Samsung Knox-Massenregistrierung
Verwenden Sie Knox Mobile Enrollment, um mehrere Samsung Knox-Geräte in XenMobile (oder einem beliebigen Manager für mobile Geräte) zu registrieren, ohne Geräte einzeln manuell zu konfigurieren. Die Registrierung muss bei der Erstverwendung oder nach dem Zurücksetzen auf die Werkseinstellungen ausgeführt werden. Administratoren können Benutzernamen und Kennwörter auch direkt an das Gerät weitergeben, sodass Benutzer bei der Registrierung keine Informationen eingeben müssen.
Hinweis:
Das Setup für Knox Mobile Enrollment hat nichts mit dem XenMobile Knox-Container zu tun. Weitere Informationen zu Knox Mobile Enrollment finden Sie im Knox Mobile Enrollment Admin Guide.
Voraussetzungen für Knox Mobile Enrollment
- XenMobile muss konfiguriert sein (einschließlich Lizenzen und Zertifikate) und ausgeführt werden.
- Secure Hub-APK-Datei: Sie laden die Datei bei der Einrichtung von Knox Mobile Enrollment hoch.
- Eine Liste der KME-Anforderungen finden Sie unter Einführung in Knox Mobile Enrollment.
- Lizenz für Samsung Knox Platform for Enterprise (PKE), erforderlich für die Anwendung von Geräterichtlinien. Geben Sie den Lizenzschlüssel in der XenMobile-Geräterichtlinie “Knox Platform for Enterprise” ein.
Herunterladen der Secure Hub APK-Datei
Laden Sie Citrix Secure Hub für Android aus dem Google Play-Store herunter.
Konfigurieren von Firewallausnahmen
Konfigurieren Sie für den Zugriff auf Knox Mobile Enrollment die folgenden Ausnahmen. Einige dieser Firewallausnahmen sind für alle Geräte erforderlich und einige sind spezifisch für die geografische Region des Geräts.
Region des Geräts | URL | Port | Ziel |
---|---|---|---|
Alle | https://gslb.secb2b.com |
443 | Globaler Load Balancer für die Initiierung von Knox Mobile Enrollment |
Alle | https://gslb.secb2b.com |
80 | Globaler Load Balancer für die Initiierung von Knox Mobile Enrollment auf einigen limitierten Legacy-Geräten |
Alle | umc-cdn.secb2b.com |
443 | Samsung Agent-Update-Server |
Alle | bulkenrollment.s3.amazonaws.com |
80 | EULAs für Knox Mobile Enrollment |
Alle | eula.secb2b.com |
443 | EULAs für Knox Mobile Enrollment |
Alle | us-be-api-mssl.samsungknox.com |
443 | Samsung-Server für IMEI-Überprüfung |
USA | https://us-segd-api.secb2b.com |
443 | Samsung Enterprise Gateway für die US-Region |
Europa | https://eu-segd-api.secb2b.com |
443 | Samsung Enterprise Gateway für die Region Europa |
China | https://china-segd-api.secb2b.com |
443 | Samsung Enterprise Gateway für die Region China |
Hinweis:
Eine vollständige Liste der Firewall-Ausnahmen finden Sie im Knox Mobile Enrollment Admin Guide.
Zugreifen auf Knox Mobile Enrollment
Folgen Sie der Samsung-Dokumentation unter Get started with KME, um Zugriff auf Knox Mobile Enrollment zu erhalten.
Einrichten von Knox Mobile Enrollment
Wenn Sie Zugriff auf Knox Mobile Enrollment erhalten haben, melden Sie sich im Knox-Portal an.
Die Registrierung umfasst die folgenden allgemeinen Schritte.
-
Erstellen Sie ein MDM-Profil mit den Informationen und Einstellungen Ihrer MDM-Konsole.
Das MDM-Profil zeigt den Geräten an, wie eine Verbindung mit dem MDM hergestellt wird.
-
Fügen Sie die Geräte Ihrem MDM-Profil hinzu.
Laden Sie dazu eine CSV-Datei mit Geräteinformationen hoch oder installieren und verwenden Sie die Knox-Bereitstellungs-App aus Google Play.
-
Samsung benachrichtigt Sie, wenn der Gerätebesitz verifiziert ist.
-
Stellen Sie Benutzern die MDM-Anmeldeinformationen bereit. Weisen Sie die Benutzer an, sich über Wi-Fi mit dem Internet zu verbinden und die Registrierungsaufforderung für ihre Geräte zu akzeptieren.
Erstellen eines MDM-Profils
Befolgen Sie die Schritte in der Samsung-Dokumentation unter Profilkonfiguration.
Wenn folgende Felder oder Schritte angezeigt werden, konfigurieren Sie sie wie folgt:
- Pick your MDM: Wählen Sie Citrix aus dem Menü aus. Nur für Gerätebesitzerprofile.
-
MDM Agent APK: nur für Gerätebesitzerprofile. Geben Sie die URL zum Herunterladen der Secure Hub-APK-Datei ein:
https://play.google.com/managed/downloadManagingApp?identifier=xenmobile
.Die APK-Datei kann auf einem beliebigen Server sein, solange das Gerät während der Registrierung darauf zugreifen kann. Bei der Registrierung führt ein Gerät folgende Schritte aus:
- Download von Secure Hub von der APK-Download-URL.
- Installation von Secure Hub.
