegt ist, können die Benutzer keine Mobilnetzabo-Einstellungen ändern. Die Standardeinstellung ist Ein. Für Geräte im betreuten Modus mit iOS 11 (Mindestversion).
  • System-Apps entfernen: Wenn diese Einschränkung auf Aus festgelegt ist, können die Benutzer keine System-Apps von Geräten entfernen. Die Standardeinstellung ist Ein. Für Geräte im betreuten Modus mit iOS 11 (Mindestversion).
  • Einrichten neuer Geräte in der Nähe: Wenn diese Einschränkung auf Aus festgelegt ist, können die Benutzer keine neuen Geräte in der Nähe einrichten. Die Standardeinstellung ist Ein. Für Geräte im betreuten Modus mit iOS 11 (Mindestversion).

Um diese Einschränkungen zu konfigurieren, navigieren Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen zur Konfiguration von Einschränkungen finden Sie unter Geräteeinschränkungsrichtlinie.

Abbildung des Bildschirms zur Konfiguration von Geräterichtlinien

Abbildung des Bildschirms zur Konfiguration von Geräterichtlinien

Darüber hinaus können Sie jetzt den Bildschirm zur Tastaturauswahl im Setupassistenten überspringen. Bearbeiten Sie hierzu die Einschränkungsrichtlinie für iOS und wählen Sie im Systemeinstellungsbereich die Option Tastatur.

Festlegen der Anzeige von App-Benachrichtigungen auf iOS-Geräten

Mit der App-Benachrichtigungsrichtlinie können Sie steuern, wie iOS-Benutzer Benachrichtigungen von bestimmten Apps erhalten. Die Richtlinie wird auf Geräten mit iOS 9.3 oder Nachfolgeversionen unterstützt. Zum Hinzufügen der Richtlinie gehen Sie zu Konfigurieren > Geräterichtlinien.

Abbildung des Bildschirms zur Konfiguration von Geräterichtlinien

Konfigurieren Sie die Benachrichtigungseinstellungen:

  • App-Paket-ID: Geben Sie die Apps an, auf die Sie die Richtlinie anwenden möchten.
  • Benachrichtigungen zulassen: Wählen Sie EIN, um Benachrichtigungen zuzulassen.
  • Im Mitteilungszentrale anzeigen: Wählen Sie EIN, um Benachrichtigungen in der Mitteilungszentrale der Geräte anzuzeigen.
  • Kennzeichenzähler: Wählen Sie EIN, um einen Kennzeichenzähler mit Benachrichtigungen anzuzeigen.
  • Töne: Wählen Sie EIN, um bei Benachrichtigungen Töne abzuspielen.
  • Im Sperrbildschirm: Wählen Sie EIN, um Benachrichtigungen im Sperrbildschirm der Benutzergeräte anzuzeigen.
  • Hinweisstil (entsperrt): Wählen Sie in der Liste Keine, Banner oder Warnungen, um das Erscheinungsbild von Hinweisen bei entsperrtem Gerät zu konfigurieren.

Unterstützung für den neuen Cisco AnyConnect VPN-Client für iOS

Cisco lässt den Cisco AnyConnect-Client auslaufen, der auf einem mittlerweile veralteten VPN-Framework basiert. Cisco hat diesen Client in Cisco Legacy AnyConnect umbenannt. Die Paket-ID bleibt weiterhin “com.cisco.anyconnect.gui”.

Cisco hat einen neuen Client namens Cisco AnyConnect. Der neue Client bietet eine zuverlässigere Verbindung mit internen Ressourcen und unterstützt UDP- und TCP-Anwendungen mit Pro-App-VPN. Die Paket-ID für den neuen Client lautet “com.cisco.anyconnect”. Cisco unterstützt den neuen Client für iOS 10 (Mindestversion).

  • Weiterverwenden des Legacy AnyConnect-Clients: Sie müssen zur Weiterverwendung Ihre vorhandene VPN-Geräterichtlinie für iOS nicht ändern. Die Richtlinie funktioniert weiterhin, bis Cisco die Unterstützung für den alten Client einstellt. Ab dieser Version heißt unter Verbindungstyp die Option Cisco AnyConnect in der XenMobile Server-Konsole Cisco Legacy AnyConnect.
  • Verwenden des neuen Cisco AnyConnect-Clients: Der neue Cisco AnyConnect-Client erkennt keine XenMobile VPN-Geräterichtlinie, für die beim Erstellen für Verbindungstyp die Option Cisco AnyConnect gewählt wurde.

