Kunden mit Legacy Android Enterprise für Google Workspace (ehemals G Suite)
Kunden mit Google Workspace (ehemals G Suite) müssen die Legacy Android Enterprise-Einstellungen zum Konfigurieren von Legacy Android Enterprise verwenden.
Anforderungen für Legacy Android Enterprise:
- Öffentlich zugängliche Domäne
- Google-Administratorkonto
- Geräte mit Unterstützung für verwaltete Profile, auf denen Android 5.0+ Lollipop ausgeführt wird
- Ein Google-Konto, für das Google Play installiert wurde
- Arbeitsprofil auf den Geräten eingerichtet
嗯遗留Android企业祖茂堂konfigurieren死去,klicken Sie in den XenMobile-Einstellungen auf der SeiteAndroid EnterpriseaufLegacy Android Enterprise.
Erstellen eines Android Enterprise-Kontos
Bevor Sie ein Android Enterprise-Konto einrichten können, müssen Sie Ihren Domainnamen bei Google bestätigen.
Wenn Ihr Domänenname bei Google bereits verifiziert wurde, können Sie mit dem SchrittEinrichten eines Android Enterprise-Dienstkontos und Download eines Android Enterprise-Zertifikatsfortfahren.
Navigieren Sie zuhttps://gsuite.google.com/signup/basic/welcome.
Auf der nachfolgend gezeigten Seite geben Sie die Administrator- und Unternehmensinformationen ein.
Geben Sie Ihre Administratorinformationen ein.
Geben Sie zusätzlich zu den Administratorinformationen Informationen zu Ihrem Unternehmen ein.
Der erste Schritt des Prozesses ist abgeschlossen und es wird die folgende Seite angezeigt.
Überprüfen der Domäneneigentümerschaft
Zur Verifizierung Ihrer Domäne durch Google gibt es folgende Methoden:
- Hinzufügen eines TXT- oder CNAME-Datensatzes zu der Website Ihres Domänenhosts.
- Hochladen einer HTML-Datei auf den Webserver Ihrer Domäne.
- Hinzufügen eines
-Tags zu Ihrer Homepage. Google empfiehlt die Verwendung der ersten Methode. Die Schritte zum Überprüfen Ihrer Domäneneigentümerschaft werden in diesem Artikel nicht behandelt, Informationen finden Sie unterhttps://support.google.com/a/answer/6248925.
Klicken年代ie aufStart, um die Domänenüberprüfung zu beginnen.
Die SeiteVerify domain ownershipwird angezeigt. Folgen Sie den angezeigten Anweisungen zum Überprüfen Ihrer Domäne.
Klicken年代ie aufVerify.
Google überprüft die Eigentümerschaft der Domäne.
Nach einer erfolgreichen Überprüfung wird die folgende Seite angezeigt. Klicken Sie aufWeiter.
Google erstellt ein EMM-Bindungstoken, das Sie Citrix zur Verfügung stellen und beim Konfigurieren der Android Enterprise-Einstellungen verwenden. Kopieren und speichern Sie das Token zur späteren Verwendung beim Setup.
Klicken年代ie aufFinish, um das Einrichten von Android Enterprise abzuschließen. Es wird eine Seite mit der Meldung angezeigt, dass Ihre Domäne erfolgreich verifiziert wurde.
Nach dem Erstellen eines Android Enterprise-Dienstkontos können Sie sich bei der Google Admin-Konsole anmelden und die Einstellungen Ihrer Mobilitätsverwaltung festlegen.
Einrichten eines Android Enterprise-Dienstkontos und Herunterladen eines Android Enterprise-Zertifikats
Damit XenMobile Google Play und Verzeichnisdienste kontaktieren kann, müssen Sie ein Dienstkonto mit dem Projektportal für Entwickler von Google erstellen. Das Dienstkonto wird für die Server-Kommunikation zwischen XenMobile und den Google-Diensten für Android verwendet. Weitere Informationen zum verwendeten Authentifizierungsprotokoll finden Sie unterhttps://developers.google.com/identity/protocols/OAuth2ServiceAccount.
Rufen Sie in einem Webbrowserhttps://console.cloud.google.com/projectauf und melden Sie sich mit Ihren Anmeldeinformationen als Google-Administrator an.
Klicken年代ie in der ListeProjectsaufCreate project.
Geben Sie unterProject nameeinen Namen für das Projekt ein.
Klicken年代ie im Dashboard aufUse Google APIs.
Klicken年代ie aufLibrarygeben Sie fürSearchden TextEMMein und klicken Sie auf das Suchergebnis.
Klicken年代ie auf der SeiteOverviewaufEnable.
Klicken年代ie nebenGoogle Play EMM APIaufGo to Credentials.
Klicken年代ie in der ListeAdd credentials to our projectunter Schritt 1 aufservice account.
Klicken年代ie auf der SeiteService AccountsaufCreate Service Account.
