Product Documentation

Android for Work

12. Juni 2018

Android for Work (Android Enterprise) ist ein sicherer Arbeitsbereich auf Geräten mit Android 5.0 und höher. Der Arbeitsbereich isoliert geschäftliche Konten, Apps und Daten von persönlichen Konten, Apps und Daten. In XenMobile können Sie persönliche Geräte (BYOD) und dem Unternehmen gehörende Android-Geräte verwalten, indem Sie Benutzer anweisen, ein separates Arbeitsprofil auf ihren Geräten zu erstellen.

Durch die Kombination der Hardwareverschlüsselung und der Richtlinien, die Sie bereitstellen, werden Unternehmens- und persönlicher Bereich auf Geräten zuverlässig getrennt. Sie können alle Unternehmensrichtlinien, Unternehmens-Apps und -daten remote verwalten und löschen, ohne dass dies Auswirkungen auf den privaten Bereich der Benutzer hat. Weitere Informationen zu den unterstützten Android-Geräten finden Sie auf der Android-Enterprise-Seite von Google.

Sie verwenden Google Play zum Hinzufügen, Erwerben und Genehmigen von Apps für die Bereitstellung in dem Android for Work-Arbeitsbereich von Geräten. Über Google Play können Sie private Android-Apps, öffentliche Apps und solche von Drittanbietern bereitstellen. Wenn Sie XenMobile einen kostenpflichtigen öffentlichen App-Store für Android for Work hinzufügen, können Sie den Lizenzierungsstatus für Massenkäufe überprüfen. Die Statusangabe enthält die Gesamtzahl der verfügbaren Lizenzen, die Zahl der aktuell verwendeten Lizenzen und die E-Mail-Adresse aller Benutzer, die Lizenzen verbrauchen. Einzelheiten finden Sie unter Hinzufügen einer App aus einem öffentlichen App-Store zu XenMobile.

Hinweis:

In XenMobile Service und in unserer Dokumentation verweisen wir auf Android for Work. Die neueste Terminologie ist Android Enterprise. Weitere Informationen finden Sie in der Dokumentation von Android.

Einrichten von Android for Work

XenMobile bietet eine einfache Methode zum Einrichten von Android for Work. Mit XenMobile Management Tools binden Sie XenMobile als Enterprise Mobility Management-Anbieter über Google Play und erstellen ein Unternehmen für Android for Work.

Hinweis:

Benutzer von G Suite sollten die Informationen unter Legacy Android for Work für G Suite und die Tabelle mit zugehörigen Richtlinieninformationen unter Unterstützte Geräte- und MDX-Richtlinien konsultieren. Beide Abschnitte sind Teil des vorliegenden Artikels.

Sie brauchen:

  • Citrix Anmeldeinformationen zur Anmeldung bei XenMobile Tools
  • Ihre geschäftlichen Google-ID-Anmeldeinformationen zur Anmeldung bei Google Play
  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf der Seite Einstellungen auf Android for Work.

    Bild der Einstellungsseite für Android for Work

  3. Klicken Sie auf der Seite Android for Work in den XenMobile-Einstellungen auf Zu XenMobile Tools gehen.

    Bild des Links "Zu XenMobile Tools"

  4. Melden Sie sich bei Ihrem Citrix Konto an, wenn Sie dazu aufgefordert werden.
  5. Klicken Sie auf der Seite Android for Work in XenMobile Tools Management auf Go to Google Play.

    Bild der Option "Go to Google Play"

  6. Registrieren Sie Citrix in Google Play als Enterprise Mobility Management für Ihr Unternehmen:

    • Geben Sie den Namen Ihrer Organisation ein.
    • Stellen Sie sicher, dass Citrix unter Enterprise Mobility Management angezeigt wird.
    • Akzeptieren Sie die Bedingungen und klicken Sie dann auf Bestätigen.

    Bild der Google Play-Registrierungsseite

    • Klicken Sie auf der nun angezeigten Seite auf Complete Registration.

    In diesem Schritt wird eine Datei erstellt, die Sie herunterladen und anschließend in XenMobile hochladen.

  7. Klicken Sie auf der Seite Android for Work in XenMobile Tools Management auf Download.
  8. Erstellen Sie ein Kennwort für die Dateiverschlüsselung. Notieren Sie sich das Kennwort zur Referenz, wenn Sie die Datei hochladen und das Kennwort eingeben müssen.

    Bild der Kennwortabfrage

  9. Klicken Sie auf Go back to XenMobile.
  10. Klicken Sie auf der Seite “Android for Work” in den XenMobile-Einstellungen auf Datei hochladen.

    Bild der Dateiuploadoption

  11. Navigieren Sie zu der heruntergeladenen Datei und geben Sie dann das von Ihnen erstellte Kennwort ein. Klicken Sie auf Upload.

    Bild der Uploadoption

  12. Für Android for Work wurde eine Unternehmens-ID hinzugefügt. Zum Aktivieren von Android for Work wählen Sie für Android for Work aktivieren die Einstellung Ja.

    Bild der Option "Android for Work aktivieren"

Veröffentlichen von XenMobile Apps für Android for Work

Gehen wie nachfolgend beschrieben vor, um XenMobile Apps für Android Enterprise zu veröffentlichen.

  1. Veröffentlichen Sie über Ihr verwaltetes Google Play Store-Konto die Apps, die die Benutzer erhalten sollen. Sie können Ihr Google Play-Konto unter https://play.google.com/work verwalten.
  2. Veröffentlichen Sie die gleichen Apps in der XenMobile-Konsole in folgender Form:
    1. Als öffentliche Store-Apps unter Auswahl von Android for Work. Informationen zum Veröffentlichen von Apps aus öffentlichen Stores finden Sie unter Hinzufügen von Apps aus einem öffentlichen App-Store.
    2. Als MDX-Apps, die MDX-Richtlinien befolgen. Informationen zum Veröffentlichen von MDX-Apps finden Sie unter Hinzufügen einer MDX-App.

Legacy Android for Work für G Suite

G Suite-Kunden müssen die Legacy Android for Work-Einstellungen verwenden.

Anforderungen für Legacy Android for Work:

  • Öffentlich zugängliche Domäne
  • Google-Administratorkonto
  • Geräte mit Unterstützung für verwaltete Profile, auf denen Android 5.0+ Lollipop ausgeführt wird
  • Ein Google-Konto, für das Google Play installiert wurde
  • Arbeitsprofil auf den Geräten eingerichtet

Um mit der Konfiguration von Legacy Android für Work zu beginnen, klicken Sie auf der Seite Android for Work der XenMobile-Einstellungen auf Legacy Android for Work.

Bild der Option "Legacy Android for Work"

Erstellen eines Android for Work-Kontos

Bevor Sie ein Android for Work-Konto einrichten können, müssen Sie Ihren Domainnamen bei Google bestätigen.

Wenn Ihr Domänenname bei Google bereits verifiziert wurde, können Sie mit dem Schritt Einrichten eines Android for Work-Dienstkontos und Download eines Android for Work-Zertifikats fortfahren.

  1. Navigieren Sie zu https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK.

    Auf der nachfolgend gezeigten Seite geben Sie die Administrator- und Unternehmensinformationen ein.

