Workspace ONE UEM Powered by AirWatch bietet Ihnen eine Reihe leistungsstarker Mobilitätsverwaltungslösungen zum Registrieren, Sichern, Konfigurieren und Verwalten Ihrer Android-Gerätebereitstellung. In der Workspace ONE UEM-Konsole stehen Ihnen mehrere Tools und Funktionen zur Verwaltung des gesamten Lebenszyklus von firmen- und mitarbeitereigenen Geräten zur Verfügung.
Der Leitfaden erläutert die Integration von Workspace ONE UEM als Ihren Enterprise Mobility-Manager (EMM) mit Android-Geräten.
Diese Schlüsselbegriffe für Android helfen Ihnen, zu verstehen, wie Sie Einstellungen für Ihre Benutzer konfigurieren und bereitstellen können.
Bevor Sie Android-Geräte bereitstellen, beachten Sie die folgenden Voraussetzungen, Anforderungen für die Bereitstellung, technischen Unterlagen und nützlichen Empfehlungen vom Workspace ONE UEM-Team.
Android 5.X.X (Lollipop)
Android 6.X.X
Android 7.X.X
Android 8.X.X
Android 9.X.X
Hinweis: Die LG Service-Anwendung wird auf LG-Geräten nicht mehr unterstützt, auf denen Android 9 und höher mit Android-(Legacy-)Bereitstellungen läuft. Wenn Sie LG-Geräte auf Android 9 oder höher mit dem Android-Legacy-Registrierungsverfahren verwenden, sollten Sie eine Migration auf Android Enterprise in Erwägung ziehen.
Android 10.X.X
Android 11.X.X
Android 12.X.X
Android 13.X.X
Hinweis: Für Kunden wird ein aktualisiertes Datenschutzkennwort eingerichtet, wenn ein Upgrade für das COPE registriert von Android 10 auf Android 11 ausgeführt wird. Eine Übersicht der wichtigsten Funktionen und der Funktionen von COPE-Geräten finden Sie unter „Android-Gerätemodi verstehen“.
Hinweis: Wenn Ihre Organisation mehr Zeit benötigt, um Tests abzuschließen, gibt es zwei Möglichkeiten, um das Upgrade Ihrer Geräte auf Android 11 zu verzögern. Mehr darüber unter „Verwalten von Systemupdates für Android-Geräte“.
Wenn Ihre Geräte die Google Play EMM-Integration nicht unterstützen, suchen Sie nach Informationen über die Bereitstellung „Android (Legacy)“, oder nutzen Sie die Konfiguration „AOSP/Geschlossenes Netzwerk“.
Weitere Informationen zu AOSP/Geschlossenes Netzwerk finden Sie unter „Android-Gerätemodi verstehen“.
Workspace ONE UEM unterstützt nur Geräte, auf denen Android GO im Modus „Vom Unternehmen verwaltetes Gerät“ ausgeführt wird. Für diese werden alle Geräteverwaltungsfunktionen für den Modus „Vom Unternehmen verwaltetes Gerät“ mit Ausnahme der folgenden unterstützt:
Endbenutzergeräte müssen in der Lage sein, bestimmte Endpoints für den Zugriff auf Apps und Dienste zu erreichen. Die Netzwerkanforderungen für Android umfassen eine Liste bekannter Endpoints für aktuelle und vergangene Versionen von Enterprise Management-APIs.
Um alle Endpoints erfolgreich zu erreichen, ist eine direkte Verbindung erforderlich. Wenn die Geräte hinter einem Proxy verbunden sind, ist die direkte Kommunikation nicht möglich, und bestimmte Funktionen schlagen fehl.
