Embed Size (px)
Citation preview
Android-Plattform
VMware Workspace ONE UEM 1908
Die aktuellste technische Dokumentation finden Sie auf der VMware-Website unter:
https://docs.vmware.com/de/
Falls Sie Anmerkungen zu dieser Dokumentation haben, senden Sie diese an:
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
VMware Global, Inc.Zweigniederlassung DeutschlandWilly-Brandt-Platz 281829 MünchenGermanyTel.: +49 (0) 89 3706 17 000Fax: +49 (0) 89 3706 17 333www.vmware.com/de
Copyright © 2019 VMware, Inc. Alle Rechte vorbehalten. Urheberrechts- und Markenhinweise.
Android-Plattform
VMware, Inc. 2
Inhalt
1 Übersicht 6Integrieren von Workspace ONE UEM in Android 6
Bereitstellungsanforderungen für Android 6
Netzwerkanforderungen für Android 8
Registrierungsrestriktionen für Android 9
Schlüsselbegriffe für Android 10
Android-Gerätemodi verstehen 11
Migration vom Android (Legacy)-Geräteadministrator 14
Erstellen einer Smartgroup für die Migration von Android (Legacy) zum Android Work-Profil 15
Voraussetzungen für die Android (Legacy)-Migration 16
Erstellen einer neuen Android (Legacy)-Migration 16
Seite „Migrationsdetails“ 18
2 Registrieren von Android mit Workspace ONE UEM 19Registrieren von Android EMM mit verwaltetem Google Play-Konto 20
Registrieren von Android EMM mit verwalteter Google-Domäne (G Suite-Kunden) 21
Google-Dienstkonto einrichten 21
Google-Admin-Konsole einrichten 23
EMM-Token generieren 23
EMM-Token hochladen 24
Benutzer einrichten 25
Lösen der Bindung der Domäne an Workspace ONE UEM 27
3 Android-Geräteregistrierung im Überblick 28Geräte & Benutzer/Android/Android EMM-Registrierung 29
Device Protection für Android-Geräte 30
Registrierung über AutoErmittlung 30
Konfigurieren der AutoErmittlungs-Registrierung von einer untergeordneten Organisationsgruppe31
Konfigurieren der AutoErmittlungs-Registrierung von einer übergeordneten Organisationsgruppe31
Registrierungskonfiguration für „Vom Unternehmen verwaltetes Gerät“ 32
Registrieren des Modus „Vom Unternehmen verwaltetes Gerät“ über AirWatch Relay 35
Registrieren von Android-Geräten mit VMware Workspace ONE Intelligent Hub Identifier(Bezeichner) 45
Registrieren des Modus „Android-Gerät“ mit QR Code 45
Registrieren eines Android-Geräts über das Zero Touch-Portal 48
Registrierungskonfiguration für „Unternehmenseigenes Gerät mit privater Nutzung“ 52
Registrieren eines Android-Geräts im Work-Profil-Modus 55
VMware, Inc. 3
Zebra-StageNow 56
4 Android-Profile im Überblick 58Kennungsprofil (Android) 60
Durchsetzen von Kennungseinstellungen (Android) 61
Konfigurieren der Sperrbildschirm-Überlagerung (Android) 64
Chrome-Browsereinstellungen erzwingen (Android) 65
Matrix zu Chrome-Browsereinstellungen (Android) 68
Restriktionsprofil (Android) 71
Durchsetzen von Restriktionen (Android) 71
Aktivieren von Exchange Active Sync (Android) 72
Profil „Automatische Aktualisierung“ 74
Anmeldedaten (Android) 74
Verteilen von Anmeldedaten (Android) 75
Erstellen von benutzerdefinierten Mails 75
Anwendungssteuerung (Android) 76
Konfigurieren der Anwendungssteuerung (Android) 76
Konfigurieren von Proxy-Einstellungen (Android) 77
Aktivieren von System-Updates (Android) 77
WLAN-Profil (Android) 78
Konfigurieren des WLAN-Zugriffs (Android) 78
Konfigurieren von VPN (Android) 79
Konfigurieren von Pro-App-VPN (Android) 81
Festlegen von Berechtigungen (Android) 82
Konfigurieren des Einzelanwendungsmodus (Android) 83
Bewährte Methoden für Einzelanwendungsmodus (Android) 83
Festlegen von Datum/Uhrzeit 84
Erstellen eines Workspace ONE Launcher-Profils (Android) 85
Konfigurieren von Firewallregeln (Android) 86
APN-Profil konfigurieren 86
Schutz des Unternehmens bei Zurücksetzung auf Werkseinstellungen 88
Schutz vor Unternehmenszurücksetzung konfigurieren(Android) 88
Konfigurieren des Zebra MX-Profils (Android) 89
Verwenden von benutzerdefinierten Einstellungen (Android) 91
5 Gemeinschaftsgeräte 93Konfigurieren von Android für Gemeinschaftsgeräte 94
Konfigurieren von Gemeinschaftsgeräten 95
Festlegen der Gemeinschaftsgerätehierarchie 97
Anmelden bei und Abmelden von Android-Gemeinschaftsgeräten 98
Android-Plattform
VMware, Inc. 4
6 Android-Geräteverwaltung im Überblick 99Geräteverwaltungs-Befehle (Android) 99
Registerkarte Gerätedetails Anwendungen 100
Übersicht über Android-Updates 100
Veröffentlichen von Firmware-Updates (Android) 101
Updates für die Samsung Enterprise Firmware Over The Air (EFOTA) 102
SafetyNet-Nachweis 103
SafetyNet-Nachweis aktivieren 104
Bestimmte Profilfunktionen für Android 104
Bestimmte Einschränkungen für Android 106
Android-Plattform
VMware, Inc. 5
Übersicht 1
Dieses Kapitel enthält die folgenden Themen:
n Integrieren von Workspace ONE UEM in Android
n Bereitstellungsanforderungen für Android
n Netzwerkanforderungen für Android
n Registrierungsrestriktionen für Android
n Schlüsselbegriffe für Android
n Android-Gerätemodi verstehen
n Migration vom Android (Legacy)-Geräteadministrator
Integrieren von Workspace ONE UEM in AndroidWorkspace ONE UEM powered by AirWatch bietet Ihnen eine Reihe stabilerMobilitätsverwaltungslösungen zum Registrieren, Sichern, Konfigurieren und Verwalten Ihrer Android-Gerätebereitstellung. In der Workspace ONE UEM-Konsole stehen Ihnen mehrere Tools und Funktionenzur Verwaltung des gesamten Lebenszyklus von firmen- und mitarbeitereigenen Geräten zur Verfügung.
Der Leitfaden erläutert die Integration von Workspace ONE UEM als Ihren Enterprise Mobility-Manager(EMM) mit Android-Geräten.
Android for Work wurde im Jahr 2015 eingeführt, um den Einsatz von Android-Geräten in Unternehmenzu steigern. Google hat erfolgreich Funktionen in Android for Work implementiert, die für die meistenAndroid-Geräte zur Verfügung stehen. Seit Workspace ONE UEM Konsole, Version v9.4, hat WorkspaceONE UEM die vereinfachte Namenskonvention übernommen. Android for Work wurde in Androidumbenannt und ist die standardmäßige Bereitstellungsmethode für Neuregistrierungen. Dieser Leitfadenbefasst sich mit dieser Bereitstellungsmethode. Wenn Sie bereits länger Kunde von VMware AirWatchsind, können Sie Ihre Android-Bereitstellung mithilfe von Android (Legacy) für die Verwaltung IhrerGeräteflotte fortsetzen. Informationen zur Android (Legacy)-Verwaltung finden Sie im Leitfaden zurVMware AirWatch Android-Plattform (Legacy).
Bereitstellungsanforderungen für AndroidBevor Sie Android-Geräte einsetzen, beachten Sie die folgenden Voraussetzungen, Anforderungen fürdie Bereitstellung, technischen Unterlagen und Anregungen vom AirWatch Team.
VMware, Inc. 6
Unterstützte BetriebssystemeAndroid 5.X.X (Lollipop)
Hinweis : Workspace ONE UEM unterstützt Produkt-Provisioning auf Geräten mit Android 4.1 undhöher. Weitere Informationen finden Sie im Leitfaden „VMware AirWatch Produkt-Provisioning fürAndroid“.
Android 6.X.X
Android 7.X.X
Android 8.X.X
Android 9.X.X
Ihr Android-Gerät muss mit dem Google Play Store kommunizieren können. Wenn Ihre Geräte dieGoogle Play-Integration nicht unterstützen, informieren Sie sich über die Bereitstellung von Android(Legacy).
RegistrierungsanforderungenJedes in Ihrer Organisation eingesetzte Android-Gerät muss registriert werden, bevor es mit AirWatchkommunizieren und auf interne Inhalte und Funktionen zugreifen kann. Die folgenden Informationen sinderforderlich, bevor Ihr Gerät registriert werden kann
Wenn Ihrer Umgebung eine E-Mail-Domäne zugeordnet ist – Beim Verwenden von AutoErmittlung
n E-Mail-Adresse: Dies ist Ihre E-Mail-Adresse, die mit Ihrer Organisation verbunden ist. Zum [email protected].
n Anmeldedaten – Diese Kombination aus Benutzername und Kennwort ermöglicht Ihnen den Zugriffauf Ihre AirWatch Umgebung. Diese Anmeldedaten dürfen die gleichen sein wie die IhrerNetzwerkverzeichnisdienste oder können in der Workspace ONE UEM-Konsole eindeutig definiertwerden.
Wenn Ihrer Umgebung keine E-Mail-Domäne zugeordnet ist – Wenn AutoErmittlung nicht verwendet wird:
Wenn Ihrer Umgebung keine Domäne zugeordnet ist, werden Sie dennoch aufgefordert, Ihre E-Mail-Adresse einzugeben. Da AutoErmittlung nicht aktiviert ist, werden Sie aufgefordert, die folgendenInformationen einzugeben:
n Registrierungs-URL: Dies ist die für die Registrierungsumgebung Ihrer Organisation einzigartigeURL. Sie leitet Sie direkt zur Registrierungsseite. Beispiel: mdm.acme.com/registrieren.
n Gruppen-ID – Die Gruppen-ID ordnet Ihr Gerät Ihrer Unternehmensrolle zu und wird in derWorkspace ONE UEM-Konsole festgelegt.
n Anmeldedaten: Diese eindeutige Kombination aus Benutzername und Kennwort ermöglicht Ihnenden Zugriff auf Ihre AirWatch Umgebung. Diese Anmeldedaten dürfen die gleichen sein wie die IhrerNetzwerkverzeichnisdienste oder können in der Workspace ONE UEM-Konsole eindeutig definiertwerden.
Android-Plattform
VMware, Inc. 7
Um Workspace ONE Intelligent Hub herunterzuladen und anschließend ein Android-Gerät zu registrieren,benötigen Sie folgende Informationen:
n Registrierungs-URL: Die Registrierungs-URL ist AWAgent.com für alle Benutzer, Organisationenund Geräte, die bei AirWatch registriert werden.
Netzwerkanforderungen für AndroidEndbenutzergeräte müssen in der Lage sein, bestimmte Endpoints für den Zugriff auf Apps und Dienstezu erreichen. Die Netzwerkanforderungen für Android umfassen eine Liste bekannter Endpoints füraktuelle und vergangene Versionen von Enterprise Management-APIs.
Tabelle 1-1. Firewall-Regeln für Geräte
Ziel-Host Ports Zweck
play.google.com,android.com,google-analytics.com,googleusercontent.com,*gstatic.com,*gvt1.com*,*ggpht.com,dl.google.com,dl-ssl.google.com,android.clients.google.com*,gvt2.com,*gvt3.com
TCP/443TCP
UDP/5228-5230
Google Play und Updates
gstatic.com,
googleusercontent.com – enthält vomBenutzer generierte Inhalte (z. B. App-Symbole im Store)
*gvt1.com, *.ggpht, dl.google.com,dl-ssl.google.com,android.clients.google.com -Anwendungen und Updatesherunterladen, PlayStore APIs, gvt2.comund gvt3.com werden für dieÜberwachung der Play-Konnektivität zuDiagnosezwecken verwendet.
*.googleapis.com TCP/443 EMM/Google APIs/PlayStore-APIs
accounts.google.com, accounts.google.[Land]
TCP/443 Authentifizierung für accounts.google.[Land], verwenden Sie Ihre lokale Top-Level-Domäne für [Land]. Verwenden Siebeispielsweise für Australienaccounts.google.com.au und für dasVereinigte Königreichaccounts.google.co.uk.
fcm.googleapis.com, fcm-xmpp.googleapis.com
TCP/443, 5228-5230 Firebase Cloud Messaging (z. B. „MeinGerät suchen“, EMM-Konsole <-> DPC-Kommunikation, wie das Pushen vonKonfigurationen)
pki.google.com, clients1.google.com TCP/443 Prüfung der Zertifikatswiderrufsliste fürvon Google ausgestellte Zertifikate
clients2.google.com, clients3.google.com.clients4.google.com, clients5.google.com,clients6.google.com
TCP/443 Von verschiedenen Google-Backend-Diensten gemeinsam genutzte Domänenwie z. B. Absturzberichte, ChromeBookmark-Synchronisierung,Zeitsynchronisierung (tlsdate) und vieleandere
omahaproxy.appspot.com TCP/443 Chrome Updates
Android-Plattform
VMware, Inc. 8
Tabelle 1-1. Firewall-Regeln für Geräte (Fortsetzung)
Ziel-Host Ports Zweck
android.clients.google.com TCP/443 Für NFC-Provisioning verwendeteCloudDPC-Download-URL
connectivitycheck.android.comwww.google.com
TCP/443 Überprüfung der Konnektivität vor derCloudDPC V470 Android-Konnektivitätsprüfung ab N MR1 erfordert,dass https://www.google.com/generate_204 erreichbar ist oder dass dasangegebene WLAN-Netzwerk auf eineerreichbare PAC-Datei verweist.
Firewall-Regeln für KonsolenWenn sich eine EMM-Konsole vor Ort befindet, müssen die unten angegebenen Ziele vom Netzwerk auserreichbar sein, um ein verwaltetes Google Play-Unternehmen zu erstellen und auf das verwalteteGoogle Play-iFRAME zuzugreifen.
Diese Liste ist nicht erschöpfend und kann jederzeit geändert werden.
Ziel-Host Ports Zweck
play.google.com, www.google.com TCP/443 Google Play Store Enterprise wiederanmelden
fonts.googleapis.com*, .gstatic.com TCP/443 iFrame JS, Google-Schriftarten, vomBenutzer generierte Inhalte (z. B. App-Symbole im Store)
accounts.youtube.com,accounts.google.com,accounts.google.com.*
TCP/443 Kontoauthentifizierung,Authorisierungsdomänen fürländerspezifisches Konto
apis.google.com, ajax.googleapis.com TCP/443 GCM, andere Google-Webdienste undiFrame JS
clients1.google.com,payments.google.com, google.com
TCP/443 App-Genehmigung
ogs.google.com TCP/443 iFrame-Benutzeroberflächenelemente
notifications.google.com TCP/443 Desktop-/Mobile-Benachrichtigungen
Registrierungsrestriktionen für AndroidMit Registrierungsrestriktionen können Sie bestimmte Registrierungsrestriktionen bereitstellen, zumBeispiel die Beschränkung der Registrierung auf bekannte Benutzer, Benutzergruppen und einezulässige Anzahl an registrierten Geräten.
Sie können Einschränkungen für die Registrierung basierend auf Android-Hersteller und -Modellerstellen, um sicherzustellen, dass nur genehmigte Geräte zugelassen werden
Android-Plattform
VMware, Inc. 9
Für diese Optionen navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte &Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Restriktionen. Hier könnenSie Richtlinien für die Registrierungsrestriktionen je nach Organisations- und Benutzergruppen anpassen.
Schlüsselbegriffe für AndroidDiese Schlüsselbegriffe für Android helfen Ihnen, zu verstehen, wie Sie Einstellungen für Ihre Benutzerkonfigurieren und bereitstellen können.
n Work-Profil: Der Work-Profil-Modus (auch „Profilbesitzer-Modus“) erstellt einen dediziertenContainer auf Ihrem Gerät ausschließlich für geschäftliche Anwendungen und Inhalte. Der Work-Profil-Modus ermöglicht es Unternehmen, die Geschäftsdaten und geschäftlichen Anwendungen zuverwalten, verleiht ihnen aber keinen Zugriff auf private Daten und Anwendungen des Benutzers. DieAndroid-Anwendungen sind mit einem Aktenordner-Symbol gekennzeichnet, sodass sie sich von denprivaten Anwendungen unterschieden. Weitere Informationen finden Sie unter Android-Gerätemodiverstehen.
n Vom Unternehmen verwaltetes Gerät: Der Modus „Vom Unternehmen verwaltetes Gerät“ (auch„Gerätebesitzer-Modus“) betrifft das gesamte Gerät. Es existiert kein privater Bereich auf dem Gerätund APIs, die von dem Workspace ONE Intelligent Hub per Push übertragen werden, gelten für dasgesamte Gerät. Der Modus „Vom Unternehmen verwaltetes Gerät“ gilt für ein Gerät, das sichanfänglich in einem nicht bereitgestellten Zustand befindet, und über einen separatenBereitstellungsvorgang gestartet wird, den Workspace ONE Intelligent Hub installiert und demWorkspace ONE Intelligent Hub die vollständige Kontrolle über das gesamte Gerät gewährt. WeitereInformationen finden Sie unter Android-Gerätemodi verstehen.
n Unternehmenseigenes Gerät mit privater Nutzung: Corporate Owned Personally (COPE) ist einModus für unternehmenseigene Geräte, der dem Modus „Vom Unternehmen verwaltetes Gerät“ähnlich ist, aber mit einem Work-Profil bereitgestellt wird. So wird eine private und geschäftlicheNutzung ermöglicht. Weitere Informationen finden Sie unter Android-Gerätemodi verstehen.
n Verwaltetes Google-Konto: Bezeichnet das Google-Konto, das für das Gerät für Android registriertwurde und die Android-Anwendungsverwaltung über Google Play ermöglicht. Dieses Konto wird vonder Domäne verwaltet, die Ihre Android-Konfiguration verwaltet.
n Google-Dienstkonto: Das Google-Dienstkonto ist ein spezielles Google-Konto, das vonAnwendungen verwendet wird, um Zugriff auf Google-APIs zu erhalten, die für G Suite-Kundenempfohlen werden.
n EMM-Token: Eindeutige ID, die Workspace ONE UEM verwendet, um Workspace ONE UEMConsole mit dem verwalteten Google-Konto zu verbinden.
n Verwaltete Google-Domäne: Domäne, die für die Aktivierung von Ihrem Unternehmen zugeordnetenAndroid beansprucht wird.
n Google Domänen-Einrichtung: Google-Prozess für die Beanspruchung einer verwalteten GoogleDomäne.
Android-Plattform
VMware, Inc. 10
n G Suite: Marke von Google, über die Sie von Google entwickelte(s) Cloud Computing, Produktivitäts-und Collaboration-Tools, Software und Produkte per Push übertragen können.
n AirWatch Relay: Die Workspace ONE UEM-Anwendung, die Administratoren verwenden, umzahlreiche Android-Geräte gleichzeitig in Workspace ONE UEM zu registrieren.
n NFC Bump: Erfolgt bei der Verwendung der AirWatch Relay-Anwendung zur Übertragung vonInformationen vom übergeordneten an das untergeordnete Gerät.
n AOSP/Geschlossenes Netzwerk: „Android Open Source Project“ oder „Geschlossenes Netzwerk“bezieht sich auf Android-Geräte ohne Google-Dienste (GMS) und Console-Umgebungen ohne Zugriffauf Google.
Android-Gerätemodi verstehenDie integrierten Management-Funktionen des Android ermöglichen IT-Administratoren eine vollständigeVerwaltung von Geräten, die ausschließlich für die Arbeit verwendet werden.
Android bietet zwei Modi, je nachdem, welcher Besitz für das Gerät in Ihrer Organisation verwendet wird.Das Work-Profil (auch „Profilbesitzer“) stellt auf dem Gerät dedizierten Speicherplatz zur Verfügung, derausschließlich für geschäftliche Anwendungen und Daten gedacht ist. Dies ist die idealeBereitstellungsart für private Geräte bzw. BYOD-Anwendungen (Bring Your Own Device). Ist der ModusUnternehmenseigenes verwaltetes Gerät aktiviert, dann können Workspace ONE UEM und IT-Administratoren das gesamte Gerät steuern und umfassende Richtlinien durchsetzen, die inArbeitsprofilen nicht zur Verfügung stehen, und die ausschließlich eine geschäftliche Nutzung des Gerätserlauben. Der Modus Unternehmenseigenes Gerät mit privater Nutzung (Corporate OwnedPersonally-Enabled, COPE) eignet sich für unternehmenseigene Geräte. Er ist dem Modus „VomUnternehmen verwaltetes Gerät“ ähnlich, wird aber mit einem Work-Profil bereitgestellt. So wird eineprivate und geschäftliche Nutzung ermöglicht.
Work-Profil-Modus – FunktionalitätAnwendungen im Work-Profil werden durch ein rotes Aktenkoffer-Symbol kenntlich gemacht und alsAnwendungen mit Badge bezeichnet. Sie werden in einem einheitlichen Launcher mit den persönlichenAnwendungen des Benutzers angezeigt. Beispielsweise zeigt Ihr Gerät ein persönliches Symbol fürGoogle Chrome und ein separates, durch das Badge gekennzeichnete, Symbol für Work Chrome an. Fürden Endbenutzer sieht es so aus, als hätte er zwei verschiedene Anwendungen. Die Anwendung istjedoch nur einmal installiert, wobei die Geschäftsdaten von den persönlichen Daten getrennt gespeichertwerden.
Der Workspace ONE Intelligent Hub ist mit einem Badge gekennzeichnet und existiert ausschließlich imDatenspeicher des Work-Profils. Es besteht keine Kontrolle über persönliche Anwendungen, und derWorkspace ONE Intelligent Hub hat keinen Zugriff auf persönliche Daten.
Einige Systemanwendungen sind standardmäßig im Work-Profil enthalten, wie z. B. Work Chrome,Google Play, Google-Einstellungen, Kontakte und Kamera. Diese können bei Nutzung einesRestriktionsprofils ausgeblendet werden.
Android-Plattform
VMware, Inc. 11
Bestimmte Einstellungen zeigen die Trennung zwischen persönlicher und geschäftlicher Konfiguration.Für die folgenden Einstellungen sehen Benutzer getrennte Konfigurationen:
n Anmeldedaten: Unternehmenszertifikate zur Benutzerauthentifizierung für verwaltete Geräteansehen.
n Konten: Das mit dem Work-Profil verbundene verwaltete Google-Konto ansehen.
n Anwendungen: Listet alle Anwendungen, die auf dem Gerät installiert sind.
n Sicherheit: Zeigt den Status der Geräteverschlüsselung an.
Modus „Vom Unternehmen verwaltetes Gerät“ – FunktionalitätWenn ein Gerät im Modus „Vom Unternehmen verwaltetes Gerät“ registriert ist, wird ein echterFirmeneigentum-Modus erstellt. Workspace ONE UEM steuert das gesamte Gerät, und es erfolgt keineTrennung von geschäftlichen und persönlichen Daten.
Wichtige Punkte, die Sie beim Modus „Vom Unternehmen verwaltetes Gerät“ beachten sollten:
n Auf der Startseite werden keine Anwendungen mit Badge angezeigt, wie im Work-Profil-Modus derFall.
n Benutzer haben nach der Aktivierung des Geräts Zugriff auf verschiedenen vorinstallierteAnwendungen. Weitere Anwendungen können nur über die Workspace ONE UEM-Konsolegenehmigt und hinzugefügt werden.
n In den Sicherheitseinstellungen ist der Workspace ONE Intelligent Hub als Geräteadministratorfestgelegt, und diese Einstellung kann nicht deaktiviert werden.
n Das Abmelden des Geräts vom Modus „Vom Unternehmen verwaltetes Gerät“ löst ein Zurücksetzendes Geräts auf die Werkseinstellungen aus.
Vom Unternehmen verwaltetes Gerät ohne Google Play-DiensteWenn Sie Workspace ONE UEM auf AOSP-Geräten (Android Open Source Project) oder Nicht-GMS-Geräten verwenden oder in Ihrer Organisation geschlossene Netzwerke nutzen, können Sie Ihre Android-Geräte mithilfe des Workflows „Vom Unternehmen verwaltete Geräte“ ohne Google Play-Diensteregistrieren. Sie können Apps im Intranet Ihrer Organisation hosten und OEM-spezifischeRegistrierungsmethoden für die Bereitstellung verwenden.
Sie müssen während der Android-EMM-Registrierung in der UEM console angeben, dass Sie AOSP/geschlossene Netzwerke verwenden. Weitere Informationen finden Sie unter Registrieren von AndroidEMM mit verwaltetem Google Play-Konto.
Android-Plattform
VMware, Inc. 12
Überlegungen bei der Verwendung von „Vom Unternehmen verwaltetes Gerät ohne Google Play-Dienste“bei Bereitstellungen mit AOSP/geschlossenem Netzwerk:
n Wenn Sie Android bereits in einer Organisationsgruppe der obersten Ebene eingerichtet haben undAOSP/ein geschlossenes Netzwerk nur in einer bestimmten untergeordneten Organisationsgruppebereitstellen möchten, verfügt der UEM console-Admin über eine Option, mit der angegeben wird,dass OOBE-Registrierungen in der untergeordneten Organisationsgruppe nicht über ein verwaltetesGoogle-Konto verfügen. Weitere Informationen finden Sie unter Geräte & Benutzer/Android/AndroidEMM-Registrierung in der Android-EMM-Registrierung.
n Die Zero-Touch-Registrierung wird auf AOSP-Geräten nicht unterstützt.
n Die Registrierung über den VMware Workspace ONE Intelligent Hub-Bezeichner wird auf AOSP-Geräten nicht unterstützt.
n Das öffentliche Profil „Automatische Aktualisierung“ wird nicht unterstützt. Dieses Profil ist speziell füröffentliche Apps vorgesehen und funktioniert nicht auf Geräten mit AOSP oder in geschlossenenNetzwerken.
n Das Profil „Factory Reset Protection“ wird nicht unterstützt.
n Interne Anwendungen (die in der Workspace ONE UEM console gehostet werden) werden imHintergrund auf den Geräten mit AOSP/geschlossenem Netzwerk bereitgestellt.
n Vom Unternehmen verwalteten Geräten, die ohne ein verwaltetes Google-Konto registriert wurden,sollten keine öffentlichen Apps zugewiesen werden, und sie sollten nicht in der Anzahl der Geräte mitöffentlicher App-Zuweisung berücksichtigt werden.
Modus „Unternehmenseigenes Gerät mit privater Nutzung“(COPE)Wenn ein Gerät im COPE-Modus registriert wird, können Sie nach wie vor das gesamte Gerät steuern.Die Besonderheit im COPE-Modus ist, dass Sie zwei separate Richtlinien, wie z. B. Restriktionen sowohlauf das Gerät als auch auf ein Work-Profil anwenden können.
Der COPE-Modus ist nur auf Geräten mit Android 8.0 und höher verfügbar. Wenn Sie Geräte mit einerälteren Version als Android 8.0 registrieren, wird das Gerät automatisch als vom Unternehmenverwaltetes Gerät registriert.
Es gibt einige Einschränkungen zu beachten bei der Registrierung von Geräten in COPE-Modus:
n Die Pin-basierte Verschlüsselung und der AirWatch Single Sign-on mithilfe von SDK werden fürGeräte, die im COPE-Modus registriert sind, nicht unterstützt. Eine Work-Kennung kann erzwungenwerden, um sicherzustellen, dass die Verwendung von geschäftlichen Anwendungen eine Kennungerfordert.
n Single-user- und Multi-user-Staging werden für COPE-Registrierungen nicht unterstützt.
n Interne (in AirWatch gehostete) und öffentliche Anwendungen, die für COPE-Geräte bereitgestelltwerden, erscheinen im Anwendungskatalog des Work-Profils.
Android-Plattform
VMware, Inc. 13
n Ähnlich wie bei Registrierungen des Work-Profils können Benutzer im COPE-Modus das Work-Profildeaktivieren (z. B., wenn der Benutzer im Urlaub ist). Wenn das Work-Profil deaktiviert ist, erhält derBenutzer keine Benachrichtigungen zu geschäftlichen Anwendungen, und die Anwendungen könnenauch nicht gestartet werden. Der Status (aktiviert oder deaktiviert) des Work-Profils kann derAdministrator auf der Seite "Gerätedetails" einsehen. Wenn das Work-Profil deaktiviert ist, könnenkeine aktuellen Informationen zur Anwendung bzw. zum Profil aus dem Work-Profil abgerufenwerden.
n Der Workspace ONE Hub ist sowohl in dem vom Unternehmen verwalteten als auch im Work-Profildes COPE-Geräts vorhanden. Management-Richtlinien existieren innerhalb und außerhalb des Work-Profils und können auf das Work-Profil oder auch auf das gesamte Gerät angewendet werden.Allerdings ist der Workspace ONE Hub nur im Work-Profil sichtbar.
n Wenn Push-Benachrichtigungen an das Gerät gesendet werden, ist der Workspace ONE Hubaußerhalb des Work-Profils für den Benutzer zum Anzeigen der Nachrichten vorübergehendverfügbar. So wird sichergestellt, dass wichtige Nachrichten den Benutzer erreichen, selbst wenn dasWork-Profil vorübergehend deaktiviert ist.
n Zugewiesene Profile können im Workspace ONE Hub im Work-Profil angezeigt werden.
n Konformitätsrichtlinien zum Anwendungsmanagement (z. B. Blockieren/Entfernen von Anwendungen)werden nur für Anwendungen im Work-Profil unterstützt. Anwendungen können überAnwendungssteuerungsprofile auf dem Gerät (außerhalb des Work-Profils) auf die Blacklist gesetztwerden.
n Eine Enterprise-Löschung setzt ein COPE-Gerät auf die Werkseinstellungen zurück.
n Für COPE-Registrierungen wird kein Produkt-Provisioning unterstützt.
Migration vom Android (Legacy)-GeräteadministratorDer Geräteadministrator ist die Legacy-Methode zur Registrierung von Android-Geräten mit WorkspaceONE UEM console, da die Modi von Android für vollständig verwaltete Geräte und Work-Profile inAndroid 5.0 eingeführt wurden.
Google hat die Unterstützung bestimmter Geräteadministrator-APIs zugunsten einer modernerenGerätefunktionalität eingestellt, da der Geräteadministrator nicht besonders gut geeignet ist, um aktuelleUnternehmensanforderungen zu unterstützen. Workspace ONE UEM-Kunden haben die Möglichkeit, dieModi für vollständig verwaltete Geräte, Work-Profile und unternehmenseigene Geräte mit privaterNutzung (Corporate Owned Personally-Enabled, COPE) für die Verwaltung ihrer Android-Geräte zunutzen, indem sie vom Android (Legacy)-Geräteadministrator zum Android Work-Profil migrieren.
Workspace ONE UEM console bietet einen reibungslosen Prozess für die Migration aller Geräte von derAndroid (Legacy)-Bereitstellung zur Android Work-Profil-Bereitstellung. Die Migrationsfunktionen in denUEM-Konsolen stellen Folgendes sicher:
n Ihre Legacy-Verwaltung bleibt intakt, bis die Migration abgeschlossen ist.
n Nicht migrierte Geräte sind nie betroffen.
n Sie können überwachen, welche Geräte abgeschlossen, in Bearbeitung und zugewiesen sind.
Android-Plattform
VMware, Inc. 14
n Richten Sie Staging ein, oder testen Sie die Smartgroups, um sicherzustellen, dass die Migration derBenutzergeräte erfolgreich durchgeführt werden kann, bevor Sie die gesamte Geräteflotte migrieren.
UEM console bietet einen Assistenten, der es Ihnen ermöglicht, die Voraussetzungen zu erfüllen, dieDetails und Einstellungen zu konfigurieren und eine Übersicht der migrierten Geräte, einschließlich desQualifizierungsstatus und Grunds für eine fehlerhafte oder erfolgreiche Migration, anzuzeigen.
Erstellen einer Smartgroup für die Migration von Android(Legacy) zum Android Work-ProfilWorkspace ONE UEM-Kunden, die derzeit Geräte unter Android (Legacy) bereitgestellt haben, könnenzum Verwalten Ihrer Android-Geräte zum Android Work-Profilmodus migrieren. Dieser Anwendungsfallführt Sie durch das Erstellen von Smartgroups, das Erstellen einer neuen Migration und das Verfolgendes Migrationsstatus.
Die Workspace ONE UEM console bietet einen reibungslosen Prozess zur Erstellung von Smartgroupsfür die Migration aller Geräte von der Android(Legacy)-Bereitstellung zur Android Work-Profil-Bereitstellung.
Voraussetzungen
Bevor Sie migrieren, müssen Sie Smartgroups für alle Geräte erstellen, die migriert werden sollen. Siekönnen separate Gruppen für das Staging einer kleinen Anzahl von Geräten zu Testzwecken erstellen,bevor Sie sie auf allen Geräten bereitstellen.
Verfahren
1 Wählen Sie die entsprechende Organisationsgruppe (OG), auf die Ihre neue Smartgroupangewendet wird und von der diese verwaltet werden kann. Die Auswahl einer OG ist optional.
2 Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Zuweisungsgruppen, und wählen Siedann Smartgroup hinzufügen.
3 Geben Sie einen Namen für die Smartgroup ein.
4 Konfigurieren Sie den Typ der Smartgroup, indem Sie den Anzeigenamen des Geräts im Feld Geräteingeben.
Die Option Geräte oder Benutzer funktioniert am besten bei kleineren Gruppen mit wenigen Geräten(500 Geräte oder weniger), die nur vereinzelte, aber wichtige Updates erhalten. Diese Methodefunktioniert aufgrund der granularen Ebene, auf der Sie Gruppenmitglieder auswählen können, ambesten.
Sie müssen mindestens ein unter Android (Legacy) bereitgestelltes Gerät hinzufügen, ansonstenwerden beim Einrichten der Migration Fehler angezeigt.
