Citrix Endpoint Management

Kunden mit Legacy Android Enterprise für Google Workspace (ehemals G Suite)

Kunden mit Google Workspace müssen die Legacy Android Enterprise-Einstellungen zum Konfigurieren von Legacy Android Enterprise verwenden. G Suite wurde von Google in Google Workspace umbenannt.

Wenn Ihre Organisation bereits Google Workspace verwendet, um Benutzern Zugriff auf Google-Apps zu ermöglichen, können Sie mit Google Workspace Citrix als EMM registrieren. Wenn Ihre Organisation Google Workspace verwendet, besitzt sie eine Unternehmens-ID und Google-Konten für Benutzer. Um Citrix Endpoint Management mit Google Workspace zu verwenden, führen Sie eine Synchronisierung mit Ihrem LDAP-Verzeichnis durch und rufen Google-Kontoinformationen über die Google Directory-API ab. Da dieser Unternehmenstyp an eine vorhandene Domäne gebunden ist, kann jede Domäne nur ein Unternehmen erstellen. Um ein Gerät bei Citrix Endpoint Management zu registrieren, muss sich jeder Benutzer manuell mit dem vorhandenen Google-Konto anmelden. Über dieses Konto können sie auf verwaltetes Google Play zugreifen und die übrigen Google-Dienste nutzen, die von Ihrem Google Workspace-Plan bereitgestellt werden.

Anforderungen für Legacy Android Enterprise:

  • Öffentlich zugängliche Domäne
  • Google-Administratorkonto
  • Android-Geräte mit Unterstützung für verwaltete Profile
  • Ein Google-Konto, für das Google Play installiert wurde
  • Arbeitsprofil auf den Geräten eingerichtet

To start configuring the legacy Android Enterprise, click legacy Android Enterprise in the Android Enterprise page in Citrix Endpoint Management Settings.

Option "Legacy Android Enterprise"

Erstellen eines Android Enterprise-Kontos

Bevor Sie ein Android Enterprise-Konto einrichten können, müssen Sie Ihren Domainnamen bei Google bestätigen.

Wenn Ihr Domänenname bei Google bereits verifiziert wurde, können Sie mit dem Schritt Einrichten eines Android Enterprise-Dienstkontos und Download eines Android Enterprise-Zertifikats fortfahren.

  1. Navigieren Sie zu https://gsuite.google.com/signup/basic/welcome.

    Auf der nachfolgend gezeigten Seite geben Sie die Administrator- und Unternehmensinformationen ein.

    Seite zur Kontoeinrichtung

  2. Geben Sie Ihre Administratorinformationen ein.

    Administratorbenutzerinformationen

  3. Geben Sie zusätzlich zu den Administratorinformationen Informationen zu Ihrem Unternehmen ein.

    Bildschirm für Unternehmensinformationen

    Der erste Schritt des Prozesses ist abgeschlossen und es wird die folgende Seite angezeigt.

    Überprüfungsseite

Überprüfen der Domäneneigentümerschaft

Zur Verifizierung Ihrer Domäne durch Google gibt es folgende Methoden:

  • Hinzufügen eines TXT- oder CNAME-Datensatzes zu der Website Ihres Domänenhosts.
  • Hochladen einer HTML-Datei auf den Webserver Ihrer Domäne.
  • Hinzufügen eines <meta>-Tags zu Ihrer Homepage. Google empfiehlt die Verwendung der ersten Methode. Die Schritte zum Überprüfen Ihrer Domäneneigentümerschaft werden in diesem Artikel nicht behandelt, Informationen finden Sie unter https://support.google.com/a/answer/6248925.
  1. Klicken Sie auf Start, um die Domänenüberprüfung zu beginnen.

    Die Seite Verify domain ownership wird angezeigt. Folgen Sie den angezeigten Anweisungen zum Überprüfen Ihrer Domäne.

  2. Klicken Sie auf Verify.

    Überprüfungsschaltfläche

    Überprüfungsbestätigung

  3. Google überprüft die Eigentümerschaft der Domäne.

    Überprüfung der Domäneneigentümerschaft

  4. Nach einer erfolgreichen Überprüfung wird die folgende Seite angezeigt. Klicken Sie auf Continue.

    Erfolgsbestätigungsseite

  5. Google erstellt ein EMM-Bindungstoken, das Sie Citrix zur Verfügung stellen und beim Konfigurieren der Android Enterprise-Einstellungen verwenden. Kopieren und speichern Sie das Token zur späteren Verwendung beim Setup.

    Bindungstoken

  6. Klicken Sie auf Finish, um das Einrichten von Android Enterprise abzuschließen. Es wird eine Seite mit der Meldung angezeigt, dass Ihre Domäne erfolgreich verifiziert wurde.

Nach dem Erstellen eines Android Enterprise-Dienstkontos können Sie sich bei der Google Admin-Konsole anmelden und die Einstellungen Ihrer Mobilitätsverwaltung festlegen.