Ziel-Host | Ports | Zweck |
---|---|---|
play.google.com,android.com,google-analytics.com, *.googleusercontent.com,*gstatic.com,*gvt1.com*, *ggpht.com,dl.google.com,dl-ssl.google.com, android.clients.google.com,*gvt2.com,gvt3.comTCP/443TCP, UDP/5228-5230Google Play und updatesgstatic.com, googleusercontent.com – enthalten benutzergenerierte Inhalte (z. B. App-Symbole im Store)*gvt1.com, *.ggpht, dl.google.com,dl-ssl.google.com,android.clients.google.com – Apps und Updates zum Download, PlayStore APIs, gvt2.com und gvt3.com werden für die Überwachung von Play zu Diagnosezwecken verwendet. | ||
*.googleapis.com | TCP/443 | EMM/Google APIs/PlayStore-APIs |
accounts.google.com, accounts.google.[Land] | TCP/443 | Authentifizierung Verwenden Sie für accounts.google.[Land]-Konten Ihre lokale Top-Level-Domäne für [Land]. Verwenden Sie beispielsweise für Australien accounts.google.com.au und für das Vereinigte Königreich accounts.google.co.uk. |
fcm.googleapis.com, fcm-xmpp.googleapis.com | TCP/443, 5228-5230 | Firebase Cloud Messaging (z. B. „Mein Gerät suchen“, EMM-Konsole <-> DPC-Kommunikation, wie z. B. das Übertragen von Konfigurationen). Dies funktioniert nicht mit Proxys (siehe Details hier). |
pki.google.com, clients1.google.com | TCP/443 | Prüfung der Zertifikatswiderrufsliste für von Google ausgestellte Zertifikate |
clients2.google.com, clients3.google.com. clients4.google.com, clients5.google.com, clients6.google.com | TCP/443 | Von verschiedenen Google-Backend-Diensten gemeinsam genutzte Domänen wie z. B. Absturzberichte, Chrome Bookmark-Synchronisierung, Zeitsynchronisierung (tlsdate) und viele andere |
omahaproxy.appspot.com | TCP/443 | Chrome Updates |
android.clients.google.com | TCP/443 | Für NFC-Provisioning verwendete CloudDPC-Download-URL |
connectivitycheck.android.com www.google.com | TCP/443 | Überprüfung der Konnektivität vor der CloudDPC V470 Android-Konnektivitätsprüfung ab N MR1 erfordert, dass https://www.google.com/generate _204 erreichbar ist oder dass das angegebene WLAN-Netzwerk auf eine erreichbare PAC-Datei verweist. Auch für AOSP-Geräte mit Android 7.0 oder höher erforderlich. |
www.google.com, www.google.com/generate_204 | AOSP-Geräte, die Android 7.0 oder höher ausführen | |
android-safebrowsing.google.com, safebrowsing.google.com | TCP/443 | Überprüfung der Android-Anwendung. |
Die Workspace ONE UEM-Gerätedienstanwendung verwendet die SafetyNet-Nachweis-API von Google, um die Integrität von Android-Geräten zu überprüfen und sicherzustellen, dass sie nicht kompromittiert sind. Dazu führt sie ausgehende API-Aufrufe an Google-Server aus. In On-Premise-Umgebungen können Organisationen auswählen, dass nur die Gerätedienstanwendung ausgehende Verbindungen über einen Proxy herstellen darf. In diesen Fällen müssen Kunden neben der Konfiguration der Proxy-Einstellungen auf Anwendungsebene über die Workspace ONE UEM Console diesen ausgehenden Proxy auch auf Systemebene für den Windows-Server konfigurieren, der die Gerätedienstanwendung hostet. Wenn der Windows-Server keine ausgehenden Verbindungen zu den erforderlichen Google-Endpoints herstellen kann, schlägt der SafetyNet-Integritätsnachweis fehl.
Wenn sich eine EMM-Konsole vor Ort befindet, müssen die unten angegebenen Ziele vom Netzwerk aus erreichbar sein, damit ein verwaltetes Google Play-Unternehmen erstellt und auf das verwaltete Google Play-iFrame zugegriffen werden kann.
Diese Anforderungen entsprechen den aktuellen Anforderungen von Google Cloud und können jederzeit geändert werden.
Ziel-Host | Ports | Zweck |
---|---|---|
play.google.com, www.google.com | TCP/443 | Google Play Store Enterprise wieder anmelden |
fonts.googleapis.com*, .gstatic.com | TCP/443 | iFrame JS, Google-Schriftarten, vom Benutzer generierte Inhalte (z. B. App-Symbole im Store) |
accounts.youtube.com, accounts.google.com, accounts.google.com.* | TCP/443 | Kontoauthentifizierung, Authorisierungsdomänen für länderspezifisches Konto |
apis.google.com, ajax.googleapis.com | TCP/443 | GCM, andere Google-Webdienste und iFrame JS |
clients1.google.com, payments.google.com, google.com | TCP/443 | App-Genehmigung |
ogs.google.com | TCP/443 | iFrame-Benutzeroberflächenelemente |
notifications.google.com | TCP/443 | Desktop-/Mobile-Benachrichtigungen |
Jedes in Ihrer Organisation eingesetzte Android-Gerät muss registriert werden, bevor es mit Workspace ONE UEM kommunizieren und auf interne Inhalte und Funktionen zugreifen kann. Die folgenden Informationen sind erforderlich, bevor Ihr Gerät registriert werden kann.