    Bild der Kontosetupseite

  2. Geben Sie Ihre Administratorinformationen ein.

    Bild der Administratorbenutzerinformationen

  3. Geben Sie zusätzlich zu den Administratorinformationen Informationen zu Ihrem Unternehmen ein.

    Bild des Firmeninformationsbildschirms

    Der erste Schritt des Prozesses ist abgeschlossen und es wird die folgende Seite angezeigt.

    Bild der Bestätigungsseite

Überprüfen der Domäneneigentümerschaft:

Zur Verifizierung Ihrer Domäne durch Google gibt es folgende Methoden.

  • Hinzufügen eines TXT- oder CNAME-Datensatzes zu der Website Ihres Domänenhosts.
  • Hochladen einer HTML-Datei auf den Webserver Ihrer Domäne.
  • Hinzufügen eines <meta>-Tags zu Ihrer Homepage.

    Google empfiehlt die Verwendung der ersten Methode. Die Schritte zum Überprüfen Ihrer Domäneneigentümerschaft werden in diesem Artikel nicht behandelt, Informationen finden Sie unter https://support.google.com/a/answer/6248925/.

  1. Klicken Sie auf Start, um die Domänenüberprüfung zu beginnen.

    Die Seite Verify domain ownership wird angezeigt. Folgen Sie den angezeigten Anweisungen zum Überprüfen Ihrer Domäne.

  2. Klicken Sie auf Verify.

    Bild der Überprüfungsschaltfläche

    Bild der Überprüfungssbestätigung

  3. Google überprüft die Eigentümerschaft der Domäne.

    Bild der Überprüfung der Domäneneigentümerschaft

  4. Nach einer erfolgreichen Überprüfung wird die folgende Seite angezeigt. Klicken Sie auf Weiter.

    Bild der Erfolgsbestätigungsseite

  5. Google erstellt ein EMM-Bindungstoken, das Sie Citrix zur Verfügung stellen und beim Konfigurieren der Android for Work-Einstellungen verwenden. Kopieren und speichern Sie das Token zur späteren Verwendung beim Setup.

    Bild des Bindungstokens

  6. Klicken Sie auf Finish, um die Einrichtung von Android for Work abzuschließen. Es wird eine Seite mit der Meldung angezeigt, dass Ihre Domäne erfolgreich verifiziert wurde.

Nach dem Erstellen eines Android for Work-Dienstkontos können Sie sich bei der Google Admin Console anmelden und die Einstellungen Ihrer Mobilitätsverwaltung festlegen.

Einrichten eines Android for Work-Dienstkontos und Download eines Android for Work-Zertifikats

Damit XenMobile Google Play und Verzeichnisdienste kontaktieren kann, müssen Sie ein Dienstkonto mit dem Projektportal für Entwickler von Google erstellen. Das Dienstkonto wird für die Server-Kommunikation zwischen XenMobile und den Google-Diensten für Android verwendet. Weitere Informationen zum verwendeten Authentifizierungsprotokoll finden Sie unter https://developers.google.com/identity/protocols/OAuth2ServiceAccount.

  1. Rufen Sie in einem Webbrowser https://console.cloud.google.com/project auf und melden Sie sich mit Ihren Anmeldeinformationen als Google-Administrator an.

  2. Klicken Sie in der Liste Projects auf Create project.

    Abbildung der Option zum Erstellen von Projekten

  3. Geben Sie unter Project name einen Namen für das Projekt ein.

    Bild der Projektnamenoption

  4. Klicken Sie im Dashboard auf Use Google APIs.

    Bild der Option "Use Google APIs"

  5. Klicken Sie auf Library geben Sie für Search den Text EMM ein und klicken Sie auf das Suchergebnis.

    Bild der EMM-Suchoption

  6. Klicken Sie auf der Seite Overview auf Enable.

    Bild der Aktivierenoption

  7. Klicken Sie neben Google Play EMM API auf Go to Credentials.

    Bild der Option "Go to Credentials"

  8. Klicken Sie in der Liste Add credentials to our project unter Schritt 1 auf service account.

    Bild der Dienstkontooption

  9. Klicken Sie auf der Seite Service Accounts auf Create Service Account.

    Bild der Option "Create Service Account"

  10. Geben Sie unter Create service account einen Namen für das Konto ein und aktivieren Sie das Kontrollkästchen Furnish a new private key. Klicken Sie auf P12, aktivieren Sie das Kontrollkästchen Enable Google Apps Domain-wide Delegation und klicken Sie auf Create.

    Bild der Optionen zum Erstellen eines Dienstkontos

    Die Zertifikatdatei (P12-Datei) wird auf Ihren Computer heruntergeladen. Speichern Sie das Zertifikat an einem sicheren Ort.

  11. Klicken Sie auf der Seite Service account created auf Close.

    Bild der Bestätigungsseite

  12. Klicken Sie unter Permissions auf Service accounts und dann unter Options für Ihr Dienstkonto auf View Client ID.

    Bild der Option "View Client ID"

  13. Die für die Kontoautorisierung auf der Google Admin Console erforderlichen Informationen werden angezeigt. Kopieren Sie die Client ID und die Service account ID an einen Speicherort, an dem Sie die Informationen später abrufen können. Sie müssen diese Informationen mit dem Domänennamen an den Citrix Support senden, damit sie auf eine Positivliste gesetzt werden.

    Bild der Kontoautorisierungsdetails

  14. Suchen Sie auf der Seite Library den Eintrag Admin SDK und klicken Sie auf das Suchergebnis.

    Bild der Admin SDK-Suche

  15. Klicken Sie auf der Seite Overview auf Enable.

    Bild der Aktivierenschaltfläche

  16. Öffnen Sie die Google Admin Console für Ihre Domäne und klicken Sie auf Security.

    Bild der Sicherheitsoption

  17. Klicken Sie auf der Seite Settings auf Show more und dann auf Advanced settings.

    Bild der erweiterten Einstellungen

    Bild der erweiterten Einstellungen

  18. Klicken Sie auf Manage API client access.

    Bild der Option "Manage API client access"

  19. Geben Sie unter Client Name die Client-ID ein, die Sie zuvor gespeichert haben, geben Sie unter One or More API Scopes den Text https://www.googleapis.com/auth/admin.directory.user ein und klicken Sie auf Authorize.

    Bild der Clientnamenoptionen

Binden an EMM

Bevor Sie Android-Geräte mit XenMobile verwalten können, müssen Sie dem technischen Support von Citrix den Namen Ihrer Domäne, das Dienstkonto und den Bindungstoken senden. Citrix bindet das Token dann an XenMobile zur Verwendung als Enterprise Mobility Management-Anbieter (EMM). Kontaktinformationen für den technischen Support von Citrix finden Sie unter Technischer Support von Citrix.

  1. Zum Überprüfen der Bindung melden Sie sich beim Google-Verwaltungsportal an und klicken Sie auf Security.

  2. Klicken Sie auf Manage EMM provider for Android.

    Sie sehen dann, dass Ihr Android at Work-Konto bei Google nun an Citrix als EMM-Anbieter gebunden ist.

    Nach der Prüfung der Tokenbindung können Sie XenMobile zum Verwalten der Android-Geräte verwenden. Importieren Sie das P12-Zertifikat, das Sie in Schritt 14 erstellt haben. Richten Sie den Android for Work-Server ein, aktivieren Sie das SAML-basierte Single Sign-On und definieren Sie mindestens eine Android for Work-Richtlinie.

