VMware · Inhalt 1 Verwalten von Geräten 8 Geräte-Dashboard 8 Gerätelistenansicht 10 Cursor-Popups in der Gerätelistenansicht 11 Filtern von Geräten in der Listenansicht 11 Hinzufügen

Verwalten von Geräten

VMware Workspace ONE UEM 1907

Die aktuellste technische Dokumentation finden Sie auf der VMware-Website unter:

https://docs.vmware.com/de/

Falls Sie Anmerkungen zu dieser Dokumentation haben, senden Sie diese an:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Global, Inc.Zweigniederlassung DeutschlandWilly-Brandt-Platz 281829 MünchenGermanyTel.: +49 (0) 89 3706 17 000Fax: +49 (0) 89 3706 17 333www.vmware.com/de

Copyright © 2019 VMware, Inc. Alle Rechte vorbehalten. Urheberrechts- und Markenhinweise.


VMware, Inc. 2

https://docs.vmware.com/de/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Inhalt

1 Verwalten von Geräten 8Geräte-Dashboard 8

Gerätelistenansicht 10

Cursor-Popups in der Gerätelistenansicht 11

Filtern von Geräten in der Listenansicht 11

Hinzufügen eines Gerätes aus der Listenansicht 13

Geräte mit aufgehobener Registrierung 15

Massenaktionen in der Gerätelistenansicht 17

Auswählen von Geräten in der Gerätelistenansicht 18

Gerätedetails 18

Menüregisterkarten zu Gerätedetails 20

Geräteaktionen nach Plattform 22

Beschreibungen der Geräteaktionen 25

Registrierungsstatus 31

Detailansicht des Registrierungsstatus 33

Wipe-Schutz 34

Konfigurieren der Wipe-Schutzeinstellungen für verwaltete Geräte 34

Anzeigen von Wipe-Protokollen 35

Gemeinschaftsgeräte 36

Festlegen der Gemeinschaftsgerätehierarchie 37

Konfigurieren von Gemeinschaftsgeräten 38

Anmelden bei und Abmelden von Android-Gemeinschaftsgeräten 39

Anmelden bei und Abmelden von iOS-Gemeinschaftsgeräten 40

An- und Abmelden auf macOS-Gemeinschaftsgeräten 40

Einchecken eines gemeinsam genutzten Geräts über die UEM-Konsole 40

Aktivieren der auf einem Verzeichnisdienst basierenden Registrierung 41

Nachschlagewerte 42

2 Geräteregistrierung 44Registrieren eines Geräts mithilfe von Workspace ONE Intelligent Hub 45

Zusätzliche Registrierungsabläufe 45

Workspace ONE Direct Enrollment 47

Workspace ONE Direct Enrollment – unterstützte Optionen 48

Aktivieren der direkten Registrierung bei Workspace ONE 49

Registrieren Ihres Geräts mit Workspace ONE Direct Enrollment 51

Standardregistrierung vs. Registrierung durch Verzeichnisdienste 51

Verzeichnisdienst-Integration und Registrierungseinschränkungen 52

Überlegungen zur Registrierung – standardmäßige vs. verzeichnisbasierte Registrierung 53

VMware, Inc. 3

Aktivieren der Standardregistrierung 54

BYOD-Registrierung (Bring Your Own Device) 54

Überlegungen zur Registrierung – BYOD 55

Identifizieren von Unternehmensgeräten und Festlegen des Standardgerätebesitzes 56

Auffordern von Benutzern zur Identifizierung des Besitztyps 57

Eigenständige Registrierung vs. Geräte-Staging 58

Überlegungen zur Registrierung – Selbstregistrierung 58

Vorgang zur selbstständigen Registrierung 59

Überlegungen zur Registrierung – Geräte-Staging 59

Überwachungsmodus 61

Bereitstellen eines Einzelbenutzergeräts (Staging) 63

Bereitstellen eines Mehrbenutzergeräts (Staging) 64

Geräteeintragung 66

Überlegungen zur Registrierung – Registrierung 66

Eintragen eines einzelnen Geräts 68

Fehlende Geräte-IDs während der Registrierung 70

Registrieren mehrerer Geräte 71

Endbenutzer-Geräteeintragung 71

Anweisen der Benutzer zur Selbsteintragung 72

Nachverfolgen des Geräteregistrierungsstatus 73

Aktivieren von Registrierungstokens und Erstellen einer Standardnachricht 73

Generieren von Tokens mit der UEM-Konsole 74

Generieren von Tokens mit dem Self-Service-Portal (SSP) 75

Durchführung der Registrierung mithilfe eines Registrierungstokens 76

Konfigurieren von Registrierungsoptionen 76

Konfigurieren von Registrierungsoptionen für Nutzungsbedingungen 78

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Gruppierung“ 78

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Optionale Eingabeaufforderung“81

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Anpassung“ 84

Geräteeinträge auf Blacklists bzw. Whitelists 85

Hinzufügen eines auf der Blacklist oder Whitelist erfassten Gerätes 85

Zusätzliche Registrierungsrestriktionen 86

Überlegungen zur Registrierung – zusätzliche Restriktionen 86

Konfigurieren von Registrierungsrestriktionseinstellungen 87

Grenzwert für registrierte Geräte pro Organisationsgruppe 88

Erstellen einer Registrierungsbeschränkungsrichtlinie 89

Bedenken hinsichtlich der Geräteregistrierung auf globaler Ebene 91

Registrierung über AutoErmittlung 92

Konfigurieren der AutoErmittlungs-Registrierung von einer übergeordneten Organisationsgruppe92


VMware, Inc. 4

Konfigurieren der AutoErmittlungs-Registrierung von einer untergeordneten Organisationsgruppe93

3 Gerätezuweisungen 94Aktivieren von Gerätezuweisungen 94

Festlegen von Regeln zur Gerätezuweisung oder eines Netzwerkbereichs 96

4 Geräteprofile 99Verarbeitung von Profilen 99

Hinzufügen von allgemeinen Profileinstellungen 100

Listenansicht für Geräteprofile 102

Cursor-Popups bei Geräteprofilen 103

Bestätigen der Geräteprofilinstallation 104

Geräteprofile – schreibgeschützte Ansicht 105

Bearbeiten von Geräteprofilen 105

Bearbeiten allgemeiner Geräteprofileinstellungen 106

Bearbeiten der Geräteprofileinstellungen für Nutzlasten 106

Konformitätsprofile 107

Hinzufügen eines Konformitätsprofils 107

Geofence-Bereiche 108

Unterstützung für Geofencing auf iOS-Geräten 109

Geofencing-Bereich hinzufügen 109

Anwenden eines Geofence auf ein Profil 110

iBeacons 111

Zeitpläne 111

Festlegen eines Zeitplans 111

Anwenden eines Zeitplans auf ein Profil 112

Anwenden eines Zeitplans auf ein vorhandenes Profil 112

Löschen eines Zeitplans 112

Gerätezuweisung anzeigen 113

5 Ressourcen 114Ressourcenlistenansicht 114

Hinzufügen einer Exchange-Ressource 116

Konfigurieren von erweiterten Einstellungen für iOS Exchange 117

Konfigurieren von erweiterten Einstellungen für macOS Exchange 118

Konfigurieren von erweiterten Einstellungen für Android Exchange 118

Konfigurieren von erweiterten Einstellungen für Windows Phone Exchange 119

Konfigurieren von erweiterten Einstellungen für Windows Desktop Exchange 120

Hinzufügen einer WLAN-Ressource 120

Konfigurieren von erweiterten Einstellungen für WLAN-Proxy 122

Konfigurieren von erweiterten Einstellungen für macOS-WLAN 122


VMware, Inc. 5

Konfigurieren von erweiterten Einstellungen für Android-WLAN 123

Konfigurieren von erweiterten Einstellungen für Windows-WLAN 124

Hinzufügen einer VPN-Ressource 124

Konfigurieren von erweiterten Einstellungen für iOS-VPN 125

Konfigurieren von erweiterten Einstellungen für Android-VPN 127

Konfigurieren von erweiterten Einstellungen für das Windows Phone-VPN 127

6 Konformitätsrichtlinien 131Listenansicht für Konformitätsrichtlinien 132

Seite „Geräte anzeigen“ 133

Regeln für Konformitätsrichtlinien nach Plattform 134

Regeln für Konformitätsrichtlinien – Beschreibung 135

Konformitätsrichtlinienaktionen nach Plattform 137

Hinzufügen einer Konformitätsrichtlinie 138

Gerätezuweisung anzeigen 141

Erkennung kompromittierter Geräte durch Integritätsnachweis 142

Konfigurieren Sie den Integritätsnachweisdienst für Windows Desktop-Konformitätsrichtlinien. 143

Konfigurieren des Integritätsnachweises für Windows Phone-Konformitätsrichtlinien 144

7 Datenschutz für BYOD-Bereitstellungen 147Sicherheit und Datenschutz in Workspace ONE UEM 148

Konfigurieren von Datenschutzeinstellungen 149

Datenschutzhinweise für BYOD-Endbenutzer 151

Datenschutzeinstellungen 152

Erstellen eines Datenschutzhinweises für BYOD-Benutzer 152

Datenschutz – bewährte Methoden 153

Benutzerdatenerfassung von BYOD-Endbenutzern 155

Nutzungsbedingungen für BYOD-Endbenutzer 158

Einschränkungen für BYOD-Geräte 158

Enterprise-Löschung für BYOD-Geräte 159

8 Gerätetags 161Filtern von Geräten nach Tags 162

Erstellen eines neuen Tags über die Systemeinstellungen 162

Zuweisen von Tags zu einem einzelnen Gerät 163

Zuweisen von Tags zu mehreren Geräten 164

Bearbeiten eines vorhandenen Gerätetags 164

Löschen eines vorhandenen Gerätetags 165

Tagzuweisung von mehreren Geräten aufheben 166

9 Einführung in Berichte 168


VMware, Inc. 6

Berichte für Workspace ONE Intelligence 169

Workspace ONE IntelligenceAnforderungen 169

Installieren des Workspace ONE Intelligence Connector-Diensts für lokal 171

Ausführen des Berichte-Assistenten 173

Berichtsmanagement 176

Übersicht über Workspace ONE UEM-Berichte 178

Neue Berichte 179

Generieren von Berichten 186

Abonnieren eines alten Berichts 187

Verwalten von Berichten 188

Fehlerbehebung für Berichte 189

Dateispeicherung 192

Voraussetzungen für Dateispeicherung 193

Aktivieren von Dateispeicherung für Berichte 194

Berichtsspeicher 195

Voraussetzungen für Berichtsspeicherung 195

Aktivieren des Berichtsspeichers 197

10 Zertifikatsverwaltung 198Erneuern oder Widerrufen digitaler Zertifikate 198

Ressourcen zur Integration von Zertifikaten 199

11 Benutzerdefinierte Attribute 201Erstellen von benutzerdefinierten Attributen 201

Importieren von benutzerdefinierten Attributen 202

Zuweisen von Organisationsgruppen mithilfe von benutzerdefinierten Attributen 203


VMware, Inc. 7

Verwalten von Geräten 1Verwalten Sie Geräte in Ihrer Flotte und führen Sie auf den unterschiedlichen Seiten in der Workspace ONE UEM powered by AirWatch Funktionen auf einer bestimmten Reihe von Geräten durch.

Den Datenfluss können Sie mit dem Monitor überwachen, ausführlichere Informationen werden im Geräte-Dashboard angezeigt. In der Gerätelistenansicht können Sie auch Geräte zusammen gruppieren und angepasste Listen erstellen.

Sie können zudem Berichte erstellen und Tags verwenden, um Geräte schnell identifizieren zu können. Außerdem können Sie das Self-Service-Portal (SSP) einrichten, um Endbenutzern zu ermöglichen, ihre eigenen Geräte zu verwalten und die Mitarbeiter des Helpdesk zu entlasten.

Dieses Kapitel enthält die folgenden Themen:

n Geräte-Dashboard

n Gerätelistenansicht

n Gerätedetails

n Geräteaktionen nach Plattform

n Registrierungsstatus

n Wipe-Schutz

n Gemeinschaftsgeräte

n Nachschlagewerte

Geräte-DashboardSie können neu registrierte Geräte über das Workspace ONE UEM powered by AirWatchGeräte-Dashboard verwalten.

Das Geräte-Dashboard bietet einen Überblick über Ihre gesamte Geräteflotte sowie eine schnelle Möglichkeit, Aktionen für einzelne Geräte auszuführen.

VMware, Inc. 8

Sie können grafische Darstellungen relevanter Gerätedaten zu Ihrer Flotte prüfen, wie beispielsweise Gerätebesitztyp, Konformitätsstatistiken sowie Plattform- und Betriebssystemstrukturen. Sie können auf die einzelnen Gerätesätze in den dargestellten Kategorien zugreifen, indem Sie eine der verfügbaren Datenansichten vom Geräte-Dashboard auswählen.

In dieser Listenansicht können Sie administrative Aktionen ausführen, wie Nachrichten senden, Geräte sperren, Geräte löschen und zum Gerät gehörende Gruppen ändern.

n Sicherheit – Sehen Sie die häufigsten Ursachen für Sicherheitsprobleme in Ihrer Geräteflotte ein. Wählen Sie ein Ringdiagramm. Daraufhin wird eine gefilterte Gerätelistenansicht mit den von dem ausgewählten Sicherheitsproblem betroffenen Geräten angezeigt. Falls die Plattform dies unterstützt, können Sie über eine Konformitätsrichtlinie Maßnahmen für diese Geräte ergreifen.

n Kompromittiert – Anzahl und Prozentsatz der kompromittierten Geräte (mit Jailbreak oder Rootzugriff)) in Ihrer Bereitstellung.

n Keine Kennung – Anzahl und Prozentsatz der Geräte ohne eine zur Sicherheit konfigurierte Kennung

n Keine Verschlüsselung – Anzahl und Prozentsatz der nicht zur Sicherheit verschlüsselten Geräte. Die Android-SD-Kartenverschlüsselung wird in dieser gemeldeten Zahl nicht berücksichtigt. Nur Android Geräte, die über keine Festplattenverschlüsselung verfügen, werden in dem Ringdiagramm angezeigt.


VMware, Inc. 9

Besitz – Sehen Sie die Gesamtzahl der Geräte in allen Besitzkategorien ein. Wählen Sie einen Teil des Balkendiagramms aus. Daraufhin wird eine gefilterte Gerätelistenansicht mit den kompromittierten Geräten angezeigt, die von dem ausgewählten Besitztyp betroffen sind.

n Übersicht „Zuletzt gesehen“ / Aufgliederung „Zuletzt gesehen“ – Sehen Sie Anzahl und Prozentsatz der Geräte ein, die vor kurzem mit dem Workspace ONE UEM MDM-Server kommuniziert haben. Wenn mehrere Geräte beispielsweise seit über 30 Tagen nicht gesehen wurden, wählen Sie das entsprechenden Balkendiagramm aus, um nur diese Geräte anzuzeigen. Sie können dann all diese gefilterten Geräte auswählen und ihnen eine Nachricht senden, in der sie zum Check-in aufgefordert werden.

n Plattformen – Sehen Sie die Gesamtzahl der Geräte in allen Geräteplattformkategorien ein. Wählen Sie ein Balkendiagramm. Daraufhin wird eine gefilterte Listenansicht für Geräte von kompromittierten Geräten unter der ausgewählten Plattform angezeigt.

n Registrierung – Sehen Sie die Gesamtzahl der Geräte in den einzelnen Registrierungskategorien ein. Wählen Sie ein Balkendiagramm. Daraufhin wird eine gefilterte Listenansicht für Geräte von kompromittierten Geräten mit dem ausgewählten Registrierungsstatus angezeigt.

n Aufgliederung der Betriebssysteme – Sehen Sie die Geräte in Ihrer Flotte auf Grundlage des Betriebssystems ein. Es gibt separate Diagramme für Apple iOS, Android, Windows Phone und Windows Rugged. Wählen Sie ein Balkendiagramm. Daraufhin wird eine gefilterte Listenansicht für Geräte von kompromittierten Geräten mit der ausgewählten BS-Version angezeigt.

GerätelistenansichtWählen Sie die Gerätelistenansicht, um eine vollständige Auflistung aller Geräte in der momentan ausgewählten Organisationsgruppe einzusehen.

Informationen zu einem bestimmten Gerät finden Sie auf der Gerätedetails.

Die Spalte Zuletzt gesehen gibt an, vor wie vielen Minuten das Gerät zuletzt eingecheckt wurde. Der Indikator wird rot oder grün angezeigt, je nachdem, wie viele Minuten in Timeout für Geräteinaktivität (Min.) definiert sind. Dieser Indikator kann unterGruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Erweiterungen festgelegt werden.

Wählen Sie jedes Mal, wenn Sie die Detailseite für dieses Gerät öffnen möchten, den erwarteten Anzeigenamen eines Geräts in der Spalte Allgemeine Info. Der erwartete Anzeigename ist die Bezeichnung, die Sie einem Gerät zuweisen, damit Sie es von anderen Geräten unterscheiden können, insbesondere von anderen Geräten desselben Herstellers und Modells.

Sortieren Sie nach Spalten und konfigurieren Sie Informationsfilter, um auf Grundlage bestimmter Informationen Geräteaktivitäten zu prüfen. So können Sie beispielsweise nach der Spalte Konformitätsstatus sortieren, um nur die Geräte anzuzeigen, die zurzeit nicht konform sind, und ausschließlich für diese Geräte Maßnahmen zu ergreifen. Durchsuchen Sie alle Geräte nach einem freundlichen Namen oder Benutzernamen, um ein Gerät oder einen Benutzer herauszufiltern.


VMware, Inc. 10

Anpassen des Layouts der GerätelistenansichtSie können die vollständige Liste sichtbarer Spalten in der Gerätelistenansicht anzeigen, indem Sie die Schaltfläche Layout und anschließend die Option Benutzerdefiniert wählen. In dieser Ansicht können Sie Spalten der Geräteliste nach Ihren Wünschen aus- und einblenden.

Sie haben auch die Möglichkeit, Ihre angepasste Spaltenansicht für alle Administratoren auf und unter der momentanen Organisationsgruppe (OG) anzuwenden. Sie können z. B. „Anlagennummer“ aus der Geräteliste der aktuellen Organisationsgruppe und aus allen untergeordneten Organisationsgruppen ausblenden.

Wenn Sie alle Anpassungen vorgenommen haben, wählen Sie die Schaltfläche Akzeptieren, um Ihre Spalteneinstellungen zu speichern und diese neue Spaltenansicht anzuwenden. Sie können jederzeit zu den Einstellungen für die Schaltfläche Layout zurückkehren und Ihre Spaltenanzeigeeinstellungen anpassen.

Durchsuchen der GerätelistenansichtSie können nach einem einzelnen Gerät suchen, um schnell auf dessen Informationen zuzugreifen und Remoteaktionen auf dem Gerät auszuführen.

Um eine Suche auszuführen, navigieren Sie zu Geräte > Listenansicht, wählen Sie die Leiste Liste durchsuchen und geben Sie einen Benutzernamen, einen benutzerfreundlichen Gerätenamen oder ein beliebiges anderes Element zur Identifizierung des Geräts ein. Durch diese Aktion wird eine Suche auf allen Geräten mit Ihrem Suchparameter in der aktuellen Organisationsgruppe und in allen untergeordneten Gruppen gestartet.

Cursor-Popups in der GerätelistenansichtJedes Gerät in der Spalte Allgemeine Info ist oben rechts neben dem Anzeigenamen des Geräts mit einem QuickInfo-Symbol in Form eines Ordners versehen. Wenn ein Benutzer (mit einem mobilen Touchscreengerät) auf dieses Symbol tippt oder (mittels eines PC oder Mac) mit einem Mauszeiger über dieses Symbol fährt, wird eine Cursor-Popup-Meldung angezeigt. Dieses Popup-Fenster enthält Informationen wie Freundlicher Name, Organisationsgruppe, Gruppen-ID, Verwaltung und Besitz.

Einige QuickInfo-Symbole befinden sich in der Gerätelistenansicht in den Spalten Registrierung und Konformitätsstatus. Diese QuickInfo-Symbole enthalten Cursor-Popups, die Registrierungsdatum bzw. Konformitätsverstöße anzeigen.

Filtern von Geräten in der ListenansichtSie können Filter anwenden, damit nur die Geräte angezeigt werden, an denen Sie interessiert sind. Klicken Sie auf die Schaltfläche Filter, um einen oder mehrere der folgenden Filter zu aktivieren, sodass nur die Geräte angezeigt werden, die zu den von Ihnen ausgewählten Kategorien passen.


VMware, Inc. 11

Einstellung Beschreibung

Verwaltung Zeigen Sie Geräte an, die auf Anwendungsebene oder über Katalog, Container oder MDM verwaltet werden. Zeigen Sie Geräte an, die mit einer Methode vom Typ Unbekannt verwaltet werden, Offline sind oder mit Allen Verwaltungsmethoden verwaltet werden.

Besitz Zeigen Sie Geräte mit den Zuständigkeitsebenen Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät, Mitarbeitereigen oder Nicht zugewiesen an. Sie können jeweils eine oder mehrere Zuständigkeitsebenen herausfiltern.

Smartgroups Zeigen Sie Geräte an, die zu der von Ihnen gewählten Smartgroup gehören. Klicken Sie auf das Textfeld Suchen und treffen Sie in der Liste der angezeigten Smartgroups die gewünschte Auswahl. Blättern Sie nach unten, um die alphabetische Liste aller Smartgroups einzusehen.

Benutzergruppen Zeigen Sie Geräte an, die zu den von Ihnen gewählten Benutzergruppen gehören. Klicken Sie auf das Textfeld Suchen und treffen Sie in der Liste der angezeigten Benutzergruppen die gewünschte Auswahl. Blättern Sie nach unten, um die alphabetische Liste aller Benutzergruppen einzusehen.

Gerätetyp

Plattform Treffen Sie in der vollständigen Liste der Geräteplattformen die gewünschte Auswahl. Sie können jeweils auch mehrere Plattformen herausfiltern.

BS-Version Sie müssen mindestens eine Plattform auswählen, damit Sie eine BS-Version auswählen können. Wenn Sie mehrere Plattformen auswählen, wird eine Liste der BS-Versionen angezeigt. Diese ist nach den ausgewählten Plattformen gruppiert.

Sicherheit

Kompromittiert Wählen Sie Kompromittiert, Nicht kompromittiert, Unbekannt oder Alle der oben genannten Möglichkeiten.

Ein kompromittiertes Gerät ist ein Gerät mit einem „Jailbreak“ (iOS-Geräte) oder Root-Zugriff (Android-Geräte).

Verschlüsselung Wählen Sie Verschlüsselt, Nicht verschlüsselt, Unbekannt oder Alle der oben genannten Möglichkeiten.

Kennung Wählen Sie Kennung, Keine Kennung, Unbekannt oder Alle Kennungsoptionen.

Status

Registrierungsstatus Wählen Sie Registriert, Enterprise-Löschung ausstehend, Bevorstehende Geräte-Löschung, Registrierung aufgehoben oder Alle der oben genannten Möglichkeiten.

Zuletzt gesehen Zeigen Sie Geräte auf Basis ihres letzten Check-in-Zeitpunkts an. Mit den Textfeldern für Minimum und Maximum in der Option Zuletzt gesehen (Tage) können Sie Geräte anzeigen, die innerhalb einer Spanne von Tagen zuletzt gesehen wurden. Eingegebene Zahlen sind als einschließliche Werte zu verstehen: Der Eintrag 1 zeigt alle Geräte an, die zuletzt vor mehr als einem Tag, jedoch vor weniger als zwei Tagen gesehen wurden. Der Eintrag 2 zeigt alle Geräte an, die zuletzt vor mehr als zwei Tagen, jedoch vor weniger als drei Tagen gesehen wurden usw. Der Eintrag 0 zeigt Geräte an, die zuletzt vor mehr als null Tagen, jedoch vor weniger als einem Tag (24 Stunden) gesehen wurden.

Zum Anzeigen von Geräten, die zuletzt vor mehr als (oder gleich) der als Maximum eingegebenen Anzahl an Tagen gesehen wurden, müssen Sie das Textfeld für das Minimum leer lassen.

Zum Anzeigen von Geräten, die zuletzt vor weniger als (oder gleich) der als Minimum eingegebenen Anzahl an Tagen gesehen wurden, müssen Sie das Textfeld für das Maximum leer lassen.

Konformität Wählen Sie Konform, Nicht konform, Konformitätsprüfung ausstehend, Nicht verfügbar, Unbekannt oder Alle der oben genannten Möglichkeiten.

Registrierungsverlauf Wählen Sie als Registrierungstermine Vergangener Tag, Letzte Woche, Letzter Monat oder Alle Registrierungstermine.

Erweitert


VMware, Inc. 12


MAC-Adresse Filtern Sie nach der Media Access Control-Adresse eines Geräts.

IP-Bereich Filtern Sie Geräte nach deren aktuell zugewiesener Internet Protocol-Adresse. Geben Sie IP-Adressen in die Textfelder IP-Bereichsanfang und IP-Bereichsende ein, um Geräte anzuzeigen, die innerhalb dieses Bereichs liegen.

Die aktuelle IP-Adresse kann eine der vielen zugehörigen IP-Adressen eines Geräts sein. Die meisten davon können auf der Registerkarte „Netzwerk“ oder „Gerätedetails“ gefunden werden.

Tags Zeigen Sie Geräte nach deren zugewiesenen Tags an, die Sie über ein Dropdown-Menü suchen und auswählen können.

Tunnel Wählen Sie zwischen der Anzeige aller Geräte, die mit dem Tunnel verbunden sind oder nicht verbunden sind.

Inhaltskonformität Wählen Sie bei der Anzeige zwischen allen Geräten, Geräten, denen erforderliche Dokumente fehlen, sowie Geräten, denen nur die aktuelle Version der erforderlichen Inhalte fehlt.

Modus „Verloren“ Zeigen Sie alle Geräte oder nur die im Modus „Verloren“ aktivierten Geräte an. Steht nur für iOS-Geräte zur Verfügung.

Nachdem Sie mehrere Filter ausgewählt haben, können Sie mit einem Blick auf den Kreis mit dem Nummern-Badge rechts neben der Schaltfläche Filter feststellen, wie viele Filter genau angewendet werden, um die Liste zu erstellen.

Sie können alle ausgewählten Filter löschen und zur vollständigen Geräteliste zurückkehren, indem Sie auf das X neben der Schaltfläche Filter klicken.

Hinzufügen eines Gerätes aus der ListenansichtSie können ein Gerät einschließlich Benutzerzuweisung, Benutzerdefinierte Attribute und Tagging hinzufügen oder registrieren.

Verfahren

1 Navigieren Sie zu Geräte > Listenansicht oder Geräte > Lebenszyklus > Registrierungsstatus.

2 Klicken Sie auf die Schaltfläche Gerät hinzufügen. Die Seite Gerät hinzufügen wird angezeigt. Bearbeiten Sie die folgenden Einstellungen.

Tabelle 1-1. Benutzer


Suchtext Jedes Gerät muss einem Benutzer zugewiesen werden. Suchen Sie nach einem Benutzer, indem Sie Suchparameter in das Textfeld eingeben und auf die Schaltfläche Benutzer suchen klicken. Sie können einen Benutzer aus den Suchergebnissen auswählen oder auf den Link Neuen Benutzer erstellen klicken.


VMware, Inc. 13

Tabelle 1-2. Neuen Benutzer erstellen

Einstellungen Beschreibung

Sicherheitstyp Wählen Sie zwischen Standard- und Verzeichnisbenutzern aus. Weitere Informationen finden Sie in den Themen „Standardauthentifizierung“ und „Active Directory Authentifizierung“.

Benutzername Geben Sie den Benutzernamen ein, unter dem Ihr Benutzer in Ihrer Umgebung identifiziert ist.

Kennwort, Kennwort bestätigen Geben Sie das Kennwort entsprechend dem Benutzernamen ein und bestätigen Sie dieses.

E-Mail-Adresse Geben Sie die E-Mail-Adresse für das Benutzerkonto ein.

Registrierungsorganisationsgruppe Die Organisationsgruppe (OG), die als Registrierungs-OG für die Geräteregistrierung dient.

Erweiterte Benutzerdetails anzeigen Zeigen Sie alle erweiterten Benutzerdetails an, einschließlich umfangreicher Informationen, die Benutzername, Benutzerrufnummer und Name des Managers umfassen. Außerdem sind optionale Einstellungen zur Identifikation enthalten, z.B. Abteilung, Mitarbeiter-ID und Kostenstelle.

Wählen Sie die standardmäßige Benutzerrolle für den Benutzer, den Sie hinzufügen, wodurch die Berechtigungen dieses Benutzers bei der Verwendung eines vernetzten Geräts festgelegt werden. Weitere Informationen finden Sie im „Thema Benutzerrollen“.

Tabelle 1-3. Geräte-


Erwarteter Freundlicher Name Der erwartete Anzeigename eines Geräts ist die Bezeichnung, die Sie einem Gerät zuweisen, um es von anderen Geräten unterscheiden zu können, insbesondere von anderen Geräten desselben Herstellers und Modells.

Sie können sich für einen manuell eingegebenen Anzeigenamen entscheiden oder Nachschlagewerte einbinden. Weitere Informationen finden Sie unter Nachschlagewerte.

Organisationsgruppe Wählen Sie die Organisationsgruppe, zu der das Gerät gehören soll, aus dem Dropdown-Menü aus.

Besitz Wählen Sie den Gerätebesitz aus dem Dropdown-Menü aus. Wählen Sie zwischen Keine(r/s), Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät und Mitarbeitereigen aus.

Plattform Wählen Sie die Plattform des Geräts aus dem Dropdown-Menü aus.

Erweiterte Geräteinformationsoptionen anzeigen

Zeigen Sie alle Einstellungen für erweiterte Gerätedaten an.

Tabelle 1-4. Einstellungen für erweiterte Geräteinformationen


Modell Wählen Sie das Gerätemodell aus der Dropdown-Liste aus. Die Inhalte dieses Dropdown-Menüs hängen davon ab, welche Auswahl in dem Dropdown-Menü Plattform getroffen wurde.

BS Wählen Sie das Betriebssystem des Geräts aus der Dropdown-Liste aus. Die Inhalte dieses Dropdown-Menüs hängen davon ab, welche Auswahl in dem Dropdown-Menü Plattform getroffen wurde.


VMware, Inc. 14

Tabelle 1-4. Einstellungen für erweiterte Geräteinformationen (Fortsetzung)


UDID Geben Sie den eindeutigen Bezeichner des Geräts (UDID) ein.

Seriennummer Geben Sie die Seriennummer des Geräts ein.

IMEI Geben Sie die 15-stellige IMEI-Nummer (International Mobile Station Equipment Identity) des Geräts ein.

SIM Geben Sie die SIM-Kartendaten des Geräts ein.

Inventarnummer Geben Sie die Anlagennummer des Geräts ein. Diese Nummer wird intern von Ihrer Organisation erstellt und in dieser Einstellung festgehalten.

Tabelle 1-5. Messaging


Nachrichtentyp Wählen Sie die Art der Benachrichtigung aus (Keine, SMS oder E-Mail), die nach erfolgreicher Registrierung in der Umgebung an das Gerät gesendet werden soll.

E-Mail-Adresse Geben Sie die E-Mail-Adresse ein, an die die Registrierungsnachricht gesendet werden soll.

Dieses Feld wird nur dann angezeigt, wenn „E-Mail“ als Nachrichtentyp ausgewählt wurde.

E-Mail-Nachrichtenvorlage Wählen Sie die E-Mail-Vorlage aus dem Dropdown-Menü aus. Verwenden Sie den Link zum Öffnen der Seite „Nachrichtenvorlage“, auf der Sie eine E-Mail-Nachrichtenvorlage erstellen können.

Rufnummer Geben Sie die Rufnummer ein, an die die SMS gesendet werden soll.

Dieses Feld wird nur dann angezeigt, wenn „SMS“ als Nachrichtentyp ausgewählt wurde.

SMS-Nachrichtenvorlage Wählen Sie die SMS-Vorlage aus dem Dropdown-Menü aus. Verwenden Sie den Link zum Öffnen der Seite „Nachrichtenvorlage“, auf der Sie eine SMS-Nachrichtenvorlage erstellen können.

3 Wahlweise können Sie dem Gerät auch Benutzerdefinierte Attribute zuweisen. Wählen Sie die Schaltfläche Hinzufügen und geben Sie ein Attribut und den entsprechenden Wert ein.

4 Wahlweise können Sie dem Gerät auch Tags zuweisen. Wählen Sie die Schaltfläche Hinzufügen und wählen Sie für jedes zuzuweisende Tag ein Tag aus dem Dropdown-Menü aus.

5 Wählen Sie Speichern.

Geräte mit aufgehobener RegistrierungGeräte mit aufgehobener Registrierung können in der Workspace ONE UEM Console angezeigt werden, sofern sie registriert wurden oder in der Vergangenheit einen registrierten Status aufwiesen. Sie können auf der UEM-Konsole auch Zugriff auf Fehlerbehebungsprotokolle erhalten, die vor der Aufhebung der Registrierung des Geräts erstellt wurden.

Status „Registrierung aufgehoben“Ein Gerät mit aufgehobener Registrierung ist im Umfeld von drei möglichen Szenarien zu finden.

1 Das Gerät ist neu in Workspace ONE UEM, nicht registriert und somit auch nicht verwaltet. Ein Gerät in diesem Szenario kann nicht in der UEM-Konsole angezeigt werden.


VMware, Inc. 15

2 Das neue Gerät hat den Workspace ONE-Registrierungsprozess begonnen und ist bei der UEM-Konsole registriert, aber noch nicht vollständig. Dieses Szenario tritt normalerweise während einer Welle neuer Registrierungen auf, in der Geräte registriert werden, um die Registrierung zu beschränken. Der Mechanismus, mit dem registrierte Geräte registriert werden, ist eine Geräte-Whitelist. Ein Gerät mit diesem Status kann in der UEM-Konsole mit dem Status „Registrierung aufgehoben“ angezeigt werden. Da ein registriertes Gerät normalerweise Teil des Registrierungsprozesses ist, behält ein Gerät dieses Szenario nicht lange bei.

3 Das Gerät wurde in der Workspace ONE UEM Console vollständig registriert, wurde aber aus der UEM-Konsole gelöscht. Durch diese Aktion wird es aus allen Gerätemanagementfunktionen und -features entfernt. In diesem Szenario ist das Gerät nach wie vor bei der UEM-Konsole registriert und bleibt in der Whitelist. Das Gerät kann auf der UEM-Konsole auch mit dem Status „Registrierung aufgehoben“ angezeigt und daher problemlos erneut registriert werden. Ein Gerät kann in diesem Szenario auf unbestimmte Zeit verbleiben.

Sie können bis zu etwa 150.000 Geräte auf dieser Whitelist behalten. Kontaktieren Sie den Support, wenn diese Menge für Sie nicht ausreicht.

Sie können den Registrierungseintrag eines in der Whitelist aufgeführten Geräts jederzeit entfernen. In diesem Fall kann das Gerät auf der UEM-Konsole nicht angezeigt werden und ist dort unbekannt (obiges Szenario 1). Ein Gerät in diesem Szenario kann zu einem späteren Zeitpunkt registriert werden.

Alternativ können Sie das Gerät aus der Whitelist entfernen und einer Blacklist hinzufügen. In diesem Fall wird jegliche künftige Registrierung verhindert und das Gerät wird effektiv aus Ihrer Flotte verbannt.

Zugriff auf Fehlerbehebungsprotokolle, die vor der Aufhebung der Registrierung erstellt wurdenSie können auf Fehlerbehebungs-/Befehlsprotokolle zugreifen, die erstellt wurden, bevor die Registrierung des Geräts aufgehoben wurde. Diese Protokolle können hilfreich sein, um einen umfassenden Überblick über den Verlauf des Geräts zu erhalten. Führen Sie die folgenden Schritte aus, um die Fehlerbehebungs-/Befehlsprotokolle anzuzeigen.

Verfahren

1 Navigieren Sie zu Geräte > Listenansicht.

2 Wählen Sie ein Gerät aus, von dem Sie wissen, dass dessen Registrierung aufgehoben wurde.

Sie können die Listenansicht optional filtern, um nur Geräte mit dem StatusRegistrierung aufgehoben anzuzeigen.

Wenn Sie ein Gerät auswählen, wird die Detailansicht angezeigt.

3 Wählen Sie die Dropdown-Liste Mehr aus und wählen Sie dann Fehlerbehebung gefolgt von der Registerkarte Befehle aus.


VMware, Inc. 16

Nächste Schritte

Wenn Sie nicht vorhaben, ein Gerät, dessen Registrierung zuvor aufgehoben wurde, wieder bei der gleichen Kundenorganisationsgruppe neu zu registrieren, können Sie das Gerät endgültig löschen, sodass der Geräteverlauf bei der Neuregistrierung gelöscht ist. Wenden Sie sich dazu an den Workspace ONE-Support.

Massenaktionen in der GerätelistenansichtNachdem Sie eine Untergruppe an Geräten gefiltert haben, können Sie für mehrere Geräte Massenaktionen durchführen, indem Sie die Geräte und eine Aktion über die Gruppe von Aktionsschaltflächen auswählen.

Weitere Informationen finden Sie unter Auswählen von Geräten in der Gerätelistenansicht.

Massenaktionen sind in der Gerätelistenansicht nur verfügbar, wenn sie in den Systemeinstellungen aktiviert sind (Gruppen & Einstellungen > Alle Einstellungen > System > Sicherheit > Eingeschränkte Aktionen). Für kennwortgeschützte Aktionen ist eine PIN erforderlich.

Bei in der Listenansicht ausgewählten Geräten wird die Anzahl der ausgewählten Geräte neben den Aktionsschaltflächen angezeigt. Diese Zahl beinhaltet auch gefilterte Geräte, die ebenfalls ausgewählt wurden.

Massenverwaltungslimit in der GerätelistenansichtUm bei der Verwaltung einer großen Geräteflotte einen reibungslosen Ablauf zu gewährleisten, können Sie eine maximale Geräteanzahl für den Empfang eines Massenaktionsbefehls festlegen.

Ändern Sie diese Limits, indem Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Erweiterungen > Massenverwaltung navigieren.

Wenn bei vorhandenem Massenverwaltungslimit mehrere Geräte ausgewählt werden, wird ein Link neben der Nachricht bezüglich der Anzahl der ausgewählten Elemente angezeigt: Einige Aktionen sind aufgrund von Mengenlimits deaktiviert..

Warnung bezüglich Massenaktion in Warteschlange in der GerätelistenansichtDie Verarbeitung von Massenaktionen nimmt Zeit in Anspruch. Wenn Sie während der Verarbeitung einer vorhandenen Massenaktion in der Workspace ONE ™ ™ UEM-Konsole eine neue Massenaktion initiieren, wird eine Warnmeldung angezeigt.

Your previous bulk actions requested are still being processed. This request is run once the previous

actions are complete. Do you want to continue with the current request?

Wählen Sie Ja aus, um die neue Massenaktion in die Warteschlange zu setzen. Wählen Sie Nein aus, um die neue Massenaktion abzubrechen.


VMware, Inc. 17

Auswählen von Geräten in der GerätelistenansichtSie können einzelne Geräte auf einer Seite auswählen, indem Sie links neben jedem Gerät die jeweiligen Kontrollkästchen aktivieren. Zudem können Sie über mehrere Seiten hinweg einen Geräteblock auswählen. Sie können sogar alle Geräte in Ihrer gesamten Flotte auswählen, wodurch möglicherweise die Warnung „Eingeschränkte Aktionen“ ausgelöst wird.

Auswählen eines GeräteblocksSie können auch einen zusammenhängenden Block an Geräten auswählen, der sich sogar über mehrere Seiten erstrecken kann, indem Sie das Kontrollkästchen neben dem Gerät am Anfang der Liste aktivieren. Halten Sie dann die Umschalttaste gedrückt und aktivieren Sie das Kontrollkästchen neben dem Gerät am Ende der Liste. Diese Aktion ähnelt der Blockauswahl in Windows- und Mac-Umgebungen und ermöglicht Ihnen die Zuweisung von Massenaktionen für die jeweiligen ausgewählten Geräte.

Auswählen aller GeräteUm alle Geräte in der Liste auszuwählen oder deren Auswahl aufzuheben, kann das Kontrollkästchen „Global“ links neben der Kopfzeile der Spalte Zuletzt gesehen verwendet werden. Enthält Ihre Listenansicht eine Auflistung gefilterter Geräte, kann das Kontrollkästchen „Global“ verwendet werden, um alle gefilterten Geräte auszuwählen oder die Auswahl aufzuheben.

Wenn das Kontrollkästchen „Global“ ein grünes Minuszeichen enthält ( ) bedeutet dies, dass mindestens eine, aber nicht alle Geräte ausgewählt sind. Wenn Sie dieses Symbol erneut auswählen, ändert es sich in ein Häkchen ( ), das angibt, dass alle Geräte in der Liste (entweder gefiltert oder ungefiltert) ausgewählt wurden. Wenn Sie das Symbol ein drittes Mal wählen, ändert es sich wieder in ein leeres Kontrollkästchen ( ). Dieses weist darauf hin, dass derzeit keine Geräte in der Liste ausgewählt sind.

Warnung „Eingeschränkte Aktionen“ bei Auswahl aller GeräteWenn Sie eine Aktion unter Auswahl aller Geräte Ihrer Geräteflotte aktivieren, wird eine Warnung angezeigt.

„Sie versuchen, diese Aktion an [Anzahl der ausgewählten Geräte] Geräten vorzunehmen. Diese Aktion darf nicht an allen Geräten vorgenommen werden.“ Bestimmte Beschränkungen dieser Aktion beziehen sich auf Registrierungsstatus, Verwaltungstyp, Geräteplattform, Modell oder Betriebssystem.“

Diese Warnung führt die Vielfalt vor Augen, die eine große Geräteflotte mit zahlreichen unterschiedlichen Herstellern, Betriebssystemen und Funktionen mit sich bringt. Dies hängt nicht mit der Massenverwaltungsbeschränkung und möglichen, dadurch generierten Warnungen zusammen. Bei einer aktiven Massenverwaltungsbeschränkung würde die Warnmeldung Eingeschränkte Aktion nicht angezeigt werden.

GerätedetailsVerwenden Sie die Seite „Gerätedetails“ in Workspace ONE UEM powered by AirWatch, um detaillierte Informationen für ein einzelnes Gerät anzuzeigen und schnell auf Benutzer- und Geräteverwaltungsaktionen zuzugreifen.


VMware, Inc. 18

Sie gelangen zu Gerätedetails, indem Sie den freundlichen Namen eines Geräts von einem der verfügbaren Dashboards auswählen oder die verfügbaren Suchtools in der Workspace ONE UEM Console verwenden. Der erwartete Anzeigename ist die Bezeichnung, die Sie einem Gerät zuweisen, damit Sie es von anderen Geräten unterscheiden können, insbesondere von anderen Geräten desselben Herstellers und Modells.

Die Hauptseite ist in mehrere wesentliche Abschnitte unterteilt.

n Benachrichtigungsbadges – Zeigt den Kompromittierungsstatus, Konformitätsverletzungen, Registrierungsdatum, Uhrzeit der letzten Geräteanmeldung und die GPS-/Ortsdienstverfügbarkeit (nur für Android-Geräte) an.

n Sicherheit – Zeigt Sicherheitseinstellungen an, z. B. verwendete Verwaltungssoftware, Kennungsstatus und Datenschutzmaßnahmen.

n Benutzer-Info – Zeigt wesentliche Benutzerinformationen an, wie vollständigen Namen und E-Mail-Adresse.

n Geräteinformation – Zeigt Gerätedetails an, z. B. Organisationsgruppe, Standort, Smartgroups, Seriennummer, UDID, Anlagennummer, Status der Stromversorgung einschließlich Akkustatus (nur für Zebra Android-Geräte), Speicherkapazität, physischen Speicher, Garantieinformationen und Gerätetags in alphabetischer Reihenfolge an.

n Profile – Zeigt alle Profile an, z.B. installierte (aktive), zugewiesene (inaktive) sowie nicht verwaltete (über Sideloading geladene) Profile.

n Anwendungen – Zeigt alle installierten Anwendungen an, sowohl automatische als auch On-Demand-Anwendungen.

n Inhalt – Zeigt Inhalte an, der vom Administrator im verwalteten Repository von Workspace ONE UEM und im Admin-Repository als „Erforderlich“ gekennzeichnet wurden.

n Zertifikate – Führt alle installierten Zertifikate auf, einschließlich Zertifikate mit baldigem Ablaufdatum.

n Admin-Anwendungen – Zeigt die Informationen des installierten Workspace ONE Intelligent Hub einschließlich der Versionsnummer an.

n Zebra-Akkudaten (nur für Zebra Android-Geräte) – Zeigt detaillierte Akku-Informationen, einschließlich Akkuzustand, Herstellungsdatum, Seriennummer und Teilenummer an.

Dashboard für GerätedetailsDas Dashboard zeigt grundlegende Geräteinformationen an, wie z. B. den erwarteten Anzeigenamen des Geräts. Zu den weiteren detaillierten Informationen gehören der Gerätetyp, das Gerätemodell, die Versionsnummer des Betriebssystems, der Zuständigkeitstyp, das Aktionsschaltflächen-Cluster des Geräts und der aktuelle Listenindikator.


VMware, Inc. 19

Bei Auswahl der Pfeilschaltflächen im Indikator Zuletzt verwendete Liste ändert sich das ausgewählte Gerät je nach dessen Position in der gefilterten Listenansicht.

Aktionsschaltflächen-Cluster für Gerätedetails

Führen Sie durch das Aktionsschaltflächen-Cluster gängige Geräteaktionen wie „Abfragen“, „Senden [Nachricht]“, „Sperren“ sowie weitere Aktionen über die Schaltfläche Weitere Aktionen durch.

Die verfügbaren Geräteaktionen variieren je nach Plattform, Gerätehersteller und Modell, Registrierungsstatus sowie der jeweiligen Konfiguration Ihrer Workspace ONE UEM Console. Eine komplette Liste der Remote-Aktionen, die ein Administrator über die Console ausführen kann, finden Sie unter Geräteaktionen nach Plattform.

Menüregisterkarten zu GerätedetailsFür den Zugriff auf bestimmte Geräteinformationen können Sie Menüregisterkarten verwenden, die je nach der gewählten Geräteplattform variieren.

Menüregisterkarte Beschreibung

Übersicht Prüfen Sie allgemeine Statistiken, wie beispielsweise Registrierungsstatus, Konformität, „Zuletzt gesehen“, GPS-Verfügbarkeit, Plattform/Modell/BS, Organisationsgruppe, Seriennummer, Status der Stromversorgung, Speicherkapazität, sowie physischen und virtuellen Speicher.

Konformität Prüfen Sie Status, Richtlinienname, Datum der vorherigen und bevorstehenden Konformitätsprüfung sowie die bereits auf dem Gerät ausgeführten Aktionen. Die Registerkarte Konformität enthält erweiterte Funktionen zur Fehlerbehebung und Zweckmäßigkeit:

n Bei nicht konformen Geräten und bei Geräten mit ausstehendem Konformitätsstatus stehen Funktionen zur Problembehandlung zur Verfügung. Sie können die Konformität auf Basis jeden einzelnen Geräts neu

bewerten ( ) oder detaillierte Informationen zum Konformitätsstatus auf dem Gerät abrufen ( ).

n Benutzer mit reiner Leseberechtigung können bestimmte Konformitätsrichtlinien direkt über die Registerkarte Konformität einsehen; Benutzer mit Administratorzugriff hingegen können Konformitätsrichtlinien bearbeiten.

Profile Prüfen Sie alle momentan zugewiesenen, installierten und nicht verwalteten Profile auf einem Gerät.

Anwendungen Prüfen Sie alle momentan zugewiesenen und auf dem Gerät installierten Apps.

In der Spalte für die App-Compliance werden mit dem SDK erstellte Anwendungen angegeben, die nicht den SDK-App-Compliance-Einstellungen entsprechen. Diese Einstellungen finden Sie unter Gruppen & Einstellungen > Alle Einstellungen > Einstellungen und Richtlinien > SDK-Anwendungs-Compliance.

Inhalte Zeigen Sie den Status, Typ, Namen, die Version, Priorität, Bereitstellung, letzte Aktualisierung sowie das Datum und die Uhrzeit der Ansichten und Inhalte auf dem Gerät an, die vom Administrator im verwalteten Repository von Workspace ONE UEM als „Erforderlich“ gekennzeichnet wurden. Diese Registerkarte enthält eine Symbolleiste für administrative Aktionen (installieren oder löschen).


VMware, Inc. 20


Standort Prüfen Sie den aktuellen Standort oder Standortverlauf eines Geräts. Wählen Sie den Zeitraum oder die Zeitdauer aus, den bzw. die Sie bei der Suche nach Standortdatenpunkt zurückblicken. Mithilfe des Benutzerdefinierten Zeitraums können Sie einen Datums- und Zeitbereich in 5-Minuten-Inkrementen auswählen. Sie können auch Breiten- und Längengradkoordinaten dieser Datenpunkte überprüfen, indem Sie den Mauszeiger über Standortmarkierungen auf der Karte bewegen.

Aktivieren Sie die Erfassung von Standortdaten, indem Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer navigieren und die plattformspezifische Seite Hub-Einstellungen auswählen. Weitere Informationen zu Standortdaten und zum Datenschutz finden Sie unter GPS-Koordinaten zum Datenschutz – Bewährte Methoden.

Bearbeiten Sie die Anzahl der erfassten Standortdatenpunkte und die Mindestentfernung zwischen den Standorten, indem Sie zu Gruppen & Einstellungen > Alle Einstellungen > Installation > Karten navigieren.

Benutzer Greifen Sie auf Informationen über den Benutzer eines Geräts sowie auf den Status der anderen für diesen Benutzer registrierten Geräte zu.


VMware, Inc. 21


Mehr Diese zusätzlichen Menüregisterkarten variieren je nach Geräteplattform.

n Netzwerk – Prüfen Sie die aktuellen Netzwerkinformationen eines Geräts (Mobilfunk, WLAN, Bluetooth, IMEI).

n Sicherheit – Prüfen Sie den aktuellen Sicherheitsstatus eines Geräts auf Grundlage der Sicherheitseinstellungen.

n Telekommunikation – Prüfen Sie alle gesendeten und empfangenen Mengen an Anrufen, Daten und Nachrichten.

n Hinweise – Prüfen Sie Hinweise bezüglich des Geräts, und fügen Sie solche Hinweise hinzu. Vermerken Sie beispielsweise den Versandstatus, oder dass sich das Gerät momentan in Reparatur befindet oder es außer Betrieb ist.

n Zertifikate – Identifizieren Sie Gerätezertifikate nach Name und Aussteller. Diese Registerkarte gibt auch die Ablaufdaten des Zertifikats an.

n Produkte – Prüfen Sie den vollständigen Verlauf und den Status aller dem Gerät bereitgestellten Produkte sowie mögliche Bereitstellungsfehler. Sie können die erneute Verarbeitung (erneute Bereitstellung) eines Produkts auch erzwingen.

n Nutzungsbedingungen – Zeigen Sie eine Liste der Nutzungsbedingungen an, die bei der Registrierung des Geräts akzeptiert wurden.

Mehr,fortgesetzt n Warnungen – Prüfen Sie alle mit dem Gerät zusammenhängenden Warnungen.

n Gemeinschaftsgeräteprotokoll – Prüfen Sie den Verlauf bezüglich Gemeinschaftsgeräten, einschließlich vergangener Check-ins und Check-outs sowie des Status.

n Statusverlauf – Prüfen Sie den Geräteverlauf bezüglich des Registrierungsstatus.

n Gezielte Protokollierung – Prüfen Sie die Protokolle von Konsole, Katalog, Gerätediensten, Geräteverwaltung und Self-Service-Portal. Sie müssen die gezielte Protokollierung in den Einstellungen aktivieren. Zu diesem Zweck wird ein Link angegeben. Sie müssen dann die Schaltfläche Neues Protokoll erstellen auswählen und eine Zeitdauer für die Protokollerfassung auswählen.

n Fehlerbehebung – Prüfen Sie Protokollierungsinformationen unter Ereignisprotokoll und Befehle. Diese Seite enthält Export- und Suchfunktionen, die Ihnen gezielte Suchvorgänge und Analysen ermöglicht.

n Ereignisprotokoll – Sehen Sie detaillierte Fehlerbehebungsinformationen und Server-Check-ins ein, einschließlich Filter nach Ereignisgruppentyp, Datumsbereich, Schweregrad, Modul und Kategorie.

In der Ereignisprotokoll-Auflistung befinden sich in der Spalte Ereignisdaten eventuell Hypertextlinks, über die Sie weitere Details zum Ereignis in einem separaten Fenster anzeigen können. Diese Informationen ermöglichen Ihnen eine tiefgreifendere Fehlerbehebung, zum Beispiel bei der Nachforschung, warum ein Profil nicht installiert wurde.

n Befehle – Sehen Sie eine detaillierte Auflistung ausstehender, in Warteschlange befindlicher und abgeschlossener Befehle, die an das Gerät gesendet wurden. Enthält einen Filter, mit dem Sie Befehle nach Kategorie, Status und einem bestimmten Befehl filtern können.

n Anlagen – Verwenden Sie diesen Speicherplatz auf dem Server für Screenshots, Dokumente und Links zur Fehlerbehebung und für andere Zwecke, ohne dafür Speicherplatz auf dem Gerät in Anspruch zu nehmen.

Geräteaktionen nach PlattformAls Workspace ONE UEM powered by AirWatch-Administrator können Sie Befehle remote auf einzelnen oder allen Geräten ausführen. In verschiedenen Plattformen stehen dabei unterschiedliche Aktionen zur


VMware, Inc. 22

Verfügung. Jede dieser plattformspezifischen Geräteaktionen und deren Definitionen stellen Remotebefehle dar, die ein Administrator über die UEM-Konsole ausführen kann.

Weitere Informationen finden Sie unter Beschreibungen der Geräteaktionen.

Aktion AndroidApple iOS

Apple macOS

Apple TV

Chrome OS QNX

Windows Robust

Windows 7

Windows Phone

Windows Desktop

Tag hinzufügen ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Workspace ONE Intelligent Hub (Abfrage)

✓ ✓ ✓ (*)

Anwendungsremoteansicht ✓ ✓ ✓

Apps (Abfrage) ✓ ✓ ✓ ✓ (*) ✓ ✓

Bücher (Abfrage) ✓

Protokoll-Stornierungsanfrage

✓

Zertifikate (Abfrage) ✓ ✓ ✓ ✓ ✓ (*) ✓ ✓

Gerätekennung ändern ✓ ✓ ✓

Organisationsgruppe ändern

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Zuständigkeit ändern ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Aktivierungssperre aufheben

✓

Kennung zurücksetzen (Gerät)

✓ ✓ ✓ ✓

Kennung zurücksetzen (Container)

✓

Kennung zurücksetzen (Restriktionseinstellung)

✓

Gerät löschen ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Geräteinformationen (Abfrage)

✓ ✓ ✓ ✓ ✓ ✓ ✓ (*) ✓ ✓

Geräte-Löschung ✓ ✓ ✓ ✓ ✓ ✓ ✓

Gerät bearbeiten ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Modus „Verloren“ de-/aktivieren

✓

Registrieren ✓ ✓ ✓ ✓ ✓ ✓

Enterprise-Zurücksetzung ✓ ✓

Enterprise-Löschung ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Dateimanager ✓ ✓

Gerät finden ✓ ✓ ✓

iOS Update ✓


VMware, Inc. 23

Aktion AndroidApple iOS

Apple macOS

Apple TV

Chrome OS QNX

Windows Robust

Windows 7

Windows Phone

Windows Desktop

Standort ✓ ✓ ✓ ✓ ✓ ✓

Gerät sperren ✓ ✓ ✓ ✓ ✓ ✓

SSO sperren ✓ ✓

Verwaltete Einstellungen ✓ ✓

Auf „Nicht stören“ setzen ✓ ✓

Auftragsprotokollebene überschreiben

✓

Profile (Abfrage) ✓ ✓ ✓ ✓ ✓ (*)

Jetzt bereitstellen ✓ ✓

Alle abfragen ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Gerät neu starten ✓

Registrierungsmanager ✓

Remotesteuerung ✓ ✓ ✓

Remoteverwaltung ✓ ✓ ✓ ✓ ✓ ✓

Remoteansicht ✓

Gerät umbenennen ✓

Debug-Protokoll anfordern ✓

Geräte-Check-in anfordern ✓ ✓ ✓ ✓

Gerätestandort anfordern ✓

Workspace ONE Intelligent Hub neu starten

✓

Sicherheit (Abfrage) ✓ ✓ ✓ ✓ (*) ✓ ✓

Nachricht senden ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

AirPlay starten ✓ ✓

AWCM starten ✓ ✓

AWCM beenden ✓ ✓

Gerät synchronisieren ✓ ✓ ✓

Task-Manager ✓

Manifest anzeigen ✓

Warmstart ✓ ✓

(*) Diese Windows 7-Geräteaktion wird durch Ausführung des Befehls „Alle abfragen“ erfüllt. Dadurch werden dieselben Informationen zurückgegeben, als wenn individuelle Abfragebefehle separat ausgeführt werden würden.


VMware, Inc. 24

Beschreibungen der GeräteaktionenNehmen Sie Einsicht auf detaillierte Beschreibungen aller Aktionen, die von der Konsole auf einem Gerät remote ausgeführt werden können.

n Tag hinzufügen: Weisen Sie einem Gerät ein anpassbares Tag zu, das zur Identifizierung eines bestimmten Geräts in Ihrer Flotte verwendet werden kann.

n Workspace ONE Intelligent Hub (Abfrage) – Senden Sie einen Abfragebefehl an Workspace ONE Intelligent Hub des Geräts, um sicherzustellen, dass dieser auf dem Gerät installiert ist und ordnungsgemäß funktioniert.

n Anwendungsremoteansicht: Nehmen Sie in einer installierten Anwendung eine Reihe von Screenshots auf und senden Sie diese an die Seite „Remoteansicht“ in der UEM-Konsole. Sie können die Anzahl der Screenshots und die Länge der Dauer (in Sekunden) zwischen den Screenshots wählen.


VMware, Inc. 25

Auf Android- und iOS-Geräten muss VMware Content Locker installiert sein, damit Anwendungsremoteansicht ausgeführt werden kann.

n Anwendungen (Abfrage) – Senden Sie einen MDM-Abfragebefehl an das Gerät, um eine Liste der installierten Anwendungen abzurufen.

n Bücher (Abfrage) – Senden Sie einen Abfragebefehl an das Gerät, um eine Liste mit installierten Büchern zurückzugeben.

n Zertifikate (Abfrage) – Senden Sie einen MDM-Abfragebefehl an das Gerät, um eine Liste der installierten Zertifikate zurückzugeben.

n Gerätekennung ändern – Ersetzen Sie alle vorhandenen Gerätekennungen, die zum Zugriff auf ausgewählte Geräte verwendet werden, durch eine neue Kennung.

n Organisationsgruppe wechseln – Ändern Sie die Startorganisationsgruppe des Geräts in eine andere, bereits vorhandene OG. Weist eine Option zum Auswählen einer statischen oder dynamischen OG auf.

n Besitz ändern: Ändern Sie gegebenenfalls die Besitzeinstellungen für ein Gerät. Zur Auswahl stehen „Unternehmen – Dediziert“, „Unternehmen – Gemeinschaftsgerät“, „Mitarbeitereigen“ und „Undefiniert“.

n Aktivierungssperre aufheben – Heben Sie die Aktivierungssperre auf einem iOS-Gerät auf. Ist die Aktivierungssperre aktiviert, so benötigt der Benutzer eine Apple-ID sowie ein Kennwort, bevor folgende Aktionen ausgeführt werden können: Deaktivieren von „Mein iPhone suchen“, Zurücksetzen des Geräts auf Werkseinstellungen und Reaktivieren zur Benutzung des Geräts.

n Kennung löschen (Container) – Löschen Sie die containerspezifische Kennung. Diese Funktion ist für Situationen bestimmt, in denen Benutzer die Containerkennung ihres Geräts vergessen haben.

n Kennung löschen (Gerät) – Löschen Sie die Gerätekennung. Diese Funktion ist für Situationen bestimmt, in denen Benutzer ihre Gerätekennung vergessen haben.

n Kennung löschen (Restriktionseinstellung) – Löschen Sie die Kennung, die Gerätefunktionen, wie Anwendungsinstallation, Safari-Nutzung, Kameranutzung usw. beschränkt.

n Gerät löschen – Löschen Sie ein Gerät und heben Sie die Registrierung dieses Geräts in der Konsole auf. Sendet den Enterprise Wipe-Befehl an das Gerät, das beim nächsten Einchecken gelöscht wird, und markiert das Gerät in der Konsole als Wird gelöscht. Wenn der Löschschutz auf dem Gerät deaktiviert ist, führt der ausgegebene Befehl sofort einen Enterprise Wipe durch und entfernt die Gerätedarstellung in der Konsole.

n Geräteinformationen (Abfrage) – Senden Sie einen MDM-Abfragebefehl an das Gerät, um grundlegende Geräteinformationen, wie freundlichen Namen, Plattform, Modell, Organisationsgruppe, Version des Betriebssystems und Besitzstatus, zurückzugeben.

n Geräte-Wipe – Senden Sie einen MDM-Befehl, um alle Daten und das Betriebssystem von einem Gerät zu entfernen. Dadurch wird das Gerät in einen Zustand versetzt, in dem die Wiederherstellungspartition benötigt wird, um das Betriebssystem neu zu installieren. Diese Aktion kann nicht rückgängig gemacht werden.


VMware, Inc. 26

n Aspekte bei einer iOS-Geräte-Löschung

• Bei Geräten mit iOS 11 und älteren Versionen werden durch den Befehl für die Geräte-Löschung darüber hinaus auch die Apple SIM-Daten gelöscht, die den Geräten zugeordnet sind.

• Bei Geräten mit iOS 11 und höher besteht die Option zum Beibehalten des Apple SIM-Datentarifs (sofern auf den Geräten vorhanden). Aktivieren Sie dazu auf der Seite „Geräte-Wipe“ das Kontrollkästchen Datentarif beibehalten, bevor Sie den Wipe-Befehl senden.

• Bei Geräten mit iOS 11.3 und höher besteht außerdem die Option, beim Senden des Wipe-Befehls das Überspringen des Bildschirms Proximity einrichten zu aktivieren oder zu deaktivieren. Wenn die Option aktiviert ist, wird der Bildschirm „Proximity einrichten“ im Setup-Assistenten übersprungen, sodass dem Gerätebenutzer die Option „Proximity einrichten“ nicht angezeigt wird.

n Bei Windows Desktop-Geräten können Sie den Typ der Geräte-Löschung auswählen.

• Löschen – Mit dieser Option wird der gesamte Inhalt des Geräts gelöscht.

• Geschütztes Löschen – Diese Option ähnelt einer normalen Geräte-Löschung, aber diese Option kann nicht vom Benutzer umgangen werden. Der Befehl „Geschütztes Löschen“ versucht solange das Gerät zurückzusetzen, bis er erfolgreich ist. Bei einigen Gerätekonfigurationen kann dieser Befehl dazu führen, dass das Gerät nicht mehr gestartet werden kann.