Konfigurieren Sie XenMobile Server wie folgt, um den neuen Cisco AnyConnect-Client zu verwenden.

  1. Navigieren Sie zu Konfigurieren > Geräterichtlinien und fügen Sie eine VPN-Richtlinie für iOS hinzu.

  2. Konfigurieren Sie die Einstellungen auf der Plattformseite der VPN-Richtlinie. Die hier aufgeführten Einstellungen sind für Cisco AnyConnect erforderlich.

    • Verbindungsname: Cisco AnyConnect
    • Verbindungstyp: Benutzerdefiniertes SSL
    • Benutzerdefinierte SSL-ID (Reverse DNS-Format): com.cisco.anyconnect
    • Anbieterpaket-ID: com.cisco.anyconnect
    • Anbietertyp: Pakettunnel

    Andere Einstellungen wie Authentifizierungstyp für Verbindung und Pro-App-VPN aktivieren hängen von Ihrem Anwendungsfall ab. Informationen hierzu finden Sie unter iOS-Einstellungen im Abschnitt “Konfigurieren des benutzerdefinierten SSL-Protokolls”.

    Abbildung des Bildschirms zur Konfiguration von Geräterichtlinien

  3. Konfigurieren Sie Bereitstellungsregeln und wählen Sie Bereitstellungsgruppen für die VPN-Geräterichtlinie. Stellen Sie die Richtlinie auf iOS-Geräten bereit.

  4. Laden Sie den Cisco AnyConnect-Client von https://itunes.apple.com/us/app/cisco-anyconnect/id1135064690?mt=8 hoch, fügen Sie die App zu XenMobile Server hinzu und stellen Sie sie dann auf iOS-Geräten bereit.

  5. Entfernen Sie die alte VPN-Geräterichtlinie von iOS-Geräten.

Weitere Informationen finden Sie im XenMobile-Supportartikel https://support.citrix.com/article/CTX227708.

FileVault-Geräteverschlüsselung auf registrierten macOS-Geräten

Die macOS-FileVault-Datenträgerverschlüsselung schützt das Systemvolume durch Verschlüsselung der Inhalte. Wenn FileVault auf einem macOS-Gerät aktiviert ist, meldet sich der Benutzer bei jedem Start des Geräts mit seinem Kontokennwort an. Verliert der Benutzer sein Kennwort, kann er die Festplatte mit einem Wiederherstellungsschlüssel entsperren und sein Kennwort zurücksetzen.

Die XenMobile-Geräterichtlinie “FileVault” aktiviert Bildschirme zur FileVault-Benutzereinrichtung und konfiguriert Einstellungen wie z. B. den Wiederherstellungsschlüssel. Informationen zu FileVault finden Sie in dem Apple-Supportartikel https://support.apple.com/kb/PH25107.

Zum Hinzufügen der Richtlinie gehen Sie zu Konfigurieren > Geräterichtlinien, fügen Sie die Richtlinie FileVault hinzu und konfigurieren Sie folgende Einstellungen für macOS.

Abbildung des Bildschirms zur Konfiguration von Geräterichtlinien

  • Beim Abmelden zum Einrichten von FileVault auffordern: Wenn diese Option auf Ein festgelegt ist, wird der Benutzer bei den nächsten N Abmeldungen aufgefordert, FileVault zu aktivieren. Die Zahl der Abmeldungen (N) wird über die Option Male, die das Einrichten von FileVault übersprungen werden darf festgelegt. Bei Auswahl von Aus wird die Aufforderung zur Eingabe des FileVault-Kennworts nicht angezeigt.

    Nachdem Sie die FileVault-Richtlinie mit dieser Einstellung bereitgestellt haben, wird der folgende Bildschirm angezeigt, wenn ein Benutzer das Gerät abmeldet: Der Bildschirm bietet dem Benutzer die Möglichkeit, FileVault vor dem Abmelden zu aktivieren.