    Bild der Optionen "Manage EMM provider for Android"

Importieren des P12-Zertifikats

Führen Sie die folgenden Schritte zum Importieren des Android for Work-P12-Zertifikats aus:

  1. Melden Sie sich bei der XenMobile-Konsole an.

  2. Klicken Sie auf das Zahnradsymbol in der oberen rechten Ecke der Konsole zum Öffnen die Seite Einstellungen und klicken Sie dann auf Zertifikate. Die Seite Zertifikate wird angezeigt.

    Bild der Seite "Zertifikate"

  3. Klicken Sie auf Importieren. Das Dialogfeld Importieren wird angezeigt.

    Bild des Importdialogfelds

    Konfigurieren Sie die folgenden Einstellungen:

    • Importieren: Klicken Sie in der Liste auf Schlüsselspeicher.
    • Schlüsselspeichertyp: Klicken Sie in der Liste auf PKCS#12.
    • Verwenden als: Klicken Sie in der Liste auf Server.
    • Schlüsselspeicherdatei: Klicken Sie auf Durchsuchen und navigieren Sie zu dem P12-Zertifikat.
    • Kennwort: Geben Sie das Schlüsselspeicherkennwort für die Anmeldeinformationen ein.
    • Beschreibung: Geben Sie optional eine Beschreibung des Zertifikats ein.
  4. Klicken Sie auf Importieren.

Einrichten des Android for Work-Servers

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf Android for Work. Die Seite Android for Work wird angezeigt.

    Bild der Android for Work-Seite

    Konfigurieren Sie die folgenden Einstellungen und klicken Sie auf Speichern.

    • Domänenname: Geben Sie den Namen der Android for Work-Domäne ein, z. B. domain.com.
    • Domänenadministratorkonto: Geben Sie Ihren Domänenadministrator-Benutzernamen ein, z. B. das für das Google Developer Portal verwendete E-Mail-Konto.
    • Dienstkonto-ID: Geben Sie die ID Ihres Dienstkontos ein, z. B. die dem Google-Dienstkonto zugeordnete E-Mail-Adresse (serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com).
    • Client-ID: Geben Sie die numerische ID Ihres Google-Dienstkontos ein.
    • Android for Work aktivieren: Klicken Sie zum Aktivieren oder deaktivieren auf diese Option.

Aktivieren des SAML-basierten Single Sign-Ons

  1. Melden Sie sich bei der XenMobile-Konsole an.

  2. Klicken Sie auf das Zahnradsymbol rechts oben in der Konsole. Die Seite Einstellungen wird angezeigt.

  3. Klicken Sie auf Certificates. Die Seite Zertifikate wird angezeigt.

    Bild der Seite "Zertifikate"

  4. Klicken Sie in der Liste der Zertifikate auf das SAML-Zertifikat.

  5. Klicken Sie auf Exportieren und speichern Sie das Zertifikat auf Ihrem Computer.

  6. Melden Sie sich beim Google-Verwaltungsportal mit Ihren Android for Work-Administratoranmeldeinformationen an. Informationen zum Zugriff auf das Portal finden Sie unter Google-Verwaltungsportal.

  7. Klicken Sie auf Security.

    Bild der Sicherheitsoption

  8. Klicken Sie unter Security auf Set up single sign-on (SSO) und konfigurieren Sie die folgenden Einstellungen:

    Abbildung der SSO-Einstellungen

    • Sign-in page URL: Geben Sie die URL der Seite an, über die Benutzer sich bei Ihrem System und Google-Apps anmelden. Beispiel: https://<Xenmobile-FQDN>/aw/saml/signin.
    • Sign-out page URL: Geben Sie die URL an, an die die Benutzer weitergeleitet werden, wenn sie sich abmelden. Beispiel: https://<Xenmobile-FQDN>/aw/saml/signout.
    • Change password URL: Geben Sie die URL der Seite an, auf der die Benutzer ihr Kennwort in Ihrem System ändern können. Beispiel: https://<Xenmobile-FQDN>/aw/saml/changepassword. Wenn dieses Feld definiert wird, wird diese Aufforderung für Benutzer angezeigt, selbst wenn Single Sign-On nicht verfügbar ist.
    • Verification certificate: Klicken Sie auf CHOOSE FILE und navigieren Sie zu dem aus XenMobile exportierten SAML-Zertifikat.
  9. Klicken Sie auf SAVE CHANGES.

Einrichten einer Android for Work-Richtlinie

Richten Sie eine Passcode-Richtlinie ein, sodass Benutzer bei der ersten Registrierung einen Passcode auf ihrem Gerät festlegen müssen.

Abbildung der Passcode-Richtlinienseite

Grundlegende Schritte zum Einrichten einer Geräterichtlinie:

  1. Melden Sie sich bei der XenMobile-Konsole an.

  2. Klicken Sie auf Konfigurieren und dann auf Geräterichtlinien.

  3. Klicken Sie auf Hinzufügen und wählen Sie dann im Dialogfeld Neue Richtlinie hinzufügen die Richtlinie aus, die Sie hinzufügen möchten. Klicken Sie in diesem Beispiel Passcode.

  4. Füllen Sie die Seite Richtlinieninformationen aus.

  5. Klicken Sie auf Android for Work und konfigurieren Sie die Einstellungen für die Richtlinie.

  6. Weisen Sie die Richtlinie einer Bereitstellungsgruppe zu.

Unterstützte Geräte- und MDX-Richtlinien

Die folgenden Tabellen enthalten die vom Android for Work-Container unterstützten Geräte- und MDX-Richtlinien. Weitere Informationen zu Geräterichtlinien und MDX-Richtlinien finden Sie unter Geräterichtlinien und MDX-Richtlinien auf einen Blick.

