Gerätebereitstellung - Android Unterstützte Geräte Im Allgemeinen ist jedes Gerät mit Android 6 oder höher und Google Play-Diensten mit Cerberus Enterprise kompatibel. Für ein besseres Nutzererlebnis empfehlen wir die Verwendung von Geräten, die die Android Enterprise Recommended-Anforderungen erfüllen. Einige Funktionen sind auf bestimmte Android-Versionen beschränkt oder können sich bei verschiedenen Betriebssystemversionen unterschiedlich verhalten. Weitere Informationen zu einer bestimmten Funktion finden Sie im Abschnitt Richtlinien der Dokumentation. Cerberus Enterprise unterstützt sowohl unternehmenseigene als auch privat genutzte Geräte sowie zwei Verwaltungsmodi: Device Owner und Profile Owner. Privat genutzte Geräte können über ein Arbeitsprofil verwaltet werden. Dies ermöglicht eine BYOD-Lösung, indem die geschäftlichen Daten und Apps der Mitarbeiter von den persönlichen Daten und Apps getrennt werden, was sowohl die Sicherheit als auch den Datenschutz verbessert. Diese Option eignet sich für Geräte, die sich bereits im Besitz der Mitarbeiter befinden und die Sie für die geschäftliche Nutzung in Ihrer Organisation registrieren möchten. Unternehmenseigene Geräte können ebenfalls über ein Arbeitsprofil verwaltet werden, Sie können jedoch auch die Option vollständig verwaltet wählen, die eine strengere Kontrolle über das Gerät ermöglicht. Unternehmenseigene Geräte mit einem Arbeitsprofil eignen sich, wenn Sie Mitarbeitern Firmengeräte für die Arbeit zur Verfügung stellen und dennoch eine private Nutzung ermöglichen möchten. Vollständig verwaltete Geräte eignen sich besser für Geräte, die ausschließlich für die Arbeit genutzt werden müssen, oder für dedizierte Geräte (COSU, corporate-owned single-use), wie z. B. Kiosksysteme. Weitere Informationen zur Gerätebereitstellung finden Sie auf der Seite Übersicht zur Gerätebereitstellung. Registrierungstoken Cerberus Enterprise verwendet Registrierungstoken, um den Prozess der Android-Geräteregistrierung (Bereitstellung) zu starten. Das von Ihnen ausgewählte Token definiert die erste Richtlinie, die auf die registrierten Geräte angewendet wird, und beeinflusst, welche Bereitstellungsmodi zulässig sind. Der Tab für Android-Registrierungstoken ist erst nach Abschluss der Android-Management-Einrichtung verfügbar. Wo Sie Registrierungstoken finden Öffnen Sie im Dashboard Registrierungstoken. Je nach Ihrer Kontokonfiguration kann die Seite mehrere Tabs anzeigen (Android-Token, Google Sign-in-Registrierung, manuelle Apple-Registrierung und Apple Automated Device Enrollment). Wenn Ihr Android Enterprise durch eine verwaltete Google-Domain (Google Workspace) unterstützt wird, kann das Dashboard auch einen Tab Authentifizierung über Google-Registrierung anzeigen. Weitere Einzelheiten zur Aktivierung und Nutzung finden Sie unter Authentifizierung über Google-Registrierung. Liste der Registrierungstoken (Android) Der Tab für Android-Token zeigt eine Tabelle mit allen Token an. Durch Klicken auf eine Zeile wird die Seite mit den Token-Details geöffnet. Spalten ID: interne Token-ID. Status: Verfügbar, Benutzt (Einmal-Token bereits verwendet) oder Abgelaufen. Ablaufdatum: Ablaufdatum/-zeit, oder Nie. Richtlinie: die dem Token zugewiesene Richtlinie (der UI-Tooltip zeigt auch die Richtlinien-ID an). Private Nutzung: Zugelassen / Nicht zulässig / Dediziertes Gerät. Zugelassene Nutzungen: Mehrfach oder nur einmalig. Benutzer: optionaler Benutzer, der den mit dem Token registrierten Geräten vorab zugewiesen wurde. Aktionen Jede Zeile verfügt