• Löschen und Provisioning-Daten dauerhaft speichern – Mit dieser Option wird das Gerät gelöscht, es wird jedoch angegeben, dass Provisioning-Daten in einem persistenten Speicherort gesichert werden sollen. Nachdem die Löschung ausgeführt wurde, werden die Provisioning-Daten wiederhergestellt und auf das Gerät angewendet. Der Provisioning-Ordner wird gespeichert. Sie können den Ordner suchen, indem Sie auf dem Gerät zu %ProgramData%\Microsoft\Provisioning navigieren.

n Gerät bearbeiten – Bearbeiten Sie Gerätedaten, wie Freundlicher Name, Anlagennummer, Gerätebesitz, Gerätegruppe und Gerätekategorie.

n Modus „Verloren“ aktivieren/deaktivieren – Verwenden Sie diese Option zum Sperren eines Geräts und zum Senden einer Nachricht, Rufnummer oder SMS an den Sperrbildschirm. Der Modus


VMware, Inc. 27

„Verloren“ kann vom Benutzer selbst nicht deaktiviert werden. Wenn der Modus „Verloren“ von einem Administrator deaktiviert wird, kehrt das Gerät zur normalen Funktion zurück. Benutzer erhalten eine Nachricht, in der Sie darüber informiert werden, dass der Standort ihres Geräts freigegeben wurde. (Überwachte iOS 9.3+-Geräte)

n Gerätestandort anfordern – Fragen Sie ein Gerät im Modus „Verloren“ ab und verwenden Sie die Registerkarte „Standort“, um das Gerät ausfindig zu machen. (Überwachte iOS 9.3+-Geräte)

n Registrieren – Senden Sie eine Nachricht an Gerätebenutzer, die sie dazu auffordert, ihre Geräte zu registrieren. Wahlweise können Sie eine Nachrichtenvorlage verwenden, die Registrierungsinformationen, wie eine Schritt-für-Schritt-Anleitung und hilfreiche Links, enthält. Diese Aktion ist nur auf nicht registrierten Geräten verfügbar.

n Enterprise-Zurücksetzung – Setzen Sie ein Gerät auf die Werkseinstellungen zurück und behalten Sie dabei nur die Workspace ONE UEM-Registrierung bei.

n Nur Windows Desktop: Mit „Enterprise-Zurücksetzung“ wird ein Gerät wieder in einen betriebsbereiten Zustand versetzt, wenn das Gerät beschädigt ist oder Fehlfunktionen bei Anwendungen aufweist. Das Windows-Betriebssystem wird neu installiert, während Benutzerdaten, Benutzerkonten und verwaltete Anwendungen beibehalten werden. Das Gerät synchronisiert erneut automatisch bereitgestellte Unternehmenseinstellungen, -richtlinien und -Apps nach dem Zurücksetzen und wird weiterhin von Workspace ONE verwaltet.

n Enterprise Wipe – Heben Sie die Registrierung eines Geräts auf und entfernen Sie alle verwalteten Unternehmensressourcen, einschließlich Anwendungen und Profile. Diese Aktion kann nicht


VMware, Inc. 28

rückgängig gemacht werden. Erneute Registrierung ist zur Verwaltung dieses Geräts durch Workspace ONE UEM erforderlich. Enthält Optionen, um eine spätere erneute Registrierung zu verhindern, sowie das Feld Hinweisbeschreibung, in dem Sie wichtige Informationen zu dieser Aktion hinterlassen können.

n Enterprise-Löschung wird nicht für Geräte, die in Clouddomänen eingebunden sind, unterstützt.

n Dateimanager – Starten Sie einen Dateimanager in der UEM-Konsole, der es Ihnen ermöglicht, die Inhalte eines Geräts remote anzuzeigen, Ordner hinzuzufügen, Suchen auszuführen und Dateien hochzuladen.

n Gerät suchen – Senden Sie an die entsprechende Workspace ONE UEM-Anwendung eine Textnachricht sowie einen hörbaren Ton (mit den Optionen, die Anzahl der Wiederholungen der Töne sowie die Länge zwischen den Tönen in Sekunden festzulegen). Dank dieses hörbaren Tons kann der Benutzer das verlegte Gerät einfacher finden.

n iOS-Update – Übertragen Sie eine Betriebssystemaktualisierung per Push auf ein oder mehrere iOS-Geräte. Dies trifft nur auf überwachte, DEP-registrierte Geräte mit iOS-Version 9 oder höher zu.

n Standort – Zeigen Sie den Standort eines Geräts an, indem Sie es mit der GPS-Funktion, die über den MacOS Workspace ONE Intelligent Hubaktiviert wurde, auf einer Karte anzeigen. Erfordert auch die Genehmigung des Benutzers, um die Funktionalität in den MacOS-Systemeinstellungen zu aktivieren.

n Gerät sperren – Senden Sie einen MDM-Befehl, um ein ausgewähltes Gerät zu sperren. Es kann dann erst wieder verwendet werden, wenn es entsperrt wurde.

n SSO sperren – Sperren Sie den Zugriff auf Workspace ONE UEM-Container und alle beteiligten Anwendungen für den Gerätebenutzer.

n Verwaltete Einstellungen – Aktivieren oder deaktivieren Sie Sprachroaming, Datenroaming und private Hotspots.

n Auf „Nicht stören“ setzen – Setzen Sie das Gerät auf „Nicht stören“, und verhindern Sie dadurch, dass es Nachrichten, E-Mails, Profile und andere eingehende Interaktionen empfängt. Nur bei Geräten, die aktiv als „Nicht stören“ markiert sind, ist die Aktion „Nicht stören“ löschen verfügbar, wodurch die Restriktionen zurückgesetzt werden.

n Auftragsprotokollebene überschreiben – Überschreiben Sie die zurzeit festgelegte Ebene der Auftragsereignisprotokollierung auf dem ausgewählten Gerät. Diese Aktion bestimmt die Protokollierungsausführlichkeit der Aufträge, die durch die Produktbereitstellung per Push übertragen wurden, und überschreibt die in den Hub-Einstellungen für Android momentan festgelegte


VMware, Inc. 29

Protokollebene. „Auftragsprotokollebene überschreiben“ kann zurückgesetzt werden, indem auf dem Aktionsbildschirm das Dropdown-Menüelement Auf Standardeinstellung zurücksetzen ausgewählt oder die Auftragsprotokollebene unter der Kategorie „Produktbereitstellung“ in den Hub-Einstellungen für Android geändert wird.

n Profile (Abfrage) – Senden Sie einen MDM-Abfragebefehl an das Gerät, um eine Liste mit installierten Geräteprofilen zurückzugeben.

n Jetzt bereitstellen – Stellen Sie einem Gerät Produkte bereit. Die Bereitstellung ist die Fähigkeit, eine ordnungsgemäße Installation von Dateien, Aktionen, Profilen und Anwendungen in einem einzigen Produkt zu erstellen, das dann per Push auf Geräte übertragen werden kann.

n Alle abfragen – Senden Sie einen Abfragebefehl an das Gerät, um eine Liste aller installierten Anwendungen (einschließlich Workspace ONE Intelligent Hub, sofern zutreffend), Bücher, Zertifikate, Gerätedaten, Profile und Sicherheitsmaßnahmen zurückzugeben.

n Gerät neu starten – Führen Sie einen Remoteneustart eines Geräts aus, wodurch Sie den Effekt des Ein- und Wiedereinschaltens erzielen.

n Registrierungsmanager – Starten Sie in der UEM-Konsole einen Registrierungsmanager, der es Ihnen ermöglicht, die Registrierung des Betriebssystems eines Geräts remote einzusehen, Schlüssel hinzuzufügen, Suchen auszuführen und Eigenschaften hinzuzufügen.

n Remotesteuerung – Mit dieser Aktion übernehmen Sie remote die Steuerung über ein unterstütztes Gerät. Dabei wird eine Konsolenanwendung gestartet, durch die Sie Support für das Gerät bereitstellen und Fehler behandeln können. Diese Aktion erfordert die Installation des Remotesteuerungsdienstes auf Android-Geräten.

n Remoteverwaltung – Übernehmen Sie mit dieser Aktion die Steuerung über ein unterstütztes Gerät. Durch diese Aktion wird eine Konsolenanwendung gestartet, die es Ihnen ermöglicht, Support und Problembehandlung für das Gerät zu bieten. Diese Aktion erfordert die Installation des Remotesteuerungsdienstes auf Android-Geräten.

n Remoteansicht – Aktivieren Sie einen aktiven Fluss des Geräteoutputs an ein Ziel Ihrer Wahl (einschließlich IP-Adresse, Port, Audio-Port, Kennwort und Scanzeit). Dadurch wird es Ihnen ermöglicht, zu sehen, was die Benutzer beim Betrieb ihres Geräts sehen.

n Gerät umbenennen – Ändern Sie den Anzeigenamen des Gerätes in der UEM-Konsole.

n Geräteprotokoll anfordern – Fordern Sie das Debug-Protokoll auf einem ausgewählten Gerät an. Darauf können Sie das Protokoll einsehen, indem Sie die Registerkarte Mehr und dann Anlagen > Dokumente auswählen. Sie können das Protokoll nicht in Workspace ONE UEM Console anzeigen. Das Protokoll wird als ZIP-Datei bereitgestellt, die zur Fehlerbehebung und Unterstützung verwendet werden kann.

Wenn Sie ein Protokoll anfordern, können Sie auswählen, ob die Protokolle vom System oder vom Hub empfangen werden sollen. System bietet Protokolle auf Systemebene. Hub stellt Protokolle von den verschiedenen Agenten bereit, die auf dem Gerät ausgeführt werden.


VMware, Inc. 30

Nur Android: Sie können detaillierte Protokolle von unternehmenseigenen Android-Geräten abrufen und sie in der Konsole anzeigen, um schnell Probleme auf dem Gerät zu beheben.

n Geräte-Check-in anfordern – Fordern Sie an, dass sich das ausgewählte Geräte bei der UEM-Konsole anmeldet. Mit dieser Aktion wird der Status der Spalte Zuletzt gesehen aktualisiert.

n Restart Workspace ONE Intelligent Hub – Starten Sie Workspace ONE Intelligent Hub neu. Diese Funktion wird zur Fehlerbehebung verwendet, wenn der Registrierungs- oder der Submodulinstallations-Prozess unterbrochen wird.

n Sicherheit (Abfrage) – Senden Sie einen MDM-Abfragebefehl an das Gerät, um eine Liste mit den aktiven Sicherheitsmaßnahmen (Gerätemanager, Verschlüsselung, Kennung, Zertifikate usw.) abzurufen.

n Nachricht senden – Senden Sie eine Nachricht an den Benutzer des ausgewählten Geräts. Wählen Sie zwischen E-Mail, Push-Benachrichtigung (über AirWatch Cloud Messaging) und SMS.

n AirPlay starten – Streamen Sie audiovisuelle Inhalte vom Gerät an ein AirPlay-Spiegelziel. Die MAC-Adresse (Format „xx:xx:xx:xx:xx:xx“ ohne Berücksichtigung der Groß-/Kleinschreibung) des Ziels ist erforderlich. Eine Kennung kann auch angegeben werden, falls erforderlich. Scanzeit definiert die Anzahl der Sekunden (10-300), die nach dem Ziel gesucht werden soll. MacOS 10.10 oder höher erforderlich.

n AWCM starten/stoppen – Starten/Stoppen Sie den Cloud Messaging-Dienst für das ausgewählte Gerät. VMware AirWatch Cloud Messaging (AWCM) optimiert die Übertragung von Nachrichten und Befehlen von der AirWatch Konsole, sodass der Endbenutzer nicht auf das öffentliche Internet zugreifen oder Benutzerkonten, wie Google-IDs, verwenden muss.

n Gerät synchronisieren – Synchronisieren Sie das ausgewählte Gerät mit der UEM-Konsole, wodurch der Status Zuletzt gesehen angeglichen wird.

n Task-Manager – Starten Sie einen Dateimanager in der UEM-Konsole, der es Ihnen ermöglicht, die momentan auf einem Gerät laufenden Aufgaben remote einzusehen, einschließlich Name, Prozess-ID und gegebenenfalls von Ihnen durchgeführte Aktionen.

n Manifest anzeigen – Sehen Sie das Paketmanifest eines Geräts im XML-Format von der UEM-Konsole ein. Im Manifest auf Windows Rugged-Geräten werden Metadaten für Widgets und Anwendungen aufgeführt.

n Warmstart – Veranlassen Sie einen Neustart des Betriebssystems, ohne einen Selbsttest (POST) durchzuführen.

RegistrierungsstatusSie können den Registrierungsstatus auf Gerätebasis bewerten, Geräte in Bulk-, Whitelist-/Blacklist-Geräte importieren und registrieren und Geräte-Token widerrufen/zurücksetzen, indem Sie den Registrierungsstatus überprüfen.

Wählen Sie Geräte > Lebenszyklus > Registrierungsstatus, um eine komplette Auflistung aller Geräte der momentan ausgewählten Organisationsgruppe nach Registrierungsstatus zu sehen.


VMware, Inc. 31

Sortieren Sie nach Spalten und konfigurieren Sie Informationsfilter, um auf Grundlage bestimmter Informationen Geräteaktivitäten zu prüfen. Sortieren Sie beispielsweise die Spalte Tokenstatus, um nur die Geräte zu prüfen, deren Eintragung nicht in Kraft ist, und ergreifen Sie Maßnahmen für ausschließlich diese Geräte. Durchsuchen Sie alle Geräte nach einem freundlichen Namen oder Benutzernamen, um ein Gerät oder einen Benutzer herauszufiltern.


Filter Sie können durch Filter gesamte Gerätekategorien herausfiltern, sodass Sie nur die von Ihnen gewünschten Geräte sehen.

n Registrierungsstatusn Plattformn Besitzn Tokenstatusn Tokentypn Quellen Zuerst gesehen

Hinzufügen n Gerät eintragen – Sie können ein einzelnes Gerät zur Registrierung eintragen oder Hinzufügen.

n Blacklisting und Whitelisting von Geräten – Es können nur Geräte registriert werden, die von Ihnen identifiziert oder auf die Whitelist gesetzt wurden. Wahlweise können Sie Geräte zur Registrierung beschränken, indem Sie diese auf einer Blacklist erfassen.

n Batch-Import – Im Bildschirm „Batch-Import“ können Sie mehrere Geräte oder Benutzer importieren.

Nachricht erneut senden Senden Sie dem Benutzer die ursprüngliche Nachricht erneut, einschließlich Self-Service-Portal-URL, Gruppen-ID und Anmeldedaten.

Weitere Aktionen

Organisationsgruppe ändern

Schieben Sie das ausgewählte Gerät in die Organisationsgruppe Ihrer Wahl.

Besitz ändern Ändern Sie den Besitztyp für das ausgewählte Gerät.

Löschen Löschen Sie dauerhaft die Eintragungsinformationen für ausgewählte Geräte. Durch diese Aktion muss sich der Benutzer neu eintragen, um sich zu registrieren. Wo zutreffend müssen Sie zuerst das Token widerrufen, bevor Sie eine Geräteeintragung löschen.

Token zurücksetzen Setzen Sie bei Widerruf oder Ablauf den Status eines Tokens zurück.

Token widerrufen Setzen Sie durch, dass der Eintragungstokenstatus ausgewählter Geräte abläuft, wodurch im Wesentlichen der Zugriff für nicht gewünschte Benutzer und Geräte blockiert wird.

Für die Aktionen Token zurücksetzen und Token widerrufen können Sie das Feld Benutzer verständigen deaktivieren, wodurch das Senden der standardmäßigen E-Mail-Benachrichtigung verhindert wird.


VMware, Inc. 32


Auswählen mehrerer Geräte

Führen Sie auf einzelnen oder mehreren Geräten Aktionen aus, indem Sie das Kontrollkästchen neben jedem Gerät aktivieren und die Aktionsschaltflächen verwenden.

Nachdem Sie einen Filter angewendet haben, um einen bestimmten Gerätesatz anzuzeigen, können Sie Massenaktionen für mehrere ausgewählte Geräte durchführen. Führen Sie diese Aktion durch, indem Sie die Geräte und eine Aktion über die Schaltflächen Nachricht erneut senden und Weitere Aktionen auswählen.

Sie können die einzelnen Kontrollkästchen aktivieren. Sie können auch das globale Kontrollkästchen oben in der Kontrollkästchenspalte aktivieren und so alle herausgefilterten Geräte auswählen.

Wenn Sie eine Aktion für ein oder mehrere Geräte wählen, wird eine Bestätigungsseite angezeigt, auf der Sie Ihre Aktion Speichern oder Abbrechen können.

Layout Zeigen Sie die vollständige Liste der verfügbaren Spalten an oder legen Sie mithilfe der Option Benutzerdefiniert anhand eigener Einstellungen fest, welche Spalten angezeigt oder ausgeblendet werden sollen.

Sie haben auch die Möglichkeit, Ihre angepasste Spaltenansicht für alle Administratoren in oder unterhalb der momentanen Organisationsgruppe anzuwenden.

Sie können jederzeit zu den Einstellungen für die Schaltfläche Layout zurückkehren und Ihre Spaltenanzeigeeinstellungen ändern.

Detailansicht des RegistrierungsstatusSie können jederzeit in der Spalte Allgemeine Info den freundlichen Namen eines Geräts auswählen, um die Detailansicht für das Gerät zu öffnen.

In der Detailansicht können Sie über die Schaltfläche Nachricht erneut senden die Registrierungsnachricht erneut senden. Sie können die Eintragungsinformationen eines Geräts auch bearbeiten, indem Sie die Schaltfläche Eintragung bearbeiten wählen und den Abschnitt Erweiterte Geräteinformationen ausfüllen.

Die Detailansicht zeigt eine Reihe von Registerkarten an, die wichtige Eintragungsinformationen über das Gerät enthalten.

n Übersicht – Prüfen Sie das Eintragungsdatum, die verstrichene Zeit, seitdem das Gerät zum ersten Mal gesehen wurde, sowie grundlegende Geräte- und Benutzerinformationen.

n Benutzer – Prüfen Sie detaillierte Benutzerinformationen.

n Nachricht – Prüfen Sie die ausgehende Geräteaktivierungs-E-Mail-Nachricht, einschließlich der Anmeldedaten und des QR-Codes. Über die Ressource „Benutzerregistrierungsnachricht“ kann der Workspace ONE UEM-Administrator den Tab Nachricht ausblenden, nachdem das Gerät erfolgreich registriert wurde.

n Benutzerdefinierte Attribute – Prüfen Sie die zum Gerät gehörenden, Benutzerdefinierten Attribute..

n Tags – Prüfen Sie die momentan zu den Geräten gehörenden Tags.

n Offline-Registrierung – Sofern verfügbar, ermöglicht diese Registerkarte Ihnen, Ihr Gerät zu registrieren, auch wenn es offline ist. Diese Funktion erweist sich besonders dann als nützlich, wenn Sie das Maximum der geplanten Nutzungszeit aus einem Gerät herausholen möchten, wenn dieses sich in einem nicht verfügbaren Zustand befindet (z.B. auf Reisen).


VMware, Inc. 33

Wipe-SchutzDie Remotezurücksetzung von berechtigten Unternehmensinhalten, auch als „Enterprise Wipe“ bezeichnet, ist einer der Schritte, die berücksichtigt werden sollten, wenn ein Gerät verloren geht oder gestohlen wird. Sie dient als Schutz vor dem Risiko einer unbeabsichtigten Offenlegung von Unternehmensinhalten gegenüber Wettbewerbern.

Es können jedoch Umstände auftreten, die Wipe-Vorgänge durch geplante Prozesse wie die Compliance Engine oder andere automatisierte Prozesse für viele Geräte nach sich ziehen. Als Administrator sollten Sie sich darüber informieren, wann eine solche Anweisung geplant ist, um die Möglichkeit zu haben, ggf. eingreifen zu können.

Konfigurieren Sie die Wipe-Schutzeinstellungen durch Festlegen eines Wipe-Schwellenwerts, der die minimale Anzahl gewipter Geräte in einem bestimmten Zeitraum darstellt. Wenn innerhalb von 20 Minuten mehr als 10 Geräte gewipt werden, können Sie zukünftigen Wipes zurückhalten, bis Sie die Wipe-Befehle überprüft haben.

In Wipe-Protokollen können Sie prüfen, wann und aus welchem Grund Geräte gewipt wurden. Nachdem Sie die Informationen geprüft haben, können Sie die zurückgehaltenen Wipe-Befehle akzeptieren oder ablehnen, und das System entsperren, um den Wipe-Schwellenwertzähler zurückzusetzen.

Konfigurieren der Wipe-Schutzeinstellungen für verwaltete GeräteLegen Sie einen Wipe-Schwellenwert für verwaltete Geräte fest und benachrichtigen Sie Administratoren per E-Mail, wenn der Schwellenwert erreicht wird. Diese Einstellungen können Sie nur in der globalen Organisationsgruppe oder der Organisationsgruppe der Kundenebene konfigurieren.

Verfahren

1 Navigieren Sie zu Geräte > Lebenszyklus > Einstellungen > Wipe-Schutz für verwaltete Geräte.

2 Konfigurieren Sie folgende Einstellungen:


Gewipte Geräte Geben Sie die Anzahl der gewipten Geräte als Schwellenwert zum Auslösen des Wipe-Schutzes ein.

Innerhalb (Minuten)

Geben Sie den Wert für Innerhalb (Minuten) ein. Dabei handelt sich um die Zeitdauer, während der die Wipes auftreten müssen, um den Wipe-Schutz auszulösen.

E-Mail Wählen Sie eine Nachrichtenvorlage für die E-Mail an Administratoren.

Erstellen Sie eine Nachrichtenvorlage für Löschungs-Schutz, indem Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Nachrichtenvorlagen navigieren und Hinzufügenwählen. Wählen Sie als Nächstes Gerätelebenszyklus als Kategorie und Löschungs-Schutzbenachrichtigung als Typ. Sie können folgende Suchwerte als Teil Ihrer Nachrichtenvorlage verwenden:

n {EnterpriseWipeInterval} – Der Wert von Innerhalb (Minuten) auf der Einstellungsseite.

n {WipeLogConsolePage} – Ein Link zur Seite „Löschungs-Protokoll“.

An Geben Sie die E-Mail-Adressen der Administratoren ein, die benachrichtigt werden müssen. Diese Administratoren müssen Zugriff auf die Seite „Wipe-Protokoll“ haben.

Weitere Informationen finden Sie unter Nachschlagewerte.


VMware, Inc. 34


Anzeigen von Wipe-ProtokollenSie können die Seite Wipe-Protokolle einsehen und prüfen, wann und aus welchem Grund Geräte gewipt wurden. Nachdem Sie die Informationen geprüft haben, können Sie alle gesperrten Löschungs-Befehle akzeptieren oder ablehnen und das System entsperren, um den Löschungs-Schwellenwertzähler zurückzusetzen.

Ist das System gesperrt, sehen Sie oben auf der Seite ein Banner, das diesen Status anzeigt.

Verfahren

1 Navigieren Sie zu Geräte > Lebenszyklus > Wipe-Protokoll.

Der Zugriff auf die Seite Wipe-Protokoll wird durch die Ressource „Bericht – Geräte-Wipe-Protokoll“ verwaltet und steht standardmäßig System-, SaaS- und Workspace ONE UEM Administratoren zur Verfügung. Sie können diese Ressource jeder benutzerdefinierten Administratorrolle über die Seite Administratorrolle erstellen hinzufügen.

2 Filtern Sie das Wipe-Protokoll anhand der folgenden Parameter.

n Datumsbereich

n Wipe-Typ

n Status

n Quelle

n Zuständigkeit

3 Sehen Sie die Geräteliste ein und bestimmen Sie, ob es sich bei den aufgeführten Geräten um gültige Wipes handelt.

Geräte, bei denen Aktionen ausstehen, haben den Status „Zurückgehalten“. Geräte, die vor der erreichten Schwellenwertgrenze gewipt wurden, werden als „Verarbeitet“ angezeigt.

a Handelt es sich um gültige Wipes, wählen Sie jedes Gerät und dann Wipes zulassen aus der Befehlsliste aus. Der Status wechselt dann zu „Zulässig“.

b Handelt es sich nicht um gültige Wipes, wählen Sie jedes Gerät und dann Abgelehnte Wipes aus der Befehlsliste aus. Der Status wechselt dann zu „Abgelehnt“.

4 Setzen Sie den Schwellenwertzähler des Geräts zurück und lassen Sie Löschungs-Befehle zu, indem Sie System entsperren auswählen.

Nächste Schritte

Das System lasst zukünftige automatisierte Wipe-Befehle zu, bis die Schwellenwertgrenze wieder erreicht ist.

Sie können diese Aktion nur in der globalen Organisationsgruppe oder der Organisationsgruppe der Kundenebene ausführen.


VMware, Inc. 35

GemeinschaftsgeräteDie Funktionalität für Gemeinschafts-/Mehrbenutzergeräte sorgt dafür, dass Sicherheit und Authentifizierung für jeden einzelnen Endbenutzer gewährleistet werden. Gegebenenfalls ermöglichen Gemeinschaftsgeräte nur speziellen Endbenutzern den Zugriff auf vertrauliche Informationen.

Jedem Mitarbeiter in gewissen Organisationen ein Gerät zu geben, kann sich zum einem kostenintensiven Unterfangen entwickeln. Mit Workspace ONE UEM powered by AirWatch können Sie Mobilgeräte zur Nutzung durch mehrere Endbenutzer auf zwei Weisen einsetzen: mit einer einzigen festen Konfiguration für alle Endbenutzer oder mit einer eindeutigen Konfigurationseinstellung für jeden einzelnen Benutzer.

Bei der Verteilung von Gemeinschaftsgeräten müssen Sie die Geräte zuerst mit entsprechenden Anwendungseinstellungen und -restriktionen versehen, bevor Sie sie für Endbenutzer bereitstellen. Einmal bereitgestellt, verwendet Workspace ONE UEM einen einfachen An- oder Abmeldeprozess für freigegebene Geräte, in dem Endbenutzer zur Anmeldung einfach ihre Anmeldedaten für Verzeichnisdienste oder dedizierte Anmeldedaten eingeben. Von der Rolle des Endbenutzers hängt die Ebene des Zugriffs auf Unternehmensressourcen wie Inhalte, Funktionen und Anwendungen ab. Auf Basis dieser Rolle werden beim Anmelden des Endbenutzers automatisch die Funktionen und Ressourcen konfiguriert, die ihm dann nach der Anmeldung zur Verfügung stehen.

Die An- und Abmeldefunktionen sind innerhalb von Workspace ONE Intelligent Hub eigenständig. Die Eigenständigkeit stellt sicher, dass der Registrierungsstatus nie betroffen ist und dass das Gerät unabhängig davon verwalten wird, ob es verwendet wird oder nicht.

Gemeinschaftsgeräte – FunktionalitätEs gibt grundlegende Funktionen im Bereich der Funktionalität und Sicherheit von Geräten, die auf mehrere Benutzer zutreffen müssen. Diese Funktionen bieten überzeugende Gründe, Gemeinschaftsgeräte als kosteneffiziente Lösung zur bestmöglichen Ausschöpfung von Unternehmensmobilität zu erwägen.

Funktionalitätn Individualisieren Sie das Benutzererlebnis des einzelnen Endbenutzers, ohne

Unternehmenseinstellungen zu verlieren.

n Bei der Anmeldung auf einem Gerät wird das Gerät je nach Endbenutzerrolle und Organisationsgruppe (OG) mit bestimmten Unternehmenszugriffsrechten sowie Einstellungen, Anwendungen und Inhalten konfiguriert.

n Ermöglichen Sie einen eigenständigen An- und Abmeldevorgang in Workspace ONE Intelligent Hub oder VMware Identity Manager.

n Nachdem sich der Endbenutzer vom Gerät abgemeldet hat, werden die Konfigurationseinstellungen dieser Sitzung gelöscht. Danach kann sich ein anderer Endbenutzer an diesem Gerät anmelden.


VMware, Inc. 36

Sicherheitn Versehen Sie Geräte mit Einstellungen für Gemeinschaftsgeräte, bevor Sie diese den Endbenutzern

zur Verfügung stellen.

n Endbenutzer können sich ohne Auswirkungen auf die Geräteregistrierung bei Workspace ONE UEM auf Geräten an- und abmelden.

n Endbenutzer können sich bei der Anmeldung über Verzeichnisdienste oder dedizierte Workspace ONE UEM Anmeldedaten authentifizieren.

n Authentifizieren Sie Endbenutzer mithilfe von VMware Identity Manager.

n Verwalten Sie ein Gerät sogar, wenn es nicht angemeldet ist.

Plattformen, die Gemeinschaftsgeräte unterstützenFolgende Geräte unterstützen Funktionalität für Gemeinschafts-/ Mehrbenutzergeräte.

n Android ab Version 4.3

n iOS-Geräte mit Workspace ONE Intelligent Hub ab Version 4.2,

n MacOS-Geräte mit Workspace ONE Intelligent Hub ab Version 2.1.

Festlegen der GemeinschaftsgerätehierarchieObwohl dies rein optional ist, bietet eine Organisationsgruppe (OG) speziell für freigegebene Geräte viele Vorteile aufgrund von Mehrmandantenfähigkeit und geerbten Geräteeinstellungen.

Wenn Sie über eine große Anzahl von gemeinsam genutzten Geräten verfügen und diese unabhängig von den Einzelbenutzergeräten verwalten möchten, können Sie eine freigegebene gerätespezifische OG erstellen. Das Erstellen einer freigegebenen Gerätehierarchie in Ihrer OG-Struktur ist optional. Funktionen wie intelligente Gruppen und Benutzergruppen bedeuten, dass Sie sich nicht unbedingt auf das Design der OG-Hierarchie verlassen müssen, um die Geräteverwaltung zu vereinfachen.

Die Verwendung einer gemeinsam genutzten Geräte-OG (oder verschachtelter OGs) vereinfacht jedoch die Geräteverwaltung, da Sie die Gerätefunktionalität über Profile, Richtlinien und Gerätevererbung ohne den von einer intelligenten Gruppe oder einer Benutzergruppe benötigten Verarbeitungsaufwand standardisieren können.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Organisationsgruppen > Organisationsgruppendetails.

Hier wird eine OG angezeigt, die für Ihr Unternehmen steht.

2 Überprüfen Sie die Genauigkeit der angezeigten Organisationsgruppendetails und nehmen Sie mithilfe der verfügbaren Einstellungen die gewünschten Änderungen vor. Falls Sie Änderungen vornehmen, klicken Sie danach auf Speichern.

3 Wählen Sie Untergeordnete Organisationsgruppe hinzufügen.


VMware, Inc. 37

4 Geben Sie für die OG auf der nächsthöchsten Ebene unter Ihrer Organisationsgruppe der höchsten Ebene folgende Informationen ein.


Name Geben Sie den Namen für die untergeordnete Organisationsgruppe (OG) ein, der angezeigt werden soll. Verwenden Sie nur alphanumerische Zeichen. Verwenden Sie keine Sonderzeichen.

Gruppen-ID Geben Sie eine Bezeichnung für die OG ein, die Endbenutzer bei der Geräteanmeldung angeben müssen. Gruppen-IDs werden während der Registrierung von Gruppengeräten in der entsprechenden OG verwendet.

Stellen Sie sicher, dass alle Benutzer, die Geräte gemeinsam nutzen, die Gruppen-ID erhalten, da diese möglicherweise zur Geräteanmeldung erforderlich ist (je nach Konfiguration der Gemeinschaftsgeräte).

Wenn Sie sich nicht in einer lokalen Umgebung befinden, identifiziert die Gruppen-ID Ihre Organisationsgruppe über die gesamte gemeinsam genutzte SaaS-Umgebung hinweg. Aus diesem Grund müssen alle Gruppen-IDs eindeutig benannt sein.

Typ Wählen Sie den vorkonfigurierten OG-Typ, der der Kategorie der untergeordneten OG entspricht.

Land Wählen Sie das Land der OG.

Gebietsschema Wählen Sie die Sprachenklassifikation für das ausgewählte Land.

Branche des Kunden Diese Einstellung ist nur verfügbar, wenn für Typ „Kunde“ gewählt ist. Wählen Sie eine Option aus der Liste mit Kundenbranchen.

Zeitzone Wählen Sie die Zeitzone für den Standort der Organisationsgruppe aus.


Konfigurieren von GemeinschaftsgerätenÄhnlich wie beim Staging eines Einzelbenutzergeräts ermöglicht Mehrbenutzerstaging (ein „Gemeinschaftsgerät“) den IT-Administratoren, Geräte zur Verwendung durch mehr als einen Benutzer bereitzustellen.

Verfahren

1 Füllen Sie gegebenenfalls den Abschnitt Sicherheit aus.


Gemeinschaftsgeräte-Passcode verlangen

Verlangt, dass Benutzer im Self-Service-Portal eine Gemeinschaftsgerätekennung erstellen, um Geräte auszuchecken. Diese Kennung unterscheidet sich von einer Single Sign-On-Kennung oder einer Kennung der Geräteebene.

Sonderzeichen verlangen Legen Sie fest, dass Kennungen für Gemeinschaftsgeräte Sonderzeichen wie @, %, & usw. enthalten müssen.

Minimallänge für Gemeinschaftsgerätekennung

Legen Sie die minimale Zeichenlänge der Gemeinschaftsgerätekennungen fest.

Ablaufzeit (in Tagen) der Gemeinschaftsgerätekennungen

Legen Sie die Zeit (in Tagen) fest, nach der die Gemeinschaftsgerätekennung ablaufen soll.

Gemeinschaftsgerätekennung für Minimalzeit (in Tagen) beibehalten

Legen Sie einen Mindestzeitraum (in Tagen) fest, für den eine Kennung für Gemeinschaftsgeräte mindestens gültig sein muss.


VMware, Inc. 38


Kennungsverlauf Legen Sie die Anzahl der Kennungen fest, die vom System gespeichert werden, um die Sicherheit der Umgebung dadurch zu erhöhen, dass der Benutzer ältere Kennungen nicht erneut verwenden kann.

Automatische Abmeldung Legen Sie fest, dass Benutzer nach einer bestimmten Zeitspanne automatisch abgemeldet werden.

Automatische Abmeldung nach Legen Sie die Zeitspanne fest, die verstreichen muss, bevor die Funktion Automatisches Abmelden aktiviert wird. Diese können Sie in Minuten, Stunden oder Tagen angeben.

iOS-Einzel-App-Modus Aktivieren Sie dieses Kontrollkästchen, um den Einzelanwendungsmodus zu konfigurieren. Dadurch wird das Gerät auf eine einzige Anwendung beschränkt, wenn sich ein Endbenutzer auf dem Gerät anmeldet.

Um ein iOS-Gerät im Einzelanwendungsmodus auszuchecken, müssen sich Endbenutzer mit ihren Anmeldedaten anmelden. Wenn das Gerät erneut eingecheckt wird, kehrt es in den Einzelanwendungsmodus zurück.

Durch die Aktivierung des Einzelanwendungsmodus wird auch die Starttaste auf dem Gerät deaktiviert.

Hinweis Der Einzelanwendungsmodus wird nur auf überwachte iOS-Geräte angewendet.

2 Konfigurieren Sie gegebenenfalls die Abmelde-Einstellungen.


Android App-Daten löschen Löschen Sie die Anwendungsdaten, wenn sich der Benutzer von einem gemeinsam genutzten Gerät abmeldet (eincheckt).

Android-Apps neu installieren Verwenden Sie das Dropdown-Menü, um auszuwählen, ob die Anwendung bei Benutzerwechseln immer oder nie neu installiert werden soll. Bei Android (Legacy)-Bereitstellungen können Sie die APP neu installieren, wenn der Hub bei Benutzerwechseln keine Anwendungsdaten löschen kann.

Android-Gerätekennung löschen

Diese Einstellung steuert, ob die aktuelle Android-Gerätekennung gelöscht wird, wenn der Benutzer ein von mehreren Benutzern verwendetes Gerät abmeldet (eincheckt).

iOS-Gerätekennung löschen Diese Einstellung steuert, ob die aktuelle iOS-Gerätekennung gelöscht wird, wenn der Benutzer ein von mehreren Benutzern verwendetes Gerät abmeldet (eincheckt).

Anmelden bei und Abmelden von Android-GemeinschaftsgerätenUm die Gemeinschaftsgerätefunktion auf Android-Geräten zu nutzen, müssen Sie die Geräte bei Workspace ONE Intelligent Hub registrieren und den VMware Workspace ONE Launcher als standardmäßige Startseite festlegen. Der VMware Workspace ONE Launcher wird automatisch während der Registrierung heruntergeladen.

Sobald die Anwendung installiert und als standardmäßige Startseite festgelegt ist, gilt das Gerät als eingecheckt. Solange sich das Gerät in diesem Modus befindet, kann der Endbenutzer keine andere Seite aufrufen und das Gerät fordert ihn dazu auf, sich abzumelden. Um das Profil zu entfernen und das gesamte Gerät wieder verfügbar zu machen, führen Sie eine Enterprise-Löschung auf dem Staging-Benutzergerät von der Workspace ONE UEM Console aus.


VMware, Inc. 39

Verfahren

1 Auf der Anmeldeseite des VMware Workspace ONE Launchers müssen Benutzer ihre Gruppen-ID, ihren Benutzernamen und ihr Kennwort eingeben. Wenn auf der Konsole Benutzer zur Eingabe bezüglich Organisationsgruppe auffordern aktiviert ist, müssen Endbenutzer zur Anmeldung eine Gruppen-ID eingeben.

2 Wählen Sie Anmelden und akzeptieren Sie, falls zutreffend, die Nutzungsbedingungen.

Das Gerät wird konfiguriert. Nach der Anmeldung werden die Benutzerprofile per Push übertragen, je nach Smartgroup und Benutzergruppenzuordnung.

Nächste Schritte

Um sich von einem Android-Gerät abzumelden, wählen Sie die Schaltfläche Einstellungen und dann Abmelden aus.

Anmelden bei und Abmelden von iOS-GemeinschaftsgerätenSie können sich bei einem iOS-Gerät an- und abmelden, das von mehreren Benutzern verwendet wird.

Nächste Schritte

Tippen Sie auf Abmelden im Abschnitt Gemeinschaftsgeräte.

Hinweis Wenn das Gemeinschaftsgerät abgemeldet wird, werden die Kennung des Geräts und die Single Sign-On-Kennung ohne Warnung oder Benachrichtigung gelöscht. Befindet sich ein Gerät in diesem Status, kann der nächste Benutzer eine neue Kennung konfigurieren.

An- und Abmelden auf macOS-GemeinschaftsgerätenDurch die Aktivierung der automatischen Übertragung von Geräteprofilen können sich mehrere Benutzer bei einem macOS-Gemeinschaftsgerät an- und abmelden.

Anmelden bei einem macOS-Gerät – Sie können sich unter Verwendung von zugewiesenen Anmeldedaten für das Netzwerk bei einem bereitgestellten macOS-Gerät anmelden und erhalten die Profile, die Ihrem Konto in Workspace ONE UEM zugewiesen wurden.

Abmelden von einem macOS-Gerät – Beim standardmäßigen macOS-Abmeldeverfahren wird das Gerät auch bei Ihrem zugewiesenen Workspace ONE UEM-Benutzerprofil abgemeldet.

Einchecken eines gemeinsam genutzten Geräts über die UEM-KonsoleSie können ein Gerät direkt über die Workspace ONE UEM Console einchecken, damit der Endbenutzer das Gerät nicht unter Verwendung des installierten Workspace ONE Intelligent Hub einchecken muss.

Wenn Sie ein Gerät über die UEM-Konsole einchecken, setzen Sie effektiv die Registrierung auf den Benutzer des Mehrgeräte-Staging mit den vorgeschriebenen Angaben für die Organisationsgruppe, Profile, Anwendungen usw. zurück. Auf der Geräteseite wird der Workspace ONE Intelligent Hub neu gestartet und der Check-Out-Bildschirm wird angezeigt.


VMware, Inc. 40

Diese Funktion gilt derzeit ausschließlich für iOS-Geräte. Geräte, die mit einer anderen Methode als dem Workspace ONE Intelligent Hub registriert wurden (z. B. über eine direkte Registrierung, Workspace ONE oder Container), werden nicht unterstützt. Das Einchecken von Geräten im Massenverfahren über die Konsole wird nicht unterstützt.

Verfahren

1 Navigieren Sie zu Geräte > Listenansicht und suchen Sie nach dem gemeinsam genutzten iOS-Gerät, das Sie einchecken möchten.

2 Wählen Sie den Anzeigenamen des Geräts aus, um die Gerätedetails anzuzeigen.

3 Klicken Sie in der oberen rechten Ecke des Bildschirms auf die Schaltfläche Weitere Aktionen.

4 Wählen Sie unter dem Abschnitt Management die Option Gerät einchecken aus.

Aktivieren der auf einem Verzeichnisdienst basierenden RegistrierungDie Registrierung über Verzeichnisdienste bezieht sich auf den Vorgang zur Integration von Workspace ONE UEM in die Verzeichnisdienstinfrastruktur Ihrer Organisation. Durch diese Form der Integration Ihres Verzeichnisdiensts können Sie Benutzer und optional Benutzergruppen wie Sicherheitsgruppen und Verteilerlisten automatisch importieren.

Bei der Integration in einen Verzeichnisdienst wie Active Directory (AD) stehen Optionen zum Importieren von Benutzern zur Verfügung.

n Allen Verzeichnisbenutzern die Registrierung gestatten – Sie können allen Verzeichnisdienstbenutzern die Registrierung gestatten. Zudem können Sie Ihre Umgebung so konfigurieren, dass Benutzer basierend auf ihrer E-Mail-Adresse automatisch erkannt werden. Erstellen Sie anschließend ein Workspace ONE UEM-Benutzerkonto für die Benutzer bei der Durchführung einer Registrierung.

n Benutzer nacheinander hinzufügen – Nach der Integration in einen Verzeichnisdienst können Sie Benutzer einzeln auf dieselbe Art und Weise hinzufügen wie bei der Erstellung von Workspace ONE UEM-Standardbenutzerkonten. Der einzige Unterschied besteht darin, dass Sie Ihren Benutzernamen eingeben und Benutzer prüfen auswählen müssen, damit die verbleibenden Informationen in Ihrem Verzeichnisdienst automatisch aufgefüllt werden.

n CSV-Datei per Batch-Upload hochladen – Mithilfe dieser Option können Sie eine Liste von Verzeichnisdienstkonten in einer CSV-Vorlagendatei (Comma-Separated Values) importieren. Die Datei enthält bestimmte Spalten, von denen einige nicht leer sein dürfen.

n In Benutzergruppen integrieren (optional) – Durch diese Methode können Sie mit Ihren vorhandenen Benutzergruppenmitgliedschaften Profile, Apps, Konformitätsrichtlinien etc. zuweisen.

Hinweis Weitere Informationen zur Integration Ihrer Workspace ONE UEM-Umgebung in Ihren Verzeichnisdienst finden Sie im VMware AirWatch Directory Services Guide. Wenn Sie die Integration von Workspace ONE UEM in einen SAML-Anbieter in Erwägung ziehen, lesen Sie den VMware AirWatch SAML Integration Guide; beide Dokumentationen sind unter docs.vmware.com verfügbar.


VMware, Inc. 41

NachschlagewerteEin Nachschlagewert ist eine Variable, die für ein bestimmtes Datenelement eines Geräts, Benutzers oder Administratorkontos in Workspace ONE UEM powered by AirWatch und Workspace ONE Express steht. Nachschlagewerte können sehr nützlich sein, um einen Prozess oder ein Formular abzuschließen.

In mehreren verschiedenen Textfeldern in der Workspace ONE UEM Console und Workspace ONE Express können Sie anstelle manuell eingegebener oder statischer Werte Nachschlagewerte hinzufügen. In den meisten Fällen dienen Nachschlagewerte als Ersatz für eine Angabe, die Sie nicht kennen oder auf die Sie keinen Zugriff haben.

So wird beispielsweise die Seite Gerät hinzufügen zum Hinzufügen eines Geräts zu Ihrer Flotte verwendet. Eines der Textfelder auf dieser Seite, das mithilfe von Nachschlagewerten ausgefüllt werden kann, ist Voraussichtlicher Anzeigename.

Der Anzeigename stellt das Gerät auf vielen verschiedenen Seiten in der UEM-Konsole dar, einschließlich der Seiten Gerätelistenansicht und Detailansicht. Sie können einen statischen Anzeigenamen zwar manuell eingeben, wenn Sie ein Gerät hinzufügen, doch Sie können stattdessen Nachschlagewerte verwenden, um den Anzeigenamen zu standardisieren und zu einem wertvollen Bezeichner zu machen.

Ein gängiges Format für Anzeigenamen kann mit den folgenden Nachschlagewerten erstellt werden.

{EnrollmentUser} {DeviceModel} {DeviceOperatingSystem} {DeviceSerialNumberLastFour}

Wenn Sie die oben genannten in Werte in das Textfeld Voraussichtlicher Anzeigename eingeben, wird ein Anzeigename erzeugt, der auf der Seite Gerätelistenansicht so angezeigt wird.

jsmith iPad iOS GHKD

Dieser Anzeigename liefert Ihnen sofort mindestens drei nützliche Angaben. Und mit den letzten vier Stellen der Seriennummer des Geräts am Ende ist der Anzeigename praktisch garantiert eindeutig.

Daten-OverheadWenn diese Option verwendet wird, belasten Nachschlagewerte den Arbeitsspeicher des Geräts nicht zusätzlich. Nachschlagewerte stellen ein Konstrukt der Konsole selbst dar und sind keine Werte, die an das Gerät übertragen werden.

Statische Zeichenfolgen im Vergleich zu NachschlagewertenNachschlagewerte können nicht angewendet werden, sobald eine statische Zeichenfolge in ein Textfeld eingegeben wurde.


VMware, Inc. 42

Beispiel: Angenommen, Sie müssen 100 Geräte registrieren. Sie fügen die ersten 50 Geräte mithilfe einer manuell eingegebenen statischen Zeichenfolge für Voraussichtlicher Anzeigename hinzu. Für die nächsten 50 Geräte verwenden Sie stattdessen einen Nachschlagewert für Voraussichtlicher Anzeigename. Diese 100 Geräte, bei denen die Hälfte statische Anzeigenamen aufweist und die andere Hälfte Nachschlagewerte, können problemlos koexistieren. Statische Zeichenfolgen und Nachschlagewerte können ohne Weiteres nach Belieben kombiniert werden.

Sie können allerdings bei den ersten 50 Geräten die statische Zeichenfolge nicht durch einen Nachschlagewert ersetzen.

Benutzerdefinierte NachschlagewerteSie können die Funktion für benutzerdefinierte Attribute verwenden, um Ihre eigenen Nachschlagewerte zu erstellen. Sie können diese benutzerdefinierten Nachschlagewerte dann auf die gleiche Weise wie normale Nachschlagewerte verwenden. Weitere Informationen dazu finden Sie unter Erstellen von benutzerdefinierten Attributen.

Auflistung der NachschlagewerteEine umfassende Auflistung der Nachschlagewerte einschließlich der Seiten in Workspace ONE UEM, auf denen sie abgerufen werden, finden Sie unter https://support.workspaceone.com/articles/115001663908.


VMware, Inc. 43

https://support.workspaceone.com/articles/115001663908


Geräteregistrierung 2Die Registrierung eines Geräts ist erforderlich, bevor das Gerät in der Workspace ONE UEM powered by AirWatch verwaltet werden kann. Es gibt mehrere Registrierungspfade, wobei für jeden Pfad unterschiedliche Optionen zur Verfügung stehen.

Registrieren von Geräten auf globaler EbeneDie globale Organisationsgruppe (OG) ist für die Aufnahme von OGs vom Typ „Kunde“ und anderer Typen konzipiert. Wenn Sie Geräte zur globalen Ebene hinzufügen und die globale Ebene mit Einstellungen für diese Geräte konfigurieren, sind alle untergeordneten Kunden-OGs aufgrund der Funktionsweise der Vererbung ebenfalls davon betroffen. Dies reduziert die Vorteile bezüglich der Mandantenfähigkeit und Vererbung.

Weitere Informationen finden Sie unter Bedenken hinsichtlich der Geräteregistrierung auf globaler Ebene.


n Registrieren eines Geräts mithilfe von Workspace ONE Intelligent Hub

n Zusätzliche Registrierungsabläufe

n Workspace ONE Direct Enrollment

n Standardregistrierung vs. Registrierung durch Verzeichnisdienste

n BYOD-Registrierung (Bring Your Own Device)

n Eigenständige Registrierung vs. Geräte-Staging

n Geräteeintragung

n Konfigurieren von Registrierungsoptionen

n Geräteeinträge auf Blacklists bzw. Whitelists

n Zusätzliche Registrierungsrestriktionen

n Registrierung über AutoErmittlung

VMware, Inc. 44

Registrieren eines Geräts mithilfe von Workspace ONE Intelligent HubDie Registrierung eines Geräts mithilfe von Workspace ONE Intelligent Hub ist für Android-, iOS- und Windows-Geräte die häufigste Form.

Verfahren

1 Navigieren Sie über den systemeigenen Browser des zu registrierenden Geräts zu AWAgent.com.

Workspace ONE UEM erkennt automatisch, ob Workspace ONE Intelligent Hub bereits installiert ist, und leitet bei Bedarf zum entsprechenden Store für mobile Anwendungen um, sodass Workspace ONE Intelligent Hub heruntergeladen werden kann.

Zum Herunterladen des Workspace ONE Intelligent Hub von einem öffentlichen App Store wird entweder eine Apple-ID oder ein Google-Konto benötigt.

2 Führen Sie den Workspace ONE Intelligent Hub nach dem Download aus oder kehren Sie zu Ihrer Browsersitzung zurück.

Wichtig Um eine erfolgreiche Installation und Ausführung des Workspace ONE Intelligent Hub sicherzustellen, muss auf Ihrem Android-Gerät mindestens 60 MB freier Speicherplatz vorhanden sein. CPU und Laufzeitspeicher werden pro Anwendung auf der Android-Plattform zugeteilt. Verwendet eine Anwendung mehr als zugewiesen, führt das Android-Gerät eine Optimierung durch, indem es die Anwendung schließt.

3 Geben Sie Ihre E-Mail-Adresse ein. Workspace ONE UEM überprüft, ob Ihre Adresse bereits vorher der Umgebung hinzugefügt wurde. In diesem Fall sind Sie als Endbenutzer bereits konfiguriert, und Ihre Organisationsgruppe wurde bereits zugewiesen.

Falls Workspace ONE UEM Sie nicht mit Ihrer E-Mail-Adresse als Endbenutzer identifizieren kann, werden Sie aufgefordert, Ihre Umgebungs-URL, Gruppen-ID und Anmeldedaten einzugeben. Bei Bedarf kann Ihnen Ihr Workspace ONE UEM-Administrator die Umgebungs-URL und Gruppen-ID zur Verfügung stellen.

4 Schließen Sie die Registrierung ab, indem Sie alle verbleibenden Eingabeaufforderungen befolgen. Sie können Ihre E-Mail-Adresse anstatt des Benutzernamens verwenden. Wenn zwei Benutzer dieselbe E-Mail-Adresse haben, schlägt die Registrierung fehl.

Zusätzliche RegistrierungsabläufeIn Einzelfällen muss der Registrierungsprozess bestimmten Organisationen und Bereitstellungen angepasst werden. Für jede der zusätzlichen Registrierungsoptionen benötigen Endbenutzer die in dem Abschnitt „Erforderliche Informationen“ dieses Leitfadens aufgelisteten Anmeldedaten.

n Umgebungen mit mehreren Domänen – Die Registrierungsanmeldung in Umgebungen mit nur einer Domäne und in Umgebungen mit mehreren Domänen wird unterstützt, sofern sie im folgenden Format durchgeführt wird. Domäne\Benutzername.


VMware, Inc. 45

https://www.awagent.com/

n Kiosk-Modus und Kiosk-Designer – Endbenutzer von Windows-Desktops können ihre Desktop-Geräte im Kiosk-Modus konfigurieren. Die Benutzer können auch den Kiosk-Designer in der Workspace ONE UEM-Konsole verwenden, um einen Kiosk mit mehreren Apps zu erstellen.

n Registrierung auf Aufforderung per Benachrichtigung – Endbenutzer erhalten eine Benachrichtigung (E-Mail und SMS) mit einer Registrierungs-URL und geben ihre Gruppen-ID sowie Anmeldedaten ein. Wenn der Endbenutzer die Nutzungsbedingungen akzeptiert, wird das Gerät automatisch registriert und mit allen MDM-Funktionen und Inhalten versorgt. Dieses Akzeptieren umfasst ausgewählte Apps und Funktionen vom Workspace ONE UEM-Server.

n Einfachklickregistrierung – In diesem für webbasierte Registrierungen geltenden Ablauf sendet der Administrator dem Benutzer ein von Workspace ONE UEM generiertes Token sowie eine Registrierungslink-URL. Der Benutzer muss lediglich auf den zur Verfügung gestellten Link klicken, um das Gerät zu authentifizieren und zu registrieren. Dies ist der einfachste und schnellste Registrierungsprozess für den Endbenutzer. Dieser Vorgang kann dabei auch durch die Festlegung von Ablaufzeiten erfolgen.

n Webregistrierung – Es gibt eine optionale Willkommensseite, die Administratoren für Webregistrierungen aufrufen können, indem sie der aktiven Umgebung „/enroll/welcome“ hinzufügen. Durch die Bereitstellung der URL https://<custenvironment > /enroll/welcome für Benutzer, die an der Webregistrierung teilnehmen, wird beispielsweise der Bildschirm „Willkommen bei Workspace ONE UEM“ angezeigt. Dieser Bildschirm umfasst Optionen zur Registrierung mit einer E-Mail-Adresse oder Gruppen-ID. Die Option „Webregistrierung“ gilt ab Workspace ONE UEM Version 8.0.

n 2-Faktor-Authentifizierung – Bei diesem Ablauf sendet der Administrator dasselbe von Workspace ONE UEM generierte Registrierungstoken. Der Benutzer muss jedoch auch seine Anmeldedaten eingeben. Diese Methode ist ebenso einfach wie die Einfachklickregistrierung, bietet aber zusätzliche Sicherheit. Die zusätzliche Sicherheitsmaßnahme erfordert vom Benutzer die Eingabe seiner eindeutigen Anmeldedaten.

n Endbenutzerregistrierung – Der Benutzer meldet sich beim Self-Service-Portal (SSP) an und registriert seine Geräte. Sobald die Registrierung abgeschlossen ist, sendet das System dem Endbenutzer eine E-Mail mit der Registrierungs-URL und den Anmeldedaten. Bei diesem Ablauf wird davon ausgegangen, dass Administratoren noch keine Geräteregistrierung für eine Unternehmensgeräteflotte durchgeführt haben. Es wird zudem angenommen, dass Sie für Unternehmensgeräte eine Registrierung erfordern, damit der Registrierungsstatus von Administratoren nachverfolgt werden kann. Endbenutzerregistrierung bedeutet außerdem, dass Unternehmensgeräte zusammen mit vom Benutzer erworbenen Geräten verwendet werden können.

n Einzelbenutzergeräte-Staging – Der Administrator registriert Geräte im Auftrag eines Endbenutzers. Diese Methode ist für Administratoren nützlich, die mehrere Geräte für ein gesamtes Team oder einzelne Mitglieder eines Teams einrichten. Dadurch werden Endbenutzern die Zeit und Mühe erspart, ihre Geräte selbst registrieren zu müssen. Der Administrator kann Geräte auch konfigurieren, registrieren und auswärtigen Benutzern dann per Post schicken.


VMware, Inc. 46

n Mehrbenutzergeräte-Staging – Der Administrator registriert Geräte, die von mehreren Benutzern verwendet werden. Jedes Gerät wird mit einem bestimmten Satz an Funktionen registriert und bereitgestellt, wobei Benutzer erst auf die Funktionen zugreifen können, nachdem sie sich mit eindeutigen Anmeldedaten angemeldet haben.

Weitere Informationen finden Sie unter folgenden Themen.

Aktivieren von Registrierungstokens und Erstellen einer Standardnachricht.

Endbenutzer-Geräteeintragung.

Geräteeintragung.

Bereitstellen eines Einzelbenutzergeräts (Staging).

Bereitstellen eines Mehrbenutzergeräts (Staging).

Workspace ONE Direct EnrollmentDie direkte Registrierung mithilfe von VMware Workspace ONE ™ ™ ist die einfachste Methode für den Einstieg mit unternehmenseigenen und persönlich aktivierten Geräten (COPE).

Das COPE-Modell bietet Unternehmen eine Möglichkeit, einen Ausgleich zwischen der Konsumerisierung der Geräte einerseits und der für die IT erforderliche Sicherheit und Kontrolle andererseits zu finden. Als Administrator können Sie eine optionale Eingabeaufforderung konfigurieren, Einschränkungen nach Gerätetyp hinzufügen, Einschränkungen nach Benutzergruppe durchführen und die Installation von Anwendungen den jeweiligen Benutzern überlassen.

Unterstützte Registrierungsoptionen in Workspace ONEDer Großteil der vorhandenen Registrierungsoptionen wird in der direkten Registrierung (Direct Enrollment) bei Workspace ONE unterstützt. Die meisten Optionen, die noch nicht unterstützt werden, sind für ein künftiges Release von Workspace ONE UEM geplant.

Weitere Informationen finden Sie unter Workspace ONE Direct Enrollment – unterstützte Optionen.

Aktivieren der direkten Registrierung in Workspace ONEDa die Option der direkten Registrierung bei Workspace ONE standardmäßig für jede Organisationsgruppe deaktiviert ist, müssen Sie sie selbst aktivieren. Die Optionen für eine übergeordnete Vererbung und eine untergeordnete Überschreibung finden bei Lösungen mit maximaler Mandantenfähigkeit Anwendung.

Weitere Informationen finden Sie unter Aktivieren der direkten Registrierung bei Workspace ONE.

Registrieren Ihres Geräts mit Workspace ONE Direct EnrollmentWenn Workspace ONE Direct Enrollment aktiviert ist, sind Sie sofort registriert, wenn Sie sich bei der Registrierungsorganisationsgruppe mit einem qualifizierenden Gerät mit der Workspace ONE-Anwendung anmelden.

Weitere Informationen finden Sie unter Registrieren Ihres Geräts mit Workspace ONE Direct Enrollment.


VMware, Inc. 47

Workspace ONE Direct Enrollment – unterstützte OptionenDie Funktion Workspace ONE Direct Enrollment kann in Verbindung mit vielen der bestehenden Registrierungsoptionen und Plattformen genutzt werden, die bereits vor der Entwicklung dieser Funktion verfügbar waren.

Für die direkte Registrierung bei Workspace ONE ™ ™ werden die folgenden Plattformen und Registrierungsoptionen unterstützt.

Unterstützte Plattformenn iOS

n Android Legacy

n Android Enterprise

Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung, wählen Sie jede entsprechende Registerkarte und treffen Sie Ihre Auswahl basierend auf der Kompatibilität mit Workspace ONE Direct Enrollment.

AuthentifizierungDie folgenden Authentifizierungsoptionen sind kompatibel mit Workspace ONE Direct Enrollment.

n Verzeichnisbenutzer.

n SAML plus Active Directory-Benutzer werden gleichzeitig unterstützt. SAML ohne LDAP-Benutzer wird unterstützt, solange der Benutzerdatensatz in Workspace ONE UEM zum Zeitpunkt der ersten Anmeldung bereits vorhanden ist.

Standardbenutzer, Staging-Benutzer, SAML ohne Directory-Benutzer und Authentifizierungsproxy-Benutzer werden derzeit nicht unterstützt.

n Offene Registrierung.

n Workspace ONE überprüft nicht, ob ein Workspace ONE Intelligent Hub für iOS- und macOS-Einstellungen erforderlich ist, die verwendet werden, um die Webregistrierung auf ihren entsprechenden Plattformen zu blockieren.

NutzungsbedingungenAlle Optionen für die Nutzungsbedingungen sind mit Workspace ONE Direct Enrollment kompatibel.

GruppierungAlle Gruppierungsoptionen sind kompatibel mit Workspace ONE Direct Enrollment.

EinschränkungenDie folgenden Einschränkungsoptionen sind kompatibel mit Workspace ONE Direct Enrollment.

n Bekannte Benutzer und konfigurierte Gruppen.

n Grenzwert für maximal registrierte Geräte.


VMware, Inc. 48

n Richtlinieneinstellungen werden teilweise unterstützt.

n Zulässige Besitztypen – Workspace ONE fordert diese nur für „Mitarbeitereigen“ und „Unternehmen – Dediziert“. Wenn Sie keine der Optionen bevorzugen, deaktivieren Sie die optionale Eingabeaufforderung und verwenden den standardmäßigen Zuständigkeitstyp.

n Zulässige Registrierungstypen werden nicht unterstützt.

n Geräteplattform, Gerätemodell und OS-Einschränkungen werden nicht unterstützt.

n Restriktionen für Benutzergruppen.

Optionale EingabeaufforderungenDie folgenden optionalen Eingabeaufforderungsoptionen sind kompatibel mit Workspace ONE Direct Enrollment.

n Eingabeaufforderung für Gerätezuständigkeit.

n Eingabeaufforderung für die Anlagennummer (nur unterstützt, wenn Eingabeaufforderung für Gerätezuständigkeit aktiviert ist).

n Alle anderen optionalen Eingabeaufforderungen werden nicht unterstützt.

AnpassungDie folgenden Optionen zur Anpassung sind kompatibel mit Workspace ONE Direct Enrollment.

n Benutzerspezifische Nachrichtenvorlage für jede Plattform.

n Ziel-URL nach Registrierung (nur iOS).

n MDM-Profilnachricht (nur iOS).

n Benutzerdefinierte MDM Apps verwenden.

n Enrollment Support Email und Enrollment Support Phone werden nicht unterstützt.

Staging-Geräte-Staging über Workspace ONE Direct Enrollment wird nicht unterstützt. Wenn Sie ein Gerät für einen oder mehrere Benutzer bereitstellen müssen, muss es mit Workspace ONE Intelligent Hub anstelle von Workspace ONE Direct Enrollment registriert werden.

Aktivieren der direkten Registrierung bei Workspace ONESie müssen Workspace ONE ™ Direct Enrollment in Ihrer bevorzugten Organisationsgruppe (OG) aktivieren. Danach werden alle entsprechenden Geräte registriert, die sich zum ersten Mal in Workspace ONE UEM anmelden. Nicht qualifizierte Geräte, die außerhalb der von Ihnen definierten Kriterien liegen, werden in einem nicht verwalteten Zustand oder im Container-Zustand registriert.

Die Funktion Direct Enrollment ist standardmäßig deaktiviert. Führen Sie zum Aktivieren der direkten Registrierung bei Workspace ONE die folgenden Schritte aus.


VMware, Inc. 49

Verfahren

1 Wechseln Sie zur Organisationsgruppe, für die Sie Workspace ONE Direct Enrollment aktivieren möchten.

2 Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Restriktionen.

3 Wählen Sie bei Bedarf die Option zum Überschreiben der übergeordneten OG-Einstellungen aus.

4 Scrollen Sie zu Management-Anforderungen für Workspace ONE und wählen Sie Ihre Konfigurationsoptionen.


MDM für Workspace ONE fordern

Fordern Sie qualifizierte Geräte und Benutzer direkt nach der Anmeldung bei Workspace ONE zur sofortigen Registrierung auf.

Geräte außerhalb der festgelegten Kriterien sind berechtigt, sich in einem nicht verwalteten Zustand zu registrieren, und werden unter Umständen später verwaltet (Adaptive Management).

Zugewiesene Benutzergruppe

Diese Einstellung legt die Benutzergruppe fest, die Sie in den Vorgang für die direkte Registrierung aufnehmen möchten. Sie können auch Alle Benutzer wählen. Dies ist die Standardauswahl, wenn Sie MDM für Workspace ONE anfordern aktivieren.

iOS Aktivieren Sie diese Einstellung, um iOS-Geräte aufzunehmen. Wenn diese Option deaktiviert ist, können iOS-Geräte zwar nicht direkt, aber in einem nicht verwalteten Zustand in Workspace ONE UEM registriert werden.

Android Legacy Aktivieren Sie diese Option, um ältere Android-Geräte aufzunehmen. Wenn diese Option deaktiviert ist, können ältere Android-Geräte zwar nicht direkt, aber in einem nicht verwalteten Zustand in Workspace ONE UEM registriert werden.

Android Enterprise Aktivieren Sie diese Einstellung, um Android Enterprise-Geräte aufzunehmen. Wenn diese Option deaktiviert ist, können Android Enterprise-Geräte zwar nicht direkt, aber in einem nicht verwalteten Zustand in Workspace ONE UEM registriert werden.


Ergebnisse

Es werden nur unterstützte Optionen, die auf den anderen Registrierungsregisterkarten konfiguriert wurden, auf die von Ihnen gespeicherten Konfigurationen für die direkte Registrierung angewendet.

Nächste Schritte

Nachdem Workspace ONE Direct Enrollment aktiviert wurde, lautet der nächste Schritt: Registrieren Ihres Geräts mit Workspace ONE Direct Enrollment. Weitere Informationen über die Optionen für die direkte Registrierung bei Workspace ONE und Registrierungsoptionen im Allgemeinen finden Sie unter Workspace ONE Direct Enrollment – unterstützte Optionen und Konfigurieren von Registrierungsoptionen.


VMware, Inc. 50

Registrieren Ihres Geräts mit Workspace ONE Direct EnrollmentWenn Workspace ONE ™ ™ Direct Enrollment aktiviert ist, sind Sie sofort registriert, wenn Sie sich bei der Registrierungsorganisationsgruppe mit einem qualifizierenden Gerät und Benutzer mit der Workspace ONE-Anwendung anmelden.

Ihre Benutzer erhalten auch die Möglichkeit, Anwendungen sofort zu installieren, die Ihr Unternehmen als nützlich empfindet. Alternativ können sie diesen Schritt überspringen und Anwendungen zu einem späteren Zeitpunkt installieren. Zur Geräteregistrierung mit Workspace ONE Direct Enrollment muss ein Endbenutzer die folgenden Schritte befolgen:

Verfahren

1 Laden Sie die Workspace ONE-Anwendung über den plattformspezifischen App Store oder das Repository herunter, installieren Sie sie und führen Sie sie aus.

2 Geben Sie die Server-URL oder E-Mail-Adresse ein.

3 Geben Sie den Benutzernamen und das Kennwort Ihres Verzeichnisdienstes ein.

4 Bestätigen Sie für Ihre Plattform spezifische Schritte, um Workspace-Dienste zu installieren oder zu aktivieren.

a iOS – Erlauben Sie dem Server, die Einstellungen zu öffnen, geben Sie Ihre Gerätekennung ein, installieren Sie ein nicht signiertes Geräteprofil und öffnen Sie eine Seite in Workspace.

b Android Legacy – Installieren Sie Workspace ONE Intelligent Hub, erlauben Sie ihm das Durchführen und Verwalten von Telefonanrufen, wählen Sie die Zuständigkeit für Ihr Gerät mit der Option, eine Anlagennummer des Geräts einzugeben, aktivieren Sie die Admin-Anwendung des Geräts und melden Sie sich dann bei Workspace ONE an.

c Android Enterprise – Akzeptieren Sie die Nutzungsbedingungen (oder lehnen Sie sie ab), richten Sie das Arbeitsprofil ein und erstellen Sie die Workspace ONE-Kennung.