5 Wählen Sie Speichern.
Nächste Schritte
Nachdem Ihre Smartgroups erstellt wurden, können Sie einen Funktionstest der Voraussetzungendurchführen, um mit der Migration zu beginnen.
Android-Plattform
VMware, Inc. 15
Voraussetzungen für die Android (Legacy)-MigrationUm eine intuitive Endbenutzererfahrung für die Migration bereitzustellen, erfüllen Sie die folgendenVoraussetzungen, bevor Sie eine neue Migration starten. Wenn Sie diese Schritte nicht ausführen, kanndies zu einer fehlgeschlagenen Migration bzw. dazu führen, dass Benutzer nicht auf alle benötigten Appszugreifen können.
Profile neu erstellenVor der Migration müssen Sie Android (Legacy)-Profile erneut als neue Android Enterprise-Profileanwenden.
Mit Android-Geräteprofilen können Sie die sachgemäße Nutzung der Geräte, den Schutz sensibler Datensowie eine arbeitsplatzgerechte Funktionalität sicherstellen. Profile dienen den verschiedenstenZwecken – von der Durchsetzung von Unternehmensregeln und -verfahren bis hin zur Anpassung undVorbereitung von Android-Geräten für bestimmte Einsätze. Weitere Informationen finden Sie unter Kapitel4 Android-Profile im Überblick.
Interne Apps veröffentlichenAlle Apps müssen neu installiert werden. Alle vorhandenen App-Daten gehen ebenfalls verloren.
Interne Anwendungen sind unternehmensspezifische, von Ihrer Organisation entwickelte Anwendungen.Sie möchten nicht, dass diese im öffentlichen App-Store gefunden werden können, aber Sie möchten,dass Ihre Benutzer von ihren Geräten aus Zugriff auf diese Anwendung erhalten. Stellen Sie sicher, dassjede interne App als private App im Google Play Store veröffentlicht wird.
Weitere Informationen finden Sie in der Dokumentation „Anwendungsverwaltung für Android“.
Netzwerkeinstellungen überprüfenDie Netzwerkanforderungen für Android umfassen eine Liste bekannter Endpoints für aktuelle undvergangene Versionen von Enterprise Management-APIs. Überprüfen Sie Ihre Netzwerkeinstellungen,um sicherzustellen, dass die Verbindung zwischen Workspace ONE und dem Google Play Storehergestellt ist. Weitere Informationen finden Sie unter Netzwerkanforderungen für Android.
Öffentliche Apps genehmigenVerwalten Sie mit Workspace ONE UEM die Bereitstellung und Wartung öffentlich verfügbarer mobilerAnwendungen aus dem Google Play Store. Stellen Sie sicher, dass jede öffentliche App für IhreOrganisation genehmigt ist, um eine nahtlose Migration zu ermöglichen.
Weitere Informationen finden Sie in der Dokumentation „Anwendungsverwaltung für Android“.
Erstellen einer neuen Android (Legacy)-MigrationAuf der Seite Details für die Android (Legacy)-Migration können Sie die Smartgroups auswählen, die Siezu Android Enterprise migrieren möchten.
Android-Plattform
VMware, Inc. 16
Voraussetzungen
Stellen Sie sicher, dass die Voraussetzungen erfüllt wurden, um zu vermeiden, dass die Migrationfehlschlägt oder Benutzer nicht auf alle benötigten Apps zugreifen können. Weitere Informationen zu denVoraussetzungen finden Sie unter Voraussetzungen für die Android (Legacy)-Migration.
Verfahren
1 Navigieren Sie zu Geräte > Lebenszyklus > Android (Legacy)-Migration und wählen Sie Neu aus.
Der Assistent Neue Migration wird angezeigt.
2 Erfüllen Sie die Voraussetzungen und wählen Sie Weiter aus, um zur Registerkarte Details zuwechseln.
DetailsAuf der Registerkarte „Details“ können Sie die Smartgroups auswählen, dieSie migrieren möchten.
Name Geben Sie einen Anzeigenamen für die Migrationsgruppe ein.
Beschreibung Geben Sie eine detaillierte Beschreibung der Migrationsgruppe ein.
Smartgroups Geben Sie an, welche Smartgroups die Migration erhalten sollen. Smartgroupsmüssen Android (Legacy)-Bereitstellungen enthalten.
Sie erhalten eine Fehlermeldung, wenn eine Smartgroup nicht geeignet ist, in dieMigration aufgenommen zu werden.
Nachricht Nachdem Benutzer sich für ein Upgrade auf Android Enterprise entschiedenhaben, werden sie mit dieser Nachricht über die Migration informiert undaufgefordert, die nötigen Schritte durchzuführen, um den Vorgang fortzusetzen.
3 Klicken Sie auf Validieren. Indem Sie auf „Validieren“ klicken, wird die Anzahl der für die Migration
qualifizierten Geräte abgerufen.
Eine Benachrichtigung wird an die qualifizierten Geräte in den ausgewählten Smartgroups gesendet,um Benutzer über die Migration zu informieren und sie aufzufordern, die nötigen Schrittedurchzuführen, um den Vorgang fortzusetzen. Sie können den Fortschritt auf der Seite für die Android(Legacy)-Migration überwachen.
4 Klicken Sie auf Weiter, sobald alle Geräte für die Migration validiert wurden. Sie können erst auf„Weiter“ klicken, nachdem eine gültige Smartgroup ausgewählt wurde.
Die Seite Übersicht wird angezeigt. Sie liefert Details wie die Liste der Geräte, die Qualifizierung fürdie Migration und den Grund für das Fehlschlagen oder den Erfolg der Gerätemigration.
5 Wählen Sie Erstellen aus, um die Listenansicht der Migration anzuzeigen und den Status der zumigrierenden Geräte zu überprüfen. Auf dieser Seite können Sie Migrationen aus der Listenansichtauswählen, um die Seite „Migrationsdetails“ anzuzeigen.
Hinweis: Während der Migration von Android (Legacy) zu Android Enterprise wird derMigrationsbefehl basierend auf der Einstellung im Scheduler für die erste Batchgröße (300) derGeräte automatisch sofort gesendet. Nach den ersten 300 Geräten erhalten die verbleibendenGeräte den Befehl in den festgelegten Intervallen. Sie können die Einstellungen in der UEM consoleunter Admin > Scheduler anzeigen.
Android-Plattform
VMware, Inc. 17
Nächste Schritte
Weitere Informationen finden Sie unter Seite „Migrationsdetails“.
Seite „Migrationsdetails“Auf den Seiten Migrationsdetails können Sie die Migration nach Migrationsgruppe, -details, -status undListenansicht der in die Migration einbezogenen Geräte verfolgen.
Listenansicht der Android (Legacy)-MigrationDie Listenansicht der Android (Legacy)-Migration wird automatisch angezeigt, nachdem Sie eine neueMigrationsseite erstellt haben. In der Listenansicht können Sie alle Echtzeitupdates ihrerEndbenutzergeräte anzeigen, die Sie mit Workspace ONE UEM console migrieren. In der Listenansichthaben Sie folgende Möglichkeiten:
n Sie können bestimmte Migrationen bearbeiten, indem Sie das Optionsfeld für den gewünschtenMigrationsanzeigenamen auswählen. Sie können die Migration für neue Geräte, die der Smartgrouphinzugefügt werden, aktualisieren, indem Sie auf Bearbeiten klicken.
n Sie können Migrationsgruppen löschen. Dadurch wird verhindert, dass Geräte in der Warteschlangevon Android (Legacy) migriert werden, indem die persistente Benachrichtigung zurückgezogen wird.Android wird nicht von Geräten entfernt, die bereits migriert wurden.
n Suchen Sie ein Gerät mit der Suchoption durch Angabe bestimmter Suchkriterien.
Seite mit den Android (Legacy)-MigrationsdetailsDer Zugriff auf die Seite „Migrationsdetails“ erfolgt durch Auswahl eines Migrationsanzeigenamens ausder Listenansicht der Android (Legacy)-Migration mit Workspace ONE UEM console, um den Status derMigration zu überprüfen. Sie können eine grafische Übersicht, den Status und den Grund für dasFehlschlagen oder den Erfolg der Migration anzeigen.
Verwenden Sie die Seite „Migrationsdetails“, um den Migrationsbefehl durch Klicken auf die SchaltflächeWiederholen auf das Gerät zu übertragen, wenn die Migration fehlschlägt.
Passen Sie eine Nachricht an die Geräte im Migrationsbatch mit der Schaltfläche Benachrichtigen an.Konfigurieren Sie das Feld wie folgt:
n Nachrichtentyp: Wählen Sie die Nachrichtentypen (E-Mail, SMS oder Push) aus, die WorkspaceONE UEM für diese Vorlage verwenden soll, falls Sie nicht alle drei Typen verwenden möchten.
n Betreff: Geben Sie den Betreff der Nachricht ein.
n Nachrichtentext: Geben Sie die Nachricht ein, die Workspace ONE UEM für die einzelnenNachrichtentypen auf den Geräten der Endbenutzer anzeigen soll.
Verwenden Sie den {ApplicationName}-Suchwert, um in jede Nachricht den Namen der Anwendungautomatisch zu einzutragen.
Android-Plattform
VMware, Inc. 18
Registrieren von Android mitWorkspace ONE UEM 2Um Android-Geräte verwalten zu können, müssen Sie Workspace ONE UEM bei Google als IhrenEnterprise Mobility Management-Anbieter (EMM) registrieren. Die Seite „Erste Schritte“ in der WorkspaceONE UEM-Konsole bietet eine Schritt-für-Schritt-Lösung für die Konfiguration der Enterprise-Management-Tools, die zur Sicherung und Verwaltung Ihrer Geräteflotte erforderlich sind.
Es gibt zwei Möglichkeiten zum Konfigurieren von Android: mit einem verwalteten Google Play-Konto(bevorzugt) oder mit einer verwalteten Google-Domäne (von Google für G Suite-Kunden empfohlen). Einverwaltetes Google Play-Konto wird verwendet, wenn Ihr Unternehmen G Suite nicht verwendet; esermöglicht mehrere Konfigurationen für Android innerhalb Ihrer Organisation und verwendet einpersönliches Google-Konto. Workspace ONE UEM verwaltet dieses Konto und erfordert keine ActiveDirectory-Synchronisierung oder Google-Überprüfung.
Zum Einrichten von Android mit einer verwalteten Google-Domäne (G Suite) muss Ihr Unternehmen eineGoogle-Domäne einrichten und eine Überprüfung durchführen, um nachzuweisen, dass Sie Besitzer derDomäne sind. Diese Domäne kann nur mit einem verifizierte EMM-Account verknüpft werden. DieEinrichtung umfasst das Erstellen eines Google-Dienstkontos und das Konfigurieren von Workspace ONEUEM als Ihren EMM-Anbieter. Erstellen Sie ggf. ein Google-Konto speziell für Android für IhreOrganisation, damit keine Konflikte mit vorhandenen Google-Konten entstehen.
Das Google-Dienstkonto ist ein spezielles Google-Konto, das von Anwendungen zum Zugriff auf Google-APIs verwendet wird. Es ist erforderlich, wenn Sie Android mit der Verwaltete Google-Domäne-Methodefür Ihr Unternehmen einrichten. Die Anmeldedaten für das Google-Dienstkonto werden bei derKonfiguration von Android-Konten bei der Registrierung mit verwaltetem Google Play-Konto automatischeingegeben. Wenn beim Einrichten der Android-Konten ein Fehler auftritt, löschen Sie Ihre Einstellungenin der Workspace ONE UEM-Konsole, und versuchen Sie es erneut, oder erstellen Sie das Kontomanuell. Erstellen Sie für Google-Konten ggf. Ihr Google-Dienstkonto, bevor Sie eine der beiden Setup-Methoden nutzen.
Um das Google-Konto zu ändern oder Änderungen an Ihren Administrator-Einstellungen vorzunehmen,müssen Sie die Bindung des Kontos an Workspace ONE UEM Console aufheben.
Wichtig Die Einrichtung von Android umfasst die Integration von Drittanbieter-Tools, die nicht vonVMware AirWatch verwaltet werden. Die Informationen in diesem Handbuch für die Google-Admin-Konsole und Google Developer Console wurden anhand der seit Januar 2018 verfügbaren Versionerstellt. Die Integration mit Drittanbieter-Produkten wird nicht garantiert und hängt von derordnungsgemäßen Funktion der Drittanbieter-Lösungen ab.
Dieses Kapitel enthält die folgenden Themen:
VMware, Inc. 19
n Registrieren von Android EMM mit verwaltetem Google Play-Konto
n Registrieren von Android EMM mit verwalteter Google-Domäne (G Suite-Kunden)
n Lösen der Bindung der Domäne an Workspace ONE UEM
Registrieren von Android EMM mit verwaltetem GooglePlay-KontoWorkspace ONE UEM Console ermöglicht Ihnen eine vereinfachte Einrichtung, mit der Sie die UEM-Konsole an Google als Ihren EMM-Anbieter binden können.
Voraussetzungen
Wenn die Seite „Android EMM-Registrierung“ blockiert ist, stellen Sie sicher, dass Sie die Google-URLs inIhrer Netzwerkarchitektur zur Kommunikation mit internen und externen Endpoints aktiviert haben.Weitere Informationen finden Sie im Handbuch „Recommended Architecture Guide“.
Verfahren
1 Navigieren Sie zu Erste Schritte > Workspace ONE > Android EMM-Registrierung.
2 Wählen Sie Konfigurieren, und Sie werden auf die Seite „Android EMM-Registrierung“ umgeleitet.
3 Wählen Sie Bei Google registrieren. Wenn Sie bereits mit Ihren Google-Anmeldedaten angemeldetsind, werden Sie wieder auf die Workspace ONE-Konsole weitergeleitet. Die Option zurBereitstellung ohne Google-Registrierung, wenn Sie in einem geschlossenen Netzwerkarbeiten oder nicht mit Google Play kommunizieren können, legt fest, dass die bereitgestelltenGeräte nicht über ein registriertes Google-Konto verfügen oder in einem geschlossenen Netzwerkverwendet werden.
Weitere Informationen zu AOSP oder zum Betrieb in einem geschlossenen Netzwerk finden Sie unterAndroid-Gerätemodi verstehen.
4 Wählen Sie Anmelden, wenn Sie nicht bereits angemeldet sind, und geben Sie Ihre Google-Anmeldedaten ein, und wählen Sie dann Erste Schritte.
5 Geben Sie den Namen Ihrer Organisation ein. Im Feld „Enterprise Mobility Management-Anbieter(EMM)“ wird automatisch „AirWatch“ eingetragen.
6 Wählen Sie Bestätigen > Registrierung abschließen. Sie werden zur Workspace ONE-Konsoleweitergeleitet, und die Anmeldedaten für Ihr Google-Dienstkonto werden automatisch ausgefüllt.
7 Wählen Sie Speichern > Verbindung testen, um sicherzustellen, dass das Dienstkonto eingerichtetund die Verbindung erfolgreich hergestellt wurde.
Nächste Schritte
Wenn Ihre Einstellungen in der UEM-Konsole während der Registrierung bei Google gelöscht wurden,wird eine Meldung angezeigt, in der Sie aufgefordert werden, die Einrichtung abzuschließen. Sie werdenwieder zu Workspace ONE Console geleitet, um die Einrichtung abzuschließen.
Android-Plattform
VMware, Inc. 20
Registrieren von Android EMM mit verwalteter Google-Domäne (G Suite-Kunden)
Um diese Art der Installation zu verwenden, müssen Sie mehrere manuelle Aufgaben ausführen, wie dasÜberprüfen des Domänenbesitzes bei Google, das Abrufen eines EMM-Tokens und das Erstellen einesUnternehmens-Dienstkontos.
Voraussetzungen
Zum Einrichten Ihres Kontos mit verwalteter Google-Domäne muss die Organisation eine Google-Domäne einrichten, falls sie nicht bereits eine nutzt.
Verfahren
1 Navigieren Sie zu Erste Schritte > Workspace ONE > Android EMM-Registrierung.
2 Wählen Sie Registrieren, und Sie werden zum Abschließen der folgenden drei Schritte zum Android-Setup-Assistenten weitergeleitet:
a Token generieren: Rufen Sie Ihr Unternehmens-Token ab, indem Sie Ihre Unternehmensdomänebei Google registrieren.
b Token hochladen: Geben Sie das EMM-Token in den Android-Setup-Assistenten ein.
c Benutzer einrichten: Konfigurieren Sie, wie für Ihr gesamtes Unternehmen Benutzer erstelltwerden.
3 Wählen Sie Zu Google navigieren. Sie werden auf der G Suite-Website weitergeleitet.
4 Registrieren Sie Ihr Unternehmen, und verifizieren Sie Ihre Domäne.
Google-Dienstkonto einrichtenDas Google-Dienstkonto ist ein spezielles Google-Konto, das von Anwendungen zum Zugriff auf Google-APIs verwendet wird. Sie sollten dieses Konto erstellen, nachdem Sie Ihr EMM-Token generiert haben,sodass Sie alle Informationen in einem Arbeitsschritt hochladen können. Das Konto ist nur erforderlich,wenn Sie die Bereitstellung von Android über Google-Konten vornehmen.
Verfahren
1 Navigieren Sie zu der Google Cloud-Plattform – Google Developers Console.
2 Melden Sie sich mit Ihren Google-Anmeldedaten an.
Die Google Admin-Anmeldedaten müssen nicht mit Ihrer Business-Domäne verbunden sein.Erstellen Sie ggf. ein Google-Konto speziell für Android für Ihre Organisation, damit keine Konfliktemit vorhandenen Google-Konten entstehen.
3 Wählen Sie im Dropdown-Menü des Menüs „Projekt auswählen“ ein Projekt erstellen aus.
4 Geben Sie einen Projektname ein, damit Ihr API-Projekt im Fenster „Neues Projekt“ erstellt wird.Verwenden Sie z. B. Android EMM-Firmenname als die Namenskonvention.
Android-Plattform
VMware, Inc. 21
5 Stimmen Sie den Nutzungsbedingungen zu und wählen Sie Erstellen.
Ihr Projekt wird generiert, und die Google Developers Console leitet Sie auf die API-Manager-Seiteweiter.
6 Vom APIs & Dienste-Dashboard wählen Sie APIs und Dienste aktivieren für Android aus.
7 Suchen und aktivieren Sie die folgenden APIs: Google EMM API und SDK Admin API.
Nach der Erstellung Ihres Projekts und der Aktivierung der APIs erstellen Sie Ihr Dienstkonto in derGoogle Developer Console.
8 Navigieren Sie zu APIs & Dienste > Anmeldedaten > Anmeldedaten erstellen > Dienstkonto-Schlüssel > Neues Dienstkonto.
9 Definieren Sie den Dienstkonto-Namen für Ihr Dienstkonto. Folgen Sie dabei z. B. der Android-Benennungskonvention, und notieren Sie sich den gewählten Namen, denn Sie werden ihn in denfolgenden Schritten benötigen.
10 Wählen Sie im Dropdown-Menü als Rolle > Projekt als Besitzer aus.
11 Wählen Sie als SchlüsseltypP12 aus.
12 Wählen Sie Erstellen. Das Identitätszertifikat wird automatisch erstellt und auf Ihr lokales Laufwerkheruntergeladen. Achten Sie darauf, Ihr Identitätszertifikat und Kennwort für das Hochladen desZertifikats in Workspace ONE UEM Console zu speichern.
13 Wählen Sie Dienstkonten verwalten aus der Liste Dienstkontoschlüssel, was die Seite„Dienstkonten“ öffnet.
14 Betätigen Sie die Menüschaltfläche (drei nebeneinander liegende Punkte) neben Ihrem Dienstkonto,und wählen Sie Bearbeiten.
15 Wählen Sie Domänenweite G Suite-Delegierung aktivieren.
16 Geben Sie einen Produktnamen ein, um die Einstellungen für G Suite-Domäne zu ändern.Verwenden Sie z. B. AndroidEMM-Firmenname als die Namenskonvention.
17 Wählen Sie Speichern.
18 Wählen Sie Client-ID anzeigen im Feld Optionen aus. Die Details Ihres Dienstkontos werdenanzeigt. Hier verlassen Sie die Developer‘s Console und geben Ihre Anmeldedaten in der Google-Admin-Konsole ein.
Speichern Sie Ihre Client-ID, bevor Sie die Developer‘s Console verlassen. Sie diese Anmeldedatenauch in Workspace ONE UEM Console benötigen, wenn Sie Ihr EMM-Token hochladen. WeitereInformationen finden Sie unter EMM-Token hochladen
Nächste Schritte
Schritte zum Konfigurieren der Google-Admin-Konsole finden Sie unter Google-Admin-Konsole einrichten
Android-Plattform
VMware, Inc. 22
Google-Admin-Konsole einrichtenÜber die Google-Admin-Konsole verwalten Administratoren Google-Dienste für die Benutzer einerOrganisation. AirWatch verwendet die Google-Admin-Konsole für die Integration der BetriebssystemeAndroid und Chrome.
Auf der Seite „API-Clientzugriff verwalten“ können Sie den benutzerdefinierten Zugriff von internenAnwendungen und Drittanbieter-Anwendungen auf unterstützte Google-APIs (Bereiche) steuern.
Verfahren
1 Melden Sie sich bei der Google-Admin-Konsole an, und navigieren Sie zu Sicherheit >Einstellungen > Erweiterte Einstellungen > API-Clientzugriff verwalten.
2 Geben Sie die folgenden Details ein:
Einstellung Beschreibung
Client-Name Geben Sie die Client-ID ein, die Sie von AirWatch erhalten haben.
Geben Sie Ihre Dienstkonto-ID ein.
Einer oder mehrere API-Bereiche Kopieren Sie die folgenden Google-API-Bereiche für Android:
Android:https://www.googleapis.com/auth/admin.directory.user
3 Wählen Sie Autorisieren.
EMM-Token generierenIhr eindeutiges EMM-Token bindet Ihre Domäne für Android-Management an AirWatch. Sie werden zurG Suite-Einrichtungsseite geleitet, nachdem Sie von der vorherigen Aufgabe Zu Google navigierenausgewählt haben, um zu beginnen.
Verfahren
1 Füllen Sie die folgenden Felder aus:
a Über Sie: Geben Sie Ihre Admin-Kontaktinformationen an.
b Über Ihr Unternehmen: Geben Sie Informationen zu Ihrem Unternehmen an.
c Ihr Google-Admin-Konto: Erstellen Sie ein Google-Admin-Konto.
d Zum Abschluss: Geben Sie die Sicherheitsdaten zur Überprüfung ein.
2 Wählen Sie Akzeptieren & Konto erstellen, nachdem Sie die Nutzungsbedingungen von Googlegelesen und ihnen zugestimmt haben.
Android-Plattform
VMware, Inc. 23
3 Befolgen Sie die folgenden Eingabeaufforderungen: : Überprüfen des Domänenbesitzes undHerstellen einer Verbindung mit Ihrem Anbieter. Nachdem Sie verifiziert sind, wird dies Ihreverwaltete Google-Domäne.
Um den Domänenbesitz zu überprüfen, stehen die folgenden Optionen zur Verfügung: einen Meta-Tag zu Ihrer Startseite hinzuzufügen, einen Domänenhostdatensatz hinzufügen oder HTML-Datei in Ihre Domänenwebsite hochladen. Konfigurieren Sie die Einstellungen für die verfügbarenOptionen.
4 Wählen Sie Überprüfen, um fortzufahren. Wenn dieser Vorgang erfolgreich ist, wird im AbschnittHerstellen einer Verbindung mit Ihrem Anbieter Ihr EMM-Token angezeigt. Dieses Token ist für30 Tage gültig. Wenn bei diesem Schritt Probleme auftreten, finden Sie bei Google SupportUnterstützung mithilfe der angegebenen Nummer und eindeutigen PIN.
5 Kopieren Sie das generierte EMM-Token, und wählen Sie Fertig stellen.
Nächste Schritte
AirWatch empfiehlt, dass Sie Ihr Google-Dienstkonto erstellen, bevor Sie zuWorkspace ONE UEMConsole zurückkehren, um das EMM-Token hochzuladen. So können Sie alle Anmeldeinformationen ineinem Arbeitsschritt hochladen.
EMM-Token hochladenNachdem Sie alle Aufgaben in der Google-Admin-Konsole und der Google Developer Console ausgeführthaben, werden Sie zu Workspace ONE UEM Console zurück geleitet, um die Bindung Ihrer G Suite-Domäne an AirWatch für Android EMM abzuschließen.
Verfahren
1 Navigieren Sie zu Erste Schritte > Workspace ONE > Android EMM-Registrierung. Wenn Sie dasFenster geschlossen haben oder nicht automatisch zu AirWatch zurück geleitet werden.
2 Wählen Sie im Android-Setup-Assistenten Token hochladen.
3 Füllen Sie die folgenden Felder aus:
Einstellung Beschreibung
Domäne Domäne, die für die Aktivierung von dem Ihrem Unternehmen zugeordnetenAndroid beansprucht wird.
Wichtig Wenn Ihre Domäne bereits bei einem anderen EMM-Anbieter registriertwurde, werden Sie zum Hochladen eines neuen EMM-Tokens nicht zugelassen.
Unternehmens-Token Der eindeutige Bezeichner, der AirWatch mit der Konfiguration Ihrer G Suiteverknüpft.
Google Administrator E-Mail-Adresse Admin-E-Mail-Adresse, die in der Google-Admin-Konsole erstellt wird. Die E-Mail-Adresse wird in der Ansicht Client-ID angezeigt, von wo aus Sie Ihr Dienstkontoerstellt haben.
Android-Plattform
VMware, Inc. 24
4 Geben Sie, falls erforderlich, die Anmeldeinformationen für den Verzeichniszugriff ein. Siemüssen dies nur konfigurieren, wenn Sie vorhaben, Benutzer automatisch zu erstellen. Für diemanuelle Erstellung müssen Sie diese Anmeldedaten nicht eingeben.
5 Fahren Sie mit dem Hochladen Ihrer Einstellungen für die Google Developer Console fort, die Sievon Ihrem Google-Dienstkonto abgerufen haben.
Benutzer einrichtenFür alle Benutzer Ihres Unternehmens, die Android verwenden, muss ein Google-Konto erstellt werden,um eine Verbindung zu ihrem Gerät herzustellen. In diesem letzten Schritt im Assistenten für die AndroidEMM-Registrierung können Sie festlegen, welche Set-up-Methode Sie für das Erstellen von Benutzernbevorzugen.
Administratoren haben zwei Optionen zum Erstellen von Benutzern unter Android:
n Erstellen Sie Benutzer manuell, indem Sie sich bei der Google Admin-Konsole anmelden oder dasGoogle Active Directory-Synchronisierungstool (GADS) nutzen.
n Lassen Sie zu, dass AirWatch während der Registrierung automatisch Google-Konten erstellt.
Das Format für den Benutzernamen ist Benutzername@<your_enterprise_domain>. com.
Verfahren
1 Wählen Sie Ja oder Nein, wenn die Eingabeaufforderung Konten während der Registrierungbasierend auf E-Mail-Adresse registrierter Benutzer erstellen angezeigt wird. Wenn ja, werdenSie in der nächsten Eingabeaufforderung gefragt, ob Sie SAML zur Authentifizierung der Kontenverwenden möchten. Wenn nein, leitet Sie Workspace ONE UEM Console zur alternativen Methodezum Erstellen von Google-Konten mit dem Google Active Directory-Synchronisierungstool oder derGoogle Admin-Konsole.
2 Wählen Sie Fertigstellen.
Automatisch Benutzer erstellen bei der Registrierung von AndroidAirWatch empfiehlt, dass Sie Benutzer bei der Registrierung automatisch für Android erstellen. ImAndroid-Setup-Assistenten können Sie angeben, ob Sie Benutzerkonten bei der Registrierungautomatisch erstellen möchten, und falls Ja, ob Sie SAML verwenden möchten, um die Konten zuauthentifizieren. Wenn Sie SAML noch nicht eingerichtet haben, zeigt der Assistent einen Link an, der Siezur Konfiguration Ihrer Einstellungen weiterleitet.
Verfahren
1 Wählen Sie Ja bei Konten während der Registrierung basierend auf E-Mail-Adresseregistrierter Benutzer erstellen.
Wenn Sie „Ja“ wählen, müssen Sie die Einstellungen für die Anmeldedaten für den Verzeichniszugriffim Setup-Assistenten konfigurieren. Laden Sie ein Verzeichniszugriffszertifikat hoch, und geben Sieeine Dienstkonto-E-Mail-Adresse sowie die Admin-E-Mail-Adresse zum Konfigurieren dieserEinstellungen an.
Android-Plattform
VMware, Inc. 25
2 Wählen Sie Ja bei SAML-Endpunkt zum Authentifizieren von Konten verwenden.
Wenn Sie SAML nicht eingerichtet haben, fordert Sie der Assistent auf, die Einstellungen für dieSAML-Authentifizierung zu konfigurieren.
3 Wählen Sie Fertig stellen, um die Android-Einrichtung abzuschließen.
Manuell Benutzer erstellen bei der Registrierung von AndroidSie können Benutzerkonten für Ihr gesamtes Unternehmen außerhalb von Workspace ONE UEMConsole manuell erstellen, indem Sie entweder das Google Cloud-Verzeichnissynchronisierungs-Tool(GCDS) oder die Google-Admin-Konsole nutzen. Zugriff auf die Google-Admin-Konsole erhalten Sie,indem Sie auf den Link im Setup-Assistenten klicken. Sie müssen sich an Google wenden, um weitereAnweisungen zur Verwendung der Konsole zu erhalten.
Die GCDS-Methode erfordert ähnliche Einstellungen wie die AirWatch-Verzeichnisdienste. Um Zugriff aufdie Einstellungen für die Verzeichnisdienste zu erhalten, navigieren Sie zu Gruppen & Einstellungen ►Alle Einstellungen ► System ► Enterprise Integration ► Verzeichnisdienste.
Öffnen Sie das GCDS-Tool über den Link im Setup-Assistenten oder indem Sie das Tool von der Google-Support-Seite direkt auf Ihrem Computer herunterladen.
Mit dem GDCS-Tool können Sie manuell Google-Konten für alle Mitarbeiter in Ihrem Unternehmen ineinem Massenvorgang erstellen. Die Konten werden erstellt und mit den Informationen aus IhrenAirWatch-Verzeichnisdiensten synchronisiert.
Hinweis Die hier beschriebenen Informationen sind aktuell zum Zeitpunkt der aktuellen GCDS-Version 4.4.0 (März 2017).
Verfahren
1 Öffnen Sie das Tool über den Link im Setup-Assistenten oder laden Sie das GDCS-Tool direkt vonGoogle herunter.
2 Öffnen Sie das Tool auf Ihrem Desktop, und wählen Sie Benutzerkonten und Gruppen zumSynchronisieren aus.
3 Wählen Sie die Registerkarte Google Apps-Konfiguration und geben Sie die folgendenInformationen ein:
a Primärer Domänenname
b Wählen Sie Domänennamen in LDAP-E-Mail-Adressen (von Benutzern und Gruppen) durchdiesen Domänennamen ersetzen. Dadurch wird sichergestellt, dass alle Benutzer-E-Mail-Adressen mit dem Domänennamen übereinstimmen.
4 Wählen Sie die Schaltfläche Jetzt autorisieren.
Android-Plattform
VMware, Inc. 26
5 Wenn das Dialogfeld Google Apps-Verzeichnissynchronisierung autorisieren angezeigt wird,befolgen Sie die Schritte, um die Autorisierung fortzusetzen.
a Melden sich bei Ihrem Android-Admin-Konto an.
b Geben Sie die Verifizierungsdaten ein, die Sie per E-Mail empfangen haben.
c Wählen Sie validieren, um diese Einstellungen zu bestätigen.
6 Wählen Sie die Registerkarte LDAP-Konfiguration, und geben Sie die Verbindungseinstellungenzum Synchronisieren der AirWatch-Verzeichnisdienste mit Google ein. Ab hier können Sie diegleichen Einstellungen eingeben, die in den AirWatch-Verzeichnisdienste für die Synchronisierung mitdiesem Tool gespeichert sind. Um auf diese Einstellungen zuzugreifen, navigieren Sie zu Gruppen &Einstellungen ► Alle Einstellungen ► System ► Enterprise Integration ► Verzeichnisdienste.
7 Wählen Sie Verbindung testen. Wenn die Synchronisierung erfolgreich ist, wird dies automatisch dieverknüpften Active Directory-Konten und Google-Unternehmens-Konten in Google erstellen.
Sie werden zum Setup-Assistenten zurück geleitet, um die Einrichtung abzuschließen.
Lösen der Bindung der Domäne an Workspace ONE UEMSie können die Bindung des Android-Admin-Kontos an die Workspace ONE UEM-Konsole lösen, falls SieÄnderungen vornehmen, oder Google-Konten ändern müssen.
Verfahren
1 Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Android > AndroidEMM-Registrierung.
2 Wählen Sie auf der Seite „Android EMM-Registrierung“ Einstellungen löschen.
Android-Plattform
VMware, Inc. 27
Android-Geräteregistrierung imÜberblick 3Jedes in Ihrer Organisation eingesetzte Android-Gerät muss registriert werden, bevor es mit WorkspaceONE UEM Console kommunizieren und auf interne Inhalte und Funktionen zugreifen kann.
Der Workspace ONE Intelligent Hub bietet eine zentrale Ressource zur Registrierung von Geräten undstellt Geräte- und Verbindungsdetails zur Verfügung. Die Hub-basierte Registrierung ermöglicht IhnenFolgendes:
n Authentifizieren Sie Benutzer über Standard- oder Verzeichnisdienste, wie AD/LDAP/Domino, SAML,Tokens oder Proxys.
n Tragen Sie Geräte en masse ein, oder ermöglichen Sie es Benutzern, ihre Geräte selbst einzutragen.
n Bestimmen Sie zulässige Betriebssystemversionen, Modelle und die maximale Anzahl an Gerätenpro Benutzer.
Android weist drei Registrierungsoptionen auf: „Vom Unternehmen verwaltetes Gerät“, „Work-Profil“ und„Unternehmenseigenes Gerät mit privater Nutzung“ mit speziellen Registrierungsoptionen für jedenModus.