    Abbildung des FileVault-Bildschirms

    Wenn Male, die das Einrichten von FileVault übersprungen werden darf nicht 0 ist und Sie die FileVault-Richtlinie ohne diese Einstellung bereitgestellt haben, wird bei der Anmeldung des Benutzers der folgende Bildschirm angezeigt:

    Abbildung des FileVault-Bildschirms

    Wenn für Male, die das Einrichten von FileVault übersprungen werden darf der Wert 0 ist oder der Benutzer die Einrichtung so oft zulässig übersprungen hat, wird der folgende Bildschirm angezeigt:

    Abbildung des FileVault-Bildschirms

  • Male, die das Einrichten von FileVault übersprungen werden darf: maximale Zahl der Male, die der Benutzer die FileVault-Einrichtung überspringen kann. Wird die Höchstzahl erreicht, muss der Benutzer FileVault einrichten, um sich anmelden zu können. Bei Einstellung auf 0 muss der Benutzer FileVault beim ersten Anmeldeversuch aktivieren. Der Standardwert ist 0.
  • Typ des Wiederherstellungsschlüssels: Vergisst ein Benutzer sein Kennwort, kann er einen Wiederherstellungsschlüssel eingeben, um die Festplatte zu entsperren und das Kennwort zurückzusetzen. Optionen:

    • Persönlicher Wiederherstellungsschlüssel: Ein persönlicher Wiederherstellungsschlüssel ist für den Benutzer eindeutig. Bei der FileVault-Einrichtung wählt der Benutzer aus, ob ein Wiederherstellungsschlüssel erstellt werden soll oder ob sein iCloud-Konto die Festplatte entsperren soll. Um den Wiederherstellungsschlüssel dem Benutzer nach Abschluss der FileVault-Installation anzuzeigen, aktivieren Sie Persönlichen Wiederherstellungsschlüssel anzeigen. Anhand der Anzeige des Schlüssels kann der Benutzer diesen für die künftige Verwendung notieren. Informationen zur Verwaltung von Wiederherstellungsschlüsseln finden Sie im Artikel des Apple-Supports unter https://support.apple.com/en-us/HT204837.

    • Institutioneller Wiederherstellungsschlüssel: Sie können einen institutionellen Wiederherstellungsschlüssel (Master) und ein FileVault-Zertifikat erstellen, mit deren Hilfe Sie Geräte entsperren können. Informationen finden Sie in dem Apple-Supportartikel https://support.apple.com/en-us/HT202385. Verwenden Sie XenMobile, um das FileVault-Zertifikat auf Geräten bereitstellen. Informationen hierzu finden Sie unter Zertifikate und Authentifizierung.

    • Persönlicher und institutioneller Wiederherstellungsschlüssel: Wenn Sie beide Arten von Wiederherstellungsschlüsseln aktivieren, müssen Sie Benutzergeräte nur entsperren, wenn ein Benutzer seinen persönlichen Wiederherstellungsschlüssel verliert.

  • Persönlichen Wiederherstellungsschlüssel anzeigen: Bei der Einstellung Ein wird der persönliche Wiederherstellungsschlüssel dem Benutzer nach dem Aktivieren von FileVault auf dem Gerät angezeigt. Die Standardeinstellung ist Ein.

    Abbildung des FileVault-Bildschirms

Unterstützung für Samsung Enterprise Firmware-Over-The-Air

Mit Samsung Enterprise Firmware-Over-The-Air (E FOTA) können Sie festlegen, wann Geräte ein Upgrade erhalten sollen und welche Firmwareversion verwendet werden soll. Mit E FOTA können Sie Updates vor dem Bereitstellen auf Kompatibilität mit Ihren Apps testen. Sie können ein Update mit der aktuellen Firmwareversion erzwingen, ohne dass Benutzerinteraktion erforderlich ist.

Samsung unterstützt E FOTA für Samsung KNOX 2.7.1-Geräte (Mindestversion), auf denen autorisierte Firmware ausgeführt wird.

Konfigurieren einer E FOTA-Richtlinie

  1. Erstellen Sie eine Samsung-MDM-Lizenzschlüsselrichtlinie mit den Schlüsseln und Lizenzinformationen, die Sie von Samsung erhalten haben. XenMobile Server validiert und registriert dann diese Informationen.

    Abbildung des Bildschirms zur Konfiguration von Geräterichtlinien

    • ELM-Lizenzschlüssel: Dieses Feld enthält das Makro zur Erstellung des ELM-Lizenzschlüssels. Wenn das Feld leer ist, geben Sie das Makro ${elm.license.key} ein.

