Workspace ONE UEM unterstützt zwei Methoden zur Registrierung von Unternehmensgeräten. Sie können es Benutzern ermöglichen, ihre Geräte selbst zu registrieren oder Geräte im Auftrag des Benutzers registrieren zu lassen. Letzteres wird als Geräte-Staging bezeichnet.

Beim Geräte-Staging registriert ein Administrator Geräte, bevor er diese den Endbenutzern zuweist und an diese verteilt. Diese Methode ist für Administratoren hilfreich, die Geräte für Endanwender organisationsübergreifend konfigurieren müssen.

Geräte-Staging kann für Android-, Windows Phone-, iOS- und macOS-Geräte durchgeführt werden.

Überlegung 1: Gerätezuständigkeit

  • Besitzen Ihre Endbenutzer bereits zugewiesene Unternehmensgeräte? In diesem Fall kann es sich als impraktikabel erweisen, Daten von den einzelnen Geräten zu erfassen und das Staging durchzuführen. Es empfiehlt sich, die Registrierung den Benutzern zu überlassen.

  • Verwenden Ihre Endbenutzer dieselben Geräte oder besitzen sie eigene dedizierte Geräte? Wenn Endbenutzer Geräte nicht gemeinsam verwenden, können Sie dem alleinigen Besitzer des Geräts die Verantwortung übertragen, sich selbst zu registrieren.

    Das Geräte-Staging funktioniert auch bei neuen Gerätebereitstellungen gut, da dieser Vorgang stattfindet, bevor ein Mitarbeiter das Gerät erhält. Wenn Ihre Endbenutzer bereits Unternehmensgeräte besitzen, ist es am sinnvollsten, ihnen die eigenständige Registrierung zu gestatten. Benutzern die Registrierung ihrer eigenen Geräte zu gestatten ist zudem empfehlenswert, wenn sich die Durchführung des Geräte-Staging für Administratoren aufgrund der Gesamtanzahl der Geräte als umständlich erweist.

Überlegung 2: AutoErmittlung

Ordnen Sie der E-Mail-Domäne Ihrer Organisation Ihre Workspace ONE UEM-Umgebung zu? Bei diesem Vorgang, auch als AutoErmittlung bezeichnet, müssen Endbenutzer lediglich E-Mail-Adresse und Anmeldedaten eingeben. Die Registrierungs-URL und Gruppen-ID werden automatisch eingegeben.

Weitere Informationen finden Sie unter Registrierung über AutoErmittlung.

Überlegung 3: Workspace ONE Direct Enrollment

Geräte-Staging über Workspace ONE Direct Enrollment wird nicht unterstützt. Wenn Sie ein Gerät für einen oder mehrere Benutzer bereitstellen müssen, muss es mit dem VMware Workspace ONE Intelligent Hub anstelle von Workspace ONE Direct Enrollment registriert werden.

Workspace ONE Direct Enrollment ist eine Funktion, die sich perfekt für die Selbstregistrierung eignet. Wenn diese Funktion aktiviert ist, werden alle qualifizierten Geräte, die sich bei der Registrierungsorganisationsgruppe anmelden, sofort registriert. Und sobald die Installation vollständig abgeschlossen ist, können Endbenutzer vom Unternehmen ausgewählte Apps installieren oder die Installation von Apps überspringen.

Weitere Informationen finden Sie unter Workspace ONE Direct Enrollment.

Überlegung 4: Nehmen Sie am Geräteregistrierungsprogramm (Device Enrollment Program, DEP) von Apple teil?

Um optimal von den Vorteilen der in Mobile Device Management (MDM) registrierten Apple-Geräte zu profitieren, hat Apple das Geräteregistrierungsprogramm (Device Enrollment Program, DEP) geschaffen. Das DEP ermöglicht Folgendes:

  • Installieren eines vom Endbenutzer nicht entfernbaren MDM-Profils auf einem Gerät, sodass dieses von den Benutzern nicht gelöscht werden kann.
  • Bereitstellen von Geräten im Überwachungsmodus (nur iOS-Geräte). Geräte im Überwachungsmodus können auf zusätzliche Sicherheits- und Konfigurationseinstellungen zugreifen.
  • Durchsetzen der Registrierung für alle Endbenutzer
  • Optimieren des Registrierungsprozesses und Anpassen an die Anforderungen Ihres Unternehmens
  • Verhindern der iCloud-Sicherung durch Deaktivieren der Anmeldung von Benutzern mit ihrer Apple-ID beim Generieren eines DEP-Profils
  • Erzwingen von BS-Updates für alle Endbenutzer