über eine Löschaktion (Registrierungstoken löschen). Das Löschen ist deaktiviert, wenn die Lizenz abgelaufen ist. Die Tabelle unterstützt die Auswahl mehrerer Zeilen: Sie können den Auswahlmodus aktivieren, mehrere Token auswählen und diese mit Ausgewählte Token löschen löschen. Verwenden Sie die Aktualisierungsaktion, um die Liste neu zu laden. Die Tabelle ist paginiert (10/25/50 Einträge pro Seite). Neues Registrierungstoken erstellen Klicken Sie im Tab für Android-Token auf Neues Registrierungstoken, um die Seite zur Token-Erstellung zu öffnen. Wenn Ihre Lizenz abgelaufen ist, ist die Schaltfläche zum Erstellen deaktiviert. Token-Optionen 1. Richtlinie Erforderlich. Die Richtlinie wird automatisch auf alle Geräte angewendet, die mit diesem Token registriert werden. Wählen Sie eine Ihrer Android-Richtlinien. Wenn Sie noch keine Richtlinie haben, erstellen Sie zuerst eine. 2. Benutzer Optional. Wenn festgelegt, werden neu registrierte Geräte automatisch diesem Benutzer zugeordnet. 3. Private Nutzung Steuert, ob die private Nutzung auf einem mit diesem Registrierungstoken bereitgestellten Gerät zulässig ist: Zugelassen: geeignet für privat genutzte Geräte (Arbeitsprofil) sowie unternehmenseigene Geräte für die geschäftliche und private Nutzung. Nicht zulässig: geeignet für unternehmenseigene Geräte nur für die geschäftliche Nutzung (vollständig verwaltet). Dediziertes Gerät: geeignet für Kiosk-/dedizierte Geräte (das Gerät ist nicht mit einem einzelnen Benutzer verknüpft). 4. Zugelassene Nutzungen Wählen Sie aus, ob das Token mehrfach (Mehrfach) oder nur einmalig (Nur einmalig) verwendet werden kann. 5. Ablaufdatum Wählen Sie die Ablauf-Einheit (Minuten, Stunden, Tage oder Nie). Wenn nicht auf „Nie“ eingestellt, geben Sie den Ablaufwert ein. Der zulässige Bereich hängt von der ausgewählten Einheit ab und kann bis zu 10.000 Tage betragen. Bereitstellungsoptionen (nur QR-Code) Diese zusätzlichen Optionen sind in den QR-Code eingebettet und werden während der Bereitstellung vollständig verwalteter Geräte angewendet, die durch Scannen des QR-Codes registriert werden. Sie gelten nicht für Arbeitsprofile oder Geräte, die über die Registrierungs-URL oder ein Token registriert werden. WLAN-Konfiguration Verwenden Sie dies, um ein Gerät während der Bereitstellung automatisch mit dem WLAN zu verbinden, damit es die Verwaltungs-App herunterladen und initialisieren kann. Verfügbare Felder umfassen SSID, Versteckte SSID, Sicherheit und (falls erforderlich) Passphrase. Sie können auch einen HTTP-Proxy (Proxy) konfigurieren und, je nach Modus, Host/Port, PAC URI sowie Proxy-Bypass-Host festlegen. Andere Optionen Zusätzliche Optionen umfassen Sprache/Region, Zeitzone und Verschlüsselung überspringen. Details zum Registrierungstoken Wenn Sie ein Token öffnen, zeigt die Detailseite die Token-Konfiguration und Informationen zur Nutzung an: Status, Ablaufdatum, Nutzung, Private Nutzung und Zugelassene Nutzungen. Token: der ursprüngliche Wert des Registrierungstokens (kopierbar). Registrierungs-URL: eine Google Android Enterprise Registrierungs-URL (kopierbar und per E-Mail versendbar). QR-Code: wird auf der rechten Seite der Seite angezeigt und dient zur Registrierung vollständig verwalteter Geräte. Folgen Sie für schrittweise Bereitstellungsverfahren den Android-Registrierungsleitfäden: Privat genutzte Geräte>, Unternehmenseigene Geräte für die geschäftliche und private Nutzung>, Unternehmenseigene Geräte nur für die geschäftliche Nutzung>, und Zero-touch. Privat genutzte Geräte Von