Android (Legacy)-Bereitstellung ermöglicht Ihnen die Registrierung von Android-Geräten mit WorkspaceONE Intelligent Hub als Geräteadministrator, wenn Sie sich gegen eine Google-Registrierungentschieden haben. Informationen zum Registrieren von Geräten mithilfe der Android (Legacy)-Bereitstellung finden Sie im Überblick zur Android (Legacy)-Registrierung in der Workspace ONE Android(Legacy)-Dokumentation.
Dieses Kapitel enthält die folgenden Themen:
n Geräte & Benutzer/Android/Android EMM-Registrierung
n Device Protection für Android-Geräte
n Registrierung über AutoErmittlung
n Registrierungskonfiguration für „Vom Unternehmen verwaltetes Gerät“
n Registrierungskonfiguration für „Unternehmenseigenes Gerät mit privater Nutzung“
n Registrieren eines Android-Geräts im Work-Profil-Modus
n Zebra-StageNow
VMware, Inc. 28
Geräte & Benutzer/Android/Android EMM-RegistrierungBei der Android EMM-Registrierung können Sie die verschiedenen Optionen für die Integration in Androidkonfigurieren. Diese Seite bietet Ihnen einen Assistenten zur Einrichtung der Integration für Geräte.Aktivieren Sie diese Einstellungen, bevor Sie mit der Registrierung beginnen.
KonfigurationAuf der Seite Konfiguration werden die Einstellungen für die Google Admin-Konsole und die Google-APInach der erfolgreichen Android EMM-Registrierung angezeigt.
Registrierungseinstellungen
Einstellung Beschreibung
Registrierungstyp vomUnternehmenverwaltetes Gerät (nurnicht-G Suite)
Wählen Sie, ob Geräte dem Benutzer oder dem Gerät der Registrierung zugeordnet werden sollen.
Wenn Sie kostenpflichtige Anwendungen verwenden, ist Benutzerbasiert für eine optimaleLizenzzuteilung und die meisten BYOD-Anwendungsfälle zu bevorzugen. Für Szenarien, in denen eineinzelner Benutzer nicht dem Gerät (z. B. Kioske) zugeordnet werden soll, ist Gerätebasiert ideal.
Wenn Sie in einem geschlossenen Netzwerk arbeiten oder nicht mit Google Play kommunizieren können,wählen Sie AOSP/Geschlossenes Netzwerk aus. Auf diesen Geräten wird kein Google-Konto erstellt.Die Verwaltung von öffentlichen Apps über verwaltetes Google Play ist bei Auswahl der Option „AOSP/Geschlossenes Netzwerk“ nicht verfügbar. Diese Einstellung gilt nur für die Geräte, die mit dieserOrganisationsgruppe registriert wurden. Die übergeordnete Organisation kann weiterhin vomUnternehmen verwaltete Geräte über ein Google-Konto nutzen.
Registrierung fürvollständig verwalteteGeräte
Wählen Sie, ob registrierte Geräte den Modus Vom Unternehmen verwaltetes Gerät oderUnternehmenseigenes Gerät mit privater Nutzung verwenden.
n Vom Unternehmen verwaltetes Gerät ist ein vollständig verwaltetes Gerät, das für den privatenGebrauch gesperrt ist und Mitarbeitern ausschließlich Zugriff auf Unternehmens-Apps und nicht aufprivate Anwendungen über den Google Play Store gewährt.
n Der Modus Unternehmenseigenes Gerät mit privater Nutzung hat die Vorteile eines vollständigverwalteten Geräts, bietet den Mitarbeitern aber ein Work-Profil mit Zugriff auf Unternehmens-Appsbei gleichzeitigem Zugriff auf den privaten Google Play Store außerhalb des Work-Profils. DieserRegistrierungstyp ist nur auf Android 8.0 und höher verfügbar.
Weitere Informationen zu Android-Gerätemodi finden Sie im Thema Android-Gerätemodi verstehen inder Dokumentation zur Android-Plattform.
Android-Plattform
VMware, Inc. 29
Einschränkungen für die Registrierung
Einstellung Beschreibung
Registrierungsmethode fürdiese Organisationsgruppebestimmen
Wählen Sie Immer Android verwenden oder Immer Android (Legacy) verwenden,Zuweisungsgruppe bestimmen, die Android verwendet.Wenn Sie Zuweisungsgruppe bestimmen, die Android verwendet auswählen, verwenden alle nichtzugewiesenen Geräte standardmäßig Android (Legacy).
Zuweisungsgruppen Wählen Sie eine Smartgroup aus dem Dropdown-Menü aus.
Wenn Sie Smartgroup(s) auswählen, wird für Geräte oder Benutzer, die diesen Gruppen nichtangehören, die Android-Legacy-Registrierung (Geräteadministrator) durchgeführt. Geräte, die zueiner Smartgroup gehören, werden im Work-Profil oder im Modus „Vom Unternehmen verwaltetesGerät“ registriert, unter der Annahme, dass sie diese Registrierungsmodi unterstützen.
Weitere Informationen zu Smartgroups finden Sie im Thema Smartgroups in der Dokumentation„Grundlagen zur Console“.
Device Protection für Android-GeräteAndroid OS 5.1 und höher besitzen die Sicherheitsfunktion Device Protection, die erfordert, dass vor undnach dem Zurücksetzen eines Geräts die Google-Anmeldedaten eingegeben müssen. Wenn ein Gerätzur Registrierung als vom Unternehmen verwaltetes Gerät für Android bereit ist, dann muss das Gerätzunächst auf die Werkseinstellungen zurückgesetzt werden.
Alle vorhandenen Google-Konten müssen vom Gerät entfernt und sichere Sperrbildschirm deaktiviertwerden, um das Auslösen von Device Protection zu vermeiden, damit der Workspace ONE IntelligentHub bei der Registrierung installiert werden kann. Das Verwenden des Geräts mit denWerkseinstellungen verhindert, dass der neue Benutzer für das Gerät gesperrt wird.
Sollte der vorherige Eigentümer das Kennwort für das Google-Konto geändert haben, müssen Sie dreiTage warten, bevor Sie Ihr Gerät mit Android 5.1 und höher für die Registrierung zurücksetzen, sofern Siedas die Android Device Protection auf diesem Gerät nicht explizit deaktiviert haben. Wenn Sie IhrAndroid-Gerät auf die Werkseinstellungen zurücksetzen, bevor diese drei Tage verstrichen sind, unddann versuchen, sich an diesem Gerät mit Ihrem Google-Konto anzumelden, dann erhalten Sie eineFehlermeldung und eine Anmeldung an dem Gerät bleibt mit egal welchem Konto für 72 Stunden nachder Kennwortzurücksetzung unmöglich.
Registrierung über AutoErmittlungIn Workspace ONE UEM ist die Registrierung dank eines Systems zur AutoErmittlung ganz einfach.Damit werden Geräte über die E-Mail-Adressen der Benutzer in Umgebungen und Organisationsgruppenregistriert. AutoErmittlung kann auch verwendet werden, um es Endbenutzern zu ermöglichen, dieAuthentifizierung für das Self-Service-Portal (SSP) mit ihrer E-Mail-Adresse auszuführen.
Hinweis Um AutoErmittlung für lokale Umgebungen zu aktivieren, muss eine Kommunikation zwischenIhrer Umgebung und den AutoErmittlungs-Servern von Workspace ONE UEM möglich sein.
Android-Plattform
VMware, Inc. 30
Anmeldung zur Registrierung über AutoErmittlungDer Server überprüft die Eindeutigkeit der E-Mail-Domäne und lässt nur zu, dass eine Domäne bei einerOrganisationsgruppe in einer Umgebung registriert wird. Registrieren Sie Ihre Domäne aufgrund dieserserverseitigen Prüfung in der Organisationsgruppe der höchsten Ebene.
AutoErmittlung wird für neue SaaS-Kunden (Software as a Service) automatisch konfiguriert.
Konfigurieren der AutoErmittlungs-Registrierung von eineruntergeordneten OrganisationsgruppeSie können die AutoErmittlungs-Registrierung von einer untergeordneten Organisationsgruppe unterhalbder Registrierungsorganisationsgruppe konfigurieren. Um eine AutoErmittlungs-Registrierung auf dieseArt und Weise zu aktivieren, müssen Sie Benutzer dazu auffordern, bei der Registrierung eine Gruppen-ID auswählen.
Erzwingen Sie, dass Benutzer während der Registrierung eine Gruppen-ID auswählen.
Verfahren
1 Navigieren Sie zu Geräte > Geräteeinstellungen > Allgemein > Registrierung und wählen Sie denTab Gruppierung aus.
2 Wählen Sie Benutzer auffordern, Gruppen-ID auszuwählen.
3 Wählen Sie Speichern.
Konfigurieren der AutoErmittlungs-Registrierung von einerübergeordneten OrganisationsgruppeDie AutoErmittlungs-Registrierung vereinfacht den Registrierungsprozess, indem es Geräte unterVerwendung der E-Mail-Adressen der Endbenutzer bei den beabsichtigten Umgebungen undOrganisationsgruppen (OG) registriert.
Konfigurieren Sie eine AutoErmittlungs-Registrierung von einer übergeordneten OG, indem Sie folgendeSchritte durchführen.
Verfahren
1 Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Administrator > Cloud-Dienste und aktivieren Sie die Einstellung AutoErmittlung. Geben Sie Ihre E-Mail-Adresse für dieAnmeldung in AirWatch ID für AutoErmittlung ein und wählen Sie Identität festlegen.
a Navigieren Sie bei Bedarf zu https://my.air-watch.com/set-discovery-password, um das Kennwortfür den AutoErmittlungs-Dienst festzulegen. Sobald Sie sich eingetragen und Identität festlegengewählt haben, wird das HMAC-Token automatisch beausgefüllt. Klicken Sie auf Verbindungtesten, um sicherzustellen, dass die Verbindung funktioniert.
Android-Plattform
VMware, Inc. 31
2 Aktivieren Sie die Option AutoErmittlung – Zertifikat-Pinning, um Ihr eigenes Zertifikathochzuladen und es an die Funktion „AutoErmittlung“ anzuheften. Sie können die Gültigkeitsdatenund andere Informationen für vorhandene Zertifikate überprüfen, und Sie können diese vorhandenenZertifikate auch ersetzen und löschen.
3 Wählen Sie Zertifikat hinzufügen, um die Einstellungen Name und Zertifikat anzuzeigen. GebenSie den Namen des hochzuladenden Zertifikats ein. Wählen Sie die Schaltfläche Hochladen undanschließend das auf Ihrem Gerät befindliche Zertifikat.
4 Klicken Sie auf Speichern, um die Einrichtung von AutoErmittlung abzuschließen.
Nächste Schritte
Weisen Sie Endbenutzer, die ihre Geräte selbst registrieren, an, die Option auszuwählen, bei der sie zurAuthentifizierung ihre E-Mail-Adresse verwenden, statt eine Umgebungs-URL und Gruppen-IDeinzugeben. Wenn Benutzer ihre Geräte über eine E-Mail-Adresse registrieren, dann registrieren sie sichin der Gruppe, die auch in der Registrierungsorganisationsgruppe des zugehörigen Benutzerkontoseingetragen ist.
Registrierungskonfiguration für „Vom Unternehmenverwaltetes Gerät“Im Android-Modus „Vom Unternehmen verwaltetes Gerät“ hat Workspace ONE UEM die Kontrolle überdas gesamte Gerät. Durch das Zurücksetzen des Geräts auf die Werkseinstellungen wird sichergestellt,dass Geräte nicht zur privaten Nutzung eingerichtet werden.
Es gibt mehrere Möglichkeiten, vom Unternehmen verwaltete zu registrieren:
n Mit AirWatch Relay einen NFC-Bump durchführen
n Mit einem eindeutigen Bezeichner oder Token-Code
n Scannen eines QR-Codes
n Verwendung einer Zero-Touch-Registrierung
Ihre Unternehmensanforderungen bestimmen, welche Registrierungsmethoden Sie verwenden sollten.Sie können erst dann Geräte registrieren, wenn Sie die Android EMM-Registrierung abgeschlossenhaben. Lesen Sie Kapitel 2 Registrieren von Android mit Workspace ONE UEM, um die Registrierungabzuschließen.
Wenn sich die Android-Geräte, die Sie verwenden, in einem geschlossenen Netzwerk befinden, nicht mitGoogle Play kommunizieren können oder Android 5.0 oder niedrigere Versionen verwenden, können Siesie über die Registrierung „Verwaltetes Arbeitsgerät“ registrieren, um Unterstützung für AOSP/geschlossene Netzwerke zu erreichen. Die Verwaltung von öffentlichen Apps über verwaltetes GooglePlay ist dann nicht verfügbar.
Android-Plattform
VMware, Inc. 32
Registrierung über AirWatch RelayAirWatch Relay ist eine Anwendung, die Informationen von einem übergeordneten Gerät an alleuntergeordneten Geräte weiterleitet, die mit Android in Workspace ONE UEM registriert werden. DieserVorgang erfolgt über einen NFC-Bump und weist untergeordneten-Geräte an:
n eine Verbindung mit dem übergeordneten Gerät über das Wi-Fi-Netzwerk unter Verwendung derRegionseinstellungen, einschließlich von Datum, Uhrzeit und Standort des Geräts, herzustellen;
n die neueste Produktionsversion von Workspace ONE Intelligent Hub für Android herunterzuladen,
n Legen Sie im Hintergrund Workspace ONE Intelligent Hub als Geräteadministrator fest.
n sich automatisch bei Workspace ONE UEM zu registrieren.
Mit AirWatch Relay können Sie alle untergeordneten Geräte auf einmal registrieren, bevor Sie sie denEndbenutzern bereitstellen. So müssen Endbenutzer nicht ihre eigenen Geräte registrieren. Alleuntergeordneten Geräte müssen auf die Werkseinstellungen zurückgesetzt sein und NFC mussstandardmäßig aktiviert sein, damit sie als vom Unternehmen verwaltetes Gerät für Android registriertwerden können.
Der NFC-Bump-Prozess ist abhängig vom Android-Betriebssystem. Geräte mit Android 6.0 und höherführen Sie einen Bump aus, um untergeordnete Geräte in einem Schritt zu verbinden und zu registrieren.Geräte mit Android-OS-Versionen 5.0 bis 6.0 führen zwei NFC-Bumps aus. Der erste Bump dient zumVerbinden des übergeordneten Geräts mit dem Wi-Fi-Netzwerk und den Regionseinstellungeneinschließlich Datum, Uhrzeit und Standort des Geräts und zum Herunterladen des Workspace ONEIntelligent Hub. Mit dem zweiten NFC-Bump werden alle untergeordneten Geräte registriert, bevor Sie siefür Endbenutzer bereitgestellt werden.
Informationen zur AirWatch Relay-Registrierung finden Sie unter Registrieren des Modus „VomUnternehmen verwaltetes Gerät“ über AirWatch Relay.
Registrieren mit Workspace ONE Identifier (Bezeichner)Die Registrierungsmethode mit Workspace ONE Intelligent Hub Identifier (Bezeichner) ist einevereinfachte Registrierung von vom Unternehmen verwalteten Geräten mit Android 6.0 und höher. GebenSie einen einfachen Bezeichner bzw. Hashwert in ein auf die Werkseinstellungen zurückgesetztes Gerätein. Nach der Eingabe des Bezeichners erfolgt die Registrierung automatisch und überträgt denWorkspace ONE Intelligent Hub per Push. Der Benutzer muss lediglich Informationen zum Server,Benutzername und Kennwort eingeben. Informationen zur Registrierung mit VMware Workspace ONEIntelligent Hub Identifier (Bezeichner) finden Sie unter Registrieren von Android-Geräten mit VMwareWorkspace ONE Intelligent Hub Identifier (Bezeichner).
Mit dem Bezeichner können Sie die Registrierung mithilfe von Single-User Device Staging auch imNamen von Endbenutzern ausführen. Diese Methode ist für Administratoren nützlich, die mehrere Gerätefür ein gesamtes Team oder einzelne Mitglieder eines Teams einrichten. Dadurch werden Endbenutzerndie Zeit und Mühe erspart, ihre Geräte selbst registrieren zu müssen.
Weitere Informationen zu Single-User Device Staging finden Sie im Thema zum Staging eines Single-User Device in der Dokumentation zu Mobile Device Management (MDM).
Android-Plattform
VMware, Inc. 33
Registrierung über QR-CodeGeräte wie z. B. Tablets unterstützen NFC nicht, und können daher die AirWatch Relay-Registrierungsmethode, die einen NFC Bump für Android 7.0 und höher erfordert, nicht nutzen.
Bereitstellung per QR-Code ist eine einfache Möglichkeit, eine Reihe von Geräten zu registrieren, dieNFC bzw. NFC-Bump nicht unterstützen. Der QR-Code enthält eine Nutzlast aus Schlüssel-/Wertpaarenmit allen Informationen, die zur Registrierung des Geräts erforderlich sind. Die QR-Code-Registrierungerfordert keine verwaltete Google-Domäne und kein Google-Konto. Erstellen Sie den QR-Code vor demStarten der Registrierung. Sie können jeden Online-QR-Code-Generator, wie z. B. Web Toolkit Online,verwenden, um Ihren eindeutigen QR-Code zu erstellen. Der QR-Code enthält die Server-URL und dieGruppen-ID-Informationen. Sie können auch Benutzernamen und Kennwort einschließen, oder derBenutzer muss seine Anmeldedaten eingeben.
Dies ist das Format des Textes, den Sie in den QR-Generator kopieren müssen:
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":
"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":
"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i_o8=\n",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":
"https://awagent.com/mobileenrollment/airwatchagent.apk",
"android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,
"android.app.extra.PROVISIONING_WIFI_SSID": "Your_SSID",
"android.app.extra.PROVISIONING_WIFI_PASSWORD": "Password",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
"serverurl": "Server URL",
"gid": "Group ID",
"un":"Benutzername",
"pw":"Kennwort"
}
Informationen zur QR-Code-Registrierung finden Sie unter Registrieren des Modus „Android-Gerät“ mitQR Code.
Android-Plattform
VMware, Inc. 34
Registrierung über Zero-TouchDie Zero-Touch-Registrierung ermöglicht die Konfiguration von Geräten mit Android 8.0 und höher mitWorkspace ONE UEM als sofort einsetzbaren Enterprise Mobility Management-Anbieter.
Wenn das Gerät bei der Einrichtung mit dem Internet verbunden ist, wird der Workspace ONE IntelligentHub automatisch heruntergeladen und die Registrierungsdetails automatisch übergeben. Damit wird dasGerät ohne Zutun des Benutzers registriert.
Die Zero-Touch-Registrierung wird von einer begrenzten Anzahl von Mobilfunkanbietern und OEMsunterstützt. Kunden arbeiten mit ihrem Anbieter zusammen, um sicherzustellen, dass eine Zero-Touch-Bereitstellung unterstützt wird. Weitere Informationen zu unterstützten Anbietern und Geräten finden Sieauf der Website von Google.
Informationen zur Zero-Touch-Registrierung finden Sie unter Registrieren eines Android-Geräts über dasZero Touch-Portal
Hinweis Die Zero-Touch-Registrierung wird nur von Geräten mit Android 8.0 (Oreo) unterstützt.
Als „Vom Unternehmen verwaltetes Gerät“ ohne Google Play-Dienste registrieren
Registrieren des Modus „Vom Unternehmen verwaltetes Gerät“über AirWatch RelayDas Registrieren des Modus „Vom Unternehmen verwaltetes Gerät“ variiert je nach der Version desAndroid-Betriebssystems.
Wenn Sie mit Android 6.0 und höher arbeiten, bietet die AirWatch Relay-Anwendung die Option miteinem einzelnen NFC-Bump, der die WLAN-Konfiguration, die Bereitstellung und dieRegistrierungseinstellungen einschließt. Informationen zur Bereitstellung des Modus „Vom Unternehmenverwaltetes Gerät“ mit Android 6.0 und höher finden Sie unter Registrieren eines Android-Geräts mitAirWatch Relay für Android 6.0 und höher
Das Registrieren des Modus „Vom Unternehmen verwaltetes Gerät“ für Geräte mit einem Android-Betriebssystem der Versionen 5.0 bis 6.0 wird in zwei NFC-Bumps ausgeführt. Der erste Bumpkonfiguriert Region, WLAN und alle anzuwendenden erweiterten Einstellungen, die für alle Geräte in IhrerFlotte gelten. Der zweite Bump konfiguriert die Registrierungseinstellungen und automatisiert dieRegistrierung. Siehe Registrieren eines vom Unternehmen verwalteten Geräts über AirWatch Relay fürAndroid 5.0 und Android 6.0.
Registrieren eines Android-Geräts mit AirWatch Relay für Android 6.0 undhöherFür Android 6.0 und höher bietet die AirWatch Relay-Anwendung die Option mit einem einzelnen NFC-Bump, der die WLAN-Konfiguration, die Bereitstellung und die Registrierungseinstellungen einschließt.
Android-Plattform
VMware, Inc. 35
Verfahren
1 Laden Sie sich die AirWatch Relay-App aus Google Play Store auf das übergeordnete Gerätherunter, und starten Sie danach die Anwendung.
2 Gehen Sie zum Bildschirm „Für den AirWatch-Administratoren“, und wählen Sie Weiter, um denAssistenten zu starten.
Auf diesem Bildschirm können Sie auswählen, ob Sie mit einem Setup-Assistenten fortfahrenmöchten, der Ihnen den Zweck der Anwendung erläutert und ein Lernprogramm für den NFC-Bumpbietet, oder ob Sie diesen überspringen möchten.
3 Tippen Sie auf Einrichtung auf Geräte in einem einzigen Bump bereitstellen (Android 6.0 und höher).
4 Definieren Sie vom übergeordneten Gerät aus die folgenden Einstellungen:
Einstellung Beschreibung
Lokale Uhrzeit Aktivieren Sie dieses Feld, damit das Gerät automatisch mit der lokalen Zeitkonfiguriert.
Zeitzone Wählen Sie die Zeitzone aus.
Gebietsschema Wählen Sie die Region aus, in der Ihr Gerät aktiviert wird.
WLAN-Netzwerk Geben Sie das WLAN-Netzwerk aus, mit dem das Gerät eine Verbindungherstellen soll.
Sicherheitstyp Bestimmen Sie den Verschlüsselungstyp für die Verbindung.
WLAN-Kennwort Geben Sie das WLAN-Kennwort ein.
Android-Plattform
VMware, Inc. 36
Einstellung Beschreibung
Gerät verschlüsseln Aktivieren Sie dieses Feld, um anzugeben, dass die Geräteverschlüsselung imRahmen der Bereitstellung des Modus „Vom Unternehmen verwaltetes Gerät“übersprungen werden kann.
Systemanwendungen deaktivieren Aktivieren Sie dieses Feld, damit der Workspace ONE Intelligent Hub während derEinrichtung keine Systemanwendungen deaktiviert.
Server Geben Sie die Server-URL oder den Hostnamen ein.
Gruppen-ID Geben Sie für die Organisationsgruppe einen Bezeichner ein, mit dem dieEndbenutzer ihre Geräte dann anmelden.
Benutzername Geben Sie die Anmeldedaten für den Benutzer ein, für den untergeordnete Gerätregistriert wird.
Kennwort Geben Sie die Anmeldedaten für den Benutzer ein, für den untergeordnete Gerätregistriert wird.
5 Tippen Sie auf dem übergeordneten Gerät auf Bereit.
6 Führen Sie den NFC-Bump durch, indem Sie das über- und das untergeordnete Gerät mit denRückseiten aneinander halten. Das untergeordnete Gerät sollte auf die Werkseinstellungenzurückgesetzt sein, um sicherzustellen, dass es nicht zur privaten Nutzung verwendet wird.
Deaktivieren Sie vor der Durchführung einer Zurücksetzung auf die Werkseinstellungen für dasuntergeordnete Geräte (wenn das Gerät nicht nagelneu ist) den Sperrbildschirm, und entfernen Siealle vorhandenen Google-Konten von dem Gerät. Device Protection ist eine Funktion vonAndroid 5.1, die den Benutzer auffordert, vor dem Zurücksetzen auf die Werkseinstellungen dieAnmeldeinformationen für das Google-Konto einzugeben. Wenn Sie den Sperrbildschirm deaktivierenund vorhandene Google-Konten entfernen, werden Sie nicht zur Eingabe der Anmeldedatenaufgefordert, und die Registrierung kann ungehindert erfolgen.
7 Tippen Sie, während sich die Geräte weiterhin an den Rückseiten berühren, auf dem übergeordnetenGerät auf Berühren für Beam.
8 Tippen Sie, während sich die Geräte weiterhin an den Rückseiten berühren, auf demuntergeordneten Gerät auf Verschlüsseln.
Das untergeordnete Gerät führt folgende Aktionen automatisch aus:
a Verbinden mit dem WLAN-Netzwerk, das in der AirWatch Relay-Anwendung definiert wurde.
b Workspace ONE Intelligent Hub herunterladen und im Hintergrund installieren.
c Legen Sie den Workspace ONE Intelligent Hub als Geräte-Administrator fest.
d Gerät zurücksetzen.
Android-Plattform
VMware, Inc. 37
Nachdem das untergeordnete Gerät zurückgesetzt wurde, wird das Gerät für den Modus „VomUnternehmen verwaltetes Gerät“ bereitgestellt. Auf Ihrem untergeordneten Gerät wird einBegrüßungsbildschirm angezeigt. Um dies auf dem untergeordneten Gerät zu überprüfen, navigierenSie zu Geräteeinstellungen > Sicherheit > Geräteadministratoren, um zu sehen, ob WorkspaceONE Intelligent Hub als Geräteadministrator aufgeführt ist. Endbenutzer sind nicht in der Lage, dieseEinstellung zu deaktivieren.
Auf der Startseite des Geräts sehen Sie die im Voraus heruntergeladenen zulässigen Anwendungen.Es müssen keine weiteren Anwendungen vom Administrator über die Workspace ONE UEM-Konsolegenehmigt werden.
Android-Plattform
VMware, Inc. 38
Wenn Sie mehrere Geräte in Ihrer Geräteflotte registrieren wollen, dann wiederholen Sie den NFC-Bump auf jedem untergeordneten Gerät, um sie im Modus „Vom Unternehmen verwaltetes Gerät“bereitzustellen.
Sie können alternativ die untergeordneten Geräte manuell registrieren und die zweiten NFC-Bump-Schritte überspringen, die nachfolgend beschrieben sind. Sie müssen Registrierungsdetails aufjedem Gerät manuell eingeben. Zusätzliche Registrierungsprozesse finden Sie im Thema zuzusätzlichen Registrierungsabläufen in der Dokumentation zu Mobile Device Management (MDM).
Wenn die Registrierung erfolgreich war, wird die Seite Mein Gerät auf dem untergeordneten Gerätangezeigt (siehe oben). Alle Profile und Anwendungen werden jetzt automatisch per Push auf das Gerätübertragen. Wiederholen Sie die Registrierungsschritte für jedes Gerät, das in Ihrer Geräteflotte registriertwerden muss.
Workspace ONE UEM Console meldet den Status von Android auf den Geräten der Benutzer. Siekönnen auf der Seite Detailansicht überprüfen, ob Android erfolgreich erstellt wurde.
Navigieren Sie zu Geräte > Detailansicht > Zusammenfassung und dann zum Abschnitt Sicherheit aufder Seite, um den Status zu sehen. Ein grünes Häkchen zeigt die erfolgreiche Android-Aktivierung an.
Registrieren eines vom Unternehmen verwalteten Geräts über AirWatchRelay für Android 5.0 und Android 6.0Für Android Version 5.0 und Android Version 6.0 bietet die AirWatch Relay-App eine 2-Bump-Option, mitder die Einstellungen für Region, WLAN, Provisioning-Einstellungen und Registrierung konfiguriertwerden.
Verfahren
1 Laden Sie sich die AirWatch Relay-App aus Google Play Store auf das übergeordnete Gerätherunter, und starten Sie danach die Anwendung.
2 Gehen Sie zum Bildschirm „Für den AirWatch-Administratoren“, und wählen Sie Weiter, um denAssistenten zu starten.
Android-Plattform
VMware, Inc. 39
Auf diesem Bildschirm können Sie auswählen, ob Sie mit einem Setup-Assistenten fortfahrenmöchten, der Ihnen den Zweck der Anwendung erläutert und ein Lernprogramm für den NFC-Bumpbietet, oder ob Sie diesen überspringen möchten.
3 Tippen Sie bei der gewünschten Option Bereitstellen von Geräten in 2 Bumps (Android 5.0-Android 6.0 und höher) auf Setup.
Wenn Sie Android 6.0 und höher verwenden, wählen Sie Bereitstellen von Geräten in einemeinzelnen Bump (Android 6.0 und höher). Anweisungen für Geräte mit Android 6.0 und höherfinden Sie unter Registrieren eines Android-Geräts mit AirWatch Relay für Android 6.0 und höher.
4 Definieren Sie vom übergeordneten Gerät aus die folgenden Einstellungen:
Einstellung Beschreibung
Lokale Uhrzeit Aktivieren Sie dieses Feld, damit das Gerät automatisch mit der lokalen Zeitkonfiguriert.
Zeitzone Wählen Sie die Zeitzone aus.
Gebietsschema Wählen Sie die Region aus, in der Ihr Gerät aktiviert wird.
Android-Plattform
VMware, Inc. 40
Einstellung Beschreibung
WLAN-Netzwerk Geben Sie das WLAN-Netzwerk aus, mit dem das Gerät eine Verbindungherstellen soll.
Sicherheitstyp Bestimmen Sie den Verschlüsselungstyp für die Verbindung.
WLAN-Kennwort Geben Sie das WLAN-Kennwort ein.
Überspringen Sie„Geräteverschlüsselung“ für dieBereitstellung
Aktivieren Sie dieses Feld, um anzugeben, dass die Geräteverschlüsselung imRahmen der Bereitstellung des Modus „Vom Unternehmen verwaltetes Gerät“übersprungen werden kann.
Deaktivieren Sie keineSystemanwendungen während derBereitstellung.
Aktivieren Sie dieses Feld, damit der Workspace ONE Intelligent Hub während derEinrichtung keine Systemanwendungen deaktiviert.
5 Tippen Sie auf dem übergeordneten Gerät auf Bereit, um den ersten Bump durchführen.
6 Führen Sie den ersten NFC-Bump durch, indem Sie das über- und das untergeordnete Gerät mit denRückseiten aneinander halten. Das untergeordnete Gerät sollte auf die Werkseinstellungenzurückgesetzt sein, um sicherzustellen, dass es nicht zur privaten Nutzung verwendet wird.
Deaktivieren Sie vor der Durchführung einer Zurücksetzung auf die Werkseinstellungen für dasuntergeordnete Geräte (wenn das Gerät nicht nagelneu ist) den Sperrbildschirm, und entfernen Siealle vorhandenen Google-Konten von dem Gerät. Device Protection ist eine Funktion vonAndroid 5.1, die den Benutzer auffordert, vor dem Zurücksetzen auf die Werkseinstellungen dieAnmeldeinformationen für das Google-Konto einzugeben. Wenn Sie den Sperrbildschirm deaktivierenund vorhandene Google-Konten entfernen, werden Sie nicht zur Eingabe der Anmeldedatenaufgefordert, und die Registrierung kann ungehindert erfolgen.
7 Tippen Sie, während sich die Geräte weiterhin an den Rückseiten berühren, auf dem übergeordnetenGerät auf Berühren für Beam.
8 Tippen Sie, während sich die Geräte weiterhin an den Rückseiten berühren, auf demuntergeordneten Gerät auf Verschlüsseln.
Das untergeordnete Gerät führt folgende Aktionen automatisch aus:
n Verbinden mit dem WLAN-Netzwerk, das in der AirWatch Relay-Anwendung definiert wurde.
n Workspace ONE Intelligent Hub herunterladen und im Hintergrund installieren.
n Legen Sie den Workspace ONE Intelligent Hub als Geräte-Administrator fest.
n Gerät zurücksetzen.
Android-Plattform
VMware, Inc. 41
Nachdem das untergeordnete Gerät zurückgesetzt wurde, wird das Gerät für den Modus „VomUnternehmen verwaltetes Gerät“ bereitgestellt, und der erste Bump ist abgeschlossen. Auf Ihremuntergeordneten Gerät wird ein Begrüßungsbildschirm angezeigt. Um dies auf dem untergeordnetenGerät zu überprüfen, navigieren Sie zu Geräteeinstellungen > Sicherheit >Geräteadministratoren, um zu sehen, ob Workspace ONE Intelligent Hub als Geräteadministratoraufgeführt ist. Endbenutzer sind nicht in der Lage, diese Einstellung zu deaktivieren.
Auf der Startseite des Geräts sehen Sie die im Voraus heruntergeladenen zulässigen Anwendungen.Es müssen keine weiteren Anwendungen vom Administrator über die Workspace ONE UEM-Konsolegenehmigt werden.
Android-Plattform
VMware, Inc. 42
Wenn Sie mehrere Geräte in Ihrer Geräteflotte registrieren wollen, dann wiederholen Sie den NFC-Bump auf jedem untergeordneten Gerät, um sie im Modus „Vom Unternehmen verwaltetes Gerät“bereitzustellen. Falls dies nicht der Fall ist, fahren Sie mit der Registrierung fort.
Sie können alternativ die untergeordneten Geräte manuell registrieren und die zweiten NFC-Bump-Schritte überspringen, die nachfolgend beschrieben sind. Sie müssen Registrierungsdetails aufjedem Gerät manuell eingeben. Zusätzliche Registrierungsprozesse finden Sie im Thema zuzusätzlichen Registrierungsabläufen in der Dokumentation zu Mobile Device Management (MDM).
9 Kehren Sie auf dem übergeordneten Gerät zur AirWatch Relay-Anwendung zurück, und tippen Sieauf Registrieren.
10 Definieren Sie die Einstellungen für die Registrierung. Diese Einstellung werden für dieAutomatisierung der Registrierung von untergeordneten Geräten verwendet.
Einstellung Beschreibung
Server Geben Sie die Server-URL oder den Hostnamen ein.
Gruppen-ID Geben Sie für die Organisationsgruppe einen Bezeichner ein, mit dem dieEndbenutzer ihre Geräte dann anmelden.