Authentifizierungsrichtlinien Unterstützt Unterstützte Werte Hinweise
App-Passcode X Alle  
Onlinesitzung erforderlich   Nur aus  
Maximale Offlinezeit X Alle  
Alternatives NetScaler Gateway   Nur leer  
Richtlinien für den App-Netzwerkzugriff Unterstützt Unterstützte Werte Hinweise
Netzwerkzugriff X Alle  
Zertifikatbezeichnung   Nur leer  
Bevorzugter VPN-Modus X Alle  
VPN-Moduswechsel zulassen X Alle  
URL der PAC-Datei oder Proxyserver X Alle  
Standardprotokollausgabe X Alle  
Standardprotokollebene X Alle  
Max. Protokolldateien X Alle  
Max. Protokolldateigröße X Alle  
App-Protokolle umleiten X Alle  
Protokolle verschlüsseln X Alle  
Positivliste für WLANs   Nur leer  
Gerätesicherheitsrichtlinien Unterstützt Unterstützte Werte Hinweise
Mit Jailbreak oder Rooting blockieren X Alle  
Geräteverschlüsselung erforderlich X Alle  
Gerätesperre erforderlich X Alle  
Richtlinien für Netzwerkanforderungen Unterstützt Unterstützte Werte Hinweise
WiFi erforderlich X Aus  
Weitere Zugriffsrichtlinien Unterstützt Unterstützte Werte Hinweise
Kulanzzeitraum für App-Update (Stunden) X Alle  
App-Daten bei Sperren löschen X Alle  
Aktives Abfrageintervall (Minuten) X Alle  
Verschlüsselungsrichtlinien Unterstützt Unterstützte Werte Hinweise
Verschlüsselungsschlüssel X Offlinezugriff zugelassen Über die Richtlinie für Android Enterprise unterstützt
Verschlüsselung privater Dateien X Nur deaktiviert Über die Richtlinie für Android Enterprise unterstützt
Ausnahmen für Verschlüsselung privater Dateien X – (leer) Über die Richtlinie für Android Enterprise unterstützt
Zugriffsbeschränkungen für öffentliche Dateien X – (leer) Über die Richtlinie für Android Enterprise unterstützt
Verschlüsselung öffentlicher Dateien X Nur deaktiviert Über die Richtlinie für Android Enterprise unterstützt
Ausnahmen für Verschlüsselung öffentlicher Dateien X – (leer) Über die Richtlinie für Android Enterprise unterstützt
Migration öffentlicher Dateien X Nur deaktiviert Über die Richtlinie für Android Enterprise unterstützt
App-Interaktionsrichtlinien Unterstützt Unterstützte Werte Hinweise        
Sicherheitsgruppe X Leer Über die Richtlinie für Android Enterprise unterstützt Ausschneiden und Kopieren X Nur “Uneingeschränkt” Über die Richtlinie für Android Enterprise unterstützt
Einfügen X Nur “Uneingeschränkt” Über die Richtlinie für Android Enterprise unterstützt        
Dokumentenaustausch (Öffnen in) X Nur “Uneingeschränkt” Über die Richtlinie für Android Enterprise unterstützt        
Eingehender Dokumentaustausch (Öffnen in) X Alle Über die Richtlinie für Android Enterprise unterstützt        
Positivliste für Austausch eingehender Dokumente X Leer Über die Richtlinie für Android Enterprise unterstützt        
Ausnahmeliste für eingeschränktes Öffnen X Leer Über die Richtlinie für Android Enterprise unterstützt        
App-Einschränkungsrichtlinien Unterstützt Unterstützte Werte Hinweise
Kamera blockieren X Nur ein Über die Richtlinie für Android Enterprise unterstützt
Gallery blockieren X Nur ein Über die Richtlinie für Android Enterprise unterstützt
Localhost-Verbindungen blockieren X Alle  
Mikrofonaufnahmen blockieren X Nur aus Über die Richtlinie für Android Enterprise unterstützt
Positionsdienste blockieren X Nur aus Über die Richtlinie für Android Enterprise unterstützt
Verfassen von SMS blockieren X Nur aus Über die Richtlinie für Android Enterprise unterstützt
Bildschirmaufnahme blockieren X Nur aus Über die Richtlinie für Android Enterprise unterstützt
Gerätesensor blockieren X Alle  
NFC blockieren X Nur aus Über die Richtlinie für Android Enterprise unterstützt
Drucken blockieren X Alle  
App-Protokolle blockieren X Alle  
App-Geofencerichtlinien Unterstützt Unterstützte Werte Hinweise
Längengrad von Mittelpunkt X Alle  
Breitengrad von Mittelpunkt X Alle  
Radius X Alle  

Konfigurieren von Android for Work-Kontoeinstellungen

Bevor Sie Android-Apps und Richtlinien auf Benutzergeräten verwalten können, müssen Sie eine Domäne und Kontoinformationen für Android for Work in XenMobile einrichten. Zunächst müssen Sie Android for Work-Einrichtungsaufgaben auf Google zum Einrichten eines Domänenadministrators erledigen und eine Dienstkonten-ID sowie ein Bindungstoken anfordern.

  1. Klicken Sie in der XenMobile-Webkonsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf Android for Work. Die Konfigurationsseite Android for Work wird angezeigt.

Bild der Android for Work-Konfigurationsseite

  1. Konfigurieren Sie auf der Seite Android for Work die folgenden Einstellungen:

    • Domänenname: Geben Sie Ihren Domänennamen ein.
    • Domänenadministratorkonto: Geben Sie Ihren Domänenadministrator-Benutzernamen ein.
    • Dienstkonto-ID: Geben Sie die ID Ihres Google-Dienstkontos ein.
    • Client-ID: Geben Sie die ID Ihres Google-Dienstkontos ein.
    • Android for Work aktivieren: Wählen Sie aus, ob Android for Work aktiviert werden soll.
  2. Klicken Sie auf Speichern.

Registrierung für ein Android for Work-Unternehmen aufheben

Sie können die Registrierung von einem Android for Work-Unternehmen über die XenMobile Server-Konsole und XenMobile Tools aufheben.

Wenn Sie diese Aufgabe ausführen, öffnet XenMobile Server ein Popupfenster für XenMobile Tools. Bevor Sie beginnen, sollten Sie sicherstellen, dass XenMobile Server im verwendeten Browser die Berechtigung hat, Popupfenster zu öffnen. In einigen Browsern, wie Google Chrome, müssen Sie die Popupblockierung deaktivieren und die Adresse der XenMobile-Site der Positivliste des Popupblockers hinzufügen.

Warnung:

Nachdem die Registrierung eines Unternehmens aufgehoben wurde, werden Android for Work-Apps auf Geräten, die bereits registriert wurden, auf die Standardeinstellungen zurückgesetzt. Google verwaltet die Geräte nicht mehr. Für die Neuregistrierung in einem Android for Work-Unternehmen ist möglicherweise eine weitere Konfiguration erforderlich, um die vorherige Funktionalität wiederherzustellen.

Nachdem die Registrierung des Android for Work-Unternehmens aufgehoben wurde:

  • Für Geräte und Benutzer, die über das Unternehmen registriert sind, wurden die Android for Work-Apps auf die Standardeinstellung zurückgesetzt. Android for Work App-Berechtigungen und Android for Work App-Beschränkungsrichtlinien, die zuvor angewendet wurden, haben keine Wirkung mehr auf Vorgänge.
  • XenMobile verwaltet Geräte, die über das Unternehmen registriert sind. Aus Sicht von Google werden diese Geräte nicht verwaltet. Sie können keine neuen Android for Work-Apps hinzufügen. Sie können keine Android for Work App-Berechtigungen oder Android for Work App-Einschränkungsrichtlinien anwenden. Sie können auf diese Geräte andere Richtlinien anwenden, z. B. Planung, Kennwort und Einschränkungen.
  • Wenn Sie versuchen, Geräte in Android for Work zu registrieren, werden sie als Android-Geräte und nicht als Android for Work-Geräte registriert.

Registrierung für ein Android for Work-Unternehmen aufheben:

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf der Seite “Einstellungen” auf Android for Work.

  3. Klicken Sie auf Unternehmen entfernen.

    Bild der Option "Unternehmen entfernen"

  4. Geben Sie ein Kennwort an. Sie brauchen das Kennwort für den nächsten Schritt, um das Aufheben der Registrierung abzuschließen. Klicken Sie dann auf Registrierung aufheben.

    Bild der Option "Registrierung aufheben"

  5. Wenn die XenMobile Tools-Seite geöffnet wird, geben Sie das Kennwort ein, das Sie im vorherigen Schritt erstellt haben.

    Bild des Kennwortfeldes

  6. Klicken Sie auf Registrierung aufheben.

    Bild der Option "Registrierung aufheben"

Registrieren von Android for Work-Geräten

Wenn Benutzer bei der Geräteregistrierung einen Benutzernamen oder eine Benutzer-ID eingeben müssen: Das akzeptierte Format hängt davon ab, ob in XenMobile der Benutzerprinzipalname (UPN) oder der SAM-Kontoname für die Benutzersuche konfiguriert ist.

