single.php
< Beitrag von Benjamin Raulf

Enrollment mobiler Endgeräte – das geht automatisch!

Jeder Administrator weiß: Das Enrollment mobiler Endgeräte mit der Anbindung der Devices an Unified-Endpoint-Management-Systeme (UEM-Systeme) ist langwierig. Die Admins müssen für jeden Mitarbeiter eine Apple- oder Google-ID erstellen, die Erstkonfiguration der Endgeräte durchführen, die UEM-App herunterladen und schließlich das Gerät mit der UEM-Lösung verbinden. Bei einem größeren Rollout ist ein IT-Mitarbeiter damit mehrere Tage beschäftigt. Die gute Nachricht: Die Betriebssysteme unterschiedliche Möglichkeiten an, das Enrollment mobiler Endgeräte zu automatisieren.

Enrollment mobiler Endgeräte: Apple-Geräte

Wenn Sie macOS oder iOS-Geräte ausrollen müssen, können Sie den Apple Business Manager (ABM) nutzen, in den neuerdings die beiden alten Produkte Device Enrollment Program (DEP) und Volume Purchased Program (VPP) integriert sind. Ich verwende hier weiterhin die Begriffe DEP und VPP, weil sich so die Unterschiede zwischen den beiden grundlegenden Ansätzen leichter erklären lassen.

Device Enrollment Program (DEP)

Um am DEP teilnehmen zu können, muss sich das Unternehmen über https://business.apple.com registrieren und erhält danach eine einmalige DEP-Nummer. Mit dieser Nummer kann das Unternehmen einen Vertrag mit einem zertifizierten DEP-Händler abschließen, der die mobilen Geräte in das Programm aufnimmt. Durch die Verbindung von DEP und UEM-Lösung erhalten die mobilen Endgeräte alle Informationen für die Erstkonfiguration: Apple ID, Backup, Passcode, Registrierung an der UEM-Lösung, Supervised Mode etc.

Enrollment mobiler Endgeräte: Enrollment Profile
Enrollment mobiler Endgräte: Profile

Sobald der Mitarbeiter nun sein Gerät aus dem Werkzustand startet, meldet sich das Gerät bei der UEM-Lösung an. Im gleichen Zug werden alle Richtlinien und Konfigurationen auf das Endgerät übertragen und dort aktiviert. Der Nutzer muss jetzt nur noch Sprache, Land und Netzwerk auswählen. Anschließend trägt er seine Windows-Daten ein. Sodann wird das Gerät automatisch registriert und konfiguriert.

Volume Purchased Program (VPP)

Mithilfe des VPP von Apple werden geschäftliche Apps ohne Apple-ID automatisch installiert. Das VPP lässt sich auf der Apple-Business-Manager-Website aktivieren und mit der UEM-Lösung verheiraten. Über das VPP können Lizenzen für die Apps erworben werden. Da die Installation der Apps nicht über die Apple-ID, sondern über die Geräte-ID läuft, lässt sich das Gerät auch mit geschäftlichen Apps betanken.

Enrollment mobiler Endgeräte: Android-Geräte

Für Android-Geräte gibt es 2 unterschiedliche Lösungen: Samsung platzierte das Samsung KNOX Mobile Enrollment (KME) zuerst auf dem Markt. Google hat für sein natives Betriebssystem die Lösung Android Zero-Touch entwickelt. Bei beiden Lösungen muss sich das Unternehmen beim entsprechenden Programm anmelden und die Endgeräte durch einen zertifizierten Händler in das Programm aufnehmen lassen.

Samsung KNOX Mobile Enrollment (KME)

Enrollment mobiler Endgeräte: Samsung KNOX Mobile Enrollment

Die Nutzung von Samsung KME funktioniert nur mit einem KNOX API v2.4 (oder höher) fähigem Endgerät. Das Verfahren ähnelt dem des Apple DEP. Der Mitarbeiter muss am Endgerät nur Sprache, Land und Netzwerk einstellen. Anschließend prüft das Endgerät selbstständig, ob es am KME teilnimmt und ob Konfigurationen hinterlegt wurden. Die UEM-App wird automatisch auf das Endgerät übertragen. Mithilfe der App kann sich der Mitarbeiter bei der UEM-Lösung registrieren und im Zuge dieser Anmeldung werden alle Konfigurationen, Apps und Richtlinien automatisiert auf das Endgerät übertragen. Eine Verheiratung vom KME mit der UEM-Lösung ist nicht notwendig.

Google: Android Zero-Touch

Auf dem Markt gibt es viele verschiedene OEM-Hersteller, wie z. B. Huawei, Nokia, Blackberry oder Google. Android Zero-Touch können Sie ab der Android-Version 8.0 nutzen. Dazu müssen die OEM-Partner nur die entsprechende API im Betriebssystem aktivieren. Damit die Unternehmen einen Überblick über zero-touch-fähige Geräte erhalten, stellt Google eine Webseite zur Verfügung.

Genau wie beim KME muss der Mitarbeiter am Endgerät zuerst Sprache, Land und Netzwerk auswählen. Anschließend wird die UEM-App heruntergeladen, damit sich der Mitarbeiter bei der UEM-Lösung registrieren kann. Hierdurch werden wieder alle Konfigurationen, Apps und Richtlinien auf das Endgerät übertragen und aktiviert.

Android Enterprise

Android bietet auch die Möglichkeit, Geräte vereinfacht mit Android Enterprise auszurollen. Dies kann z. B. durch einen QR-Code geschehen, den der dministrator vorab generieren muss. Sobald der Mitarbeiter sein Endgerät einschaltet und der Willkommensbildschirm erscheint, muss er diesen Bildschirm 6 Mal hintereinander anklicken. Hierdurch öffnet sich ein QR-Code Reader, der den Code scannt. Es wird automatisch erkannt, welche UEM-App heruntergeladen werden soll und dass Android Enterprise eingerichtet werden soll. Der Mitarbeiter erhält die Aufforderung, sich bei der UEM-Lösung anzumelden. Dadurch werden wiederum alle Einstellungen, Apps und Richtlinien automatisch auf das Endgerät übertragen.

Geschäftliche und private Apps

Ein VPP für Android-Geräte gibt es in Europa nicht, weshalb die Mitarbeiter bei der App-Installation ihre Google-ID eintragen müssen. ABER: Wenn das Unternehmen Inhouse-Apps aus dem eigenen Enterprise Store installiert oder Android Enterprise mit öffentlichen Apps nutzt, lassen sich die Apps ohne Google-ID auf dem Endgerät installieren, so dass auch hier ein kompletter Automatismus zur Verfügung steht.

Viele Unternehmen erlauben ihren Mitarbeiter die private Nutzung der mobilen Endgeräte. Will der Mitarbeiter eine private App herunterladen, kann er dies jederzeit tun, wenn er damit nicht gegen die Richtlinien seiner Firma verstößt. Die dafür benötigte Apple- beziehungsweise Google-ID kann der Mitarbeiter selbst erstellen.

Folgen
X

Folgen

E-mail : *
Kategorie: IT- & Data-Security, Unified Communication | Schlagwörter: | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.