Verwalten von Android Geräten mit Workspace ONE UEM
Workspace ONE UEM bietet Ihnen eine Reihe leistungsstarker Mobilitätsverwaltungslösungen zum Registrieren, Sichern, Konfigurieren und Verwalten Ihrer Android-Gerätebereitstellung. In der Workspace ONE UEM-Konsole stehen Ihnen mehrere Tools und Funktionen zur Verwaltung des gesamten Lebenszyklus von firmen- und mitarbeitereigenen Geräten zur Verfügung.
Der Leitfaden erläutert die Integration von Workspace ONE UEM als Ihren Enterprise Mobility-Manager (EMM) mit Android-Geräten.
Schlüsselbegriffe für Android
Diese Schlüsselbegriffe für Android helfen Ihnen, zu verstehen, wie Sie Einstellungen für Ihre Benutzer konfigurieren und bereitstellen können.
- Work-Profil: Der Work-Profil-Modus (auch „Profilbesitzer-Modus“) erstellt einen dedizierten Container auf Ihrem Gerät ausschließlich für geschäftliche Anwendungen und Inhalte. Der Arbeitsprofilmodus erlaubt es Organisationen, Geschäftsdaten und -applikationen zu verwalten, ohne Zugriff auf persönliche Daten und Apps es Benutzers zu erlangen. Die Android-Anwendungen sind mit einem Aktenordner-Symbol gekennzeichnet, sodass sie sich von den privaten Anwendungen unterschieden.
- Vom Unternehmen verwaltet: Der Modus „Vom Unternehmen verwaltet“ (auch als „Gerätebesitzer-Modus“ oder „vollständig verwalteter Modus“ bezeichnet) sperrt das gesamte Gerät. Benutzer haben Zugriff auf Unternehmensanwendungen und keinen Zugriff auf private Anwendungen über den Google Play Store.
- Corporate Owned Personally Enabled (COPE) bezieht sich auf unternehmenseigene Geräte, ähnlich wie „Vom Unternehmen verwaltete Geräte“, aber Benutzer erhalten ein Work-Profil für den Zugriff auf Unternehmensanwendungen. Außerhalb des Work-Profil haben sie weiterhin Zugriff auf ihren persönlichen Google Play Store. COPE ist nur auf Android 8.0 oder höher verfügbar.
- Verwaltetes Google-Konto: Bezeichnet das Google-Konto, das für das Gerät für Android registriert wurde und die Android-Anwendungsverwaltung über Google Play ermöglicht. Dieses Konto wird von der Domäne verwaltet, die Ihre Android-Konfiguration verwaltet.
- Verwaltetes Google Play-Konto: Für Organisationen, die Android einrichten möchten, aber nicht über G Suite-Konten oder verwaltete Google-Konten verfügen.
- Google-Dienstkonto: Das Google-Dienstkonto ist ein spezielles Google-Konto, das von Anwendungen verwendet wird, um Zugriff auf Google-APIs zu erhalten, die für G Suite-Kunden empfohlen werden.
- EMM-Token: Eindeutige ID, die Workspace ONE UEM verwendet, um Workspace ONE UEM Console mit dem verwalteten Google-Konto zu verbinden.
- Verwaltete Google-Domäne: Domäne, die für die Aktivierung von Ihrem Unternehmen zugeordneten Android beansprucht wird.
- Google Domänen-Einrichtung: Google-Prozess für die Beanspruchung einer verwalteten Google Domäne.
- AirWatch Relay: Die Workspace ONE UEM-Anwendung, die Administratoren verwenden, um zahlreiche Android-Geräte gleichzeitig in Workspace ONE UEM zu registrieren.
- NFC Bump: Eine Kommunikationtechnologie, die es Geräten erlaubt, Informationen auszutauschen, indem man sie nebeneinander ablegt - bekannt als ‘bump’. Dieser Vorgang findet statt, wenn die AirWatch Relay-Anwendung verwendet wird, um Informationen vom übergeordneten an das untergeordnete Gerät zu übertragen.