Mitarbeitern selbst genutzte Geräte können mit einem Arbeitsprofil eingerichtet werden. Ein Arbeitsprofil bietet einen eigenständigen Bereich für geschäftliche Apps und Daten, der von persönlichen Apps und Daten getrennt ist. Die meisten App-, Daten- und sonstigen Verwaltungsrichtlinien gelten nur für das Arbeitsprofil, während die persönlichen Apps und Daten der Mitarbeiter privat bleiben. Um ein Arbeitsprofil auf einem privat genutzten Gerät einzurichten, verwenden Sie eine der folgenden Bereitstellungsmethoden (stellen Sie sicher, dass der Registrierungstoken auf Private Nutzung auf Zugelassen gesetzt ist): Registrierungs-URL (Token) Android-Version 6.0+Sie können die Registrierungs-URL an die Endbenutzer weitergeben. Wenn ein Endbenutzer den Link auf seinem Gerät öffnet, wird er durch die Einrichtung des Arbeitsprofils geführt. Arbeitsprofil über "Einstellungen" hinzufügen Android-Version 6.0+Um ein Arbeitsprofil auf ihrem Gerät einzurichten, kann ein Benutzer die Einstellungen-App des Geräts öffnen und dann die Suchleiste verwenden, um die Option Arbeitsprofil einrichten zu finden und darauf zu tippen. Wenn die Suche erfolglos bleibt, kann der Standort dieser Option variieren. Hier sind einige Möglichkeiten: Einstellungen -> Google-Dienste und Einstellungen -> Alle Dienste -> Arbeitsprofil einrichten. Einstellungen -> Google -> Einrichten & Wiederherstellen -> Arbeitsprofil einrichten. Diese Schritte starten einen Einrichtungsassistenten, der die Android Device Policy auf dem Gerät herunterlädt. Als Nächstes wird der Benutzer aufgefordert, einen QR-Code zu scannen oder manuell einen Registrierungstoken einzugeben, um die Einrichtung des Arbeitsprofils abzuschließen. Android Device Policy herunterladen Android-Version 6.0+Um ein Arbeitsprofil auf ihrem Gerät einzurichten, kann ein Benutzer die Android Device Policy aus dem Google Play Store herunterladen. Nach der Installation der App wird der Benutzer aufgefordert, einen QR-Code zu scannen oder manuell einen Registrierungstoken einzugeben, um die Einrichtung des Arbeitsprofils abzuschließen. Unternehmenseigene Geräte für geschäftliche und private Nutzung Die Einrichtung eines unternehmenseigenen Geräts mit einem Arbeitsprofil ermöglicht die Nutzung des Geräts sowohl für geschäftliche als auch für private Zwecke. Bei unternehmenseigenen Geräten mit Arbeitsprofilen: Die meisten App-, Daten- und sonstigen Verwaltungsrichtlinien gelten nur für das Arbeitsprofil. Die persönlichen Profile der Mitarbeiter bleiben privat. Unternehmen können jedoch bestimmte geräteübergreifende Richtlinien sowie Richtlinien zur privaten Nutzung durchsetzen. Unternehmen können den Blockumfang nutzen, um Konformitätsmaßnahmen auf das gesamte Gerät oder nur auf dessen Arbeitsprofil anzuwenden. Die Abmeldung von Geräten und Gerätebefehle gelten für das gesamte Gerät.Um ein unternehmenseigenes Gerät mit einem Arbeitsprofil einzurichten, verwenden Sie eine der folgenden Bereitstellungsmethoden (stellen Sie sicher, dass der Registrierungstoken auf Private Nutzung auf Zugelassen gesetzt ist): QR-Code-Methode Android-Version 8.0+Auf einem neuen oder auf Werkseinstellungen zurückgesetzten Gerät tippt der Benutzer (in der Regel ein IT-Administrator) sechsmal an derselben Stelle auf den Bildschirm. Dadurch wird das Gerät angewiesen, den Benutzer zum Scannen eines QR-Codes aufzufordern. Unternehmenseigene Geräte nur für die geschäftliche Nutzung Vollständige Geräteverwaltung eignet sich für unternehmenseigene Geräte, die ausschließlich für geschäftliche Zwecke