5 Sobald Workspace ONE die Installation abgeschlossen hat, können Sie Fortfahren, um Apps zu installieren.

6 Sie können Apps aus einer Liste auswählen und einzeln installieren, Alle installieren oder diesen Schritt vollständig Überspringen.

Standardregistrierung vs. Registrierung durch VerzeichnisdiensteWenn Sie eine Verzeichnisdienstinfrastruktur wie Active Directory (AD), Lotus Domino und Novell eDirectory haben, können Sie vorhandene Benutzer und Gruppen in Workspace ONE UEM anwenden. Wenn Sie noch keine Verzeichnisdienstinfrastruktur besitzen oder entschieden haben, eine Integration


VMware, Inc. 51

ohne diese durchzuführen, müssen Sie eine Standardregistrierung durchführen. Bei der Standardregistrierung werden Benutzerkonten in der UEM-Konsole manuell erstellt.

Hinweis Workspace ONE UEM unterstützt zwar eine Kombination aus Standard- und verzeichnisbasierten Benutzern, allerdings wird in der Regel nur eine der Methoden für die Erstregistrierung von Benutzern und Geräten verwendet.

Vor- und Nachteile

Vorteile Nachteile

Standardregistrierung n Kann für jede Bereitstellungsmethode verwendet werden.

n Erfordert keine technische Integration.

n Erfordert keine Unternehmensinfrastruktur.

n Kann sich bei möglicherweise mehreren Organisationsgruppen registrieren.

n Anmeldedaten existieren nur in Workspace ONE UEM und stimmen mit vorhandenen Unternehmensanmeldedaten nicht unbedingt überein.

n Bietet keine Verbundsicherheit.

n Single Sign-On wird nicht unterstützt.

n Workspace ONE UEM speichert alle Benutzernamen und Kennwörter.

n Kann nicht für Workspace ONE Direct Enrollment verwendet werden.

Registrierung mit Verzeichnisdiensten

n Endbenutzer authentifizieren sich mit vorhandenen Unternehmensanmeldedaten.

n Erkennt und synchronisiert Änderungen vom Verzeichnissystem automatisch in Workspace ONE UEM. Wenn Sie beispielsweise Benutzer in AD deaktivieren, wird das entsprechende Benutzerkonto in Workspace ONE UEM Console als inaktiv markiert.

n Diese Vorgehensweise stellt eine sichere Methode zur Integration in Ihren bestehenden Verzeichnisdienst dar.

n Sie bietet eine Standardintegrationsmethode.

n Kann für Workspace ONE Direct Enrollment verwendet werden.

n SaaS-Bereitstellungen mit AirWatch Cloud Connector erfordern keine Firewall-Änderungen und bieten eine sichere Konfiguration für andere Infrastrukturen wie Microsoft ADCS-, SCEP- und SMTP-Server.

n Erfordert eine vorhandene Verzeichnisdienstinfrastruktur.

n SaaS-Bereitstellungen erfordern zusätzliche Konfiguration, da AirWatch Cloud Connector hinter der Firewall oder in einer DMZ installiert ist.

Verzeichnisdienst-Integration und RegistrierungseinschränkungenWenn die Verzeichnisdienstintegration in Workspace ONE UEM konfiguriert ist, erben die Verzeichnisdienstkonten die Registrierungseinstellungen von der Organisationsgruppe (OG), mit der der Verzeichnisdienst konfiguriert wird. Standardkonten orientieren sich jedoch an den lokalen Einstellungen einschließlich Überschreibungen.


VMware, Inc. 52

Nehmen Sie das obige Organisationsgruppen-Modell als Beispiel, und gehen Sie davon aus, dass die Option Enterprise Wipe-Geräte von Benutzern, die aus konfigurierten Gruppen entfernt wurden in der Organisationsgruppe mit dem Namen „Kunde“ aktiviert ist.

In diesem Szenario werden Verzeichnis-Registrierungsbenutzern in der untergeordneten Organisationsgruppe Sales01, die eine konfigurierte Gruppe verlassen, ihre Geräte als gelöscht angezeigt, obwohl in dieser OG die Überschreibung konfiguriert wurde. Dies gilt auch, wenn diese Konten über Geräte verfügen, die in einer anderen OG registriert sind, da die Registrierungseinstellungen Benutzerorientiert und nicht geräteorientiert sind.

Allerdings werden in diesem Szenario Geräte von standardmäßigen Registrierungsbenutzern der Sales01-OG, die die konfigurierte Gruppe verlassen, nicht gelöscht. Dies liegt daran, dass standardmäßige Registrierungsbenutzer in Sales01 nicht Teil des in der OG integrierten Verzeichnisdienstes sind und deshalb die überschriebene Registrierungseinschränkung erkannt und erfüllt wird.

Überlegungen zur Registrierung – standardmäßige vs. verzeichnisbasierte RegistrierungNeben den bestehenden Vor- und Nachteilen von Standard- und Verzeichnisbenutzern sollten Sie bei der Registrierung von Endbenutzern auch die folgenden Fragen berücksichtigen.

Informationen zu den Vor- und Nachteilen der Standard- und verzeichnisbasierten Registrierung finden Sie unter Standardregistrierung vs. Registrierung durch Verzeichnisdienste.

Punkt 1: Wer kann sich registrieren?Beachten Sie bei der Beantwortung dieser Frage Folgendes.

n Dient Ihre MDM-Bereitstellung dazu, Geräte für alle Benutzer Ihrer Organisation mit oder unter der von Ihnen konfigurierten Basis-DN * zu verwalten? Falls dies der Fall ist, können Sie allen Benutzern die Registrierung erlauben, indem die Kontrollkästchen zur Beschränkung der Registrierung deaktiviert werden.

Sie können allen Benutzern die Registrierung bei der ersten Einführung der Bereitstellung gestatten und im Anschluss die Registrierung beschränken, um zu verhindern, dass sich unbekannte Benutzer registrieren. Diese Änderungen werden beim Hinzufügen neuer Mitarbeiter oder Mitglieder zu vorhandenen Benutzergruppen durch Ihre Organisation synchronisiert und zusammengeführt.

n Sollen bestimmte Benutzer oder Gruppen nicht in MDM eingeschlossen werden? Falls dies der Fall ist, müssen Sie die Benutzer entweder nacheinander hinzufügen oder eine CSV-Datei (Comma-Separated Value) mit ausschließlich berechtigten Benutzern stapelweise importieren.

Wenn Sie bestimmte Benutzer und Gruppen einschränken möchten, finden Sie weitere Informationen unter Konfigurieren von Registrierungsrestriktionseinstellungen.


VMware, Inc. 53

Punkt 2: Wie erfolgt die Zuweisung von Benutzern?Ein weiterer Punkt, der bei der Integration Ihrer Workspace ONE UEM-Umgebung in Verzeichnisdienste berücksichtigt werden muss, ist die Art und Weise, wie Sie bei einer Registrierung Organisationsgruppen Verzeichnisbenutzer zuweisen. Beachten Sie bei der Beantwortung dieser Frage Folgendes.

n Haben Sie eine Organisationsgruppenstruktur erstellt, die der Logik Ihrer Verzeichnisdienstgruppen entspricht? Sie können Benutzergruppenzuweisungen erst bearbeiten, nachdem Sie diese Aufgabe durchgeführt haben.

n Wenn Ihre Benutzer ihre eigenen Geräte registrieren, ist die Option zum Auswählen einer Gruppen-ID aus einer Liste einfach durchzuführen. Menschliches Fehlverhalten ist ein zu berücksichtigender Faktor, der zu falschen Gruppenzuweisungen führen kann.

Sie können basierend auf einer Benutzergruppe eine Gruppen-ID auswählen oder Benutzern die Auswahl einer Gruppen-ID aus einer Liste ermöglichen. Die Optionen für den Gruppen-ID-Zuweisungsmodus finden Sie unter Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung auf dem Tab Gruppierung.

Weitere Informationen zur Konfiguration von Optionen für Gruppen-IDs finden Sie unter Konfigurieren von Registrierungsoptionen auf der Registerkarte „Gruppierung“.

* Der Basis-DN oder definierte Name ist der Punkt, von dem aus ein Server nach Benutzern sucht. Ein definierter Name ist ein Name, der einen Eintrag im Verzeichnis eindeutig identifiziert. Jeder Eintrag im Verzeichnis verfügt über einen DN.

Aktivieren der StandardregistrierungDie Standardregistrierung bezieht sich auf den Vorgang zur manuellen Erstellung von Benutzerkonten und -gruppen für alle Benutzer Ihrer Organisation. Wenn Ihre Organisation über keine Workspace ONE UEM-Integration in einem Verzeichnisdienst verfügt, sind Benutzerkonten über die Standardregistrierung zu erstellen.

Wenn Sie einige grundlegende Konten erstellen möchten, erstellen Sie sie nacheinander, wie in „Erstellen von Standardbenutzerkonten“ beschrieben.

Bei der Standardregistrierung für eine größere Anzahl von Endbenutzern können Sie dadurch Zeit sparen, dass Sie CSV-Vorlagendateien (Comma-separated Values) ausfüllen und hochladen. Diese Dateien enthalten alle Benutzerdaten über die Funktion zum Batchimport. Weitere Informationen finden Sie im Thema „Batch-Import von Benutzern oder Geräten“.

BYOD-Registrierung (Bring Your Own Device)Eine große Herausforderung bei der Verwaltung persönlicher Geräte von Benutzern besteht darin, mitarbeiter- sowie unternehmenseigene Geräte zu erkennen und zwischen diesen zu unterscheiden, und die Registrierung folglich nur auf genehmigte Geräte zu beschränken.


VMware, Inc. 54

Mithilfe von Workspace ONE UEM können Sie eine Vielzahl von Optionen konfigurieren, um das Registrieren eines privaten Geräts für Endbenutzer zu personalisieren. Bevor Sie beginnen, müssen Sie Überlegungen anstellen, wie die Identifizierung von mitarbeitereigenen Geräten in Ihrer Bereitstellung erfolgen soll und ob Registrierungsrestriktionen für unternehmenseigene Geräte erzwungen werden sollen.

Überlegungen zur Registrierung – BYODWenn Sie Mitarbeitern die Registrierung ihrer persönlichen Geräte in Ihrer Workspace ONE UEM-Umgebung erlauben, sollten Sie zunächst einige Überlegungen anstellen.

Punkt 1: Registrieren sich BYOD-Benutzer über VMware Workspace ONE oder in Workspace ONE Intelligent Hub?VMware Workspace ONE ist eine einfache und sichere Unternehmensplattform, die beliebige Apps auf Geräten bereitstellt und verwaltet. Es bietet Self-Service-SSO-Zugriff (Single Sign-On) auf Cloud-, mobilen und Windows-Anwendungen und beinhaltet intelligent integrierte E-Mail-, Kalender-, Datei- und Kollaborationstools.

Mit Workspace ONE müssen Benutzer ihre persönlichen Geräte für den Zugriff auf Dienste nicht registrieren. Die App Workspace ONE kann über den Apple App Store, Google Play oder Microsoft Store heruntergeladen und installiert werden. Benutzer melden sich dann an und erhalten basierend auf den festgelegten Richtlinien Zugriff auf Anwendungen. Die App Workspace ONE konfiguriert ein MDM-Verwaltungsprofil bei der Installation, wodurch das Gerät automatisch registriert wird.

Workspace ONE Intelligent Hub ist die veraltete Registrierungsoption für mobile Geräte. Weitere Informationen finden Sie unter Registrieren eines Geräts mithilfe von Workspace ONE Intelligent Hub.

Punkt 2: Wie wird der Besitztyp festgelegt?Allen in Workspace ONE UEM registrierten Geräten wird ein Gerätebesitztyp zugewiesen: „Unternehmen – Dediziert“, „Unternehmen – Gemeinschaftsgerät“ oder „Mitarbeitereigen“. Persönliche Geräte von Mitarbeitern werden als „Mitarbeitereigen“ eingestuft und unterliegen den jeweiligen Datenschutzeinstellungen und -restriktionen, die Sie für diesen Typ konfiguriert haben.

Berücksichtigen Sie zur Festlegung des Besitztyps folgende Punkte.

n Haben Sie Zugriff auf eine Masterliste von Unternehmensgeräten, die Sie als Massenupload in die UEM-Konsole hochladen können? Falls dies der Fall ist, können Sie diese Liste hochladen und den standardmäßigen Besitztyp auf „Mitarbeitereigen“ festlegen.

n Haben Sie die rechtlichen Konsequenzen berücksichtigt, die beim Auswählen eines Besitztyps aus einer Liste entstehen können? Beispiel: Ein Benutzer registriert ein persönliches Gerät, wählt jedoch fälschlicherweise „Unternehmenseigen“ als Besitztyp aus. Welche Folgen hat der Verstoß einer Richtlinie und das vollständige Zurücksetzen eines persönlichen Geräts auf die Werkeinstellungen für einen Benutzer?

Sie können Workspace ONE UEM für Ihr BYOD-Programm konfigurieren, damit bei der Registrierung ein standardmäßiger Besitztyp angewendet oder Benutzern die Möglichkeit gegeben wird, den jeweiligen Besitztyp selbst auszuwählen.


VMware, Inc. 55

Punkt 3: Sollen zusätzliche Registrierungsrestriktionen für mitarbeitereigene Geräte angewendet werden?Beachten Sie bei der Beantwortung dieser Frage Folgendes.

n Unterstützt Ihre MDM-Bereitstellung nur bestimmte Geräteplattformen? Falls dies der Fall ist, können Sie diese Plattformen angeben und nur die Registrierung von Geräten zulassen, auf denen diese ausgeführt werden.

n Soll die Anzahl der persönlichen Geräte, die ein Mitarbeiter registrieren darf, beschränkt werden? Falls dies der Fall ist, können Sie die maximale Anzahl der Geräte festlegen, die ein Benutzer registrieren darf.

Sie können zusätzliche Registrierungsrestriktionen festlegen, um darüber hinaus zu steuern, wer sich registrieren kann und welche Gerätetypen registriert werden können. Beispielsweise können Sie festlegen, dass nur Android-Geräte unterstützt werden sollen, die über integrierte Enterprise-Management-Funktionen verfügen. Nachdem Ihre Organisation bestimmt hat, welche Arten von mitarbeitereigenen Geräten für Ihre Arbeitsumgebung verwendet werden sollen, können Sie die entsprechenden Einstellungen konfigurieren.

Weitere Informationen finden Sie unter Zusätzliche Registrierungsrestriktionen.

Identifizieren von Unternehmensgeräten und Festlegen des StandardgerätebesitzesWenn Sie eine Kombination aus unternehmens- und mitarbeitereigenen Geräten besitzen, die die Mitarbeiter selbst registrieren, kann es hilfreich sein, eine Geräteliste anzufertigen. Wenn die Registrierung gestartet wird, wird der Besitztyp von als unternehmenseigen identifizierten Geräten automatisch basierend auf Ihrer Auswahl konfiguriert. Anschließend können Sie alle mitarbeitereigenen Geräte konfigurieren, die nicht auf der Liste stehen, um diese mit dem Zuständigkeitstyp „Mitarbeitereigen“ zu registrieren.

Die folgende Vorgehensweise erläutert, wie eine Liste von vorab genehmigten Unternehmensgeräten importiert wird. Sie können nach der Registrierung automatisch den Zuständigkeitstyp „Unternehmenseigen“ anwenden, selbst, wenn eine Restriktion vorhanden ist, die automatisch den Zuständigkeitstyp „Mitarbeitereigen“ anwendet.

Restriktionen für eine offene Registrierung ermöglichen oder blockieren explizit die Registrierung für Geräte, die den von Ihnen angegebenen Parametern entsprechen, einschließlich Plattform, Modell und Betriebssystem.

Verfahren

1 Navigieren Sie zu Geräte > Lebenszyklus > Registrierungsstatus und wählen Sie Hinzufügen und dann Batchimport. Daraufhin wird der Bildschirm Batchimport angezeigt.

Alternativ können Sie auch Hinzufügen und danach Geräte auf Whitelist wählen, um bis zu 30 Geräte auf der Whitelist gleichzeitig nach IMEI, UDID oder Seriennummer einzugeben. Zudem können Sie als Zuständigkeitstyp entweder „Unternehmenseigen“ oder „Unternehmen – Gemeinschaftsgerät“ wählen.


VMware, Inc. 56

2 Geben Sie Batch-Name und Batch-Beschreibung ein und wählen Sie anschließend Zulässiges Gerät (Whitelist) hinzufügen für Batch-Typ.

3 Wählen Sie den Link „Vorlage mit einem Beispiel für Geräte in der Whitelist herunterladen“ und speichern Sie diese Vorlage als CSV-Datei (Comma-Separated Values) an einem Speicherort, auf den Sie jederzeit zugreifen können. Bearbeiten Sie diese CSV-Datei mit Excel, um alle gewünschten Geräte zur Whitelist hinzuzufügen. Speichern Sie dann die Datei.

4 Klicken Sie auf Datei auswählen und wählen Sie die gespeicherte CSV-Datei.

5 Wählen Sie Importieren, um diese Geräteinformationen in Ihre Whitelist zu importieren.

6 Setzen Sie nun den Typ der Standardgerätezuständigkeit auf „Mitarbeitereigen“ für alle offenen Registrierungen.

a Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Gruppierung.

b Wählen Sie Mitarbeitereigen für Standardgerätezuständigkeit.

c Wählen Sie die dem Benutzer zugewiesene Standardrolle aus, durch die die Zugriffsebene des Benutzers für das Self-Service-Portal (SSP) festgelegt wird.

d Wählen Sie Standardaktion für Inaktive Benutzer, die festlegt, wie vorgegangen werden soll, wenn der Benutzer als inaktiv gekennzeichnet ist.

e Wählen Sie Speichern.

Auffordern von Benutzern zur Identifizierung des BesitztypsWenn Ihre Bereitstellung Organisationsgruppen mit verschiedenen Besitztypen umfasst, können Sie Benutzer dazu auffordern, ihren Besitztyp bei der Registrierung zu identifizieren. Überlegen Sie sich genau, ob Sie den Benutzern die Wahl ihres eigenen Besitztyps erlauben möchten.

Sie können den Besitztyp auf individuellen Geräten zwar jederzeit im Nachhinein ändern, es ist jedoch sicherer, eine Liste von Unternehmensgeräten zu erstellen. Registrieren Sie die unternehmenseigenen Geräte später separat und legen Sie den Standardbesitztyp auf „Mitarbeitereigen“ fest.

Voraussetzungen

Zwar gestaltet sich diese Vorgehensweise einfach, allerdings wird vorausgesetzt, dass jeder Benutzer ordnungsgemäß den für sein Gerät entsprechenden Besitztyp auswählt. Wenn ein Benutzer eines privaten Geräts aus Versehen den Typ „Unternehmenseigen“ wählt, unterliegt das Gerät nun Richtlinien und Profilen, die normalerweise nicht für private Geräte gelten. Eine solche fehlerhafte Auswahl kann schwerwiegende rechtliche Konsequenzen hinsichtlich des Benutzerdatenschutzes zur Folge haben.

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Optionale Eingabeaufforderung.

2 Wählen Sie Eingabeaufforderung für Gerätebesitztyp. Bei der Registrierung werden Benutzer dazu aufgefordert, ihren Besitztyp auszuwählen.


VMware, Inc. 57


Eigenständige Registrierung vs. Geräte-StagingWorkspace ONE UEM unterstützt zwei Methoden für die Registrierung von Unternehmensgeräten. Sie können es Benutzern ermöglichen, ihre Geräte selbst zu registrieren oder Geräte im Auftrag des Benutzers registrieren zu lassen. Letzteres wird als Geräte-Staging bezeichnet.

Beim Geräte-Staging registriert ein Administrator Geräte, bevor er diese den Endbenutzern zuweist und an diese verteilt. Diese Methode ist für Administratoren hilfreich, die Geräte einrichten müssen, die von mehreren Benutzern innerhalb einer Organisation gemeinsam verwendet werden.

Das Geräte-Staging funktioniert auch bei neuen Gerätebereitstellungen gut, da dieser Vorgang stattfindet, bevor ein Mitarbeiter das Gerät erhält. Wenn Ihre Endbenutzer bereits Unternehmensgeräte besitzen, ist es am sinnvollsten, ihnen die eigenständige Registrierung zu gestatten. Benutzern die Registrierung ihrer eigenen Geräte zu gestatten ist zudem empfehlenswert, wenn sich die Durchführung des Geräte-Staging für Administratoren aufgrund der Gesamtanzahl der Geräte als umständlich erweist.

Geräte-Staging kann für Android-, Windows Phone-, iOS- und macOS-Geräte durchgeführt werden.

Hinweis Windows Phone unterstützt zurzeit nur Einzelbenutzer-Geräte-Staging.

Geräte-Staging über Workspace ONE Direct Enrollment wird nicht unterstützt. Wenn Sie ein Gerät für einen oder mehrere Benutzer bereitstellen müssen, muss es mit Workspace ONE Intelligent Hub anstelle von Workspace ONE Direct Enrollment registriert werden.

Weitere Informationen finden Sie unter Workspace ONE Direct Enrollment.

Überlegungen zur Registrierung – SelbstregistrierungWenn Sie Zeit sparen möchten, indem Sie Endbenutzer die Möglichkeit zur Selbstregistrierung geben, berücksichtigen Sie folgende Fragen.

Punkt 1: Gerätebesitzn Besitzen Ihre Endbenutzer bereits zugewiesene Unternehmensgeräte? In diesem Fall kann es sich

als impraktikabel erweisen, Daten von den einzelnen Geräten zu erfassen und das Staging durchzuführen. Es empfiehlt sich, die Registrierung den Benutzern zu überlassen.

n Verwenden Ihre Endbenutzer dieselben Geräte oder besitzen sie eigene dedizierte Geräte? Wenn Endbenutzer Geräte nicht gemeinsam verwenden, können Sie dem alleinigen Besitzer des Geräts die Verantwortung übertragen, sich selbst zu registrieren.

Punkt 2: AutoErmittlungOrdnen Sie der E-Mail-Domäne Ihrer Organisation Ihre Workspace ONE UEM-Umgebung zu? Bei diesem Vorgang, auch als AutoErmittlung bezeichnet, müssen Endbenutzer lediglich E-Mail-Adresse und Anmeldedaten eingeben. Die Registrierungs-URL und Gruppen-ID werden automatisch eingegeben.


VMware, Inc. 58

Weitere Informationen finden Sie auch unter Konfigurieren der AutoErmittlungs-Registrierung von einer untergeordneten Organisationsgruppe und Konfigurieren der AutoErmittlungs-Registrierung von einer übergeordneten Organisationsgruppe.

Punkt 3: Workspace ONE Direct EnrollmentWorkspace ONE Direct Enrollment ist eine Funktion, die sich perfekt für die Selbstregistrierung eignet. Wenn diese Funktion aktiviert ist, werden alle qualifizierten Geräte, die sich bei der Registrierungsorganisationsgruppe anmelden, sofort registriert. Und sobald die Installation vollständig abgeschlossen ist, können Endbenutzer vom Unternehmen ausgewählte Apps installieren oder die Installation von Apps überspringen.


Vorgang zur selbstständigen RegistrierungFür die selbstständige Registrierung benötigen Endanwender eventuell ihre Gruppen-ID und Anmeldedaten. Wenn eine Integration in Verzeichnisdienste erfolgt ist, entsprechen diese Anmeldedaten den Verzeichnisdienst-Anmeldedaten des Anwenders.

Sie können die E-Mail-Domäne Ihrer Organisation auch mit Ihrer Workspace ONE UEM-Umgebung verknüpfen. Dieser Vorgang wird als „AutoErmittlung“ bezeichnet. Wenn die Funktion „AutoErmittlung“ aktiviert ist, werden Endanwender von den Geräten der unterstützten Plattformen zur Eingabe ihrer E-Mail-Adresse aufgefordert. Diese Geräte führen die Registrierung automatisch durch, wenn die jeweilige E-Mail-Domäne (der nach dem @-Zeichen folgende Text) übereinstimmt. Dabei muss keine Gruppen-ID oder Registrierungs-URL eingegeben werden. Weitere Informationen finden Sie unter Registrierung über AutoErmittlung.

Verfahren

1 Wenn Sie zu AWAgent.com navigieren, wird automatisch erkannt, ob Workspace ONE Intelligent Hub installiert ist.

Falls Workspace ONE Intelligent Hub nicht installiert ist, leitet die Website zum jeweiligen Mobile App Store um.

2 Benutzer von AirWatch Container laden die AirWatch Container App aus dem App Store herunter.

3 Nachdem der Workspace ONE Intelligent Hub oder die Container-App gestartet wurde, geben Benutzer neben einer E-Mail-Adresse oder URL-/Gruppen-ID ihre Anmeldedaten ein und können dann mit der Registrierung fortfahren.

Nächste Schritte

Überlegungen zur Registrierung – Geräte-StagingAdministratoren können Geräte im Auftrag von Benutzern durch einen Vorgang namens Geräte-Staging registrieren. Das Staging von Geräten dient dazu, den Vorgang zur Registrierung und zur Registrierung von iOS-Geräten, die von mehreren Benutzern gemeinsam verwendet werden, zu optimieren. Durch ein


VMware, Inc. 59

https://awagent.com/

Geräte-Staging kann auch eine gesamte Geräteflotte schnell mit Apple Configurator bereitgestellt werden.

Punkt 1: Verwenden des Geräte-StagingsAdministratoren müssen das Geräte-Staging nacheinander durchführen, es sei denn, sie verwenden Apple Configurator. Bei großen Bereitstellungen sollten Sie den erforderlichen Zeit- und Personalaufwand berücksichtigen.

Während Administratoren mühelos ein Staging für neue Geräte durchführen können, müssen Mitarbeiter, die bereits unternehmenseigene Geräte verwenden, diese einsenden oder zum Geräte-Staging vor Ort Daten von diesen erfassen.

Das Geräte-Staging kann eine Weile dauern, wenn Sie Tausende von Geräten vorab registrieren müssen. Deshalb funktioniert es am besten, wenn eine neue Reihe von Geräten bereitgestellt werden soll. Denn so können Sie auf die Geräte zugreifen, bevor die Mitarbeiter sie erhalten.

Das Geräte-Staging kann wie folgt für Android-, Windows Phone- und iOS-Geräte durchgeführt werden:

n Einzelbenutzer (Standard) – Wird beim Staging eines Geräts verwendet, das später von einem beliebigen Benutzer registriert werden kann.

n Einzelbenutzer (Erweitert) – Wird beim Staging und Registrieren eines Geräts für einen bestimmten Benutzer verwendet.

n Mehrbenutzer – Wird beim Staging eines Geräts verwendet, das von mehreren Benutzern gemeinsam verwendet wird.

Hinweis Windows Phone unterstützt zurzeit nur Einzelbenutzer-Geräte-Staging.

Punkt 2: Nehmen Sie am Geräteregistrierungsprogramm von Apple teil?Um optimal von den Vorteilen der in Mobile Device Management (MDM) registrierten Apple-Geräte zu profitieren, hat Apple das Geräteregistrierungsprogramm (Device Enrollment Program, DEP) geschaffen. Das DEP ermöglicht Folgendes:

n Installieren eines vom Endbenutzer nicht entfernbaren MDM-Profils auf einem Gerät, sodass dieses von den Benutzern nicht gelöscht werden kann.

n Bereitstellen von Geräten im Überwachungsmodus (nur iOS-Geräte). Geräte im Überwachungsmodus können auf zusätzliche Sicherheits- und Konfigurationseinstellungen zugreifen.

n Durchsetzen der Registrierung für alle Endbenutzer

n Optimieren des Registrierungsprozesses und Anpassen an die Anforderungen Ihres Unternehmens

n Verhindern der iCloud-Sicherung durch Deaktivieren der Anmeldung von Benutzern mit ihrer Apple-ID beim Generieren eines DEP-Profils

n Erzwingen von BS-Updates für alle Endbenutzer


VMware, Inc. 60

Punkt 3: Verwendung von Apple ConfiguratorApple Configurator ermöglicht IT-Administratoren die effiziente Bereitstellung von Apple iOS-Geräten. Für Organisationen wie Einzelhandelsgeschäfte, Bildungseinrichtungen und Krankenhäuser hat es sich als nützliches Tool erwiesen, um gemeinsam genutzte Geräte für mehrere Endbenutzer vorab zu registrieren.

Die Registrierung von vorab registrierten Geräten für einen einzelnen Benutzer mit Configurator wird unterstützt. Hierzu muss die Seriennummer/IMEI in der Konsole des registrierten Geräts eines Benutzers hinzugefügt werden. Ein immenser Vorteil von Apple Configurator besteht darin, dass Sie mit einem USB-Hub oder iOS-Gerätewagen in nur wenigen Minuten mehrere Geräte bereitstellen können.

Punkt 4: Verwendung von Workspace ONE Direct EnrollmentGeräte-Staging über Workspace ONE Direct Enrollment wird nicht unterstützt. Wenn Sie ein Gerät für einen oder mehrere Benutzer bereitstellen müssen, muss es mit Workspace ONE Intelligent Hub anstelle von Workspace ONE Direct Enrollment registriert werden.


Punkt 5: Staging von einzelnen Benutzern oder Registrierung?Wenn Sie überlegen, ein Geräte-Staging für einen einzelnen Benutzer durchzuführen, ist unter Umständen die Registrierung die beste Wahl. Der Unterschied zwischen Staging für einen einzelnen Benutzer und der Registrierung eines Geräts ist klein aber bedeutend.

Registrierung – Wenn Sie ein Gerät registrieren, tun Sie dies für einen einzelnen, benannten Benutzer. Bei diesem Verfahren geht das Gerät davon aus, dass der Benutzer, der sich zuerst anmeldet, derselbe Benutzer ist, für den das Gerät registriert wurde. Wenn ein anderer Benutzer versucht, sich bei einem registrierten Gerät anzumelden, muss das Gerät aus Sicherheitsgründen gesperrt werden und es ist nicht zur Registrierung berechtigt.

Staging von einzelnen Benutzern – Wenn Sie das Staging für ein Gerät durchführen, tun Sie dies für alle Benutzer, die sich in Workspace ONE UEM registrieren können. Theoretisch könnten Sie ein per Staging bereitgestelltes Gerät jedem beliebigen qualifizierten Benutzer aushändigen. Dieser Benutzer könnte sich dann erfolgreich beim Gerät anmelden und bei Workspace ONE UEM registrieren.

Der Staging-Workflow bietet Ihnen die Möglichkeit, das Gerät vorzubereiten und danach Workspace ONE Intelligent Hub zu starten. So kann sich jeder für die Registrierung qualifizierte Benutzer anmelden. Danach führt Workspace ONE UEM eine einmalige erneute Zuweisung durch, um das Gerät diesem Benutzer zuzuweisen.

ÜberwachungsmodusAdministratoren haben die Möglichkeit, den Überwachungsmodus für Geräte zu aktivieren, die über Apple Configurator registriert wurden. Hierdurch werden zusätzliche optimierte Sicherheitsfunktionen aktiviert. Bei diesem Modus werden jedoch verschiedene Beschränkungen auf dem Gerät eingeführt.


VMware, Inc. 61

VorteileNachdem ein Gerät überwacht und bei Workspace ONE UEM registriert wurde, besitzt der Administrator folgende optimierte Funktionen, die im Vergleich zu normalen Geräten zur Konfiguration zur Verfügung stehen.

n Erhöhte Berechtigungen über MDMn Hindern Sie Benutzer an der Entfernung von Anwendungen. Die Entfernung von Anwendungen

kann durch Restriktionen unter „Systemkonfiguration“ auch lokal auf dem Gerät beschränkt werden.

n Verhindern Sie die Verwendung von AirDrop.

n Hindern Sie Benutzer an der Änderung von iCloud- und E-Mail-Kontoeinstellungen, die Kontoänderungen verbieten.

n Deaktivieren Sie iMessage.

n Legen Sie Restriktionen für iBookstore-Inhaltsbewertungen fest.

n Game Center und iBookstore deaktivieren

n Erhöhte Sicherheitn Endbenutzer daran hindern, auf Websites mit jugendfreien Inhalten in Safari aufzurufen

n Beschränken, welche Geräte eine Verbindung zu festgelegten AirPlay-Zielen wie Apple TVs herstellen können

n Installation von Zertifikaten oder nicht verwalteten Konfigurationsprofilen verhindern

n Erzwingen, dass der gesamte Netzwerkdatenverkehr des Geräts über ein globales HTTP-Proxy erfolgt

n Kiosk-Modusn Sperren Sie Geräte auf eine Anwendung mit Einzel-App-Modus und deaktivieren Sie die

Schaltfläche „Startseite“.

n Anpassen von Hintergründen und Texten auf dem Gerät

n Aktivieren oder Aufheben der Aktivierungssperre

Beschränkungenn Der USB-Zugriff auf überwachte Geräte ist auf die Überwachung von Mac-Geräten beschränkt.

n Daten können mit iTunes nicht auf das und vom Gerät kopiert werden, wenn das Apple Configurator-Identitätszertifikat nicht auf dem Gerät installiert ist.

n Medien wie Fotos und Videos können nicht von dem Gerät auf einen PC oder Mac kopiert werden. Verwenden Sie VMware Content Locker für die Übertragung dieses Datentyps, um die Inhalte mit denen im Abschnitt „Private Dokumente“ des Benutzers zu synchronisieren. Alternativ können Daten mithilfe einer Dateifreigabeanwendung per WLAN/WWAN auf einen Server übertragen werden.


VMware, Inc. 62

n Im Überwachungsmodus wird der Zugriff auf geräteseitige Protokolle mittels iPhone Configuration Utility (IPCU) verhindert.

n Durch diesen Modus wird die Fehlerbehebung von Anwendungs- oder Geräteproblemen erschwert. Der Grund für diese Schwierigkeit ist darauf zurückzuführen, dass die Protokolle nur von dem Gerät abgerufen werden können, wenn das Gerät mit dem überwachten Mac verbunden ist. Um einige dieser Probleme zu beheben, verwenden Sie das Workspace ONE SDK. Dieses dient zum Senden von Protokollen und Logistik von den Anwendungen an die UEM-Konsole.

n Die Geräte können nicht einfach auf die Werkseinstellungen zurückgesetzt werden.

n Sobald ein Gerät auf die Werkseinstellungen zurückgesetzt wurde, muss es wieder mit dem überwachten Mac verknüpft werden, um den Überwachungsmodus wiederherzustellen. Dieser Vorgang kann sich als problematisch erweisen, wenn sich der Mac nicht in der Nähe des Geräts befindet.

Bei der Entscheidung bezüglich der Aktivierung des Überwachungsmodus sollten Sie Folgendes berücksichtigen: Trotz der Aktivierung zusätzlicher Funktionen, die die Sicherheit auf dem Gerät erhöhen, müssen die USB-Beschränkungen berücksichtigt werden.

Die Nähe des Geräts zum überwachten Mac spielt eine wichtige Rolle bei den Entscheidungen. Da aufgrund der USB-Beschränkung der Zugriff auf geräteseitige Protokolle verwehrt wird, muss ein fehlerhaftes Gerät an das Lager zurückgesendet und das Staging zur Wiederherstellung des Funktionalität erneut durchgeführt werden.

Die Vorabentscheidung bezüglich der Überwachung ist wichtig, da der Vorgang zur Überwachung oder der Verzicht auf eine Überwachung die Lieferung des Geräts an einen IT-Standort oder ein Lager erfordert.

Bereitstellen eines Einzelbenutzergeräts (Staging)Das Geräte-Staging der Workspace ONE UEM Console für Einzelbenutzer ermöglicht einem einzigen Administrator, Geräte für andere Benutzer in deren Auftrag auszurüsten – eine Funktion, die für IT-Administratoren nützlich sein kann, wenn sie eine Flotte an Geräten bereitstellen müssen.


Wichtig Beim Geräte-Staging ist eine LDAP-Bindung erforderlich. Sie finden Informationen zur Erstellung dieser Nutzlast im Abschnitt über die Bindung eines Geräts an den Verzeichnisdienst im vorliegenden Leitfaden.

Verfahren

1 Navigieren Sie zu Konten > Benutzer > Listenansicht und wählen Sie Bearbeiten für das Benutzerkonto, für das Sie Geräte-Staging aktivieren möchten.


VMware, Inc. 63

2 Wählen Sie auf der Seite Benutzer hinzufügen/bearbeiten die Registerkarte Erweiterungen.

a Scrollen zum Bereich Staging herunter.

b Wählen Sie Geräte-Staging aktivieren.

c Wählen Sie die diesem Staging-Benutzer entsprechenden Staging-Einstellungen.

Mit der Option Einzelbenutzergeräte wird das Staging von Geräten für einen einzelnen Benutzer ausgeführt.

3 Schalten Sie den Typ des Einzelbenutzer-Geräte-Staging-Modus entweder auf Standard oder Erweitert um.

Beim Standard-Staging muss ein Endbenutzer nach dem Staging Anmeldedaten eingeben. „Erweitert“ heißt, dass der Benutzer, der das Staging ausführt, das Gerät im Auftrag eines anderen Benutzers registrieren kann.

4 Vergewissern Sie sich, dass Mehrbenutzergeräte auf Deaktiviert gestellt ist.

5 Registrieren Sie das Gerät.

n Führen Sie die Registrierung über Workspace ONE Intelligent Hub aus, indem Sie eine Server-URL und Gruppen-ID eingeben.

n Öffnen Sie den Internet-Browser des Geräts, navigieren Sie zur Registrierungs-URL und geben Sie die korrekte Gruppen-ID ein.

6 Geben Sie bei der Registrierung Ihre Staging-Benutzer-Anmeldedaten ein.

a Falls erforderlich, geben Sie bitte an, dass Sie das Staging für Einzelbenutzergeräte ausführen.

Dies ist nur erforderlich, falls „Mehrbenutzergeräte-Staging“ ebenfalls für den Staging-Benutzer aktiviert ist.

7 Schließen Sie die Registrierung entweder für erweitertes oder für Standard-Staging ab.

a Sollten Sie erweitertes Staging ausführen, werden Sie dazu aufgefordert, den Benutzernamen des Besitzers des Endbenutzergeräts einzugeben, der das Gerät benutzen wird. Setzen Sie die Registrierung fort, indem Sie das MDM-Profil (Mobile Device Management) installieren und alle Eingabeaufforderungen und Nachrichten akzeptieren.

b Beim Standard-Staging wird der Endbenutzer beim Abschluss der Registrierung aufgefordert, die eigenen Anmeldedaten im Anmeldefenster einzugeben.

Ergebnisse

Das Geräte-Staging ist nun abgeschlossen und das Gerät kann vom neuen Benutzer verwendet werden. Wenn Nutzungsbedingungen für die Registrierung vorhanden ist, wird Staging-Einzelbenutzern die Nutzungsbedingungen-Aufforderung erst angezeigt, wenn sie sich bei ihrem SSP-Konto anmelden.

Bereitstellen eines Mehrbenutzergeräts (Staging)Mehrbenutzergeräte-/ Gemeinschaftsgeräte-Staging erlaubt einem IT-Administrator, Geräte bereitzustellen, die von mehreren Benutzern verwendet werden sollen. Mehrbenutzer-Staging ermöglicht


VMware, Inc. 64

den dynamischen Wechsel von zugewiesenen Benutzern auf einem Gerät, während sich andere Netzwerkbenutzer beim Gerät anmelden.


Verfahren

1 Navigieren Sie zu Konten > Benutzer > Listenansicht und wählen Sie Bearbeiten für das Benutzerkonto, für das Sie Geräte-Staging aktivieren möchten.

2 Wählen Sie auf der Seite Benutzer hinzufügen/bearbeiten die Registerkarte Erweiterungen.

a Scrollen zum Bereich Staging herunter.

b Wählen Sie Geräte-Staging aktivieren.

c Wählen Sie die diesem Staging-Benutzer entsprechenden Staging-Einstellungen.

Mit der Option Einzelbenutzergeräte wird das Staging von Geräten für einen einzelnen Benutzer ausgeführt.

3 Schalten Sie den Typ des Einzelbenutzer-Geräte-Staging-Modus entweder auf Standard oder Erweitert um.

Beim Standard-Staging muss ein Endbenutzer nach dem Staging Anmeldedaten eingeben. „Erweitert“ heißt, dass der Benutzer, der das Staging ausführt, das Gerät im Auftrag eines anderen Benutzers registrieren kann.

4 Vergewissern Sie sich, dass Mehrbenutzergeräte auf Aktiviert festgelegt ist.

5 Registrieren Sie das Gerät über eine der zwei folgenden Methoden.

n Führen Sie die Registrierung über Workspace ONE Intelligent Hub aus, indem Sie eine Server-URL und Gruppen-ID eingeben.

n Öffnen Sie den Internet-Browser des Geräts, navigieren Sie zur Registrierungs-URL und geben Sie die korrekte Gruppen-ID ein.

6 Geben Sie bei der Registrierung Ihre Staging-Benutzer-Anmeldedaten ein. Falls erforderlich, geben Sie bitte an, dass Sie das Staging für Einzelbenutzergeräte ausführen.

Dies ist nur erforderlich, falls „Mehrbenutzergeräte-Staging“ ebenfalls für den Staging-Benutzer aktiviert ist.

7 Schließen Sie die Registrierung entweder für erweitertes oder für Standard-Staging ab.

n Sollten Sie erweitertes Staging ausführen, werden Sie dazu aufgefordert, den Benutzernamen des Besitzers des Endbenutzergeräts einzugeben, der das Gerät benutzen wird. Setzen Sie die Registrierung fort, indem Sie das MDM-Profil (Mobile Device Management) installieren und alle Eingabeaufforderungen und Nachrichten akzeptieren.

n Beim Standard-Staging wird der Endbenutzer beim Abschluss der Registrierung aufgefordert, die eigenen Anmeldedaten im Anmeldefenster einzugeben.


VMware, Inc. 65

Ergebnisse

Das Geräte-Staging ist nun abgeschlossen, und das Gerät kann von den neuen Benutzern verwendet werden.

GeräteeintragungDie Eintragung von Unternehmensgeräten ist optional und bietet den wesentlichen Vorteil, dass die Registrierung ausschließlich auf eingetragene Geräte beschränkt werden kann.

Ein weiterer Vorteil ist die Möglichkeit zur Nachverfolgung von Registrierungsstatus, die angeben, welche Ihrer Benutzer sich registriert haben und bei welchen Benutzern dieser Vorgang noch aussteht. Sie können noch nicht registrierte Benutzer dann benachrichtigen.

In Workspace ONE UEM können auch dann Geräte erfolgreich registriert werden, wenn die Geräte-IDs weder von Benutzern noch von Administratoren bei der Dateneingabe angegeben werden.

Ein dritter Vorteil zur Registrierung von Geräten vor der Registrierung ist die Sicherheit. Ein registriertes Gerät erwartet, dass es sich beim Benutzer, der sich zum ersten Mal anmeldet, um dieselbe Person handelt, für die das Gerät registriert wurde. Wenn ein anderer Benutzer versucht, sich bei einem registrierten Gerät anzumelden, wird das Gerät gesperrt und kann nicht registriert werden.

Überlegungen zur Registrierung – RegistrierungWenn Sie vor der Registrierung von Geräten mit der Anmeldung fortfahren möchten, sollten Sie Folgendes berücksichtigen.

Wer registriert Geräte?Eine wichtige Überlegung bei der Registrierung von Geräten ist die Auswahl der Person, die die tatsächliche Geräteregistrierung durchführt.

n Wie viele Geräte umfasst Ihre Bereitstellung insgesamt? Bei großen Bereitstellungen mit Tausenden von Geräten können Sie diese Daten einer CSV-Datei (Comma-Separated Values) hinzufügen. Sie laden diese Datei dann hoch, bevor die Geräte bereitgestellt werden. Wahlweise können Sie die Aufgabe zur Geräteregistrierung auch an den Endbenutzer weiterleiten.

n Führen Sie ein BYOD-Programm, bei dem Mitarbeiter ihre persönlichen Geräte verwenden können? Wenn Sie die Registrierung nur auf eingetragene Geräte einschränken möchten, müssen Sie den Mitarbeitern entsprechende Anweisungen zur Eintragung ihrer Geräte bereitstellen.

Geräteregistrierung durch den Endbenutzer über das SSPSie können Endbenutzer dazu auffordern, ihre eigenen Geräte vor der Anmeldung bei Workspace ONE UEM zu registrieren, wenn Sie BYOD unterstützen. Sie können auch von Benutzern mit unternehmenseigenen Geräten verlangen, dass sie sich registrieren, wenn Sie die Registrierung nachverfolgen oder Registrierungstoken nutzen möchten. In beiden Fällen müssen Sie die Endbenutzer über den entsprechenden Prozess informieren, den sie einhalten müssen.


VMware, Inc. 66

Die folgenden Anweisungen basieren auf der Annahme, dass der Endbenutzer über Workspace ONE UEM-Anmeldedaten verfügt – entweder die vorhandenen Verzeichnisdienst-Anmeldedaten oder die Anmeldedaten eines zuvor aktivierten Benutzerkontos. Wenn Sie die Registrierung mit Verzeichnisdiensten ohne manuelles Hinzufügen von Benutzern ausgewählt haben, sind noch keine Benutzerkonten erstellt.

In diesem Fall, und wenn Sie möchten, dass Endbenutzer ihre Geräte registrieren, müssen Sie eine E-Mail oder eine Intranet-Benachrichtigung mit Registrierungsanweisungen an alle Benutzergruppen außerhalb von Workspace ONE UEM senden.

Wenn Sie Eintragungstokens zur Registrierungsauthentifizierung aktiviert haben, wird das Token über den ausgewählten Nachrichtentyp gesendet.

Beschränken der Registrierung auf ausschließlich registrierte GeräteGanz gleich, ob Administratoren oder Endbenutzer Geräte registriert haben – Sie können zu diesem Zeitpunkt die Registrierung ausschließlich auf registrierte Geräte beschränken. Navigieren Sie dazu zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie Nur registrierte Geräte.

Nachverfolgen des RegistrierungsstatusNachdem Geräte eingetragen wurden, können Sie den Registrierungsstatus nachverfolgen, indem Sie zur Seite Geräte-Dashboard navigieren und das Diagramm Registrierung wählen, über das Sie auf Basis des Registrierungsstatus filtern können. Sie können auch auf den Monitor zugreifen, in dem die zuletzt registrierten Geräte aufgeführt werden.

n Einzelne Geräte registrieren – Geben Sie wichtige Geräte- und Ressourceninformationen ein, wie den Anzeigenamen zur leichten Erkennung in der UEM-Konsole, Modell, Betriebssystem, Seriennummer, Unique Device Identifier (UDID) und Inventarnummer. Dieser Vorgang ist gegebenenfalls auch der abschließende Arbeitsschritt beim Hinzufügen eines einzelnen Benutzers. Wählen Sie dazu Speichern und Gerät hinzufügen statt Speichern.

n Mehrere Geräten eintragen – Ähnlich wie beim Massenhinzufügen von Benutzern beschleunigt dieser Prozess den Geräteregistrierungsprozess, wenn mehrere Geräte auf einmal hinzugefügt werden. Er kann in den Prozess Massenerstellung von Benutzerkonten integriert werden.

n Registrierung von Geräten der Endbenutzer –Sie können Endbenutzer dazu auffordern, ihre eigenen Geräte vor der Anmeldung bei Workspace ONE UEM zu registrieren, wenn Sie BYOD in Ihrer Bereitstellung unterstützen. Diese Strategie ist mit der Anforderung kompatibel, dass Geräte vor der Anmeldung der Benutzer registriert werden müssen.

Weitere Informationen finden Sie unter Aktivieren von Registrierungstokens und Erstellen einer Standardnachricht.


VMware, Inc. 67

Benutzergruppensynchronisierung während der RegistrierungWenn Sie beabsichtigen, Ihre Anwendungszuweisungen, Geräteprofilzuweisungen, Zuweisungen von Konformitätsrichtlinien oder Benutzerzuordnungen in Benutzergruppen zu organisieren, sollten Sie erwägen, die Einstellung „Benutzergruppensynchronisierung“ aktiviert zu lassen. Dies ist auch die Standardeinstellung. Diese Einstellung führt dazu, dass Workspace ONE jedes Mal, wenn ein Gerätedatensatz erstellt wird, einen Echtzeit-Aufruf zum Authentifizierungsserver durchführt.

Weitere Informationen finden Sie im Abschnitt Benutzergruppensynchronisierung in Konfigurieren von Registrierungsoptionen auf der Registerkarte „Gruppierung“.

Eintragen eines einzelnen GerätsZwar ist mit der Option des Batch-Imports die Registrierung von Hunderten oder sogar Dutzenden von Geräten praktisch, Sie können Geräte jedoch auch einzeln registrieren, wenn Sie nur wenige Geräte registrieren müssen.

Verfahren

1 Klicken Sie auf die Schaltfläche Hinzufügen, die im oberen rechten Quadranten nahezu jeder Seite der Workspace ONE UEM Console angezeigt wird.

Nachdem Sie die Schaltfläche gewählt haben, wird ein Dropdown-Menü mit mehreren Optionen angezeigt.

2 Wählen Sie Gerät.

Die Seite Gerät hinzufügen wird angezeigt.

3 Bearbeiten Sie die Optionen je nach Bedarf, beginnend mit der Registerkarte Benutzer.


Abschnitt „Benutzer“

Suchtext Suchen Sie nach einem Benutzer, indem Sie einen Suchparameter eingeben und die Schaltfläche Benutzer suchen wählen.

Wählen Sie nach einer erfolgreichen Suche das Konto des Benutzers, für den Sie das Gerät registrieren. Es werden mehrere zuvor ausgefüllte Textfelder angezeigt, einschließlich Sicherheitstyp, Benutzername, Kennwort und E-Mail-Adresse. Sie können diese Textfelder bearbeiten, indem Sie erweiterte Benutzerdetails anzeigen.


VMware, Inc. 68


Abschnitt „Gerät“

Erwarteter Freundlicher Name Geben Sie den freundlichen Namen des Geräts ein. Dieses Textfeld akzeptiert Nachschlagewerte, die Sie unter Verwendung des Pluszeichens einfügen können. Weitere Informationen finden Sie unter Nachschlagewerte.

Organisationsgruppe Wählen Sie die Organisationsgruppe, zu der das Gerät gehört.

Besitz Wählen Sie die Besitzebene des Geräts.

Plattform Wählen Sie die Plattform des Geräts.

Erweiterte Geräteinformationsoptionen anzeigen

Prüfen Sie Einstellungen für erweiterte Gerätedaten.

Modell Wählen Sie das Gerätemodell. Diese Option des Dropdown-Menüs hängt von der Wahl der Plattform ab.

BS Wählen Sie das Betriebssystem des Geräts. Diese Option des Dropdown-Menüs hängt von der Wahl der Plattform ab.

UDID* Geben Sie den eindeutigen Bezeichner des Geräts ein.

Seriennummer* § ‡ Geben Sie die Seriennummer des Geräts ein.

IMEI* § Geben Sie die IMEI-Nummer (International Mobile Station Equipment Identity) des Geräts ein.

SIM* Geben Sie das Teilnehmer-Identitätsmodul (Subscriber Identity Module, SIM) für das Gerät ein.

Anlagennummer* Geben Sie die Anlagennummer des Geräts ein.

Abschnitt „Messaging“

Nachrichtentyp Die Art der Benachrichtigung, die an den Benutzer gesendet wird, sobald das Gerät hinzugefügt ist. Wählen Sie Keine(r/s), E-Mail oder SMS.

Für die Option „E-Mail“ ist eine gültige E-Mail-Adresse erforderlich. Sie müssen außerdem eine E-Mail-Nachrichtenvorlage auswählen.

Die Option „SMS“ erfordert eine Rufnummer mit Landes- und Ortsvorwahl. Für die SMS-Nutzung fallen möglicherweise Kosten an. Sie müssen außerdem eine SMS-Nachrichtenvorlage auswählen.

E-Mail-Adresse Erforderlich für den Nachrichtentyp „E-Mail“.

E-Mail-Nachrichtenvorlage Erforderlich für den Nachrichtentyp „E-Mail“. Wählen Sie eine Vorlage aus dem Dropdown-Menü. Prüfen Sie die E-Mail-Nachricht durch Klicken auf die Schaltfläche Nachrichtenvoransicht.

Rufnummer Erforderlich für den Nachrichtentyp „SMS“.

SMS-Nachrichtenvorlage Erforderlich für den Nachrichtentyp „SMS“. Wählen Sie eine Vorlage aus der Dropdown-Liste. Prüfen Sie die SMS-Nachricht durch Klicken auf die Schaltfläche Nachrichtenvoransicht.

* Zur Registrierung eines Geräts muss aus diesen erwähnten Einstellungen mindestens eine angegeben werden.

§ Zur Registrierung eines Windows Phone-Geräts müssen Sie entweder die IMEI oder Seriennummer des Geräts eingeben.


VMware, Inc. 69

‡ Zur Registrierung eines Windows Desktop-Geräts müssen Sie die Seriennummer des Geräts eingeben.

4 (Optional) Vervollständigen Sie die Registerkarte Benutzerdefinierte Attribute.


Hinzufügen Fügen Sie ein angepasstes Attribut und seine zugehörige Anwendung und den Wert durch Auswahl dieser Schaltfläche hinzu.

Um die Funktion „Benutzerdefiniertes Attribut“ beim Hinzufügen eines Geräts verwenden zu können, muss bereits ein benutzerdefiniertes Attribut erstellt worden sein. Anweisungen dazu finden Sie unter Kapitel 11 Benutzerdefinierte Attribute.

Anwendung Wählen Sie die Anwendung aus, die das Attribut erfasst.

Attribute Wählen Sie das benutzerdefinierte Attribut aus dem Dropdown-Menü.

Wert Wählen Sie den Wert des benutzerdefinierten Attributs aus dem Dropdown-Menü.

5 (Optional) Vervollständigen Sie die Registerkarte Tags.


Hinzufügen Fügen Sie ein Tag zum Gerät hinzu.

Tag Wählen Sie das Tag aus dem Dropdown-Menü vorhandener Tags.

6 Wählen Sie Speichern, um den Prozess der Geräteeintragung abzuschließen.

Ergebnisse

Das Gerät ist nun für das ausgewählte Workspace ONE UEM-Benutzerkonto registriert, das in Schritt 3 angegeben wurde.

Nächste Schritte

Stellen Sie dieses Gerät diesem Benutzer bereit, damit dieser sich anmelden und den Registrierungsprozess abschließen kann. Wenn ein anderer Benutzer versucht, sich bei diesem Gerät vor dem registrierten Benutzer anzumelden, wird das Gerät gesperrt und kann nicht mehr registriert werden.

Fehlende Geräte-IDs während der RegistrierungWenn während der Eintragung kein Gerätebezeichner festgelegt wird (wie UDID, IMEI und Seriennummer), verwendet Workspace ONE UEM die folgenden Attribute, um ein registriertes Gerät automatisch seinem Registrierungsdatensatz zuzuordnen.

Wenn unzureichende Registrierungsinformationen bereitgestellt werden, ermöglicht die folgende Rangfolge Workspace ONE UEMdie erfolgreiche Registrierung von Geräten.

1 Benutzer, auf den das Gerät eingetragen ist.

2 Plattform (falls festgelegt).

3 Modell (falls festgelegt).

4 Besitztyp (falls festgelegt).


VMware, Inc. 70

5 Datum des ältesten übereinstimmenden Registrierungsdatensatzes.

Registrieren mehrerer GeräteDie Registrierung einzelner Geräte ist kein Problem, wenn Sie nur wenige Geräte hinzufügen möchten. Falls Sie jedoch Hunderte oder selbst nur Dutzende von Geräten registrieren möchten, ist der Batch-Importvorgang die geeignetere Wahl.

Verfahren

1 Navigieren Sie zu Konten > Benutzer > Listenansicht oder Geräte > Lebenszyklus > Registrierungsstatus.

a Wählen Sie Hinzufügen und dann Batch-Import, um den Bildschirm Batch-Import anzuzeigen.

2 Geben Sie alle erforderlichen Optionen an: Batch-Name, Batch-Beschreibung und Batch-Typ.

In der Option Batch-Datei (.csv) befindet sich eine Liste der aufgabenbasierten Vorlagen, die Sie verwenden können, um Benutzer und ihre Geräte im Massenverfahren zu laden.

3 Wählen Sie die entsprechende Downloadvorlage und speichern Sie die Datei mit durch Kommas getrennten Werten (CSV) an einem zugänglichen Ort.

4 Machen Sie die gespeicherte CSV-Datei ausfindig, öffnen Sie diese mit Excel und geben Sie alle relevanten Informationen für alle Geräte ein, die Sie importieren möchten.

Jede Vorlage wird im Vorhinein mit Beispieleinträgen aufgefüllt, die zeigen, welche Informationen (mit dem jeweiligen Format) in jede Spalte gehören. Felder in der CSV-Datei, die mit einem Sternchen (*) gekennzeichnet sind, sind erforderlich.

5 Speichern Sie die ausgefüllte Vorlage als CSV-Datei. Klicken Sie in der UEM-Konsole auf die Schaltfläche Datei wählen im Bildschirm Batch-Import, navigieren Sie zum Pfad, unter dem Sie die ausgefüllte CSV-Datei gespeichert haben, und wählen Sie diese aus.

6 Wählen Sie Speichern, um die Registrierung für alle aufgeführten Benutzer und die entsprechenden Geräte durchzuführen.

Endbenutzer-GeräteeintragungWenn Sie die Gerätedetails zur Einrichtung nicht kennen, empfiehlt es sich eventuell, Endbenutzer zur selbstständigen Eintragung ihrer Geräte anzuweisen. Eine solche Anweisung ist anzuraten, wenn Sie über eine BYOD-Bereitstellung (Bring Your Own Device) verfügen.

Wenn Sie BYOD in Ihrer Bereitstellung unterstützen, weisen Sie Endbenutzer an, ihre Geräte vor der Registrierung in Workspace ONE UEM zu registrieren. Sie können diesen Schritt durchführen und trotzdem verlangen, dass Geräte vor der Registrierung durch den Benutzer registriert werden müssen. Wenn Sie die Registrierung nachverfolgen möchten oder Registrierungstokens verwenden möchten, verlangen Sie die Registrierung von Benutzern mit unternehmenseigenen Geräten. In beiden Fällen müssen Sie Endbenutzer über den Vorgang in Kenntnis setzen.


VMware, Inc. 71

Die folgenden Anweisungen basieren auf der Annahme, dass der Endbenutzer über Workspace ONE UEM-Anmeldedaten verfügt – entweder die vorhandenen Verzeichnisdienst-Anmeldedaten oder die Anmeldedaten eines zuvor aktivierten Benutzerkontos. Wenn Sie die Registrierung mit Verzeichnisdiensten ohne manuelles Hinzufügen von Benutzern ausgewählt haben, dürfen keine Benutzerkonten bereit erstellt worden sein.

Wenn Sie möchten, dass Endbenutzer ihre Geräte registrieren, müssen Sie eine E-Mail oder eine Benachrichtigung mit Registrierungsanweisungen an alle Benutzergruppen außerhalb von Workspace ONE UEM senden.

Wenn Sie Registrierungstokens zur Registrierungsauthentifizierung aktiviert haben, wird das Token an den Benutzer in der ausgewählten Nachricht gesendet.

n Senden Sie eine E-Mail- oder Intranet-Benachrichtigung mit einer Anleitung zur Registrierung an Benutzer außerhalb von Workspace ONE UEM. Vergewissern Sie sich, dass die Registrierungsauthentifizierung für Active Directory oder für den Authentifizierungsproxy aktiviert ist. Navigieren Sie dazu zu Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung > Authentifizierung.

Unbekannte Benutzer abweisen muss deaktiviert sein. Um diese Einstellung zu überprüfen, navigieren Sie zu Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung > Restriktionen.

n Erstellen Sie Benutzerkonten, die allen Endbenutzern die Eintragung ihrer Geräte ermöglichen. Senden Sie dann allen Benutzern eine Benachrichtigung zur Aktivierung ihrer Benutzerkonten mit einer Anleitung zur Eintragung.

Beide Optionen verlangen, dass Sie den Endbenutzern grundlegende Informationen zur Verfügung stellen.

n Wo sie sich eintragen sollen – Endbenutzer können sich eintragen, indem sie zur Self-Service-Portal-URL navigieren. Diese URL folgt der Struktur https://<AirWatch-Umgebung> > /MeinGerät, wobei <AirWatch-Umgebung> > der Registrierungs-URL entspricht. Weitere Informationen finden Sie unter Anweisen der Benutzer zur Selbsteintragung.

n Wie sie sich für das Self-Service-Portal authentifizieren – Endbenutzer benötigen Gruppen-ID, Benutzername und Kennwort, um sich im Self-Service-Portal (SSP) anzumelden.

Anweisen der Benutzer zur SelbsteintragungSobald Endbenutzer die Registrierungsnachricht erhalten, können sie ihre Geräte selbst registrieren und Zeit sparen.

Kopieren Sie diese Anweisungen in die Registrierungsnachricht, die Sie an die Endbenutzer senden. So haben sie alle notwendigen Informationen, um ihre eigenen Geräte zu registrieren.

Verfahren

1 Navigieren Sie zur SSP-URL (Self-Service-Portal): https://<AirWatch-Umgebung > /MeinGerät, wobei <AirWatch-Umgebung> für die Registrierungs-URL Ihrer Umgebung steht.


VMware, Inc. 72

2 Geben Sie zur Anmeldung die Gruppen-ID sowie die Anmeldedaten ein, d.h. entweder eine E-Mail-Adresse oder Benutzername und Kennwort.

Diese Anmeldedaten können den Verzeichnisdienst-Anmeldedaten für Verzeichnisbenutzer entsprechen.

3 Wählen Sie Gerät hinzufügen, um das Formular Gerät eintragen zu öffnen.

4 Geben Sie die Geräteinformationen in die erforderlichen Textfelder des Formulars Gerät eintragen ein.

5 Wählen Sie Speichern, um die Daten abzusenden und das Gerät einzutragen.

Nachverfolgen des GeräteregistrierungsstatusGelegentlich kann es vorkommen, dass Sie ein Problem bei der Geräteregistrierung beheben oder den allgemeinen Registrierungsprozess nachverfolgen müssen. Bisweilen löschen Endbenutzer möglicherweise versehentlich die Nachricht mit der Eintragungsanleitung, oder sie lösen einen Authentifizierungscode nicht innerhalb des vorgegebenen Ablaufzeitraums ein.

Den Registrierungsstatus können Sie durch Zugriff auf die Seite „Registrierungsstatus“ über Geräte > Lebenszyklus > Registrierungsstatus verwalten. Verfolgen Sie den Registrierungsstatus der Geräte nach, indem Sie die Spalte Registrierungsstatus in der Liste sortieren oder die Listenansicht nach dem Registrierungsstatus filtern.

Auf der Seite „Registrierungsstatus“ können Sie eine angepasste Liste der registrierten Geräte (mit aufgehobener Registrierung) erstellen, alle Geräte in dieser angepassten Liste auswählen und die Registrierungsrestriktionen erneut senden. Falls genug Zeit abläuft und die Registrierung eines Geräts fehlschlägt, können Sie das Registrierungstoken zurücksetzen (oder sogar widerrufen).

Weitere Informationen finden Sie unter Registrierungsstatus.

Aktivieren von Registrierungstokens und Erstellen einer StandardnachrichtWenn die Registrierung auf ausschließlich registrierte Geräte beschränkt werden soll, haben Sie die Möglichkeit, ein Registrierungstoken zu verlangen. Durch diese Option wird die Sicherheit erhöht, da bestätigt wird, dass ein bestimmter Benutzer zur Registrierung autorisiert ist.

Sie können auch eine E-Mail- oder SMS-Nachricht mit angehängtem Registrierungstoken an Benutzer mit Workspace ONE ™ UEM-Konten senden.

Verfahren

1 Aktivieren Sie die tokenbasierte Registrierung, indem Sie die jeweilige Organisationsgruppe auswählen. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung und stellen Sie sicher, dass die Registerkarte Authentifizierung ausgewählt ist.


VMware, Inc. 73

2 Scrollen Sie nach unten zum Abschnitt Erste Schritte und wählen Sie für Nur eingetragene Geräte die Option Geräteregistrierungsmodus.

Eine Umschaltfunktion mit der Bezeichnung Eintragungstoken verlangen wird angezeigt. Durch die Aktivierung dieser Option wird die Registrierung ausschließlich auf Geräte beschränkt, die mit Token registriert wurden.

3 Wählen Sie einen Eintragungstokentyp aus.

n Einstufig – Für die Registrierung wird lediglich ein Token benötigt.

n Zweistufig – Für die Registrierung wird lediglich ein Token und die Anmeldung mit den Benutzeranmeldedaten benötigt.

4 Legen Sie die Eintragungstokenlänge fest.

Diese erforderliche Einstellung kennzeichnet, wie komplex das Registrierungstoken ist, und muss 6 bis 20 alphanumerische Zeichen enthalten.

