Anwendungen für iOS-Geräte

Kombinieren Sie Workspace ONE UEM MDM-Funktionen mit Workspace ONE UEM-Anwendungen, um die Sicherheit und Funktionalität noch weiter zu verbessern. Verwalten Sie problemlos Workspace ONE UEM-Anwendungen über den gesamten Lebenszyklus für Geräte im Eigentum der Mitarbeiter und des Unternehmens sowie Gemeinschaftsgeräte aus der UEM-Konsole.

Workspace ONE UEM-Anwendungen bieten Ihnen und Ihren Endbenutzern Folgendes:

  • Erkunden Sie VMware ONE Content zum Synchronisieren eines Ordners mit persönlichem Inhalt.
  • Konfigurieren Sie VMware Workspace ONE Web, um Internetsuchvorgänge zu sichern.
  • Aktivieren Sie VMware Workspace ONE Boxer zum Konfigurieren von E-Mails.
  • Verwenden Sie AirWatch Container als Alternative zu MDM durch Trennung von Unternehmensdaten und privaten Daten auf einem Gerät bei vollumfänglichem Schutz der Privatsphäre des Benutzers.

Weitere Informationen zum Verwalten von Anwendungen finden Sie unter Mobile Application Management.

Workspace ONE Intelligent Hub für iOS

Workspace ONE Intelligent Hub für iOS erfasst Geräteinformationen und sendet sie an die UEM Console. Da diese Informationen sensible Daten enthalten können, ergreift Workspace ONE UEM umfangreiche Maßnahmen, um sicherzustellen, dass diese Daten verschlüsselt sind und von einer vertrauenswürdigen Quelle stammen.

Workspace ONE UEM nutzt ein eindeutiges Zertifikatpaar, um die Kommunikation zwischen Workspace ONE Intelligent Hub für iOS und dem Server zu signieren und zu verschlüsseln. Diese Zertifikate geben dem Server auch die Möglichkeit, die Identität und Echtheit aller in Workspace ONE UEM registrierten Geräte zu überprüfen. In dieser Übersicht werden die Vorteile und Erfordernisse beider Sicherheitserweiterungen genau aufgeführt.

Funktionsweise des Zertifikatsaustauschs

Bevor Daten übertragen werden, tauschen die Workspace ONE Intelligent Hub-Anwendung und der Server personalisierte Zertifikate aus. Diese Beziehung wird festgelegt, wenn sich Workspace ONE Intelligent Hub für iOS während der Registrierung zum ersten Mal beim Workspace ONE UEM-Server anmeldet.

  1. Workspace ONE Intelligent Hub für iOS kommuniziert mit dem Workspace ONE UEM-Server, um den öffentlichen Schlüssel des Serverzertifikats abzurufen. Sowohl Workspace ONE Intelligent Hub für iOS als auch der Workspace ONE UEM-Server vertrauen dem öffentlichen Schlüssel des Workspace ONE UEM-Stammzertifikats, das die Echtheit aller Zertifikate überprüft, die in den Datenaustausch zur Registrierung einbezogen werden.
  2. Workspace ONE Intelligent Hub für iOS überprüft das Serverzertifikat anhand des Workspace ONE UEM-Stamm-ZS-Zertifikats.
  3. Workspace ONE Intelligent Hub für iOS sendet einen eindeutigen öffentlichen Schlüssel des Zertifikats an den Workspace ONE UEM-Server.
  4. Der Workspace ONE UEM-Server verknüpft das Workspace ONE Intelligent Hub-Zertifikat mit diesem Gerät in der Datenbank.

Sichern von Daten bei der Übertragung

Nach einem erstmaligen Austausch von Zertifikaten werden alle Daten, die an die UEM-Konsole gesendet werden, ab diesem Zeitpunkt verschlüsselt. In der folgenden Tabelle sehen Sie die beiden betroffenen Zertifikate und ihre Aufgaben bei der Transaktion.

Hub-Zertifikat Serverzertifikat
Workspace ONE Intelligent Hub Signieren der Daten Verschlüsselung der Daten
Workspace ONE UEM-Server Überprüfung des Datenursprungs Entschlüsselung der Daten

APIs und Anwendungsfunktionen

Es gibt zwei Kategorien von APIs, die Workspace ONE UEM auf iOS-Geräten als Verwaltungs- und Nachverfolgungsfunktionen nutzt:

  • OTA-MDM-APIs (Over-the-Air) werden mit der Registrierungsmethode aktiviert, unabhängig davon, ob Workspace ONE Intelligent Hub für iOS verwendet wird.
  • Systemeigene iOS-SDK-APIs stehen allen Drittanbieter-Anwendungen zur Verfügung, einschließlich der Workspace ONE Intelligent Hub-Anwendung und anderer Anwendungen, die das Workspace ONE UEM Software Development Kit (SDK) verwenden.