- AOSP/Geschlossenes Netzwerk: „Android Open Source Project“ oder „Geschlossenes Netzwerk“ bezieht sich auf Android-Geräte ohne Google Mobile Services (GMS) und Konsolen-Umgebungen ohne Zugriff auf Google. Mit diesem Registrierungsmodus wird kein Google-Konto erstellt.
- Benutzerbasierte Registrierung: Wenn ein Gerät registriert wird, ist das erstellte Google-Konto für alle von diesem Mitarbeiter registrierten Geräte identisch. Diese Registrierungsmethode ist ideal, wenn Sie Mitarbeitern Geräte ohne Staging zuweisen.
- Gerätebasierte Registrierung: Das generierte Google-Konto ist für jedes von demselben Benutzer registrierte Gerät eindeutig. Dies ist ideal für ein Staging-Gerät oder dedizierte Geräte.
- Cap and Grow: Mit Cap and Grow können Sie während der Umstellung von Android (Legacy) auf Android Enterprise weiterhin Ihre aktuelle Gerätebereitstellung nutzen. Alle neuen Geräte-Rollouts können bei Android Enterprise registriert und mit älteren Geräten verwaltet werden.
Anforderungen für die Verwendung von Android mit Workspace ONE UEM
Bevor Sie Android-Geräte bereitstellen, beachten Sie die folgenden Voraussetzungen, Anforderungen für die Bereitstellung, technischen Unterlagen und nützlichen Empfehlungen vom Workspace ONE UEM-Team.
Unterstützte Betriebssysteme
Android 7.X.X
Android 8.X.X
Android 9.X.X
Hinweis: Die LG Service-Anwendung wird auf LG-Geräten nicht mehr unterstützt, auf denen Android 9 und höher mit Android-(Legacy-)Bereitstellungen läuft. Wenn Sie LG-Geräte auf Android 9 oder höher mit dem Android-Legacy-Registrierungsverfahren verwenden, sollten Sie eine Migration auf Android Enterprise in Erwägung ziehen.
Android 10.X.X
Android 11.X.X
Android 12.X.X
Android 13.X.X
Android 14.X.X
Hinweis: Für Kunden wird ein aktualisiertes Datenschutzkennwort eingerichtet, wenn ein Upgrade für das COPE registriert von Android 10 auf Android 11 ausgeführt wird. Eine Übersicht der wichtigsten Funktionen und der Funktionen von COPE-Geräten finden Sie unter „Android-Gerätemodi verstehen“.
Hinweis: Wenn Ihre Organisation mehr Zeit benötigt, um Tests abzuschließen, gibt es zwei Möglichkeiten, um das Upgrade Ihrer Geräte auf Android 11 zu verzögern. Mehr darüber unter „Verwalten von Systemupdates für Android-Geräte“.
Wenn Ihre Geräte die Google Play EMM-Integration nicht unterstützen, suchen Sie nach Informationen über die Bereitstellung „Android (Legacy)“, oder nutzen Sie die Konfiguration „AOSP/Geschlossenes Netzwerk“.
Weitere Informationen zu AOSP/Geschlossenes Netzwerk finden Sie unter „Android-Gerätemodi verstehen“.
Android GO-Unterstützung
Workspace ONE UEM unterstützt nur Geräte, auf denen Android GO im Modus „Vom Unternehmen verwaltetes Gerät“ ausgeführt wird. Für diese werden alle Geräteverwaltungsfunktionen für den Modus „Vom Unternehmen verwaltetes Gerät“ mit Ausnahme der folgenden unterstützt:
- Workspace ONE Launcher
- Produktbereitstellungsfunktionen, die auf Dateien oder Verzeichnisse auf dem Gerät zugreifen oder sie ändern müssen.
- Dateien/Aktionen: Nur Aktionen zum Neustarten und Ausführen von Absichten werden unterstützt.
- Bedingungen: Alle Bedingungen außer Launcher werden unterstützt.
- Ereignis/Aktionen: Alle Aktionen außer „Benutzerdefinierte Einstellungen anwenden“ werden unterstützt.
Netzwerkanforderungen für Android
Endbenutzergeräte müssen in der Lage sein, bestimmte Endpoints für den Zugriff auf Apps und Dienste zu erreichen. Die Netzwerkanforderungen für Android umfassen eine Liste bekannter Endpoints für aktuelle und vergangene Versionen von Enterprise Management-APIs.