11 Tippen Sie auf Bereit.
Android-Plattform
VMware, Inc. 43
12 Führen Sie den zweiten NFC-Bump durch, indem Sie die Rückseiten des über- und desuntergeordneten Geräts aufeinander legen und auf dem untergeordneten Gerät auf Berühren fürBeam tippen, um die Registrierung zu starten. Die zweite NFC-Bump muss ausgeführt werden,nachdem der Setup-Assistent abgeschlossen wurde. Warten Sie, bis der Setup-Assistentabgeschlossen ist, und Sie zur Startseite des Geräts leitet, bevor Sie den zweiten NFC-Bumpausführen, um den Workspace ONE Intelligent Hub zu konfigurieren.
13 Geben Sie die Anmeldedaten für das Unternehmens-Google-Konto ein, das dem Benutzerzugeordnet ist. Der Kennwort-Bildschirm für das Google-Konto wird angezeigt.
14 Tippen Sie auf Weiter, um zur Seite Mein Gerät zu gelangen (in der Abbildung oben dargestellt).
Nächste Schritte
Wenn die Registrierung erfolgreich war, wird die Seite Mein Gerät auf dem untergeordneten Gerätangezeigt (siehe oben). Alle Profile und Anwendungen werden jetzt automatisch per Push auf das Gerätübertragen. Wiederholen Sie die Registrierungsschritte für jedes Gerät, das in Ihrer Geräteflotte registriertwerden muss.
Navigieren Sie zu Geräte > Detailansicht > Zusammenfassung und dann zum Abschnitt Sicherheit aufder Seite, um den Status zu sehen. Ein grünes Häkchen zeigt die erfolgreiche Android-Aktivierung an.
Android-Plattform
VMware, Inc. 44
Registrieren von Android-Geräten mit VMware Workspace ONEIntelligent Hub Identifier (Bezeichner)Bei der Registrierung von vom Unternehmen verwalteten Geräten unternehmenseigenen Geräten mitprivater Nutzung (COPE) wird der Benutzer beim Hinzufügen eines Kontos aufgefordert, ein speziellesDPC-Bezeichnertoken einzugeben. Das Token hat das Format „afw#EMM_Identifier“ und identifiziertWorkspace ONE UEM automatisch als Ihren EMM-Anbieter.
Wichtig Dieser Ablauf der Registrierung gilt nur für Android-Konten, die Geräte mit Android 6.0 (M undhöher) verwenden.
Verfahren
1 Tippen Sie auf Ihrem auf die Werkseinstellungen zurückgesetzten Gerät auf Erste Schritte.
2 Wählen Sie Ihr WLAN-Netzwerk und melden Sie sich mit Ihren Anmeldedaten an, um das Gerät zuverbinden.
3 Geben Sie den Bezeichner „afw#hub“ ein, wenn Sie dazu aufgefordert werden, um ein Google-Kontohinzuzufügen. Der Setup-Assistent fügt dem Gerät ein temporäres Google-Konto hinzu. Dieses Kontowird nur verwendet, um den DPC von Google Play herunterladen; es wird nach dem Abschlussentfernt.
Wenn der Bezeichner falsch eingegeben wurde, werden Sie aufgefordert, ihn erneut einzugeben.
4 Tippen Sie auf Installieren, um mit der Konfiguration des Workspace ONE Intelligent Hub auf demGerät zu beginnen. Der Hub wird nach Abschluss der Installation automatisch geöffnet.
5 Wählen Sie den Authentifizierungsmethode aus, um die Registrierung fortzusetzen:
a Wählen Sie E-Mail-Adresse aus, wenn Sie AutoErmittlung konfiguriert haben. Außerdem werdenSie möglicherweise dazu aufgefordert, Ihre Gruppen-ID in einer Liste auszuwählen.
b Wählen Sie Server-Details aus und geben Sie Server, Gruppen-ID und die Benutzer-Anmeldedaten ein.
c Wählen Sie QR-Code, wenn Sie einen QR-Code in der UEM-Konsole erstellt haben.
6 Befolgen Sie die restlichen Eingabeaufforderungen, um die Registrierung abzuschließen.
7 Alle Profile und Anwendungen werden automatisch per Push auf das Gerät übertragen. WorkspaceONE UEM console meldet den Status von Android auf den Geräten der Benutzer. Sie können auf derSeite Detailansicht überprüfen, ob Android erfolgreich erstellt wurde.
8 Navigieren Sie zu Geräte > Detailansicht > Zusammenfassung und dann zum AbschnittSicherheit auf der Seite, um den Status zu sehen. War die Android-Aktivierung erfolgreich, wird eingrünes Häkchen angezeigt.
Registrieren des Modus „Android-Gerät“ mit QR CodeBei der Registrierungsmethode über QR-Code erfolgt das Einrichten und Konfigurieren der Modi „VomUnternehmen verwaltetes Gerät“ und „Unternehmenseigenes Gerät mit privater Nutzung (COPE)“ durch
Android-Plattform
VMware, Inc. 45
Scannen eines QR-Code aus dem Setup-Assistenten. Diese Art der Registrierung ist ideal fürAdministratoren, die ein Staging mehrerer Geräte vornehmen, bevor diese für Benutzer bereitgestelltwerden, oder für Endbenutzer, die ihre Geräte mit einem QR-Code, der ihnen vom IT-Administrator zurVerfügung gestellt wird, selbst registrieren.
Voraussetzungen
Verwenden Sie die Workspace ONE UEM-Konsole, um vor Beginn der Registrierung den QR-Code zuerstellen. Alternativ können Sie jeden Online-QR-Code-Generator wie z. B. Web Toolkit Onlineverwenden, um Ihren QR-Code zu erstellen.
Informationen zum Erstellen des QR-Codes mit der UEM-Konsole finden Sie im Abschnitt zumAssistenten für die Registrierungskonfiguration in Staging & Provisioning. Weitere Informationen zumAssistenten für die Registrierungskonfiguration finden Sie unter Generieren eines QR-Codes mithilfe desAssistenten für die Registrierungskonfiguration.
Wichtig Diese Art der Registrierung ist für Benutzer mit verwaltetem Google Play und verwalteterGoogle Domäne verfügbar. Diese Art der Registrierung wird von Geräten mit Android 7.0 und höherunterstützt.
Verfahren
1 Schalten Sie das Gerät ein. Der Setup-Assistent fordert den Benutzer auf, sechs Mal auf denBegrüßungsbildschirm zu tippen. Es muss immer an derselben Position auf dem Bildschirm getipptwerden.
a Für Geräte mit Android 8.0 und höher fahren Sie mit Schritt 2 fort, um den QR-Code-Leserherunterzuladen.
b Für Geräte mit Android 9.0 und höher startet die Kamera automatisch, wenn Sie die sechsSchritte durchgeführt haben.
2 Stellen Sie eine WLAN-Verbindung her, und der Setup-Assistent lädt automatisch einen QR-Code-Leser herunter. QR-Code-Lese-Anwendung wird anschließend automatisch gestartet.
3 Scannen Sie Ihre QR-Code. Für Geräte mit Android 9.0 und höher verwenden die QR-Code-Optionder Kamera um den Code zu scannen. Sie können jeden Online-QR-Code-Generator wie z. B. WebToolkit Online verwenden, um Ihren eindeutigen QR-Code zu erstellen. Weitere Informationen findenSie unter Registrierungskonfiguration für „Vom Unternehmen verwaltetes Gerät“.
4 Der Setup-Assistent lädt automatisch den Workspace ONE Intelligent Hub herunter, der bereits mitServer-URL und Gruppen-ID konfiguriert sein sollte.
5 Geben Sie die Anmeldedaten ein.
Wenn die Registrierung erfolgreich war, erscheint die Seite Meine Geräte auf dem Gerät. Alle Profileund Anwendungen werden automatisch per Push auf das Gerät übertragen.
Workspace ONE UEM Console meldet den Status von Android auf den Geräten der Benutzer. Siekönnen auf der Seite Detailansicht überprüfen, ob Android erfolgreich erstellt wurde.
Android-Plattform
VMware, Inc. 46
6 Navigieren Sie zu Geräte > Detailansicht > Zusammenfassung und dann zum AbschnittSicherheit auf der Seite, um den Status zu sehen. Ein grünes Häkchen wird angezeigt, wenn dieAktivierung Android erfolgreich war.
Generieren eines QR-Codes mithilfe des Assistenten für dieRegistrierungskonfigurationNachdem Sie im Assistenten für die Registrierungskonfiguration die QR-Code-Registrierung ausgewählthaben, erstellen Sie einen QR-Code zum Scannen mit Ihrem Gerät mit Android 7.0 oder höher, um dasGerät rasch bereitzustellen. Der Assistent erleichtert die Staging-Konfiguration.
Verfahren
1 Beachten Sie die Voraussetzungen und wählen Sie zunächst Konfigurieren.
2 Sie können das Gerät vor der Registrierung mit WLAN verbinden, indem Sie die Option „WLAN“aktivieren. Nach dem Aktivieren dieser Option, werden folgende Optionen angezeigt.
Einstellung Beschreibung
SSID Geben Sie den Service Set Identifier ein. Hierbei handelt es sich um den Namendes WLAN-Netzwerks.
Kennwort Geben Sie die WLAN-Kennwort für die eingegebene SSID ein.
3 Wählen Sie Weiter.
4 Wählen Sie den Workspace ONE Intelligent Hub, der beim Staging per Push an die Geräteübertragen werden soll. Standardmäßig ist „Aktuellsten Workspace ONE Intelligent Hub verwenden“ausgewählt.
Wenn Sie keinen Workspace ONE Intelligent Hub hinzugefügt haben, wählen Sie Auf externer URLgehostet und geben Sie die Adresse in das Textfeld URL ein, um auf ein extern gehostetesWorkspace ONE Intelligent Hub-Paket zu verweisen.
5 Wählen Sie Weiter.
6 Legen Sie die Einstellungen für die Registrierungsdetails fest. Lassen Sie zur Verwendung dertokenbasierten Authentifizierung beide Optionen deaktiviert.
Einstellung Beschreibung
Organisationsgruppe Aktivieren Sie die Organisationsgruppe, die vom QR-Code-Staging-Paketverwendet wird, und wählen Sie sie aus.
Benutzername Aktivieren Sie diese Option, um Anmeldedaten zu konfigurieren. Geben Sie denBenutzernamen für das Workspace ONE UEM-Konto ein.
Kennwort Geben Sie das entsprechende Kennwort ein.
System-Apps Gilt nur für vom Unternehmen verwaltete Geräte. Sie können Aktivierenauswählen, um nicht kritische Systemanwendungen auf Ihrem vom Unternehmenverwalteten Gerät zu erhalten. Wählen Sie Deaktivieren, um diese Apps zuentfernen.
Android-Plattform
VMware, Inc. 47
7 Wählen Sie Weiter.
8 Auf der Seite Übersicht können Sie die Datei herunterladen (als PDF). Sie können auch PDFanzeigen wählen, um eine Vorschau für die Auswahl Ihres QR-Codeformats anzuzeigen.
Registrieren eines Android-Geräts über das Zero Touch-PortalFügen Sie im Zero Touch-Portal die Registrierungs-Konfigurationen hinzu, die auf das Gerät angewendetwerden sollen, sobald der Workspace ONE Intelligent Hub heruntergeladen wird.
Hinweis Die Zero-Touch-Registrierung wird nur von Geräten mit Android 8.0 (Oreo) unterstützt. FürSamsung-Geräte verwenden Sie bitte Knox Mobile Enrollment.
Android-Plattform
VMware, Inc. 48
Verfahren
1 Navigieren Sie zu der Registerkarte Konfigurationen, und klicken Sie auf das +.
Android-Plattform
VMware, Inc. 49
2 Geben Sie die folgenden Details für die Registrierung ein:
Einstellung Beschreibung
Name der Konfiguration Geben Sie einen Namen für diese Konfiguration ein.
EMM DPC Wählen Sie „Workspace ONE Intelligent Hub“.
Dadurch wird sichergestellt, dass der Workspace ONE Intelligent Hub als Teil deswerksseitigen Setup heruntergeladen wird.
DPC Extras Geben Sie die Anmeldedaten für die Registrierung ein, die im Workspace ONEIntelligent Hub konfiguriert werden. Sie können die Workspace ONE UEM-Konsole,Server-URL, Gruppen-ID, sowie Benutzername und Kennwort für die Registrierungeinschließen.
Endbenutzer stellt Gerät bereit:
In diesem Fall geben Sie keinen Benutzernamen und kein Kennwort an. DerBenutzer gibt diese ein, wenn er bei der Einrichtung des Geräts dazu aufgefordertwird.
{ "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "serverurl": "https://airwatch.console.com", "gid": "groupID"} }
Für die Zero-Touch Registrierung:
Dieses Szenario wird empfohlen, wenn alle Geräte für einen einzigen Benutzerbereitgestellt werden oder Benutzername und Kennwort für die Registrierungbekannt sind.
{ "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "serverurl": "https://airwatch.console.com", "gid": "groupID", "un":"username", "pw":"password" } }
Firmenname Geben Sie den Namen Ihrer Organisation ein.
Kontakt-E-Mail-Adresse Geben Sie die E-Mail-Adresse ein, unter der Endbenutzer Hilfe bei Problemenerhalten.
Kontakt-Telefonnummer Geben Sie die Telefonnummer ein, unter der Endbenutzer Hilfe bei Problemenerhalten.
Benutzerdefinierte Nachricht Geben Sie eine benutzerdefinierte Nachricht an den Endbenutzer ein, die vor demDownload des Workspace ONE Intelligent Hub angezeigt wird.
3 Wählen Sie Anwenden.
Android-Plattform
VMware, Inc. 50
4 Weisen Sie unter der Registerkarte Geräte die Konfigurationen durch Auswahl derRegistrierungskonfiguration aus, die auf das Gerät angewendet werden soll.
Sie müssen sich an Ihren Mobilfunkanbieter/Gerätehändler wenden, um IMEI und Seriennummernvon Geräten zu erhalten.
Android-Plattform
VMware, Inc. 51
Registrierungskonfiguration für „UnternehmenseigenesGerät mit privater Nutzung“Im Modus „Unternehmenseigenes Gerät mit privater Nutzung“ (Android Corporate Owned Personally-Enabled – COPE) kontrolliert die Workspace ONE UEM das gesamte Gerät. Gleichzeitig wird ein Work-Profil für das Gerät bereitgestellt, sodass der Benutzer es auch als privates Gerät verwenden kann.COPE ist eine Mischung der Modi „Work-Profil“ und „Vom Unternehmen verwaltetes Gerät“.
Es gibt mehrere Möglichkeiten, COPE-Geräte zu registrieren:
n Mit AirWatch Relay einen NFC-Bump durchführen
n Mithilfe eines eindeutigen Bezeichners oder Token-Code
n Scannen eines QR-Codes
n Verwendung einer Zero-Touch-Registrierung
Ihre Unternehmensanforderungen bestimmen, welche Registrierungsmethoden Sie verwenden sollten.Sie können erst dann Geräte registrieren, wenn Sie die Android EMM-Registrierung abgeschlossenhaben. Lesen Sie Kapitel 2 Registrieren von Android mit Workspace ONE UEM, um die Registrierungabzuschließen.
Android 8.0 oder höher ist erforderlich, um die COPE-Bereitstellung in Ihrer Geräteflotte zu verwenden.Wenn Sie versuchen, ein Gerät zu registrieren, auf dem Android 8.0 ausgeführt wird, dann diesesautomatisch als „Vom Unternehmen verwaltetes Gerät“ registriert. Informationen zur Registrierung dervom Unternehmen verwalteten Geräte finden Sie unter Registrierungskonfiguration für „VomUnternehmen verwaltetes Gerät“.
Wenn die von Ihnen verwendeten Android-Geräte sich in einem geschlossenen Netzwerk befinden undnicht mit Google Play kommunizieren können, oder wenn sie Android 7.0 oder älter verwenden, dannregistrieren Sie Android mithilfe der Legacy-Registrierungsmethode, die im Leitfaden zur VMwareAirWatch Android-Plattform (Legacy) beschrieben ist.
Registrierung über AirWatch RelayAirWatch Relay ist eine Anwendung, die Informationen von einem übergeordneten Gerät an alleuntergeordneten Geräte weiterleitet, die mit Android in Workspace ONE UEM registriert werden. DieserVorgang erfolgt über einen NFC-Bump und weist untergeordneten-Geräte an:
n eine Verbindung mit dem übergeordneten Gerät über das Wi-Fi-Netzwerk unter Verwendung derRegionseinstellungen, einschließlich von Datum, Uhrzeit und Standort des Geräts, herzustellen;
n die neueste Produktionsversion von Workspace ONE Intelligent Hub für Android herunterzuladen,
n Legen Sie im Hintergrund Workspace ONE Intelligent Hub als Geräteadministrator fest.
n sich automatisch bei Workspace ONE UEM zu registrieren.
Android-Plattform
VMware, Inc. 52
Mit AirWatch Relay können Sie alle untergeordneten Geräte auf einmal registrieren, bevor Sie sie denEndbenutzern bereitstellen. So müssen Endbenutzer nicht ihre eigenen Geräte registrieren. Alleuntergeordneten Geräte müssen auf die Werkseinstellungen zurückgesetzt sein und NFC mussstandardmäßig aktiviert sein, damit sie als COPE-Gerät registriert werden können.
Der NFC-Bump-Prozess ist abhängig von der Version des Android-Betriebssystems. Da COPE nur vonAndroid 8.0 und höher unterstützt wird, wird bei der Registrierung mit AirWatch Relay ein einziger Bumpausgeführt, um eine Verbindung herzustellen und untergeordnete Geräte in einem Schritt zu registrieren.
Informationen zu Registrierung mit AirWatch Relay finden Sie unter Registrieren eines Android-Geräts mitAirWatch Relay für Android 6.0 und höher
Registrierung über AirWatch-IDDie Registrierung mit AirWatch Identifier ist ein vereinfachter Ansatz zur Registrierung von COPE-Geräten. Geben Sie einen einfachen Bezeichner bzw. Hashwert in ein auf die Werkseinstellungenzurückgesetztes Gerät ein. Nach der Eingabe des Bezeichners erfolgt die Registrierung automatisch undüberträgt den Workspace ONE Intelligent Hub per Push. Der Benutzer muss lediglich Informationen zumServer, Benutzername und Kennwort eingeben. Informationen zur AirWatch Identifier-Registrierungfinden Sie unter Registrieren von Android-Geräten mit VMware Workspace ONE Intelligent Hub Identifier(Bezeichner).
Mit dem Bezeichner können Sie die Registrierung mithilfe von Single-User Device Staging auch imNamen von Endbenutzern ausführen. Diese Methode ist für Administratoren nützlich, die mehrere Gerätefür ein gesamtes Team oder einzelne Mitglieder eines Teams einrichten. Dadurch werden Endbenutzerndie Zeit und Mühe erspart, ihre Geräte selbst registrieren zu müssen.
Weitere Informationen zu Single-User Device Staging finden Sie im Thema zum Staging eines Single-User Device.
Registrierung über QR-CodeBereitstellung per QR-Code ist eine einfache Möglichkeit, eine Reihe von Geräten zu registrieren, dieNFC bzw. NFC-Bump nicht unterstützen. Der QR-Code enthält eine Nutzlast aus Schlüssel-/Wertpaarenmit allen Informationen, die zur Registrierung des Geräts erforderlich sind. Die QR-Code-Registrierungerfordert keine verwaltete Google-Domäne und kein Google-Konto. Erstellen Sie den QR-Code vor demStarten der Registrierung. Sie können den QR-Code mit dem Registrierungs-Konfigurationsassistenten inder Workspace ONE UEM Console generieren. Weitere Informationen finden Sie unter Generieren einesQR-Codes mithilfe des Assistenten für die Registrierungskonfiguration.
Der QR-Code enthält die Server-URL und die Gruppen-ID-Informationen. Sie können auchBenutzernamen und Kennwort einschließen, oder der Benutzer muss seine Anmeldedaten eingeben.
Dies ist das Format des Textes, den Sie in den QR-Code Generator kopieren müssen:
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":
"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",
Android-Plattform
VMware, Inc. 53
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":
"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i_o8=\n",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":
"https://awagent.com/mobileenrollment/airwatchagent.apk",
"android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,
"android.app.extra.PROVISIONING_WIFI_SSID": "Your_SSID",
"android.app.extra.PROVISIONING_WIFI_PASSWORD": "Password",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
"serverurl": "Server URL",
"gid": "Group ID",
"un":"Benutzername",
"pw":"Kennwort"
}
}
Informationen zur QR-Code-Registrierung finden Sie unter Registrieren des Modus „Android-Gerät“ mitQR Code.
Registrierung über Zero-TouchDie Zero-Touch-Registrierung ermöglicht die Konfiguration von Geräten mit Android 8.0 und höher mitWorkspace ONE UEM als sofort einsetzbaren Enterprise Mobility Management-Anbieter.
Wenn das Gerät bei der Einrichtung mit dem Internet verbunden ist, wird der Workspace ONE IntelligentHub automatisch heruntergeladen und die Registrierungsdetails automatisch übergeben. Damit wird dasGerät ohne Zutun des Benutzers registriert.
Es folgen einige erforderliche Voraussetzungen:
Die Zero-Touch-Registrierung wird nur von einer begrenzten Anzahl von Mobilfunkanbietern und OEMsunterstützt. Die Kunden müssen mit Ihrem Anbieter zusammenarbeiten, um sicherzustellen, dass eineZero-Touch-Bereitstellung unterstützt wird. Weitere Informationen zu unterstützten Anbietern und Gerätenfinden Sie auf der Website von Google.
Anleitung zur Zero Touch-Registrierung finden Sie unterRegistrieren eines Android-Geräts über das ZeroTouch-Portal.
Hinweis Die Zero-Touch-Registrierung wird nur von Geräten mit Android 8.0 (Oreo) unterstützt. FürSamsung-Geräte verwenden Sie bitte Knox Mobile Enrollment.
Android-Plattform
VMware, Inc. 54
Registrieren eines Android-Geräts im Work-Profil-ModusMit dem Registrierungsprozess gewährleisten Sie die Verbindung von Ihren Android-Geräten zu IhrerAirWatch-Umgebung. Der Workspace ONE Intelligent Hub vereinfacht die Registrierung und ermöglichtdie Echtzeitverwaltung sowie den Zugriff auf relevante Gerätedaten.
Befolgen Sie die nachstehenden Anweisungen, um Workspace ONE Intelligent Hub zu installieren undBenutzer basierend auf dem Registrierungsablauf zu authentifizieren.
Verfahren
1 Laden Sie den Workspace ONE Intelligent Hub aus dem Google Play Store herunter und installierenSie die Anwendung.
2 Starten Sie den Workspace ONE Intelligent Hub.
a Wenn Sie E-Mail-AutoErmittlung konfiguriert haben, fordert Sie der Workspace ONE IntelligentHub auf, Ihre E-Mail-Adresse anzugeben. Außerdem werden Sie möglicherweise dazuaufgefordert, Ihre Gruppen-ID in einer Liste auszuwählen.
b Wenn Sie keine E-Mail-AutoErmittlung konfiguriert haben, wählen Sie die gewünschteRegistrierungsmethode.
3 Tippen Sie auf Serverdetails, und geben Sie Ihre Server- und Gruppen-ID an.
4 Geben Sie Benutzernamen und Kennwort ein und tippen Sie auf Weiter.
5 Akzeptieren Sie die Nutzungsbedingungen.
6 (Optional) Tippen Sie auf die Schaltfläche Verschlüsseln und folgen Sie den folgendenEingabeaufforderungen, um die Einstellungen zu übernehmen. Der Workspace ONE Intelligent Hubwird geschlossen, sobald Sie die Verschlüsselungseinstellungen akzeptiert haben. Tippen Sie auf dieBenachrichtigung Verschlüsselung abgeschlossenen, um zum Workspace ONE Intelligent Hubzurückzukehren und die Registrierung fortzusetzen.
Die Option zum Verschlüsseln des Geräts hängt von der Betriebssystemversion des Android-Gerätab. Geräte mit Android Marshmallow werden standardmäßig verschlüsselt, daher wird diese Optionwährend der Registrierung nicht angezeigt.
7 Tippen Sie auf Einrichten, um das Work-Profil zu konfigurieren, das dem Gerät zugeordnet wird.
8 Tippen Sie auf OK für die Datenschutzrichtlinie. Je nachdem, wie Benutzer erstellt werden, variierendie übrigen Bildschirme für die Registrierung. Die Unternehmenseinstellungen von der WorkspaceONE UEM Console werden auf das Gerät übertragen. Damit ist die Registrierung von Geräten fürverwaltete Google Play-Konten abgeschlossen.
9 Für Google-Konten tippen Sie auf Erste Schritte, um das Work-Profil zu erstellen und das verwalteteGoogle-Konto mit dem Gerät zu verbinden. Diese Schritte unterscheiden sich je nachAuthentifizierungsmethode: So fahren Sie mit der benutzerdefinierten Registrierung fort:
a Erstellen Sie das Kennwort mit Ihren Benutzernamen und tippen Sie auf Weiter.
b Geben Sie das Kennwort für das verwaltete Google-Konto ein, und tippen Sie auf Weiter.
Android-Plattform
VMware, Inc. 55
10 Für die Verzeichnisdienst-Synchronisierung:
a Geben Sie Ihr Kennwort ein, und tippen Sie auf Weiter.
b Wählen Sie Fortfahren.
c Wählen Sie Beenden.
11 Für die SAML-Registrierung:
a Geben Sie Benutzernamen und Kennwort ein, und tippen Sie auf Anmelden. Der Benutzerwird zum Workspace ONE Intelligent Hub umgeleitet.
Wenn erfolgreich, wird das Work-Profil für das Gerät konfiguriert und die Seite „Workspace ONEIntelligent Hub-Einstellungen“ angezeigt. Das Gerät ist für die Verwendung entsprechend der Android-Einstellungen für das Work-Profil bereit.
Zebra-StageNowDer Staging-Client „StageNow“ von Zebra ist die Android-Lösung der nächsten Generation für dasStaging von Zebra-Geräten und deren Vorbereitung zur Nutzung in der Produktionsumgebung.
Workspace ONE UEM unterstützt StageNow unter den folgenden Bedingungen und mit folgendenEinschränkungen.
Weitere Informationen zu den Mobilitätslösungen von Zebra finden Sie unter Zebra-Mobilitätsverbesserungen (MX) und Vollständige MX-Funktionsmatrix.
Wenn Sie beabsichtigen, Zebra-Geräte im Modus „Vom Unternehmen verwaltetes Gerät“ mit einemStageNow-Barcode zu registrieren, führen Sie die folgenden Schritte aus.
Voraussetzungen
n Auf den Zebra-Geräten muss Android Nougat mit MX Version 7.1 oder höher installiert sein.
n Wenn Sie Ihre Zebra-Geräte über einen StageNow-Barcode registrieren möchten, muss Android HubVersion 8.2 oder höher als Workspace ONE Intelligent Hub-Paket auf der Konsole geladen sein.
n Für Zebra-Geräte mit Android Marshmallow und niedriger muss weiterhin die schnelle Bereitstellungals Standard-Staging-Client verwendet werden.
n Relay-Server, die nur auf den passiven Modus gesetzt sind, werden unterstützt. Relay-Server imaktiven Modus werden nicht unterstützt und funktionieren nicht mit dem StageNow-Client.
n Stellen Sie sicher, dass die Einstellung StageNow-URL unter Gruppen & Einstellungen > AlleEinstellungen > System > Erweitert > Site-URLs auf die entsprechende URL gesetzt wurde.
n Wenn Ihre lokale Umgebung einen eigenen StageNow-Server konfiguriert, fügen Sie Ihrebenutzerdefinierte URL in dieses Feld ein.
n Wenn Ihre lokale Umgebung keinen StageNow-Server konfiguriert, müssen Sie einfach IhreNetzwerke öffnen, um den Zugriff auf die hier aufgeführte URL zu ermöglichen.
n Für SaaS-Umgebungen muss dieses Textfeld nicht geändert werden.
Android-Plattform
VMware, Inc. 56
n Es darf kein Google-Konto auf dem Gerät vorhanden sein, während Sie versuchen, die StageNow-Registrierung im Modus „Vom Unternehmen verwaltetes Gerät“ durchzuführen.
Verfahren
1 Wählen Sie in der Organisationsgruppen-Auswahl die OG aus, die Sie für Ihre Android-Gerätekonfigurieren möchten.
2 Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Android> Android EMM-Registrierung und wählen Sie die Registerkarte Registrierungsrestriktionen.
3 Bearbeiten Sie die folgenden Einstellungen.
Einstellung Beschreibung
Aktuelle Einstellung Wählen Sie Überschreiben, damit die Änderungen an der in Schritt 1ausgewählten OG wirksam werden.
Definieren Sie Geräte, die in dieserOrganisationsgruppe Android(Legacy) verwenden
Diese Einstellung legt fest, wie diese OG Android (Legacy)-Geräte behandelt.Wählen Sie unter den folgenden Einstellungen aus.
Nicht Android (Legacy) verwenden – Diese Einstellung aktiviert denSchieberegler Gerätebenutzermodus auf dem Bildschirm StageNow-Barcodegenerieren und führt dazu, dass dieser nicht mehr bearbeitet werden kann.Dadurch werden alle Android (Legacy)-Geräte, die in dieser OG registriert sind, imGerätebesitzermodus (oder im Modus „Vom Unternehmen verwaltetes Gerät“)ausgeführt.
Immer Android (Legacy) verwenden – Diese Einstellung deaktiviert denSchieberegler Gerätebenutzermodus auf dem Bildschirm StageNow-Barcodegenerieren und führt dazu, dass dieser nicht mehr bearbeitet werden kann.Dadurch werden alle Android (Legacy)-Geräte, die in dieser OG registriert sind, imGeräteadministratormodus ausgeführt.
Smartgroups von Android (Legacy) ausschließen – Diese Einstellung aktiviertden Schieberegler Gerätebenutzermodus auf dem Bildschirm StageNow-Barcode generieren und macht diesen bearbeitbar, sodass Sie Android-Geräte imGerätebesitzermodus (Modus „Vom Unternehmen verwaltetes Gerät“) oder imGeräteadministratormodus registrieren können.
4 Weisen Sie Ihre Endbenutzer an, die folgenden Schritte auszuführen, nachdem sie das neu
registrierte Gerät in Besitz genommen haben.
a Starten Sie das Gerät über einen Werkseinstellungsstatus.
b Stellen Sie sicher, dass auf dem Gerät kein Google-Konto vorhanden ist.
c Fahren Sie mit dem Setup-Assistenten fort oder scannen Sie den von Zebra bereitgestelltenBarcode „Setup-Assistent überspringen“.
d Öffnen Sie die StageNow-App.
e Scannen Sie den Barcode.
Das Gerät wird automatisch im Modus „Vom Unternehmen verwaltetes Gerät“ registriert.
Android-Plattform
VMware, Inc. 57
Android-Profile im Überblick 4Android-Profile stellen die sachgemäße Nutzung der Geräte sowie den Schutz sensibler Daten sicher.Profile dienen den verschiedensten Zwecken – von der Durchsetzung von Unternehmensregeln und -verfahren bis zur Anpassung und Vorbereitung von Android-fähigen Geräten für bestimmte Einsätze.
Profile: Android im Vergleich zu Android (Legacy)Wenn Sie Profile für Android bereitstellen wollen, sehen Sie zwei Plattform-Typen auf der Seite „Profile“:Android und Android (Legacy). Wählen Sie die Android-Profiloption, wenn Sie die Android-EMM-Registrierung abgeschlossen haben. Wenn Sie sich gegen die EMM-Registrierung entschieden haben,sind die Android (Legacy)-Profile verfügbar. Wenn Sie Android wählen, aber die Android EMM-Registrierung nicht durchlaufen haben, wird eine Fehlermeldung angezeigt, die Sie dazu auffordert, dieEMM-Registrierung auf der Seite Einstellungen abzuschließen oder mit der Bereitstellung des Android(Legacy)-Profils fortfahren.
Informationen zur Android EMM-Registrierung finden Sie unter Kapitel 2 Registrieren von Android mitWorkspace ONE UEM
„Work-Profil“ und „Vom Unternehmen verwaltetes Gerät“Ein Work-Profil ist eine besondere Art von Administrator. Der Benutzer besitzt bereits ein privates Gerätmit einem eigenen Konto und Workspace ONE UEM verwaltet das Work-Profil. Die Registrierung durchWorkspace ONE UEM fügt ein Work-Profil hinzu und installiert Workspace ONE Intelligent Hub innerhalbdes Work-Profils als den Profilbesitzer für diesen Benutzer.
Der Modus „Vom Unternehmen verwaltetes Gerät“ gilt für noch nicht bereitgestellte Geräte; bei derRegistrierung wird der Workspace ONE Intelligent Hub auf dem vom Unternehmens verwalteten Gerätinstalliert. Der Workspace ONE Intelligent Hub hat die vollständige Kontrolle über das gesamte Gerät.Einige Profile zeigen die folgenden Tags an: „Work-Profil“ und „Vom Unternehmen verwaltetes Gerät“.
Profile, die für das Work-Profil konfiguriert sind, gelten nur für die gekennzeichneten Android-Anwendungen und haben keinen Einfluss auf die privaten Anwendungen oder Einstellungen desBenutzers, es sei denn, Sie konfigurieren Profile auf Geräteebene. Bestimmte Einschränkungen z. B.deaktivieren den Zugriff auf YouTube und Google Play. Einschränkungen wirken sich nur auf diegekennzeichnete Android-Anwendungen aus und nicht auf die regulären Play Store-Versionen. Profile,die für den Modus „Vom Unternehmen verwaltetes Gerät“ konfiguriert sind, gelten für das gesamte Gerät.Jedes in diesem Abschnitt erläuterte Profil zeigt an, für welchen Gerätetyp das Profile gilt.
VMware, Inc. 58
GerätezugriffMit einigen Geräteprofilen können die Einstellungen für den Zugriff auf ein Android-Gerät konfiguriertwerden. Verwenden Sie diese Profile, um sicherzustellen, dass der Zugriff auf ein Gerät auf autorisierteBenutzer beschränkt wird.
Nachfolgend finden Sie Beispiele für Gerätezugriffsprofile:
n Sichern Sie ein Gerät mit einem Kennungsprofil. Weitere Informationen finden Sie unterKennungsprofil (Android).
n Prüfen und steuern Sie, wie, wann und wo Ihre Mitarbeiter ihre Geräte nutzen bzw. nutzen können.Weitere Informationen finden Sie unter Restriktionsprofil (Android).