Überlegung 5: Verwendung von Apple Configurator

Apple Configurator ermöglicht IT-Administratoren die effiziente Bereitstellung von Apple iOS-Geräten. Für Organisationen wie Einzelhandelsgeschäfte, Bildungseinrichtungen und Krankenhäuser hat es sich als nützliches Tool erwiesen, um gemeinsam genutzte Geräte für mehrere Endbenutzer vorab zu registrieren.

Die Registrierung von vorab registrierten Geräten für einen einzelnen Benutzer mit Configurator wird unterstützt. Hierzu muss die Seriennummer/IMEI in der Konsole des registrierten Geräts eines Benutzers hinzugefügt werden. Ein immenser Vorteil von Apple Configurator besteht darin, dass Sie mit einem USB-Hub oder iOS-Gerätewagen in nur wenigen Minuten mehrere Geräte bereitstellen können.

Überlegung 6: Staging von einzelnen Benutzern oder Registrierung?

Wenn Sie überlegen, ein Geräte-Staging für einen einzelnen Benutzer durchzuführen, ist unter Umständen die Registrierung die beste Wahl. Der Unterschied zwischen Staging für einen einzelnen Benutzer und der Registrierung eines Geräts ist klein aber bedeutend.

Registrierung – Wenn Sie ein Gerät registrieren, tun Sie dies für einen einzelnen, benannten Benutzer. Bei diesem Verfahren geht das Gerät davon aus, dass der Benutzer, der sich zuerst anmeldet, derselbe Benutzer ist, für den das Gerät registriert wurde. Wenn ein anderer Benutzer versucht, sich bei einem registrierten Gerät anzumelden, muss das Gerät aus Sicherheitsgründen gesperrt werden und es ist nicht zur Registrierung berechtigt.

Staging von einzelnen Anwendern – Wenn Sie das Staging für ein Gerät durchführen, tun Sie dies für alle Anwender, die sich in Workspace ONE UEM registrieren können. Theoretisch könnten Sie ein per Staging bereitgestelltes Gerät jedem beliebigen qualifizierten Benutzer aushändigen. Dieser Benutzer könnte sich dann erfolgreich beim Gerät anmelden und bei Workspace ONE UEM registrieren.

Der Staging-Workflow bietet Ihnen die Möglichkeit, das Gerät vorzubereiten und danach den VMware Workspace ONE Intelligent Hub zu starten. So kann sich jeder für die Registrierung qualifizierte Benutzer anmelden. Danach führt Workspace ONE UEM eine einmalige erneute Zuweisung durch, um das Gerät diesem Benutzer zuzuweisen.

Überlegung 7: Verwendung des Geräte-Staging

Administratoren müssen das Geräte-Staging nacheinander durchführen, es sei denn, sie verwenden Apple Configurator. Bei großen Bereitstellungen sollten Sie den erforderlichen Zeit- und Personalaufwand berücksichtigen.

Während Administratoren mühelos ein Staging für neue Geräte durchführen können, müssen Mitarbeiter, die bereits unternehmenseigene Geräte verwenden, diese einsenden oder zum Geräte-Staging vor Ort Daten von diesen erfassen.

Das Geräte-Staging kann eine Weile dauern, wenn Sie Tausende von Geräten vorab registrieren müssen. Deshalb funktioniert es am besten, wenn eine neue Reihe von Geräten bereitgestellt werden soll. Denn so können Sie auf die Geräte zugreifen, bevor die Mitarbeiter sie erhalten.

Das Geräte-Staging kann wie folgt für Android- und iOS-Geräte durchgeführt werden:

  • Einzelbenutzer (Standard) – Wird beim Staging eines Geräts verwendet, das später von einem beliebigen Benutzer registriert werden kann.