Geben Sie unterCreate service accounteinen Namen für das Konto ein und aktivieren Sie das KontrollkästchenFurnish a new private key. Klicken Sie aufP12, aktivieren Sie das KontrollkästchenEnable Google Apps Domain-wide Delegationund klicken Sie aufCreate.
Die Zertifikatdatei (P12-Datei) wird auf Ihren Computer heruntergeladen. Speichern Sie das Zertifikat an einem sicheren Ort.
Klicken年代ie auf der SeiteService account createdaufClose.
Klicken年代ie unterPermissionsaufService accountsund dann unterOptionsfür Ihr Dienstkonto aufView Client ID.
Die für die Kontoautorisierung auf der Google Admin-Konsole erforderlichen Informationen werden angezeigt. Kopieren Sie dieClient IDund dieService account IDan einen Speicherort, an dem Sie die Informationen später abrufen können. Sie müssen diese Informationen mit dem Domänennamen an den Citrix Support senden, damit sie auf eine Positivliste gesetzt werden.
Suchen Sie auf der SeiteLibraryden EintragAdmin SDKund klicken Sie auf das Suchergebnis.
Klicken年代ie auf der SeiteOverviewaufEnable.
Offnen您死谷歌Admin-Konsole毛皮您Domane und klicken Sie auf安全.
Klicken年代ie auf der SeiteSettingsaufShow moreund dann aufAdvanced settings.
Klicken年代ie aufManage API client access.
Geben Sie unterClient Namedie Client-ID ein, die Sie zuvor gespeichert haben, geben Sie unterOne or More API Scopesden Text
https://www.googleapis.com/auth/admin.directory.user
ein und klicken Sie aufAuthorize.
Binden an EMM
Bevor Sie Android-Geräte mit XenMobile verwalten können, müssen Sie dem technischen Support von Citrix den Namen Ihrer Domäne, das Dienstkonto und den Bindungstoken senden. Citrix bindet das Token dann an XenMobile zur Verwendung als Enterprise Mobility Management-Anbieter (EMM). Kontaktinformationen für den technischen Support von Citrix finden Sie unterTechnischer Support von Citrix.
Zum Überprüfen der Bindung melden Sie sich beim Google-Verwaltungsportal an und klicken Sie auf安全.
Klicken年代ie aufManage EMM provider for Android.
Sie sehen dann, dass Ihr Android Enterprise-Konto bei Google nun an Citrix als EMM-Anbieter gebunden ist.
Nach der Prüfung der Tokenbindung können Sie XenMobile zum Verwalten der Android-Geräte verwenden. Importieren Sie das P12-Zertifikat, das Sie in Schritt 14 erstellt haben. Richten Sie den Android Enterprise-Server ein, aktivieren Sie das SAML-basierte Single Sign-On und definieren Sie mindestens eine Android Enterprise-Richtlinie.
Importieren des P12-Zertifikats
Führen Sie die folgenden Schritte zum Importieren des Android Enterprise-P12-Zertifikats aus:
Melden Sie sich bei der XenMobile-Konsole an.
在der oberen再保险Klicken您das Zahnradsymbol汪汪汪chten Ecke der Konsole zum Öffnen die SeiteEinstellungenund klicken Sie dann aufZertifikate. Die SeiteZertifikatewird angezeigt.
Klicken年代ie aufImportieren. Das DialogfeldImportierenwird angezeigt.
Konfigurieren Sie die folgenden Einstellungen:
- Importieren:Klicken年代ie in der Liste aufSchlüsselspeicher.
- Schlüsselspeichertyp:Klicken年代ie in der Liste aufPKCS#12.
- Verwenden als:Klicken年代ie in der Liste aufServer.
- Schlüsselspeicherdatei:Klicken年代ie aufDurchsuchenund navigieren Sie zu dem P12-Zertifikat.
- Kennwort:Geben Sie das Schlüsselspeicherkennwort für die Anmeldeinformationen ein.
- Beschreibung:Geben Sie optional eine Beschreibung des Zertifikats ein.
Klicken年代ie aufImportieren.
Einrichten der Android Enterprise-Servereinstellungen
Klicken年代ie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die SeiteEinstellungenwird angezeigt.
Klicken年代ie unterPlattformenaufAndroid Enterprise. Die SeiteAndroid Enterprisewird angezeigt.
Konfigurieren Sie die folgenden Einstellungen und klicken Sie dann aufSpeichern.
- Domänenname:Geben Sie den Namen der Android Enterprise-Domäne ein, z. B. domain.com.
- Domänenadministratorkonto:Geben Sie Ihren Domänenadministrator-Benutzernamen ein, z. B. das für das Google Developer Portal verwendete E-Mail-Konto.
- Dienstkonto-ID:Geben Sie die ID Ihres Dienstkontos ein, z. B. die dem Google-Dienstkonto zugeordnete E-Mail-Adresse (
serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com
). - Client-ID:Geben Sie die numerische ID Ihres Google-Dienstkontos ein.