bestimmt sind. Unternehmen können alle Apps auf dem Gerät verwalten und das gesamte Spektrum der Richtlinien und Befehle der Android Management API erzwingen. Es ist auch möglich, ein Gerät (über eine Richtlinie) auf eine einzige App oder eine kleine Gruppe von Apps zu beschränken, um einen speziellen Zweck oder Anwendungsfall zu erfüllen. Diese Teilmenge vollständig verwalteter Geräte wird als dedizierte Geräte bezeichnet. Um eine vollständige Verwaltung auf einem unternehmenseigenen Gerät einzurichten, verwenden Sie eine der folgenden Bereitstellungsmethoden (stellen Sie sicher, dass der Registrierungstoken auf Private Nutzung auf Nicht zulässig gesetzt ist): QR-Code-Methode Android-Version 7.0+Auf einem neuen oder auf Werkseinstellungen zurückgesetzten Gerät tippt der Benutzer (in der Regel ein IT-Administrator) sechsmal an derselben Stelle auf den Bildschirm. Dadurch wird das Gerät angewiesen, den Benutzer zum Scannen eines QR-Codes aufzufordern. DPC-Identifikationsmethode Android-Version 5.1+Wenn die Android Device Policy nicht über einen QR-Code hinzugefügt werden kann, kann ein Benutzer oder IT-Administrator diese Schritte befolgen, um ein vollständig verwaltetes oder dediziertes Gerät bereitzustellen: 1. Folgen Sie dem Einrichtungsassistenten auf einem neuen oder auf Werkseinstellungen zurückgesetzten Gerät.2. Geben Sie die WLAN-Anmeldedaten ein, um das Gerät mit dem Internet zu verbinden.3. Wenn Sie zur Anmeldung aufgefordert werden, geben Sie afw#setup ein, wodurch die Android Device Policy heruntergeladen wird. 4. Scannen Sie einen QR-Code oder geben Sie manuell ein Registrierungstoken ein, um das Gerät bereitzustellen. Zero-Touch IT-Administratoren können unternehmenseigene Geräte über die Zero-Touch-Registrierungsmethode bereitstellen, die in Zero-Touch-Registrierung für IT-Administratoren beschrieben wird. Wenn ein Gerät zum ersten Mal eingeschaltet wird, wird es automatisch in die vom IT-Administrator definierten Einstellungen versetzt. IT-Administratoren können Geräte, die von autorisierten Händlern erworben wurden, vorkonfigurieren und über das Cerberus Enterprise Dashboard verwalten. Um Ihr Zero-Touch-Konto zu verknüpfen, rufen Sie den Bereich Zero-Touch im Dashboard auf und folgen Sie dann den Anweisungen. Android-Version Arbeitsprofil Vollständig verwaltetes Gerät Dediziertes Gerät 8.0+ (Pixel 7.1+) ✓ ✓ ✓ Authentifizierung über Google-Registrierung Die Authentifizierung über Google-Registrierung (auch bezeichnet als Google-Authentifizierung für die Registrierung) ermöglicht es Benutzern, sich während der Android-Geräteregistrierung mit ihrem Google Workspace-Konto zu authentifizieren. Diese Funktion ist nur für Android Enterprise verfügbar, das durch eine verwaltete Google-Domain (Google Workspace) unterstützt wird. Wo Sie es finden Öffnen Sie im Dashboard Registrierungstoken und wählen Sie den Tab Authentifizierung über Google-Registrierung aus. Der Tab wird nur angezeigt, wenn das Android Management konfiguriert ist und die Google Workspace-Integration für Ihr Unternehmen verfügbar ist. Google-Authentifizierung aktivieren (oder deaktivieren) Die Google-Authentifizierung wird über die Google Admin-Konsole aktiviert. Kehren Sie nach der Änderung der Einstellung zu Cerberus Enterprise zurück und verwenden Sie Status aktualisieren, um die aktuelle Konfiguration neu zu laden. Melden Sie sich mit einem Administrator-Konto bei Ihrer Google Admin-Konsole an. Öffnen Sie Geräte. Navigieren Sie zu Mobile & Endgeräte → Einstellungen → Drittanbieter-Integrationen. Suchen