5 Legen Sie die Tokenablaufzeit (Stunden) fest.

Diese erforderliche Einstellung gibt den Zeitraum an, in dem der Endbenutzer auf einen Link klicken und sich registrieren muss. Nachdem dieser abgelaufen ist, müssen Sie einen weiteren Link senden.

Generieren von Tokens mit der UEM-KonsoleSie können die UEM Console verwenden, um ein Registrierungstoken zu generieren und zu senden. Dabei handelt es sich um eine hochsichere Methode zur Registrierung eines mobilen Geräts.

Verfahren

1 Navigieren Sie zu Konten > Benutzer > Listenansicht und wählen Sie Benutzer bearbeiten für einen Benutzer.

Dieser Prozess wird auch für das Erstellen von Benutzern verwendet.

Die Seite „Benutzer hinzufügen/bearbeiten“ wird angezeigt.

2 Scrollen Sie nach unten und wählen Sie einen Nachrichtentyp aus.

n E-Mail-Adresse für Verzeichnisbenutzer


VMware, Inc. 74

n SMS für Standardbenutzerkonten

3 Wählen Sie eine Nachrichtenvorlage. Wählen Sie als Nächstes Speichern und Gerät hinzufügen.

Sie können die Standardvorlage verwenden oder eine Vorlage erstellen, indem Sie auf den darunter stehenden Link klicken. Dadurch wird die Seite Nachrichtenvorlage in einer neuen Registerkarte angezeigt.

Die Seite Gerät hinzufügen wird angezeigt.

4 Prüfen Sie unter Allgemein die Informationen zum Gerät und bestätigen Sie die Informationen bezüglich der Nachricht. Klicken Sie danach auf Speichern, um das Token mithilfe des ausgewählten Nachrichtentyps an den Benutzer zu senden.

Ergebnisse

Hinweis Aus Sicherheitsgründen ist kein Zugriff auf das Token über die UEM-Konsole möglich.

Generieren von Tokens mit dem Self-Service-Portal (SSP)Sie können das Self-Service-Portal verwenden, um ein Registrierungstoken zu generieren und zu senden, das dann zur sicheren Registrierung eines Geräts verwendet werden kann.

Verfahren

1 Melden Sie sich beim Self-Service-Portal an.

Falls Sie Singe Sign-on oder Smartcards zur Authentifizierung verwenden, können Sie sich von einem Gerät oder Computer anmelden. Verzeichnisbenutzer können sich mit ihren Verzeichnisdienst-Anmeldedaten anmelden.

2 Wählen Sie Gerät hinzufügen.

3 Geben Sie die Geräteinformationen (freundlicher Name und Plattform) und sonstige Informationen ein, indem Sie die Einstellungen auf dem Formular Gerät eintragen bearbeiten. Stellen Sie sicher, dass die E-Mail-Adresse und Rufnummer vorhanden und korrekt sind, da sie eventuell nicht automatisch aufgefüllt werden.

4 Klicken Sie auf Speichern, um das Registrierungstoken mithilfe des ausgewählten Nachrichtentyps an den Benutzer zu senden.

Ergebnisse

Hinweis Das Token wird nicht auf dieser Seite angezeigt, sondern lediglich in der gesendeten Nachricht.

Als Sicherheitsfunktion wurden die folgenden Änderungen für Konten vorgenommen, die mit einem Token registriert wurden.

n E-Mail-Adresse und Telefonnummer sind jetzt sowohl auf der Seite Gerät hinzufügen als auch auf der Seite Konto schreibgeschützt.

n Die Aktion zum Anzeigen der Registrierungsnachricht wurde entfernt.


VMware, Inc. 75

Durchführung der Registrierung mithilfe eines RegistrierungstokensSie können ein Registrierungstoken verwenden, um ein Gerät zu registrieren, wobei es sich um eine hochsichere Authentifizierungsmethode handelt.

Verfahren

1 Öffnen Sie die SMS oder E-Mail auf dem Gerät und klicken Sie auf den Link mit dem Registrierungstoken. Wenn Sie auf einer Registrierungsseite nach einer Gruppen-ID oder einem Token gefragt werden, geben Sie den Token direkt ein.

2 Geben Sie bei Verwendung einer 2-Faktor-Authentifizierung einen Benutzernamen oder ein Kennwort ein.

3 Setzen Sie die Registrierung wie gewohnt fort.

Im Anschluss wird das Gerät mit dem Benutzer verknüpft, für den das Token erstellt wurde.

Nächste Schritte

Nachdem das MDM-Profil auf dem Gerät installiert wurde, wird das Token als „Verwendet“ erachtet und kann nicht zur Registrierung anderer Geräte verwendet werden. Wenn die Registrierung nicht abgeschlossen wurde, kann das Token nach wie vor auf anderen Geräten verwendet werden. Wenn das Token nach dem von Ihnen festgelegten Zeitraum abläuft, müssen Sie einen weiteren Registrierungstoken generieren.

Konfigurieren von RegistrierungsoptionenPassen Sie Ihren Registrierungsablauf an, indem Sie die in der Workspace ONE UEM Console verfügbaren, erweiterten Optionen einbeziehen. Greifen Sie auf weitere Registrierungsoptionen zu, indem Sie zu Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung gehen.

Erste Schritte


E-Mail-Domäne hinzufügen Diese Schaltfläche ist für die Einrichtung des Service „AutoErmittlung“ zur Registrierung von E-Mail-Domänen in Ihrer Umgebung vorgesehen.

Authentifizierungsmodus/-modi)

Wählen Sie unter den folgenden zulässige Authentifizierungstypen aus:

n Standard – Standardbenutzerkonten (von Ihnen manuell in der UEM-Konsole erstellte) können registriert werden.

n Directory – Directory-Benutzerkonten (von Ihnen importierte oder zur Verwendung der Verzeichnisdienst-Integration zugelassene) können registriert werden. Workspace ONE Direct Enrollment unterstützt Verzeichnisbenutzer mit oder ohne SAML.

n Authentifizierungsproxy – Ermöglicht Benutzern das Registrieren mithilfe von Authentifizierungsproxy-Benutzerkonten. Benutzer authentifizieren sich bei einem Webendpunkt.

n Geben Sie die Authentifizierungs-Proxy-URL, das Authentifizierungs-Proxy-URL-Backupund den Authentifizierungsmethodentyp ein (wählen Sie zwischen HTTP BASIC und Exchange ActiveSync).


VMware, Inc. 76


Authentifizierungsquelle für Intelligent Hub

Wählen Sie das System aus, das vom Intelligent Hub-Dienst als Quelle für Benutzer und Authentifizierungsrichtlinien verwendet wird.

n Workspace ONE UEM – Wählen Sie diese Einstellung, wenn die Hub-Dienste Workspace ONE UEM als Quelle verwenden sollen.

Wenn Sie die Seite Hub-Konfiguration für Hub-Dienste konfiguriert haben, haben Sie die Mandanten-URL für Hub-Dienste eingegeben.

n Identity Manager – Wählen Sie diese Einstellung, wenn die Hub-Dienste VMware Identity Manager als Quelle verwenden sollen.

Wenn Sie die Seite Hub-Konfiguration für Hub-Dienste konfiguriert haben, haben Sie die Mandanten-URL für VMware Identity Manager eingegeben.

Geräteregistrierungsmodus Wählen Sie unter den folgenden Ihren bevorzugten Geräteregistrierungsmodus:

n Offene Registrierung – Im Wesentlichen ermöglicht dies jedem Benutzer die Registrierung, der die anderen Registrierungskriterien erfüllt (Authentifizierungsmodus, Einschränkungen usw.). Workspace ONE Direct Enrollment unterstützt offene Registrierung.

n Nur registrierte Geräte – Nur zugelassene Benutzer mit von Ihnen oder den Benutzern registrierten Geräten sind zur Registrierung zugelassen. Bei der Geräteregistrierung werden Unternehmensgeräte zur UEM-Konsole hinzugefügt, bevor diese registriert werden. Workspace ONE Direct Enrollment unterstützt es, nur registrierten Geräten die Registrierung zu erlauben. Dies gilt aber nur, wenn keine Registrierungstoken erforderlich sind.

Registrierungstoken verlangen Nur sichtbar, wenn Nur registrierte Geräte ausgewählt wurde.

Wenn Sie die Anmeldung auf registrierte Geräte beschränken, können Sie zudem festlegen, dass ein Registrierungstoken für die Registrierung erforderlich ist. Dadurch wird die Sicherheit erhöht, da bestätigt wird, dass ein bestimmter Benutzer zur Registrierung autorisiert ist. Sie können eine E-Mail oder SMS mit angehängtem Registrierungstoken an Benutzer mit Workspace ONE UEM Konten senden.

Intelligent Hub-Registrierung für iOS verlangen

Aktivieren Sie dieses Kontrollkästchen, um festzulegen, dass Nutzer von iOS-Geräten den Workspace ONE Intelligent Hub vor dem Registrieren herunterladen und installieren müssen. Wenn diese Option deaktiviert ist, ist die Web-Registrierung verfügbar.

Intelligent Hub-Registrierung für macOS verlangen

Aktivieren Sie dieses Kontrollkästchen, um festzulegen, dass Nutzer von macOS-Geräten den Workspace ONE Intelligent Hub vor dem Registrieren herunterladen und installieren müssen. Wenn diese Option deaktiviert ist, ist die Web-Registrierung verfügbar.

Zusätzlich zu den Registerkarten „Authentifizierung“ und „Nutzungsbedingungen“ können Sie optional folgende Registerkarten zur Registrierung bearbeiten.

1 Konfigurieren von Registrierungsoptionen auf der Registerkarte „Gruppierung“.

2 Konfigurieren von Registrierungsrestriktionseinstellungen.

3 Konfigurieren von Registrierungsoptionen auf der Registerkarte „Optionale Eingabeaufforderung“.

4 Konfigurieren von Registrierungsoptionen auf der Registerkarte „Anpassung“.


VMware, Inc. 77

Konfigurieren von Registrierungsoptionen für NutzungsbedingungenAuf der Registerkarte „Nutzungsbedingungen“ können Sie Nutzungsbedingungen hinzufügen und überprüfen, welche die Registrierung betreffen. Die Registerkarte „Nutzungsbedingungen“ befindet sich unter Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung.


Zustimmung zu den Nutzungsbedingungen für die Registrierung verlangen

Aktivieren Sie diese Einstellung, um die Zustimmung zu einer Nutzungsbedingungsvereinbarung bei der Registrierung zu verlangen.

Neue Nutzungsbedingungen für Registrierung hinzufügen

Wählen Sie diese Option aus, um das Hinzufügen einer Nutzungsbedingungsvereinbarung für die Registrierung zu initiieren.

Wichtig Wenn Sie Zustimmung zu den Nutzungsbedingungen für die Registrierung verlangen aktivieren, müssen Sie Nutzungsbedingungen erstellen. Ansonsten können sich Windows Desktop-Geräte eventuell nicht registrieren.

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Gruppierung“Über die Registerkarte „Gruppierung“ können Sie wesentliche Informationen bezüglich Organisationsgruppen und Gruppen-IDs für Endanwender einsehen und angeben. Aktivieren Sie den Gruppen-ID-Zuweisungsmodus und wählen Sie aus, wie Benutzern in der Workspace ONE UEM powered by AirWatch-Umgebung Gruppen-IDs zugewiesen werden sollen.

Die Registerkarte „Gruppierung“ finden Sie unter Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung.


VMware, Inc. 78


Gruppen-ID-Zuweisungsmodus

Workspace ONE Direct Enrollment unterstützt alle Zuweisungsmodi.

n Standard – Wählen Sie diese Option aus, wenn Benutzern Gruppen-IDs zur Registrierung zur Verfügung gestellt werden. Die verwendete Gruppen-ID bestimmt, welcher Organisationsgruppe die Benutzer zugewiesen werden.

n Benutzer auffordern, Gruppen-ID auszuwählen – Aktivieren Sie diese Option, um Verzeichnisdienstbenutzern zu ermöglichen, bei der Registrierung eine Gruppen-ID aus einer Liste auszuwählen. Der Abschnitt Gruppen-ID-Zuweisung führt verfügbare Organisationsgruppen und ihre jeweiligen Gruppen-IDs auf. Sie müssen dabei keine Gruppenzuweisungszuordnung ausführen; Benutzer laufen aber so Gefahr, eine falsche Gruppen-ID auszuwählen.

n Automatisch nach Benutzergruppe auswählen – Diese Option trifft nur zu, wenn Sie eine Integration in Benutzergruppen durchführen. Aktivieren Sie diese Option, um sicherzustellen, dass Benutzer automatisch an Organisationsgruppen nach Ihren Verzeichnisdienst-Gruppenzuweisungen zugewiesen werden.

Im Abschnitt Gruppenzuweisungseinstellungen werden alle Organisationsgruppen der Umgebung und ihre zugeordneten Verzeichnisdienst-Benutzergruppen aufgeführt.

Wählen Sie die Schaltfläche Gruppenzuweisung bearbeiten, um die Organisationsgruppen-/Benutzergruppen-Zuordnungen zu ändern und die Rangstufe der einzelnen Gruppen festzulegen.

Sie haben beispielsweise drei Gruppen, „Geschäftsleitung“, „Vertrieb“ und „Global“, die nach der Rangfolge ihrer Aufgabengebiete angeordnet sind. Alle sind Mitglied von „Global“. Sollten Sie also diese Benutzergruppe als erstes in die Rangfolge setzen, werden dadurch alle Ihrer Benutzer in einer einzigen Organisationsgruppe zusammengefasst.

Indem Sie stattdessen „Exekutive“ als erstes in die Rangfolge setzen, gewährleisten Sie, dass die geringe Anzahl von Personen, die zu dieser Gruppe gehören, in ihre eigene Organisationsgruppe gesetzt werden. Wenn Sie dann „Vertrieb“ als zweites in die Rangfolge setzen, stellen Sie sicher, dass alle Vertriebsmitarbeiter in einer vertriebsspezifischen Organisationsgruppe gruppiert werden. Wird „Global“ als letztes in die Rangfolge gesetzt, so werden alle, die noch keiner Gruppe zugewiesen wurden, einer separaten Organisationsgruppe hinzugefügt.


VMware, Inc. 79

Tabelle 2-1. Standard


Standardgerätebesitz Wählen Sie den Standardgerätebesitz der Geräteregistrierung in der aktuellen Organisationsgruppe.

Workspace ONE Direct Enrollment unterstützt das Festlegen einer Standardgerätezuständigkeit.

Standardrolle Wählen Sie die Standardrollen, die Benutzern bei der aktuellen Organisationsgruppe zugewiesen wurden. Diese können Einfluss auf den Zugriff zum Self-Service-Portal haben.

1 Vollzugriff – Gibt Benutzern Zugriff auf höhere SSP-Funktionen wie Profile und Apps installieren und entfernen, Kennungen zurücksetzen, Gerätenachrichten senden sowie Schreibzugriff auf Inhalte.

2 Standardzugriff – Gibt Benutzern Zugriff mit geringer Auswirkung. Sie können ihr eigenes Gerät registrieren, Profile und Apps anzeigen (aber nicht installieren), ihr Konto aufrufen und ihr Gerät abfragen und finden.

3 Externer Zugriff – Benutzer mit externem Zugriff haben die Berechtigungen von Benutzern mit Standardzugriff und außerdem Lesezugriff auf SSP-Inhalte, die explizit für sie freigegeben wurden.

Workspace ONE Direct Enrollment unterstützt das Festlegen einer Standardrolle.

Standardaktion für Benutzer, die als inaktiv markiert sind

Wählen Sie die Standardaktion, die sich auf Active Directory-Benutzer auswirken, wenn ihre Geräte inaktiv werden.

Die Verarbeitung von Accounts ist immer benutzerorientiert und nicht geräteorientiert. Dies bedeutet, dass das Verarbeitungsverhalten, das auf Geräte angewendet wird, auf den Einstellungen für die Organisationsgruppe basiert, in der der Benutzer verwaltet wird, nicht das Gerät.

Workspace ONE Direct Enrollment unterstützt das Festlegen einer Standardaktion für inaktive Benutzer.

Tabelle 2-2. Benutzergruppe – Synchronisieren


Benutzergruppen in Echtzeit für Workspace ONE synchronisieren

Workspace ONE kann die Benutzergruppen für einen bestimmten Benutzer synchronisieren, wenn dieser sich bei der UEM-Konsole registriert.

Diese standardmäßig aktivierte Funktion ist am effektivsten, wenn Benutzergruppen häufig zur App-Zuweisung, Profilzuweisung, Richtlinienzuweisung oder zum Zuordnen von Benutzern verwendet werden.

Diese Funktion beansprucht viel Rechenkapazität. Deshalb sollten Sie diese Einstellung deaktivieren, wenn Ihr Anwendungsfall nicht weitestgehend dem zuvor beschriebenen entspricht, um so die Rechenleistung zu verbessern und Latenzprobleme beim Starten der Workspace ONE-Anwendung zu vermeiden.

Tabelle 2-3. Zuordnung der Benutzerrollen


Auf Verzeichnisgruppen basierte Zuordnung aktivieren

Aktivieren Sie dieses Kontrollkästchen, um Zuweisungen nach Ranglisten zu aktivieren, die eine Verzeichnisbenutzergruppe mit einer bestimmten Workspace ONE UEM-Rolle verknüpfen. Benutzern, die zu einer bestimmten Gruppe gehören, werden die zugehörigen Rollen zugewiesen. Wenn sie zu mehr als einer Gruppe gehören, wird die Paarung mit dem höchsten Rang verwendet.

Sie können die Reihenfolge, in der rollenbasierte Benutzergruppen aufgelistet sind, durch Auswahl der Schaltfläche Zuweisung bearbeiten ändern.

Workspace ONE Direct Enrollment unterstützt verzeichnisgruppenbasierte Zuordnung.


VMware, Inc. 80

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Optionale Eingabeaufforderung“Sie können sich entscheiden, mit der Registerkarte Optionale Eingabeaufforderung zusätzliche Geräteinformationen anzufordern oder dem Benutzer optionale Benachrichtigungen bezüglich Registrierungs- und MDM-Informationen bereitzustellen.

Die Registerkarte „Optionale Eingabeaufforderung“ befindet sich unter Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung.


Eingabeaufforderung für Gerätezuständigkeitstyp

Sie können den Endbenutzer auffordern, seinen Gerätezuständigkeitstyp auszuwählen. Anderenfalls konfigurieren Sie einen standardmäßigen Gerätezuständigkeitstyp für die momentane Organisationsgruppe.

Workspace ONE Direct Enrollment unterstützt die Aufforderung zum Gerätezuständigkeitstyp.

Willkommensnachricht anzeigen Sie können früh im Registrierungsprozess eine Willkommensnachricht für Ihre Benutzer einblenden. Kopfzeile und Text dieser Willkommensnachricht können Sie unter System > Lokalisierung > Lokalisierungseditor konfigurieren. Wählen Sie anschließend die Bezeichnungen „EnrollmentWelcomeMessageHeader“ bzw. „EnrollmentWelcomeMessageBody“.

MDM-Installationsnachricht anzeigen Sie können eine Nachricht für Ihre Benutzer während des Geräteregistrierungsprozesses einblenden. Kopfzeile und Text dieser MDM-Installationsnachricht können Sie unter System > Lokalisierung > Lokalisierungseditor konfigurieren. Wählen Sie anschließend die Bezeichnungen „EnrollmentMdmInstallationMessageHeader“ bzw. „EnrollmentMdmInstallationMessageBody“.

Falls Sie Ihre eigene Überschrift und Textnachrichten mit dem Lokalisierungseditor bearbeiten, müssen Sie „Überschreiben“ in der Option Aktuelle Einstellung wählen. Auf diese Weise wird sichergestellt, dass Ihre angepassten Nachrichten verwendet werden und nicht die Standardnachrichten.

Zusätzlich zu einzelnen Lokalisierungsänderungen können Sie Lokalisierungsänderungen auch massenweise ändern, indem Sie eine CSV-Datei (Comma-Separated Values) hochladen. Wenn Sie diese Lokalisierungsvorlage-Datei (CSV) herunterladen möchten, navigieren Sie zuSystem > Lokalisierung > Lokalisierungseditor und wählen Sie die Schaltfläche Ändern. Bearbeiten Sie die Datei gemäß Ihren Einstellungen für massenweise Lokalisierungsänderungen und laden Sie diese auf demselben Bildschirm hoch.

Eingabeaufforderung für Registrierungs-E-Mail aktivieren

Sie können den Benutzer während der Registrierung auffordern, seine E-Mail-Anmeldedaten einzugeben.

Über die Eingabeaufforderung für Registrierungs-E-Mails wird der Endbenutzer automatisch zum Angeben seiner E-Mail-Adresse im Benutzerdatensatz aufgefordert. Diese Daten sind besonders für solche Organisationen hilfreich, die über den Suchwert {EmailAddress} E-Mails auf Geräten bereitstellen.

Geräteinventarnummer-Eingabeaufforderung aktivieren

Sie können den Benutzer während der Registrierung auffordern, seine Geräteanlagennummer einzugeben.

Workspace ONE Direct Enrollment unterstützt Aufforderungen für Registrierungs-E-Mails jedoch nur, wenn Eingabeaufforderung für Gerätezuständigkeitstyp aktiviert ist und nur für unternehmenseigene Geräte.


VMware, Inc. 81


Registrierungsübergangsmeldungen anzeigen (nur Android)

Damit können Sie Registrierungsnachrichten auf Android-Geräten ein- oder ausblenden.

Gegenseitige TLS-Authentifizierung für Windows aktivieren

Durch Aktivieren dieser Option erzwingen Windows Phone- und Windows-Geräte die Verwendung von Endpunkten, die mit Mutual TLS-Authentifizierung gesichert sind. Dies erfordert zusätzliche Einrichtung und Konfiguration. Wenden Sie sich bei Fragen bitte an den Support.

Erstellen von Benutzerdefinierten RegistrierungsnachrichtenSie können Meldungen bezüglich der Geräteregistrierung und zukünftige für ein Gerät bestimmte MDM-Eingabeaufforderungen individuell anpassen.

Obwohl sie grundsätzlich optional sind, werden angepasste Nachrichten den Standardnachrichten häufig vorgezogen. Dies ist für Benutzer weniger verwirrend, da in Benachrichtigungen ein bestimmter Organisationsname statt einer Umgebungs-URL oder einfach „Workspace ONE UEM“ angezeigt wird.

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Allgemein > Registrierung und wählen Sie die Registerkarte Anpassung.

2 Wählen Sie Eine spezifische Nachrichtenvorlage für jede Plattform verwenden und dann eine Nachrichtenvorlage zur Geräteaktivierung aus dem Dropdown-Menü für jede einzelne Plattform aus.

Weitere Informationen finden Sie unter Erstellen von Nachrichtenvorlagen.

3 Konfigurieren Sie für iOS-Geräte optional folgende Optionen.

a Geben Sie eine Ziel-URL nach Registrierung für iOS-Geräte ein.

b Geben Sie für iOS-Geräte eine MDM-Profilnachricht ein. Dies ist die Nachricht, die in der Installationseingabeaufforderung für das MDM-Profil beim Registrieren angezeigt wird.


Erstellen von NachrichtenvorlagenSie können Ihre eigene Bibliothek mit auf Plattformen abgestimmten Nachrichtenvorlagen erstellen und so eine Vielzahl möglicher Registrierungsszenarien abdecken.

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Allgemein > Nachrichtenvorlagen und wählen Sie Hinzufügen aus.

2 Konfigurieren Sie das Dropdown-Menü Kategorie entsprechend der Kategorie Ihrer Vorlage. Dabei gibt es folgende Optionen: Administrator, Anwendung, Konformität, Inhalt, Gerätelebenszyklus, Registrierung und Nutzungsbedingungen.

3 Wählen Sie den Typ aus, der am besten zur Unterkategorie passt.

Die Optionen des Dropdown-Menüs Typ hängen von der Einstellung des Menüs Kategorie ab.


VMware, Inc. 82

4 Richten Sie das Dropdown-Menü Sprache auswählen ein. Wählen Sie die Schaltfläche Hinzufügen, um Sprachen hinzuzufügen.

5 Aktivieren Sie das Kontrollkästchen Standard, wenn Sie die Vorlage für die gewählte Kategorie als Standardvorlage festlegen möchten.

6 Wählen Sie den Nachrichtentyp für die Vorlage.

Die Optionen umfassen E-Mail-, SMS- und Push-Benachrichtigung.

7 Verfassen Sie Ihre E-Mail-Nachricht, indem Sie Text in das Textfeld Nachrichtentext eingeben.

n Die Option Nur-Text weist nur eine Monospace-Schriftart mit Serifen (Courier) ohne Formatierungsoptionen auf.

n Die Option HTML ermöglicht eine Umgebung zur Nur-Text-Bearbeitung, einschließlich Schriftarten, Formatierung, Überschriftenebenen, Aufzählungszeichen, Einzug, Absatzausrichtung, Tiefstellung, Hochstellung sowie Bild- und Hyperlinkfunktionen. Die HTML-Umgebung unterstützt grundlegende HTML-Codierung über die Schaltfläche Quelle anzeigen, die Sie zwischen Rich-Text und Quellenansicht hin- und herschalten können.

8 Speichern Sie Ihre Vorlage, indem Sie auf die Schaltfläche Speichern klicken.

Konfigurieren von LebenszyklusbenachrichtigungenLebenszyklusbenachrichtigungen ermöglichen Ihnen, Benutzerdefinierte Benachrichtigungen nach bestimmten Ereignissen im Laufe des Lebenszyklus eines Geräts zu senden, einschließlich Registrierung und Registrierungsaufhebung.

Konfigurieren Sie diese optionale Einstellung unter Geräte > Lebenszyklus > Einstellungen > Benachrichtigungen und geben Sie folgende Optionen in den folgenden Bereichen ein.

n Geräteregistrierung aufgehoben – Senden Sie eine E-Mail-Benachrichtigung, wenn die Registrierung eines Geräts aufgehoben wird.

n Gerät erfolgreich registriert – Senden Sie eine E-Mail-Benachrichtigung, wenn ein Gerät erfolgreich registriert wird.

n Gerät aufgrund von Registrierungsrestriktion blockiert – Senden Sie eine E-Mail-Benachrichtigung, wenn eine Registrierungsrestriktion ein Gerät blockiert. Sie können dieses Verhalten konfigurieren, indem Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung navigieren und die Registerkarte Restriktionen wählen.


VMware, Inc. 83


E-Mail senden an.

n Keine(r/s) – Legen Sie fest, dass keine Bestätigungs-E-Mail bei einer erfolgreichen Geräteblockierung, Registrierung oder Registrierungsaufhebung gesendet werden soll.

n Benutzer – Senden Sie eine Bestätigungs-E-Mail an die Gerätebenutzer, um sie über eine erfolgreiche Geräteblockierung, Registrierung oder Registrierungsaufhebung zu informieren.

n CC – Senden Sie dieselbe Bestätigungs-E-Mail an eine einzige oder mehrere, durch Kommas getrennte E-Mail-Adressen.

n Nachrichtenvorlage – Wählen Sie die gewünschte Nachrichtenvorlage aus der Dropdown-Auflistung. Sie können eine neue Nachrichtenvorlage hinzufügen oder eine vorhandene Vorlage bearbeiten, indem Sie den Hyperlink „Hier klicken ...“ auswählen, der Sie zur Einstellungsseite Geräte & Benutzer > Allgemein > Nachrichtenvorlagen leitet.

n Administrator – Senden Sie dem Workspace ONE UEM-Administrator eine Bestätigungs-E-Mail und informieren Sie ihn über die erfolgreiche Geräteblockierung, -registrierung oder Registrierungsaufhebung.

n An – Senden Sie dieselbe Bestätigungs-E-Mail an eine einzige oder mehrere, durch Kommas getrennte E-Mail-Adressen.

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Anpassung“Sie können zusätzlichen Endbenutzer-Support bieten, einschließlich E-Mail-Adresse und Rufnummer, indem Sie die Registerkarte Anpassung konfigurieren. Eine derartige Supportebene ist von Nutzen, wenn Benutzer ihr Gerät aus irgendeinem Grund nicht registrieren können.

Die Registerkarte „Anpassung“ befindet sich unter Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung.


Eine spezifische Nachrichtenvorlage für jede Plattform verwenden

Wenn diese Option aktiviert ist, können Sie eine eindeutige Nachrichtenvorlage für jede Plattform auswählen.

Der bereitgestellte Link verweist auf die Seite „Nachrichtenvorlage“, über die Sie sofort mit der Erstellung von Vorlagen beginnen können.

Workspace ONE™ Direct Enrollment unterstützt plattformspezifische Nachrichtenvorlagen.

E-Mail-Adresse für Registrierungs-Support

Geben Sie die E-Mail-Adresse für den Support ein.

Rufnummer für Registrierung-Support

Geben Sie die Rufnummer für den Support ein.

Ziel-URL nach Registrierung (nur iOS)

Geben Sie eine Ziel-URL nach Registrierung an, zu der die Benutzer nach erfolgreicher Registrierung geleitet werden. Diese URL kann möglicherweise eine Unternehmensressource sein, beispielsweise eine Unternehmenswebsite oder eine Anmeldeseite, die zu zusätzlichen Ressourcen führt.

Workspace ONE Direct Enrollment unterstützt die Ziel-URLs nach der Registrierung.


VMware, Inc. 84


MDM-Profilnachricht (nur iOS) Dieses Textfeld gilt für Nachrichten, die während der Registrierung von ausschließlich iOS-Geräten angezeigt werden. Sie können eine Nachricht, die aus maximal 255 Zeichen besteht, festlegen.

Workspace ONE Direct Enrollment unterstützt nur iOS-MDM-Profilnachrichten.

Benutzerdefinierte MDM Apps verwenden

Zeigen Sie einen Link an, über den die Seite für die Listenansicht für Anwendungsgruppen geöffnet wird. Dieser Link weist die Bezeichnung Anwendungsgruppen auf.

Workspace ONE Direct Enrollment unterstützt benutzerdefinierte MDM-Apps.

Geräteeinträge auf Blacklists bzw. WhitelistsEine Blacklist ist eine explizite Auflistung von unzulässigen Geräten oder Anwendungen. Eine Whitelist ist eine explizite Auflistung, die ausschließlich zulässige Geräte oder Anwendungen enthält. Dieses Konzept kann auf die Registrierung angewendet werden, sodass Sie steuern können, welche Geräte zur Registrierung zulässig sind.

Beispielsweise können Sie sich bei einer Bereitstellung von ausschließlich unternehmenseigenen Geräten für eine Whitelist für iOS-Geräte entscheiden. Sie können diese Liste der Geräte auf IMEI (International Mobile Equipment Identity), Seriennummer oder UDID (Unique Device Identifier) basieren lassen. Auf diese Weise können nur die von Ihnen bestimmten Geräte registriert werden und die Registrierung durch mitarbeitereigene Geräten kann blockiert werden.

Außerdem können Sie bei Diebstahl oder Verlust eines Gerätes dessen IMEI, Seriennummer oder UDID einer Blacklist hinzufügen. Das Hinzufügen eines Geräts zur Blacklist hebt die Registrierung des Geräts auf, entfernt alle MDM-Profile und verhindert die Registrierung des Geräts, bis Sie es von der Blacklist entfernen.

Hinweis Die aktuellen Funktionen von Microsoft lassen nicht zu, dass Sie Windows Phone-Geräte nach IMEI oder UDID auf eine Blacklist setzen.

Hinzufügen eines auf der Blacklist oder Whitelist erfassten GerätesSie können ein auf der Blacklist (Gerät wurde zur Registrierung beschränkt) oder Whitelist erfasstes (Gerät wurde zur Registrierung freigegeben) Gerät basierend auf verschiedenen Geräteattributen hinzufügen.

Verfahren

1 Navigieren Sie zu Geräte > Lebenszyklus > Registrierungsstatus und wählen Sie Hinzufügen.


VMware, Inc. 85

2 Wählen Sie im Dropdown-Menü Hinzufügen entweder Geräte auf Blacklist oder Geräte auf Whitelist aus und schließen Sie die Einstellungen ab.


Geräte auf Blacklist/Whitelist Geben Sie in die Liste die zulässigen (Whitelist) und nicht zulässigen (Blacklist) Geräte (nach Geräteattributauswahl) ein – bis zu 30 Geräte auf einmal.

Geräteattribut Wählen Sie den entsprechenden Geräteattributtyp. Wählen Sie die IMEI, Seriennummer oder UDID.

Organisationsgruppe Bestätigen Sie, welcher Organisationsgruppe die Geräte der Blacklist bzw. der Whitelist hinzugefügt wurden.

Besitz Sie können nur Geräte mit dem ausgewählten Zuständigkeitstyp zulassen

Diese Option ist nur beim „Whitelisting“ von Geräten verfügbar.

Zusätzliche Informationen Ermöglicht Ihnen die Wahl einer Plattform zur Anwendung Ihrer Blacklist bzw. Whitelist.

Plattform Sie können alle Geräte einer gesamten Plattform auf die Blacklist bzw. Whitelist setzen.

Diese Option ist nur dann verfügbar, wenn das Kontrollkästchen Zusätzliche Informationen aktiviert wurde.

3 Wählen Sie Speichern, um die Einstellungen zu bestätigen.

Zusätzliche RegistrierungsrestriktionenDie Anwendung zusätzlicher Registrierungsrestriktionen gilt für alle Bereitstellungen, unabhängig von der Verzeichnisdienstintegration, BYOD-Unterstützung, Geräteregistrierung oder anderen Konfigurationen. Sie können zusätzliche Registrierungsrestriktionen einrichten, um festzulegen, wer sich registrieren kann und welche Gerätetypen zulässig sind.

Außerdem können Sie die maximale Anzahl der registrierten Geräte pro Organisationsgruppe festlegen. Nach der Konfiguration von Registrierungsrestriktionen können Sie diese Restriktionen sogar als Richtlinie speichern.

Überlegungen zur Registrierung – zusätzliche RestriktionenDurch Registrierungsrestriktionen können Sie die Registrierungsparameter anpassen, die auf Ihre Bereitstellung angewendet werden sollen. Beachten Sie bei der Wahl der zu verwendenden Registrierungsrestriktionen folgende Punkte.

Punkt 1: Werden bestimmte Plattformen oder Betriebssystemversionen eingeschränkt oder legen Sie eine maximale Anzahl zulässiger Geräte fest?n Möchten Sie nur Unterstützung für Geräte bieten, die über integrierte Enterprise-Management-

Funktionen verfügen (z.B. Samsung SAFE/Knox, HTC Sense, LG Enterprise und Motorola-Geräte)? Falls dies der Fall ist, können Sie als Registrierungsrestriktion verlangen, dass Android-Geräte eine unterstützte Enterprise-Version aufweisen müssen.


VMware, Inc. 86

n Möchten Sie die maximale Anzahl der Geräte, die ein Benutzer registrieren darf, beschränken? Falls dies der Fall ist, können Sie die jeweilige Anzahl festlegen und darüber hinaus eine Unterscheidung zwischen unternehmens- und mitarbeitereigenen Geräten vornehmen.

n Gibt es bestimmte Plattformen, die in Ihrer Bereitstellung nicht unterstützt werden? Falls dies der Fall ist, können Sie eine Liste von blockierten Geräteplattformen erstellen, bei denen eine Registrierung nicht möglich ist.

Ihre Organisation muss die Anzahl und Arten der Geräte, die Ihre Mitarbeiter besitzen, auswerten. Zudem muss sie ermitteln, welche dieser Geräte Sie in Ihrer Arbeitsumgebung verwenden möchten. Im Anschluss können Sie diese Registrierungsrestriktionen als Richtlinie speichern.

Punkt 2: Soll die Registrierung auf eine festgelegte Liste von Unternehmensgeräten beschränkt werden?Zusätzliche Registrierungsoptionen ermöglichen die Auswahl der Geräte, die die Endbenutzer registrieren dürfen. So können Sie die Registrierung von auf Blacklists erfassten Geräten verhindern oder die Registrierung nur auf Geräte auf Whitelists beschränken, was sich insbesondere für BYOD-Bereitstellungen als nützlich erweist. Sie können Geräte nach Typ, Plattform oder bestimmten Geräte-IDs und Seriennummern auf Whitelists erfassen. Weitere Informationen finden Sie unter Hinzufügen eines auf der Blacklist oder Whitelist erfassten Gerätes.

Punkt 3: Soll die Anzahl der pro Organisationsgruppe registrierten Geräte beschränkt werden?Sie können die Anzahl der pro Organisationsgruppe (OG) registrierten Geräte limitieren. Das Festlegen eines derartigen Limits hilft Ihnen bei der Verwaltung Ihrer Bereitstellung, indem verhindert wird, dass die Anzahl gültiger Registrierungen überschritten wird. Weitere Informationen finden Sie unter Grenzwert für registrierte Geräte pro Organisationsgruppe.

Konfigurieren von RegistrierungsrestriktionseinstellungenBei der Integration von Workspace ONE UEM in Verzeichnisdienste können Sie bestimmen, welche Benutzer Geräte in Ihrer Unternehmensbereitstellung registrieren können.

Sie können die Registrierung auf ausschließlich bekannte Benutzer oder konfigurierte Gruppen beschränken. Bekannte Benutzer sind Benutzer, die in der UEM-Konsole vorhanden sind. Konfigurierte Gruppen sind Benutzer, die Verzeichnisdienstgruppen zugehörig sind, falls Sie eine Integration in Benutzergruppen durchführen möchten. Sie können auch die Anzahl der pro Organisationsgruppe registrierten Geräte limitieren und Restriktionen als wiederverwendbare Richtlinien speichern.

Um zu diesen Optionen zu gelangen, navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Restriktionen. Die Registerkarte „Restriktionen“ ermöglicht es Ihnen, Registrierungsrestriktionsrichtlinien nach Organisationsgruppen- und Benutzergruppenrollen anzupassen.

n Erstellen und weisen Sie vorhandene Registrierungsrestriktionsrichtlinien durch Richtlinieneinstellungen zu.

n Weisen Sie die Richtlinie im Bereich „Gruppenzuweisungseinstellungen“ einer Benutzergruppe zu.


VMware, Inc. 87

n Setzen Sie Geräte nach Plattform, Betriebssystem, UDID, IMEI usw. auf Black- oder Whitelists.


Benutzerzugriffskontrolle Die direkte Registrierung bei Workspace ONE (Workspace ONE Direct Enrollment) unterstützt alle Steuerungsoptionen für den Zugriff der Benutzer.

Registrierung auf bekannte Benutzer beschränken – Aktivieren Sie diese Option, um die Registrierung nur auf Benutzer zu beschränken, die in der UEM-Konsole vorhanden sind. Diese Einschränkung gilt für Verzeichnisbenutzer, die Sie der UEM-Konsole manuell – einzeln oder per Batch-Import – hinzugefügt haben. Diese Option kann auch zur Registrierungssperre nach der ersten Bereitstellung verwendet werden, wobei sich jeder registrieren konnte. Mit dieser Option können Sie gezielt auswählen, wer sich registrieren kann.

Wenn Sie diese Option deaktivieren, können sich Verzeichnisbenutzer, die kein Konto in der UEM-Konsole haben, in Workspace ONE UEM registrieren. Benutzerkonten werden automatisch während der Registrierung erstellt.

Registrierung auf konfigurierte Gruppen beschränken - Aktivieren Sie diese Option, um die Geräteregistrierung auf solche Benutzer zu beschränken, die zu „Alle Gruppen“ oder „Ausgewählte Gruppen“ gehören (falls Sie eine Integration mit Benutzergruppen ausgeführt haben). Wählen Sie diese Option nicht aus, wenn Sie noch keine Integration mit Ihren Verzeichnisdienst-Benutzergruppen ausgeführt haben.

Sie können Workspace ONE UEM-Benutzerkonten während der Registrierung erstellen, indem Sie die Option deaktivieren, die die Registrierung aller Verzeichnisbenutzer ermöglicht. Wählen Sie Enterprise-Löschung für Geräte der Benutzer, die aus konfigurierten Gruppen entfernt werden, damit für die Geräte automatisch eine Enterprise-Löschung durchgeführt wird. Falls Alle Gruppen ausgewählt ist, werden Geräte entfernt, die zu keiner Benutzergruppe gehören. Falls Ausgewählte Gruppen ausgewählt ist, werden Geräte entfernt, die nicht zu einer bestimmten Benutzergruppe gehören.

Eine Option zur Integration in Benutzergruppen ist die Erstellung einer Verzeichnisdienstgruppe des Typs „Von MDM zugelassen“ und deren Import in Workspace ONE UEM. Nach dem Import können Sie vorhandene Verzeichnisdienst-Benutzergruppen der Gruppe „Von MDM zugelassen“ hinzufügen, sobald sie für Workspace ONE UEM auswählbar werden.

Maximum an registrierten Geräten in dieser OG und darunter festlegen

Aktivieren und bearbeiten Sie die Funktion Gerätelimit eingeben, um die Anzahl der Geräte zu beschränken, die sich in der aktuellen Organisationsgruppe (OG) registrieren können.

Diese Option wird von Workspace ONE Direct Enrollment unterstützt.

Hinweis Restriktionen gelten nicht für iOS-Geräte, die über das Apple Programm zur Geräteregistrierung (DEP) registriert sind, da die erforderlichen Geräteinformationen erst nach der Registrierung des Geräts erhalten werden.

Grenzwert für registrierte Geräte pro OrganisationsgruppeSie können die Anzahl der pro Organisationsgruppe (OG) registrierten Geräte limitieren. Das Festlegen eines derartigen Limits hilft Ihnen bei der Verwaltung Ihrer Bereitstellung, indem verhindert wird, dass die Anzahl gültiger Registrierungen überschritten wird.

Dieses Gerätelimit kann in jeder Art von OG (Global, Kunden, Partner) gesetzt werden. Sobald ein Limit in einer OG festgelegt wurde, können Sie keine weiteren Limits im OG-Zweig festlegen. Sie können ein Limit für ein weiteres Gerät festlegen, jedoch nur, wenn Sie dieses in einem separaten OG-Zweig festlegen.


VMware, Inc. 88

Einschränken der Anzahl registrierter Geräte pro OrganisationsgruppeDie Begrenzung der Anzahl der registrierten Geräte pro Organisationsgruppe kann eine effektive Möglichkeit sein, um die Anzahl der Lizenzen in einer Umgebung mit Lizenzierung pro Gerät zu verwalten.

Sollte diese Option nicht verfügbar sein, prüfen Sie die übergeordnete OG (höher als die momentane OG) oder eine untergeordnete OG (niedriger als die momentane OG). Aller Wahrscheinlichkeit nach wurde ober- oder unterhalb Ihrer aktuellen OG bereits ein vorhandenes Limit festgelegt.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Restriktionen.

2 Aktivieren Sie das Limit unter Grenzwert für registrierte Geräte in dieser Organisationsgruppe und darunter festlegen.

Erstellen einer RegistrierungsbeschränkungsrichtlinieIhre Organisation muss die Anzahl und Arten der Geräte, die Ihre Mitarbeiter besitzen, auswerten. Außerdem muss sie festlegen, welche Geräte in Ihrer Arbeitsumgebung verwendet werden sollen. Im Anschluss können Sie diese Registrierungsrestriktionen als Richtlinie speichern.

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung.

2 Wählen Sie die Registerkarte Restriktionen und dann Richtlinie hinzufügen im Bereich Richtlinieneinstellungen.


VMware, Inc. 89

3 Fügen Sie auf der Seite Registrierungsbeschränkungsrichtlinie hinzufügen/bearbeiten eine Registrierungsbeschränkungsrichtlinie hinzu.


Name der Registrierungseinschränkungsrichtlinie

Geben Sie den Namen für Ihre Registrierungsrestriktionsrichtlinie ein.

Organisationsgruppe Wählen Sie eine Organisationsgruppe aus dem Dropdown-Menü aus. Dies ist die OG, auf die Ihre neue Registrierungsrestriktionsrichtlinie angewendet wird.

Richtlinientyp Wählen Sie den Typ der Registrierungsrestriktionsrichtlinie – entweder Organisationsgruppenstandard für die ausgewählte Organisationsgruppe oder Benutzergruppenrichtlinie für bestimmte Benutzergruppen über Gruppenzuweisungseinstellungen auf der Registerkarte Restriktionen.

Zulässige Zuständigkeitstypen Wählen Sie, ob Geräte der Kategorien Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät bzw. Mitarbeitereigen zugelassen oder verhindert werden sollen.

Workspace ONE Direct Enrollment unterstützt nur die ZUständigkeitstypen „Unternehmen – Dediziert“ und „Mitarbeitereigen“.

Zulässige Registrierungstypen Legen Sie fest, ob die Registrierung von Geräten über die Apps MDM (Workspace ONE Intelligent Hub) und AirWatch Container (für iOS/Android) zugelassen werden soll.

Gerätelimit pro Benutzer Wählen Sie Unbegrenzt, um es Benutzern zu ermöglichen, beliebig viele Geräte zu registrieren. Workspace ONE Direct Enrollment unterstützt das Festlegen eines Gerätegrenzwerts für jeden Benutzer.

Deaktivieren Sie dieses Kontrollkästchen, um Werte für den Bereich Gerätelimit pro Benutzer einzugeben und so die maximale Geräteanzahl pro Zuständigkeitstyp zu definieren.

n Maximale Geräteanzahl pro Benutzern Maximale Anzahl an Unternehmensgerätenn Maximale Anzahl an Gemeinschaftsgerätenn Maximale Anzahl an mitarbeitereigenen Geräten


VMware, Inc. 90


Zulässige Gerätetypen Aktivieren Sie das Kontrollkästchen Registrierung auf bestimmte Plattformen, Modelle oder Betriebssysteme begrenzen, um weitere gerätespezifische Einschränkungen hinzuzufügen.


Hinweis Die aktuellen Funktionen von Microsoft lassen nicht zu, dass Sie Windows Phone-Geräte nach IMEI oder UDID auf eine Blacklist setzen.

Restriktionsmodus auf Geräteebene Diese Option wird nur bei Auswahl von Registrierung auf bestimmte Plattformen, Modelle oder Betriebssysteme begrenzen in der Option Zulässige Gerätetypen angezeigt.

Bestimmen Sie, über welche Art von Gerätebeschränkungen Sie verfügen sollten.

n Nur aufgeführte Gerätetypen zulassen (Whitelist) – Wählen Sie diese Option, um explizit nur solche Geräte zuzulassen, die den von Ihnen eingegebenen Parametern entsprechen, und alle anderen Geräte zu blockieren.

n Aufgeführte Gerätetypen blockieren (Blacklist) – Wählen Sie diese Option, um explizit solche Geräte zu blockieren, die den von Ihnen eingegebenen Parametern entsprechen, und alle anderen Geräte zuzulassen.

Für beide Restriktionsmodi auf Geräteebene gilt: Klicken Sie auf Geräterestriktion hinzufügen, um eine Plattform, ein Modell, einen Hersteller (für Android-Geräte) oder das Betriebssystem auszuwählen. Sie können auch einen Gerätegrenzwert pro definiertem Geräterestriktion hinzufügen. Ebenso können mehrere Geräterestriktionen hinzugefügt werden.

Sie können auch bestimmte Geräte anhand von IMEI, Seriennummer oder UDID blockieren. Gehen Sie dazu zu Geräte > Lebenszyklus > Registrierungsstatus und wählen Sie Hinzufügen aus. Auf diese Weise kann ein einzelnes Gerät effektiv blockiert und eine erneute Registrierung ohne Auswirkung auf Geräte anderer Benutzer verhindert werden. Eine erneute Registrierung kann wahlweise auch verhindert werden, wenn ein Enterprise Wipe ausgeführt wird.


4 Wählen Sie Speichern, um Ihre Änderungen zu speichern, und navigieren Sie zurück zur Seite Geräte und Benutzer > Allgemein > Registrierung.

Bedenken hinsichtlich der Geräteregistrierung auf globaler EbeneEs gibt verschiedene Gründe, warum die direkte Registrierung von Geräten bei der obersten Organisationsgruppe (OG), häufig als „global“ bezeichnet, nicht empfehlenswert ist. Zu diesen Gründen zählen die Mandantenfähigkeit, Vererbung und Funktionalität.

Mandantenfähigkeit

Sie können beliebig viele untergeordnete Organisationsgruppen erstellen und jede einzelne unabhängig von den anderen konfigurieren. Einstellungen, die Sie an einer untergeordneten OG vornehmen, werden nicht auf gleichgestellte OGs angewendet.

Vererbung


VMware, Inc. 91

Änderungen an einer übergeordneten OG werden auf untergeordnete OGs angewendet. Umgekehrt werden Änderungen an einer untergeordneten OG nicht auf übergeordnete oder gleichgestellte OGs angewendet.

Funktionalität

Bestimmte Einstellungen und Funktionen sind nur für Organisationsgruppen vom Typ „Kunde“ konfigurierbar. Hierzu zählen beispielsweise Wipe-Schutz, Telekommunikation und private Inhalte. Geräte, die direkt zur globalen Organisationsgruppe (OG) der obersten Ebene hinzugefügt werden, sind von diesen Einstellungen und Funktionen ausgeschlossen.

Die globale Organisationsgruppe (OG) ist für die Aufnahme von OGs vom Typ „Kunde“ und anderer Typen konzipiert. Wenn Sie Geräte zur globalen Ebene hinzufügen und die globale Ebene mit Einstellungen für diese Geräte konfigurieren, sind alle untergeordneten Kunden-OGs aufgrund der Funktionsweise der Vererbung ebenfalls davon betroffen. Dies reduziert die Vorteile bezüglich der Mandantenfähigkeit und Vererbung.

Registrierung über AutoErmittlungIn Workspace ONE UEM ist die Registrierung dank eines Systems zur AutoErmittlung ganz einfach. Damit werden Geräte über die E-Mail-Adressen der Benutzer in Umgebungen und Organisationsgruppen registriert. AutoErmittlung kann auch verwendet werden, um es Endbenutzern zu ermöglichen, die Authentifizierung für das Self-Service-Portal (SSP) mit ihrer E-Mail-Adresse auszuführen.

Hinweis Um AutoErmittlung für lokale Umgebungen zu aktivieren, muss eine Kommunikation zwischen Ihrer Umgebung und den AutoErmittlungs-Servern von Workspace ONE UEM möglich sein.

Anmeldung zur Registrierung über AutoErmittlungDer Server überprüft die Eindeutigkeit der E-Mail-Domäne und lässt nur zu, dass eine Domäne bei einer Organisationsgruppe in einer Umgebung registriert wird. Registrieren Sie Ihre Domäne aufgrund dieser serverseitigen Prüfung in der Organisationsgruppe der höchsten Ebene.

AutoErmittlung wird für neue SaaS-Kunden (Software as a Service) automatisch konfiguriert.

Konfigurieren der AutoErmittlungs-Registrierung von einer übergeordneten OrganisationsgruppeDie AutoErmittlungs-Registrierung vereinfacht den Registrierungsprozess, indem es Geräte unter Verwendung der E-Mail-Adressen der Endbenutzer bei den beabsichtigten Umgebungen und Organisationsgruppen (OG) registriert.

Konfigurieren Sie eine AutoErmittlungs-Registrierung von einer übergeordneten OG, indem Sie folgende Schritte durchführen.


VMware, Inc. 92

Verfahren

1 Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Administrator > Cloud-Dienste und aktivieren Sie die Einstellung AutoErmittlung. Geben Sie Ihre E-Mail-Adresse für die Anmeldung in AirWatch ID für AutoErmittlung ein und wählen Sie Identität festlegen.

a Navigieren Sie bei Bedarf zu https://my.air-watch.com/set-discovery-password, um das Kennwort für den AutoErmittlungs-Dienst festzulegen. Sobald Sie sich eingetragen und Identität festlegen gewählt haben, wird das HMAC-Token automatisch beausgefüllt. Klicken Sie auf Verbindung testen, um sicherzustellen, dass die Verbindung funktioniert.

2 Aktivieren Sie die Option AutoErmittlung – Zertifikat-Pinning, um Ihr eigenes Zertifikat hochzuladen und es an die Funktion „AutoErmittlung“ anzuheften. Sie können die Gültigkeitsdaten und andere Informationen für vorhandene Zertifikate überprüfen, und Sie können diese vorhandenen Zertifikate auch ersetzen und löschen.

3 Wählen Sie Zertifikat hinzufügen, um die Einstellungen Name und Zertifikat anzuzeigen. Geben Sie den Namen des hochzuladenden Zertifikats ein. Wählen Sie die Schaltfläche Hochladen und anschließend das auf Ihrem Gerät befindliche Zertifikat.

4 Klicken Sie auf Speichern, um die Einrichtung von AutoErmittlung abzuschließen.

Nächste Schritte

Weisen Sie Endbenutzer, die ihre Geräte selbst registrieren, an, die Option auszuwählen, bei der sie zur Authentifizierung ihre E-Mail-Adresse verwenden, statt eine Umgebungs-URL und Gruppen-ID einzugeben. Wenn Benutzer ihre Geräte über eine E-Mail-Adresse registrieren, dann registrieren sie sich in der Gruppe, die auch in der Registrierungsorganisationsgruppe des zugehörigen Benutzerkontos eingetragen ist.

Konfigurieren der AutoErmittlungs-Registrierung von einer untergeordneten OrganisationsgruppeSie können die AutoErmittlungs-Registrierung von einer untergeordneten Organisationsgruppe unterhalb der Registrierungsorganisationsgruppe konfigurieren. Um eine AutoErmittlungs-Registrierung auf diese Art und Weise zu aktivieren, müssen Sie Benutzer dazu auffordern, bei der Registrierung eine Gruppen-ID auswählen.

Erzwingen Sie, dass Benutzer während der Registrierung eine Gruppen-ID auswählen.

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Allgemein > Registrierung und wählen Sie den Tab Gruppierung aus.

2 Wählen Sie Benutzer auffordern, Gruppen-ID auszuwählen.



VMware, Inc. 93

https://my.workspaceone.com/set-discovery-password

Gerätezuweisungen 3Mithilfe von Gerätezuweisungen ist es möglich, Geräte auf Basis des Netzwerk-IP-Adressbereichs (Internet Protocol) oder Benutzerdefinierten Attributen über Organisationsgruppen (OG) und Benutzernamen hinweg zu verschieben. Dies bietet eine Alternative zur Organisation von Inhalten (z.B. Profile, Anwendungen, Richtlinien und Produkte) nach Benutzergruppen.

Statt Geräte manuell zwischen OGs durch Administratoren verschieben zu lassen, können Sie die Konsole so konfigurieren, dass Geräte automatisch verschoben werden, wenn sie eine Verbindung zu einem von Ihnen festgelegten WLAN-Netzwerk herstellen. Zudem können Sie Geräte basierend auf von Ihnen definierten Regeln mit Benutzerdefinierten Attributen verschieben.

Ein typischer Anwendungsfall für Gerätezuweisungen sind Benutzer, die regelmäßig ihre Rollen wechseln und spezielle Profile und Anwendungen für jede Rolle erfordern.

Sie müssen sich zwischen der Implementierung von Benutzergruppen und Gerätezuweisungen entscheiden, um Geräte zu verschieben, da Workspace ONE UEM powered by AirWatch nicht beide Funktionen auf demselben Gerät unterstützt.


n Aktivieren von Gerätezuweisungen

n Festlegen von Regeln zur Gerätezuweisung oder eines Netzwerkbereichs

Aktivieren von GerätezuweisungenBevor Sie Geräte zwischen Organisationsgruppen (OG) und Anwendernamen basierend auf Internet Protocol (IP) oder einem anwenderdefiniertem Attribut verschieben können, müssen Sie die Funktion „Gerätezuweisungen“ aktivieren. Gerätezuweisungen können nur auf einer untergeordneten Organisationsgruppe konfiguriert werden.

VMware, Inc. 94

Verfahren

1 Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Allgemein > Erweiterungen und wählen Sie, je nach Bedarf, Überschreiben oder Vererben für die aktuelle Einstellung aus.

2 Wählen Sie Aktiviert in der Einstellung Regeln zur Gerätezuweisung.

3 Wählen Sie den Verwaltungstyp.

n Organisationsgruppe nach IP-Bereich – Verschiebt das Gerät in eine festgelegte OG, wenn das Gerät einen WLAN-Netzwerkbereich verlässt und sich in einen anderen begibt. Durch diese Verschiebung wird die automatische Übertragung von Profilen, Anwendungen, Richtlinien und Produkten per Push ausgelöst.

n Organisationsgruppe nach benutzerdefiniertem Attribut – Das Gerät wird auf Basis benutzerdefinierter Attribute in eine Organisationsgruppe verschoben.

Benutzerdefinierte Attribute ermöglichen es Administratoren, bestimmte Werte eines verwalteten Geräts zu extrahieren und an die Workspace ONE UEM Console zurückzugeben. Sie können den Attributwert zur späteren Verwendung bei Produktbereitstellungen oder Gerätenachschlagewerten auch an Geräte zuweisen.

n Wenn Organisationsgruppe nach benutzerdefiniertem Attribut aktiviert ist, wird der Link Klicken Sie hier, um auf benutzerdefinierte Attribute basierende Zuweisungsregeln zu erstellen angezeigt. Wenn Sie auf diesen Link klicken, wird eine weitere Registerkarte in Ihrem Browser geöffnet. Auf dieser Registerkarte wird die Seite Zuweisungsregeln für anwenderdefinierte Attribute angezeigt, auf der Sie Ihre eigenen attributbasierten Zuweisungsregeln erstellen können. Weitere Informationen finden Sie unter Zuweisen von Organisationsgruppen mithilfe von benutzerdefinierten Attributen.

n Anwendername nach IP-Bereich – Wenn ein Gerät in einem Netzwerk vorhanden ist und in ein anderes Netzwerk wechselt, ändert das Gerät die Anwendernamen anstatt in eine andere Organisationsgruppe zu wechseln. Durch die Änderung des Anwendernamens wird dieselbe


VMware, Inc. 95

Übertragung von Profilen, Anwendungen, Richtlinien und Produkten per Push ausgelöst wie bei einer OG. Diese Option steht Kunden mit beschränkter Möglichkeit zur Erstellung von Organisationsgruppen zur Verfügung. Dadurch wird eine alternative Methode zur Verwendung der Gerätezuweisungsfunktion geboten.

Wichtig Wenn Sie den Zuweisungstyp für eine vorhandene Zuweisungskonfiguration ändern möchten, müssen Sie alle vorhandenen definierten Bereiche löschen. Entfernen Sie IP-Bereichszuweisungen, indem Sie zu Gruppen und Einstellungen > Gruppen > Organisationsgruppen > Netzwerkbereiche navigieren. Entfernen Sie benutzerdefinierte Attributzuweisungen, indem Sie zu Geräte > Provisioning > Benutzerdefinierte Attribute > Zuweisungsregeln für benutzerdefinierte Attribute navigieren.

4 Wählen Sie die Gerätebesitzoptionen. Nur Geräte mit den ausgewählten Zuständigkeitstypen werden zugewiesen.

n Unternehmen – Dediziert

n Unternehmen – Gemeinschaftsgerät

n Mitarbeitereigen

n Undefiniert

5 Sie können einen Netzwerkbereich hinzufügen, indem Sie den Link Zum Erstellen eines Netzwerkbereichs hier klicken wählen.

Oder rufen Sie die Seite unter Gruppen & Einstellungen > Gruppen > Organisationsgruppen > Netzwerkbereiche auf. Die Auswahl der Einstellungen für Netzwerkbereiche ist nur sichtbar, wenn Gerätezuweisungen für die Organisationsgruppe aktiviert wurde, in der Sie sich befinden, wenn Sie diesen Standort aufrufen. Weitere Informationen finden Sie unter Festlegen von Regeln zur Gerätezuweisung oder eines Netzwerkbereichs.

Bei Auswahl dieser Option wird die Seite Netzwerkbereiche angezeigt.

6 Wählen Sie Speichern, sobald alle Optionen festgelegt sind.

Festlegen von Regeln zur Gerätezuweisung oder eines NetzwerkbereichsWenn sich Ihr Gerät mit WLAN verbindet, authentifiziert und installiert das Gerät automatisch Profile, Anwendungen, Richtlinien und Produktbereitstellungen, die speziell der OG Ihrer Wahl entsprechen.

Sie können auch Regeln basierend auf benutzerdefinierten Attributen festlegen. Wenn sich ein Gerät mit einem zugewiesenen Attribut registriert, weist die Regel das Gerät der konfigurierten Organisationsgruppe zu. Das Gerät kann auch für den Fall zugewiesen werden, dass das Gerät eine Produktbereitstellung mit einem qualifizierten benutzerdefinierten Attribut empfängt.

Gerätezuweisungen können nur auf einer untergeordneten Organisationsgruppe konfiguriert werden.


VMware, Inc. 96

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Organisationsgruppen > Netzwerkbereiche.

Diese Option für Netzwerkbereiche wird erst dann angezeigt, wenn Sie Gerätezuweisungen aktiviert haben. Wenn Sie „Netzwerkbereiche“ nicht im Navigationspfad der Organisationsgruppen finden können, lesen Sie Aktivieren von Gerätezuweisungen.

2 Um einen einzelnen IP-Bereich (Internet Protocol) hinzuzufügen, wählen Sie Netzwerkbereich hinzufügen. Bearbeiten Sie auf der Seite Netzwerkbereich hinzufügen/bearbeiten folgende Einstellungen und klicken dann auf Speichern:

Tabelle 3-1. Netzwerkbereich hinzufügen


Start-IP-Adresse Geben Sie das obere Ende des Netzwerkbereichs ein.

End-IP-Adresse Geben Sie das untere Ende des Netzwerkbereichs ein.

Name der Organisationsgruppe Geben Sie den Namen der OG ein, zu der das Gerät wechselt, wenn der Netzwerkbereich eingegeben wird. Diese Einstellung wird nur angezeigt, wenn der Typ der Netzwerkzuweisung auf „Organisationsgruppe nach IP-Bereich“ gesetzt ist.

Benutzername Geben Sie den Benutzernamen ein, auf den die Geräte registriert werden, wenn der Netzwerkbereich eingegeben wird. Diese Einstellung ist nur sichtbar, wenn der Typ der Netzwerkzuweisung auf „Benutzername nach IP-Bereich“ gesetzt ist.

Beschreibung Geben Sie nach Wunsch eine aussagekräftige Beschreibung des Netzwerkbereichs ein.

Bei sich überlappenden Netzwerkbereichen wird folgende Meldung angezeigt: „Fehler beim Speichern. Netzwerkbereich bereits vorhanden.“


VMware, Inc. 97

3 Falls Sie mehrere Netzwerkbereiche hinzufügen müssen, können Sie wahlweise Batch-Import wählen, um Zeit zu sparen.

a Klicken Sie auf der Seite „Batch-Import“ auf den Link Vorlage für diesen Batch-Typ herunterladen, um die Batch-Importvorlage anzuzeigen und herunterzuladen.

b Füllen Sie diese Vorlage aus und importieren Sie sie mithilfe der Seite Batch-Import.

c Wählen Sie Speichern.


VMware, Inc. 98

Geräteprofile 4Geräteprofile dienen hauptsächlich der Verwaltung von Geräten in Workspace ONE UEM powered by AirWatch. Sie stellen Einstellungen dar, die Ihnen zusammen mit Konformitätsrichtlinien dabei helfen, Unternehmensregeln und -verfahren durchzusetzen.

Erstellen Sie Profile für alle Plattformtypen und konfigurieren Sie dann eine Nutzlast, die aus den von Ihnen für jedes einzelne Profil konfigurierten, individuellen Einstellungen für die einzelnen Plattformtypen besteht.

Zum Erstellen eines Profils bestimmen Sie zuerst die Einstellungen unter Allgemein, gefolgt von den Nutzlasteinstellungen.

n Die Einstellungen unter Allgemein bestimmen, wie das Profil eingesetzt wird und wer es erhält.

n Bei der Nutzlast für das Profil handelt es sich um die eigentliche Einschränkung und andere Einstellungen, die dem Gerät bei der Installation des Profils zugewiesen werden.


n Verarbeitung von Profilen

n Hinzufügen von allgemeinen Profileinstellungen

n Listenansicht für Geräteprofile

n Bearbeiten von Geräteprofilen

n Konformitätsprofile

n Geofence-Bereiche

n Zeitpläne

n Gerätezuweisung anzeigen

Verarbeitung von ProfilenGeräteprofile bieten eine standardisierte Grundlage für die Geräteverwaltung. Zusammen mit Konformitätsrichtlinien stellen Geräteprofile den Mechanismus dar, der die Geräteverwaltung zu einem solch wertvollen Tool macht.

VMware, Inc. 99

Die Verarbeitung und Veröffentlichung von Geräteprofilen ist eine erhebliche Belastung für den Server und muss zur Entlastung gesteuert werden. Die Workspace ONE UEM Console verwendet eine Batch-Verarbeitungslogik für die meisten prozessorintensiven Arten von Geräteprofilen. Sie können diese Batch-Logik anpassen, indem Sie zu Gruppen & Einstellungen > Alle Einstellungen > Installation > Leistungsoptimierung navigieren.