Um alle Endpoints erfolgreich zu erreichen, ist eine direkte Verbindung erforderlich. Wenn die Geräte hinter einem Proxy verbunden sind, ist die direkte Kommunikation nicht möglich, und bestimmte Funktionen schlagen fehl.
Ziel-Host |
Ports |
Zweck |
play.google.com,android.com,google-analytics.com, *.googleusercontent.com,*gstatic.com,*gvt1.com*, *ggpht.com,dl.google.com,dl-ssl.google.com, android.clients.google.com,*gvt2.com,*gvt3.com |
TCP/443TCP, UDP/5228-5230 |
Google Play und updatesgstatic.com,* googleusercontent.com – enthalten benutzergenerierte Inhalte (z. B. App-Symbole im Store)*gvt1.com, *.ggpht, dl.google.com,dl-ssl.google.com,android.clients.google.com – Apps und Updates zum Download, PlayStore APIs, gvt2.com und gvt3.com werden für die Überwachung von Play zu Diagnosezwecken verwendet. |
*.googleapis.com |
TCP/443 |
EMM/Google APIs/PlayStore-APIs |
accounts.google.com, accounts.google.[Land] |
TCP/443 |
Authentifizierung Verwenden Sie für accounts.google.[Land]-Konten Ihre lokale Top-Level-Domäne für [Land]. Verwenden Sie beispielsweise für Australien accounts.google.com.au und für das Vereinigte Königreich accounts.google.co.uk. |
fcm.googleapis.com, fcm-xmpp.googleapis.com |
TCP/443, 5228-5230 |
Firebase Cloud Messaging (z. B. „Mein Gerät suchen“, EMM-Konsole <-> DPC-Kommunikation, wie z. B. das Übertragen von Konfigurationen). Dies funktioniert nicht mit Proxys (siehe Details hier). |
pki.google.com, clients1.google.com |
TCP/443 |
Prüfung der Zertifikatswiderrufsliste für von Google ausgestellte Zertifikate |
clients2.google.com, clients3.google.com. clients4.google.com, clients5.google.com, clients6.google.com |
TCP/443 |
Von verschiedenen Google-Backend-Diensten gemeinsam genutzte Domänen wie z. B. Absturzberichte, Chrome Bookmark-Synchronisierung, Zeitsynchronisierung (tlsdate) und viele andere |
omahaproxy.appspot.com |
TCP/443 |
Chrome Updates |
android.clients.google.com |
TCP/443 |
Für NFC-Provisioning verwendete CloudDPC-Download-URL |
connectivitycheck.android.com www.google.com |
TCP/443 |
Überprüfung der Konnektivität vor der CloudDPC V470 Android-Konnektivitätsprüfung ab N MR1 erfordert, dass https://www.google.com/generate _204 erreichbar ist oder dass das angegebene WLAN-Netzwerk auf eine erreichbare PAC-Datei verweist. Auch für AOSP-Geräte mit Android 7.0 oder höher erforderlich. |
www.google.com, www.google.com/generate_204 |
|
AOSP-Geräte, die Android 7.0 oder höher ausführen |
android-safebrowsing.google.com, safebrowsing.google.com |
TCP/443 |
Überprüfung der Android-Anwendung. |
Proxy-Anforderungen für Gerätedienste
Die Workspace-ONE-UEM-Gerätediensteapplikation verwendet Googles SafetyNet-Attestation-API, um die Integrität von Android-Geräten zu verifizieren und sicherzustellen, dass diese nicht kompromittiert sind. Dazu führt sie ausgehende API-Aufrufe an Google-Server aus. In On-Premise-Umgebungen können Organisationen auswählen, dass nur die Gerätedienstanwendung ausgehende Verbindungen über einen Proxy herstellen darf. In diesen Fällen müssen Kunden neben der Konfiguration der Proxy-Einstellungen auf Anwendungsebene über die Workspace ONE UEM Console diesen ausgehenden Proxy auch auf Systemebene für den Windows-Server konfigurieren, der die Gerätedienstanwendung hostet. Wenn der Windows-Server keine ausgehenden Verbindungen zu den erforderlichen Google-Endpoints herstellen kann, schlägt der SafetyNet-Integritätsnachweis fehl.