Wenn Ihrer Umgebung eine E-Mail-Domäne zugeordnet ist – bei Verwendung von automatischer Erkennung:
Wenn Ihrer Umgebung keine E-Mail-Domäne zugeordnet ist – Ohne automatische Erkennung:
Wenn Ihrer Umgebung keine Domäne zugeordnet ist, werden Sie dennoch aufgefordert, Ihre E-Mail-Adresse einzugeben. Da AutoErmittlung nicht aktiviert ist, werden Sie aufgefordert, die folgenden Informationen einzugeben:
Für den Download des VMware Workspace ONE Intelligent Hub und die anschließende Registrierung eines Android-Geräts müssen Sie einen der folgenden Schritte ausführen:
Mit Registrierungsrestriktionen können Sie bestimmte Registrierungsrestriktionen bereitstellen, zum Beispiel die Beschränkung der Registrierung auf bekannte Benutzer, Benutzergruppen und eine zulässige Anzahl an registrierten Geräten.
Für diese Option navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Restriktionen. Dort können Sie Richtlinien für die Registrierungsrestriktionen je nach Organisations- und Benutzergruppen anpassen.
Sie können Registrierungsrestriktionen basierend auf den folgenden Faktoren erstellen:
Hersteller und Modell von Android, um sicherzustellen, dass nur genehmigte Geräte bei Workspace ONE UEM registriert werden. Wenn ein Android-Gerät registriert wird, werden die Kriterien für Smartgruppen und Registrierungseinschränkungen aktualisiert, um das neue Produkt und Modell des Geräts miteinzubeziehen.
Hinweis: Einige Geräte werden von anderen Anbietern hergestellt. Sie können eine Richtlinie mit dem eigentlichen Hersteller des Geräts erstellen, damit die Richtlinien wirksam werden. Im Folgenden finden Sie einige Möglichkeiten zur Ermittlung des Geräteherstellers:
adb shell getprop | grep "manufacturer"
.Setzen Sie Geräte nach UDID, IMEI und Seriennummer auf die Blacklist oder Whitelist.
Hinweis: Wenn Sie Geräte mit Android 10 oder höher im Work-Profilmodus registrieren, bleiben die Geräte im Status „Ausstehend“, bis UEM Console die IMEI- oder Seriennummer von den Geräten abrufen kann, um zu ermitteln, ob sie auf der Whitelist oder auf der Blacklist aufgeführt sind. Das Gerät wird bis zum Abschluss dieser Überprüfung nicht vollständig registriert, und Arbeitsdaten werden erst nach Abschluss der Registrierung gesendet.
Die integrierten Management-Funktionen des Android ermöglichen IT-Administratoren eine vollständige Verwaltung von Geräten, die ausschließlich für die Arbeit verwendet werden.
Android bietet verschiedene Modi, je nach Zuständigkeit für das in Ihrer Organisation verwendete Gerät:
Anwendungen im Work-Profil werden durch ein rotes Aktenkoffer-Symbol kenntlich gemacht und als Anwendungen mit Badge bezeichnet. Sie werden in einem einheitlichen Launcher mit den persönlichen Anwendungen des Benutzers angezeigt. Beispielsweise zeigt Ihr Gerät ein persönliches Symbol für Google Chrome und ein separates, durch das Badge gekennzeichnete, Symbol für Work Chrome an. Für den Endbenutzer sieht es so aus, als hätte er zwei verschiedene Anwendungen. Die Anwendung ist jedoch nur einmal installiert, wobei die Geschäftsdaten von den persönlichen Daten getrennt gespeichert werden.
Der VMware Workspace ONE Intelligent Hub ist mit einem Badge gekennzeichnet und existiert ausschließlich im Datenspeicher des Work-Profils. Es besteht keine Kontrolle über private Anwendungen, und der VMware Workspace ONE Intelligent Hub hat keinen Zugriff auf personenbezogene Daten.
Einige Systemanwendungen sind standardmäßig im Work-Profil enthalten, wie z. B. Work Chrome, Google Play, Google-Einstellungen, Kontakte und Kamera. Diese können bei Nutzung eines Restriktionsprofils ausgeblendet werden.
Bestimmte Einstellungen zeigen die Trennung zwischen persönlicher und geschäftlicher Konfiguration. Für die folgenden Einstellungen sehen Benutzer getrennte Konfigurationen:
Wenn ein Gerät im Modus „Vom Unternehmen verwaltetes Gerät“ registriert ist, wird ein echter Firmeneigentum-Modus erstellt. Workspace ONE UEM steuert das gesamte Gerät, und es erfolgt keine Trennung von geschäftlichen und persönlichen Daten.
Wichtige Punkte, die Sie beim Modus „Vom Unternehmen verwaltetes Gerät“ beachten sollten:
Wenn Sie Workspace ONE UEM auf AOSP-Geräten (Android Open Source Project) oder Nicht-GMS-Geräten verwenden oder in Ihrer Organisation geschlossene Netzwerke nutzen, können Sie Ihre Android-Geräte mithilfe des Workflows „Vom Unternehmen verwaltete Geräte“ ohne Google Play-Dienste registrieren. Sie können Apps im Intranet Ihrer Organisation hosten und OEM-spezifische Registrierungsmethoden für die Bereitstellung verwenden.