- Android Enterprise aktivieren:Wählen Sie aus, ob Android Enterprise aktiviert oder deaktiviert werden soll.
Aktivieren des SAML-basierten Single Sign-Ons
Melden Sie sich bei der XenMobile-Konsole an.
Klicken年代ie auf das Zahnradsymbol rechts oben in der Konsole. Die SeiteEinstellungenwird angezeigt.
Klicken年代ie aufZertifikate. Die SeiteZertifikatewird angezeigt.
Klicken年代ie in der Liste der Zertifikate auf das SAML-Zertifikat.
Klicken年代ie aufExportierenund speichern Sie das Zertifikat auf Ihrem Computer.
Melden Sie sich beim Google-Verwaltungsportal mit Ihren Android Enterprise-Administratoranmeldeinformationen an. Informationen zum Zugriff auf das Portal finden Sie unterGoogle-Verwaltungsportal.
Klicken年代ie aufSicherheit.
Klicken年代ie unter安全aufSet up single sign-on (SSO)und konfigurieren Sie die folgenden Einstellungen:
- Sign-in page URL:Geben Sie die URL der Seite an, über die Benutzer sich bei Ihrem System und Google Apps anmelden. Beispiel:
https://
./aw/saml/signin - Sign-out page URL:Geben Sie die URL an, an die die Benutzer weitergeleitet werden, wenn sie sich abmelden. Beispiel:
https://
./aw/saml/signout - Change password URL:Geben Sie die URL der Seite an, auf der die Benutzer ihr Kennwort in Ihrem System ändern können. Beispiel:
https://
. Wenn dieses Feld definiert wird, wird diese Aufforderung für Benutzer angezeigt, selbst wenn Single Sign-On nicht verfügbar ist./aw/saml/changepassword - Verification certificate:Klicken年代ie aufCHOOSE FILEund navigieren Sie zu dem aus XenMobile exportierten SAML-Zertifikat.
- Sign-in page URL:Geben Sie die URL der Seite an, über die Benutzer sich bei Ihrem System und Google Apps anmelden. Beispiel:
Klicken年代ie aufSAVE CHANGES.
Einrichten einer Android Enterprise-Richtlinie
Richten Sie eine Passcode-Richtlinie ein, sodass Benutzer bei der ersten Registrierung einen Passcode auf ihrem Gerät festlegen müssen.
Grundlegende Schritte zum Einrichten einer Geräterichtlinie:
Melden Sie sich bei der XenMobile-Konsole an.
Klicken年代ie aufKonfigurierenund dann aufGeräterichtlinien.
Klicken年代ie aufHinzufügenund wählen Sie dann im DialogfeldNeue Richtlinie hinzufügendie Richtlinie aus, die Sie hinzufügen möchten. Klicken Sie in diesem BeispielPasscode.
Füllen Sie die SeiteRichtlinieninformationenaus.
Klicken年代ie aufAndroid Enterpriseund konfigurieren Sie die Einstellungen für die Richtlinie.
Weisen Sie die Richtlinie einer Bereitstellungsgruppe zu.
Konfigurieren der Android Enterprise-Kontoeinstellungen
Bevor Sie Android-Apps und Richtlinien auf Benutzergeräten verwalten können, müssen Sie eine Domäne und Kontoinformationen für Android Enterprise in XenMobile einrichten. Zunächst müssen Sie Android Enterprise-Einrichtungsaufgaben auf Google zum Einrichten eines Domänenadministrators erledigen und eine Dienstkonten-ID sowie ein Bindungstoken anfordern.
Klicken年代ie in der XenMobile-Webkonsole auf das Zahnradsymbol rechts oben. Die SeiteEinstellungenwird angezeigt.
Klicken年代ie unterPlattformenaufAndroid Enterprise. Die KonfigurationsseiteAndroid Enterprisewird angezeigt.
Konfigurieren Sie auf der SeiteAndroid Enterprisedie folgenden Einstellungen:
- Domänenname:Geben Sie Ihren Domänennamen ein.
- Domänenadministratorkonto:Geben Sie Ihren Domänenadministrator-Benutzernamen ein.
- Dienstkonto-ID:Geben Sie die ID Ihres Google-Dienstkontos ein.
- Client-ID:Geben Sie die ID Ihres Google-Dienstkontos ein.
- Android Enterprise aktivieren:Wählen Sie aus, ob Android Enterprise aktiviert werden soll.
Klicken年代ie aufSpeichern.
Einrichten von Google Workspace-Partnerzugriff für XenMobile
Einige Endpunktverwaltungsfunktionen für Chrome verwenden Google-Partner-APIs für die Kommunikation zwischen XenMobile und Ihrer Google Workspace-Domäne. Beispielsweise benötigt XenMobile die APIs für Geräterichtlinien, die Chrome-Features wie den Incognitomodus und den Gastmodus verwalten.