    Geben Sie die folgenden, von Samsung beim Kauf des E-FOTA-Pakets erhaltenen Informationen ein:

    • Enterprise FOTA-Kunden-ID
    • Enterprise FOTA-Lizenz
    • Client-ID
    • Geheimer Clientschlüssel
  2. Erstellen Sie eine “OS-Update steuern”-Richtlinie.

    Abbildung des Bildschirms zur Konfiguration von Geräterichtlinien

    Konfigurieren Sie folgende Einstellungen:

    • Enterprise FOTA: Wählen Sie Ein.
    • Enterprise FOTA-Lizenzschlüssel: Wählen Sie den Namen der in Schritt 1 erstellten Samsung MDM-Lizenzschlüsselrichtlinie.
  3. Stellen Sie die “OS-Update steuern”-Richtlinie in Secure Hub bereit.

Erhöhte Sicherheit für Arbeitsprofile für Android for Work

Passcode für Arbeitsprofile

Für Geräte mit Android 7.0 und höher können Sie jetzt festlegen, dass für Apps in einem Arbeitsprofil für Android for Work ein Passcode erforderlich ist. Benutzer werden aufgefordert, den Passcode eingeben, wenn sie eine beliebige App im Arbeitsprofil öffnen. Erst nach Eingabe des Passcodes können Benutzer auf Apps im Arbeitsprofil zugreifen.

Sie können den erforderlichen Passcode nur für das Arbeitsprofil oder für das Gerät konfigurieren.

Zum Konfigurieren einer Passcodeanforderung für das Arbeitsprofil gehen Sie zu Konfigurieren > Geräterichtlinien, fügen Sie die Richtlinie Passcode hinzu und bearbeiten Sie folgende Einstellungen:

  • Sicherheitsabfrage für das Arbeitsprofil erforderlich: Aktivieren Sie diese Einstellung, um eine Sicherheitsabfrage zu erzwingen, bevor Benutzer auf Apps in einem Android for Work-Arbeitsprofil zugreifen können. Diese Option steht für Geräte mit Android-Versionen vor 7.0 nicht zur Verfügung. Der Standardwert ist AUS.
  • Passcodeanforderungen für die Sicherheitsabfrage für Arbeitsprofile:
    • Mindestlänge: Klicken Sie in der Liste auf die Mindestlänge für den Passcode. Der Standardwert ist 6.
    • Biometrische Erkennung: Wählen Sie aus, ob die Biometrieerkennung aktiviert werden soll. Wenn Sie diese Option aktivieren, wird das Feld Erforderliche Zeichen ausgeblendet. Der Standardwert ist AUS. Dieses Feature wird derzeit nicht unterstützt.
    • Erforderliche Zeichen: Konfiguration der Zusammensetzung von Passcodes. Verwenden Sie Keine Einschränkung nur für Geräte mit Android 7.0. Android 7.1 und höher unterstützt die Einstellung Keine Einschränkung nicht. Die Standardeinstellung ist Ziffern und Buchstaben.

Standardrichtlinien für die Sicherheit

Standardmäßig sind die Einstellungen USB Debugging und Unknown Sources auf einem Gerät deaktiviert, wenn es bei Android for Work im Arbeitsprofilmodus registriert ist.

Aufheben der Registrierung für ein Android for Work-Unternehmen

Mit XenMobile können Sie jetzt die Registrierung von einem Android for Work-Unternehmen über die XenMobile Server-Konsole und XenMobile Tools aufheben.

Wenn Sie diese Aufgabe ausführen, öffnet XenMobile Server ein Popupfenster für XenMobile Tools. Bevor Sie beginnen, sollten Sie sicherstellen, dass XenMobile Server im verwendeten Browser die Berechtigung hat, Popupfenster zu öffnen. In einigen Browsern, wie Google Chrome, müssen Sie die Popupblockierung deaktivieren und die Adresse der XenMobile-Site der Positivliste des Popupblockers hinzufügen.