Workspace ONE Intelligent Hub für iOS fungiert als Broker-Anwendung, die in die systemeigene Verwaltungsschicht iOS-SDK-API integriert ist. Wenn Workspace ONE Intelligent Hub für iOS in Kombination mit dem Workspace ONE UEM SDK für iOS genutzt wird, können Administratoren die Vorteile weiterer MDM-Funktionen für Anwendungen nutzen, die über das hinausgehen, was in der Over-the-Air (OTA) MDM-API-Schicht angeboten wird.

  • Konfigurieren von Workspace-ONE-Intelligent-Hub-Einstellungen für iOS-Geräte
    Sie können die Workspace-ONE-Intelligent-Hub-Einstellungen in der UEM-Konsole nach Ihren Bedürfnissen anpassen. Sie können beispielsweise ein SDK-Profil angeben, das mit VMware Workspace ONE Intelligent Hub zur Nutzung von Workspace ONE UEM-Funktionen verwendet wird.
  • Mobile Workspace-ONE-Intelligent-Hub-Applikation für iOS
    Nach der Registrierung des Workspace-ONE-Intelligent-Hub, wird die Anwendung standardmäßig auf eine Ansicht Mein Gerät eingestellt. Hier sehen Sie Echtzeitinformationen über Ihr Gerät, synchronisieren das Gerät, registrieren das Gerät erneut und lesen Nachrichten, die von der UEM-Konsole gesendet wurden.

Konfigurieren der Workspace ONE Intelligent Hub-Einstellungen für iOS-Geräte

Sie können die Workspace ONE Intelligent Hub-Einstellungen in der UEM Console anpassen. Sie können beispielsweise ein SDK-Profil angeben, das mit Workspace ONE Intelligent Hub verwendet wird, um Workspace ONE UEM-Funktionen zu nutzen.

Verfahren

  1. Navigieren Sie zu Geräte > Geräteeinstellungen > Apple > Apple iOS > Hub-Einstellungen.

    Seite für Intelligent Hub-Einstellungen zeigt die Registerkarten „Allgemein“ und „Benachrichtigungen“ mit den Optionen „Geräte und Benutzer“, „Apple“ und Apple iOS“ hervorgehoben

  2. Konfigurieren Sie die folgenden Einstellungen für Workspace ONE Intelligent Hub:

Einstellung Beschreibung
Aufhebung der Registrierung in Hub deaktivieren Diese Einstellung verhindert, dass der Benutzer sein Gerät bei Workspace ONE UEM MDM mittels Workspace ONE Intelligent Hub deregistriert. Diese Einstellung ist nur in Workspace ONE Intelligent Hub v4.9.2 und höher verfügbar.
Anwendung im Hintergrund aktualisieren Diese Einstellung teilt Workspace ONE Intelligent Hub das maximal zulässige Zeitintervall für die Aktualisierung des App-Inhalts mit. Einige Anwendungen laufen über eine kurze Zeitperiode, bevor sie in den angehaltenen Status wechseln.

„Anwendung im Hintergrund aktualisieren“ ist eine Funktion in iOS, mit der die Anwendung selbst aus ihrem angehaltenen Status wieder aktiv wird. Während dieser Aktualisierung übermittelt Workspace ONE Intelligent Hub Informationen wie Gefahrenerkennung, Hardwaredetails, GPS, iBeacon und Telekommunikation an die UEM Console. Die Frequenz, mit der der VMware Workspace ONE Intelligent Hub aktualisiert, wird durch das Betriebssystem gesteuert. Dies erfolgt nur wenn das Gerät an eine Stromquelle angeschlossen wird, eine bestimmte Häufigkeit der Nutzung vorliegt oder eine Verbindung mit einem WLAN erfolgt.

Um die Background-App-Refresh-Funktion nutzen zu können, muss diese Einstellungen in der UEM-Konsole aktiviert werden, der Workspace-ONE-Intelligent-Hub darf auf dem Gerät nicht gestoppt werden und Background-App-Refresh muss auf dem Gerät für Workspace ONE Intelligent Hub unter Einstellungen > Allgemein > Background App Refresh aktiviert werden.
Minimales Aktualisierungsintervall Wählen Sie die Mindestzeit, die verstreichen muss, bevor das Gerät versucht, den App-Inhalt zu aktualisieren.
Nur über WLAN übertragen Aktivieren Sie die Hintergrundaktualisierung nur über WLAN-Verbindungen.
  1. Passen Sie die folgenden zusätzlichen VMWare Workspace ONE Intelligent Hub-Konfigurationen – wie in diesem Leitfaden beschrieben – in der UEM-Konsole auf der Seite Einstellungen und Richtlinien für Single Sign On an.