Wenn die Benutzer in XenMobile über den UPN gesucht werden, müssen sie einen UPN in diesem Format eingeben:

  • username@domain

Wenn die Benutzer in XenMobile über SAM gesucht werden, müssen sie die SAM in einem dieser Formate eingeben:

  • username@domain
  • domain\username

So ermitteln Sie den Benutzernamen, den XenMobile verwendet:

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.
  2. Klicken Sie auf LDAP, um die Konfiguration der LDAP-Verbindung anzuzeigen.
  3. Prüfen Sie unten auf der Seite, welche Einstellung im Feld Benutzersuche nach ausgewählt ist:

    • Bei UserPrincipalName ist XenMobile für UPN konfiguriert.
    • Bei sAMAccountName ist XenMobile Server für SAM konfiguriert.

Bereitstellen des Modus für vom Unternehmen verwaltete Geräte in Android for Work

Der Modus für vom Unternehmen verwaltete Geräte für Android for Work ist nur für Unternehmensgeräte verfügbar. XenMobile unterstützt folgende Arten der Registrierung im Modus für vom Unternehmen verwaltete Geräte:

  • afw#xenmobile: Bei dieser Registrierungsmethode gibt der Benutzer beim Einrichten des Geräts die Zeichen “afw#xenmobile” ein. Das Token identifiziert das Gerät als von XenMobile verwaltet und lädt Secure Hub herunter.
  • Datenübertragung per NFC (Near Field Communication): Die Registrierung per NFC eignet sich für Geräte im Bestand, die auf Werkseinstellungen zurückgesetzt wurden. Bei dieser Art der kontaktlosen Übertragung erfolgt der Datenaustausch zwischen zwei Geräten über die Nahfeldkommunikation (NFC). Bluetooth, WiFi und andere Kommunikationsmodi sind auf einem Gerät mit Werkseinstellungen deaktiviert. NFC ist das einzige Kommunikationsprotokoll, das das Gerät in diesem Zustand verwenden kann.
  • QR-Code: Die Bereitstellung per QR-Code empfiehlt sich für verteilte Geräte im Bestand, die NFC nicht unterstützen (z. B. Tablets). Sie eignet sich für Geräte im Bestand, die auf Werkseinstellungen zurückgesetzt wurden. Dabei wird der Modus für vom Unternehmen verwaltete Geräte durch Scannen eines QR-Codes vom Setupassistenten eingerichtet und konfiguriert.

afw#xenmobile

Die Registrierungsmethode wird nach Einschalten eines neuen oder werkseitig zurückgesetzten Geräts für die Ersteinrichtung verwendet. Die Benutzer geben “afw#xenmobile” ein, wenn sie zum Angeben eines Google-Kontos aufgefordert werden. Mit dieser Aktion wird Secure Hub heruntergeladen und installiert. Die Benutzer folgen anschließend den Anweisungen in Secure Hub zum Abschließen der Registrierung.

NFC-Übertragung

Zur Registrierung eines Geräts im Gerätemodus per NFC-Funktion sind zwei Geräte erforderlich: ein Gerät, das auf die Werkseinstellungen zurückgesetzt wurde, und ein Gerät, auf dem das XenMobile Provisioning Tool ausgeführt wird.

Voraussetzungen:

  • Ein XenMobile Server, Version 10.4, der für Android for Work aktiviert ist.
  • Ein auf die Werkseinstellungen zurückgesetztes Gerät, das für Android for Work im Modus für vom Unternehmen verwaltete Geräte bereitgestellt ist. Das Verfahren hierfür finden Sie weiter unten in diesem Artikel.
  • Ein Gerät mit NFC-Funktion, auf dem das konfigurierte Provisioning Tool ausgeführt wird. Das Provisioning Tool ist in Secure Hub 10.4 und auf der Citrix Downloadseite verfügbar.

Jedes Gerät kann nur ein Android for Work-Profil haben, das von einer Enterprise Mobility Management-App (EMM) verwaltet wird. In XenMobile ist Secure Hub die EMM-App. Nur ein Profil ist pro Gerät zulässig. Wenn Sie versuchen, eine zweite EMM-App hinzuzufügen, wird die erste entfernt.

Sie können den Modus für vom Unternehmen verwaltete Geräte auf neuen Geräten oder auf Geräten mit Werkseinstellungen aktivieren. Das gesamte Gerät wird mit XenMobile verwaltet.

Per NFC übertragene Daten

Für das Provisioning eines auf Werkseinstellungen zurückgesetzten Geräts müssen Sie die folgenden Daten per NFC senden, damit Android for Work initialisiert wird:

  • Paketname der EMM-Anbieter-App, die als Gerätebesitzer fungiert (in diesem Fall Secure Hub).
  • Intranet-/Internetspeicherort, von dem das Gerät die EMM-Anbieter-App herunterlädt.
  • SHA-1-Hash der EMM-Anbieter-App, um zu überprüfen, ob der Download erfolgreich ist.
  • WiFi-Verbindungsdetails, sodass ein auf Werkseinstellungen zurückgesetztes Gerät eine Verbindung herstellen und die EMM-Anbieter-App herunterladen kann. Hinweis: Android unterstützt für diesen Schritt nicht 802.1x.
  • Zeitzone für das Gerät (optional).
  • Geografischer Standort des Geräts (optional).

Wenn die beiden Geräte eine Verbindung herstellen, werden die Daten vom Provisioning Tool an das Gerät mit den Werkseinstellungen gesendet. Diese Daten werden dann zum Download von Secure Hub mit Administratoreinstellungen verwendet. Wenn Sie keine Werte für Zeitzone und Speicherort eingeben, konfiguriert Android sie automatisch auf dem neuen Gerät.

Konfigurieren des XenMobile Provisioning Tools

Bevor Sie Daten per NFC übertragen können, müssen Sie das Provisioning Tool konfigurieren. Diese Konfiguration wird dann während der NFC-Übertragung an das auf die Werkseinstellungen zurückgesetzte Gerät gesendet.

Abbildung der Provisioning Tool-Konfiguration

Sie können Daten in die erforderlichen Felder eintragen oder die Felder mit einer Textdatei ausfüllen. Nachfolgend wird beschrieben, wie Sie die Textdatei konfigurieren und welche Felder diese enthält. Die App speichert die eingegebenen Informationen nicht. Erstellen Sie daher eine Textdatei zur Aufbewahrung der Informationen.

Konfigurieren des Provisioning Tools mit einer Textdatei

Nennen Sie die Datei nfcprovisioning.txt und speichern Sie sie auf der SD-Karte des Geräts im Ordner /sdcard/. Die App liest die Textdatei und fügt die Werte ein.