Firewall-Regeln für Konsolen
Wenn sich eine EMM-Konsole vor Ort befindet, müssen die unten angegebenen Ziele vom Netzwerk aus erreichbar sein, damit ein verwaltetes Google Play-Unternehmen erstellt und auf das verwaltete Google Play-iFrame zugegriffen werden kann.
Diese Anforderungen entsprechen den aktuellen Anforderungen von Google Cloud und können jederzeit geändert werden.
Ziel-Host |
Ports |
Zweck |
play.google.com, www.google.com |
TCP/443 |
Google Play Store Enterprise wieder anmelden |
fonts.googleapis.com*, .gstatic.com |
TCP/443 |
iFrame JS, Google-Schriftarten, vom Benutzer generierte Inhalte (z. B. App-Symbole im Store) |
accounts.youtube.com, accounts.google.com, accounts.google.com.* |
TCP/443 |
Kontoauthentifizierung, Authorisierungsdomänen für länderspezifisches Konto |
apis.google.com, ajax.googleapis.com |
TCP/443 |
GCM, andere Google-Webdienste und iFrame JS |
clients1.google.com, payments.google.com, google.com |
TCP/443 |
App-Genehmigung |
ogs.google.com |
TCP/443 |
iFrame-Benutzeroberflächenelemente |
notifications.google.com |
TCP/443 |
Desktop-/Mobile-Benachrichtigungen |
Registrierungsanforderungen
Jedes Android-Gerät, das in Ihrer Organisation verwendet wird, muss registriert werden, bevor es mit Workspace ONE UEM kommunizieren kann und Zugriff auf interne Inhalte und Funktionen hat. Die folgenden Informationen sind erforderlich, bevor Ihr Gerät registriert werden kann.
Wenn Ihrer Umgebung eine E-Mail-Domäne zugeordnet ist – bei Verwendung von automatischer Erkennung:
- E-Mail-Adresse: Dies ist Ihre E-Mail-Adresse, die mit Ihrer Organisation verbunden ist. Zum Beispiel [email protected].
- Anmeldedaten – Mit dieser Kombination aus Anwendername und Kennwort können Sie auf Ihre Workspace ONE UEM-Umgebung zugreifen. Diese Anmeldedaten dürfen die gleichen sein wie die Ihrer Netzwerkverzeichnisdienste oder können in der Workspace ONE UEM console eindeutig definiert werden.
Wenn Ihrer Umgebung keine E-Mail-Domäne zugeordnet ist – Ohne automatische Erkennung:
Wenn Ihrer Umgebung keine Domäne zugeordnet ist, werden Sie dennoch aufgefordert, Ihre E-Mail-Adresse einzugeben. Da AutoErmittlung nicht aktiviert ist, werden Sie aufgefordert, die folgenden Informationen einzugeben:
- Gruppen-ID – Die Gruppen-ID ordnet Ihr Gerät Ihrer Unternehmensrolle zu und wird in der Workspace ONE UEM-Konsole festgelegt.
- Anmeldedaten – Diese eindeutige Kombination aus Benutzername und Kennwort ermöglicht Ihnen den Zugriff auf Ihre AirWatch-Umgebung. Diese Anmeldedaten dürfen die gleichen sein wie die Ihrer Netzwerkverzeichnisdienste oder können in der Workspace ONE UEM console eindeutig definiert werden.
Für den Download des VMware Workspace ONE Intelligent Hub und die anschließende Registrierung eines Android-Geräts müssen Sie einen der folgenden Schritte ausführen:
- Navigieren Sie zu https://www.getwsone.com, und folgen Sie den Eingabeaufforderungen.
- Laden Sie VMware Workspace ONE Intelligent Hub aus dem Google Play Store herunter.
Registrierungsrestriktionen für Android
Mit Registrierungsrestriktionen können Sie bestimmte Registrierungsrestriktionen bereitstellen, zum Beispiel die Beschränkung der Registrierung auf bekannte Benutzer, Benutzergruppen und eine zulässige Anzahl an registrierten Geräten.