GerätesicherheitGewährleisten Sie die Sicherheit Ihrer Android-Geräte mithilfe von Geräteprofilen. Mit diesen Profilenkonfigurieren Sie über Workspace ONE UEM die systemeigenen Android-Sicherheitsfunktionen oder dievom Unternehmen festgelegten Sicherheitseinstellungen auf einem Gerät.
n Greifen Sie auf interne Ressourcen wie E-Mails, Dateien und weitere Inhalte zu. WeitereInformationen finden Sie unter Konfigurieren von VPN (Android).
n Legen Sie als Administrator fest, welche Anwendungen ein Benutzer installieren oder deinstallierenkann. Weitere Informationen finden Sie unter Anwendungssteuerung (Android).
GerätekonfigurationKonfigurieren Sie die verschiedenen Einstellungen Ihrer Android-Geräte mit den Konfigurationsprofilen.Diese Profile konfigurieren die Geräteeinstellungen entsprechend Ihren Unternehmensanforderungen.
n Verbinden Sie Ihr Gerät automatisch mit Ihrem internen WLAN. Weitere Informationen finden Sieunter WLAN-Profil (Android).
n Verwalten Sie, wie Benachrichtigungen zur Aktualisierung des Android-Betriebssystems und dieAktualisierungen selbst gesteuert werden. Weitere Informationen finden Sie unter Aktivieren vonSystem-Updates (Android).
Hinweis Einige Profile zeigen die folgenden Tags an: AFW v1+ und AFWAPP. Android App (AFWAPP)ist die in Kürze verfügbare Vor-Lollipop-Lösung für Android.
Dieses Kapitel enthält die folgenden Themen:
n Kennungsprofil (Android)
n Chrome-Browsereinstellungen erzwingen (Android)
n Restriktionsprofil (Android)
n Aktivieren von Exchange Active Sync (Android)
n Profil „Automatische Aktualisierung“
Android-Plattform
VMware, Inc. 59
n Anmeldedaten (Android)
n Erstellen von benutzerdefinierten Mails
n Anwendungssteuerung (Android)
n Konfigurieren von Proxy-Einstellungen (Android)
n Aktivieren von System-Updates (Android)
n WLAN-Profil (Android)
n Konfigurieren von VPN (Android)
n Festlegen von Berechtigungen (Android)
n Konfigurieren des Einzelanwendungsmodus (Android)
n Festlegen von Datum/Uhrzeit
n Erstellen eines Workspace ONE Launcher-Profils (Android)
n Konfigurieren von Firewallregeln (Android)
n APN-Profil konfigurieren
n Schutz des Unternehmens bei Zurücksetzung auf Werkseinstellungen
n Konfigurieren des Zebra MX-Profils (Android)
n Verwenden von benutzerdefinierten Einstellungen (Android)
Kennungsprofil (Android)Sie können das Kennungsprofil so einstellen, dass die Einstellungen als Work-Kennung oder Geräte-Kennung gelten.
Die Work-Kennung wendet Kennungsrichtlinien ausschließlich auf Arbeitsanwendungen an. So müssendie Benutzer nicht jedes Mal beim Entsperren ihres Geräts komplexe Passwörter eingeben, während siemit einem Work-Profil registriert sind. Die Work-Kennung stellt sicher, dass Endbenutzer in keiner Weiseauf ihre privaten Anwendungen zugreifen können und schützt gleichzeitig die firmeneigenenAnwendungsdaten, ohne, dass App-Wrapping erforderlich ist. Bei vom Unternehmen verwalteten Gerätengilt diese Kennungsrichtlinie für das gesamte Gerät. Die Work-Kennung steht auf Android 7.0 (Nougat)und höher für mit Work-Profil registrierte Geräte zur Verfügung.
Die Geräte-Kennung wendet Kennungsrichtlinien für ein mit einem Work-Profil registriertes Gerät an.Diese Kennung muss jedes Mal, wenn das Gerät entsperrt wird, erneut eingegeben werden und kannzusätzlich zur Work-Kennung angewendet werden.
Standardmäßig ist bei der Erstellung neuer Profile nur die Work-Kennung aktiviert (Geräte-Kennung istdeaktiviert). Der Administrator muss die Geräte-Kennung manuell aktivieren.
Hinweis Wenn das Kennungsprofil auf dem Gerät vorhanden ist und der Benutzer die Kennung nichtfestlegt, werden Apps oder Profile erst an das Gerät übertragen, wenn das Gerät konform ist.
Android-Plattform
VMware, Inc. 60
Durchsetzen von Kennungseinstellungen (Android)Beim Festlegen einer Kennungsrichtlinie müssen die Endbenutzer eine Kennung eingeben. Damiterreichen Sie eine erste Schutzebene für vertrauliche Daten auf Geräten.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die allgemeinen Profileinstellungen nach Bedarf.
3 Wählen Sie in der Nutzlastliste Kennung aus und konfigurieren Sie die Kennungseinstellungen:
Einstellungen Beschreibung
Work--Kennungsrichtlinie aktivieren Aktivieren, um Kennungsrichtlinie nur auf gekennzeichnete Android-Anwendungenanzuwenden.
Minimale Kennungslänge Gewährleisten Sie, dass Kennungen über angemessene Komplexität verfügen,indem Sie eine minimale Anzahl an Zeichen festlegen.
Kennungsinhalt Stellen Sie sicher, dass die Kennung Ihren Sicherheitsanforderungen entspricht,indem Sie eine der folgenden Optionen auswählen:
Beliebig, Numerisch, Alphanumerisch, Alphabetisch, Komplex, KomplexeZahlen oder Schwach biometrisch.
Verwenden Sie einfache Werte für einen schnellen Zugriff oder alphanumerischeKennungen für mehr Sicherheit. Sie können eine beliebige Mindestanzahl ankomplexen Zeichen (@, #, &,! , ,? ) für die Kennung verlangen.
Der schwache biometrische Kennungs-Content ermöglicht die Verwendung vonbiometrischen Entsperrmethoden mit niedriger Sicherheitsstufe, wie z. B.Gesichtserkennung.
Wichtig Wenn die Mindestanzahl an komplexen Zeichen im Kennwort größer als4 ist, müssen Sie mindestens einen Kleinbuchstaben und einen Großbuchstabenverlangen (gilt nur für SAFE v5.2-Geräte).
Maximale Anzahl an Fehlversuchen Geben Sie die maximale Anzahl an Fehlversuchen vor einem Geräte-Wipe ein.
Maximales Kennungsalter (Tage) Bestimmen Sie die maximale Anzahl der Tage, für die die Kennung aktiv sein darf.
Kennungsverlauf Bestimmen Sie die Anzahl der Kennungsänderungen, bevor eine vorherigeKennung erneut verwendet werden kann.
Timeout-Bereich für Gerätesperre(Minuten)
Bestimmen Sie den Zeitraum der Inaktivität, bevor der Gerätebildschirmautomatisch gesperrt wird.
One Lock erlauben Deaktivieren, um eine separate Kennung für das Work-Profil und das Gerät zuerzwingen
Hinweis Gilt nur für vom Unternehmen verwaltete Android 9.0+-Geräte undCOPE-Geräte.
Biometrische Optionen erlauben Aktivieren Sie diese Funktion, um biometrische Entsperrmethoden wie dieGesichtserkennung zuzulassen.
Android-Plattform
VMware, Inc. 61
Einstellungen Beschreibung
Fingerabdruck-Sensor erlauben Aktivieren Sie diese Funktion, können Benutzer Geräte mit ihrem Fingerabdruckentsperren. Deaktivieren Sie sie, kann der Fingerabdruck nicht als primäreAuthentifizierungsmethode verwendet werden. Stattdessen muss der Endbenutzerein Kennwort des vordefinierten Typs im Profil eingeben.
Gesichts-Scanning erlauben Deaktivieren Sie diese Option, um zu verhindern, dass dieGesichtserkennungsmethode konfiguriert oder auf dem Samsung-Gerätauszuwählen ist.
Hinweis Gilt nur für vom Unternehmen verwaltete Android 9.0+-Geräte.
Iris-Scanning erlauben Deaktivieren Sie diese Option, um zu verhindern, dass die Iris Scanner-Methodekonfiguriert oder auf dem Samsung-Gerät auszuwählen ist.
Hinweis Gilt nur für vom Unternehmen verwaltete Android 9.0+-Geräte.
Geräte-Kennungsrichtlinie aktivieren Anwenden der Kennungsrichtlinien für das mit einem Work-Profil registrierte Gerät.Diese Kennung muss eingegeben werden, wenn das Gerät entsperrt wird undkann zusätzlich zur Work-Kennung angewendet werden. Bei vom Unternehmenverwalteten Geräten gilt diese Kennungsrichtlinie für das gesamte Gerät.
Minimale Kennungslänge Gewährleisten Sie, dass Kennungen über angemessene Komplexität verfügen,indem Sie eine minimale Anzahl an Zeichen festlegen.
Anfängliche Kennung festlegen Aktivieren Sie diese Funktion, um eine anfängliche Kennung auf Geräteebene aufallen bereitgestellten Geräten festzulegen. Nach der Bereitstellung ist es möglich,die Kennung auf Geräteebene zurückzusetzen.
Hinweis Gilt nur für vom Unternehmen verwaltete Android 7.0+-Geräte.
Kennungsinhalt Stellen Sie sicher, dass die Kennung Ihren Sicherheitsanforderungen entspricht,und wählen Sie aus dem Dropdown-Menü Beliebig, Numerisch,Alphanumerisch, Alphabetisch, Komplex oder Komplex numerisch aus.
Maximale Anzahl an Fehlversuchen Geben Sie die maximale Anzahl an Fehlversuchen vor einem Geräte-Wipe ein.
Maximales Kennungsalter (Tage) Bestimmen Sie die maximale Anzahl der Tage, für die die Kennung aktiv sein darf.
Kennungsverlauf Bestimmen Sie die Anzahl der Kennungsänderungen, bevor eine vorherigeKennung erneut verwendet werden kann.
Timeout-Bereich für Gerätesperre(Minuten)
Bestimmen Sie den Zeitraum der Inaktivität, bevor der Gerätebildschirmautomatisch gesperrt wird.
Biometrische Optionen erlauben Aktivieren Sie diese Funktion, um biometrische Entsperrmethoden wie dieGesichtserkennung zuzulassen.
Fingerabdruck-Entsperrung zulassen Aktivieren Sie diese Funktion, können Benutzer Geräte mit ihrem Fingerabdruckentsperren. Deaktivieren Sie sie, kann der Fingerabdruck nicht als primäreAuthentifizierungsmethode verwendet werden. Stattdessen muss der Endbenutzerein Kennwort des vordefinierten Typs im Profil eingeben.
Gesichts-Scanning erlauben Deaktivieren Sie diese Option, um zu verhindern, dass dieGesichtserkennungsmethode konfiguriert oder auf dem Samsung-Gerätauszuwählen ist.
Hinweis Gilt nur für vom Unternehmen verwaltete Android 9.0+-Geräte.
Android-Plattform
VMware, Inc. 62
Einstellungen Beschreibung
Iris-Scanning erlauben Deaktivieren Sie diese Option, um zu verhindern, dass die Iris Scanner-Methodekonfiguriert oder auf dem Samsung-Gerät auszuwählen ist.
Hinweis Gilt nur für vom Unternehmen verwaltete Android 9.0+-Geräte.
Kennung sichtbar Aktivieren Sie diese Option, um die Kennung bei der Eingabe auf dem Bildschirmanzuzeigen.
SD-Karten-Verschlüsselungverlangen
Geben Sie an, ob bei SD-Karten Verschlüsselung verlangt werden soll.
Maximale Anzahl sich wiederholenderZeichen
Verhindern Sie, dass Endbenutzer leicht zu knackende sich wiederholendeKennungen, wie „1111“, eingeben, indem Sie die maximale Anzahl sichwiederholender Zeichen festlegen.
Maximale Länge numerischerReihenfolgen
Verhindern Sie, dass Endbenutzer leicht zu knackende numerische Reihenfolgen,wie „1234“, als Kennung eingeben.
Die folgenden Einstellungen gelten, wenn Sie im Textfeld Kennungsinhalt „Komplex“ auswählen.
Einstellung Beschreibung
Maximale Anzahl an Fehlversuchen Geben Sie die maximale Anzahl an Fehlversuchen vor einem Geräte-Wipe ein.
Minimale Anzahl an Buchstaben Geben Sie die zulässige Anzahl von Buchstaben für die Kennung an.
Minimale Anzahl an Kleinbuchstaben Geben Sie die zulässige Anzahl von Kleinbuchstaben für die Kennung an.
Minimale Anzahl an Großbuchstaben Geben Sie die zulässige Anzahl von Großbuchstaben für die Kennung an.
Minimale Anzahl an Nichtbuchstaben Geben Sie die zulässige Anzahl von Sonderzeichen für die Kennung an.
Minimale Anzahl an Ziffern Geben Sie die zulässige Anzahl numerischer Zeichen für die Kennung an.
Minimale Anzahl an Symbolen Geben Sie die zulässige Anzahl von Symbolen für die Kennung an.
Maximales Kennungsalter (Tage) Legen Sie die maximal zulässige Anzahl von Tagen fest, die die Kennung aktivsein kann.
Die folgenden Einstellungen gelten für das Festlegen einer Kennung auf einem Samsung-Gerät.
Einstellung Beschreibung
Kennung sichtbar
Fingerabdruck-Entsperrung zulassen Aktivieren Sie diese Funktion, können Benutzer Geräte mit ihrem Fingerabdruckentsperren. Deaktivieren Sie sie, kann der Fingerabdruck nicht als primäreAuthentifizierungsmethode verwendet werden. Stattdessen muss der Endbenutzerein Kennwort des vordefinierten Typs im Profil eingeben.
SD-Karten-Verschlüsselungverlangen
Geben Sie an, ob bei SD-Karten Verschlüsselung verlangt werden soll.
Maximale Anzahl sich wiederholenderZeichen
Verhindern Sie, dass Endbenutzer leicht zu knackende sich wiederholendeKennungen, wie „1111“, eingeben, indem Sie die maximale Anzahl sichwiederholender Zeichen festlegen.
Maximale Länge numerischerReihenfolgen
Verhindern Sie, dass Endbenutzer leicht zu knackende numerische Reihenfolgen,wie „1234“, als Kennung eingeben.
Android-Plattform
VMware, Inc. 63
Einstellung Beschreibung
Entsperren durch Iris Scannerzulassen
Deaktivieren Sie diese Option, um zu verhindern, dass die Iris Scanner-Methodekonfiguriert oder auf dem Samsung-Gerät auszuwählen ist.
Entsperren per Gesichtserkennungzulassen
Deaktivieren Sie diese Option, um zu verhindern, dass dieGesichtserkennungsmethode konfiguriert oder auf dem Samsung-Gerätauszuwählen ist.
Sperrbildschirmüberlagerung Wenn Sie dies aktivieren, können Sie Informationen an die Endbenutzergeräteübertragen und über dem Sperrbildschirm anzeigen.
n Bildüberlagerung – Laden Sie Bilder hoch, die über den Sperrbildschirmangezeigt werden sollen. Sie können ein primäres und ein sekundäres Bildhochladen und Position und Transparenz der Bilder bestimmen.
n Firmendaten – Geben Sie die Unternehmensinformationen ein, die über demSperrbildschirm angezeigt werden sollen. Dies kann für Notfallinformationenverwendet werden, für den Fall, dass das Gerät verloren geht oder gestohlenwird.
Die Einstellung der Sperrbildschirm-Überlagerung trifft nur für SAFE 5.0+-Gerät zu.Die Einstellungen der Sperrbildschirm-Überlagerung bleiben auf dem Gerätwährend der Nutzung konfiguriert. Sie können vom Endbenutzer nicht verändertwerden.
Weitere Informationen zu den Einstellungen der Sperrbildschirm-Überlagerung,finden Sie unter Konfigurieren der Sperrbildschirm-Überlagerung (Android)
4 Wählen Sie Speichern und veröffentlichen, um das Profil zugehörigen Geräten zuzuweisen.
Konfigurieren der Sperrbildschirm-Überlagerung (Android)Mit der Option Sperrbildschirm-Überlagerung in den Kennungsprofilen können Sie Informationen überdem Bildschirm-Sperrbild überlagern, um den Endbenutzer oder jeden Benutzer eines gesperrten GerätsInformationen zu geben. Sperrbildschirm-Überlagerung ist ein Bestandteil des Kennungsprofils.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Wählen Sie je nach Ihrer Registrierungskonfiguration Android oder Android (Legacy) aus.
3 Konfigurieren Sie die allgemeinen Profileinstellungen nach Bedarf.
Die Sperrbildschirm-Überlagerung ist eine systemeigene Funktionalität für Android (Legacy) und fürmehrere OEMs verfügbar.
Die Einstellungen für Sperrbildschirm-Überlagerung für Android-Profile werden angezeigt, wenn dasFeld OEM-Einstellungen auf Aktiviert eingestellt und im Feld OEM auswählen „Samsung“ausgewählt wurde. Das Feld „OEM-Einstellungen“ im allgemeinen Profil gilt nur für Android-Profileund nicht für Android (Legacy)-Konfigurationen.
4 Wählen Sie das Kennungsprofil in der Liste aus.
5 Aktivieren Sie das Feld Sperrbildschirm-Überlagerung.
Android-Plattform
VMware, Inc. 64
6 Wählen Sie den gewünschten Sperrbildschirm-Überlagerungstyp: Bildüberlagerung oderFirmendaten.
7 Konfigurieren Sie die Einstellungen für die Bildüberlagerung nach Bedarf.
Einstellung Beschreibung
Bildüberlagerungstyp Wählen Sie Einzelnes Bild oder Mehrere Bilder, um die Anzahl der erforderlichenÜberlagerungsbilder zu bestimmen.
Primäres Bild Laden Sie eine Bilddatei hoch.
Position des primären oberen Bildesin Prozent
Stellen Sie die Position des oberen Bildes auf 0 – 90 Prozent.
Position des primären unteren Bildesin Prozent
Stellen Sie die Position des unteren Bildes auf 0 – 90 Prozent.
Sekundäres Bild Laden Sie, falls gewünscht, ein zweites Bild hoch. Dieses Feld wird nur angezeigt,wenn „Mehrere Bilder“ im Feld Bildüberlagerungstyp ausgewählt ist.
Position des sekundären oberenBildes in Prozent
Stellen Sie die Position des oberen Bildes auf 0 – 90 Prozent. Trifft nur zu, wenn„Mehrere Bilder“ im Feld „Bildüberlagerungstyp“ ausgewählt ist.
Position des sekundären unterenBildes in Prozent
Stellen Sie die Position des unteren Bildes auf 0 – 90 Prozent. Trifft nur zu, wenn„Mehrere Bilder“ im Feld „Bildüberlagerungstyp“ ausgewählt ist.
Überlagerungsbild Legen Sie die Transparenz Ihres Bildes als Transparent oder Deckend fest.
8 Konfigurieren Sie die Einstellungen für Firmendaten nach Bedarf.
Einstellung Beschreibung
Firmenname Geben Sie Ihren Firmennamen ein, wie er angezeigt werden soll.
Firmenlogo Laden Sie das Firmenlogo mit einer Bilddatei hoch.
Firmenanschrift Geben Sie die Anschrift der Geschäftsstelle ein.
Rufnummer der Firma Geben Sie die Rufnummer der Firma ein.
Überlagerungsbild Legen Sie die Transparenz Ihres Bildes als Transparent oder Deckend fest.
9 Klicken Sie auf Speichern und veröffentlichen.
Chrome-Browsereinstellungen erzwingen (Android)Das Profil für Chrome-Chrome-Browsereinstellungen hilft Ihnen, Einstellungen für die Work Chrome-Anwendung zu verwalten.
Chrome ist der Webbrowser von Google. Chrome bietet eine Reihe von Funktionen wie z. B. Suche,Omnibox (Suchleiste und Adressfeld in Einem), Auto-Ausfüllen, gespeicherte Kennwörter und Anmeldenmit dem Google-Konto für einen direkten Zugriff auf kürzlich geschlossene Registerkarten undSuchergebnisse von allen Ihren Geräten. Die Work Chrome-Anwendung funktioniert genau so, wie diepersönliche Chrome-Version. Das Konfigurieren dieses Profils wirkt sich nicht auf die persönliche
Android-Plattform
VMware, Inc. 65
Chrome-Anwendung des Benutzers aus. Sie können dieses Profil per Push mit einer separaten Nutzlastfür VPN oder Anmeldedaten+Wi-Fi übertragen, um sicherzustellen, dass Endbenutzer authentifiziertwerden und sich an Ihren internen Websites und Systeme anmelden können. Dadurch wird sichergestellt,dass Benutzer die Work Chrome-Anwendung für geschäftliche Zwecke verwenden müssen.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die allgemeinen Profileinstellungen.
3 Wählen Sie die Nutzlast für Chrome-Browsereinstellungen, und konfigurieren Sie die Einstellungennach Bedarf.
Einstellung Beschreibung
Cookies zulassen Aktivieren Sie diese Option, um Cookies-Einstellungen des Browsers zubestimmen.
Cookies auf diesen Sites erlauben Geben Sie URLs an, die Cookies setzen dürfen.
Cookies auf diesen Sites blockieren Geben Sie URLs an, die keine Cookies setzen dürfen.
Auf diesen Seiten nur Cookies für diejeweilige Sitzung erlauben
Geben Sie Websites an, die nur Sitzungs-Cookies setzen dürfen.
Bilder erlauben Aktivieren Sie diese Option, um zu bestimmen, welche Websites Bilder zulassen.
Bilder auf diesen Sites erlauben Geben Sie eine Liste von URLs an, die Bilder anzeigen dürfen.
Bilder auf diesen Sites blockieren Geben Sie eine Liste von URLs, die keine Bilder anzeigen dürfen.
JavaScript zulassen Aktivieren Sie JavaScript-Browsereinstellungen.
JavaScript auf diesen Sites erlauben Geben Sie die Websites an, die JavaScript ausführen dürfen.
JavaScript auf diesen Sitesblockieren
Geben Sie Websites an, die kein JavaScript ausführen dürfen.
Pop-ups zulassen Aktivieren Sie Popup-Browsereinstellungen.
Pop-ups auf diesen Sites zulassen Geben Sie Websites an, die Popups öffnen dürfen.
Pop-ups auf diesen Sites blockieren Geben Sie Websites an, die keine Popups öffnen dürfen.
Ortungsdienste erlauben Legen Sie fest, ob Websites den Standort der Benutzer verfolgen dürfen.
Proxy-Modus Geben Sie den Proxy-Server an, der von Google Chrome verwendet wird, und eswird verhindert, dass Benutzer Proxy-Einstellungen ändern.
Proxyserver-URL Geben Sie die URL des Proxy-Servers an.
Proxy PAC-Datei-URL Geben Sie eine URL zu einem Proxy-.pac-Datei an.
Proxy-Umgehungsregeln Geben Sie an, welche Proxy-Einstellungen umgangen werden sollen. DieseRichtlinie wird nur wirksam, wenn Sie manuelle Proxy-Einstellungen ausgewählthaben.
Google SafeSearch erzwingen Aktivieren Sie diese Option, um zu erzwingen, dass Suchabfragen in der Google-Websuche mit SafeSearch durchgeführt werden.
Android-Plattform
VMware, Inc. 66
Einstellung Beschreibung
Touch to Search-Funktion aktivieren Ermöglicht die Verwendung der Touch to Search-Funktion in der Inhaltsansicht vonGoogle Chrome.
Standardsuchanbieter aktivieren Geben Sie den Standardsuchanbieter an.
Standardsuchanbieter-Name Geben Sie den Namen des Standardsuchanbieters an.
Standardsuchanbieter-Schlüsselwort Geben Sie die Schlüsselwortsuche für den Standardsuchanbieter an.
Standardsuchanbieter-Such-URL Geben Sie die URL der Suchmaschine an, mit der eine Standardsuchedurchgeführt wird.
Standardsuchanbieter – URLvorschlagen
Geben Sie die URL der Suchmaschine an, mit der Suchvorschläge gegebenwerden.
Standardsuchanbieter-Symbol Geben Sie die bevorzugte Symbol-URL des Standardsuchanbieters an.
Standardsuchanbieter-Codierung Geben Sie die Zeichenverschlüsselungen an, die vom Suchanbieter unterstütztwerden. Verschlüsselungen sind Codeseitennamen wie UTF-8, GB2312 undISO-8859-1. Wird diese Option nicht festgelegt, wird die StandardeinstellungUTF-8 verwendet.
Liste von alternativen URLs für denStandardsuchanbieter
Geben Sie eine Liste alternativer URLs an, die zum Extrahieren von Suchbegriffenaus der Suchmaschine verwendet werden können.
Bild-URL des Anbieters suchen Geben Sie die URL der Suchmaschine an, die für die Bildsuche verwendet wird.
Neue Tab-URL Geben Sie die URL, die eine Suchmaschine verwendet, um eine neueRegisterkartenseite bereitzustellen.
POST – URL-Suche – Parameter Geben Sie die Parameter an, die verwendet werden, wenn nach einer URL mitPOST gesucht wird.
POST – Vorschlagssuche – Parameter Geben Sie die Parameter an, die beim Durchführen einer Bildsuche mit POSTverwendet werden.
POST – Bildsuche – Parameter Geben Sie die Parameter an, die beim Durchführen einer Bildsuche mit POSTverwendet werden.
Kennwortmanager aktivieren Ermöglichen Sie das Speichern von Kennwörtern im Kennwortmanager.
Alternative Fehlerseiten aktivieren Aktivieren Sie diese Option, um alternative Fehlerseiten zu verwenden, die inGoogle Chrome integriert sind (z. B. „Seite nicht gefunden“).
Automatisches Ausfüllen aktivieren Aktivieren Sie diese Option, um Benutzern zu erlauben, Webformulare unterVerwendung zuvor gespeicherter Informationen wie z. B. Adresse oderKreditkarteninformationen automatisch auszufüllen.
Druckfunktion aktivieren Aktivieren Sie diese Option, um Drucken in Google Chrome zuzulassen.
Safe Browsing aktivieren Aktivieren Sie diese Option, um Safe Browsing in Google Chrome zu aktivieren.
Browser-Verlaufsspeicherungdeaktivieren
Aktivieren Sie diese Option, um die Browserverlaufsspeicherung in Google Chromezu deaktivieren.
Fortfahren nach Safe Browsing-Warnung verhindern
Aktivieren Sie diese Option, um zu verhindern, dass Benutzer von derWarnungsseite zu bösartigen Websites wechseln.
Netzwerkvorhersage aktivieren Aktivieren Sie die Netzwerkvorhersage in Google Chrome.
Veraltete Webplattformfunktionen füreine begrenzte Zeit aktivieren
Geben Sie eine Liste veralteter Webplattformfunktionen an, die vorübergehendwieder aktiviert werden sollen.
Android-Plattform
VMware, Inc. 67
Einstellung Beschreibung
Verfügbarkeit des Inkognitomodus Geben Sie an, ob ein Benutzer in Google Chrome Seiten im Inkognitomodusöffnen kann.
Suchvorschläge aktivieren Aktivieren Sie Suchvorschläge in der Omnibox von Google Chrome.
Übersetzen aktivieren Aktivieren Sie den integrierten Google Translate-Dienst in Google Chrome.
Aktiviert/DeaktiviertLesezeichenbearbeitung
Aktivieren Sie diese Option, um zu erlauben, dass Lesezeichen hinzugefügt,entfernt oder geändert werden.
Verwaltete Lesezeichen Geben Sie eine Liste verwalteter Lesezeichen an.
Zugriff auf eine URL-Liste blockieren Geben Sie URLs ein, um zu verhindern, dass der Benutzer Webseiten von nichtzulässigen URLs lädt.
Ausnahmen von der Liste gesperrterURLs
Geben Sie Ausnahmen für URLs auf der Sperrliste an.
Minimale SSL-Version aktiviert Die minimale SSL-Version wurde aus der Dropdown-Liste ausgewählt.
Minimale SSL-Version, auf diezurückgegriffen werden soll
Wählen Sie in der Dropdown-Liste die minimale SSL-Version aus, auf diezurückgegriffen werden soll.
4 Wählen Sie Speichern und veröffentlichen.
Matrix zu Chrome-Browsereinstellungen (Android)Das Profil für Chrome-Chrome-Browsereinstellungen hilft Ihnen, Einstellungen für die Work Chrome-Anwendung zu verwalten. Das Konfigurieren dieses Profils wirkt sich nicht auf die persönliche Chrome-Anwendung des Benutzers aus. Sie können dieses Profil per Push mit einer separaten Nutzlast für VPNoder Anmeldedaten+Wi-Fi übertragen, um sicherzustellen, dass Endbenutzer authentifiziert werden undsich an Ihren internen Websites und Systeme anmelden können.
Diese Matrix erläutert die verfügbaren Einstellungen im Chrome-Browserprofil.
Einstellung Beschreibung
Inhaltseinstellungen
Cookies zulassen Gilt für den systemeigenen Android-Browser und verhindert, dass eine WebsiteCookies in Bezug auf die Website auf dem Gerät speichert.
Cookies auf diesen Sites erlauben Erlaubt Ihnen, eine Liste von URL-Mustern festzulegen, die Sites angeben, dieCookies setzen dürfen.
Cookies auf diesen Sites blockieren Erlaubt Ihnen, eine Liste von URL-Mustern festzulegen, die Sites angeben, die keineCookies setzen dürfen.
Auf diesen Seiten nur Cookies für diejeweilige Sitzung erlauben
Erlaubt Ihnen, eine Liste von URL-Mustern festzulegen, die Sites angeben, die nurSitzungs-Cookies setzen dürfen.
Bilder erlauben Erlaubt Ihnen festzulegen, ob Websites Bilder anzeigen dürfen.
Bilder auf diesen Sites erlauben Erlaubt Ihnen, eine Liste von URL-Mustern festzulegen, die Sites angeben, die Bilderanzeigen dürfen.
Bilder auf diesen Sites blockieren Erlaubt Ihnen, eine Liste von URL-Mustern festzulegen, die Sites angeben, die keineBilder anzeigen dürfen.
Android-Plattform
VMware, Inc. 68
Einstellung Beschreibung
JavaScript zulassen Gilt für den systemeigenen Android-Browser und erlaubt oder verhindert dieAusführung von JavaScript-Code für eine Website durch den Browser.
JavaScript auf diesen Sites erlauben Erlaubt Ihnen, eine Liste von URL-Mustern festzulegen, die Sites angeben, dieJavaScript ausführen dürfen.
JavaScript auf diesen Sites blockieren Erlaubt Ihnen, eine Liste von URL-Mustern festzulegen, die Sites angeben, die keinJavaScript ausführen dürfen.
Pop-ups zulassen Popup-Browsereinstellung, um zuzulassen oder zu verhindern, dass eine Websiteein neues Browserfenster anzeigt, wenn der Benutzer zu einer Website navigiert, dieeine solche Aktion aufruft.
Popups auf diesen Websites erlauben Erlaubt Ihnen, eine Liste von URL-Mustern festzulegen, die Sites angeben, diePopups öffnen dürfen.
Ortungsdienste erlauben Erlaubt Ihnen festzulegen, ob Websites den Standort der Benutzer verfolgen dürfen.
Proxy-Einstellungen
Proxy-Modus Wählen Sie den gewünschten Proxy-Ablauf aus.
Proxyserver-URL Geben Sie eine URL zu einem Proxy-.pac-Datei an.
Proxy PAC-Datei-URL Geben Sie ggf. Ihre Proxy-PAC-Datei-URL ein.
Proxy-Umgehungsregeln Geben Sie alle anwendbaren Umgehungsregeln an, um Anforderungen vonbestimmten Clients oder zu bestimmten Ursprungsservern am Proxy vorbei zu leiten.
Sucheinstellungen
Google SafeSearch erzwingen
YouTube Sicherheitsmodus erzwingen
Touch to Search-Funktion aktivieren
Standardsuchanbieter aktivieren Aktivieren Sie diese Option, um im Browser einen Standardsuchanbieterfestzulegen.
Standardsuchanbieter-Name Gibt den Namen des Standardsuchanbieters an.
Standardsuchanbieter-Schlüsselwort Gibt das Schlüsselwort an, welches als Verknüpfung in der Adressleiste verwendetwird, um die Suche nach diesem Anbieter auszulösen.
Standardsuchanbieter-Such-URL Gibt die URL der Suchmaschine an, mit der eine Standardsuche durchgeführt wird.
Standardsuchanbieter – URLvorschlagen
Gibt die URL der Suchmaschine an, mit der Suchvorschläge gegeben werden.
Standardsuchanbieter-Symbol Gibt die bevorzugte Symbol-URL des Standardsuchanbieters an.
Standardsuchanbieter-Codierung Gibt die Zeichenverschlüsselungen an, die vom Suchanbieter unterstützt werden.
Liste von alternativen URLs für denStandardsuchanbieter
Gibt eine Liste alternativer URLs an, die zum Extrahieren von Suchbegriffen aus derSuchmaschine verwendet werden können.
Suchbegriffe-Ersatzschlüssel Geben Sie Suchbegriffe ein, die anstelle der URL angezeigt werden.
Bild-URL des Anbieters suchen Gibt die URL der Suchmaschine an, die für die Bildsuche verwendet wird.
Neue Tab-URL Gibt die URL an, die eine Suchmaschine verwendet, um eine neueRegisterkartenseite bereitzustellen.
Android-Plattform
VMware, Inc. 69
Einstellung Beschreibung
POST – URL-Suche – Parameter Gibt die Parameter an, die verwendet werden, wenn nach einer URL mit POSTgesucht wird.
POST – Vorschlagssuche – Parameter Gibt die Parameter an, die beim Durchführen einer Bildsuche mit POST verwendetwerden.
POST – Bildsuche – Parameter Gibt die Parameter an, die beim Durchführen einer Bildsuche mit POST verwendetwerden.
Kennwortmanager
Kennwortmanager aktivieren Aktivieren Sie die Option, um Webformularen das Speichern von Kennwörtern zuerlauben.