Sie die Android EMM-Integration für Cerberus Enterprise und öffnen Sie diese. Klicken Sie auf EMM-Anbieter verwalten. Schalten Sie Authentifizierung über Google um, um die Google-Authentifizierung für die Registrierung zu aktivieren oder zu deaktivieren. Klicken Sie auf Speichern. Kehren Sie zum Cerberus Enterprise Dashboard zurück und klicken Sie im Tab Authentifizierung über Google-Registrierung auf Status aktualisieren. Google-Authentifizierungs-Registrierungstoken Wenn die Google-Authentifizierung aktiviert ist, zeigt das Dashboard ein spezielles Registrierungstoken an, das für diesen Registrierungsmodus verwendet wird. Die Seite kann einen QR-Code, einen Registrierungstoken-Wert und eine Registrierungs-URL (kopierbar und per E-Mail versendbar) anzeigen. Wichtige Optionen Private Nutzung zulassen: steuert, ob das Token die Registrierung von Geräten für geschäftliche und private Nutzung (Arbeitsprofil-Szenarien) oder nur für die geschäftliche Nutzung (vollständig verwaltete / dedizierte Szenarien) ermöglicht. Standard-Fallback-Richtlinie: die Richtlinie, die angewendet wird, wenn dem registrierenden Benutzer keine spezifische Standard-Richtlinie für die Google-Authentifizierung zugewiesen ist. Richtlinien-Interaktion Die Richtlinieneinstellung Authentifizierung bei der Einrichtung des Geschäftskontos (workAccountSetupConfig.authenticationType) steuert, wie sich Benutzer bei der Einrichtung des Geschäftskontos authentifizieren, aber die Einstellung Authentifizierung über Google in der Google Admin-Konsole und der Typ des Registrierungstokens können dennoch eine Authentifizierung erfordern. Bei bereits registrierten Geräten gilt diese Richtlinie nur, wenn das Gerät über ein verwaltetes Google Play-Konto verwaltet wird (d. h. ohne Authentifizierung über Google-Registrierung registriert wurde). Einige Aktionen (zum Beispiel das Ändern von Token-Optionen) können deaktiviert sein, wenn die Lizenz abgelaufen ist. Ein Gerät registrieren Während der Registrierung wird der Benutzer aufgefordert, sich mit seinem Google Workspace-Konto zu authentifizieren. Nach erfolgreicher Registrierung wird das Gerät dem authentifizierten Benutzer zugeordnet. Arbeitsprofil (privat genutzte Geräte) Teilen Sie die Registrierungs-URL mit dem Benutzer. Wenn der Benutzer diese auf seinem Android-Gerät öffnet, wird er durch die Einrichtung des Arbeitsprofils und die Google-Authentifizierung geführt. Alternativ kann der Benutzer den Vorgang über die Android-Einstellungen starten und den Workflow zur Einrichtung des Arbeitsprofils wählen; anschließend kann der QR-Code gescannt oder das Registrierungstoken eingegeben werden, wenn dazu aufgefordert wird. Unternehmenseigene Geräte QR-Code-Methode: Tippen Sie auf einem neuen oder auf Werkseinstellungen zurückgesetzten Gerät mehrmals an derselben Stelle auf den Bildschirm, bis die Aufforderung zum Scannen eines QR-Codes erscheint, und scannen Sie dann den im Dashboard angezeigten QR-Code. DPC-Identifikationsmethode (wenn das Scannen von QR-Codes nicht verfügbar ist): Folgen Sie dem Einrichtungsassistenten, verbinden Sie sich mit dem WLAN und geben Sie dann bei der Aufforderung zur Anmeldung afw#setup ein. Fahren Sie fort, indem Sie den QR-Code scannen oder das Registrierungstoken eingeben. Authentifizieren Sie sich bei der entsprechenden Aufforderung mit dem Google Workspace-Konto. Für allgemeine Android-Bereitstellungsverfahren (Arbeitsprofil vs. vollständig verwaltete Geräte) lesen Sie die Standardseiten zur Android-Registrierung in diesem Handbuch.