- Öffnen von Secure Hub mit den nachfolgend beschriebenen benutzerdefinierten JSON-Daten.
Die Groß-/Kleinschreibung des APK-Dateinamens muss mit der Schreibweise in der URL übereinstimmen. Beispiel: Wenn der Dateiname nur aus Kleinbuchstaben besteht, muss er auch in der URL in Kleinbuchstaben eingegeben werden.
- MDM Server URI: Geben Sie keinen MDM-Server-URI an. XenMobile unterstützt das Samsung MDM-Protokoll nicht.
-
Custom JSON Data: Secure Hub erfordert die Adresse des XenMobile-Servers und den Benutzernamen und das Kennwort für die Registrierung. Sie können diese Informationen in der JSON bereitstellen, damit Secure Hub sie nicht bei den Benutzern anfordert. Secure Hub fordert die Benutzer nur dann zur Eingabe von Serveradresse, Benutzernamen und Kennwort auf, wenn das Feld in der JSON weggelassen wird.
Format für benutzerdefinierte JSON-Daten:
{"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}
In diesem für die Massenregistrierung typischen Beispiel fordert Secure Hub die Benutzer bei der Registrierung nicht zur Eingabe der Serveradresse oder ihrer Anmeldeinformationen auf:
{"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"}
{"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"userN2", "xm_password":"password7890"}
In diesem für Kiosk-basierte Geräte typischen Beispiel fordert Secure Hub die Benutzer zur Eingabe ihrer Anmeldeinformationen auf:
{"serverURL":"https://example.com/zdm"}
Sie können auch benutzerdefiniertes JSON für die Zero-Touch-Registrierung für Android Enterprise eingeben.
{ "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "serverURL":"URL","xm_username":"username","xm_password":"password" } } <!--NeedCopy-->
Wenn ein Gerät die Registrierung beginnt, lädt es Secure Hub von der angegebenen URL herunter, installiert und öffnet es.
Weitere Konfiguration
Weitere Konfigurationshinweise finden Sie auf den folgenden Seiten der Samsung-Dokumentation:
- Gerätekonfiguration: Große Mengen an Geräten hinzufügen.
- App zur Bereitstellung von Samsung Knox: Registrierung von Geräten über Bluetooth, NFC oder Wi-Fi Direct.
- Knox Mobile Enrollment: Weitere Informationen zu Samsung Knox finden Sie in der Samsung-Dokumentation.
Registrieren von Geräten mit einer Knox-API vor Version 2.4
Auf Geräten mit einer Knox-API-Version vor 2.4 wird die Massenregistrierung nicht automatisch bei der Ersteinrichtung des Geräts gestartet. Stattdessen müssen Benutzer mit der Registrierung beginnen. Hierfür laden sie den neuen Mobile Enrollment-Client von einer Samsung-Site herunter und starten die Registrierung.
Der heruntergeladene Enrollment-Client verwendet das MDM-Profil und die APKs, die im Knox-Massenregistrierungsportal für die Knox 2.4/2.4.1-Geräte konfiguriert wurden.
In der Regel sind die folgenden Schritte auszuführen:
-
Schalten Sie das Gerät ein und stellen Sie eine Verbindung mit Wi-Fi her. Wenn Mobile Enrollment nicht startet oder Wi-Fi nicht verfügbar ist, führen Sie folgende Schritte aus:
-
Navigieren Sie zu Samsung Knox Mobile Enrollment.
-
Tippen Sie auf die Schaltfläche Next, um Geräte über eine mobile Verbindung zu registrieren.
-
-
Wenn Enroll with Knox angezeigt wird, tippen Sie auf Continue.
-
Lesen Sie die Lizenzvereinbarung (falls verfügbar). Tippen Sie auf Weiter.
-
Geben Sie bei Aufforderung unter User ID und Password die vom IT-Administrator bereitgestellten Informationen ein.
Nun werden die Anmeldeinformationen des Benutzers überprüft und das Gerät wird von der IT-Umgebung Ihres Unternehmens registriert.
Aktivieren und Deaktivieren der biometrischen Authentifizierung für Samsung-Geräte
XenMobile unterstützt die Authentifizierung per Fingerabdruck oder Iriserkennung (auch als biometrische Authentifizierung bezeichnet). Sie können die biometrische Authentifizierung für Samsung-Geräte ohne Aktion der Benutzer aktivieren und deaktivieren. Wenn Sie die biometrische Authentifizierung in XenMobile deaktivieren, können Benutzer und Drittanbieter-Apps das Feature nicht aktivieren.
-
Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Geräterichtlinien. Die Seite Geräterichtlinien wird angezeigt.
-
Klicken Sie auf Hinzufügen. Die Seite Neue Richtlinie hinzufügen wird angezeigt.
-
Klicken Sie auf Passcode. Die Seite Passcode wird angezeigt.
-
Geben Sie im Bereich Richtlinieninformationen die folgenden Informationen ein:
- Richtlinienname: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein.
- Beschreibung: Geben Sie optional eine Beschreibung der Richtlinie ein.
-
Klicken Sie auf Weiter. Die Seite Plattformen wird angezeigt.
-
Wählen Sie unter Plattformen die Option Android oder Samsung Knox.
-
Wählen Sie unter Biometrische Authentifizierung konfigurieren die Einstellung Ein (ON).
-
Bei Auswahl von Android unter Samsung SAFE aktivieren Sie die Option Fingerabdruck zulassen oder Iriserkennung zulassen oder beides.