Nachdem die Registrierung des Android for Work-Unternehmens aufgehoben wurde:

  • Für Geräte und Benutzer, die über das Unternehmen registriert sind, wurden die Android for Work-Apps auf die Standardeinstellung zurückgesetzt. Android for Work App-Berechtigungen und Android for Work App-Beschränkungsrichtlinien, die zuvor angewendet wurden, haben keine Wirkung mehr auf Vorgänge.
  • Obwohl XenMobile Geräte verwaltet, die über das Unternehmen registriert sind, verwaltet Google diese Geräte nicht. Sie können keine neuen Android for Work-Apps hinzufügen. Sie können keine neuen Berechtigungen oder Einschränkungsrichtlinien für Android for Work-Apps anwenden. Sie können weiterhin auf diese Geräte andere Richtlinien anwenden, z. B. Planung, Kennwort und Einschränkungen. Geräte müssen neu registriert werden, um neue Android for Work-Apps und Android for Work-spezifische Richtlinien anzuwenden.
  • Wenn Sie versuchen, Geräte in Android for Work zu registrieren, werden sie als Android-Geräte und nicht als Android for Work-Geräte registriert.

Registrierung für ein Android for Work-Unternehmen aufheben:

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf der Seite “Einstellungen” auf Android for Work.

  3. Klicken Sie auf Unternehmen entfernen.

    Abbildung des Konfigurationsbildschirms für Android for Work

  4. Geben Sie ein Kennwort an. Sie brauchen das Kennwort für den nächsten Schritt, um das Aufheben der Registrierung abzuschließen. Klicken Sie dann auf Registrierung aufheben.

    Abbildung des Bildschirms zur Konfiguration von Geräterichtlinien

  5. Wenn die XenMobile Tools-Seite geöffnet wird, geben Sie das Kennwort ein, das Sie im vorherigen Schritt erstellt haben.

    Bild des XenMobile Tools-Bildschirms

  6. Klicken Sie auf Registrierung aufheben.

    Bild des XenMobile Tools-Bildschirms

Vorgehen bei Anforderung gefährlicher Berechtigungen durch Android for Work-Apps

Bei Anforderungen an Android for Work-Apps in Arbeitsprofilen: Mit einer neuen Geräterichtlinie können Sie konfigurieren, was geschieht, wenn Apps Berechtigungen anfordern, die von Google als “gefährlich” eingestuft werden. Sie legen fest, ob Benutzer eine Aufforderung erhalten, die angeforderte App-Berechtigung zu gewähren oder zu verweigern. Dieses Feature ist für Geräte mit Android 7.0 und höher verfügbar.

Google definiert Berechtigungen als “gefährlich”, wenn die App damit Zugriff auf folgende Inhalte erhält:

  • Daten oder Ressourcen, die private Benutzerinformationen betreffen.
  • Ressourcen, die sich auf gespeicherte Daten eines Benutzers oder auf die Ausführung anderer Apps auswirken können. Beispielsweise ist die Möglichkeit, Benutzerkontakte zu lesen, eine gefährliche Berechtigung.

Für Android for Work-Apps in einem Arbeitsprofil: Sie können einen globalen Status konfigurieren, der das Verhalten bei allen App-Anfragen zu gefährlichen Berechtigungen steuert. Außerdem können Sie für jede App das Verhalten für einzelne Berechtigungsgruppen (gemäß Google-Definition) festlegen. Diese individuell festgelegten Einstellungen überschreiben den globalen Status.

Weitere Informationen zur Google-Definition von Berechtigungsgruppen finden Sie im Android Developers Guide.

Standardmäßig werden Benutzer aufgefordert, angeforderte gefährliche Berechtigungen zu gewähren oder zu verweigern.

Navigieren Sie zum Konfigurieren von Berechtigungen für Android for Work-Apps zu Konfigurieren > Geräterichtlinien und fügen Sie die Richtlinie App-Berechtigungen für Android for Work hinzu. Diese Richtlinie gilt nur für Apps, die Sie zunächst in der Google Play-Konsole hinzufügen und genehmigen und dann in XenMobile als öffentliche Store-App hinzufügen.

Abbildung des Bildschirms zur Konfiguration von Geräterichtlinien

Konfigurieren Sie folgende Einstellungen.