Startseiten
Alternative Fehlerseiten aktivieren Steuert, ob der Browser Vorschläge für die Seite anzeigt, die Sie zu erreichenversucht haben, wenn er keine Verbindung zu einer Webadresse wie „Seite nichtgefunden“ herstellen kann.
Automatisches Ausfüllen zulassen Aktivieren Sie die Option, wenn der Browser Onlineformulare mit gespeichertenInformationen automatisch ausfüllen können soll.
Andere Einstellungen
Druckfunktion aktivieren Aktivieren Sie die Option, um Drucken vom Gerät zuzulassen.
Datenkompressions-Proxy-Funktionaktivieren
Aktivieren Sie die Option, um Webseiten zu erlauben, Seiten zu komprimieren, wasdie Datennutzung reduziert.
Safe Browsing aktivieren Aktivieren Sie die Option, um die Safe Browsing-Funktion von Chrome zu entfernen.
Browser-Verlaufsspeicherungdeaktivieren
Wählen Sie die Option aus, um zu verhindern, dass der Browserverlauf gespeichertwird.
Fortfahren nach Safe Browsing-Warnungverhindern
Aktivieren Sie die Option, um zu verhindern, dass Benutzer von der Warnungsseitezu bösartigen Websites wechseln.
SPDY-Protokollierung deaktivieren Aktivieren Sie die Option, um das SPDY-Protokoll zu deaktivieren, das HTTP-Datenverkehr mit bestimmten Zielen der Reduzierung der Ladelatenz von Webseitenund der Erhöhung der Websicherheit bearbeitet.
Veraltete Webplattformfunktionen füreine begrenzte Zeit aktivieren
Geben Sie eine Liste nicht genehmigter Webplattformfunktionen an, dievorübergehend wieder aktiviert werden sollen.
SafeSearch erzwingen Aktivieren Sie die Option für alle Google-Websuchvorgänge, die mit aktivierterSafeSearch-Funktion durchgeführt werden sollen.
Verfügbarkeit des Inkognitomodus Gibt an, ob der Benutzer in Chrome Seiten im Inkognitomodus öffnen darf.
Erlaubt Anmeldung bei Chromium Aktivieren Sie die Option, um dem Benutzer zu erlauben, sich bei Chromiumanzumelden.
Suchvorschläge aktivieren Erlaubt Suchvorschläge in der Adressleiste von Chrome.
Übersetzen aktivieren Integriert Google Translate in Chrome, sodass dem Benutzer ggf. angeboten wird,eine Seite zu übersetzen.
Aktiviert/DeaktiviertLesezeichenbearbeitung
Legen Sie dieses Feld fest, um die Verwendung des Lesezeichen-Editors zubeschränken.
Android-Plattform
VMware, Inc. 70
Einstellung Beschreibung
Verwaltete Lesezeichen Geben Sie alle zutreffenden URLs ein, die vom Browser verwaltet werden.Verwaltete Lesezeichen ermöglichen dem Administrator, einen festen Satz vonLesezeichen an alle Benutzer zu übertragen.
Ermöglicht Zugriff auf eine Liste vonURLs
Geben Sie eine Liste von zulässigen URLs an, die vom Gerät aus aufgerufenwerden können.
Zugriff auf eine URL-Liste blockieren Geben Sie eine Liste von nicht zulässigen URLs an.
Minimale SSL-Version aktiviert Legen Sie die minimale Secure Socket Layer-Version fest.
Minimale SSL-Version, auf diezurückgegriffen werden soll
Legen Sie die minimale Secure Socket Layer-Version fest, auf die der Browserzurückgreift.
Restriktionsprofil (Android)Restriktionsprofile bieten eine zweite Schutzschicht für Gerätedaten. Diese Profile ermöglichen Ihnen,festzulegen und zu kontrollieren, wie, wann und wo Ihre Mitarbeiter ihre Geräte verwenden.
Restriktionsprofile sperren die systemeigene Funktionalität von Android-Geräten und variieren je nachGeräteregistrierung. Das Restriktionsprofil zeigt Tags an, die die Modi Vom Unternehmen verwaltetesGerät und Work-Profil kennzeichnen.
Das Restriktionsprofil zeigt Tags an, die angeben, ob die ausgewählte Einschränkung für das Work-Profil, das vom Unternehmen verwaltete Gerät oder beide gilt. Bei Work-Profil-Geräten hat dies jedochnur Auswirkungen auf mit einem Badge gekennzeichnete Android-Anwendungen. Bei der Konfigurationvon Einschränkungen für das Work-Profil können Sie z. B. den Zugriff auf die Work Kamera deaktivieren.Dies wirkt sich nur auf die mit einem Badge gekennzeichnete Android-Kamera und nicht auf diepersönliche Kamera des Benutzers aus.
Hinweis: Einige Systemanwendungen sind standardmäßig im Work-Profil enthalten, wie z. B. WorkChrome, Google Play, Google-Einstellungen, Kontakte und Kamera. Diese können bei Nutzung einesRestriktionsprofils ausgeblendet werden und wirken sich nicht auf die persönliche Kamera des Benutzersaus.
Durchsetzen von Restriktionen (Android)Stellen Sie für mehr Sicherheit eine Nutzlast für Einschränkungen auf Android-Geräten bereit. Geräte mitNutzlast für Einschränkungen können den Endbenutzerzugriff auf Gerätefunktionen deaktivieren, umsicherzustellen, dass Geräte nicht manipuliert werden.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die allgemeinen Profileinstellungen.
Android-Plattform
VMware, Inc. 71
3 Wählen Sie das Restriktionsprofil aus, um die Einstellungen zu konfigurieren, und
Einstellungen Beschreibung
Gerätefunktionalität Restriktionen auf Geräteebene können wichtige Gerätefunktionen deaktivieren, wiezum Beispiel Kamera, Bildschirmaufnahme und Zurücksetzung aufWerkseinstellungen, um Produktivität und Sicherheit zu erhöhen. Indem Sie z. B.die Kamera deaktivieren, verhindern Sie, dass vertrauliche Materialien fotografiertund an unternehmensexterne Stellen übertragen werden. Das Untersagen vonGerätebildschirmaufnahmen hilft beim Schutz von geschäftlichen Informationen aufdem Gerät.
Anwendung Mit Restriktionen auf Anwendungsebene können Anwendungen wie YouTube undder native Browser gesperrt werden. Dadurch können Sie zur Gerätenutzung dieEinhaltung von Unternehmensrichtlinien erzwingen.
Synchronisierung und Speicherung Kontrollieren Sie, wie Informationen auf Geräten gespeichert werden. Dadurchhaben Sie die Möglichkeit der bestmöglichen Balance zwischen Produktivität undSicherheit. Wenn Sie z. B. Google- oder USB-Sicherung deaktivieren, bleibenmobile Unternehmensdaten auf den einzelnen verwalteten Geräten und gelangennicht in die falschen Hände.
Netzwerk Zu verhindern, dass Geräte auf WLAN- und Datenverbindungen zugreifen, um zugewährleisten, dass Endbenutzer keine vertraulichen Informationen über eineunsichere Verbindung einsehen.
Arbeit und Privates Legen Sie fest, wie auf Informationen zugegriffen wird, und wie Informationen vondem privaten Container und dem Work-Container gemeinsam genutzt werdenkönnen. Diese Einstellungen gelten nur für den Work-Profil-Modus.
Ortungsdienste Konfigurieren Sie die Einstellungen für Ortungsdienste nur für vom Unternehmenverwaltete Geräte.
Samsung Knox Ermöglicht Ihnen, die Einschränkungen speziell für Android-Geräte mit SamsungKnox zu aktivieren. Dieser Abschnitt der Einstellungen gilt nur, wenn das FeldOEM-Einstellungen im allgemeinen Profil auf „aktiviert“ eingestellt ist und im FeldOEM auswählen Samsung ausgewählt wurde.
Dieser Abschnitt ist nur verfügbar, wenn die OEM-Einstellungen im allgemeinenProfil aktiviert und im Feld zur Auswahl des OEM die Option „Samsung“ausgewählt wurde.
4 Wählen Sie Speichern & Veröffentlichen, um das Profil zugehörigen Geräten zuzuweisen.
Aktivieren von Exchange Active Sync (Android)AirWatch verwendet das Exchange ActiveSync-Profil (EAS) auf Android-Geräten, um eine sichereVerbindung mit internen E-Mail-Diensten, Kalendern und Kontakten über Mailclient-Typen wie z. B. Gmailund Divide zu gewährleisten. Die konfigurierten EAS-E-Mail-Einstellungen für das Work-Profil geltenbeispielsweise für alle E-Mail-Anwendungen, die aus dem AirWatch App Catalog mit einem Badge-Symbol heruntergeladen werden und nicht die persönliche E-Mail des Benutzers verwenden.
Android-Plattform
VMware, Inc. 72
Voraussetzungen
Sobald alle Benutzer eine E-Mail-Adresse und einen Benutzernamen haben, können Sie mit folgendenSchritten ein EAS-Profil erstellen.
Hinweis Das EAS-Profil gilt für den Work-Profil-Modus sowie den Modus „Vom Unternehmenverwaltetes Gerät“.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die allgemeinen Profileinstellungen nach Bedarf.
3 Wählen Sie das Exchange ActiveSync-Profil und konfigurieren Sie die folgenden Einstellungen.
Einstellungen Beschreibung
Mailclienttyp Wählen Sie aus dem Dropdown-Menü einen E-Mail-Client aus, der per Push aufdie Benutzergeräte übertragen wird.
Host Geben Sie die externe URL des ActiveSync-Servers des Unternehmens an.
Servertyp Wählen Sie Exchange oder Lotus.
SSL verwenden Aktivieren, um EAS-Daten zu verschlüsseln.
Validierungsüberprüfungen von SSL-Zertifikaten aktivieren
Aktivieren, um Secure Socket Layer-Zertifizierungen zuzulassen.
S/MIME Aktivieren, um ein S/MIME-Zertifikat auszuwählen, das Sie der Anmeldedaten-Nutzlast als Benutzerzertifikat zuordnen.
n S/MIME-Signaturzertifikat: Wählen Sie das Zertifikat, um das Bereitstellenvon S/MIME-Zertifikaten an den Client zum Signieren der Nachricht zulassen.
n S/MIME-Verschlüsselungszertifikat: Wählen Sie das Zertifikat, um dasBereitstellen von S/MIME-Zertifikaten an den Client zum Verschlüsseln derNachricht zulassen.
Domäne Verwenden Sie Suchwerte, um den gerätespezifischen Wert zu verwenden.
Benutzername Verwenden Sie Suchwerte, um den gerätespezifischen Wert zu verwenden.
E-Mail-Adresse Verwenden Sie Suchwerte, um den gerätespezifischen Wert zu verwenden.
Kennwort Leer lassen, um Endbenutzern zu erlauben, ihr eigenes Kennwort festzulegen.
Anmeldezertifikat Wählen Sie im Dropdown-Menü das verfügbare Zertifikat aus.
Standardmäßige Signatur Geben Sie eine standardmäßige E-Mail-Signatur ein, die in neuen E-Mailsangezeigt werden soll.
Maximale Größe für Anhänge (in MB) Geben Sie die maximale Größe für Anhänge ein, die dieser Benutzer versendendarf.
Synchronisierung von Kontakten undKalender zulassen
Aktivieren, um Kontakte und Kalender für die Synchronisierung mit Gerätenzuzulassen.
4 Wählen Sie Speichern & Veröffentlichen, um das Profil zugehörigen Geräten zuzuweisen.
Android-Plattform
VMware, Inc. 73
Profil „Automatische Aktualisierung“Das Profil „Automatische Aktualisierung“ ermöglicht Administratoren das Konfigurieren vonautomatischen Updates und das Planen von Wartungsfenstern für öffentliche Android-Apps.
So konfigurieren Sie eine Richtlinie für die automatische Aktualisierung:
Verfahren
1 Navigieren Sie zu „Geräte“ > „Profile und Ressourcen“ > „Profile“ > „Hinzufügen“ > „Profil hinzufügen“> „Android“.
2 Konfigurieren Sie die allgemeinen Profileinstellungen nach Bedarf. Diese Einstellungen bestimmen,wie das Profil bereitgestellt wird und wer es erhält.
3 Wählen Sie „Automatische Aktualisierung“ in der Nutzlastliste und konfigurieren Sie dieAktualisierungseinstellungen:
n Richtlinie für die automatische Aktualisierung öffentlicher Apps: Geben Sie an, wann Google Playdas automatische Datum zulässt. Wählen Sie „Benutzer zur Konfiguration zulassen“, „Immerautomatisch aktualisieren“, „Nur im WLAN aktualisieren“ oder „Nie automatisch aktualisieren“.
Die Standardauswahl ist „Benutzer zur Konfiguration zulassen“.
n Startzeit: Konfigurieren Sie die Ortszeit, zu der Anwendungen im Vordergrund automatisch jedenTag aktualisiert werden dürfen. Wählen Sie eine Uhrzeit zwischen 00:30 und 23:30 aus.
n Endzeit: Konfigurieren Sie, wie lange Anwendungen im Vordergrund automatisch jeden Tagaktualisiert werden dürfen. Wählen Sie eine Zeit zwischen 30 Minuten und 24 Stunden aus.
4 Wählen Sie „Speichern und veröffentlichen“, um das Profil zugehörigen Geräten zuzuweisen.
Basierend auf der festgelegten Zeit werden die Anwendungen nur während der angegebenen Start- undEndzeit automatisch aktualisiert. Sie können beispielsweise festlegen, dass Kiosk-Geräte nur außerhalbder Geschäftszeiten aktualisiert werden, um die Nutzung des Kiosks nicht zu unterbrechen.
Anmeldedaten (Android)Zur erhöhten Sicherheit können Sie digitale Zertifikate implementieren, um Ihr Unternehmensinventar zuschützen. Dazu müssen Sie zuerst eine Zertifizierungsstelle festlegen und dann eine Anmeldedaten-Nutzlast zusätzlich zu Ihrer Exchange ActiveSync (EAS)-, WLAN- oder VPN-Nutzlast konfigurieren.
Jede dieser Nutzlasten weist Einstellungen auf, mit denen die in der SCEP-Nutzlast definierteZertifizierungsstelle zugeordnet wird. Anmeldedaten-Profile verteilen Unternehmenszertifikate zurBenutzerauthentifizierung an verwaltete Geräte. Die Einstellungen in diesem Profil variieren je nach denGerätebesitztyp. Das Anmeldedaten-Profil gilt für den Work-Profil-Modus sowie den Modus „VomUnternehmen verwaltetes Gerät“.
Für das Gerät muss ein Geräte-Pin-Code konfiguriert werden, bevor Workspace ONE UEMIdentitätszertifikate mit einem privaten Schlüssel installieren kann.
Android-Plattform
VMware, Inc. 74
Verteilen von Anmeldedaten (Android)Anmeldedaten-Profile verteilen Unternehmenszertifikate zur Benutzerauthentifizierung an verwalteteGeräte. Die Einstellungen in diesem Profil variieren je nach den Gerätebesitztyp. Das Anmeldedaten-Profil gilt für den Work-Profil-Modus sowie den Modus „Vom Unternehmen verwaltetes Gerät“.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die allgemeinen Profileinstellungen.
3 Wählen Sie das Anmeldedaten-Profil und dann Konfigurieren.
4 Wählen Sie im Dropdown-Menü entweder Hochladen oder Festgelegte Zertifizierungsstelle alsQuelle der Anmeldedaten. Die verbleibenden Profiloptionen sind quellenabhängig. Wenn Sie aufHochladen auswählen, müssen Sie einen Anmeldenamen angeben und ein neues Zertifikathochladen. Bei Festgelegte Zertifizierungsstelle müssen Sie eine vordefinierteZertifizierungsstelle und eine Vorlage auswählen.
5 Wählen Sie Speichern und veröffentlichen.
Erstellen von benutzerdefinierten MailsMit dem Profil „Benutzerdefinierte Nachrichten“ können Sie Meldungen konfigurieren, die auf demStartbildschirm des Geräts angezeigt werden, wenn wichtige Informationen an den Benutzerweitergeleitet werden müssen.
Mit dem Profil „Benutzerdefinierte Nachrichten“ können Sie eine Sperrbildschirmnachricht einrichten, eineNachricht, die angezeigt wird, wenn Benutzer versuchen, eine gesperrte Einstellung durchzuführen, odereine Nachricht für die Gerätebenutzereinstellungen.
Verfahren
1 Navigieren Sie zu „Geräte“ > „Profile und Ressourcen“ > „Profile“ > „Hinzufügen“ > „Profil hinzufügen“> „Android“.
2 Wählen Sie „Android“.
3 Konfigurieren Sie die allgemeinen Profileinstellungen nach Bedarf.
Android-Plattform
VMware, Inc. 75
4 Wählen Sie das Profil „Benutzerdefinierte Nachrichten“ und konfigurieren Sie dieNachrichteneinstellungen:
Option Bezeichnung
Sperrbildschirmnachricht einrichten Geben Sie eine Meldung ein, die auf dem Startbildschirm des Geräts angezeigtwerden soll, wenn das Gerät gesperrt ist. Dies ist nützlich, wenn das Gerätverloren gegangen ist oder gestohlen wurde, um die Kontaktinformationen desBenutzers anzuzeigen.
Nachricht für gesperrte Einstellungeneinrichten
Geben Sie eine Meldung ein, die angezeigt werden soll, wenn ein Benutzerversucht, gesperrte Aktionen auf einem Gerät durchzuführen. Erläutern Sie in derbenutzerdefinierten Nachricht, warum die Funktion gesperrt ist.
Nachricht einrichten, die Benutzern inden Einstellungen angezeigt wird
Benutzer können diese Einstellung unter „Einstellungen“ > „Sicherheit“ > „Gerät“überprüfen.
5 Wählen Sie „Speichern und veröffentlichen“, um das Profil zugehörigen Geräten zuzuweisen.
Anwendungssteuerung (Android)Das Anwendungssteuerungs-Profil können Sie bestimmte Anwendungen auf eine Whitelist oder eineBlacklist setzen. Die Compliance Engine sendet wichtige Warnungen und ergreift administrativeMaßnahmen, wenn ein Benutzer bestimmte Anwendungen installiert oder deinstalliert. Mit derAnwendungssteuerung wird gleichzeitig sogar verhindert, dass Benutzer versuchen, diese Änderungenvorzunehmen.
Beispielsweise wird der Workspace ONE Intelligent Hub automatisch per Push als eine mit einem Badgegekennzeichnete Anwendung auf das Gerät übertragen. Die Aktivierung der Option „Deinstallationerforderlicher Anwendungen verhindern“ verhindert die Deinstallation des Workspace ONE Intelligent Hubund anderer erforderlicher Anwendungen, die unter „Anwendungsgruppen“ konfiguriert sind. Whitelistingist standardmäßig aktiviert, da nur ein Administrator Anwendungen zum Work-Profil hinzufügen kann.
Weitere Informationen zu Anwendungsgruppen finden Sie in der Dokument zu Mobile ApplicationManagement.
Konfigurieren der Anwendungssteuerung (Android)Um den Zugriff von Anwendungen auf Ihre Android-Geräte einzuschränken, erstellen Sie ein Profil mitBlacklist- und Whitelist-Anwendungen mit dem Anwendungssteuerungs-Profil.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die allgemeinen Profileinstellungen nach Bedarf.
3 Wählen Sie die Nutzlast für Anwendungssteuerung.
Android-Plattform
VMware, Inc. 76
4 Aktivieren oder deaktivieren Sie folgende Einstellungen, um die Kontrollstufe für IhreAnwendungseinsätze festzulegen:
Einstellung Beschreibung
Zugang zu Anwendungen aufBlacklist deaktivieren
Aktivieren, um den Zugriff auf Anwendungen zu deaktivieren, die auf der Blackliststehen, welche unter „Anwendungsgruppen“ definiert ist.
Bei Aktivierung deinstalliert diese Option die Anwendung nicht vom Gerät.
Deinstallation erforderlicherAnwendungen verhindern
Aktivieren Sie diese Option, um die Deinstallation von erforderlichen, unter„Anwendungsgruppen“ festgelegten Anwendungen zu verhindern.
Aktivieren Sie Systemanwendungeninnerhalb von Android
Aktivieren, um vorinstallierte Anwendungen im Work-Profil einzublenden, wie inWhitelist-Anwendungen unter „Anwendungsgruppen“ definiert.
5 Wählen Sie Speichern und veröffentlichen.
Konfigurieren von Proxy-Einstellungen (Android)Globale Proxy-Einstellungen werden konfiguriert, um sicherzustellen, dass sämtlicher HTTP- und HTTPS-Netzwerkdatenverkehr ausschließlich durch den Proxy geleitet wird. Dadurch wird Datensicherheitgewährleistet, da alle privaten und geschäftlichen Daten durch das globale Proxyprofil gefiltert werden.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die allgemeinen Profileinstellungen.
3 Wählen Sie das Profil Proxy-Einstellungen.
4 Konfigurieren Sie die Proxy-Einstellungen, wie:
Einstellung Beschreibung
Proxy-Modus Wählen Sie den gewünschten Proxy-Typ.
Proxy PAC URL Geben Sie eine URL zu einem Proxy-.pac-Datei an.
Proxy-Server Geben Sie den Hostnamen oder die IP-Adresse für den Proxy-Server ein.
Ausschlussliste Fügen Sie Hostnamen hinzu, um deren Umleitung durch den Proxy zu verhindern.
5 Wählen Sie Speichern und veröffentlichen.
Aktivieren von System-Updates (Android)AirWatch verwaltet, wie Benachrichtigungen zu Updates des Android-Betriebssystems und die Updatesselbst gesteuert werden. Sie können Updates des Betriebssystems mit diesem Profil auf drei Artensteuern.
Android-Plattform
VMware, Inc. 77
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die Einstellungen des Profils Allgemein nach Bedarf.
3 Wählen Sie das Profil System-Updates.
4 Wählen Sie im Dropdown-Menü aus das Feld Automatische Updates die Update-Richtlinie aus.
Einstellung Beschreibung
Updates automatisch installieren Installieren Sie Updates automatisch, sobald diese verfügbar sind.
Update-Benachrichtigungenzurückstellen
Alle Updates zurückstellen. Senden Sie eine Richtlinie, die OS-Updates für einenmaximalen Zeitraum von 30 Tagen blockiert.
Update-Fenster festlegen Legen Sie ein Zeitfenster fest, in dem Sie das Gerät aktualisiert werden soll.
5 Wählen Sie Speichern und veröffentlichen.
WLAN-Profil (Android)Mit einem konfigurieren WLAN-Profil können Geräte mit Unternehmensnetzwerken verbunden werden,sogar wenn sie verborgen, verschlüsselt oder geschützt sind.
Das WLAN-Profil kann für Endbenutzer nützlich sein, die zu verschiedenen Geschäftsstellen reisen, dieihre eigenen speziellen Drahtlosnetzwerke haben. Damit können sie ihre Geräte auch automatischkonfigurieren, um sich im Büro mit dem entsprechenden Drahtlosnetzwerk zu verbinden.
Wird ein WLAN-Profil per Push auf Geräte mit Android 6.0 oder höher übertragen und ein Benutzerbereits ein Gerät mit einem WLAN-Gerät durch manuelles Einrichten verbunden hat, so kann die WLAN-Konfiguration nicht durch Workspace ONE UEM geändert werden. Wurde das WLAN-Kennwortbeispielsweise geändert und Sie übertragen das aktualisierte Profil per Push auf registrierte Geräte, dannmüssen einige Benutzer ihre Geräte manuell mit dem neuen Kennwort aktualisieren.
Konfigurieren des WLAN-Zugriffs (Android)Mit einem konfigurieren WLAN-Profil können Geräte mit Unternehmensnetzwerken verbunden werden,sogar wenn sie verborgen, verschlüsselt oder kennwortgeschützt sind.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die allgemeinen Profileinstellungen.
3 Wählen Sie die WLAN-Nutzlast.
Android-Plattform
VMware, Inc. 78
4 Konfigurieren Sie folgende WLAN-Einstellungen:
Einstellung> Beschreibung
Service Set Identifier Geben Sie den Namen des Netzwerks an, mit dem sich das Gerät verbindet.
Verborgenes Netzwerk Geben Sie an, ob das WLAN-Netzwerk ein ausgeblendetes Netzwerk ist.
Als aktives Netzwerk festlegen Geben Sie an, ob sich das Gerät mit dem Netzwerk ohne Benutzereingriffverbindet.
Sicherheitstyp Geben Sie das verwendete Zugriffsprotokoll an und ob Zertifikate erforderlich sind.
Je nach gewähltem Sicherheitstyp ändern sich die erforderlichen Felder. FallsKeine(r/s), WEP, WPA/WPA2 oder Beliebig (privat) ausgewählt wird, erscheintdas Feld Kennwort. Falls WPA/WPA2 Enterprise ausgewählt wird, werden dieFelder „Protokolle“ und „Authentifizierung“ angezeigt.
n Protokollen Zweistufige Authentifizierung verwenden
n SFA-Typ:
n Authentifizierungn Identität
n Anonyme Identität
n Benutzername
n Kennwort
n Identitätszertifikat
n Stammzertifikat
Kennwort Geben Sie die zur Verbindung des Geräts mit dem Netzwerk erforderlichenAnmeldedaten an. Das Kennwort-Feld wird angezeigt, wenn WEP, WPA/WPA 2,Beliebig (privat), WPA/WPA2 Enterprise im Feld Sicherheitstyp ausgewähltsind.
Proxytyp Aktivieren, um die WLAN Proxy-Einstellungen zu konfigurieren.
Hinweis Die automatische WLAN-Proxy-Konfiguration wird bei Verwendung vonPro-App-VPN nicht unterstützt.
Proxy-Server Geben Sie den Hostnamen oder die IP-Adresse für den Proxyserver ein.
Proxyserver Port Geben Sie den Hostnamen oder die IP-Adresse für den Proxyserver ein.
Ausschlussliste Geben Sie die Hostnamen ein, die vom Proxy ausgeschlossen werden sollen.
Hier eingegebene Hostnamen werden nicht durch den Proxy geleitet.
Verwenden Sie * als Platzhalter für die Domäne. Beispiel: *.air-watch.com oder*air-watch.com.
5 Wählen Sie Speichern und veröffentlichen.
Konfigurieren von VPN (Android)Virtuelle private Netzwerke (VPN) bieten Geräten einen sicheren und verschlüsselten Tunnel für denZugriff auf interne Ressourcen, wie E-Mail, Dateien und Inhalte. VPN-Profile ermöglichen, dass alleGeräte so funktionieren, als ob sie über das Netzwerk vor Ort verbunden sind.
Android-Plattform
VMware, Inc. 79
Je nach Verbindungstyp und Authentifizierungsmethode können Sie Suchwerte nutzen, um denBenutzernamen automatisch einzutragen und so den Anmeldeprozess zu optimieren.
Hinweis Das VPN-Profil gilt für den Work-Profil-Modus sowie den Modus „Vom Unternehmenverwaltetes Gerät“.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die allgemeinen Profileinstellungen nach Bedarf.
3 Wählen Sie VPN, um das Profil zu bearbeiten.
4 Konfigurieren Sie die VPN-Einstellungen Folgende Tabelle definiert alle Einstellungen, die je nachVPN-Client konfiguriert werden können.
Einstellung Beschreibung
Verbindungstyp Wählen Sie das Protokoll, das für die Herstellung von VPN-Sitzungen verwendetwird.
Verbindungsname Geben Sie den Verbindungsnamen ein, der der vom Profil erstellten Verbindungzugewiesen wird.
Server Geben Sie Namen oder Adresse des für die VPN-Verbindung verwendeten Serversein.
Konto Geben Sie das Benutzerkonto zur Authentifizierung der Verbindung an.
Always On VPN Aktivieren, damit aller Datenverkehr von Arbeitsanwendungen über VPN getunneltwird.
Aktivieren Aktivieren, um VPN einzuschalten, nachdem das Profil auf das Gerät angewendetwurde.
Pro-App-VPN-Regeln Pro-App-VPN ermöglicht Ihnen, VPN-Datenverkehrsregeln auf Grundlagebestimmter Anwendungen zu konfigurieren. Dieses Textfeld wird nur fürunterstützte VPN-Anbieter angezeigt.
Hinweis Die automatische WLAN-Proxy-Konfiguration wird bei Verwendung vonPro-App-VPN nicht unterstützt.
Benutzerauthentifizierung Wählen Sie die Methode, zum Authentifizieren der VPN-Sitzung erforderlich ist.
Kennwort Geben Sie die für den VPN-Zugriff durch den Endbenutzer erforderlichenAnmeldedaten ein.
Client-Zertifikat Wählen Sie im Dropdown-Menü das Client-Zertifikat aus. Diese werden in denVerteilen von Anmeldedaten (Android)-Profilen konfiguriert.
Zertifikate widerrufen Aktivieren, um Zertifikatsperren einzuschalten.
AnyConnect-Profil Geben Sie den Namen des AnyConnect-Profils ein.
FIPS-Modus Aktivieren, um den FIPS-Modus einzuschalten.
Strict-Modus Aktivieren, um den Strict-Modus einzuschalten.
Android-Plattform
VMware, Inc. 80
Einstellung Beschreibung
Anbieterschlüssel Benutzerdefinierte Schlüssel erstellen, die in das Anbieter-Konfigurationswörterbuch aufgenommen werden.
Schlüssel Geben Sie den spezifischen Schlüssel ein, der vom Anbieter bereitgestellt wurde.
Wert Geben Sie den VPN-Wert für jeden Schlüssel ein.
5 Wählen Sie Speichern und veröffentlichen.
Cisco AnyConnect- und Juniper Junos Pulse-Verbindungen erfordern, dass bestimmteAnwendungen auf allen Geräten installiert werden, bevor das VPN-Profil eingesetzt wird. DieseAnwendungen können zum leichten Zugriff als Empfohlene App über den App-Katalog hinzugefügtwerden.
Konfigurieren von Pro-App-VPN (Android)Sie können ausgewählte Anwendungen zum Verbinden mit dem VPN Ihres Unternehmens erzwingen. IhrVPN-Anbieter muss diese Funktion unterstützen und Sie müssen die Anwendungen als verwalteteAnwendungen veröffentlichen.
Hinweis Pro-App-VPN unterstützt keine internen Apps.
Hinweis Die automatische WLAN-Proxy-Konfiguration wird bei Verwendung von Pro-App-VPN nichtunterstützt.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Wählen Sie Android, um die Einstellungen zu konfigurieren.
3 Wählen Sie die VPN-Nutzlast aus der Liste.
4 Wählen Sie Ihren VPN-Anbieter aus dem Feld Verbindungstyp aus.
5 Konfigurieren Sie Ihr VPN-Profil.
6 Wählen Sie Pro-App-VPN, um eine VPN-UUID für die aktuellen VPN-Profileinstellungen zugenerieren. Die VPN-UUID ist ein eindeutiger Bezeichner für diese bestimmte VPN-Konfiguration.
7 Wählen Sie Speichern und veröffentlichen.
Falls dieser Vorgang als Aktualisierung auf ein vorhandenes VPN-Profil ausgeführt wurde, werdenalle vorhandenen Geräte/Anwendungen aktualisiert, die dieses Profil verwenden. Alle Geräte/Anwendungen, die bisher keine VPN UUID verwendet haben, werden auch auf das VPN-Profilaktualisiert.
Android-Plattform
VMware, Inc. 81
Nächste Schritte
Informationen zum Konfigurieren öffentlicher Anwendungen für die Verwendung des VPN-Profils proAnwendung finden Sie unter „Hinzufügen öffentlicher Anwendungen für Android“ in derAnwendungsverwaltung für Android.
Festlegen von Berechtigungen (Android)Workspace ONE UEM Console bietet dem Administrator die Möglichkeit, eine Liste aller Berechtigungenanzusehen, die eine Anwendung verwendet, und die Standardaktion zur Laufzeit der Anwendungfestlegen. Das Profil Berechtigungen steht auf Geräte mit Android 6.0 und höher mit dem Modus „VomUnternehmen verwaltetes Gerät“ zur Verfügung.
Sie können Laufzeit-Berechtigungsrichtlinien für jede gekennzeichnete Android-Anwendung festlegen.Die neuesten Berechtigungen werden abgerufen, wenn eine Anwendung auf der einzelnenAnwendungsebene konfiguriert wird. Berechtigungen gelten für alle gekennzeichnete Android-Anwendungen.
Hinweis Alle von einer Anwendung verwendeten Berechtigungen werden aufgelistet, wenn Sie dieAnwendung in der Liste der Ausnahmen auswählen. Die Berechtigungsrichtlinien von Workspace ONEUEM Console gelten jedoch nur für Berechtigungen, die von Google als gefährlich eingestuft werden.Gefährliche Berechtigungen decken Bereiche ab, wo Anwendungen u. a. persönliche Daten vonBenutzern anfordern, oder potenziell Auswirkungen auf die gespeicherten Benutzerdaten haben könnten.Weitere Informationen finden Sie auf der Android Developer-Website.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die allgemeinen Profileinstellungen nach Bedarf.
3 Konfigurieren Sie die Einstellungen für Berechtigungen, einschließlich:
Einstellungen Beschreibung
Berechtigungsrichtlinie Wählen Sie eine der folgenden Optionen: Benutzer zur Eingabe derZugriffsberechtigung auffordern, Alle Berechtigungen gewähren oder AlleBerechtigungen verweigern für alle Work-Anwendungen.
Ausnahmen Suchen Sie nach Anwendungen, die bereits in AirWatch hinzugefügt wurden (nurvon Android genehmigte Anwendungen), und fügen Sie in derBerechtigungsrichtlinie eine Ausnahme für die Anwendung hinzu.
4 Wählen Sie Speichern und veröffentlichen, um das Profil zugehörigen Geräten zuzuweisen.
Android-Plattform
VMware, Inc. 82
Konfigurieren des Einzelanwendungsmodus (Android)Im Einzelanwendungsmodus können Sie Android-Geräte für einen einzigen Zweck verwenden, wie z. B.Kiosk-Modus, indem Sie unterstützte interne und öffentliche Anwendungen auf eine Whitelist setzen.
Hinweis Weitere Informationen zu unterstützten Anwendungen finden Sie unter dem Link imEinzelanwendungsmodus-Profil in der Workspace ONE UEM console. Von dort werden Sie zur GoogleDeveloper-Website weitergeleitet, wo Sie detaillierte Informationen erhalten.