Einrichten eines Android Enterprise-Dienstkontos und Herunterladen eines Android Enterprise-Zertifikats

Damit Citrix Endpoint Management Google Play und Verzeichnisdienste kontaktieren kann, müssen Sie ein Dienstkonto mit dem Projektportal für Entwickler von Google erstellen. Das Dienstkonto wird für die Server-Kommunikation zwischen Citrix Endpoint Management und den Google-Diensten für Android verwendet. Weitere Informationen zum verwendeten Authentifizierungsprotokoll finden Sie unter https://developers.google.com/identity/protocols/OAuth2ServiceAccount.

  1. Rufen Sie in einem Webbrowser https://console.cloud.google.com/project auf und melden Sie sich mit Ihren Anmeldeinformationen als Google-Administrator an.

  2. Klicken Sie in der Liste Projects auf Create project.

    Option zum Erstellen von Projekten

  3. Geben Sie unter Project name einen Namen für das Projekt ein.

    Projektnamenoption

  4. Klicken Sie im Dashboard auf Use Google APIs.

    Option "Use Google APIs"

  5. Klicken Sie auf Library geben Sie für Search den Text EMM ein und klicken Sie auf das Suchergebnis.

    EMM-Suchoption

  6. Klicken Sie auf der Seite Overview auf Enable.

    Aktivierenoption

  7. Klicken Sie neben Google Play EMM API auf Go to Credentials.

    Option "Go to Credentials"

  8. Klicken Sie in der Liste Add credentials to our project unter Schritt 1 auf service account.

    Dienstkontooption

  9. Klicken Sie auf der Seite Service Accounts auf Create Service Account.

    Option "Create Service Account"

  10. Geben Sie unter Create service account einen Namen für das Konto ein und aktivieren Sie das Kontrollkästchen Furnish a new private key. Klicken Sie auf P12, aktivieren Sie das Kontrollkästchen Enable Google Apps Domain-wide Delegation und klicken Sie auf Create.

    Optionen zum Erstellen eines Dienstkontos

    Die Zertifikatdatei (P12-Datei) wird auf Ihren Computer heruntergeladen. Speichern Sie das Zertifikat an einem sicheren Ort.

  11. Klicken Sie auf der Seite Service account created auf Close.

    Bestätigungsseite

  12. Klicken Sie unter Permissions auf Service accounts und dann unter Options für Ihr Dienstkonto auf View Client ID.

    Option "View Client ID"

  13. Die für die Kontoautorisierung auf der Google Admin-Konsole erforderlichen Informationen werden angezeigt. Kopieren Sie die Client ID und die Service account ID an einen Speicherort, an dem Sie die Informationen später abrufen können. Sie müssen diese Informationen mit dem Domänennamen an den Citrix Support senden, damit sie auf eine Positivliste gesetzt werden.

    Kontoautorisierungsdetails

  14. Suchen Sie auf der Seite Library den Eintrag Admin SDK und klicken Sie auf das Suchergebnis.

    Admin SDK-Suche

  15. Klicken Sie auf der Seite Overview auf Enable.

    Aktivierenschaltfläche

  16. Öffnen Sie die Google Admin-Konsole für Ihre Domäne und klicken Sie auf Security.

    Sicherheitsoption

  17. Klicken Sie auf der Seite Settings auf Show more und dann auf Advanced settings.

    Erweiterte Einstellungen

    Erweiterte Einstellungen

  18. Klicken Sie auf Manage API client access.

    Option "Manage API client access"

  19. Geben Sie unter Client Name die Client-ID ein, die Sie zuvor gespeichert haben, geben Sie unter One or More API Scopes den Text https://www.googleapis.com/auth/admin.directory.user ein und klicken Sie auf Authorize.

    Clientnamenoptionen

Binden an EMM

Bevor Sie Android-Geräte mit Citrix Endpoint Management verwalten können, müssen Sie dem technischen Support von Citrix den Namen Ihrer Domäne, das Dienstkonto und den Bindungstoken senden. Citrix bindet den Token dann an Citrix Endpoint Management als Enterprise Mobility Management-Anbieter (EMM). Kontaktinformationen für den technischen Support von Citrix finden Sie unter Technischer Support von Citrix.

  1. Zum Überprüfen der Bindung melden Sie sich beim Google-Verwaltungsportal an und klicken Sie auf Security.

  2. Klicken Sie auf Manage EMM provider for Android.

    Sie sehen dann, dass Ihr Android Enterprise-Konto bei Google nun an Citrix als EMM-Anbieter gebunden ist.

    Nach der Prüfung der Tokenbindung können Sie Citrix Endpoint Management zum Verwalten der Android-Geräte verwenden. Importieren Sie das P12-Zertifikat, das Sie in Schritt 14 erstellt haben. Richten Sie den Android Enterprise-Server ein, aktivieren Sie das SAML-basierte Single Sign-On und definieren Sie mindestens eine Android Enterprise-Richtlinie.