  • Globaler Status: steuert das Verhalten für alle angeforderten gefährlichen Berechtigungen. Klicken Sie in der Liste auf Auffordern, Gewähren oder Verweigern. Die Standardeinstellung Auffordern.
    • Auffordern: Die Benutzer werden aufgefordert, angeforderte gefährliche Berechtigungen zu gewähren oder zu verweigern.
    • Gewähren: Alle angeforderten gefährlichen Berechtigungen werden automatisch gewährt, ohne dass die Benutzer eine Aufforderung erhalten.
    • Verweigern: Alle angeforderten gefährlichen Berechtigungen werden automatisch verweigert, ohne dass die Benutzer eine Aufforderung erhalten.
  • Um den globalen Status für eine Berechtigungsgruppe außer Kraft zu setzen, müssen Sie ein individuelles Vorgehen für die Berechtigungsgruppe definieren. Klicken Sie hierfür auf Hinzufügen, wählen Sie eine App aus der Liste aus und wählen Sie eine Option für Status gewähren.

SNMP-Überwachung

Bei aktivierter SNMP-Überwachung in XenMobile Server können Überwachungssysteme Informationen zu Ihren XenMobile-Knoten abrufen. Abgefragt werden dabei Parameter wie Prozessorlast, Lastdurchschnitt, Speichernutzung und Konnektivität. Weitere Informationen zu SNMP v3, beispielsweise technische Daten zu Authentifizierung und Verschlüsselung, finden Sie in der offiziellen SNMP-Dokumentation für RFC 3414.

Weitere Informationen zur SNMP-Überwachung finden Sie unter SNMP-Überwachung.

Unterstützung für den Microsoft JDBC-Treiber für SQL Server

XenMobile Server unterstützt jetzt den Microsoft JDBC-Treiber (Java Datenbank Connectivity) für SQL Server. Der jTDS-Treiber ist weiterhin der Standardtreiber für on-premises Installationen von XenMobile Server oder für das Upgrade von einem XenMobile Server, der den jTDS-Treiber verwendet.

Für beide Treiber unterstützt XenMobile die SQL Server-Authentifizierung oder die Windows-Authentifizierung, mit aktiviertem oder deaktiviertem SSL.

Bei Verwendung der Windows-Authentifizierung mit dem Microsoft JDBC-Treiber nutzt dieser die integrierte Authentifizierung mit Kerberos. XenMobile sendet dann eine Datenabfrage an das Schlüsselverteilungszentrum (KDC) von Kerberos. Wenn die erforderlichen Informationen nicht verfügbar sind, fordert die Befehlszeilenschnittstelle (CLI) von XenMobile die IP-Adresse des Active Directory-Servers an.

Um vom jTDS-Treiber zum Microsoft JDBC-Treiber zu wechseln, stellen Sie eine SSH-Verbindung zu allen XenMobile Server-Knoten her. Konfigurieren Sie die Einstellungen dann über die XenMobile-Befehlszeilenschnittstelle. Die genaue Schrittfolge hängt von der aktuellen jTDS-Treiberkonfiguration ab. Weitere Informationen finden Sie unter SQL Server-Treiber.

Änderungen der Servereigenschaften zur Verbesserung der Serverleistung

Die Standardwerte mehrerer Servereigenschaften, mit denen XenMobile-Vorgänge optimiert werden können, entsprechen jetzt den Empfehlungen unter Tuning XenMobile Operations. Unter Servereigenschaften gibt es außerdem weitere Informationen zu Servereigenschaften.

Im Folgenden sind die aktualisierten Servereigenschaften mit den neuen Standardwerten (in Klammern) aufgeführt:

  • hibernate.c3p0.timeout (120 Sek.)
  • Taktintervall der Pushdienste: ios.apns.heartbeat.interval, windows.wns.heartbeat.interval, gcm.heartbeat.interval (20 Stunden)
  • auth.ldap.connect.timeout (60000)
  • auth.ldap.read.timeout (60000)
  • iOS MDM APNs - Verbindungspoolgröße (10)
  • Hintergrundbereitstellung (1440 Minuten)
  • Hardwareinventur im Hintergrund (1440 Minuten)
  • Intervall zur Suche nach gelöschten Active Directory-Benutzern (15 Minuten)

Darüber hinaus wurde der Standardwert für die folgende Servereigenschaft geändert und entspricht jetzt dem unter Servereigenschaften empfohlenen Wert:

  • Registrierung für Android- und iOS-Geräte mit Rooting/Jailbreak blockieren (wahr)

Über die folgenden bislang nicht dokumentierten benutzerdefinierten Servereigenschaften können Sie XenMobile Server jetzt weiter anpassen.