Für diese Option navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Restriktionen. Dort können Sie Richtlinien für die Registrierungsrestriktionen je nach Organisations- und Benutzergruppen anpassen.
Sie können Registrierungsrestriktionen basierend auf den folgenden Faktoren erstellen:
-
Hersteller und Modell von Android, um sicherzustellen, dass nur genehmigte Geräte bei Workspace ONE UEM registriert werden. Wenn ein Android-Gerät registriert wird, werden die Kriterien für Smartgruppen und Registrierungseinschränkungen aktualisiert, um das neue Produkt und Modell des Geräts miteinzubeziehen.
Hinweis: Einige Geräte werden von anderen Anbietern hergestellt. Sie können eine Richtlinie mit dem eigentlichen Hersteller des Geräts erstellen, damit die Richtlinien wirksam werden. Im Folgenden finden Sie einige Möglichkeiten zur Ermittlung des Geräteherstellers:
- Navigieren Sie in den Geräteeinstellungen zur Seite Info.
- Mit einem ADB-Befehl:
adb shell getprop | grep "manufacturer"
.
-
Setzen Sie Geräte nach UDID, IMEI und Seriennummer auf die Blacklist oder Whitelist.
Hinweis: Wenn Sie Geräte mit Android 10 oder höher im Work-Profilmodus registrieren, bleiben die Geräte im Status „Ausstehend“, bis UEM Console die IMEI- oder Seriennummer von den Geräten abrufen kann, um zu ermitteln, ob sie auf der Whitelist oder auf der Blacklist aufgeführt sind. Das Gerät wird bis zum Abschluss dieser Überprüfung nicht vollständig registriert, und Arbeitsdaten werden erst nach Abschluss der Registrierung gesendet.
Android-Gerätemodi verstehen
Die integrierten Management-Funktionen des Android ermöglichen IT-Administratoren eine vollständige Verwaltung von Geräten, die ausschließlich für die Arbeit verwendet werden.
Android bietet verschiedene Modi, je nach Zuständigkeit für das in Ihrer Organisation verwendete Gerät:
- Work Profil: Erstellt einen dedizierten Platz auf dem Gerät nur für Arbeitsanwendungen und -daten. Dies ist die ideale Bereitstellungsart für private Geräte bzw. BYOD-Anwendungen (Bring Your Own Device).
- Vom Unternehmen verwaltetes Gerät: Ermöglicht Workspace ONE UEM- und IT-Administratoren, das gesamte Gerät zu steuern und umfassende Richtlinien durchzusetzen, die in Work-Profilen nicht zur Verfügung stehen und die ausschließlich eine geschäftliche Nutzung des Geräts erlauben.
- Unternehmenseigen, mit privater Nutzung: Eignet sich für unternehmenseigene Geräte. Dieser Modus ist dem Modus „Vom Unternehmen verwaltetes Gerät“ ähnlich, wird aber mit einem Work-Profil bereitgestellt. So wird eine private und geschäftliche Nutzung ermöglicht.
- Vom Unternehmen verwaltetes Gerät ohne Google Play-Dienste: Wenn Sie Workspace ONE UEM auf AOSP-Geräten (Android Open Source Project) oder Nicht-GMS-Geräten verwenden oder in Ihrer Organisation geschlossene Netzwerke nutzen, können Sie Ihre Android-Geräte mithilfe des Workflows „Vom Unternehmen verwaltete Geräte“ ohne Google Play-Dienste registrieren.
Work-Profil-Modus – Funktionalität
Applikationen im Arbeitsprofil werden durch ein rotes Aktentaschensymbol gekennzeichnet, „badged applications“ genannt, und zusammen mit des Benutzers persönlichen Applikationen in einem einheitlichen Launcher gezeigt. Beispielsweise zeigt Ihr Gerät ein persönliches Symbol für Google Chrome und ein separates, durch das Badge gekennzeichnete, Symbol für Work Chrome an. Für den Endbenutzer sieht es so aus, als hätte er zwei verschiedene Anwendungen. Die Anwendung ist jedoch nur einmal installiert, wobei die Geschäftsdaten von den persönlichen Daten getrennt gespeichert werden.