Hinzufügen von allgemeinen ProfileinstellungenDie folgenden Profileinstellungen und -optionen gelten für die meisten Plattformen und können als allgemeine Referenz verwendet werden. Einige Plattformen bieten jedoch möglicherweise andere Auswahlmöglichkeiten. Die folgenden Schritte und Einstellungen gelten für alle Profile:

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > HINZUFÜGEN.

Sie können aus den folgenden Optionen wählen, um ein Profil hinzuzufügen.

n Profil hinzufügen – Fügen Sie ein neues Geräteprofil einmalig hinzu.

n Profil hochladen – Laden Sie ein signiertes Profil auf Ihr Gerät hoch.

n Batchimport – Importieren Sie neue Geräteprofile massenweise über eine CSV-Datei (Comma-Separated Values). Geben Sie einen eindeutigen Namen und eine Beschreibung ein, um mehrere Profile auf einmal zu gruppieren und zu organisieren.

2 Wählen Sie Profil hinzufügen.

3 Wählen Sie die entsprechende Plattform für das bereitzustellende Profil aus.

Die Nutzlasteinstellungen variieren je nach ausgewählter Plattform.

4 Vervollständigen Sie die Registerkarte Allgemein, indem Sie folgende Einstellungen bearbeiten:


Name Name des Profils, der in Workspace ONE UEM Console angezeigt werden soll.

Version Schreibgeschütztes Feld, das die momentane Version des Profils gemäß der Schaltfläche Version hinzufügen berichtet.

Beschreibung Eine kurze Beschreibung des Profils, die dessen Zweck angibt.

Bereitstellung Bestimmt, ob die Profile beim Aufheben der Registrierung automatisch entfernt werden (trifft nicht auf Android-Profile zu).

n Verwaltet – Das Profil wird entfernt.

n Manuell – Dieses Profil bleibt installiert, bis es vom Endbenutzer entfernt wird.


VMware, Inc. 100


Zuweisungstyp Bestimmt, wie das Profil verwendet wird.

n Automatisch – Das Profil wird für alle Geräte eingesetzt.

n Optional – Der Endbenutzer kann das Profil über das Self Service-Portal (SSP) installieren. Das Profil kann aber auch für individuelle Geräte nach Ermessen des Administrators eingesetzt werden.

Endbenutzer können mithilfe eines Web Clips oder einer Lesezeichennutzlast auch Profile installieren, die Webanwendungen darstellen. Und wenn Sie die Anzeige der Nutzlast im App-Katalog konfigurieren, können Sie sie über den App-Katalog installieren.

n Interaktiv – (Gilt nicht für iOS oder Android). Dieses Profil weist einen eindeutigen Typ auf, den Endbenutzer über das Self-Service-Portal installieren. Wenn das Profil installiert ist, interagieren diese speziellen Profiltypen mit externen Systemen, um Daten zu generieren, die an das Gerät gesendet werden sollen. Diese Option ist nur verfügbar, sofern sie unter Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Erweitert > Profiloptionen aktiviert wurde.

n Konformität – Das Profil wird durch die Compliance Engine auf das Gerät angewendet, wenn der Benutzer keine Korrekturmaßnahme bezüglich der Konformität seines Geräts vornimmt. Weitere Informationen finden Sie unter Konformitätsprofile.

Entfernen zulassen n Immer – Der Endbenutzer kann das Profil zu jeder Zeit manuell entfernen.

n Mit Autorisierung – Der Endbenutzer kann das Profil mit Autorisierung des Administrators entfernen. Durch die Auswahl dieser Option wird ein Textfeld für ein Konto-Kennwort hinzugefügt.

n Nie – Der Endbenutzer kann das Profil nicht vom Gerät entfernen.

Verwaltet von Die Organisationsgruppe mit administrativem Zugriff auf das Profil.

Zugewiesene Gruppen Die Gruppe, der Geräteprofil hinzugefügt werden soll. Diese Einstellung beinhaltet eine Option zum Erstellen einer neuen Smartgroup, die mit Angaben des Mindestbetriebssystems, der Gerätemodelle, Zuständigkeitskategorien, Organisationsgruppen etc. konfiguriert werden kann.

Obwohl „Plattform“ ein Kriterium in einer Smartgroup ist, hat die im Geräteprofil oder in der Konformitätsrichtlinie konfigurierte Plattform immer Vorrang vor der Plattform der Smartgroup. Wird beispielsweise ein Geräteprofil für die iOS-Plattform erstellt, wird dieses Profil nur an iOS-Geräte zugewiesen, auch wenn die Smartgroup Android-Geräte enthält.

Ausschlüsse Wird Ja ausgewählt, wird ein neues Textfeld Ausgeschlossene Gruppen angezeigt. Mit diesem Textfeld können Sie Gruppen auswählen, die Sie von der Zuweisung dieser Ressource ausschließen möchten.

Gerätezuweisung anzeigen

Nachdem Sie eine Auswahl in Zugewiesene Gruppe getroffen haben, können Sie eine Vorschau einer Liste aller zugewiesenen Geräte anzeigen, wobei die Smartgroup-Zuweisungen und -Ausschlüsse berücksichtigt werden.

Zusätzliche Zuweisungskriterien

Mit diesen Kontrollkästchen können Sie weitere Restriktionen für das Profil festlegen.

n Nur auf Geräten innerhalb der ausgewählten Bereiche installieren – Geben Sie eine beliebige Adresse und einen Radius (in Kilometern oder Meilen) ein, um die Profilinstallation einzugrenzen. Weitere Informationen finden Sie unter Geofence-Bereiche.

n Planung aktivieren und nur in ausgewählten Zeiträumen installieren – Legen Sie mit einem konfigurierten Zeitplan fest, wann welche Geräte das Profil erhalten sollen. Wird diese Option ausgewählt, wird das erforderliche Feld Zugewiesene Zeitpläne angezeigt. Weitere Informationen finden Sie unter Zeitpläne.

Entfernungsdatum Das Datum, an dem das Profil vom Gerät entfernt wird. Dabei ist ein zukünftiges Datum im Format T/M/JJJJ erforderlich.


VMware, Inc. 101

5 Konfigurieren Sie eine Nutzlast für die Geräteplattform. Sie können nach einer Nutzlast anhand des Namens suchen, indem Sie Schlüsselwörter in das Textfeld Nutzlast suchen über der Nutzlastauflistung eingeben.

Eine Schritt-für-Schritt-Anleitung zur Konfiguration einer bestimmten Nutzlast für eine bestimmte Plattform finden Sie im jeweiligen Leitfaden zur entsprechenden Plattform, der unter docs.vmware.com verfügbar ist.

6 Wählen Sie Speichern und veröffentlichen.

Listenansicht für GeräteprofileNachdem Sie Ihre Profile erstellt und zugewiesen haben, benötigen Sie eine Methode, um diese Einstellungen gleichzeitig und remote von einer einzigen Stelle aus zu verwalten. Über die Seite Geräte > Profile & Ressourcen > Profile können Sie Profile organisieren und Aktionen ausführen.

Sie können maßgeschneiderte Listen von Geräteprofilen erstellen, basierend auf den Kriterien, die Sie unter Verwendung von Filter, Layout und Spaltensortierung festgelegt haben. Diese Listen können Sie ebenfalls in eine CSV-Datei zur Ansicht in Excel exportieren, wo Sie den Status des Geräteprofils einsehen können.


Filter Zeigen Sie nur die gewünschten Profile durch Nutzung folgender Filter an.

n Status – Filtern Sie Geräte zur Ansicht von Geräten mit dem Status „Aktiv“, „Inaktiv“ und „Alle“.

n Plattform – Filtern Sie Geräte nach 13 verschiedenen Plattformen oder allen Plattformen.

n Smartgroup – Filtern Sie Geräte, indem Sie eine Smartgroup aus dem Dropdown-Menü auswählen.

Layout Ermöglicht Ihnen, das Spaltenlayout der Auflistung anzupassen.

n Übersicht – Prüfen Sie die Listenansicht mit den Standardspalten und Anzeigeeinstellungen.

n Benutzerdefiniert – Wählen Sie nur die gewünschten Spalten in der Listenansicht aus. Sie haben auch die Möglichkeit, ausgewählte Spalten auf alle Administratoren in und unterhalb der momentanen Organisationsgruppe anzuwenden.

Exportieren Speichern Sie eine XLSX- oder CSV-Datei (Comma-Separated Values) der gesamten Listenansicht, die mit MS Excel angezeigt und analysiert werden kann. Falls Sie für die Listensicht einen Filter verwenden, spiegelt die exportierte Auflistung die herausgefilterten Resultate wider.

Spaltensortierung Klicken Sie auf die Spaltenüberschrift, um die Sortierung der Liste umzuschalten.

Profildetails Sowohl in der Zusammenfassung als auch in benutzerdefinierten Ansichten werden in der Spalte Profildetails der Name, die Plattform und der Nutzlasttyp angezeigt.

Nutzlasten Zeigt die Anzahl der im Geräteprofil angegebenen Nutzlasten an.


VMware, Inc. 102


Installationsstatus Diese Spalte zeigt den Status der Installation eines Profils in Form von drei Symbolindikatoren mit je einem Hypertext-Nummernlink. Dieser Link führt Sie zur Seite Geräte anzeigen, welche die betroffenen Geräte der ausgewählten Kategorie auflistet.

n Installiert ( ) – Dieser Indikator zeigt die Anzahl der Geräte an, denen das Profil zugewiesen und auf denen das Profil erfolgreich installiert wurde.

n Nicht installiert ( ) – Dieser Indikator zeigt die Anzahl der Geräte an, denen das Profil zugewiesen aber auf denen das Profil nicht installiert wurde.

n Zugewiesen ( ) – Dieser Indikator zeigt die Gesamtzahl der zugewiesenen Profile an, unabhängig davon ob sie installiert wurden oder nicht.

n Nicht zugewiesen – Dieser Nur-Text-Indikator wird angezeigt, wenn das Profil definiert und gespeichert, aber noch nicht den Geräten zugewiesen wurde.

Optionsfeld und Bearbeitungssymbol

Auf der Seite Listenansicht sehen Sie links neben dem Profil ein Optionsfeld zur Auswahl sowie das

Symbol Bearbeiten. Durch Auswahl des Symbols Bearbeiten ( ) können Sie grundlegende Änderungen an der Profilkonfiguration vornehmen. Durch Auswahl eines einzelnen Optionsfelds werden über der Auflistung die Schaltflächen Geräte, XML und Weitere Aktionen angezeigt:

n Geräte – Sehen Sie Geräte ein, die für das Profil zur Verfügung stehen, ob das Profil installiert ist und den Grund, falls dieses nicht installiert ist. Prüfen Sie, welche Geräte sich in Ihrer Flotte befinden, und übertragen Sie nach Bedarf Profile manuell per Push.

n </ > XML – Der XML-Code wird angezeigt, den Workspace ONE UEM nach der Profilerstellung generiert. Prüfen und speichern Sie den XML-Code zur erneuten Nutzung oder Änderung außerhalb der Konsole.

n Weitere Aktionenn Kopieren – Kopieren Sie ein vorhandenes Profil und optimieren Sie die Konfiguration der

Kopie, um mit den Geräteprofilen zu beginnen.

n Aktivieren/Deaktivieren – Aktivieren und deaktivieren Sie ein Geräteprofil beliebig.

n Löschen – Verwalten Sie Ihre Profilliste, indem Sie nicht erforderliche Profile entfernen.

Cursor-Popups bei GeräteprofilenJedes Geräteprofil in der Spalte Profildetails ist oben rechts mit einem QuickInfo-Symbol versehen. Wenn ein Benutzer (mit einem mobilen Touchscreengerät) auf dieses Symbol tippt oder (mittels eines PC oder Mac) mit einem Mauszeiger über dieses Symbol fährt, wird eine Cursor-Popup-Meldung angezeigt.

Dieses Popup-Meldung enthält Profildaten wie Profilname, Plattform und der inbegriffene Nutzlasttyp.


VMware, Inc. 103

Ein ähnliches QuickInfo-Symbol finden Sie in der Spalte Zugewiesene Gruppen in der Ansicht Profilliste. Cursor-Popups zeigen Zugewiesene Smartgroups und Bereitstellungstyp an.

Bestätigen der GeräteprofilinstallationIm seltenen Fall, dass ein Profil auf den vorgesehenen Geräten nicht installiert werden kann, können Sie auf der Seite Geräte anzeigen den Grund dafür sehen.

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile und wählen Sie die Nummernlinks rechts neben der Spalte Installationsstatus, um die Seite Geräte anzeigen zu öffnen.

2 (Optional) Erstellen Sie eine CSV-Datei (Comma-Separated Value) der gesamten Seite Geräte

anzeigen, indem Sie das Symbol Exportieren auswählen ( ).

Die CSV-Datei kann mithilfe von Excel gelesen und analysiert werden.

3 (Optional) Passen Sie die Spalten auf der Seite Geräte anzeigen an, die angezeigt werden sollen,

indem Sie das Symbol Verfügbare Spalten auswählen ( ).

Anzeigen der Spalte „Befehlsstatus“ von GeräteniOS-Geräte verfügen über die Spalte Befehlsstatus auf der Seite Geräte anzeigen, die folgende hilfreiche Installationsstatus in Bezug auf das ausgewählte iOS-Gerät enthält.

Die folgenden Status werden in der Spalte „Befehlsstatus“ angezeigt.

n Fehler – Wird als Link angezeigt, der bei Auswahl den jeweiligen, für das Gerät geltenden Fehlercode anzeigt.


VMware, Inc. 104

n Enthalten – Wird angezeigt, wenn das Gerät in einem Zertifikats-Batch-Vorgang enthalten ist, der momentan ausgeführt wird.

n Nicht zutreffend – Wird angezeigt, wenn die Profilzuweisung keine Auswirkung auf das Gerät hat, aber trotzdem Bestandteil der Smartgroup oder Bereitstellung ist. Beispiel: Ein Profiltyp ist nicht verwaltet.

n Nicht jetzt – Wird angezeigt, wenn das Gerät gesperrt oder anderweitig besetzt ist.

n Ausstehend – Wird angezeigt, wenn sich die Installation in der Warteschlange befindet und voraussichtlich planmäßig abgeschlossen wird.

n Gelungen – Wird angezeigt, wenn das Profil erfolgreich installiert wurde.

Geräteprofile – schreibgeschützte AnsichtGeräteprofile, die in einer Organisationsgruppe (OG) erstellt wurden und von einer Organisationsgruppe verwaltet werden, sind schreibgeschützt, wenn angemeldete Administratoren mit eingeschränkten Berechtigungen darauf zugreifen. Der schreibgeschützte Status wird im Profilfenster durch einen besonderen, zusätzlichen Kommentar angegeben: „Dieses Profil wird in einer höheren Organisationsgruppe verwaltet und kann nicht bearbeitet werden.“.

Dieser Schreibschutz gilt auch für Smartgroup-Zuweisungen. Wird ein Profil in einer übergeordneten OG erstellt und einer Smartgroup zugewiesen, kann ein Administrator einer untergeordneten OG die Smartgroup zwar sehen, aber nicht bearbeiten.

Ein derartiges Verhalten erhält eine hierarchiebasierte Sicherheit aufrecht und fördert gleichzeitig die Kommunikation unter den Administratoren.

Bearbeiten von GeräteprofilenMit der Workspace ONE UEM Console können Sie ein Geräteprofil bearbeiten, das bereits auf Geräten Ihrer Flotte installiert wurde. Es gibt zwei Arten von Änderungen, die Sie an jedem beliebigen Geräteprofil vornehmen können.

n Allgemein – Allgemeine Profileinstellungen dienen der Verwaltung der Profilverteilung: wie das Profil zugewiesen, von welcher Organisationsgruppe es verwaltet, welchen Smartgroups es zugewiesen und von welchen Smartgroups es ausgeschlossen wird.

n Nutzlast – Nutzlastprofileinstellungen betreffen das Gerät selbst: Kennungsvoraussetzung, Gerätebeschränkungen, wie Kameranutzung oder Bildschirmaufnahme, WLAN-Konfigurationen, VPN usw.

Da der Betrieb des Geräts selbst nicht beeinflusst wird, können Änderungen unter Allgemein üblicherweise ohne erneute Veröffentlichung des Profils vorgenommen werden. Die Speicherung solcher Änderungen hat zur Folge, dass das Profil nur auf solche Geräte übertragen wird, die dem Profil noch nicht zugewiesen wurden.

Nutzlaständerungen müssen jedoch immer für alle Geräte – neue sowie bereits bestehende – neu veröffentlicht werden, da der Betrieb des Geräts selbst betroffen ist.


VMware, Inc. 105

Bearbeiten allgemeiner GeräteprofileinstellungenZu allgemeinen Profileinstellungen zählen Änderungen, mit der nur die Verteilung verwaltet wird. Die Verteilung gibt an, wie das Profil zugewiesen, von welcher Organisationsgruppe es verwaltet, welchen Zuweisungsgruppen es zugewiesen und von welchen Zuweisungsgruppen es ausgeschlossen wird.

Weitere Informationen finden Sie unter Hinzufügen von allgemeinen Profileinstellungen und Gerätezuweisung anzeigen.

Verfahren

1 Navigieren Sie zu Geräte > Profile & Ressourcen > Profile und wählen Sie das Symbol Bearbeiten

( ) im Aktionsmenü des Profils, das Sie bearbeiten möchten.

Die einzigen Profile, die bearbeitet werden können, werden von einer Organisationsgruppe (oder einer nächsthöheren untergeordneten Organisationsgruppe) verwaltet.

2 Nehmen Sie in der Kategorie Allgemein die gewünschten Änderungen vor.

3 Nachdem Sie die allgemeinen Änderungen gemacht haben, wählen Sie Speichern und veröffentlichen aus, um das Profil auf alle von Ihnen hinzugefügten oder entfernten neuen Geräte anzuwenden.

Ergebnisse

Geräte, denen ein Profil bereits zugewiesen wurde, erhalten das neu veröffentlichte Profil erneut. Die Seite Gerätezuweisung anzeigen wird angezeigt, mit der Sie die Liste aller aktuell zugewiesenen Geräte bestätigen können.

Bearbeiten der Geräteprofileinstellungen für NutzlastenNutzlastprofileinstellungen schließen Änderungen ein, die das Gerät selbst betreffen: Kennungsvoraussetzung, Gerätebeschränkungen, wie Kameranutzung oder Bildschirmaufnahme, WLAN-Konfigurationen, VPN usw.

Die Schaltfläche Version hinzufügen ermöglicht es Ihnen, eine Inkrementversion des Profils zu erstellen, in der Einstellungen bei der Nutzlast geändert werden können.

Verfahren

1 Aktivieren Sie die Bearbeitung der Nutzlast, die sich auf den Betrieb des Geräts auswirkt, indem Sie auf die Schaltfläche Version hinzufügen klicken.

Wenn Sie die Schaltfläche Version hinzufügen auswählen und Ihre Änderungen speichern, wird das Geräteprofil auf allen Geräten erneut veröffentlicht, denen es zugewiesen ist. Diese erneute Veröffentlichung umfasst Geräte, die bereits über das Profil verfügen.

Eine Schritt-für-Schritt-Anleitung, wie Sie eine bestimmte Nutzlast konfigurieren, finden Sie im Leitfaden zur entsprechenden Plattform, der unter docs.vmware.com verfügbar ist.

2 Nachdem Sie die Nutzlaständerungen bearbeitet haben, wählen Sie Speichern und veröffentlichen, um das Profil auf alle zugewiesenen Geräte anzuwenden.


VMware, Inc. 106

Ergebnisse

Die Seite Gerätezuweisung anzeigen wird angezeigt, mit der Sie die Liste aller aktuell zugewiesenen Geräte bestätigen können.

KonformitätsprofileUm die Funktionsweise von Konformitätsprofilen zu verstehen, müssen Sie ein klares Verständnis über Geräte- und Konformitätsprofile haben. Geräteprofile bilden die Grundlage der Geräteverwaltung und -sicherheit, Übereinstimmungsrichtlinien dienen hingegen dem Schutz von Unternehmensinhalten.

Geräteprofile ermöglichen Ihnen die die Kontrolle über eine große Bandbreite an Geräteeinstellungen. Zu diesen Einstellungen zählen u.a. Kennungskomplexität, Geofencing, Zeitpläne, Funktionalität von Gerätehardware, WLAN, VPN, E-Mail, Zertifikate.

Die Compliance Engine überwacht Regeln, setzt Aktionen durch und wendet Eskalationen an (all dies können Sie definieren). Übereinstimmungsprofile sollen der Compliance Engine jedoch alle Optionen und Einstellungen bereitstellen, die üblicherweise nur Geräteprofilen zur Verfügung stehen. Weitere Informationen finden Sie unter Kapitel 6 Konformitätsrichtlinien.

Beispielsweise können Sie ein bestimmtes Geräteprofil erstellen, das mit Ihrem normalen Geräteprofil identisch ist, jedoch restriktivere Einstellungen aufweist. Sie können das jeweilige Geräteprofil bei der Festlegung Ihrer Konformitätsrichtlinie auf der Registerkarte „Aktionen“ anwenden. Wenn der Benutzer mit einer solchen Konfiguration keine Gerätekonformität erreichen kann, können Sie das restriktivere Konformitätsprofil anwenden.

Hinzufügen eines KonformitätsprofilsSie können ein Konformitätsprofil hinzufügen. Dabei handelt sich um eine Kombination einer Konformitätsrichtlinie und eines Geräteprofils. So lassen sich die Vorteile beider Funktionen optimal nutzen. Das Hinzufügen eines Konformitätsprofils besteht aus zwei Schritten: 1) Geräteprofil erstellen und (2) das Profil als "Aktion" in einer Konformitätsrichtlinie zuweisen.

Konformitätsprofile werden auf dieselbe Weise erstellt und gespeichert wie die Geräteprofile „Automatisch“ und „Optional“.

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile und wählen Sie anschließend Hinzufügen, Profil hinzufügen sowie eine Plattform aus.

2 Wählen Sie einen Namen für Ihr Konformitätsprofil aus, den Sie später wiedererkennen können.

3 Wählen Sie auf der Profilregisterkarte Allgemein die Option „Konformität“ in der Dropdown-Einstellung Zuweisungstyp aus.

4 Füllen Sie die verbleibenden Einstellungen „Allgemein“ und „Nutzlast“ aus.

5 Klicken Sie nach Abschluss auf Speichern und veröffentlichen.

6 Wählen Sie dieses Profil in ihrer Konformitätsrichtlinie.


VMware, Inc. 107

7 Navigieren Sie zu Geräte > Konformitätsrichtlinien > Listenansicht, wählen Sie Hinzufügen und anschließend eine Plattform aus.

8 Legen Sie die Konformitätsregeln fest und wählen Sie Weiter aus.

9 Treffen Sie auf der Registerkarte Aktionen folgende Auswahl.

a Legen Sie das erste Dropdown-Menü auf „Profil“ fest.

b Legen Sie das zweite Dropdown-Menü auf „Konformitätsprofil installieren“ fest.

c Legen Sie das dritte Dropdown-Menü auf das benannte Geräteprofil fest.

10 Wählen Sie Weiter aus und fahren Sie mit der Konfiguration der verbleibenden Einstellungen fort, einschließlich derer der Registerkarten „Zuweisung“ und „Übersicht“.

11 Speichern Sie die Konformitätsrichtlinie, indem Sie Fertigstellen oder Fertigstellen und aktivieren auswählen.

Nächste Schritte

Eine Schritt-für-Schritt-Anleitung zum Abschließen eines Geräteprofils finden Sie unter Hinzufügen von allgemeinen Profileinstellungen.

Eine Schritt-für-Schritt-Anleitung zum Abschließen einer Konformitätsrichtlinie finden Sie unter Hinzufügen einer Konformitätsrichtlinie.

Geofence-BereicheMit Workspace ONE UEM können Sie für Ihr Profil einen Geofence-Bereich festlegen. Ein Geofence-Bereich beschränkt die Gerätenutzung auf bestimmte Bereiche wie Bürogebäude, Schulen oder Kaufhäuser. Sie können einen Geofence-Bereich als virtuelle Grenze für ein reales geographisches Gebiet betrachten.

Beispielsweise könnte ein Geofence-Bereich mit einem Radius von 1 Kilometer für Ihr Büro angewendet werden; ein wesentlich größerer Geofence-Bereich hingegen für eine gesamte Region. Einen einmal festgelegten Geofence-Bereich können Sie auf Profile, SDK-Anwendungen und Workspace ONE UEM-Anwendungen wie VMware Content Locker und vieles mehr anwenden.

n Zur Aktivierung eines Geofence-Bereichs sind zwei Schritte erforderlich.

a Geofencing-Bereich hinzufügen.

b Anwenden eines Geofence auf ein Profil.

n Geofencing ist für Android- und iOS-Geräte verfügbar.

n Beachten Sie bitte, dass Sie nur über eine Nutzlast pro Profil verfügen sollten, obwohl Geofencing mit einer anderen Nutzlast kombiniert ist, um Sicherheitsprofile je nach Standort zu ermöglichen.

Weitere Informationen zur Nachverfolgung des GPS-Standorts in Workspace ONE UEM finden Sie im folgenden Artikel in der VMware Wissensdatenbank: https://support.workspaceone.com/articles/115001663108.


VMware, Inc. 108



Unterstützung für Geofencing auf iOS-GerätenGeofencing für Anwendungen funktioniert nur auf iOS-Geräten, auf denen Ortungsdienste ausgeführt werden. Damit die Ortungsdienste funktionieren muss das Gerät entweder mit einem Mobilfunknetz oder WLAN-Hotspot verbunden sein. Andernfalls muss das Gerät über eine integrierte GPS-Funktion verfügen.

Bei Geräten, die nur WLAN-Zugriff bereitstellen, werden GPS-Daten gemeldet, wenn das Gerät eingeschaltet und entsperrt ist und der Workspace ONE Intelligent Hub geöffnet ist und verwendet wird. Bei Mobiltelefonen werden GPS-Daten gemeldet, wenn das Gerät auf einen anderen Mobilfunkmast umschaltet. VMware Browser und Content Locker melden GPS-Daten (unter Verwendung von Workspace ONE Intelligent Hub), wenn der Endbenutzer diese Anwendungen öffnet und benutzt.

Bei Geräten im „Flugmodus“ sind Ortungsdienste (und damit Geofencing) deaktiviert.

Gerät WLAN Mobilfunknetz Integriertes GPS

iPhone ✓ ✓ ✓

iPad WLAN + 3G/4G ✓ ✓ ✓

iPad WLAN ✓

iPod Touch ✓

Folgende Anforderungen müssen erfüllt sein, damit der GPS-Standort aktualisiert wird.

n Auf dem Gerät muss der Workspace ONE Intelligent Hub ausgeführt werden.

n Die Datenschutzeinstellungen müssen die Erfassung von GPS-Standortdaten zulassen (Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Datenschutz).

n Die Einstellungen für Workspace ONE Intelligent Hub für Apple iOS müssen die Option „Standortdaten erfassen“ ermöglichen (Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Apple > Apple iOS > Hub-Einstellungen).

Legen Sie die Workspace ONE Intelligent Hub-SDK-Einstellungen auf die Standard-SDK-Einstellungen anstatt auf „Keine“ fest.

Geofencing-Bereich hinzufügenSie müssen einen Geofencing-Bereich festlegen, bevor Sie diesen auf ein Gerät anwenden können.

Verfahren

1 Rufen Sie die Einstellungsseite für „Bereich“ auf, indem Sie zu Geräte > Profile und Ressourcen > Profileinstellungen > Bereiche navigieren. Wählen Sie Hinzufügen und dann Geofencing-Bereich aus.

2 Geben Sie eine Adresse und den Geofence-Radius in Kilometern oder Meilen ein.

Sie können außerdem per Doppelklick auf eine beliebige Stelle auf der Karte den Mittelpunkt festlegen.


VMware, Inc. 109

3 Wählen Sie Zum Suchen klicken, um auf einer Karte zu prüfen, wo der Geofence ungefähr angewendet werden soll.

Hinweis Für die Integration in Bing-Karten müssen unsichere Inhalte auf dieser Seite geladen werden. Falls eine Standortsuche nicht wie erwartet geladen wird, müssen Sie für Ihren Browser möglicherweise die Option „Alle Inhalte anzeigen“ zulassen.

4 Geben Sie die Bereichsbezeichnung (wie sie in der Workspace ONE UEM Console erscheinen soll) ein und klicken Sie auf Speichern.

Nächste Schritte

Anschließend müssen Sie ein Geofence auf ein Profil anwenden. Weitere Informationen finden Sie unter Anwenden eines Geofence auf ein Profil.

Anwenden eines Geofence auf ein ProfilHaben Sie einen Geofencing-Bereich definiert, können Sie ihn auf ein Profil anwenden und mit anderen Nutzlasten kombinieren, um robustere Profile zu erstellen.

Wenn ein Benutzer die Standortdienste auf seinem iOS-Gerät manuell deaktiviert, können in Workspace ONE UEM keine Standortupdates mehr erfasst werden. Workspace ONE UEM geht davon aus, das sich das Gerät an dem Standort befindet, an dem die Dienste deaktiviert wurden.

Verfahren

1 Gehen Sie zu Geräte > Profile & Ressourcen > Profile > HINZUFÜGEN und wählen Sie eine Plattform aus.

2 Wählen Sie Nur auf Geräten innerhalb der ausgewählten Bereiche installieren auf der Registerkarte Allgemein.

Das Feld Zugewiesene Geofence-Bereiche wird angezeigt. Sollte kein Geofence-Bereich festgelegt worden sein, leitet Sie das Menü zum Erstellungsmenü „Geofencing-Bereich“ zurück.

3 Geben Sie einen oder mehrere Geofencing-Bereiche für dieses Profil ein.

4 Konfigurieren Sie eine Nutzlast wie Kennung, Restriktionen oder WLAN, die nur auf Geräte innerhalb der ausgewählten Geofencing-Bereiche angewendet werden sollen.


Beispiel

Beispielsweise können Sie um sämtliche Ihrer Büros Geofencing-Bereiche definieren. Fügen Sie anschließend eine Restriktionsnutzlast hinzu, die den Zugriff auf das Game Center, Multiplayer-Spiele sowie YouTube-Inhalte und andere Einstellungen untersagt. Sobald der Geofence aktiviert ist, haben die Angestellten der Organisationsgruppe, auf die das Profil angewendet wurde, keinen Zugriff auf diese Funktionen mehr, solange sie im Büro sind.


VMware, Inc. 110

iBeaconsBei iBeacon handelt es sich um ein Bluetooth-basiertes Protokoll zur Positionsbestimmung, das von Apple entwickelt wurde. Daher wird es exklusiv für bestimmte Apple-Produkte verwendet.

iBeacon ist iOS-spezifisch und wird zur Verwaltung der Standorterkennung verwendet. Weitere Informationen finden Sie im Leitfaden zur VMware AirWatch iOS-Plattform, verfügbar unter docs.vmware.com.

ZeitpläneZeitpläne ermöglichen es Ihnen, zu steuern, wann die einzelnen Geräteprofile aktiv sind. Das Profil gibt an, ob die Nutzbarkeit von Geräten beschränkt oder berechtigt wird. Der Zeitplan versieht die Profilinstallation lediglich mit einem Zeitplan.

Zur Aktivierung eines Zeitplans sind zwei Schritte erforderlich.

1 Festlegen eines Zeitplans

Weitere Informationen finden Sie unter Festlegen eines Zeitplans.

2 Anwenden eines Zeitplans auf ein Profil

Weitere Informationen finden Sie unter Anwenden eines Zeitplans auf ein Profil.

Festlegen eines ZeitplansSie müssen einen Zeitplan definieren, bevor Sie Ihn auf ein Geräteprofil anwenden.

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profileinstellungen > Zeitpläne.

2 Wählen Sie Zeitplan hinzufügen über der Spalte Zeitplanname aus.

3 Wählen Sie Zeitplan hinzufügen unter der Spalte Wochentag aus und nehmen Sie anschließend die folgenden Einstellungen vor.


Zeitplanbezeichnung Geben Sie den Namen des Zeitplans ein, der in der Liste angezeigt wird.

Zeitzone Wählen Sie die Zeitzone der Organisationsgruppe aus, in der das Gerät verwaltet wird.

Wochentag Wenden Sie eine geplante Profilinstallation durch Auswahl eines Wochentags an.

Ganztägig Führen Sie die Installation des Profils um Mitternacht am ausgewählten Wochentag aus. Durch Aktivieren dieses Kontrollkästchen werden die Spalten Startzeit und Endzeit entfernt.

Startzeit Wählen Sie die Tageszeit aus, an der das Profil installiert werden soll.

Endzeit Wählen Sie die Tageszeit aus, an der das Profil deinstalliert werden soll.

Aktionen Entfernen Sie den Tagesplan durch Klicken auf das Symbol X.


VMware, Inc. 111

http://docs.vmware.com/


Anwenden eines Zeitplans auf ein ProfilHaben Sie einen Zeitplan festgelegt, können Sie ihn auf ein neues Profil anwenden und mit anderen Nutzlasten kombinieren, um robustere Profile zu erstellen. Zum Beispiel können Sie Zeitpläne für die normalen Geschäftszeiten definieren und dann eine Nutzlast „Restriktionen“ hinzufügen, die den Zugriff auf YouTube, Multiplayer-Spiele und andere Apps verwehrt.

Sobald der Zeitplan aktiviert ist, haben die Benutzer der Organisationsgruppe, auf die das Profil angewendet wurde, keinen Zugriff mehr auf diese Funktionen während der festgelegten Zeiten.

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > ADD und wählen Sie Ihre Plattform aus.

2 Wählen Sie Zeitplanung aktivieren und nur in ausgewählten Zeiträumen installieren auf der Registerkarte Allgemein.

3 In dem Feld Zugewiesene Zeitpläne geben Sie unter diesem Profil ein oder mehrere Zeitpläne ein.

4 Konfigurieren Sie eine Nutzlast, wie Kennung, Restriktionen oder WLAN, die Sie nur auf Geräte innerhalb der ausgewählten Zeitrahmen anwenden möchten.


Anwenden eines Zeitplans auf ein vorhandenes ProfilSie können einen zuvor definierten Zeitplan auf ein vorhandenes Profil anwenden, damit für dieses die von Ihnen festgelegten Zeiteinschränkungen gelten.

Verfahren

1 Navigieren Sie zu Geräte > Profile & Ressourcen > Profile und wählen Sie das zu bearbeitende Profil aus der Liste aus. Wählen Sie das Bearbeitungssymbol ( ) oder klicken Sie auf den Profilnamen.

2 Aktivieren Sie auf der Registerkarte Allgemein der Profilseite die Einstellung Zeitplanung aktivieren und nur in ausgewählten Zeiträumen installieren.

3 Wählen Sie in der angezeigten Einstellung Zugewiesener Zeitplan den zuvor gespeicherten Zeitplan aus dem Dropdown-Menü aus.


Löschen eines ZeitplansHalten Sie Ihre Sammlung frei von nicht verwendeten Zeitplänen, indem Sie sie löschen. Es kann kein Zeitplan gelöscht werden, der einem Profil zugewiesen ist. Heben Sie die Zuweisung des Plans vom Profil auf, bevor Sie ihn löschen.


VMware, Inc. 112

Voraussetzungen

Navigieren Sie zu Geräte > Profile & Ressourcen > Profileinstellungen > Zeitpläne.

Verfahren

1 Aktivieren Sie das Optionsfeld neben dem zu löschenden Zeitplan.

2 Klicken Sie auf die Schaltfläche Löschen.

Gerätezuweisung anzeigenDurch Auswahl der Schaltfläche Speichern und veröffentlichen nach der Konfiguration eines Geräteprofils wird die Seite Gerätezuweisung anzeigen eingeblendet. Dadurch können Sie die betroffenen (oder nicht betroffenen) Geräte im Voraus einsehen.

Abhängig von den Änderungen, die Sie am Geräteprofil vornehmen, wird in der Spalte Zuweisungsstatus Folgendes angezeigt:

n Hinzugefügt – Das Profil wird dem Gerät hinzugefügt und auf diesem veröffentlicht.

n Entfernt – Das Profil wird vom Gerät entfernt.

n Unverändert – Weist darauf hin, dass das Profil für das Gerät nicht erneut auf dem Gerät veröffentlicht wird.

n Aktualisiert – Weist darauf hin, dass das Profil für ein Gerät, dem das Profil bereits zugewiesen ist, erneut veröffentlicht wird.

Wählen Sie Veröffentlichen aus, um die Änderungen abzuschließen und erforderliche Profile ggf. erneut zu veröffentlichen.


VMware, Inc. 113

Ressourcen 5Ressourcen vereinfachen die Bereitstellung von WLAN-, VPN- und Exchange-Nutzlasten für Workspace ONE UEM powered by AirWatch-Bereitstellungen, die mehrere Plattformen wie iOS, Android und Windows unterstützen.

Erstellen Sie eine Ressource für beliebige Nutzlasten und definieren Sie die allgemeinen Einstellungen, die auf jede Geräteplattform angewendet werden sollen. Sie können dann wahlweise plattformspezifische Einstellungen konfigurieren, die nur für diese Geräte gelten.

Ressourcen werden separat von Geräteprofilen definiert, verwaltet und bereitgestellt. Stellen Sie Ressourcen zusammen mit Geräteprofilen bereit, um eine tiefgehende und umfassende Geräteverwaltung für alle unterstützten Plattformen in Ihrer Bereitstellung zu ermöglichen.

Sie müssen WLAN-, VPN- oder Exchange-Einstellungen nicht über Ressourcen bereitstellen. Wenn Sie dies dennoch tun sollten, können Sie für jede Plattform nach wie vor separate Geräteprofile für diese Nutzlasten erstellen. Wenn absehbar ist, dass die WLAN-, VPN- oder Exchange-Einstellungen plattformübergreifend identisch oder ähnlich sind, sollten Sie eventuell Ressourcen bereitstellen. Erstellen Sie dann wie gewohnt weitere Geräteprofile, um weitere Funktionen für jede Plattform zu verwalten.


n Ressourcenlistenansicht

n Hinzufügen einer Exchange-Ressource

n Hinzufügen einer WLAN-Ressource

n Hinzufügen einer VPN-Ressource

RessourcenlistenansichtMithilfe der Ressourcenlistenansicht können Sie Ihre Sammlung an Geräteressourcen verwalten. Dies umfasst Tätigkeiten wie das Anzeigen, Löschen und Bearbeiten einzelner Ressourcenkonfigurationen.

Hinzufügen einer RessourceSie können eine Ressource hinzufügen, die Ihrer Multi-Plattform-Geräteflotte mit denselben Exchange-, WLAN- und VPN-Einstellungen bereitgestellt werden soll.

VMware, Inc. 114

Navigieren Sie zu Geräte > Profile und Ressourcen > Ressourcen und wählen Sie Ressource hinzufügen. Zum Hinzufügen einer Ressource müssen Sie eine der folgenden Optionen auswählen.

n Exchange – Konfigurieren Sie die E-Mail-Einstellungen, um die Verbindung mit Ihrem Exchange-E-Mail-Server aufrechtzuerhalten.

n WLAN – Konfigurieren Sie die WLAN-Verbindungseinstellungen, um die Verbindung mit dem Netzwerk aufrechtzuerhalten.

n VPN – Konfigurieren Sie die VPN-Einstellungen (Virtual Private Network), um eine sichere Verbindung aufrechtzuerhalten.

Für jede Ressource müssen drei verschiedene Konfigurationsschritte durchgeführt werden. Erstellen Sie eine Geräteressource, indem Sie Ressourcendetails, die jeweiligen Plattformen und die Zuweisung der Ressource zu den Geräten festlegen.

n Die Ressourcendetails enthalten den Ressourcennamen, Beschreibung, Serverabhängigkeiten und andere kritische Einstellungen, durch die die Funktionsweise der Ressource festgelegt wird.

n Mit der Option Plattformen wird definiert, auf welchen Geräten die Ressource ausgeführt wird.

n Mit der Option Zuweisung wird festgelegt, wie die Ressource bereitgestellt wird, einschließlich Organisationsgruppen, Benutzergruppen und Smartgroups.

Verwalten von RessourcenSobald Sie über eine Sammlung von Ressourcen verfügen, können Sie diese über Geräte > Profile und Ressourcen > Ressourcen verwalten und diese filtern, anzeigen, bearbeiten und löschen.

n Filtern Sie die Ressourcenlistenansicht, um aktive, inaktive oder alle Ressourcen anzuzeigen.

n Zeigen Sie die unterschiedlichen Plattformen an, die Ihre Ressource enthält, indem Sie auf die Hyperlinknummer in der Spalte Plattformen klicken.

n Öffnen Sie Erweiterte Einstellungen für die Ressource, indem Sie auf den Hyperlinknamen der Plattform klicken.

n Öffnen Sie die Seite Geräte anzeigen durch Auswahl der Hyperlinknummer in der Spalte Installiert/Zugewiesen der Seite „Plattformen“. Auf dieser Seite wird die Liste der Geräte angezeigt, die der Ressource zugewiesen sind.

n Um den XML-Code anzuzeigen und zu exportieren und ein Zertifikat hochzuladen, klicken Sie auf den Hyperlink Anzeigen in der Spalte „XML“ auf der Seite „Plattformen“.

n Sie können eine Ressource bearbeiten, indem Sie auf den Link für den Namen der Ressource klicken, durch den der Abschnitt Ressourcendetails auf der Seite Ressource bearbeiten angezeigt wird.

n Bearbeiten Sie die Ressourcendetails durch Klicken auf das Symbol „Bearbeiten“ ( ) links neben der Ressourcenliste. Durch Klicken auf die Schaltfläche Weiter können Sie mit den Änderungen an den anderen Abschnitten auf der Seite Ressource bearbeiten fortfahren.


VMware, Inc. 115

n Bearbeiten Sie die Zuweisung der Ressource, indem Sie links neben dem Ressourceneintrag das Optionsfeld aktivieren und dann auf die Schaltfläche Zuweisung bearbeiten klicken.

n Löschen Sie eine Ressource, indem Sie links neben dem Ressourceneintrag das Optionsfeld aktivieren und auf die Schaltfläche Löschen klicken. Durch das Löschen einer Ressource wird diese deaktiviert, bis sie von allen Geräten entfernt wird.

Hinzufügen einer Exchange-RessourceDurch die Funktionen zum sicheren Senden und Empfangen von E-Mail-Nachrichten können Sie eine Ressource zur Bereitstellung von Geräten hinzufügen.

Unter Kapitel 5 Ressourcen finden Sie eine Übersicht.

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Ressourcen und wählen Sie Ressource hinzufügen gefolgt von Exchange aus. Nehmen Sie dann die folgenden Einstellungen vor.


Ressourcendetails

Ressourcenname Name des Profils, der in Workspace ONE UEM Console angezeigt werden soll.


Verbindungsdaten

Mailclient Wählen Sie den E-Mail-Client aus, den Sie bei der Ressource verwenden möchten.

Exchange-Host Geben Sie den Exchange-Host für das E-Mail-Konto ein, der in der Ressource einbezogen werden soll.

SSL verwenden Aktivieren Sie für diesen E-Mail-Client SSL (Secure Socket Layer).

Erweitert

Domäne* Geben Sie einen Nachschlagewert für die E-Mail-Domäne ein.

Benutzername** Geben Sie einen Nachschlagewert für den E-Mail-Benutzernamen ein.

E-Mail-Adresse* Geben Sie einen Nachschlagewert für die E-Mail-Adresse ein.

Kennwort Geben Sie das Kennwort für das E-Mail-Konto ein. Aktivieren Sie das Kontrollkästchen Zeichen anzeigen, um das ungekürzte Kennwort anzuzeigen.

Identitätszertifikat Laden Sie eine Zertifizierungsstelle hoch und fügen Sie sie dem E-Mail-Konto an, indem Sie die Schaltfläche Zertifikat hinzufügen auswählen.

Vergangene Tage mit ausstehender Mailsynchronisierung

Wählen Sie die Länge des E-Mail-Verlaufs aus, der synchronisiert werden soll. Sie können zwischen 3 Tage, 1 Woche, 2 Wochen, 1 Monat und Unbegrenzt wählen.

Kalender synchronisieren Legen Sie fest, dass Ihr Gerätekalender mit dem Exchange-Kalender synchronisiert werden soll. Diese Einstellung wird standardmäßig auf iOS- und macOS-Geräten aktiviert.

Kontakte synchronisieren Legen Sie fest, dass Ihre Gerätekontakte mit den Exchange-Kontakten synchronisiert werden sollen. Diese Einstellung wird standardmäßig auf iOS- und macOS-Geräten aktiviert.

* Weitere Informationen finden Sie unter Nachschlagewerte.


VMware, Inc. 116

2 Klicken Sie auf Weiter, um mit der Auswahl von Plattformen fortzufahren. Wählen Sie zwischen den folgenden unterstützten Plattformen und wählen Sie entweder die Standardeinstellungen oder Erweiterte Einstellungen.

n Konfigurieren von erweiterten Einstellungen für iOS Exchange.

n Konfigurieren von erweiterten Einstellungen für macOS Exchange.

n Konfigurieren von erweiterten Einstellungen für Android Exchange.

n Konfigurieren von erweiterten Einstellungen für Windows Phone Exchange.

n Konfigurieren von erweiterten Einstellungen für Windows Desktop Exchange.

3 Klicken Sie auf Weiter, um mit dem Abschnitt Zuweisung fortzufahren.

4 Weisen Sie Geräten die Ressource zu, indem Sie die folgenden Einstellungen vornehmen.


Zuweisungstyp Bestimmt, wie die Ressource auf Geräten bereitgestellt wird.

n Automatisch – Die Ressource wird auf allen Geräten automatisch bereitgestellt.

n Optional – Der Endbenutzer kann die Ressource wahlweise über das Self-Service-Portal (SSP) installieren. Die Ressource kann aber auch für einzelne Geräte nach Ermessen des Administrators bereitgestellt werden.

Verwaltet von Die Organisationsgruppe mit administrativem Zugriff auf die Ressource.

Zugewiesene Gruppen Die Gruppe, der die Geräteressource hinzugefügt werden soll. Diese Einstellung beinhaltet eine Option zum Erstellen einer neuen Smartgroup, die mit Angaben des Mindestbetriebssystems, der Gerätemodelle, Zuständigkeitskategorien, Organisationsgruppen etc. konfiguriert werden kann.

Ausschlüsse Wird Ja ausgewählt, wird ein neues Textfeld Ausgeschlossene Gruppen angezeigt, womit Sie Gruppen auswählen können, die Sie von der Zuweisung dieser Ressource ausschließen möchten.


Nachdem Sie im Textfeld Zugewiesene Gruppen eine Auswahl getroffen haben, wählen Sie diese Schaltfläche aus, um zu sehen, welchen Geräten diese Ressource zugewiesen wird, wobei die Smartgroup-Zuweisungen und -ausschlüsse berücksichtigt werden.

Konfigurieren von erweiterten Einstellungen für iOS ExchangeDie erweiterten Exchange-Einstellungen für iOS bestehen aus S/MIME- und Sicherheitskonfigurationsoptionen, die die Benutzerspezifische, zertifikatsbasierte Verschlüsselung von E-Mails ermöglichen.


S/MIME verwenden Verwenden Sie Secure Multipurpose Internet Mail Extensions, einen Verschlüsselungs- und Signierungsstandard für öffentliche Schlüssel.

S/MIME-Zertifikat Diese Option ist nur verfügbar, wenn S/MIME verwenden aktiviert ist. Fügen Sie E-Mails ein Signaturzertifikat hinzu, indem Sie Zertifikat hinzufügen auswählen.

S/MIME-Verschlüsselungszertifikat Diese Option ist nur verfügbar, wenn S/MIME verwenden aktiviert ist. Fügen Sie ein Zertifikat hinzu, das E-Mails verschlüsselt und digital signiert, indem Sie Zertifikat hinzufügen auswählen.


VMware, Inc. 117


Pro-Nachricht-Schalter aktivieren Diese Option ist nur verfügbar, wenn S/MIME verwenden aktiviert ist. Bieten Sie Endbenutzern die Wahl, welche E-Mail-Nachrichten mit dem systemeigenen iOS-Mailclient (nur überwachte iOS 8+-Geräte) signiert und verschlüsselt werden sollen.

Einstellungen und Sicherheit

Verschiebung von Nachrichten verhindern

Verhindert, dass E-Mails von einem Exchange-Postfach in ein anderes Postfach auf dem Gerät verschoben werden.

Verwendung in Drittanbieteranwendungen verhindern

Verhindert, dass andere Apps über das Exchange-Postfach Nachrichten senden.

Synchronisierung jüngster Adressen verhindern

Verhindert Kontaktempfehlungen beim Senden von E-Mails in Exchange.

Mail Drop verhindern Verhindert die Verwendung der Mail Drop-Funktion von Apple.

Konfigurieren von erweiterten Einstellungen für macOS ExchangeAktivieren Sie Ihre macOS-Geräte, um durch Konfiguration der erweiterten Einstellungen Exchange-E-Mails abzurufen.


Interner Exchange-Host Der Name des sicheren Servers für die Verwendung von EAS. Bei Auswahl von Systemeigener Mailclient werden diese Option und folgende Optionen angezeigt.

Port Geben Sie die Portnummer an, für die Kommunikation mit dem internen Exchange-Host zugewiesen wurde.

Interner Serverpfad Der Speicherort des sicheren Servers für die Verwendung von EAS.

SSL für internen Exchange Host verwenden

Kommunikation mit dem internen Exchange Host durch Aktivierung von Secure Socket Layer (SSL).

Externer Exchange-Host Der Name des externen Servers für die Verwendung von EAS.

Port Geben Sie die Nummer des Ports an, für den Kommunikation mit dem externen Exchange-Host zugewiesen wurde.

Externer Serverpfad Der Speicherort des externen Servers für die Verwendung von EAS.

SSL für externen Exchange Host verwenden

Kommunikation mit dem externen Exchange Host durch Aktivierung von Secure Socket Layer (SSL).

Konfigurieren von erweiterten Einstellungen für Android ExchangeDie erweiterten Exchange-Einstellungen für Android bestehen aus Verlaufssynchronisierung, Restriktionen, Synchronisierungszeitplanung und S/MIME. Konfigurieren Sie diese Optionen zur Bereitstellung von E-Mails für Ihre Android-Geräte.


Einstellungen

Vergangene Tage mit ausstehender Kalendersynchronisierung

Wählen Sie die Anzahl der vergangenen Tage, für die die Synchronisierung im Gerätekalender durchgeführt werden sollen.


VMware, Inc. 118


Synchronisierung von Aufgaben zulassen

Aktivieren Sie diese Option, um die Aufgabensynchronisierung mit Geräten zuzulassen.

Maximale E-Mail-Trunkierungsgröße (KB)

Geben Sie die Größe (in KB) an, über die E-Mail-Nachrichten trunkiert werden, wenn Sie mit den Geräten synchronisiert werden.

E-Mail-Signatur Geben Sie die E-Mail-Signatur ein, die in ausgehenden E-Mails angezeigt werden soll.

SSL-Fehler ignorieren Ermöglichen Sie, dass Geräte SSL-Fehler für Agent-Prozesse ignorieren.

Einschränkungen

Anlagen zulassen Lassen Sie E-Mail-Anlagen zu.

Maximale Anlagengröße Geben Sie die maximale Anlagengröße in MB an.

E-Mail-Weiterleitung zulassen Ermöglichen Sie die Weiterleitung von E-Mails.

HTML-Format ermöglichen Legen Sie fest, ob die mit dem Gerät synchronisierte E-Mail das HTML-Format aufweisen darf.

Wenn diese Einstellung deaktiviert ist, werden alle E-Mails zu Text konvertiert.

Screenshots deaktivieren Unterbinden Sie, dass Screenshots auf dem Gerät aufgenommen werden.

Synchronisierungsintervall Geben Sie die Anzahl der Minuten zwischen den Synchronisierungen ein.

Hauptbelastungstage für Synchronisierungszeitplan

n Planen Sie die Wochentage mit Hauptbelastung für die Synchronisierung sowie Startzeit und Endzeit für die Synchronisierung an den ausgewählten Tagen.

n Legen Sie die Frequenz des Synchronisierungszeitplans bei hoher Belastung sowie des Synchronisierungszeitplans bei geringer Belastung fest.

n Wenn Sie Automatisch wählen, werden E-Mails bei jedem Update synchronisiert.

n Wenn Sie Manuell wählen, werden E-Mails nur bei Auswahl synchronisiert.

n Wenn Sie einen Zeitwert wählen, werden E-Mails nach einem festgelegten Zeitplan synchronisiert.

n Aktivieren Sie auf Wunsch SSL verwenden, TLS verwenden und Standardkonto.

S/MIME-Einstellungen

Wählen Sie S/MIME verwenden. In dieser Ansicht können Sie ein S/MIME-Zertifikat auswählen, das Sie als Benutzerzertifikat der Anmeldedaten-Nutzlast zuordnen.

n S/MIME-Zertifikat – Wählen Sie das zu verwendende Zertifikat.

n Verschlüsselte S/MIME-Nachrichten verlangen – Verlangen Sie die Verschlüsselung von S/MIME-Nachrichten.

n Signierte S/MIME-Nachrichten verlangen – Verlangen Sie eine digitale Signatur für alle S/MIME-Nachrichten.

Stellen Sie einen Migrationshost bereit, falls Sie zur Verschlüsselung S/MIME-Zertifikate verwenden.

Konfigurieren von erweiterten Einstellungen für Windows Phone ExchangeErweiterte Exchange-Einstellungen für Windows Phone bestehen aus Synchronisierungsplan- und Datenschutzeinstellungen. Konfigurieren Sie diese Einstellungen zur sicheren Bereitstellung von Exchange-E-Mails für Ihre Geräte.


VMware, Inc. 119

Einstellungen Beschreibungen

Einstellungen

Nächstes Synchronisierungsintervall (Minuten)

Geben Sie die Anzahl der Minuten zwischen den Synchronisierungen ein.

Diagnoseprotokollierung Wählen Sie die Art der Diagnoseprotokollierung aus, die durchgeführt werden soll.

Inhaltstyp

Datenschutz bei Sperre verlangen Schützen Sie Daten, wenn ein Gerät mit einer PIN gesperrt ist.

Wenn das Gerät für die Verwendung einer PIN-Sperre konfiguriert ist, werden die verschlüsselten Daten mit einem separaten Unternehmensschlüssel verschlüsselt. Wenn ein Benutzer Zugriff auf die PIN-Sperre des Geräts erhält, werden die E-Mails und Daten Ihrer Organisation durch einen separaten Schlüssel geschützt.

Geschützte Domänen Diese Option ist nur verfügbar, wenn Datenschutz bei Sperre verlangen aktiviert ist. Geben Sie die Nachschlagewerte der Exchange-Domänen ein, die geschützt werden sollen. Weitere Informationen finden Sie unter Nachschlagewerte.

E-Mail-Synchronisierung zulassen Ermöglichen Sie die Synchronisierung von E-Mails. Durch die Deaktivierung dieser Einstellung wird der Zugriff auf E-Mails über Exchange Active Sync blockiert.

Konfigurieren von erweiterten Einstellungen für Windows Desktop ExchangeDie erweiterte Exchange-Einstellungen für Windows Desktop bestehen aus Synchronisierungszeitplanung und Datenschutzeinstellungen. Konfigurieren Sie diese Einstellungen zur sicheren Bereitstellung von Exchange-E-Mails für Ihre Geräte.


Einstellungen

Nächstes Synchronisierungsintervall (Minuten)

Wählen Sie die Häufigkeit in Minuten, in der das Gerät mit dem EAS-Server synchronisiert wird.

Diagnoseprotokollierung Protokollieren Sie Informationen für Fehlerbehebungszwecke.

Inhaltstyp

E-Mail-Synchronisierung zulassen Ermöglichen Sie die Synchronisierung von E-Mail-Nachrichten.

Hinzufügen einer WLAN-RessourceDurch die Funktionen zum Verbinden mit einem drahtlosen Netzwerk können Sie eine Ressource zur Bereitstellung von Geräten hinzufügen, wodurch diese sicher Daten senden und empfangen können.


VMware, Inc. 120

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Ressourcen und wählen Sie Ressource hinzufügen gefolgt von WLAN aus. Nehmen Sie dann die folgenden Einstellungen vor.


Ressourcendetails



Verbindungsdaten

Netzwerk SSID Geben Sie einen Bezeichner ein, der mit dem Namen (SSID) des gewünschten WLAN-Netzwerks verknüpft wird.

Ausgeblendetes Netzwerk Aktivieren Sie diese Option, wenn das Netzwerk nicht für die Übermittlung geöffnet ist.

AutoVerknüpfung Option, um festzulegen, dass das Gerät automatisch mit dem Netzwerk verknüpft werden soll.

Verschlüsselung Legen Sie anhand des Dropdown-Menüs fest, ob die über die WLAN-Verbindung übertragenen Daten verschlüsselt sind.

Diese Option wird abhängig vom Sicherheitstyp angezeigt.

Kennwort Geben Sie das Kennwort für das E-Mail-Konto ein. Aktivieren Sie das Kontrollkästchen Zeichen anzeigen, um das ungekürzte Kennwort anzuzeigen.


n Konfigurieren von erweiterten Einstellungen für WLAN-Proxy.

n Konfigurieren von erweiterten Einstellungen für macOS-WLAN.

n Konfigurieren von erweiterten Einstellungen für Android-WLAN.

n Konfigurieren von erweiterten Einstellungen für Windows-WLAN.










VMware, Inc. 121





Konfigurieren von erweiterten Einstellungen für WLAN-ProxyKonfigurieren Sie die erweiterten WLAN-Einstellungen, um Geräte über einen Proxy mit Workspace ONE UEM zu verbinden.


Proxytyp Wählen Sie zwischen Keiner, Manuell und Automatisch.

Proxy-URL Diese Option ist nur verfügbar, wenn für Proxytyp die Option Automatisch festgelegt ist. Geben Sie die URL des WLAN-Proxys ein, mit dem das Gerät eine Verbindung herstellt.

Direkte Verbindung bei unerreichbarer PAC zulassen

Diese Option ist nur verfügbar, wenn für Proxytyp die Option Automatisch festgelegt ist. Aktivieren Sie diese Option, wenn Sie zulassen möchten, dass das Gerät in Zeiten, in denen die Proxykonfigurationsdatei nicht zugänglich ist, eine Verbindung herstellen soll.

Proxyserver Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Geben Sie den Namen des Proxyservers ein, mit dem Ihre Geräte eine Verbindung herstellen.

Port des Proxyservers Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Schließen Sie die Portnummer des Proxyservers ein, durch den das Gerät eine Verbindung zum Proxyserver herstellt.

Proxybenutzername Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Geben Sie einen vom Proxyserver erkannten Benutzernamen ein.

Proxykennwort Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Geben Sie das dem Benutzernamen entsprechende Kennwort ein und bestätigen Sie dieses.

Konfigurieren von erweiterten Einstellungen für macOS-WLANKonfigurieren Sie die erweiterten WLAN-Einstellungen, um Ihre Geräte über einen Proxy mit Workspace ONE UEM zu verbinden.


Profil Wählen Sie das Ziel der Proxyeinstellungskonfiguration aus.

Gerät – Beschränken Sie die Proxyeinstellungen auf das jeweilige macOS-Gerät

Benutzer – Wenden Sie die Proxyeinstellungen für den Benutzer auf den Benutzer des macOS-Geräts an.

Wenden Sie die Proxyeinstellungen auf beide Ziele an, indem Sie beide Kontrollkästchen aktivieren.

Proxy

Proxytyp Wählen Sie zwischen Keiner, Manuell und Automatisch.

Proxy-URL Diese Option ist nur verfügbar, wenn für Proxytyp die Option Automatisch festgelegt ist. Geben Sie die URL des WLAN-Proxys ein, mit dem das Gerät eine Verbindung herstellt.


VMware, Inc. 122


Direkte Verbindung bei unerreichbarer PAC zulassen

Diese Option ist nur verfügbar, wenn für Proxytyp die Option Automatisch festgelegt ist. Aktivieren Sie diese Option, wenn Sie zulassen möchten, dass das Gerät in Zeiten, in denen die Proxykonfigurationsdatei nicht zugänglich ist, eine Verbindung herstellen soll.

Proxyserver Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Geben Sie den Namen des Proxyservers ein, mit dem Ihre Geräte eine Verbindung herstellen.

Port des Proxyservers Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Schließen Sie die Portnummer des Proxyservers ein, durch den das Gerät eine Verbindung zum Proxyserver herstellt.

Proxybenutzername Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Geben Sie einen vom Proxyserver erkannten Benutzernamen ein.

Proxykennwort Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Geben Sie das dem Benutzernamen entsprechende Kennwort ein und bestätigen Sie dieses.

Konfigurieren von erweiterten Einstellungen für Android-WLANDie erweiterten WLAN-Einstellungen für Android bestehen aus Fusion- und Proxyeinstellungen. Mithilfe dieser Einstellungen können Sie Drahtloskonfigurationen für Hochfrequenz-, spektrale Masken- und Proxyservereinstellungen.


Fusion

Fusion-Einstellungen einschließen Zeigen Sie die Haupteinstellungen für die Fusion-Funktion an.

Fusion 802.11d festlegen/802.11d aktivieren

Verwenden Sie für den Betrieb in weiteren regulatorischen Domänen die Drahtlosspezifikation 802.11d.

Ländercode festlegen/Ländercode Legen Sie den Ländercode zur Verwendung in den 802.11d-Spezifikationen fest.

RF-Band festlegen Zeigen Sie alle Optionen für Hochfrequenzspezifikationen an, einschließlich der 2,4-GHz- und 5-GHz-Kanalmasken.

2,4 GHz festlegen/2,4 GHz aktivieren

Verringern Sie das 2,4-GHz-Drahtlosfrequenzband.

2,4-GHz-Kanalmaske Verringern Sie Störungen benachbarter Kanäle, indem Sie einen Kanal oder eine spektrale Maske im Bereich der 2,4-GHz Frequenz anwenden.

5 GHz festlegen/5 GHz aktivieren Verringern Sie das 5-GHz-Drahtlosfrequenzband.

5-GHz-Kanalmaske Verringern Sie Störungen benachbarter Kanäle, indem Sie einen Kanal oder eine spektrale Maske im Bereich der 5-GHz Frequenz anwenden.

Proxy

Manuellen Proxy aktivieren Zeigen Sie die Proxyservereinstellungen an.

Proxyserver Geben Sie den Domänennamen des Proxys ein.

Port des Proxyservers Geben Sie die Portnummer ein, die vom Proxyserver verwendet werden soll.

Ausschlussliste Geben Sie Hostnamen ein, die nicht über den Proxy geleitet werden. Verwenden Sie ein Sternchen als Platzhalter für alle Domänen. Beispiel: „*.air-watch.com“.


VMware, Inc. 123

Konfigurieren von erweiterten Einstellungen für Windows-WLANKonfigurieren Sie die erweiterten WLAN-Einstellungen, um Ihre Windows-Geräte (Desktop und Phone) über einen Proxy mit Workspace ONE UEM zu verbinden.


Proxy Aktivieren Sie die Verwendung eines Proxys, um Ihre Windows-Geräte mit Workspace ONE UEM zu verbinden.

URL Diese Option ist nur verfügbar, wenn Proxy aktiviert ist. Geben Sie die URL des WLAN-Proxys ein, mit dem das Gerät eine Verbindung herstellt.

Port Diese Option ist nur verfügbar, wenn Proxy aktiviert ist. Schließen Sie die Portnummer des Proxyservers ein, durch den das Gerät eine Verbindung zum Proxyserver herstellt.

Hinzufügen einer VPN-RessourceSie können eine Ressource für die Bereitstellung eines virtuellen privaten Netzwerks (VPN) hinzufügen. Über ein VPN können Benutzer in öffentlichen Netzwerken Daten senden und empfangen, als ob sie direkt mit einem privaten Netzwerk verbunden wären.

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Ressourcen und wählen Sie Ressource hinzufügen gefolgt von VPN aus. Nehmen Sie dann die folgenden Einstellungen vor.


Ressourcendetails



Verbindungsdaten

Verbindungstyp Wählen Sie die Art der sicheren Verbindung aus der Dropdown-Liste aus.

Server Geben Sie die Server-URL ein.


n Konfigurieren von erweiterten Einstellungen für iOS-VPN

n Konfigurieren von erweiterten Einstellungen für Android-VPN

n Konfigurieren von erweiterten Einstellungen für das Windows Phone-VPN



VMware, Inc. 124











Konfigurieren von erweiterten Einstellungen für iOS-VPNDie erweiterten VPN-Einstellungen für iOS bestehen aus Verbindungs- und Authentifizierungseinstellungen sowie Proxy- und Anbieterkonfigurationen. Aktivieren Sie bei Bedarf diese Einstellungen, um VPN für iOS zu konfigurieren.


Verbindungsdaten

Konto Geben Sie den Namen des VPN-Kontos ein.

Verbindung bei Leerlauf abbrechen (Min.)

Ermöglichen Sie es dem VPN, nach einer bestimmten Zeitdauer eine automatische Trennung durchzuführen. Die Unterstützung für diesen Wert hängt vom VPN-Anbieter ab.

Gesamten Datenverkehr senden Wählen Sie diese Option, um den gesamten Datenverkehr über das angegebene Netzwerk zu senden.