Zum Aktivieren dieser Partner-APIs richten Sie Ihre Google Workspace-Domäne in der XenMobile-Konsole ein und konfigurieren anschließend Ihr Google Workspace-Konto.
Einrichten Ihrer Google Workspace-Domäne (ehemals G Suite) in XenMobile
Um die Kommunikation zwischen XenMobile und den APIs in Ihrer Google Workspace-Domäne zu aktivieren, gehen Sie zuEinstellungen > Google Chrome-Konfigurationund konfigurieren Sie die Einstellungen.
- G Suite-Domäne:Die Google Workspace-Domäne mit den von XenMobile benötigten APIs.
- G Suite-Administratorkonto:Das Administratorkonto für Ihre G Suite-Domäne.
- G Suite-Client-ID:Die Client-ID für Citrix. Konfigurieren Sie mit diesem Wert den Partnerzugriff für Ihre Google Workspace-Domäne.
- G Suite-Unternehmens-ID:Die Unternehmens-ID für Ihr Konto mit den Angaben Ihres Google Enterprise-Kontos.
Aktivieren des Partnerzugriffs für Geräte und Benutzer in Ihrer Google Workspace-Domäne
Melden Sie sich an der Google Admin-Konsole an:https://admin.google.com
Klicken年代ie aufDevice Management.
Klicken年代ie aufChrome management.
Klicken年代ie aufUser settings.
Suchen Sie nachChrome Management - Partner Access.
Aktivieren Sie das KontrollkästchenEnable Chrome Management - Partner Access.
Stimmen Sie zu, dass Sie den Partnerzugriff verstehen und aktivieren möchten. Klicken Sie aufSpeichern.
Klicken年代ie auf der Chrome-Verwaltungsseite aufDevice Settings.
Suchen Sie nachChrome Management - Partner Access.
Aktivieren Sie das KontrollkästchenEnable Chrome Management - Partner Access.
Stimmen Sie zu, dass Sie den Partnerzugriff verstehen und aktivieren möchten. Klicken Sie aufSpeichern.
Wechseln Sie zur Seite安全und klicken Sie aufAdvanced Settings.
Klicken年代ie aufManage API client access.
Gehen Sie in der XenMobile-Konsole zuEinstellungen > Google Chrome-Konfigurationund kopieren Sie den Wert für Google Workspace Client ID. Kehren Sie zur SeiteManage API client Accesszurück und fügen Sie den kopierten Wert in das FeldClient nameein.
Fügen Sie unterOne or More API Scopesdie URL hinzu:
https://www.googleapis.com/auth/chromedevicemanagementapi
Klicken年代ie aufAuthorize.
Die Meldung “Your settings have been saved” wird angezeigt.
Registrieren von Android Enterprise-Geräten
Wenn Benutzer bei der Geräteregistrierung einen Benutzernamen oder eine Benutzer-ID eingeben müssen: Das akzeptierte Format hängt davon ab, ob in XenMobile der Benutzerprinzipalname (UPN) oder der SAM-Kontoname für die Benutzersuche konfiguriert ist.
Wenn die Benutzer in XenMobile über den UPN gesucht werden, müssen sie einen UPN in diesem Format eingeben:
- username@domain
Wenn die Benutzer in XenMobile über SAM gesucht werden, müssen sie die SAM in einem dieser Formate eingeben:
- username@domain
- domain\username
Bestimmen des konfigurierten Benutzernamentyps im XenMobile Server
- Klicken年代ie in der Konsole von XenMobile Server rechts oben auf das Zahnradsymbol. Die SeiteEinstellungenwird angezeigt.
- Klicken年代ie aufLDAP, um die Konfiguration der LDAP-Verbindung anzuzeigen.
Prüfen Sie unten auf der Seite, welche Einstellung im FeldBenutzersuche nachausgewählt ist:
- BeiuserPrincipalNameist XenMobile Server für UPN konfiguriert.
- BeisAMAccountNameist XenMobile Server für SAM konfiguriert.
Registrierung für Android Enterprise-Unternehmen aufheben
Sie können die Registrierung eines Android Enterprise-Unternehmens über die XenMobile Server-Konsole und XenMobile Tools aufheben.
Wenn Sie diese Aufgabe ausführen, öffnet XenMobile Server ein Popupfenster für XenMobile Tools. Bevor Sie beginnen, sollten Sie sicherstellen, dass XenMobile Server im verwendeten Browser die Berechtigung hat, Popupfenster zu öffnen. In einigen Browsern, wie Google Chrome, müssen Sie die Popupblockierung deaktivieren und die Adresse der XenMobile-Site der Positivliste des Popupblockers hinzufügen.