    Optionen "Manage EMM provider for Android"

Importieren des P12-Zertifikats

Führen Sie die folgenden Schritte zum Importieren des Android Enterprise-P12-Zertifikats aus:

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf das Zahnradsymbol rechts oben, um die Seite Einstellungen zu öffnen, und klicken Sie dann auf Zertifikate. Die Seite Zertifikate wird angezeigt.

    Seite "Zertifikate"

  2. Klicken Sie auf Importieren. Das Dialogfeld Importieren wird angezeigt.

    Dialogfeld zum Importieren

    Konfigurieren Sie die folgenden Einstellungen:

    • Import: Klicken Sie in der Dropdownliste auf Keystore.
    • Keystore-Typ: Klicken Sie in der Dropdownliste auf PKCS #12.
    • Verwenden als: Klicken Sie in der Dropdownliste auf Server.
    • Schlüsselspeicherdatei: Klicken Sie auf Durchsuchen und navigieren Sie zu dem P12-Zertifikat.
    • Kennwort: Geben Sie das Kennwort für das Zertifikat ein. Dies ist das Kennwort für den privaten Schlüssel, das Sie beim Einrichten Ihres Android Enterprise-Kontos erstellt haben.
    • Beschreibung: Geben Sie optional eine Beschreibung des Zertifikats ein.
  3. Klicken Sie auf Importieren.

Einrichten der Android Enterprise-Servereinstellungen

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Wählen Sie unter Plattformen die Option Android Enterprise. Die Seite Android Enterprise wird angezeigt.

    Android Enterprise-Seite

    Konfigurieren Sie die folgenden Einstellungen und klicken Sie dann auf Speichern.

    • Domänenname: Geben Sie den Namen der Android Enterprise-Domäne ein, z. B. domain.com.
    • Domänenadministratorkonto: Geben Sie Ihren Domänenadministrator-Benutzernamen ein, z. B. das für das Google Developer Portal verwendete E-Mail-Konto.
    • Dienstkonto-ID: Geben Sie die ID Ihres Dienstkontos ein, z. B. die dem Google-Dienstkonto zugeordnete E-Mail-Adresse (serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com).
    • Client-ID: Geben Sie die numerische ID Ihres Google-Dienstkontos ein.
    • Android Enterprise aktivieren: Wählen Sie aus, ob Android Enterprise aktiviert oder deaktiviert werden soll.

Aktivieren des SAML-basierten Single Sign-Ons

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf Zertifikate. Die Seite Zertifikate wird angezeigt.

    Seite "Zertifikate"

  3. Klicken Sie in der Liste der Zertifikate auf das SAML-Zertifikat.

  4. Klicken Sie auf Exportieren und speichern Sie das Zertifikat auf Ihrem Computer.

  5. Melden Sie sich beim Google-Verwaltungsportal mit Ihren Android Enterprise-Administratoranmeldeinformationen an. Informationen zum Zugriff auf das Portal finden Sie unter Google-Verwaltungsportal.

  6. Klicken Sie auf Sicherheit.

    Sicherheitsoption

  7. Klicken Sie unter Security auf Set up single sign-on (SSO) und konfigurieren Sie die folgenden Einstellungen:

    SSO-Einstellungen

    • Sign-in page URL: Geben Sie die URL der Seite an, über die Benutzer sich bei Ihrem System und Google Apps anmelden. Beispiel: https://<Xenmobile-FQDN>/aw/saml/signin.
    • Sign-out page URL: Geben Sie die URL an, an die die Benutzer weitergeleitet werden, wenn sie sich abmelden. Beispiel: https://<Xenmobile-FQDN>/aw/saml/signout.
    • Change password URL: Geben Sie die URL der Seite an, auf der die Benutzer ihr Kennwort in Ihrem System ändern können. Beispiel: https://<Xenmobile-FQDN>/aw/saml/changepassword. Wenn dieses Feld definiert wird, wird diese Aufforderung für Benutzer angezeigt, selbst wenn Single Sign-On nicht verfügbar ist.
    • Verification certificate: Klicken Sie auf CHOOSE FILE und navigieren Sie zu dem aus Citrix Endpoint Management exportierten SAML-Zertifikat.
  8. Klicken Sie auf SAVE CHANGES.

Einrichten einer Android Enterprise-Richtlinie

Richten Sie eine Passcode-Richtlinie ein, sodass Benutzer bei der ersten Registrierung einen Passcode auf ihrem Gerät festlegen müssen.

Passcode-Richtlinienseite

Grundlegende Schritte zum Einrichten einer Geräterichtlinie:

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf Konfigurieren und dann auf Geräterichtlinien.

  2. Klicken Sie auf Hinzufügen.

  3. Wählen Sie im Dialogfeld Neue Richtlinie hinzufügen die Richtlinie aus, die Sie hinzufügen möchten. Klicken Sie in diesem Beispiel Passcode.