  • Benutzerdefinierter Schlüssel: hibernate.c3p0.min_size

    Diese XenMobile Server-Eigenschaft ist ein benutzerdefinierter Schlüssel, mit dem die Mindestanzahl der Verbindungen zur SQL Server-Datenbank festgelegt sind, die in XenMobile geöffnet werden. Die Standardeinstellung ist 50.

    Um diese Einstellung zu ändern, müssen Sie eine Servereigenschaft mit folgender Konfiguration in XenMobile Server hinzufügen:

    • Schlüssel: Benutzerdefinierter Schlüssel
    • Schlüssel: hibernate.c3p0.min_size
    • Wert: 50
    • Anzeigename: “hibernate.c3p0.min_size=nnn”
    • Beschreibung: DB-Verbindungen mit SQL
  • Benutzerdefinierter Schlüssel: hibernate.c3p0.idle_test_period

    Diese XenMobile Server-Eigenschaft ist ein benutzerdefinierter Schlüssel, mit dem die Leerlaufzeit (in Sekunden) festgelegt wird, bevor eine Verbindung automatisch überprüft wird. Die Standardeinstellung ist 30.

    Um diese Einstellung zu ändern, müssen Sie eine Servereigenschaft mit folgender Konfiguration in XenMobile Server hinzufügen:

    • Schlüssel: Benutzerdefinierter Schlüssel
    • Schlüssel: hibernate.c3p0. idle_test_period
    • Wert: 30
    • Anzeigename: hibernate.c3p0. idletestperiod =nnn
    • Beschreibung: Leerlaufzeit vor Ruhezustand

Optimierte Suche nach Geräteeigenschaften

Bisher enthielt eine Gerätesuche auf der Seite Verwalten > Geräte standardmäßig alle Geräteeigenschaften, was die Suche verlangsamen konnte. Nun enthält der Standardsuchbereich nur die folgenden Geräteeigenschaften:

  • Seriennummer
  • IMEI
  • WiFi MAC-Adresse
  • Bluetooth MAC-Adresse
  • Active Sync ID
  • Benutzername

Sie können den Suchbereich über die neue Servereigenschaft include.device.properties.during.search konfigurieren, die standardmäßig auf false festgelegt ist. Um alle Geräteeigenschaften in eine Gerätesuche einzubeziehen, ändern Sie die Einstellung in true.

Weitere Verbesserungen

  • Neue Option “Neue Feature-Highlights” im iOS-Setupassistenten: Über die neue Option des iOS-Setupassistenten Neue Feature-Highlights werden folgende Informationsbildschirme für das Onboarding eingerichtget: Access the Dock from Anywhere und Switch Between Recent Apps. Sie können wählen, ob diese Onboarding-Bildschirme beim iOS-Setupassistenten ausgelassen werden sollen, wenn Benutzer ihr Gerät das erste Mal starten.

    Neue Feature-Highlights steht für iOS 11.0 (Mindestversion) zur Verfügung. Alle Optionen sind standardmäßig deaktiviert.

    Abbildung der iOS-Konfiguration

  • Wenn Sie eine vollständige Löschung auf iOS 11-Geräten mit Mobilfunktarif durchführen, können Sie den Mobilfunktarif beibehalten.

    Bild des Bildschirms für Sicherheitsaktionen

  • XenMobile zeigt jetzt eine Lizenzablaufwarnung an, wenn Apple VPP- oder DEP-Token fast oder ganz abgelaufen sind.

    Abbildung der Lizenzablaufwarnung

  • Die Benutzeroberfläche der XenMobile-Konsole für macOS-VPP-Apps wurde wie folgt geändert:
    • Unter “Konfigurieren > Apps” können Sie Apps nach macOS-VPP filtern. Die Teile der Benutzeroberfläche, die nicht für macOS-VPP-Apps gelten, werden nicht mehr angezeigt. Beispielsweise wird der Abschnitt “Storekonfiguration” nicht angezeigt, da es Secure Hub für macOS nicht gibt. Die Option zum Importieren eines VPP-Schlüssels wird nicht mehr angezeigt.
    • Die Benutzereigenschaften unter “Verwalten > Geräte” enthalten eine Eigenschaft zum Deaktivieren des VPP-Kontos.
  • Geräterichtlinie zum Steuern von Betriebssystemupdates: Mit der Richtlinie “OS-Update steuern” können Sie jetzt Betriebssystemupdates auf betreuten oder über Apple DEP bereitgestellten macOS-Geräten bereitstellen.