    Hinweis: Wie bereits angedeutet, ist dieser Registrierungsablauf für unbeaufsichtigte Geräte vorgesehen. Wenn Sie diesen Ablauf für die Registrierung von Zero-Touch-Benutzern verwenden, müssen Sie sicherstellen, dass bereitgestellte Geräte an den beabsichtigten Benutzer übergeben werden.

  • Einzelbenutzer (Erweitert) – Wird beim Staging und Registrieren eines Geräts für einen bestimmten Benutzer verwendet.

    Hinweis: Der Staging-Benutzer/Staging-Administrator muss sicherstellen, dass das Gerät an den registrierten Benutzer ausgecheckt wird.

  • Mehrbenutzer – Wird beim Staging eines Geräts verwendet, das von mehreren Benutzern gemeinsam verwendet wird.

    Detaillierte Anweisungen finden Sie unter Erstellen eines Mehrbenutzer-Staging-Kontos für die Registrierung.

Bereitstellen eines Einzelbenutzergeräts (Staging)

Das Geräte-Staging der Workspace ONE UEM console für Einzelbenutzer ermöglicht einem einzigen Administrator, Geräte für andere Benutzer in deren Auftrag auszurüsten – eine Funktion, die für IT-Administratoren nützlich sein kann, wenn sie eine Flotte an Geräten bereitstellen müssen.

Geräte-Staging über Workspace ONE Direct Enrollment wird nicht unterstützt. Wenn Sie ein Gerät für einen oder mehrere Benutzer bereitstellen müssen, muss es mit dem VMware Workspace ONE Intelligent Hub anstelle von Workspace ONE Direct Enrollment registriert werden.

Wichtiger Hinweis:

Die Fähigkeit zum Erstellen von Staging-Benutzern ist ein erhöhtes Administratorrecht. Die Berechtigung zum Erstellen eines Staging-Benutzers sollte nur auf bestimmte vertrauenswürdige Administratoren begrenzt sein. Behandeln Sie außerdem Staging-Benutzer-Anmeldedaten wie jedes andere Administratorrecht, und geben Sie die Benutzer-Anmeldedaten nicht bekannt.

Zurzeit kann jeder Administrator mit der Berechtigung zum Erstellen eines Benutzers auch einen Staging-Benutzer erstellen. Begrenzen Sie diese Fähigkeit durch Bearbeiten der Rollen, die Ihren Administratoren zugewiesen sind. Navigieren Sie zu Konten > Administratoren > Rollen. Bezeichnen Sie nur die Rollen, die Sie begrenzen möchten, und bearbeiten () Sie anschließend jede dieser Rollen im Kategorien-Pfad Alle Konten > Benutzer > Konten, indem Sie das Kontrollkästchen Bearbeiten aus der Berechtigung „Hinzufügen/Bearbeiten“ löschen.

Hinweis: Beim Geräte-Staging ist eine LDAP-Bindung erforderlich. Sie finden Informationen zur Erstellung dieser Nutzlast im Abschnitt über die Bindung eines Geräts an den Verzeichnisdienst im vorliegenden Leitfaden.

  1. Navigieren Sie zu Konten > Benutzer > Listenansicht und wählen Sie Bearbeiten für das Benutzerkonto, für das Sie Geräte-Staging aktivieren möchten.

  2. Wählen Sie auf der Seite Benutzer hinzufügen/bearbeiten die Registerkarte Erweiterungen.

    1. Scrollen zum Bereich Staging herunter.

    2. Wählen Sie für Geräte-Staging aktivieren den Schieberegler Aktiviert aus. Die Staging-Optionen werden angezeigt.

    3. Wählen Sie für Einzelbenutzergeräte den Schieberegler Aktiviert aus.

    4. Schalten Sie den Typ des Einzelbenutzer-Geräte-Staging-Modus entweder auf Standard oder Erweitert um.

      Beim Standard-Staging muss ein Endbenutzer nach dem Staging Anmeldedaten eingeben. „Erweitert“ heißt, dass der Benutzer, der das Staging ausführt, das Gerät im Auftrag eines anderen Benutzers registrieren kann.

    5. Vergewissern Sie sich, dass Mehrbenutzergeräte auf Deaktiviert gestellt ist.

    6. Wählen Sie für Modus „Gemeinsam genutzte Android-Geräte“ Native oder Launcher für den Ein- und Auscheckmodus aus. Native Android unterstützt einfachere Anwendungsfälle, für die keine Anpassung erforderlich ist. Launcher unterstützt die Anpassung der Benutzeroberfläche für komplexe Anwendungsfälle.

    7. Für System-Apps können Sie den Endbenutzerzugriff auf Systemanwendungen aktivieren.

    8. Geben Sie für Admin-Modus-Kennung eine alphanumerische Kennung an, um die Fehlerbehebung für ein Gerät im Administratormodus zu starten. Tippen Sie fünf Mal auf das Hub-Symbol auf dem Anmeldebildschirm, um auf den Administratormodus zuzugreifen.

      Ergebnis: Mit der Option Einzelbenutzergeräte wird das Staging von Geräten für einen einzelnen Benutzer ausgeführt.

  3. Registrieren Sie das Gerät. Wählen Sie aus folgenden Optionen aus:

    • Registrieren Sie sich über den VMware Workspace ONE Intelligent Hub, indem Sie eine Server-URL und Gruppen-ID eingeben.
    • Öffnen Sie den Internet-Browser des Geräts, navigieren Sie zur Registrierungs-URL und geben Sie die korrekte Gruppen-ID ein.
  4. Geben Sie bei der Registrierung Ihre Staging-Benutzer-Anmeldedaten ein.

    1. Falls erforderlich, geben Sie bitte an, dass Sie das Staging für Einzelbenutzergeräte ausführen.

      Dies ist nur erforderlich, falls „Mehrbenutzergeräte-Staging“ ebenfalls für den Staging-Benutzer aktiviert ist.

  5. Schließen Sie die Registrierung entweder für erweitertes oder für Standard-Staging ab.

    1. Sollten Sie erweitertes Staging ausführen, werden Sie dazu aufgefordert, den Benutzernamen des Besitzers des Endbenutzergeräts einzugeben, der das Gerät benutzen wird. Setzen Sie die Registrierung fort, indem Sie das MDM-Profil (Mobile Device Management) installieren und alle Eingabeaufforderungen und Nachrichten akzeptieren.
    2. Beim Standard-Staging wird der Endbenutzer beim Abschluss der Registrierung aufgefordert, die eigenen Anmeldedaten im Anmeldefenster einzugeben.

Ergebnisse: Das Geräte-Staging ist nun abgeschlossen und das Gerät kann vom neuen Benutzer verwendet werden. Wenn Nutzungsbedingungen für die Registrierung vorhanden ist, wird Staging-Einzelbenutzern die Nutzungsbedingungen-Aufforderung erst angezeigt, wenn sie sich bei ihrem SSP-Konto anmelden.

Bereitstellen eines Mehrbenutzergeräts (Staging)

Mehrbenutzergeräte-/ Gemeinschaftsgeräte-Staging erlaubt einem IT-Administrator, Geräte bereitzustellen, die von mehreren Benutzern verwendet werden sollen. Mehrbenutzer-Staging ermöglicht den dynamischen Wechsel von zugewiesenen Benutzern auf einem Gerät, während sich andere Netzwerkbenutzer beim Gerät anmelden.

Geräte-Staging über Workspace ONE Direct Enrollment wird nicht unterstützt. Wenn Sie ein Gerät für einen oder mehrere Benutzer bereitstellen müssen, muss es mit dem VMware Workspace ONE Intelligent Hub anstelle von Workspace ONE Direct Enrollment registriert werden.

  1. Navigieren Sie zu Konten > Benutzer > Listenansicht und wählen Sie Bearbeiten für das Benutzerkonto, für das Sie Geräte-Staging aktivieren möchten.