  4. Füllen Sie die Seite Richtlinieninformationen aus.

  5. Klicken Sie auf Android Enterprise und konfigurieren Sie die Einstellungen für die Richtlinie.

  6. Weisen Sie die Richtlinie einer Bereitstellungsgruppe zu.

Konfigurieren der Android Enterprise-Kontoeinstellungen

Bevor Sie Android-Apps und Richtlinien auf Benutzergeräten verwalten können, müssen Sie eine Domäne und Kontoinformationen für Android Enterprise in Citrix Endpoint Management einrichten. Zunächst müssen Sie Android Enterprise-Einrichtungsaufgaben auf Google zum Einrichten eines Domänenadministrators erledigen und eine Dienstkonten-ID sowie ein Bindungstoken anfordern.

  1. Klicken Sie in der Citrix Endpoint Management-Webkonsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Wählen Sie unter Plattformen die Option Android Enterprise. Die Konfigurationsseite Android Enterprise wird angezeigt.

Android Enterprise-Konfigurationsseite

  1. Konfigurieren Sie auf der Seite Android Enterprise die folgenden Einstellungen:

    • Domänenname: Geben Sie Ihren Domänennamen ein.
    • Domänenadministratorkonto: Geben Sie Ihren Domänenadministrator-Benutzernamen ein.
    • Dienstkonto-ID: Geben Sie die ID Ihres Google-Dienstkontos ein.
    • Client-ID: Geben Sie die ID Ihres Google-Dienstkontos ein.
    • Android Enterprise aktivieren: Wählen Sie aus, ob Android Enterprise aktiviert werden soll.
  2. Klicken Sie auf Speichern.

Einrichten eines Google Workspace-Partnerzugriffs für Citrix Endpoint Management

Einige Citrix Endpoint Management-Features für Chrome verwenden Google-Partner-APIs für die Kommunikation zwischen Citrix Endpoint Management und Ihrer Google Workspace-Domäne. Beispielsweise benötigt Citrix Endpoint Management die APIs für Geräterichtlinien, die Chrome-Features wie den Incognitomodus und den Gastmodus verwalten.

Zum Aktivieren dieser Partner-APIs richten Sie Ihre Google Workspace-Domäne in der Citrix Endpoint Management-Konsole ein und konfigurieren anschließend Ihr Google Workspace-Konto.

Einrichten der Google Workspace-Domäne in Citrix Endpoint Management

Um die Kommunikation zwischen Citrix Endpoint Management und den APIs in Ihrer Google Workspace-Domäne zu aktivieren, gehen Sie zu Einstellungen > Google Chrome-Konfiguration und konfigurieren Sie die Einstellungen.

  • Google Workspace-Domäne: Die Google Workspace-Domäne mit den von Citrix Endpoint Management benötigten APIs.
  • Google Workspace-Administratorkonto: Das Administratorkonto für Ihre Google Workspace-Domäne.
  • Google Workspace-Client-ID: Die Client-ID für Citrix. Konfigurieren Sie mit diesem Wert den Partnerzugriff für Ihre Google Workspace-Domäne.
  • Google Workspace-Unternehmens-ID: Die Unternehmens-ID für Ihr Konto mit den Angaben Ihres Google Enterprise-Kontos.

Aktivieren des Partnerzugriffs für Geräte und Benutzer in Ihrer Google Workspace-Domäne

  1. Melden Sie sich an der Google Admin-Konsole an: https://admin.google.com

  2. Klicken Sie auf Device Management.

    Google-Administratorkonsole

  3. Klicken Sie auf Chrome management.

    Google-Administratorkonsole

  4. Klicken Sie auf User settings.

    Google-Administratorkonsole

  5. Suchen Sie nach Chrome Management - Partner Access.

    Google-Administratorkonsole

  6. Aktivieren Sie das Kontrollkästchen Enable Chrome Management - Partner Access.

  7. Stimmen Sie zu, dass Sie den Partnerzugriff verstehen und aktivieren möchten. Klicken Sie auf Speichern.

  8. Klicken Sie auf der Chrome-Verwaltungsseite auf Device Settings.

    Google-Administratorkonsole

  9. Suchen Sie nach Chrome Management - Partner Access.

    Google-Administratorkonsole

  10. Aktivieren Sie das Kontrollkästchen Enable Chrome Management - Partner Access.

  11. Stimmen Sie zu, dass Sie den Partnerzugriff verstehen und aktivieren möchten. Klicken Sie auf Speichern.

  12. Wechseln Sie zur Seite Security und klicken Sie auf Advanced Settings.

    Google-Administratorkonsole

  13. Klicken Sie auf Manage API client access.

  14. Gehen Sie in der Citrix Endpoint Management-Konsole zu Einstellungen > Google Chrome-Konfiguration und kopieren Sie den Wert für G Suite Client ID. Kehren Sie zur Seite Manage API client Access zurück und fügen Sie den kopierten Wert in das Feld Client name ein.