Warnung:
Nachdem die Registrierung eines Unternehmens aufgehoben wurde, werden Android Enterprise-Apps auf Geräten, die bereits registriert wurden, auf die Standardeinstellungen zurückgesetzt. Die Geräte werden dann nicht mehr von Google verwaltet. Für die Neuregistrierung in einem Android Enterprise-Unternehmen ist möglicherweise eine weitere Konfiguration erforderlich, um die vorherige Funktionalität wiederherzustellen.
Nachdem die Registrierung des Android Enterprise-Unternehmens aufgehoben wurde:
- Für Geräte und Benutzer, die über das Unternehmen registriert sind, wurden die Android Enterprise-Apps auf die Standardeinstellung zurückgesetzt. Android Enterprise App-Berechtigungen und Android Enterprise App-Beschränkungsrichtlinien, die zuvor angewendet wurden, haben keine Wirkung mehr auf Vorgänge.
- Über das Unternehmen registrierte Geräte werden zwar von XenMobile verwaltet, sind jedoch aus der Perspektive von Google nicht verwaltet. Es können keine neuen Android Enterprise-Apps hinzugefügt werden. Sie können keine Android Enterprise App-Berechtigungen oder Android Enterprise App-Einschränkungsrichtlinien anwenden. Sie können weiterhin auf diese Geräte andere Richtlinien anwenden, z. B. Planung, Kennwort und Einschränkungen.
- Wenn Sie versuchen, Geräte in Android Enterprise zu registrieren, werden sie als Android-Geräte und nicht als Android Enterprise-Geräte registriert.
Registrierung für Android Enterprise-Unternehmen aufheben:
Klicken年代ie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.
Klicken年代ie auf der Seite “Einstellungen” aufAndroid Enterprise.
Klicken年代ie aufUnternehmen entfernen.
Geben Sie ein Kennwort an. Dies ist für den nächsten Schritt erforderlich, um das Aufheben der Registrierung abzuschließen. Klicken Sie dann aufRegistrierung aufheben.
Wenn die XenMobile Tools-Seite geöffnet wird, geben Sie das Kennwort ein, das Sie im vorherigen Schritt erstellt haben.
Klicken年代ie aufRegistrierung aufheben.
Provisioning vollständig verwalteter Geräte in Android Enterprise
Nur unternehmenseigene Geräte können als vollständig verwaltete Geräte in Android Enterprise verwendet werden. Auf vollständig verwalteten Geräten wird nicht nur das Arbeitsprofil, sondern das gesamte Gerät vom Unternehmen oder der Organisation gesteuert. Sie sind ein vom Unternehmen verwaltetes Gerät.
Vollständig verwaltete Geräte können in XenMobile durch folgende Verfahren registriert werden:
- afw#xenmobile:Bei dieser Registrierungsmethode gibt der Benutzer beim Einrichten des Geräts die Zeichen “afw#xenmobile” ein. Das Token identifiziert das Gerät als von XenMobile verwaltet und lädt Secure Hub herunter.
- QR-Code:Die Bereitstellung per QR-Code empfiehlt sich für verteilte Geräte im Bestand, die NFC nicht unterstützen (z. B. Tablets). Sie eignet sich für Geräte im Bestand, die auf Werkseinstellungen zurückgesetzt wurden. Bei dieser Methode werden vollständig verwaltete Geräte vom Setupassistenten durch Scannen eines QR-Codes eingerichtet und konfiguriert.
- Datenübertragung per NFC (Near Field Communication):Die Registrierung per NFC eignet sich für Geräte im Bestand, die auf Werkseinstellungen zurückgesetzt wurden. Bei dieser Art der kontaktlosen Übertragung erfolgt der Datenaustausch zwischen zwei Geräten über die Nahfeldkommunikation (NFC). Bluetooth, WiFi und andere Kommunikationsmodi sind auf einem Gerät mit Werkseinstellungen deaktiviert. NFC ist das einzige Kommunikationsprotokoll, das das Gerät in diesem Zustand verwenden kann.
afw#xenmobile
Die Registrierungsmethode wird nach Einschalten eines neuen oder werkseitig zurückgesetzten Geräts für die Ersteinrichtung verwendet. Die Benutzer geben “afw#xenmobile” ein, wenn sie zum Angeben eines Google-Kontos aufgefordert werden. Mit dieser Aktion wird Secure Hub heruntergeladen und installiert. Die Benutzer folgen anschließend den Anweisungen in Secure Hub zum Abschließen der Registrierung.
Diese Registrierungsmethode wird für die meisten Kunden empfohlen, da die aktuelle Secure Hub-Version aus Google Play heruntergeladen wird. Im Gegensatz zu anderen Registrierungsmethoden wird Secure Hub nicht zum Herunterladen vom XenMobile-Server bereitgestellt.
Voraussetzungen:
- Wird auf allen Android-Geräten ab Android 5.0 unterstützt.