Der VMware Workspace ONE Intelligent Hub ist mit einem Badge gekennzeichnet und existiert ausschließlich im Datenspeicher des Work-Profils. Es besteht keine Kontrolle über private Anwendungen, und der VMware Workspace ONE Intelligent Hub hat keinen Zugriff auf personenbezogene Daten.
Einige Systemanwendungen sind standardmäßig im Work-Profil enthalten, wie z. B. Work Chrome, Google Play, Google-Einstellungen, Kontakte und Kamera. Diese können bei Nutzung eines Restriktionsprofils ausgeblendet werden.
Bestimmte Einstellungen zeigen die Trennung zwischen persönlicher und geschäftlicher Konfiguration. Für die folgenden Einstellungen sehen Benutzer getrennte Konfigurationen:
- Anmeldedaten: Unternehmenszertifikate zur Benutzerauthentifizierung für verwaltete Geräte ansehen.
- Konten: Das mit dem Work-Profil verbundene verwaltete Google-Konto ansehen.
- Anwendungen: Listet alle Anwendungen, die auf dem Gerät installiert sind.
- Sicherheit: Zeigt den Status der Geräteverschlüsselung an.
Modus „Vom Unternehmen verwaltetes Gerät“ – Funktionalität
Wenn ein Gerät im Modus „Vom Unternehmen verwaltetes Gerät“ registriert ist, wird ein echter Firmeneigentum-Modus erstellt. Workspace ONE UEM steuert das gesamte Gerät, und es erfolgt keine Trennung von geschäftlichen und persönlichen Daten.
Wichtige Punkte, die Sie beim Modus „Vom Unternehmen verwaltetes Gerät“ beachten sollten:
- Auf der Startseite werden keine Anwendungen mit Badge angezeigt, wie im Work-Profil-Modus der Fall.
- Benutzer haben nach der Aktivierung des Geräts Zugriff auf verschiedenen vorinstallierte Anwendungen. Weitere Anwendungen können nur über die Workspace ONE UEM-Konsole genehmigt und hinzugefügt werden.
- In den Sicherheitseinstellungen ist der VMware Workspace ONE Intelligent Hub als Geräteadministrator festgelegt, und diese Einstellung kann nicht deaktiviert werden.
- Das Abmelden des Geräts vom Modus „Vom Unternehmen verwaltetes Gerät“ löst ein Zurücksetzen des Geräts auf die Werkseinstellungen aus.
Vom Unternehmen verwaltetes Gerät ohne Google Play-Dienste
Wenn Sie Workspace ONE UEM auf AOSP-Geräten (Android Open Source Project) oder Nicht-GMS-Geräten verwenden oder in Ihrer Organisation geschlossene Netzwerke nutzen, können Sie Ihre Android-Geräte mithilfe des Workflows „Vom Unternehmen verwaltete Geräte“ ohne Google Play-Dienste registrieren. Sie können Apps im Intranet Ihrer Organisation hosten und OEM-spezifische Registrierungsmethoden für die Bereitstellung verwenden.
Sie müssen während der Android-EMM-Registrierung in UEM Console angeben, dass Sie AOSP/geschlossene Netzwerke verwenden.
Überlegungen bei der Verwendung von „Vom Unternehmen verwaltetes Gerät ohne Google Play-Dienste“ bei Bereitstellungen mit AOSP/geschlossenem Netzwerk:
- Wenn Sie Android bereits in einer Organisationsgruppe der obersten Ebene eingerichtet haben und AOSP/ein geschlossenes Netzwerk nur in einer bestimmten untergeordneten Organisationsgruppe bereitstellen möchten, verfügt der UEM Console-Admin über eine Option, mit der angegeben wird, dass OOBE-Registrierungen in der untergeordneten Organisationsgruppe nicht über ein verwaltetes Google-Konto verfügen. Weitere Informationen finden Sie unter „Registrierungseinstellungen in der Android-EMM-Registrierung“.