  15. Fügen Sie unter One or More API Scopes die URL hinzu: https://www.googleapis.com/auth/chromedevicemanagementapi

    Google-Administratorkonsole

  16. Klicken Sie auf Authorize.

    Die Meldung “Your settings have been saved” wird angezeigt.

Registrieren von Android Enterprise-Geräten

Wenn Benutzer bei der Geräteregistrierung einen Benutzernamen oder eine Benutzer-ID eingeben müssen, hängt das akzeptierte Format davon ab, ob im Citrix Endpoint Management-Server der Benutzerprinzipalname (UPN) oder der SAM-Kontoname für die Benutzersuche konfiguriert ist.

Wenn die Benutzer in Citrix Endpoint Management über den UPN gesucht werden, müssen sie einen UPN in diesem Format eingeben:

  • username@domain

Wenn die Benutzer in Citrix Endpoint Management über SAM gesucht werden, müssen sie die SAM in einem dieser Formate eingeben:

  • username@domain
  • domain\username

Bestimmen des konfigurierten Benutzernamentyps im Citrix Endpoint Management-Server:

  1. Klicken Sie in der Citrix Endpoint Management-Konsole rechts oben auf das Zahnradsymbol. Die Seite Einstellungen wird angezeigt.
  2. Klicken Sie auf LDAP, um die Konfiguration der LDAP-Verbindung anzuzeigen.
  3. Prüfen Sie unten auf der Seite, welche Einstellung im Feld Benutzersuche nach ausgewählt ist:

    • Bei userPrincipalName ist Citrix Endpoint Management für UPN konfiguriert.
    • If it is set to sAMAccountName, the Citrix Endpoint Management server is set for SAM.

Registrierung für Android Enterprise-Unternehmen aufheben

Sie können die Registrierung für Android Enterprise-Unternehmen mit der Citrix Endpoint Management-Serverkonsole und den Citrix Endpoint Management Tools aufheben.

Wenn Sie diese Aufgabe ausführen, öffnet Citrix Endpoint Management ein Popupfenster für Citrix Endpoint Management Tools. Bevor Sie beginnen, sollten Sie sicherstellen, dass Citrix Endpoint Management im verwendeten Browser die Berechtigung hat, Popupfenster zu öffnen. In einigen Browsern (z. B. Google Chrome) müssen Sie die Popupblockierung deaktivieren und die Adresse der Citrix Endpoint Management-Site der Positivliste des Popupblockers hinzufügen.

Warnung:

Nachdem die Registrierung eines Unternehmens aufgehoben wurde, werden Android Enterprise-Apps auf Geräten, die bereits registriert wurden, auf die Standardeinstellungen zurückgesetzt. Die Geräte werden nicht mehr von Google verwaltet. Für die Neuregistrierung in einem Android Enterprise-Unternehmen ist möglicherweise eine weitere Konfiguration erforderlich, um die vorherige Funktionalität wiederherzustellen.

Nachdem die Registrierung des Android Enterprise-Unternehmens aufgehoben wurde:

  • Für Geräte und Benutzer, die über das Unternehmen registriert sind, wurden die Android Enterprise-Apps auf die Standardeinstellung zurückgesetzt. Zuvor angewendete App-Berechtigungen und Richtlinien für verwaltete Konfigurationen haben keine Wirkung mehr auf Vorgänge.
  • Über das Unternehmen registrierte Geräte werden zwar von Citrix Endpoint Management verwaltet, sind jedoch aus der Perspektive von Google nicht verwaltet. Es können keine neuen Android Enterprise-Apps hinzugefügt werden. App-Berechtigungen oder Richtlinien für verwaltete Konfigurationen können nicht angewendet werden. Sie können weiterhin auf diese Geräte andere Richtlinien anwenden, z. B. Planung, Kennwort und Einschränkungen.
  • Wenn Sie versuchen, Geräte in Android Enterprise zu registrieren, werden sie als Android-Geräte und nicht als Android Enterprise-Geräte registriert.

Registrierung für Android Enterprise-Unternehmen aufheben:

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf der Seite “Einstellungen” auf Android Enterprise.

  3. Klicken Sie auf Unternehmen entfernen.

    Option "Unternehmen entfernen"

  4. Geben Sie ein Kennwort an. Dies ist für den nächsten Schritt erforderlich, um das Aufheben der Registrierung abzuschließen. Klicken Sie dann auf Registrierung aufheben.

    Option "Registrierung aufheben"

  5. Wenn die Citrix Endpoint Management Tools-Seite geöffnet wird, geben Sie das Kennwort ein, das Sie im vorherigen Schritt erstellt haben.

    Kennwortfeld

  6. Klicken Sie auf Registrierung aufheben.

    Option "Registrierung aufheben"

Provisioning vollständig verwalteter Geräte in Android Enterprise

Nur unternehmenseigene Geräte können als vollständig verwaltete Geräte in Android Enterprise verwendet werden. Auf vollständig verwalteten Geräten wird nicht nur das Arbeitsprofil, sondern das gesamte Gerät vom Unternehmen oder der Organisation gesteuert. Sie sind ein vom Unternehmen verwaltetes Gerät.