Pro-App-VPN-Regeln Wählen Sie diese Option, um Pro-App-VPN-Regeln zu aktivieren und zu konfigurieren.

Automatisch verbinden Wählen Sie diese Option, um es dem VPN zu gestatten, automatisch eine Verbindung mit ausgewählten Safari-Domänen herzustellen. Diese Option wird angezeigt, wenn das Kontrollkästchen Pro-App-VPN-Regeln aktiviert ist.

Anbietertyp Wählen Sie den Pro-App-VPN-Anbietertyp aus. Legen Sie fest, wie der Datenverkehr getunnelt wird, entweder über eine Anwendungsebene oder über eine IP-Ebene. Wählen Sie hierfür zwischen „AppProxy“ und „PacketTunnel“. Diese Option wird angezeigt, wenn das Kontrollkästchen Pro-App-VPN-Regeln aktiviert ist.

Safari-Domänen Geben Sie jede Domäne ein, mit der das Pro-App-VPN automatisch eine Verbindung herstellen soll. Diese Domänen stellen interne Websites dar, die eine automatische Verbindung mit dem VPN auslösen. Diese Option wird angezeigt, wenn das Kontrollkästchen Pro-App-VPN-Regeln aktiviert ist.

Authentifizierung


VMware, Inc. 125


Benutzerauthentifizierung Authentifizieren Sie Endbenutzer, indem Sie entweder ein Zertifikat hochladen oder ein Kennwort für den Zugriff auf das VPN erfordern.

Gruppenname Geben Sie den Workspace ONE UEM-Gruppennamen ein.

Kennwort Diese Option ist nur verfügbar, wenn Benutzerauthentifizierung auf „Kennwort“ festgelegt ist. Geben Sie das Kennwort für den Workspace ONE UEM-Gruppennamen ein.

Identitätszertifikat Diese Einstellung ist nur verfügbar, wenn Benutzerauthentifizierung auf „Zertifikat“ festgelegt ist. Wählen Sie Zertifikat hinzufügen aus, um entweder eine Zertifikatsdatei zu benennen und hochzuladen oder eine vorhandene Zertifizierungsstelle anhand einer Zertifikatsvorlage auszuwählen.

VPN On-Demand aktivieren Diese Einstellung ist nur verfügbar, wenn Benutzerauthentifizierung auf „Zertifikat“ festgelegt ist. Aktivieren Sie VPN On-Demand, um automatisch VPN-Verbindungen anhand von Zertifikaten herzustellen.

Neue On-Demand-Schlüssel verwenden

Diese Einstellung ist nur verfügbar, wenn Benutzerauthentifizierung auf „Zertifikat“ festgelegt ist. Aktivieren Sie diese Option, um eine VPN-Verbindung zu aktivieren, wenn Endbenutzer auf eine der angegebenen Domänen zugreifen.

Domäne oder Host abstimmen Diese Einstellung ist nur verfügbar, wenn Benutzerauthentifizierung auf „Zertifikat“ festgelegt ist. Geben Sie den Namen einer Domäne oder eines Hosts ein, die bzw. der beim Zugriff durch einen Endbenutzer die Aktivierung einer VPN-Verbindung auslöst.

Bedarfsgesteuerte Aktion Diese Einstellung ist nur verfügbar, wenn Benutzerauthentifizierung auf „Zertifikat“ festgelegt ist. Wählen Sie die domänenspezifische bedarfsgesteuerte Aktion aus, die ausgeführt wird, wenn Endbenutzer eine VPN-Verbindung aktivieren. Wählen Sie zwischen „Immer herstellen“, „Nie herstellen“ und „Bei Bedarf herstellen“.

Proxy

Proxy Wählen Sie zwischen Keiner, Manuell und Automatisch.

URL für die Autokonfiguration des Proxyservers

Diese Option ist nur verfügbar, wenn Proxy auf Automatisch gesetzt ist. Geben Sie die URL des WLAN-Proxys ein, mit dem das Gerät eine Verbindung herstellt.

Server Diese Option ist nur verfügbar, wenn Proxy auf Manuell gesetzt ist. Geben Sie den Namen des Proxyservers ein, mit dem Ihre Geräte eine Verbindung herstellen.

Port Diese Option ist nur verfügbar, wenn Proxy auf Manuell gesetzt ist. Schließen Sie die Portnummer des Proxyservers ein, durch den das Gerät eine Verbindung zum Proxyserver herstellt.

Benutzername Diese Option ist nur verfügbar, wenn Proxy auf Manuell gesetzt ist. Geben Sie einen vom Proxyserver erkannten Benutzernamen ein.

Kennwort Diese Option ist nur verfügbar, wenn Proxy auf Manuell gesetzt ist. Geben Sie das dem Benutzernamen entsprechende Kennwort ein und bestätigen Sie dieses.

Anbieterkonfigurationen

Anbieterschlüssel Erstellen Sie anhand des Konfigurationswörterbuchs für Anbieter Benutzerdefinierte Schlüssel.

Schlüssel Geben Sie den spezifischen Schlüssel ein, der vom Anbieter bereitgestellt wurde.

Wert Geben Sie den VPN-Wert für jeden Schlüssel ein.


VMware, Inc. 126

Konfigurieren von erweiterten Einstellungen für Android-VPNDie erweiterten VPN-Einstellungen für Android bestehen aus bedarfsgesteuerter Authentifizierung und VPN, die Sie zur Erstellung eines VPN für Android-Geräte konfigurieren müssen.


Authentifizierung

Identitätszertifikat Geben Sie die zur Authentifizierung der Verbindung verwendeten Zertifikatsanmeldedaten ein, indem Sie Zertifikat hinzufügen auswählen.

Anmeldedatenquelle Wählen Sie die Quelle der Anmeldedaten aus. Wählen Sie zwischen „Upload“, „Festgelegte Zertifizierungsstelle“ und „Benutzerzertifikat“.

Anmeldedatenname Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Upload“ festgelegt ist. Geben Sie den Namen der hochgeladenen Anmeldedaten ein.

Zertifikat Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Upload“ festgelegt ist. Klicken Sie auf „Upload“, um eine Zertifikatsdatei über Ihr Gerät auszuwählen.

Zertifizierungsstelle Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Festgelegte Zertifizierungsstelle“ festgelegt ist. Wählen Sie aus einer Dropdown-Liste die Zertifizierungsstelle aus.

Zertifikatsvorlage Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Festgelegte Zertifizierungsstelle“ festgelegt ist. Diese Einstellung wird basierend auf Ihrer Auswahl für die Einstellung „Zertifizierungsstelle“ automatisch aufgefüllt.

S/MIME Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Benutzerzertifikat“ festgelegt ist. Wählen Sie zwischen dem Benutzerorientierten S/MIME-Signaturzertifikat oder -Verschlüsselungszertifikat.

VPN On-Demand aktivieren

VPN On-Demand aktivieren Aktivieren Sie VPN On-Demand, um automatisch VPN-Verbindungen anhand von Zertifikaten herzustellen.

Aktivieren Sie VPN, indem Sie den Namen der App eingeben und links neben dem Lupensymbol auf das Pluszeichen klicken. Sie können mehr als eine App eingeben.

Konfigurieren von erweiterten Einstellungen für das Windows Phone-VPNKonfigurieren Sie die VPN-Einstellungen des Geräts, um sicher remote auf die Unternehmensinfrastruktur zuzugreifen. Sie können den Datenverkehr über das VPN beschränken, indem Sie Pro-App-VPN-Verbindungen konfigurieren. Anschließend legen Sie fest, dass beim Starten der jeweiligen App automatisch eine Verbindung zum VPN hergestellt wird.


Verbindungsdaten

Erweiterte Verbindungseinstellungen

Konfigurieren Sie erweiterte Routing-Regeln für die VPN-Verbindungen des Geräts.

Routing-Adressen Wählen Sie Hinzufügen aus, um die IP-Adressen und Subnetzpräfix-Größe für die VPN-Verbindung einzugeben. Bei Bedarf können Sie weitere Routing-Adressen hinzufügen.

Diese Option ist verfügbar, wenn Erweiterte Verbindungseinstellungen aktiviert ist.


VMware, Inc. 127


DNS-Routing-Regeln Wählen Sie Hinzufügen aus, um den Domänennamen einzugeben, unter dem der VPN-Server gehostet wird. Geben Sie Domänenname, DNS-Server und Web-Proxyserver für die einzelnen Domänen ein.

Diese Option ist verfügbar, wenn Erweiterte Verbindungseinstellungen aktiviert ist.

Routing-Richtlinie Lassen Sie zu, dass der Datenverkehr über die lokale Netzwerkverbindung erfolgt, indem Sie Direkten Zugriff auf externe Ressourcen zulassen auswählen. Wählen Sie umgekehrt Sämtlichen Verkehr durch VPN zwingen aus, um den gesamten Datenverkehr über das VPN zu senden. Diese Option ist verfügbar, wenn Erweiterte Verbindungseinstellungen aktiviert ist.

Proxy Wählen Sie AutoErkennung aus, damit die vom VPN verwendeten Proxyserver automatisch erkannt werden. Wählen Sie Manuell aus, um den Proxyserver zu konfigurieren. Diese Option ist verfügbar, wenn Erweiterte Verbindungseinstellungen aktiviert ist.

URL für die AutoKonfiguration des Proxyservers

Geben Sie die URL für die AutoKonfiguration des Proxyservers ein. Diese Option ist nur verfügbar, wenn Proxy auf „AutoErkennung“ gesetzt ist.

Server Geben Sie die URL für die Konfigurationseinstellungen des Proxyservers ein.

Diese Option wird angezeigt, wenn Proxy auf „Manuell“ gesetzt ist.

Port Geben Sie die Portnummer für den Zugriff auf den Proxyserver ein.

Diese Option wird angezeigt, wenn Proxy auf „Manuell“ gesetzt ist.

Proxy bei lokalem Netzwerk umgehen

Umgehen Sie den Proxyserver, wenn das Gerät erkennt, dass dieser sich im lokalen Netzwerk befindet.

Authentifizierung

Authentifizierungstyp Wählen Sie das Authentifizierungsprotokoll für das VPN aus.

n EAP – Lässt verschiedene Authentifizierungsmethoden zu.

n Computerzertifikat – Erkennt ein Clientzertifikat im Zertifikatsspeicher des Geräts, das zur Authentifizierung verwendet werden soll.

Protokolle Wählen Sie den EAP-Authentifizierungstyp aus.

n EAP-TLS – Smartcard- oder Clientzertifikatsauthentifizierung.

n EAP-MSCHAPv2 – Benutzername und Kennwort.

Anmeldedatentyp Wählen Sie Zertifikat verwenden, um ein Clientzertifikat zu verwenden. Wählen Sie Smartcard verwenden aus, um eine Smartcard zur Authentifizierung zu verwenden.

Diese Einstellung wird angezeigt, wenn die Option Protokolle auf EAP-TLS festgelegt ist.

Einfache Zertifikatsauswahl Vereinfachen Sie die Liste der Zertifikate, aus der der Benutzer seine Auswahl trifft. Das zuletzt ausgestellte Zertifikat wird dargestellt und die Entität, für die das Zertifikat ausgestellt wurde, gruppiert die Zertifikate.

Diese Einstellung wird angezeigt, wenn die Option Protokolle auf EAP-TLS festgelegt ist.

Windows-Anmeldedaten verwenden

Verwenden Sie dieselben Anmeldedaten wie beim Windows-Gerät.

Diese Einstellung wird angezeigt, wenn die Option Protokolle auf EAP-MSCHAPv2 festgelegt ist.

VPN-Verkehrsregeln

Anwendungs-ID Wählen Sie die Anwendung aus, auf die Datenverkehrsregeln angewendet werden sollen, indem Sie den Familiennamen des Anwendungspakets eingeben.

n Paketfamilienname – Beispiel: „WorkspaceONE.MDMAgent_htcwkw4rx2gx4“

VPN-On-Demand Stellen Sie beim Starten der Anwendung automatisch eine Verbindung mit dem VPN her.


VMware, Inc. 128


Routing-Richtlinie Wählen Sie die Routing-Richtlinie für die Anwendung aus.

n Direkten Zugriff auf externe Ressourcen zulassen ermöglicht sowohl Datenverkehr über das VPN als auch über die lokale Netzwerkverbindung.

n Sämtlichen Verkehr durch VPN zwingen erzwingt die Übermittlung des gesamten Datenverkehrs über das VPN.

VPN-Verkehrsfilter Fügen Sie Datenverkehrsfilter für bestimmte Legacy- und Modern-Anwendungen hinzu.

Wählen Sie Neuen Filter hinzufügen aus, um Filtertypen und Filterwerte für die Routing-Regeln hinzuzufügen. Nur Datenverkehr von der festgelegten Anwendung, der diesen Regeln entspricht, kann über das VPN übermittelt werden.

n IP-Protokoll – Numerischer Wert von 0-255, der das zuzulassende IP-Protokoll darstellt. Zum Beispiel: TCP = 6 und UDP = 17.

n IP-Adresse – Eine Liste von durch Kommata getrennten Werten, in der die Remote-IP-Adressbereiche, die zuzulassen sind, aufgeführt sind.

n Ports – Eine Liste von durch Kommata getrennten Werten, in der die Remoteportbereiche, die zuzulassen sind, aufgeführt sind. Zum Beispiel: 100–120, 200, 300–320. Ports sind nur gültig, wenn als Protokoll „TCP“ oder „UDP“ festgelegt ist.

n LocalPorts – Eine Liste von durch Kommata getrennten Werten, in der die lokalen Portbereiche aufgeführt sind, über die Datenverkehr zulässig ist.

n LocalAddress – Eine Liste von durch Kommata getrennten Werten, in der die lokalen IP-Adressen aufgeführt sind, über die Datenverkehr zulässig ist.

Geräteweite VPN-Regeln Wählen Sie Hinzufügen aus, um Verkehrsregeln für das gesamte Gerät hinzuzufügen.

Wählen Sie Hinzufügen aus, um Filtertypen und Filterwerte für die Routing-Regeln hinzuzufügen. Nur Datenverkehr, der diesen Regeln entspricht, kann über das VPN übermittelt werden.

Richtlinien

Anmeldedaten merken Speichern Sie die Anmeldedaten des Endbenutzers.

Immer an Erzwingen Sie die Aktivierung der VPN-Verbindung. Hierdurch wird die VPN-Verbindung aktiviert, wenn die Netzwerkverbindung getrennt und wieder hergestellt wird.

VPN-Sperre Erzwingen Sie die Aktivierung der VPN-Verbindung, deaktivierten Sie den Netzwerkzugriff, wenn die VPN-Verbindung getrennt ist, und verhindern Sie, dass eine Verbindung mit anderen VPN-Profilen hergestellt wird oder Änderungen an diesen vorgenommen werden.

Vertrauenswürdiges Netzwerk Geben Sie durch Komma getrennte vertrauenswürdige Netzwerkadressen ein. Es wird keine VPN-Verbindung hergestellt, wenn die Verbindung eines vertrauenswürdigen Netzwerks erkannt wird.

Getrennter Tunnel Ermöglichen Sie es Endbenutzern, ein VPN mit einem getrennten Tunnel zu verwenden.

Dieses Textfeld gilt nur für Windows Phone 8.1-Geräte.

Umgehung für lokalen Verkehr Umgehen Sie die VPN-Verbindung für den lokalen Intranetverkehr. Beispielsweise verwenden Sie nicht die VPN-Verbindung, wenn Sie auch mit der Verbindung mit Ihrem Firmennetzwerk am Arbeitsplatz verbunden sind.


Erkennung vertrauenswürdiger Netzwerke

Verwenden Sie die Option „Erkennung vertrauenswürdiger Netzwerke“, wenn Sie eine Verbindung mit dem VPN herstellen.



VMware, Inc. 129


Verbindungstyp Wählen Sie den Verbindungstyp aus, der zugelassen werden soll.

Durch die Option „Immer an“ wird die VPN-Verbindung immer ausgeführt.


Trennung bei Leerlauf - Zeit Legen Sie den maximalen Zeitraum fest, der ohne Konnektivitätsanforderungen verstreichen kann, bevor die VPN-Verbindung automatisch getrennt wird.


VPN On-Demand

Zulässige Anwendungen Wählen Sie Hinzufügen aus, um festzulegen, dass der gesamte Datenverkehr von Apps über das VPN gesichert wird.

Sie können beliebig viele Apps hinzufügen.

Zulässige Netzwerke Wählen Sie Hinzufügen aus, um die Netzwerke zu definieren.

Sämtlicher Datenverkehr über konfigurierte Netzwerke wird über das VPN gesichert.

Sie können beliebig viele Netzwerke hinzufügen.

Ausgeschlossene Anwendung Wählen Sie Hinzufügen aus, um die ausgeschlossenen Anwendungen zu definieren.

Sämtlicher Datenverkehr an diese Apps wird NICHT über das VPN gesichert.

Sie können beliebig viele ausgeschlossene Apps hinzufügen.

Ausgeschlossene Netzwerke Wählen Sie Hinzufügen aus, um die ausgeschlossenen Netzwerke zu definieren.

Sämtlicher Datenverkehr über ausgeschlossene Netzwerke wird NICHT über das VPN gesichert.

Sie können beliebig viele ausgeschlossene Netzwerke hinzufügen.

DNS-Suffix-Suchliste Wählen Sie Hinzufügen aus, um die DNS-Suffix-Suchliste zu definieren.

DNS-Suffixe werden an gekürzte URLs zur DNS-Auflösung und Konnektivität angehängt.

Sie können beliebig viele DNS-Suffixe hinzufügen.


VMware, Inc. 130

Konformitätsrichtlinien 6Die Compliance Engine ist ein automatisches Tool von Workspace ONE UEM, welches sicherstellt, dass alle Geräte Ihre Richtlinien erfüllen. Bei diesen Richtlinien kann es sich um grundlegende Sicherheitseinstellungen wie etwa das Vorhandensein einer Kennung und die Festlegung einer Mindestdauer für eine Gerätesperre handeln. Auf bestimmten Plattformen möchten Sie eventuell spezielle Vorsichtsmaßnahmen festlegen und durchsetzen. Diese Vorsichtsmaßnahmen bestehen unter anderem aus der Festlegung einer Kennwortstärke, dem Hinzufügen bestimmter Anwendungen zu Blacklists und dem Einsatz von Eincheck-Intervallen für Geräte, um zu gewährleisten, dass die Geräte sicher und mit Workspace ONE UEM powered by AirWatch verbunden sind.

Sobald festgestellt wird, dass Geräte den Konformitätsanforderungen nicht entsprechen, fordert die Compliance Engine die Benutzer zur Behandlung von Konformitätsfehlern auf, um disziplinarische Maßnahmen auf dem Gerät zu verhindern. Die Compliance Engine kann beispielsweise eine Nachricht auslösen, anhand derer der Benutzer benachrichtigt wird, dass sein Gerät nicht konform ist.

Darüber hinaus kann nicht konformen Geräten kein Geräteprofil zugewiesen und es können keine Anwendungen auf ihnen installiert werden. Sollten die Probleme im angegebenen Zeitraum nicht behoben werden, kann mit dem Gerät nicht mehr auf bestimmte Benutzerdefinierte Inhalte und Funktionen zugegriffen werden. Die verfügbaren Konformitätsrichtlinien und -aktionen variieren je nach Plattform.

Sie können Eskalationen automatisieren, falls keine Korrekturen vorgenommen werden. Dabei wird das Gerät gesperrt und der Benutzer aufgefordert, sich zur Entsperrung des Geräts an Sie zu wenden. Diese Eskalationsschritte, Disziplinarmaßnahmen, Toleranzperioden und Nachrichten sind mit der Unified Endpoint Management-Konsole alle anpassbar.

Es gibt zwei Methoden, mit denen Konformität gemessen wird.

n Echtzeitkonformität (RTC)

Außerplanmäßige Stichproben vom Gerät werden verwendet, um zu bestimmen, ob das Gerät kompatibel ist. Die Proben werden vom Administrator auf Wunsch angefordert.

n Engine-Konformität

Die Compliance Engine, ein Softwarealgorithmus, der planmäßige Stichproben erhält und misst, bestimmt hauptsächlich die Konformität eines Geräts. Die Zeitintervalle, in denen der Zeitplaner gestartet wird, werden vom Administrator in der Konsole festgelegt.

VMware, Inc. 131

Die Durchsetzung von mobilen Sicherheitsrichtlinien wird in dieser allgemeinen Übersicht dargestellt.

1 Wählen Sie Ihre Plattform aus.

Legen Sie fest, auf welcher Plattform Sie die Konformität erzwingen möchten. Nachdem Sie eine Plattform ausgewählt haben, wird Ihnen niemals eine Option angezeigt, die nicht für diese Plattform gilt.

2 Erstellen Sie Ihre Richtlinien.

Passen Sie Ihre Richtlinien so an, dass alle der folgenden Aspekte berücksichtigt werden: Anwendungsliste, Gefährdungsstatus, Verschlüsselung, Hersteller, Modell- und BS-Version, Kennung und Roaming.

3 Legen Sie die Eskalation fest.

Konfigurieren Sie zeitbasierte Aktionen in Stunden oder Tagen und wählen Sie für diese Aktionen einen mehrstufigen Ansatz.

4 Legen Sie Aktionen fest.

Senden Sie eine SMS, E-Mail oder Push-Benachrichtigung an das Gerät des Benutzers oder senden Sie nur dem Administrator eine E-Mail. Fordern Sie an, dass Geräte einchecken, entfernen oder blockieren Sie bestimmte Profile, installieren Sie Konformitätsprofile, entfernen oder blockieren Sie Anwendungen und führen Sie einen Enterprise-Wipe durch.

5 Konfigurieren Sie Zuweisungen.

Weisen Sie Ihre Konformitätsrichtlinie nach Organisationsgruppe oder Smartgroup zu und bestätigen Sie dann die Zuweisung nach Gerät.

Bestätigen der Integrität der Windows-GeräteAuf Windows-Geräten können Sie eine Integritätsüberprüfung konfigurieren und beim Gerätestart durchführen, um sicherzustellen, dass Ihre Unternehmensressourcen sicher sind. Weitere Informationen finden Sie im Thema Erkennung kompromittierter Geräte mit Integritätsnachweis in der Dokumentation Management von Windows-Desktop-Geräten unter docs.vmware.com.


n Listenansicht für Konformitätsrichtlinien

n Regeln für Konformitätsrichtlinien nach Plattform

n Hinzufügen einer Konformitätsrichtlinie

n Erkennung kompromittierter Geräte durch Integritätsnachweis

Listenansicht für KonformitätsrichtlinienMit der Listenansicht für Konformitätsrichtlinien haben Sie die Möglichkeit, alle aktiven und inaktiven Konformitätsrichtlinien und ihre Konfigurationen zu sehen. Geräte werden während der Erstregistrierung in den Konformitätsstatus Ausstehend gesetzt. Wird eine Richtlinie erstellt, gespeichert und einem


VMware, Inc. 132

https://docs.vmware.com

registrierten Gerät zugewiesen, wird der Konformitätsstatus des Geräts entweder auf Konform oder Nicht Konform gesetzt.

Wenn die Zuweisungen von Smartgroups geändert werden, wechselt die Übereinstimmungsrichtlinie eines Geräts in den Status Ausstehend, wenn das Gerät neu in der Smartgroup ist. Geräte, die der Smartgroup bereits zugewiesen sind, können die Änderung ihres Konformitätsstatus nicht sehen, da die Smartgroup ihre Zuweisung erweitert (oder reduziert).

Wenn Sie die Listenansicht für Übereinstimmungsrichtlinien aufrufen möchten, gehen Sie zu Geräte > Konformitätsrichtlinien > Listenansicht.


Status Filtern Sie die Auflistung zwischen den Status Alle, Aktiv und Inaktiv.

Aktionsmenü Sehen Sie individuelle Richtlinien ein und bearbeiten Sie sie, sehen Sie Geräte ein, denen die Richtlinien zugewiesen wurden, und löschen Sie Richtlinien, die Sie nicht länger behalten wollen.

Konform/Nicht konform/Ausstehend/Zugewiesen

Die Ziffern dieser Spalte enthalten Hypertextlinks, die bei Auswahl die Seite Geräte anzeigen mit dem jeweiligen Status der ausgewählten Konformitätsrichtlinie anzeigen.

Der Status Zugewiesen ist die Summe der Status Konform, Nicht konform und Ausstehend.

Weitere Informationen finden Sie auf der Seite Seite „Geräte anzeigen“.

Seite „Geräte anzeigen“Auf der Seite Geräte anzeigen werden Konformitätsdetails zu den einzelnen Geräten angezeigt, die der ausgewählten Richtlinie zugewiesen sind. Sie wird angezeigt, wenn Sie in der Listenansicht für Konformitätsrichtlinien in der Spalte Konform / Nicht Konform / Ausstehend / Zugewiesen eines der Hyperlink-Textzeichen auswählen.

Filtern Sie die Liste anhand dieser vier Statusarten durch Auswählen des Dropdown-Menüs Status. Der Status Zugewiesen ist die Summe der Status Konform, Nicht konform und Ausstehend.

Es gibt drei aufgelistete Gerätestatus in der Spalte Status.

n Konform – Durch die zugewiesene Konformitätsrichtlinie wurde festgestellt, dass das Gerät konform ist.

n Nicht konform – Durch die zugewiesene Konformitätsrichtlinie wurde festgestellt, dass das Gerät nicht konform ist.

n Ausstehend – Die Zuweisung der Konformitätsrichtlinie an neu registrierte Geräte ist geplant.


VMware, Inc. 133

Sie können auch die Angaben für C/E/S (Besitz), Plattform/OS/Modell, Organisationsgruppe, Letzte Konformitätsprüfung, Nächste Konformitätsprüfung und Ausgeführte Aktionen des Geräts bestätigen. In der Spalte „Ausgeführte Aktionen“ werden die Aktionen aufgelistet, die für nicht konforme Geräte ausgeführt wurden.

Sie mögen sich auch dafür entscheiden, die Konformität eines bestimmten Gerätes neu zu bewerten. Aktivieren Sie die Compliance Engine und melden Sie den Konformitätsstatus auf dem Gerät erneut an,

indem Sie Konformität neu bewerten auswählen ( ).

Regeln für Konformitätsrichtlinien nach PlattformNicht alle Regeln für Konformitätsrichtlinien treffen auf alle Plattformen zu. Die Seite Konformitätsrichtlinie hinzufügen ist plattformbasiert. Somit sehen Sie nur die Regeln und Aktionen für Konformitätsrichtlinien, die für Ihr Gerät gelten.

Verwenden Sie die folgende Tabelle, um festzulegen, welche Regeln zur Bereitstellung für Ihre Geräte verfügbar sind.

Konformitätsrichtlinie

Android und Android Legacy

Apple iOS

Apple macOS

Chrome OS QNX

Windows Robust

Windows 7

Windows Phone

Windows Desktop

Anwendungsliste ✓ ✓ ✓

Antivirus-Status ✓

Mobilfunkdaten-Nutzung ✓ ✓

Nutzung von Mobilfunkbenachrichtigung

✓

Nutzung von Mobilfunksprachanrufen

✓

Konformitätsattribut ✓

Kompromittierungsstatus ✓ ✓ ✓

Gerät zuletzt gesehen ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Gerätehersteller ✓

Verschlüsselung ✓ ✓ ✓ ✓ ✓ ✓

Firewall-Status ✓ ✓

Freier Speicherplatz ✓

iBeacon-Bereich ✓

Ablauf des interaktiven Zertifikatsprofils

✓ ✓

Letzter Kompromittierungsscan

✓ ✓

Annahme der MDM-Nutzungsbedingungen

✓ ✓ ✓ ✓ ✓ ✓ ✓


VMware, Inc. 134

Konformitätsrichtlinie


Apple iOS

Apple macOS

Chrome OS QNX

Windows Robust

Windows 7

Windows Phone

Windows Desktop

Modell ✓ ✓ ✓ ✓

BS-Version ✓ ✓ ✓ ✓ ✓ ✓ ✓

Kennung ✓ ✓ ✓ ✓ ✓

Roaming* ✓ ✓ ✓

Mobilfunkdaten-Nutzung im Roamingbetrieb*

✓ ✓

Sicherheitspatchversion ✓

SIM-Kartenwechsel * ✓ ✓ ✓

Systemintegritätsschutz ✓

Status automatischer Windows-Updates

✓

Windows Genuine-Validierung von Kopien

✓

Hinweis * Nur für fortgeschrittene Telekommunikationsbenutzer verfügbar.

Regeln für Konformitätsrichtlinien – BeschreibungRegeln für Konformitätsrichtlinien ermöglichen Ihnen den Aufbau einer soliden Grundlage für Ihre Richtlinie als wichtige Komponenten für diese. Die Aktionen, Eskalationen und Zuweisungen, die erfolgen, sind alle auf diesen Regeln aufgebaut.


Anwendungsliste Erkennen Sie bestimmte, per Blacklist gesperrte Anwendungen, die auf einem Gerät installiert sind, oder alle Anwendungen, die nicht per Whitelist zugelassen sind. Sie können entweder bestimmte Anwendungen verbieten (z.B. Social Media-Anwendungen) und Anwendungen von auf Blacklists stehenden Anbietern, oder nur die von Ihnen bestimmten Anwendungen zulassen. Außerdem können Sie eine Mindestversionsnummer für eine Anwendung festlegen.

Aufgrund der Art und Weise, in der der Anwendungsstatus auf iOS-Geräten gemeldet wird, erreicht eine App den Status „Installiert“ erst, wenn der Installationsvorgang vollständig abgeschlossen ist. Wenn Sie aus diesem Grund eine Übereinstimmungsregel erstellen, die die Anwendungsliste der iOS-Geräte misst, sollten Sie eine Aktion erzwingen, die die Vernichtung von Daten vermeidet. Beispiel: Enterprise-Löschung oder Gerätezurücksetzung.

Antivirus-Status Stellen Sie fest, ob eine Antivirus-Anwendung ausgeführt wird. Das Konformitätsrichtlinienmodul überprüft das Aktionszentrum des Geräts auf eine Antivirus-Lösung. Windows unterstützt alle Antivirus-Lösungen von Drittanbietern.

Nutzung von Mobilfunkdaten/Nachrichten/Sprachanrufen

Stellen Sie fest, wenn Endbenutzergeräte einen bestimmten Schwellenwert ihres Telekommunikationstarifplans überschreiten. Damit diese Richtlinie in Kraft treten kann, müssen die Telekommunikationseinstellungen konfiguriert werden.


VMware, Inc. 135


Konformitätsattribut Vergleichen Sie Attributschlüssel im Gerät anhand der Endpunkt-Sicherheitskontrolle von Drittanbietern, die einen Booleanschen Wert für die Gerätekonformität zurückgibt. Nur für Windows Desktop-Geräte verfügbar.

Gefährdungsstatus Stellen Sie fest, ob das Gerät kompromittiert ist. Verhindern Sie die Verwendung von Geräten mit Jailbreak oder Root-Zugriff, die in Workspace ONE UEM registriert sind.

Geräte mit Jailbreak oder Root-Zugriff bauen wesentliche Sicherheitseinstellungen ab und können Malware in Ihr Netzwerk einschleusen sowie Zugriff auf Ihre Unternehmensressourcen ermöglichen. Die Überwachung des Status von kompromittierten Geräten ist in BYOD-Umgebungen besonders wichtig, bei denen Mitarbeiter über verschiedene Versionen von Geräten und Betriebssystemen verfügen.

Gerät zuletzt gesehen Erkennen Sie, wenn das Gerät innerhalb eines festgelegten Zeitrahmens nicht eingecheckt wird.

Gerätehersteller Erkennen Sie den Gerätehersteller, wodurch Sie die Möglichkeit erhalten, bestimmte Android-Geräte zu identifizieren. Sie können bestimmte Hersteller verbieten oder nur die von Ihnen festgelegten Hersteller zulassen.

Verschlüsselung Erkennen Sie, ob die Verschlüsselung auf dem Gerät aktiviert ist. Windows unterstützt alle Verschlüsselungslösungen von Drittanbietern.

Firewallstatus Erkennen Sie, ob eine Firewall-Anwendung ausgeführt wird. Die Compliance Engine überprüft das Aktionszentrum des Geräts auf eine Firewall-Lösung. Windows unterstützt alle Firewall-Lösungen von Drittanbietern.

Freier Speicherplatz Erkennen Sie den verfügbaren Speicherplatz auf dem Gerät.

iBeacon-Bereich Erkennen Sie, ob Ihr Gerät sich im Bereich einer iBeacon-Gruppe befindet.

Ablauf des interaktiven Zertifikatsprofils

Erkennen Sie, wenn ein installiertes Profil innerhalb eines festgelegten Zeitraums auf dem Gerät abläuft.

Letzter Gefährdungsscan Erkennen Sie, wenn ein Gerät seinen Kompromittierungsstatus innerhalb des festgelegten Zeitraums nicht gemeldet hat.

Annahme der MDM-Nutzungsbedingungen

Erkennen Sie, wenn ein Endbenutzer die aktuellen MDM-Nutzungsbedingungen innerhalb eines bestimmten Zeitraums nicht akzeptiert hat.

Modell Erkennen Sie das Gerätemodell. Sie können entweder bestimmte Modelle untersagen oder nur die von Ihnen festgelegten Modelle zulassen.

BS-Version Erkennen Sie die BS-Version des Geräts. Sie können entweder bestimmte BS-Versionen untersagen oder nur die von Ihnen festgelegten Betriebssysteme und Versionen zulassen.

Kennung Erkennen Sie, ob eine Kennung auf dem Gerät vorhanden ist.

Roaming* Erkennen Sie, wenn sich das Gerät im Roamingbetrieb befindet.

Mobilfunkdaten-Nutzung im Roamingbetrieb*

Erkennen Sie Mobilfunkdaten-Nutzung im Roamingbetrieb im Vergleich zu einer statischen Menge an in MB oder GB gemessenen Daten.

Sicherheitspatchversion Stellen Sie das Datum des neuesten Sicherheitspatches von Google auf dem Android-Gerät fest. Gilt nur für Android-Version 6.0 und höher.

SIM-Kartenwechsel* Erkennen Sie, ob die SIM-Karte gewechselt wurde.

Systemintegritätsschutz Ermitteln Sie den Status des proprietären Schutzsystems von macOS für systemeigene Dateien und Verzeichnisse vor Änderungen durch Prozesse ohne eine bestimmte „Berechtigung“, selbst wenn Sie vom Root-Benutzer oder einem Benutzer mit Root-Berechtigungen ausgeführt werden.


VMware, Inc. 136


Status des automatischen Windows Updates

Erkennen Sie, ob automatische Windows-Updates aktiviert wurden. Die Compliance Engine überprüft das Aktionszentrum des Geräts auf eine Update-Lösung. Sollte Ihre Drittanbieterlösung nicht im Aktionszentrum angezeigt werden, wird sie als nicht überwacht gemeldet.

Echtheitsüberprüfung der Windows-Kopie

Erkennen Sie, ob die Windows-Kopie, die momentan auf dem Geräte ausgeführt wird, echt ist.

* Nur für fortgeschrittene Telekommunikationsbenutzer verfügbar.

Konformitätsrichtlinienaktionen nach PlattformZu den unterstützten Aktionen nach Plattform, die durch Konformitätsrichtlinien durchgesetzt werden, gehören Folgende:

Konformitätsrichtlinienaktion


Apple iOS

Apple macOS

Chrome OS QNX

Windows Robust

Windows 7

Windows Phone

Windows Desktop

Anwendung

Verwaltete Anwendung blockieren/entfernen

✓ ✓ ✓

Alle Anwendungen blockieren/entfernen

✓ ✓ ✓

Befehl

Roamingeinstellungen ändern. ✓(ab iOS 5)

Enterprise-Löschung ✓ ✓ ✓ ✓ ✓ ✓ ✓

Enterprise-Zurücksetzung ✓ ✓

BS-Update ✓

(nur DEP)

Geräte-Check-in anfordern ✓ ✓ ✓

Azure-Token deaktivieren*. ✓ ✓

E-Mail

E-Mail blockieren ✓ ✓

Benachrichtigen

E-Mail an Benutzer senden**. ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

SMS an Gerät senden. ✓ ✓ ✓ ✓

Push-Benachrichtigung an Gerät senden.

✓ ✓ ✓ ✓ ✓ ✓ ✓

E-Mail an Administrator senden.

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓


VMware, Inc. 137

Konformitätsrichtlinienaktion


Apple iOS

Apple macOS

Chrome OS QNX

Windows Robust

Windows 7

Windows Phone

Windows Desktop

Profil

Konformitätsprofile installieren. ✓ ✓ ✓ ✓ ✓

Profil blockieren/entfernen ✓ ✓ ✓ ✓ ✓

Profiltyp blockieren/entfernen ✓ ✓ ✓

Alle Profile blockieren/entfernen

✓ ✓ ✓ ✓ ✓

* Erfordert die Aktivierung der Option „Azure AD als Identitätsdienst verwenden“ unter Einstellungen > System > Enterprise Integration > Verzeichnisdienste > Erweiterungen. Wirkt sich auf alle Geräte für einen bestimmten Benutzer aus und deaktiviert jede Anwendung, die auf dem Azure-Token beruht.

** Umfasst die Option, den Manager des Benutzers auf CC zu setzen.

Hinzufügen einer KonformitätsrichtlinieFür das Hinzufügen einer Konformitätsrichtlinie sind vier Segmente entscheidend: Rollen, Aktionen, Zuweisung und Übersicht. Nicht alle in diesem Leitfaden aufgeführten Funktionen und Optionen sind für alle Plattformen verfügbar. In der Workspace ONE UEM-Konsole basieren alle verfügbaren Optionen auf der ursprünglich ausgewählten Plattform. In der Konsole sind daher keine Optionen verfügbar, die Sie nicht für Ihr Gerät verwenden können.

Hinweis Konformität von Windows Robust wird nur auf Motorola-Geräten unterstützt (Konformität wird durch die Aktion „Enterprise-Zurücksetzung“ durchgesetzt).

Konfigurieren Sie die Compliance Engine samt Profilen und automatischen Eskalationen durch Ausfüllen der Konformitätsrichtlinienregisterkarten.

Verfahren

1 Navigieren Sie zu Geräte > Konformitätsrichtlinien > Listenansicht und wählen Sie Hinzufügen aus.

2 Wählen Sie für Ihre Konformitätsrichtlinie eine Plattform auf der Seite Konformitätsrichtlinie hinzufügen aus.

3 Erkennen Sie die Bedingungen durch das Konfigurieren der Registerkarte Regeln anhand der ersten Übereinstimmung von einer beliebigen Regel oder allen Regeln.

n Regel hinzufügen – Aktivieren Sie diese Option, um weitere Regeln und Parameter hinzuzufügen. Weitere Informationen finden Sie unter Regeln für Konformitätsrichtlinien nach Plattform und Regeln für Konformitätsrichtlinien – Beschreibung.

n Zurück und Weiter – Gehen Sie zurück zum vorherigen oder weiter zum nächsten Schritt bzw. zur nächsten Aktion.


VMware, Inc. 138

4 Füllen Sie die Registerkarte Aktionen aus, um die Konsequenzen für Nicht-Konformität innerhalb Ihrer Richtlinie festzulegen.

Die verfügbaren Aktionen hängen von der jeweiligen Plattform ab. Weitere Informationen finden Sie unter Konformitätsrichtlinienaktionen nach Plattform.

5 Geben Sie gewünschte Aktionen und Eskalationen an.

Eine Eskalation ist einfach eine automatische Aktion, die ausgeführt wird, wenn die vorherige Aktion den Benutzer nicht veranlasst, Schritte zur Wiederherstellung der Gerätekonformität zu ergreifen.

Wählen Sie die Option und Typen der gewünschten Aktion aus.


Aktionen und Eskalationen

Kontrollkästchen Als nicht konform markieren

Erlaubt Ihnen, Aktionen auf einem Gerät auszuführen, ohne es als nicht konform zu markieren. Die Compliance Engine führt diese Aktion unter Berücksichtigung folgender Regeln durch:

n Das Kontrollkästchen „Als nicht konform markieren“ wird standardmäßig für jede neu hinzugefügte Aktion aktiviert.

n Ist bei einer Aktion die Option „Als nicht konform markieren“ aktiviert, werden alle nachfolgenden Aktionen und Eskalationen auch als nicht konform markiert. Diese nachfolgenden Kontrollkästchen können dann nicht bearbeitet werden.

n Wurde bei einer Aktion die Option „Als nicht konform markieren“ deaktiviert, so ist bei der nächsten Aktion bzw. Eskalation die Option standardmäßig aktiviert. Das Kontrollkästchen kann jedoch bearbeitet werden.

n Wenn für eine Aktion bzw. Eskalation die Option „Als nicht konform markieren“ deaktiviert ist und das Gerät nicht der Konformitätsregel entspricht, ist das Gerät offiziell „konform“. Danach wird die oben beschriebene Aktion ausgeführt.

n Der Status eines Geräts bleibt „konform“, sofern für das Gerät nicht eine Aktion bzw. Eskalation mit dem aktivierten Kontrollkästchen „Als nicht konform markieren“ durchgeführt wird. Das Gerät wird nur in diesem Fall als nicht konform erachtet.

Anwendung Blockieren oder entfernen Sie eine verwaltete Anwendung.

Sie können die Konformität einer Anwendung auch durch Einrichtung einer Whitelist, einer Blacklist oder einer erforderlichen Liste mit Anwendungen erzwingen.

Befehl Starten Sie ein Geräte-Check-in oder führen Sie ein Enterprise Wipe aus.

E-Mail Blockieren Sie den Benutzer von der Verwendung von E-Mails.

Falls Sie Mobile E-Mail Management zusammen mit der E-Mail-Compliance-Engine verwenden, wird die Aktion „E-Mail blockieren“ angewendet. Greifen Sie über E-Mail > Konformitätsrichtlinien > E-Mail-Richtlinien auf diese Option zu. Dadurch können Sie Gerätekonformitätsrichtlinien verwenden, wie beispielsweise per Blacklist gesperrte Anwendungen in Verbindung mit Richtlinien für die E-Mail-Compliance-Engine, die Sie konfigurieren. Mit dieser Aktion wird E-Mail-Konformität mit einem Update für einzelne Geräterichtlinien eingeleitet, sollte das Gerät nicht mehr konform sein.


VMware, Inc. 139


Benachrichtigen Benachrichtigen Sie jemanden über die Konformitätsverletzung.

Sie haben die folgenden Möglichkeiten zum Senden einer Benachrichtigung.

n E-Mail an Benutzer senden.

n SMS an Gerät senden.

n Push-Benachrichtigung an Gerät senden.

n E-Mail an Administrator senden.

Mehrere E-Mails können in das einhergehende Textfeld CC eingefügt werden, vorausgesetzt, dass sie durch Kommas getrennt werden. Mit CC können Sie auch eine E-Mail an den Manager des Benutzers senden, indem Sie einen Suchwert eingeben; klicken Sie hierzu auf das Pluszeichen neben dem CC-Textfeld und wählen Sie {UsersManager} aus dem Dropdown-Menü aus. Weitere Informationen finden Sie unter Nachschlagewerte.

Für alle Benachrichtigungsoptionen können Sie eine Nachrichtenvorlage verwenden. Zur Verwendung dieser Option heben Sie die Auswahl des Kontrollkästchens Standardvorlage auf; daraufhin wird ein Dropdown-Menü angezeigt, in dem Sie eine Nachrichtenvorlage auswählen können.

Es gibt auch einen Link, der in einem neuen Fenster die Seite Nachrichtenvorlage öffnet. Auf dieser Seite können Sie Ihre eigene Nachrichtenvorlage erstellen.

Profil Installieren, entfernen oder blockieren Sie ein bestimmtes Geräteprofil, einen Geräteprofiltyp oder eine Konformitätsrichtlinie.

Konformitätsprofile werden auf dieselbe Weise erstellt und gespeichert wie die Geräteprofile „Automatisch“ und „Optional“. Navigieren Sie zu Geräte > Profile und Ressourcen > Profile und wählen Sie anschließend Hinzufügen sowie Profil hinzufügen aus. Wählen Sie eine Plattform und auf der Profilregisterkarte Allgemein die Option „Konformität“ in der Dropdown-Einstellung Zuweisungstyp aus. Konformitätsprofile werden auf den Registerkarten Aktionen der Seite Konformitätsrichtlinie hinzufügen angewendet, wenn ein Endbenutzer gegen eine Konformitätsrichtlinie verstößt. Wählen Sie Konformitätsprofil installieren aus dem Dropdown-Menü und anschließend das zuvor gespeicherte Konformitätsprofil aus.

Nur Eskalationen

Schaltfläche Eskalation hinzufügen

Erstellt eine Eskalation. Beim Hinzufügen von Eskalationen wird empfohlen, die Sicherheit von Aktionen mit jeder weiteren Eskalation zu erhöhen.

Nach ... Zeitintervall Sie können die Eskalation um Minuten, Stunden oder Tage verzögern.

... führen Sie folgende Aktionen aus

Wiederholen – Aktivieren Sie dieses Kontrollkästchen, um die Eskalation in einem bestimmten Intervall zu wiederholen, bevor die nächste geplante Aktion beginnt.

Für macOS können Sie folgende Aktionen durchführen:

n Geräte-Löschung

n E-Mail an Administrator senden

n Enterprise-Löschung

n Profil blockieren/entfernen

n E-Mail an Anwender senden

n Profiltyp blockieren/entfernen

n Push-Benachrichtigung an Gerät senden


VMware, Inc. 140

n Alle Profile blockieren/entfernen

6 Legen Sie fest, welche Geräte der Konformitätsrichtlinie unterliegen (und welche davon ausgeschlossen sind), indem Sie die Optionen der Registerkarten Zuweisung und Übersicht auf der Seite „Konformitätsrichtlinie hinzufügen“ ausfüllen. Benennen, beenden und aktivieren Sie die Richtlinie über die Registerkarte „Übersicht“.


Verwaltet von Wählen Sie die Organisationsgruppe aus, von der diese Konformitätsrichtlinie verwaltet werden soll.

Zugewiesene Gruppen Weisen Sie dieser Richtlinie eine oder mehrere Gruppen zu. Weitere Informationen finden Sie im Thema „Zuweisungsgruppen“.

Ausschlüsse Wenn Sie Gruppen ausschließen möchten, wählen Sie Ja aus. Wählen Sie anschließend eine Gruppe aus der verfügbaren Liste von Gruppen im Textfeld Ausgeschlossene Gruppen aus. Weitere Informationen finden Sie im Thema „Ausschließen von Smartgroups in Konformitätsrichtlinien“.

Schaltfläche Gerätezuweisung anzeigen

Zeigen Sie eine Liste der von dieser Konformitätsrichtlinienzuweisung betroffenen Geräte an.

Obwohl „Plattform“ ein Kriterium in einer Smartgroup ist, hat die im Geräteprofil oder in der Konformitätsrichtlinie konfigurierte Plattform immer Vorrang vor der Plattform der Smartgroup. Wird beispielsweise ein Geräteprofil für die iOS-Plattform erstellt, wird dieses Profil nur an iOS-Geräte zugewiesen, auch wenn die Smartgroup Android-Geräte enthält.

7 Nachdem Sie die Zuweisung dieser Richtlinie festgelegt haben, wählen Sie Weiter.

Die Registerkarte Übersicht wird angezeigt.

8 Geben Sie einen Namen und eine aussagekräftige Beschreibung der Konformitätsrichtlinie ein.

9 Wählen Sie eine der folgenden Optionen.

n Fertigstellen – Speichern Sie Ihre Konformitätsrichtlinie, ohne sie auf zugewiesenen Geräten zu aktivieren.

n Fertigstellen und aktivieren – Speichern Sie die Richtlinien und wenden Sie sie auf alle betroffenen Geräte an.

Gerätezuweisung anzeigenWählen Sie beim Konfigurieren einer Konformitätsrichtlinie Gerätezuweisung anzeigen auf der Registerkarte Zuweisung aus. Daraufhin wird die Seite Gerätezuweisung anzeigen angezeigt. Mit dieser Seite können Sie prüfen, welche Geräte betroffen (oder nicht betroffen) sind.


VMware, Inc. 141

In der Spalte Zuweisungsstatus werden folgende Einträge für die in der Liste aufgeführten Geräte angezeigt.

n Hinzugefügt – Die Konformitätsrichtlinie wurde dem aufgeführten Gerät hinzugefügt.

n Entfernt – Die Konformitätsrichtlinie wurde vom Gerät entfernt.

n Unverändert – Das Gerät bleibt von den Änderungen an der Konformitätsrichtlinie unberührt.

Wählen Sie Veröffentlichen aus, um die Änderungen abzuschließen und veröffentlichen Sie ggf. erneut erforderliche Konformitätsrichtlinien.

Erkennung kompromittierter Geräte durch IntegritätsnachweisIm Rahmen des Integritätsnachweises werden Geräte beim Start auf Fehler bezüglich der Geräteintegrität geprüft. Verwenden Sie den Integritätsnachweis, um kompromittierte Windows Desktop-Geräte zu erkennen.

Bei der Bereitstellung von sowohl BYOD- als auch unternehmenseigenen Geräten ist es wichtig, dass die Geräte ordnungsgemäß funktionieren, wenn auf Unternehmensressourcen zugegriffen wird. Der Windows-Integritätsnachweisdienst greift über sichere Kommunikation auf Gerätestartinformationen aus der Cloud zu. Diese Informationen werden gemessen und mit den zugehörigen Datenpunkten abgeglichen, um sicherzustellen, dass das Gerät wie geplant gestartet und keinen Sicherheitsrisiken oder -bedrohungen ausgesetzt wird. Die Messungen umfassen Secure Boot, Codeintegrität, BitLocker und Start-Manager.

Mithilfe von Workspace ONE UEM können Sie den Windows-Integritätsnachweisdienst konfigurieren, um die Gerätekonformität sicherzustellen. Wenn eine der aktivierten Prüfungen nicht bestanden wird, wendet das Workspace ONE UEM-Konformitätsrichtlinienmodul Sicherheitsmaßnahmen basierend auf der konfigurierten Konformitätsrichtlinie an. Diese Funktion ermöglicht Ihnen die sichere Aufbewahrung von Unternehmensdaten von kompromittierten Geräten. Da Workspace ONE UEM die erforderlichen Informationen von der Gerätehardware und nicht vom Betriebssystem bezieht, werden kompromittierte Geräte selbst dann erkannt, wenn der Betriebssystem-Kernel kompromittiert ist.


VMware, Inc. 142

Konfigurieren Sie den Integritätsnachweisdienst für Windows Desktop-Konformitätsrichtlinien.Schützen Sie Ihre Dienste mithilfe des Windows-Integritätsnachweisdienstes für die Erkennung kompromittierter Geräte. Dieser Dienst ermöglicht Workspace ONE UEM, die Geräteintegrität beim Start zu prüfen und Korrekturmaßnahmen vorzunehmen.

Verfahren

1 Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Windows > Windows Desktop > Windows-Integritätsnachweis.

2 (Optional) Wählen Sie Benutzerdefinierten Server verwenden, wenn Sie einen benutzerdefinierten lokalen Server verwenden, auf dem der Integritätsnachweis ausgeführt wird. Geben Sie die Server-URL ein.

3 Konfigurieren Sie die Integritätsnachweiseinstellungen:

Tabelle 6-1. Definition von Kompromittierungsstatus


Benutzerdefinierten Server verwenden

Wählen Sie diese Option aus, um einen benutzerdefinierten Server zum Integritätsnachweis zu konfigurieren.

Für diese Option muss auf einem Server Windows Server 2016 oder höher ausgeführt werden.

Bei Aktivierung dieser Option wird das Feld Server URL angezeigt.

Server-URL Geben Sie die URL Ihres benutzerdefinierten Integritätsnachweisservers ein.

Secure Boot deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn Secure Boot auf dem Gerät deaktiviert ist.

Secure Boot erzwingt einen Systemstart in einem Zustand, der vom Hersteller als vertrauenswürdig eingestuft wird. Außerdem müssen bei aktiviertem Secure Boot die Kernkomponenten, die zum Starten des Computers verwendet werden, über die korrekten kryptografischen Signaturen verfügen, denen vom Hersteller des Computers vertraut wird. Die UEFI-Firmware prüft die Vertrauenswürdigkeit vor dem Start des Geräts. Wenn kompromittierte Dateien erkannt werden, kann das System nicht gestartet werden.

Attestation Identity Key (AIK) nicht vorhanden

Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn AIK nicht auf dem Gerät vorhanden ist.

Wenn ein Attestation Identity Key (AIK) auf einem Gerät vorhanden ist, weist dies darauf hin, dass das Gerät über ein Endorsement Key(EK)-Zertifikat verfügt. Ein solches Gerät ist vertrauenswürdiger als ein Gerät ohne EK-Zertifikat.

Richtlinie für Datenausführungsverhinderung (DEP) deaktiviert

Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die DEP-Richtlinie auf dem Gerät deaktiviert ist.

Die Richtlinie für Datenausführungsverhinderung (DEP) ist eine Speicherschutzfunktion, die auf Systemebene des Betriebssystems integriert ist. Die Richtlinie verhindert das Ausführen von Code von Datenseiten wie Standard-Heaps, Stapel und Speicherpools. DEP wird von Hardware und Software erzwungen.

BitLocker deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die BitLocker-Verschlüsselung auf dem Gerät deaktiviert ist.


VMware, Inc. 143

Tabelle 6-1. Definition von Kompromittierungsstatus (Fortsetzung)


Codeintegritätsprüfung deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Codeintegritätsprüfung auf dem Gerät deaktiviert ist.

Die Codeintegrität ist eine Funktion, die die Integrität eines Treibers oder einer Systemdatei bei jedem Laden in den Speicher prüft. Die Codeintegrität prüft auf nicht signierte Treiber bzw. Systemdateien, bevor diese in den Kernel geladen werden. Zudem prüft diese auf Benutzer mit Administratorberechtigungen, die durch Schadsoftware modifizierte Systemdateien ausführen.

Frühstart von Antischadsoftware deaktiviert

Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn der Frühstart von Antischadsoftware auf dem Gerät deaktiviert ist.

Der Frühstart von Antischadsoftware (Early Launch Anti-Malware, ELAM) bietet Computern Schutz in Ihrem Netzwerk beim Start und bevor Treiber von Drittanbietern initialisiert werden.

Codeintegrität-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Codeintegrität-Versionsprüfung auf dem Gerät fehlschlägt.

Startmanager-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Startmanager-Versionsprüfung auf dem Gerät fehlschlägt.

Startanwendung - Sicherheit - Versionsnummernüberprüfung

Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit der Startanwendung nicht mit der eingegebenen Nummer übereinstimmt.

Start-Manager - Sicherheit - Versionsnummer - Überprüfung

Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit des Start-Managers nicht mit der eingegebenen Nummer übereinstimmt.

Erweiterte Einstellungen Aktivieren Sie diese Option, um im Abschnitt für Softwareversions-IDs erweiterte Einstellungen konfigurieren zu können.


Konfigurieren des Integritätsnachweises für Windows Phone-KonformitätsrichtlinienSchützen Sie Ihre Dienste mithilfe des Windows-Integritätsnachweisdienstes für die Erkennung kompromittierter Geräte. Dieser Dienst ermöglicht AirWatch, die Geräteintegrität beim Start zu prüfen und Korrekturmaßnahmen vorzunehmen.

Die Konformitätsrichtlinie für den Kompromittierungsstatus gilt für Geräte mit Windows 10 Mobile mit einem Trusted Platform Module (TPM) 1.2 oder höher.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Windows > Windows Phone > Windows-Integritätsnachweis.

2 (Optional) Wählen Sie Benutzerdefinierten Server verwenden, wenn Sie einen benutzerdefinierten lokalen Server verwenden, auf dem der Integritätsnachweis ausgeführt wird. Geben Sie die Server-URL ein.


VMware, Inc. 144

3 Konfigurieren Sie die Integritätsnachweiseinstellungen:

Tabelle 6-2. Definition von Kompromittierungsstatus


Benutzerdefinierten Server verwenden

Wählen Sie diese Option aus, um einen benutzerdefinierten Server zum Integritätsnachweis zu konfigurieren.

Für diese Option muss auf einem Server Windows Server 2016 oder höher ausgeführt werden.

Bei Aktivierung dieser Option wird das Feld Server URL angezeigt.

Server-URL Geben Sie die URL Ihres benutzerdefinierten Integritätsnachweisservers ein.

Secure Boot deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn Secure Boot auf dem Gerät deaktiviert ist.

Secure Boot erzwingt einen Systemstart in einem Zustand, der vom Hersteller als vertrauenswürdig eingestuft wird. Außerdem müssen bei aktiviertem Secure Boot die Kernkomponenten, die zum Starten des Computers verwendet werden, über die korrekten kryptografischen Signaturen verfügen, denen vom Hersteller des Computers vertraut wird. Die UEFI-Firmware prüft die Vertrauenswürdigkeit vor dem Start des Geräts. Wenn kompromittierte Dateien erkannt werden, kann das System nicht gestartet werden.

Attestation Identity Key (AIK) nicht vorhanden

Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn AIK nicht auf dem Gerät vorhanden ist.

Wenn ein Attestation Identity Key (AIK) auf einem Gerät vorhanden ist, weist dies darauf hin, dass das Gerät über ein Endorsement Key(EK)-Zertifikat verfügt. Ein solches Gerät ist vertrauenswürdiger als ein Gerät ohne EK-Zertifikat.

Richtlinie für Datenausführungsverhinderung (DEP) deaktiviert

Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die DEP-Richtlinie auf dem Gerät deaktiviert ist.

Die Richtlinie für Datenausführungsverhinderung (DEP) ist eine Speicherschutzfunktion, die auf Systemebene des Betriebssystems integriert ist. Die Richtlinie verhindert das Ausführen von Code von Datenseiten wie Standard-Heaps, Stapel und Speicherpools. DEP wird von Hardware und Software erzwungen.

BitLocker deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die BitLocker-Verschlüsselung auf dem Gerät deaktiviert ist.

Codeintegritätsprüfung deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Codeintegritätsprüfung auf dem Gerät deaktiviert ist.

Die Codeintegrität ist eine Funktion, die die Integrität eines Treibers oder einer Systemdatei bei jedem Laden in den Speicher prüft. Die Codeintegrität prüft auf nicht signierte Treiber bzw. Systemdateien, bevor diese in den Kernel geladen werden. Zudem prüft diese auf Benutzer mit Administratorberechtigungen, die durch Schadsoftware modifizierte Systemdateien ausführen.

Frühstart von Antischadsoftware deaktiviert

Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn der Frühstart von Antischadsoftware auf dem Gerät deaktiviert ist.

Der Frühstart von Antischadsoftware (Early Launch Anti-Malware, ELAM) bietet Computern Schutz in Ihrem Netzwerk beim Start und bevor Treiber von Drittanbietern initialisiert werden.

Codeintegrität-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Codeintegrität-Versionsprüfung auf dem Gerät fehlschlägt.

Startmanager-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Startmanager-Versionsprüfung auf dem Gerät fehlschlägt.


VMware, Inc. 145

Tabelle 6-2. Definition von Kompromittierungsstatus (Fortsetzung)


Startanwendung - Sicherheit - Versionsnummernüberprüfung

Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit der Startanwendung nicht mit der eingegebenen Nummer übereinstimmt.

Start-Manager - Sicherheit - Versionsnummer - Überprüfung

Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit des Start-Managers nicht mit der eingegebenen Nummer übereinstimmt.

Erweiterte Einstellungen Aktivieren Sie diese Option, um im Abschnitt für Softwareversions-IDs erweiterte Einstellungen konfigurieren zu können.

Nächste Schritte

Weitere Informationen finden Sie im Microsoft TechNet-Artikel zum Integritätsnachweis.


VMware, Inc. 146

Datenschutz für BYOD-Bereitstellungen 7Eine der wichtigsten Überlegungen für BYOD-Endbenutzer ist der Schutz der persönlichen Inhalte auf ihren Geräten. Ihre Organisation muss Mitarbeitern versichern, dass ihre persönlichen Daten nicht der Unternehmensaufsicht unterliegen.

Mit Workspace ONE UEM powered by AirWatch können Sie den Schutz persönlicher Daten sicherstellen, indem Sie angepasste Datenschutzrichtlinien erstellen, die basierend auf dem Besitzertyp des Geräts keine Erfassung persönlicher Daten vorsehen. Darüber hinaus können Sie granulare Datenschutzeinstellungen definieren, um die Erfassung personenbezogener Informationen zu deaktivieren und bestimmte Remote-Aktionen für mitarbeitereigene Geräte zu verbieten, um den Datenschutz der Mitarbeiter zu gewährleisten.

Informieren Sie Ihre Endanwender bei der Registrierung bei Workspace ONE UEM darüber, wie ihre Daten erfasst und gespeichert werden.

Weitere Informationen darüber, wie VMware die über Workspace ONE UEM erfassten Informationen (z. B. Analysedaten) verarbeitet, finden Sie in der VMware Datenschutzrichtlinie unter https://www.vmware.com/help/privacy.html.

Wichtig In den einzelnen Ländern und Rechtsprechungen gelten unterschiedliche Bestimmungen für die Erfassung der Daten von Endbenutzern. Ihre Organisation muss die geltenden Gesetze gründlich recherchieren, bevor Sie Ihre BYOD- und Datenschutzrichtlinien konfigurieren.


n Sicherheit und Datenschutz in Workspace ONE UEM

n Konfigurieren von Datenschutzeinstellungen

n Datenschutzhinweise für BYOD-Endbenutzer

n Benutzerdatenerfassung von BYOD-Endbenutzern

n Nutzungsbedingungen für BYOD-Endbenutzer

n Einschränkungen für BYOD-Geräte

VMware, Inc. 147

https://www.vmware.com/help/privacy.html


Sicherheit und Datenschutz in Workspace ONE UEMWorkspace ONE UEM bietet angepasste Stufen der Geräte- und Anwendungsverwaltung, mit denen Sie die Sicherheit von Unternehmen und den Datenschutz von Endbenutzern in einem BYOD-Szenario abwägen können.

Jeder Verwaltungstyp bietet ein anderes Gleichgewicht zwischen Datenschutz und Geräteverwaltung. Ermitteln Sie gemeinsam mit Ihrer Rechts- und IT-Abteilung, welches Szenario für Ihre BYOD-Benutzer am besten geeignet ist. Verwenden Sie den folgenden Vergleich, um die praktischste Wahl zu treffen.

Tabelle 7-1. Datenschutz versus Sicherheit

Minimale Verwaltung Adaptive Verwaltung Erforderliche Verwaltung

<- - ->

Geräte n Kein MDM-Profil – Geräte können nicht vom Unternehmen verwaltet werden.

n Keine Profile für WLAN, VPN, native E-Mail-Clients, Einschränkungen usw.

n Keine erzwungene Komplexität für Gerätekennungen.

n Zurücksetzen des Geräts auf Werkeinstellungen und Remote-Gerätesperrung nicht zulässig.

n Flexibel – Endbenutzer wählen aus, ob Ihre Geräte von Workspace Services verwaltet werden.

n Konfigurationsprofile für WLAN, VPN, native E-Mail-Clients, Einschränkungen usw. sind verfügbar, nachdem Benutzer die adaptive Verwaltung über Workspace Services aktiviert haben.

n Gerätekennung und Komplexitätsanforderung werden erzwungen.

n Zurücksetzen des Geräts auf Werkeinstellungen und Remote-Gerätesperrung nicht zulässig.

n MDM-Profil – Geräte werden vollständig vom Unternehmen mit Workspace ONE Intelligent Hub verwaltet.

n Konfigurationsprofile für WLAN, VPN, native E-Mail-Clients, Einschränkungen usw.

n Gerätekennung und Komplexitätsanforderung werden erzwungen.

n Zurücksetzen des Geräts auf Werkeinstellungen und Remote-Gerätesperrung aktiviert.


VMware, Inc. 148

Tabelle 7-1. Datenschutz versus Sicherheit (Fortsetzung)

Minimale Verwaltung Adaptive Verwaltung Erforderliche Verwaltung

Anwendungen n Vom Benutzer verwaltete Installation und Berechtigungen für Anwendungen.

n Benutzer müssen unbekannte Quellen (Android) oder Trust Developer (iOS) als vertrauenswürdig einstufen, um interne, SDK- oder eingebundene Anwendungen zu installieren.

n Administratoren können keine AppConfig- und Pro-App-VPN- oder Push-Anwendungen bereitstellen.

n Benutzer greifen über VMware Workspace ONE auf VMware-, E-Mail-, Content- und Browseranwendungen zu.

n Benutzer werden aufgefordert, Workspace Services zu aktivieren, wenn Sie zum ersten Mal auf eine Anwendung zugreifen, für die eine Verwaltung erforderlich ist.

n Wenn Workspace Services aktiviert ist, ist die Funktionalität für Erforderliche Verwaltung – Anwendungen aktiviert.

n Wenn Workspace Services deaktiviert ist, ist die Funktionalität für Minimale Verwaltung – Anwendungen aktiviert.

n Administratoren pushen und ziehen öffentliche, interne, SDL- und eingebundene Anwendungen mithilfe von MDM-Aktionen auf und von Geräten.

n Administratoren überwachen auf eine Blacklist gesetzte Anwendungen und führen Konformitätsaktionen für Geräte aus.

n Administratoren konfigurieren SSO und Pro-App-VPN.

n Administratoren verwalten Anwendungen mit AppConfig.