- Wenn Sie Geräte mit Workspace ONE UEM 1907 und niedriger bereitstellen, ist keine Konfiguration der UEM-Konsole erforderlich.
- Wenn Sie Geräte mit Workspace ONE UEM 1908 und höher bereitstellen, müssen Sie die Einstellungen auf der Seite „Android EMM-Registrierung“ konfigurieren.
- Die unterstützten Registrierungsmethoden sind:
- QR-Code
- StageNow für Zebra-Geräte
- Honeywell Enterprise Provisioner für Honeywell-Geräte
- Die Registrierung über den VMware Workspace ONE Intelligent Hub-Bezeichner wird auf AOSP-Geräten nicht unterstützt.
- Das öffentliche Profil „Automatische Aktualisierung“ wird nicht unterstützt. Dieses Profil ist speziell für öffentliche Apps vorgesehen und funktioniert nicht auf Geräten mit AOSP oder in geschlossenen Netzwerken.
- Das Profil „Factory Reset Protection“ wird nicht unterstützt.
- Interne Anwendungen (die in Workspace ONE UEM Console gehostet werden) werden im Hintergrund auf den Geräten mit AOSP/geschlossenem Netzwerk bereitgestellt.
- Vom Unternehmen verwalteten Geräten, die ohne ein verwaltetes Google-Konto registriert wurden, sollten keine öffentlichen Apps zugewiesen werden, und sie sollten nicht in der Anzahl der Geräte mit öffentlicher App-Zuweisung berücksichtigt werden.
- Betriebssystemversion und OEM-Anforderungen für „Vom Unternehmen verwaltetes Gerät ohne Google Play-Dienste“:
- AOSP (Nicht-GMS)
- Zebra und Honeywell: Müssen sich auf einer Betriebssystemversion befinden, die die Registrierung über StageNow oder Honeywell Enterprise Provisioner unterstützt.
- Andere OEMs: Werden nicht unterstützt, es sei denn, OEM unterstützt sie über einen Client wie StageNow oder indem Benutzer auf die QR-Code-Registrierung zugreifen können.
- Geschlossenes Netzwerk
- Zebra und Honeywell: Android 7.0 und höher oder müssen sich auf einer Betriebssystemversion befinden, die Registrierung über StageNow (auch 7.0 oder höher) oder Honeywell Enterprise Provisioner unterstützt.
- Andere OEMs: Android 7.0 oder höher, da die QR-Code-Registrierung die einzige unterstützte Methode ist.
- Wenn ein Gerät im Modus „Vom Unternehmen verwaltetes Gerät“ ohne Google Play-Dienste konfiguriert ist, muss VMware Workspace ONE Intelligent Hub konfiguriert werden, um die Verwendung von AWCM anstelle von Firebase Cloud Messaging zu ermöglichen. Ohne dieses Update erhalten Geräte keine Push-Benachrichtigungen von der Konsole.
Modus „Unternehmenseigenes Gerät mit privater Nutzung“ (COPE)
Wenn ein Gerät im COPE-Modus registriert wird, können Sie nach wie vor das gesamte Gerät steuern. Die Besonderheit im COPE-Modus ist, dass Sie zwei separate Richtlinien, wie z. B. Restriktionen sowohl auf das Gerät als auch auf ein Work-Profil anwenden können.
Der COPE-Modus ist nur auf Geräten mit Android 8.0 und höher verfügbar. Wenn Sie Geräte mit einer älteren Version als Android 8.0 registrieren, wird das Gerät automatisch als vollständig verwaltetes Gerät registriert.
Es gibt einige Einschränkungen zu beachten bei der Registrierung von Geräten in COPE-Modus:
-
Bei neuen Registrierungen muss für Verwendung von Android 11 VMware Workspace ONE Intelligent Hub 20.08 für Android und Workspace ONE UEM Console 2008 verwendet werden. Weitere Informationen finden Sie unter Änderungen für unternehmenseigene Geräte mit privater Nutzung (COPE) in Android 11 .
-
Die Pin-basierte Verschlüsselung und Single Sign-On in Workspace ONE UEM mithilfe von SDK werden für Geräte, die im COPE-Modus registriert sind, nicht unterstützt. Eine Work-Kennung kann erzwungen werden, um sicherzustellen, dass die Verwendung von geschäftlichen Anwendungen eine Kennung erfordert.