Vollständig verwaltete Geräte können in Citrix Endpoint Management durch folgende Verfahren registriert werden:

  • afw#xenmobile: Bei dieser Registrierungsmethode gibt der Benutzer beim Einrichten des Geräts die Zeichen afw#xenmobile ein. Der Token identifiziert das Gerät als von Citrix Endpoint Management verwaltet und lädt Citrix Secure Hub herunter.
  • QR-Code: Die Bereitstellung per QR-Code empfiehlt sich für verteilte Geräte im Bestand, die NFC nicht unterstützen (z. B. Tablets). Sie eignet sich für Geräte im Bestand, die auf Werkseinstellungen zurückgesetzt wurden. Bei dieser Methode werden vollständig verwaltete Geräte vom Setupassistenten durch Scannen eines QR-Codes eingerichtet und konfiguriert.
  • Datenübertragung per NFC (Near Field Communication): Die Registrierung per NFC eignet sich für Geräte im Bestand, die auf Werkseinstellungen zurückgesetzt wurden. Bei dieser Art der kontaktlosen Übertragung erfolgt der Datenaustausch zwischen zwei Geräten über die Nahfeldkommunikation (NFC). Bluetooth, WiFi und andere Kommunikationsmodi sind auf einem Gerät mit Werkseinstellungen deaktiviert. NFC ist das einzige Kommunikationsprotokoll, das das Gerät in diesem Zustand verwenden kann.

afw#xenmobile

Die Registrierungsmethode wird nach Einschalten eines neuen oder werkseitig zurückgesetzten Geräts für die Ersteinrichtung verwendet. Die Benutzer geben afw#xenmobile ein, wenn sie zum Angeben eines Google-Kontos aufgefordert werden. Mit dieser Aktion wird Citrix Secure Hub heruntergeladen und installiert. Die Benutzer folgen anschließend den Anweisungen in Citrix Secure Hub zum Abschließen der Registrierung.

Diese Registrierungsmethode wird für die meisten Kunden empfohlen, da die aktuelle Citrix Secure Hub-Version aus Google Play heruntergeladen wird. Im Gegensatz zu anderen Registrierungsmethoden wird Citrix Secure Hub nicht zum Herunterladen vom Citrix Endpoint Management-Server bereitgestellt.

Voraussetzungen:

  • Wird auf allen Android-Geräten mit Android-OS unterstützt.

QR-Code

Sie registrieren ein Gerät per QR-Code im Gerätemodus, indem Sie zunächst eine JSON-Datei erstellen und diese in einen QR-Code umwandeln. Der QR-Code wird mit der Gerätekamera gescannt, um das Gerät zu registrieren.

Voraussetzungen:

  • Wird auf allen Android-Geräten ab Android 7.0 unterstützt.

Erstellen eines QR-Codes aus einer JSON-Datei

Erstellen Sie eine JSON-Datei mit den folgenden Feldern.

Diese Felder sind erforderlich:

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Wert: com.zenprise/com.zenprise.configuration.AdminFunction

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Wert: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Wert: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

Diese Felder sind optional:

  • android.app.extra.PROVISIONING_LOCALE: Geben Sie den Sprach- und den Ländercode ein.

    Sprachcodes sind nach ISO 639-1 definierte ISO-Sprachcodes, die aus zwei Kleinbuchstaben bestehen (z. B. en). Ländercodes sind nach ISO 3166-1 definierte ISO-Ländercodes, die aus zwei Großbuchstaben bestehen(z. B. US). Geben Sie z. B. de_DE für Deutsch/Deutschland ein.

  • android.app.extra.PROVISIONING_TIME_ZONE: die Zeitzone, in der das Gerät ausgeführt wird.

    Geben Sie den Datenbanknamen des Gebiets/Standorts ein. Geben Sie beispielsweise America/Los_Angeles für “Pacific Time” ein. Wenn Sie keinen Namen eingeben, wird die Zeitzone automatisch eingefügt.

  • android.app.extra.PROVISIONING_LOCAL_TIME: Zeit in Millisekunden seit der Unix-Epoche.

    Die Unix-Zeit (auch POSIX-Zeit oder Unix-Zeitstempel) ist die Anzahl der Sekunden, die seit der Epoche, d. h. dem 1. Januar 1970 (Mitternacht UTC-GMT), verstrichen sind. Schaltsekunden werden nicht mitgezählt (in ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: Wenn Sie dies auf true festlegen, wird die Verschlüsselung während der Profilerstellung übersprungen. Wählen Sie False, um die Verschlüsselung während der Profilerstellung zu erzwingen.

Eine JSON-Datei sieht in etwa wie folgt aus:

Eine typische JSON-Datei

Überprüfen Sie die JSON-Datei mit einem JSON-Validierungstool (z. B. https://jsonlint.com). Konvertieren Sie die JSON-Zeichenfolge mit einem beliebigen QR-Code-Generator in einen QR-Code.