Datenschutz n Benutzerzentriertes Datenschutzmodell

n Minimale Geräte- und Benutzerinformationen werden in Anwendungen erfasst.

n Benutzer konfigurieren die Datenschutzoptionen für jede installierte Anwendung.

n GPS-Ortung wird nicht nachverfolgt.

n Ausgeglichenes Datenschutzmodell

n Workspace Services-Profil optimiert die Funktionalität und minimiert Datenschutzverletzungen.

n Der angepasste Datenschutzhinweis kommuniziert IT-Richtlinien und erfasste Daten an Endbenutzer.

n GPS-Ortung wird nicht nachverfolgt.

n Unternehmenszentriertes Datenschutzmodell

n Unternehmensdaten sind auf Geräte- und Anwendungsebene geschützt.

n Workspace Services verfügbar

n GPS-Ortung und Geofencing verfügbar.

Konfigurieren von DatenschutzeinstellungenDer Datenschutz von Endbenutzern ist für Sie und Ihre Benutzer ein wichtiges Anliegen. Workspace ONE UEM bietet eine präzise Steuerung darüber, welche Daten von Benutzern erfasst werden und welche dieser erfassten Daten für Administratoren sichtbar sind. Konfigurieren Sie die Datenschutzeinstellungen, um sowohl den Anforderungen Ihrer Benutzer als auch Ihren geschäftlichen Anforderungen gerecht zu werden.


VMware, Inc. 149

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Datenschutz.

2 Wählen Sie die passende Einstellung für die Datenerfassung für GPS, Telekommunikation, Anwendungen, Profile und Netzwerk.

Erfassen und anzeigen – Benutzerdaten werden in der UEM-Konsole erfasst und angezeigt.

Erfassen, aber nicht anzeigen – Benutzerdaten werden zu Berichtszwecken erfasst, jedoch nicht in der UEM-Konsole angezeigt.

Nicht erfassen – Benutzerdaten werden nicht erfasst und daher nicht angezeigt.

3 Wählen Sie die entsprechende Einstellung für die Befehle, die auf Geräten ausgeführt werden können. Erwägen Sie, alle Remotebefehle für mitarbeitereigene Geräte zu deaktivieren, insbesondere eine vollständige Gerätezurücksetzung auf die Werkseinstellungen. Diese Deaktivierung verhindert, dass die privaten Inhalte eines Endbenutzers versehentlich gelöscht werden. Wenn Sie die Wipe-Funktion für ausgewählte iOS-Besitztypen deaktivieren, wird Benutzern während der Registrierung nicht die Berechtigung zum Löschen sämtlicher Inhalte und Einstellungen angezeigt.

Zulassen – Der Befehl wird auf Geräten ohne Zustimmung des Benutzers ausgeführt.

Mit Benutzererlaubnis zulassen – Der Befehl wird nur mit Zustimmung des Benutzers auf dem Gerät ausgeführt.

Verhindern – Der Befehl wird nicht auf dem Gerät ausgeführt.

4 Falls Sie den Zugriff auf Remotesteuerung, Dateimanager oder Registrierungsmanager für Android- bzw. Windows Rugged-Geräte erlauben, sollten Sie die Verwendung der Option Mit Benutzererlaubnis zulassen in Erwägung ziehen. Diese Option verlangt vom Endbenutzer per Eingabeaufforderung, dass er dem Administrator Zugang zum Gerät gewährt, bevor die Aktion ausgeführt wird. Falls Sie die Nutzung von Befehlen zulassen, sollten Sie diese Befehle ausdrücklich in den Nutzungsbedingungen erwähnen.

5 Für Benutzerinformationen wählen Sie in der Konsole Anzeigen oder Nicht anzeigen für die Angaben Vorname, Nachname, Rufnummer, E-Mail-Konten und Benutzername.

6 Sollte eine andere Option als Benutzername auf Nicht anzeigen gestellt sein, werden diese Daten in der UEM-Konsole als „Privat“ angezeigt. Optionen, die auf Nicht anzeigen gestellt sind, können in der Konsole nicht gesucht werden. Ein Benutzername, der auf Nicht anzeigen gesetzt wurde, wird nur auf den Seiten „Gerätelistenansicht“ und „Gerätedetails“ als „Privat“ angezeigt. Alle anderen Seiten der UEM-Konsole zeigen den Benutzernamen des registrierten Benutzers an.


VMware, Inc. 150

7 Sie können personenbezogene Informationen verschlüsseln, einschließlich Vorname, Nachname, E-Mail-Adresse und Rufnummer. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Sicherheit > Datensicherheit von der globalen Organisationsgruppe oder Organisationsgruppe der Kundenebene, für die Sie die Verschlüsselung konfigurieren möchten. Durch Aktivierung der Verschlüsselung, Auswahl der zu verschlüsselnden Benutzerdaten und anschließendes Klicken auf Speichern werden die Benutzerdaten verschlüsselt. Dadurch werden einige Funktionen in der UEM-Konsole eingeschränkt, wie Suchen, Sortieren und Filtern.

8 Wählen Sie, ob Sie den Modus Nicht stören auf dem Gerät auf Aktivieren oder Deaktivieren festlegen möchten. Diese Einstellung erlaubt es Benutzergeräten, MDM-Befehle für einen vorgegebenen Zeitraum zu ignorieren. Bei aktiviertem Modus können Sie eine Toleranzperiode oder Aktivierungszeit in Minuten, Stunden oder Tagen festlegen, nach denen der Modus Nicht stören abläuft.

9 Wählen Sie, ob Sie die Option Benutzerfreundlicher Datenschutzhinweis auf dem Gerät auf Aktivieren oder Deaktivieren festlegen möchten.

10 Wenn diese Einstellung Aktiviert ist, können Sie für jede Besitzebene entweder Ja (Datenschutzhinweis anzeigen) oder Nein (keinen Datenschutzhinweis anzeigen) wählen: Mitarbeitereigen, Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät und Unbekannt.

11 Klicken Sie auf Speichern. Die Datenschutzeinstellungen sind eine eingeschränkte Aktion, sodass Sie Ihre vierstellige Konsolen-PIN eingeben müssen, um fortzufahren.

Datenschutzhinweise für BYOD-EndbenutzerEin Datenschutzhinweis informiert Ihre Endbenutzer darüber, welche Daten Sie von ihren Geräten auf Grundlage von deren Gerätetyp, Bereitstellungstyp und Besitztyp erfassen.

Konfiguration des DatenschutzhinweisesDatenschutzhinweise werden auf Grundlage der Organisationsgruppe und des Gerätebesitzes des verbundenen Geräts automatisch bereitgestellt. Sie können wählen, dass für die folgenden Besitztypen ein Datenschutzhinweis angezeigt werden soll: Mitarbeitereigen, Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät und Unbekannt.

Bereitstellung des DatenschutzhinweisesWenn Sie einen Besitztyp für den Empfang von Datenschutzhinweisen zuweisen, erhalten alle Benutzer in der Kategorie des ausgewählten Besitztyps unverzüglich die Datenschutzbenachrichtigung als Web Clip. Sollten Sie den Nachschlagewert für den Datenschutzhinweis PrivacyNotificationUrl in Ihre Nachrichtenvorlage einfügen, dann enthält die Nachricht eine URL, wo die Benutzer den Datenschutzhinweis lesen können.

Benutzer erhalten den Datenschutzhinweis automatisch, falls:

n sie ein neues Gerät registrieren und zu einem Besitztyp gehören, für den der Datenschutzhinweis aktiviert ist.


VMware, Inc. 151

n sie zurzeit ein registriertes Gerät verwenden und der Besitz nach der Registrierung in einen Typ geändert wird, dem der Web Clip zugewiesen wird.

Weitere Informationen zur Bereitstellung eines Datenschutzhinweises im Rahmen einer Geräteaktivierung finden Sie unter Eintragen eines einzelnen Geräts.

DatenschutzeinstellungenDurch Datenschutzeinstellungen können Sie festlegen, wie Geräte- und Benutzerdaten in der Workspace ONE UEM Console gehandhabt werden. Diese Informationen sind für BYOD-Bereitstellungen (Bring Your Own Device) nützlich.

n Prüfen und passen Sie Datenschutzrichtlinien je nach Gerätebesitz an, wobei Sie sich an Datenschutzgesetze anderer Länder oder gesetzlich festgelegte Richtlinien halten können.

n Stellen Sie sicher, dass bestimmte IT-Kontrollmechanismen bestehen, um ein Überladen der Server und Systeme zu verhindern.

Wichtig Jede Rechtsprechung verfügt über eigene Regeln zur Erfassung von Endbenutzerdaten. Recherchieren Sie diese Regeln vor der Konfigurieren von Datenschutzeinstellungen eingehend.

Erstellen eines Datenschutzhinweises für BYOD-BenutzerInformieren Sie Ihre Benutzer durch einen anpassbaren Datenschutzhinweis darüber, welche Daten Ihr Unternehmen von ihren registrierten Geräten erfasst. Arbeiten Sie mit Ihrer Rechtsabteilung, um festzulegen, wie die Nachricht bezüglich der Datenerfassung an Ihre Endbenutzer verfasst werden soll.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Nachrichtenvorlagen.

2 Wählen Sie Hinzufügen, um eine Vorlage zu erstellen. Sollten Sie bereits eine Vorlage für einen Datenschutzhinweis erstellt haben, wählen Sie diese von der Liste der verfügbaren Vorlagen zur Verwendung oder Bearbeitung.

3 Bearbeiten Sie die Einstellungen für Nachrichtenvorlage hinzufügen/bearbeiten.


Name Geben Sie den Namen für die Nachrichtenvorlage ein.

Beschreibung Geben Sie eine Beschreibung für die Vorlage, die Sie erstellen, ein.

Kategorie Wählen Sie Registrierung.

Typ Wählen Sie MDM-Geräteaktivierung.

Sprache wählen Wählen Sie die Standardsprache für Ihre Vorlage. Verwenden Sie die Schaltfläche Hinzufügen, um weitere Standardsprachen für eine mehrsprachige Bereitstellung hinzuzufügen.

Standard Weist diese Vorlage als Standardnachrichtenvorlage zu.

Nachrichtentyp Wählen Sie einen oder mehrere Nachrichtentypen: E-Mail, SMSoder Push -Nachricht.


VMware, Inc. 152

4 Verfassen Sie den Inhalt der Benachrichtigung. Die von Ihnen im Feld Nachrichtentyp ausgewählten Nachrichtentypen bestimmen die Art der Nachrichten, die für Sie zur Konfiguration angezeigt werden.

Element Beschreibung

E-Mail

Formatierung der E-Mail-Inhalte

Wählen Sie, ob Ihre E-Mail-Benachrichtigungen in Nur-Text- oder HTML-Format geliefert werden.

Betreff Geben Sie die Betreffzeile Ihrer E-Mail-Benachrichtigung ein.

Nachrichtentext Verfassen Sie die E-Mail-Nachricht, die Sie Ihren Benutzern senden wollen. Die in diesem Textfeld angezeigten Bearbeitungs- und Formatierungstools hängen von dem Format ab, das Sie in dem Feld Formatierung von E-Mail-Inhalten gewählt haben.

Sollten Sie den Datenschutzhinweis mit Visualisierung aktiviert haben, schließen Sie den Nachschlagewert PrivacyNotificationUrl im Nachrichtentext ein.

SMS

Nachrichtentext Verfassen Sie die SMS, die Sie Ihren Benutzern senden wollen.


Push-Benachrichtigung

Nachrichtentext Verfassen Sie die Push-Benachrichtigung, die Sie Ihren Benutzern senden wollen.



Datenschutz – bewährte MethodenDen richtigen Mittelweg zwischen den Bedürfnissen Ihres Unternehmens und den Datenschutzbelangen Ihrer Mitarbeiter zu finden, kann eine Herausforderung darstellen. Um eine optimale Balance zu erzielen, gibt es einige einfache Vorgehensweisen zur Verwaltung von Datenschutzeinstellungen.

Wichtig Jede Bereitstellung ist anders. Passen Sie diese Einstellungen und Richtlinien so an, dass sie den Anforderungen Ihrer Organisation am besten entsprechen; wenden Sie sich hierzu an Ihre Rechts-, Personal- und Verwaltungsabteilungen.

Benutzerinformationen – Best Practices für den DatenschutzÜblicherweise blenden Sie Benutzerinformationen, wie Vor- und Nachname, Rufnummer und E-Mail-Adresse für sowohl mitarbeiter- als auch unternehmenseigene Geräte ein.

Anwendungsinformationen – Best Practices für den DatenschutzGenerell ist es angemessen, die Sammlung von Daten bei mitarbeitereigenen Geräten entweder auf Nicht erfassen oder Erfassen und nicht anzeigen zu stellen. Diese Einstellung ist wichtig, da auf einem Gerät installierte öffentliche Anwendungen, wenn eingesehen, als personenbezogene Information betrachtet werden können. Bei unternehmenseigenen Geräten erfasst Workspace ONE UEM alle auf dem Gerät installierten Anwendungen.


VMware, Inc. 153

Ist „Nicht erfassen“ ausgewählt, werden lediglich Informationen über private Anwendungen nicht erfasst. Workspace ONE UEM erfasst alle verwalteten Anwendungen, seien es öffentliche, interne oder erworbene Anwendungen.

Remotebefehle – Best Practices für den DatenschutzErwägen Sie, alle Remotebefehle für mitarbeitereigene Geräte zu deaktivieren. Wenn Sie jedoch Remoteaktionen oder -befehle zulassen, sollten Sie diese ausdrücklich in den Nutzungsbedingungen erwähnen.

GPS-Koordinaten zum Datenschutz – Bewährte MethodenBei der Erfassung von GPS-Koordinaten können grundlegende Datenschutzprobleme bestehen. Während es unangemessen ist, GPS-Daten von mitarbeitereigenen Geräten zu erfassen, gelten die folgenden Hinweise für alle Geräte, die in Workspace ONE UEM registriert sind.

n Nur Workspace ONE Intelligent Hub übermittelt GPS-Standortdaten von Geräte zurück an die UEM-Konsole.

n Andere Anwendungen, die Workspace ONE SDK wie VMware Browser, Content Locker, Boxer usw. verwenden, übermitteln keine GPS-Daten zurück an die UEM-Konsole.

n GPS-Standortdienste werden in der Regel dazu verwendet, um verloren gegangene oder gestohlene Geräte zu lokalisieren. GPS wird auch dann verwendet, wenn die Standortdaten eines Geräts essenzieller Bestandteil der jeweiligen Funktion der Workspace ONE UEM Console sind, beispielsweise Geofencing.

n Wenn GPS-Daten gemeldet werden, definiert Workspace ONE UEM einen Bereich im Umkreis von 1 Kilometer dieses Standorts. Es werden dann jedes Mal Standortinformationen gemeldet, wenn sich das Gerät außerhalb dieses Bereichs bewegt oder wenn der Benutzer eine Workspace ONE UEM-Anwendung bzw. eine interne Anwendung öffnet. Es werden keine neuen GPS-Daten gemeldet, es sei denn, einer der folgenden Vorgänge tritt auf.

Telekommunikationsdaten – Best Practices zum DatenschutzDie Erfassung von Telekommunikationsdaten von mitarbeitereigenen Geräten ist nur dann angemessen, wenn Sie an einem Stipendienprogramm mitwirken, bei dem Sie Mobilfunktarife bezuschussen. In diesem Fall oder bei unternehmenseigenen Geräten ist Folgendes hinsichtlich erfassbarer Daten zu erwägen.

n Betreiber/Ländercode – Betreiber und Ländercode werden erfasst und können zur Telekommunikationsnachverfolgung verwendet werden. Telekommunikationstarifpläne können basierend auf Betreiber und Land erstellt und die Geräte dem entsprechenden Plan zugewiesen werden. Diese Daten können auch verwendet werden, um Geräte je nach Betreiber und Land oder nach aktuellem Land und aktuellem Betreiber nachzuverfolgen.

n Roamingstatus – Dieser Status kann verwendet werden, um nachzuverfolgen, welche Geräte sich im Roamingbetrieb befinden. Konformitätsrichtlinien können eingerichtet werden, um die Sprach- und Datennutzung zu deaktivieren, wenn sich das Gerät im Roamingbetrieb befindet, oder um bei der


VMware, Inc. 154

Anwendung anderer Konformitätsaktionen behilflich zu sein. Wenn darüber hinaus ein Gerät einem Telekommunikationstarifplan zugewiesen ist, kann Workspace ONE UEM die Datennutzung im Roamingbetrieb nachverfolgen. Das Erfassen und Überwachen des Roamingstatus kann hilfreich sein, wenn es darum geht, hohe Betreiberkosten aufgrund von Roaming zu verhindern.

n Mobilfunkdatennutzung – Die Datennutzung hinsichtlich der Gesamtanzahl der gesendeten und empfangenen Bytes. Diese Daten können für jedes Mobilfunkgerät erfasst werden. Wenn ein Gerät einem Telekommunikationstarifplan zugewiesen ist, können Sie die Datennutzung basierend auf dem Prozentsatz der gesamten Datenmenge pro Abrechnungszeitraum überwachen. Durch diese Funktion können Sie Konformitätsrichtlinien basierend auf dem Prozentsatz der verbrauchten Daten erstellen. Dies kann hilfreich sein, wenn es darum geht, Zusatzgebühren bei Mobilfunkkosten zu vermeiden.

n Mobilfunknutzung – Die Sprachminuten, die für jedes Mobilfunkgerät erfasst werden können. Ähnlich wie bei der Datennutzung können Sie die Nutzung basierend auf dem Prozentsatz der Minuten pro Abrechnungszeitraum überwachen, sofern das Gerät einem Tarifplan zugewiesen ist. Durch diese Methode können Sie Konformitätsrichtlinien basierend auf dem Prozentsatz der verbrauchten Minuten erstellen. Dies kann hilfreich sein, wenn es darum geht, Zusatzgebühren bei Mobilfunkkosten zu vermeiden.

n SMS-Nutzung – Die SMS-Daten (Short Message Service), die für jedes Mobilfunkgerät erfasst werden können. Ähnlich wie bei der Datennutzung können Sie die SMS-Nutzung basierend auf dem Prozentsatz der Nachrichten pro Abrechnungszeitraum überwachen, sofern das Gerät einem Telekommunikationstarifplan zugewiesen ist. Dadurch können Sie Konformitätsrichtlinien basierend auf dem Prozentsatz der verbrauchten Nachrichten erstellen. Die Überwachung der SMS-Nutzung kann hilfreich sein, wenn es darum geht, Zusatzgebühren bei Mobilfunkkosten zu verhindern.

Benutzerdatenerfassung von BYOD-EndbenutzernDie Workspace ONE UEM-Infrastruktur erfasst und speichert viele Arten von benutzergenerierten Daten. Die folgende Matrix ordnet jeden Datentyp den Plattformen und Betriebssystemen zu, über die die Daten erfasst werden können.

Verwenden Sie diese Matrix, um zu ermitteln, welche Datenerfassung für Ihre Bereitstellung erforderlich ist. Workspace ONE UEM definiert auch optionale Daten, die Sie erfassen können, z. B. Bluetooth-MAC. Sie können diese Optionen konfigurieren und Datenschutzeinstellungen nach Besitzertyp zuweisen: Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät, Mitarbeitereigen.

Weitere Informationen darüber, wie VMware die über Workspace ONE UEM erfassten Informationen (z. B. Analysedaten) verarbeitet, finden Sie in der VMware Datenschutzrichtlinie unter https://www.vmware.com/help/privacy.html.

✓: kann erfasst werden

X: kann nicht erfasst werden

✓*: kann in Workspace ONE Intelligent Hub-Bereitstellungen erfasst werden


VMware, Inc. 155



✓**: Kann in Workspace ONE Intelligent Hub- oder iOS 9.3+-Bereitstellungen im Überwachungsmodus erfasst werden

Android Apple iOS macOSWindows Robust

Windows Phone Windows 7

Windows Desktop

Anwendungsverfolgung

Installierte interne Apps anzeigen

✓ ✓ ✓ X ✓ ✓ ✓

App-Versionen anzeigen ✓ ✓ ✓ X ✓ ✓ ✓

App-Status erfassen ✓ X ✓ X ✓ X ✓

Zertifikate

Liste der installierten Zertifikate anzeigen

✓ ✓ ✓ X ✓ X ✓*

Anlagennachverfolgung

Gerätename ✓ ✓ ✓ ✓ ✓ ✓ ✓

Geräte-UDID ✓ ✓ ✓ ✓ ✓ ✓ ✓

Telefonnummer ✓ ✓ X ✓ ✓ X ✓

IMEI/MEID-Nummer ✓ ✓ X ✓ ✓ X ✓

Seriennummer des Geräts ✓ ✓ ✓ ✓ ✓ ✓ ✓

IMSI-Nummer ✓ X X ✓ ✓ X ✓

Gerätemodell ✓ ✓ ✓ ✓ ✓ X X

Gerätemodellname (Anzeigename)

X ✓ ✓ ✓ ✓ X X

Hersteller ✓ ✓ ✓ ✓ X X ✓

BS-Version ✓ ✓ ✓ ✓ ✓ ✓ ✓

Betriebssystem-Build ✓ X ✓ ✓ ✓ ✓ ✓

Firmware-/Kernel-Version X X ✓ X X X X

Gerätefehler verfolgen X X ✓ ✓ ✓ ✓ ✓

Gerätestatus

Verfügbarer Akku ✓ ✓ ✓ ✓ ✓ ✓ ✓

Akkukapazität ✓ ✓ ✓ ✓ ✓ X X

Verfügbarer RAM ✓ ✓ ✓ ✓ X ✓ X

RAM-Kapazität ✓ ✓ ✓ ✓ X ✓ X

Standort

GPS-Nachverfolgung ✓ ✓** ✓ ✓ ✓ X ✓

Netzwerk

WLAN-IP-Adresse ✓ ✓ ✓ ✓ ✓ ✓ ✓

WLAN-MAC-Adresse ✓ ✓ ✓ ✓ ✓ ✓ ✓


VMware, Inc. 156



Windows Desktop

WLAN-Signalstärke X X ✓ ✓ X ✓ ✓

Version der Betreibereinstellungen

✓ ✓ X X X X X

Mobilfunksignalstärke ✓ X X X X X X

Mobilfunktechnologie (keine, GSM, CDMA)

✓ ✓ X X X X X

Aktueller MCC ✓ ✓ X X X X X

Aktueller MNC ✓ ✓ X X X X X

SIM-Kartennummer ✓ ✓ X X ✓ X ✓

SIM-Betreibernetzwerk ✓ ✓ X X X X X

Abonnent-MNC ✓ ✓ X X X X X

Bluetooth-MAC ✓ ✓ ✓ X ✓ ✓ X

IP-Adressen anzeigen ✓ ✓ ✓ X ✓ ✓ X

LAN-Adapter anzeigen X X ✓ X X ✓ X

MAC-Adresse anzeigen ✓ ✓ ✓ X ✓ ✓ X

Roaming

Roamingstatus ermitteln ✓ ✓ X X ✓ X X

Push-Benachrichtigungen beim Roaming deaktivieren

X ✓ X X X X X

Sprachroaming aktiviert (zulässig)

X ✓ X X X X X

Datennutzung

Datennutzung über das Mobilfunknetz verfolgen

✓ ✓ X X X X X

Datennutzung über das WLAN-Netzwerk verfolgen

X X X X X X X

Anrufe

Anrufverlauf verfolgen ✓ X X X X X X

Nachrichten

SMS-Verlauf verfolgen ✓ X X X X X X

Mobilfunkstatus

Aktuelles Betreibernetzwerk

✓ ✓ X X ✓ X X

Aktueller Netzwerkstatus ✓ ✓ X X X X X

Remoteansicht

Gerät fernsteuern ✓ X ✓ ✓ X ✓ ✓


VMware, Inc. 157



Windows Desktop

Bildschirmaufnahme (speichern, per Mail senden, drucken usw.)

✓ X ✓ ✓ X ✓ ✓

Bildschirmfreigabe (Remoteansicht in Apps)

✓ ✓ X ✓ X ✓ ✓

Dateimanager

Gerätedateimanager öffnen ✓ X ✓ ✓ X ✓ ✓

Geräteregistrierungsmanager öffnen

X X X ✓ X ✓ ✓

Dateien kopieren ✓ X ✓ ✓ X ✓ ✓

Ordner erstellen ✓ X ✓ ✓ X ✓ ✓

Dateien vom Gerät herunterladen

✓ X ✓ ✓ X ✓ ✓

Dateien verschieben ✓ X ✓ ✓ X ✓ ✓

Ordner und Dateien umbenennen

✓ X ✓ ✓ X ✓ ✓

Dateien auf Gerät hochladen

✓ X ✓ ✓ X ✓ ✓

Nutzungsbedingungen für BYOD-Endbenutzer

Aus Haftungsgründen müssen Sie die Mitarbeiter informieren, welche Daten erfasst werden und welche Aktionen auf Geräten, die in Workspace ONE UEM registriert sind, zulässig sind. Um Ihre Strategie zu kommunizieren, erstellen Sie Nutzungsbedingungen in der Workspace ONE UEM Console.

Benutzer werden aufgefordert, die von Ihnen konfigurierten Nutzungsbedingungen zu lesen und zu akzeptieren, bevor sie MDM auf ihren persönlichen Geräten aktivieren können. Indem Sie Nutzungsbedingungen basierend auf dem Besitzertyp zuweisen, können Sie verschiedene Vereinbarungen für Unternehmens- und BYOD-Benutzer erstellen und verteilen.

Nachdem Ihre Organisation Nutzungsbedingungen formuliert hat, sollten Sie sie Endbenutzern in Form eines ein- bis zweiseitigen Whitepapers, das unnötige juristische Fachbegriffe vermeidet, zur Verfügung stellen. Bei diesem Whitepaper handelt es sich nicht um die offiziellen Nutzungsbedingungen, denen Endbenutzer zustimmen. Stattdessen dient es dazu, Ihre Unternehmensrichtlinien zu kommunizieren. Im Idealfall sehen Endbenutzer die Nutzungsbedingungen für mitarbeitereigene Geräte nicht erst, wenn sie ihr Gerät registrieren. Kommunizieren Sie vorab und eindeutig, welche Endbenutzerinformationen Sie erfassen und wie sich Ihre BYOD-Richtlinien auf sie auswirken.

Einschränkungen für BYOD-Geräte


VMware, Inc. 158

Workspace ONE UEM ermöglicht es Ihnen, unterschiedliche Sicherheitsrichtlinien und Einschränkungen für mitarbeitereigene und unternehmenseigene Geräte bereitzustellen.

Mithilfe von Einschränkungsprofilen können Sie strenge Einschränkungen für dedizierte Unternehmensgeräte und lockerere Einschränkungen für mitarbeitereigene Geräte festlegen. Beispielsweise werden Einschränkungen für Apps wie YouTube oder native App Stores in der Regel nicht auf mitarbeitereigenen Geräten bereitgestellt. Stattdessen können Sie Sicherheitsprofile und Einschränkungen erstellen, die den Grad der Gerätesicherheit erhöhen, ohne dass sich dies negativ auf die Funktionalität auswirkt.

Geräteunabhängige EinschränkungenWorkspace ONE UEM stellt für jedes Gerät und jede Plattform die folgenden Einschränkungen zur Verfügung:

n Verschlüsselte Sicherungen – Schützen Sie alle Sicherungen mit Datenverschlüsselung für BYOD-Geräte mit Zugriff auf Unternehmensinhalte.

n Warnungen vor gefährlichen und betrügerischen Websites in unterstützten Browsern durchsetzen – Benutzer müssen alle Warnungen bestätigen, die vom Browser ausgegeben werden, wenn eine verdächtige Website erkannt wird.

n Verschieben von E-Mails deaktivieren – Verhindern Sie die Offenlegung vertraulicher Unternehmensdaten, indem Sie die Möglichkeit deaktivieren, eine Unternehmens-E-Mail an ein persönliches Konto weiterzuleiten oder diese in Drittanbieteranwendungen zu öffnen.

Plattformspezifische EinschränkungenJede Plattform verfügt über eigene, durchsetzbare Einschränkungen. Bewerten Sie diese Einschränkungen einzeln, um deren Wert für Ihre Bereitstellung zu ermitteln. Einige, wie z. B. iOS-Einschränkungen, die auf überwachte Geräte beschränkt sind, gelten nicht, da mitarbeitereigene Geräte nicht mit dem Apple Configurator registriert werden dürfen.

n Sie können Sicherheitsprofile und Einschränkungen erstellen, indem Sie zu Geräte > Profile > Listenansicht navigieren und Hinzufügen auswählen. Wählen Sie dann die entsprechende Plattform aus.

n Wenn Sie Profile speziell für mitarbeitereigene Geräte erstellen, weisen Sie diese nur Smartgroups mit dem Besitzertyp „Mitarbeitereigen“ zu.

Enterprise-Löschung für BYOD-GeräteEin wichtiger Aspekt Ihrer BYOD-Bereitstellung ist die Entfernung von Unternehmensinhalten, wenn ein Mitarbeiter das Unternehmen verlässt oder ein Gerät verloren geht oder gestohlen wird. Workspace ONE UEM ermöglicht Ihnen, eine Enterprise-Löschung auf Geräten durchzuführen, um alle Unternehmensinhalte und Zugriffsmöglichkeiten zu entfernen, die persönlichen Dateien und Einstellungen jedoch unangetastet zu lassen.


VMware, Inc. 159

Mit Workspace ONE UEM können Sie entscheiden, wie eine Enterprise-Löschung auf öffentliche und gekaufte VPP-Anwendungen angewendet wird, die sich in einer Grauzone zwischen Unternehmens- und mitarbeitereigenen Geräten befinden. Durch eine Enterprise-Löschung wird zudem das Gerät bei Workspace ONE UEM abgemeldet und es werden alle Inhalte entfernt, die über MDM aktiviert wurden. Zu diesen Inhalten zählen E-Mail-Konten, VPN-Einstellungen, WLAN-Profile, sichere Inhalte und Unternehmensanwendungen.

Wenn Sie Apple Volume Purchase Plan-Einlösungscodes für Geräte mit iOS 6 und früheren Versionen verwendet haben, können Sie bereits eingelöste Lizenzen für diese Anwendung nicht zurückfordern. Wenn die Anwendung installiert ist, ist sie dem App-Store-Konto des Benutzers zugeordnet. Diese Zuordnung kann nicht rückgängig gemacht werden. Allerdings können Sie Lizenzcodes einlösen, die für iOS 7 und höher verwendet wurden.

Durchführen eines Enterprise Wipe für ein BYOD-GerätEin Enterprise Wipe hebt die Registrierung des Geräts in Workspace ONE UEM auf und entfernt alle Enterprise-Inhalte, einschließlich E-Mail-Konten, VPN-Einstellungen, Profilen und Anwendungen.

Verfahren

1 Wählen Sie in der Admin-Konsole die entsprechende Organisationsgruppe aus.

2 Navigieren Sie zu Geräte > Listenansicht und wählen Sie ein Gerät oder mehrere Geräte in der Liste aus.

3 Die Ansicht „Gerätedetails“ zeigt eine Liste der Aktionen an, die Sie im Dropdown-Menü Mehr oben rechts durchführen können. Wählen Sie Enterprise Wipe.

4 Wählen Sie im Bestätigungsdialogfeld Erneute Registrierung verhindern, um zu verhindern, dass dieses Gerät erneut registriert wird.

5 Geben Sie gegebenenfalls eine Sicherheits-PIN ein, und wählen Sie dann Enterprise Wipe aus, um die Aktion abzuschließen.

Deaktivieren der vollständigen Löschung für BYOD-GeräteAus Sicherheits- und Datenschutzgründen können Sie die Möglichkeit, eine vollständige Löschung auf einem BYOD-Gerät durchzuführen, deaktivieren.

Sollten Sie die vollständige Löschung für ausgewählte iOS-Besitztypen deaktivieren, wird auf Geräten dieses Besitztyps während der Profilinstallation die Berechtigung „Alle Inhalte und Einstellungen löschen“ nicht angezeigt.

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Datenschutz.

2 Blättern Sie nach unten zum Abschnitt Befehle und suchen Sie die Spalte Mitarbeitereigen.

3 Legen Sie für Vollständige Löschung die Option Verhindern fest und wählen Sie dann Speichern aus.


VMware, Inc. 160

Gerätetags 8Gerätetags ermöglichen Ihnen die Identifizierung eines bestimmten Geräts ohne Geräteprofil, Smartgroup oder Konformitätsrichtlinie, ohne Erstellung eines Hinweises.

Wenn ein Gerät zum Beispiel eine defekte Batterie oder einen gebrochenen Bildschirm aufweist, können Sie Tags verwenden, um diese Geräte in der Konsole zu identifizieren. Mit Tags werden auch Hardwarevarianten sichtbarer identifiziert als mit Modellnummer oder Beschreibung.

Es kann beispielsweise sein, dass zwei PCs dieselbe Modellnummer aufweisen, aber leicht unterschiedliche CPUs, benutzerdefinierte Speicher und Videokarten haben. Das Tagging von erweiterter Hardware ermöglicht eine einfache Identifizierung dieser Geräte innerhalb der Konsole.

Tags und SmartgroupsDie Tag-Funktion wurde in Smartgroups integriert, was bedeutet, dass Tags zur Festlegung einer Smartgroup verwendet werden können.

Wenn Sie beispielsweise alle Geräte mit kosmetischen Schäden in Ihrer Flotte markiert haben, können Sie diese Geräte in einer Smartgroup zusammenfassen. Diese Smartgroup können Sie dann von dem Pool an Geräten ausschließen, den Sie vorübergehend für Gäste bestimmt haben.

Ein weiteres Beispiel ist das Tagging von Geräten mit schwacher Leistungsstärke. Sie können dann eine Smartgroup dieser markierten Geräte erstellen und diese Geräte von geschäftskritischen Zuweisungen ausschließen.

Gerätetags und RollenberechtigungenAlle Aktivitäten im Zusammenhang mit der Funktion für Gerätetags erfordern Berechtigungen für die Rolle, die Sie Ihren Administratoren zuweisen. Wenn Ihre Administratoren Tags erstellen sollen, müssen Sie diese Berechtigung (in der Konsole als Ressource bezeichnet) der Rolle hinzufügen, die Sie diesem Administrator zuweisen. Dasselbe gilt für das Anzeigen, Bearbeiten, Löschen, Zuweisen und sogar die Suche nach Tags.


n Filtern von Geräten nach Tags

n Erstellen eines neuen Tags über die Systemeinstellungen

n Zuweisen von Tags zu einem einzelnen Gerät

VMware, Inc. 161

n Zuweisen von Tags zu mehreren Geräten

n Bearbeiten eines vorhandenen Gerätetags

n Löschen eines vorhandenen Gerätetags

n Tagzuweisung von mehreren Geräten aufheben

Filtern von Geräten nach TagsSie können mit der Filterfunktion in der Gerätelistenansicht ausschließlich Geräte mit bestimmten Tags anzeigen.

Verfahren

1 Navigieren Sie zu Geräte > Listenansicht und wählen Sie Filter. Daraufhin wird links neben der Geräteliste die Spalte Filter angezeigt.

2 Wählen Sie Erweiterungen aus der Liste der Filterkategorien aus und wählen Sie Tags aus.

3 Klicken Sie auf eine beliebige Stelle im Suchtextfeld und wählen Sie in der Liste der Gerätetags die aus, die angezeigt werden sollen.

Ergebnisse

Geräte mit deaktivierten Tags werden aus der Ergebnisliste herausgefiltert. Die Gerätelistenansicht wird mit Auswahl des ersten Tags sofort automatisch aktualisiert.

Erstellen eines neuen Tags über die SystemeinstellungenSie können ein neues Gerätetag zur Verwendung in der Konsole erstellen. Tags ermöglichen Ihnen die mühelose Identifizierung eines bestimmten Geräts auf einen Blick, ohne Geräteprofil, Smartgroup oder Konformitätsrichtlinie und ohne Erstellung eines Hinweises.

Voraussetzungen

Sie müssen über die entsprechenden Berechtigungen verfügen, um ein Tag zu erstellen. Sie können diese Berechtigungen überprüfen, indem Sie alle zugewiesenen Ressourcen (oder Berechtigungen) einer Administratorrolle anzeigen, die Rolle mit der Berechtigung „Tag erstellen“ ändern und die geänderte Rolle dann gegebenenfalls Ihrem Administratorkonto zuweisen. Weitere Informationen finden Sie im Thema Anzeigen der Ressourcen einer Administratorrolle.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Erweiterungen > Tags.

2 Klicken Sie auf die Schaltfläche Tag erstellen.

Die Seite Tag erstellen wird angezeigt.


VMware, Inc. 162

3 Geben Sie den Namen des Tags ein. Wie nützlich ein Tag ist, hängt von seinem Namen ab. Wählen Sie einen Namen aus, mit dem ein Gerät auf einen Blick identifiziert werden kann.

4 Wählen Sie den Typ des gewünschten Tags aus: Gerät , Allgemein oder Video.


Ergebnisse

Das Gerätetag ist nun für die Zuweisung zu einem Gerät verfügbar.

Nächste Schritte

Navigieren Sie zu Geräte > Listenansicht, und wählen Sie mindestens ein Gerät aus, dem dieses Tag zugewiesen werden soll.

Zuweisen von Tags zu einem einzelnen GerätWenn Sie schnell einmalige Änderungen an Gerätetags vornehmen müssen, können Sie einem einzelnen Gerät problemlos ein oder mehrere Tags zuweisen.

Sie können einem Gerät Tags zuweisen, um es ohne Hinweise, Profile, Richtlinien oder Zuweisung eines speziellen Anzeigenamens identifizieren zu können.

Möchten Sie Berechtigungen im Rahmen einer Administratorrolle erteilen, die die Möglichkeit, ein Tag einem Gerät zuzuweisen, einschließt (oder ausschließt)? Siehe das Thema Anzeigen der Ressourcen einer Administratorrolle.

Verfahren

1 Navigieren Sie zu Geräte > Listenansicht, und wählen Sie das Gerät aus, das markiert werden soll.

n Zeigen Sie die Detailansicht an, indem Sie den Anzeigenamen des Geräts in der Liste auswählen.

n Aktivieren Sie das Kontrollkästchen oberhalb des Bleistiftsymbols neben dem Gerät.

2 Klicken Sie auf die Schaltfläche Weitere Aktionen und wählen Sie Tag zuweisen aus.

Die Seite Tag-Zuweisung wird mit einer Liste der verfügbaren Tags angezeigt, die für Ihr ausgewähltes Gerät verfügbar sind.

3 Wählen Sie alle Tags, die dem Gerät zugewiesen werden sollen.

Sie können mehr als ein Tag auswählen. Wenn Sie Tag zuweisen in der Detailansicht des Geräts auswählen, wird der Link Tags verwalten angezeigt. Wählen Sie diesen Link aus, um die Seite „Tag-Systemeinstellungen“ zu öffnen, auf der Sie ein neues Tag erstellen können. Weitere Informationen finden Sie unter Erstellen eines neuen Tags über die Systemeinstellungen.



VMware, Inc. 163

Zuweisen von Tags zu mehreren GerätenSie können einem oder mehreren Geräten ein Tag (oder mehrere Tags) zuweisen, um diese ohne Hinweise, Profile, Richtlinien oder Zuweisung eines speziellen Anzeigenamens identifizieren zu können. Durch das Zuweisen mehrerer Tags zu mehreren Geräten können Sie Zeit sparen.

Sie können die maximale Anzahl von Geräten, denen Sie Tags zuweisen oder die Zuweisung aufheben dürfen, konfigurieren, indem Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Erweitert > Massenverwaltung navigieren und zu der Option Tag zuweisen/Zuweisung aufheben scrollen.

Voraussetzungen

Sie müssen über die entsprechenden Berechtigungen verfügen, um ein Tag mehreren Geräten zuzuweisen. Sie können diese Berechtigungen überprüfen, indem Sie alle zugewiesenen Ressourcen (oder Berechtigungen) einer Administratorrolle anzeigen, die Rolle mit der Berechtigung „Gerätemassenverwaltung – Tags zuweisen“ ändern und die geänderte Rolle dann Ihrem Administratorkonto zuweisen.

Verfahren

1 Navigieren Sie zu Geräte > Listenansicht.

2 Aktivieren Sie das Kontrollkästchen neben jedem Gerät, dem ein Tag zugewiesen werden soll.

3 Wählen Sie Weitere Aktionen und dann Tags verwalten.

Auf der Seite Tags verwalten werden mehrere Informationen angezeigt. Sie bestätigt die Anzahl der Geräte, die in der Listenansicht ausgewählt wurden, und zeigt die aktuell zugewiesenen Tags und alle zur Zuweisung verfügbaren Tags an. Sie können auch die Suchfelder rechts oben auf der Seite „Tags verwalten“ verwenden, um Suchparameter für Tag-Bezeichnungen einzugeben.

4 Wählen Sie die Tags aus, die allen ausgewählten Geräten zugewiesen werden sollen.

Sie können mehr als ein Tag auswählen. Sie können auch Tags zuweisen und im selben Schritt die Zuweisung anderer Tags aufheben.


Bearbeiten eines vorhandenen GerätetagsSie können ein vorhandenes Gerätetag zur Verwendung in der Konsole bearbeiten. Tags ermöglichen Ihnen die mühelose Identifizierung eines bestimmten Geräts auf einen Blick, ohne Geräteprofil, Smartgroup oder Konformitätsrichtlinie und ohne Erstellung eines Hinweises.

Voraussetzungen

Sie müssen über die entsprechenden Berechtigungen verfügen, um ein Tag zu bearbeiten. Sie können diese Berechtigungen überprüfen, indem Sie alle zugewiesenen Ressourcen (oder Berechtigungen) einer Administratorrolle anzeigen, die Rolle mit der Berechtigung „Tag bearbeiten“ ändern und die geänderte Rolle dann Ihrem Administratorkonto zuweisen.


VMware, Inc. 164

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Geräte und Benutzer > Erweiterungen > Tags.

2 Suchen Sie in der Liste das Tag, das Sie bearbeiten möchten.

3 Wählen Sie das Bleistiftsymbol ( ) neben dem Tag aus, das Sie bearbeiten möchten.

Der Bildschirm „Tag bearbeiten“ wird angezeigt.

4 Bearbeiten Sie den Namen des Tags.


Ergebnisse

Das Tag wurde mit einem neuen Namen bearbeitet. Geräte, die mit dem vorherigen Tag zugewiesen waren, wurden mit dem bearbeiteten Tag aktualisiert.

Löschen eines vorhandenen GerätetagsSolange ein Tag nicht zugewiesen ist und Sie nicht vorhaben, es erneut zu verwenden, können Sie es löschen.

Voraussetzungen

Sie müssen über die entsprechenden Berechtigungen verfügen, um ein Tag zu löschen. Sie können diese Berechtigungen überprüfen, indem Sie alle zugewiesenen Ressourcen (oder Berechtigungen) einer Administratorrolle anzeigen, die Rolle mit der Berechtigung „Tag löschen“ ändern und die geänderte Rolle dann gegebenenfalls Ihrem Administratorkonto zuweisen. Weitere Informationen finden Sie im Thema Anzeigen der Ressourcen einer Administratorrolle.

Zu löschende Tags dürfen keinem Gerät zugewiesen sein.

Um die Zuweisung von Tags zu Geräten aufzuheben, navigieren Sie zu Geräte > Listenansicht, und suchen Sie nach dem Tag, das Sie löschen möchten. Öffnen Sie die Detailansicht für Geräte mit dem zugewiesenen Tag. Heben Sie die Zuweisung des Tags zu allen Geräten auf, denen es zugewiesen ist.

Verfahren

1 Wenn die Tagzuweisung vollständig aufgehoben wurde, navigieren Sie zu Gruppen und Einstellungen > Geräte und Benutzer > Erweiterungen > Tags.

2 Suchen Sie in der Liste das Tag, das Sie löschen möchten.

3 Aktivieren Sie das Optionsfeld neben dem zu löschenden Tag.

Über dem Eintrag wird die Schaltfläche Löschen angezeigt.

4 Wählen Sie Löschen.

Es wird eine Bestätigung mit der Frage „Markierung endgültig löschen?“ angezeigt.


VMware, Inc. 165

5 Wählen Sie in der Bestätigung OK aus.

Wenn das Tag einem Gerät zugewiesen ist, kann es nicht gelöscht werden. Anweisungen zum Aufheben der Zuweisung von Tags zu Geräten finden Sie weiter oben.

Ergebnisse

Wenn das Tag keinem Gerät zugewiesen ist, wenn Sie es löschen, wird es jetzt entfernt.

Tagzuweisung von mehreren Geräten aufhebenSie können die Zuweisung von Geräte-Tags von mehreren Geräten gleichzeitig aufheben.

Sie können die maximale Anzahl von Geräten, denen Sie Tags zuweisen oder die Zuweisung aufheben dürfen, konfigurieren, indem Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Erweitert > Massenverwaltung navigieren und zu der Option Tag zuweisen/Zuweisung aufheben scrollen.

Um die Zuweisung von Tags von mehreren Geräten aufzuheben, führen Sie die folgenden Schritte aus.

Voraussetzungen

Sie müssen über die richtigen Berechtigungen zum Aufheben der Zuweisung von Tags von mehreren Geräten verfügen. Sie können diese Berechtigungen überprüfen, indem Sie alle zugewiesenen Ressourcen (oder Berechtigungen) einer Administratorrolle anzeigen, die Rolle mit der Berechtigung „Massenverwaltung – Zuweisung von Tags aufheben“ ändern und die geänderte Rolle dann Ihrem Administratorkonto zuweisen. Weitere Informationen finden Sie im Thema Anzeigen der Ressourcen einer Administratorrolle.

Verfahren

1 Navigieren Sie zu Geräte > Listenansicht, und suchen Sie nach dem Tag, für das Sie die Zuweisung aufheben möchten. Alternativ können Sie Geräte basierend auf einem oder mehreren Tags filtern.

2 Aktivieren Sie in der Gerätelistenansicht das Kontrollkästchen links neben jedem Gerät, das das Tag enthält, dessen Zuweisung Sie aufheben möchten.

3 Wählen Sie die Schaltfläche Weitere Aktionen oberhalb der Liste aus.

4 Wählen Sie Tags verwalten aus.

Auf der Seite Tags verwalten werden mehrere Informationen angezeigt. Sie bestätigt die Anzahl der Geräte, die in der Listenansicht ausgewählt wurden und zeigt die aktuell zugewiesenen Tags und alle zur Zuweisung verfügbaren Tags an. Sie können auch die Suchtextfelder rechts oben auf der Seite „Tags verwalten“ verwenden, um Suchparameter für Tag-Bezeichnungen einzugeben.

5 Wählen Sie das kleine „x“ neben jedem zugewiesenen Tag aus, das Sie entfernen möchten.

Sie können die Zuweisung für mehr als ein Tag aufheben. Sie können auch Tags zuweisen und im selben Schritt die Zuweisung anderer Tags aufheben.



VMware, Inc. 166

Ergebnisse

Die Zuweisung dieses Tags wurde für alle ausgewählten Geräte aufgehoben. Wenn dieses Tag einem anderen Gerät zugewiesen ist, kann es nicht gelöscht werden.


VMware, Inc. 167

Einführung in Berichte 9„Berichte“ ermöglicht den Zugriff auf Berichte über verschiedene Abschnitte der Workspace ONE UEM powered by AirWatch-Lösung. Verwenden Sie diese Berichte, um Muster aus der UEM Console zu analysieren.

Benutzerdefinierte BerichteBenutzerdefinierte Berichte wurden verschoben. Navigieren Sie zu Monitor > Intelligenz.

Weitere Informationen finden Sie unter Berichte für Workspace ONE Intelligence .

Berichte in Workspace ONE UEMMit der Funktion „Berichte“ können Sie auf detaillierte Informationen zu den Geräten, Benutzern und Anwendungen in Ihrer Workspace ONE UEM-Lösung zugreifen. Die Exporte dieser Berichte erfolgen im XLSX- oder CSV-Format (Comma-Separated Value). Beide Dateiformate können mit MS Excel angezeigt und analysiert werden.

Weitere Informationen finden Sie unter Übersicht über Workspace ONE UEM-Berichte.

BerichtsspeicherOptimieren Sie den Speicher Ihrer Workspace ONE UEM-Berichte über den Berichtsspeicher. Diese Speicherfunktion steigert die Leistung von Workspace ONE UEM-Berichten. Sie sollten den Berichtsspeicher aktivieren, wenn Sie bei der Verwendung von Berichten Leistungseinbußen bei der Workspace ONE UEM-Datenbank feststellen.

Weitere Informationen finden Sie unter Berichtsspeicher.


n Berichte für Workspace ONE Intelligence

n Übersicht über Workspace ONE UEM-Berichte

n Dateispeicherung

n Berichtsspeicher

VMware, Inc. 168

Berichte für Workspace ONE IntelligenceVerwenden Sie die Berichte von Workspace ONE Intelligence, um Daten in ihrer Workspace ONE UEM powered by AirWatch-Bereitstellung zuzuordnen. Workspace ONE Intelligence-Berichte verwenden ein cloudbasiertes Berichtsspeichersystem, um Daten zu erfassen und die Berichte zu erstellen.

Die Workspace ONE Intelligence-Funktion bietet einen schnelleren und einfacheren Zugriff auf kritische Business Intelligence-Daten als die Bestandsberichte, die mit Workspace ONE UEM bereitgestellt werden. Erstellen Sie Berichte mithilfe von Startvorlagen oder passen Sie fertige Berichte an. Sie können aus Kategorien wie Anwendungen, Geräte und BS-Updates auswählen. Diese Berichte liefern die neuesten Daten, die aus Ihrer Workspace ONE UEM-Umgebung extrahiert wurden.

Berichte verwenden einen separaten Dienst, um Daten an einen Berichts-Clouddienst zu übertragen. Dieser Dienst erfasst Daten, die für Administratoren bei der Beantwortung wichtiger Fragen nützlich sind. Die Funktion erstellt einen anfänglichen Snapshot Ihrer Bereitstellung und erfasst weiterhin laufende Änderungen.

Workspace ONE IntelligenceAnforderungenBevor Sie Workspace ONE Intelligence-Funktionen nutzen können, müssen Sie die von Workspace ONE Intelligence unterstützten Berichte aktivieren (dabei handelt es sich nicht um Workspace ONE UEM-Berichte). Sie müssen dann den Workspace ONE Intelligence Connector-Dienst (auch als ETL-Installationsprogramm bekannt) installieren.

Zugreifen auf Berichten Freigegebene SaaS-Kunden arbeiten mit ihren Kundenbetreuern zusammen, um auf Berichte

zuzugreifen, die von Workspace ONE Intelligence unterstützt werden. Diese Bereitstellungen müssen keinen eigenen Workspace ONE Intelligence Connector-Server installieren.

n Dedizierte SaaS-Kunden arbeiten mit ihren Kundenbetreuern zusammen, um auf Berichte zuzugreifen, die von Workspace ONE Intelligence unterstützt werden. Diese Bereitstellungen müssen keinen eigenen Workspace ONE Intelligence-Connector-Server installieren.

n Lokale Kunden arbeiten mit ihrem Kundenbetreuer zusammen, um auf Berichte zuzugreifen, die von Workspace ONE Intelligence unterstützt werden. Diese Bereitstellungen müssen ihren eigenen Workspace ONE Intelligence Connector-Server installieren.

Erforderliche Workspace ONE UEM Console-VersionWorkspace ONE Intelligence erfordert Workspace ONE UEM Console ab 9.6.

Erforderliche DatenbankberechtigungenZum Installieren des Workspace ONE Intelligence Connectors benötigt die installierende Person Berechtigungen für die folgenden Rollen für die Console und die Verzeichnisdienstserver.

n DBOwner für die Workspace ONE UEM-Datenbank

n DBDatareader für die MSDB


VMware, Inc. 169

n SQLAgentUserRole für die MSDB

Workspace ONE Intelligence Connector-Serveranforderungen für lokale BereitstellungenSie müssen den Workspace ONE Intelligence-Connector-Dienst auf dem dazugehörigen eigenen Server installieren, bevor Sie Workspace ONE Intelligence-Funktionen nutzen können.

Tabelle 9-1. Hardware-Anforderungen nach Geräteanzahl

Komponente 5.000 Geräte 25.000 Geräte 50.000 Geräte 100.000 Geräte

Server 1 1 1 1

CPUs 2 (Intel-Prozessor mit 2 GHz)

2 (Intel-Prozessor mit 2 GHz)



Speicherplatz 4 GB 8 GB 8 GB 16 GB

Speicher 25 GB 25 GB 25 GB 25 GB

Tabelle 9-2. Software-Anforderungen

Komponente Anforderung

Java Java 8

BS Windows Server 2012 R2 oder höher

Tabelle 9-3. Netzwerkanforderungen

Komponente Anforderung

Ausgehender Datenverkehr vom Workspace ONE Intelligence Connector-Dienst

Port 443

Protokoll für ausgehenden Datenverkehr vom Workspace ONE Intelligence-Connector-Dienst

HTTPS

Interner Netzwerkzugriff auf die Workspace ONE UEM-Datenbank

Welcher Port verwendet wird, hängt von Ihrer Workspace ONE UEM-Bereitstellung ab.

Hinzufügen von Regionen des Cloud-Diensts für lokale Bereitstellungen zur WhitelistFügen Sie auf dem Server für den Workspace ONE Intelligence Connector bestimmte URL-Ziele der Whitelist hinzu, damit das Connector-Installationsprogramm die Endpoints abrufen und eine Liste aller unterstützten Regionen erstellen kann. Fügen Sie zudem andere URL-Ziele je nach Ihrer Region der Whitelist hinzu.

Weitere Informationen zu Whitelists und Regionen finden Sie in den folgenden Themen im Workspace ONE Intelligence-Benutzerhandbuch.

n Für lokale Bereitstellungen auf die Whitelist zu setzende URLs nach Region

n Workspace ONE UEM-SaaS-Umgebung einer Workspace ONE Intelligence-Region zugeordnet


VMware, Inc. 170

ProxyWenn Sie einen Proxyserver verwenden und ihn mit dem Workspace ONE Intelligence-Connector verwenden möchten, stellen Sie sicher, dass Sie bestimmte Ziele der Whitelist hinzugefügt haben. Wenn Sie die aufgelisteten Ziele nicht der Whitelist hinzufügen, kann die Installation fehlschlagen.

Installieren des Workspace ONE Intelligence Connector-Diensts für lokalDer Workspace ONE Intelligence Connector-Dienst erfasst Daten von Ihrer Workspace ONE UEM-Datenbank und leitet sie an den cloudbasierten Berichtsdienst weiter.

Laden Sie den entsprechenden Connector für Ihre Workspace ONE UEM Console-Version herunter.

n 1811 und früher VMware Workspace ONE Intelligence Connector

n 1902 VMware Workspace ONE Intelligence Connector

n 1903 VMware Workspace ONE Intelligence Connector

Sie müssen ihn auf einem eigenen Server installieren. Weitere Informationen zum Installationsvorgang anderer Workspace ONE UEM-Anwendungsserver finden Sie im VMware Workspace ONE UEM-Installationsleitfaden.

Wichtig Wenn Sie im Rahmen des Upgradevorgangs ein Upgrade der Workspace ONE UEM-Datenbank durchführen, müssen Sie den Workspace ONE Intelligence Connector-Dienst während des Upgrades der Workspace ONE UEM-Datenbank beenden. Sie müssen den Dienst dann nach Beendigung des Upgrades neu starten.

Wichtig Wenn Sie die Einstellung für die Bereitstellungsregion ändern müssen, führen Sie das Installationsprogramm nicht erneut aus.

Voraussetzungen

Stellen Sie sicher, dass Sie die entsprechenden URLs der Whitelist hinzugefügt haben, damit der Connector-Installationsvorgang mit dem korrekten cloudbasierten Berichtsdienst kommunizieren kann. Eine Liste der URLs finden Sie im Thema Für lokale Bereitstellungen auf die Whitelist zu setzende URLs nach Region im Workspace ONE Intelligence-Benutzerhandbuch.

Wenn Sie einen Proxyserver verwenden und ihn mit dem Workspace ONE Intelligence Connector verwenden möchten, stellen Sie sicher, dass Sie bestimmte Ziele der Whitelist hinzugefügt haben. Wenn Sie die aufgelisteten Ziele nicht der Whitelist hinzufügen, kann die Installation fehlschlagen. Weitere Informationen finden Sie im Thema „Für lokale Bereitstellungen auf die Whitelist zu setzende URLs zur Verwendung eines Proxyservers“ im Workspace ONE Intelligence-Benutzerhandbuch.

Verfahren

1 Stellen Sie sicher, dass Sie die im Workspace ONE Intelligence-Benutzerhandbuch beschriebenen Hardware-, Software- und Netzwerkanforderungen erfüllt haben.


VMware, Inc. 171

https://resources.workspaceone.com/view/88ymmbfft3zt9jbnc3gt/en

https://resources.workspaceone.com/view/zwskgcb5fhjzzxm9w349/

https://resources.workspaceone.com/view/ygy7zzkp8wqnmmsxfwxm/

https://docs.vmware.com/de/VMware-Workspace-ONE-UEM/1903/UEM_Installation/GUID-AWT-INSTALL-INTRO.html

https://docs.vmware.com/de/VMware-Workspace-ONE-UEM/1903/UEM_Installation/GUID-AWT-INSTALL-INTRO.html

2 Laden Sie das Workspace ONE Intelligence Connector-Installationsprogramm auf den Server herunter, den Sie für den Dienst konfiguriert haben.

3 Führen Sie das Installationsprogramm aus, und wählen Sie Weiter aus.

4 Akzeptieren Sie die Nutzungsbedingungen und wählen Sie Weiter aus.

5 Stellen Sie sicher, dass der Workspace ONE Intelligence Connector-Dienst als zu installierende Funktion ausgewählt ist. Wählen Sie Weiter.

Das Installationsprogramm erkennt die Version von Java, die auf dem Anwendungsserver installiert ist. Wenn das Installationsprogramm die erforderliche Version nicht erkennt, wird die erforderliche Version installiert.

6 Geben Sie die Einstellungen des Datenbankservers ein.


Datenbankserver, auf dem Sie installieren

Wählen Sie Durchsuchen neben dem Textfeld Datenbankserver aus und wählen Sie dann in der Liste Ihre Workspace ONE UEM-Datenbank aus.

Wenn Sie einen benutzerdefinierten Port verwenden, wählen Sie nicht Durchsuchen aus. Verwenden Sie stattdessen die folgende Syntax: DBHostName,<customPortNumber > ,. Wählen Sie dann Durchsuchen aus, um den Datenbankserver auszuwählen. Beispiel: db.acme.com, 8043

Herstellen einer Verbindung mit Wählen Sie eine der folgenden Authentifizierungsmethoden aus.

n Windows-Authentifizierung verwendet zur Authentifizierung ein Dienstkonto auf dem Windows-Server.

Sie werden aufgefordert, das Dienstkonto einzugeben, das Sie verwenden möchten. Dieses Dienstkonto wird zum Ausführen aller Anwendungspools und Dienste im Zusammenhang mit Workspace ONE UEM verwendet. Das Dienstkonto muss Zugriff auf die Workspace ONE UEM-Datenbank haben.

n SQL Server-Authentifizierung verwendet die SQL Server-Authentifizierungsmethode.

Sie werden aufgefordert, den Benutzernamen und das Kennwort einzugeben.

Name des Datenbankkatalogs Geben Sie den Namen der Workspace ONE UEM-Datenbank ein, oder durchsuchen Sie den SQL-Server, und wählen Sie ihn in der Liste aus.

7 Wählen Sie den Zielordner für die Installation des Workspace ONE Intelligence Connector-Diensts

aus.


VMware, Inc. 172

8 Konfigurieren Sie die Einstellungen für den Workspace ONE Intelligence Connector-Dienst.

a Wählen Sie die Bereitstellungsregion für Ihren Clouddienst aus. Stellen Sie sicher, dass die richtige Region ausgewählt ist.

Führen Sie das Installationsprogramm nicht erneut aus, wenn Sie diese Region zukünftig ändern müssen.

Wenn Sie den Workspace ONE-Intelligence-Connector-Dienst von einer vorherigen Version aktualisieren, wird dieser Bildschirm nicht angezeigt, da die Region während eines Upgrades nicht geändert werden kann.

b Geben Sie Ihr Workspace ONE UEM-Installationstoken ein.

Dieses Token wird im Rahmen des Installationsvorgangs von Workspace ONE UEM erstellt.

9 (Optional) Geben Sie die Proxyinformationen ein.

Diese Informationen finden Sie in der Workspace ONE UEM Console unter Gruppen und Einstellungen > Alle Einstellungen > Installation > Proxy > Proxy-Einstellungen der Konsole.

10 Wählen Sie Installieren aus, um den Workspace ONE Intelligence Connector-Dienst zu installieren. Nachdem die Installation abgeschlossen ist, wählen Sie Fertig stellen aus.

Ausführen des Berichte-AssistentenDer Berichte-Assistent leitet Sie durch die Erstellung eines benutzerdefinierten Berichts zu Ihrer Workspace ONE UEM-Umgebung. Der Assistent enthält leere Vorlagen, die Sie als Ausgangspunkt für Ihre Berichte verwenden können, oder Sie können fertige Berichte anpassen.

Informationen dazu, wie Sie auf die Workspace ONE Intelligence-Benutzeroberfläche zugreifen, finden Sie unter Zugriff auf Workspace ONE Intelligence.

Verfahren

1 Rufen Sie die Workspace ONE Intelligence-Benutzeroberfläche auf.

2 Wechseln Sie zu Berichte > Berichte und wählen Sie dann Bericht hinzufügen.

3 Wählen Sie die Berichtskategorie Apps, Geräte oder BS-Updates aus.

4 Wählen Sie eine Vorlage und dann Weiter aus.

n Anwendungsvorlagen


Anwendungsstartvorlage Wählen Sie diese Option aus, um einen Bericht aus einer leeren Vorlage zu erstellen.

Verwaltete Anwendungen Wählen Sie diese Option aus, um einen Bericht zu erstellen, der eine Liste aller verwalteten Anwendungen auf Ihren Geräten anzeigt.

Alle Anwendungen Wählen Sie diese Option aus, um einen Bericht zu erstellen, der eine Liste aller verwalteten oder nicht verwalteten Anwendungen auf Ihren Geräten anzeigt.

iOS und Android-Agents von Workspace ONE UEM

Wählen Sie diese Option aus, um einen Bericht zu erstellen, der eine Liste aller Workspace ONE Intelligent Hub-App-Details auf Ihren iOS- und Android-Geräten anzeigt.


VMware, Inc. 173

n Gerätevorlagen


Registrierte Geräte Wählen Sie diese Option aus, um einen Bericht zu erstellen, der eine Liste aller registrierten Geräte und deren Details anzeigt.

Nicht konforme Geräte Wählen Sie diese Option aus, um einen Bericht zu erstellen, der eine Liste aller Geräte anzeigt, die Ihre Konformitätsrichtlinien verletzen.

Gerätestartvorlage Wählen Sie diese Option aus, um einen Bericht aus einer leeren Vorlage zu erstellen.

n BS-Update-Vorlagen

Tabelle 9-4. BS-Update-Vorlagen


Alle Windows-BS-Updates Erstellen Sie einen Bericht zu allen (oder gefilterten) Updates für das Windows-Betriebssystem.

Status kritischer Updates Erstellen Sie einen Bericht mit allen (oder gefilterten) kritischen Updates für das Betriebssystem.

Sicherheitsupdate-Status Erstellen Sie einen Bericht, dessen Schwerpunkt auf Sicherheitsupdates für das Betriebssystem liegt.

Status Service Pack-Updates Erstellen Sie einen Bericht über Service Pack-Updates für das Betriebssystem.

BS-Update-Startvorlage Wählen Sie diese Option aus, um einen Bericht aus einer leeren Vorlage zu erstellen.


VMware, Inc. 174

5 Wählen Sie auf dem Bildschirm „Anpassen“ das Symbol zum Hinzufügen eines Filters (+) aus, um zu Ihrer leeren Vorlage Filter hinzuzufügen oder eine Startvorlage weiter anzupassen.

Für jeden Filter sind die folgenden Einstellungen erforderlich.


Filtern Wählen Sie ein Attribut aus, das den Daten entspricht, die Sie erfassen möchten.

Die Vorlage für registrierte Geräte verwendet beispielsweise das Attribut Registrierungsstatus, um Ergebnisse einzuschränken.

Selektoren Wählen Sie einen Operator aus, der auf den Wert des Attributs angewendet wird.

Wenn Sie z. B. das Attribut GUID der Organisationsgruppe des Geräts verwenden, wählen Sie den Selektor Enthält aus, um alle Geräte in der Organisationsgruppe einzuschließen, die mit dem Wert übereinstimmen.

Wert Geben Sie einen Wert ein, zu dem Sie Daten erhalten möchten. Bei einigen Selektoren können Sie den Wert aus einem Dropdown-Menü auswählen. Bei anderen Selektoren ist dagegen ein expliziter Eintrag erforderlich.