Hinweis AirWatch-Anwendungen werden derzeit nicht für den Einzelanwendungsmodus unterstützt.
Informationen zur optimalen Verwendung des Einzelanwendungsmodus und bewährte Vorgehensweisenfinden Sie unter Bewährte Methoden für Einzelanwendungsmodus (Android).
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die allgemeinen Profileinstellungen nach Bedarf.
3 Konfigurieren Sie die Einstellungen für Einzelanwendungsmodus:
Einstellungen Beschreibung
Per Whitelist zulässige Anwendungen Wählen Sie die gewünschte Anwendung, um für das Gerät denEinzelanwendungsmodus auszulösen.
Bewährte Methoden für Einzelanwendungsmodus (Android)Übernehmen Sie diese Richtlinien und Einschränkungen ggf., um optimale Erfahrungswerte und Wartungfür Ihren bestimmten Zweck mithilfe von Richtlinien für den Einzelanwendungsmodus sicherzustellen.Diese Empfehlungen sind hilfreich, wenn Sie ein Einzelanwendungsmodus-Profil für Kiosk-Gerätebereitstellen und Anwendungsbeispiele mit digitaler Signatur, in denen ein Endbenutzer dem Gerät nichtzugeordnet ist.
Erstellen Sie ein „eingeschränktes“ Profil, und konfigurieren Sie das Profil wie folgt:
n Deaktivieren Sie unter Gerätefunktionalität die folgenden Optionen:
n Statusleiste zulassen: Dies sorgt für ein immersives Erlebnis wenn das Gerät auf eine einzigeAnwendung beschränkt ist.
n Tastensperre zulassen: So wird sichergestellt, dass das Gerät nicht gesperrt wird.
n Aktivieren Sie unter Gerätefunktionalität die folgenden Optionen:
n Bildschirm Ein erzwingen beim Laden mit AC-Ladegerät
n Bildschirm Ein erzwingen beim Laden mit USB-Ladegerät
n Bildschirm Ein erzwingen beim Laden mit drahtlosem Ladegerät
Android-Plattform
VMware, Inc. 83
Diese Optionen stellen sicher, dass der Bildschirm des Geräts stets für die Interaktion eingeschaltetist.
Stellen Sie das Profil „Richtlinie für System-Updates“ bereit, um sicherzustellen, dass das Gerät mitminimalem manuellen Eingriff die neuesten Updates erhält.
Festlegen von Datum/UhrzeitLegen Sie Datum und Uhrzeit sowie das Anzeigeformat fest und geben Sie so Ihrer Geräteflotte dasentsprechende Format.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Wählen Sie Gerät aus, um Ihr Profil für ein Gerät einzusetzen.
3 Konfigurieren Sie die Einstellungen des Profils unter Allgemein. Das Profil Datum/Uhrzeit wird nurangezeigt, wenn das Feld OEM-Einstellungen auf Aktiviert eingestellt wurde.
4 Wählen Sie die Nutzlast von Datum/Uhrzeit.
5 Konfigurieren Sie die Einstellungen von „Datum/Uhrzeit“, einschließlich:
Einstellung Beschreibung
Datumsformat Ändern Sie die Reihenfolge von Monat, Tag und Jahr.
Zeitformat Wählen Sie das 12- oder 24-Stunden-Format.
Datum/Uhrzeit Wählen Sie die Datenquelle, von der Ihre Geräte Datum- und Zeiteinstellungenbeziehen sollen.
n Bei Automatisch werden Datum und Uhrzeit gemäß den systemeigenenGeräteeinstellungen festgelegt.
n Serverzeit: Stellt die Zeit basierend auf der Serverzeit von Workspace ONEUEM Console ein.
n Zeitzone: Geben Sie die Zeitzone an.
n HTTP URL: Stellt die Zeit nach einer URL ein. Dabei kann es sich um einebeliebige URL handeln. Sie können beispielsweise www.google.de als URLverwenden.
n URL: Geben Sie die Webadresse für den Datum/Uhrzeit-Plan ein.
n Periodische Synchronisierung aktivieren: Aktivieren Sie diese Option,um die regelmäßige Prüfung von Datum/Uhrzeit in Tagen auf dem Geräteinzustellen.
n Zeitzone festlegen – Geben Sie die Zeitzone an.
n SNTP Servern URL: Geben Sie die Webadresse für den Datum/Uhrzeit-Plan ein. Sie
können beispielsweise time.nist.gov verwenden.
n Periodische Synchronisierung aktivieren: Aktivieren Sie diese Option,um die regelmäßige Prüfung von Datum/Uhrzeit in Tagen auf dem Geräteinzustellen.
Android-Plattform
VMware, Inc. 84
6 Wählen Sie Speichern und veröffentlichen.
Erstellen eines Workspace ONE Launcher-Profils(Android)Workspace ONE Launcher ist ein App-Launcher, der es Ihnen ermöglicht, Android-Geräte in einzelnenAnwendungsfällen zu sperren und das Aussehen und Verhalten von verwalteten Android-Gerätenanzupassen. Die Workspace ONE Launcher-App ersetzt Ihre Geräteschnittstelle durch eine, die speziellauf Ihre geschäftlichen Anforderungen zugeschnitten ist.
Sie können Geräte mit Android 6.0 Marshmallow und höher als unternehmenseigene, für einenbestimmten Zweck genutzte Geräte (corporate-owned, single-use, COSU) konfigurieren. Der COSU-Modus ermöglicht es Ihnen, Geräte für einen bestimmten Zweck zu verwenden, wie z. B. Kiosk-Modus,indem Sie unterstützte interne und öffentliche Anwendungen auf eine Whitelist setzen. Der COSU-Moduswird für den Einzelanwendungs-Modus, den Multi-App-Modus und Vorlagenmodus unterstützt. WeitereInformationen zum Bereitstellen von Workspace ONE Launcher-Profilen im COSU-Modus finden Sie inder Workspace ONE Launcher-Publikation.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die Einstellungen des Profils unter Allgemein.
Diese Einstellungen bestimmen, wie das Profil bereitgestellt wird und wer es erhält.
3 Wählen Sie die das Launcher-Profil.
4 Wählen Sie den Anwendungsmodus:
Einstellung Beschreibung
Einzelne Anwendung Wählen, um das Gerät auf eine Mobilkioskansicht zur Einzelanwendungsnutzungfestzulegen.
Mehrere Anwendungen Wählen, um das Gerät auf eine bestimmte Reihe an Anwendungen zu begrenzen.
Vorlage Wählen, um die Startseite des Geräts mit Bildern, Texten und Anwendungenanzupassen.
5 Konfigurieren Sie Ihren gewählten Anwendungsmodus.
6 Klicken Sie auf Speichern, um das Profil der Workspace ONE UEM Konsole hinzuzufügen, oder aufSpeichern und veröffentlichen, um das Profil hinzuzufügen und sofort für entsprechende Android-Geräte einzusetzen.
Android-Plattform
VMware, Inc. 85
Konfigurieren von Firewallregeln (Android)Die Firewall-Nutzlast ermöglicht es Administratoren, Firewallregeln für Android-Geräte zu konfigurieren.Jeder Firewallregeltyp ermöglicht Ihnen, mehrere Regeln hinzuzufügen.
Hinweis Die Firewallnutzlast trifft nur auf SAFE 2.0+-Geräte zu.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Androidoder Android (Legacy).
2 Wählen Sie Gerät, um Ihr Profil einzusetzen.
3 Konfigurieren Sie die allgemeinen Profileinstellungen. Das Firewall-Profil wird nur für Android-Profile angezeigt, wenn das Feld OEM-Einstellungen auf „aktiviert“ eingestellt und im Feld OEMauswählen Samsung ausgewählt wurde. Das Feld „OEM-Einstellungen“ im allgemeinen Profil gilt nurfür Android-Profile und nicht für Android (Legacy)-Konfigurationen.
Die Einstellungen unter „Allgemein“ bestimmen, wie das Profil eingesetzt wird und wer es erhält.
4 Wählen Sie das Firewall-Profil.
5 Wählen Sie die Schaltfläche Hinzufügen unter der gewünschten Regel, um die Einstellungen zukonfigurieren:
Einstellung Beschreibung
Regeln zulassen Ermöglicht dem Gerät, das Senden an und Empfangen von einer bestimmterNetzwerkadresse.
Regeln ablehnen Hindert das Gerät am Senden und Empfangen von Datenverkehr an eine bzw. voneiner bestimmten Netzwerkadresse.
Regeln umleiten Leitet Netzwerkverkehr von einer bestimmten Netzwerkadresse an ein alternativesNetzwerk. Wenn eine zulässige Website den Verkehr an eine andere URL umleitet,fügen Sie alle umgeleiteten URLs zum Abschnitt „Zulassungsregeln“ hinzu, damitsie aufgerufen werden können..
Redirecaccessed.ion Verhindert, dass Datenverkehr umgeleitet wird.
6 Wählen Sie Speichern und veröffentlichen.
Die Firewall-Konfiguration ist ein IP-Adress-basiertes Tool. Das Hinzufügen von Hostnamenfunktioniert nicht. Dienste wie Google und Amazon pflegen nicht immer statische IP-Adressen. Daherwird empfohlen, Hostnamen zu verwenden, was aber zu Inkonsistenzen führen kann.
APN-Profil konfigurierenKonfigurieren Sie die Zugriffspunktnamen-Einstellungen (Access Point Name, APN) der Android-Geräte,um die Einstellungen des Geräteflottenbetreibers zu vereinheitlichen und Fehlkonfigurationen zubeheben.
Android-Plattform
VMware, Inc. 86
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Wählen Sie Gerät aus, um Ihr Profil für ein Gerät einzusetzen.
3 Konfigurieren Sie die Einstellungen des Profils unter Allgemein. Das APN-Profil wird nur angezeigt,wenn das Feld OEM-Einstellungen auf Aktiviert eingestellt und im Feld OEM auswählen die Option„Samsung“ ausgewählt wurde.
Die Profileinstellungen unter „Allgemein“ bestimmen, wie das Profil eingesetzt wird und wer es erhält.
4 Wählen Sie die APN-Nutzlast.
5 Konfigurieren Sie die Einstellungen für APN, einschließlich:
Einstellung Beschreibung
Anzeigename Geben Sie einen benutzerfreundlichen Namen des Zugriffsnamens ein.
Zugriffspunktname (APN) Geben Sie den APN ein, den Sie von Ihrem Mobilfunkanbieter erhalten haben.(Beispiel: come.moto.mobilfunknetz)
Mobile Country Code (MCC) Geben Sie die dreistellige Landeskennzahl ein. Mit diesem Wert wird überprüft, obGeräte die Roamingdienste eines anderen Betreibers nutzen als dem hierangegebenen.
Dies wird in Kombination mit einer Mobilfunknetz-Kennzahl (Mobile Network Code,MNC) verwendet, um über GSM (einschließlich GSM-R), UMTS und LTEMobilnetzwerke einen eindeutigen Mobilfunkanbieter zu identifizieren.
Mobile Network Code (MNC) Geben Sie die dreistellige Landeskennzahl ein. Mit diesem Wert wird überprüft, obGeräte die Roamingdienste eines anderen Betreibers nutzen als dem hierangegebenen. Dies wird in Kombination mit einem Mobile Country Code (MCC)verwendet, um über GSM (einschließlich GSM-R), UMTS und LTE-Mobilnetzwerkeeinen eindeutigen Mobilfunkbetreiber zu identifizieren.
MMS Server (MMSC) Geben Sie die Serveradresse an.
MNS Proxyserver Geben Sie die MNS-Portnummer ein.
MMS Proxyserver Port Geben Sie den Zielport für den Proxyserver ein.
Server Geben Sie den Namen oder die Adresse für die Verbindung ein.
Proxy-Server Geben Sie die Proxyserver-Details ein.
Proxyserver Port Geben Sie den Proxyserver-Port für alle Verbindungen ein. Wählen Sie„Hinzufügen“, um diesen Prozess fortzusetzen.
Benutzername am Zugriffspunkt Geben Sie den Benutzernamen ein, der sich mit dem Zugriffspunkt verbindet.
Kennwort des Zugriffpunkts Geben Sie das Kennwort ein, das den Zugriffspunkt authentifiziert.
Authentifizierungstyp Wählen Sie das Authentifizierungsprotokoll.
Als bevorzugtes APN festlegen Aktivieren Sie diese Funktion, um zu gewährleisten, dass alle Endbenutzergerätedie gleichen APN-Einstellungen haben, und um zu verhindern, dass Änderungenvom Gerät oder Anbieter vorgenommen werden.
6 Wählen Sie Speichern und veröffentlichen.
Android-Plattform
VMware, Inc. 87
Schutz des Unternehmens bei Zurücksetzung aufWerkseinstellungenSchutz bei Zurücksetzung auf Werkseinstellungen (Factory Reset Protection, FRP) ist eine Android-Sicherheitsmethode, die die Verwendung eines Geräts nach einem Zurücksetzen der Werksdatenverhindert, bis Sie sich mit einem zuvor auf dem Gerät eingerichteten Google-Benutzernamen undKennwort anmelden.
Sie müssen mit dem ursprünglichen Google-Konto des Geräts (das Sie zur Einrichtung verwendet haben)angemeldet sein, um ein Gerät nach dem Zurücksetzen auf die Werkseinstellungen verwenden zukönnen. Wenn Sie mit dem ursprünglichen Google-Konto angemeldet sind, stellt dies ein Problem für denAdministrator dar, wenn ein Gerät zurückgegeben wird und der Benutzer FRP aktiviert hat. Wenn dasGerät der Organisation zurückgegeben wird (wenn der Benutzer beispielsweise das Unternehmenverlässt), kann der Administrator das Gerät nach dem Zurücksetzen auf die Werkseinstellungen aufgrunddieser Verbraucherfunktion nicht wieder einrichten.
Das Profil für den Schutz bei Zurücksetzung auf Werkseinstellungen verwendet eine Google-Benutzer-ID,mit der Sie das Google-Konto nach dem Zurücksetzen auf die Werkseinstellungen überschreiben können,um das Gerät einem anderen Benutzer zuzuweisen.
Schutz vor Unternehmenszurücksetzung konfigurieren(Android)Mit dem Profil zum Schutz vor Unternehmenszurücksetzung können Sie Google-Benutzer-IDs erstellen,mit denen Sie das Gerät einrichten oder das Zurücksetzen abschließen können. Mit diesen Google-Benutzer-IDs können Sie das Gerät ohne das ursprüngliche Google-Konto zurücksetzen. Ihre Google-Benutzer-ID können Sie mithilfe der API „People:get“ zum Konfigurieren des Profils abrufen.
FRP kann auch entfernt werden, wenn eine Geräte-Löschung über Geräteverwaltungs-Befehleausgeführt wird. Weitere Informationen zur Geräteverwaltung finden Sie unter Geräteverwaltungs-Befehle(Android).
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die allgemeinen Profileinstellungen nach Bedarf.
3 Wählen Sie die Nutzlast Schutz vor Unternehmenszurücksetzung aus.
4 Konfigurieren Sie die folgenden Einstellungen, um die Kontrollstufe für Ihre Anwendungseinsätzefestzulegen:
Einstellung Beschreibung
Google-Benutzer-IDs Geben Sie die Google-Benutzer-ID ein, die Sie über Google People:get erhaltenhaben.
5 Wählen Sie Speichern und veröffentlichen.
Android-Plattform
VMware, Inc. 88
Konfigurieren des Zebra MX-Profils (Android)Das Zebra-MX-Profil ermöglicht es Ihnen, die zusätzlichen Funktionen der Zebra-MX-Service-Anwendungauf Android-Geräten zu nutzen. Die Zebra-MX-Service-Anwendung kann per Push von Google Playübertragen werden und AirWatch Resources verteilt es als interne Anwendung in der Workspace ONEUEM-Konsole in Verbindung mit diesem Profil.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die allgemeinen Profileinstellungen nach Bedarf. Aktivieren Sie das Feld OEM-Einstellungen und wählen Sie Zebra aus dem Feld OEM auswählen aus, um das Zebra-MX-Profilzu aktivieren.
3 Konfigurieren Sie die Zebra-MX-Profileinstellungen:
Einstellung Beschreibung
Fusion-Einstellungen einbeziehen Aktivieren Sie diese Option, um Fusion-Optionen zur Verwendung mit Fusion-Adapter für Motorola-Geräte zu erweitern.
Fusion 802.11d festlegen Aktivieren Sie diese Option, um Fusion 802.11d zu verwenden, um die Fusion802.11d-Einstellungen festzulegen.
802.11d aktivieren Aktivieren Sie diese Option, um 802.11d-Drahtlosspezifikationen zum Betrieb inweiteren regulativen Domänen zu verwenden.
Ländercode festlegen Aktivieren Sie diese Option, um den Ländercode zur Verwendung in den 802.11d-Spezifikationen festzulegen.
RF-Band festlegen Aktivieren Sie diese Option, um 2,4 GHz, 5 GHz oder beide Bänder und eventuellzutreffende Kanalmasken zu wählen.
Flugzeugmodus zulassen Aktivieren, um den Zugriff auf den Bildschirm „Einstellungen Flugzeugmodus“zuzulassen.
Pseudostandorte zulassen Aktiviert oder deaktiviert Pseudostandorte (unter „Einstellungen“ >„Entwickleroptionen“).
Hintergrunddaten zulassen Aktiviert oder deaktiviert Hintergrunddaten.
Unterbrechen der WLAN-Verbindungim Standbymodus zulassen
Immer an: WLAN bleibt aktiviert, wenn das Gerät in den Energiesparmodusübergeht.
Nur wenn eingesteckt: WLAN bleibt nur dann aktiviert, wenn das in denEnergiesparmodus übergeht, wenn das Gerät geladen wird.
Nie an: WLAN wird deaktiviert, wenn das Gerät in den Energiesparmodusübergeht.
Datennutzung im Roamingbetrieb Aktivieren, um eine Datenverbindung im Roamingbetrieb zuzulassen.
WLAN-Aktivierung erzwingen Aktivieren, um WLAN-Verbindung zu erzwingen und der Benutzer dies nichtdeaktivierten kann.
Bluetooth zulassen Aktivieren, um die Verwendung von Bluetooth zuzulassen.
Zwischenablage zulassen Aktivieren, um Kopieren/Einfügen zuzulassen.
Android-Plattform
VMware, Inc. 89
Einstellung Beschreibung
Benachrichtigung zurNetzwerküberwachung zulassen
Aktivieren, um Netzwerküberwachungs-Warnmeldungen zuzulassen, die in derRegel nach der Installation von Zertifikaten angezeigt werden.
Datums-/Zeiteinstellungen aktivieren Aktivieren, um Datums-/Zeiteinstellungen festzulegen.
Datumsformat Bestimmen Sie die Reihenfolge, in der Monat, Tag und Jahr angezeigt werden.
Zeitformat Wählen Sie 12- oder 24-Stunden-Format.
Datum/Uhrzeit Wählen Sie die Datenquelle, von der Ihre Geräte Datum- und Zeiteinstellungenbeziehen sollen.
n Bei Automatisch werden Datum und Uhrzeit gemäß den systemeigenenGeräteeinstellungen festgelegt.
n Serverzeit: Stellt die Zeit basierend auf der Serverzeit von Workspace ONEUEM Console ein.
n Zeitzone: Geben Sie die Zeitzone an.
n HTTP-URL: Workspace ONE UEM Intelligent Hub kontaktiert die URL und ruftden Zeitstempel aus dem HTTP-Header ab. Anschließend wird diese Zeit aufdas Gerät angewendet. Es werden keine Sites verarbeitet, die Umleitungendurchführen.
n URL: Geben Sie die Webadresse für den Datum/Uhrzeit-Plan ein.
• Muss „http://“ enthalten. Beispiel: http://www.google.de
• HTTPS wird nicht unterstützt
n Periodische Synchronisierung aktivieren: Aktivieren Sie diese Option,um die regelmäßige Prüfung von Datum/Uhrzeit in Tagen auf dem Geräteinzustellen.
n Zeitzone festlegen – Geben Sie die Zeitzone an.
n SNTP-Server: Die NTP-Einstellungen werden direkt auf das Gerätangewendet.
n URL: Geben Sie die Webadresse des NTP-/SNTP-Servers ein. Sie könnenbeispielsweise time.nist.gov verwenden.
n Periodische Synchronisierung aktivieren: Aktivieren Sie diese Option,um die regelmäßige Prüfung von Datum/Uhrzeit in Tagen auf dem Geräteinzustellen.
Musik, Video, Spiele und andereMedien
Setzen Sie den Schieberegler auf die Lautstärke, die Sie für das Gerät festlegenmöchten.
Klingeltöne & Benachrichtigungen Setzen Sie den Schieberegler auf die Lautstärke, die Sie für das Gerät festlegenmöchten.
Sprachanrufe Setzen Sie den Schieberegler auf die Lautstärke, die Sie für das Gerät festlegenmöchten.
Standardbenachrichtigungenaktivieren
Ermöglicht Tonbenachrichtigung bei Standardbenachrichtigungen auf dem Gerät.
Wahltastaturtöne aktivieren Ermöglicht Wähltastaturtöne auf dem Gerät.
Tastentöne aktivieren Ermöglicht Tastaturtöne auf dem Gerät.
Sperrbildschirmtöne aktivieren Ermöglicht Tonwiedergabe bei Gerätesperrung.
Vibration bei Berührung aktivieren Ermöglicht Aktivierung von Vibrationseinstellungen.
Display-Einstellungen aktivieren Aktivieren, um Display-Einstellungen festzulegen.
Anzeigehelligkeit Legen Sie mit dem Schieberegler die gewünschte Helligkeit fest.
Android-Plattform
VMware, Inc. 90
Einstellung Beschreibung
Automatische Bildschirmdrehungaktivieren
Ermöglichen Sie die automatische Drehung des Bildschirms.
Standbymodus festlegen Legen Sie die Zeit fest, nach der der Bildschirm in den Energiesparmodus fallensoll.
4 Wählen Sie Speichern und veröffentlichen.
Verwenden von benutzerdefinierten Einstellungen(Android)Die Nutzlast für Benutzerdefinierte Einstellungen kann verwendet werden, wenn eine neue Android-Funktionalität erscheint, die Workspace ONE UEM Console momentan nicht durch systemeigeneNutzlasten unterstützt. Verwenden Sie die Nutzlast für Benutzerdefinierte Einstellungen und XML-Codefür die manuelle Aktivierung bzw. Deaktivierung bestimmter Einstellungen.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android.
2 Konfigurieren Sie die Einstellungen des Profils unter Allgemein.
3 Konfigurieren Sie die entsprechende Nutzlast (z. B. Restriktionen oder Kennung).
Sie können an einer Kopie Ihres Profils arbeiten, die unter einer „Test“-Organisationsgruppegespeichert ist, um Auswirkungen auf die Benutzer zu vermeiden, bevor Sie zum Speichern undVeröffentlichen bereit sind.
4 Speichern Sie Ihr Profil, aber veröffentlichen Sie es nicht.
5 Aktivieren Sie in der Profillistenansicht das Optionsfeld für die Zeile des Profils, das Sie anpassenmöchten.
6 Wählen Sie die XML-Schaltfläche oben, um das XML-Profil anzusehen.
7 Suchen Sie den Abschnitt des von Ihnen zuvor konfigurierten Texts, der mit <characteristic> ...<characteristic> beginnt, zum Beispiel „Restriktionen“ oder „Passcode“. Der Abschnitt enthält einenKonfigurationstyp, der seinen Zweck identifiziert, zum Beispiel „Restriktionen“.
8 Kopieren Sie diesen Textabschnitt und schließen Sie die XML-Ansicht. Öffnen Sie Ihr Profil.
9 Wählen Sie die Nutzlast für Benutzerdefinierte Einstellungen und klicken Sie auf Konfigurieren.Fügen Sie die zuvor kopierte XML in das Textfeld ein. Der hinzugefügte XML-Code sollte denvollständigen Codeblock enthalten, von <characteristic> bis <characteristic>.
Android-Plattform
VMware, Inc. 91
10 Entfernen Sie die konfigurierte ursprüngliche Nutzlast, indem Sie den unteren Nutzlastbereichauswählen und die Minus-Schaltfläche [-] auswählen. Sie können jetzt das Profil aufwerten, indemSie für die neue Funktionalität einen benutzerdefinierten XML-Code hinzufügen.
Geräte, die noch nicht auf die neueste Version aktualisiert wurden, ignorieren die von Ihnen erstelltenErweiterungen. Da der Code jetzt benutzerdefiniert ist, sollten Sie das Profil mit Geräten mit älterenVersionen testen, um das erwartete Verhalten zu prüfen.
11 Wählen Sie Speichern und veröffentlichen.
Android-Plattform
VMware, Inc. 92
Gemeinschaftsgeräte 5Die Funktionalität für Gemeinschafts-/Mehrbenutzergeräte sorgt dafür, dass Sicherheit undAuthentifizierung für jeden einzelnen Endbenutzer gewährleistet werden. Gegebenenfalls ermöglichenGemeinschaftsgeräte nur speziellen Endbenutzern den Zugriff auf vertrauliche Informationen.
Jedem Mitarbeiter in gewissen Organisationen ein Gerät zu geben, kann sich zum einemkostenintensiven Unterfangen entwickeln. Mit Workspace ONE UEM powered by AirWatch können SieMobilgeräte zur Nutzung durch mehrere Endbenutzer auf zwei Weisen einsetzen: mit einer einzigenfesten Konfiguration für alle Endbenutzer oder mit einer eindeutigen Konfigurationseinstellung für jedeneinzelnen Benutzer.
Bei der Verteilung von Gemeinschaftsgeräten müssen Sie die Geräte zuerst mit entsprechendenAnwendungseinstellungen und -restriktionen versehen, bevor Sie sie für Endbenutzer bereitstellen.Einmal bereitgestellt, verwendet Workspace ONE UEM einen einfachen An- oder Abmeldeprozess fürfreigegebene Geräte, in dem Endbenutzer zur Anmeldung einfach ihre Anmeldedaten fürVerzeichnisdienste oder dedizierte Anmeldedaten eingeben. Von der Rolle des Endbenutzers hängt dieEbene des Zugriffs auf Unternehmensressourcen wie Inhalte, Funktionen und Anwendungen ab. AufBasis dieser Rolle werden beim Anmelden des Endbenutzers automatisch die Funktionen undRessourcen konfiguriert, die ihm dann nach der Anmeldung zur Verfügung stehen.
Die An- und Abmeldefunktionen sind innerhalb von Workspace ONE Intelligent Hub eigenständig. DieEigenständigkeit stellt sicher, dass der Registrierungsstatus nie betroffen ist und dass das Gerätunabhängig davon verwalten wird, ob es verwendet wird oder nicht.
Gemeinschaftsgeräte – FunktionalitätEs gibt grundlegende Funktionen im Bereich der Funktionalität und Sicherheit von Geräten, die aufmehrere Benutzer zutreffen müssen. Diese Funktionen bieten überzeugende Gründe,Gemeinschaftsgeräte als kosteneffiziente Lösung zur bestmöglichen Ausschöpfung vonUnternehmensmobilität zu erwägen.
Funktionalitätn Individualisieren Sie das Benutzererlebnis des einzelnen Endbenutzers, ohne
Unternehmenseinstellungen zu verlieren.
n Bei der Anmeldung auf einem Gerät wird das Gerät je nach Endbenutzerrolle undOrganisationsgruppe (OG) mit bestimmten Unternehmenszugriffsrechten sowie Einstellungen,Anwendungen und Inhalten konfiguriert.
VMware, Inc. 93
n Ermöglichen Sie einen eigenständigen An- und Abmeldevorgang in Workspace ONE Intelligent Huboder VMware Identity Manager.
n Nachdem sich der Endbenutzer vom Gerät abgemeldet hat, werden die Konfigurationseinstellungendieser Sitzung gelöscht. Danach kann sich ein anderer Endbenutzer an diesem Gerät anmelden.
Sicherheitn Versehen Sie Geräte mit Einstellungen für Gemeinschaftsgeräte, bevor Sie diese den Endbenutzern
zur Verfügung stellen.
n Endbenutzer können sich ohne Auswirkungen auf die Geräteregistrierung bei Workspace ONE UEMauf Geräten an- und abmelden.
n Endbenutzer können sich bei der Anmeldung über Verzeichnisdienste oder dedizierte WorkspaceONE UEM Anmeldedaten authentifizieren.
n Authentifizieren Sie Endbenutzer mithilfe von VMware Identity Manager.
n Verwalten Sie ein Gerät sogar, wenn es nicht angemeldet ist.
Plattformen, die Gemeinschaftsgeräte unterstützenFolgende Geräte unterstützen Funktionalität für Gemeinschafts-/ Mehrbenutzergeräte.
n Android ab Version 4.3
n iOS-Geräte mit Workspace ONE Intelligent Hub ab Version 4.2,
n MacOS-Geräte mit Workspace ONE Intelligent Hub ab Version 2.1.
Dieses Kapitel enthält die folgenden Themen:
n Konfigurieren von Android für Gemeinschaftsgeräte
n Konfigurieren von Gemeinschaftsgeräten
n Festlegen der Gemeinschaftsgerätehierarchie
n Anmelden bei und Abmelden von Android-Gemeinschaftsgeräten
Konfigurieren von Android für GemeinschaftsgeräteUm Android-Geräte gemeinsam nutzen zu können, müssen Sie die Geräte mit Workspace ONEIntelligent Hub registrieren, die Workspace ONE Launcher-App als standardmäßige Startseite festlegenund das Launcher-Profil erstellen und zuweisen. Während der Registrierung wird Workspace ONELauncher automatisch heruntergeladen. Sie müssen jedoch festlegen, welche Version der Launcher-Anwendung an die Geräte übertragen wird.
Verfahren
1 Navigieren Sie zu Geräte > Geräteeinstellungen > Android > Dienstanwendungen.
Android-Plattform
VMware, Inc. 94
2 Konfigurieren Sie die entsprechenden Einstellungen:
Einstellung Beschreibung
Immer die aktuellste Launcher-Version verwenden
Ist diese Funktion aktiviert, wird die aktuelle Version der Anwendung automatischauf die Geräte übertragen, sobald sie verfügbar ist.
Launcher-Version Wählen Sie im Dropdown-Menü manuell die Version, die Sie auf die Geräteübertragen möchten.
3 Wählen Sie Speichern.
4 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android > Launcher und konfigurieren Sie das Launcher-Profil für jede untergeordneteOrganisationsgruppe. Dieses Profil sollte alle gängigen Einstellungen umfassen, die für dieseOrganisationsgruppe wichtig sind.
Wichtig Sie sollten unbedingt die Einstellung Admin-Kennung beibehalten, wenn Launcher-Profil vom Gerät entfernt wird aktivieren, um sicherzustellen, dass Staging-Benutzer und dieBenutzer der Gemeinschaftsgeräte sich nicht bei der Launcher-Anwendung abmelden können, ohnedie Admin-Kennung einzugeben.
Weisen Sie einem Staging-Benutzer nicht das Launcher-Profil zu.
5 Registrieren Sie das Gerät als Staging-Benutzer für die Registrierungsorganisationsgruppe.Daraufhin wird die .apk-Datei der Launcher-Anwendung installiert und standardmäßig derAnmeldebildschirm angezeigt.
Die .apk-Datei der Launcher-Anwendung muss vor dem Launcher-Profil im Staging-Manifestinstalliert werden.
6 Melden Sie sich an, indem Sie die Gruppen-ID, den Namen und das Kennwort des Benutzers desGemeinschaftsgeräts eingeben, und weisen Sie das Gerät so diesem Benutzer sowie derentsprechenden untergeordneten Organisationsgruppe zu. Nun wird das Launcher-Profil auf dasGerät übertragen, und die Konsole zeigt an, welcher Benutzer auf dem Gerät angemeldet ist.
Wichtig Geben Sie die Gruppen-ID nur ein, wenn Sie in den Einstellungen für Gemeinschaftsgerätefür den Gruppenzuweisungsmodus die Option Benutzer zur Eingabe bezüglichOrganisationsgruppe auffordern aktiviert haben.
7 Melden Sie sich auf dem Gerät beim Launcher-Profil ab. Dadurch wird das Gerät automatisch wiederdem Staging-Benutzer und der ursprünglichen Registrierungsorganisationsgruppe zugewiesen, undauch das Launcher-Profil wird entfernt.
Konfigurieren von GemeinschaftsgerätenÄhnlich wie beim Staging eines Einzelbenutzergeräts ermöglicht Mehrbenutzerstaging (ein„Gemeinschaftsgerät“) den IT-Administratoren, Geräte zur Verwendung durch mehr als einen Benutzerbereitzustellen.
Android-Plattform
VMware, Inc. 95
Verfahren
1 Füllen Sie gegebenenfalls den Abschnitt Sicherheit aus.
Einstellung Beschreibung
Gemeinschaftsgeräte-Passcodeverlangen
Verlangt, dass Benutzer im Self-Service-Portal eine Gemeinschaftsgerätekennungerstellen, um Geräte auszuchecken. Diese Kennung unterscheidet sich von einer SingleSign-On-Kennung oder einer Kennung der Geräteebene.
Sonderzeichen verlangen Legen Sie fest, dass Kennungen für Gemeinschaftsgeräte Sonderzeichen wie @, %, &usw. enthalten müssen.
Minimallänge fürGemeinschaftsgerätekennung
Legen Sie die minimale Zeichenlänge der Gemeinschaftsgerätekennungen fest.
Ablaufzeit (in Tagen) derGemeinschaftsgerätekennungen
Legen Sie die Zeit (in Tagen) fest, nach der die Gemeinschaftsgerätekennung ablaufensoll.
Gemeinschaftsgerätekennung fürMinimalzeit (in Tagen) beibehalten
Legen Sie einen Mindestzeitraum (in Tagen) fest, für den eine Kennung fürGemeinschaftsgeräte mindestens gültig sein muss.
Kennungsverlauf Legen Sie die Anzahl der Kennungen fest, die vom System gespeichert werden, um dieSicherheit der Umgebung dadurch zu erhöhen, dass der Benutzer ältere Kennungennicht erneut verwenden kann.
Automatische Abmeldung Legen Sie fest, dass Benutzer nach einer bestimmten Zeitspanne automatischabgemeldet werden.