Der QR-Code wird von einem auf Werkseinstellungen zurückgesetzten Gerät gescannt, um das Gerät als vollständig verwaltetes Gerät zu registrieren.

Gerät registrieren

Um ein Gerät als vollständig verwaltetes Gerät zu registrieren, muss es auf die Werkseinstellungen zurückgesetzt sein.

  1. Tippen Sie sechsmal auf den Begrüßungsbildschirm, um die Registrierung per QR-Code zu starten.
  2. Verbinden Sie das Gerät nach Aufforderung mit dem WiFi-Netzwerk. Über das WiFi-Netzwerk wird dann per QR-Code (codiert in der JSON-Datei) auf den Download-Speicherort von Citrix Secure Hub zugegriffen.

    Sobald das Gerät mit dem WiFi verbunden ist, lädt es ein Google-Programm zum Lesen des QR-Codes herunter und aktiviert die Kamera.

  3. Halten Sie die Kamera über den QR-Code, um ihn zu scannen.

    Android lädt Citrix Secure Hub vom Speicherort im QR-Code herunter, validiert die Signatur des Signaturzertifikats, installiert Citrix Secure Hub und legt die App als Gerätebesitzer fest.

Weitere Informationen zum Bereitstellen von Geräten per QR-Code finden Sie in der Google API-Dokumentation für Android-EMM-Entwickler.

NFC-Übertragung

Um ein Gerät per NFC-Funktion als vollständig verwaltetes Gerät zu registrieren, sind zwei Geräte erforderlich: Ein Gerät, das auf die Werkseinstellungen zurückgesetzt wurde, und ein Gerät, auf dem das Citrix Endpoint Management Provisioning Tool ausgeführt wird.

Voraussetzungen:

  • Unterstützte Android-Geräte
  • Citrix Endpoint Management, aktiviert für Android Enterprise
  • Ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät, das für Android Enterprise als vollständig verwaltetes Gerät bereitgestellt wurde. Das Verfahren hierfür finden Sie weiter unten in diesem Artikel.
  • Ein Gerät mit NFC-Funktion, auf dem das konfigurierte Provisioning Tool ausgeführt wird. Das Provisioning Tool ist in Citrix Secure Hub und auf der Citrix Downloadseite verfügbar.

Jedes Gerät kann nur ein Android Enterprise-Profil haben, das von einer Enterprise Mobility Management-App (EMM) verwaltet wird. In Citrix Endpoint Management ist Citrix Secure Hub die EMM-App. Nur ein Profil ist pro Gerät zulässig. Wenn Sie versuchen, eine zweite EMM-App hinzuzufügen, wird die erste entfernt.

Per NFC übertragene Daten

Für das Provisioning eines auf Werkseinstellungen zurückgesetzten Geräts müssen Sie die folgenden Daten per NFC senden, damit Android Enterprise initialisiert wird:

  • Paketname der EMM-Anbieter-App, die als Gerätebesitzer fungiert (in diesem Fall Citrix Secure Hub).
  • Intranet-/Internetspeicherort, von dem das Gerät die EMM-Anbieter-App herunterlädt.
  • SHA-256-Hash der EMM-Anbieter-App, um zu überprüfen, ob der Download erfolgreich ist.
  • Wi-Fi-Verbindungsdetails, sodass ein auf Werkseinstellungen zurückgesetztes Gerät eine Verbindung herstellen und die EMM-Anbieter-App herunterladen kann. Hinweis: Android unterstützt für diesen Schritt nicht 802.1x.
  • Zeitzone für das Gerät (optional).
  • Geografischer Standort des Geräts (optional).

Wenn die beiden Geräte eine Verbindung herstellen, werden die Daten vom Provisioning Tool an das Gerät mit den Werkseinstellungen gesendet. Diese Daten werden dann zum Download von Citrix Secure Hub mit Administratoreinstellungen verwendet. Wenn Sie keine Werte für Zeitzone und Speicherort eingeben, konfiguriert Android sie automatisch auf dem neuen Gerät.

Citrix Endpoint Management Provisioning Tool konfigurieren

Bevor Sie Daten per NFC übertragen können, müssen Sie das Provisioning Tool konfigurieren. Diese Konfiguration wird dann während der NFC-Übertragung an das auf die Werkseinstellungen zurückgesetzte Gerät gesendet.

Provisioning Tool-Konfiguration

You can type data into the required fields or populate them via a text file. Nachfolgend wird beschrieben, wie Sie die Textdatei konfigurieren und welche Felder diese enthält. Die App speichert die eingegebenen Informationen nicht. Erstellen Sie daher eine Textdatei zur Aufbewahrung der Informationen.

Provisioning Tool mit einer Textdatei konfigurieren

Nennen Sie die Datei nfcprovisioning.txt und speichern Sie sie auf der SD-Karte des Geräts im Ordner /sdcard/. Die App liest die Textdatei und fügt die Werte ein.