Nächste Schritte

Informationen zu Offline-Zugang, Branding und anderen Einstellungen und Richtlinien finden Sie im Leitfaden für VMware AirWatch Mobile Application Management.

Mobile Workspace ONE Intelligent Hub-Anwendung für iOS

Nach der Registrierung von Workspace ONE Intelligent Hub zeigt die Anwendung standardmäßig dem Bildschirm Meine Geräte an. Hier sehen Sie Echtzeitinformationen über Ihr Gerät, synchronisieren das Gerät, registrieren das Gerät erneut und lesen Nachrichten, die von der UEM-Konsole gesendet wurden.

Das Kontrollkästchen Self-Service aktiviert muss unter Hub-Einstellungen in der UEM Console ausgewählt sein, damit alle Statusinformationen angezeigt werden.

Hinweis: Wenn die Option Hub-Registrierung aufheben unter Hub-Einstellungen nicht aktiviert ist, wählen Sie Geräteregistrierung aufheben, bevor Sie die Registrierung bei VMware Workspace ONE Intelligent Hub v4.9.2 erneut vornehmen.

Funktionen für „Mein Gerät“

  • Tippen Sie auf das Status-Menü, um den Status und Optionen für Self-Service-Diagnosen anzuzeigen.

    • Gerät synchronisieren – Tippen Sie auf diese Aktion, um eine Anforderung zur erneuten Synchronisierung des Geräts mit der UEM-Konsole abzusenden.

    • Aktueller Status – Verwenden Sie die Menüs, um Informationen über die Registrierung, die erneute Registrierung von Geräten, die Anzeige von Konten und die Konformität zu finden.

    • Diagnose – Verwenden Sie diese Menüs, um die Konnektivität zu testen, den Internetzugang anzuzeigen, Probleme mit der Konnektivität zu erkennen, Serverinformationen anzuzeigen sowie Hub- und Geräte-Protokolle anzuzeigen und zu senden.

  • Tippen Sie auf das Menü Gerätedetails, um verschiedene Statusoptionen anzuzeigen:
    • Netzwerk – Hier können Sie Netzwerkadapter und IP-Adressen anzeigen.
    • Erweitert – Verwenden Sie diese Menüs, um Informationen zu Geräteakku, Speicher, und Datenträgerplatz zu erhalten.
    • Standort – Hiermit zeigen Sie die GPS-Koordinaten Ihres Geräts für den laufenden und frühere Zeiträume an.
    • iBeacon – Hiermit zeigen Sie den Namen der iBeacon-Region an. Wenn iBeacon konfiguriert ist, aber Standortdaten nicht konfiguriert wurden, zeigt das Gerät nur den iBeacon-Bereich an. Wenn iBeacon- und Standortdaten aktiviert sind, zeigt das Gerät den iBeacon-Bereich und die Karte mit dem Standort des Geräts an.
  • Verwenden Sie das Dock unten auf dem Bildschirm, um zusätzliche Informationen anzuzeigen:
    • Nachrichten – Lesen Sie Benachrichtigungen von der UEM-Konsole. Sie erhalten zum Beispiel möglicherweise Nachrichten im Message-Center, die Sie auffordern, die Konformität zu überprüfen, um zu gewährleisten, dass Ihr Gerät erfolgreich überwacht werden kann.
    • Information – Informationen und rechtliche Hinweise zur Workspace ONE Intelligent Hub-Anwendung.

VMware Workspace ONE Content

VMware Workspace ONE Content ist eine App, die Endbenutzern den Zugriff auf wichtige Inhalte auf ihren Geräten ermöglicht und dabei Ihrer Organisation den Schutz von Dateien gewährleistet.

Endbenutzer können in die UEM Console hochgeladene Inhalte, Inhalte von synchronisierten Unternehmens-Repositorys sowie ihre eigenen persönlichen Inhalte in Workspace ONE Content öffnen.

Verwenden Sie die UEM Console, um Inhalte hinzuzufügen, Repositorys zu synchronisieren und die Aktionen zu konfigurieren, die Endbenutzer für die in der Anwendung geöffneten Inhalte ausführen können. Diese Konfigurationen verhindern, dass Inhalte ohne Genehmigung kopiert, freigegeben oder gespeichert werden.

Weitere Informationen zu MCM und zur Konfiguration von VMware Workspace ONE Content finden Sie im VMware Workspace ONE UEM Mobile Content Management Guide.