Die Textdatei muss die folgenden Daten enthalten:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Dies ist der Intranet-/Internetspeicherort der EMM-Anbieter-App. Wenn das auf Werkseinstellungen zurückgesetzte Gerät nach der NFC-Übertragung eine WiFi-Verbindung herstellt, muss es für den Download Zugriff auf diesen Speicherort haben. Die URL ist eine normale URL ohne spezielle Formatierung.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Dies ist die Prüfsumme der EMM-Anbieter-App. Sie wird verwendet, um zu prüfen, ob der Download erfolgreich ist. Das Verfahren zum Abrufen der Prüfsumme wird weiter unten in diesem Artikel beschrieben.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Dies ist die Wi-Fi-SSID des Geräts, auf dem das Provisioning Tool ausgeführt wird.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Es werden WEP und WPA2 unterstützt. Wenn das WiFi nicht geschützt ist, muss dieses Feld leer sein.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wenn das WiFi nicht geschützt ist, muss dieses Feld leer sein.

android.app.extra.PROVISIONING_LOCALE=<locale>

Geben Sie die Sprach- und Ländercodes ein. Sprachcodes sind nach ISO 639-1 definierte ISO-Sprachcodes, die aus zwei Kleinbuchstaben bestehen (z. B. en). Ländercodes sind nach ISO 3166-1 definierte ISO-Ländercodes, die aus zwei Großbuchstaben bestehen(z. B. US). Geben Sie z. B. de_DE für Deutsch/Deutschland ein. Wenn Sie keinen Länder- und Sprachcode eingeben, werden diese Felder automatisch ausgefüllt.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

Die Zeitzone, in der das Gerät ausgeführt wird. Geben Sie einen Namen im Format Gebiet/Ort ein. Beispiel: America/Los_Angeles für Pacific Time. Wenn Sie keine Zeitzone eingeben, wird sie automatisch eingetragen.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Keine Eingabe ist erforderlich, da der Wert in der App als Secure Hub hartcodiert ist. Er wird hier nur der Vollständigkeit halber angegeben.

Bei einem mit WPA2 geschützten Wi-Fi könnte die Datei nfcprovisioning.txt wie folgt aussehen:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=http://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Bei einem ungeschützten WiFi könnte die Datei nfcprovisioning.txt wie folgt aussehen:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=http://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Abrufen der Secure Hub-Prüfsumme

Wenn Sie die Prüfsumme einer App abrufen möchten, fügen Sie die App als Unternehmensapp hinzu.

  1. Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Apps und dann auf Hinzufügen.

    Das Fenster Apps hinzufügen wird angezeigt.

  2. Klicken Sie auf Enterprise.

    Die Seite App-Informationen wird angezeigt.

    Abbildung der App-Informationsseite

  3. Wählen Sie die folgende Konfiguration und klicken Sie auf Weiter.

    Die Seite Android for Work-Unternehmensapp wird angezeigt.

    Abbildung der Android for Work-Unternehmensapp

  4. Geben Sie den Pfad für die APK-Datei an und klicken Sie auf Weiter, um die Datei hochzuladen.

    Wenn der Upload abgeschlossen ist, werden die Details des hochgeladenen Pakets angezeigt.

    Abbildung der Dateiuploadseite

  5. Klicken Sie auf Weiter, um die Seite zum Herunterladen der JSON-Datei für den Upload in Google Play aufzurufen. Für Secure Hub ist kein Upload in Google Play erforderlich, aber Sie benötigen die JSON-Datei, um den SHA-1-Wert auszulesen.

    Abbildung der Seite für den Download der JSON-Datei

    Eine typische JSON-Datei sieht wie folgt aus:

    Abbildung einer typischen JSON-Datei

  6. Kopieren Sie den Wert file_sha1_base64 und geben Sie ihn in das Feld Hash im Provisioning Tool ein.

    Hinweis: Der Hash muss URL-geeignet sein.

    • Konvertieren Sie alle +-Symbole in -
    • Konvertieren Sie alle /-Symbol in _
    • Ersetzen Sie \u003d am Ende durch =

    Die App führt die Sicherheitskonvertierung durch, wenn Sie den Hash-Wert in der Datei nfcprovisioning.txt auf der SD-Karte des Geräts speichern. Wenn Sie den Hash-Wert manuell eingeben, sind Sie dafür verantwortlich, dass er URL-sicher ist.

Verwendete Bibliotheken

Das Provisioning Tool verwendet die folgenden Bibliotheken im Quellcode:

  • v7 AppCompat Library, Design Support Library und v7 Palette Library von Google unter Apache 2.0-Lizenz

    Weitere Informationen finden Sie im Handbuch zur Support Library Features Guide.

  • Butter Knife von Jake Wharton unter Apache-Lizenz 2.0

QR-Code

Sie registrieren ein Gerät per QR-Code im Gerätemodus, indem Sie zunächst eine JSON-Datei erstellen und diese in einen QR-Code umwandeln. Der QR-Code wird mit der Gerätekamera gescannt, um das Gerät zu registrieren.

Voraussetzungen für die Verwendung von QR-Codes:

  • Das Bereitstellen des Modus für vom Unternehmen verwaltete Geräte per QR-Code wird auf allen Android-Geräten ab Android 7.0 unterstützt.
Erstellen eines QR-Codes aus einer JSON-Datei

Erstellen Sie eine JSON-Datei mit den folgenden Feldern.

Diese Felder sind erforderlich:

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Wert: com.zenprise/com.zenprise.configuration.AdminFunction

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Wert: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Wert: https://path/to/securehub.apk

Hinweis:

Falls Secure Hub als Unternehmensapp auf dem Citrix XenMobile Server hochgeladen wird, kann der Download über https://<fqdn>:4443/*instanceName*/worxhome.apk erfolgen. Der Pfad zur APK-Datei für Secure Hub muss über das Wi-Fi-Netzwerk erreichbar sein, mit dem das Gerät während der Bereitstellung verbunden ist.

Diese Felder sind optional:

  • android.app.extra.PROVISIONING_LOCALE: Geben Sie den Sprach- und den Ländercode ein.

    Sprachcodes sind nach ISO 639-1 definierte ISO-Sprachcodes, die aus zwei Kleinbuchstaben bestehen (z. B. en). Ländercodes sind nach ISO 3166-1 definierte ISO-Ländercodes, die aus zwei Großbuchstaben bestehen(z. B. US). Geben Sie z. B. de_DE für Deutsch/Deutschland ein.

  • android.app.extra.PROVISIONING_TIME_ZONE: die Zeitzone, in der das Gerät ausgeführt wird.

    Geben Sie einen Namen im Format Gebiet/Ort ein. Beispiel: America/Los_Angeles für Pacific Time. Wenn Sie keine Zeitzone eingeben, wird sie automatisch eingetragen.

  • android.app.extra.PROVISIONING_LOCAL_TIME: Zeit in Millisekunden seit der Unix-Epoche.

    Die Unix-Zeit (auch POSIX-Zeit oder Unix-Zeitstempel) ist die Anzahl der Sekunden, die seit der Epoche, d. h. dem 1. Januar 1970 (Mitternacht UTC-GMT), verstrichen sind. Schaltsekunden werden nicht mitgezählt (in ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: Wenn Sie dies auf true festlegen, wird die Verschlüsselung während der Profilerstellung übersprungen. Wählen Sie False, um die Verschlüsselung während der Profilerstellung zu erzwingen.

Eine JSON-Datei sieht in etwa wie folgt aus:

Abbildung einer typischen JSON-Datei

Überprüfen Sie die JSON-Datei mit einem JSON-Validierungstool (z. B. https://jsonlint.com). Konvertieren Sie die JSON-Zeichenfolge mit einem beliebigen QR-Code-Generator (z. B. http://goqr.me) in einen QR-Code.