Die Textdatei muss die folgenden Daten enthalten:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Dies ist der Intranet-/Internetspeicherort der EMM-Anbieter-App. Wenn das auf Werkseinstellungen zurückgesetzte Gerät nach der NFC-Übertragung eine Wi-Fi-Verbindung herstellt, muss es für den Download Zugriff auf diesen Speicherort haben. Die URL ist eine normale URL ohne spezielle Formatierung.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA-256 hash>

Dies ist die Prüfsumme der EMM-Anbieter-App. Sie wird verwendet, um zu prüfen, ob der Download erfolgreich ist. Das Verfahren zum Abrufen der Prüfsumme wird weiter unten in diesem Artikel beschrieben.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Dies ist die Wi-Fi-SSID des Geräts, auf dem das Provisioning Tool ausgeführt wird.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Es werden WEP und WPA2 unterstützt. Wenn das WiFi nicht geschützt ist, muss dieses Feld leer sein.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Wenn das WiFi nicht geschützt ist, muss dieses Feld leer sein.

android.app.extra.PROVISIONING_LOCALE=<locale>

Geben Sie die Sprach- und Ländercodes ein. Sprachcodes sind nach ISO 639-1 definierte ISO-Sprachcodes, die aus zwei Kleinbuchstaben bestehen (z. B. en). Ländercodes sind nach ISO 3166-1 definierte ISO-Ländercodes, die aus zwei Großbuchstaben bestehen(z. B. US). Geben Sie z. B. de_DE für Deutsch/Deutschland ein. Wenn Sie keinen Länder- und Sprachcode eingeben, werden diese Felder automatisch ausgefüllt.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

Die Zeitzone, in der das Gerät ausgeführt wird. Geben Sie den Datenbanknamen des Gebiets/Standorts ein. Geben Sie beispielsweise America/Los_Angeles für “Pacific Time” ein. Wenn Sie keinen Namen eingeben, wird die Zeitzone automatisch eingefügt.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Keine Eingabe ist erforderlich, da der Wert in der App als Citrix Secure Hub hartcodiert ist. Er wird hier nur der Vollständigkeit halber angegeben.

Bei einem mit WPA2 geschützten Wi-Fi könnte die Datei nfcprovisioning.txt wie folgt aussehen:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Bei einem ungeschützten WiFi könnte die Datei nfcprovisioning.txt wie folgt aussehen:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Citrix Secure Hub-Prüfsumme abrufen

Die Citrix Secure Hub-Prüfsumme ist ein konstanter Wert: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM. Um eine APK-Datei für Citrix Secure Hub herunterzuladen, verwenden Sie den folgenden Google Play-Link: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile.

App-Prüfsumme abrufen

Voraussetzungen:

  • Das apksigner-Tool aus den Android SDK Build Tools
  • OpenSSL-Befehlszeile

Gehen Sie folgendermaßen vor, um die Prüfsumme einer App abzurufen:

  1. Laden Sie die APK-Datei der App aus Google Play herunter.
  2. Navigieren Sie in der OpenSSL-Befehlszeile zum apksigner-Tool: android-sdk/build-tools/<version>/apksigner und geben Sie Folgendes ein:

    apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
    <!--NeedCopy-->
    

    Der Befehl gibt eine gültige Prüfsumme zurück.

  3. Um den QR-Code zu generieren, geben Sie die Prüfsumme in das Feld PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM ein. Beispiel:
{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}
<!--NeedCopy-->

Verwendete Bibliotheken

Das Provisioning Tool verwendet die folgenden Bibliotheken im Quellcode:

  • v7 appcompat Library, Design Support Library und v7 Palette Support Library

    Weitere Informationen finden Sie im Handbuch “Support Library Features Guide” in der Dokumentation für Android-Entwickler.

  • Butter Knife von Jake Wharton unter Apache-Lizenz 2.0

Provisioning von Arbeitsprofilgeräten in Android Enterprise

Auf Arbeitsprofilgeräten in Android Enterprise können Sie private und geschäftliche Bereiche sicher voneinander trennen. BYOD-Geräte können beispielsweise als Arbeitsprofilgerät verwendet werden. Die Registrierung von Arbeitsprofilgeräten ähnelt der Android-Registrierung in Citrix Endpoint Management. Die Benutzer laden Citrix Secure Hub aus Google Play herunter und registrieren ihre Geräte.

Standardmäßig sind die Einstellungen USB-Debugging und Unbekannte Quellen auf einem Gerät deaktiviert, wenn es bei Android Enterprise als Gerät mit Arbeitsprofil registriert ist.

Tipp:

Beim Registrieren von Geräten als Arbeitsprofilgerät in Android Enterprise wechseln Sie stets zu Google Play. Aktivieren Sie dort Citrix Secure Hub, das dann im persönlichen Profil des Benutzers angezeigt wird.