  2. Wählen Sie auf der Seite Benutzer hinzufügen/bearbeiten die Registerkarte Erweiterungen.

    1. Scrollen zum Bereich Staging herunter.
    2. Wählen Sie für Geräte-Staging aktivieren den Schieberegler Aktiviert aus. Die Staging-Optionen werden angezeigt.
    3. Vergewissern Sie sich, dass Mehrbenutzergeräte auf Aktiviert festgelegt ist.
    4. Wählen Sie für Modus „Gemeinsam genutzte Android-Geräte“ Native oder Launcher für den Ein- und Auscheckmodus aus. Native Android unterstützt einfachere Anwendungsfälle, für die keine Anpassung erforderlich ist. Launcher unterstützt die Anpassung der Benutzeroberfläche für komplexe Anwendungsfälle.
    5. Für System-Apps können Sie den Endbenutzerzugriff auf Systemanwendungen aktivieren.
    6. Geben Sie für Admin-Modus-Kennung eine alphanumerische Kennung an, um die Fehlerbehebung für ein Gerät im Administratormodus zu starten. Tippen Sie fünf Mal auf das Hub-Symbol auf dem Anmeldebildschirm, um auf den Administratormodus zuzugreifen.
  3. Registrieren Sie das Gerät über eine der zwei folgenden Methoden.

    • Registrieren Sie sich über den VMware Workspace ONE Intelligent Hub, indem Sie eine Server-URL und Gruppen-ID eingeben.
    • Öffnen Sie den Internet-Browser des Geräts, navigieren Sie zur Registrierungs-URL und geben Sie die korrekte Gruppen-ID ein.
  4. Geben Sie bei der Registrierung Ihre Staging-Benutzer-Anmeldedaten ein. Falls erforderlich, geben Sie bitte an, dass Sie das Staging für Einzelbenutzergeräte ausführen.

    Dies ist nur erforderlich, falls „Mehrbenutzergeräte-Staging“ ebenfalls für den Staging-Benutzer aktiviert ist.

Ergebnis: Das Geräte-Staging ist nun abgeschlossen, und das Gerät kann von den neuen Benutzern verwendet werden.

Vorgang zur selbstständigen Registrierung

Für die selbstständige Registrierung benötigen Endanwender eventuell ihre Gruppen-ID und Anmeldedaten. Wenn eine Integration in Verzeichnisdienste erfolgt ist, entsprechen diese Anmeldedaten den Verzeichnisdienst-Anmeldedaten des Anwenders.

Sie können die E-Mail-Domäne Ihrer Organisation auch mit Ihrer Workspace ONE UEM-Umgebung verknüpfen. Dieser Vorgang wird als „AutoErmittlung“ bezeichnet. Wenn die Funktion „AutoErmittlung“ aktiviert ist, werden Endanwender von den Geräten der unterstützten Plattformen zur Eingabe ihrer E-Mail-Adresse aufgefordert. Diese Geräte führen die Registrierung automatisch durch, wenn die jeweilige E-Mail-Domäne (der Text nach dem @) übereinstimmt. Dabei muss keine Gruppen-ID oder Registrierungs-URL eingegeben werden. Weitere Informationen finden Sie unter Registrierung über AutoErmittlung.

  1. Wenn Sie zu AWAgent.com navigieren, wird automatisch erkannt, ob der VMware Workspace ONE Intelligent Hub installiert ist.

    Falls der VMware Workspace ONE Intelligent Hub nicht installiert ist, leitet die Website zum jeweiligen Mobile App Store um.

  2. Benutzer von AirWatch Container laden die AirWatch Container App aus dem App Store herunter.

  3. Nachdem der VMware Workspace ONE Intelligent Hub oder die Container-App gestartet wurde, geben Benutzer neben einer E-Mail-Adresse oder URL-/Gruppen-ID ihre Anmeldedaten ein und können dann mit der Registrierung fortfahren.

Überwachungsmodus

Administratoren haben die Möglichkeit, den Überwachungsmodus für Geräte zu aktivieren, die über Apple Configurator registriert wurden. Hierdurch werden zusätzliche optimierte Sicherheitsfunktionen aktiviert. Bei diesem Modus werden jedoch verschiedene Beschränkungen auf dem Gerät eingeführt.

Aktivieren des Überwachungsmodus

Weitere Informationen zur Aktivierung von Geräten für den Betrieb im Überwachungsmodus finden Sie im Handbuch Integration in Apple Configurator 2.