Automatische Abmeldung nach Legen Sie die Zeitspanne fest, die verstreichen muss, bevor die FunktionAutomatisches Abmelden aktiviert wird. Diese können Sie in Minuten, Stunden oderTagen angeben.
iOS-Einzel-App-Modus Aktivieren Sie dieses Kontrollkästchen, um den Einzelanwendungsmodus zukonfigurieren. Dadurch wird das Gerät auf eine einzige Anwendung beschränkt, wennsich ein Endbenutzer auf dem Gerät anmeldet.
Um ein iOS-Gerät im Einzelanwendungsmodus auszuchecken, müssen sichEndbenutzer mit ihren Anmeldedaten anmelden. Wenn das Gerät erneut eingechecktwird, kehrt es in den Einzelanwendungsmodus zurück.
Durch die Aktivierung des Einzelanwendungsmodus wird auch die Starttaste auf demGerät deaktiviert.
Hinweis Der Einzelanwendungsmodus wird nur auf überwachte iOS-Geräteangewendet.
2 Konfigurieren Sie gegebenenfalls die Abmelde-Einstellungen.
Einstellung Beschreibung
Android App-Daten löschen Löschen Sie die Anwendungsdaten, wenn sich der Benutzer von einem gemeinsam genutztenGerät abmeldet (eincheckt).
Android-Apps neu installieren Verwenden Sie das Dropdown-Menü, um auszuwählen, ob die Anwendung bei Benutzerwechselnimmer oder nie neu installiert werden soll. Bei Android (Legacy)-Bereitstellungen können Sie dieAPP neu installieren, wenn der Hub bei Benutzerwechseln keine Anwendungsdaten löschen kann.
Android-Plattform
VMware, Inc. 96
Einstellung Beschreibung
Android-Gerätekennunglöschen
Diese Einstellung steuert, ob die aktuelle Android-Gerätekennung gelöscht wird, wenn derBenutzer ein von mehreren Benutzern verwendetes Gerät abmeldet (eincheckt).
iOS-Gerätekennung löschen Diese Einstellung steuert, ob die aktuelle iOS-Gerätekennung gelöscht wird, wenn der Benutzer einvon mehreren Benutzern verwendetes Gerät abmeldet (eincheckt).
Festlegen der GemeinschaftsgerätehierarchieObwohl dies rein optional ist, bietet eine Organisationsgruppe (OG) speziell für freigegebene Geräte vieleVorteile aufgrund von Mehrmandantenfähigkeit und geerbten Geräteeinstellungen.
Wenn Sie über eine große Anzahl von gemeinsam genutzten Geräten verfügen und diese unabhängigvon den Einzelbenutzergeräten verwalten möchten, können Sie eine freigegebene gerätespezifische OGerstellen. Das Erstellen einer freigegebenen Gerätehierarchie in Ihrer OG-Struktur ist optional.Funktionen wie intelligente Gruppen und Benutzergruppen bedeuten, dass Sie sich nicht unbedingt aufdas Design der OG-Hierarchie verlassen müssen, um die Geräteverwaltung zu vereinfachen.
Die Verwendung einer gemeinsam genutzten Geräte-OG (oder verschachtelter OGs) vereinfacht jedochdie Geräteverwaltung, da Sie die Gerätefunktionalität über Profile, Richtlinien und Gerätevererbung ohneden von einer intelligenten Gruppe oder einer Benutzergruppe benötigten Verarbeitungsaufwandstandardisieren können.
Verfahren
1 Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Organisationsgruppen >Organisationsgruppendetails.
Hier wird eine OG angezeigt, die für Ihr Unternehmen steht.
2 Überprüfen Sie die Genauigkeit der angezeigten Organisationsgruppendetails und nehmen Siemithilfe der verfügbaren Einstellungen die gewünschten Änderungen vor. Falls Sie Änderungenvornehmen, klicken Sie danach auf Speichern.
3 Wählen Sie Untergeordnete Organisationsgruppe hinzufügen.
4 Geben Sie für die OG auf der nächsthöchsten Ebene unter Ihrer Organisationsgruppe der höchstenEbene folgende Informationen ein.
Einstellung Beschreibung
Name Geben Sie den Namen für die untergeordnete Organisationsgruppe (OG) ein, der angezeigt werden soll.Verwenden Sie nur alphanumerische Zeichen. Verwenden Sie keine Sonderzeichen.
Gruppen-ID Geben Sie eine Bezeichnung für die OG ein, die Endbenutzer bei der Geräteanmeldung angeben müssen.Gruppen-IDs werden während der Registrierung von Gruppengeräten in der entsprechenden OGverwendet.
Stellen Sie sicher, dass alle Benutzer, die Geräte gemeinsam nutzen, die Gruppen-ID erhalten, da diesemöglicherweise zur Geräteanmeldung erforderlich ist (je nach Konfiguration der Gemeinschaftsgeräte).
Wenn Sie sich nicht in einer lokalen Umgebung befinden, identifiziert die Gruppen-ID IhreOrganisationsgruppe über die gesamte gemeinsam genutzte SaaS-Umgebung hinweg. Aus diesem Grundmüssen alle Gruppen-IDs eindeutig benannt sein.
Android-Plattform
VMware, Inc. 97
Einstellung Beschreibung
Typ Wählen Sie den vorkonfigurierten OG-Typ, der der Kategorie der untergeordneten OG entspricht.
Land Wählen Sie das Land der OG.
Gebietsschema Wählen Sie die Sprachenklassifikation für das ausgewählte Land.
Branche des Kunden Diese Einstellung ist nur verfügbar, wenn für Typ „Kunde“ gewählt ist. Wählen Sie eine Option aus der Listemit Kundenbranchen.
Zeitzone Wählen Sie die Zeitzone für den Standort der Organisationsgruppe aus.
5 Wählen Sie Speichern.
Anmelden bei und Abmelden von Android-GemeinschaftsgerätenUm die Gemeinschaftsgerätefunktion auf Android-Geräten zu nutzen, müssen Sie die Geräte beiWorkspace ONE Intelligent Hub registrieren und den VMware Workspace ONE Launcher alsstandardmäßige Startseite festlegen. Der VMware Workspace ONE Launcher wird automatisch währendder Registrierung heruntergeladen.
Sobald die Anwendung installiert und als standardmäßige Startseite festgelegt ist, gilt das Gerät alseingecheckt. Solange sich das Gerät in diesem Modus befindet, kann der Endbenutzer keine andereSeite aufrufen und das Gerät fordert ihn dazu auf, sich abzumelden. Um das Profil zu entfernen und dasgesamte Gerät wieder verfügbar zu machen, führen Sie eine Enterprise-Löschung auf dem Staging-Benutzergerät von der Workspace ONE UEM Console aus.
Verfahren
1 Auf der Anmeldeseite des VMware Workspace ONE Launchers müssen Benutzer ihre Gruppen-ID,ihren Benutzernamen und ihr Kennwort eingeben. Wenn auf der Konsole Benutzer zur Eingabebezüglich Organisationsgruppe auffordern aktiviert ist, müssen Endbenutzer zur Anmeldung eineGruppen-ID eingeben.
2 Wählen Sie Anmelden und akzeptieren Sie, falls zutreffend, die Nutzungsbedingungen.
Das Gerät wird konfiguriert. Nach der Anmeldung werden die Benutzerprofile per Push übertragen, jenach Smartgroup und Benutzergruppenzuordnung.
Nächste Schritte
Um sich von einem Android-Gerät abzumelden, wählen Sie die Schaltfläche Einstellungen und dannAbmelden aus.
Android-Plattform
VMware, Inc. 98
Android-Geräteverwaltung imÜberblick 6Nachdem Sie Geräte registriert und konfiguriert haben, verwalten Sie diese mit der Workspace ONE ™UEM-Konsole. Mit den Verwaltungstools und -funktionen können Sie Geräte überwachen undadministrative Aufgaben remote ausführen.
Sie können Ihre gesamten Geräte in der UEM-Konsole verwalten. Das Dashboard ist einedurchsuchbare, anpassbare Ansicht, mit der Sie bestimmte Geräte filtern und suchen können. DieseFunktion erleichtert die Ausführung administrativer Funktionen auf einem bestimmten Satz an Geräten. Inder Gerätelistenansicht werden alle Geräte angezeigt, die aktuell in der Workspace ONE UEM-Umgebung registriert sind, sowie der zugehörige Status. Die Seite Gerätedetails enthältgerätespezifische Informationen wie Profile, Anwendungen, Workspace ONE Intelligent Hub-Version undVersion jedes derzeit auf dem Gerät installierten OEM-Dienstes. Außerdem können Sie auf der Seite„Gerätedetails“ plattformspezifische Remote-Aktionen ausführen.
Dieses Kapitel enthält die folgenden Themen:
n Geräteverwaltungs-Befehle (Android)
n Registerkarte Gerätedetails Anwendungen
n Übersicht über Android-Updates
n SafetyNet-Nachweis
n SafetyNet-Nachweis aktivieren
n Bestimmte Profilfunktionen für Android
n Bestimmte Einschränkungen für Android
Geräteverwaltungs-Befehle (Android)Sie können Android-Einstellungen und -Konfigurationen über Workspace ONE UEM Console verwalten.
Administratoren haben die Möglichkeit, mehrere Befehle gleichzeitig auszuführen, einschließlich Löschenund Sperren von Geräte und eine Kennung über Workspace ONE UEM Console zu ändern. Für Lollipop-Geräte gelten diese Befehle je nach Gerätebesitz entweder auf der Work-Profil-Ebene oder auf derEbene des vom Unternehmens verwalteten Geräts.
VMware, Inc. 99
Die folgenden Befehle sind in dieser Ansicht verfügbar:
n Gerät sperren: Sperren Sie alle ausgewählten Geräte und fordern Sie Benutzer auf, dieGerätesicherheits-PIN einzugeben. Diese Option gilt für das Work-Profil und den Modus „VomUnternehmen verwaltetes Gerät“.
n Geräte-Löschung: Entfernt alle Daten von dem ausgewählten Gerät, einschließlich E-Mails, Profilenund MDM-Funktionen, und setzt das Gerät auf die Werkseinstellungen zurück. Diese Einstellung giltnur für den Typ „Vom Unternehmen verwaltetes Gerät“. Wenn Enterprise-Factory Reset Protection(FRP) aktiviert ist, wird eine Aufforderung angezeigt, die es Ihnen ermöglicht, FRP vor dem Löschenzu deaktivieren.
n Kennung löschen: Es gibt verschiedene Befehle, die sich auf das Gerät oder das Work-Profilauswirken:
n Wählen Sie Gerät, um die Geräte-Kennung zu löschen.
n Wählen Sie Work-Kennung löschen, um die Work-Sicherheitsaufforderung auf dem Gerät zuentfernen.
n Verwaltung: Es gibt verschiedene Befehle, die sich auf das Gerät oder das Work-Profil auswirken:
n Wählen Sie Geräte-Kennung ändern, um die Geräte-Kennung zu ändern.
n Wählen Sie Work-Kennung ändern, um die Kennung des Work-Profils zu ändern.
Registerkarte Gerätedetails AnwendungenDie Registerkarte Gerätedetails Anwendungen in Workspace ONE UEM Console enthält alternativeOptionen zur Steuerung öffentlicher Anwendungen je nach Gerät.
Administratoren können Informationen über die Anwendung, einschließlich Installationsstatus, Art,Version und ID der Anwendung einsehen.
Die Option Installieren aus dem Aktionsmenü ermöglicht es Administratoren, die Anwendung per Push indie Google Play for Work-Anwendung zu übertragen. Der Gerätebenutzer kann dann die Anwendung aufdem Gerät installieren. Mit der Option Entfernen im Aktionsmenü wird die Anwendung im Hintergrundvom Gerät deinstalliert.
Übersicht über Android-Updates
Workspace ONE UEM unterstützt die Überprüfung und Übertragung von Samsung Enterprise FirmwareOver the Air(EFOTA)-Updates für Android-Geräte. Auf der Konsolenseite „Android-Updates“ werden allefür Android-Geräte verfügbaren Updates aufgeführt.
Android-Plattform
VMware, Inc. 100
Die Updates werden nach ihrem Veröffentlichungsdatum und den zugehörigen Details aufgeführt,einschließlich Informationen zu bestimmten OEMs, Modellen und Netzbetreibern. Jede Modell/Betreiber-Kombination entspricht einem anderen Firmware-Update. Beispielsweise wird möglicherweise SamsungGalaxy S7 für T-Mobile und ein separates Update für Samsung Galaxy S7 für Sprint angezeigt. Die Listekann nach OEM und Betreiber sortiert werden.
Hinweis Samsung EFOTA kann nur für die Organisationsgruppe auf Kundenebene konfiguriert werden,sodass alle Geräte, die unter dieser Organisationsgruppe registriert sind, Updates erhalten. Erstellen Sieeine separate Organisationsgruppe für Tests, bevor Sie die Einstellungen an alle Geräte übertragen.
Weitere Informationen zu veröffentlichten Android-Firmware-Updates finden Sie unter Veröffentlichen vonFirmware-Updates (Android).
Veröffentlichen von Firmware-Updates (Android)Auf der Seite „Android-Updates“ der Konsole werden alle für Android-Geräte verfügbaren Firmware-Updates aufgelistet. Dort können Sie bestimmte Firmware-Versionen anzeigen und auswählen, ob derBenutzer zur Installation des Updates aufgefordert werden soll.
Verfahren
1 Navigieren Sie zu Geräte > Lebenszyklus > Updates und wählen Sie die Registerkarte Androidaus.
2 Aktivieren Sie das Optionsfeld neben dem gewünschten Update.
3 Wählen Sie Update verwalten aus.
4 Konfigurieren Sie die Einstellungen:
Einstellungen Beschreibung
Installationsmethode Wählen Sie Automatische Installation aus, um den Zeitrahmen für die Planungvon Updates auszuwählen. Wählen Sie Bei Bedarf installieren aus. Benutzerwerden dann aufgefordert, Firmware-Updates zu akzeptieren, bevor sie auf ihremGerät installiert werden.
Bereitstellungsbeginn Planen Sie das Startdatum und die Uhrzeit für das Update ein.
Updates können nicht länger als 30 Tage im Voraus mit einem maximalen Update-Fenster von 7 Tagen geplant werden. Updates in diesem Fenster werden alle4 Stunden in der Serverzeitzone auf den Geräten veröffentlicht.
Bereitstellungsende Planen Sie das Enddatum und die Uhrzeit für das Update ein.
Zeitzone des Servers Dieses Feld ist schreibgeschützt, da es vom Server generiert wird.
Netzwerk Wählen Sie aus, ob die Updates bereitgestellt werden sollen, wenn das Gerät Nurüber WLAN oder mit einem beliebigen Netzwerk verbunden ist.
Android-Plattform
VMware, Inc. 101
5 Wählen Sie Veröffentlichen. Das Fenster „Updates verwalten“ wird geschlossen, und die UEM-Konsole kehrt zur Seite „Updates“ zurück.
a Wenn Sie aus irgendeinem Grund das Update abbrechen oder ändern müssen, wählen Sie dasgewünschte Update aus, und wählen Sie im Fenster „Update verwalten“ die Option Planungabbrechen aus.
Da die Updates in Gerätegruppen zusammengefasst werden, können die bereits aktualisiertenGeräte nicht widerrufen werden.
Updates für die Samsung Enterprise Firmware Over The Air(EFOTA)Mit der Samsung Enterprise Firmware Over The Air (EFOTA) können Sie Firmware-Updates aufSamsung-Geräten mit Android 7.0 Nougat und höher verwalten und einschränken.
Dies ist hilfreich, damit Sie Tests durchführen können, um interne Anwendungskompatibilitätsprobleme zubeheben und verfügbare Updates über Geräte und Betreiber hinweg zu überwachen, bevor SieFirmware-Updates an Ihre Geräteflotte übertragen.
Der Samsung EFOTA-Ablauf beinhaltet die Registrierung Ihrer EFOTA-Einstellungen, die von Ihremlizenzierten Reseller bereitgestellt werden, die Aktivierung von „Bei Enterprise FOTA registrieren“ imAndroid-Restriktionsprofil sowie die Anzeige und Auswahl anwendbarer Updates für die Push-Übertragung an Geräte.
Hinweis Samsung EFOTA kann nur für die Organisationsgruppe auf Kundenebene konfiguriert werden,sodass alle Geräte, die unter dieser Organisationsgruppe registriert sind, Updates erhalten. Erstellen Sieeine separate Organisationsgruppe für Tests, bevor Sie die Einstellungen an alle Geräte übertragen.
So konfigurieren Sie die Samsung EFOTA-Einstellungen mit AirWatch:
1 Registrieren von Samsung Enterprise Firmware Over The Air-Updates
Weitere Informationen finden Sie unter Geräte und Benutzer/Android/Samsung Enterprise FOTA.
2 Konfigurieren von Restriktionsprofilen (Samsung EFOTA)
3 Veröffentlichen von Firmware-Updates (Android).
Weitere Informationen finden Sie unter Übersicht über Android-Updates.
Registrieren von Samsung Enterprise Firmware Over The Air-UpdatesVerwenden Sie die Seite „Geräte und Benutzer“ > „Systemeinstellungen“, um die von Ihrem lizenziertenReseller bereitgestellten EFOTA-Einstellungen einzugeben.
Verfahren
1 Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Android > SamsungEnterprise FOTA.
Android-Plattform
VMware, Inc. 102
2 Geben Sie die Einstellungen ein:
Einstellung Beschreibung
Kunden-ID Geben Sie die von Ihrem lizenzierten Reseller bereitgestellte ID ein.
Lizenz Geben Sie die von Ihrem lizenzierten Reseller bereitgestellte Lizenz ein.
Client-ID Geben Sie die von Ihrem lizenzierten Reseller bereitgestellte Client-ID ein.
Geheimer Clientschlüssel Geben Sie den von Ihrem lizenzierten Reseller bereitgestellten Client-Schlüsselein.
3 Wählen Sie Speichern.
Konfigurieren von Restriktionsprofilen (Samsung EFOTA)Restriktionsprofile sperren die systemeigene Funktionalität von Android-Geräten und variieren je nachOEM. Durch Aktivieren der Einschränkung „Bei Enterprise FOTA registrieren“ werden zugewieseneGeräte auf ihre aktuelle Firmware-Version beschränkt.
Verfahren
1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > Hinzufügen > Profil hinzufügen >Android > Restriktionen.
2 Wählen Sie Konfigurieren.
3 Aktivieren Sie Bei Enterprise FOTA registrieren.
OTA-Aktualisierung zulassen muss aktiviert sein, da Firmware-Updates ansonsten blockiert sind.
4 Wählen Sie Speichern und veröffentlichen.
SafetyNet-NachweisSafetyNet-Nachweis ist eine Google-API, die zur Validierung der Integrität des Geräts verwendet wird, umsicherzustellen, dass das Gerät nicht gefährdet ist.
SafetyNet validiert Software-und Hardwareinformationen auf dem Gerät und erstellt ein Profil diesesGeräts. Mithilfe dieses Nachweises können Sie erkennen, ob ein bestimmtes Gerät manipuliert odermodifiziert wurde. Wenn Workspace ONE UEM Console die SafetyNet-Nachweis-API ausführt undmeldet, dass das Gerät kompromittiert wurde, wird das Gerät auf der Seite „Gerätedetails“ von UEMConsole als kompromittiert gemeldet.
SafetyNet-Nachweis wird nur von Workspace ONE Intelligent Hub unterstützt und nicht von der GooglePlay Store-Version von AirWatch Agent oder Workspace ONE.
Hinweis SafetyNet-Nachweis ist für Android (Legacy-)Bereitstellungen nicht verfügbar.
Android-Plattform
VMware, Inc. 103
SafetyNet-Nachweis aktivierenAktivieren Sie die SafetyNet-Nachweis-API in UEM Console, um die Integrität eines Geräts zu validierenund festzustellen, ob ein Gerät kompromittiert wurde.
Verfahren
1 Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Anwendungen >Einstellungen & Richtlinien > Einstellungen > Benutzerdefinierte Einstellungen.
2 Fügen Sie den folgenden benutzerdefinierten XML-Code in das Feld „BenutzerdefinierteEinstellungen“ ein: { "SafetyNetEnabled":true }
3 Speichern Sie den benutzerdefinierten XML-Code.
4 Überprüfen Sie SafetyNet auf der Registerkarte „Übersicht“ auf der Seite Gerätedetails in UEMConsole. Wenn der Status von SafetyNet-Nachweis nicht angezeigt wird, können Sie einenRemotebefehl senden, um das Gerät neu zu starten.
Weitere Informationen zu Gerätebefehlen finden Sie unter Kapitel 6 Android-Geräteverwaltung imÜberblick.
Bestimmte Profilfunktionen für AndroidDiese Funktionsmatrizes dienen als repräsentative Übersicht über wichtige verfügbarebetriebssystemspezifische Funktionen, wobei die für die Geräteadministratoren wichtigsten Funktionenhervorgehoben werden.
Funktion ArbeitsprofilVom Unternehmen verwaltetGeräte-
Anwendungskontrolle
Zugang zu Apps auf Blacklist deaktivieren ✓ ✓
Deinstallieren erforderlicher Anwendungen verhindern ✓ ✓
Richtlinie für Systemaktualisierung aktivieren ✓
Verwaltung von Laufzeit-Berechtigungen ✓ ✓
Browser
Cookies zulassen ✓ ✓
Bilder erlauben ✓ ✓
JavaScript aktivieren ✓ ✓
Pop-ups zulassen ✓ ✓
Ortungsdienste erlauben ✓ ✓
Proxy-Einstellungen konfigurieren ✓ ✓
Google SafeSearch erzwingen ✓ ✓
YouTube Sicherheitsmodus erzwingen ✓ ✓
Android-Plattform
VMware, Inc. 104
Funktion ArbeitsprofilVom Unternehmen verwaltetGeräte-
Touch to Search-Funktion aktivieren ✓ ✓
Standardsuchanbieter aktivieren ✓ ✓
Kennwortmanager aktivieren ✓ ✓
Alternative Fehlerseiten aktivieren ✓ ✓
Automatisches Ausfüllen aktivieren ✓ ✓
Druckfunktion aktivieren ✓ ✓
Datenkompressions-Proxy-Funktion aktivieren ✓ ✓
Safe Browsing aktivieren ✓ ✓
Browser-Verlaufsspeicherung deaktivieren ✓ ✓
Fortfahren nach Safe Browsing-Warnung verhindern ✓ ✓
SPDY-Protokollierung deaktivieren ✓ ✓
Netzwerkvorhersage aktivieren ✓ ✓
Veraltete Webplattform-Funktionen für eine begrenzte Zeit aktivieren ✓ ✓
SafeSearch erzwingen ✓ ✓
Verfügbarkeit des Inkognitomodus ✓ ✓
Erlaubt Anmeldung bei Chromium ✓ ✓
Suchvorschlag aktivieren ✓ ✓
Übersetzen aktivieren ✓ ✓
Lesezeichen zulassen ✓ ✓
Zugriff auf bestimmte URLs zulassen ✓ ✓
Zugriff auf bestimmte URLs blockieren ✓ ✓
Minimale SSL-Version festlegen ✓ ✓
Kennungsrichtlinie
Benutzer muss neue Kennung festlegen ✓ ✓
Maximale Anzahl für falsche Kennworteingabe ✓ ✓
Einfache Kennung zulassen ✓ ✓
Alphanumerisches Kennwort zulässig ✓ ✓
Erlaubte Zeitüberschreitung bis Gerätesperrung festlegen (in Minuten) ✓ ✓
Maximales Kennungsalter festlegen ✓ ✓
Länge Kennwortverlauf ✓ ✓
Länge Kennwortverlauf ✓ ✓
Minimale Kennungslänge festlegen ✓ ✓
Minimale Anzahl an Ziffern festlegen ✓ ✓
Minimale Anzahl an Kleinbuchstaben festlegen ✓ ✓
Android-Plattform
VMware, Inc. 105
Funktion ArbeitsprofilVom Unternehmen verwaltetGeräte-
Minimale Anzahl an Großbuchstaben festlegen ✓ ✓
Minimale Anzahl an Großbuchstaben festlegen ✓ ✓
Minimale Anzahl an Sonderzeichen festlegen ✓ ✓
Minimale Anzahl an Symbolen festlegen ✓ ✓
Befehle
Enterprise-Löschung zulassen ✓ ✓
Geräte-Löschung zulassen ✓
Container- oder Profil-Löschung zulassen ✓
SD-Karten-Löschung zulassen ✓
Gerät sperren ✓ ✓
Container- und Profilsperre zulassen
Systemeigene E-Mail-Konfiguration ✓ ✓
Synchronisierung von Kontakten und Kalender zulassen ✓ ✓
Netzwerk
VPN-Typen konfigurieren ✓ ✓
Aktivieren von Pro-App-VPN (nur verfügbar für bestimmte VPN-Clients) ✓ ✓
Verwenden von Webanmeldung zur Authentifizierung (nur für bestimmte VPN-Clients verfügbar)
✓ ✓
Globalen HTTP-Proxy festlegen ✓ ✓
Datenverbindung mit WLAN zulassen ✓ ✓
Always On VPN ✓ ✓
Verschlüsselung
Vollständige Geräteverschlüsselung erforderlich ✓ ✓
Verschlüsselungsstatus melden
Bestimmte Einschränkungen für AndroidDiese Matrix gibt eine repräsentative Übersicht über die verfügbaren Konfigurationen für daseingeschränkte Profil nach Gerätebesitztyp.
FunktionModus „Vom Unternehmenverwaltetes Gerät“ Work-Profil-Modus
Gerätefunktionalität
Zurücksetzung auf Werkseinstellungen zulassen ✓ ✓
Bildschirmaufnahmen zulassen ✓ ✓
Android-Plattform
VMware, Inc. 106
FunktionModus „Vom Unternehmenverwaltetes Gerät“ Work-Profil-Modus
Hinzufügen von Google Konten zulassen ✓ ✓
Löschen des Android Work-Kontos zulassen ✓
Ausgehende Anrufe erlauben ✓
Senden/Empfangen von SMS erlauben ✓
Veränderung der Anmeldedaten erlauben ✓
Alle Keyguard-Funktionen erlauben ✓
Keyguard-Kamera erlauben ✓
Keyguard-Benachrichtigungen erlauben ✓
Keyguard-Fingerabdruck-Sensor erlauben ✓ ✓
Keyguard Trust Hub-Status erlauben ✓ ✓
Keyguard – ungekürzte Benachrichtigungen erlauben ✓
Bildschirm Ein erzwingen beim Laden mit AC-Ladegerät (Android 6.0 undhöher)
✓
Bildschirm Ein erzwingen beim Laden mit USB-Ladegerät (Android 6.0und höher)
✓
Bildschirm Ein erzwingen beim Laden mit drahtlosem Ladegerät(Android 6.0 und höher)
✓
Änderung des Hintergrunds zulassen (Android 7.0 und höher) ✓
Statusleiste zulassen ✓
Tastensperre zulassen (Android 6.0 und höher) ✓
Das Hinzufügen von Benutzern zulassen
Entfernen von Benutzern zulassen
Abgesicherten Start zulassen (Android 6.0 und höher) ✓
Änderung des Hintergrunds zulassen (Android 7.0 und höher)
Änderung des Benutzersymbols zulassen (Android 7.0 und höher) ✓ ✓
Hinzufügen/Entfernen von Konten zulassen ✓ ✓
System-UI verhindern (Toasts, Aktivitäten, Warnungen, Fehler,Überlagerungen)
✓
Anwendung
Kamera zulassen ✓ ✓
Google Play zulassen ✓ ✓
Chrome-Browser erlauben ✓
Installation von marktfremden Anwendungen zulassen ✓ ✓
Änderungen an Anwendungen in Einstellungen erlauben ✓
Installation von Apps erlauben ✓ ✓
Deinstallation von Apps erlauben ✓ ✓
Android-Plattform
VMware, Inc. 107
FunktionModus „Vom Unternehmenverwaltetes Gerät“ Work-Profil-Modus
App-Überprüfung deaktivieren erlauben ✓ ✓
Lernprogramm für Benutzer und Einführungshinweise überspringen ✓ ✓
Whitelist-Eingabehilfsdienste zulassen ✓
Synchronisierung und Speicherung
USB Debugging zulassen ✓
USB-Massenspeicher zulassen**** ✓
Installation von physischen Speichermedien zulassen ✓
USB-Dateitransfer erlauben ✓
Backup-Dienst zulassen (Android 8.0 und höher)****
Netzwerk
WLAN-Änderungen zulassen ✓
Bluetooth-Kopplung zulassen ✓
Bluetooth zulassen (Android 8.0+) ✓
Kontaktfreigabe via Bluetooth zulassen (Android 8.0 und höher)***** ✓
Ausgehende Bluetooth-Verbindungen zulassen***** ✓ ✓
Alles Tethering zulassen ✓
VPN-Veränderungen erlauben ✓
Mobile Netzwerkveränderungen erlauben ✓
NFC zulassen ✓
Verwaltete WLAN-Profiländerungen zulassen (Android 6.0+) ✓
Arbeit und Privates
Einfügen aus der Zwischenablage zwischen Work- und privaten Appserlauben
✓
Work-Anwendungen den Zugriff auf Dokumente aus persönlichen Appserlauben
✓
Persönlichen Apps den Zugriff auf Dokumente aus Work Apps erlauben ✓
Persönlichen Apps die Freigabe von Dokumenten an Work Apps erlauben W
Work Apps die Freigabe von Dokumenten an persönliche Apps erlauben
Anzeigen von ID-Information von Anrufern aus der Work-Kontaktliste imWählfenster des Telefons zulassen
✓
Hinzufügen von Work Widgets zur privaten Startseite zulassen ✓
Work-Kontakte in der Anwendung Private Kontakte zulassen (Android 7.0und höher)
Ortungsdienste
Gilt nur für verwaltete Geräte.
Standortermittlung nicht zulassen ✓ ✓
Android-Plattform
VMware, Inc. 108
FunktionModus „Vom Unternehmenverwaltetes Gerät“ Work-Profil-Modus
Standortermittlung zulassen ✓ ✓
Nur GPS-Standorterfassung zulassen ✓ ✓
Nur energiesparende Standort-Updates zulassen ✓ ✓
"Nur Standortermittlung mit ""hoher Genauigkeit""- zulassen" ✓ ✓
Samsung Knox
Die Samsung Knox-Einstellungen werden nur angezeigt, wenn das Feld OEM-Einstellungen auf Aktiviert eingestellt und im FeldOEM auswählen „Samsung“ ausgewählt wurde.
Gerätefunktionalität
Flugzeugmodus zulassen ✓
Mikrofon zulassen ✓
Pseudostandorte zulassen ✓
Zwischenablage zulassen ✓
Ausschalten zulassen ✓
Taste „Home“ zulassen ✓
Bei zulässigem Mikrofon Audioaufnahme zulassen ✓
"Video-Aufnahmen zulassen, wenn Kamera zugelassen ist." ✓
Entfernung des E-Mail-Kontos zulassen ✓
Beendigung der Aktivität im Leerlauf zulassen ✓
Benutzer erlauben, Hintergrundprozess-Restriktionen festzulegen ✓
Kopfhörer zulassen ✓
Synchronisierung und Speicherung
SD-Karten-Verschiebung zulassen ✓
OTA-Aktualisierung zulassen ✓
Automatische Synchronisierung von Google-Konten zulassen ✓
SD-Karten-Beschreibung zulassen ✓
USB-Host-Speicher zulassen ✓
Anwendung
Einstellungsänderungen zulassen ✓
Entwickleroptionen zulassen ✓
Hintergrunddaten zulassen ✓
Sprachwähler zulassen ✓
Google-Absturzbericht zulassen ✓
S Beam zulassen ✓
Aufforderung zur Eingabe von Anmeldeinformationen zulassen ✓
S Voice zulassen ✓
Android-Plattform
VMware, Inc. 109
FunktionModus „Vom Unternehmenverwaltetes Gerät“ Work-Profil-Modus
"Benutzer erlauben, vom System signierte Apps zu stoppen." ✓
Bluetooth
Desktop-Konnektivität über Bluetooth zulassen ✓
Bluetooth-Datenübertragung zulassen ✓
Ausgehende Anrufe über Bluetooth zulassen ✓
Sichtbarmodus von Bluetooth zulassen ✓
Bluetooth-Sicherheitsmodus aktivieren ✓
Netzwerk
WLAN zulassen ✓
WLAN-Profile zulassen ✓
Unsicheres WLAN zulassen ✓
Nur sichere VPN-Verbindungen zulassen ✓
VPN zulassen ✓
Automatische WLAN-Verbindung zulassen ✓
Mobilfunkdaten zulassen ✓
Wi-Fi Direct zulassen ✓
Roaming
Automatische Synchronisierung im Roamingbetrieb zulassen ✓
"AutoSynchronisierung erlauben, wenn Roaming deaktiviert ist." ✓
Sprachanrufe im Roamingbetrieb zulassen ✓
Datennutzung im Roamingbetrieb ✓
Push-Nachrichten im Roamingbetrieb zulassen ✓
Telefon und Daten
Rufnummern zulassen, die keine Notrufnummern sind ✓
Benutzer erlauben, Mobildatenbegrenzung festzulegen ✓
WAP Push zulassen ✓
Hardwarerestriktionen festlegen
Taste „Menü“ zulassen ✓
Taste „Zurück“ zulassen ✓
Taste „Suchen“ zulassen ✓
Task Manager zulassen ✓
Systemleiste zulassen ✓
Taste „Lautstärke“ zulassen ✓
Sicherheit
Android-Plattform
VMware, Inc. 110
FunktionModus „Vom Unternehmenverwaltetes Gerät“ Work-Profil-Modus
Sperrbildschirmeinstellungen zulassen ✓
Firmwarewiederherstellung zulassen ✓
Tethering
USB Tethering zulassen ✓
MMS-Restriktionen
Eingehende MMS zulassen ✓
Ausgehende MMS zulassen ✓
Verschiedenes
Geräteschriftart festlegen ✓
Geräteschriftgröße festlegen ✓
Benutzer erlauben, systemsignierte Anwendungen zu stoppen ✓
Nur sichere VPN-Verbindungen zulassen ✓
Android-Plattform
VMware, Inc. 111