    Abbildung des Bildschirms zur Konfiguration von Geräterichtlinien

  • Option zum Zulassen der Verwendung eines Samsung SAFE-Geräts durch mehrere Benutzer: Die Einschränkungsrichtlinie für Geräte enthält nun die Hardwaresteuerungsoption Mehrere Benutzer zulassen. Die Option unterstützt MDM 4.0 und höher, der Standardwert ist AUS.
  • Deaktivieren von Apps auf Samsung SAFE-Geräten: Blockieren Sie jetzt mit der Einschränkungsrichtlinie eine Liste installierter Apps auf Samsung SAFE-Geräten. Die Optionen Browser, YouTube und Google Play/Marketplace sind nicht mehr verfügbar.

    In der Standardeinstellung ist die neue Einstellung Anwendungen deaktivieren auf Aus festgelegt, sodass die Apps aktiviert sind. Zum Deaktivieren einer installierten App ändern Sie die Einstellung auf Ein, klicken in der Tabelle Anwendungsliste auf Hinzufügen und geben den Namen des App-Pakets ein.

    Durch Ändern und Bereitstellen einer App-Liste wird die vorherige App-Liste überschrieben. Beispiel: Sie deaktivieren com.example1 und com.example2. Später ändern Sie die Liste in com.example1 und com.example3. In diesem Fall aktiviert XenMobile com.example.2.

  • Die Seite Verwalten > Geräte enthält jetzt folgende zusätzliche, von Android-Geräten gemeldete Geräteeigenschaften:

    • Code des Netzbetreibers (nur bei Geräten mit Samsung MDM 5.7 oder höher)
    • Modell (nur bei Geräten mit Samsung MDM 2.0 oder höher)
  • Die Einschränkungsrichtlinie für Geräte enthält nun eine Option zum Deaktivieren der Kamera auf Android-Geräten: Um die Richtlinie zu konfigurieren, gehen Sie zu Konfigurieren > Geräterichtlinien, klicken Sie auf Hinzufügen und dann auf Einschränkungen. Standardmäßig ist die Verwendung der Kamera aktiviert. Zum Deaktivieren der Kamera ändern Sie die Einstellung Kamera in AUS.

    Abbildung des Bildschirms zur Konfiguration von Geräterichtlinien

  • Gebietsschemabasierte Datums- und Uhrzeitformate: Das Format von Datum und Uhrzeit auf den Seiten Verwalten > Geräte und Verwalten > Benutzer entspricht nun dem Gebietsschema. 6 Uhr abends am 15 Oktober 2017 wird beispielsweise wie folgt dargestellt:

     U.S. (en-US): 10/15/17 06:00:00 pm
     U.K. (en-GB): 15/10/17 18:00:00
     South Africa (en-ZA): 2017/10/15 06:00:00 pm
    
  • Die Samsung SAFE-Firewallrichtlinie wurde umbenannt in Firewallrichtlinie.
  • Die Standardanzahl von Backuparchiven in Supportpaketen wurde für folgende Dateien auf 100 reduziert. Die Standardgröße dieser Dateien ist 10 MB.
    • DebugLogFile
    • AdminAuditLogFile
    • UserAuditLogFile
    • HibernateStats.log

    Wenn das Supportpaket 100 archivierte Protokolldateien für jede dieser Kategorien enthält, wird per Dateirollover eine neue Protokolldatei erstellt. Wenn Sie eine niedrigere Höchstanzahl von Protokolldateien konfigurieren (Problembehandlung und Support > Protokolleinstellungen), werden die überflüssigen Protokolldateien für den Serverknoten sofort gelöscht.

  • Die Seite Einstellungen > Syslog enthält jetzt eine Option zum Senden von XenMobile Server-Debugprotokollen an einen syslog-Server.
  • Updates für die öffentliche XenMobile-API für REST-Dienste:
  • Die öffentliche XenMobile-API für REST-Dienste enthält diese neuen APIs. Weitere Informationen finden Sie im PDF-Dokument XenMobile Public API for REST Services in den aufgeführten Abschnitten.
    • Get Users by Filter (Abschnitt 3.12.1)

      Diese neue API ersetzt die veraltete API “Get All Users”.

    • Revoke Enrollment Token (Abschnitt 3.19.6)
    • Remove Enrollment Token (Abschnitt 3.19.7)