Der QR-Code wird von einem auf Werkseinstellungen zurückgesetzten Gerät gescannt, um das Gerät im Modus für vom Unternehmen verwaltete Geräte zu registrieren.

Registrieren des Geräts

Um ein Gerät im Modus für vom Unternehmen verwaltete Geräte zu registrieren, muss das Gerät auf die Werkseinstellungen zurückgesetzt sein.

  1. Tippen Sie sechsmal auf den Begrüßungsbildschirm, um die Registrierung per QR-Code zu starten.
  2. Verbinden Sie das Gerät nach Aufforderung mit dem WiFi-Netzwerk. Über das WiFi-Netzwerk wird dann per QR-Code (codiert in der JSON-Datei) auf den Download-Speicherort von Secure Hub zugegriffen.

    Sobald das Gerät mit dem WiFi verbunden ist, lädt es ein Google-Programm zum Lesen des QR-Codes herunter und aktiviert die Kamera.

  3. Halten Sie die Kamera über den QR-Code, um ihn zu scannen.

    Android lädt Secure Hub vom Speicherort im QR-Code herunter, validiert die Signatur des Signaturzertifikats, installiert Secure Hub und legt die App als Gerätebesitzer fest.

Weitere Informationen finden Sie im Google-Leitfaden für Android EMM-Entwickler unter https://developers.google.com/android/work/prov-devices#qr_code_method.

Bereitstellen des Arbeitsprofilmodus in Android for Work

Der Arbeitsprofilmodus für Android for Work ist für Geräte verfügbar, auf denen Sie private und geschäftliche Bereiche sicher trennen können. Dies sind beispielsweise BYOD-Geräte. Die Registrierung im Arbeitsprofilmodus ähnelt der Android-Registrierung in XenMobile. Die Benutzer laden Secure Hub aus Google Play herunter und registrieren ihre Geräte.

Standardmäßig sind die Einstellungen “USB Debugging” und “Unknown Sources” auf einem Gerät deaktiviert, wenn es bei Android for Work im Arbeitsprofilmodus registriert ist.

Tipp:

Beim Registrieren von Geräten im Arbeitsprofilmodus in Android for Work wechseln Sie stets zu Google Play. Aktivieren Sie dort Secure Hub, das dann im persönlichen Profil des Benutzers angezeigt wird.

Unterstützung für COSU-Geräte mit Android for Work

XenMobile unterstützt die Verwaltung unternehmenseigener Einzweckgeräte (COSU, corporate owned single use) mit Android for Work. COSU-Geräte werden für einen einzelnen Anwendungsfall eingesetzt, z. B. digitale Werbetechnik, Ticketdruck oder Bestandsverwaltung. Administratoren beschränken solche Geräte auf eine oder wenige Apps. Sie verhindern auch, dass Benutzer weitere Apps aktivieren oder andere Aktionen auf dem Gerät ausführen.

Bereitstellen von COSU-Geräten

  • Fügen Sie eine rollenbasierte Zugriffssteuerungsrolle (RBAC-Rolle) hinzu, mit der XenMobile-Administratoren COSU-Geräte bei XenMobile registrieren können. Diese Rolle ist in dieser Version von XenMobile Server neu. Weisen Sie diese Rolle Benutzern zu, für die Sie COSU-Geräte registrieren möchten.
  • Fügen Sie ein Registrierungsprofil für die XenMobile-Administratoren hinzu, denen Sie die Registrierung von COSU-Geräten bei XenMobile gestatten möchten.
  • Setzen Sie die Apps, auf die das COSU-Gerät zugreifen soll, auf eine Positivliste.
  • Legen Sie optional für Apps fest, dass diese den gesperrten Task-Modus zulassen. Im gesperrten Task-Modus wird eine App an den Gerätebildschirm angeheftet, wenn der Benutzer sie öffnet. Es gibt keine Hometaste und die Zurück-Taste ist deaktiviert. Der Benutzer beendet die App mit einer in der App programmierten Aktion, z. B. Abmelden.
  • Stellen Sie jedes Gerät per afw#mobile, NFC-Übertragung oder QR-Code bereit, wenn es nach dem Zurücksetzen auf die Werkseinstellungen eingeschaltet wird. Weitere Informationen finden Sie unter afw#xenmobile, Datenübertragung per NFC und QR-Code.

Systemanforderungen

  • Die Registrierung von Android COSU-Geräten ist ab Android 6.0 möglich.
  • Das Gerät muss neu sein oder auf die Werkseinstellung zurückgesetzt worden sein.

Hinzufügen der COSU-Rolle

Mit der RBAC-Rolle für die Registrierung von COSU-Geräten kann XenMobile ohne Benutzereingriff ein verwaltetes Google Play-Konto auf dem Gerät bereitstellen und aktivieren. Im Gegensatz zu verwalteten Google Play-Benutzerkonten gehören solche Gerätekonten zu Geräten, die nicht an einen Benutzer gebunden sind.

Sie weisen diese RBAC-Rolle XenMobile-Administratoren zu, damit sie COSU-Geräte registrieren können.

Hinzufügen der RBAC-Rolle zum Registrieren von COSU-Geräten:

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf Rollenbasierte Zugriffssteuerung. Die Seite “Rollenbasierte Zugriffssteuerung” mit den vier Standardbenutzerrollen und allen von Ihnen zuvor hinzugefügten Rollen wird angezeigt.

  3. Klicken Sie auf Hinzufügen. Die Seite Rolle hinzufügen wird angezeigt.

  4. Geben Sie die folgenden Informationen ein:

    • RBAC-Name: Geben Sie COSU oder einen anderen aussagekräftigen Namen für die Rolle ein. Sie können den Namen einer Rolle nicht ändern.
    • RBAC-Vorlage: Wählen Sie die ADMIN-Vorlage aus.
    • Autorisierter Zugriff: Wählen Sie Zugriff über Administratorkonsole und Registrierung für COSU-Geräte.
    • Konsolenfeatures: Wählen Sie Geräte.
    • Berechtigungen anwenden: Wählen Sie die Gruppen aus, denen Sie die COSU-Rolle zuweisen möchten. Wenn Sie auf Auf bestimmte Benutzergruppen klicken, wird eine Liste mit Gruppen angezeigt, in der Sie eine oder mehrere Gruppen auswählen können.
  5. Klicken Sie auf Weiter. Die Zuweisungsseite wird angezeigt.

  6. Geben Sie die folgenden Informationen zum Zuweisen der Rolle zu Benutzergruppen ein.

    • Domäne auswählen: Klicken Sie in der Liste auf eine Domäne.
    • Benutzergruppen einschließen: Klicken Sie auf Suchen, um eine Liste aller verfügbaren Gruppen anzuzeigen. Geben Sie alternativ einen Gruppennamen vollständig oder teilweise ein, um die Liste auf entsprechende Gruppen beschränken.
    • Wählen Sie in der nun angezeigten Liste die Benutzergruppen aus, denen Sie die Rolle zuweisen möchten. Wenn Sie eine Benutzergruppe auswählen, wird die Gruppe in der Liste Ausgewählte Benutzergruppen angezeigt.
  7. Klicken Sie auf Speichern.