QR-Code
Sie registrieren ein Gerät per QR-Code im Gerätemodus, indem Sie zunächst eine JSON-Datei erstellen und diese in einen QR-Code umwandeln. Der QR-Code wird mit der Gerätekamera gescannt, um das Gerät zu registrieren.
Voraussetzungen:
- Wird auf allen Android-Geräten ab Android 7.0 unterstützt.
Erstellen eines QR-Codes aus einer JSON-Datei
Erstellen Sie eine JSON-Datei mit den folgenden Feldern.
Diese Felder sind erforderlich:
Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME
Wert: com.zenprise/com.zenprise.configuration.AdminFunction
Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM
Wert: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM
Schlüssel: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION
Wert:https://path/to/securehub.apk
Hinweis:
Falls Secure Hub als Unternehmensapp auf dem Citrix XenMobile Server hochgeladen wird, kann der Download über
https://
erfolgen. Der Pfad zur APK-Datei für Secure Hub muss über das Wi-Fi-Netzwerk erreichbar sein, mit dem das Gerät während des Provisioning verbunden ist.:4443/*instanceName*/worxhome.apk
Diese Felder sind optional:
android.app.extra.PROVISIONING_LOCALE:Geben Sie den Sprach- und den Ländercode ein.
Sprachcodes sind nachISO 639-1definierte ISO-Sprachcodes, die aus zwei Kleinbuchstaben bestehen (z. B. en). Ländercodes sind nachISO 3166-1definierte ISO-Ländercodes, die aus zwei Großbuchstaben bestehen(z. B. US). Geben Sie z. B. de_DE für Deutsch/Deutschland ein.
android.app.extra.PROVISIONING_TIME_ZONE:die Zeitzone, in der das Gerät ausgeführt wird.
Geben Sie einenNamen im Format Gebiet/Ortein. Beispiel: America/Los_Angeles für Pacific Time. Wenn Sie keine Zeitzone eingeben, wird sie automatisch eingetragen.
android.app.extra.PROVISIONING_LOCAL_TIME:Zeit in Millisekunden seit der Unix-Epoche.
Die Unix-Zeit (auch POSIX-Zeit oder Unix-Zeitstempel) ist die Anzahl der Sekunden, die seit der Epoche, d. h. dem 1. Januar 1970 (Mitternacht UTC-GMT), verstrichen sind. Schaltsekunden werden nicht mitgezählt (in ISO 8601: 1970-01-01T00:00:00Z).
android.app.extra.PROVISIONING_SKIP_ENCRYPTION:Wenn Sie dies auftruefestlegen, wird die Verschlüsselung während der Profilerstellung übersprungen. Wählen SieFalse, um die Verschlüsselung während der Profilerstellung zu erzwingen.
Eine JSON-Datei sieht in etwa wie folgt aus:
Überprüfen Sie die JSON-Datei mit einem JSON-Validierungstool (z. B.https://jsonlint.com). Konvertieren Sie die JSON-Zeichenfolge mit einem beliebigen QR-Code-Generator (z. B.https://goqr.me) in einen QR-Code.
Der QR-Code wird von einem auf Werkseinstellungen zurückgesetzten Gerät gescannt, um das Gerät im Modus für vom Unternehmen verwaltete Geräte zu registrieren.
Registrieren des Geräts
Um ein Gerät als vollständig verwaltetes Gerät zu registrieren, muss es auf die Werkseinstellungen zurückgesetzt sein.
- Tippen Sie sechsmal auf den Begrüßungsbildschirm, um die Registrierung per QR-Code zu starten.
Verbinden您das Gerat Aufforderung麻省理工学院民主党的票WiFi-Netzwerk. Über das WiFi-Netzwerk wird dann per QR-Code (codiert in der JSON-Datei) auf den Download-Speicherort von Secure Hub zugegriffen.
Sobald das Gerät mit dem WiFi verbunden ist, lädt es ein Google-Programm zum Lesen des QR-Codes herunter und aktiviert die Kamera.
Halten Sie die Kamera über den QR-Code, um ihn zu scannen.
Android lädt Secure Hub vom Speicherort im QR-Code herunter, validiert die Signatur des Signaturzertifikats, installiert Secure Hub und legt die App als Gerätebesitzer fest.
Weitere Informationen finden Sie in diesem Google-Handbuch für Android EMM-Entwickler:https://developers.google.com/android/work/prov-devices#qr_code_method.
NFC-Übertragung
Um ein Gerät per NFC-Funktion als vollständig verwaltetes Gerät zu registrieren, sind zwei Geräte erforderlich: Ein Gerät, das auf die Werkseinstellungen zurückgesetzt wurde, und ein Gerät, auf dem das XenMobile Provisioning Tool ausgeführt wird.
Voraussetzungen:
- Wird auf allen Android-Geräten mit Android 5.0, 5.1, 6.0 und höher unterstützt.
- Eine XenMobile Server-Version 10.4, die für Android Enterprise aktiviert ist.
- Ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät, das für Android Enterprise als vollständig verwaltetes Gerät bereitgestellt wurde. Das Verfahren hierfür finden Sie weiter unten in diesem Artikel.
- Ein Gerät mit NFC-Funktion, auf dem das konfigurierte Provisioning Tool ausgeführt wird. Das Provisioning Tool ist in Secure Hub 10.4 und auf derCitrix Downloadseiteverfügbar.
Jedes Gerät kann nur ein Android Enterprise-Profil haben, das von einer Enterprise Mobility Management-App (EMM) verwaltet wird. In XenMobile ist Secure Hub die EMM-App. Nur ein Profil ist pro Gerät zulässig. Wenn Sie versuchen, eine zweite EMM-App hinzuzufügen, wird die erste entfernt.
Per NFC übertragene Daten
Für das Provisioning eines auf Werkseinstellungen zurückgesetzten Geräts müssen Sie die folgenden Daten per NFC senden, damit Android Enterprise initialisiert wird:
- Paketname der EMM-Anbieter-App, die als Gerätebesitzer fungiert (in diesem Fall Secure Hub).
- Intranet-/Internetspeicherort, von dem das Gerät die EMM-Anbieter-App herunterlädt.
- SHA1-Hash der EMM-Anbieter-App, um zu überprüfen, ob der Download erfolgreich ist.
- Wi-Fi-Verbindungsdetails, sodass ein auf Werkseinstellungen zurückgesetztes Gerät eine Verbindung herstellen und die EMM-Anbieter-App herunterladen kann. Hinweis: Android unterstützt für diesen Schritt nicht 802.1x.
- Zeitzone für das Gerät (optional).
- Geografischer Standort des Geräts (optional).
Wenn die beiden Geräte eine Verbindung herstellen, werden die Daten vom Provisioning Tool an das Gerät mit den Werkseinstellungen gesendet. Diese Daten werden dann zum Download von Secure Hub mit Administratoreinstellungen verwendet. Wenn Sie keine Werte für Zeitzone und Speicherort eingeben, konfiguriert Android sie automatisch auf dem neuen Gerät.
Konfigurieren des XenMobile Provisioning Tools
Bevor Sie Daten per NFC übertragen können, müssen Sie das Provisioning Tool konfigurieren. Diese Konfiguration wird dann während der NFC-Übertragung an das auf die Werkseinstellungen zurückgesetzte Gerät gesendet.
Sie können Daten in die erforderlichen Felder eintragen oder die Felder mit einer Textdatei ausfüllen. Nachfolgend wird beschrieben, wie Sie die Textdatei konfigurieren und welche Felder diese enthält. Die App speichert die eingegebenen Informationen nicht. Erstellen Sie daher eine Textdatei zur Aufbewahrung der Informationen.
Konfigurieren des Provisioning Tools mit einer Textdatei
Nennen Sie die Datei nfcprovisioning.txt und speichern Sie sie auf der SD-Karte des Geräts im Ordner /sdcard/. Die App liest die Textdatei und fügt die Werte ein.
Die Textdatei muss die folgenden Daten enthalten:
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=
Dies ist der Intranet-/Internetspeicherort der EMM-Anbieter-App. Wenn das auf Werkseinstellungen zurückgesetzte Gerät nach der NFC-Übertragung eine Wi-Fi-Verbindung herstellt, muss es für den Download Zugriff auf diesen Speicherort haben. Die URL ist eine normale URL ohne spezielle Formatierung.
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=
Dies ist die Prüfsumme der EMM-Anbieter-App. Sie wird verwendet, um zu prüfen, ob der Download erfolgreich ist. Das Verfahren zum Abrufen der Prüfsumme wird weiter unten in diesem Artikel beschrieben.
android.app.extra.PROVISIONING_WIFI_SSID=
Dies ist die Wi-Fi-SSID des Geräts, auf dem das Provisioning Tool ausgeführt wird.
android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=
Es了WEP和WPA2 unterstutzt。要是das WiFinicht geschützt ist, muss dieses Feld leer sein.
android.app.extra.PROVISIONING_WIFI_PASSWORD=
要是das WiFinicht geschützt ist, muss dieses Feld leer sein.
android.app.extra.PROVISIONING_LOCALE=
Geben Sie die Sprach- und Ländercodes ein. Sprachcodes sind nachISO 639-1definierte ISO-Sprachcodes, die aus zwei Kleinbuchstaben bestehen (z. B. en). Ländercodes sind nachISO 3166-1definierte ISO-Ländercodes, die aus zwei Großbuchstaben bestehen(z. B. US). Geben Sie z. B. de_DE für Deutsch/Deutschland ein. Wenn Sie keinen Länder- und Sprachcode eingeben, werden diese Felder automatisch ausgefüllt.
android.app.extra.PROVISIONING_TIME_ZONE=
Die Zeitzone, in der das Gerät ausgeführt wird. Geben Sie einenNamen im Format Gebiet/Ortein. Beispiel: America/Los_Angeles für Pacific Time. Wenn Sie keine Zeitzone eingeben, wird sie automatisch eingetragen.