VMware Workspace ONE Web

VMware Workspace ONE Web ist eine Anwendung, die eine verwaltbare und sichere Alternative zu systemeigenen Webbrowsern bietet. Sie ermöglicht das sichere Surfen auf Anwendungs-, Tunnel- und Website-Ebene.

Sie können Workspace ONE Web an spezielle Geschäftsanforderungen anpassen, indem Sie den Webzugriff auf Websites beschränken und ein sicheres Internetportal für mobile Point-of-Sale-Geräte bereitstellen. Bieten Sie Benutzern eine standardmäßige Surferfahrung, einschließlich Unterstützung für Browsen mit mehreren Registerkarten und JavaScript-Dialogfelder. Zur maximalen Sicherheit auf Ihren Android- und iOS-Geräten empfehlen wir den Einsatz von Workspace ONE Web mit dem Restriktionsprofil, das den systemeigenen Browser blockiert.

Weitere Informationen zum Vorbereiten und Konfigurieren von Workspace ONE Web für die Bereitstellung finden Sie im VMware Workspace ONE Web Admin Guide.

VMware Workspace ONE Boxer

VMware Workspace ONE Boxer ist eine E-Mail-Anwendung, die nutzerorientierte mobile Produktivität mit Unternehmenssicherheit in Form von AES-256-Bit-Verschlüsselung bietet. Diese Anwendung containerisiert Geschäftsdaten von persönlichen Daten und bietet dabei reibungslosen Zugriff auf Unternehmens-E-Mails, -kalender und -kontakte im Besitz des Unternehmens und der Mitarbeiter.

Workspace ONE Boxer lässt sich an individuelle Bedürfnisse anpassen, zum Beispiel mit benutzerdefinierten Wischgesten, Kontaktavataren, individualisierbaren Smartordnern und verschiedenen Kontofarben. Die All-in-One-Anwendung für E-Mail, Kalender und Kontakte bietet ein intuitives Benutzererlebnis im Einklang mit den systemeigenen Designvorgaben von Geräten.

Weitere Informationen zu VMware Workspace ONE Boxer finden Sie im VMware Workspace ONE Boxer Admin Guide.

AirWatch Container für iOS

AirWatch Container bietet einen flexiblen Ansatz für Bring Your Own Device-Management (BYOD), wobei ein sicherer Arbeitsbereich auf ein persönliches Gerät geschoben wird. Unternehmen können für die Mitarbeiter Workspace ONE UEM-Anwendungen und interne Anwendungen an AirWatch Container zur Verwendung auf ihren Mobilgeräten verteilen.

Anwendungen sind innerhalb und außerhalb von AirWatch Container sichtbar. Die Unternehmensanwendungen werden durch einen gemeinsamen SDK-Framework und eine Containerkennung geschützt. Diese Anwendungen können durch Single Sign-On-Authentifizierung nahtlos interagieren und sich mit dem Internet durch ein App-Tunnel-VPN sicher verbinden.

Weitere Informationen zu AirWatch Container finden Sie im VMware AirWatch Container Admin Guide.

Erzwingen von Kennungen für Single-Sign-On auf Anwendungsebene

Mit Single Sign-On (SSO) können Endbenutzer auf Workspace ONE UEM-Anwendungen, umhüllte Anwendungen und SDK-fähige Anwendungen zugreifen, ohne Anmeldedaten für jede Anwendung eingeben zu müssen. Wenn Endbenutzer Workspace ONE Intelligent Hub oder den AirWatch-Container als “Broker Application” verwenden, authentifizieren sie sich einmalig pro Sitzung mit ihren normalen Zugangsdaten oder einem SSO-Passcode.

Aktivieren Sie SSO als Teil der Sicherheitsrichtlinien, die Sie für alle Workspace ONE UEM-Anwendungen, umhüllten Anwendungen und SDK-aktivierten Anwendungen mit einem Standard-SDK-Profil konfigurieren.

  1. Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Anwendungen > Einstellungen und Richtlinien > Sicherheitsrichtlinien.

    Seite zur Sicherheitsrichtlinie zeigt Einstellungen und Richtlinien hervorgehoben

  2. Setzen Sie Single Sign-On auf Aktiviert, um Endbenutzern den Zugriff auf alle Workspace ONE UEM-Anwendungen und eine beständige Anmeldung zu ermöglichen.