Hinzufügen eines COSU-Registrierungsprofils

Wenn Ihre XenMobile-Bereitstellung COSU-Geräte enthält, registriert ein einzelner XenMobile-Administrator oder eine kleine Gruppe von Administratoren viele COSU-Geräte. Damit diese Administratoren alle erforderlichen Geräte registrieren können, erstellen Sie für sie ein Registrierungsprofil unter Zulassung einer unbegrenzten Anzahl an Geräten pro Benutzer. Weisen Sie dieses Profil einer Bereitstellungsgruppe mit den Administratoren zu, die COSU-Geräte registrieren werden. Auf diese Weise können Administratoren selbst dann eine unbegrenzte Anzahl an Geräten registrieren, wenn das standardmäßige globale Profil nur eine begrenzte Anzahl von Geräten pro Benutzer zulässt. Den betreffenden Administratoren muss das COSU-Registrierungsprofil zugewiesen sein.

  1. Navigieren Sie zu Konfigurieren > Registrierungsprofile. Das Standardprofil “Global” wird angezeigt.

  2. Wenn Sie ein Registrierungsprofil hinzufügen möchten, klicken Sie auf Hinzufügen. Geben Sie auf der Seite “Registrierungsinfo” einen Namen für das Registrierungsprofil ein. Legen Sie für die Anzahl der Geräte, die Mitglieder mit diesem Profil anmelden können, “Unbegrenzt” fest.

    Bild des Konfigurationsbildschirms für Registrierungsprofile

  3. Klicken Sie auf Weiter. Die Seite “Bereitstellungsgruppenzuweisung” wird angezeigt.

  4. Wählen Sie die Bereitstellungsgruppe(n) mit den Administratoren, die COSU-Geräte registrieren sollen. Klicken Sie auf Speichern.

    Die Seite “Registrierungsprofil” wird mit dem von Ihnen hinzugefügten Profil angezeigt.

    Bild des Konfigurationsbildschirms für Registrierungsprofile

Hinzufügen von Apps zur Positivliste und Festlegen des gesperrten Task-Modus

Über die Kioskgeräterichtlinie können Sie Apps auf die Positivliste setzen und den gesperrten Task-Modus festlegen. Secure Hub- und Google Play-Dienste stehen standardmäßig auf der Positivliste.

Hinzufügen der Kioskrichtlinie

  1. Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Geräterichtlinien. Die Seite Geräterichtlinien wird angezeigt.

  2. Klicken Sie auf Hinzufügen. Das Dialogfeld Neue Richtlinie hinzufügen wird angezeigt.

  3. Erweitern Sie Mehr und klicken Sie unter “Sicherheit” auf Kiosk. Die Seite Kioskrichtlinie wird angezeigt.

  4. Wählen Sie unter “Plattformen” die Option Android for Work.

  5. Geben Sie im Bereich Richtlinieninformationen den Richtliniennamen und optional eine Beschreibung ein.

  6. Klicken Sie auf Weiter und dann auf Hinzufügen.

  7. Gehen Sie zum Hinzufügen von Apps zur Positivliste und Festlegen des gesperrten Task-Modus wie folgt vor:

    Wählen Sie die gewünschte App aus der Liste aus.

    Wählen Sie Zulassen, um festzulegen, dass die App an den Gerätebildschirm angeheftet wird, wenn der Benutzer die App startet. Wählen Sie Verweigern, um festzulegen, dass die App nicht angeheftet werden soll. Die Standardeinstellung ist Zulassen.

    Bild des Konfigurationsbildschirms für Geräterichtlinien

  8. Klicken Sie auf Speichern.

  9. Klicken Sie zum Hinzufügen einer weiteren App zur Positivliste und Festlegen des gesperrten Task-Modus auf Hinzufügen.

  10. Konfigurieren Sie Bereitstellungsregeln und wählen Sie Bereitstellungsgruppen. Weitere Informationen finden Sie unter Geräterichtlinien.

Einrichten von G Suite-Partnerzugriff für XenMobile

Einige Endpunktverwaltungsfunktionen für Chrome verwenden Google-Partner-APIs für die Kommunikation zwischen XenMobile und Ihrer G Suite-Domäne. Beispielsweise benötigt XenMobile die APIs für Geräterichtlinien, die Chrome-Features wie den Incognitomodus und den Gastmodus verwalten.

Zum Aktivieren dieser Partner-APIs richten Sie Ihre G Suite-Domäne in der XenMobile-Konsole ein und konfigurieren anschließend Ihr G Suite-Konto.

Einrichten Ihrer G Suite-Domäne in XenMobile

Um die Kommunikation zwischen XenMobile und den APIs in Ihrer G Suite-Domäne zu aktivieren, gehen Sie zu Einstellungen > Google Chrome-Konfiguration und konfigurieren Sie die Einstellungen.

Bild des Google Chrome-Einstellungsbildschirms

  • G Suite-Domäne: Die G Suite-Domäne mit den von XenMobile benötigten APIs.
  • G Suite-Administratorkonto: Das Administratorkonto für Ihre G Suite-Domäne.
  • G Suite-Client-ID: Die Client-ID für Citrix. Konfigurieren Sie mit diesem Wert den Partnerzugriff für Ihre G Suite-Domäne.
  • G Suite-Unternehmens-ID: Die Unternehmens-ID für Ihr Konto mit den Angaben Ihres Google Enterprise-Kontos.

Aktivieren des Partnerzugriffs für Geräte und Benutzer in Ihrer G Suite-Domäne

  1. Melden Sie sich an der Google-Verwaltungskonsole an. https://admin.google.com

  2. Klicken Sie auf Device Management.

    Bild der Google-Administratorkonsole

  3. Klicken Sie auf Chrome management.

    Bild der Google-Administratorkonsole

  4. Klicken Sie auf User settings.

    Bild der Google-Administratorkonsole

  5. Suchen Sie nach Chrome Management - Partner Access.

    Bild der Google-Administratorkonsole

  6. Aktivieren Sie das Kontrollkästchen Enable Chrome Management - Partner Access.

  7. Stimmen Sie zu, dass Sie den Partnerzugriff verstehen und aktivieren möchten. Klicken Sie auf Speichern.

  8. Klicken Sie auf der Chrome-Verwaltungsseite auf Device Settings.

    Bild der Google-Administratorkonsole

  9. Suchen Sie nach Chrome Management - Partner Access.

    Bild der Google-Administratorkonsole

  10. Aktivieren Sie das Kontrollkästchen Enable Chrome Management - Partner Access.

  11. Stimmen Sie zu, dass Sie den Partnerzugriff verstehen und aktivieren möchten. Klicken Sie auf Speichern.

  12. Wechseln Sie zur Seite Security und klicken Sie auf Advanced Settings.

    Bild der Google-Administratorkonsole

  13. Klicken Sie auf Manage API client access.

  14. Gehen Sie in der XenMobile-Konsole zu Einstellungen > Google Chrome-Konfiguration und kopieren Sie den Wert für G Suite Client ID. Kehren Sie zur Seite Manage API client Access zurück und fügen Sie den kopierten Wert in das Feld Client name ein.

  15. Fügen Sie unter One or More API Scopes die URL hinzu: https://www.googleapis.com/auth/chromedevicemanagementapi

    Bild der Google-Administratorkonsole

  16. Klicken Sie auf Authorize.

    Die Meldung “Your settings have been saved” wird angezeigt.

Bild des Konfigurationsbildschirms für Geräterichtlinien

Android for Work