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=
Keine Eingabe ist erforderlich, da der Wert in der App als Secure Hub hartcodiert ist. Er wird hier nur der Vollständigkeit halber angegeben.
Bei einem mit WPA2 geschützten Wi-Fi könnte die Datei nfcprovisioning.txt wie folgt aussehen:
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d
android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name
android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2
android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere
android.app.extra.PROVISIONING_LOCALE=en_US
android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles
Bei einem ungeschützten WiFi könnte die Datei nfcprovisioning.txt wie folgt aussehen:
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d
android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name
android.app.extra.PROVISIONING_LOCALE=en_US
android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles
Abrufen der Secure Hub-Prüfsumme
Wenn Sie die Prüfsumme einer App abrufen möchten, fügen Sie die App als Unternehmensapp hinzu.
Klicken年代ie in der XenMobile-Konsole aufKonfigurieren > Appsund dann aufHinzufügen.
Das FensterApps hinzufügenwird angezeigt.
Klicken年代ie aufEnterprise.
Die SeiteApp-Informationenwird angezeigt.
Wählen Sie die folgende Konfiguration und klicken Sie aufWeiter.
Die SeiteAndroid Enterprise-Unternehmensappwird angezeigt.
Geben Sie den Pfad für die APK-Datei an und klicken Sie aufWeiter, um die Datei hochzuladen.
Wenn der Upload abgeschlossen ist, werden die Details des hochgeladenen Pakets angezeigt.
Klicken年代ie aufWeiter, um die Seite zum Herunterladen der JSON-Datei für den Upload in Google Play aufzurufen. Für Secure Hub ist kein Upload in Google Play erforderlich, aber Sie benötigen die JSON-Datei, um den SHA1-Wert auszulesen.
Eine typische JSON-Datei sieht wie folgt aus:
Kopieren Sie den Wertfile_sha1_base64und geben Sie ihn in das FeldHashim Provisioning Tool ein.
Hinweis:
Der Hash muss URL-geeignet sein.
- Konvertieren Sie alle+-Symbole in-
- Konvertieren Sie alle/-Symbol in_
- Ersetzen Sie\u003dam Ende durch=
Die App führt die Sicherheitskonvertierung durch, wenn Sie den Hash-Wert in der Datei nfcprovisioning.txt auf der SD-Karte des Geräts speichern. Wenn Sie den Hash-Wert manuell eingeben, sind Sie dafür verantwortlich, dass er URL-sicher ist.
Verwendete Bibliotheken
Das Provisioning Tool verwendet die folgenden Bibliotheken im Quellcode:
v7 Appcompat Library, Design Support Library und v7 Palette Library von Google unter Apache 2.0-Lizenz
Weitere Informationen finden Sie im Handbuch zurSupport Library Features Guide.
Butter Knifevon Jake Wharton unter Apache-Lizenz 2.0
Provisioning von Arbeitsprofilgeräten in Android Enterprise
Auf Arbeitsprofilgeräten in Android Enterprise können Sie private und geschäftliche Bereiche sicher voneinander trennen. BYOD-Geräte können beispielsweise als Arbeitsprofilgerät verwendet werden. Die Registrierung im Arbeitsprofilgeräte ähnelt der Android-Registrierung in XenMobile. Die Benutzer laden Secure Hub aus Google Play herunter und registrieren ihre Geräte.
Standardmäßig sind die Einstellungen USB-Debugging und “Unbekannte Quellen” auf einem Gerät deaktiviert, wenn Sie es bei Android Enterprise als Arbeitsprofilgerät registrieren.
Tipp:
Beim Registrieren von Geräten als Arbeitsprofilgerät in Android Enterprise wechseln Sie stets zu Google Play. Aktivieren Sie dort Secure Hub, das dann im persönlichen Profil des Benutzers angezeigt wird.
In diesem Artikel
- Erstellen eines Android Enterprise-Kontos
- Einrichten eines Android Enterprise-Dienstkontos und Herunterladen eines Android Enterprise-Zertifikats
- Binden an EMM
- Importieren des P12-Zertifikats
- Einrichten der Android Enterprise-Servereinstellungen
- Aktivieren des SAML-basierten Single Sign-Ons
- Einrichten einer Android Enterprise-Richtlinie
- Konfigurieren der Android Enterprise-Kontoeinstellungen
- Einrichten von Google Workspace-Partnerzugriff für XenMobile
- Registrieren von Android Enterprise-Geräten
- Registrierung für Android Enterprise-Unternehmen aufheben
- Provisioning vollständig verwalteter Geräte in Android Enterprise
- Provisioning von Arbeitsprofilgeräten in Android Enterprise