  3. Legen Sie den Authentifizierungstyp auf Kennung und den Kennungsmodus auf Numerisch oder Alphanumerisch fest, um eine SSO-Kennung auf dem Gerät durchzusetzen. Wenn Sie SSO, aber keinen Authentifizierungstyp aktivieren, verwenden die Endbenutzer ihre regulären Anmeldedaten (entweder Verzeichnisdienst- oder Workspace ONE UEM-Konto), um sich zu authentifizieren. Es gibt dann keine SSO-Kennung.

Sobald sich ein Benutzer über eine an SSO teilnehmende Anwendung authentifiziert hat, wurde eine Sitzung eröffnet. Diese Sitzung bleibt aktiv, bis das im SDK-Profil festgelegte Authentifizierungs-Timeout erreicht wurde oder der Benutzer die Anwendung manuell sperrt.

Überblick über Apple Configurator

Workspace ONE UEM und Apple Configurator sind integrierbar, und daher können Sie skalierte Bereitstellungen von Apple iOS-Geräten überwachen und verwalten. Administratoren können Konfigurationsprofile erstellen, vorhandene Profile vom iPhone-Konfigurationsprogramm importieren, Versionen von bestimmten Betriebssystemen installieren und iOS-Gerätesicherheitsrichtlinien erzwingen.

Installieren Sie Apple Configurator 2 von einem macOS-Notebook und führen Sie das Programm aus, um die Integration in die Workspace ONE UEM-Konsole vorzunehmen und damit ein oder mehr Geräte gleichzeitig zu überwachen und zu konfigurieren.

  • Installieren Sie das Workspace ONE UEM-Profil als Teil der Konfiguration, um Geräte unbeaufsichtigt zu registrieren.
  • Überwachen Sie für Ihre Branche dedizierte Geräte, welche von verschiedenen Benutzern gemeinsam verwendet werden.
  • Erstellen Sie Konfigurationsprofile zum Ändern der Geräteeinstellungen für WLAN-Netzwerke, Vorkonfigurationen von E-Mail, Microsoft Exchange-Einstellungen und mehr.
  • Verteilen Sie öffentliche Anwendungen mit dem Configurator, ohne eine Apple ID in das Gerät einzugeben.
  • Erstellen Sie Blueprints zur Automatisierung des Gerätemanagements. Verwenden Sie Blueprints als Vorlagen, um Profile und Anwendungen zu konfigurieren sowie im Handumdrehen per Push auf Geräte zu übertragen.
  • Fügen Sie die Überwachung zu Geräten hinzu und nutzen Sie den Vorteil von noch mehr Managementfunktionen wie Anzeigen oder Ausblenden von Anwendungen, Ändern des Gerätenamens, Hintergrundbilder, Kennungen, Tastenkürzel und mehr.
  • Sichern Sie Benutzereinstellungen und Anwendungsdaten, einschließlich neuer benutzererstellter Daten, mit dem Configurator.

Apple Configurator 2 funktioniert auch mit Apples Device Enrollment Program (DEP), um die Mobile-Device-Management(MDM)-Registrierung und das Volume Purchase Program (VPP) zu automatisieren, indem verwaltete Lizenzenapps Geräten zugeordnet werden.

Eine vollständige Liste der für überwachte und nicht überwachte Geräte verfügbaren Funktionen finden Sie im Anhang „iOS-Funktionalität“.

Informationen zum Registrieren von iOS-Geräten mit Apple Configurator finden Sie unter Stapelweises Registrieren von iOS-Geräten mit Apple Configurator und im Leitfaden Integration in Apple Configurator.

Hochladen eines signierten Apple Configurator-Profils auf die UEM Console

Sie können ein signiertes Profil vom Apple Configurator (oder IPCU) direkt zur UEM-Konsole exportieren.

  1. Konfigurieren Sie Überwachungs- und Verwaltungseinstellungen in Apple Configurator (oder IPCU).

  2. Exportieren und speichern Sie das neu erstellte Profil in einem leicht zugänglichen Ort in Ihrem Computer.

  3. Navigieren Sie innerhalb der UEM Console zu Ressourcen > Profile und Baselines > Profile und wählen Sie Hochladen.

    Seite zum Hochladen von Datei zeigt die Optionen „Verwaltet von“ und „Hochladen“

  4. Geben Sie die Gruppe Verwaltet von ein und wählen Sie Hochladen, um das von Apple Configurator (oder IPCU) exportierte Profil zu suchen und hochzuladen. Klicken Sie auf Weiter.

  5. Geben Sie eine allgemeine Profilbeschreibung ein, einschließlich Name, Beschreibung und zugewiesenen Organisationsgruppen.

  6. Klicken Sie auf Speichern und veröffentlichen, um das Profil an die zugewiesenen Geräte zu senden.

check-circle-line exclamation-circle-line close-line
Scroll to top icon