- Single-user- und Multi-user-Staging werden für COPE-Registrierungen nicht unterstützt.
- Interne (in Workspace ONE UEM gehostete) und öffentliche Anwendungen, die für COPE-Geräte bereitgestellt werden, erscheinen im Anwendungskatalog des Work-Profils.
- Ähnlich wie bei Registrierungen des Work-Profils können Benutzer im COPE-Modus das Work-Profil deaktivieren (z. B., wenn der Benutzer im Urlaub ist). Wenn das Work-Profil deaktiviert ist, erhält der Benutzer keine Benachrichtigungen zu geschäftlichen Anwendungen, und die Anwendungen können auch nicht gestartet werden. Der Status (aktiviert oder deaktiviert) des Work-Profils kann der Administrator auf der Seite "Gerätedetails" einsehen. Wenn das Work-Profil deaktiviert ist, können keine aktuellen Informationen zur Anwendung bzw. zum Profil aus dem Work-Profil abgerufen werden.
- Der VMware Workspace ONE Intelligent Hub ist sowohl in dem vom Unternehmen vollständig verwalteten als auch im Work-Profil des COPE-Geräts vorhanden. Management-Richtlinien existieren innerhalb und außerhalb des Work-Profils und können auf das Work-Profil oder auch auf das gesamte Gerät angewendet werden. Allerdings ist der VMware Workspace ONE Intelligent Hub nur im Work-Profil sichtbar.
- Wenn Push-Benachrichtigungen an das Gerät gesendet werden, ist der VMware Workspace ONE Intelligent Hub außerhalb des Work-Profils für Benutzer zum Anzeigen der Nachrichten vorübergehend verfügbar. So wird sichergestellt, dass wichtige Nachrichten den jeweiligen Benutzer auch dann erreichen, wenn das Work-Profil vorübergehend deaktiviert ist.
- Zugewiesene Profile können im VMware Workspace ONE Intelligent Hub im Work-Profil angezeigt werden.
- Konformitätsrichtlinien zum Anwendungsmanagement (z. B. Blockieren/Entfernen von Anwendungen) werden nur für Anwendungen im Work-Profil unterstützt. Anwendungen können über Anwendungssteuerungsprofile auf dem Gerät (außerhalb des Work-Profils) auf die Blacklist gesetzt werden.
- Auf Android 11+ COPE-Geräten können Sie die Aktion „Unternehmensdaten von Gerät löschen“ auswählen, anstatt eine vollständige Gerätezurücksetzung durchzuführen. Sie können weiterhin den Befehl „Gerät zurücksetzen“ verwenden, um eine vollständige Gerätezurücksetzung durchzuführen. Wenn Sie „Unternehmensdaten löschen“ ausführen, löscht das Gerät das Work-Profil und gibt die Zuständigkeit des Geräts an den Benutzer zurück. Die persönlichen Daten des Benutzers bleiben unverändert.
- Für COPE-Registrierungen wird kein Produkt-Provisioning unterstützt.
- Spezifische Änderungen für Android 11:
- Interne Anwendungen, die von Workspace ONE UEM gehostet werden, können nicht mehr in den persönlichen Bereich des Geräts gepusht werden. Sowohl interne Apps (als private Apps) als auch öffentliche Apps können nur für das Work-Profil bereitgestellt werden.
- Alle anderen Funktionen wie Konformitätsregeln, die auf interne Anwendungen angewiesen sind, werden ebenfalls nicht mehr unterstützt.
- Die Registrierungsmethode afw#hub wird nicht mehr unterstützt.
- Verwenden Sie stattdessen einen QR-Code oder Zero Touch-Anmeldung.
- Wenn Ihre Organisation mehr Zeit benötigt, um Tests abzuschließen, gibt es zwei Möglichkeiten, um das Upgrade Ihrer Geräte auf Android 11 zu verzögern. Weitere Informationen finden Sie unter Änderungen für unternehmenseigene Geräte mit privater Nutzung (COPE) in Android 11 .