Vorteile

Nachdem ein Gerät überwacht und bei Workspace ONE UEM registriert wurde, besitzt der Administrator im Vergleich zu normalen Geräten folgende erweiterte Funktionen für die Konfiguration:

  • Erhöhte Berechtigungen über MDM
    • Hindern Sie Benutzer an der Entfernung von Anwendungen. Die Entfernung von Anwendungen kann durch Restriktionen unter „Systemkonfiguration“ auch lokal auf dem Gerät beschränkt werden.
    • Verhindern Sie die Verwendung von AirDrop.
    • Hindern Sie Benutzer an der Änderung von iCloud- und E-Mail-Kontoeinstellungen, die Kontoänderungen verbieten.
    • Deaktivieren Sie iMessage.
    • Legen Sie Restriktionen für iBookstore-Inhaltsbewertungen fest.
    • Game Center und iBookstore deaktivieren
  • Erhöhte Sicherheit
    • Endbenutzer daran hindern, auf Websites mit jugendfreien Inhalten in Safari aufzurufen
    • Beschränken, welche Geräte eine Verbindung zu festgelegten AirPlay-Zielen wie Apple TVs herstellen können
    • Installation von Zertifikaten oder nicht verwalteten Konfigurationsprofilen verhindern
    • Erzwingen, dass der gesamte Netzwerkdatenverkehr des Geräts über ein globales HTTP-Proxy erfolgt
  • Kiosk-Modus
    • Sperren Sie Geräte auf eine Anwendung mit Einzel-App-Modus und deaktivieren Sie die Schaltfläche „Startseite“.
  • Anpassen von Hintergründen und Texten auf dem Gerät
  • Aktivieren oder Aufheben der Aktivierungssperre

Beschränkungen

  • Der USB-Zugriff auf überwachte Geräte ist auf die Überwachung von Mac-Geräten beschränkt.
  • Daten können mit iTunes nicht auf das und vom Gerät kopiert werden, wenn das Apple Configurator-Identitätszertifikat nicht auf dem Gerät installiert ist.
    • Medien wie Fotos und Videos können nicht von dem Gerät auf einen PC oder Mac kopiert werden. Verwenden Sie VMware Content Locker für die Übertragung dieses Datentyps, um die Inhalte mit denen im Abschnitt „Private Dokumente“ des Benutzers zu synchronisieren. Alternativ können Daten mithilfe einer Dateifreigabeanwendung per WLAN/WWAN auf einen Server übertragen werden.
  • Im Überwachungsmodus wird der Zugriff auf geräteseitige Protokolle mittels iPhone Configuration Utility (IPCU) verhindert.
    • Durch diesen Modus wird die Problembehandlung von Anwendungs- oder Geräteproblemen erschwert. Der Grund für diese Schwierigkeit ist darauf zurückzuführen, dass die Protokolle nur von dem Gerät abgerufen werden können, wenn das Gerät mit dem überwachten Mac verbunden ist. Um einige dieser Herausforderungen zu beheben, verwenden Sie das Workspace ONE-SDK. Dieses dient zum Senden von Protokollen und Logistik von den Anwendungen an die UEM-Konsole.
  • Die Geräte können nicht einfach auf die Werkseinstellungen zurückgesetzt werden.
    • Sobald ein Gerät auf die Werkseinstellungen zurückgesetzt wurde, muss es wieder mit dem überwachten Mac verknüpft werden, um den Überwachungsmodus wiederherzustellen. Dieser Vorgang kann sich als problematisch erweisen, wenn sich der Mac nicht in der Nähe des Geräts befindet.

Bei der Entscheidung bezüglich der Aktivierung des Überwachungsmodus sollten Sie Folgendes berücksichtigen: Trotz der Aktivierung zusätzlicher Funktionen, die die Sicherheit auf dem Gerät erhöhen, müssen die USB-Beschränkungen berücksichtigt werden.

Die Nähe des Geräts zum überwachten Mac spielt eine wichtige Rolle bei den Entscheidungen. Da aufgrund der USB-Beschränkung der Zugriff auf geräteseitige Protokolle verwehrt wird, muss ein fehlerhaftes Gerät an das Lager zurückgesendet und das Staging zur Wiederherstellung des Funktionalität erneut durchgeführt werden.

Die Vorabentscheidung bezüglich der Überwachung ist wichtig, da der Vorgang zur Überwachung oder der Verzicht auf eine Überwachung die Lieferung des Geräts an einen IT-Standort oder ein Lager erfordert.

Übergeordnetes Thema: Geräteregistrierung

check-circle-line exclamation-circle-line close-line
Scroll to top icon