Wenn Sie das Attribut Registrierungsstatus und den Selektor Enthält verwenden, wählen Sie Registriert aus, um einen Bericht zu allen registrierten Geräten zu erhalten.

Wenn Sie Geräte dagegen nach dem Attribut Land und dem Selektor Enthält filtern, müssen Sie den Namen des Landes eingeben, der in den Bericht aufgenommen werden sollen. Sie müssen für jedes Land, das Sie filtern möchten, einen Filter hinzufügen.

6 Wählen Sie unter Berichtsvorschau die Option Spalten bearbeiten aus.

Der Bildschirm Spalten bearbeiten wird angezeigt.

7 Suchen Sie die Spalte, die dem von Ihnen ausgewählten Filter entspricht, um eine Vorschau des Berichts anzuzeigen.

8 Wählen Sie Speichern aus, um zum Bildschirm Bericht hinzufügen zurückzukehren, und wählen Sie Weiter aus.

9 Geben Sie einen Namen und eine Beschreibung für den Bericht ein.

10 Wählen Sie Bericht jetzt ausführen aus, wenn Sie den Bericht nach dem Speichern des benutzerdefinierten Berichts ausführen möchten.

11 Sie können entweder Bericht jetzt ausführen auswählen oder einen Zeitplan für eine spätere Berichtsausführung erstellen.

12 Wählen Sie zum Speichern des Berichts Speichern aus.

Zugriff auf Workspace ONE IntelligenceGreifen Sie über die Workspace ONE UEM Console auf die Workspace ONE Intelligence-Schnittstelle zu. Über die Workspace ONE Intelligence-Schnittstelle können Sie Dashboards, Automatisierung und Berichte (früher als benutzerdefinierte Berichte bezeichnet) verwenden.

Um auf die Workspace ONE Intelligence-Schnittstelle zuzugreifen, müssen Sie Ihre Anmeldedaten eingeben und sich beim Dienst anmelden.


VMware, Inc. 175

Zum Aufrufen der Berichte navigieren Sie zu Monitor > Intelligence, und wählen Sie Opt-in und dann Starten aus, nachdem Sie den Workspace ONE Intelligence Connector-Dienst installiert haben.

Um zur Workspace ONE UEM Console zurückzukehren, führen Sie die erforderlichen Schritte aus.

Verfahren

1 Wählen Sie in der oberen rechten Ecke der Benutzeroberfläche das quadratische Menü für VMware-Dienste aus.

2 Wählen Sie im Menü für VMware-Dienste Workspace ONE UEM aus.

BerichtsmanagementNach dem Erstellen eines Berichts können Sie Ihre Berichte über die Listenansicht „Berichte“ verwalten. Sie können Berichte ausführen, Berichte zur Ausführung planen, Berichte kopieren und Berichte löschen. Wählen Sie einen einzelnen Bericht aus, und verwenden Sie die Managementaktionen, den Planer und die Überwachungsprotokolle.

ListenansichtÜber die Listenansicht für Berichte unter Berichte > Berichte können Sie mehrere Berichte auswählen und Aktionen mit einer Auswahl durchführen.

n Bericht hinzufügen: öffnet den Berichte-Assistenten zum Erstellen eines neuen Berichts.

n Bearbeiten: bearbeitet die Filter eines Berichts.

n Ausführen: führt den Bericht sofort aus. Nachdem der Bericht abgeschlossen ist, erhalten Sie eine Mail mit einem Link, über den Sie zum Bericht weitergeleitet werden.

n Freigeben: sendet den Bericht an einen einzelnen Administrator oder an mehrere Administratoren. Sie können den Bericht dann über den gesendeten Link aufrufen.

n Planen: plant die Ausführung eines Berichts und das Senden einer E-Mail mit einem Link zum Bericht, sobald dieser abgeschlossen ist. Um auf den Bericht zuzugreifen, müssen Benutzer ein Administratorkonto auf der Workspace ONE UEM -Konsole besitzen, um sich anzumelden und sich zu authentifizieren, bevor sie den Bericht herunterladen.

n Kopieren: erstellt eine Kopie des Berichts. Verwenden Sie diese Aktion, wenn Sie unterschiedliche Zeitpläne für denselben Bericht verwenden möchten. Mit „Kopieren“ können Sie auch einen Bericht erstellen, der auf einem vorhandenen Bericht basiert, ohne von vorne beginnen zu müssen.

n Löschen: löscht einen Bericht und entfernt ihn und alle zugehörigen Abonnements dauerhaft.

EinzelberichtsansichtWählen Sie einen Bericht aus, um auf die Registerkarten Übersicht, Zeitpläne und Überwachungsprotokoll zuzugreifen.

n Übersicht: Die Registerkarte Übersicht für einen Bericht enthält Managementaktionen.

n Bearbeiten


VMware, Inc. 176

n Ausführen

n Freigeben

n Löschen

n Zeitpläne: Die Registerkarte Zeitpläne enthält Managementaktionen zum Planen von Berichten.

Wählen Sie die Option aus, um einen Bericht hinzuzufügen, zu bearbeiten oder zu löschen. Fügen Sie einen Bericht hinzu und konfigurieren Sie die Einstellungen des Assistenten. Nachdem der Bericht ausgeführt wurde, sendet das System eine E-Mail an die Kontakte, die im Assistenten konfiguriert wurden. Die E-Mail enthält einen Link zum Herunterladen des Berichts. Um auf den Bericht zuzugreifen, müssen Benutzer ein Administratorkonto auf der Workspace ONE UEM-Konsole besitzen, um sich anzumelden und sich zu authentifizieren, bevor sie den Bericht herunterladen.

Konfigurieren Sie im Assistenten Zeitplan folgende Einstellungen zum Planen eines Berichts.

Tabelle 9-5. Einstellungen zum Planen von Berichten


Zeitplanname Geben Sie einen Namen für den Zeitplan ein.

Wiederholung Wählen Sie im Dropdown-Menü die Häufigkeit der Ausführung des Berichts aus.

n Stündlich

n Täglich

n Wöchentlich

n Monatlich

Der Wert Wiederholung wirkt sich auf die verfügbaren Zeiteinstellungen aus.

Stündlich – Alle Wählen Sie die Anzahl der Stunden aus, die verstreichen müssen, bevor der Bericht erneut ausgeführt wird.

Stündlich – Startet um Wählen Sie die Uhrzeit der Berichtsausführung aus.

Täglich – Tageszeit Wählen Sie die Uhrzeit aus, zu welcher der Bericht ausgeführt werden soll.

Wöchentlich – Wochentage Wählen Sie die Wochentage und die Uhrzeit der Berichtsausführung aus.

Wöchentlich – Startet um Wählen Sie die Uhrzeit der Berichtsausführung aus.

Monatlich – Tag des Monats Legen Sie den Tag des Monats und die Uhrzeit der Berichtsausführung fest.

Diese Einstellung wird angezeigt, wenn Wiederholung auf Monatlich eingestellt ist.

Monatlich – Startet um Wählen Sie die Uhrzeit der Berichtsausführung aus.

Alle Wiederholungseinstellungen – Endet Wenn Sie die Wiederholung eines Berichts beenden möchten, legen Sie das Enddatum fest.

Senden an Geben Sie die E-Mail-Adresse jedes Empfängers ein.

Betreff Geben Sie einen Betreff für die E-Mail ein, die nach Fertigstellung des Berichts gesendet wird. Die E-Mail enthält den Link, um den Bericht aufzurufen.

Nachricht Geben Sie eine Nachricht für die E-Mail ein, die nach Fertigstellung des Berichts gesendet wird.

Sie können geplante Berichte und deren Häufigkeit anzeigen, indem Sie zu Berichte > Geplante Berichte navigieren. Auf der Seite „Geplante Berichte“ finden Sie die Aktionen Bearbeiten und Löschen zur Verwaltung von Zeitplänen.


VMware, Inc. 177

n Überwachungsprotokoll – Auf der Registerkarte Überwachungsprotokoll werden Ereignisse für einen Bericht aufgelistet. Erfahren Sie, wann ein Ereignis aufgetreten ist, wer es verursacht hat und was passiert ist. Das Protokoll enthält die folgenden Daten.

n Datum und Uhrzeit

n Administratorkonto

n Ereignisname

n Aktion

Übersicht über Workspace ONE UEM-BerichteMit der Funktion „Berichte“ können Sie auf detaillierte Informationen zu den Geräten, Benutzern und Anwendungen in Ihrer Workspace ONE UEM-Lösung zugreifen.

Verwenden Sie diese Informationen zur Fehlerbehebung Ihrer Bereitstellung, und treffen Sie fundierte Entscheidungen darüber, welche Aktionen durchzuführen sind. Die Exporte dieser Berichte erfolgen im CSV-Format (kommagetrennte Werte).

n Intuitivere Schnittstelle

n Verbesserte Berichterstellungsbeständigkeit

n Leichtere Filterauswahl

n Schnellere Downloadzeiten

n Erweiterte Verfolgungsfunktion für den Exportstatus

n Optimierte Abonnementfunktion für Berichte

Der Speicherort Ihrer Berichte hängt von der verwendeten Speicherlösung ab. Standardmäßig speichert Workspace ONE UEM die Berichte in der Datenbank. Die Berichte verbleiben in der Datenbank, bis sie ablaufen. Nach Ablauf werden die Berichte automatisch gelöscht. Je nach Größe Ihrer Bereitstellung sollten Sie eine Speicherlösung als Erweiterung Ihrer Datenbank in Betracht ziehen, um die Leistung zu verbessern.

Erweitern Sie Ihre Datenbank mit einem Dateispeicher und Berichtsspeicher.

n Der Dateispeicher speichert Berichte, Inhalte und Anwendungen in einem separaten Dateispeicherserver.

n Der Berichtspeicher speichert Workspace ONE UEM-Berichte in einem dedizierten Dateispeicher, die von allen anderen Inhalten getrennt sind.

Um die Leistung zu verbessern, sollten Sie den Berichtsspeicher aktivieren. Dieser Speicher nutzt einen dedizierten Server, um alle Workspace ONE UEM-Berichte zu speichern und die Leistung zu erhöhen. Weitere Informationen finden Sie unter Berichtsspeicher.

Wichtig Wenn Sie Version 9.0.2 oder 9.0.3 verwenden, müssen Sie den Dateispeicher aktivieren, um Workspace ONE UEM-Berichte verwenden zu können. Weitere Informationen finden Sie unter Dateispeicherung.


VMware, Inc. 178

Neue BerichteDas Tag Neu vor dem Berichtsnamen in der UEM Console kennzeichnet neue Berichte. Diese Berichte kombinieren mehrere veraltete Berichte.

Um die neuen Berichte anzuzeigen, navigieren Sie zu Monitor > Berichte und Analysen > Berichte > Listenansicht. Um die exportierten neuen Berichte anzuzeigen, navigieren Sie zu Monitor > Berichte und Analysen > Exporte.

Workspace ONE UEM bietet 20 neue Berichte. Die folgende Tabelle zeigt die verfügbaren Spalten für jeden dieser neuen Berichte.

Anmeldeverlauf von Admin-Konten

Name Browser

Kernbenutzer Plattform

Anmeldedaten Fehlerursache

Quell-IP Status

Admin-Benutzerrollen

Organisationsgruppen-ID Rolle

Organisationsgruppenname Rollenbeschreibung

Benutzername Datum der letzten Anmeldung

E-Mail Benutzertyp

Vorname Primär

Nachname

Anwendungsdetails nach Gerät

Organisationsgruppen-ID Installierte Version

Organisationsgruppenname Paketgröße (KB)

Freundlicher Name Dynamische Größe (KB)

Seriennummer Größe insgesamt

App-Name Installationsstatus

Anwendungs-ID Installations-Statusgrund

Eingesetzt von Workspace ONE UEM App – Zuerst gesehen

Verwaltete App App-Aktualisierungsdatum

Zugewiesene Version Geräte-ID

Gerätetyp Gerätemodell

BS-Version Besitzertyp

Gerät zuletzt gesehen Benutzername

E-Mail-Adresse

Nach Gerät angezeigte Details zu Anwendungen, die sich auf der Blacklist oder nicht auf der Whitelist befinden

Organisationsgruppen-ID Gerätemodell


VMware, Inc. 179

Organisationsgruppenname BS-Version

Geräte-ID Zuständigkeit

Benutzername Telefonnummer

E-Mail-Adresse App-Name

Seriennummer Anwendungs-ID

IMEI App-Version

Geräteplattform App – Zuerst gesehen

Zertifikat läuft bald ab

Zertifikatsname Profilname

Ausgestellt für Freundlicher Name

Ausgestellt von Organisationsgruppenname

Name der Zertifizierungsstelle Gültigkeitsdatum

Status Tage bis zum Ablauf

Inhaltsdetails nach Gerät

Organisationsgruppen-ID Inhaltstyp

Organisationsgruppenname Inhalte installiert

Geräte-ID Inhaltspriorität

Freundlicher Name Wichtigkeit der Inhalte

Benutzername Inhaltskategorie

E-Mail-Adresse Status

Seriennummer Inhaltsversion

IMEI Inhaltsgröße in KB

Geräteplattform Gültigkeitsdatum

Gerätemodell Ablaufdatum

BS-Version Datum der letzten Änderung

Zuständigkeit Zuletzt gesehen

Inhaltstyp Tage im Offline-Betrieb

Anzahl der aktiven Geräte

Organisationsgruppenname Gesamtzahl der inaktiven Geräte

Gesamtzahl der aktiven Geräte Gesamtzahl der Geräte

Anzahl aller aktiven Geräte nach Benutzern

Organisationsgruppen-ID Gesamtzahl der inaktiven Geräte

Benutzername Gesamtzahl der Geräte

Gesamtzahl der aktiven Geräte

Gerätebatterieprotokoll

Geräte-ID Zustandsanzeige der Batterie


VMware, Inc. 180

Freundlicher Name Lebensdauer der Batterie in Prozent

Organisationsgruppen-ID Batteriespannung

Organisationsname Batteriestrom

Gerätemodell Batterietemperatur

Geräteplattform Batterie – Verbrauch in mAh

BS-Version Durchschnittliches Batterieintervall

Eigentümer Durchschnittlicher Batteriestrom

AC-Leitungsstatus Backup-Batterie – Lebensdauer

Abtastzeit Vollständige Lebensdauer der Backup-Batterie

Übertragungszeit Lebensdauer der Backup-Batterie in Prozent

Lebensdauer der Batterie Zustandsanzeige für Backup-Batterie

Lebensdauer der Batterie Spannung der Backup-Batterie

Geräteinventar

Organisationsgruppen-ID Aktueller Betreiber

Organisationsgruppenname Geräte-Roaming

Geräte-ID Roaming-Startdatum

Freundlicher Name Roaming-Enddatum

Benutzername MAC-Adresse

E-Mail-Adresse WLAN-IP-Adresse

Vorname IMEI

Nachname SIM-Kartennummer

Anzeigename GPRS-Verbindung

Seriennummer Gerätekapazität (GB)

Geräteplattform Verfügbare Kapazität (GB)

Gerätemodell Verfügbarer physischer Speicher (MB)

Telefonnummer Gesamter physischer Speicher (MB)

Zuständigkeit Lebensdauer der Batterie in Prozent

BS-Version Zeitpunkt der Netzstrom-Abtastung

Registrierungsdatum Gerät im Netzbetrieb

Konformitätsstatus Entfernung der Nutzlast nicht erlaubt

Registrierungsstatus Wird überwacht

Datum der Registrierungsaufhebung EAS-Geräte-ID

Verwaltet von Ist Cloud-Sicherung aktiviert

Zuletzt gesehen Datum der letzten iCloud-Sicherung

Anlagennummer Ist Aktivierungssperre aktiviert

Ist kompromittiert Kaufdatum


VMware, Inc. 181

Mein iPhone suchen Geschätztes Kaufdatum

Land Garantiestatus

MDM-verwaltet Registrierungsdatum

Gerätebezeichner Beginn des Versicherungsschutzes

Heimat-Netzwerkbetreiber Ende des Versicherungsschutzes

Gerätestandortprotokoll

Organisationsgruppenname E-Mail-Adresse

Organisationsgruppen-ID Abtastzeit

Freundlicher Name Breitengrad

Geräte-ID Längengrad

Benutzername Höhe

Details zur Gerätesicherheit

Organisationsgruppen-ID IMEI

Organisationsgruppenname Datenschutz aktiviert

Geräte-ID Verschlüsselung auf Blockebene aktiviert

Freundlicher Name Verschlüsselung auf Dateiebene aktiviert

Seriennummer Kennung vorhanden

Gerätemodell Kennung konform J/N

Telefonnummer Ausstehende Installationen

Zuständigkeit Alle zugewiesenen Profile installiert

BS-Version Kennung mit Profilen konform

Zuletzt gesehen Verschlüsselung ist konform.

Ist kompromittiert Interne Speicherverschlüsselung ist aktiviert.

MAC-Adresse SD-Karten-Verschlüsselung ist aktiviert.

WLAN-IP-Adresse Tage offline

Registrierungsbenutzername Gerätegruppe

E-Mail-Adresse

Details zur Gerätenutzung

Organisationsgruppen-ID Roamingdatennutzung

Organisationsgruppenname Datennutzung (MB)

Geräte-ID Planname

Freundlicher Name Mobilkartenbezeichner

Zuständigkeit Datensatzdatum

Geräteplattform Täglicher Sprachanruf innerhalb der Hauptzeit

Gerätemodell Täglicher Sprachanruf außerhalb der Hauptzeit

BS-Version Tägliche Nachricht


VMware, Inc. 182

Benutzername Nachrichtenlimit

E-Mail-Adresse Tägliche Datennutzung

Seriennummer Abrechnungszeitraum

IMEI Monatliche Sprachanrufe innerhalb der Hauptzeit

Telefonnummer Monatliche Sprachanrufnutzung in Prozent

Zuletzt gesehen Monatliche Sprachanrufe außerhalb der Hauptzeit

SIM-Kartennummer Monatliche Nachricht

Abtastzeit Monatliche Nachrichtennutzung in Prozent

Heimat-Netzwerkbetreiber Monatliche Datennutzung

Aktueller Betreiber Monatliche Datennutzung in Prozent

Land Startdatum und -zeit des Anrufs

Netzwerk-IP-Adresse Anrufdauer in Minuten

IP-Adresse des Mobilgeräts Anrufrichtung

Geräte-Roaming Status „Anruf beantwortet“

Roaming-Startdatum Anrufendstatus

Roaming-Enddatum Anrufverbindungsstatus

Empfangene Daten (KB) Anruf im Roamingbetrieb

Gesendete Daten (KB) Name des Kontakts

Gesamt KB

Gerätezurücksetzungsprotokoll

Geräte-ID oder MAC-Adresse Organisationsgruppen-ID

Freundlicher Name Organisationsgruppenname

Seriennummer Benutzername

Gerätetyp E-Mail-Adresse

Gerätemodell Zurücksetzung ausgestellt von

BS-Version Wipe-Typ

Zuständigkeit Ereigniszeit

Geräteplattform

Geräte inklusive Benutzerdetails

Organisationsgruppen-ID Benutzerstatus

Organisationsgruppenname Geräteplattform

Freundlicher Name Gerätemodell

Geräte-ID BS-Version

Benutzername Zuständigkeit

Benutzer-ID Seriennummer

Vorname IMEI


VMware, Inc. 183

Nachname Registrierungsstatus

E-Mail-Adresse Konformitätsstatus

Rufnummer des Benutzers Datum registriert

Domänentyp Datum, an dem Registrierung aufgehoben wurde

Profilkonfigurationseinstellungen

Organisationsgruppe Gerätemodell

Profilname Name des minimalen Betriebssystems

Profilgruppentyp Name des Betriebssystems (maximal)

Geräteplattform Name der Profileinstellung

Beschreibung Wert

Zuweisungstyp Organisationsgruppenpfad

Profildetails nach Gerät

Organisationsgruppen-ID Modell

Organisationsgruppenname BS-Version

Freundlicher Name U/M/G

Benutzername Profil

E-Mail-Benutzername Installierte Version

E-Mail-Adresse Neueste Version

Seriennummer Installiertes Datum

MAC-Adresse Installiert

SDK-Analysen

Geräte-ID Anwendungs-ID

Freundlicher Name Name der Anwendung

Organisationsgruppen-ID Anwendungsversion

Organisationsgruppenname Ereignisname

Benutzername Ereignisdaten

Abtastzeit

Verlauf des Gemeinschaftsgeräts

Organisationsgruppen-ID Nachname

Organisationsgruppenname E-Mail-Adresse

Geräte-ID Eincheckdatum

Gerätename Check-out-Datum

Vorname

Details zur Annahme der Nutzungsbedingungen

Organisationsgruppenname Telefonnummer

Organisationsgruppen-ID Name der Nutzungsbedingungen


VMware, Inc. 184

Benutzername Version

Vorname Akzeptierte Version

Nachname Akzeptiert

E-Mail-Adresse Akzeptiert am

Abonnieren eines neuen BerichtsAbonnieren Sie einen neuen Bericht, um Warnungen von der Seite Monitor der UEM Console zu erhalten. Mit dem Abonnement können Sie auf wichtige Informationen zur Nutzung und andere technische Parameter zugreifen.

Aus Sicherheitsgründen enthält die Abonnement-E-Mail für neue Berichte den Bericht nicht als Dateianhang. Die E-Mail enthält einen Link, um den Bericht herunterzuladen. Dieser Link erfordert eine Authentifizierung zum Herunterladen. Nur Administratoren mit gültigen Anmeldedaten können auf die Berichte zugreifen.

Wichtig Administratoren mit den entsprechenden Rollenberechtigungen und Zugriff auf die Organisationsgruppe können die Abonnements anderer Administratoren anzeigen und bearbeiten.

Verfahren

1 Navigieren Sie zu Monitor > Berichte und Analysen > Berichte > Listenansicht > Alle Berichte.

2 Wählen Sie den gewünschten neuen Bericht aus, und wählen Sie dann das Symbol Berichtsabonnements aus.

3 Konfigurieren Sie auf der Registerkarte Parameter die entsprechenden Einstellungen, um Kriterien für den Geltungsbereich des Berichts festzulegen.

Diese Einstellungen sind je nach Bericht unterschiedlich.

4 Konfigurieren Sie auf der Registerkarte Zeitplan die folgenden Einstellungen:


Von Gibt an, von wem das Abonnement gesendet wird.

An Gibt an, wer das Abonnement erhält.

Wiederholung Legt fest, wann die UEM Console das Abonnement sendet. Die verfügbaren Optionen sind einmal, täglich, wöchentlich und monatlich. Sie können auch die Tageszeit für den Bericht und das Ende der Wiederholung festlegen.

Wenn die Wiederholung auf bestimmte Tage des Monats festgelegt ist, z. B. auf den 31. Tag eines Monats, und der Monat nur 30 Tage hat, erhalten Sie keinen Bericht für diesen Monat.

Datum/Uhrzeit Gibt an, wann mit dem Senden von Abonnements begonnen werden soll.

Thema Gibt einen Betreff an, um das Abonnement zu identifizieren, wenn es von der UEM Console bereitgestellt wird.

Nachricht Definiert die Meldung, um das Abonnement zu erläutern, wenn es von der UEM Console bereitgestellt wird.


VMware, Inc. 185

Generieren von BerichtenDie Berichts- und Analyselösung Workspace ONE UEM bietet die Möglichkeit, Daten aus vielen Abschnitten in der UEM Console zu exportieren. Auf der Seite Exporte der UEM Console können Sie die generierten Berichte herunterladen. Sobald Berichte erfolgreich generiert wurden, stehen Links zum Herunterladen im Raster Export zur Verfügung.

Verfahren

1 Navigieren Sie zu Monitor > Berichte und Analysen > Berichte > Listenansicht, und wählen Sie den gewünschten Bericht aus.

2 Vervollständigen Sie auf dem Berichtbildschirm die entsprechenden Einstellungen.


3 Klicken Sie auf Herunterladen, um den Bericht auf die Seite Exporte zu exportieren.

4 Navigieren Sie zu Monitor > Berichte und Analyse > Exporte und wählen Sie den gewünschten Bericht aus. Klicken Sie für den ausgewählten Bericht in der Spalte Status auf Fertig stellen, um ihn herunterzuladen.

Ergebnisse

Hinweis Die exportierten neuen Berichte werden in der Spalte Exporttyp als Neue Berichte und die vorhandenen Berichte als Berichte markiert.

Nächste Schritte

Hinweis Ab Version 9.0 stehen die Berichte (in einer CSV-Struktur) zum Download im gezippten Format zur Verfügung.


VMware, Inc. 186

Abonnieren eines alten BerichtsAbonnieren Sie einen Bericht, um Warnungen von der Seite Monitor der UEM Console zu erhalten. Mit dem Abonnement können Sie auf wichtige Informationen zur Nutzung und andere technische Parameter zugreifen.

Wichtig Alle Abonnements, die mit einem veralteten Bericht verknüpft sind, sollten wie gewohnt funktionieren. Sie werden jedoch als veraltet markiert. Sie sollten neue Berichte verwenden und Abonnements erstellen, um diese zu verwenden.

Verfahren

1 Navigieren Sie zu Monitor > Berichte und Analysen > Berichte > Listenansicht > Alle Berichte.

2 Wählen Sie den gewünschten Bericht aus und wählen Sie dann das Symbol Berichtsabonnements aus.

3 Konfigurieren Sie auf der Registerkarte Allgemein die folgenden Einstellungen.


Beschreibung Legt einen beschreibenden Namen für das Abonnement fest.

Render-Format Legt das Format für den Bericht fest. Das Standarddateiformat ist CSV (kommagetrennte Werte).

Antwort an Gibt an, wer das Abonnement erhält.

Thema Gibt einen Betreff an, um das Abonnement zu identifizieren, wenn es von der UEM Console bereitgestellt wird.

Nachrichtentext Definiert die Meldung, um das Abonnement zu erläutern, wenn es von der UEM Console bereitgestellt wird.

4 Konfigurieren Sie auf der Registerkarte Parameter die entsprechenden Einstellungen, um Kriterien

für den Geltungsbereich des Berichts festzulegen.


5 Konfigurieren Sie auf der Registerkarte Ausführung die folgenden Einstellungen.


Einmal Wählen Sie diese Option aus, um diesen Bericht ein einziges Mal zu abonnieren.

Täglich Wählen Sie diese Option aus, um den Bericht jedes Mal zu erhalten, wenn eine festgelegte Anzahl von Tagen verstrichen ist.

Wöchentlich Wählen Sie diese Option aus, um den Bericht an bestimmten Wochentagen zu erhalten.


VMware, Inc. 187


Monatlich Wählen Sie diese Option aus, um den Bericht an einem bestimmten Tag des Monats zu erhalten. Sie können den Zeitplan auch auf den ersten, zweiten, dritten, vierten oder letzten Wochentag des Monats festlegen.

Wenn die Wiederholung auf einen Tag festgelegt ist, der im Monat nicht auftritt, erhalten Sie keinen Bericht. Wenn Sie beispielsweise die Wiederholung auf den vierten Freitag eines Monats festlegen und der Monat nur drei Freitage hat, erhalten Sie keinen Bericht für diesen Monat. Dies gilt auch für bestimmte Tage des Monats, z. B. für den 31. Tag eines Monats, wenn der Monat nur 30 Tage hat.

Datum/Uhrzeit Legen Sie den spezifischen Tag und die Uhrzeit für den Empfang des Berichts fest.

Bereich Legen Sie das Enddatum für das Berichtsabonnement fest.

6 Verwenden Sie auf der Registerkarte Verteilungsliste einen oder alle Parameter, um eine Verteilungsliste für den Empfang des Abonnements zu erstellen.


Rolle wählen Wählen Sie eine Rolle aus dem Menü aus und klicken Sie auf Zur Liste hinzufügen, um sie der Verteilungsliste hinzuzufügen.

Benutzer wählen Wählen Sie einzelne Benutzer aus und klicken Sie auf Zur Liste hinzufügen, um sie der Verteilungsliste hinzuzufügen.

E-Mail-Adresse eingeben Geben Sie die Adressen der Abonnementempfänger manuell ein, wenn Sie die Adresse kennen, und klicken Sie auf Zur Liste hinzufügen, um sie der Verteilungsliste hinzuzufügen.

Suchliste Geben Sie Text ein, um in der Verteilungsliste nach einzelnen Einträgen zu suchen und Einträge aus der Verteilungsliste zu löschen.

Verteilungsliste Legen Sie fest, an wen Workspace ONE UEM das Abonnement sendet. Erstellen Sie diese Liste mit den Einträgen „Rolle“, „Benutzer“ und „E-Mail-Adresse“.

Hinweis Administratoren können fehlgeschlagene oder inaktive Abonnements bearbeiten und sie erneut speichern, um den Fehler zu beheben.

Verwalten von BerichtenNavigieren Sie zur Seite Monitor > Berichte und Analysen > Berichte > Listenansicht, um Berichte in der UEM Console anzuzeigen. Sie können Daten in verschiedenen Formaten exportieren und die folgenden Aktionen durchführen.

Berichtabonnements – Konfigurieren Sie einen Bericht so, dass er in bestimmen Intervallen und mit definierten Parametern ausgeführt wird.

Zu „Eigene Berichte“ hinzufügen – Fügen Sie Berichte zur Registerkarte Eigene Berichte hinzu, um schnell darauf zuzugreifen.


VMware, Inc. 188

Fehlerbehebung für BerichteWenn Sie Probleme mit der Berichtsfunktion haben, sollten Sie eine Fehlerbehebung durchführen, bevor Sie sich an den Support werden. Diese Fehlerbehebungsschritte behandeln die häufigsten Probleme mit der Berichtsfunktion.

ProblemBerichte werden nicht gestartet.

Ursache

Der Dienst für Hintergrundverarbeitung wird nicht ausgeführt.

Lösung

Befolgen Sie die Anweisungen in Aktivieren des Diensts für Hintergrundverarbeitung.

ProblemWährend der Berichtsverarbeitung treten gelegentlich Fehler auf.

Ursache

Verschiedene Ursachen.

Lösung


VMware, Inc. 189

Weitere Informationen dazu erhalten Sie in den folgenden Protokollen.

n Web-Konsolenprotokoll – Informationen zur Fehlerbehebung finden Sie in den Web-Konsolenprotokollen, wenn ein Konsolenfehler auftritt. Diese Protokolle können sowohl für neue als auch für vorhandene Berichte herangezogen werden. Die Protokolle finden Sie hier:

\AirWatch\Logs\WebConsole\WebConsoleLog.txt

n Detaillierte Fehlerprotokolle zu neuen Berichten – beachten Sie die Protokolle hier:

\AirWatch\Logs\Services\BackgroundProcessorServiceLogFile.txt

n Detaillierte Fehlerprotokolle zu alten Berichten – beachten Sie die Protokolle des Berichtsservers hier:

\Microsoft SQL Server\MSRS12.ABC\Reporting Services\LogFiles

Aktivieren des Diensts für HintergrundverarbeitungFür Workspace ONE UEM-Berichte muss der Dienst für Hintergrundverarbeitung auf dem UEM Console-Server ausgeführt werden. Der Installationsvorgang aktiviert diesen Prozess. Wenn er jedoch nicht ausgeführt wird, müssen Sie ihn aktivieren, um Workspace ONE UEM-Berichte verwenden zu können.

Jeder UEM Console-Server benötigt den Dienst für Hintergrundverarbeitung. Jeder Server verarbeitet Berichte und schreibt sie in die entsprechende Warteschlange, bevor er sie an die Datenbank, den Dateispeicher oder den Berichtsspeicher sendet.

Verfahren

1 Drücken Sie auf dem Konsolenserver Windows-Taste + R.

2 Führen Sie den Befehl „services.msc“ aus.

Es wird ein Bildschirm mit allen Diensten angezeigt, die auf dem Konsolenserver aufgeführt werden.


VMware, Inc. 190

3 Suchen Sie AirWatch Hintergrund-Prozessordienst, und wählen Sie Eigenschaften aus.

Auf einem Bildschirm wird der Dienststatus angezeigt.

4 Stellen Sie sicher, dass der Status dieses Diensts Wird ausgeführt lautet. Wenn der Status Angehalten lautet, starten Sie den Dienst.


VMware, Inc. 191

DateispeicherungBestimmte Workspace ONE UEM Funktionen können für die Verarbeitung und Downloads einen dedizierten Dateispeicherungsdienst verwenden, was die allgemeine Belastung Ihrer Workspace ONE UEM Datenbank senkt und deren Leistung erhöht. Die manuelle Konfiguration der Dateispeicherung gilt nur für On-Premises-Kunden. Sie wird für SaaS-Kunden automatisch konfiguriert.

Sie beinhaltet auch bestimmte Workspace ONE UEM Berichte, die Bereitstellung interner Anwendungen und von Workspace ONE UEM verwaltete Inhalte. Wenn Sie für eine dieser Funktionen Dateispeicherung aktivieren, wird sie automatisch auf die anderen angewendet. Wenn Sie die Dateispeicherung einrichten, werden alle Berichte, alle internen Anwendungen und alle verwalteten Inhalte dort abgelegt.

Berichte in Workspace ONE UEMAb Version 9.0.2 der Konsole wurden drei neue Berichte hinzugefügt, die genauso aussehen wie vorhandene Berichte, aber ein vollständig überarbeitetes Back-End-Framework verwenden. Dieses neue Framework generiert Berichte mit höherer Zuverlässigkeit und schnelleren Downloadzeiten. Um diese Vorteile zu nutzen, müssen Sie Dateispeicherung einrichten

Interne AnwendungenWenn die Dateispeicherung aktiviert ist, werden alle internen Anwendungspakete, die Sie über die UEM-Konsole hochladen, an einem Dateispeicherort gespeichert.


VMware, Inc. 192

Die Dateispeicherung ist erforderlich, um Win 32-Anwendungen (IPA, PAK, APPX, MSI, EXE usw.) und Mac OS-Anwendungen (.dmg, .pkg, .mpkg usw.) aus dem Bereich „Apps & Bücher“ der UEM-Konsole zu implementieren. Diese Funktion wird Softwareverteilung genannt.

Von Workspace ONE UEM verwaltete InhalteSie können verwaltete Inhalte von der Workspace ONE UEM Datenbank trennen, indem Sie sie an einem dedizierten Dateispeicherort ablegen. Das Hochladen einer großen Zahl verwalteter Inhalte kann zu Problemen hinsichtlich der Datenbankleistung führen. In diesem Fall können lokale Benutzer Datenbankspeicherplatz verfügbar machen, indem sie verwaltete Inhalte auf eine integrierte lokale Dateispeicherlösung verschieben.

Auch private Inhalte werden zur Dateispeicherlösung verschoben. Persönliche Inhalte werden standardmäßig in der SQL-Datenbank abgelegt. Wenn Sie einen Remotedateispeicher aktiviert haben, werden persönliche Inhalte im Remotedateispeicher abgelegt und nicht im Dateispeicher oder in der SQL-Datenbank.

Voraussetzungen für DateispeicherungTrennen Sie den verwalteten Inhalt von der Workspace ONE UEM-Datenbank, indem Sie ihn in einem dedizierten Dateispeicher speichern. Um eine Dateispeicherung einzurichten, müssen Sie den Speicherort und die Speicherkapazität für Ihre Dateispeicherung bestimmen, die Netzwerkanforderungen konfigurieren und ein Personifikationskonto erstellen.

Wichtig Die Dateispeicherung ist für die Verteilung von Windows 10 Software erforderlich.

Erstellen des freigegebenen Ordners auf einem Server in Ihrem internen Netzwerkn Der Dateispeicher kann sich auf einem separaten Server oder dem gleichen Server wie einer der

anderen Workspace ONE UEM-Anwendungsserver in Ihrem internen Netzwerk befinden. Er sollte nur für Komponenten zugänglich sein, die Zugang benötigen, etwa den Konsolen- und den Gerätediensteserver.

n Sollten sich der Gerätedienstserver, Konsolenserver und der Server, der die freigegebenen Ordner hostet, nicht in derselben Domäne befinden, geben Sie die Domäne währen der Konfiguration des Dienstkontos im Format <domain\username> an. Domänenvertrauensstellung kann auch hergestellt werden, um Authentifizierungsfehler zu vermeiden.

Konfigurieren der Netzwerkanforderungenn Bei Verwendung von Samba/SMB – TCP: 445, 137, 139. UDP: 137, 138

n Bei Verwendung von NFS – TCP und UDP: 111 und 2049


VMware, Inc. 193

Zuordnen ausreichender FestplattenkapazitätIhr spezifischen Speicheranforderungen können je nach der von Ihnen vorgesehenen Verwendung von Dateispeicherung variieren. Der Dateispeicherort sollte genügend Speicherplatz für die internen Anwendungen, verwalteten Inhalte oder Berichte aufweisen, die Sie verwenden möchten. Berücksichtigen Sie die nachfolgend aufgeführten Punkte:

n Wenn Sie Zwischenspeicherung für interne Anwendungen oder Inhalte aktivieren, ist es empfehlenswert, den Gerätedienst-Server auf 120 Prozent der kumulativen Größe aller Anwendungen/Inhalte zu dimensionieren, die Sie veröffentlichen müssen.

n Bei Speicherberichten hängen Ihre Speicheranforderungen von der Anzahl der Geräte, der Anzahl täglicher Berichte und der Häufigkeit ab, mit der Sie diese löschen. Als Ausgangspunkt sollten Sie planen, für Bereitstellungsgrößen von bis zu 250.000 Geräten, die etwa 200 tägliche Berichte ausführen, mindestens 50 GB zuzuteilen. Passen Sie diese Zahlen an die tatsächlichen Gegebenheiten in Ihrem Einsatz an. Wenden Sie diese Dimensionierung auch auf Ihren Konsolen-Server an, wenn Sie Zwischenspeicherung aktivieren.

Erstellen eines Dienstkontos mit ordnungsgemäßen Berechtigungenn Erstellen Sie ein Konto in der Domäne des freigegebenen Speicherverzeichnisses.

n Erteilen Sie dem lokalen Benutzer Lese-/Schreib-/Änderungsberechtigungen für die Dateifreigabe, die für den Dateispeicherpfad verwendet wird.

n Konfigurieren Sie den Benutzer für Dateispeicher-Identitätswechsel in Workspace ONE UEM mit dem Domänenkonto im Format <domain\username>.

n Wenn sich das freigegebene Speicherverzeichnis nicht in einer Domäne befindet, erstellen Sie einen identischen lokalen Benutzer und ein identisches Kennwort auf dem Server, der als Dateispeicher-, Konsolen- und Gerätedienstserver verwendet wird. Geben Sie in diesem Fall das lokale Benutzerkonto im Format <username> an.

Sie können anstatt eines lokalen Benutzerkontos auch ein Domänendienstkonto verwenden.

Konfigurieren von Dateispeicherung in der Organisationsgruppe „Global“Konfigurieren Sie Dateispeichereinstellungen auf der Ebene der Organisationsgruppe „Global“ in der UEM-Konsole.

Aktivieren von Dateispeicherung für BerichteBevor Sie die Vorteile des Berichtsdateispeichers nutzen können, müssen Sie den Dateispeicher aktivieren und konfigurieren.

Verfahren

1 Navigieren Sie auf der Organisationsgruppenebene „Global“ zu Gruppen & Einstellungen > Alle Einstellungen > Installation > Dateipfad und scrollen Sie ganz nach unten.


VMware, Inc. 194

2 Wählen Sie Dateispeicherung aktiviert und konfigurieren Sie die Einstellungen.

Wenn Dateispeicherung aktiviert ist, können Sie ein externes Repository konfigurieren, in dem Dateien gespeichert werden. Sind die Einstellungen deaktiviert, werden Dateien als große Binärobjekte in der Datenbank gespeichert.


Dateispeicherpfad Geben Sie den Pfad der Dateien im folgenden Format ein: \\{Servername}\{Ordnername}, wobei der Ordnername der Name des freigegebenen Ordners ist, den Sie auf dem Server erstellen.

Dateispeicher-Zwischenspeicherung aktiviert

Wenn Sie die Zwischenspeicherung aktivieren, sollten Sie daran denken, den benötigten Speicherplatz auf dem Server bereitzustellen.

Dateispeicheridentitätswechsel aktiviert

Wählen Sie diese Funktion, um ein Dienstkonto mit ordnungsgemäßen Berechtigungen hinzuzufügen.

Benutzername für Dateispeicheridentitätswechsel

Geben Sie einen gültigen Benutzernamen für das Dienstkonto an, um sowohl Lese- als auch Schreibberechtigungen für das freigegebene Speicherverzeichnis zu erhalten.

Kennwort Geben Sie ein gültiges Kennwort für das Dienstkonto an, um sowohl Lese- als auch Schreibberechtigungen für das freigegebene Speicherverzeichnis zu erhalten.

3 Wählen Sie die Schaltfläche Verbindung testen aus, um die Konfiguration zu testen

BerichtsspeicherOptimieren Sie den Speicher Ihrer Workspace ONE UEM-Berichte über den Berichtsspeicher. Diese Speicherfunktion steigert die Leistung von Workspace ONE UEM-Berichten.

Dieser Speicher unterscheidet sich von dem Dateispeicher, der von Berichten, internen Anwendungen und Inhalten verwendet wird. Wenn Sie bereits den Dateispeicher verwenden, müssen Sie den Berichtsspeicher nicht aktivieren. Sie sollten den Berichtsspeicher aktivieren, wenn Sie bei der Verwendung von Berichten Leistungseinbußen bei der Workspace ONE UEM-Datenbank feststellen. Der Berichtsspeicher gilt nur für Berichte, wodurch die Gesamtleistung der Berichte erhöht und die Belastung Ihrer Workspace ONE UEM-Datenbank reduziert wird.

Wenn Sie sowohl den Dateispeicher als auch den Berichtsspeicher aktivieren, setzt der Berichtsspeicher den Dateispeicher beim Speichern von Berichten außer Kraft.

Für den Berichtsspeicher ist ein dedizierter Server erforderlich, um den Dienst und den Speicher der Berichte zu hosten.

Voraussetzungen für BerichtsspeicherungUm die Berichtsspeicherlösung bereitzustellen, muss Ihr Server die Anforderungen erfüllen.

Hinweis Wenn Sie bereits einen Dateispeicher verwenden, ist der Berichtsspeicher zwar verfügbar, aber nicht erforderlich für Ihre Bereitstellung. Wenn Sie den Berichtsspeicher parallel zum Dateispeicher konfigurieren, priorisieren die Berichtsdateien den Berichtsspeicher gegenüber dem Dateispeicher.


VMware, Inc. 195

Erstellen des freigegebenen Ordners auf einem Server in Ihrem internen Netzwerkn Der Berichtsspeicher kann sich auf einem separaten Server oder auf einem der anderen Workspace

ONE UEM-Anwendungsserver in Ihrem internen Netzwerk befinden. Stellen Sie sicher, dass nur die Komponenten, die Zugriff auf den Server benötigen, auf den Berichtsspeicherserver zugreifen können, z. B. die Konsolen- und Gerätedienstserver.

n Sollten sich der Gerätedienstserver, Konsolenserver und der Server, der die freigegebenen Ordner hostet, nicht in derselben Domäne befinden, stellen Sie eine Domänenvertrauensstellung zwischen den Domänen her, um Authentifizierungsfehler zu verhindern. Wenn der Gerätedienstserver oder Konsolenserver mit keiner Domäne verknüpft ist, ist es ausreichend, die Domäne bei der Dienstkontokonfiguration anzugeben.

Konfigurieren des Berichtsspeichers in der globalen OrganisationsgruppeKonfigurieren Sie die Berichtsspeichereinstellungen auf der Ebene der globalen Organisationsgruppe in der UEM Console.Erstellen eines Dienstkontos mit ordnungsgemäßen Berechtigungen

n Erstellen Sie ein Konto mit Lese- und Schreibberechtigung für das freigegebene Speicherverzeichnis.

n Erstellen Sie den gleichen lokalen Benutzer und das gleiche Kennwort auf dem Konsolenserver, dem Gerätedienstserver und dem Server, der für die Berichtsspeicherung verwendet wird.

n Erteilen Sie dem lokalen Benutzer Lese-/Schreib-/Änderungsberechtigungen für die Dateifreigabe, die für den Berichtsspeicherpfad verwendet wird.

Wenn Sie dem Benutzer die Berechtigung zum Ändern erteilen, löscht Workspace ONE UEM alte Berichte aus dem Speicher. Wenn Sie dem Benutzer keine Änderungsberechtigungen erteilen, sollten Sie die Überwachung des Berichtsspeichers in Erwägung ziehen, um Speicherplatz zu sparen.

n Konfigurieren Sie den lokalen Benutzer als Benutzer für Berichtsspeicher-Identitätswechsel in Workspace ONE UEM.

Sie können anstatt eines lokalen Benutzerkontos auch ein Domänendienstkonto verwenden.

Zuordnen ausreichender FestplattenkapazitätIhre spezifischen Speicheranforderungen können je nach der von Ihnen vorgesehenen Verwendung des Berichtsspeichers variieren. Stellen Sie sicher, dass der Berichtsspeicherort über ausreichend Speicherplatz für die Berichte verfügt, die Sie verwenden möchten.

Bei Speicherberichten hängen Ihre Speicheranforderungen von der Anzahl der Geräte, der Anzahl täglicher Berichte und der Häufigkeit ab, mit der Sie diese löschen. Planen Sie als Ausgangspunkt für Bereitstellungsgrößen von bis zu 250.000 Geräten, die etwa 200 tägliche Berichte ausführen, mindestens 50 GB ein. Passen Sie diese Zahlen an die tatsächlichen Gegebenheiten in Ihrem Einsatz an. Wenden Sie zudem diese Dimensionierung auf Ihren Konsolenserver an, wenn Sie Zwischenspeicherung aktivieren.


VMware, Inc. 196

Aktivieren des BerichtsspeichersAktivieren Sie den Berichtsspeicher, um Ihre Berichte auf einem dedizierten Server zu speichern und die Leistung zu verbessern.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Installation > Berichte.

2 Setzen Sie Berichtsspeicherung aktiviert auf Aktiviert.

3 Konfigurieren Sie die Berichtsspeichereinstellungen.


Dateipfad für Berichtsspeicherung Geben Sie den Pfad, unter dem die Berichte gespeichert werden sollen, im folgenden Format ein: \\{Servername}\{Ordnername}, wobei der Ordnername der Name des freigegebenen Ordners ist, den Sie auf dem Server erstellt haben.

Berichtsspeicherung-Caching aktiviert

Wenn die Einstellung aktiviert ist, werden die Dateien beim erstmaligen Zugriff lokal auf dem DS-Server zwischengespeichert. Nachfolgende Anforderungen werden mithilfe der Datei, die auf dem DS-Server zwischengespeichert wurde, bedient, anstatt vom Dateispeicherort zu streamen.

Wenn Sie die Zwischenspeicherung aktivieren, sollten Sie daran denken, den benötigten Speicherplatz auf dem Server bereitzustellen. Weitere Informationen finden Sie unter Voraussetzungen für Berichtsspeicherung.

Berichtsspeicherung-Identitätswechsel akviviert

Durch die Aktivierung dieser Option wird ein Dienstkonto mit den ordnungsgemäßen Berechtigungen hinzugefügt.

Berichtsspeicherung-Identitätswechsel Benutzernamen

Geben Sie den Benutzernamen eines gültigen Dienstkontos mit Lese-, Schreib- und Änderungsberechtigungen für das freigegebene Speicherverzeichnis ein.

Wird angezeigt, wenn Berichtsspeicherung-Identitätswechsel aktiviert aktiviert ist.

Berichtsspeicherung-Identitätswechsel Kennwort

Geben Sie das Kennwort eines gültigen Dienstkontos mit Lese-, Schreib- und Änderungsberechtigungen für das freigegebene Speicherverzeichnis ein.

Wird angezeigt, wenn Berichtsspeicherung-Identitätswechsel aktiviert aktiviert ist.

4 Wählen Sie die Schaltfläche Verbindung testen, um die Konfiguration zu testen


VMware, Inc. 197

Zertifikatsverwaltung 10Sie sollten digitale Zertifikate für die Sicherung Ihrer Unternehmensressourcen implementieren. Zertifikate bieten ein Niveau an Stabilität, Sicherheit und Authentifizierung, mit dem Kennwörter nicht konkurrieren können. Workspace ONE UEM powered by AirWatch löst dieses Problem der Gewährleistung der Sicherheit während des Lebenszyklus eines Geräts mithilfe digitaler Zertifikate.

Während die Mobilität sensibler Unternehmensinhalte zur Norm wird, steigt die Wahrscheinlichkeit unbefugter Zugriffe und bösartiger Bedrohungen. Auch wenn Sie E-Mail, WLAN und Virtual Private Network (VPN) Ihres Unternehmens mit sicheren Kennwörtern schützen, bleibt Ihre Infrastruktur für Brute-Force- und Wörterbuchangriffe sowie menschliche Fehler seitens Ihrer Mitarbeiter anfällig.

Widerrufen und Erneuern von digitalen ZertifikatenSie können Zertifikate einzeln oder in Gruppen widerrufen und erneuern. Verwenden Sie dazu die Erneuern oder Widerrufen digitaler Zertifikate.


n Erneuern oder Widerrufen digitaler Zertifikate

n Ressourcen zur Integration von Zertifikaten

Erneuern oder Widerrufen digitaler ZertifikateNach der Ausstellung können Sie in Workspace ONE UEM die bereitgestellten digitalen Zertifikate in der Listenansicht für Zertifikate in der Workspace ONE UEM Console verwalten. Administratoren können Zertifikate nach Gerät, Zertifizierungsstelle, Benutzer, Profil, Ausstellungsdatum usw. anzeigen und sortieren. Navigieren Sie zu Geräte > Zertifikate > Listenansicht.

Die Listenansicht für Zertifikate bietet eine Übersicht über alle eingesetzten Zertifikate sowie die Möglichkeit, Zertifikate erneuern oder widerrufen zu können, sei es einzeln oder massenweise. Finden und widerrufen Sie alle digitalen Zertifikate von einem deaktivierten Benutzer bzw. Gerät oder erneuern bzw. rotieren Sie sogar alle WLAN-Authentifizierungszertifikate vor einem aus Konformitätsgründen anberaumtem Ablaufdatum.

Verfahren

1 Starten Sie den Prozess über Geräte > Zertifikate > Listenansicht.

VMware, Inc. 198

2 Identifizieren und wählen Sie die digitalen Zertifikate aus, die Sie erneuern oder widerrufen möchten, indem Sie ein oder mehrere Kontrollkästchen aktivieren.

3 Wählen Sie die Schaltfläche „Aktion“ für die ausgewählten Zertifikate aus, auf die Sie die Aktion anwenden möchten.

n Erneuern

n Widerrufen

Ressourcen zur Integration von ZertifikatenSie können alle Zertifikatdokumente anhand des Namens auf docs.vmware.com finden.

n VMware AirWatch-Zertifikat-EOBO mit ADCS über DCOM – Richten Sie das Signaturzertifikat des Registrierungs-Agent mithilfe von ADCS über das DCOM-Protokoll ein und nutzen Sie die Microsoft-Funktion zum Registrieren von Zertifikaten im Auftrag anderer Benutzer (Enroll On Behalf Of Others, EOBO).

n VMware AirWatch-Zertifikatsauthentifizierung für Cisco AnyConnect – Richten Sie Ihre Cisco ASA Firewall mit Workspace ONE UEM zur automatischen Bereitstellung und Konfiguration des AnyConnect VPN mit externer ZS-Authentifizierung ein.

n VMware AirWatch-Zertifikatsauthentifizierung für Cisco IPSec VPN – Richten Sie Ihre Cisco ASA Firewall und Workspace ONE UEM zur automatischen Bereitstellung und Konfiguration des IPSec VPN mit externer ZS-Authentifizierung ein.

n VMware AirWatch-Zertifikatsauthentifizierung für EAS mit ADCS – Stellen Sie eine Vertrauensstellung zwischen Ihren Verzeichnisdiensten, Ihrer Zertifizierungsstelle und einem E-Mail-Server (nicht CAS) her.

n VMware AirWatch-Zertifikatsauthentifizierung für EAS mit NDES-MSCEP – Richten Sie den Microsoft Exchange Client Access Server (CAS) und Workspace ONE UEM ein, um einem Gerät zur Authentifizierung die Verbindung mit Microsoft Exchange ActiveSync (EAS) unter Verwendung eines Zertifikats zu ermöglichen.

n VMware AirWatch-Zertifikatsauthentifizierung für EAS mit SEG – Richten Sie Kerberos Delegation ein, um die EAS-Zertifikatsauthentifizierung mit dem Secure Email Gateway (SEG) zu ermöglichen.

n VMware Workspace ONE UEM-Integration mit Entrust IdentityGuard – Integrieren Sie den Entrust IdentityGuard-Dienst.

n VMware Workspace ONE UEM – Leitfaden zur Integration in GlobalSign – Integrieren Sie die GlobalSign-Dienste zur Ausstellung von Zertifikaten.

n VMware Workspace ONE UEM – Leitfaden zur Integration mit JCCH – Integrieren Sie die JCCH-Dienste zur Ausstellung von Zertifikaten.


VMware, Inc. 199

n VMware Workspace ONE UEM-Integration mit Microsoft ADCS über DCOM – Richten Sie die Microsoft-Zertifizierungsstelle für die direkte ZS über das DCOM-Protokoll ein. Nutzen Sie digitale Zertifikate durch Automatisierung des Erstellungs-, Erneuerungs- und Widerrufprozesses für Mobilgeräte.

n VMware Workspace ONE UEM-Integration mit Microsoft NDES über SCEP – Richten Sie die Microsoft-Zertifizierungsstelle zur direkten ZS-Integration in Workspace ONE UEM über das NDES/SCEP/MSECP-Protokoll ein.

n VMware Workspace ONE UEM-Integration mit OpenTrust CMS Mobile 2 – Integrieren Sie die OpenTrust CMS Mobile-Dienste.

n VMware Workspace ONE UEM – Leitfaden zur Integration in RSA-PKI – Führen Sie eine Integration in RSA-PKI zur Ausstellung von Zertifikaten durch.

n VMware Workspace ONE UEM-Integration mit SCEP – Verwenden Sie SCEP zur Nutzung von Zertifikaten als Teil Ihrer Workspace ONE UEM-Bereitstellung.

n VMware Workspace ONE UEM – Leitfaden zur Integration mit SecureAuth PKI – Integrieren Sie SecureAuth-Dienste zur Ausstellung von Zertifikaten.

n VMware Workspace ONE UEM – Leitfaden zur Integration mit Symantec MPKI – Integrieren Sie Symantec MPKI-Dienste.

n VMware AirWatch-Zertifikatsauthentifizierung für EAS mit SEG und TMG – Erörtert zwei Konfigurationen – TMG zu EAS-Server und TMG zu SEG zu EAS-Server und definiert die zum Einrichten der Zertifikatsauthentifizierung erforderlichen Konfigurationen.

n VMware Workspace ONE UEM-Sicherung mobiler Geräte mithilfe von Zertifikaten – Erfahren Sie mehr dazu, warum digitale Zertifikate auf mobilen Geräten mehr leisten, als nur interne Inhalte zu sichern.

n VMware Workspace ONE UEM – Übersicht über die Auswahl von Microsoft ZS-Bereitstellungsmodellen – Bietet Ihnen eine Übersicht über die verschiedenen Microsoft ZS-Bereitstellungsmodelle und hilft Ihnen bei der Wahl des richtigen Bereitstellungsmodells für Ihr Unternehmen.


VMware, Inc. 200

Benutzerdefinierte Attribute 11Benutzerdefinierte Attribute ermöglichen Ihnen, bestimmte Werte eines verwalteten Geräts zu extrahieren und an Workspace ONE UEM powered by AirWatch zurückzugeben. Sie können den Attributwert auch als Nachschlagewert für Geräte zuweisen.

Hinweis Benutzerdefinierte Attribute (und der Regelgenerator) sind nur in Organisationsgruppen auf Kundenebene konfigurierbar.

Datenbank der benutzerdefinierten AttributeBenutzerdefinierte Attribute werden entweder als XML-Datei auf dem Gerät oder in der Datenbank für benutzerdefinierte Attribute auf dem Workspace ONE UEM Console-Server gespeichert. Bei Verwendung der Datenbank werden benutzerdefinierte Attribute regelmäßig als Proben zu Workspace ONE UEM zu Zwecken der Anlagennachverfolgung von Schlüssel-/Wertpaaren gesendet. Wenn ein Eintrag in der Gerätedatenbank mit „Attribut erstellen = TRUE“ konfiguriert ist, übernimmt der Workspace ONE Intelligent Hub automatisch den Namen und den Wert, die mit dem benutzerdefinierten Attribut gesendet wurden. Das Schlüssel-/Wertpaar wird auf der Seite „Gerätedetails“ für das Gerät auf der Registerkarte „Benutzerdefinierte Attribute“ angezeigt.

Hinweis Benutzerdefinierte Attributwerte dürfen die folgenden Sonderzeichen nicht zurückgeben: / \ "*:; <> ? |. Wenn ein Skript einen Wert zurückgibt, der diese Zeichen enthält, wird der Wert nicht auf der Konsole gemeldet. Löschen Sie diese Zeichen in der Ausgabe des Skripts.


n Erstellen von benutzerdefinierten Attributen

n Importieren von benutzerdefinierten Attributen

n Zuweisen von Organisationsgruppen mithilfe von benutzerdefinierten Attributen

Erstellen von benutzerdefinierten AttributenErstellen Sie benutzerdefinierte Attribute und Werte für die Push-Übertragung auf Geräte. Diese Attribute und Werte steuern, wie die Produktregeln funktionieren. Benutzerdefinierte Attribute fungieren auch als Nachschlagewerte für bestimmte Geräte.

VMware, Inc. 201

Verfahren

1 Navigieren Sie zu Geräte > Provisioning > Benutzerdefinierte Attribute > Listenansicht.

2 Wählen Sie Hinzufügen und dann Attribut hinzufügen.

3 Geben Sie in der Registerkarte Einstellungen einen Attributnamen ein.

4 Geben Sie die optionale Beschreibung für den von dem Attribut identifizierten Inhalt ein.

5 Geben Sie den Namen der Anwendung ein, die das Attribut erfasst.

6 Wählen Sie Werte für Regelgenerator erfassen, um die Werte des Attributs im Dropdown-Menü des Regelgenerators verfügbar zu machen.

7 Klicken Sie auf Im Regelgenerator verwenden, wenn Sie das Attribut im Regelgenerator verwenden möchten.

8 Wählen Sie Persistieren, um die Entfernung des benutzerdefinierten Attributs aus der Workspace ONE UEM Console zu verhindern, es sei denn, es wird ausdrücklich von einem Administrator oder API-Aufruf entfernt.

Anderenfalls wird das Attribut wie gewohnt entfernt. Sollten Sie ein Benutzerdefiniertes Attribut löschen, das von einem Gerät an die UEM-Konsole gemeldet wurde, verbleibt ein persistentes Benutzerdefiniertes Attribut weiterhin in der UEM-Konsole. Persistente Benutzerdefinierte Attribute sind nur für Android- und Windows Rugged-Geräte verfügbar.

9 Wählen Sie Als Nachschlagewert benutzen, um das benutzerdefinierte Attribut überall in der UEM-Konsole als Nachschlagewert zu verwenden.

Sie können beispielsweise benutzerdefinierte Attribute als Teil eines Geräteanzeigenamens verwenden und so die Gerätebenennung vereinfachen.

10 Wählen Sie die Registerkarte Werte.

11 Klicken Sie auf Wert hinzufügen, um dem Benutzerdefinierten Attribut Werte hinzuzufügen. Wählen Sie anschließend Speichern.

Importieren von benutzerdefinierten AttributenDurch die Funktion für den Batch-Import von benutzerdefinierten Attributen können Sie massenweise benutzerdefinierte Attribute und entsprechende Werte in das System laden. In den bereitgestellten Vorlagen entspricht jede Spalte einem benutzerdefinierten Attribut und jede Zeile den verschiedenen Parametern.

Durch Vorlagen können Sie benutzerdefinierte Attribute auf unterschiedliche Weise und mit verschiedenen Informationen importieren.

Vorsicht Die Syntax der ersten Spalte sämtlicher Vorlagen muss exakt repliziert werden. Wenn nicht die richtige Syntax verwendet wird, kann dies zu Datenbankproblemen und zu einem Datenverlust führen.


VMware, Inc. 202

Vorlagentypenn Vorlage mit benutzerdefinierten Attributen – Ermöglicht Ihnen das Festlegen eines

benutzerdefinierten Attributs und der zugehörigen Einstellungen.

n Vorlage mit benutzerdefinierten Attributwerten – Ermöglicht Ihnen das Festlegen der Werte von vordefinierten benutzerdefinierten Attributen.

n Benutzerdefinierte Attributwerte von Geräten – Ermöglicht das Festlegen von Werten von vordefinierten benutzerdefinierten Attributen für einzelne Geräte basierend auf dem Wert des Querverweises (Xref). Durch Xref-Werte werden die einzelnen Geräte festgelegt, die den Wert von jedem benutzerdefinierten Attribut erhalten.

a Geräte-ID (die von Workspace ONE UEM zugewiesene Geräte-ID bei der Registrierung des Geräts)

b Seriennummer

c UDID

d MAC-Adresse

e IMEI-Nummer

Speichern Sie die Datei vor dem Import im CSV-Format.

Zuweisen von Organisationsgruppen mithilfe von benutzerdefinierten AttributenKonfigurieren Sie Regeln, die steuern, wie Geräte nach der Registrierung Organisationsgruppen zugewiesen werden. Sie können nur eine Zuweisungsregel für Benutzerdefinierte Attribute für jede von Ihnen ausgeführte Organisationsgruppe erstellen.


VMware, Inc. 203

Verfahren

1 Stellen Sie sicher, dass Sie sich aktuell in einer kundenspezifischen Organisationsgruppe befinden.

2 Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Allgemein > Erweiterungen.

3 Stellen Sie Regeln zur Gerätezuweisung auf Aktiviert.

4 Legen Sie den Typ auf Organisationsgruppe nach Benutzerdefiniertem Attribut fest.


6 Navigieren Sie zu Geräte > Provisioning > Benutzerdefinierte Attribute > Listenansicht > Hinzufügen > Attribut hinzufügen und erstellen Sie ein benutzerdefiniertes Attribut, falls Sie das nicht bereits getan haben.

Weitere Informationen finden Sie unter Erstellen von benutzerdefinierten Attributen.

7 Navigieren Sie zu Geräte > Provisioning > Benutzerdefinierte Attribute > Zuweisungsregeln für benutzerdefinierte Attribute > Regel hinzufügen.

8 Wählen Sie die Organisationsgruppe, der die Regel Geräte zuweist.

9 Wählen Sie Regel hinzufügen zur Konfiguration der Logik der Regel.


Attribut/Anwendung

Dieses benutzerdefinierte Attribut bestimmt die Gerätezuweisung.

Operator Dieser Operator vergleicht das Attribut mit dem Wert, um festzustellen, ob das Gerät für das Produkt geeignet ist.

Sollte mehr als ein Operator pro Regel verwendet werden, müssen Sie einen logischen Operator zwischen jedem Operator einschließen.

Hinweis Es gibt eine Beschränkung auf den Operatoren „kleiner als“ (<) und „größer als“ (>). Zu dieser Einschränkung gehören die Varianten „kleiner oder gleich“ und „größer oder gleich“. Diese Operatoren sind im engeren Sinne mathematisch. Das bedeutet, dass sie sich auf den Vergleich von Zahlen einschließlich Grenzzahlen auswirken. Sie können nicht zum Vergleich von nicht numerischem Textzeichenfolgen verwendet werden. Obwohl es üblich ist, Softwareversionen mithilfe von Zahlen darzustellen, die ein gestaffeltes System zur Bezeichnung von Versionen darstellen (z. B. 6.14.2), gelten diese Bezeichnungen nicht als Zahlen, da sie über mehr als eine Dezimalstelle verfügen. Bei diesen Bezeichnungen handelt es sich eigentlich um Textzeichenfolgen. Aus diesem Grund kann eine Zuweisungsregel, die Softwareversionsnummern mit mehreren Dezimalstellen mit Operatoren wie „größer“ oder „kleiner“ (und deren Varianten) vergleicht, zu Fehlermeldungen führen.

Wert Alle Werte von allen zutreffenden Geräten werden hier für das Attribut, das für die Regel ausgewählt wurde, aufgelistet.

Logischen Operator hinzufügen

Wählen Sie diese Funktion zur Anzeige eines Dropdown-Menüs von logischen Operatoren, wie UND, ODER, NICHT und Klammern. So können komplexere Regeln erstellt werden.

10 Wählen Sie Speichern nach der Konfiguration der Logik der Regel.


VMware, Inc. 204

Ergebnisse

Wenn sich ein Gerät mit einem zugewiesenen Attribut registriert, weist die Regel das Gerät der konfigurierten Organisationsgruppe zu.


VMware, Inc. 205

Documents

VMware · Inhalt 1 Verwalten von Geräten 8 Geräte-Dashboard 8 Gerätelistenansicht 10 Cursor-Popups in der Gerätelistenansicht 11 Filtern von Geräten in der Listenansicht 11 Hinzufügen