Sie müssen während der Android-EMM-Registrierung in UEM Console angeben, dass Sie AOSP/geschlossene Netzwerke verwenden.
Überlegungen bei der Verwendung von „Vom Unternehmen verwaltetes Gerät ohne Google Play-Dienste“ bei Bereitstellungen mit AOSP/geschlossenem Netzwerk:
Wenn ein Gerät im COPE-Modus registriert wird, können Sie nach wie vor das gesamte Gerät steuern. Die Besonderheit im COPE-Modus ist, dass Sie zwei separate Richtlinien, wie z. B. Restriktionen sowohl auf das Gerät als auch auf ein Work-Profil anwenden können.
Der COPE-Modus ist nur auf Geräten mit Android 8.0 und höher verfügbar. Wenn Sie Geräte mit einer älteren Version als Android 8.0 registrieren, wird das Gerät automatisch als vollständig verwaltetes Gerät registriert.
Es gibt einige Einschränkungen zu beachten bei der Registrierung von Geräten in COPE-Modus:
Bei neuen Registrierungen muss für Verwendung von Android 11 VMware Workspace ONE Intelligent Hub 20.08 für Android und Workspace ONE UEM Console 2008 verwendet werden. Weitere Informationen finden Sie unter Änderungen für unternehmenseigene Geräte mit privater Nutzung (COPE) in Android 11 .
Die Pin-basierte Verschlüsselung und Single Sign-On in Workspace ONE UEM mithilfe von SDK werden für Geräte, die im COPE-Modus registriert sind, nicht unterstützt. Eine Work-Kennung kann erzwungen werden, um sicherzustellen, dass die Verwendung von geschäftlichen Anwendungen eine Kennung erfordert.
Single-user- und Multi-user-Staging werden für COPE-Registrierungen nicht unterstützt.
Interne (in Workspace ONE UEM gehostete) und öffentliche Anwendungen, die für COPE-Geräte bereitgestellt werden, erscheinen im Anwendungskatalog des Work-Profils.
Ähnlich wie bei Registrierungen des Work-Profils können Benutzer im COPE-Modus das Work-Profil deaktivieren (z. B., wenn der Benutzer im Urlaub ist). Wenn das Work-Profil deaktiviert ist, erhält der Benutzer keine Benachrichtigungen zu geschäftlichen Anwendungen, und die Anwendungen können auch nicht gestartet werden. Der Status (aktiviert oder deaktiviert) des Work-Profils kann der Administrator auf der Seite "Gerätedetails" einsehen. Wenn das Work-Profil deaktiviert ist, können keine aktuellen Informationen zur Anwendung bzw. zum Profil aus dem Work-Profil abgerufen werden.
Der VMware Workspace ONE Intelligent Hub ist sowohl in dem vom Unternehmen vollständig verwalteten als auch im Work-Profil des COPE-Geräts vorhanden. Management-Richtlinien existieren innerhalb und außerhalb des Work-Profils und können auf das Work-Profil oder auch auf das gesamte Gerät angewendet werden. Allerdings ist der VMware Workspace ONE Intelligent Hub nur im Work-Profil sichtbar.
Wenn Push-Benachrichtigungen an das Gerät gesendet werden, ist der VMware Workspace ONE Intelligent Hub außerhalb des Work-Profils für Benutzer zum Anzeigen der Nachrichten vorübergehend verfügbar. So wird sichergestellt, dass wichtige Nachrichten den jeweiligen Benutzer auch dann erreichen, wenn das Work-Profil vorübergehend deaktiviert ist.
Zugewiesene Profile können im VMware Workspace ONE Intelligent Hub im Work-Profil angezeigt werden.
Konformitätsrichtlinien zum Anwendungsmanagement (z. B. Blockieren/Entfernen von Anwendungen) werden nur für Anwendungen im Work-Profil unterstützt. Anwendungen können über Anwendungssteuerungsprofile auf dem Gerät (außerhalb des Work-Profils) auf die Blacklist gesetzt werden.
Auf Android 11+ COPE-Geräten können Sie Enterprise Wipe-Geräte auswählen, anstatt eine vollständige Geräte-Löschung durchzuführen. Sie können weiterhin den Befehl „Geräte-Löschung“ verwenden, um eine vollständige Geräte-Löschung durchzuführen. Wenn Sie einen Enterprise Wipe durchführen, löscht das Gerät das Work-Profil und gibt die Zuständigkeit des Geräts an den Benutzer zurück. Die persönlichen Daten des Benutzers bleiben unverändert.
Für COPE-Registrierungen wird kein Produkt-Provisioning unterstützt.
Spezifische Änderungen für Android 11: