vmware · 2020-03-02 · inhalt 1 verwalten von geräten 10 geräte-dashboard 10...

Verwalten von Geräten

VMware Workspace ONE UEM 1903

Die aktuellste technische Dokumentation finden Sie auf der VMware-Website unter:

https://docs.vmware.com/de/

Falls Sie Anmerkungen zu dieser Dokumentation haben, senden Sie diese an:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Global, Inc.Zweigniederlassung DeutschlandWilly-Brandt-Platz 281829 MünchenGermanyTel.: +49 (0) 89 3706 17 000Fax: +49 (0) 89 3706 17 333www.vmware.com/de

Copyright © 2019 VMware, Inc. Alle Rechte vorbehalten. Urheberrechts- und Markenhinweise.


VMware, Inc. 2

https://docs.vmware.com/de/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Inhalt

1 Verwalten von Geräten 10Geräte-Dashboard 10

Gerätelistenansicht 12

Cursor-Popups in der Gerätelistenansicht 13

Filtern von Geräten in der Listenansicht 13

Hinzufügen eines Gerätes aus der Listenansicht 15

Geräte mit aufgehobener Registrierung 17

Massenaktionen in der Gerätelistenansicht 19

Auswählen von Geräten in der Gerätelistenansicht 19

Gerätedetails 20

Menüregisterkarten zu Gerätedetails 22

Geräteaktionen nach Plattform 23

Beschreibungen der Geräteaktionen 26

Registrierungsstatus 32

Detailansicht des Registrierungsstatus 34

Wipe-Schutz 35

Konfigurieren der Wipe-Schutzeinstellungen für verwaltete Geräte 35

Anzeigen von Wipe-Protokollen 36

Gemeinschaftsgeräte 37

Festlegen der Gemeinschaftsgerätehierarchie 38

Konfigurieren von Gemeinschaftsgeräten 39

Anmelden bei und Abmelden von Android-Gemeinschaftsgeräten 40

Anmelden bei und Abmelden von iOS-Gemeinschaftsgeräten 41

An- und Abmelden auf macOS-Gemeinschaftsgeräten 41

Einchecken eines gemeinsam genutzten Geräts über die UEM-Konsole 41

Aktivieren der auf einem Verzeichnisdienst basierenden Registrierung 42

Nachschlagewerte 43

2 Geräteregistrierung 45Registrieren eines Geräts mithilfe von Workspace ONE Intelligent Hub 46

Zusätzliche Registrierungsabläufe 46

Workspace ONE Direct Enrollment 48

Workspace ONE Direct Enrollment – unterstützte Optionen 49

Aktivieren der direkten Registrierung bei Workspace ONE 50

Registrieren Ihres Geräts mit Workspace ONE Direct Enrollment 52

Standardregistrierung vs. Registrierung durch Verzeichnisdienste 52

Verzeichnisdienst-Integration und Registrierungseinschränkungen 53

Überlegungen zur Registrierung – standardmäßige vs. verzeichnisbasierte Registrierung 54

VMware, Inc. 3

Aktivieren der Standardregistrierung 55

BYOD-Registrierung (Bring Your Own Device) 55

Überlegungen zur Registrierung – BYOD 56

Identifizieren von Unternehmensgeräten und Festlegen des Standardgerätebesitzes 57

Auffordern von Benutzern zur Identifizierung des Besitztyps 58

Eigenständige Registrierung vs. Geräte-Staging 59

Überlegungen zur Registrierung – Selbstregistrierung 59

Vorgang zur selbstständigen Registrierung 60

Überlegungen zur Registrierung – Geräte-Staging 60

Überwachungsmodus 62

Bereitstellen eines Einzelbenutzergeräts (Staging) 64

Bereitstellen eines Mehrbenutzergeräts (Staging) 65

Geräteeintragung 67

Überlegungen zur Registrierung – Registrierung 67

Eintragen eines einzelnen Geräts 69

Fehlende Geräte-IDs während der Registrierung 71

Registrieren mehrerer Geräte 72

Endbenutzer-Geräteeintragung 72

Anweisen der Benutzer zur Selbsteintragung 73

Nachverfolgen des Geräteregistrierungsstatus 74

Aktivieren von Registrierungstokens und Erstellen einer Standardnachricht 74

Generieren von Tokens mit der UEM-Konsole 75

Generieren von Tokens mit dem Self-Service-Portal (SSP) 76

Durchführung der Registrierung mithilfe eines Registrierungstokens 77

Konfigurieren von Registrierungsoptionen 77

Konfigurieren von Registrierungsoptionen für Nutzungsbedingungen 79

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Gruppierung“ 79

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Optionale Eingabeaufforderung“82

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Anpassung“ 85

Geräteeinträge auf Blacklists bzw. Whitelists 86

Hinzufügen eines auf der Blacklist oder Whitelist erfassten Gerätes 86

Zusätzliche Registrierungsrestriktionen 87

Überlegungen zur Registrierung – zusätzliche Restriktionen 87

Konfigurieren von Registrierungsrestriktionseinstellungen 88

Grenzwert für registrierte Geräte pro Organisationsgruppe 89

Erstellen einer Registrierungsbeschränkungsrichtlinie 90

Bedenken hinsichtlich der Geräteregistrierung auf globaler Ebene 92

Registrierung über AutoErmittlung 93

Konfigurieren der AutoErmittlungs-Registrierung von einer übergeordneten Organisationsgruppe93


VMware, Inc. 4

Konfigurieren der AutoErmittlungs-Registrierung von einer untergeordneten Organisationsgruppe94

3 Benutzer- und Administratorkonten 95Anwenderauthentifizierungstypen 95

Standardmäßige Benutzerauthentifizierung 96

Active Directory mit LDAP-Authentifizierung 97

Active Directory mit LDAP-Authentifizierung und VMware Enterprise Systems Connector 98

Authentifizierungs-Proxy 99

SAML 2.0-Authentifizierung 100

Tokenbasierte Authentifizierung 101

Aktivieren von Sicherheitstypen zur Registrierung 102

Standardbenutzerkonten 104

Erstellen von Standardbenutzerkonten 104

Verzeichnisbasierte Benutzerkonten 107

Erstellen von verzeichnisbasierten Benutzerkonten 108

Listenansicht für Benutzerkonten 110

Batch-Importfunktion 113

Batch-Import von Benutzern oder Geräten 114

Batch-Import von Benutzergruppen 115

Bearbeiten von Standardbenutzern mit Batch-Import 116

Verschieben von Benutzern mittels Batch-Import 116

Administratorkonten 117

Erstellen eines Administratorkontos 117

Erstellen eines temporären Administratorkontos 118

Verwalten von Administratorkonten 119

4 Rollenbasierter Zugriff 121Standard- und benutzerdefinierte Rollen 121

Bearbeiten einer standardmäßigen Endbenutzerrolle zur Erstellung einer Benutzerdefinierten Benutzerrolle 122

Standardadministratorrollen 123

Erstellen einer Benutzerdefinierten Administratorrolle durch Bearbeiten einer Standardadministratorrolle 124

Benutzerrollen 125

Erstellen einer neuen Benutzerrolle 125

Konfigurieren einer Standardrolle 125

Zuweisen oder Bearbeiten der Rolle eines vorhandenen Benutzers 126

Administratorrollen 126

Listenansicht von Administratorrollen 127

Lese-/Bearbeitungsanzeige in Kategorien für Administratorrollen 132

Zuweisen oder Bearbeiten der Rolle eines Administrators 132


VMware, Inc. 5

Anzeigen der Ressourcen einer Administratorrolle 132

Administratorrollen-Vergleichstool 133

5 Gruppen 136Zuweisungsgruppen 136

Listenansicht für Zuweisungsgruppen 137

Zuweisen einer oder mehrerer Zuweisungsgruppen 138

Organisationsgruppen 139

Eigenschaften von Organisationsgruppen 139

Erstellen von Organisationsgruppen 145

Organisationsgruppentyp – Funktionen 145

Organisationsgruppen – Restriktionen 146

Einstellungsvergleich bei Organisationsgruppen 147

Smartgroups 148

Erstellen einer Smartgroup 148

Smartgroup-Zuweisung 151

Ausschließen von Gruppen aus Profilen und Richtlinien 152

Listenansicht für Smartgroups 153

Benutzergruppen 156

Benutzergruppen ohne Verzeichnisintegration (benutzerdefiniert) 156

Benutzergruppen mit Verzeichnisintegration 157

Bearbeiten von Benutzergruppenberechtigungen 161

Ausnahme für die Verwendung der Gruppe für die Zuweisung 162

Zugreifen auf Anwenderdetails 162

Listenansicht für Anwendergruppen 163

Admin-Gruppen 165

Listenansicht von Administratorgruppen 166

Hinzufügen von Administratorgruppen 167

Zuweisungen anzeigen 169

6 Gerätezuweisungen 170Aktivieren von Gerätezuweisungen 170

Festlegen von Regeln zur Gerätezuweisung oder eines Netzwerkbereichs 172

7 Geräteprofile 175Verarbeitung von Profilen 175

Hinzufügen von allgemeinen Profileinstellungen 176

Listenansicht für Geräteprofile 178

Cursor-Popups bei Geräteprofilen 179

Bestätigen der Geräteprofilinstallation 180

Geräteprofile – schreibgeschützte Ansicht 181


VMware, Inc. 6

Bearbeiten von Geräteprofilen 181

Bearbeiten allgemeiner Geräteprofileinstellungen 181

Bearbeiten der Geräteprofileinstellungen für Nutzlasten 182

Konformitätsprofile 183

Hinzufügen eines Konformitätsprofils 183

Geofence-Bereiche 184

Unterstützung für Geofencing auf iOS-Geräten 184

Geofencing-Bereich hinzufügen 185

Anwenden eines Geofence auf ein Profil 186

iBeacons 187

Zeitpläne 187

Festlegen eines Zeitplans 187

Anwenden eines Zeitplans auf ein Profil 188

Anwenden eines Zeitplans auf ein vorhandenes Profil 188

Löschen eines Zeitplans 188

Gerätezuweisung anzeigen 189

8 Ressourcen 190Ressourcenlistenansicht 190

Hinzufügen einer Exchange-Ressource 192

Konfigurieren von erweiterten Einstellungen für iOS Exchange 193

Konfigurieren von erweiterten Einstellungen für macOS Exchange 194

Konfigurieren von erweiterten Einstellungen für Android Exchange 194

Konfigurieren von erweiterten Einstellungen für Windows Phone Exchange 195

Konfigurieren von erweiterten Einstellungen für Windows Desktop Exchange 196

Hinzufügen einer WLAN-Ressource 196

Konfigurieren von erweiterten Einstellungen für WLAN-Proxy 198

Konfigurieren von erweiterten Einstellungen für macOS-WLAN 198

Konfigurieren von erweiterten Einstellungen für Android-WLAN 199

Konfigurieren von erweiterten Einstellungen für Windows-WLAN 200

Hinzufügen einer VPN-Ressource 200

Konfigurieren von erweiterten Einstellungen für iOS-VPN 201

Konfigurieren von erweiterten Einstellungen für Android-VPN 203

Konfigurieren von erweiterten Einstellungen für das Windows Phone-VPN 203

9 Konformitätsrichtlinien 207Listenansicht für Konformitätsrichtlinien 208

Seite „Geräte anzeigen“ 209

Regeln für Konformitätsrichtlinien nach Plattform 210

Regeln für Konformitätsrichtlinien – Beschreibung 211

Konformitätsrichtlinienaktionen nach Plattform 213


VMware, Inc. 7

Hinzufügen einer Konformitätsrichtlinie 214

Gerätezuweisung anzeigen 217

Erkennung kompromittierter Geräte durch Integritätsnachweis 218

Konfigurieren Sie den Integritätsnachweisdienst für Windows Desktop-Konformitätsrichtlinien. 219

Konfigurieren des Integritätsnachweises für Windows Phone-Konformitätsrichtlinien 220

10 Datenschutz für BYOD-Bereitstellungen 223Sicherheit und Datenschutz in Workspace ONE UEM 223

Konfigurieren von Datenschutzeinstellungen 225

Datenschutzhinweise für BYOD-Endbenutzer 227

Datenschutzeinstellungen 228

Erstellen eines Datenschutzhinweises für BYOD-Benutzer 228

Datenschutz – bewährte Methoden 229

Benutzerdatenerfassung von BYOD-Endbenutzern 231

Nutzungsbedingungen für BYOD-Endbenutzer 234

Einschränkungen für BYOD-Geräte 234

Enterprise-Löschung für BYOD-Geräte 235

11 Gerätetags 237Filtern von Geräten nach Tags 238

Erstellen eines neuen Tags über die Systemeinstellungen 238

Zuweisen von Tags zu einem einzelnen Gerät 239

Zuweisen von Tags zu mehreren Geräten 240

Bearbeiten eines vorhandenen Gerätetags 240

Löschen eines vorhandenen Gerätetags 241

12 Einführung in Berichte 243Berichte für Workspace ONE Intelligence 244

Workspace ONE IntelligenceAnforderungen 245

Installieren des Workspace ONE Intelligence Connector-Diensts für lokal 247

Ausführen des Berichte-Assistenten 249

Berichtsmanagement 251

Übersicht über Workspace ONE UEM-Berichte 253

Neue Berichte 254

Generieren von Berichten 261

Abonnieren eines alten Berichts 262

Verwalten von Berichten 264

Fehlerbehebung für Berichte 264

Dateispeicherung 268

Voraussetzungen für Dateispeicherung 268

Aktivieren von Dateispeicherung für Berichte 270


VMware, Inc. 8

Berichtsspeicher 270

Voraussetzungen für Berichtsspeicherung 271

Aktivieren des Berichtsspeichers 272

13 Zertifikatsverwaltung 274Erneuern oder Widerrufen digitaler Zertifikate 274

Ressourcen zur Integration von Zertifikaten 275

14 Benutzerdefinierte Attribute 277Erstellen von benutzerdefinierten Attributen 277

Importieren von benutzerdefinierten Attributen 278

Zuweisen von Organisationsgruppen mithilfe von benutzerdefinierten Attributen 279


VMware, Inc. 9

Verwalten von Geräten 1Verwalten Sie Geräte in Ihrer Flotte und führen Sie auf den unterschiedlichen Seiten in der Workspace ONE UEM Console Funktionen auf einer bestimmten Reihe von Geräten durch.

Den Datenfluss können Sie mit dem Monitor überwachen, ausführlichere Informationen werden im Geräte-Dashboard angezeigt. In der Gerätelistenansicht können Sie auch Geräte zusammen gruppieren und angepasste Listen erstellen.

Sie können zudem Berichte erstellen und Tags verwenden, um Geräte schnell identifizieren zu können. Außerdem können Sie das Self-Service-Portal (SSP) einrichten, um Endbenutzern zu ermöglichen, ihre eigenen Geräte zu verwalten und die Mitarbeiter des Helpdesk zu entlasten.

Dieses Kapitel enthält die folgenden Themen:

n Geräte-Dashboard

n Gerätelistenansicht

n Gerätedetails

n Geräteaktionen nach Plattform

n Registrierungsstatus

n Wipe-Schutz

n Gemeinschaftsgeräte

n Nachschlagewerte

Geräte-DashboardSie können neu registrierte Geräte über das Workspace ONE UEMGeräte-Dashboard verwalten.

Das Geräte-Dashboard bietet einen Überblick über Ihre gesamte Geräteflotte sowie eine schnelle Möglichkeit, Aktionen für einzelne Geräte auszuführen.

VMware, Inc. 10

Sie können grafische Darstellungen relevanter Gerätedaten zu Ihrer Flotte prüfen, wie beispielsweise Gerätebesitztyp, Konformitätsstatistiken sowie Plattform- und Betriebssystemstrukturen. Sie können auf die einzelnen Gerätesätze in den dargestellten Kategorien zugreifen, indem Sie eine der verfügbaren Datenansichten vom Geräte-Dashboard auswählen.

In dieser Listenansicht können Sie administrative Aktionen ausführen, wie Nachrichten senden, Geräte sperren, Geräte löschen und zum Gerät gehörende Gruppen ändern.

n Sicherheit – Sehen Sie die häufigsten Ursachen für Sicherheitsprobleme in Ihrer Geräteflotte ein. Wählen Sie ein Ringdiagramm. Daraufhin wird eine gefilterte Gerätelistenansicht mit den von dem ausgewählten Sicherheitsproblem betroffenen Geräten angezeigt. Falls die Plattform dies unterstützt, können Sie über eine Konformitätsrichtlinie Maßnahmen für diese Geräte ergreifen.

n Kompromittiert – Anzahl und Prozentsatz der kompromittierten Geräte (mit Jailbreak oder Rootzugriff)) in Ihrer Bereitstellung.

n Keine Kennung – Anzahl und Prozentsatz der Geräte ohne eine zur Sicherheit konfigurierte Kennung

n Keine Verschlüsselung – Anzahl und Prozentsatz der nicht zur Sicherheit verschlüsselten Geräte. Die Android-SD-Kartenverschlüsselung wird in dieser gemeldeten Zahl nicht berücksichtigt. Nur Android Geräte, die über keine Festplattenverschlüsselung verfügen, werden in dem Ringdiagramm angezeigt.


VMware, Inc. 11

Besitz – Sehen Sie die Gesamtzahl der Geräte in allen Besitzkategorien ein. Wählen Sie einen Teil des Balkendiagramms aus. Daraufhin wird eine gefilterte Gerätelistenansicht mit den kompromittierten Geräten angezeigt, die von dem ausgewählten Besitztyp betroffen sind.

n Übersicht „Zuletzt gesehen“ / Aufgliederung „Zuletzt gesehen“ – Sehen Sie Anzahl und Prozentsatz der Geräte ein, die vor kurzem mit dem Workspace ONE UEM MDM-Server kommuniziert haben. Wenn mehrere Geräte beispielsweise seit über 30 Tagen nicht gesehen wurden, wählen Sie das entsprechenden Balkendiagramm aus, um nur diese Geräte anzuzeigen. Sie können dann all diese gefilterten Geräte auswählen und ihnen eine Nachricht senden, in der sie zum Check-in aufgefordert werden.

n Plattformen – Sehen Sie die Gesamtzahl der Geräte in allen Geräteplattformkategorien ein. Wählen Sie ein Balkendiagramm. Daraufhin wird eine gefilterte Listenansicht für Geräte von kompromittierten Geräten unter der ausgewählten Plattform angezeigt.

n Registrierung – Sehen Sie die Gesamtzahl der Geräte in den einzelnen Registrierungskategorien ein. Wählen Sie ein Balkendiagramm. Daraufhin wird eine gefilterte Listenansicht für Geräte von kompromittierten Geräten mit dem ausgewählten Registrierungsstatus angezeigt.

n Aufgliederung der Betriebssysteme – Sehen Sie die Geräte in Ihrer Flotte auf Grundlage des Betriebssystems ein. Es gibt separate Diagramme für Apple iOS, Android, Windows Phone und Windows Rugged. Wählen Sie ein Balkendiagramm. Daraufhin wird eine gefilterte Listenansicht für Geräte von kompromittierten Geräten mit der ausgewählten BS-Version angezeigt.

GerätelistenansichtVerwenden Sie die Gerätelistenansicht der UEM-Konsole, um eine vollständige Auflistung aller Geräte in der momentan ausgewählten Organisationsgruppe einzusehen.

Informationen zu einem bestimmten Gerät finden Sie auf der Gerätedetails.

Die Spalte Zuletzt gesehen gibt an, vor wie vielen Minuten das Gerät zuletzt eingecheckt wurde. Der Indikator wird rot oder grün angezeigt, je nachdem, wie viele Minuten in Timeout für Geräteinaktivität (Min.) definiert sind. Dieser Indikator kann unterGruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Erweiterungen festgelegt werden.

Wählen Sie jederzeit ein Gerät in der Spalte Allgemeine Info, um die Detailseite für dieses Gerät zu öffnen.

Sortieren Sie nach Spalten und konfigurieren Sie Informationsfilter, um auf Grundlage bestimmter Informationen Geräteaktivitäten zu prüfen. So können Sie beispielsweise nach der Spalte Konformitätsstatus sortieren, um nur die Geräte anzuzeigen, die zurzeit nicht konform sind, und ausschließlich für diese Geräte Maßnahmen zu ergreifen. Durchsuchen Sie alle Geräte nach einem freundlichen Namen oder Benutzernamen, um ein Gerät oder einen Benutzer herauszufiltern.


VMware, Inc. 12

Anpassen des Layouts der GerätelistenansichtSie können die vollständige Liste sichtbarer Spalten in der Ansicht Geräteliste anzeigen, indem Sie die Schaltfläche Layout und anschließend die Option Benutzerdefiniert wählen. In dieser Ansicht können Sie Spalten der Geräteliste nach Ihren Wünschen aus- und einblenden.

Sie haben auch die Möglichkeit, Ihre angepasste Spaltenansicht für alle Administratoren auf und unter der momentanen Organisationsgruppe (OG) anzuwenden). Sie können z. B. „Anlagennummer“ aus der Geräteliste der aktuellen Organisationsgruppe und aus allen untergeordneten Organisationsgruppen ausblenden.

Wenn Sie alle Anpassungen vorgenommen haben, wählen Sie die Schaltfläche Akzeptieren, um Ihre Spalteneinstellungen zu speichern und diese neue Spaltenansicht anzuwenden. Sie können jederzeit zu den Einstellungen für die Schaltfläche Layout zurückkehren und Ihre Spaltenanzeigeeinstellungen anpassen.

Durchsuchen der GerätelistenansichtSie können nach einem einzelnen Gerät suchen, um schnell auf dessen Informationen zuzugreifen und Remoteaktionen auf dem Gerät auszuführen.

Um eine Suche auszuführen, navigieren Sie zu Geräte > Listenansicht, wählen Sie die Leiste Liste durchsuchen und geben Sie einen Benutzernamen, einen benutzerfreundlichen Gerätenamen oder ein beliebiges anderes Element zur Identifizierung des Geräts ein. Durch diese Aktion wird eine Suche auf allen Geräten mit Ihrem Suchparameter in der aktuellen Organisationsgruppe und in allen untergeordneten Gruppen gestartet.

Cursor-Popups in der GerätelistenansichtJedes Gerät in der Spalte Allgemeine Info ist oben rechts neben dem Anzeigenamen des Geräts mit einem QuickInfo-Symbol in Form eines Ordners versehen. Wenn ein Benutzer (mit einem mobilen Touchscreengerät) auf dieses Symbol tippt oder (mittels eines PC oder Mac) mit einem Mauszeiger über dieses Symbol fährt, wird eine Cursor-Popup-Meldung angezeigt. Dieses Popup-Fenster enthält Informationen wie Freundlicher Name, Organisationsgruppe, Gruppen-ID, Verwaltung und Besitz.

Einige QuickInfo-Symbole befinden sich in der Gerätelistenansicht in den Spalten Registrierung und Konformitätsstatus. Diese QuickInfo-Symbole enthalten Cursor-Popups, die Registrierungsdatum bzw. Konformitätsverstöße anzeigen.

Filtern von Geräten in der ListenansichtSie können Filter anwenden, damit nur die Geräte angezeigt werden, an denen Sie interessiert sind. Klicken Sie auf die Schaltfläche Filter, um einen oder mehrere der folgenden Filter zu aktivieren, sodass nur die Geräte angezeigt werden, die zu den von Ihnen ausgewählten Kategorien passen.


VMware, Inc. 13

Einstellung Beschreibung

Verwaltung Zeigen Sie Geräte an, die auf Anwendungsebene oder über Katalog, Container oder MDM verwaltet werden. Zeigen Sie Geräte an, die mit einer Methode vom Typ Unbekannt verwaltet werden, Offline sind oder mit Allen Verwaltungsmethoden verwaltet werden.

Besitz Zeigen Sie Geräte mit den Zuständigkeitsebenen Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät, Mitarbeitereigen oder Nicht zugewiesen an. Sie können jeweils eine oder mehrere Zuständigkeitsebenen herausfiltern.

Smartgroups Zeigen Sie Geräte an, die zu der von Ihnen gewählten Smartgroup gehören. Klicken Sie auf das Textfeld Suchen und treffen Sie in der Liste der angezeigten Smartgroups die gewünschte Auswahl. Blättern Sie nach unten, um die alphabetische Liste aller Smartgroups einzusehen.

Benutzergruppen Zeigen Sie Geräte an, die zu den von Ihnen gewählten Benutzergruppen gehören. Klicken Sie auf das Textfeld Suchen und treffen Sie in der Liste der angezeigten Benutzergruppen die gewünschte Auswahl. Blättern Sie nach unten, um die alphabetische Liste aller Benutzergruppen einzusehen.

Gerätetyp

Plattform Treffen Sie in der vollständigen Liste der Geräteplattformen die gewünschte Auswahl. Sie können jeweils auch mehrere Plattformen herausfiltern.

BS-Version Sie müssen mindestens eine Plattform auswählen, damit Sie eine BS-Version auswählen können. Wenn Sie mehrere Plattformen auswählen, wird eine Liste der BS-Versionen angezeigt. Diese ist nach den ausgewählten Plattformen gruppiert.

Sicherheit

Kompromittiert Wählen Sie Kompromittiert, Nicht kompromittiert, Unbekannt oder Alle der oben genannten Möglichkeiten.

Ein kompromittiertes Gerät ist ein Gerät mit einem „Jailbreak“ (iOS-Geräte) oder Root-Zugriff (Android-Geräte).

Verschlüsselung Wählen Sie Verschlüsselt, Nicht verschlüsselt, Unbekannt oder Alle der oben genannten Möglichkeiten.

Kennung Wählen Sie Kennung, Keine Kennung, Unbekannt oder Alle Kennungsoptionen.

Status

Registrierungsstatus Wählen Sie Registriert, Enterprise-Löschung ausstehend, Bevorstehende Geräte-Löschung, Registrierung aufgehoben oder Alle der oben genannten Möglichkeiten.

Zuletzt gesehen Zeigen Sie Geräte auf Basis ihres letzten Check-in-Zeitpunkts an. Mit den Textfeldern für Minimum und Maximum in der Option Zuletzt gesehen (Tage) können Sie Geräte anzeigen, die innerhalb einer Spanne von Tagen zuletzt gesehen wurden. Eingegebene Zahlen sind als einschließliche Werte zu verstehen: Der Eintrag 1 zeigt alle Geräte an, die zuletzt vor mehr als einem Tag, jedoch vor weniger als zwei Tagen gesehen wurden. Der Eintrag 2 zeigt alle Geräte an, die zuletzt vor mehr als zwei Tagen, jedoch vor weniger als drei Tagen gesehen wurden usw. Der Eintrag 0 zeigt Geräte an, die zuletzt vor mehr als null Tagen, jedoch vor weniger als einem Tag (24 Stunden) gesehen wurden.

Zum Anzeigen von Geräten, die zuletzt vor mehr als (oder gleich) der als Maximum eingegebenen Anzahl an Tagen gesehen wurden, müssen Sie das Textfeld für das Minimum leer lassen.

Zum Anzeigen von Geräten, die zuletzt vor weniger als (oder gleich) der als Minimum eingegebenen Anzahl an Tagen gesehen wurden, müssen Sie das Textfeld für das Maximum leer lassen.

Konformität Wählen Sie Konform, Nicht konform, Konformitätsprüfung ausstehend, Nicht verfügbar, Unbekannt oder Alle der oben genannten Möglichkeiten.

Registrierungsverlauf Wählen Sie als Registrierungstermine Vergangener Tag, Letzte Woche, Letzter Monat oder Alle Registrierungstermine.

Erweitert


VMware, Inc. 14


MAC-Adresse Filtern Sie nach der Media Access Control-Adresse eines Geräts.

IP-Bereich Filtern Sie Geräte nach deren aktuell zugewiesener Internet Protocol-Adresse. Geben Sie IP-Adressen in die Textfelder IP-Bereichsanfang und IP-Bereichsende ein, um Geräte anzuzeigen, die innerhalb dieses Bereichs liegen.

Die aktuelle IP-Adresse kann eine der vielen zugehörigen IP-Adressen eines Geräts sein. Die meisten davon können auf der Registerkarte „Netzwerk“ oder „Gerätedetails“ gefunden werden. Da ein Gerät mehrere und unterschiedliche IP-Adressen melden kann, entspricht die im Filter verwendete IP-Adresse möglicherweise nicht immer der IP-Adresse, die in der Tabelle der Gerätelistenansicht angezeigt wird.

Tags Zeigen Sie Geräte nach deren zugewiesenen Tags an, die Sie über ein Dropdown-Menü suchen und auswählen können.

Tunnel Wählen Sie zwischen der Anzeige aller Geräte, die mit dem Tunnel verbunden sind oder nicht verbunden sind.

Inhaltskonformität Wählen Sie bei der Anzeige zwischen allen Geräten, Geräten, denen erforderliche Dokumente fehlen, sowie Geräten, denen nur die aktuelle Version der erforderlichen Inhalte fehlt.

Modus „Verloren“ Zeigen Sie alle Geräte oder nur die im Modus „Verloren“ aktivierten Geräte an. Steht nur für iOS-Geräte zur Verfügung.

Nachdem Sie mehrere Filter ausgewählt haben, können Sie mit einem Blick auf den Kreis mit dem Nummern-Badge rechts neben der Schaltfläche Filter feststellen, wie viele Filter genau angewendet werden, um die Liste zu erstellen.

Sie können alle ausgewählten Filter löschen und zur vollständigen Geräteliste zurückkehren, indem Sie auf das X neben der Schaltfläche Filter klicken.

Hinzufügen eines Gerätes aus der ListenansichtSie können ein Gerät einschließlich Benutzerzuweisung, Benutzerdefinierte Attribute und Tagging hinzufügen oder registrieren.

Verfahren

1 Navigieren Sie zu Geräte > Listenansicht oder Geräte > Lebenszyklus > Registrierungsstatus.

2 Klicken Sie auf die Schaltfläche Gerät hinzufügen. Die Seite Gerät hinzufügen wird angezeigt. Füllen Sie die folgenden Felder auf der Registerkarte Benutzer aus.


Benutzer

Suchtext Jedes Gerät muss einem Benutzer zugewiesen werden. Suchen Sie nach einem Benutzer, indem Sie Suchparameter in das Textfeld eingeben und auf die Schaltfläche Benutzer suchen klicken. Sie können einen Benutzer aus den Suchergebnissen auswählen oder auf den Link Neuen Benutzer erstellen klicken.

Neuen Benutzer erstellen

Sicherheitstyp Wählen Sie zwischen Standard- und Verzeichnisbenutzern aus.Weitere Informationen finden Sie unter Standardmäßige Benutzerauthentifizierung und Active Directory mit LDAP-Authentifizierung.


VMware, Inc. 15


Benutzername Geben Sie den Benutzernamen ein, unter dem Ihr Benutzer in Ihrer Workspace ONE UEM-Umgebung identifiziert ist.

Kennwort, Kennwort bestätigen Geben Sie das Kennwort entsprechend dem Benutzernamen ein und bestätigen Sie dieses.

E-Mail-Adresse Geben Sie die E-Mail-Adresse für das Benutzerkonto ein.

Registrierungsorganisationsgruppe Die Organisationsgruppe (OG), die als Registrierungs-OG für die Geräteregistrierung dient.

Erweiterte Benutzerdetails anzeigen Zeigen Sie alle erweiterten Benutzerdetails an, einschließlich umfangreicher Informationen, die Benutzername, Benutzerrufnummer und Name des Managers umfassen. Außerdem sind optionale Einstellungen zur Identifikation enthalten, z.B. Abteilung, Mitarbeiter-ID und Kostenstelle.

Wählen Sie die standardmäßige Benutzerrolle für den Benutzer, den Sie hinzufügen, wodurch die Berechtigungen dieses Benutzers bei der Verwendung eines vernetzten Geräts festgelegt werden.Weitere Informationen finden Sie unter Benutzerrollen.

Geräte-

Erwarteter Freundlicher Name Geben Sie den Namen des Geräts ein, der in der Gerätelistenansicht erscheint. Sie können auch Nachschlagewerte einbinden.Weitere Informationen finden Sie unter Nachschlagewerte.

Organisationsgruppe Wählen Sie die Organisationsgruppe, zu der das Gerät gehören soll, aus dem Dropdown-Menü aus.

Besitz Wählen Sie den Gerätebesitz aus dem Dropdown-Menü aus. Wählen Sie zwischen Keine(r/s), Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät und Mitarbeitereigen aus.

Plattform Wählen Sie die Plattform des Geräts aus dem Dropdown-Menü aus.

Erweiterte Geräteinformationsoptionen anzeigen

Zeigen Sie alle Einstellungen für erweiterte Gerätedaten an.

Einstellungen für erweiterte Geräteinformationen

Modell Wählen Sie das Gerätemodell aus der Dropdown-Liste aus. Die Inhalte dieses Dropdown-Menüs hängen davon ab, welche Auswahl in dem Dropdown-Menü Plattform getroffen wurde.

BS Wählen Sie das Betriebssystem des Geräts aus der Dropdown-Liste aus. Die Inhalte dieses Dropdown-Menüs hängen davon ab, welche Auswahl in dem Dropdown-Menü Plattform getroffen wurde.

UDID Geben Sie den eindeutigen Bezeichner des Geräts (UDID) ein.

Seriennummer Geben Sie die Seriennummer des Geräts ein.

IMEI Geben Sie die 15-stellige IMEI-Nummer (International Mobile Station Equipment Identity) des Geräts ein.

SIM Geben Sie die SIM-Kartendaten des Geräts ein.

Inventarnummer Geben Sie die Anlagennummer des Geräts ein. Diese Nummer wird intern von Ihrer Organisation erstellt und in dieser Einstellung festgehalten.

Messaging


VMware, Inc. 16


Nachrichtentyp Wählen Sie die Art der Benachrichtigung aus (Keine, SMS oder E-Mail), die nach erfolgreicher Registrierung in der Workspace ONE UEM-Umgebung an das Gerät gesendet werden soll.

E-Mail-Adresse Geben Sie die E-Mail-Adresse ein, an die die Registrierungsnachricht gesendet werden soll.

Dieses Feld wird nur dann angezeigt, wenn „E-Mail“ als Nachrichtentyp ausgewählt wurde.

E-Mail-Nachrichtenvorlage Wählen Sie die E-Mail-Vorlage aus dem Dropdown-Menü aus. Verwenden Sie den Link zum Öffnen der Seite „Nachrichtenvorlage“, auf der Sie eine E-Mail-Nachrichtenvorlage erstellen können.

Rufnummer Geben Sie die Rufnummer ein, an die die SMS gesendet werden soll.

Dieses Feld wird nur dann angezeigt, wenn „SMS“ als Nachrichtentyp ausgewählt wurde.

SMS-Nachrichtenvorlage Wählen Sie die SMS-Vorlage aus dem Dropdown-Menü aus. Verwenden Sie den Link zum Öffnen der Seite „Nachrichtenvorlage“, auf der Sie eine SMS-Nachrichtenvorlage erstellen können.

3 Wahlweise können Sie dem Gerät auch Benutzerdefinierte Attribute zuweisen. Wählen Sie die Schaltfläche Hinzufügen und geben Sie ein Attribut und den entsprechenden Wert ein.

4 Wahlweise können Sie dem Gerät auch Tags zuweisen. Wählen Sie die Schaltfläche Hinzufügen und wählen Sie für jedes zuzuweisende Tag ein Tag aus dem Dropdown-Menü aus.

5 Wählen Sie Speichern.

Geräte mit aufgehobener RegistrierungGeräte mit aufgehobener Registrierung können in der Workspace ONE UEM Console angezeigt werden, sofern sie registriert wurden oder in der Vergangenheit einen registrierten Status aufwiesen. Sie können auf der UEM-Konsole auch Zugriff auf Fehlerbehebungsprotokolle erhalten, die vor der Aufhebung der Registrierung des Geräts erstellt wurden.

Status „Registrierung aufgehoben“Ein Gerät mit aufgehobener Registrierung ist im Umfeld von drei möglichen Szenarien zu finden.

1 Das Gerät ist neu in Workspace ONE UEM, nicht registriert und somit auch nicht verwaltet. Ein Gerät in diesem Szenario kann nicht in der UEM-Konsole angezeigt werden.

2 Das neue Gerät hat den Workspace ONE-Registrierungsprozess begonnen und ist bei der UEM-Konsole registriert, aber noch nicht vollständig. Dieses Szenario tritt normalerweise während einer Welle neuer Registrierungen auf, in der Geräte registriert werden, um die Registrierung zu beschränken. Der Mechanismus, mit dem registrierte Geräte registriert werden, ist eine Geräte-Whitelist. Ein Gerät mit diesem Status kann in der UEM-Konsole mit dem Status „Registrierung aufgehoben“ angezeigt werden. Da ein registriertes Gerät normalerweise Teil des Registrierungsprozesses ist, behält ein Gerät dieses Szenario nicht lange bei.


VMware, Inc. 17

3 Das Gerät wurde in der Workspace ONE UEM Console vollständig registriert, wurde aber aus der UEM-Konsole gelöscht. Durch diese Aktion wird es aus allen Gerätemanagementfunktionen und -features entfernt. In diesem Szenario ist das Gerät nach wie vor bei der UEM-Konsole registriert und bleibt in der Whitelist. Das Gerät kann auf der UEM-Konsole auch mit dem Status „Registrierung aufgehoben“ angezeigt und daher problemlos erneut registriert werden. Ein Gerät kann in diesem Szenario auf unbestimmte Zeit verbleiben.

Sie können bis zu etwa 150.000 Geräte auf dieser Whitelist behalten. Kontaktieren Sie den Support, wenn diese Menge für Sie nicht ausreicht.

Sie können den Registrierungseintrag eines in der Whitelist aufgeführten Geräts jederzeit entfernen. In diesem Fall kann das Gerät auf der UEM-Konsole nicht angezeigt werden und ist dort unbekannt (obiges Szenario 1). Ein Gerät in diesem Szenario kann zu einem späteren Zeitpunkt registriert werden.

Alternativ können Sie das Gerät aus der Whitelist entfernen und einer Blacklist hinzufügen. In diesem Fall wird jegliche künftige Registrierung verhindert und das Gerät wird effektiv aus Ihrer Flotte verbannt.

Zugriff auf Fehlerbehebungsprotokolle, die vor der Aufhebung der Registrierung erstellt wurdenSie können auf Fehlerbehebungs-/Befehlsprotokolle zugreifen, die erstellt wurden, bevor die Registrierung des Geräts aufgehoben wurde. Diese Protokolle können hilfreich sein, um einen umfassenden Überblick über den Verlauf des Geräts zu erhalten. Führen Sie die folgenden Schritte aus, um die Fehlerbehebungs-/Befehlsprotokolle anzuzeigen.

Verfahren

1 Navigieren Sie zu Geräte > Listenansicht.

2 Wählen Sie ein Gerät aus, von dem Sie wissen, dass dessen Registrierung aufgehoben wurde.

Sie können die Listenansicht optional filtern, um nur Geräte mit dem StatusRegistrierung aufgehoben anzuzeigen.

Wenn Sie ein Gerät auswählen, wird die Detailansicht angezeigt.

3 Wählen Sie die Dropdown-Liste Mehr aus und wählen Sie dann Fehlerbehebung gefolgt von der Registerkarte Befehle aus.

Nächste Schritte

Wenn Sie nicht vorhaben, ein Gerät, dessen Registrierung zuvor aufgehoben wurde, wieder bei der gleichen Kundenorganisationsgruppe neu zu registrieren, können Sie das Gerät endgültig löschen, sodass der Geräteverlauf bei der Neuregistrierung gelöscht ist. Wenden Sie sich dazu an den Workspace ONE-Support.


VMware, Inc. 18

Massenaktionen in der GerätelistenansichtNachdem Sie eine Untergruppe an Geräten gefiltert haben, können Sie für mehrere Geräte Massenaktionen durchführen, indem Sie die Geräte und eine Aktion über die Gruppe von Aktionsschaltflächen auswählen.

Weitere Informationen finden Sie unter Auswählen von Geräten in der Gerätelistenansicht.

Massenaktionen sind in der Gerätelistenansicht nur verfügbar, wenn sie in den Systemeinstellungen aktiviert sind (Gruppen & Einstellungen > Alle Einstellungen > System > Sicherheit > Eingeschränkte Aktionen). Für kennwortgeschützte Aktionen ist eine PIN erforderlich.

Bei in der Listenansicht ausgewählten Geräten wird die Anzahl der ausgewählten Geräte neben den Aktionsschaltflächen angezeigt. Diese Zahl beinhaltet auch gefilterte Geräte, die ebenfalls ausgewählt wurden.

Massenverwaltungslimit in der GerätelistenansichtUm bei der Verwaltung einer großen Geräteflotte einen reibungslosen Ablauf zu gewährleisten, können Sie eine maximale Geräteanzahl für den Empfang eines Massenaktionsbefehls festlegen.

Ändern Sie diese Limits, indem Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Erweiterungen > Massenverwaltung navigieren.

Wenn bei vorhandenem Massenverwaltungslimit mehrere Geräte ausgewählt werden, wird ein Link neben der Nachricht bezüglich der Anzahl der ausgewählten Elemente angezeigt: Einige Aktionen sind aufgrund von Mengenlimits deaktiviert..

Warnung bezüglich Massenaktion in Warteschlange in der GerätelistenansichtDie Verarbeitung von Massenaktionen nimmt Zeit in Anspruch. Wenn Sie während der Verarbeitung einer vorhandenen Massenaktion in der Workspace ONE ™ ™ UEM-Konsole eine neue Massenaktion initiieren, wird eine Warnmeldung angezeigt.

Your previous bulk actions requested are still being processed. This request is run once the previous

actions are complete. Do you want to continue with the current request?

Wählen Sie Ja aus, um die neue Massenaktion in die Warteschlange zu setzen. Wählen Sie Nein aus, um die neue Massenaktion abzubrechen.

Auswählen von Geräten in der GerätelistenansichtSie können einzelne Geräte auf einer Seite auswählen, indem Sie links neben jedem Gerät die jeweiligen Kontrollkästchen aktivieren. Zudem können Sie über mehrere Seiten hinweg einen Geräteblock auswählen. Sie können sogar alle Geräte in Ihrer gesamten Flotte auswählen, wodurch möglicherweise die Warnung „Eingeschränkte Aktionen“ ausgelöst wird.


VMware, Inc. 19

Auswählen eines GeräteblocksSie können auch einen zusammenhängenden Block an Geräten auswählen, der sich sogar über mehrere Seiten erstrecken kann, indem Sie das Kontrollkästchen neben dem Gerät am Anfang der Liste aktivieren. Halten Sie dann die Umschalttaste gedrückt und aktivieren Sie das Kontrollkästchen neben dem Gerät am Ende der Liste. Diese Aktion ähnelt der Blockauswahl in Windows- und Mac-Umgebungen und ermöglicht Ihnen die Zuweisung von Massenaktionen für die jeweiligen ausgewählten Geräte.

Auswählen aller GeräteUm alle Geräte in der Liste auszuwählen oder deren Auswahl aufzuheben, kann das Kontrollkästchen „Global“ links neben der Kopfzeile der Spalte Zuletzt gesehen verwendet werden. Enthält Ihre Listenansicht eine Auflistung gefilterter Geräte, kann das Kontrollkästchen „Global“ verwendet werden, um alle gefilterten Geräte auszuwählen oder die Auswahl aufzuheben.

Wenn das Kontrollkästchen „Global“ ein grünes Minuszeichen enthält ( ) bedeutet dies, dass mindestens eine, aber nicht alle Geräte ausgewählt sind. Wenn Sie dieses Symbol erneut auswählen, ändert es sich in ein Häkchen ( ), das angibt, dass alle Geräte in der Liste (entweder gefiltert oder ungefiltert) ausgewählt wurden. Wenn Sie das Symbol ein drittes Mal wählen, ändert es sich wieder in ein leeres Kontrollkästchen ( ). Dieses weist darauf hin, dass derzeit keine Geräte in der Liste ausgewählt sind.

Warnung „Eingeschränkte Aktionen“ bei Auswahl aller GeräteWenn Sie eine Aktion unter Auswahl aller Geräte Ihrer Geräteflotte aktivieren, wird eine Warnung angezeigt.

„Sie versuchen, diese Aktion an [Anzahl der ausgewählten Geräte] Geräten vorzunehmen. Diese Aktion darf nicht an allen Geräten vorgenommen werden.“ Bestimmte Beschränkungen dieser Aktion beziehen sich auf Registrierungsstatus, Verwaltungstyp, Geräteplattform, Modell oder Betriebssystem.“

Diese Warnung führt die Vielfalt vor Augen, die eine große Geräteflotte mit zahlreichen unterschiedlichen Herstellern, Betriebssystemen und Funktionen mit sich bringt. Dies hängt nicht mit der Massenverwaltungsbeschränkung und möglichen, dadurch generierten Warnungen zusammen. Bei einer aktiven Massenverwaltungsbeschränkung würde die Warnmeldung Eingeschränkte Aktion nicht angezeigt werden.

GerätedetailsVerwenden Sie die Seite „Gerätedetails“, um detaillierte Informationen für ein einzelnes Gerät anzuzeigen und schnell auf Benutzer- und Geräteverwaltungsaktionen zuzugreifen.

Sie gelangen zu Gerätedetails, indem Sie den freundlichen Namen eines Geräts von einem der verfügbaren Dashboards auswählen oder die verfügbaren Suchtools in der Workspace ONE UEM Console verwenden.

Die Hauptseite ist in mehrere wesentliche Abschnitte unterteilt.

n Benachrichtigungsbadges – Zeigt den Kompromittierungsstatus, Konformitätsverletzungen, Registrierungsdatum, Uhrzeit der letzten Geräteanmeldung und die GPS-/Ortsdienstverfügbarkeit (nur für Android-Geräte) an.


VMware, Inc. 20

n Sicherheit – Zeigt Sicherheitseinstellungen an, z. B. verwendete Verwaltungssoftware, Kennungsstatus und Datenschutzmaßnahmen.

n Benutzer-Info – Zeigt wesentliche Benutzerinformationen an, wie vollständigen Namen und E-Mail-Adresse.

n Geräteinformation – Zeigt Gerätedetails an, z. B. Organisationsgruppe, Standort, Smartgroups, Seriennummer, UDID, Anlagennummer, Status der Stromversorgung einschließlich Akkustatus (nur für Zebra Android-Geräte), Speicherkapazität, physischen Speicher und Garantieinformationen an.

n Profile – Zeigt alle Profile an, z.B. installierte (aktive), zugewiesene (inaktive) sowie nicht verwaltete (über Sideloading geladene) Profile.

n Anwendungen – Zeigt alle installierten Anwendungen an, sowohl automatische als auch On-Demand-Anwendungen.

n Inhalt – Zeigt Inhalte an, der vom Administrator im verwalteten Repository von Workspace ONE UEM und im Admin-Repository als „Erforderlich“ gekennzeichnet wurden.

n Zertifikate – Führt alle installierten Zertifikate auf, einschließlich Zertifikate mit baldigem Ablaufdatum.

n Admin-Anwendungen – Zeigt die Informationen des installierten Workspace ONE Intelligent Hub einschließlich der Versionsnummer an.

n Zebra-Akkudaten (nur für Zebra Android-Geräte) – Zeigt detaillierte Akku-Informationen, einschließlich Akkuzustand, Herstellungsdatum, Seriennummer und Teilenummer an.

Dashboard für GerätedetailsAuf dem Dashboard werden wesentliche Geräteinformationen angezeigt, wie Gerätetyp, Gerätemodell, BS-Versionsnummer, Zuständigkeitstyp, interaktiver Geräteaktionsschaltflächen-Cluster und Indikator „Zuletzt verwendete Liste“.

Bei Auswahl der Pfeilschaltflächen im Indikator Zuletzt verwendete Liste ändert sich das ausgewählte Gerät je nach dessen Position in der gefilterten Listenansicht.

Aktionsschaltflächen-Cluster für Gerätedetails

Führen Sie durch das Aktionsschaltflächen-Cluster gängige Geräteaktionen wie „Abfragen“, „Senden [Nachricht]“, „Sperren“ sowie weitere Aktionen über die Schaltfläche Weitere Aktionen durch.


VMware, Inc. 21

Die verfügbaren Geräteaktionen variieren je nach Plattform, Gerätehersteller und Modell, Registrierungsstatus sowie der jeweiligen Konfiguration Ihrer Workspace ONE UEM Console. Eine komplette Liste der Remote-Aktionen, die ein Administrator über die Console ausführen kann, finden Sie unter Geräteaktionen nach Plattform.

Menüregisterkarten zu GerätedetailsFür den Zugriff auf bestimmte Geräteinformationen können Sie Menüregisterkarten verwenden, die je nach der gewählten Geräteplattform variieren.

Menüregisterkarte Beschreibung

Übersicht Prüfen Sie allgemeine Statistiken, wie beispielsweise Registrierungsstatus, Konformität, „Zuletzt gesehen“, GPS-Verfügbarkeit, Plattform/Modell/BS, Organisationsgruppe, Seriennummer, Status der Stromversorgung, Speicherkapazität, sowie physischen und virtuellen Speicher.

Konformität Prüfen Sie Status, Richtlinienname, Datum der vorherigen und bevorstehenden Konformitätsprüfung sowie die bereits auf dem Gerät ausgeführten Aktionen. Die Registerkarte Konformität enthält erweiterte Funktionen zur Fehlerbehebung und Zweckmäßigkeit:

n Bei nicht konformen Geräten und bei Geräten mit ausstehendem Konformitätsstatus stehen Funktionen zur Problembehandlung zur Verfügung. Sie können die Konformität auf Basis jeden einzelnen Geräts neu

bewerten ( ) oder detaillierte Informationen zum Konformitätsstatus auf dem Gerät abrufen ( ).

n Benutzer mit reiner Leseberechtigung können bestimmte Konformitätsrichtlinien direkt über die Registerkarte Konformität einsehen; Benutzer mit Administratorzugriff hingegen können Konformitätsrichtlinien bearbeiten.

Profile Prüfen Sie alle momentan zugewiesenen, installierten und nicht verwalteten Profile auf einem Gerät.

Anwendungen Prüfen Sie alle momentan zugewiesenen und auf dem Gerät installierten Apps.

In der Spalte für die App-Compliance werden mit dem SDK erstellte Anwendungen angegeben, die nicht den SDK-App-Compliance-Einstellungen entsprechen. Diese Einstellungen finden Sie unter Gruppen & Einstellungen > Alle Einstellungen > Einstellungen und Richtlinien > SDK-Anwendungs-Compliance.

Inhalte Zeigen Sie den Status, Typ, Namen, die Version, Priorität, Bereitstellung, letzte Aktualisierung sowie das Datum und die Uhrzeit der Ansichten und Inhalte auf dem Gerät an, die vom Administrator im verwalteten Repository von Workspace ONE UEM als „Erforderlich“ gekennzeichnet wurden. Diese Registerkarte enthält eine Symbolleiste für administrative Aktionen (installieren oder löschen).

Standort Prüfen Sie den aktuellen Standort oder Standortverlauf eines Geräts. Wählen Sie den Zeitraum oder die Zeitdauer aus, den bzw. die Sie bei der Suche nach Standortdatenpunkt zurückblicken. Mithilfe des Benutzerdefinierten Zeitraums können Sie einen Datums- und Zeitbereich in 5-Minuten-Inkrementen auswählen. Sie können auch Breiten- und Längengradkoordinaten dieser Datenpunkte überprüfen, indem Sie den Mauszeiger über Standortmarkierungen auf der Karte bewegen.

Aktivieren Sie die Erfassung von Standortdaten, indem Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer navigieren und die plattformspezifische Seite Hub-Einstellungen auswählen. Weitere Informationen zu Standortdaten und zum Datenschutz finden Sie unter GPS-Koordinaten zum Datenschutz – Bewährte Methoden.

Bearbeiten Sie die Anzahl der erfassten Standortdatenpunkte und die Mindestentfernung zwischen den Standorten, indem Sie zu Gruppen & Einstellungen > Alle Einstellungen > Installation > Karten navigieren.

Benutzer Greifen Sie auf Informationen über den Benutzer eines Geräts sowie auf den Status der anderen für diesen Benutzer registrierten Geräte zu.


VMware, Inc. 22

Menüregisterkarte Beschreibung

Mehr Diese zusätzlichen Menüregisterkarten variieren je nach Geräteplattform.

n Netzwerk – Prüfen Sie die aktuellen Netzwerkinformationen eines Geräts (Mobilfunk, WLAN, Bluetooth, IMEI).

n Sicherheit – Prüfen Sie den aktuellen Sicherheitsstatus eines Geräts auf Grundlage der Sicherheitseinstellungen.

n Telekommunikation – Prüfen Sie alle gesendeten und empfangenen Mengen an Anrufen, Daten und Nachrichten.

n Hinweise – Prüfen Sie Hinweise bezüglich des Geräts, und fügen Sie solche Hinweise hinzu. Vermerken Sie beispielsweise den Versandstatus, oder dass sich das Gerät momentan in Reparatur befindet oder es außer Betrieb ist.

n Zertifikate – Identifizieren Sie Gerätezertifikate nach Name und Aussteller. Diese Registerkarte gibt auch die Ablaufdaten des Zertifikats an.

n Produkte – Prüfen Sie den vollständigen Verlauf und den Status aller dem Gerät bereitgestellten Produkte sowie mögliche Bereitstellungsfehler. Sie können die erneute Verarbeitung (erneute Bereitstellung) eines Produkts auch erzwingen.

n Nutzungsbedingungen – Zeigen Sie eine Liste der Nutzungsbedingungen an, die bei der Registrierung des Geräts akzeptiert wurden.

Mehr,fortgesetzt n Warnungen – Prüfen Sie alle mit dem Gerät zusammenhängenden Warnungen.

n Gemeinschaftsgeräteprotokoll – Prüfen Sie den Verlauf bezüglich Gemeinschaftsgeräten, einschließlich vergangener Check-ins und Check-outs sowie des Status.

n Statusverlauf – Prüfen Sie den Geräteverlauf bezüglich des Registrierungsstatus.

n Gezielte Protokollierung – Prüfen Sie die Protokolle von Konsole, Katalog, Gerätediensten, Geräteverwaltung und Self-Service-Portal. Sie müssen die gezielte Protokollierung in den Einstellungen aktivieren. Zu diesem Zweck wird ein Link angegeben. Sie müssen dann die Schaltfläche Neues Protokoll erstellen auswählen und eine Zeitdauer für die Protokollerfassung auswählen.

n Fehlerbehebung – Prüfen Sie Protokollierungsinformationen unter Ereignisprotokoll und Befehle. Diese Seite enthält Export- und Suchfunktionen, die Ihnen gezielte Suchvorgänge und Analysen ermöglicht.

n Ereignisprotokoll – Sehen Sie detaillierte Fehlerbehebungsinformationen und Server-Check-ins ein, einschließlich Filter nach Ereignisgruppentyp, Datumsbereich, Schweregrad, Modul und Kategorie.

In der Ereignisprotokoll-Auflistung befinden sich in der Spalte Ereignisdaten eventuell Hypertextlinks, über die Sie weitere Details zum Ereignis in einem separaten Fenster anzeigen können. Diese Informationen ermöglichen Ihnen eine tiefgreifendere Fehlerbehebung, zum Beispiel bei der Nachforschung, warum ein Profil nicht installiert wurde.

n Befehle – Sehen Sie eine detaillierte Auflistung ausstehender, in Warteschlange befindlicher und abgeschlossener Befehle, die an das Gerät gesendet wurden. Enthält einen Filter, mit dem Sie Befehle nach Kategorie, Status und einem bestimmten Befehl filtern können.

n Anlagen – Verwenden Sie diesen Speicherplatz auf dem Server für Screenshots, Dokumente und Links zur Fehlerbehebung und für andere Zwecke, ohne dafür Speicherplatz auf dem Gerät in Anspruch zu nehmen.

Geräteaktionen nach PlattformAls Workspace ONE UEM-Administrator können Sie Befehle remote auf einzelnen oder allen Geräten ausführen. In verschiedenen Plattformen stehen dabei unterschiedliche Aktionen zur Verfügung. Jede


VMware, Inc. 23

dieser plattformspezifischen Geräteaktionen und deren Definitionen stellen Remotebefehle dar, die ein Administrator über die UEM-Konsole ausführen kann.

Weitere Informationen finden Sie unter Beschreibungen der Geräteaktionen.

Aktion AndroidApple iOS

Apple macOS

Apple TV

Chrome OS QNX

Windows Robust

Windows 7

Windows Phone

Windows Desktop

Tag hinzufügen ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Workspace ONE Intelligent Hub (Abfrage)

✓ ✓ ✓ (*)

Anwendungsremoteansicht ✓ ✓ ✓

Apps (Abfrage) ✓ ✓ ✓ ✓ (*) ✓ ✓

Bücher (Abfrage) ✓

Protokoll-Stornierungsanfrage

✓

Zertifikate (Abfrage) ✓ ✓ ✓ ✓ ✓ (*) ✓ ✓

Gerätekennung ändern ✓ ✓ ✓

Organisationsgruppe ändern

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Zuständigkeit ändern ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Aktivierungssperre aufheben

✓

Kennung zurücksetzen (Gerät)

✓ ✓ ✓ ✓

Kennung zurücksetzen (Container)

✓

Kennung zurücksetzen (Restriktionseinstellung)

✓

Gerät löschen ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Geräteinformationen (Abfrage)

✓ ✓ ✓ ✓ ✓ ✓ ✓ (*) ✓ ✓

Geräte-Löschung ✓ ✓ ✓ ✓ ✓ ✓ ✓

Gerät bearbeiten ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Modus „Verloren“ de-/aktivieren

✓

Registrieren ✓ ✓ ✓ ✓ ✓ ✓

Enterprise-Zurücksetzung ✓ ✓

Enterprise-Löschung ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Dateimanager ✓ ✓

Gerät finden ✓ ✓ ✓

iOS Update ✓


VMware, Inc. 24

Aktion AndroidApple iOS

Apple macOS

Apple TV

Chrome OS QNX

Windows Robust

Windows 7

Windows Phone

Windows Desktop

Standort ✓ ✓ ✓ ✓ ✓ ✓

Gerät sperren ✓ ✓ ✓ ✓ ✓ ✓

SSO sperren ✓ ✓

Verwaltete Einstellungen ✓ ✓

Auf „Nicht stören“ setzen ✓ ✓

Auftragsprotokollebene überschreiben

✓

Profile (Abfrage) ✓ ✓ ✓ ✓ ✓ (*)

Jetzt bereitstellen ✓ ✓

Alle abfragen ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Gerät neu starten ✓

Registrierungsmanager ✓

Remotesteuerung ✓ ✓ ✓

Remoteverwaltung ✓ ✓ ✓ ✓ ✓ ✓

Remoteansicht ✓

Gerät umbenennen ✓

Debug-Protokoll anfordern ✓

Geräte-Check-in anfordern ✓ ✓ ✓ ✓

Gerätestandort anfordern ✓

Workspace ONE Intelligent Hub neu starten

✓

Sicherheit (Abfrage) ✓ ✓ ✓ ✓ (*) ✓ ✓

Nachricht senden ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

AirPlay starten ✓ ✓

AWCM starten ✓ ✓

AWCM beenden ✓ ✓

Gerät synchronisieren ✓ ✓ ✓

Task-Manager ✓

Manifest anzeigen ✓

Warmstart ✓ ✓

(*) Diese Windows 7-Geräteaktion wird durch Ausführung des Befehls „Alle abfragen“ erfüllt. Dadurch werden dieselben Informationen zurückgegeben, als wenn individuelle Abfragebefehle separat ausgeführt werden würden.


VMware, Inc. 25

Beschreibungen der GeräteaktionenNehmen Sie Einsicht auf detaillierte Beschreibungen aller Aktionen, die von der Konsole auf einem Gerät remote ausgeführt werden können.

n Tag hinzufügen: Weisen Sie einem Gerät ein anpassbares Tag zu, das zur Identifizierung eines bestimmten Geräts in Ihrer Flotte verwendet werden kann.

n Workspace ONE Intelligent Hub (Abfrage) – Senden Sie einen Abfragebefehl an Workspace ONE Intelligent Hub des Geräts, um sicherzustellen, dass dieser auf dem Gerät installiert ist und ordnungsgemäß funktioniert.

n Anwendungsremoteansicht: Nehmen Sie in einer installierten Anwendung eine Reihe von Screenshots auf und senden Sie diese an die Seite „Remoteansicht“ in der UEM-Konsole. Sie können die Anzahl der Screenshots und die Länge der Dauer (in Sekunden) zwischen den Screenshots wählen.


VMware, Inc. 26

Auf Android- und iOS-Geräten muss VMware Content Locker installiert sein, damit Anwendungsremoteansicht ausgeführt werden kann.

n Anwendungen (Abfrage) – Senden Sie einen MDM-Abfragebefehl an das Gerät, um eine Liste der installierten Anwendungen abzurufen.

n Bücher (Abfrage) – Senden Sie einen Abfragebefehl an das Gerät, um eine Liste mit installierten Büchern zurückzugeben.

n Zertifikate (Abfrage) – Senden Sie einen MDM-Abfragebefehl an das Gerät, um eine Liste der installierten Zertifikate zurückzugeben.

n Gerätekennung ändern – Ersetzen Sie alle vorhandenen Gerätekennungen, die zum Zugriff auf ausgewählte Geräte verwendet werden, durch eine neue Kennung.

n Organisationsgruppe wechseln – Ändern Sie die Startorganisationsgruppe des Geräts in eine andere, bereits vorhandene OG. Weist eine Option zum Auswählen einer statischen oder dynamischen OG auf.

n Besitz ändern: Ändern Sie gegebenenfalls die Besitzeinstellungen für ein Gerät. Zur Auswahl stehen „Unternehmen – Dediziert“, „Unternehmen – Gemeinschaftsgerät“, „Mitarbeitereigen“ und „Undefiniert“.

n Aktivierungssperre aufheben – Heben Sie die Aktivierungssperre auf einem iOS-Gerät auf. Ist die Aktivierungssperre aktiviert, so benötigt der Benutzer eine Apple-ID sowie ein Kennwort, bevor folgende Aktionen ausgeführt werden können: Deaktivieren von „Mein iPhone suchen“, Zurücksetzen des Geräts auf Werkseinstellungen und Reaktivieren zur Benutzung des Geräts.

n Kennung löschen (Container) – Löschen Sie die containerspezifische Kennung. Diese Funktion ist für Situationen bestimmt, in denen Benutzer die Containerkennung ihres Geräts vergessen haben.

n Kennung löschen (Gerät) – Löschen Sie die Gerätekennung. Diese Funktion ist für Situationen bestimmt, in denen Benutzer ihre Gerätekennung vergessen haben.

n Kennung löschen (Restriktionseinstellung) – Löschen Sie die Kennung, die Gerätefunktionen, wie Anwendungsinstallation, Safari-Nutzung, Kameranutzung usw. beschränkt.

n Gerät löschen – Löschen Sie ein Gerät und heben Sie die Registrierung dieses Geräts in der Konsole auf. Sendet den Enterprise Wipe-Befehl an das Gerät, das beim nächsten Einchecken gelöscht wird, und markiert das Gerät in der Konsole als Wird gelöscht. Wenn der Löschschutz auf dem Gerät deaktiviert ist, führt der ausgegebene Befehl sofort einen Enterprise Wipe durch und entfernt die Gerätedarstellung in der Konsole.

n Geräteinformationen (Abfrage) – Senden Sie einen MDM-Abfragebefehl an das Gerät, um grundlegende Geräteinformationen, wie freundlichen Namen, Plattform, Modell, Organisationsgruppe, Version des Betriebssystems und Besitzstatus, zurückzugeben.

n Geräte-Wipe – Senden Sie einen MDM-Befehl, um alle Daten und das Betriebssystem von einem Gerät zu entfernen. Dadurch wird das Gerät in einen Zustand versetzt, in dem die Wiederherstellungspartition benötigt wird, um das Betriebssystem neu zu installieren. Diese Aktion kann nicht rückgängig gemacht werden.


VMware, Inc. 27

n Aspekte bei einer iOS-Geräte-Löschung

• Bei Geräten mit iOS 11 und älteren Versionen werden durch den Befehl für die Geräte-Löschung darüber hinaus auch die Apple SIM-Daten gelöscht, die den Geräten zugeordnet sind.

• Bei Geräten mit iOS 11 und höher besteht die Option zum Beibehalten des Apple SIM-Datentarifs (sofern auf den Geräten vorhanden). Aktivieren Sie dazu auf der Seite „Geräte-Wipe“ das Kontrollkästchen Datentarif beibehalten, bevor Sie den Wipe-Befehl senden.

• Bei Geräten mit iOS 11.3 und höher besteht außerdem die Option, beim Senden des Wipe-Befehls das Überspringen des Bildschirms Proximity einrichten zu aktivieren oder zu deaktivieren. Wenn die Option aktiviert ist, wird der Bildschirm „Proximity einrichten“ im Setup-Assistenten übersprungen, sodass dem Gerätebenutzer die Option „Proximity einrichten“ nicht angezeigt wird.

n Bei Windows Desktop-Geräten können Sie den Typ der Geräte-Löschung auswählen.

• Löschen – Mit dieser Option wird der gesamte Inhalt des Geräts gelöscht.

• Geschütztes Löschen – Diese Option ähnelt einer normalen Geräte-Löschung, aber diese Option kann nicht vom Benutzer umgangen werden. Der Befehl „Geschütztes Löschen“ versucht solange das Gerät zurückzusetzen, bis er erfolgreich ist. Bei einigen Gerätekonfigurationen kann dieser Befehl dazu führen, dass das Gerät nicht mehr gestartet werden kann.

• Löschen und Provisioning-Daten dauerhaft speichern – Mit dieser Option wird das Gerät gelöscht, es wird jedoch angegeben, dass Provisioning-Daten in einem persistenten Speicherort gesichert werden sollen. Nachdem die Löschung ausgeführt wurde, werden die Provisioning-Daten wiederhergestellt und auf das Gerät angewendet. Der Provisioning-Ordner wird gespeichert. Sie können den Ordner suchen, indem Sie auf dem Gerät zu %ProgramData%\Microsoft\Provisioning navigieren.

n Gerät bearbeiten – Bearbeiten Sie Gerätedaten, wie Freundlicher Name, Anlagennummer, Gerätebesitz, Gerätegruppe und Gerätekategorie.

n Modus „Verloren“ aktivieren/deaktivieren – Verwenden Sie diese Option zum Sperren eines Geräts und zum Senden einer Nachricht, Rufnummer oder SMS an den Sperrbildschirm. Der Modus


VMware, Inc. 28

„Verloren“ kann vom Benutzer selbst nicht deaktiviert werden. Wenn der Modus „Verloren“ von einem Administrator deaktiviert wird, kehrt das Gerät zur normalen Funktion zurück. Benutzer erhalten eine Nachricht, in der Sie darüber informiert werden, dass der Standort ihres Geräts freigegeben wurde. (Überwachte iOS 9.3+-Geräte)

n Gerätestandort anfordern – Fragen Sie ein Gerät im Modus „Verloren“ ab und verwenden Sie die Registerkarte „Standort“, um das Gerät ausfindig zu machen. (Überwachte iOS 9.3+-Geräte)

n Registrieren – Senden Sie eine Nachricht an Gerätebenutzer, die sie dazu auffordert, ihre Geräte zu registrieren. Wahlweise können Sie eine Nachrichtenvorlage verwenden, die Registrierungsinformationen, wie eine Schritt-für-Schritt-Anleitung und hilfreiche Links, enthält. Diese Aktion ist nur auf nicht registrierten Geräten verfügbar.

n Enterprise-Zurücksetzung – Setzen Sie ein Gerät auf die Werkseinstellungen zurück und behalten Sie dabei nur die Workspace ONE UEM-Registrierung bei.

n Enterprise Wipe – Heben Sie die Registrierung eines Geräts auf und entfernen Sie alle verwalteten Unternehmensressourcen, einschließlich Anwendungen und Profile. Diese Aktion kann nicht


VMware, Inc. 29

rückgängig gemacht werden. Erneute Registrierung ist zur Verwaltung dieses Geräts durch Workspace ONE UEM erforderlich. Enthält Optionen, um eine spätere erneute Registrierung zu verhindern, sowie das Feld Hinweisbeschreibung, in dem Sie wichtige Informationen zu dieser Aktion hinterlassen können.

n Enterprise-Löschung wird nicht für Geräte, die in Clouddomänen eingebunden sind, unterstützt.

n Dateimanager – Starten Sie einen Dateimanager in der UEM-Konsole, der es Ihnen ermöglicht, die Inhalte eines Geräts remote anzuzeigen, Ordner hinzuzufügen, Suchen auszuführen und Dateien hochzuladen.

n Gerät suchen – Senden Sie an die entsprechende Workspace ONE UEM-Anwendung eine Textnachricht sowie einen hörbaren Ton (mit den Optionen, die Anzahl der Wiederholungen der Töne sowie die Länge zwischen den Tönen in Sekunden festzulegen). Dank dieses hörbaren Tons kann der Benutzer das verlegte Gerät einfacher finden.

n iOS-Update – Übertragen Sie eine Betriebssystemaktualisierung per Push auf ein oder mehrere iOS-Geräte. Dies trifft nur auf überwachte, DEP-registrierte Geräte mit iOS-Version 9 oder höher zu.

n Standort – Zeigen Sie den Standort eines Geräts an, indem Sie es mit der GPS-Funktion, die über den MacOS Workspace ONE Intelligent Hubaktiviert wurde, auf einer Karte anzeigen. Erfordert auch die Genehmigung des Benutzers, um die Funktionalität in den MacOS-Systemeinstellungen zu aktivieren.

n Gerät sperren – Senden Sie einen MDM-Befehl, um ein ausgewähltes Gerät zu sperren. Es kann dann erst wieder verwendet werden, wenn es entsperrt wurde.

n SSO sperren – Sperren Sie den Zugriff auf Workspace ONE UEM-Container und alle beteiligten Anwendungen für den Gerätebenutzer.

n Verwaltete Einstellungen – Aktivieren oder deaktivieren Sie Sprachroaming, Datenroaming und private Hotspots.

n Auf „Nicht stören“ setzen – Setzen Sie das Gerät auf „Nicht stören“, und verhindern Sie dadurch, dass es Nachrichten, E-Mails, Profile und andere eingehende Interaktionen empfängt. Nur bei Geräten, die aktiv als „Nicht stören“ markiert sind, ist die Aktion „Nicht stören“ löschen verfügbar, wodurch die Restriktionen zurückgesetzt werden.

n Auftragsprotokollebene überschreiben – Überschreiben Sie die zurzeit festgelegte Ebene der Auftragsereignisprotokollierung auf dem ausgewählten Gerät. Diese Aktion bestimmt die Protokollierungsausführlichkeit der Aufträge, die durch die Produktbereitstellung per Push übertragen wurden, und überschreibt die in den Hub-Einstellungen für Android momentan festgelegte


VMware, Inc. 30

Protokollebene. „Auftragsprotokollebene überschreiben“ kann zurückgesetzt werden, indem auf dem Aktionsbildschirm das Dropdown-Menüelement Auf Standardeinstellung zurücksetzen ausgewählt oder die Auftragsprotokollebene unter der Kategorie „Produktbereitstellung“ in den Hub-Einstellungen für Android geändert wird.

n Profile (Abfrage) – Senden Sie einen MDM-Abfragebefehl an das Gerät, um eine Liste mit installierten Geräteprofilen zurückzugeben.

n Jetzt bereitstellen – Stellen Sie einem Gerät Produkte bereit. Die Bereitstellung ist die Fähigkeit, eine ordnungsgemäße Installation von Dateien, Aktionen, Profilen und Anwendungen in einem einzigen Produkt zu erstellen, das dann per Push auf Geräte übertragen werden kann.

n Alle abfragen – Senden Sie einen Abfragebefehl an das Gerät, um eine Liste aller installierten Anwendungen (einschließlich Workspace ONE Intelligent Hub, sofern zutreffend), Bücher, Zertifikate, Gerätedaten, Profile und Sicherheitsmaßnahmen zurückzugeben.

n Gerät neu starten – Führen Sie einen Remoteneustart eines Geräts aus, wodurch Sie den Effekt des Ein- und Wiedereinschaltens erzielen.

n Registrierungsmanager – Starten Sie in der UEM-Konsole einen Registrierungsmanager, der es Ihnen ermöglicht, die Registrierung des Betriebssystems eines Geräts remote einzusehen, Schlüssel hinzuzufügen, Suchen auszuführen und Eigenschaften hinzuzufügen.

n Remotesteuerung – Mit dieser Aktion übernehmen Sie remote die Steuerung über ein unterstütztes Gerät. Dabei wird eine Konsolenanwendung gestartet, durch die Sie Support für das Gerät bereitstellen und Fehler behandeln können. Diese Aktion erfordert die Installation des Remotesteuerungsdienstes auf Android-Geräten.

n Remoteverwaltung – Übernehmen Sie mit dieser Aktion die Steuerung über ein unterstütztes Gerät. Durch diese Aktion wird eine Konsolenanwendung gestartet, die es Ihnen ermöglicht, Support und Problembehandlung für das Gerät zu bieten. Diese Aktion erfordert die Installation des Remotesteuerungsdienstes auf Android-Geräten.

n Remoteansicht – Aktivieren Sie einen aktiven Fluss des Geräteoutputs an ein Ziel Ihrer Wahl (einschließlich IP-Adresse, Port, Audio-Port, Kennwort und Scanzeit). Dadurch wird es Ihnen ermöglicht, zu sehen, was die Benutzer beim Betrieb ihres Geräts sehen.

n Gerät umbenennen – Ändern Sie den Anzeigenamen des Gerätes in der UEM-Konsole.

n Geräteprotokoll anfordern – Fordern Sie das Debug-Protokoll auf einem ausgewählten Gerät an. Darauf können Sie das Protokoll einsehen, indem Sie die Registerkarte Mehr und dann Anlagen > Dokumente auswählen. Sie können das Protokoll nicht in Workspace ONE UEM Console anzeigen. Das Protokoll wird als ZIP-Datei bereitgestellt, die zur Fehlerbehebung und Unterstützung verwendet werden kann.


VMware, Inc. 31

Wenn Sie ein Protokoll anfordern, können Sie auswählen, ob die Protokolle vom System oder vom Hub empfangen werden sollen. System bietet Protokolle auf Systemebene. Hub stellt Protokolle von den verschiedenen Agenten bereit, die auf dem Gerät ausgeführt werden.

n Geräte-Check-in anfordern – Fordern Sie an, dass sich das ausgewählte Geräte bei der UEM-Konsole anmeldet. Mit dieser Aktion wird der Status der Spalte Zuletzt gesehen aktualisiert.

n Restart Workspace ONE Intelligent Hub – Starten Sie Workspace ONE Intelligent Hub neu. Diese Funktion wird zur Fehlerbehebung verwendet, wenn der Registrierungs- oder der Submodulinstallations-Prozess unterbrochen wird.

n Sicherheit (Abfrage) – Senden Sie einen MDM-Abfragebefehl an das Gerät, um eine Liste mit den aktiven Sicherheitsmaßnahmen (Gerätemanager, Verschlüsselung, Kennung, Zertifikate usw.) abzurufen.

n Nachricht senden – Senden Sie eine Nachricht an den Benutzer des ausgewählten Geräts. Wählen Sie zwischen E-Mail, Push-Benachrichtigung (über AirWatch Cloud Messaging) und SMS.

n AirPlay starten – Streamen Sie audiovisuelle Inhalte vom Gerät an ein AirPlay-Spiegelziel. Die MAC-Adresse (Format „xx:xx:xx:xx:xx:xx“ ohne Berücksichtigung der Groß-/Kleinschreibung) des Ziels ist erforderlich. Eine Kennung kann auch angegeben werden, falls erforderlich. Scanzeit definiert die Anzahl der Sekunden (10-300), die nach dem Ziel gesucht werden soll. MacOS 10.10 oder höher erforderlich.

n AWCM starten/stoppen – Starten/Stoppen Sie den Cloud Messaging-Dienst für das ausgewählte Gerät. VMware AirWatch Cloud Messaging (AWCM) optimiert die Übertragung von Nachrichten und Befehlen von der AirWatch Konsole, sodass der Endbenutzer nicht auf das öffentliche Internet zugreifen oder Benutzerkonten, wie Google-IDs, verwenden muss.

n Gerät synchronisieren – Synchronisieren Sie das ausgewählte Gerät mit der UEM-Konsole, wodurch der Status Zuletzt gesehen angeglichen wird.

n Task-Manager – Starten Sie einen Dateimanager in der UEM-Konsole, der es Ihnen ermöglicht, die momentan auf einem Gerät laufenden Aufgaben remote einzusehen, einschließlich Name, Prozess-ID und gegebenenfalls von Ihnen durchgeführte Aktionen.

n Manifest anzeigen – Sehen Sie das Paketmanifest eines Geräts im XML-Format von der UEM-Konsole ein. Im Manifest auf Windows Rugged-Geräten werden Metadaten für Widgets und Anwendungen aufgeführt.

n Warmstart – Veranlassen Sie einen Neustart des Betriebssystems, ohne einen Selbsttest (POST) durchzuführen.

RegistrierungsstatusVerwenden Sie die Seite Registrierungsstatus, um auf Registrierungsstatus auf einer Einzelgerätebasis zuzugreifen, Geräte massenweise zu importieren und einzutragen, Geräte per Whitelist zuzulassen und per Blacklist zu sperren und Gerätetokens zu widerrufen oder zurückzusetzen.

Wählen Sie Geräte > Lebenszyklus > Registrierungsstatus, um eine komplette Auflistung aller Geräte der momentan ausgewählten Organisationsgruppe nach Registrierungsstatus zu sehen.


VMware, Inc. 32

Sortieren Sie nach Spalten und konfigurieren Sie Informationsfilter, um auf Grundlage bestimmter Informationen Geräteaktivitäten zu prüfen. Sortieren Sie beispielsweise die Spalte Tokenstatus, um nur die Geräte zu prüfen, deren Eintragung nicht in Kraft ist, und ergreifen Sie Maßnahmen für ausschließlich diese Geräte. Durchsuchen Sie alle Geräte nach einem freundlichen Namen oder Benutzernamen, um ein Gerät oder einen Benutzer herauszufiltern.


Filter Sie können durch Filter gesamte Gerätekategorien herausfiltern, sodass Sie nur die von Ihnen gewünschten Geräte sehen.

n Registrierungsstatusn Plattformn Besitzn Tokenstatusn Tokentypn Quellen Zuerst gesehen

Hinzufügen n Gerät eintragen – Sie können ein einzelnes Gerät zur Registrierung eintragen oder Hinzufügen.

n Blacklisting und Whitelisting von Geräten – Es können nur Geräte registriert werden, die von Ihnen identifiziert oder auf die Whitelist gesetzt wurden. Wahlweise können Sie Geräte zur Registrierung beschränken, indem Sie diese auf einer Blacklist erfassen.

n Batch-Import – Im Bildschirm „Batch-Import“ können Sie mehrere Geräte oder Benutzer importieren.

Weitere Informationen finden Sie unter Hinzufügen eines Gerätes aus der Listenansicht, Hinzufügen eines auf der Blacklist oder Whitelist erfassten Gerätes und Batch-Import von Benutzern oder Geräten.

Nachricht erneut senden Senden Sie dem Benutzer die ursprüngliche Nachricht erneut, einschließlich Self-Service-Portal-URL, Gruppen-ID und Anmeldedaten.

Weitere Aktionen


Schieben Sie das ausgewählte Gerät in die Organisationsgruppe Ihrer Wahl.

Besitz ändern Ändern Sie den Besitztyp für das ausgewählte Gerät.

Löschen Löschen Sie dauerhaft die Eintragungsinformationen für ausgewählte Geräte. Durch diese Aktion muss sich der Benutzer neu eintragen, um sich zu registrieren. Wo zutreffend müssen Sie zuerst das Token widerrufen, bevor Sie eine Geräteeintragung löschen.

Token zurücksetzen Setzen Sie bei Widerruf oder Ablauf den Status eines Tokens zurück.

Token widerrufen Setzen Sie durch, dass der Eintragungstokenstatus ausgewählter Geräte abläuft, wodurch im Wesentlichen der Zugriff für nicht gewünschte Benutzer und Geräte blockiert wird.

Für die Aktionen Token zurücksetzen und Token widerrufen können Sie das Feld Benutzer verständigen deaktivieren, wodurch das Senden der standardmäßigen E-Mail-Benachrichtigung verhindert wird.


VMware, Inc. 33


Auswählen mehrerer Geräte

Führen Sie auf einzelnen oder mehreren Geräten Aktionen aus, indem Sie das Kontrollkästchen neben jedem Gerät aktivieren und die Aktionsschaltflächen verwenden.

Nachdem Sie einen Filter angewendet haben, um einen bestimmten Gerätesatz anzuzeigen, können Sie Massenaktionen für mehrere ausgewählte Geräte durchführen. Führen Sie diese Aktion durch, indem Sie die Geräte und eine Aktion über die Schaltflächen Nachricht erneut senden und Weitere Aktionen auswählen.

Sie können die einzelnen Kontrollkästchen aktivieren. Sie können auch das globale Kontrollkästchen oben in der Kontrollkästchenspalte aktivieren und so alle herausgefilterten Geräte auswählen.

Wenn Sie eine Aktion für ein oder mehrere Geräte wählen, wird eine Bestätigungsseite angezeigt, auf der Sie Ihre Aktion Speichern oder Abbrechen können.

Layout Zeigen Sie die vollständige Liste der verfügbaren Spalten an oder legen Sie mithilfe der Option Benutzerdefiniert anhand eigener Einstellungen fest, welche Spalten angezeigt oder ausgeblendet werden sollen.

Sie haben auch die Möglichkeit, Ihre angepasste Spaltenansicht für alle Administratoren in oder unterhalb der momentanen Organisationsgruppe anzuwenden.

Sie können jederzeit zu den Einstellungen für die Schaltfläche Layout zurückkehren und Ihre Spaltenanzeigeeinstellungen ändern.

Detailansicht des RegistrierungsstatusSie können jederzeit in der Spalte Allgemeine Info den freundlichen Namen eines Geräts auswählen, um die Detailansicht für das Gerät zu öffnen.

In der Detailansicht können Sie über die Schaltfläche Nachricht erneut senden die Registrierungsnachricht erneut senden. Sie können die Eintragungsinformationen eines Geräts auch bearbeiten, indem Sie die Schaltfläche Eintragung bearbeiten wählen und den Abschnitt Erweiterte Geräteinformationen ausfüllen.

Die Detailansicht zeigt eine Reihe von Registerkarten an, die wichtige Eintragungsinformationen über das Gerät enthalten.

n Übersicht – Prüfen Sie das Eintragungsdatum, die verstrichene Zeit, seitdem das Gerät zum ersten Mal gesehen wurde, sowie grundlegende Geräte- und Benutzerinformationen.

n Benutzer – Prüfen Sie detaillierte Benutzerinformationen.

n Nachricht – Prüfen Sie die ausgehende Geräteaktivierungs-E-Mail-Nachricht, einschließlich der Anmeldedaten und des QR-Codes. Über die Ressource „Benutzerregistrierungsnachricht“ kann der Workspace ONE UEM-Administrator den Tab Nachricht ausblenden, nachdem das Gerät erfolgreich registriert wurde.

n Benutzerdefinierte Attribute – Prüfen Sie die zum Gerät gehörenden, Benutzerdefinierten Attribute..

n Tags – Prüfen Sie die momentan zu den Geräten gehörenden Tags.

n Offline-Registrierung – Sofern verfügbar, ermöglicht diese Registerkarte Ihnen, Ihr Gerät zu registrieren, auch wenn es offline ist. Diese Funktion erweist sich besonders dann als nützlich, wenn Sie das Maximum der geplanten Nutzungszeit aus einem Gerät herausholen möchten, wenn dieses sich in einem nicht verfügbaren Zustand befindet (z.B. auf Reisen).


VMware, Inc. 34

Wipe-SchutzDie Remotezurücksetzung von berechtigten Unternehmensinhalten, auch als „Enterprise Wipe“ bezeichnet, wird durchgeführt, wenn ein Gerät verloren geht oder gestohlen wird. Sie dient als Schutz vor dem Risiko einer unbeabsichtigten Offenlegung von Unternehmensinhalten gegenüber Wettbewerbern.

Es können jedoch Umstände auftreten, die Wipe-Vorgänge durch geplante Prozesse wie die Compliance Engine oder andere automatisierte Prozesse für viele Geräte nach sich ziehen. Als Administrator sollten Sie sich darüber informieren, wann eine solche Anweisung geplant ist, um die Möglichkeit zu haben, ggf. eingreifen zu können.

Konfigurieren Sie die Wipe-Schutzeinstellungen durch Festlegen eines Wipe-Schwellenwerts, der die minimale Anzahl gewipter Geräte in einem bestimmten Zeitraum darstellt. Wenn innerhalb von 20 Minuten mehr als 10 Geräte gewipt werden, können Sie zukünftigen Wipes zurückhalten, bis Sie die Wipe-Befehle überprüft haben.

In Wipe-Protokollen können Sie prüfen, wann und aus welchem Grund Geräte gewipt wurden. Nachdem Sie die Informationen geprüft haben, können Sie die zurückgehaltenen Wipe-Befehle akzeptieren oder ablehnen, und das System entsperren, um den Wipe-Schwellenwertzähler zurückzusetzen.

Konfigurieren der Wipe-Schutzeinstellungen für verwaltete GeräteLegen Sie einen Wipe-Schwellenwert für verwaltete Geräte fest und benachrichtigen Sie Administratoren per E-Mail, wenn der Schwellenwert erreicht wird. Diese Einstellungen können Sie nur in der globalen Organisationsgruppe oder der Organisationsgruppe der Kundenebene konfigurieren.

Verfahren

1 Navigieren Sie zu Geräte > Lebenszyklus > Einstellungen > Wipe-Schutz für verwaltete Geräte.

2 Konfigurieren Sie folgende Einstellungen:


Gewipte Geräte Geben Sie die Anzahl der gewipten Geräte als Schwellenwert zum Auslösen des Wipe-Schutzes ein.

Innerhalb (Minuten)

Geben Sie den Wert für Innerhalb (Minuten) ein. Dabei handelt sich um die Zeitdauer, während der die Wipes auftreten müssen, um den Wipe-Schutz auszulösen.

E-Mail Wählen Sie eine Nachrichtenvorlage für die E-Mail an Administratoren.

Erstellen Sie eine Nachrichtenvorlage für Löschungs-Schutz, indem Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Nachrichtenvorlagen navigieren und Hinzufügenwählen. Wählen Sie als Nächstes Gerätelebenszyklus als Kategorie und Löschungs-Schutzbenachrichtigung als Typ. Sie können folgende Suchwerte als Teil Ihrer Nachrichtenvorlage verwenden:

n {EnterpriseWipeInterval} – Der Wert von Innerhalb (Minuten) auf der Einstellungsseite.

n {WipeLogConsolePage} – Ein Link zur Seite „Löschungs-Protokoll“.

An Geben Sie die E-Mail-Adressen der Administratoren ein, die benachrichtigt werden müssen. Diese Administratoren müssen Zugriff auf die Seite „Wipe-Protokoll“ haben.

Weitere Informationen finden Sie unter Nachschlagewerte.



VMware, Inc. 35

Anzeigen von Wipe-ProtokollenSie können die Seite Wipe-Protokolle einsehen und prüfen, wann und aus welchem Grund Geräte gewipt wurden. Nachdem Sie die Informationen geprüft haben, können Sie alle gesperrten Löschungs-Befehle akzeptieren oder ablehnen und das System entsperren, um den Löschungs-Schwellenwertzähler zurückzusetzen.

Ist das System gesperrt, sehen Sie oben auf der Seite ein Banner, das diesen Status anzeigt.

Verfahren

1 Navigieren Sie zu Geräte > Lebenszyklus > Wipe-Protokoll.

Der Zugriff auf die Seite Wipe-Protokoll wird durch die Ressource „Bericht – Geräte-Wipe-Protokoll“ verwaltet und steht standardmäßig System-, SaaS- und Workspace ONE UEM Administratoren zur Verfügung. Sie können diese Ressource jeder benutzerdefinierten Administratorrolle über die Seite Administratorrolle erstellen hinzufügen.

Weitere Informationen finden Sie unter Erstellen von Administratorrollen.

2 Filtern Sie das Wipe-Protokoll anhand der folgenden Parameter.

n Datumsbereich

n Wipe-Typ

n Status

n Quelle

n Zuständigkeit

3 Sehen Sie die Geräteliste ein und bestimmen Sie, ob es sich bei den aufgeführten Geräten um gültige Wipes handelt.

Geräte, bei denen Aktionen ausstehen, haben den Status „Zurückgehalten“. Geräte, die vor der erreichten Schwellenwertgrenze gewipt wurden, werden als „Verarbeitet“ angezeigt.

a Handelt es sich um gültige Wipes, wählen Sie jedes Gerät und dann Wipes zulassen aus der Befehlsliste aus. Der Status wechselt dann zu „Zulässig“.

b Handelt es sich nicht um gültige Wipes, wählen Sie jedes Gerät und dann Abgelehnte Wipes aus der Befehlsliste aus. Der Status wechselt dann zu „Abgelehnt“.

4 Setzen Sie den Schwellenwertzähler des Geräts zurück und lassen Sie Löschungs-Befehle zu, indem Sie System entsperren auswählen.

Nächste Schritte

Das System lasst zukünftige automatisierte Wipe-Befehle zu, bis die Schwellenwertgrenze wieder erreicht ist.

Sie können diese Aktion nur in der globalen Organisationsgruppe oder der Organisationsgruppe der Kundenebene ausführen.


VMware, Inc. 36

GemeinschaftsgeräteDie Funktionalität für Gemeinschafts-/Mehrbenutzergeräte sorgt dafür, dass Sicherheit und Authentifizierung für jeden einzelnen Endbenutzer gewährleistet werden. Gegebenenfalls ermöglichen Gemeinschaftsgeräte nur speziellen Endbenutzern den Zugriff auf vertrauliche Informationen.

Jedem Mitarbeiter in gewissen Organisationen ein Gerät zu geben, kann sich zum einem kostenintensiven Unterfangen entwickeln. Mit Workspace ONE UEM können Sie Mobilgeräte zur Nutzung durch mehrere Endbenutzer auf zwei Weisen einsetzen: mit einer einzigen festen Konfiguration für alle Endbenutzer oder mit einer eindeutigen Konfigurationseinstellung für jeden einzelnen Benutzer.

Bei der Verteilung von Gemeinschaftsgeräten müssen Sie die Geräte zuerst mit entsprechenden Anwendungseinstellungen und -restriktionen versehen, bevor Sie sie für Endbenutzer bereitstellen. Einmal bereitgestellt, verwendet Workspace ONE UEM einen einfachen An- oder Abmeldeprozess für freigegebene Geräte, in dem Endbenutzer zur Anmeldung einfach ihre Anmeldedaten für Verzeichnisdienste oder dedizierte Anmeldedaten eingeben. Von der Rolle des Endbenutzers hängt die Ebene des Zugriffs auf Unternehmensressourcen wie Inhalte, Funktionen und Anwendungen ab. Auf Basis dieser Rolle werden beim Anmelden des Endbenutzers automatisch die Funktionen und Ressourcen konfiguriert, die ihm dann nach der Anmeldung zur Verfügung stehen.

Die An- und Abmeldefunktionen sind innerhalb von Workspace ONE Intelligent Hub eigenständig. Die Eigenständigkeit stellt sicher, dass der Registrierungsstatus nie betroffen ist und dass das Gerät unabhängig davon verwalten wird, ob es verwendet wird oder nicht.

Gemeinschaftsgeräte – FunktionalitätEs gibt grundlegende Funktionen im Bereich der Funktionalität und Sicherheit von Geräten, die auf mehrere Benutzer zutreffen müssen. Diese Funktionen bieten überzeugende Gründe, Gemeinschaftsgeräte als kosteneffiziente Lösung zur bestmöglichen Ausschöpfung von Unternehmensmobilität zu erwägen.

Funktionalitätn Individualisieren Sie das Benutzererlebnis des einzelnen Endbenutzers, ohne

Unternehmenseinstellungen zu verlieren.

n Bei der Anmeldung auf einem Gerät wird das Gerät je nach Endbenutzerrolle und Organisationsgruppe (OG) mit bestimmten Unternehmenszugriffsrechten sowie Einstellungen, Anwendungen und Inhalten konfiguriert.

n Ermöglichen Sie einen eigenständigen An- und Abmeldevorgang in Workspace ONE Intelligent Hub oder VMware Identity Manager.

n Nachdem sich der Endbenutzer vom Gerät abgemeldet hat, werden die Konfigurationseinstellungen dieser Sitzung gelöscht. Danach kann sich ein anderer Endbenutzer an diesem Gerät anmelden.


VMware, Inc. 37

Sicherheitn Versehen Sie Geräte mit Einstellungen für Gemeinschaftsgeräte, bevor Sie diese den Endbenutzern

zur Verfügung stellen.

n Endbenutzer können sich ohne Auswirkungen auf die Geräteregistrierung bei Workspace ONE UEM auf Geräten an- und abmelden.

n Endbenutzer können sich bei der Anmeldung über Verzeichnisdienste oder dedizierte Workspace ONE UEM Anmeldedaten authentifizieren.

n Authentifizieren Sie Endbenutzer mithilfe von VMware Identity Manager.

n Verwalten Sie ein Gerät sogar, wenn es nicht angemeldet ist.

Plattformen, die Gemeinschaftsgeräte unterstützenFolgende Geräte unterstützen Funktionalität für Gemeinschafts-/ Mehrbenutzergeräte.

n Android ab Version 4.3

n iOS-Geräte mit Workspace ONE Intelligent Hub ab Version 4.2,

n MacOS-Geräte mit Workspace ONE Intelligent Hub ab Version 2.1.

Festlegen der GemeinschaftsgerätehierarchieObwohl dies rein optional ist, bietet eine Organisationsgruppe (OG) speziell für freigegebene Geräte viele Vorteile aufgrund von Mehrmandantenfähigkeit und geerbten Geräteeinstellungen.

Wenn Sie über eine große Anzahl von gemeinsam genutzten Geräten verfügen und diese unabhängig von den Einzelbenutzergeräten verwalten möchten, können Sie eine freigegebene gerätespezifische OG erstellen. Das Erstellen einer freigegebenen Gerätehierarchie in Ihrer OG-Struktur ist optional. Funktionen wie intelligente Gruppen und Benutzergruppen bedeuten, dass Sie sich nicht unbedingt auf das Design der OG-Hierarchie verlassen müssen, um die Geräteverwaltung zu vereinfachen.

Die Verwendung einer gemeinsam genutzten Geräte-OG (oder verschachtelter OGs) vereinfacht jedoch die Geräteverwaltung, da Sie die Gerätefunktionalität über Profile, Richtlinien und Gerätevererbung ohne den von einer intelligenten Gruppe oder einer Benutzergruppe benötigten Verarbeitungsaufwand standardisieren können.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Organisationsgruppen > Organisationsgruppendetails.

Hier wird eine OG angezeigt, die für Ihr Unternehmen steht.

2 Überprüfen Sie die Genauigkeit der angezeigten Organisationsgruppendetails und nehmen Sie mithilfe der verfügbaren Einstellungen die gewünschten Änderungen vor. Falls Sie Änderungen vornehmen, klicken Sie danach auf Speichern.

3 Wählen Sie Untergeordnete Organisationsgruppe hinzufügen.


VMware, Inc. 38

4 Geben Sie für die OG auf der nächsthöchsten Ebene unter Ihrer Organisationsgruppe der höchsten Ebene folgende Informationen ein.


Name Geben Sie den Namen für die untergeordnete Organisationsgruppe (OG) ein, der angezeigt werden soll. Verwenden Sie nur alphanumerische Zeichen. Verwenden Sie keine Sonderzeichen.

Gruppen-ID Geben Sie eine Bezeichnung für die OG ein, die Endbenutzer bei der Geräteanmeldung angeben müssen. Gruppen-IDs werden während der Registrierung von Gruppengeräten in der entsprechenden OG verwendet.

Stellen Sie sicher, dass alle Benutzer, die Geräte gemeinsam nutzen, die Gruppen-ID erhalten, da diese möglicherweise zur Geräteanmeldung erforderlich ist (je nach Konfiguration der Gemeinschaftsgeräte).

Wenn Sie sich nicht in einer lokalen Umgebung befinden, identifiziert die Gruppen-ID Ihre Organisationsgruppe über die gesamte gemeinsam genutzte SaaS-Umgebung hinweg. Aus diesem Grund müssen alle Gruppen-IDs eindeutig benannt sein.

Typ Wählen Sie den vorkonfigurierten OG-Typ, der der Kategorie der untergeordneten OG entspricht.

Land Wählen Sie das Land der OG.

Gebietsschema Wählen Sie die Sprachenklassifikation für das ausgewählte Land.

Branche des Kunden Diese Einstellung ist nur verfügbar, wenn für Typ „Kunde“ gewählt ist. Wählen Sie eine Option aus der Liste mit Kundenbranchen.

Zeitzone Wählen Sie die Zeitzone für den Standort der Organisationsgruppe aus.


Konfigurieren von GemeinschaftsgerätenÄhnlich wie beim Staging eines Einzelbenutzergeräts ermöglicht Mehrbenutzerstaging (ein „Gemeinschaftsgerät“) den IT-Administratoren, Geräte zur Verwendung durch mehr als einen Benutzer bereitzustellen.

Verfahren

u Füllen Sie gegebenenfalls den Abschnitt Sicherheit aus.


Gemeinschaftsgerätekennung verlangen Verlangt, dass Benutzer im Self-Service-Portal eine Gemeinschaftsgerätekennung erstellen, um Geräte auszuchecken. Diese Kennung unterscheidet sich von einer Single Sign-On-Kennung oder einer Kennung der Geräteebene.

Sonderzeichen verlangen. Legen Sie fest, dass Kennungen für Gemeinschaftsgeräte Sonderzeichen wie @, %, & usw. enthalten müssen.

Minimallänge für Gemeinschaftsgerätekennung

Legen Sie die minimale Zeichenlänge des Gemeinschaftsgerätekennungen fest.

Ablaufzeit (in Tagen) der Gemeinschaftsgerätekennungen

Legen Sie die Zeit (in Tagen) fest, nach der die Gemeinschaftsgerätekennung ablaufen soll.

Gemeinschaftsgerätekennung für Minimalzeit (in Tagen) beibehalten

Legen Sie einen Mindestzeitraum (in Tagen) fest, für den eine Kennung für Gemeinschaftsgeräte mindestens gültig sein muss.


VMware, Inc. 39


Kennungsverlauf Legen Sie die Anzahl der Kennungen fest, die vom System gespeichert werden, um die Sicherheit der Umgebung dadurch zu erhöhen, dass der Benutzer ältere Kennungen nicht erneut verwenden kann.

Automatische Abmeldung aktiviert Legen Sie fest, dass Benutzer nach einer bestimmten Zeitspanne automatisch abgemeldet werden.

Automatische Abmeldung nach Legen Sie die Zeitspanne fest, die verstreichen muss, bevor die Funktion Automatisches Abmelden aktiviert wird. Diese können Sie in Minuten, Stunden oder Tagen angeben.

Einzelanwendungsmodus aktivieren. Aktivieren Sie dieses Kontrollkästchen, um den Einzelanwendungsmodus zu konfigurieren. Dadurch wird das Gerät auf eine einzige Anwendung beschränkt, wenn sich ein Endbenutzer auf dem Gerät anmeldet.

Um ein iOS-Gerät im Einzelanwendungsmodus auszuchecken, müssen sich Endbenutzer mit ihren Anmeldedaten anmelden. Wenn das Gerät erneut eingecheckt wird, kehrt es in den Einzelanwendungsmodus zurück.

Durch die Aktivierung des Einzelanwendungsmodus wird auch die Starttaste auf dem Gerät deaktiviert.

Hinweis Der Einzelanwendungsmodus wird nur auf überwachte iOS-Geräte angewendet.

Gerätekennung bei Abmeldung löschen (nur Android)

Diese Einstellung steuert, ob die aktuelle Gerätekennung gelöscht wird, wenn der Benutzer ein von mehreren Benutzern verwendetes Gerät abmeldet (eincheckt).

Anwendungsdaten bei Abmeldung löschen (nur Android)

Löschen Sie die Anwendungsdaten, wenn sich der Benutzer von einem gemeinsam genutzten Gerät abmeldet (eincheckt).

Neuinstallieren von Apps bei der Abmeldung (nur Android-Registrierungsmodi „Vom Unternehmen verwaltetes Gerät“ und „Android (Legacy)“)

Verwenden Sie das Dropdown-Menü, um auszuwählen, ob die Anwendung bei Benutzerwechseln immer oder nie neu installiert werden soll. Bei Android (Legacy)-Bereitstellungen können Sie die APP neu installieren, wenn der Hub bei Benutzerwechseln keine Anwendungsdaten löschen kann.

Anmelden bei und Abmelden von Android-GemeinschaftsgerätenUm die Gemeinschaftsgerätefunktion auf Android-Geräten zu nutzen, müssen Sie die Geräte bei Workspace ONE Intelligent Hub registrieren und den VMware Workspace ONE Launcher als standardmäßige Startseite festlegen. Der VMware Workspace ONE Launcher wird automatisch während der Registrierung heruntergeladen.

Sobald die Anwendung installiert und als standardmäßige Startseite festgelegt ist, gilt das Gerät als eingecheckt. Solange sich das Gerät in diesem Modus befindet, kann der Endbenutzer keine andere Seite aufrufen und das Gerät fordert ihn dazu auf, sich abzumelden. Um das Profil zu entfernen und das gesamte Gerät wieder verfügbar zu machen, führen Sie eine Enterprise-Löschung auf dem Staging-Benutzergerät von der Workspace ONE UEM Console aus.

Verfahren

1 Auf der Anmeldeseite des VMware Workspace ONE Launchers müssen Benutzer ihre Gruppen-ID, ihren Benutzernamen und ihr Kennwort eingeben. Wenn auf der Konsole Benutzer zur Eingabe bezüglich Organisationsgruppe auffordern aktiviert ist, müssen Endbenutzer zur Anmeldung eine Gruppen-ID eingeben.


VMware, Inc. 40

2 Wählen Sie Anmelden und akzeptieren Sie, falls zutreffend, die Nutzungsbedingungen.

Das Gerät wird konfiguriert. Nach der Anmeldung werden die Benutzerprofile per Push übertragen, je nach Smartgroup und Benutzergruppenzuordnung.

Nächste Schritte

Um sich von einem Android-Gerät abzumelden, wählen Sie die Schaltfläche Einstellungen und dann Abmelden aus.

Anmelden bei und Abmelden von iOS-GemeinschaftsgerätenSie können sich bei einem iOS-Gerät an- und abmelden, das von mehreren Benutzern verwendet wird.

Nächste Schritte

Tippen Sie auf Abmelden im Abschnitt Gemeinschaftsgeräte.

Hinweis Wenn das Gemeinschaftsgerät abgemeldet wird, werden die Kennung des Geräts und die Single Sign-On-Kennung ohne Warnung oder Benachrichtigung gelöscht. Befindet sich ein Gerät in diesem Status, kann der nächste Benutzer eine neue Kennung konfigurieren.

An- und Abmelden auf macOS-GemeinschaftsgerätenDurch die Aktivierung der automatischen Übertragung von Geräteprofilen können sich mehrere Benutzer bei einem macOS-Gemeinschaftsgerät an- und abmelden.

Anmelden bei einem macOS-Gerät – Sie können sich unter Verwendung von zugewiesenen Anmeldedaten für das Netzwerk bei einem bereitgestellten macOS-Gerät anmelden und erhalten die Profile, die Ihrem Konto in Workspace ONE UEM zugewiesen wurden.

Abmelden von einem macOS-Gerät – Beim standardmäßigen macOS-Abmeldeverfahren wird das Gerät auch bei Ihrem zugewiesenen Workspace ONE UEM-Benutzerprofil abgemeldet.

Einchecken eines gemeinsam genutzten Geräts über die UEM-KonsoleSie können ein Gerät direkt über die Workspace ONE UEM Console einchecken, damit der Endbenutzer das Gerät nicht unter Verwendung des installierten Workspace ONE Intelligent Hub einchecken muss.

Wenn Sie ein Gerät über die UEM-Konsole einchecken, setzen Sie effektiv die Registrierung auf den Benutzer des Mehrgeräte-Staging mit den vorgeschriebenen Angaben für die Organisationsgruppe, Profile, Anwendungen usw. zurück. Auf der Geräteseite wird der Workspace ONE Intelligent Hub neu gestartet und der Check-Out-Bildschirm wird angezeigt.

Diese Funktion gilt derzeit ausschließlich für iOS-Geräte. Geräte, die mit einer anderen Methode als dem Workspace ONE Intelligent Hub registriert wurden (z. B. über eine direkte Registrierung, Workspace ONE oder Container), werden nicht unterstützt. Das Einchecken von Geräten im Massenverfahren über die Konsole wird nicht unterstützt.


VMware, Inc. 41

Verfahren

1 Navigieren Sie zu Geräte > Listenansicht und suchen Sie nach dem gemeinsam genutzten iOS-Gerät, das Sie einchecken möchten.

2 Wählen Sie den Anzeigenamen des Geräts aus, um die Gerätedetails anzuzeigen.

3 Klicken Sie in der oberen rechten Ecke des Bildschirms auf die Schaltfläche Weitere Aktionen.

4 Wählen Sie unter dem Abschnitt Management die Option Gerät einchecken aus.

Aktivieren der auf einem Verzeichnisdienst basierenden RegistrierungDie Registrierung über Verzeichnisdienste bezieht sich auf den Vorgang zur Integration von Workspace ONE UEM in die Verzeichnisdienstinfrastruktur Ihrer Organisation. Durch diese Form der Integration Ihres Verzeichnisdiensts können Sie Benutzer und optional Benutzergruppen wie Sicherheitsgruppen und Verteilerlisten automatisch importieren.

Bei der Integration in einen Verzeichnisdienst wie Active Directory (AD) stehen Optionen zum Importieren von Benutzern zur Verfügung.

n Allen Verzeichnisbenutzern die Registrierung gestatten – Sie können allen Verzeichnisdienstbenutzern die Registrierung gestatten. Zudem können Sie Ihre Umgebung so konfigurieren, dass Benutzer basierend auf ihrer E-Mail-Adresse automatisch erkannt werden. Erstellen Sie anschließend ein Workspace ONE UEM-Benutzerkonto für die Benutzer bei der Durchführung einer Registrierung.

n Benutzer nacheinander hinzufügen – Nach der Integration in einen Verzeichnisdienst können Sie Benutzer einzeln auf dieselbe Art und Weise hinzufügen wie bei der Erstellung von Workspace ONE UEM-Standardbenutzerkonten. Der einzige Unterschied besteht darin, dass Sie Ihren Benutzernamen eingeben und Benutzer prüfen auswählen müssen, damit die verbleibenden Informationen in Ihrem Verzeichnisdienst automatisch aufgefüllt werden.

n CSV-Datei per Batch-Upload hochladen – Mithilfe dieser Option können Sie eine Liste von Verzeichnisdienstkonten in einer CSV-Vorlagendatei (Comma-Separated Values) importieren. Die Datei enthält bestimmte Spalten, von denen einige nicht leer sein dürfen.

n In Benutzergruppen integrieren (optional) – Durch diese Methode können Sie mit Ihren vorhandenen Benutzergruppenmitgliedschaften Profile, Apps, Konformitätsrichtlinien etc. zuweisen.

Hinweis Weitere Informationen zur Integration Ihrer Workspace ONE UEM-Umgebung in Ihren Verzeichnisdienst finden Sie im VMware AirWatch Directory Services Guide. Wenn Sie die Integration von Workspace ONE UEM in einen SAML-Anbieter in Erwägung ziehen, lesen Sie den VMware AirWatch SAML Integration Guide; beide Dokumentationen sind unter docs.vmware.com verfügbar.


VMware, Inc. 42

NachschlagewerteEin Nachschlagewert ist eine Variable, die für ein bestimmtes Datenelement eines Geräts, Benutzers oder Administratorkontos steht. Nachschlagewerte können sehr nützlich sein, um einen Prozess oder ein Formular abzuschließen.

In mehreren verschiedenen Textfeldern in der Workspace ONE UEM Console können Sie anstelle manuell eingegebener oder statischer Werte Nachschlagewerte hinzufügen. In den meisten Fällen dienen Nachschlagewerte als Ersatz für eine Angabe, die Sie nicht kennen oder auf die Sie keinen Zugriff haben.

So wird beispielsweise die Seite Gerät hinzufügen zum Hinzufügen eines Geräts zu Ihrer Flotte verwendet. Eines der Textfelder auf dieser Seite, das mithilfe von Nachschlagewerten ausgefüllt werden kann, ist Voraussichtlicher Anzeigename.

Der Anzeigename stellt das Gerät auf vielen verschiedenen Seiten in der UEM-Konsole dar, einschließlich der Seiten Gerätelistenansicht und Detailansicht. Sie können einen statischen Anzeigenamen zwar manuell eingeben, doch Sie können stattdessen Nachschlagewerte verwenden, um den Anzeigenamen zu standardisieren und zu einem wertvollen Bezeichner zu machen.

Ein gängiges Format für Anzeigenamen kann mit den folgenden Nachschlagewerten erstellt werden.

{EnrollmentUser} {DeviceModel} {DeviceOperatingSystem} {DeviceSerialNumberLastFour}

Wenn Sie die oben genannten in Werte in das Textfeld Voraussichtlicher Anzeigename eingeben, wird ein Anzeigename erzeugt, der auf der Seite Gerätelistenansicht so angezeigt wird.

jsmith iPad iOS GHKD

Dieser Anzeigename liefert Ihnen sofort mindestens drei nützliche Angaben. Und mit den letzten vier Stellen der Seriennummer des Geräts am Ende ist die Angabe praktisch garantiert eindeutig.

Daten-OverheadWenn diese Option verwendet wird, belasten Nachschlagewerte den Arbeitsspeicher des Geräts nicht zusätzlich. Nachschlagewerte stellen ein Konstrukt der UEM-Konsole selbst dar und sind keine Werte, die an das Gerät übertragen werden.

Statische Zeichenfolgen im Vergleich zu NachschlagewertenNachschlagewerte können nicht angewendet werden, sobald eine statische Zeichenfolge in ein Textfeld eingegeben wurde.

Beispiel: Angenommen, Sie müssen 100 Geräte registrieren. Sie fügen die ersten 50 Geräte mithilfe einer manuell eingegebenen statischen Zeichenfolge für Voraussichtlicher Anzeigename hinzu. Für die nächsten 50 Geräte verwenden Sie stattdessen einen Nachschlagewert für Voraussichtlicher Anzeigename. Diese 100 Geräte, bei denen die Hälfte statische Anzeigenamen aufweist und die andere Hälfte Nachschlagewerte, können problemlos koexistieren. Statische Zeichenfolgen und Nachschlagewerte können ohne Weiteres nach Belieben kombiniert werden.


VMware, Inc. 43

Sie können allerdings bei den ersten 50 Geräten die statische Zeichenfolge nicht durch einen Nachschlagewert ersetzen.

Benutzerdefinierte NachschlagewerteSie können die Funktion für benutzerdefinierte Attribute verwenden, um Ihre eigenen Nachschlagewerte zu erstellen. Sie können diese benutzerdefinierten Nachschlagewerte dann auf die gleiche Weise wie normale Nachschlagewerte verwenden. Weitere Informationen dazu finden Sie unter Erstellen von benutzerdefinierten Attributen.

Auflistung der NachschlagewerteEine umfassende Auflistung der Nachschlagewerte einschließlich der Seiten in Workspace ONE UEM, auf denen sie abgerufen werden, finden Sie unter https://support.workspaceone.com/articles/115001663908.


VMware, Inc. 44

https://support.workspaceone.com/articles/115001663908


Geräteregistrierung 2Die Registrierung eines Geräts ist erforderlich, bevor das Gerät in der Workspace ONE UEM Console verwaltet werden kann. Es gibt mehrere Registrierungspfade, wobei für jeden Pfad unterschiedliche Optionen zur Verfügung stehen.

Registrieren von Geräten auf globaler EbeneDie globale Organisationsgruppe (OG) ist für die Aufnahme von OGs vom Typ „Kunde“ und anderer Typen konzipiert. Wenn Sie Geräte zur globalen Ebene hinzufügen und die globale Ebene mit Einstellungen für diese Geräte konfigurieren, sind alle untergeordneten Kunden-OGs aufgrund der Funktionsweise der Vererbung ebenfalls davon betroffen. Dies reduziert die Vorteile bezüglich der Mandantenfähigkeit und Vererbung.

Weitere Informationen finden Sie unter Bedenken hinsichtlich der Geräteregistrierung auf globaler Ebene.


n Registrieren eines Geräts mithilfe von Workspace ONE Intelligent Hub

n Zusätzliche Registrierungsabläufe

n Workspace ONE Direct Enrollment

n Standardregistrierung vs. Registrierung durch Verzeichnisdienste

n BYOD-Registrierung (Bring Your Own Device)

n Eigenständige Registrierung vs. Geräte-Staging

n Geräteeintragung

n Konfigurieren von Registrierungsoptionen

n Geräteeinträge auf Blacklists bzw. Whitelists

n Zusätzliche Registrierungsrestriktionen

n Registrierung über AutoErmittlung

VMware, Inc. 45

Registrieren eines Geräts mithilfe von Workspace ONE Intelligent HubDie Registrierung eines Geräts mithilfe von Workspace ONE Intelligent Hub ist für Android-, iOS- und Windows-Geräte die häufigste Form.

Verfahren

1 Navigieren Sie über den systemeigenen Browser des zu registrierenden Geräts zu AWAgent.com.

Workspace ONE UEM erkennt automatisch, ob Workspace ONE Intelligent Hub bereits installiert ist, und leitet bei Bedarf zum entsprechenden Store für mobile Anwendungen um, sodass Workspace ONE Intelligent Hub heruntergeladen werden kann.

Zum Herunterladen des Workspace ONE Intelligent Hub von einem öffentlichen App Store wird entweder eine Apple-ID oder ein Google-Konto benötigt.

2 Führen Sie den Workspace ONE Intelligent Hub nach dem Download aus oder kehren Sie zu Ihrer Browsersitzung zurück.

Wichtig Um eine erfolgreiche Installation und Ausführung des Workspace ONE Intelligent Hub sicherzustellen, muss auf Ihrem Android-Gerät mindestens 60 MB freier Speicherplatz vorhanden sein. CPU und Laufzeitspeicher werden pro Anwendung auf der Android-Plattform zugeteilt. Verwendet eine Anwendung mehr als zugewiesen, führt das Android-Gerät eine Optimierung durch, indem es die Anwendung schließt.

3 Geben Sie Ihre E-Mail-Adresse ein. Workspace ONE UEM überprüft, ob Ihre Adresse bereits vorher der Umgebung hinzugefügt wurde. In diesem Fall sind Sie als Endbenutzer bereits konfiguriert, und Ihre Organisationsgruppe wurde bereits zugewiesen.

Falls Workspace ONE UEM Sie nicht mit Ihrer E-Mail-Adresse als Endbenutzer identifizieren kann, werden Sie aufgefordert, Ihre Umgebungs-URL, Gruppen-ID und Anmeldedaten einzugeben. Bei Bedarf kann Ihnen Ihr Workspace ONE UEM-Administrator die Umgebungs-URL und Gruppen-ID zur Verfügung stellen.

4 Schließen Sie die Registrierung ab, indem Sie alle verbleibenden Eingabeaufforderungen befolgen. Sie können Ihre E-Mail-Adresse anstatt des Benutzernamens verwenden. Wenn zwei Benutzer dieselbe E-Mail-Adresse haben, schlägt die Registrierung fehl.

Zusätzliche RegistrierungsabläufeIn Einzelfällen muss der Registrierungsprozess bestimmten Organisationen und Bereitstellungen angepasst werden. Für jede der zusätzlichen Registrierungsoptionen benötigen Endbenutzer die in dem Abschnitt „Erforderliche Informationen“ dieses Leitfadens aufgelisteten Anmeldedaten.

n Umgebungen mit mehreren Domänen – Die Registrierungsanmeldung in Umgebungen mit nur einer Domäne und in Umgebungen mit mehreren Domänen wird unterstützt, sofern sie im folgenden Format durchgeführt wird. Domäne\Benutzername.


VMware, Inc. 46

https://www.awagent.com/

n Kiosk-Modus und Kiosk-Designer – Endbenutzer von Windows-Desktops können ihre Desktop-Geräte im Kiosk-Modus konfigurieren. Die Benutzer können auch den Kiosk-Designer in der Workspace ONE UEM-Konsole verwenden, um einen Kiosk mit mehreren Apps zu erstellen.

n Registrierung auf Aufforderung per Benachrichtigung – Endbenutzer erhalten eine Benachrichtigung (E-Mail und SMS) mit einer Registrierungs-URL und geben ihre Gruppen-ID sowie Anmeldedaten ein. Wenn der Endbenutzer die Nutzungsbedingungen akzeptiert, wird das Gerät automatisch registriert und mit allen MDM-Funktionen und Inhalten versorgt. Dieses Akzeptieren umfasst ausgewählte Apps und Funktionen vom Workspace ONE UEM-Server.

n Einfachklickregistrierung – In diesem für webbasierte Registrierungen geltenden Ablauf sendet der Administrator dem Benutzer ein von Workspace ONE UEM generiertes Token sowie eine Registrierungslink-URL. Der Benutzer muss lediglich auf den zur Verfügung gestellten Link klicken, um das Gerät zu authentifizieren und zu registrieren. Dies ist der einfachste und schnellste Registrierungsprozess für den Endbenutzer. Dieser Vorgang kann dabei auch durch die Festlegung von Ablaufzeiten erfolgen.

n Webregistrierung – Es gibt eine optionale Willkommensseite, die Administratoren für Webregistrierungen aufrufen können, indem sie der aktiven Umgebung „/enroll/welcome“ hinzufügen. Durch die Bereitstellung der URL https://<custenvironment > /enroll/welcome für Benutzer, die an der Webregistrierung teilnehmen, wird beispielsweise der Bildschirm „Willkommen bei Workspace ONE UEM“ angezeigt. Dieser Bildschirm umfasst Optionen zur Registrierung mit einer E-Mail-Adresse oder Gruppen-ID. Die Option „Webregistrierung“ gilt ab Workspace ONE UEM Version 8.0.

n 2-Faktor-Authentifizierung – Bei diesem Ablauf sendet der Administrator dasselbe von Workspace ONE UEM generierte Registrierungstoken. Der Benutzer muss jedoch auch seine Anmeldedaten eingeben. Diese Methode ist ebenso einfach wie die Einfachklickregistrierung, bietet aber zusätzliche Sicherheit. Die zusätzliche Sicherheitsmaßnahme erfordert vom Benutzer die Eingabe seiner eindeutigen Anmeldedaten.

n Endbenutzerregistrierung – Der Benutzer meldet sich beim Self-Service-Portal (SSP) an und registriert seine Geräte. Sobald die Registrierung abgeschlossen ist, sendet das System dem Endbenutzer eine E-Mail mit der Registrierungs-URL und den Anmeldedaten. Bei diesem Ablauf wird davon ausgegangen, dass Administratoren noch keine Geräteregistrierung für eine Unternehmensgeräteflotte durchgeführt haben. Es wird zudem angenommen, dass Sie für Unternehmensgeräte eine Registrierung erfordern, damit der Registrierungsstatus von Administratoren nachverfolgt werden kann. Endbenutzerregistrierung bedeutet außerdem, dass Unternehmensgeräte zusammen mit vom Benutzer erworbenen Geräten verwendet werden können.

n Einzelbenutzergeräte-Staging – Der Administrator registriert Geräte im Auftrag eines Endbenutzers. Diese Methode ist für Administratoren nützlich, die mehrere Geräte für ein gesamtes Team oder einzelne Mitglieder eines Teams einrichten. Dadurch werden Endbenutzern die Zeit und Mühe erspart, ihre Geräte selbst registrieren zu müssen. Der Administrator kann Geräte auch konfigurieren, registrieren und auswärtigen Benutzern dann per Post schicken.


VMware, Inc. 47

n Mehrbenutzergeräte-Staging – Der Administrator registriert Geräte, die von mehreren Benutzern verwendet werden. Jedes Gerät wird mit einem bestimmten Satz an Funktionen registriert und bereitgestellt, wobei Benutzer erst auf die Funktionen zugreifen können, nachdem sie sich mit eindeutigen Anmeldedaten angemeldet haben.

Weitere Informationen finden Sie unter folgenden Themen.

Aktivieren von Registrierungstokens und Erstellen einer Standardnachricht.

Endbenutzer-Geräteeintragung.

Geräteeintragung.

Bereitstellen eines Einzelbenutzergeräts (Staging).

Bereitstellen eines Mehrbenutzergeräts (Staging).

Workspace ONE Direct EnrollmentDie direkte Registrierung mithilfe von VMware Workspace ONE ™ ™ ist die einfachste Methode für den Einstieg mit unternehmenseigenen und persönlich aktivierten Geräten (COPE).

Das COPE-Modell bietet Unternehmen eine Möglichkeit, einen Ausgleich zwischen der Konsumerisierung der Geräte einerseits und der für die IT erforderliche Sicherheit und Kontrolle andererseits zu finden. Als Administrator können Sie eine optionale Eingabeaufforderung konfigurieren, Einschränkungen nach Gerätetyp hinzufügen, Einschränkungen nach Benutzergruppe durchführen und die Installation von Anwendungen den jeweiligen Benutzern überlassen.

Unterstützte Registrierungsoptionen in Workspace ONEDer Großteil der vorhandenen Registrierungsoptionen wird in der direkten Registrierung (Direct Enrollment) bei Workspace ONE unterstützt. Die meisten Optionen, die noch nicht unterstützt werden, sind für ein künftiges Release von Workspace ONE UEM geplant.

Weitere Informationen finden Sie unter Workspace ONE Direct Enrollment – unterstützte Optionen.

Aktivieren der direkten Registrierung in Workspace ONEDa die Option der direkten Registrierung bei Workspace ONE standardmäßig für jede Organisationsgruppe deaktiviert ist, müssen Sie sie selbst aktivieren. Die Optionen für eine übergeordnete Vererbung und eine untergeordnete Überschreibung finden bei Lösungen mit maximaler Mandantenfähigkeit Anwendung.

Weitere Informationen finden Sie unter Aktivieren der direkten Registrierung bei Workspace ONE.

Registrieren Ihres Geräts mit Workspace ONE Direct EnrollmentWenn Workspace ONE Direct Enrollment aktiviert ist, sind Sie sofort registriert, wenn Sie sich bei der Registrierungsorganisationsgruppe mit einem qualifizierenden Gerät mit der Workspace ONE-Anwendung anmelden.

Weitere Informationen finden Sie unter Registrieren Ihres Geräts mit Workspace ONE Direct Enrollment.


VMware, Inc. 48

Workspace ONE Direct Enrollment – unterstützte OptionenDie Funktion Workspace ONE Direct Enrollment kann in Verbindung mit vielen der bestehenden Registrierungsoptionen und Plattformen genutzt werden, die bereits vor der Entwicklung dieser Funktion verfügbar waren.

Für die direkte Registrierung bei Workspace ONE ™ ™ werden die folgenden Plattformen und Registrierungsoptionen unterstützt.

Unterstützte Plattformenn iOS

n Android Legacy

n Android Enterprise

Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung, wählen Sie jede entsprechende Registerkarte und treffen Sie Ihre Auswahl basierend auf der Kompatibilität mit Workspace ONE Direct Enrollment.

AuthentifizierungDie folgenden Authentifizierungsoptionen sind kompatibel mit Workspace ONE Direct Enrollment.

n Verzeichnisbenutzer.

n SAML plus Active Directory-Benutzer werden gleichzeitig unterstützt. SAML ohne LDAP-Benutzer wird unterstützt, solange der Benutzerdatensatz in Workspace ONE UEM zum Zeitpunkt der ersten Anmeldung bereits vorhanden ist.

Standardbenutzer, Staging-Benutzer, SAML ohne Directory-Benutzer und Authentifizierungsproxy-Benutzer werden derzeit nicht unterstützt.

n Offene Registrierung.

n Workspace ONE überprüft nicht, ob ein Workspace ONE Intelligent Hub für iOS- und macOS-Einstellungen erforderlich ist, die verwendet werden, um die Webregistrierung auf ihren entsprechenden Plattformen zu blockieren.

NutzungsbedingungenAlle Optionen für die Nutzungsbedingungen sind mit Workspace ONE Direct Enrollment kompatibel.

GruppierungAlle Gruppierungsoptionen sind kompatibel mit Workspace ONE Direct Enrollment.

EinschränkungenDie folgenden Einschränkungsoptionen sind kompatibel mit Workspace ONE Direct Enrollment.

n Bekannte Benutzer und konfigurierte Gruppen.

n Grenzwert für maximal registrierte Geräte.


VMware, Inc. 49

n Richtlinieneinstellungen werden teilweise unterstützt.

n Zulässige Besitztypen – Workspace ONE fordert diese nur für „Mitarbeitereigen“ und „Unternehmen – Dediziert“. Wenn Sie keine der Optionen bevorzugen, deaktivieren Sie die optionale Eingabeaufforderung und verwenden den standardmäßigen Zuständigkeitstyp.

n Zulässige Registrierungstypen werden nicht unterstützt.

n Geräteplattform, Gerätemodell und OS-Einschränkungen werden nicht unterstützt.

n Restriktionen für Benutzergruppen.

Optionale EingabeaufforderungenDie folgenden optionalen Eingabeaufforderungsoptionen sind kompatibel mit Workspace ONE Direct Enrollment.

n Eingabeaufforderung für Gerätezuständigkeit.

n Eingabeaufforderung für die Anlagennummer (nur unterstützt, wenn Eingabeaufforderung für Gerätezuständigkeit aktiviert ist).

n Alle anderen optionalen Eingabeaufforderungen werden nicht unterstützt.

AnpassungDie folgenden Optionen zur Anpassung sind kompatibel mit Workspace ONE Direct Enrollment.

n Benutzerspezifische Nachrichtenvorlage für jede Plattform.

n Ziel-URL nach Registrierung (nur iOS).

n MDM-Profilnachricht (nur iOS).

n Benutzerdefinierte MDM Apps verwenden.

n Enrollment Support Email und Enrollment Support Phone werden nicht unterstützt.

Staging-Geräte-Staging über Workspace ONE Direct Enrollment wird nicht unterstützt. Wenn Sie ein Gerät für einen oder mehrere Benutzer bereitstellen müssen, muss es mit Workspace ONE Intelligent Hub anstelle von Workspace ONE Direct Enrollment registriert werden.

Aktivieren der direkten Registrierung bei Workspace ONESie müssen Workspace ONE ™ Direct Enrollment in Ihrer bevorzugten Organisationsgruppe (OG) aktivieren. Danach werden alle entsprechenden Geräte registriert, die sich zum ersten Mal in Workspace ONE UEM anmelden. Nicht qualifizierte Geräte, die außerhalb der von Ihnen definierten Kriterien liegen, werden in einem nicht verwalteten Zustand oder im Container-Zustand registriert.

Die Funktion Direct Enrollment ist standardmäßig deaktiviert. Führen Sie zum Aktivieren der direkten Registrierung bei Workspace ONE die folgenden Schritte aus.


VMware, Inc. 50

Verfahren

1 Wechseln Sie zur Organisationsgruppe, für die Sie Workspace ONE Direct Enrollment aktivieren möchten.

2 Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Restriktionen.

3 Wählen Sie bei Bedarf die Option zum Überschreiben der übergeordneten OG-Einstellungen aus.

4 Scrollen Sie zu Management-Anforderungen für Workspace ONE und wählen Sie Ihre Konfigurationsoptionen.


MDM für Workspace ONE fordern

Fordern Sie qualifizierte Geräte und Benutzer direkt nach der Anmeldung bei Workspace ONE zur sofortigen Registrierung auf.

Geräte außerhalb der festgelegten Kriterien sind berechtigt, sich in einem nicht verwalteten Zustand zu registrieren, und werden unter Umständen später verwaltet (Adaptive Management).

Zugewiesene Benutzergruppe

Diese Einstellung legt die Benutzergruppe fest, die Sie in den Vorgang für die direkte Registrierung aufnehmen möchten. Sie können auch Alle Benutzer wählen. Dies ist die Standardauswahl, wenn Sie MDM für Workspace ONE anfordern aktivieren.

iOS Aktivieren Sie diese Einstellung, um iOS-Geräte aufzunehmen. Wenn diese Option deaktiviert ist, können iOS-Geräte zwar nicht direkt, aber in einem nicht verwalteten Zustand in Workspace ONE UEM registriert werden.

Android Legacy Aktivieren Sie diese Option, um ältere Android-Geräte aufzunehmen. Wenn diese Option deaktiviert ist, können ältere Android-Geräte zwar nicht direkt, aber in einem nicht verwalteten Zustand in Workspace ONE UEM registriert werden.

Android Enterprise Aktivieren Sie diese Einstellung, um Android Enterprise-Geräte aufzunehmen. Wenn diese Option deaktiviert ist, können Android Enterprise-Geräte zwar nicht direkt, aber in einem nicht verwalteten Zustand in Workspace ONE UEM registriert werden.


Ergebnisse

Es werden nur unterstützte Optionen, die auf den anderen Registrierungsregisterkarten konfiguriert wurden, auf die von Ihnen gespeicherten Konfigurationen für die direkte Registrierung angewendet.

Nächste Schritte

Nachdem Workspace ONE Direct Enrollment aktiviert wurde, lautet der nächste Schritt: Registrieren Ihres Geräts mit Workspace ONE Direct Enrollment. Weitere Informationen über die Optionen für die direkte Registrierung bei Workspace ONE und Registrierungsoptionen im Allgemeinen finden Sie unter Workspace ONE Direct Enrollment – unterstützte Optionen und Konfigurieren von Registrierungsoptionen.


VMware, Inc. 51

Registrieren Ihres Geräts mit Workspace ONE Direct EnrollmentWenn Workspace ONE ™ ™ Direct Enrollment aktiviert ist, sind Sie sofort registriert, wenn Sie sich bei der Registrierungsorganisationsgruppe mit einem qualifizierenden Gerät und Benutzer mit der Workspace ONE-Anwendung anmelden.

Ihre Benutzer erhalten auch die Möglichkeit, Anwendungen sofort zu installieren, die Ihr Unternehmen als nützlich empfindet. Alternativ können sie diesen Schritt überspringen und Anwendungen zu einem späteren Zeitpunkt installieren. Zur Geräteregistrierung mit Workspace ONE Direct Enrollment muss ein Endbenutzer die folgenden Schritte befolgen:

Verfahren

1 Laden Sie die Workspace ONE-Anwendung über den plattformspezifischen App Store oder das Repository herunter, installieren Sie sie und führen Sie sie aus.

2 Geben Sie die Server-URL oder E-Mail-Adresse ein.

3 Geben Sie den Benutzernamen und das Kennwort Ihres Verzeichnisdienstes ein.

4 Bestätigen Sie für Ihre Plattform spezifische Schritte, um Workspace-Dienste zu installieren oder zu aktivieren.

a iOS – Erlauben Sie dem Server, die Einstellungen zu öffnen, geben Sie Ihre Gerätekennung ein, installieren Sie ein nicht signiertes Geräteprofil und öffnen Sie eine Seite in Workspace.

b Android Legacy – Installieren Sie Workspace ONE Intelligent Hub, erlauben Sie ihm das Durchführen und Verwalten von Telefonanrufen, wählen Sie die Zuständigkeit für Ihr Gerät mit der Option, eine Anlagennummer des Geräts einzugeben, aktivieren Sie die Admin-Anwendung des Geräts und melden Sie sich dann bei Workspace ONE an.

c Android Enterprise – Akzeptieren Sie die Nutzungsbedingungen (oder lehnen Sie sie ab), richten Sie das Arbeitsprofil ein und erstellen Sie die Workspace ONE-Kennung.

5 Sobald Workspace ONE die Installation abgeschlossen hat, können Sie Fortfahren, um Apps zu installieren.

6 Sie können Apps aus einer Liste auswählen und einzeln installieren, Alle installieren oder diesen Schritt vollständig Überspringen.

Standardregistrierung vs. Registrierung durch VerzeichnisdiensteWenn Sie eine Verzeichnisdienstinfrastruktur wie Active Directory (AD), Lotus Domino und Novell eDirectory haben, können Sie vorhandene Benutzer und Gruppen in Workspace ONE UEM anwenden. Wenn Sie noch keine Verzeichnisdienstinfrastruktur besitzen oder entschieden haben, eine Integration


VMware, Inc. 52

ohne diese durchzuführen, müssen Sie eine Standardregistrierung durchführen. Bei der Standardregistrierung werden Benutzerkonten in der UEM-Konsole manuell erstellt.

Hinweis Workspace ONE UEM unterstützt zwar eine Kombination aus Standard- und verzeichnisbasierten Benutzern, allerdings wird in der Regel nur eine der Methoden für die Erstregistrierung von Benutzern und Geräten verwendet.

Vor- und Nachteile

Vorteile Nachteile

Standardregistrierung n Kann für jede Bereitstellungsmethode verwendet werden.

n Erfordert keine technische Integration.

n Erfordert keine Unternehmensinfrastruktur.

n Kann sich bei möglicherweise mehreren Organisationsgruppen registrieren.

n Anmeldedaten existieren nur in Workspace ONE UEM und stimmen mit vorhandenen Unternehmensanmeldedaten nicht unbedingt überein.

n Bietet keine Verbundsicherheit.

n Single Sign-On wird nicht unterstützt.

n Workspace ONE UEM speichert alle Benutzernamen und Kennwörter.

n Kann nicht für Workspace ONE Direct Enrollment verwendet werden.

Registrierung mit Verzeichnisdiensten

n Endbenutzer authentifizieren sich mit vorhandenen Unternehmensanmeldedaten.

n Änderungen können automatisch über das Verzeichnissystem bei Workspace ONE UEM erkannt und synchronisiert werden.

n Diese Vorgehensweise stellt eine sichere Methode zur Integration in Ihren bestehenden Verzeichnisdienst dar.

n Sie bietet eine Standardintegrationsmethode.

n Kann für Workspace ONE Direct Enrollment verwendet werden.

n SaaS-Bereitstellungen mit VMware Enterprise Systems Connector erfordern keine Firewall-Änderungen und bieten eine sichere Konfiguration für andere Infrastrukturen wie Microsoft ADCS-, SCEP- und SMTP-Server.

n Erfordert eine vorhandene Verzeichnisdienstinfrastruktur.

n SaaS-Bereitstellungen erfordern zusätzliche Konfiguration, da VMware Enterprise Systems Connector hinter der Firewall oder in einer DMZ installiert ist.

Verzeichnisdienst-Integration und RegistrierungseinschränkungenWenn die Verzeichnisdienstintegration in Workspace ONE UEM konfiguriert ist, erben die Verzeichnisdienstkonten die Registrierungseinstellungen von der Organisationsgruppe (OG), mit der der Verzeichnisdienst konfiguriert wird. Standardkonten orientieren sich jedoch an den lokalen Einstellungen einschließlich Überschreibungen.


VMware, Inc. 53

Beispiel: Angenommen, die Option Enterprise Wipe auf Geräten von Benutzern ausführen, die aus konfigurierten Gruppen entfernt wurden ist in der Kunden-OG aktiviert.

In diesem Szenario werden Verzeichnis-Registrierungsbenutzern in Sales01, die eine konfigurierte Gruppe verlassen, ihre Geräte als gelöscht angezeigt, obwohl in dieser OG die Überschreibung konfiguriert wurde. Dies gilt auch, wenn diese Konten über Geräte verfügen, die in einer anderen OG registriert sind, da die Registrierungseinstellungen Benutzerorientiert und nicht geräteorientiert sind.

Allerdings werden in diesem Szenario Geräte von standardmäßigen Registrierungsbenutzern der Sales01-OG, die die konfigurierte Gruppe verlassen, nicht gelöscht. Dies liegt daran, dass standardmäßige Registrierungsbenutzer in Sales01 nicht Teil des in der OG integrierten Verzeichnisdienstes sind und deshalb die überschriebene Registrierungseinschränkung erkennen und erfüllen.

Überlegungen zur Registrierung – standardmäßige vs. verzeichnisbasierte RegistrierungNeben den bestehenden Vor- und Nachteilen von Standard- und Verzeichnisbenutzern sollten Sie bei der Registrierung von Endbenutzern auch die folgenden Fragen berücksichtigen.

Informationen zu den Vor- und Nachteilen der Standard- und verzeichnisbasierten Registrierung finden Sie unter Standardregistrierung vs. Registrierung durch Verzeichnisdienste.

Punkt 1: Wer kann sich registrieren?Beachten Sie bei der Beantwortung dieser Frage Folgendes.

n Dient Ihre MDM-Bereitstellung dazu, Geräte für alle Benutzer Ihrer Organisation mit oder unter der von Ihnen konfigurierten Basis-DN * zu verwalten? Falls dies der Fall ist, können Sie allen Benutzern die Registrierung erlauben, indem die Kontrollkästchen zur Beschränkung der Registrierung deaktiviert werden.

Sie können allen Benutzern die Registrierung bei der ersten Einführung der Bereitstellung gestatten und im Anschluss die Registrierung beschränken, um zu verhindern, dass sich unbekannte Benutzer registrieren. Diese Änderungen werden beim Hinzufügen neuer Mitarbeiter oder Mitglieder zu vorhandenen Benutzergruppen durch Ihre Organisation synchronisiert und zusammengeführt.

n Sollen bestimmte Benutzer oder Gruppen nicht in MDM eingeschlossen werden? Falls dies der Fall ist, müssen Sie die Benutzer entweder nacheinander hinzufügen oder eine CSV-Datei (Comma-Separated Value) mit ausschließlich berechtigten Benutzern stapelweise importieren.

Wenn Sie bestimmte Benutzer und Gruppen einschränken möchten, finden Sie weitere Informationen unter Konfigurieren von Registrierungsrestriktionseinstellungen.


VMware, Inc. 54

Punkt 2: Wie erfolgt die Zuweisung von Benutzern?Ein weiterer Punkt, der bei der Integration Ihrer Workspace ONE UEM-Umgebung in Verzeichnisdienste berücksichtigt werden muss, ist die Art und Weise, wie Sie bei einer Registrierung Organisationsgruppen Verzeichnisbenutzer zuweisen. Beachten Sie bei der Beantwortung dieser Frage Folgendes.

n Haben Sie eine Organisationsgruppenstruktur erstellt, die der Logik Ihrer Verzeichnisdienstgruppen entspricht? Sie können Benutzergruppenzuweisungen erst bearbeiten, nachdem Sie diese Aufgabe durchgeführt haben.

n Wenn Ihre Benutzer ihre eigenen Geräte registrieren, ist die Option zum Auswählen einer Gruppen-ID aus einer Liste einfach durchzuführen. Menschliches Fehlverhalten ist ein zu berücksichtigender Faktor, der zu falschen Gruppenzuweisungen führen kann.

Sie können basierend auf einer Benutzergruppe eine Gruppen-ID auswählen oder Benutzern die Auswahl einer Gruppen-ID aus einer Liste ermöglichen. Die Optionen für den Gruppen-ID-Zuweisungsmodus finden Sie unter Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung auf dem Tab Gruppierung.

Weitere Informationen zur Konfiguration von Optionen für Gruppen-IDs finden Sie unter Konfigurieren von Registrierungsoptionen auf der Registerkarte „Gruppierung“.

* Der Basis-DN oder definierte Name ist der Punkt, von dem aus ein Server nach Benutzern sucht. Ein definierter Name ist ein Name, der einen Eintrag im Verzeichnis eindeutig identifiziert. Jeder Eintrag im Verzeichnis verfügt über einen DN.

Aktivieren der StandardregistrierungDie Standardregistrierung bezieht sich auf den Vorgang zur manuellen Erstellung von Benutzerkonten und -gruppen für alle Benutzer Ihrer Organisation. Wenn Ihre Organisation über keine Workspace ONE UEM-Integration in einem Verzeichnisdienst verfügt, sind Benutzerkonten über die Standardregistrierung zu erstellen.

Wenn Sie einige grundlegende Konten erstellt möchten, erstellen Sie sie nacheinander, wie in Erstellen von Standardbenutzerkonten beschrieben.

Bei der Standardregistrierung für eine größere Anzahl von Endbenutzern können Sie dadurch Zeit sparen, dass Sie CSV-Vorlagendateien (Comma-separated Values) ausfüllen und hochladen. Diese Dateien enthalten alle Benutzerdaten über die Funktion zum Batchimport. Weitere Informationen finden Sie unter Batch-Import von Benutzern oder Geräten.

BYOD-Registrierung (Bring Your Own Device)Eine große Herausforderung bei der Verwaltung persönlicher Geräte von Benutzern besteht darin, mitarbeiter- sowie unternehmenseigene Geräte zu erkennen und zwischen diesen zu unterscheiden, und die Registrierung folglich nur auf genehmigte Geräte zu beschränken.


VMware, Inc. 55

Mithilfe von Workspace ONE UEM können Sie eine Vielzahl von Optionen konfigurieren, um das Registrieren eines privaten Geräts für Endbenutzer zu personalisieren. Bevor Sie beginnen, müssen Sie Überlegungen anstellen, wie die Identifizierung von mitarbeitereigenen Geräten in Ihrer Bereitstellung erfolgen soll und ob Registrierungsrestriktionen für unternehmenseigene Geräte erzwungen werden sollen.

Überlegungen zur Registrierung – BYODWenn Sie Mitarbeitern die Registrierung ihrer persönlichen Geräte in Ihrer Workspace ONE UEM-Umgebung erlauben, sollten Sie zunächst einige Überlegungen anstellen.

Punkt 1: Registrieren sich BYOD-Benutzer über VMware Workspace ONE oder in Workspace ONE Intelligent Hub?VMware Workspace ONE ist eine einfache und sichere Unternehmensplattform, die beliebige Apps auf Geräten bereitstellt und verwaltet. Es bietet Self-Service-SSO-Zugriff (Single Sign-On) auf Cloud-, mobilen und Windows-Anwendungen und beinhaltet intelligent integrierte E-Mail-, Kalender-, Datei- und Kollaborationstools.

Mit Workspace ONE müssen Benutzer ihre persönlichen Geräte für den Zugriff auf Dienste nicht registrieren. Die App Workspace ONE kann über den Apple App Store, Google Play oder Microsoft Store heruntergeladen und installiert werden. Benutzer melden sich dann an und erhalten basierend auf den festgelegten Richtlinien Zugriff auf Anwendungen. Die App Workspace ONE konfiguriert ein MDM-Verwaltungsprofil bei der Installation, wodurch das Gerät automatisch registriert wird.

Workspace ONE Intelligent Hub ist die veraltete Registrierungsoption für mobile Geräte. Weitere Informationen finden Sie unter Registrieren eines Geräts mithilfe von Workspace ONE Intelligent Hub.

Punkt 2: Wie wird der Besitztyp festgelegt?Allen in Workspace ONE UEM registrierten Geräten wird ein Gerätebesitztyp zugewiesen: „Unternehmen – Dediziert“, „Unternehmen – Gemeinschaftsgerät“ oder „Mitarbeitereigen“. Persönliche Geräte von Mitarbeitern werden als „Mitarbeitereigen“ eingestuft und unterliegen den jeweiligen Datenschutzeinstellungen und -restriktionen, die Sie für diesen Typ konfiguriert haben.

Berücksichtigen Sie zur Festlegung des Besitztyps folgende Punkte.

n Haben Sie Zugriff auf eine Masterliste von Unternehmensgeräten, die Sie als Massenupload in die UEM-Konsole hochladen können? Falls dies der Fall ist, können Sie diese Liste hochladen und den standardmäßigen Besitztyp auf „Mitarbeitereigen“ festlegen.

n Haben Sie die rechtlichen Konsequenzen berücksichtigt, die beim Auswählen eines Besitztyps aus einer Liste entstehen können? Beispiel: Ein Benutzer registriert ein persönliches Gerät, wählt jedoch fälschlicherweise „Unternehmenseigen“ als Besitztyp aus. Welche Folgen hat der Verstoß einer Richtlinie und das vollständige Zurücksetzen eines persönlichen Geräts auf die Werkeinstellungen für einen Benutzer?

Sie können Workspace ONE UEM für Ihr BYOD-Programm konfigurieren, damit bei der Registrierung ein standardmäßiger Besitztyp angewendet oder Benutzern die Möglichkeit gegeben wird, den jeweiligen Besitztyp selbst auszuwählen.


VMware, Inc. 56

Punkt 3: Sollen zusätzliche Registrierungsrestriktionen für mitarbeitereigene Geräte angewendet werden?Beachten Sie bei der Beantwortung dieser Frage Folgendes.

n Unterstützt Ihre MDM-Bereitstellung nur bestimmte Geräteplattformen? Falls dies der Fall ist, können Sie diese Plattformen angeben und nur die Registrierung von Geräten zulassen, auf denen diese ausgeführt werden.

n Soll die Anzahl der persönlichen Geräte, die ein Mitarbeiter registrieren darf, beschränkt werden? Falls dies der Fall ist, können Sie die maximale Anzahl der Geräte festlegen, die ein Benutzer registrieren darf.

Sie können zusätzliche Registrierungsrestriktionen festlegen, um darüber hinaus zu steuern, wer sich registrieren kann und welche Gerätetypen registriert werden können. Beispielsweise können Sie festlegen, dass nur Android-Geräte unterstützt werden sollen, die über integrierte Enterprise-Management-Funktionen verfügen. Nachdem Ihre Organisation bestimmt hat, welche Arten von mitarbeitereigenen Geräten für Ihre Arbeitsumgebung verwendet werden sollen, können Sie die entsprechenden Einstellungen konfigurieren.

Weitere Informationen finden Sie unter Zusätzliche Registrierungsrestriktionen.

Identifizieren von Unternehmensgeräten und Festlegen des StandardgerätebesitzesWenn Sie eine Kombination aus unternehmens- und mitarbeitereigenen Geräten besitzen, die die Mitarbeiter selbst registrieren, kann es hilfreich sein, eine Geräteliste anzufertigen. Wenn die Registrierung gestartet wird, wird der Besitztyp von als unternehmenseigen identifizierten Geräten automatisch basierend auf Ihrer Auswahl konfiguriert. Anschließend können Sie alle mitarbeitereigenen Geräte konfigurieren, die nicht auf der Liste stehen, um diese mit dem Zuständigkeitstyp „Mitarbeitereigen“ zu registrieren.

Die folgende Vorgehensweise erläutert, wie eine Liste von vorab genehmigten Unternehmensgeräten importiert wird. Sie können nach der Registrierung automatisch den Zuständigkeitstyp „Unternehmenseigen“ anwenden, selbst, wenn eine Restriktion vorhanden ist, die automatisch den Zuständigkeitstyp „Mitarbeitereigen“ anwendet.

Restriktionen für eine offene Registrierung ermöglichen oder blockieren explizit die Registrierung für Geräte, die den von Ihnen angegebenen Parametern entsprechen, einschließlich Plattform, Modell und Betriebssystem.

Verfahren

1 Navigieren Sie zu Geräte > Lebenszyklus > Registrierungsstatus und wählen Sie Hinzufügen und dann Batchimport. Daraufhin wird der Bildschirm Batchimport angezeigt.

Alternativ können Sie auch Hinzufügen und danach Geräte auf Whitelist wählen, um bis zu 30 Geräte auf der Whitelist gleichzeitig nach IMEI, UDID oder Seriennummer einzugeben. Zudem können Sie als Zuständigkeitstyp entweder „Unternehmenseigen“ oder „Unternehmen – Gemeinschaftsgerät“ wählen.


VMware, Inc. 57

2 Geben Sie Batch-Name und Batch-Beschreibung ein und wählen Sie anschließend Zulässiges Gerät (Whitelist) hinzufügen für Batch-Typ.

3 Wählen Sie den Link „Vorlage mit einem Beispiel für Geräte in der Whitelist herunterladen“ und speichern Sie diese Vorlage als CSV-Datei (Comma-Separated Values) an einem Speicherort, auf den Sie jederzeit zugreifen können. Bearbeiten Sie diese CSV-Datei mit Excel, um alle gewünschten Geräte zur Whitelist hinzuzufügen. Speichern Sie dann die Datei.

4 Klicken Sie auf Datei auswählen und wählen Sie die gespeicherte CSV-Datei.

5 Wählen Sie Importieren, um diese Geräteinformationen in Ihre Whitelist zu importieren.

6 Setzen Sie nun den Typ der Standardgerätezuständigkeit auf „Mitarbeitereigen“ für alle offenen Registrierungen.

a Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Gruppierung.

b Wählen Sie Mitarbeitereigen für Standardgerätezuständigkeit.

c Wählen Sie die dem Benutzer zugewiesene Standardrolle aus, durch die die Zugriffsebene des Benutzers für das Self-Service-Portal (SSP) festgelegt wird.

d Wählen Sie Standardaktion für Inaktive Benutzer, die festlegt, wie vorgegangen werden soll, wenn der Benutzer als inaktiv gekennzeichnet ist.

e Wählen Sie Speichern.

Auffordern von Benutzern zur Identifizierung des BesitztypsWenn Ihre Bereitstellung Organisationsgruppen mit verschiedenen Besitztypen umfasst, können Sie Benutzer dazu auffordern, ihren Besitztyp bei der Registrierung zu identifizieren. Überlegen Sie sich genau, ob Sie den Benutzern die Wahl ihres eigenen Besitztyps erlauben möchten.

Sie können den Besitztyp auf individuellen Geräten zwar jederzeit im Nachhinein ändern, es ist jedoch sicherer, eine Liste von Unternehmensgeräten zu erstellen. Registrieren Sie die unternehmenseigenen Geräte später separat und legen Sie den Standardbesitztyp auf „Mitarbeitereigen“ fest.

Voraussetzungen

Zwar gestaltet sich diese Vorgehensweise einfach, allerdings wird vorausgesetzt, dass jeder Benutzer ordnungsgemäß den für sein Gerät entsprechenden Besitztyp auswählt. Wenn ein Benutzer eines privaten Geräts aus Versehen den Typ „Unternehmenseigen“ wählt, unterliegt das Gerät nun Richtlinien und Profilen, die normalerweise nicht für private Geräte gelten. Eine solche fehlerhafte Auswahl kann schwerwiegende rechtliche Konsequenzen hinsichtlich des Benutzerdatenschutzes zur Folge haben.

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Optionale Eingabeaufforderung.

2 Wählen Sie Eingabeaufforderung für Gerätebesitztyp. Bei der Registrierung werden Benutzer dazu aufgefordert, ihren Besitztyp auszuwählen.


VMware, Inc. 58


Eigenständige Registrierung vs. Geräte-StagingWorkspace ONE UEM unterstützt zwei Methoden für die Registrierung von Unternehmensgeräten. Sie können es Benutzern ermöglichen, ihre Geräte selbst zu registrieren oder Geräte im Auftrag des Benutzers registrieren zu lassen. Letzteres wird als Geräte-Staging bezeichnet.

Beim Geräte-Staging registriert ein Administrator Geräte, bevor er diese den Endbenutzern zuweist und an diese verteilt. Diese Methode ist für Administratoren hilfreich, die Geräte einrichten müssen, die von mehreren Benutzern innerhalb einer Organisation gemeinsam verwendet werden.

Das Geräte-Staging funktioniert auch bei neuen Gerätebereitstellungen gut, da dieser Vorgang stattfindet, bevor ein Mitarbeiter das Gerät erhält. Wenn Ihre Endbenutzer bereits Unternehmensgeräte besitzen, ist es am sinnvollsten, ihnen die eigenständige Registrierung zu gestatten. Benutzern die Registrierung ihrer eigenen Geräte zu gestatten ist zudem empfehlenswert, wenn sich die Durchführung des Geräte-Staging für Administratoren aufgrund der Gesamtanzahl der Geräte als umständlich erweist.

Geräte-Staging kann für Android-, Windows Phone-, iOS- und macOS-Geräte durchgeführt werden.

Hinweis Windows Phone unterstützt zurzeit nur Einzelbenutzer-Geräte-Staging.

Geräte-Staging über Workspace ONE Direct Enrollment wird nicht unterstützt. Wenn Sie ein Gerät für einen oder mehrere Benutzer bereitstellen müssen, muss es mit Workspace ONE Intelligent Hub anstelle von Workspace ONE Direct Enrollment registriert werden.

Weitere Informationen finden Sie unter Workspace ONE Direct Enrollment.

Überlegungen zur Registrierung – SelbstregistrierungWenn Sie Zeit sparen möchten, indem Sie Endbenutzer die Möglichkeit zur Selbstregistrierung geben, berücksichtigen Sie folgende Fragen.

Punkt 1: Gerätebesitzn Besitzen Ihre Endbenutzer bereits zugewiesene Unternehmensgeräte? In diesem Fall kann es sich

als impraktikabel erweisen, Daten von den einzelnen Geräten zu erfassen und das Staging durchzuführen. Es empfiehlt sich, die Registrierung den Benutzern zu überlassen.

n Verwenden Ihre Endbenutzer dieselben Geräte oder besitzen sie eigene dedizierte Geräte? Wenn Endbenutzer Geräte nicht gemeinsam verwenden, können Sie dem alleinigen Besitzer des Geräts die Verantwortung übertragen, sich selbst zu registrieren.

Punkt 2: AutoErmittlungOrdnen Sie der E-Mail-Domäne Ihrer Organisation Ihre Workspace ONE UEM-Umgebung zu? Bei diesem Vorgang, auch als AutoErmittlung bezeichnet, müssen Endbenutzer lediglich E-Mail-Adresse und Anmeldedaten eingeben. Die Registrierungs-URL und Gruppen-ID werden automatisch eingegeben.


VMware, Inc. 59

Weitere Informationen finden Sie auch unter Konfigurieren der AutoErmittlungs-Registrierung von einer untergeordneten Organisationsgruppe und Konfigurieren der AutoErmittlungs-Registrierung von einer übergeordneten Organisationsgruppe.

Punkt 3: Workspace ONE Direct EnrollmentWorkspace ONE Direct Enrollment ist eine Funktion, die sich perfekt für die Selbstregistrierung eignet. Wenn diese Funktion aktiviert ist, werden alle qualifizierten Geräte, die sich bei der Registrierungsorganisationsgruppe anmelden, sofort registriert. Und sobald die Installation vollständig abgeschlossen ist, können Endbenutzer vom Unternehmen ausgewählte Apps installieren oder die Installation von Apps überspringen.


Vorgang zur selbstständigen RegistrierungFür die selbstständige Registrierung benötigen Endanwender eventuell ihre Gruppen-ID und Anmeldedaten. Wenn eine Integration in Verzeichnisdienste erfolgt ist, entsprechen diese Anmeldedaten den Verzeichnisdienst-Anmeldedaten des Anwenders.

Sie können die E-Mail-Domäne Ihrer Organisation auch mit Ihrer Workspace ONE UEM-Umgebung verknüpfen. Dieser Vorgang wird als „AutoErmittlung“ bezeichnet. Wenn die Funktion „AutoErmittlung“ aktiviert ist, werden Endanwender von den Geräten der unterstützten Plattformen zur Eingabe ihrer E-Mail-Adresse aufgefordert. Diese Geräte führen die Registrierung automatisch durch, wenn die jeweilige E-Mail-Domäne (der nach dem @-Zeichen folgende Text) übereinstimmt. Dabei muss keine Gruppen-ID oder Registrierungs-URL eingegeben werden. Weitere Informationen finden Sie unter Registrierung über AutoErmittlung.

Verfahren

1 Wenn Sie zu AWAgent.com navigieren, wird automatisch erkannt, ob Workspace ONE Intelligent Hub installiert ist.

Falls Workspace ONE Intelligent Hub nicht installiert ist, leitet die Website zum jeweiligen Mobile App Store um.

2 Benutzer von AirWatch Container laden die AirWatch Container App aus dem App Store herunter.

3 Nachdem der Workspace ONE Intelligent Hub oder die Container-App gestartet wurde, geben Benutzer neben einer E-Mail-Adresse oder URL-/Gruppen-ID ihre Anmeldedaten ein und können dann mit der Registrierung fortfahren.

Nächste Schritte

Überlegungen zur Registrierung – Geräte-StagingAdministratoren können Geräte im Auftrag von Benutzern durch einen Vorgang namens Geräte-Staging registrieren. Das Staging von Geräten dient dazu, den Vorgang zur Registrierung und zur Registrierung von iOS-Geräten, die von mehreren Benutzern gemeinsam verwendet werden, zu optimieren. Durch ein


VMware, Inc. 60

https://awagent.com/

Geräte-Staging kann auch eine gesamte Geräteflotte schnell mit Apple Configurator bereitgestellt werden.

Punkt 1: Verwenden des Geräte-StagingsAdministratoren müssen das Geräte-Staging nacheinander durchführen, es sei denn, sie verwenden Apple Configurator. Bei großen Bereitstellungen sollten Sie den erforderlichen Zeit- und Personalaufwand berücksichtigen.

Während Administratoren mühelos ein Staging für neue Geräte durchführen können, müssen Mitarbeiter, die bereits unternehmenseigene Geräte verwenden, diese einsenden oder zum Geräte-Staging vor Ort Daten von diesen erfassen.

Das Geräte-Staging kann eine Weile dauern, wenn Sie Tausende von Geräten vorab registrieren müssen. Deshalb funktioniert es am besten, wenn eine neue Reihe von Geräten bereitgestellt werden soll. Denn so können Sie auf die Geräte zugreifen, bevor die Mitarbeiter sie erhalten.

Das Geräte-Staging kann wie folgt für Android-, Windows Phone- und iOS-Geräte durchgeführt werden:

n Einzelbenutzer (Standard) – Wird beim Staging eines Geräts verwendet, das später von einem beliebigen Benutzer registriert werden kann.

n Einzelbenutzer (Erweitert) – Wird beim Staging und Registrieren eines Geräts für einen bestimmten Benutzer verwendet.

n Mehrbenutzer – Wird beim Staging eines Geräts verwendet, das von mehreren Benutzern gemeinsam verwendet wird.

Hinweis Windows Phone unterstützt zurzeit nur Einzelbenutzer-Geräte-Staging.

Punkt 2: Nehmen Sie am Geräteregistrierungsprogramm von Apple teil?Um optimal von den Vorteilen der in Mobile Device Management (MDM) registrierten Apple-Geräte zu profitieren, hat Apple das Geräteregistrierungsprogramm (Device Enrollment Program, DEP) geschaffen. Das DEP ermöglicht Folgendes:

n Installieren eines vom Endbenutzer nicht entfernbaren MDM-Profils auf einem Gerät, sodass dieses von den Benutzern nicht gelöscht werden kann.

n Bereitstellen von Geräten im Überwachungsmodus (nur iOS-Geräte). Geräte im Überwachungsmodus können auf zusätzliche Sicherheits- und Konfigurationseinstellungen zugreifen.

n Durchsetzen der Registrierung für alle Endbenutzer

n Optimieren des Registrierungsprozesses und Anpassen an die Anforderungen Ihres Unternehmens

n Verhindern der iCloud-Sicherung durch Deaktivieren der Anmeldung von Benutzern mit ihrer Apple-ID beim Generieren eines DEP-Profils

n Erzwingen von BS-Updates für alle Endbenutzer


VMware, Inc. 61

Punkt 3: Verwendung von Apple ConfiguratorApple Configurator ermöglicht IT-Administratoren die effiziente Bereitstellung von Apple iOS-Geräten. Für Organisationen wie Einzelhandelsgeschäfte, Bildungseinrichtungen und Krankenhäuser hat es sich als nützliches Tool erwiesen, um gemeinsam genutzte Geräte für mehrere Endbenutzer vorab zu registrieren.

Die Registrierung von vorab registrierten Geräten für einen einzelnen Benutzer mit Configurator wird unterstützt. Hierzu muss die Seriennummer/IMEI in der Konsole des registrierten Geräts eines Benutzers hinzugefügt werden. Ein immenser Vorteil von Apple Configurator besteht darin, dass Sie mit einem USB-Hub oder iOS-Gerätewagen in nur wenigen Minuten mehrere Geräte bereitstellen können.

Punkt 4: Verwendung von Workspace ONE Direct EnrollmentGeräte-Staging über Workspace ONE Direct Enrollment wird nicht unterstützt. Wenn Sie ein Gerät für einen oder mehrere Benutzer bereitstellen müssen, muss es mit Workspace ONE Intelligent Hub anstelle von Workspace ONE Direct Enrollment registriert werden.


Punkt 5: Staging von einzelnen Benutzern oder Registrierung?Wenn Sie überlegen, ein Geräte-Staging für einen einzelnen Benutzer durchzuführen, ist unter Umständen die Registrierung die beste Wahl. Der Unterschied zwischen Staging für einen einzelnen Benutzer und der Registrierung eines Geräts ist klein aber bedeutend.

Registrierung – Wenn Sie ein Gerät registrieren, tun Sie dies für einen einzelnen, benannten Benutzer. Bei diesem Verfahren geht das Gerät davon aus, dass der Benutzer, der sich zuerst anmeldet, derselbe Benutzer ist, für den das Gerät registriert wurde. Wenn ein anderer Benutzer versucht, sich bei einem registrierten Gerät anzumelden, muss das Gerät aus Sicherheitsgründen gesperrt werden und es ist nicht zur Registrierung berechtigt.

Staging von einzelnen Benutzern – Wenn Sie das Staging für ein Gerät durchführen, tun Sie dies für alle Benutzer, die sich in Workspace ONE UEM registrieren können. Theoretisch könnten Sie ein per Staging bereitgestelltes Gerät jedem beliebigen qualifizierten Benutzer aushändigen. Dieser Benutzer könnte sich dann erfolgreich beim Gerät anmelden und bei Workspace ONE UEM registrieren.

Der Staging-Workflow bietet Ihnen die Möglichkeit, das Gerät vorzubereiten und danach Workspace ONE Intelligent Hub zu starten. So kann sich jeder für die Registrierung qualifizierte Benutzer anmelden. Danach führt Workspace ONE UEM eine einmalige erneute Zuweisung durch, um das Gerät diesem Benutzer zuzuweisen.

ÜberwachungsmodusAdministratoren haben die Möglichkeit, den Überwachungsmodus für Geräte zu aktivieren, die über Apple Configurator registriert wurden. Hierdurch werden zusätzliche optimierte Sicherheitsfunktionen aktiviert. Bei diesem Modus werden jedoch verschiedene Beschränkungen auf dem Gerät eingeführt.


VMware, Inc. 62

VorteileNachdem ein Gerät überwacht und bei Workspace ONE UEM registriert wurde, besitzt der Administrator folgende optimierte Funktionen, die im Vergleich zu normalen Geräten zur Konfiguration zur Verfügung stehen.

n Erhöhte Berechtigungen über MDMn Hindern Sie Benutzer an der Entfernung von Anwendungen. Die Entfernung von Anwendungen

kann durch Restriktionen unter „Systemkonfiguration“ auch lokal auf dem Gerät beschränkt werden.

n Verhindern Sie die Verwendung von AirDrop.

n Hindern Sie Benutzer an der Änderung von iCloud- und E-Mail-Kontoeinstellungen, die Kontoänderungen verbieten.

n Deaktivieren Sie iMessage.

n Legen Sie Restriktionen für iBookstore-Inhaltsbewertungen fest.

n Game Center und iBookstore deaktivieren

n Erhöhte Sicherheitn Endbenutzer daran hindern, auf Websites mit jugendfreien Inhalten in Safari aufzurufen

n Beschränken, welche Geräte eine Verbindung zu festgelegten AirPlay-Zielen wie Apple TVs herstellen können

n Installation von Zertifikaten oder nicht verwalteten Konfigurationsprofilen verhindern

n Erzwingen, dass der gesamte Netzwerkdatenverkehr des Geräts über ein globales HTTP-Proxy erfolgt

n Kiosk-Modusn Sperren Sie Geräte auf eine Anwendung mit Einzel-App-Modus und deaktivieren Sie die

Schaltfläche „Startseite“.

n Anpassen von Hintergründen und Texten auf dem Gerät

n Aktivieren oder Aufheben der Aktivierungssperre

Beschränkungenn Der USB-Zugriff auf überwachte Geräte ist auf die Überwachung von Mac-Geräten beschränkt.

n Daten können mit iTunes nicht auf das und vom Gerät kopiert werden, wenn das Apple Configurator-Identitätszertifikat nicht auf dem Gerät installiert ist.

n Medien wie Fotos und Videos können nicht von dem Gerät auf einen PC oder Mac kopiert werden. Verwenden Sie VMware Content Locker für die Übertragung dieses Datentyps, um die Inhalte mit denen im Abschnitt „Private Dokumente“ des Benutzers zu synchronisieren. Alternativ können Daten mithilfe einer Dateifreigabeanwendung per WLAN/WWAN auf einen Server übertragen werden.


VMware, Inc. 63

n Im Überwachungsmodus wird der Zugriff auf geräteseitige Protokolle mittels iPhone Configuration Utility (IPCU) verhindert.

n Durch diesen Modus wird die Fehlerbehebung von Anwendungs- oder Geräteproblemen erschwert. Der Grund für diese Schwierigkeit ist darauf zurückzuführen, dass die Protokolle nur von dem Gerät abgerufen werden können, wenn das Gerät mit dem überwachten Mac verbunden ist. Um einige dieser Probleme zu beheben, verwenden Sie das Workspace ONE SDK. Dieses dient zum Senden von Protokollen und Logistik von den Anwendungen an die UEM-Konsole.

n Die Geräte können nicht einfach auf die Werkseinstellungen zurückgesetzt werden.

n Sobald ein Gerät auf die Werkseinstellungen zurückgesetzt wurde, muss es wieder mit dem überwachten Mac verknüpft werden, um den Überwachungsmodus wiederherzustellen. Dieser Vorgang kann sich als problematisch erweisen, wenn sich der Mac nicht in der Nähe des Geräts befindet.

Bei der Entscheidung bezüglich der Aktivierung des Überwachungsmodus sollten Sie Folgendes berücksichtigen: Trotz der Aktivierung zusätzlicher Funktionen, die die Sicherheit auf dem Gerät erhöhen, müssen die USB-Beschränkungen berücksichtigt werden.

Die Nähe des Geräts zum überwachten Mac spielt eine wichtige Rolle bei den Entscheidungen. Da aufgrund der USB-Beschränkung der Zugriff auf geräteseitige Protokolle verwehrt wird, muss ein fehlerhaftes Gerät an das Lager zurückgesendet und das Staging zur Wiederherstellung des Funktionalität erneut durchgeführt werden.

Die Vorabentscheidung bezüglich der Überwachung ist wichtig, da der Vorgang zur Überwachung oder der Verzicht auf eine Überwachung die Lieferung des Geräts an einen IT-Standort oder ein Lager erfordert.

Bereitstellen eines Einzelbenutzergeräts (Staging)Das Geräte-Staging der Workspace ONE UEM Console für Einzelbenutzer ermöglicht einem einzigen Administrator, Geräte für andere Benutzer in deren Auftrag auszurüsten – eine Funktion, die für IT-Administratoren nützlich sein kann, wenn sie eine Flotte an Geräten bereitstellen müssen.


Wichtig Beim Geräte-Staging ist eine LDAP-Bindung erforderlich. Sie finden Informationen zur Erstellung dieser Nutzlast im Abschnitt über die Bindung eines Geräts an den Verzeichnisdienst im vorliegenden Leitfaden.

Verfahren

1 Navigieren Sie zu Konten > Benutzer > Listenansicht und wählen Sie Bearbeiten für das Benutzerkonto, für das Sie Geräte-Staging aktivieren möchten.


VMware, Inc. 64

2 Wählen Sie auf der Seite Benutzer hinzufügen/bearbeiten die Registerkarte Erweiterungen.

a Scrollen zum Bereich Staging herunter.

b Wählen Sie Geräte-Staging aktivieren.

c Wählen Sie die diesem Staging-Benutzer entsprechenden Staging-Einstellungen.

Mit der Option Einzelbenutzergeräte wird das Staging von Geräten für einen einzelnen Benutzer ausgeführt.

3 Schalten Sie den Typ des Einzelbenutzer-Geräte-Staging-Modus entweder auf Standard oder Erweitert um.

Beim Standard-Staging muss ein Endbenutzer nach dem Staging Anmeldedaten eingeben. „Erweitert“ heißt, dass der Benutzer, der das Staging ausführt, das Gerät im Auftrag eines anderen Benutzers registrieren kann.

4 Vergewissern Sie sich, dass Mehrbenutzergeräte auf Deaktiviert gestellt ist.

5 Registrieren Sie das Gerät.

n Führen Sie die Registrierung über Workspace ONE Intelligent Hub aus, indem Sie eine Server-URL und Gruppen-ID eingeben.

n Öffnen Sie den Internet-Browser des Geräts, navigieren Sie zur Registrierungs-URL und geben Sie die korrekte Gruppen-ID ein.

6 Geben Sie bei der Registrierung Ihre Staging-Benutzer-Anmeldedaten ein.

a Falls erforderlich, geben Sie bitte an, dass Sie das Staging für Einzelbenutzergeräte ausführen.

Dies ist nur erforderlich, falls „Mehrbenutzergeräte-Staging“ ebenfalls für den Staging-Benutzer aktiviert ist.

7 Schließen Sie die Registrierung entweder für erweitertes oder für Standard-Staging ab.

a Sollten Sie erweitertes Staging ausführen, werden Sie dazu aufgefordert, den Benutzernamen des Besitzers des Endbenutzergeräts einzugeben, der das Gerät benutzen wird. Setzen Sie die Registrierung fort, indem Sie das MDM-Profil (Mobile Device Management) installieren und alle Eingabeaufforderungen und Nachrichten akzeptieren.

b Beim Standard-Staging wird der Endbenutzer beim Abschluss der Registrierung aufgefordert, die eigenen Anmeldedaten im Anmeldefenster einzugeben.

Ergebnisse

Das Geräte-Staging ist nun abgeschlossen und das Gerät kann vom neuen Benutzer verwendet werden. Wenn Nutzungsbedingungen für die Registrierung vorhanden ist, wird Staging-Einzelbenutzern die Nutzungsbedingungen-Aufforderung erst angezeigt, wenn sie sich bei ihrem SSP-Konto anmelden.

Bereitstellen eines Mehrbenutzergeräts (Staging)Mehrbenutzergeräte-/ Gemeinschaftsgeräte-Staging erlaubt einem IT-Administrator, Geräte bereitzustellen, die von mehreren Benutzern verwendet werden sollen. Mehrbenutzer-Staging ermöglicht


VMware, Inc. 65

den dynamischen Wechsel von zugewiesenen Benutzern auf einem Gerät, während sich andere Netzwerkbenutzer beim Gerät anmelden.


Verfahren

1 Navigieren Sie zu Konten > Benutzer > Listenansicht und wählen Sie Bearbeiten für das Benutzerkonto, für das Sie Geräte-Staging aktivieren möchten.

2 Wählen Sie auf der Seite Benutzer hinzufügen/bearbeiten die Registerkarte Erweiterungen.

a Scrollen zum Bereich Staging herunter.

b Wählen Sie Geräte-Staging aktivieren.

c Wählen Sie die diesem Staging-Benutzer entsprechenden Staging-Einstellungen.

Mit der Option Einzelbenutzergeräte wird das Staging von Geräten für einen einzelnen Benutzer ausgeführt.

3 Schalten Sie den Typ des Einzelbenutzer-Geräte-Staging-Modus entweder auf Standard oder Erweitert um.

Beim Standard-Staging muss ein Endbenutzer nach dem Staging Anmeldedaten eingeben. „Erweitert“ heißt, dass der Benutzer, der das Staging ausführt, das Gerät im Auftrag eines anderen Benutzers registrieren kann.

4 Vergewissern Sie sich, dass Mehrbenutzergeräte auf Aktiviert festgelegt ist.

5 Registrieren Sie das Gerät über eine der zwei folgenden Methoden.

n Führen Sie die Registrierung über Workspace ONE Intelligent Hub aus, indem Sie eine Server-URL und Gruppen-ID eingeben.

n Öffnen Sie den Internet-Browser des Geräts, navigieren Sie zur Registrierungs-URL und geben Sie die korrekte Gruppen-ID ein.

6 Geben Sie bei der Registrierung Ihre Staging-Benutzer-Anmeldedaten ein. Falls erforderlich, geben Sie bitte an, dass Sie das Staging für Einzelbenutzergeräte ausführen.

Dies ist nur erforderlich, falls „Mehrbenutzergeräte-Staging“ ebenfalls für den Staging-Benutzer aktiviert ist.

7 Schließen Sie die Registrierung entweder für erweitertes oder für Standard-Staging ab.

n Sollten Sie erweitertes Staging ausführen, werden Sie dazu aufgefordert, den Benutzernamen des Besitzers des Endbenutzergeräts einzugeben, der das Gerät benutzen wird. Setzen Sie die Registrierung fort, indem Sie das MDM-Profil (Mobile Device Management) installieren und alle Eingabeaufforderungen und Nachrichten akzeptieren.

n Beim Standard-Staging wird der Endbenutzer beim Abschluss der Registrierung aufgefordert, die eigenen Anmeldedaten im Anmeldefenster einzugeben.


VMware, Inc. 66

Ergebnisse

Das Geräte-Staging ist nun abgeschlossen, und das Gerät kann von den neuen Benutzern verwendet werden.

GeräteeintragungDie Eintragung von Unternehmensgeräten vor ihrer Registrierung ist optional und bietet den wesentlichen Vorteil, dass die Registrierung ausschließlich auf eingetragene Geräte beschränkt werden kann.

Ein weiterer Vorteil ist die Möglichkeit zur Nachverfolgung von Registrierungsstatus, die angeben, welche Ihrer Benutzer sich registriert haben und bei welchen Benutzern dieser Vorgang noch aussteht. Sie können noch nicht registrierte Benutzer dann benachrichtigen.

In Workspace ONE UEM können auch dann Geräte erfolgreich registriert werden, wenn die Geräte-IDs weder von Benutzern noch von Administratoren bei der Dateneingabe angegeben werden.

Ein dritter Vorteil zur Registrierung von Geräten vor der Registrierung ist die Sicherheit. Ein registriertes Gerät erwartet, dass es sich beim Benutzer, der sich zum ersten Mal anmeldet, um dieselbe Person handelt, für die das Gerät registriert wurde. Wenn ein anderer Benutzer versucht, sich bei einem registrierten Gerät anzumelden, wird das Gerät gesperrt und kann nicht registriert werden.

Überlegungen zur Registrierung – RegistrierungWenn Sie vor der Registrierung von Geräten mit der Anmeldung fortfahren möchten, sollten Sie Folgendes berücksichtigen.

Wer registriert Geräte?Eine wichtige Überlegung bei der Registrierung von Geräten ist die Auswahl der Person, die die tatsächliche Geräteregistrierung durchführt.

n Wie viele Geräte umfasst Ihre Bereitstellung insgesamt? Bei großen Bereitstellungen mit Tausenden von Geräten können Sie diese Daten einer CSV-Datei (Comma-Separated Values) hinzufügen. Sie laden diese Datei dann hoch, bevor die Geräte bereitgestellt werden. Wahlweise können Sie die Aufgabe zur Geräteregistrierung auch an den Endbenutzer weiterleiten.

n Führen Sie ein BYOD-Programm, bei dem Mitarbeiter ihre persönlichen Geräte verwenden können? Wenn Sie die Registrierung nur auf eingetragene Geräte einschränken möchten, müssen Sie den Mitarbeitern entsprechende Anweisungen zur Eintragung ihrer Geräte bereitstellen.

Geräteregistrierung durch den Endbenutzer über das SSPSie können Endbenutzer dazu auffordern, ihre eigenen Geräte vor der Anmeldung bei Workspace ONE UEM zu registrieren, wenn Sie BYOD unterstützen. Sie können auch von Benutzern mit unternehmenseigenen Geräten verlangen, dass sie sich registrieren, wenn Sie die Registrierung nachverfolgen oder Registrierungstoken nutzen möchten. In beiden Fällen müssen Sie die Endbenutzer über den entsprechenden Prozess informieren, den sie einhalten müssen.


VMware, Inc. 67

Die folgenden Anweisungen basieren auf der Annahme, dass der Endbenutzer über Workspace ONE UEM-Anmeldedaten verfügt – entweder die vorhandenen Verzeichnisdienst-Anmeldedaten oder die Anmeldedaten eines zuvor aktivierten Benutzerkontos. Wenn Sie die Registrierung mit Verzeichnisdiensten ohne manuelles Hinzufügen von Benutzern ausgewählt haben, sind noch keine Benutzerkonten erstellt.

In diesem Fall, und wenn Sie möchten, dass Endbenutzer ihre Geräte registrieren, müssen Sie eine E-Mail oder eine Intranet-Benachrichtigung mit Registrierungsanweisungen an alle Benutzergruppen außerhalb von Workspace ONE UEM senden.

Wenn Sie Eintragungstokens zur Registrierungsauthentifizierung aktiviert haben, wird das Token über den ausgewählten Nachrichtentyp gesendet.

Beschränken der Registrierung auf ausschließlich registrierte GeräteGanz gleich, ob Administratoren oder Endbenutzer Geräte registriert haben – Sie können zu diesem Zeitpunkt die Registrierung ausschließlich auf registrierte Geräte beschränken. Navigieren Sie dazu zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie Nur registrierte Geräte.

Nachverfolgen des RegistrierungsstatusNachdem Geräte eingetragen wurden, können Sie den Registrierungsstatus nachverfolgen, indem Sie zur Seite Geräte-Dashboard navigieren und das Diagramm Registrierung wählen, über das Sie auf Basis des Registrierungsstatus filtern können. Sie können auch auf den Monitor zugreifen, in dem die zuletzt registrierten Geräte aufgeführt werden.

n Einzelne Geräte registrieren – Geben Sie wichtige Geräte- und Ressourceninformationen ein, wie den Anzeigenamen zur leichten Erkennung in der UEM-Konsole, Modell, Betriebssystem, Seriennummer, Unique Device Identifier (UDID) und Inventarnummer. Dieser Vorgang ist gegebenenfalls auch der abschließende Arbeitsschritt beim Hinzufügen eines einzelnen Benutzers. Wählen Sie dazu Speichern und Gerät hinzufügen statt Speichern.

n Mehrere Geräten eintragen – Ähnlich wie beim Massenhinzufügen von Benutzern beschleunigt dieser Prozess den Geräteregistrierungsprozess, wenn mehrere Geräte auf einmal hinzugefügt werden. Er kann in den Prozess Massenerstellung von Benutzerkonten integriert werden.

n Registrierung von Geräten der Endbenutzer –Sie können Endbenutzer dazu auffordern, ihre eigenen Geräte vor der Anmeldung bei Workspace ONE UEM zu registrieren, wenn Sie BYOD in Ihrer Bereitstellung unterstützen. Diese Strategie ist mit der Anforderung kompatibel, dass Geräte vor der Anmeldung der Benutzer registriert werden müssen.

Weitere Informationen finden Sie unter Aktivieren von Registrierungstokens und Erstellen einer Standardnachricht.


VMware, Inc. 68

Benutzergruppensynchronisierung während der RegistrierungWenn Sie beabsichtigen, Ihre Anwendungszuweisungen, Geräteprofilzuweisungen, Zuweisungen von Konformitätsrichtlinien oder Benutzerzuordnungen in Benutzergruppen zu organisieren, sollten Sie erwägen, die Einstellung „Benutzergruppensynchronisierung“ aktiviert zu lassen. Dies ist auch die Standardeinstellung. Diese Einstellung führt dazu, dass Workspace ONE jedes Mal, wenn ein Gerätedatensatz erstellt wird, einen Echtzeit-Aufruf zum Authentifizierungsserver durchführt.

Weitere Informationen finden Sie im Abschnitt Benutzergruppensynchronisierung in Konfigurieren von Registrierungsoptionen auf der Registerkarte „Gruppierung“.

Eintragen eines einzelnen GerätsZwar ist mit der Option des Batch-Imports die Registrierung von Hunderten oder sogar Dutzenden von Geräten praktisch, Sie können Geräte jedoch auch einzeln registrieren, wenn Sie nur wenige Geräte registrieren müssen.

Verfahren

1 Klicken Sie auf die Schaltfläche Hinzufügen, die im oberen rechten Quadranten nahezu jeder Seite der Workspace ONE UEM Console angezeigt wird.

Nachdem Sie die Schaltfläche gewählt haben, wird ein Dropdown-Menü mit mehreren Optionen angezeigt.

2 Wählen Sie Gerät.

Die Seite Gerät hinzufügen wird angezeigt.

3 Bearbeiten Sie die Optionen je nach Bedarf, beginnend mit der Registerkarte Benutzer.


Abschnitt „Benutzer“

Suchtext Suchen Sie nach einem Benutzer, indem Sie einen Suchparameter eingeben und die Schaltfläche Benutzer suchen wählen.

Wählen Sie nach einer erfolgreichen Suche das Konto des Benutzers, für den Sie das Gerät registrieren. Es werden mehrere zuvor ausgefüllte Textfelder angezeigt, einschließlich Sicherheitstyp, Benutzername, Kennwort und E-Mail-Adresse. Sie können diese Textfelder bearbeiten, indem Sie erweiterte Benutzerdetails anzeigen.


VMware, Inc. 69


Abschnitt „Gerät“

Erwarteter Freundlicher Name Geben Sie den freundlichen Namen des Geräts ein. Dieses Textfeld akzeptiert Nachschlagewerte, die Sie unter Verwendung des Pluszeichens einfügen können. Weitere Informationen finden Sie unter Nachschlagewerte.

Organisationsgruppe Wählen Sie die Organisationsgruppe, zu der das Gerät gehört.

Besitz Wählen Sie die Besitzebene des Geräts.

Plattform Wählen Sie die Plattform des Geräts.

Erweiterte Geräteinformationsoptionen anzeigen

Prüfen Sie Einstellungen für erweiterte Gerätedaten.

Modell Wählen Sie das Gerätemodell. Diese Option des Dropdown-Menüs hängt von der Wahl der Plattform ab.

BS Wählen Sie das Betriebssystem des Geräts. Diese Option des Dropdown-Menüs hängt von der Wahl der Plattform ab.

UDID* Geben Sie den eindeutigen Bezeichner des Geräts ein.

Seriennummer* § ‡ Geben Sie die Seriennummer des Geräts ein.

IMEI* § Geben Sie die IMEI-Nummer (International Mobile Station Equipment Identity) des Geräts ein.

SIM* Geben Sie das Teilnehmer-Identitätsmodul (Subscriber Identity Module, SIM) für das Gerät ein.

Anlagennummer* Geben Sie die Anlagennummer des Geräts ein.

Abschnitt „Messaging“

Nachrichtentyp Die Art der Benachrichtigung, die an den Benutzer gesendet wird, sobald das Gerät hinzugefügt ist. Wählen Sie Keine(r/s), E-Mail oder SMS.

Für die Option „E-Mail“ ist eine gültige E-Mail-Adresse erforderlich. Sie müssen außerdem eine E-Mail-Nachrichtenvorlage auswählen.

Die Option „SMS“ erfordert eine Rufnummer mit Landes- und Ortsvorwahl. Für die SMS-Nutzung fallen möglicherweise Kosten an. Sie müssen außerdem eine SMS-Nachrichtenvorlage auswählen.

E-Mail-Adresse Erforderlich für den Nachrichtentyp „E-Mail“.

E-Mail-Nachrichtenvorlage Erforderlich für den Nachrichtentyp „E-Mail“. Wählen Sie eine Vorlage aus dem Dropdown-Menü. Prüfen Sie die E-Mail-Nachricht durch Klicken auf die Schaltfläche Nachrichtenvoransicht.

Rufnummer Erforderlich für den Nachrichtentyp „SMS“.

SMS-Nachrichtenvorlage Erforderlich für den Nachrichtentyp „SMS“. Wählen Sie eine Vorlage aus der Dropdown-Liste. Prüfen Sie die SMS-Nachricht durch Klicken auf die Schaltfläche Nachrichtenvoransicht.

* Zur Registrierung eines Geräts muss aus diesen erwähnten Einstellungen mindestens eine angegeben werden.

§ Zur Registrierung eines Windows Phone-Geräts müssen Sie entweder die IMEI oder Seriennummer des Geräts eingeben.


VMware, Inc. 70

‡ Zur Registrierung eines Windows Desktop-Geräts müssen Sie die Seriennummer des Geräts eingeben.

4 (Optional) Vervollständigen Sie die Registerkarte Benutzerdefinierte Attribute.


Hinzufügen Fügen Sie ein angepasstes Attribut und seine zugehörige Anwendung und den Wert durch Auswahl dieser Schaltfläche hinzu.

Um die Funktion „Benutzerdefiniertes Attribut“ beim Hinzufügen eines Geräts verwenden zu können, muss bereits ein benutzerdefiniertes Attribut erstellt worden sein. Anweisungen dazu finden Sie unter Kapitel 14 Benutzerdefinierte Attribute.

Anwendung Wählen Sie die Anwendung aus, die das Attribut erfasst.

Attribute Wählen Sie das benutzerdefinierte Attribut aus dem Dropdown-Menü.

Wert Wählen Sie den Wert des benutzerdefinierten Attributs aus dem Dropdown-Menü.

5 (Optional) Vervollständigen Sie die Registerkarte Tags.


Hinzufügen Fügen Sie ein Tag zum Gerät hinzu.

Tag Wählen Sie das Tag aus dem Dropdown-Menü vorhandener Tags.

6 Wählen Sie Speichern, um den Prozess der Geräteeintragung abzuschließen.

Ergebnisse

Das Gerät ist nun für das ausgewählte Workspace ONE UEM-Benutzerkonto registriert, das in Schritt 3 angegeben wurde.

Nächste Schritte

Stellen Sie dieses Gerät diesem Benutzer bereit, damit dieser sich anmelden und den Registrierungsprozess abschließen kann. Wenn ein anderer Benutzer versucht, sich bei diesem Gerät vor dem registrierten Benutzer anzumelden, wird das Gerät gesperrt und kann nicht mehr registriert werden.

Fehlende Geräte-IDs während der RegistrierungWenn während der Eintragung kein Gerätebezeichner festgelegt wird (wie UDID, IMEI und Seriennummer), verwendet Workspace ONE UEM die folgenden Attribute, um ein registriertes Gerät automatisch seinem Registrierungsdatensatz zuzuordnen.

Wenn unzureichende Registrierungsinformationen bereitgestellt werden, ermöglicht die folgende Rangfolge Workspace ONE UEMdie erfolgreiche Registrierung von Geräten.

1 Benutzer, auf den das Gerät eingetragen ist.

2 Plattform (falls festgelegt).

3 Modell (falls festgelegt).

4 Besitztyp (falls festgelegt).


VMware, Inc. 71

5 Datum des ältesten übereinstimmenden Registrierungsdatensatzes.

Registrieren mehrerer GeräteDie Registrierung einzelner Geräte ist kein Problem, wenn Sie nur wenige Geräte hinzufügen möchten. Falls Sie jedoch Hunderte oder selbst nur Dutzende von Geräten registrieren möchten, ist der Batch-Importvorgang die geeignetere Wahl.

Verfahren

1 Navigieren Sie zu Konten > Benutzer > Listenansicht oder Geräte > Lebenszyklus > Registrierungsstatus.

a Wählen Sie Hinzufügen und dann Batch-Import, um den Bildschirm Batch-Import anzuzeigen.

2 Geben Sie alle erforderlichen Optionen an: Batch-Name, Batch-Beschreibung und Batch-Typ.

In der Option Batch-Datei (.csv) befindet sich eine Liste der aufgabenbasierten Vorlagen, die Sie verwenden können, um Benutzer und ihre Geräte im Massenverfahren zu laden.

3 Wählen Sie die entsprechende Downloadvorlage und speichern Sie die Datei mit durch Kommas getrennten Werten (CSV) an einem zugänglichen Ort.

4 Machen Sie die gespeicherte CSV-Datei ausfindig, öffnen Sie diese mit Excel und geben Sie alle relevanten Informationen für alle Geräte ein, die Sie importieren möchten.

Jede Vorlage wird im Vorhinein mit Beispieleinträgen aufgefüllt, die zeigen, welche Informationen (mit dem jeweiligen Format) in jede Spalte gehören. Felder in der CSV-Datei, die mit einem Sternchen (*) gekennzeichnet sind, sind erforderlich.

5 Speichern Sie die ausgefüllte Vorlage als CSV-Datei. Klicken Sie in der UEM-Konsole auf die Schaltfläche Datei wählen im Bildschirm Batch-Import, navigieren Sie zum Pfad, unter dem Sie die ausgefüllte CSV-Datei gespeichert haben, und wählen Sie diese aus.

6 Wählen Sie Speichern, um die Registrierung für alle aufgeführten Benutzer und die entsprechenden Geräte durchzuführen.

Endbenutzer-GeräteeintragungWenn Sie die Gerätedetails zur Einrichtung nicht kennen, empfiehlt es sich eventuell, Endbenutzer zur selbstständigen Eintragung ihrer Geräte anzuweisen. Eine solche Anweisung ist anzuraten, wenn Sie über eine BYOD-Bereitstellung (Bring Your Own Device) verfügen.

Wenn Sie BYOD in Ihrer Bereitstellung unterstützen, weisen Sie Endbenutzer an, ihre Geräte vor der Registrierung in Workspace ONE UEM zu registrieren. Sie können diesen Schritt durchführen und trotzdem verlangen, dass Geräte vor der Registrierung durch den Benutzer registriert werden müssen. Wenn Sie die Registrierung nachverfolgen möchten oder Registrierungstokens verwenden möchten, verlangen Sie die Registrierung von Benutzern mit unternehmenseigenen Geräten. In beiden Fällen müssen Sie Endbenutzer über den Vorgang in Kenntnis setzen.


VMware, Inc. 72

Die folgenden Anweisungen basieren auf der Annahme, dass der Endbenutzer über Workspace ONE UEM-Anmeldedaten verfügt – entweder die vorhandenen Verzeichnisdienst-Anmeldedaten oder die Anmeldedaten eines zuvor aktivierten Benutzerkontos. Wenn Sie die Registrierung mit Verzeichnisdiensten ohne manuelles Hinzufügen von Benutzern ausgewählt haben, dürfen keine Benutzerkonten bereit erstellt worden sein.

Wenn Sie möchten, dass Endbenutzer ihre Geräte registrieren, müssen Sie eine E-Mail oder eine Benachrichtigung mit Registrierungsanweisungen an alle Benutzergruppen außerhalb von Workspace ONE UEM senden.

Wenn Sie Registrierungstokens zur Registrierungsauthentifizierung aktiviert haben, wird das Token an den Benutzer in der ausgewählten Nachricht gesendet.

n Senden Sie eine E-Mail- oder Intranet-Benachrichtigung mit einer Anleitung zur Registrierung an Benutzer außerhalb von Workspace ONE UEM. Vergewissern Sie sich, dass die Registrierungsauthentifizierung für Active Directory oder für den Authentifizierungsproxy aktiviert ist. Navigieren Sie dazu zu Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung > Authentifizierung.

Unbekannte Benutzer abweisen muss deaktiviert sein. Um diese Einstellung zu überprüfen, navigieren Sie zu Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung > Restriktionen.

n Erstellen Sie Benutzerkonten, die allen Endbenutzern die Eintragung ihrer Geräte ermöglichen. Senden Sie dann allen Benutzern eine Benachrichtigung zur Aktivierung ihrer Benutzerkonten mit einer Anleitung zur Eintragung.

Beide Optionen verlangen, dass Sie den Endbenutzern grundlegende Informationen zur Verfügung stellen.

n Wo sie sich eintragen sollen – Endbenutzer können sich eintragen, indem sie zur Self-Service-Portal-URL navigieren. Diese URL folgt der Struktur https://<AirWatch-Umgebung> > /MeinGerät, wobei <AirWatch-Umgebung> > der Registrierungs-URL entspricht. Weitere Informationen finden Sie unter Anweisen der Benutzer zur Selbsteintragung.

n Wie sie sich für das Self-Service-Portal authentifizieren – Endbenutzer benötigen Gruppen-ID, Benutzername und Kennwort, um sich im Self-Service-Portal (SSP) anzumelden.

Anweisen der Benutzer zur SelbsteintragungSobald Endbenutzer die Registrierungsnachricht erhalten, können sie ihre Geräte selbst registrieren und Zeit sparen.

Kopieren Sie diese Anweisungen in die Registrierungsnachricht, die Sie an die Endbenutzer senden. So haben sie alle notwendigen Informationen, um ihre eigenen Geräte zu registrieren.

Verfahren

1 Navigieren Sie zur SSP-URL (Self-Service-Portal): https://<AirWatch-Umgebung > /MeinGerät, wobei <AirWatch-Umgebung> für die Registrierungs-URL Ihrer Umgebung steht.


VMware, Inc. 73

2 Geben Sie zur Anmeldung die Gruppen-ID sowie die Anmeldedaten ein, d.h. entweder eine E-Mail-Adresse oder Benutzername und Kennwort.

Diese Anmeldedaten können den Verzeichnisdienst-Anmeldedaten für Verzeichnisbenutzer entsprechen.

3 Wählen Sie Gerät hinzufügen, um das Formular Gerät eintragen zu öffnen.

4 Geben Sie die Geräteinformationen in die erforderlichen Textfelder des Formulars Gerät eintragen ein.

5 Wählen Sie Speichern, um die Daten abzusenden und das Gerät einzutragen.

Nachverfolgen des GeräteregistrierungsstatusGelegentlich kann es vorkommen, dass Sie ein Problem bei der Geräteregistrierung beheben oder den allgemeinen Registrierungsprozess nachverfolgen müssen. Bisweilen löschen Endbenutzer möglicherweise versehentlich die Nachricht mit der Eintragungsanleitung, oder sie lösen einen Authentifizierungscode nicht innerhalb des vorgegebenen Ablaufzeitraums ein.

Den Registrierungsstatus können Sie durch Zugriff auf die Seite „Registrierungsstatus“ über Geräte > Lebenszyklus > Registrierungsstatus verwalten. Verfolgen Sie den Registrierungsstatus der Geräte nach, indem Sie die Spalte Registrierungsstatus in der Liste sortieren oder die Listenansicht nach dem Registrierungsstatus filtern.

Auf der Seite „Registrierungsstatus“ können Sie eine angepasste Liste der registrierten Geräte (mit aufgehobener Registrierung) erstellen, alle Geräte in dieser angepassten Liste auswählen und die Registrierungsrestriktionen erneut senden. Falls genug Zeit abläuft und die Registrierung eines Geräts fehlschlägt, können Sie das Registrierungstoken zurücksetzen (oder sogar widerrufen).

Weitere Informationen finden Sie unter Registrierungsstatus.

Aktivieren von Registrierungstokens und Erstellen einer StandardnachrichtWenn die Registrierung auf ausschließlich registrierte Geräte beschränkt werden soll, haben Sie die Möglichkeit, ein Registrierungstoken zu verlangen. Durch diese Option wird die Sicherheit erhöht, da bestätigt wird, dass ein bestimmter Benutzer zur Registrierung autorisiert ist.

Sie können auch eine E-Mail- oder SMS-Nachricht mit angehängtem Registrierungstoken an Benutzer mit Workspace ONE ™ UEM-Konten senden.

Verfahren

1 Aktivieren Sie die tokenbasierte Registrierung, indem Sie die jeweilige Organisationsgruppe auswählen. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung und stellen Sie sicher, dass die Registerkarte Authentifizierung ausgewählt ist.


VMware, Inc. 74

2 Scrollen Sie nach unten zum Abschnitt Erste Schritte und wählen Sie für Nur eingetragene Geräte die Option Geräteregistrierungsmodus.

Eine Umschaltfunktion mit der Bezeichnung Eintragungstoken verlangen wird angezeigt. Durch die Aktivierung dieser Option wird die Registrierung ausschließlich auf Geräte beschränkt, die mit Token registriert wurden.

3 Wählen Sie einen Eintragungstokentyp aus.

n Einstufig – Für die Registrierung wird lediglich ein Token benötigt.

n Zweistufig – Für die Registrierung wird lediglich ein Token und die Anmeldung mit den Benutzeranmeldedaten benötigt.

4 Legen Sie die Eintragungstokenlänge fest.

Diese erforderliche Einstellung kennzeichnet, wie komplex das Registrierungstoken ist, und muss 6 bis 20 alphanumerische Zeichen enthalten.

5 Legen Sie die Tokenablaufzeit (Stunden) fest.

Diese erforderliche Einstellung gibt den Zeitraum an, in dem der Endbenutzer auf einen Link klicken und sich registrieren muss. Nachdem dieser abgelaufen ist, müssen Sie einen weiteren Link senden.

Generieren von Tokens mit der UEM-KonsoleSie können die UEM Console verwenden, um ein Registrierungstoken zu generieren und zu senden. Dabei handelt es sich um eine hochsichere Methode zur Registrierung eines mobilen Geräts.

Verfahren

1 Navigieren Sie zu Konten > Benutzer > Listenansicht und wählen Sie Benutzer bearbeiten für einen Benutzer.

Dieser Prozess wird auch für das Erstellen von Benutzern verwendet.

Die Seite „Benutzer hinzufügen/bearbeiten“ wird angezeigt.

2 Scrollen Sie nach unten und wählen Sie einen Nachrichtentyp aus.

n E-Mail-Adresse für Verzeichnisbenutzer


VMware, Inc. 75

n SMS für Standardbenutzerkonten

3 Wählen Sie eine Nachrichtenvorlage. Wählen Sie als Nächstes Speichern und Gerät hinzufügen.

Sie können die Standardvorlage verwenden oder eine Vorlage erstellen, indem Sie auf den darunter stehenden Link klicken. Dadurch wird die Seite Nachrichtenvorlage in einer neuen Registerkarte angezeigt.

Die Seite Gerät hinzufügen wird angezeigt.

4 Prüfen Sie unter Allgemein die Informationen zum Gerät und bestätigen Sie die Informationen bezüglich der Nachricht. Klicken Sie danach auf Speichern, um das Token mithilfe des ausgewählten Nachrichtentyps an den Benutzer zu senden.

Ergebnisse

Hinweis Aus Sicherheitsgründen ist kein Zugriff auf das Token über die UEM-Konsole möglich.

Generieren von Tokens mit dem Self-Service-Portal (SSP)Sie können das Self-Service-Portal verwenden, um ein Registrierungstoken zu generieren und zu senden, das dann zur sicheren Registrierung eines Geräts verwendet werden kann.

Verfahren

1 Melden Sie sich beim Self-Service-Portal an.

Falls Sie Singe Sign-on oder Smartcards zur Authentifizierung verwenden, können Sie sich von einem Gerät oder Computer anmelden. Verzeichnisbenutzer können sich mit ihren Verzeichnisdienst-Anmeldedaten anmelden.

2 Wählen Sie Gerät hinzufügen.

3 Geben Sie die Geräteinformationen (freundlicher Name und Plattform) und sonstige Informationen ein, indem Sie die Einstellungen auf dem Formular Gerät eintragen bearbeiten. Stellen Sie sicher, dass die E-Mail-Adresse und Rufnummer vorhanden und korrekt sind, da sie eventuell nicht automatisch aufgefüllt werden.

4 Klicken Sie auf Speichern, um das Registrierungstoken mithilfe des ausgewählten Nachrichtentyps an den Benutzer zu senden.

Ergebnisse

Hinweis Das Token wird nicht auf dieser Seite angezeigt, sondern lediglich in der gesendeten Nachricht.

Als Sicherheitsfunktion wurden die folgenden Änderungen für Konten vorgenommen, die mit einem Token registriert wurden.

n E-Mail-Adresse und Telefonnummer sind jetzt sowohl auf der Seite Gerät hinzufügen als auch auf der Seite Konto schreibgeschützt.

n Die Aktion zum Anzeigen der Registrierungsnachricht wurde entfernt.


VMware, Inc. 76

Durchführung der Registrierung mithilfe eines RegistrierungstokensSie können ein Registrierungstoken verwenden, um ein Gerät zu registrieren, wobei es sich um eine hochsichere Authentifizierungsmethode handelt.

Verfahren

1 Öffnen Sie die SMS oder E-Mail auf dem Gerät und klicken Sie auf den Link mit dem Registrierungstoken. Wenn Sie auf einer Registrierungsseite nach einer Gruppen-ID oder einem Token gefragt werden, geben Sie den Token direkt ein.

2 Geben Sie bei Verwendung einer 2-Faktor-Authentifizierung einen Benutzernamen oder ein Kennwort ein.

3 Setzen Sie die Registrierung wie gewohnt fort.

Im Anschluss wird das Gerät mit dem Benutzer verknüpft, für den das Token erstellt wurde.

Nächste Schritte

Nachdem das MDM-Profil auf dem Gerät installiert wurde, wird das Token als „Verwendet“ erachtet und kann nicht zur Registrierung anderer Geräte verwendet werden. Wenn die Registrierung nicht abgeschlossen wurde, kann das Token nach wie vor auf anderen Geräten verwendet werden. Wenn das Token nach dem von Ihnen festgelegten Zeitraum abläuft, müssen Sie einen weiteren Registrierungstoken generieren.

Konfigurieren von RegistrierungsoptionenPassen Sie Ihren Registrierungsablauf an, indem Sie die in der Workspace ONE UEM Console verfügbaren, erweiterten Optionen einbeziehen. Greifen Sie auf weitere Registrierungsoptionen zu, indem Sie zu Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung gehen.

Erste Schritte


E-Mail-Domäne hinzufügen Diese Schaltfläche ist für die Einrichtung des Service „AutoErmittlung“ zur Registrierung von E-Mail-Domänen in Ihrer Umgebung vorgesehen.

Authentifizierungsmodus/-modi)

Wählen Sie unter den folgenden zulässige Authentifizierungstypen aus:

n Standard – Standardbenutzerkonten (von Ihnen manuell in der UEM-Konsole erstellte) können registriert werden.

n Directory – Directory-Benutzerkonten (von Ihnen importierte oder zur Verwendung der Verzeichnisdienst-Integration zugelassene) können registriert werden. Workspace ONE Direct Enrollment unterstützt Verzeichnisbenutzer mit oder ohne SAML.

n Authentifizierungsproxy – Ermöglicht Benutzern das Registrieren mithilfe von Authentifizierungsproxy-Benutzerkonten. Benutzer authentifizieren sich bei einem Webendpunkt.

n Geben Sie die Authentifizierungs-Proxy-URL, das Authentifizierungs-Proxy-URL-Backupund den Authentifizierungsmethodentyp ein (wählen Sie zwischen HTTP BASIC und Exchange ActiveSync).


VMware, Inc. 77


Authentifizierungsquelle für Intelligent Hub

Wählen Sie das System aus, das vom Intelligent Hub-Dienst als Quelle für Benutzer und Authentifizierungsrichtlinien verwendet wird.

n Workspace ONE UEM – Wählen Sie diese Einstellung, wenn die Hub-Dienste Workspace ONE UEM als Quelle verwenden sollen.

Wenn Sie die Seite Hub-Konfiguration für Hub-Dienste konfiguriert haben, haben Sie die Mandanten-URL für Hub-Dienste eingegeben.

n Identity Manager – Wählen Sie diese Einstellung, wenn die Hub-Dienste VMware Identity Manager als Quelle verwenden sollen.

Wenn Sie die Seite Hub-Konfiguration für Hub-Dienste konfiguriert haben, haben Sie die Mandanten-URL für VMware Identity Manager eingegeben.

Geräteregistrierungsmodus Wählen Sie unter den folgenden Ihren bevorzugten Geräteregistrierungsmodus:

n Offene Registrierung – Im Wesentlichen ermöglicht dies jedem Benutzer die Registrierung, der die anderen Registrierungskriterien erfüllt (Authentifizierungsmodus, Einschränkungen usw.). Workspace ONE Direct Enrollment unterstützt offene Registrierung.

n Nur registrierte Geräte – Nur zugelassene Benutzer mit von Ihnen oder den Benutzern registrierten Geräten sind zur Registrierung zugelassen. Bei der Geräteregistrierung werden Unternehmensgeräte zur UEM-Konsole hinzugefügt, bevor diese registriert werden. Weitere Informationen zur Registrierung von Geräten finden Sie im Abschnitt „Registrierung“ des VMware Workspace ONE UEM Mobile Device Management Guide. Workspace ONE Direct Enrollment unterstützt es, nur registrierten Geräten die Registrierung zu erlauben. Dies gilt aber nur, wenn keine Registrierungstoken erforderlich sind.

Registrierungstoken verlangen Nur sichtbar, wenn Nur registrierte Geräte ausgewählt wurde.

Wenn Sie die Anmeldung auf registrierte Geräte beschränken, können Sie zudem festlegen, dass ein Registrierungstoken für die Registrierung erforderlich ist. Dadurch wird die Sicherheit erhöht, da bestätigt wird, dass ein bestimmter Benutzer zur Registrierung autorisiert ist. Sie können eine E-Mail oder SMS mit angehängtem Registrierungstoken an Benutzer mit Workspace ONE UEM Konten senden.

Intelligent Hub-Registrierung für iOS verlangen

Aktivieren Sie dieses Kontrollkästchen, um festzulegen, dass Nutzer von iOS-Geräten den Workspace ONE Intelligent Hub vor dem Registrieren herunterladen und installieren müssen. Wenn diese Option deaktiviert ist, ist die Web-Registrierung verfügbar.

Intelligent Hub-Registrierung für macOS verlangen

Aktivieren Sie dieses Kontrollkästchen, um festzulegen, dass Nutzer von macOS-Geräten den Workspace ONE Intelligent Hub vor dem Registrieren herunterladen und installieren müssen. Wenn diese Option deaktiviert ist, ist die Web-Registrierung verfügbar.

Zusätzlich zu den Registerkarten „Authentifizierung“ und „Nutzungsbedingungen“ können Sie optional folgende Registerkarten zur Registrierung bearbeiten.

1 Konfigurieren von Registrierungsoptionen auf der Registerkarte „Gruppierung“.

2 Konfigurieren von Registrierungsrestriktionseinstellungen.

3 Konfigurieren von Registrierungsoptionen auf der Registerkarte „Optionale Eingabeaufforderung“.

4 Konfigurieren von Registrierungsoptionen auf der Registerkarte „Anpassung“.


VMware, Inc. 78

Konfigurieren von Registrierungsoptionen für NutzungsbedingungenAuf der Registerkarte „Nutzungsbedingungen“ können Sie Nutzungsbedingungen hinzufügen und überprüfen, welche die Registrierung betreffen. Die Registerkarte „Nutzungsbedingungen“ befindet sich unter Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung.


Zustimmung zu den Nutzungsbedingungen für die Registrierung verlangen

Aktivieren Sie diese Einstellung, um die Zustimmung zu einer Nutzungsbedingungsvereinbarung bei der Registrierung zu verlangen.

Neue Nutzungsbedingungen für Registrierung hinzufügen

Wählen Sie diese Option aus, um das Hinzufügen einer Nutzungsbedingungsvereinbarung für die Registrierung zu initiieren.

Wichtig Wenn Sie Zustimmung zu den Nutzungsbedingungen für die Registrierung verlangen aktivieren, müssen Sie Nutzungsbedingungen erstellen. Ansonsten können sich Windows Desktop-Geräte eventuell nicht registrieren.

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Gruppierung“Über die Registerkarte „Gruppierung“ können Sie wesentliche Informationen bezüglich Organisationsgruppen und Gruppen-IDs für Endbenutzer einsehen und angeben. Aktivieren Sie den Gruppen-ID-Zuweisungsmodus und wählen Sie aus, wie Benutzern in der Workspace ONE UEM-Umgebung Gruppen-IDs zugewiesen werden sollen.

Die Registerkarte „Gruppierung“ finden Sie unter Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung.


VMware, Inc. 79


Gruppen-ID-Zuweisungsmodus

Workspace ONE Direct Enrollment unterstützt alle Zuweisungsmodi.

n Standard – Wählen Sie diese Option aus, wenn Benutzern Gruppen-IDs zur Registrierung zur Verfügung gestellt werden. Die verwendete Gruppen-ID bestimmt, welcher Organisationsgruppe die Benutzer zugewiesen werden.

n Benutzer auffordern, Gruppen-ID auszuwählen – Aktivieren Sie diese Option, um Verzeichnisdienstbenutzern zu ermöglichen, bei der Registrierung eine Gruppen-ID aus einer Liste auszuwählen. Der Abschnitt Gruppen-ID-Zuweisung führt verfügbare Organisationsgruppen und ihre jeweiligen Gruppen-IDs auf. Sie müssen dabei keine Gruppenzuweisungszuordnung ausführen; Benutzer laufen aber so Gefahr, eine falsche Gruppen-ID auszuwählen.

n Automatisch nach Benutzergruppe auswählen – Diese Option trifft nur zu, wenn Sie eine Integration in Benutzergruppen durchführen. Aktivieren Sie diese Option, um sicherzustellen, dass Benutzer automatisch an Organisationsgruppen nach Ihren Verzeichnisdienst-Gruppenzuweisungen zugewiesen werden.

Im Abschnitt Gruppenzuweisungseinstellungen werden alle Organisationsgruppen der Umgebung und ihre zugeordneten Verzeichnisdienst-Benutzergruppen aufgeführt.

Wählen Sie die Schaltfläche Gruppenzuweisung bearbeiten, um die Organisationsgruppen-/Benutzergruppen-Zuordnungen zu ändern und die Rangstufe der einzelnen Gruppen festzulegen.

Sie haben beispielsweise drei Gruppen, „Geschäftsleitung“, „Vertrieb“ und „Global“, die nach der Rangfolge ihrer Aufgabengebiete angeordnet sind. Alle sind Mitglied von „Global“. Sollten Sie also diese Benutzergruppe als erstes in die Rangfolge setzen, werden dadurch alle Ihrer Benutzer in einer einzigen Organisationsgruppe zusammengefasst.

Indem Sie stattdessen „Exekutive“ als erstes in die Rangfolge setzen, gewährleisten Sie, dass die geringe Anzahl von Personen, die zu dieser Gruppe gehören, in ihre eigene Organisationsgruppe gesetzt werden. Wenn Sie dann „Vertrieb“ als zweites in die Rangfolge setzen, stellen Sie sicher, dass alle Vertriebsmitarbeiter in einer vertriebsspezifischen Organisationsgruppe gruppiert werden. Wird „Global“ als letztes in die Rangfolge gesetzt, so werden alle, die noch keiner Gruppe zugewiesen wurden, einer separaten Organisationsgruppe hinzugefügt.


VMware, Inc. 80

Tabelle 2-1. Standard


Standardgerätebesitz Wählen Sie den Standardgerätebesitz der Geräteregistrierung in der aktuellen Organisationsgruppe.

Workspace ONE Direct Enrollment unterstützt das Festlegen eines Standardgerätebesitzes.

Standardrolle Wählen Sie die Standardrollen, die Benutzern bei der aktuellen Organisationsgruppe zugewiesen wurden. Diese können Einfluss auf den Zugriff zum Self-Service-Portal haben.

1 Vollzugriff – Gibt Benutzern Zugriff auf höhere SSP-Funktionen wie Profile und Apps installieren und entfernen, Kennungen zurücksetzen, Gerätenachrichten senden sowie Schreibzugriff auf Inhalte.

2 Standardzugriff – Gibt Benutzern Zugriff mit geringer Auswirkung. Sie können ihr eigenes Gerät registrieren, Profile und Apps anzeigen (aber nicht installieren), ihr Konto aufrufen und ihr Gerät abfragen und finden.

3 Externer Zugriff – Benutzer mit externem Zugriff haben die Berechtigungen von Benutzern mit Standardzugriff und außerdem Lesezugriff auf SSP-Inhalte, die explizit für sie freigegeben wurden.

Workspace ONE Direct Enrollment unterstützt das Festlegen einer Standardrolle.

Standardaktion für Benutzer, die als inaktiv markiert sind

Wählen Sie die Standardaktion, die sich auf Active Directory-Benutzer auswirken, wenn ihre Geräte inaktiv werden.

Workspace ONE Direct Enrollment unterstützt das Festlegen einer Standardaktion für inaktive Benutzer.

Tabelle 2-2. Benutzergruppe – Synchronisieren


Benutzergruppen in Echtzeit für Workspace ONE synchronisieren

Workspace ONE kann die Benutzergruppen für einen bestimmten Benutzer synchronisieren, wenn dieser sich bei der UEM-Konsole registriert.

Diese standardmäßig aktivierte Funktion ist am effektivsten, wenn Benutzergruppen häufig zur App-Zuweisung, Profilzuweisung, Richtlinienzuweisung oder zum Zuordnen von Benutzern verwendet werden.

Diese Funktion beansprucht viel Rechenkapazität. Deshalb sollten Sie diese Einstellung deaktivieren, wenn Ihr Anwendungsfall nicht weitestgehend dem zuvor beschriebenen entspricht, um so die Rechenleistung zu verbessern und Latenzprobleme beim Starten der Workspace ONE-Anwendung zu vermeiden.

Tabelle 2-3. Zuordnung der Benutzerrollen


Auf Verzeichnisgruppen basierte Zuordnung aktivieren

Aktivieren Sie dieses Kontrollkästchen, um Zuweisungen nach Ranglisten zu aktivieren, die eine Verzeichnisbenutzergruppe mit einer bestimmten Workspace ONE UEM-Rolle verknüpfen. Benutzern, die zu einer bestimmten Gruppe gehören, werden die zugehörigen Rollen zugewiesen. Wenn sie zu mehr als einer Gruppe gehören, wird die Paarung mit dem höchsten Rang verwendet.

Sie können die Reihenfolge, in der rollenbasierte Benutzergruppen aufgelistet sind, durch Auswahl der Schaltfläche Zuweisung bearbeiten ändern.

Workspace ONE Direct Enrollment unterstützt verzeichnisgruppenbasierte Zuordnung.


VMware, Inc. 81

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Optionale Eingabeaufforderung“Sie können sich entscheiden, mit der Registerkarte Optionale Eingabeaufforderung zusätzliche Geräteinformationen anzufordern oder dem Benutzer optionale Benachrichtigungen bezüglich Registrierungs- und MDM-Informationen bereitzustellen.

Die Registerkarte „Optionale Eingabeaufforderung“ befindet sich unter Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung.


Eingabeaufforderung für Gerätezuständigkeitstyp

Sie können den Endbenutzer auffordern, seinen Gerätezuständigkeitstyp auszuwählen. Anderenfalls konfigurieren Sie einen standardmäßigen Gerätezuständigkeitstyp für die momentane Organisationsgruppe.

Workspace ONE Direct Enrollment unterstützt die Aufforderung zum Gerätezuständigkeitstyp.

Willkommensnachricht anzeigen Sie können früh im Registrierungsprozess eine Willkommensnachricht für Ihre Benutzer einblenden. Kopfzeile und Text dieser Willkommensnachricht können Sie unter System > Lokalisierung > Lokalisierungseditor konfigurieren. Wählen Sie anschließend die Bezeichnungen „EnrollmentWelcomeMessageHeader“ bzw. „EnrollmentWelcomeMessageBody“.

MDM-Installationsnachricht anzeigen Sie können eine Nachricht für Ihre Benutzer während des Geräteregistrierungsprozesses einblenden. Kopfzeile und Text dieser MDM-Installationsnachricht können Sie unter System > Lokalisierung > Lokalisierungseditor konfigurieren. Wählen Sie anschließend die Bezeichnungen „EnrollmentMdmInstallationMessageHeader“ bzw. „EnrollmentMdmInstallationMessageBody“.

Falls Sie Ihre eigene Überschrift und Textnachrichten mit dem Lokalisierungseditor bearbeiten, müssen Sie „Überschreiben“ in der Option Aktuelle Einstellung wählen. Auf diese Weise wird sichergestellt, dass Ihre angepassten Nachrichten verwendet werden und nicht die Standardnachrichten.

Zusätzlich zu einzelnen Lokalisierungsänderungen können Sie Lokalisierungsänderungen auch massenweise ändern, indem Sie eine CSV-Datei (Comma-Separated Values) hochladen. Wenn Sie diese Lokalisierungsvorlage-Datei (CSV) herunterladen möchten, navigieren Sie zuSystem > Lokalisierung > Lokalisierungseditor und wählen Sie die Schaltfläche Ändern. Bearbeiten Sie die Datei gemäß Ihren Einstellungen für massenweise Lokalisierungsänderungen und laden Sie diese auf demselben Bildschirm hoch.

Eingabeaufforderung für Registrierungs-E-Mail aktivieren

Sie können den Benutzer während der Registrierung auffordern, seine E-Mail-Anmeldedaten einzugeben.

Über die Eingabeaufforderung für Registrierungs-E-Mails wird der Endbenutzer automatisch zum Angeben seiner E-Mail-Adresse im Benutzerdatensatz aufgefordert. Diese Daten sind besonders für solche Organisationen hilfreich, die über den Suchwert {EmailAddress} E-Mails auf Geräten bereitstellen.

Geräteinventarnummer-Eingabeaufforderung aktivieren

Sie können den Benutzer während der Registrierung auffordern, seine Geräteanlagennummer einzugeben.

Workspace ONE Direct Enrollment unterstützt Aufforderungen für Registrierungs-E-Mails jedoch nur, wenn Eingabeaufforderung für Gerätezuständigkeitstyp aktiviert ist und nur für unternehmenseigene Geräte.


VMware, Inc. 82


Registrierungsübergangsmeldungen anzeigen (nur Android)

Damit können Sie Registrierungsnachrichten auf Android-Geräten ein- oder ausblenden.

Gegenseitige TLS-Authentifizierung für Windows aktivieren

Durch Aktivieren dieser Option erzwingen Windows Phone- und Windows-Geräte die Verwendung von Endpunkten, die mit Mutual TLS-Authentifizierung gesichert sind. Dies erfordert zusätzliche Einrichtung und Konfiguration. Wenden Sie sich bei Fragen bitte an den Support.

Erstellen von Benutzerdefinierten RegistrierungsnachrichtenSie können Meldungen bezüglich der Geräteregistrierung und zukünftige für ein Gerät bestimmte MDM-Eingabeaufforderungen individuell anpassen.

Obwohl sie grundsätzlich optional sind, werden angepasste Nachrichten den Standardnachrichten häufig vorgezogen. Dies ist für Benutzer weniger verwirrend, da in Benachrichtigungen ein bestimmter Organisationsname statt einer Umgebungs-URL oder einfach „Workspace ONE UEM“ angezeigt wird.

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Allgemein > Registrierung und wählen Sie die Registerkarte Anpassung.

2 Wählen Sie Eine spezifische Nachrichtenvorlage für jede Plattform verwenden und dann eine Nachrichtenvorlage zur Geräteaktivierung aus dem Dropdown-Menü für jede einzelne Plattform aus.

Weitere Informationen finden Sie unter Erstellen von Nachrichtenvorlagen.

3 Konfigurieren Sie für iOS-Geräte optional folgende Optionen.

a Geben Sie eine Ziel-URL nach Registrierung für iOS-Geräte ein.

b Geben Sie für iOS-Geräte eine MDM-Profilnachricht ein. Dies ist die Nachricht, die in der Installationseingabeaufforderung für das MDM-Profil beim Registrieren angezeigt wird.


Erstellen von NachrichtenvorlagenSie können Ihre eigene Bibliothek mit auf Plattformen abgestimmten Nachrichtenvorlagen erstellen und so eine Vielzahl möglicher Registrierungsszenarien abdecken.

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Allgemein > Nachrichtenvorlagen und wählen Sie Hinzufügen aus.

2 Konfigurieren Sie das Dropdown-Menü Kategorie entsprechend der Kategorie Ihrer Vorlage. Dabei gibt es folgende Optionen: Administrator, Anwendung, Konformität, Inhalt, Gerätelebenszyklus, Registrierung und Nutzungsbedingungen.

3 Wählen Sie den Typ aus, der am besten zur Unterkategorie passt.

Die Optionen des Dropdown-Menüs Typ hängen von der Einstellung des Menüs Kategorie ab.


VMware, Inc. 83

4 Richten Sie das Dropdown-Menü Sprache auswählen ein. Wählen Sie die Schaltfläche Hinzufügen, um Sprachen hinzuzufügen.

5 Aktivieren Sie das Kontrollkästchen Standard, wenn Sie die Vorlage für die gewählte Kategorie als Standardvorlage festlegen möchten.

6 Wählen Sie den Nachrichtentyp für die Vorlage.

Die Optionen umfassen E-Mail-, SMS- und Push-Benachrichtigung.

7 Verfassen Sie Ihre E-Mail-Nachricht, indem Sie Text in das Textfeld Nachrichtentext eingeben.

n Die Option Nur-Text weist nur eine Monospace-Schriftart mit Serifen (Courier) ohne Formatierungsoptionen auf.

n Die Option HTML ermöglicht eine Umgebung zur Nur-Text-Bearbeitung, einschließlich Schriftarten, Formatierung, Überschriftenebenen, Aufzählungszeichen, Einzug, Absatzausrichtung, Tiefstellung, Hochstellung sowie Bild- und Hyperlinkfunktionen. Die HTML-Umgebung unterstützt grundlegende HTML-Codierung über die Schaltfläche Quelle anzeigen, die Sie zwischen Rich-Text und Quellenansicht hin- und herschalten können.

8 Speichern Sie Ihre Vorlage, indem Sie auf die Schaltfläche Speichern klicken.

Konfigurieren von LebenszyklusbenachrichtigungenLebenszyklusbenachrichtigungen ermöglichen Ihnen, Benutzerdefinierte Benachrichtigungen nach bestimmten Ereignissen im Laufe des Lebenszyklus eines Geräts zu senden, einschließlich Registrierung und Registrierungsaufhebung.

Konfigurieren Sie diese optionale Einstellung unter Geräte > Lebenszyklus > Einstellungen > Benachrichtigungen und geben Sie folgende Optionen in den folgenden Bereichen ein.

n Geräteregistrierung aufgehoben – Senden Sie eine E-Mail-Benachrichtigung, wenn die Registrierung eines Geräts aufgehoben wird.

n Gerät erfolgreich registriert – Senden Sie eine E-Mail-Benachrichtigung, wenn ein Gerät erfolgreich registriert wird.

n Gerät aufgrund von Registrierungsrestriktion blockiert – Senden Sie eine E-Mail-Benachrichtigung, wenn eine Registrierungsrestriktion ein Gerät blockiert. Sie können dieses Verhalten konfigurieren, indem Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung navigieren und die Registerkarte Restriktionen wählen.


VMware, Inc. 84


E-Mail senden an.

n Keine(r/s) – Legen Sie fest, dass keine Bestätigungs-E-Mail bei einer erfolgreichen Geräteblockierung, Registrierung oder Registrierungsaufhebung gesendet werden soll.

n Benutzer – Senden Sie eine Bestätigungs-E-Mail an die Gerätebenutzer, um sie über eine erfolgreiche Geräteblockierung, Registrierung oder Registrierungsaufhebung zu informieren.

n CC – Senden Sie dieselbe Bestätigungs-E-Mail an eine einzige oder mehrere, durch Kommas getrennte E-Mail-Adressen.

n Nachrichtenvorlage – Wählen Sie die gewünschte Nachrichtenvorlage aus der Dropdown-Auflistung. Sie können eine neue Nachrichtenvorlage hinzufügen oder eine vorhandene Vorlage bearbeiten, indem Sie den Hyperlink „Hier klicken ...“ auswählen, der Sie zur Einstellungsseite Geräte & Benutzer > Allgemein > Nachrichtenvorlagen leitet.

n Administrator – Senden Sie dem Workspace ONE UEM-Administrator eine Bestätigungs-E-Mail und informieren Sie ihn über die erfolgreiche Geräteblockierung, -registrierung oder Registrierungsaufhebung.

n An – Senden Sie dieselbe Bestätigungs-E-Mail an eine einzige oder mehrere, durch Kommas getrennte E-Mail-Adressen.

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Anpassung“Sie können zusätzlichen Endbenutzer-Support bieten, einschließlich E-Mail-Adresse und Rufnummer, indem Sie die Registerkarte Anpassung konfigurieren. Eine derartige Supportebene ist von Nutzen, wenn Benutzer ihr Gerät aus irgendeinem Grund nicht registrieren können.

Die Registerkarte „Anpassung“ befindet sich unter Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung.


Eine spezifische Nachrichtenvorlage für jede Plattform verwenden

Wenn diese Option aktiviert ist, können Sie eine eindeutige Nachrichtenvorlage für jede Plattform auswählen.

Der bereitgestellte Link verweist auf die Seite „Nachrichtenvorlage“, über die Sie sofort mit der Erstellung von Vorlagen beginnen können.

Workspace ONE™ Direct Enrollment unterstützt plattformspezifische Nachrichtenvorlagen.

E-Mail-Adresse für Registrierungs-Support

Geben Sie die E-Mail-Adresse für den Support ein.

Rufnummer für Registrierung-Support

Geben Sie die Rufnummer für den Support ein.

Ziel-URL nach Registrierung (nur iOS)

Geben Sie eine Ziel-URL nach Registrierung an, zu der die Benutzer nach erfolgreicher Registrierung geleitet werden. Diese URL kann möglicherweise eine Unternehmensressource sein, beispielsweise eine Unternehmenswebsite oder eine Anmeldeseite, die zu zusätzlichen Ressourcen führt.

Workspace ONE Direct Enrollment unterstützt die Ziel-URLs nach der Registrierung.


VMware, Inc. 85


MDM-Profilnachricht (nur iOS) Dieses Textfeld gilt für Nachrichten, die während der Registrierung von ausschließlich iOS-Geräten angezeigt werden. Sie können eine Nachricht, die aus maximal 255 Zeichen besteht, festlegen.

Workspace ONE Direct Enrollment unterstützt nur iOS-MDM-Profilnachrichten.

Benutzerdefinierte MDM Apps verwenden

Zeigen Sie einen Link an, über den die Seite für die Listenansicht für Anwendungsgruppen geöffnet wird. Dieser Link weist die Bezeichnung Anwendungsgruppen auf.

Workspace ONE Direct Enrollment unterstützt benutzerdefinierte MDM-Apps.

Geräteeinträge auf Blacklists bzw. WhitelistsEine Blacklist ist eine explizite Auflistung von unzulässigen Geräten oder Anwendungen. Eine Whitelist ist eine explizite Auflistung, die ausschließlich zulässige Geräte oder Anwendungen enthält. Dieses Konzept kann auf die Registrierung angewendet werden, sodass Sie steuern können, welche Geräte zur Registrierung zulässig sind.

Beispielsweise können Sie sich bei einer Bereitstellung von ausschließlich unternehmenseigenen Geräten für eine Whitelist für iOS-Geräte entscheiden. Sie können diese Liste der Geräte auf IMEI (International Mobile Equipment Identity), Seriennummer oder UDID (Unique Device Identifier) basieren lassen. Auf diese Weise können nur die von Ihnen bestimmten Geräte registriert werden und die Registrierung durch mitarbeitereigene Geräten kann blockiert werden.

Außerdem können Sie bei Diebstahl oder Verlust eines Gerätes dessen IMEI, Seriennummer oder UDID einer Blacklist hinzufügen. Das Hinzufügen eines Geräts zur Blacklist hebt die Registrierung des Geräts auf, entfernt alle MDM-Profile und verhindert die Registrierung des Geräts, bis Sie es von der Blacklist entfernen.

Hinweis Die aktuellen Funktionen von Microsoft lassen nicht zu, dass Sie Windows Phone-Geräte nach IMEI oder UDID auf eine Blacklist setzen.

Hinzufügen eines auf der Blacklist oder Whitelist erfassten GerätesSie können ein auf der Blacklist (Gerät wurde zur Registrierung beschränkt) oder Whitelist erfasstes (Gerät wurde zur Registrierung freigegeben) Gerät basierend auf verschiedenen Geräteattributen hinzufügen.

Verfahren

1 Navigieren Sie zu Geräte > Lebenszyklus > Registrierungsstatus und wählen Sie Hinzufügen.


VMware, Inc. 86

2 Wählen Sie im Dropdown-Menü Hinzufügen entweder Geräte auf Blacklist oder Geräte auf Whitelist aus und schließen Sie die Einstellungen ab.


Geräte auf Blacklist/Whitelist Geben Sie in die Liste die zulässigen (Whitelist) und nicht zulässigen (Blacklist) Geräte (nach Geräteattributauswahl) ein – bis zu 30 Geräte auf einmal.

Geräteattribut Wählen Sie den entsprechenden Geräteattributtyp. Wählen Sie die IMEI, Seriennummer oder UDID.

Organisationsgruppe Bestätigen Sie, welcher Organisationsgruppe die Geräte der Blacklist bzw. der Whitelist hinzugefügt wurden.

Besitz Sie können nur Geräte mit dem ausgewählten Zuständigkeitstyp zulassen

Diese Option ist nur beim „Whitelisting“ von Geräten verfügbar.

Zusätzliche Informationen Ermöglicht Ihnen die Wahl einer Plattform zur Anwendung Ihrer Blacklist bzw. Whitelist.

Plattform Sie können alle Geräte einer gesamten Plattform auf die Blacklist bzw. Whitelist setzen.

Diese Option ist nur dann verfügbar, wenn das Kontrollkästchen Zusätzliche Informationen aktiviert wurde.

3 Wählen Sie Speichern, um die Einstellungen zu bestätigen.

Zusätzliche RegistrierungsrestriktionenDie Anwendung zusätzlicher Registrierungsrestriktionen gilt für alle Bereitstellungen, unabhängig von der Verzeichnisdienstintegration, BYOD-Unterstützung, Geräteregistrierung oder anderen Konfigurationen. Sie können zusätzliche Registrierungsrestriktionen einrichten, um festzulegen, wer sich registrieren kann und welche Gerätetypen zulässig sind.

Außerdem können Sie die maximale Anzahl der registrierten Geräte pro Organisationsgruppe festlegen. Nach der Konfiguration von Registrierungsrestriktionen können Sie diese Restriktionen sogar als Richtlinie speichern.

Überlegungen zur Registrierung – zusätzliche RestriktionenDurch Registrierungsrestriktionen können Sie die Registrierungsparameter anpassen, die auf Ihre Bereitstellung angewendet werden sollen. Beachten Sie bei der Wahl der zu verwendenden Registrierungsrestriktionen folgende Punkte.

Punkt 1: Werden bestimmte Plattformen oder Betriebssystemversionen eingeschränkt oder legen Sie eine maximale Anzahl zulässiger Geräte fest?n Möchten Sie nur Unterstützung für Geräte bieten, die über integrierte Enterprise-Management-

Funktionen verfügen (z.B. Samsung SAFE/Knox, HTC Sense, LG Enterprise und Motorola-Geräte)? Falls dies der Fall ist, können Sie als Registrierungsrestriktion verlangen, dass Android-Geräte eine unterstützte Enterprise-Version aufweisen müssen.


VMware, Inc. 87

n Möchten Sie die maximale Anzahl der Geräte, die ein Benutzer registrieren darf, beschränken? Falls dies der Fall ist, können Sie die jeweilige Anzahl festlegen und darüber hinaus eine Unterscheidung zwischen unternehmens- und mitarbeitereigenen Geräten vornehmen.

n Gibt es bestimmte Plattformen, die in Ihrer Bereitstellung nicht unterstützt werden? Falls dies der Fall ist, können Sie eine Liste von blockierten Geräteplattformen erstellen, bei denen eine Registrierung nicht möglich ist.

Ihre Organisation muss die Anzahl und Arten der Geräte, die Ihre Mitarbeiter besitzen, auswerten. Zudem muss sie ermitteln, welche dieser Geräte Sie in Ihrer Arbeitsumgebung verwenden möchten. Im Anschluss können Sie diese Registrierungsrestriktionen als Richtlinie speichern.

Punkt 2: Soll die Registrierung auf eine festgelegte Liste von Unternehmensgeräten beschränkt werden?Zusätzliche Registrierungsoptionen ermöglichen die Auswahl der Geräte, die die Endbenutzer registrieren dürfen. So können Sie die Registrierung von auf Blacklists erfassten Geräten verhindern oder die Registrierung nur auf Geräte auf Whitelists beschränken, was sich insbesondere für BYOD-Bereitstellungen als nützlich erweist. Sie können Geräte nach Typ, Plattform oder bestimmten Geräte-IDs und Seriennummern auf Whitelists erfassen. Weitere Informationen finden Sie unter Hinzufügen eines auf der Blacklist oder Whitelist erfassten Gerätes.

Punkt 3: Soll die Anzahl der pro Organisationsgruppe registrierten Geräte beschränkt werden?Sie können die Anzahl der pro Organisationsgruppe (OG) registrierten Geräte limitieren. Das Festlegen eines derartigen Limits hilft Ihnen bei der Verwaltung Ihrer Bereitstellung, indem verhindert wird, dass die Anzahl gültiger Registrierungen überschritten wird. Weitere Informationen finden Sie unter Grenzwert für registrierte Geräte pro Organisationsgruppe.

Konfigurieren von RegistrierungsrestriktionseinstellungenBei der Integration von Workspace ONE UEM in Verzeichnisdienste können Sie bestimmen, welche Benutzer Geräte in Ihrer Unternehmensbereitstellung registrieren können.

Sie können die Registrierung auf ausschließlich bekannte Benutzer oder konfigurierte Gruppen beschränken. Bekannte Benutzer sind Benutzer, die in der UEM-Konsole vorhanden sind. Konfigurierte Gruppen sind Benutzer, die Verzeichnisdienstgruppen zugehörig sind, falls Sie eine Integration in Benutzergruppen durchführen möchten. Sie können auch die Anzahl der pro Organisationsgruppe registrierten Geräte limitieren und Restriktionen als wiederverwendbare Richtlinien speichern.

Um zu diesen Optionen zu gelangen, navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Restriktionen. Die Registerkarte „Restriktionen“ ermöglicht es Ihnen, Registrierungsrestriktionsrichtlinien nach Organisationsgruppen- und Benutzergruppenrollen anzupassen.

n Erstellen und weisen Sie vorhandene Registrierungsrestriktionsrichtlinien durch Richtlinieneinstellungen zu.

n Weisen Sie die Richtlinie im Bereich „Gruppenzuweisungseinstellungen“ einer Benutzergruppe zu.


VMware, Inc. 88

n Setzen Sie Geräte nach Plattform, Betriebssystem, UDID, IMEI usw. auf Black- oder Whitelists.


Benutzerzugriffskontrolle Die direkte Registrierung bei Workspace ONE (Workspace ONE Direct Enrollment) unterstützt alle Steuerungsoptionen für den Zugriff der Benutzer.

Registrierung auf bekannte Benutzer beschränken – Aktivieren Sie diese Option, um die Registrierung nur auf Benutzer zu beschränken, die in der UEM-Konsole vorhanden sind. Dies Einschränkung gilt für Verzeichnisbenutzer, die Sie der UEM-Konsole manuell – einzeln oder per Batch-Import – hinzugefügt haben. Diese Option kann auch zur Registrierungssperre nach der ersten Bereitstellung verwendet werden, wobei sich jeder registrieren konnte. Mit dieser Option können Sie gezielt auswählen, wer sich registrieren kann.

Wenn Sie diese Option deaktivieren, können sich Verzeichnisbenutzer, die kein Konto in der UEM-Konsole haben, in Workspace ONE UEM registrieren. Benutzerkonten werden automatisch während der Registrierung erstellt.

Registrierung auf konfigurierte Gruppen beschränken - Aktivieren Sie diese Option, um die Geräteregistrierung auf solche Benutzer zu beschränken, die zu „Alle Gruppen“ oder „Ausgewählte Gruppen“ gehören (falls Sie eine Integration mit Benutzergruppen ausgeführt haben). Wählen Sie diese Option nicht aus, wenn Sie noch keine Integration mit Ihren Verzeichnisdienst-Benutzergruppen ausgeführt haben.

Sie können Workspace ONE UEM-Benutzerkonten während der Registrierung erstellen, indem Sie die Option deaktivieren, die die Registrierung aller Verzeichnisbenutzer ermöglicht. Wählen Sie Enterprise-Löschung für Geräte der Benutzer, die aus konfigurierten Gruppen entfernt werden, damit für die Geräte automatisch eine Enterprise-Löschung durchgeführt wird. Falls Alle Gruppen ausgewählt ist, werden Geräte entfernt, die zu keiner Benutzergruppe gehören. Falls Ausgewählte Gruppen ausgewählt ist, werden Geräte entfernt, die nicht zu einer bestimmten Benutzergruppe gehören.

Eine Option zur Integration in Benutzergruppen ist die Erstellung einer Verzeichnisdienstgruppe des Typs „Von MDM zugelassen“ und deren Import in Workspace ONE UEM. Nach dem Import können Sie vorhandene Verzeichnisdienst-Benutzergruppen der Gruppe „Von MDM zugelassen“ hinzufügen, sobald sie für Workspace ONE UEM auswählbar werden.

Maximum an registrierten Geräten in dieser OG und darunter festlegen

Aktivieren und bearbeiten Sie die Funktion Gerätelimit eingeben, um die Anzahl der Geräte zu beschränken, die sich in der aktuellen Organisationsgruppe (OG) registrieren können.

Diese Option wird von Workspace ONE Direct Enrollment unterstützt.

Hinweis Restriktionen gelten nicht für iOS-Geräte, die über das Apple Programm zur Geräteregistrierung (DEP) registriert sind, da die erforderlichen Geräteinformationen erst nach der Registrierung des Geräts erhalten werden.

Grenzwert für registrierte Geräte pro OrganisationsgruppeSie können die Anzahl der pro Organisationsgruppe (OG) registrierten Geräte limitieren. Das Festlegen eines derartigen Limits hilft Ihnen bei der Verwaltung Ihrer Bereitstellung, indem verhindert wird, dass die Anzahl gültiger Registrierungen überschritten wird.

Dieses Gerätelimit kann in jeder Art von OG (Global, Kunden, Partner) gesetzt werden. Sobald ein Limit in einer OG festgelegt wurde, können Sie keine weiteren Limits im OG-Zweig festlegen. Sie können ein Limit für ein weiteres Gerät festlegen, jedoch nur, wenn Sie dieses in einem separaten OG-Zweig festlegen.


VMware, Inc. 89

Einschränken der Anzahl registrierter Geräte pro OrganisationsgruppeDie Begrenzung der Anzahl der registrierten Geräte pro Organisationsgruppe kann eine effektive Möglichkeit sein, um die Anzahl der Lizenzen in einer Umgebung mit Lizenzierung pro Gerät zu verwalten.

Sollte diese Option nicht verfügbar sein, prüfen Sie die übergeordnete OG (höher als die momentane OG) oder eine untergeordnete OG (niedriger als die momentane OG). Aller Wahrscheinlichkeit nach wurde ober- oder unterhalb Ihrer aktuellen OG bereits ein vorhandenes Limit festgelegt.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Restriktionen.

2 Aktivieren Sie das Limit unter Grenzwert für registrierte Geräte in dieser Organisationsgruppe und darunter festlegen.

Erstellen einer RegistrierungsbeschränkungsrichtlinieIhre Organisation muss die Anzahl und Arten der Geräte, die Ihre Mitarbeiter besitzen, auswerten. Außerdem muss sie festlegen, welche Geräte in Ihrer Arbeitsumgebung verwendet werden sollen. Im Anschluss können Sie diese Registrierungsrestriktionen als Richtlinie speichern.

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung.

2 Wählen Sie die Registerkarte Restriktionen und dann Richtlinie hinzufügen im Bereich Richtlinieneinstellungen.


VMware, Inc. 90

3 Fügen Sie auf der Seite Registrierungsbeschränkungsrichtlinie hinzufügen/bearbeiten eine Registrierungsbeschränkungsrichtlinie hinzu.


Name der Registrierungseinschränkungsrichtlinie

Geben Sie den Namen für Ihre Registrierungsrestriktionsrichtlinie ein.

Organisationsgruppe Wählen Sie eine Organisationsgruppe aus dem Dropdown-Menü aus. Dies ist die OG, auf die Ihre neue Registrierungsrestriktionsrichtlinie angewendet wird.

Richtlinientyp Wählen Sie den Typ der Registrierungsrestriktionsrichtlinie – entweder Organisationsgruppenstandard für die ausgewählte Organisationsgruppe oder Benutzergruppenrichtlinie für bestimmte Benutzergruppen über Gruppenzuweisungseinstellungen auf der Registerkarte Restriktionen.

Zulässige Zuständigkeitstypen Wählen Sie, ob Geräte der Kategorien Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät bzw. Mitarbeitereigen zugelassen oder verhindert werden sollen.

Workspace ONE Direct Enrollment unterstützt nur die ZUständigkeitstypen „Unternehmen – Dediziert“ und „Mitarbeitereigen“.

Zulässige Registrierungstypen Legen Sie fest, ob die Registrierung von Geräten über die Apps MDM (Workspace ONE Intelligent Hub) und AirWatch Container (für iOS/Android) zugelassen werden soll.

Gerätelimit pro Benutzer Wählen Sie Unbegrenzt, um es Benutzern zu ermöglichen, beliebig viele Geräte zu registrieren. Workspace ONE Direct Enrollment unterstützt das Festlegen eines Gerätegrenzwerts für jeden Benutzer.

Deaktivieren Sie dieses Kontrollkästchen, um Werte für den Bereich Gerätelimit pro Benutzer einzugeben und so die maximale Geräteanzahl pro Zuständigkeitstyp zu definieren.

n Maximale Geräteanzahl pro Benutzern Maximale Anzahl an Unternehmensgerätenn Maximale Anzahl an Gemeinschaftsgerätenn Maximale Anzahl an mitarbeitereigenen Geräten


VMware, Inc. 91


Zulässige Gerätetypen Aktivieren Sie das Kontrollkästchen Registrierung auf bestimmte Plattformen, Modelle oder Betriebssysteme begrenzen, um weitere gerätespezifische Einschränkungen hinzuzufügen.


Hinweis Die aktuellen Funktionen von Microsoft lassen nicht zu, dass Sie Windows Phone-Geräte nach IMEI oder UDID auf eine Blacklist setzen.

Restriktionsmodus auf Geräteebene Diese Option wird nur bei Auswahl von Registrierung auf bestimmte Plattformen, Modelle oder Betriebssysteme begrenzen in der Option Zulässige Gerätetypen angezeigt.

Bestimmen Sie, über welche Art von Gerätebeschränkungen Sie verfügen sollten.

n Nur aufgeführte Gerätetypen zulassen (Whitelist) – Wählen Sie diese Option, um explizit nur solche Geräte zuzulassen, die den von Ihnen eingegebenen Parametern entsprechen, und alle anderen Geräte zu blockieren.

n Aufgeführte Gerätetypen blockieren (Blacklist) – Wählen Sie diese Option, um explizit solche Geräte zu blockieren, die den von Ihnen eingegebenen Parametern entsprechen, und alle anderen Geräte zuzulassen.

Für beide Restriktionsmodi auf Geräteebene gilt: Klicken Sie auf Geräterestriktion hinzufügen, um eine Plattform, ein Modell, einen Hersteller (für Android-Geräte) oder das Betriebssystem auszuwählen. Sie können auch einen Gerätegrenzwert pro definiertem Geräterestriktion hinzufügen. Ebenso können mehrere Geräterestriktionen hinzugefügt werden.

Sie können auch bestimmte Geräte anhand von IMEI, Seriennummer oder UDID blockieren. Gehen Sie dazu zu Geräte > Lebenszyklus > Registrierungsstatus und wählen Sie Hinzufügen aus. Auf diese Weise kann ein einzelnes Gerät effektiv blockiert und eine erneute Registrierung ohne Auswirkung auf Geräte anderer Benutzer verhindert werden. Eine erneute Registrierung kann wahlweise auch verhindert werden, wenn ein Enterprise Wipe ausgeführt wird.


4 Wählen Sie Speichern, um Ihre Änderungen zu speichern, und navigieren Sie zurück zur Seite Geräte und Benutzer > Allgemein > Registrierung.

Bedenken hinsichtlich der Geräteregistrierung auf globaler EbeneEs gibt verschiedene Gründe, warum die direkte Registrierung von Geräten bei der obersten Organisationsgruppe (OG), häufig als „global“ bezeichnet, nicht empfehlenswert ist. Zu diesen Gründen zählen die Mandantenfähigkeit, Vererbung und Funktionalität.

Mandantenfähigkeit

Sie können beliebig viele untergeordnete Organisationsgruppen erstellen und jede einzelne unabhängig von den anderen konfigurieren. Einstellungen, die Sie an einer untergeordneten OG vornehmen, werden nicht auf gleichgestellte OGs angewendet.

Vererbung


VMware, Inc. 92

Änderungen an einer übergeordneten OG werden auf untergeordnete OGs angewendet. Umgekehrt werden Änderungen an einer untergeordneten OG nicht auf übergeordnete oder gleichgestellte OGs angewendet.

Funktionalität

Bestimmte Einstellungen und Funktionen sind nur für Organisationsgruppen vom Typ „Kunde“ konfigurierbar. Hierzu zählen beispielsweise Wipe-Schutz, Telekommunikation und private Inhalte. Geräte, die direkt zur globalen Organisationsgruppe (OG) der obersten Ebene hinzugefügt werden, sind von diesen Einstellungen und Funktionen ausgeschlossen.

Die globale Organisationsgruppe (OG) ist für die Aufnahme von OGs vom Typ „Kunde“ und anderer Typen konzipiert. Wenn Sie Geräte zur globalen Ebene hinzufügen und die globale Ebene mit Einstellungen für diese Geräte konfigurieren, sind alle untergeordneten Kunden-OGs aufgrund der Funktionsweise der Vererbung ebenfalls davon betroffen. Dies reduziert die Vorteile bezüglich der Mandantenfähigkeit und Vererbung.

Registrierung über AutoErmittlungIn Workspace ONE UEM ist die Registrierung dank eines Systems zur AutoErmittlung ganz einfach. Damit werden Geräte über die E-Mail-Adressen der Benutzer in Umgebungen und Organisationsgruppen registriert. AutoErmittlung kann auch verwendet werden, um es Endbenutzern zu ermöglichen, die Authentifizierung für das Self-Service-Portal (SSP) mit ihrer E-Mail-Adresse auszuführen.

Hinweis Um AutoErmittlung für lokale Umgebungen zu aktivieren, muss eine Kommunikation zwischen Ihrer Umgebung und den AutoErmittlungs-Servern von Workspace ONE UEM möglich sein.

Anmeldung zur Registrierung über AutoErmittlungDer Server überprüft die Eindeutigkeit der E-Mail-Domäne und lässt nur zu, dass eine Domäne bei einer Organisationsgruppe in einer Umgebung registriert wird. Registrieren Sie Ihre Domäne aufgrund dieser serverseitigen Prüfung in der Organisationsgruppe der höchsten Ebene.

AutoErmittlung wird für neue SaaS-Kunden (Software as a Service) automatisch konfiguriert.

Konfigurieren der AutoErmittlungs-Registrierung von einer übergeordneten OrganisationsgruppeDie AutoErmittlungs-Registrierung vereinfacht den Registrierungsprozess, indem es Geräte unter Verwendung der E-Mail-Adressen der Endbenutzer bei den beabsichtigten Umgebungen und Organisationsgruppen (OG) registriert.

Konfigurieren Sie eine AutoErmittlungs-Registrierung von einer übergeordneten OG, indem Sie folgende Schritte durchführen.


VMware, Inc. 93

Verfahren

1 Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Administrator > Cloud-Dienste und aktivieren Sie die Einstellung AutoErmittlung. Geben Sie Ihre E-Mail-Adresse für die Anmeldung in AirWatch ID für AutoErmittlung ein und wählen Sie Identität festlegen.

a Navigieren Sie bei Bedarf zu https://my.air-watch.com/set-discovery-password, um das Kennwort für den AutoErmittlungs-Dienst festzulegen. Sobald Sie sich eingetragen und Identität festlegen gewählt haben, wird das HMAC-Token automatisch beausgefüllt. Klicken Sie auf Verbindung testen, um sicherzustellen, dass die Verbindung funktioniert.

2 Aktivieren Sie die Option AutoErmittlung – Zertifikat-Pinning, um Ihr eigenes Zertifikat hochzuladen und es an die Funktion „AutoErmittlung“ anzuheften. Sie können die Gültigkeitsdaten und andere Informationen für vorhandene Zertifikate überprüfen, und Sie können diese vorhandenen Zertifikate auch ersetzen und löschen.

3 Wählen Sie Zertifikat hinzufügen, um die Einstellungen Name und Zertifikat anzuzeigen. Geben Sie den Namen des hochzuladenden Zertifikats ein. Wählen Sie die Schaltfläche Hochladen und anschließend das auf Ihrem Gerät befindliche Zertifikat.

4 Klicken Sie auf Speichern, um die Einrichtung von AutoErmittlung abzuschließen.

Nächste Schritte

Weisen Sie Endbenutzer, die ihre Geräte selbst registrieren, an, die Option auszuwählen, bei der sie zur Authentifizierung ihre E-Mail-Adresse verwenden, statt eine Umgebungs-URL und Gruppen-ID einzugeben. Wenn Benutzer ihre Geräte über eine E-Mail-Adresse registrieren, dann registrieren sie sich in der Gruppe, die auch in der Registrierungsorganisationsgruppe des zugehörigen Benutzerkontos eingetragen ist.

Konfigurieren der AutoErmittlungs-Registrierung von einer untergeordneten OrganisationsgruppeSie können die AutoErmittlungs-Registrierung von einer untergeordneten Organisationsgruppe unterhalb der Registrierungsorganisationsgruppe konfigurieren. Um eine AutoErmittlungs-Registrierung auf diese Art und Weise zu aktivieren, müssen Sie Benutzer dazu auffordern, bei der Registrierung eine Gruppen-ID auswählen.

Erzwingen Sie, dass Benutzer während der Registrierung eine Gruppen-ID auswählen.

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Allgemein > Registrierung und wählen Sie den Tab Gruppierung aus.

2 Wählen Sie Benutzer auffordern, Gruppen-ID auszuwählen.



VMware, Inc. 94

https://my.workspaceone.com/set-discovery-password

Benutzer- und Administratorkonten 3Zur Registrierung in Workspace ONE UEM müssen Benutzerkonten für Geräte erstellt und integriert werden. Auch Administratorkonten müssen erstellt und zugewiesen werden, um Administratoren das Verwalten von Benutzern und Geräten zu vereinfachen.

Mit der UEM-Konsole können Sie eine komplette Benutzer- und Administratorinfrastruktur einrichten. Nutzen Sie die gebotenen Konfigurationsoptionen zur Authentifizierung, Unternehmensintegration und fortlaufenden Verwaltung.


n Anwenderauthentifizierungstypen

n Standardbenutzerkonten

n Verzeichnisbasierte Benutzerkonten

n Listenansicht für Benutzerkonten

n Batch-Importfunktion

n Administratorkonten

AnwenderauthentifizierungstypenDamit Geräte registriert werden können, muss jeder Gerätebenutzer über ein authentifiziertes und von Workspace ONE UEM anerkanntes Benutzerkonto verfügen. Der von Ihnen gewählte Benutzerauthentifizierungstyp hängt von den Anforderungen Ihrer Organisation ab.

StandardauthentifizierungDiese Art der Benutzerauthentifizierung ist unabhängig von jedem beliebigen geschäftliche Benutzer Konto vom derzeit verfügbaren wie Novell, Lotus Domino oder Microsoft Active Directory. Anmeldedaten sind daher nur innerhalb der Workspace ONE UEM-Architektur vorhanden. Weitere Informationen finden Sie unter Standardmäßige Benutzerauthentifizierung.

VMware, Inc. 95

Active Directory-LDAP-AuthentifizierungDie Authentifizierung über das Active Directory (AD) von Microsoft mit dem Lightweight Directory Access Protocol (LDAP) ist das am häufigsten verwendete Kontosystem. Diese Art der Benutzerauthentifizierung nutzt und orientiert sich am AD. Daher benötigt der Endbenutzer lediglich seinen geschäftlichen Anmeldenamen und sein Kennwort.

Weitere Informationen finden Sie unter Active Directory mit LDAP-Authentifizierung und Active Directory mit LDAP-Authentifizierung und VMware Enterprise Systems Connector.

Weitere AuthentifizierungstypenEs gibt noch weitere Arten von Authentifizierungsmethoden, beispielsweise die Verwendung eines Authentifizierungs-Proxys, der Security Assertion Markup Language (SAML) sowie der sicheren und benutzerfreundlichen tokenbasierten Authentifizierung.

Weitere Informationen finden Sie unter Authentifizierungs-Proxy, SAML 2.0-Authentifizierung und Tokenbasierte Authentifizierung.

Aktivieren von Sicherheitstypen zur RegistrierungNachdem Sie die Art der Benutzerauthentifizierung ausgewählt haben, müssen Sie den Authentifizierungsmodus in den Registrierungseinstellungen aktivieren. Weitere Informationen finden Sie unter Aktivieren von Sicherheitstypen zur Registrierung.

Standardmäßige BenutzerauthentifizierungDie Standardauthentifizierung kann zur Identifizierung von Benutzern in der Workspace ONE UEM-Architektur verwendet werden, bietet jedoch keine Integration für bestehende Unternehmensbenutzerkonten.

Pros

n Kann für jede Bereitstellungsmethode verwendet werden.



Kontras

n Kann nicht mit AutoErmittlung verwendet werden.

n Anmeldedaten existieren nur in Workspace ONE UEM und stimmen mit vorhandenen Unternehmensanmeldedaten nicht unbedingt überein.

n Bietet keine Verbundsicherheit oder Single Sign-On.

n Alle Benutzernamen und Kennwörter werden in Workspace ONE UEM gespeichert.



VMware, Inc. 96

1 Der Konsolenbenutzer meldet sich zur Authentifizierung mit dem lokalen Konto in Workspace ONE UEM SaaS an (Standardauthentifizierung).

n Anmeldedaten werden bei der Übertragung verschlüsselt.

n (Beispiel: Benutzername „[email protected]“, Kennwort „abcd“).

2 Der Gerätebenutzer registriert das Gerät über das lokale Workspace ONE UEM-Konto (Standardauthentifizierung).

n Anmeldedaten werden bei der Übertragung verschlüsselt.

n (Beispiel: Benutzername „jdoe2“, Kennwort „2557“).


Active Directory mit LDAP-AuthentifizierungActive Directory (AD) mit der Authentifizierung über das Lightweight Directory Access-Protokoll (LDAP) wird verwendet, um Benutzer- und Administratorenkonten von Workspace ONE UEM in vorhandene Unternehmenskonten zu integrieren.

Pros

n Endbenutzer authentifizieren sich nun mit vorhandenen Unternehmensanmeldedaten.

n Sie stellt eine sichere Methode zur Integration in LDAP/AD dar.



Kontras

n Für die Authentifizierung ist ein AD- oder ein anderer LDAP-Server erforderlich.


VMware, Inc. 97

1 Zur Registrierung des Geräts wird eine Verbindung mit Workspace ONE UEM hergestellt. Der Benutzer gibt den Benutzernamen und das Kennwort des Verzeichnisdiensts ein.

n Benutzername und Kennwort werden bei der Übertragung verschlüsselt.

n Workspace ONE UEM speichert das Kennwort des Benutzer-Verzeichnisdienstes nicht.

2 Workspace ONE UEM fragt zur Authentifizierung mit einem Dienstkonto die Verzeichnisdienste des Clients per Internet durch ein sicheres LDAP-Protokoll ab.

3 Die Anmeldedaten des Benutzers werden mit dem Verzeichnisdienst des Unternehmens abgeglichen.

4 Wenn die Anmeldedaten des Benutzers gültig sind, lässt der Workspace ONE UEM-Server die Geräteregistrierung zu.


Active Directory mit LDAP-Authentifizierung und VMware Enterprise Systems ConnectorDie Active Directory mit LDAP-Authentifizierung und VMware Enterprise Systems Connector bietet denselben Funktionsumfang wie den der konventionellen AD-/LDAP-Authentifizierung. Dieses Modell agiert für SaaS-Bereitstellungen (Software as a Service) über die Cloud.

Pros

n Endbenutzer authentifizieren sich mit vorhandenen Unternehmensanmeldedaten.

n Diese Authentifizierung erfordert keine Änderungen an der Firewall, da die Kommunikation über VMware Enterprise Systems Connector in Ihrem Netzwerk initiiert wird.

n Anmeldedaten werden verschlüsselt und gesichert übertragen.

n Diese Methode bietet eine sichere Konfiguration für andere Infrastrukturkomponenten, wie BES-, Microsoft AD CS-, SCEP- und SMTP-Server.

n Kann für Workspace ONE ™ ™ Direct Enrollment verwendet werden.


VMware, Inc. 98

Kontras

n Für diese Methode muss VMware Enterprise Systems Connector hinter der Firewall oder in einer DMZ installiert sein.

n Diese Methode erfordert zusätzliche Konfigurationen.

Modell der SaaS-Bereitstellung

Modell der lokalen Bereitstellung


Authentifizierungs-ProxyDer Authentifizierungsproxy bietet Verzeichnisdienstintegration über die Cloud und gehärtete, interne Netzwerke hinweg. In diesem Modell kommuniziert der Workspace ONE UEM-Server mit einem öffentlichen Webserver oder einem Exchange ActiveSync-Server. Bei dieser Konfiguration werden Benutzer anhand des Domänencontrollers authentifiziert.

Vorteilen Sie bietet eine sichere Methode zur Proxyintegration in AD/LDAP quer durch die Cloud.

n Endbenutzer können ihre Authentifizierung mit vorhandenen Unternehmensanmeldedaten ausführen.

n Das Lightweight-Modul erfordert minimale Konfiguration.

Nachteilen Erfordert einen öffentlichen Webserver oder einen Exchange ActiveSync-Server mit Verbindungen zu

einem AD/LDAP-Server.

n Nur bei bestimmten Architekturlayouts möglich.


VMware, Inc. 99

n Weitaus weniger zuverlässige Lösung als VMware Enterprise Systems Connector.


1 Zur Registrierung des Geräts wird eine Verbindung mit Workspace ONE UEM hergestellt. Der Benutzer gibt den Benutzernamen und das Kennwort des Verzeichnisdiensts ein.

n Benutzername und Kennwort werden bei der Übertragung verschlüsselt.

n Workspace ONE UEM speichert das Kennwort des Benutzer-Verzeichnisdienstes nicht.

2 Workspace ONE UEM übermittelt den Benutzernamen und das Kennwort an einen konfigurierten Authentifizierungsproxy-Endpunkt, für den eine Authentifizierung erforderlich ist (z. B. Standardauthentifizierung).

3 Die Anmeldedaten des Benutzers werden mit den Verzeichnisdiensten des Unternehmens abgeglichen.

4 Wenn die Anmeldedaten des Benutzers gültig sind, lässt der Workspace ONE UEM-Server die Geräteregistrierung zu.


SAML 2.0-AuthentifizierungDie SAML 2.0-Authentifizierung (Security Assertion Markup Language) bietet Unterstützung für Single Sign-On und Verbundauthentifizierung. Workspace ONE UEM erhält nie Unternehmensanmeldedaten.

Wenn eine Organisation über einen SAML-Identitätsanbieterserver verfügt, sollten Sie die SAML 2.0-Integration verwenden.

Pros

n Sie bietet Single Sign-On-Funktionen.

n Die Authentifizierung erfolgt mit den vorhandenen Unternehmensanmeldedaten.

n Workspace ONE UEM erhält niemals Unternehmensanmeldedaten in reinem Textformat.

n Kann für Workspace ONE Direct Enrollment in Kombination mit einem SAML-Verzeichnisanwender verwendet werden.

Kontras

n Eine geschäftliche SAML-Identitätsanbieterstruktur ist erforderlich.


VMware, Inc. 100

n Kann nicht für Workspace ONE Direct Enrollment in Kombination mit SAML-Standardbenutzer verwendet werden.

n Umgebung mit mehreren Domänen wird nicht unterstützt.

1 Das Gerät stellt zur Registrierung eine Verbindung mit Workspace ONE UEM her. Der UEM-Server leitet das Gerät dann an den vom Client festgelegten Identitätsanbieter um.

2 Das Gerät stellt eine sichere HTTPS-Verbindung mit dem vom Client bereitgestellten Identitätsanbieter her und der Benutzer gibt die Anmeldedaten ein.

n Die Anmeldedaten werden bei der direkten Übertragung zwischen dem Gerät und dem SAML-Endpunkt verschlüsselt.

3 Die Anmeldedaten werden mit den Verzeichnisdiensten abgeglichen.

4 Der Identitätsanbieter gibt eine signierte SAML-Antwort mit dem authentifizierten Benutzernamen zurück.

5 Das Gerät antwortet dem Workspace ONE UEM-Server und stellt die signierte SAML-Nachricht bereit. Der Anwender wird authentifiziert.

.

Tokenbasierte AuthentifizierungDie tokenbasierte Authentifizierung bietet Benutzern die einfachste Methode zur Registrierung ihrer Geräte. Mit dieser Registrierungseinstellung generiert Workspace ONE UEM ein Token, das in die Registrierungs-URL eingefügt wird.

Zur Einzeltokenauthentifizierung greift der Benutzer auf den Link vom Gerät zu, um die Registrierung abzuschließen. Der Workspace ONE UEM-Server bezieht sich dabei auf das dem Benutzer bereitgestellte Token.

Legen Sie zur Erhöhung der Sicherheit eine Ablaufzeit (in Stunden) für jedes Token fest. Durch die Festlegung einer Ablaufzeit wird das Risiko minimiert, dass ein anderer Benutzer auf Informationen und Funktionen zugreift, die sich auf dem Gerät befinden.


VMware, Inc. 101

Sie können sich auch dafür entscheiden, eine 2-Faktor-Authentifizierung zu implementieren, um die Endbenutzer-Identitätsüberprüfung auf ein höheres Niveau zu heben. Mit dieser Authentifizierungseinstellung müssen Benutzer ihren Benutzernamen und ihr Kennwort eingeben, nachdem sie mit dem bereitgestellten Token auf den Registrierungs-Link zugegriffen haben.

Pros

n Minimaler Arbeitsaufwand für Endbenutzer beim Registrieren und Authentifizieren ihrer Geräte

n Sichere Tokennutzung durch Festlegen einer Ablaufzeit

n Keine Anmeldedaten zur Einzeltokenauthentifizierung für Benutzer erforderlich

Kontras

n Integration von Simple Mail Transfer Protocol (SMTP) oder Short Message Service (SMS) zum Senden eines Tokens an das Gerät erforderlich

1 Der Administrator autorisiert die Eintragung von Benutzergeräten.

2 Ein einmaliges Token wird generiert und über Workspace ONE UEM an den Benutzer gesendet.

3 Der Benutzer erhält ein Token und ruft die Registrierungs-URL auf. Der Benutzer wird zum Nachweis eines Tokens und optional zur 2-Faktor-Authentifizierung aufgefordert.

4 Die Geräteregistrierung wird durchgeführt.

5 Das Token wird von Workspace ONE UEM als abgelaufen gekennzeichnet.

Hinweis SMTP ist bei SaaS-Einsätzen enthalten.

Aktivieren von Sicherheitstypen zur RegistrierungAktivieren Sie nach der Integration von Workspace ONE UEM mit einem Benutzer-Sicherheitstyp und vor der Registrierung jeden Authentifizierungsmodus, den Sie zulassen möchten.


VMware, Inc. 102

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Registrierung auf der Registerkarte Authentifizierung.

2 Aktivieren Sie die entsprechenden Kontrollkästchen für die Einstellung Authentifizierungsmodus.


E-Mail-Domäne hinzufügen Diese Schaltfläche ist für die Einrichtung des Service „AutoErmittlung“ zur Registrierung von E-Mail-Domänen in Ihrer Umgebung vorgesehen.

Authentifizierungsmodus/-modi)

Wählen Sie unter den folgenden zulässige Authentifizierungstypen aus:

n Standard – Standardbenutzerkonten (von Ihnen manuell in der UEM-Konsole erstellte) können registriert werden.

n Directory – Directory-Benutzerkonten (von Ihnen importierte oder zur Verwendung der Verzeichnisdienst-Integration zugelassene) können registriert werden. Workspace ONE Direct Enrollment unterstützt Verzeichnisbenutzer mit oder ohne SAML.

n Authentifizierungsproxy – Ermöglicht Benutzern das Registrieren mithilfe von Authentifizierungsproxy-Benutzerkonten. Benutzer authentifizieren sich bei einem Webendpunkt.

n Geben Sie die Authentifizierungs-Proxy-URL, das Authentifizierungs-Proxy-URL-Backupund den Authentifizierungsmethodentyp ein (wählen Sie zwischen HTTP BASIC und Exchange ActiveSync).

Authentifizierungsquelle für Intelligent Hub

Wählen Sie das System aus, das vom Intelligent Hub-Dienst als Quelle für Benutzer und Authentifizierungsrichtlinien verwendet wird.

n Workspace ONE UEM – Wählen Sie diese Einstellung, wenn die Hub-Dienste Workspace ONE UEM als Quelle verwenden sollen.

Wenn Sie die Seite Hub-Konfiguration für Hub-Dienste konfiguriert haben, haben Sie die Mandanten-URL für Hub-Dienste eingegeben.

n Identity Manager – Wählen Sie diese Einstellung, wenn die Hub-Dienste VMware Identity Manager als Quelle verwenden sollen.

Wenn Sie die Seite Hub-Konfiguration für Hub-Dienste konfiguriert haben, haben Sie die Mandanten-URL für VMware Identity Manager eingegeben.

Geräteregistrierungsmodus Wählen Sie unter den folgenden Ihren bevorzugten Geräteregistrierungsmodus:

n Offene Registrierung – Im Wesentlichen ermöglicht dies jedem Benutzer die Registrierung, der die anderen Registrierungskriterien erfüllt (Authentifizierungsmodus, Einschränkungen usw.). Workspace ONE Direct Enrollment unterstützt offene Registrierung.

n Nur registrierte Geräte – Nur zugelassene Benutzer mit von Ihnen oder den Benutzern registrierten Geräten sind zur Registrierung zugelassen. Bei der Geräteregistrierung werden Unternehmensgeräte zur UEM-Konsole hinzugefügt, bevor diese registriert werden. Weitere Informationen zur Registrierung von Geräten finden Sie im Abschnitt „Registrierung“ des VMware Workspace ONE UEM Mobile Device Management Guide. Workspace ONE Direct Enrollment unterstützt es, nur registrierten Geräten die Registrierung zu erlauben. Dies gilt aber nur, wenn keine Registrierungstoken erforderlich sind.

Registrierungstoken verlangen Nur sichtbar, wenn Nur registrierte Geräte ausgewählt wurde.

Wenn Sie die Anmeldung auf registrierte Geräte beschränken, können Sie zudem festlegen, dass ein Registrierungstoken für die Registrierung erforderlich ist. Dadurch wird die Sicherheit erhöht, da bestätigt wird, dass ein bestimmter Benutzer zur Registrierung autorisiert ist. Sie können eine E-Mail oder SMS mit angehängtem Registrierungstoken an Benutzer mit Workspace ONE UEM Konten senden.


VMware, Inc. 103


Intelligent Hub-Registrierung für iOS verlangen

Aktivieren Sie dieses Kontrollkästchen, um festzulegen, dass Nutzer von iOS-Geräten den Workspace ONE Intelligent Hub vor dem Registrieren herunterladen und installieren müssen. Wenn diese Option deaktiviert ist, ist die Web-Registrierung verfügbar.

Intelligent Hub-Registrierung für macOS verlangen

Aktivieren Sie dieses Kontrollkästchen, um festzulegen, dass Nutzer von macOS-Geräten den Workspace ONE Intelligent Hub vor dem Registrieren herunterladen und installieren müssen. Wenn diese Option deaktiviert ist, ist die Web-Registrierung verfügbar.


StandardbenutzerkontenErstellen Sie für Ihre Endbenutzer Standardkonten in Workspace ONE UEM, wenn keine Integration mit einem Verzeichnisdienst vorhanden ist. Standardbenutzerkonten sind auch für Testzwecke nützlich, da sie schnell erstellt und im Anschluss gelöscht werden können.

Weitere Informationen finden Sie unter Standardregistrierung vs. Registrierung durch Verzeichnisdienste.

Vorteilen Kann für jede Bereitstellungsmethode verwendet werden.



n Kann sich bei möglicherweise mehreren Organisationsgruppen registrieren.

Nachteilen Anmeldedaten existieren nur in Workspace ONE UEM und stimmen mit vorhandenen

Unternehmensanmeldedaten nicht unbedingt überein.

n Bietet keine Verbundsicherheit.

n Single Sign-On wird nicht unterstützt.

n Workspace ONE UEM speichert alle Benutzernamen und Kennwörter.


Erstellen von StandardbenutzerkontenSie können Standardbenutzerkonten für alle Benutzer zur Authentifizierung und Anmeldung beim Workspace ONE UEM-System erstellen. Sie können dann Standardbenutzern eine Benachrichtigung mit Anweisungen zum Aktivieren ihrer Konten senden, einschließlich eines Links zum Zurücksetzen des Kennworts, das in 24 Stunden abläuft.

In diesem Abschnitt wird ausführlich erläutert, wie Sie einzelne Benutzerkonten erstellen. Informationen zur Erstellung von Benutzerkonten in einer großen Menge finden Sie unter Batch-Import von Benutzern oder Geräten.


VMware, Inc. 104

Verfahren

1 Navigieren Sie zu Konten > Benutzer > Listenansicht und wählen Sie Hinzufügen und anschließend Benutzer hinzufügen. Die Seite Benutzer hinzufügen/bearbeiten wird angezeigt.

2 Bearbeiten Sie auf der Registerkarte Allgemein folgende Einstellungen, um einen Standardbenutzer hinzuzufügen:


Sicherheitstyp Wählen Sie Standard, um einen Standardbenutzer hinzuzufügen.

Benutzername Geben Sie den Benutzernamen ein, mit dem der neue Benutzer identifiziert wird.

Kennwort Geben Sie ein Kennwort ein, mit dem sich der Benutzer anmelden kann.

Kennwort bestätigen Bestätigen Sie das Kennwort.

Vollständiger Name Tragen Sie den Vorname, Zweiter Vorname und Nachname des Benutzers ein.

Anzeigename Geben Sie für den Benutzer in der UEM-Konsole einen Namen ein.

E-Mail-Adresse Geben Sie die E-Mail-Adresse des Benutzers ein oder bearbeiten Sie diese.

E-Mail-Benutzername Geben Sie den E-Mail-Benutzernamen des Benutzers ein oder bearbeiten Sie diesen.

Domäne Wählen Sie die E-Mail-Domäne aus den Dropdown-Einstellungen.

Rufnummer Geben Sie die Rufnummer des Benutzers ein, einschließlich Pluszeichen, Landesvorwahl und Ortsvorwahl. Diese Option ist erforderlich, falls Sie beabsichtigen, Benachrichtigungen per SMS zu senden.

Registrierung

Registrierungsorganisationsgruppe Wählen Sie die Organisationsgruppe, bei der sich der Anwender registrieren soll.

Dem Benutzer ermöglichen, sich bei zusätzlichen Organisationsgruppen zu registrieren

Sie können dem Benutzer ermöglichen, sich bei mehr als einer Organisationsgruppe zu registrieren.

Wenn Sie diese Option aktivieren, Zusätzliche Organisationsgruppen jedoch leer lassen, kann jede untergeordnete OG, die unter der Registrierungsorganisationsgruppe erstellt wurde, als Ausgangspunkt für die Registrierung verwendet werden.

Zusätzliche Organisationsgruppen Diese Einstellung wird nur angezeigt, wenn die Option, die dem Benutzer die Registrierung bei zusätzlichen OGs erlaubt, , aktiviert ist.

Mit dieser Einstellung können Sie zusätzliche Organisationsgruppen hinzufügen, über die sich Ihr Standardbenutzer registrieren kann.

Benutzerrolle Wählen Sie die Rolle für den Benutzer, den Sie hinzufügen möchten, aus dieser Dropdown-Einstellung.

Benachrichtigungen


VMware, Inc. 105


Nachrichtentyp Wählen Sie den Typ der Nachricht, die Sie dem Benutzer senden möchten – E-Mail, SMS oder Keine(r/s). Bei Auswahl von „SMS“ ist ein gültiger Eintrag in der Option Rufnummer erforderlich.

Nachrichtenvorlage Der Standardbenutzer aktiviert sein Konto mit dieser Benachrichtigung. Aus Sicherheitsgründen enthält diese Benachrichtigung nicht das Kennwort des Benutzers. Stattdessen ist in der Benachrichtigung ein Link zum Zurücksetzen des Kennworts enthalten. Der Standardbenutzer wählt diesen Link zum Definieren eines anderen Kennworts aus. Dieser Link zum Zurücksetzen des Kennworts läuft nach 24 Stunden automatisch ab.

Wählen Sie über die Dropdown-Einstellung die Vorlage für entweder E-Mail- oder SMS-Nachrichten. Wahlweise können Sie Nachrichtenvoransicht wählen, um die Vorlage im Voraus einzusehen. Sie können auch eine Vorlage erstellen, indem Sie Nachrichtenvorlagen konfigurieren wählen.

3 Über die Registerkarte Erweiterungen können Sie folgende Einstellungen bearbeiten.


Bereich „Erweiterte Informationen“

E-Mail-Kennwort Geben Sie das E-Mail-Kennwort des Benutzers ein, den Sie hinzufügen.

E-Mail-Kennwort bestätigen Bestätigen Sie das E-Mail-Kennwort des Benutzers, den Sie hinzufügen.

Benutzerprinzipalname Geben Sie den Prinzipalnamen des Standardbenutzers ein. Diese Einstellung ist optional.

Kategorie Wählen Sie die Benutzerkategorie für den hinzuzufügenden Benutzer.

Abteilung Geben Sie zu administrativen Zwecken die Abteilung des Benutzers ein.

Mitarbeiter-ID Geben Sie zu administrativen Zwecken die Mitarbeiter-ID des Benutzers ein.

Kostenstelle Geben Sie für Verwaltungszwecke die Kostenstelle des Benutzers ein.

Bereich „Zertifikate“

S/MIME verwenden Aktivieren bzw. deaktivieren Sie S/MIME (Secure/Multipurpose Internet Mail Extensions).

Bei Aktivierung müssen Sie über ein S/MIME-fähiges Profil verfügen und über Hochladen ein S/MIME-Zertifikat hochladen.

Separates Verschlüsselungszertifikat

Aktivieren bzw. deaktivieren Sie Verschlüsselungszertifikate.

Bei Aktivierung müssen Sie über Hochladen ein Verschlüsselungszertifikat hochladen. Im Allgemeinen wird dasselbe S/MIME-Zertifikat zur Signierung und zur Verschlüsselung verwendet, es sei denn, es wird ausdrücklich ein anderes Zertifikat verwendet.

Altes Verschlüsselungszertifikat Aktivieren bzw. deaktivieren Sie die Legacy-Version eines Verschlüsselungszertifikats.

Wenn diese Option aktiviert ist, müssen Sie ein Verschlüsselungszertifikat hochladen.

Bereich „Staging“

Geräte-Staging aktivieren Aktivieren bzw. deaktivieren Sie das Staging von Geräten.

Wenn diese Option aktiviert ist, müssen Sie Einzelbenutzergeräte und Mehrbenutzergeräte auswählen. Bei Einzelbenutzergeräten müssen Sie zwischen der Option Standard, bei der sich Benutzer selbst anmelden, oder der Option Erweitert wählen, bei der ein Gerät im Auftrag eines anderen Benutzers registriert wird.


VMware, Inc. 106

4 Wählen Sie Speichern, um nur den neuen Benutzer zu speichern, oder Speichern und Gerät hinzufügen, um den neuen Benutzer zu speichern und mit der Seite Gerät hinzufügen fortzufahren.

Verzeichnisbasierte BenutzerkontenDurch die Integration in einen bestehenden Verzeichnisdienst können Benutzer automatisch importiert werden. So müssen Benutzer nicht mehr manuell zur Workspace ONE UEM Console hinzugefügt werden.

Alle Verzeichnisbenutzer, die Sie über Workspace ONE UEM verwalten möchten, müssen über ein entsprechendes Benutzerkonto in der UEM-Konsole verfügen. Weitere Informationen finden Sie unter Standardregistrierung vs. Registrierung durch Verzeichnisdienste.

Mit einer der folgenden Methoden können Sie Ihre vorhandenen Verzeichnisdienstbenutzer direkt in Workspace ONE UEM hinzufügen.

n Laden Sie eine Datei als Batch hoch, die all Ihre Verzeichnisdienstbenutzer enthält. Durch Batch-Import wird automatisch ein Benutzerkonto erstellt.

n Erstellen Sie einzelne Benutzerkonten, indem Sie den Namen des Verzeichnisbenutzers eingeben und Benutzer überprüfen auswählen, um die restlichen Details automatisch einzutragen.

n Führen Sie weder einen Batch-Import noch eine manuelle Erstellung der Benutzerkonten aus. Erlauben Sie stattdessen allen Verzeichnisbenutzern, sich bei der Registrierung selbst zu registrieren.

Vorteilen Endbenutzer authentifizieren sich mit vorhandenen Unternehmensanmeldedaten.

n Änderungen können automatisch über das Verzeichnissystem bei Workspace ONE UEM erkannt und synchronisiert werden.

n Diese Vorgehensweise stellt eine sichere Methode zur Integration in Ihren bestehenden Verzeichnisdienst dar.



n SaaS-Bereitstellungen mit VMware Enterprise Systems Connector erfordern keine Firewall-Änderungen und bieten eine sichere Konfiguration für andere Infrastrukturen wie Microsoft ADCS-, SCEP- und SMTP-Server.

Nachteilen Erfordert eine vorhandene Verzeichnisdienstinfrastruktur.

n SaaS-Bereitstellungen erfordern zusätzliche Konfiguration, da VMware Enterprise Systems Connector hinter der Firewall oder in einer DMZ installiert ist.


VMware, Inc. 107

Erstellen von verzeichnisbasierten BenutzerkontenFür jeden Benutzer im Workspace ONE UEM-System müssen Konten erstellt werden; Verzeichnisbenutzer verwenden zur Authentifizierung Ihre bestehenden Unternehmensanmeldedaten.

In diesem Abschnitt wird ausführlich erläutert, wie Sie einzelne Benutzerkonten erstellen. Informationen zur Erstellung von Benutzerkonten in einer großen Menge finden Sie unter Batch-Import von Benutzern oder Geräten.

Verfahren

1 Navigieren Sie zu Konten > Benutzer > Listenansicht und wählen Sie Hinzufügen und dann Benutzer hinzufügen. Die Seite Benutzer hinzufügen/bearbeiten wird angezeigt.

2 Bearbeiten Sie auf der Registerkarte Allgemein folgende Einstellungen, um einen Verzeichnisbenutzer hinzuzufügen.


Sicherheitstyp Fügen Sie einen Active Directory-Benutzer durch Auswählen von Directory als Sicherheitstyp hinzu.

Verzeichnisname Dieses im Vorfeld aufgefüllte Feld identifiziert den Active Directory-Namen.

Domäne Wählen Sie den Domänennamen aus dem Dropdown-Menü.

Benutzername Geben Sie den Verzeichnisbenutzernamen des Benutzers ein und wählen Sie Benutzer prüfen. Stellt das System eine Übereinstimmung fest, werden die Benutzerinformationen automatisch eingetragen. Die verbleibenden Einstellungen in diesem Abschnitt sind erst verfügbar, nachdem Sie über die Schaltfläche Benutzer prüfen einen Active Directory-Benutzer ausfindig gemacht haben.

Vollständiger Name Verwenden Sie Attribute bearbeiten, um Optionen zum Synchronisieren eines leeren Werts aus dem zu bearbeitenden Verzeichnis zuzulassen. Über „Attribute bearbeiten“ können die entsprechenden Benutzerinformationen automatisch aufgefüllt werden.

Wenn eine Einstellung einen tatsächlichen Wert aus dem Verzeichnis synchronisiert, muss diese Einstellung im Verzeichnis selbst bearbeitet werden. Die Änderung wird bei der nächsten Verzeichnissynchronisierung angewendet. Vervollständigen Sie jede vom Verzeichnis zurückgegebene leere Option unter Vollständiger Name und wählen Sie Attribute bearbeiten, um die Hinzufügung zu speichern.

Anzeigename Geben Sie den Namen ein, der in der Admin-Konsole angezeigt werden soll.

E-Mail-Adresse Geben Sie die E-Mail-Adresse des Benutzers ein oder bearbeiten Sie diese.

E-Mail-Benutzername Geben Sie den E-Mail-Benutzernamen des Benutzers ein oder bearbeiten Sie diesen.

Domäne (E-Mail) Wählen Sie die E-Mail-Domäne aus dem Dropdown-Menü.

Rufnummer Geben Sie die Rufnummer des Benutzers ein, einschließlich Pluszeichen, Landesvorwahl und Ortsvorwahl. Falls Sie beabsichtigen, Benachrichtigungen per SMS zu senden, ist die Telefonnummer erforderlich.

Registrierung

Registrierungsorganisationsgruppe Wählen Sie die Organisationsgruppe, bei der sich der Anwender registrieren soll.


VMware, Inc. 108


Dem Benutzer ermöglichen, sich bei zusätzlichen Organisationsgruppen zu registrieren

Wählen Sie, ob Sie dem Anwender ermöglichen möchten, sich bei mehr als einer Organisationsgruppe zu registrieren. Sollten Sie Aktiviert auswählen, bearbeiten Sie Zusätzliche Organisationsgruppen.

Benutzerrolle Wählen Sie die Rolle für den Benutzer, den Sie hinzufügen möchten, aus diesem Dropdown-Menü.

Benachrichtigungen

Nachrichtentyp Wählen Sie den Typ der Nachricht, die Sie dem Benutzer senden möchten – E-Mail, SMS oder Keine(r/s). Bei Auswahl von „SMS“ ist ein gültiger Eintrag in das Textfeld Rufnummer erforderlich.

Nachrichtenvorlage Wählen Sie aus der Dropdown-Einstellung die Vorlage für E-Mail- oder SMS-Nachrichten. Wahlweise können Sie Nachrichtenvoransicht wählen, um die Vorlage im Voraus einzusehen. Sie können auch eine Vorlage erstellen. Wählen Sie dazu den Link Nachrichtenvorlagen konfigurieren.

3 Über die Registerkarte Erweiterungen können Sie folgende Einstellungen bearbeiten:


Bereich „Erweiterte Informationen“

E-Mail-Kennwort Geben Sie das E-Mail-Kennwort des Benutzers ein, den Sie hinzufügen.

E-Mail-Kennwort bestätigen Bestätigen Sie das E-Mail-Kennwort des Benutzers, den Sie hinzufügen.

Eindeutiger Name Bei von Workspace ONE UEM erkannten Verzeichnisbenutzern wurde dieses Textfeld mit dem definierten Namen des Benutzers bereits zuvor aufgefüllt. „Definierter Name“ ist eine Zeichenfolge, die den Benutzernamen und alle einem Active Directory-Benutzer zugeordnete Autorisierungscodes darstellen.

Definierter Name des Managers Geben Sie den definierten Name des Managers des Benutzers ein. Dieses Textfeld ist optional.

Kategorie Wählen Sie die Benutzerkategorie für den hinzuzufügenden Benutzer.

Abteilung Geben Sie zu administrativen Zwecken Ihres Unternehmens die Abteilung des Benutzers ein.

Mitarbeiter-ID Geben Sie zu administrativen Zwecken Ihres Unternehmens die Mitarbeiter-ID des Benutzers ein.

Kostenstelle Geben Sie für Verwaltungszwecke Ihres Unternehmens die Kostenstelle des Benutzers ein.

Benutzerdefiniertes Attribut 1-5 (nur für Verzeichnisbenutzer)

Geben Sie, wo zutreffend, Ihre zuvor konfigurierten Benutzerdefinierten Attribute ein. Sie können diese benutzerdefinierten Attribute definieren, indem Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Erweiterungen > Benutzerdefinierte Attribute navigieren.

Hinweis Benutzerdefinierte Attribute können nur in Kundenorganisationsgruppen konfiguriert werden.

Bereich „Zertifikate“

S/MIME verwenden Aktivieren bzw. deaktivieren Sie die Verwendung von S/MIME (Secure/Multipurpose Internet Mail Extensions). Bei Aktivierung müssen Sie über ein S/MIME-fähiges Profil verfügen und über Hochladen ein S/MIME-Zertifikat hochladen.


VMware, Inc. 109


Separates Verschlüsselungszertifikat

Aktivieren bzw. deaktivieren Sie die Verwendung separater Verschlüsselungszertifikate. Bei Aktivierung müssen Sie über Hochladen ein Verschlüsselungszertifikat hochladen. Im Allgemeinen wird dasselbe S/MIME-Zertifikat zur Signierung und zur Verschlüsselung verwendet, es sei denn, es wird ausdrücklich ein anderes Zertifikat verwendet.

Altes Verschlüsselungszertifikat Aktivieren bzw. deaktivieren Sie die Legacy-Version eines Verschlüsselungszertifikats. Wenn diese Option aktiviert ist, müssen Sie ein Verschlüsselungszertifikat hochladen.

Bereich „Staging“

Geräte-Staging aktivieren Aktivieren bzw. deaktivieren Sie das Staging von Geräten.

Wenn diese Option aktiviert ist, müssen Sie Einzelbenutzergeräte und Mehrbenutzergeräte auswählen.

Bei Einzelbenutzergeräten müssen Sie zwischen der Option Standard, bei der sich Benutzer selbst anmelden, oder der Option Erweitert wählen, bei der ein Gerät im Auftrag eines anderen Benutzers registriert wird.

4 Wählen Sie Speichern, um nur den neuen Benutzer zu speichern, oder Speichern und Gerät hinzufügen, um den neuen Benutzer zu speichern und mit der Seite Gerät hinzufügen fortzufahren.

Nächste Schritte

Weitere Informationen zum Hinzufügen von Verzeichnisbenutzern zu Workspace ONE UEM finden Sie unter Add Individual Directory Users One at a Time (Einzelne Verzeichnisbenutzer nacheinander hinzufügen) und Batch Import Directory Users (Batch-Import von Verzeichnisbenutzern). Diese Informationen sind in der Dokumentation zu den VMware Workspace ONE UEM Directory Services auf der Website docs.vmware.com verfügbar.

Listenansicht für BenutzerkontenDie Seite Listenansicht, die Sie unter Konten > Benutzer > Listenansicht finden, bietet nützliche Tools für gängige Vorgänge zur Verwaltung und Pflege von Benutzerkonten.


VMware, Inc. 110

Anpassen der ListenansichtDie Listenansicht für Benutzerkonten kann zur sofortigen Erstellung von angepassten Benutzerlisten verwendet werden. Zudem können Sie das Seitenlayout auf Grundlage von Kriterien anpassen, die für Sie am wichtigsten sind. Zur späteren Analyse können Sie diese angepasste Liste exportieren und neue Benutzer einzeln oder massenweise hinzufügen.

Aktion Beschreibung

Filter Zeigen Sie nur die gewünschten Benutzer unter Verwendung folgender Filter an.

n Sicherheitstyp

n Registrierungsorganisationsgruppe

n Registrierungsstatus

n Benutzergruppe

n Benutzerrolle

Hinzufügen n Benutzer hinzufügen – Fügen Sie einmalig ein Standardbenutzerkonto hinzu. Fügen Sie neue Mitarbeiter oder kürzlich beförderte Mitarbeiter hinzu, die Zugriff auf MDM-Funktionen benötigen. Weitere Informationen finden Sie unter Erstellen von Standardbenutzerkonten.

n Batchimport – Fügen Sie mehrere Benutzer in Workspace ONE ™ ™ UEM durch Importieren einer CSV-Datei hinzu. Geben Sie einen eindeutigen Namen und eine Beschreibung ein, um mehrere Benutzer auf einmal zu gruppieren und zu organisieren. Weitere Informationen finden Sie unter Batch-Import von Benutzern oder Geräten.


VMware, Inc. 111

Aktion Beschreibung

Layout Ermöglicht Ihnen, das Spaltenlayout anzupassen.

n Übersicht – Prüfen Sie die Listenansicht mit den Standardspalten und Anzeigeeinstellungen.

n Benutzerdefiniert – Wählen Sie nur die gewünschten Spalten in der Listenansicht aus. Sie haben auch die Möglichkeit, ausgewählte Spalten auf alle Administratoren in und unterhalb der momentanen Organisationsgruppe anzuwenden.

Sortieren Die meisten Spalten in der Listenansicht (in den Layouts Übersicht und Benutzerdefiniert) sind sortierbar, einschließlich Geräte, Benutzergruppen und Registrierungsorganisationsgruppe.

Exportieren Speichern Sie eine CSV-Datei (Comma-Separated Values) der gesamten Listenansicht, die dann in Excel eingesehen und analysiert werden kann.

Arbeiten mit BenutzerkontenDie Listenansicht weist außerdem ein Kontrollkästchen links neben jedem Benutzerkonto auf. Zeigen Sie die Benutzerdetails durch Auswählen des Hypertextbenutzernamens in der Spalte „Allgemeine Info“ an.

Mit dem Symbol Bearbeiten ( ) können Sie grundlegende Änderungen am Benutzerkonto vornehmen. Bei Aktivierung eines einzelnen Kontrollkästchens werden drei Aktionsschaltflächen angezeigt: Nachricht senden, Gerät hinzufügen und Weitere Aktionen.

Durch Aktivierung der Kontrollkästchen können mehrere Benutzerkonten ausgewählt werden, wodurch sich die verfügbaren Aktionen ändern.

Aktion Beschreibung

Nachricht senden. Bieten Sie einem einzelnen Benutzer oder einer Benutzergruppe sofortigen Support. Senden Sie Benutzern eine Aktivierungs-E-Mail (Benutzervorlage), in der diese bezüglich ihrer Registrierungsanmeldedaten benachrichtigt werden.

Gerät hinzufügen. Fügen Sie ein Gerät für den ausgewählten Benutzer hinzu. Diese Schaltfläche ist nur für die Einzelbenutzerauswahl verfügbar.

Weitere Aktionen Zeigen Sie die folgenden Optionen an.

Zur Benutzergruppe hinzufügen.

Fügen Sie ausgewählte Benutzer einer neuen oder bestehenden Benutzergruppe hinzu, um die Benutzerverwaltung zu vereinfachen. Weitere Informationen finden Sie unter Listenansicht für Anwendergruppen und Bearbeiten von Benutzergruppenberechtigungen.

Von Benutzergruppe entfernen.

Entfernen Sie ausgewählte Benutzer von der bestehenden Benutzergruppe.


Verschieben Sie die Benutzer manuell in eine andere Organisationsgruppe. Aktualisieren Sie die verfügbaren Inhalte, Genehmigungen und Restriktionen von Benutzern, wenn sich deren Position ändert, sie befördert werden oder sie den Bürostandort wechseln.

Löschen Falls ein Mitglied Ihrer Organisation sein Angestelltenverhältnis endgültig beendet, können Sie das entsprechende Benutzerkonto schnell und vollständig löschen. Durch das Löschen des Kontos wird das System so bereinigt, als ob das Konto niemals existiert hätte. Ein gelöschtes Konto kann nicht erneut aktiviert werden. Wenn der Besitzer eines gelöschten Kontos zurückkehrt, muss ein neues Konto für ihn erstellt werden.


VMware, Inc. 112

Aktion Beschreibung

Aktivieren Aktivieren Sie ein zuvor deaktiviertes Konto, wenn ein Benutzer zu einer Organisation zurückkehrt oder im Unternehmen wieder eingestellt werden muss.

Deaktivieren Die Deaktivierung ist eine Sicherheitsmaßnahme. Die Deaktivierung erfolgt, wenn ein Benutzer unauffindbar ist oder sein Gerät die Compliance-Anforderungen nicht erfüllt. Auch ein Verlust oder Diebstahl des Geräts führt zu einer Deaktivierung. Alle Informationen zu einem deaktivierten Konto werden beibehalten, wie z. B. Name, E-Mail-Adresse, Kennwort, Registrierungsorganisationsgruppe usw.

Ein deaktiviertes Konto bedeutet einfach, dass sich für die Dauer der Kontodeaktivierung niemand mehr mit diesen Kontoanmeldedaten bei der Workspace ONE UEM Console anmelden kann. Sobald das Sicherheitsproblem behoben wurde (der Benutzer wird gefunden, das Gerät ist wieder konform, das Gerät ist wieder verfügbar), können Sie das Konto aktivieren.

Batch-ImportfunktionWenn Sie mehrere Dutzend Benutzer in Workspace ONE UEM hinzufügen möchten, können Sie Benutzer und Benutzergruppen in Batches erstellen oder aus Ihrem Verzeichnisdienst importieren.

Das Durchführen eines Batchimports bedeutet, dass eine bereitgestellte Vorlage in einem CSV-Format (Comma-Separated Values) übernommen wird. Dann wird sie mit Ihren eigenen Daten gefüllt, und anschließend wird die fertige Vorlage hochgeladen.

Änderungen in externen LDAP- und AD-BenutzerverzeichnissenNachdem die Liste der Benutzer- und Benutzergruppen hochgeladen wurde, werden Änderungen an Ihren externen LDAP/AD-Benutzerverzeichnissen nicht in Workspace ONE UEM aktualisiert. Diese Änderungen an Benutzern und Benutzergruppen müssen manuell aktualisiert oder als neuer Batch hochgeladen werden.

Benutzer und GeräteWählen Sie aus vier Batch-Importvorlagen aus: Geräte auf Blacklist, Geräte auf Whitelist, Gerät/Benutzer (einfach) und Gerät/Benutzer (erweitert). Weitere Informationen finden Sie unter Batch-Import von Benutzern oder Geräten.

BenutzergruppenDer Batch-Import von Benutzergruppen ähnelt dem Import einzelner Benutzer. Füllen Sie die Vorlage in Workspace ONE UEM aus und laden Sie sie hoch. Weitere Informationen finden Sie unter Batch-Import von Benutzergruppen.

Bearbeiten von StandardbenutzernSie können Benutzer in Gruppen statt einzeln bearbeiten und verschieben, indem Sie bestimmte Spalten in der CSV-Datei ändern, die Sie als Teil eines Batch-Imports hochladen. Dies ist jedoch nur bei zwei Arten von Benutzerauthentifizierung möglich: Authentifizierung von Standardbenutzern und Authentifizierungsproxy. Weitere Informationen finden Sie unter Bearbeiten von Standardbenutzern mit Batch-Import.


VMware, Inc. 113

Verschieben von Benutzern zwischen OrganisationsgruppenÜber den Batch-Import können auch mehrere Benutzer in eine andere Organisationsgruppe verschoben werden. Weitere Informationen finden Sie unter Verschieben von Benutzern mittels Batch-Import.

Batch-Import von Benutzern oder GerätenUm Zeit zu sparen, können Sie mehrere Benutzer und Geräte gleichzeitig in die UEM-Konsole importieren. Benutzer können ein einfaches (in der Datenbank gespeichertes), ein verzeichnisbasiertes (LDAP) oder ein Authentifizierungs-Proxy sein.

Verfahren

1 Navigieren Sie zu Konten > Benutzer > Batch-Status oder Geräte > Lebenszyklus > Registrierungsstatus > Hinzufügen und wählen Sie Batch-Import aus.

2 Geben Sie grundlegende Informationen in der Workspace ONE UEM Console ein, einschließlich Batch-Name und Batch-Beschreibung.

3 Wählen Sie den entsprechenden Batchtyp im Dropdown-Menü Batchtyp aus.

4 Wählen Sie die Vorlage aus, die am besten zu der Art des von Ihnen geplanten Batch-Imports passt, und laden Sie sie herunter.

n Geräte auf Blacklist

Importieren Sie eine Liste bekannter, nicht konformer Geräte nach IMEI, Seriennummer oder UDID. Geräte auf Blacklists sind nicht für die Registrierung zugelassen. Wenn ein Gerät auf einer Blacklist versucht, sich zu registrieren, wird es automatisch blockiert.

n Geräte auf Whitelist

Importieren Sie vorab genehmigte Geräte nach IMEI, Seriennummer oder UDID. Verwenden Sie diese Vorlage zum Importieren von bekannten, vertrauenswürdigen Geräten. Die Zuständigkeit und die Gruppen-ID für dieses Gerät wird bei der Registrierung automatisch angewendet.

n Benutzer und/oder Gerät

Wählen Sie zwischen einer einfachen und einer erweiterten CSV-Vorlage aus. Eine einfache Vorlage bietet nur die am häufigsten genutzten Optionen, eine erweiterte Vorlage dagegen alle verfügbaren Importoptionen.

n Organisationsgruppe ändern

Verschieben Sie die Benutzer in eine andere Organisationsgruppe.


VMware, Inc. 114

5 Öffnen Sie die CSV-Datei. Sie können bestätigen, ob die Benutzer Bestandteil der Registrierungsorganisationsgruppe (OG) sind.

Die CSV-Datei enthält mehrere Spalten, die den Optionen auf der Seite Benutzer hinzufügen/bearbeiten entsprechen. Wenn Sie die CSV-Vorlage öffnen, beachten Sie, dass jede Spalte in der Vorlage Beispieldaten hinzugefügt wurden. Die Beispieldaten werden angezeigt, damit Sie wissen, welche Art von Daten in welchem Format eingegeben werden müssen.

Hinweis Eine CSV-Datei (Comma-Separated Values) ist einfach eine Textdatei, deren Erweiterung „TXT“ in „CSV“ geändert wurde. Darin sind tabellarische Daten (Zahlen und Text) als Nur-Text gespeichert. Jede Zeile der Datei ist ein Datensatz mit Daten. Jeder Datensatz besteht aus einem oder mehreren Feldern, die durch Kommas getrennt sind. Die Datei kann mit einem beliebigen Texteditor geöffnet und bearbeitet werden. Sie kann aber auch mit Microsoft Excel geöffnet und bearbeitet werden.

a Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung und wählen Sie die Registerkarte Gruppierung aus.

Bei verzeichnisbasierter Registrierung muss der Sicherheitstyp für jeden Benutzer Directory sein.

Falls für den Gruppen-ID-Zuweisungsmodus die Option Standard festgelegt ist, sind die Benutzer Bestandteil der Registrierungsorganisationsgruppe.

6 Geben Sie ggf. Daten für die Benutzer Ihrer Organisation ein, einschließlich Geräteinformationen, und speichern Sie die Datei.

7 Kehren Sie zur Seite „Batch-Import“ zurück und wählen Sie Datei auswählen, um die zuvor heruntergeladene und aufgefüllte CSV-Datei zu suchen und hochzuladen.


Batch-Import von BenutzergruppenUm Zeit zu sparen, können Sie mehrere LDAP-/AD-Benutzergruppen in die Workspace ONE UEM Console importieren. LDAP steht für Lightweight Directory Access Protocol und AD für Active Directory.

Verfahren

1 Navigieren Sie zu Konten > Benutzergruppen > Listenansicht und wählen Sie Hinzufügen.

2 Wählen Sie Batch-Import.

3 Geben Sie grundlegende Informationen in der Workspace ONE UEM Console ein, einschließlich Batch-Name und Batch-Beschreibung.

4 Wählen Sie unter Batchdatei (.csv) die Schaltfläche Datei auswählen, um die ausgefüllte CSV-Datei zu suchen und hochzuladen.


VMware, Inc. 115

5 Wählen Sie alternativ den Link Vorlage für diesen Batch-Typ herunterladen, speichern Sie die CSV-Datei (Comma-Separated Values) und verwenden Sie diese, um eine neue Importdatei vorzubereiten.

n Öffnen Sie die CSV-Datei. Diese Datei enthält mehrere Spalten, die den Einstellungen auf der Seite Benutzergruppe hinzufügen entsprechen. In Spalten mit einem Sternchen müssen Daten eingegeben werden. Speichern Sie die Datei.

n Die letzte Spaltenüberschrift in der CSV-Dateivorlage lautet „GroupID/Manage(Edit and Delete)/Manage(Users and Enrollment)/UG assignment/Admin Inheritance“ (Gruppen-ID / Verwalten (Bearbeiten und Löschen) / Verwalten (Benutzer und Registrierung) / UG-Zuweisung / Administrator Vererbung). Diese Spaltenüberschriften entsprechen den Einstellungen und der Logik auf dem Tab Berechtigungen der Seite Benutzergruppe bearbeiten. Weitere Informationen finden Sie unter Bearbeiten von Benutzergruppenberechtigungen.

6 Wählen Sie Importieren.

7 Sollte der Batch-Import nicht vollständig abgeschlossen werden, prüfen und behandeln Sie Fehler unter Konten > Batch-Status. Sie können bestimmte Batch-Importfehler prüfen, indem Sie auf den Hyperlink Fehler klicken.

Bearbeiten von Standardbenutzern mit Batch-ImportMit der Batch-Importfunktion können Sie Benutzer in Gruppen statt einzeln bearbeiten und verschieben. Dazu müssen Benutzer in Workspace ONE UEM vorhanden sein. Bearbeiten Sie die folgenden Felder in der CSV-Datei und laden Sie die Datei über Batch-Import hoch.

n Kennwort (nur Standard)

n Vorname

n Zweiter Vorname

n Nachname

n E-Mail-Adresse

n Rufnummer

n Mobilfunknummer

n Abteilung

n E-Mail-Benutzername

n E-Mail-Kennwort

n Autorisierte Organisationsgruppen (nur auf oder unter der angegebenen Gruppen-ID)

n Registrierungsbenutzerkategorie (diese Kategorie ist dem Benutzer zugänglich, anderenfalls standardmäßig auf 0 gestellt)

n Registrierungsbenutzerrolle (diese Rolle ist dem Benutzer zugänglich; anderenfalls wird die Standardrolle der Organisationsgruppe angenommen)

Diese einfache Benutzerbearbeitung gilt nur für Standardmäßige Benutzerauthentifizierung und Authentifizierungs-Proxy.

Verschieben von Benutzern mittels Batch-ImportSie können die Batch-Importfunktion verwenden, um eine Reihe von Benutzern in eine andere Organisationsgruppe zu verschieben.

Verfahren

1 Geben Sie über die Seite „Batch-Import“ wesentliche Informationen zur späteren Verwendung in der Workspace ONE UEM Console ein, einschließlich Batch-Name und Batch-Beschreibung.


VMware, Inc. 116

2 Wählen Sie in der Liste der Vorlagen Organisationsgruppe wechseln und speichern Sie die CSV-Datei an einem entsprechenden Speicherort.

3 Geben Sie zutreffende Gruppen-ID der bestehenden Organisationsgruppe des Benutzers, den zu verschiebenden Benutzernamen und die Zielgruppen-ID der neuen Organisationsgruppe des Benutzers ein.

4 Kehren Sie zur Seite „Batchimport“ zurück, wählen Sie Datei auswählen, um die gespeicherte CSV-Datei zu suchen und hochzuladen, und klicken Sie auf Öffnen.


AdministratorkontenAdministratorkonten ermöglichen Ihnen, über die UEM-Konsole MDM-Einstellungen (Mobile Device Management) zu verwalten, Funktionen und Inhalte per Push zu übertragen oder zu widerrufen und vieles mehr.

Ein temporäres Administratorkonto stellt außerdem die Funktion der Remoteunterstützung in der Unified Endpoint Management-Konsole bereit. Diese temporären Administratorkonten (mit konfigurierbarem Ablauf) können für den Zugriff auf Bereiche verwendet werden, die üblicherweise Inhabern permanenter Administratorkonten vorbehalten sind.

Erstellen eines AdministratorkontosSie können beliebig viele Administratorkonten mit jeweils einer eindeutigen Gruppe von Berechtigungen oder Rollen erstellen, die Sie zur Verwaltung Ihrer Geräteflotte möglicherweise benötigen. Weitere Informationen finden Sie unter Erstellen eines Administratorkontos.

Erstellen eines temporären AdministratorkontosAufgrund ihres konfigurierbaren Ablaufdatums sind temporäre Administratorkonten ideal, um Unterstützung der größeren Gruppe von Benutzern für die Fehlerbehebung, Tests und Schulungsübungen zu erhalten. Weitere Informationen finden Sie unter Erstellen eines temporären Administratorkontos.

Hinzufügen, Bearbeiten und Löschen von AdministratorkontenWenn die Anzahl der Administratorkonten zunimmt, können Sie organisatorische Aufgaben ausführen, um Berechtigungen oder Rollen neu zuzuweisen, ein Kennwort zurückzusetzen oder Administratorkonten zu deaktivieren und zu löschen. Weitere Informationen finden Sie unter Verwalten von Administratorkonten.

Erstellen eines AdministratorkontosAdministratorkonten können über die Seite Administratorlistenansicht hinzugefügt werden, um Zugriff auf erweiterte Funktionen der Workspace ONE UEM Console zu gewähren. Jeder Administrator, der die Konsole verwaltet und überwacht, muss ein eigenes Konto besitzen.


VMware, Inc. 117

Verfahren

1 Navigieren Sie zu Konten > Administratoren > Listenansicht und wählen Sie Hinzufügen und anschließend Administrator hinzufügen. Die Seite Administrator hinzufügen/bearbeiten wird angezeigt.

2 Wählen Sie auf der Registerkarte Standard für die Einstellung Benutzertyp entweder Standard oder Verzeichnis.

n Füllen Sie bei Standard alle erforderlichen Felder auf der Registerkarte Standard aus, einschließlich Benutzername, Kennwort sowie Vor- und Nachname.

n Sie können die 2-Faktor-Authentifizierung aktivieren, bei der Sie zwischen E-Mail und SMS als Übermittlungsmethode und die Ablaufzeit für Token in Minuten wählen.

n Sie können auch zwischen „Keine“, „E-Mail“ und „SMS“ als Option für die Benachrichtigung wählen. Der Administrator erhält eine automatisch generierte Antwort.

n Geben Sie bei Verzeichnis die Domäne und den Benutzernamen des Administratorbenutzers ein.

3 Wählen Sie die Registerkarte Details und geben Sie gegebenenfalls weitere Informationen ein.

4 Wählen Sie die Registerkarte Rollen, die Organisationsgruppe und dann die Rolle, die Sie dem neuen Administrator zuweisen möchten. Weisen Sie mit der Schaltfläche Rolle hinzufügen neue Rollen hinzu.

5 Wählen Sie die Registerkarte API und dann den Authentifizierungstyp.

6 Wählen Sie die Registerkarte Hinweise, um für den Administratorbenutzer weitere Hinweise einzugeben.

7 Wählen Sie Speichern, um das Administratorkonto mit der zugewiesenen Rolle zu erstellen.

Erstellen eines temporären AdministratorkontosSie können vorübergehenden administrativen Zugriff auf Ihre Umgebung gewähren – zur Unterstützung, für Demos oder für andere zeitlich begrenzte Anwendungsfälle.

Verfahren

1 Navigieren Sie zu Konten > Administratoren > Listenansicht und wählen Sie Hinzufügen aus. Wählen Sie die Option Temporären Administrator hinzufügen.

Alternativ können Sie in der Kopfzeilenleiste oben rechts auf beinahe jeder Seite von Workspace ONE UEM auf die Schaltfläche Hilfe klicken und Temporären Administrator hinzufügen auswählen.


VMware, Inc. 118

2 Auf der Registerkarte Standard können Sie ein temporäres Administratorkonto basierend auf E-Mail-Adresse oder Benutzername hinzufügen und folgende Einstellungen bearbeiten.


E-Mail-Adresse Geben Sie die E-Mail-Adresse ein, auf der das temporäre Administratorkonto beruht. Dieses Feld ist nur verfügbar, wenn das Optionsfeld „E-Mail-Adresse“ aktiviert wurde.

Benutzername Geben Sie den Benutzernamen ein, auf dem das temporäre Administratorkonto beruht. Dieses Feld ist nur verfügbar, wenn das Optionsfeld „Benutzername“ aktiviert wurde.

Kennwort/Kennwort bestätigen

Geben Sie das der E-Mail-Adresse oder dem Benutzernamen entsprechende Kennwort ein und bestätigen Sie dieses.

Ablaufzeitraum Wählen Sie einen Ablaufzeitraum (standardmäßig 6 Stunden). Sie können dieses Dropdown-Menü auch auf Inaktiv stellen, um das Konto jetzt zu erstellen und später zu aktivieren.

Ticketnummer Wahlweise können Sie die ASK-Ticketnummer von ZenDesk als Referenzmarkierung hinzufügen.

3 Auf der Registerkarte Rollen können Sie Rollen bezüglich des temporären Administratorkontos hinzufügen, bearbeiten und löschen.

n Fügen Sie eine Rolle hinzu, indem Sie die Schaltfläche Rolle hinzufügen anklicken und anschließend die Organisationsgruppe und -rolle auswählen, für die das temporäre Administratorkonto bestimmt ist.

n Bearbeiten Sie eine vorhandene Rolle durch Auswahl des Symbols „Bearbeiten“ ( ) und wählen Sie eine andere -Organisationsgruppe und eine Rolle aus.

n Löschen Sie eine Rolle durch Auswahl des Symbols „Löschen“ ( ).


Verwalten von AdministratorkontenSie können zur fortlaufenden Verwaltung und Pflege von Administratorkonten Hauptverwaltungsfunktionen implementieren, indem Sie zu Konten > Administratoren > Listenansicht navigieren.

Zeigen Sie die Seite Administrator hinzufügen/bearbeiten durch Auswählen des Hypertextlinks in der Spalte Benutzername an. Durch diesen Link können Sie die aktuell zugewiesenen Rollen schnell aktualisieren oder schnell Rollen innerhalb Ihrer Organisation ändern, um die jeweiligen Berechtigungen auf dem laufenden Stand zu halten. Darüber hinaus können Sie allgemeine Administratorinformationen ändern und das Kennwort zurücksetzen.

Sie können die Liste von Administratoren filtern, um alle Rollen einzuschließen oder die Auflistung auf eine bestimmte Rolle zu beschränken.

Zeigen Sie die diesem Administrator zugeordneten Aktionsschaltflächen durch Auswählen des Optionsfelds neben dem Benutzernamen des Administrators an.

n Verlauf anzeigen – Behalten Sie im Auge, wann Administratoren sich bei der Workspace ONE UEM Console an- und abmelden.


VMware, Inc. 119

n Deaktivieren – Ändern Sie den Status eines Administratorkontos von aktiv auf inaktiv. Durch diese Funktion werden die Verwaltungsfunktionen und -berechtigungen vorübergehend aufgehoben. Gleichzeitig können Sie durch diese Funktion die festgelegten Rollen des Administratorkontos zur späteren Verwendung behalten.

n Aktivieren – Ändern Sie den Status eines Administratorkontos von inaktiv auf aktiv.

n Löschen – Entfernen Sie das Administratorkonto aus der UEM-Konsole. Eine solche Aktion ist hilfreich, wenn das Beschäftigungsverhältnis eines Administrators endet.

n Kennwort zurücksetzen – Nur für Basisadministratoren verfügbar. Sendet eine E-Mail an die verzeichnete E-Mail-Adresse des Basisadministrators. Die E-Mail enthält einen Link, der nach 48 Stunden abläuft. Um das Kennwort zurückzusetzen, muss der Basisadministrator den Link auswählen und die Frage zur Kennwortwiederherstellung beantworten. So kann der Basisadministrator sein eigenes Kennwort ändern.

Verzeichnisbasierte Administratoren müssen ihre Kennwörter mithilfe des Active Directory-Systems zurücksetzen.

Temporäre Administratoren können ihr Kennwort nicht zurücksetzen. Ein anderer Administrator muss das Konto des temporären Administrators löschen und danach neu erstellen.


VMware, Inc. 120

Rollenbasierter Zugriff 4Sie können Rollen erstellen, die bestimmte Arten von Zugriff auf die Workspace ONE UEM Console gewähren. Sie definieren Rollen für einzelne Benutzer und Gruppen basierend auf den Zugriffsebenen der UEM-Konsole, die Sie als hilfreich erachten.

Helpdesk-Administratoren beispielsweise haben in Ihrem Unternehmen möglicherweise beschränkten Zugriff innerhalb der Konsole – der IT-Manager hingegen einen größeren Umfang an Berechtigungen.

Um die rollenbasierte Zugriffssteuerung zu aktivieren, müssen Sie zuerst die Administrator- und Anwenderrollen in der UEM-Konsole festlegen. Diese Rollen werden durch bestimmte Ressourcen, auch als Berechtigungen bekannt, definiert, die den Zugriff auf verschiedene Funktionen in der UEM-Konsole aktivieren und deaktivieren. Rollen können auch für Endanwender, die Zugang zum Self-Service Portal benötigen, erstellt werden.

Da Rollen (und speziell Ressourcen oder Berechtigungen) bestimmen, welche Aufgaben von den Benutzern und Administratoren in der UEM-Konsole ausgeführt werden können, müssen Sie darauf achten, dass Sie die richtigen Ressourcen oder Berechtigungen gewähren. Wenn Sie beispielsweise verlangen möchten, dass Administratoren vor einer Enterprise-Löschung auf einem Gerät einen Hinweis eingeben sollen, muss die Rolle nicht nur über die Berechtigungen zur Enterprise-Löschung, sondern auch über die Berechtigung zum Hinzufügen einer Notiz verfügen.

Vergleichen von zwei AdministratorrollenDie Berechtigungen von zwei Administratorrollen können zu Zwecken der Genauigkeit oder zur Bestätigung beabsichtigter Berechtigungsunterschiede verglichen werden. Weitere Informationen finden Sie unter Vergleichen von Administratorrollen.


n Standard- und benutzerdefinierte Rollen

n Benutzerrollen

n Administratorrollen

Standard- und benutzerdefinierte RollenWorkspace ONE UEM stellt Ihnen bereits mehrere Standardrollen zur Auswahl zur Verfügung. Diese Standardrollen sind bei jeder Aktualisierung verfügbar und helfen dabei, Rollen neuen Benutzern schnell

VMware, Inc. 121

zuzuweisen. Sollten Sie weitere Einstellungen wünschen, können Sie benutzerdefinierte Rollen erstellen, um so Benutzerberechtigungen noch weiter anzupassen.

Anders als bei Standardrollen, erfordern benutzerdefinierte Rollen manuelle Aktualisierungen bei jedem Workspace ONE UEM Upgrade.

Jede Art von Rolle hat ihre eigenen Vor- und Nachteile. Standardrollen sparen Zeit bei der Neukonfiguration einer völlig neuen Rolle. Sie eignen sich für eine Reihe von administrativen Berechtigungen und werden automatisch neben neuen Funktionen und Einstellungen aktualisiert. Standardrollen sind jedoch möglicherweise nicht für Ihre Organisation oder Ihre MDM-Bereitstellung geeignet. Deshalb wurden benutzerdefinierte Rollen geschaffen.

Standardmäßige EndbenutzerrollenRollen sind standardmäßig für Endbenutzer in der Unified Enrollment Management-Konsole verfügbar.

n Vollzugriffsrolle – Erteilt volle Berechtigung, alle Aufgaben im Self-Service-Portal auszuführen.

n Standardzugriffsrolle – Erteilt alle Berechtigungen außer MDM-Befehle im Self-Service-Portal.

Benutzerdefinierte Rollen ermöglichen es Ihnen, so viele eindeutige Rollen anzupassen, wie Sie möchten, und große und kleine Änderungen über verschiedene Benutzer und Administratoren hinweg zu justieren. Benutzerdefinierte Rollen müssen jedoch mit der Zeit manuell gewartet und mit neuen Funktionen aktualisiert werden.

Bearbeiten einer standardmäßigen Endbenutzerrolle zur Erstellung einer Benutzerdefinierten BenutzerrolleSollten keine der verfügbaren Standardrollen eine für Ihre Organisation angemessene Rolle bieten, können Sie erwägen, eine vorhandene Benutzerrolle zu ändern und eine Benutzerdefinierte Benutzerrolle zu erstellen.

Erstellen Sie eine benutzerdefinierte Endbenutzerrolle, indem Sie eine Standardrolle der UEM-Konsole bearbeiten.

Verfahren

1 Stellen Sie sicher, dass Sie sich momentan in der Organisationsgruppe befinden, der Sie die neue Rolle zuordnen möchten.

2 Navigieren Sie zu Konten > Benutzer > Rollen.

3 Bestimmen Sie, welche Rolle von der Liste mit der zu erstellenden Rolle am ehesten übereinstimmt.

Bearbeiten Sie diese Rolle dann, indem Sie das Symbol „Bearbeiten“ ( ) rechts außen auswählen. Die Seite Rolle hinzufügen/bearbeiten wird angezeigt.

4 Bearbeiten Sie bei Bedarf Name, Beschreibung und Erste Zielseite. Prüfen Sie jedes einzelne Kontrollkästchen. Diese Optionen entsprechen den verschiedenen Berechtigungen. Aktivieren und deaktivieren Sie sie nach Bedarf.


VMware, Inc. 122

5 Wählen Sie Speichern, um Ihre Änderungen zu speichern. Dabei werden die vorherigen Einstellungen der Rolle zugunsten der neuen Einstellungen überschrieben.

StandardadministratorrollenFolgende Rollen sind standardmäßig für Administratoren in der Workspace ONE UEM Console verfügbar:

Vergleichen Sie mit dem Administratorrollen-Vergleichstool bestimmte Berechtigungen von zwei Administratorrollen. Weitere Informationen finden Sie unter Vergleichen von Administratorrollen.

Rolle Beschreibung

Systemadministrator Die Rolle „Systemadministrator“ bietet vollständigen Zugriff auf eine Workspace ONE UEM Umgebung. Sie gewährt Zugriff auf Kennwort- und Sicherheitseinstellungen, Sitzungsverwaltung und Auditinformationen der UEM-Konsole. Diese Informationen befinden sich auf der Registerkarte Administration unter Systemkonfiguration.

Diese Rolle ist auf Umgebungsmanager beschränkt, z. B. auf Teams für SaaS-Operationen, die für alle von VMware gehosteten SaaS-Umgebungen zuständig sind.

AirWatch Administrator Die Rolle „AirWatch Administrator“ ermöglicht umfangreichen Zugriff auf die Workspace ONE UEM Umgebung. Sie schließt die Registerkarte Administration unter Systemkonfiguration jedoch nicht mit ein, da diese Registerkarte Einstellungen der UEM-Konsole oberster Ebene verwaltet.

Diese Rolle ist auf VMware-Mitarbeiter beschränkt, die zu Fehlerbehebungs-, Installations- und Konfigurationszwecken auf Umgebungen zugreifen können.

Konsolenadministrator Die Rolle des Konsolenadministrators ist die Standard-Admin-Rolle für gemeinsam genutzte SaaS-Umgebungen. Dieser Rolle ist eine eingeschränkte Funktionalität rund um Konformitätsrichtlinienattribute, die Berichterstellung und die Organisationsgruppenauswahl zugewiesen.

Gerätemanager Die Rolle „Gerätemanager“ gewährt Benutzern umfassenden Zugriff auf die UEM-Konsole. Diese Rolle ist jedoch nicht zur Konfiguration der meisten Systemkonfigurationen gedacht. Zu diesen Konfigurationen zählen Active Directory (AD)/Lightweight Directory Access Protocol (LDAP), Simple Mail Transfer Protocol (SMTP), Agents usw. Verwenden Sie für diese Aufgaben eine hochrangige Rolle, wie AirWatch Administrator oder Systemadministrator.

Berichtsbetrachter Die Rolle „Berichtsbetrachter“ ermöglicht es, dass die über MDM (Mobile Device Management) erfassten Daten eingesehen werden. Diese Rolle beschränkt den Benutzer darin, Berichte von der UEM-Konsole aus zu generieren, einzusehen, zu exportieren und zu abonnieren.

Inhaltsverwaltung Die Rolle „Inhaltsverwaltung“ beschränkt den Zugriff auf die Verwaltung von VMware Content Locker. Verwenden Sie diese Rolle für spezialisierte Administratoren zum Upload und zur Verwaltung von Inhalten eines Geräts.

Verwaltung von Anwendungen

Die Rolle „App-Verwaltung“ ermöglicht Administratoren mit dieser Berechtigung die Bereitstellung und Verwaltung von internen und öffentlichen Apps einer Geräteflotte. Verwenden Sie diese Rolle für einen Administrator zur Anwendungsverwaltung.

Helpdesk Die Rolle „Helpdesk“ bietet Tools für die meisten IT-Helpdesk-Funktionen der Ebene 1. Das in dieser Rolle verfügbare, primäre Tool umfasst die Möglichkeit, mit Remoteaktionen Gerätedaten einzusehen und darauf entsprechend zu reagieren. Diese Rolle bietet auch die Möglichkeit, Berichte einzusehen und Geräte zu suchen.

Reiner App-Katalog-Administrator

Die Rolle „Reiner App-Katalog-Administrator“ weist im Großen und Ganzen dieselben Berechtigungen auf wie die Rolle „App-Verwaltung“. Neben diesen Berechtigungen sind Funktionen zum Hinzufügen und Verwalten von Administrator- und Benutzerkonten, Administrator- und Benutzergruppen, Gerätedetails sowie Tags vorhanden.


VMware, Inc. 123

Rolle Beschreibung

Schreibgeschützt Die Rolle „Schreibgeschützt“ bietet Zugriff auf die meisten Funktionen der UEM-Konsole, beschränkt den Zugriff allerdings auf schreibgeschützten Status. Verwenden Sie diese Rolle, um die vorhandenen Einstellungen in einer Workspace ONE UEM Umgebung zu überprüfen und zu erfassen. Für Systembetreiber oder -administratoren ist diese Rolle nicht geeignet.

Horizon Administrator Die Rolle „Horizon Administrator“ verfügt über einen speziell konfigurierten Satz von Berechtigungen, die als Ergänzung einer in VMware Horizon View integrierten Workspace ONE UEM Konfiguration dienen.

NSX-Administrator Die Rolle „NSX-Administrator“ verfügt über einen speziell konfigurierten Satz von Berechtigungen, die als Ergänzung einer in VMware NSX integrierten Workspace ONE UEM Konfiguration dienen. Diese Rolle stellt die ideale Ergänzung für die System- und Zertifikatsverwaltungsberechtigungen dar, durch die Administratoren Endpunktsicherheit durch Rechenzentrumssicherheit erreichen können.

Datenschutzadministrator Die Rolle „Datenschutzadministrator“ ermöglicht schreibgeschützten Zugriff auf die Monitor-Übersicht, die Gerätelistenansicht, die Anzeige der Systemeinstellung und vollständige Bearbeitungsberechtigungen für Datenschutzeinstellungen.

Erstellen einer Benutzerdefinierten Administratorrolle durch Bearbeiten einer StandardadministratorrolleSollten die verfügbaren Standardrollen keine für Administratorressourcen angemessene Rolle in Ihrer Organisation bieten, können Sie erwägen, eine vorhandene Standardrolle in eine Benutzerdefinierte Administratorrolle zu ändern.

Erstellen Sie eine benutzerdefinierte Administratorrolle, indem Sie eine Standardrolle der UEM-Konsole bearbeiten.

Verfahren

1 Stellen Sie sicher, dass Sie sich zurzeit in der Organisationsgruppe befinden, der Sie die neue Rolle zuordnen möchten.

2 Navigieren Sie zu Konten > Administratoren > Rollen.

3 Bestimmen Sie, welche Rolle von der Liste mit der zu erstellenden Rolle am ehesten übereinstimmt. Aktivieren Sie das Kontrollkästchen für diese Rolle.

4 Wählen Sie Kopieren aus dem Aktionsmenü über dem Eintrag. Die Seite Rolle kopieren wird angezeigt.

5 Bearbeiten Sie bestimmte Einstellungen der Kopie auf der folgenden Seite Rolle kopieren. Geben Sie einen eindeutigen Namen und eine Beschreibung für die Benutzerdefinierte Rolle ein.


Nächste Schritte

Weitere Informationen finden Sie unter Erstellen von Administratorrollen.


VMware, Inc. 124

BenutzerrollenDurch Benutzerrollen können Sie bestimmte Aktionen aktivieren bzw. deaktivieren, die angemeldete Benutzer durchführen können. Zu diesen Aktionen zählt die Steuerung des Zugriffs auf ein Geräte-Wipe oder eine Geräteabfrage sowie die Verwaltung privater Inhalte. Außerdem können Sie Startseiten anpassen und den Zugriff auf das Self-Service-Portal beschränken.

Bei der Erstellung von mehreren Benutzerrollen handelt es sich um eine zeitsparende Maßnahme. Sie können umfassende Konfigurationen über verschiedene Organisationsgruppen hinweg durchführen oder die Benutzerrolle für einen bestimmten Benutzer jederzeit ändern.

Erstellen einer neuen BenutzerrolleNeben den voreingestellten Standard- und Vollzugriffsrollen können Sie auch Benutzerdefinierte Rollen erstellen. Die Verfügbarkeit mehrerer Benutzerrollen fördert die Flexibilität und kann sich unter Umständen als zeitsparend erweisen, wenn neuen Benutzern Rollen zugewiesen werden.

Verfahren

1 Navigieren Sie zu Konten > Benutzer > Rollen und wählen Sie Rolle hinzufügen aus. Die Seite Rolle hinzufügen/bearbeiten wird angezeigt.

2 Geben Sie Name und Beschreibung ein und wählen Sie die erste Zielseite des SSP für Anwender mit dieser neuen Rolle.

Bei vorhandenen Benutzerrollen ist die erste Zielseite standardmäßig die Seite Eigene Geräte.

3 Wählen Sie aus einer Optionsliste die Zugriffs- und Steuerungsebene, über die Endbenutzer dieser zugewiesenen Rolle im SSP verfügen.

n Klicken Sie auf Keine auswählen, um alle Kontrollkästchen auf der Seite zu deaktivieren.

n Aktivieren Sie alle Kontrollkästchen auf der Seite, indem Sie auf Alle auswählen klicken.

4 Speichern Sie Ihre Änderungen an der Rolle. Die hinzugefügte Benutzerrolle wird nun in der Liste der Seite „Rollen“ angezeigt.

Nächste Schritte

Über die Seite „Rollen“ können Sie Rollen einsehen, bearbeiten oder löschen.

Konfigurieren einer StandardrolleEine Standardrolle ist die Basisrolle, auf der alle Benutzerrollen beruhen. Während der Konfiguration einer Standardrolle können Sie Berechtigungen festlegen, die die Benutzer dann automatisch beim Registrieren erhalten.

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte & Benutzer > Allgemein > Registrierung und wählen Sie den Tab Gruppierung aus.


VMware, Inc. 125

2 Konfigurieren Sie eine Standardebene für den Zugriff von Endbenutzern im Self-Service Portal (SSP), indem Sie eine Standardrolle auswählen.

Diese Rolleneinstellungen sind nach Organisationsgruppe anpassbar.

n Vollzugriff – Gibt Benutzern Zugriff auf höhere SSP-Funktionen wie Profile und Apps installieren und entfernen, Kennungen zurücksetzen, Gerätenachrichten senden sowie Schreibzugriff auf Inhalte.

n Standardzugriff – Gibt Benutzern Zugriff mit geringer Auswirkung. Sie können ihr eigenes Gerät registrieren, Profile und Apps anzeigen (aber nicht installieren), ihr Konto aufrufen und ihr Gerät abfragen und finden.

n Externer Zugriff – Benutzer mit externem Zugriff haben die Berechtigungen von Benutzern mit Standardzugriff und außerdem Lesezugriff auf SSP-Inhalte, die explizit für sie freigegeben wurden.


Zuweisen oder Bearbeiten der Rolle eines vorhandenen BenutzersSie können die Rolle für einen bestimmten Benutzer bearbeiten, beispielsweise, um Zugriff auf Workspace ONE UEM-Funktionen zu gewähren oder zu beschränken.

Verfahren

1 Wählen Sie die entsprechende Organisationsgruppe.

2 Navigieren Sie zu Konten > Benutzer > Listenansicht.

3 Suchen Sie nach dem jeweiligen Benutzer, den Sie auf der Liste bearbeiten möchten. Nachdem Sie den Benutzer identifiziert haben, wählen Sie das Bearbeitungssymbol unter dem Kontrollkästchen. Die Seite Benutzer hinzufügen/bearbeiten wird angezeigt.

4 Scrollen Sie auf der Registerkarte Allgemein zum Abschnitt Registrierung und wählen Sie eine Benutzerrolle aus diesem Dropdown-Menü aus, um die Rolle für diesen Benutzer zu ändern.


AdministratorrollenDurch Administratorrollen wird Ihnen die Aktivierung bzw. Deaktivierung von Berechtigungen für jede vorhandene Einstellung und Ressource in der UEM-Konsole ermöglicht. Diese Einstellungen gewähren oder beschränken Konsolenfunktionen für jedes Mitglied Ihres Administratorteams, wodurch Sie eine auf Ihre speziellen Bedürfnisse zugeschnittene Hierarchie an Administratoren schaffen können.

Bei der Erstellung von mehreren Administratorrollen handelt es sich um eine zeitsparende Maßnahme. Wenn Sie umfassende Konfigurationen über verschiedene Organisationsgruppen hinweg durchführen müssen, können Sie die Berechtigungen für einen bestimmten Administrator jederzeit ändern.


VMware, Inc. 126

Listenansicht von AdministratorrollenÜber die Listenansicht von Administratorrollen können Sie Ihre Rollenbibliothek für Ihre gesamte Administratorbasis hinzufügen, bearbeiten, vergleichen und verwalten.

Sie finden die Listenansicht von Administratorrollen, indem Sie zu Konten > Administratoren > Listenansicht navigieren.

Rolle hinzufügenErstellen Sie eine neue Administratorrolle, indem Sie die Schaltfläche Rolle hinzufügen auswählen. Weitere Informationen finden Sie unter Erstellen von Administratorrollen.

Rolle importieren und Rolle exportierenSie können eine Rolle importieren, die aus einer anderen Umgebung exportiert wurde. Sie können auch eine als XML-Datei gespeicherte Rolle an einen Speicherort auf Ihrem Gerät exportieren und zu einem späteren Zeitpunkt importieren. Wählen Sie die zu exportierende Rolle aus und klicken Sie auf die Schaltfläche Exportieren. Weitere Informationen finden Sie unter den folgenden Themen.

n Importieren von Administratorrollen

n Exportieren von Administratorrollen

n Probleme bei der Versionsverwaltung beim Import und Export von Administratorrollen

Rolle kopierenDurch Kopieren einer vorhandenen Rolle, einschließlich ihrer Berechtigungen, können Sie Zeit sparen. Weitere Informationen finden Sie unter Rolle kopieren.

Benutzer anzeigenDurch Klicken auf die Schaltfläche Benutzer anzeigen wird die Listenansicht sämtlicher Administratoren angezeigt. Aktivieren Sie das Kontrollkästchen links neben dem Rollennamen und wählen Sie dann die Schaltfläche Benutzer anzeigen.

Rolle löschenSie können nicht verwendete Rollen aus Ihrer Bibliothek von Administratorrollen löschen. Es kann keine Rolle gelöscht werden, die einem Administrator zugewiesen ist. Wählen Sie eine nicht zugewiesene Rolle aus, die gelöscht werden soll, und klicken Sie auf die Schaltfläche Löschen.

Rolle umbenennenVor dem Import einer Administratorrolle, die denselben Namen wie eine bereits vorhandene Administratorrolle aufweist, können Sie die bestehende Administratorrolle zuerst umbenennen. Weitere Informationen finden Sie unter Umbenennen einer Administratorrolle.


VMware, Inc. 127

Anzeigen der Ressourcen einer AdministratorrolleSie können alle Ressourcen oder Berechtigungen jeder beliebigen Administratorrolle anzeigen, einschließlich benutzerdefinierter und Standardrollen. Anhand dieser Ansicht können Sie ermitteln, welche Aufgaben ein Administrator in der UEM console ausführen kann. Weitere Informationen finden Sie unter Anzeigen der Ressourcen einer Administratorrolle.

Rolle bearbeitenSie können Name, Beschreibung und spezielle Berechtigungen einer vorhandenen Rolle bearbeiten. Wählen Sie das Stiftsymbol links neben dem Rollennamen aus der Liste aus, um den Bildschirm Rolle bearbeiten anzuzeigen. Dort können Sie Änderungen vornehmen.

Rollen vergleichenSie können überdies die einzelnen Berechtigungseinstellungen beider Rollen vergleichen. Weitere Informationen finden Sie unter Vergleichen von Administratorrollen.

Erstellen von AdministratorrollenSie können neue Administratorrollen zur Definition bestimmter Aufgaben erstellen, die bei Workspace ONE UEM durchgeführt werden können. Diese Rollen weisen Sie dann einzelnen Administratoren zu.

Verfahren

1 Navigieren Sie zu Konten > Administratoren > Rollen und wählen Sie in der UEM-Konsole Rolle hinzufügen aus.

2 Unter Rolle erstellen geben Sie Name und Beschreibung der Rolle ein.


VMware, Inc. 128

3 Treffen Sie Ihre Auswahl in der Liste der Kategorien.

Der Bereich Kategorien ordnet Kategorien der obersten Ebene, wie Geräteverwaltung; darunter finden Sie Unterkategorien, wie Anwendungen, Browser, Massenverwaltung usw. Diese Kategorieunterteilung ermöglicht einen schnellen und mühelosen Rollenerstellungsprozess. Neben allen Unterkategorieeinstellungen im rechten Fenster befinden sich die Kontrollkästchen Lesen und Bearbeiten.

Wenn Sie eine Auswahl im Abschnitt Kategorien treffen, wird der Bereich auf der rechten Seite mit den unterkategorisierten Inhalten (individuellen Einstellungen) aufgefüllt. Jede individuelle Einstellung verfügt über ihre eigenen Kontrollkästchen Lesen und Bearbeiten sowie über ein Kontrollkästchen für sowohl Lesen als auch Bearbeiten für die Gesamtauswahl in der Spaltenüberschrift. Durch diese Anordnung wird Ihnen eine flexible Steuerung und Anpassung beim Erstellen von Rollen ermöglicht.

Verwenden Sie das Textfeld Ressourcen durchsuchen, um die Anzahl der Ressourcen einzuschränken, aus denen Sie auswählen können. Ressourcen haben in der Regel dieselbe Bezeichnung wie in der UEM-Konsole selbst. Wenn Sie beispielsweise eine Admin-Rolle auf die Bearbeitung von Anwendungsprotokollen beschränken möchten, geben Sie „Anwendungsprotokolle“ im Feld Ressourcen durchsuchen ein. Daraufhin werden alle Ressourcen aufgelistet, die die Zeichenfolge „Anwendungsprotokolle“ enthalten.

4 Aktivieren Sie die entsprechenden Kontrollkästchen Lesen bzw. Bearbeiten in den entsprechenden Ressourcenoptionen. Sie können ausgewählte Ressourcen auch wieder deaktivieren.

5 Um eine generelle Kategorieauswahl zu treffen, wählen Sie Keine, Lesen oder Bearbeiten direkt im Abschnitt Kategorien, ohne das rechte Fenster je auszufüllen. Klicken Sie auf das runde Symbol rechts neben der Kategoriebezeichnung, welches ein Dropdown-Menü enthält. Verwenden Sie diese Auswahlmethode, wenn Sie sich absolut sicher sind, keine Funktionen, reine Lesefunktionen oder Bearbeitungsfunktionen für eine gesamte Kategorieeinstellung auswählen zu wollen.

6 Klicken Sie auf Speichern, um die Erstellung der Benutzerdefinierten Rolle abzuschließen. Sie können die hinzugefügte Rolle jetzt auch in der Liste auf der Seite Rollen sehen. In dieser Ansicht können Sie die Rollendetails bearbeiten oder die Rolle löschen.

Nächste Schritte

Sie müssen die benutzerdefinierte Rolle mit jeder neuen Workspace ONE UEM-Version aktualisieren, um die neuen Berechtigungen in der aktuellen Version mit einzubeziehen.

Importieren von AdministratorrollenSie können Administratorrollen, die aus anderen Umgebungen als XML-Datei gespeichert wurden, importieren, wodurch Administratorrollen zu portierbaren Ressourcen werden und Zeit gespart wird.


VMware, Inc. 129

Verfahren

1 Navigieren Sie zu Konten > Administratoren > Rollen und wählen Sie Rolle importieren.

2 Klicken Sie auf der Seite „Rolle importieren“ auf Browsen und suchen die vorher gespeicherte XML-Datei. Klicken Sie auf Hochladen, um die Administratorrolle zur Validierung in die Kategorieliste hochzuladen.

3 Workspace ONE UEM führt unter anderem Validierungsüberprüfungen für folgende Elemente durch: XML-Dateien, Import von Rollenberechtigungen, doppelte Rollennamen, fehlende Namen und fehlende Beschreibungen.

4 Überprüfen Sie die Ressourceneinstellungen und ihre importierten Rollenspezifikationen durch Auswählen bestimmter Kategorien in der Linken Anzeige.

5 Sie können gemäß Ihren Bedürfnissen die Ressourcen sowie Name und Beschreibung der importierten Rolle bearbeiten. Wenn Sie sowohl die bestehende als auch die importierte Rolle behalten wollen, müssen Sie vor dem Import der neuen Rolle die bestehende Administratorrolle umbenennen.

a Sollte die von Ihnen importierte Rolle denselben Namen tragen, wie eine bereits bestehende Rolle in Ihrer Umgebung, wird folgende Nachricht angezeigt. „Eine Rolle mit diesem Namen existiert bereits in dieser Umgebung. Möchten Sie die bestehende Rolle überschreiben?“

b Sollten Sie „Nein“ wählen, bleibt die bestehende Rolle in Ihrer Umgebung unberührt und der Import der neuen Rolle wird abgebrochen.

c Wählen Sie jedoch „Ja“, werden Sie zur Eingabe der Sicherheits-PIN aufgefordert, wonach nach korrekter Eingabe die bestehende Rolle durch die importierte Rolle ersetzt wird.

6 Wählen Sie Speichern, um die importierte Rolle auf die neue Umgebung anzuwenden.

Exportieren von AdministratorrollenAdministratorrollen können als XML-Datei exportiert und in andere Umgebungen importiert werden, wodurch Administratorrollen zu portierbaren Ressourcen werden und Zeit gespart wird.

Verfahren



VMware, Inc. 130

2 Aktivieren Sie das Kontrollkästchen neben der Administratorrolle, die Sie exportieren möchten. Dadurch werden Aktionsschaltflächen über dem Rolleneintrag angezeigt. Wenn Sie mehrere Administratorrollen auswählen, ist die Aktion „Exportieren“ nicht verfügbar.

3 Wählen Sie Exportieren und speichern Sie die XML-Datei an einem beliebigen Ort auf Ihrem Gerät.

Rolle kopierenDurch Kopieren einer vorhandenen Rolle können Sie Zeit sparen. Außerdem können Sie die Berechtigungen zum Kopieren ändern und unter einem anderen Namen speichern.

Verfahren

1 Aktivieren Sie das Kontrollkästchen neben der Rolle, die kopiert werden soll.

2 Klicken Sie auf die Schaltfläche Kopieren. Die Seite Rolle kopieren wird angezeigt.

3 Nehmen Sie die jeweiligen Änderungen an Kategorien, Name und Beschreibung vor.

4 Klicken Sie nach Abschluss auf Speichern.

Umbenennen einer AdministratorrolleVor dem Import einer Administratorrolle, die denselben Namen wie eine bereits vorhandene Administratorrolle aufweist, empfiehlt es sich, die bestehende Administratorrolle zuerst umzubenennen. Durch die Umbenennung einer Rolle können Sie sowohl die vorhandene als auch die neue Rolle in derselben Umgebung behalten.

Verfahren

1 Navigieren Sie zu Konten > Administratoren > Rollen und wählen Sie das Symbol Bearbeiten

( ) neben der Rolle, die Sie umbenennen möchten. Die Seite Rolle bearbeiten wird angezeigt.

2 Bearbeiten Sie den Namen der Rolle und optional die Beschreibung.


Probleme bei der Versionsverwaltung beim Import und Export von AdministratorrollenEs kann vorkommen, dass eine exportierte Rolle in eine Umgebung mit einer früheren Workspace ONE UEM Version importiert wird. Diese frühere Version verfügt dann möglicherweise nicht über dieselben Ressourcen und Berechtigungen, die die importierte Rolle aufweist.

In diesem Fall sendet Workspace ONE UEM Ihnen die folgende Nachricht:

Einige der Berechtigungen in dieser Umgebung können in Ihrer importierten Datei nicht gefunden werden. Prüfen und berichtigen Sie die hervorgehobenen Berechtigungen vor dem Speichern.

Nutzen Sie die Kategorielistenseite, um die Auswahl der hervorgehobenen Berechtigungen aufzuheben. Dadurch können Sie die Rolle in der neuen Umgebung speichern.


VMware, Inc. 131

Lese-/Bearbeitungsanzeige in Kategorien für AdministratorrollenIm Abschnitt Kategorien gibt es einen visuellen Indikator, der die momentane Auswahl „Nur lesen“, „Bearbeiten“ oder eine Kombination der Kategorien anzeigt. Dieser Indikator zeigt die Einstellung an, ohne dass Sie die einzelnen Unterkategorieeinstellungen öffnen und prüfen müssen.

Der Indikator ist mit einem runden Symbol rechts neben der Kategorieauflistung versehen, das Folgendes anzeigt.

Alle Optionen dieser Kategorie verfügen über die Bearbeitungsfunktion (und daher definitionsgemäß auch über die reine Lesefunktion).

Bei der Mehrzahl der Kategorieeinstellungen ist die Bearbeitungsfunktion aktiviert, wobei aber bei mindestens einer Unterkategorie die Bearbeitungsfunktion deaktiviert ist.

Bei allen Kategorieeinstellungen ist die reine Lesefunktion aktiviert (Bearbeitung deaktiviert).

Die Mehrzahl der Kategorieeinstellungen ist schreibgeschützt, wobei aber bei mindestens einer Unterkategorie die Bearbeitungsfunktion aktiviert ist.

Zuweisen oder Bearbeiten der Rolle eines AdministratorsSie können einem Administrator Rollen zuweisen und so seine Fähigkeiten innerhalb der Workspace ONE UEM Console erweitern. Sie können außerdem bestehende Rollen bearbeiten und somit deren Fähigkeiten potentiell einschränken oder erweitern.

Verfahren

1 Navigieren Sie zu Konten > Administratoren > Listenansicht, suchen Sie das Administratorkonto und wählen Sie das Bearbeitungssymbol unter den Aktionsschaltflächen aus. Die Seite Administrator hinzufügen/bearbeiten wird angezeigt.

2 Wählen Sie die Registerkarte Rollen. Wählen Sie dann Rolle hinzufügen.

3 Geben Sie die Details zur Organisationsgruppe und Rolle für jede hinzugefügte Rolle ein.


Anzeigen der Ressourcen einer AdministratorrolleDas Anzeigen der Liste der Ressourcen (oder Berechtigungen) kann Ihnen bei der Erstellung von Administratorrollen helfen, die festlegen, was ein Administrator in der UEM-Konsole tun darf und was nicht. In der Listenansicht der Administratorrollen können Sie alle Ressourcen jeder Administratorrolle überprüfen, einschließlich der benutzerdefinierten und Standardrollen.

Voraussetzungen

Rollen bestehen aus Hunderten von Ressourcen oder Berechtigungen, die als Zugriff (Lese- oder Bearbeitungszugriff) auf eine bestimmte Funktion in der UEM-Konsole dienen. Führen Sie zum Anzeigen der Ressourcen einer Admin-Rolle die folgenden Schritte aus.


VMware, Inc. 132

Verfahren


2 Suchen Sie nach der Admin-Rolle, deren Berechtigungen Sie anzeigen möchten. Wenn Sie über eine umfangreiche Bibliothek von Administratorrollen verfügen, verwenden Sie die Leiste Liste durchsuchen in der oberen rechten Ecke, um die Auflistung einzugrenzen.

3 Wählen Sie den Namen der Rolle, die als Link dargestellt wird. Daraufhin wird der Bildschirm Rolle anzeigen angezeigt, der alle Berechtigungen enthält, die der Rolle zugeordnet sind.

n Die Rollenkategorien werden im linken Fensterbereich aufgeführt. Möglicherweise gibt es Rollenunterkategorien, die Sie erweitern können, um sie anzuzeigen.

n Weitere Informationen zu den orangefarbenen grafischen Lese-/Bearbeitungsindikatoren auf diesem Bildschirm finden Sie unter Lese-/Bearbeitungsanzeige in Kategorien für Administratorrollen.

n Wählen Sie eine bestimmte Kategorie im linken Fensterbereich aus. Daraufhin werden die Kategorie, der Name und die Beschreibung für jede Ressource im rechten Fensterbereich angezeigt. Der Link Details ganz rechts informiert Sie über jede spezifische Lese- und Bearbeitungsfunktion in der UEM-Konsole.

n Sie können das Feld Ressourcen durchsuchen verwenden, um eine bestimmte Funktion nach ihrem Namen aufzurufen. Wenn Sie beispielsweise eine Administratorrolle anlegen möchten, die nur ein Tag zu einem Gerät hinzufügen kann, geben Sie im Feld Ressourcen durchsuchen das Wort „Tag“ ein und drücken Sie die Eingabetaste. Jede Ressource, die die Zeichenfolge „Tag“ enthält, wird im rechten Bereich angezeigt. Dies erleichtert die Suche nach der speziellen Tag-bezogenen Funktion und deren Zuweisung zu einer Rolle.

4 Sobald Sie mit der Prüfung der Administratorrollen fertig sind, wählen Sie Schließen.

Nächste Schritte

Sie können diese Schritte für das Anlegen eigener Rollen ausführen, indem Sie Erstellen von Administratorrollen aufrufen.

Administratorrollen-VergleichstoolBei der Erstellung einer Administratorrolle ist es oft einfacher, eine vorhandene Rolle zu ändern, als eine Administratorrolle neu zu erstellen. Das Rollenvergleichstool vereinfacht diesen Vorgang.

Mit dem Tool zum Vergleichen von Rollen können Sie die Unterschiede zwischen zwei Administratorrollen anzeigen lassen. Damit wird der Vergleich vereinfacht. Alternativ und nicht weniger wichtig können Sie zwei Administratorrollen auch auf bekannte Ähnlichkeiten vergleichen.

Vergleichen von AdministratorrollenDie Berechtigungseinstellungen zweier Administratorrollen können zu Zwecken der Genauigkeit oder zur Bestätigung Ihrer beabsichtigten Einstellungsunterschiede verglichen werden.


VMware, Inc. 133

Verfahren


2 Wählen Sie zwei beliebige aufgelistete Rollen, einschließlich Rollen, die auf verschiedenen Seiten angezeigt werden, und wählen Sie diese Rollen aus.

3 Wählen Sie Vergleichen. Die Seite Rollen vergleichen wird mit einer Liste an Kategorien angezeigt. Wählen Sie links eine bestimmte Kategorie, werden rechts alle Details zu dieser Kategorie angezeigt.

n Wenn Sie weniger oder mehr als zwei Rollen ausgewählt haben, wird die Schaltfläche Vergleichen nicht angezeigt.

n Im rechten Bedienfeld können Rollenunterkategorien eingesehen werden. Wählen Sie dazu rechts außen den Link Details. Reduzieren Sie die Rollenunterkategorie über den Link Ausblenden.

n Die Kategorie Alle im linken Fenster zeigt bei Auswahl alle übergeordneten Kategorien der Seite Rollen vergleichen. Wenn Sie in die Leiste Ressourcen durchsuchen einen Suchparameter eingeben, werden rechts nur die passenden Kategorien und Ressourcen (auch als Berechtigungen bekannt) aufgelistet.

n Die Suchfunktion ist persistent. Persistenz bedeutet, dass, solange die Leiste Ressourcen durchsuchen einen Parameter enthält, bei Auswahl der Kategorie Alle nur die übereinstimmenden Kategorien und Ressourcen angezeigt werden. Die Suchfunktion ist auch dann persistent, wenn Sie bestimmte Ressourcen wählen und Lesen und Bearbeiten ausgewählt haben.


VMware, Inc. 134

n Standardmäßig werden nur die Kategorien und Unterkategorien angezeigt, deren Einstellungen Unterschiede aufweisen. Sie können alle Berechtigungen anzeigen, einschließlich der Einstellungen, die bei beiden ausgewählten Rollen identisch sind, indem Sie das Kontrollkästchen Alle Berechtigungen anzeigen aktivieren.

n Falls Sie zwei Rollen mit flächendeckend identischen Berechtigungen wählen, zeigt die Konsole oben auf der Seite Rollen vergleichen folgende Meldung an:

„Es bestehen keine Unterschiede in den Berechtigungen zwischen den zwei Rollen.“.

Nächste Schritte

Sie können auch Exportieren auswählen, um eine CSV-Datei (Comma-Separated Values) zu erstellen, die mit Excel angezeigt werden kann. Die CSV-Datei enthält alle Einstellungen für die Rollen 1 und 2, womit Sie die Möglichkeit haben, die Unterschiede zwischen den Rollen zu analysieren.


VMware, Inc. 135

Gruppen 5Workspace ONE UEM verwendet verschiedene Arten von Gruppen, um Benutzer, Geräte, Apps, Inhalte und vieles mehr zu verwalten.


n Zuweisungsgruppen

n Organisationsgruppen

n Smartgroups

n Benutzergruppen

n Admin-Gruppen

n Zuweisungen anzeigen

ZuweisungsgruppenZuweisungsgruppen ist ein Oberbegriff, der zur Kategorisierung bestimmter Gruppierungsstrukturen für die Verwaltung in Workspace ONE UEM verwendet wird. Organisations-, Smart- und Benutzergruppen weisen eigene umfassende Funktionsgruppen und Eigenschaften auf und sind unverwechselbar. Ihre Gemeinsamkeit besteht in der Art und Weise, in der sie verwendet werden können, um mühelos Inhalte an Benutzergeräte zuzuweisen. Die Funktion „Zuweisungsgruppen“ ermöglicht einem Administrator die Verwaltung dieser drei Gruppierungsstrukturen von einer zentralen Stelle.

Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Zuweisungsgruppen.

VMware, Inc. 136

Über die Listenansicht können Sie mehrere Organisations-, Smart- und Benutzergruppen einem oder mehreren Profilen, öffentlichen Anwendungen und Richtlinien zuweisen.

Listenansicht für ZuweisungsgruppenDie Ansicht „Zuweisungsgruppen“ führt drei Arten von Gruppen auf, mit denen Geräten Inhalte zugewiesen werden: Organisationsgruppen, Smartgroups und Benutzergruppen. Sie können nur Listen von den Gruppen erstellen, an denen Sie interessiert sind.

Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Zuweisungsgruppen. Daraufhin wird die Listenansicht für Zuweisungsgruppen angezeigt. Die einzigen zur Anzeige aufgeführten Zuweisungsgruppen sind diejenigen, die von der OG verwaltet werden, in der sich der Administrator gerade befindet.

Sortieren nach SpaltenSie können die Auflistung der Gruppen nach individuellen Spalten sortieren, indem Sie die Spaltenüberschrift wählen.

Filtern von GruppenSie können Gruppen nach Gruppentyp (Smartgroups, Organisationsgruppen und Benutzergruppen) filtern und danach, wie und ob sie zugewiesen (Zuweisungen, Ausschlüsse, „Alle“ und „Keine“) wurden.

Auswählen von Links in der Auflistung der ZuweisungsgruppenVier Spalten auf der Seite der Zuweisungsgruppenauflistung dienen einer speziellen Funktion und sind gesondert zu erwähnen.

n Die Spalte Gruppen enthält einen Link für jede einzelne Smartgroup. Zur Bearbeitung der Smartgroup können Sie auf diesen Link klicken.


VMware, Inc. 137

n Wenn Sie die Spalte Zuweisungen wählen, und diese einen größeren Wert als Null enthält, wird die Seite „Zuweisungen anzeigen“ angezeigt, sogar für bereits zugewiesene Organisationsgruppen und Benutzergruppen. Durch diese Funktion haben Sie die Möglichkeit, Zuweisungen an Profile, öffentliche Anwendungen und Konformitätsrichtlinien einzusehen und zu bestätigen. Weitere Informationen finden Sie unter Zuweisungen anzeigen.

n Wenn Sie die Spalte Ausschlüsse wählen, und diese einen größeren Wert als Null enthält, wird die Seite „Zuweisungen anzeigen“ angezeigt, sogar für bereits zugewiesene Organisationsgruppen und Benutzergruppen. Durch die Seite „Zuweisungen anzeigen“ haben Sie die Möglichkeit, Ausschlüsse von Profilen, öffentlichen Anwendungen und Konformitätsrichtlinien einzusehen und zu bestätigen.

n Wird die Zahl der Spalte Geräte ausgewählt, wird die Seite „Gerätelistenansicht“ angezeigt. Die Gerätelistenansicht enthält die Liste aller Geräte in der ausgewählten Organisationsgruppe, Smartgroup oder Benutzergruppe. Weitere Informationen finden Sie in der Dokumentation zu Workspace ONE UEM unter „Verwalten von Geräten“.

Zuweisen einer oder mehrerer ZuweisungsgruppenSie können Geräteprofilen, öffentlichen Anwendungen und Konformitätsrichtlinien Gruppen zuweisen. Sie können auch mehrere Gruppen jedes einzelnen Typs (Organisation, Smart oder Benutzer) in einer einzelnen Sitzung zuweisen.

Zum Zuweisen von öffentlichen Anwendungen können Sie verschiedene Anwendungsrichtlinien für unterschiedliche Gruppen von Benutzern konfigurieren. Weitere Informationen finden Sie im Abschnitt Verwenden von flexibler Bereitstellung zur Zuweisung von Anwendungen im Leitfaden für VMware Workspace ONE UEM Mobile Application Management unter docs.vmware.com.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Zuweisungsgruppen.

2 Wählen Sie eine oder mehrere Gruppen in der Liste und dann die Schaltfläche Zuweisen über der Spaltenüberschrift.


VMware, Inc. 138

3 Auf der Seite Zuweisen werden die von Ihnen ausgewählten Organisationsgruppen, Smartgroups bzw. Benutzergruppen angezeigt.

4 Weisen Sie sie zu, indem Sie eine Suche nach einem Profil, einer öffentlichen Anwendung und einer Konformitätsrichtlinie starten. Sie können bis zu 10 Profile, bis zu 10 öffentliche Anwendungen und eine einzige Konformitätsrichtlinie auswählen.

Sie können lediglich mehrere Entitäten eines einzigen Typs pro Sitzung auswählen. Sie können z.B. in einem einzelnen Befehl mehrere Gruppen zu bis zu zehn verschiedenen Profilen zuweisen. Sie sollten jedoch in einem einzelnen Befehl nicht mehrere Gruppen zu zehn Profilen, zehn Anwendungen und zu einer Konformitätsrichtlinie zuweisen. Wenn mehrere Entitäten verschiedener Typen vorliegen, müssen Sie separate Zuweisungssitzungen für die einzelnen Typen durchführen ((Profile, Anwendungen und Richtlinien)) durchführen.

5 Wählen Sie Weiter, um die Seite Gerätezuweisung anzeigen einzublenden, über die Sie die Gruppenzuweisung bestätigen können.

6 Wählen Sie Speichern und veröffentlichen, um die Zuweisung abzuschließen.

OrganisationsgruppenStellen Sie sich Organisationsgruppen als einzelne Zweige an einem Stammbaum vor, wobei jedes Blatt für einen Gerätebenutzer steht. Workspace ONE UEM identifiziert jedes Blatt und legt dessen Position im Stammbaum mithilfe von Organisationsgruppen (OG) fest. Die meisten Kunden erstellen OG-Strukturen, die ihrer Unternehmenshierarchie ähneln: Unternehmensleitung, Management, Betrieb, Vertrieb usw.

OGs können auch auf Grundlage von Workspace ONE UEM Funktionen und Inhalten erstellt werden.

Sie können auf Organisationsgruppen über Gruppen & Einstellungen > Gruppen > Organisationsgruppen > Listenansicht oder über das Dropdown-Menü für Organisationsgruppen zugreifen.

n Erstellen Sie Gruppen für Entitäten in Ihrer Organisation (Management, Angestellte, Gewerbliche Mitarbeiter, Einzelhandel, Personalwesen, Führungskräfte usw.).

n Passen Sie Hierarchien mit über- und untergeordneten Ebenen an („Angestellte“ und „Gewerbliche Mitarbeiter“ z. B. als Elemente, die „Management“ untergeordnet sind).

n Führen Sie Integrationen in mehrere, interne Infrastrukturen auf der Stufenebene durch.

n Delegieren Sie rollenbasierten Zugriff und Verwaltung basierend auf einer mandantenfähigen Struktur.

Eigenschaften von OrganisationsgruppenOrganisationsgruppen können sich allen funktionalen, geographischen und organisatorischen Entitäten anpassen und eine mandantenfähige Lösung ermöglichen:

n Skalierbarkeit – Profitieren Sie von einem flexiblen Support für exponentielles Wachstum.

n Mandantenfähigkeit – Erstellen Sie Gruppen, die als unabhängige Umgebungen funktionieren.


VMware, Inc. 139

n Vererbung – Beschleunigen Sie den Einrichtungsvorgang, indem Sie festlegen, dass untergeordnete Gruppen übergeordnete Konfigurationen erben.

Im Beispiel des Dropdown-Menüs für Organisationsgruppen können alle Profile, Funktionen, Anwendungen und andere MDM-Einstellungen auf der obersten Ebene „World Wide Enterprises“ eingerichtet werden.

Dann werden die Einstellungen an die untergeordneten Organisationsgruppen wie Asia/Pacific und EMEA vererbt oder sogar an die noch weiter untergeordneten Gruppen wie Australia > Manufacturing Division oder Australia > Operations Division > Corporate.

Einstellungen zwischen Organisationsgruppen auf gleicher Ebene wie Asia/Pacific und EMEA nutzen den Vorteil der Mandantenfähigkeit von Organisationsgruppen, indem diese Einstellungen voneinander getrennt gehalten werden. Diese beiden Organisationsgruppen auf gleicher Ebene erben jedoch Einstellungen von ihrer übergeordneten Organisationsgruppe World Wide Enterprises.

Wahlweise können Sie Einstellungen auf einer unteren Ebene überschreiben und nur bestimmte Einstellungen ändern oder beibehalten. Diese Einstellungen können auf jeder Ebene geändert bzw. heruntergetragen werden.

Überlegungen zur Einrichtung von OrganisationsgruppenBevor Sie Ihre Organisationsgruppenhierarchie (OG) in der Workspace ONE UEM Console einrichten, sollten Sie zuerst die Gruppenstruktur bestimmen. Gruppenstrukturen ermöglichen Ihnen die bestmögliche Nutzung von Einstellungen, Anwendungen und Ressourcen.

n Delegierte Administration – Sie können die Administration von Untergruppen an Administratoren unterer Ebenen delegieren, indem Sie deren Sichtbarkeit auf eine untere Organisationsgruppe beschränken.


VMware, Inc. 140

n Unternehmensadministratoren haben hier Zugriff und können alles in der Umgebung sehen.

n Der LA-Manager hat Zugriff auf die LA-OG und kann nur diese Geräte verwalten.

n Der NY-Manager hat Zugriff auf die NY-OG und kann nur diese Geräte verwalten.

n Systemeinstellungen – Einstellungen können auf verschiedene Ebenen in der Organisationsgruppenstruktur angewendet und diesen vererbt werden. Sie können auch auf jeder Ebene überschrieben werden. Einstellungen sind beispielsweise Geräteregistrierungsoptionen, Authentifizierungsmethoden, Datenschutzeinstellungen und Branding.

n Unternehmen allgemein legt die Registrierung mit dem Active Directory-Server des Unternehmens fest.

n Geräte der Fahrer überschreiben die übergeordnete Authentifizierung und erlauben eine tokenbasierte Registrierung.

n Geräte der Warenhäuser erben die AD-Einstellungen von der übergeordneten Gruppe.

n Gerät – Anwendungsfall – Ein Profil kann einer oder mehreren Organisationsgruppen zugewiesen werden. Geräte in diesen Gruppen können dann dieses Profil annehmen. Weitere Informationen finden Sie im Abschnitt „Profile“. Vor der Erstellung von Organisationsgruppen sollten Sie die Konfiguration von Geräten mit Profil-, Anwendungs- und Inhaltseinstellungen nach Attributen erwägen, wie beispielsweise Gerätefabrikat und -modell, Besitztyp oder Benutzergruppen.

n Die Geräte der Geschäftsführer können keine Anwendungen installieren und haben Zugriff auf das WLAN-Vertriebsnetzwerk.

n Die Geräte der Vertriebsabteilung dürfen Anwendungen installieren und haben VPN-Zugriff.

Überschreiben vs. Vererben von Einstellungen bei OrganisationsgruppenDie Hierarchiestruktur der Organisationsgruppe (OG) legt fest, welche Organisationsgruppen untergeordnet und welche übergeordnet sind. Untergeordnete Organisationsgruppen erben Einstellungen von ihren übergeordneten OGs, Sie können diese Vererbung jedoch außer Kraft setzen.

Auf jeder Seite der Systemeinstellungen werden die Einstellungen anhand von zwei Vererbungs- bzw. Überschreiboptionen in Bezug auf die Hierarchie der Organisationsgruppe angewendet: 1) Aktuelle Einstellung und 2) Berechtigung für untergeordnete Elemente. Die OG, auf die Einstellungen angewendet werden, ist die OG, in der Sie sich gerade befinden.

Beispiel: Die Seite Branding-Einstellungen, die durch Navigation zu Gruppen & Einstellungen > Alle Einstellungen > System > Branding geöffnet wird, steuert alle benutzerdefinierten Hintergrundbilder, Logos und Farbschemata für die OG, die im Dropdown-Menü der Organisationsgruppe angezeigt wird.

Wenn Sie OGs ändern, haben Sie die Möglichkeit, ein neues Hintergrundbild, ein neues Logo oder ein anderes Farbschema zu importieren, die jeweils für die betreffende OG spezifisch sind. Diese Option wird aktiviert, indem die Vererbung der OGs auf der Seite „Einstellungen“ geändert wird.


VMware, Inc. 141

Berechtigung für untergeordnete Elemente

Sie können sich die Funktionsweise der Einstellung „Berechtigung für untergeordnete Elemente“ so vorstellen, dass sie die Haltung ausdrückt, die die übergeordnete OG gegenüber der untergeordneten OG einnimmt. Es gibt drei unterschiedliche Einstellungen für die Berechtigung für untergeordnete Elemente: Erben oder überschreiben, Nur erben und Nur überschreiben.

Die Einstellung Erben oder überschreiben bedeutet einfach, dass das übergeordnete Element keine Präferenz hinsichtlich der Berechtigungen des untergeordneten Elements hat. Wenn die Einstellung der übergeordneten OG für die „Berechtigung für untergeordnete Elemente“ Erben oder überschreiben ist, bestimmt die aktuelle Einstellung der untergeordneten OG, ob Einstellungen überschrieben oder vererbt werden. Für „Berechtigung für untergeordnete Elemente“ ist die Einstellung Erben oder überschreiben standardmäßig festgelegt.

Ist in der übergeordneten OG für „Berechtigung für untergeordnete Elemente“ die Einstellung Nur erben festgelegt, werden die Berechtigungen der übergeordneten OG auf alle untergeordneten OGs vererbt. Das bedeutet, dass alle untergeordneten Elemente dieselben Einstellungen haben wie das übergeordnete Element. Ist für „Berechtigung für untergeordnete Elemente“ die Einstellung Nur überschreiben festgelegt, werden die Einstellungen nicht an alle untergeordneten OGs vererbt, sodass Sie die spezifischen Einstellungen für die jeweilige untergeordnete OG konfigurieren müssen.

Die Einstellungen „Berechtigung für untergeordnete Elemente“ wirken sich nur auf das untergeordnete Element aus, das sich eine Ebene tiefer befindet. Die Einstellungen wirken sich nicht auf untergeordnete OGs zwei oder mehr Ebenen tiefer aus.

Aktuelle Einstellung

So wie „Berechtigung für untergeordnete Elemente“ die Haltung des übergeordneten Elements gegenüber dem untergeordneten Element ausdrückt, drückt die „Aktuelle Einstellung“ für eine OG die Haltung des untergeordneten Elements gegenüber seinem übergeordneten Element aus. Die aktuelle Einstellung einer OG kann nur Erben oder Überschreiben sein.

Ist für „Aktuelle Einstellung“ die Option Erben festgelegt, bedeutet das, dass die untergeordnete OG alle Einstellungen der übergeordneten OG akzeptiert. Wird für „Aktuelle Einstellung“ die Option Überschreiben ausgewählt, lehnt die untergeordnete OG die übergeordnete OG ab und ist eigenständig. Das bedeutet, dass Sie neue Einstellungen für die untergeordnete OG vornehmen können.

Sie können die „Aktuelle Einstellung“ einer OG nur dann ändern, wenn die Einstellung für „Berechtigung für untergeordnete Elemente“ der übergeordneten OG Erben oder überschreiben ist.

Ändern der Berechtigungseinstellungen

Sie können die „Aktuelle Einstellung“ eines untergeordneten Elements nicht ändern, wenn die Einstellung für „Berechtigung für untergeordnete Elemente“ des übergeordneten Elements dies nicht zulässt. Beispiel: Die Einstellung für „Berechtigung für untergeordnete Elemente“ der MomandDadOG ist Nur überschreiben. Sie können dann den Wert für „Aktuelle Einstellung“ in JuniorOG nicht in Erben ändern. Kurz gesagt: Die Einstellungen für „Berechtigung für untergeordnete Elemente“ der übergeordneten OG haben immer Vorrang.


VMware, Inc. 142

Wenn Sie den Wert für „Aktuelle Einstellung“ eines untergeordneten Elements von Überschreiben in Erben ändern und den Wert für „Berechtigung für untergeordnete Elemente“ des entsprechenden übergeordneten Elements in Nur erben ändern, hat dies den Effekt, dass die Einstellung „Berechtigung für untergeordnete Elemente“ der untergeordneten OG gesperrt wird, sodass Sie sie nicht ändern können. Dieses Verhalten gilt nicht, wenn die Einstellung für die untergeordnete OG nie überschrieben wird.

Um dieses Verhalten zu umgehen, müssen Sie die Einstellungen für Berechtigung für untergeordnete Elemente“ in der übergeordneten OG wieder zurück in Erben oder überschreiben ändern. Dadurch wird die Einstellung „Berechtigung für untergeordnete Elemente“ der übergeordneten OG entsperrt.

Die größere Strategie besteht also darin, die Konfiguration der Einstellungen für Vererbung und Überschreiben auf den jeweiligen OG-Ebenen gut im Voraus zu planen und solche Einstellungen zu wählen, die angesichts der gewünschten Hierarchiestruktur sinnvoll sind.

Vererbung, Mandantenfähigkeit und AuthentifizierungDas Konzept des Überschreibens von Einstellungen auf Basis einzelner Organisationsgruppen kann bei Kombination mit Organisationsgruppenmerkmalen, wie z. B. Vererbung und Mandantenfähigkeit, des Weiteren mit Authentifizierung kombiniert werden. Diese Kombination bietet die Möglichkeit flexibler Konfigurationen.

Das folgende Organisationsgruppenmodell veranschaulicht diese Flexibilität.

In diesem Modell sind Administratoren, die weitreichendere Berechtigungen haben und auf mehr Funktionen zugreifen können, oben in diesem OG-Zweig positioniert. Diese Administratoren melden sich bei ihren OG mithilfe der SAML an, die ausschließlich Administratoren zur Verfügung steht.

Unternehmensbenutzer sind Administratoren untergeordnet, sodass ihre OG ein untergeordnetes Element ist. Für SAML-Anmeldeeinstellungen von Benutzern, die keine Administratoren sind, können keine Administratoreinstellungen vererbt werden. Aus diesem Grund wird die SAML-Einstellung von Unternehmensbenutzern überschrieben.

BYOD-Benutzer unterscheiden sich von Unternehmensbenutzern. Geräte, die von BYOD-Benutzern verwendet werden, gehören den Benutzern selbst und enthalten in der Regel mehr persönliche Daten. Daher können für diese Geräteprofile leicht unterschiedliche Einstellungen erforderlich sein. BYOD-Benutzer verfügen möglicherweise über abweichende Nutzungsbedingungen. BYOD-Geräte benötigen möglicherweise andere Enterprise Wipe-Parameter. Aus allen diesen und anderen Gründen ist es für BYOD-Benutzer unter Umständen sinnvoll, sich über eine separate OG anzumelden.


VMware, Inc. 143

Und obwohl BYOD-Benutzer im Sinne der Unternehmenshierarchie Unternehmensbenutzern nicht untergeordnet sind, kann es Vorteile haben, sie Unternehmenswendern unterzuordnen. So erben BYOD-Benutzer Einstellungen, die für ALLE Geräte von Unternehmensbenutzern gelten, indem diese einfach auf die Unternehmensbenutzer-OG angewendet werden.

Die Vererbung gilt auch für SAML-Authentifizierungseinstellungen. Da BYOD-Benutzer eine untergeordnete Instanz von Unternehmensbenutzern sind, erben BYOD-Benutzer deren SAML für Benutzerauthentifizierungseinstellungen.

Ein alternatives Modell sieht vor, BYOD-Benutzer mit Unternehmensbenutzern gleichzustellen.

Bei diesem alternativen Modell gilt Folgendes:

n Alle Geräteprofile, die für ALLE Geräte gelten sollen, einschließlich Konformitätsrichtlinien und andere global anwendbare Geräteeinstellungen, werden auf zwei Organisationsgruppen anstatt nur auf eine angewendet. Diese Duplizierung ist deshalb erforderlich, weil die Vererbung von Unternehmensbenutzern an BYOD-Benutzer in diesem Modell kein Faktor mehr ist. Unternehmensbenutzer und BYOD-Benutzer sind gleichrangig, daher gibt es keine Vererbung.

n Bei BYOD-Benutzern muss die SAML erneut überschrieben werden. Diese Überschreibung ist erforderlich, da das System davon ausgeht, dass es SAML-Einstellungen von seinen übergeordneten Administratoren erbt. Eine derartige Annahme ist ein Fehler, da BYOD-Benutzer keine Administratoren sind und nicht über die gleichen Zugriffsrechte und Berechtigungen verfügen.

n BYOD-Benutzer werden weiterhin separat von Unternehmensbenutzern behandelt. Dieses alternative Modell sieht vor, dass sie weiterhin ihre eigenen Geräteprofileinstellungen haben.

Welcher Faktor legt fest, welches Modell das Beste ist? Vergleichen Sie die Anzahl der global geltenden Geräteeinstellungen mit der Anzahl der gruppenspezifischen Geräteeinstellungen. Wenn Sie alle Geräte in der Regel gleich behandeln möchten, sollten Sie BYOD-Benutzer Unternehmensbenutzern unterordnen. Wenn es wichtiger ist, separate Einstellungen beizubehalten, sollten Sie BYOD-Benutzer Unternehmensbenutzern gleichstellen.

Weitere Informationen finden Sie unter Enterprise-Löschung für BYOD-Geräte.

Ein detailliertes Beispiel der OG-Vererbung mit Registrierung finden Sie unter Verzeichnisdienst-Integration und Registrierungseinschränkungen.


VMware, Inc. 144

Erstellen von OrganisationsgruppenSie müssen eine Organisationsgruppe (OG) für jede Geschäftseinheit erstellen, in der Geräte eingesetzt werden. Die OG, in der Sie sich momentan befinden, ist die übergeordnete OG der Gruppe, die Sie gerade erstellen.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Organisationsgruppen > Details.

2 Über die Registerkarte Untergeordnete Organisationsgruppe hinzufügen können Sie folgende Einstellungen bearbeiten:


Name Geben Sie den Namen für die untergeordnete Organisationsgruppe (OG) ein, der angezeigt werden soll. Verwenden Sie nur alphanumerische Zeichen. Verwenden Sie keine Sonderzeichen.

Gruppen-ID Geben Sie eine Bezeichnung für die OG ein, die Endbenutzer bei der Geräteanmeldung angeben müssen. Gruppen-IDs werden während der Registrierung von Gruppengeräten in der entsprechenden OG verwendet.

Stellen Sie sicher, dass alle Benutzer, die Geräte gemeinsam nutzen, die Gruppen-ID erhalten, da diese möglicherweise zur Geräteanmeldung erforderlich ist (je nach Konfiguration der Gemeinschaftsgeräte).

Wenn Sie sich nicht in einer lokalen Umgebung befinden, identifiziert die Gruppen-ID Ihre Organisationsgruppe über die gesamte gemeinsam genutzte SaaS-Umgebung hinweg. Aus diesem Grund müssen alle Gruppen-IDs eindeutig benannt sein.

Typ Wählen Sie den vorkonfigurierten OG-Typ, der der Kategorie der untergeordneten OG entspricht.

Land Wählen Sie das Land der OG.

Gebietsschema Wählen Sie die Sprachenklassifikation für das ausgewählte Land.

Branche des Kunden Diese Einstellung ist nur verfügbar, wenn für Typ „Kunde“ gewählt ist. Wählen Sie eine Option aus der Liste mit Kundenbranchen.

Zeitzone Wählen Sie die Zeitzone für den Standort der Organisationsgruppe aus.


Organisationsgruppentyp – FunktionenDer Typ einer Organisationsgruppe kann die Fähigkeit eines Administrators, bestimmte Einstellungen zu konfigurieren, beeinflussen.

n Global – Die oberste Organisationsgruppe. Normalerweise ist dieser Gruppe der Name „Global“ und der Typ „Global“ zugewiesen.

n Bei gehosteten SaaS-Umgebungen ist kein Zugriff auf diese Gruppe möglich.

n Kunden vor Ort können eine ausführliche Protokollierung auf dieser Ebene aktivieren.

n Partner – Oberste Organisationsgruppe für Partner (Drittanbieter-Reseller von Workspace ONE UEM).


VMware, Inc. 145

n Kunde – Übergeordnete Organisationsgruppe für die einzelnen Kunden.

n Die Organisationsgruppe „Kunde“ darf keine untergeordneten/übergeordneten Organisationsgruppen des Typs „Kunde“ haben.

n Einige Einstellungen können nur bei einer Kundengruppe konfiguriert werden. Diese Einstellungen werden bis zu niedrigeren Organisationen gefiltert. Einige Beispiele für diese Einstellungen sind AutoErmittlungsdiscovery-E-Mail-Domänen, Einstellungen für das Volume Purchase Program, Programmeinstellungen für die Geräteregistrierung (vor AirWatch 8.0) und persönliche Inhalte.

n Container – – Der Standardtyp für die Organisationsgruppe.

n Allen Organisationsgruppen unterhalb einer Organisationsgruppe vom Typ „Kunde“ muss der Typ „Container“ zugewiesen sein. Sie können Container zwischen Partner- und Kundengruppen haben.

n Potenzieller Neukunde – – Potenzielle Kunden. Diese Gruppe ähnelt der Organisationsgruppe „Kunde“. Sie bietet möglicherweise weniger Funktionen als eine echte Kundengruppe.

Es sind noch weitere Organisationsgruppentypen wie etwa Abteilung oder Region verfügbar. Sie können aber auch Ihren eigenen Organisationsgruppentyp definieren. Diese Typen müssen keine bestimmten Merkmale aufweisen. Sie funktionieren genau wie der Organisationsgruppentyp „Container“.

Hinzufügen von Geräten auf globaler EbeneDie globale Organisationsgruppe (OG) ist für die Aufnahme von OGs vom Typ „Kunde“ und anderer Typen konzipiert. Wenn Sie Geräte zur globalen Ebene hinzufügen und die globale Ebene mit Einstellungen für diese Geräte konfigurieren, sind alle untergeordneten Kunden-OGs aufgrund der Funktionsweise der Vererbung ebenfalls davon betroffen. Dies reduziert die Vorteile bezüglich der Mandantenfähigkeit und Vererbung.

Weitere Informationen finden Sie unter Bedenken hinsichtlich der Geräteregistrierung auf globaler Ebene.

Organisationsgruppen – RestriktionenSollten Sie versuchen, eine Einstellung zu konfigurieren, die einer organisationsgruppenspezifischen Einschränkung unterliegt, werden Sie von den Einstellungsseiten unter Gruppen & Einstellungen > Alle Einstellungen über die Einschränkung informiert.

Die folgenden Restriktionen treffen auf die Erstellung von Organisationsgruppen der Kundenebene zu.

n Unabhängig davon, ob Sie sich in einer Software-as-a-Service(SaaS)- oder lokalen Umgebung befinden, können Sie keine geschachtelten Kunden-OGs erstellen.


VMware, Inc. 146

Einstellungsvergleich bei OrganisationsgruppenAls Administrator finden Sie es möglicherweise nützlich, die Einstellungen einer Organisationsgruppe (OG) mit denen einer anderen zu vergleichen.

Folgende Einstellungen sind bei einem Vergleich von OG-Einstellungen verfügbar.

n Laden Sie XML-Dateien mit OG-Einstellungen von verschiedenen Workspace ONE UEM Softwareversionen hoch.

n Beseitigen Sie die Möglichkeit, dass ein Unterschied in den Konfigurationen Probleme während der Versionsmigration verursachen könnte.

n Filtern Sie die Vergleichsergebnisse, sodass nur die für Sie wesentlichen Einstellungen angezeigt werden.

n Mit der Suchfunktion können Sie eine einzelne Einstellung nach Namen suchen.

Diese Vergleichsfunktion für Organisationsgruppen ist nur für lokale Kunden verfügbar.

Vergleichen zweier OrganisationsgruppenSie können die Einstellungen einer Organisationsgruppe mit der einer anderen vergleichen, um so durch Versionsmigration entstandene Probleme zu beheben.

Beispiel für eine Versionsmigration: Sobald der UAT-Server (User Acceptance Testing; Benutzerakzeptanztest) beispielsweise aktualisiert, konfiguriert und getestet wurde, können die UAT-Einstellungen direkt mit den Produktionseinstellungen verglichen werden.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Admin > Einstellungsverwaltung > Einstellungsvergleich.

2 Wählen Sie im linken Dropdown-Menü (mit der Zahl 1 gekennzeichnet) eine Organisationsgruppe in Ihrer Umgebung aus. Sie können die XML-Einstellungsdatei auch hochladen, indem Sie die Schaltfläche Hochladen wählen und eine exportierte OG-XML-Einstellungsdatei auswählen.

3 Wählen Sie im rechten Dropdown-Menü (mit der Zahl 2 gekennzeichnet) die OG, mit der Sie den Vergleich durchführen möchten.

4 Zeigen Sie eine Liste aller Einstellungen für die beiden ausgewählten Organisationsgruppen an, indem Sie die Schaltfläche zum Aktualisieren auswählen.

n Unterschiede zwischen den beiden Sätzen an OG-Einstellungen werden automatisch hervorgehoben.

n Sie können optional das Kontrollkästchen Nur Unterschiede anzeigen aktivieren. Dieses zeigt nur solche Einstellungen an, die nur für eine OG gelten, aber nicht für die andere.

n Leere (oder nicht festgelegte) individuelle Einstellungen werden in der Vergleichsauflistung als „NULL“ angezeigt.


VMware, Inc. 147

SmartgroupsSmartgroups sind anpassbare Gruppen, die bestimmen, welche Plattformen, Geräte und Benutzer eine zugewiesene Anwendung, ein Buch, eine Konformitätsrichtlinie, ein Geräteprofil oder eine Bereitstellung erhalten.

Wenn Sie Organisationsgruppen erstellen, basieren diese in der Regel auf der internen Unternehmensstruktur: geographischer Standort, Geschäftseinheit und Abteilung. Beispiele: „Umsatz Norden“, „Mitarbeiter Süden“. Smartgroups bieten jedoch die Flexibilität, Inhalte und Einstellungen nach Geräteplattform, Modell, Betriebssystem, Gerätetag oder Benutzergruppe bereitzustellen. Sie können sogar Inhalte für einzelne Benutzer über mehrere Organisationsgruppen hinweg bereitstellen.

Sie können Smartgroups beim Upload von Inhalten und Festlegen von Einstellungen erstellen. Aufgrund ihrer modularen Natur können Sie natürlich auch zu jeder beliebigen Zeit zur späteren Zuweisung erstellen.

Der Hauptvorteil von Smartgroups liegt in ihrer Wiederverwendbarkeit. Es kann sich als praktisch erweisen, stets eine neue Zuweisung vorzunehmen, wenn Sie Inhalte hinzufügen oder ein Profil bzw. eine Richtlinie definieren. Wenn Sie stattdessen nur einmal Zuweisende für Smartgroups festlegen, können Sie diese Smartgroups mühelos in Ihrer Inhaltsdefinition einschließen.

Erstellen und Zuweisen einer SmartgroupSie können eine Smartgroup erstellen, die nach Plattform, Besitz, Benutzergruppe, Betriebssystemversion, Modell, Gerätetag, Enterprise-OEM und sogar nach einzelnen Geräten über den Anzeigenamen definiert ist.

Beispielsweise können Sie eine Smartgroup erstellen, die alle mitarbeitereigenen iPhone Touch-Geräte mit iOS-Version vor 9.0.2 enthält. Fügen Sie dieser Smartgroup alle Android-Geräte mit HTC Version 2.0 und OS Version 4.1 oder höher hinzu. Aus dieser Gruppe können Sie Geräte in der Benutzergruppe „Vollzeit“ ausschließen. Diesem hochgradig angepassten Pool von *Geräten können Sie 10 Geräteprofile, 10 Anwendungen oder eine Konformitätsrichtlinie zuweisen.

*Möglicherweise gelten gewisse Einschränkungen aufgrund der auf mehrere Plattformen ausgelegten Beschaffenheit dieses angepassten Gerätepools. Beispielsweise kann es Apps geben, die Sie zuweisen möchten, die jedoch keine Android-Version anbieten.

Sie können eine Smartgroup auf zwei Arten zuweisen. Erstens über die Listenansicht der Zuweisungsgruppen nach dem Speichern der Smartgroup. Zweitens über die Einstellung für Zuweisungsgruppen, die in den Anzeigen für die Erstellung mehrerer Geräteprodukte verfügbar ist.

Erstellen einer SmartgroupBevor Sie eine Smartgroup an eine Anwendung, ein Buch, eine Konformitätsrichtlinie, ein Geräteprofil oder ein Produkt zuweisen können, müssen Sie zuerst eine erstellen.

Verfahren

1 Wählen Sie die entsprechende Organisationsgruppe (OG), auf die Ihre neue Smartgroup angewendet und von der diese verwaltet werden kann. Die Auswahl einer OG ist optional.


VMware, Inc. 148

2 Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Zuweisungsgruppen und wählen Sie dann Smartgroup hinzufügen.

3 Geben Sie einen Namen für die Smartgroup ein.

4 Optional können Sie die Option Gerätevorschau aktivieren, um die Geräte anzuzeigen, die in der von Ihnen entworfenen Smartgroup enthalten sind. Diese Gerätevorschau ist standardmäßig deaktiviert, um die Leistung zu verbessern.

5 Konfigurieren Sie den Typ der Smartgroup.

n Kriterien

Die Option Kriterien funktioniert am besten bei großen Gruppen mit vielen Geräten (mehr als 500 Geräte), die allgemeine Updates erhalten. Diese Methode funktioniert am besten, da die inhärenten Details dieser Gruppen an sämtliche Endpunkte Ihrer Mobilgeräteflotte ausgegeben werden können.

n Geräte oder Benutzer

Die Option Geräte oder Benutzer funktioniert am besten bei kleineren Gruppen mit wenigen Geräten (500 Geräte oder weniger), die nur vereinzelte, aber wichtige Updates erhalten. Diese Methode funktioniert aufgrund der granularen Ebene, auf der Sie Gruppenmitglieder auswählen können, am besten.


VMware, Inc. 149

Beim Umschalten zwischen Kriterien und Geräte oder Benutzer werden sämtliche bisher vorgenommenen Eingaben und Auswahlen gelöscht.

a Wählen Sie im Typ Kriterien qualifizierende Parameter, die in der Smartgroup hinzugefügt werden sollen. Wenn in einer Einstellung keine Auswahl getroffen wird, wird dieser Filter nicht als Kriterium angewendet.


Organisationsgruppe Diese Kriterienoption filtert Geräte nach ausgewählten Organisationsgruppen. Sie können mehr als eine OG auswählen.

Benutzergruppe Diese Kriterienoption filtert Geräte nach ausgewählten Benutzergruppen. Sie können mehr als eine Benutzergruppe auswählen.

Zuständigkeit Diese Kriterienoption filtert Geräte nach ausgewähltem Zuständigkeitstyp.

Tags Diese Kriterienoption filtert Geräte entsprechend Ihres Taggings. Sie können mehr als ein Tag auswählen.

Plattform und Betriebssystem Diese Kriterienoption filtert Geräte nach ausgewählter Plattform und ausgewähltem Betriebssystem. Sie können jeweils mehrere Kombinationen auswählen.

Obwohl „Plattform“ ein Kriterium in einer Smartgroup ist, hat die im Geräteprofil oder in der Konformitätsrichtlinie konfigurierte Plattform immer Vorrang vor der Plattform der Smartgroup. Wird beispielsweise ein Geräteprofil für die iOS-Plattform erstellt, wird dieses Profil nur an iOS-Geräte zugewiesen, auch wenn die Smartgroup Android-Geräte enthält.

Modell Diese Kriterienoption filtert Geräte nach Gerätemodell. Einzelne angezeigte Modelle basieren auf der getroffenen Auswahl in Plattform und Betriebssystem. Sie können Einträge in dieser Liste der Modelle wählen (oder ausschließen).

Enterprise-OEM-Version Diese Kriterienoption filtert Geräte nach ihrer Originalgeräte-Herstellerversion. Sie können mehr als einen OEM-Wert auswählen.

Verwaltungstyp Filtern Sie Geräte nach der Art und Weise, in der das Gerät verwaltet wird.

Registrierungskategorie Filtern Sie Geräte nach der Art und Weise, in der das Gerät registriert ist.

Hinzufügungen Diese Kriterienoption fügt einzelne Geräte und Benutzer hinzu, die nicht in den Filterkriterien enthalten sind. Sie können mehrere Geräte und mehrere Benutzer auswählen.

Ausschlüsse Diese Kriterienoption schließt Einzelgeräte, einzelne Benutzer und Benutzergruppen aus, die in den Filterkriterien enthalten sind. Sie können mehr als ein Gerät, mehr als einen Benutzer und mehr als eine Benutzergruppe ausschließen.


VMware, Inc. 150

b Verwenden Sie den Typ Geräte oder Benutzer, um Inhalte und Einstellungen für bestimmte Fälle außerhalb der allgemeinen Unternehmensmobilitätskriterien zuzuweisen. Geben Sie den freundlichen Namen des Geräts unter Geräte und den Benutzernamen (Vor- oder Nachnamen) unter Benutzer ein. Sie müssen mindestens ein Gerät oder Benutzer hinzufügen, bevor Sie die Smartgroup speichern können.


Geräte Fügen Sie dieser Smartgroup ein Gerät hinzu, indem Sie den Anzeigenamen des Geräts eingeben. Sie können mit dieser Methode mehr als ein Gerät hinzufügen.

benutzer Fügen Sie dieser Smartgroup Benutzer hinzu, indem Sie den Benutzernamen, den Vornamen oder den Nachnamen eingeben. Sie können mit dieser Methode mehr als einen Benutzer hinzufügen.

6 Klicken Sie abschließend auf Speichern.

Smartgroup-ZuweisungNachdem Sie die Smartgroup erstellt haben, die Benutzer und deren Geräte repräsentiert, müssen Sie diese mindestens einem Geräteprodukt zuweisen, bevor sie wirksam werden kann. Sie können sie einer Anwendung, einem Buch, einer Konformitätsrichtlinie, einem Geräteprofil oder einer Produktbereitstellung zuweisen.

Es gibt zwei Methoden für die Zuweisung einer Smartgroup: Zuweisung einer Smartgroup beim Erstellen des Geräteprodukts und Zuweisung einer Smartgroup beim Verwalten der Smartgroup selbst.

Zuweisen einer Smartgroup während der Erstellung eines GeräteproduktsSie können eine Smartgroup zuweisen, wenn Sie eine Anwendung, ein Buch, eine Konformitätsrichtlinie, ein Geräteprofil oder eine Produktbereitstellung hinzufügen oder erstellen.

Verfahren

1 Bearbeiten Sie das Dropdown-Menü Zugewiesene Gruppen.

2 Wählen Sie eine Smartgroup aus dem Dropdown-Menü aus. Die verfügbaren Smartgroups werden nur in der Organisationsgruppe (OG) verwaltet, zu der die Ressource hinzugefügt wird, bzw. einer ihr untergeordneten OG.

3 Entspricht keine der Smartgroups den gewünschten Zuweisungskriterien, wählen Sie die Option Smartgroup erstellen. Sie können mehr als eine Smartgroup pro Anwendung, Buch, Konformitätsrichtlinie, Geräteprofil oder Produktbereitstellung zuweisen.

4 Wählen Sie Speichern, um die Zuweisung einzubeziehen.

Zuweisen einer Smartgroup während der Verwaltung der SmartgroupSie haben außerdem die Möglichkeit, eine Smartgroup während der Verwaltung dieser Smartgroup zuzuweisen.


VMware, Inc. 151

Verfahren

1 Navigieren Sie zu Gruppen & Einstellungen > Gruppen > Zuweisungsgruppen, um die vollständige Liste aller Smartgroups einzusehen.

2 Wählen Sie eine oder mehrere Smartgroups aus, die Sie zuweisen möchten, und dann die Schaltfläche Zuweisen. Daraufhin wird die Seite Zuweisen angezeigt. Wählen Sie den Link „Gruppe(n)“ in der oberen Leiste auf der Seite Zuweisen, um die Seite Gruppen anzuzeigen. Auf dieser Seite werden die Organisationsgruppen, die die Smartgroups verwalten, angezeigt. Kehren Sie zur Seite „Zuweisen“ zurück, indem Sie die Schaltfläche Schließen wählen.

3 Verwenden Sie auf der Seite Zuweisen das Suchfeld, um die Liste der infrage kommenden Produkte einzusehen und diese den ausgewählten Smartgroups zuzuweisen.

4 Wählen Sie Weiter, um die Seite Gerätezuweisung anzeigen einzublenden und den Zuweisungsstatus zu bestätigen.

5 Wählen Sie Speichern und veröffentlichen.

Ausschließen von Gruppen aus Profilen und RichtlinienSie können Gruppen von der Zuweisung von Geräteprofilen und Konformitätsrichtlinien genauso leicht ausschließen wie Sie Gruppen diesen Geräteprodukten zuweisen.

Voraussetzungen

Bevor Sie diese Aufgabe starten, müssen die Gruppen definiert sein. Sie müssen mindestens in der Lage sein, eine Smartgroup aus den Benutzern zu erstellen, die Sie ausschließen möchten. Diese Aufgabe ermöglicht es Ihnen, ohne Vorbereitung eine neue Smartgroup zu erstellen. Wenn Sie aber eine Organisationsgruppe oder Benutzergruppe ausschließen möchten, sehen Sie unter Erstellen von Organisationsgruppen, Hinzufügen von Benutzergruppen mit Verzeichnisintegration bzw. Hinzufügen von Benutzergruppen ohne Verzeichnisintegration (benutzerdefiniert) nach.

Verfahren

1 Wählen Sie beim Hinzufügen eines neuen Geräteprofils oder einer neuen Konformitätsrichtlinie die Option Ja neben der Einstellung Ausschlüsse, um die Option Ausgeschlossene Gruppen anzuzeigen.

2 Wählen Sie in der Einstellung Ausgeschlossene Gruppen die Gruppen aus, die Sie von der Zuweisung dieses Profils oder dieser Richtlinie ausschließen möchten.

n Sie können die ersten Buchstaben des Gruppennamens eingeben. Die Funktion für die automatische Suche zeigt daraufhin alle Gruppen an, deren Name der von Ihnen eingegebenen Zeichenfolge entspricht.

n Sie können eine oder mehrere Organisationsgruppen, Benutzergruppen oder Smartgroups auswählen.

n Alternativ können Sie durch Klicken auf die Schaltfläche Smartgroup erstellen eine neue Smartgroup erstellen.


VMware, Inc. 152

3 Wählen Sie Speichern und veröffentlichen (für Geräteprofile) oder Weiter (für Konformitätsrichtlinien) und setzen Sie den Vorgang für diese Aufgaben fort.

Ergebnisse

Falls Sie dieselbe Smartgroup sowohl in der Einstellung Zugewiesene Gruppen als auch in Ausgeschlossene Gruppen auswählen, kann das Profil oder die Richtlinie nicht gespeichert werden.

Beispiel

Sie möchten, dass eine Konformitätsrichtlinie für alle Gerätebenutzer außer Führungskräften gilt.

Nächste Schritte

Sehen Sie die betroffenen Geräte durch die Auswahl von Gerätezuweisung anzeigen im Voraus ein.

Listenansicht für SmartgroupsVerwalten Sie Ihre Smartgroups mit der Workspace ONE UEM Console. Dort können Sie Smartgroups bearbeiten, zuweisen, ausschließen, löschen und Zuweisungen von Smartgroups aufheben.

Navigieren Sie zu Gruppen & Einstellungen > Gruppen > Zuweisungsgruppen, um die vollständige Liste aller Smartgroups einzusehen. Administratoren haben nur Einsicht auf die Gruppen, die sie auf Grundlage ihrer Berechtigungseinstellungen verwalten können.

In den Spalten Gruppen, Zuweisungen, Ausschlüsse und Geräte finden Sie Links, die Ihnen bei Auswahl Ansicht auf detaillierte Informationen gewähren.

n Über die Links in den Spalten Zuweisungen oder Ausschlüsse gelangen Sie zur Seite Smartgoup-Zuweisungen anzeigen.

n Über einen Link in der Spalte Geräte laden Sie die Seite Geräte > Listenansicht mit ausschließlich in der Smartgroup enthaltenen Geräten hoch.

n Sie können Ihre Sammlung von Gruppen nach Gruppentyp (Smart, Organisation, Benutzer oder alle) oder nach dem Status Zugewiesenfiltern. Der Status „Zugewiesen“ gibt an, ob die Gruppe zugewiesen oder ausgeschlossen ist bzw. beide Status oder keines dieser Status aufweist.


VMware, Inc. 153

n Sie können eine Smartgroup direkt vom Eintrag aus zuweisen.

Bearbeiten von SmartgroupsSie können eine eingerichtete Smartgroup bearbeiten. Alle Änderungen, die Sie auf eine Smartgroup anwenden, wirken sich auf alle Richtlinien und Profile aus, denen diese Smartgroup zugewiesen wird.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Zuweisungsgruppen.

2 Wählen Sie das Symbol Bearbeiten ( ), das sich links neben der aufgelisteten Smartgroup befindet, die Sie bearbeiten möchten. Sie können auch den Namen der Smartgroup in der Spalte Gruppe auswählen. Die Seite Smartgroup bearbeiten erscheint samt vorhandenen Einstellungen.

3 Ändern Sie auf der Seite Smartgroup bearbeiten die Option Kriterien oder Geräte und Benutzer (je nachdem, unter welchem Typ die Smartgroup gespeichert wurde). Wählen Sie danach Weiter.

4 Auf der Seite Zuweisungen anzeigen können Sie prüfen, welche Profile, Anwendungen, Bücher, Bereitstellungen und Richtlinien dadurch dem Gerät hinzugefügt oder vom Gerät entfernt werden können.

5 Wählen Sie Veröffentlichen, um Ihre Änderungen an der Smartgroup zu speichern. Alle Profile, Anwendungen, Bücher, Bereitstellungen und Richtlinien, die zu dieser Smartgroup gehören, ändern auf Basis dieser Bearbeitung ihre Gerätezuweisungen.

Ergebnisse

Das Konsolenereignis-Protokollmodul verfolgt Änderungen an den Smartgruppen, wie hinsichtlich des Autors der Änderungen, der hinzugefügten Geräte sowie der entfernten Geräte.

Beispiel

Hier ist ein typisches Beispiel für die Notwendigkeit, eine Smartgroup zu bearbeiten. Eine Smartgroup für Führungskräfte wird einer Konformitätsrichtlinie, einem Geräteprofil und zwei internen Anwendungen zugewiesen. Wenn Sie einige der Führungskräfte von einem oder mehreren der zugewiesenen Inhaltselemente ausschließen möchten, bearbeiten Sie einfach die Smartgroup, indem Sie Ausschlüsse angeben. Diese Aktion bewirkt, dass weder die beiden internen Anwendungen noch die Konformitätsrichtlinie und das Geräteprofil auf den Geräten der ausgeschlossenen Führungskräfte installiert werden.

Löschen einer SmartgroupWenn Sie für eine Smartgroup keine weitere Verwendung haben, können Sie diese löschen.

Sie können nur jeweils eine Smartgroup löschen. Bei Auswahl von mehr als einer Smartgroup wird die Schaltfläche Löschen deaktiviert.

Voraussetzungen

Die Smartgroup kann keinem Geräteprodukt zugewiesen werden. Wenn eine Smartgroup zugewiesen ist, dürfen Sie diese nicht löschen. Siehe Aufheben der Zuweisung einer Smartgroup.


VMware, Inc. 154

Verfahren

1 Navigieren Sie zu Gruppen & Einstellungen > Gruppen > Zuweisungsgruppen und suchen Sie die Smartgroup, die aus der Liste gelöscht werden soll.

2 Aktivieren Sie das Kontrollkästchen links neben der Smartgroup, die Sie löschen möchten.

3 Wählen Sie Löschen aus dem angezeigten Menü „Aktionen“.

Ergebnisse

Die nicht zugewiesene Smartgroup wurde entfernt.

Aufheben der Zuweisung einer SmartgroupSie können die Zuweisung einer Smartgroup von einer Anwendung, einem Buch, Kanal, Profil, Produkt oder einer Richtlinie aufheben. Durch diese Aktion werden die entsprechenden Inhalte von allen Geräten in der Smartgroup entfernt.

Verfahren

1 Heben Sie die Zuweisung einer Smartgroup zu Anwendungen, Büchern, Konformitätsrichtlinien, Geräteprofilen oder Produktbereitstellungen auf. Folgen sie den angezeigten Navigationspfaden.

n Anwendungen – Navigieren Sie zu Apps & Bücher > Anwendungen > Listenansicht und wählen Sie die Registerkarte Öffentlich oder Intern aus.

n Bücher – Navigieren Sie zu Apps & Bücher > Bücher > Listenansicht und wählen Sie die Registerkarte Öffentlich, Intern oder Web aus.

n Kanäle – Navigieren Sie zu Inhalt > Video > Kanäle.

n Konformitätsrichtlinien – Navigieren Sie zu Geräte > Konformitätsrichtlinien > Listenansicht.

n Geräteprofil – Navigieren Sie zu Geräte > Profile und Ressourcen > Profile.

n Produktbereitstellung – Navigieren Sie zu Geräte > Provisioning > Produkte > Listenansicht.

2 Machen Sie den Inhalt oder die Einstellung in der Liste ausfindig und wählen Sie das Symbol

Bearbeiten ( ) im Menü „Aktionen“.

3 Wählen Sie die Registerkarte Zuweisung oder suchen Sie das Textfeld Zugewiesene Smartgroups.

4 Wählen Sie „Löschen“ (X) neben der Smartgroup, deren Zuweisung Sie aufheben möchten. Durch diese Aktion wird die Smartgroup nicht gelöscht. Es wird lediglich die Smartgroup-Zuweisung von der gespeicherten Einstellung entfernt.

5 Gehen Sie wie gewohnt vor, um Ihre Änderungen zu speichern.


VMware, Inc. 155

Untersuchen von Smartgroup-Ereignissen unter Verwendung des Protokollmoduls für KonsolenereignisseMit dem Protokollmodul für Konsolenereignisse können Sie mühelos nachvollziehen, welche Änderungen an Smartgroups wann und von wem vorgenommen wurden. Diese Protokolle können vor allem bei der Problembehandlung von Geräten nützlich sein.

Verfahren

1 Navigieren Sie zu Monitor > Berichte und Analysen > Ereignisse > Konsolenereignisse.

2 Wählen Sie Smartgroups aus dem Dropdown-Filter Modul über der Konsolenereignis-Liste.

3 Wenden Sie nach Wunsch weitere Filter an, wie Datumsbereich, Schweregrad und Kategorie.

4 Wählen Sie, wo immer zutreffend, den Hypertextlink in der Spalte Ereignisdaten, der zusätzliche Informationen enthält, die Ihnen bei Ihren Aufgaben möglicherweise zugutekommen.

BenutzergruppenSie können Anwender in Anwendergruppen gruppieren, die dann, wie Organisationsgruppen, als Filter zur Zuweisung von Profilen und Anwendungen fungieren. Richten Sie bei der Konfiguration Ihrer MDM-Umgebung die Benutzergruppen auf die Sicherheitsgruppen bzw. Geschäftsrollen in Ihrer Organisation aus.

Sie können Benutzern und Geräten durch Benutzergruppen Profile, Konformitätsrichtlinien, Inhalte und Anwendungen zuweisen. Sie können Ihre vorhandenen Verzeichnisdienstgruppen bei Workspace ONE UEM hinzufügen oder Benutzergruppen neu erstellen.

Als Alternative zu Benutzergruppen können Sie Inhalte auch durch Zuweisung von Geräten nach vorkonfigurierten Netzwerk-IP-Adressbereichen oder benutzerdefinierten Attributen verwalten.

Benutzergruppen ohne Verzeichnisintegration (benutzerdefiniert)Beim Erstellen einer Benutzergruppe außerhalb Ihrer vorhandenen Active Directory-Struktur haben Sie die Möglichkeit, jederzeit spezielle Gruppen von Benutzern zu erstellen. Sie können Benutzergruppen abhängig von der Bereitstellung durch konkrete Zuordnung von Zugriff auf Funktionen und Inhalte anpassen.

Erstellen Sie beispielsweise eine temporäre Benutzergruppe für ein bestimmtes Projekt, das spezielle Anwendungen, Geräteprofile und Konformitätsrichtlinien verlangt.

Weitere Informationen zum Hinzufügen von Verzeichnisbenutzergruppen im Massenverfahren finden Sie unter Batch-Import von Benutzergruppen.

Hinzufügen von Benutzergruppen ohne Verzeichnisintegration (benutzerdefiniert)Sie können eine Benutzerdefinierte Benutzergruppe außerhalb Ihrer Unternehmensstruktur erstellen, was je nach der von Ihnen benötigten Art von Benutzergruppe sogar eventuell vorzuziehen ist.


VMware, Inc. 156

Benutzerdefinierte Benutzergruppen können nur einer Organisationsgruppe auf Kundenebene hinzugefügt werden.

Verfahren

1 Navigieren Sie zu Konten > Benutzergruppen > Listenansicht und wählen Sie Hinzufügen und dann Benutzergruppe hinzufügen.

2 Ändern Sie die Option Benutzergruppentyp in Benutzerdefiniert.

3 Geben Sie den in der Workspace ONE UEM Console zur Identifizierung verwendeten Gruppennamen sowie die Beschreibung ein.

4 Bestätigen Sie die Organisationsgruppe, die die Benutzergruppe verwaltet, und wählen Sie Speichern.

5 Anschließend können Sie dieser neuen Benutzergruppe Benutzer hinzufügen, indem Sie zu Konten > Benutzer > Listenansicht navigieren.

Fügen Sie mehrere Benutzer hinzu, indem Sie links neben jedem aufgeführten Benutzernamen die Kontrollkästchen aktivieren. Klicken Sie dann oberhalb der Spaltenüberschriften auf die Schaltfläche Verwaltung und wählen Sie Zu Benutzergruppe hinzufügen.

Benutzergruppen mit VerzeichnisintegrationEine Alternative zu benutzerdefinierten Benutzergruppen ohne Active Directory-Integration stellt die Benutzergruppenintegration dar, die Ihre bestehende Active Directory-Struktur anwendet und dadurch viele Vorteile bietet.

Nach dem Import vorhandener Verzeichnisdienstgruppen als Workspace ONE UEM Benutzergruppen können Sie Folgendes durchführen:

n Benutzerverwaltung – Verweisen Sie auf Ihre vorhandenen Verzeichnisdienstgruppen (wie Sicherheitsgruppen und Verteilungslisten) und richten Sie die Benutzerverwaltung in Workspace ONE UEM an dem vorhandenen Organisationssystem aus.

n Profile und Richtlinien – Weisen Sie Profile, Anwendungen und Richtlinien über eine gesamte Workspace ONE UEM-Bereitstellung hinweg den Benutzergruppen zu.

n Integrierte Updates – Aktualisieren Sie Benutzergruppenzuweisungen automatisch nach Gruppenmitgliedschaftsänderungen.

n Verwaltungsberechtigungen – Legen Sie Verwaltungsberechtigungen fest, um nur berechtigten Administratoren zu erlauben, Richtlinien- und Profilzuweisungen für bestimmte Benutzergruppen zu ändern.

n Registrierung – Erlauben Sie Benutzern, sich mit ihren vorhandenen Anmeldedaten zu registrieren und automatisch einer Organisationsgruppe zugewiesen zu werden.

Der Administrator muss eine vorhandene Organisationsgruppe als primäre Stammorganisationsgruppe festlegen, von der aus der Administrator dann Geräte und Benutzer verwaltet. Verzeichnisdienste müssen in dieser Stammorganisationsgruppe aktiviert werden.


VMware, Inc. 157

Sie können Ihre vorhandenen Verzeichnisdienstgruppen bei Workspace ONE UEM hinzufügen. Durch die Integration werden zwar nicht sofort Benutzerkonten für alle Ihrer Verzeichnisdienstkonten erstellt, durch diese Maßnahme wird aber gewährleistet, dass Workspace ONE UEM diese Konten als Benutzergruppen erkennt. Verwenden Sie diese Gruppe, um zu einzuschränken, wer sich registrieren kann.

Weitere Informationen zum MassenhHinzufügen von Verzeichnisbenutzergruppen in großen Mengen finden Sie unter Batch-Import von Benutzergruppen.

Hinzufügen von Benutzergruppen mit VerzeichnisintegrationDas Erstellen von Benutzergruppen mit Verzeichnisintegration sorgt für eine abgestimmte Vorgehensweise bei der Geräteverwaltung: Die Geräteregistrierung sowie darauf folgende Updates, die administrative Übersicht und die Benutzerverwaltung entsprechen alle Ihrer bestehenden Verzeichnisdienststruktur.

Voraussetzungen

Stellen Sie sicher, dass der Typ der Benutzergruppe Verzeichnis ist.

Verfahren

1 Navigieren Sie zu Konten > Benutzergruppen > Listenansicht und wählen Sie Hinzufügen und dann Benutzergruppe hinzufügen.


Typ Wählen Sie den Typ der Benutzergruppe.

n Verzeichnis – Erstellen Sie eine Benutzergruppe, die auf Ihre vorhandene Active Directory-Struktur ausgerichtet ist.

n Benutzerdefiniert – Erstellen Sie eine Benutzergruppe außerhalb der bestehenden Active Directory-Struktur Ihrer Organisation. Dieser Benutzergruppentyp gewährt Zugriff auf Funktionen und Inhalte für Standard- und Verzeichnisbenutzer, um Benutzergruppen gemäß Ihrer Bereitstellung anzupassen. Benutzerdefinierte Benutzergruppen können nur einer Organisationsgruppe auf Kundenebene hinzugefügt werden.

Externer Typ Wählen Sie den externen Typ der Gruppe, die Sie hinzufügen.

n Gruppe – Betrifft die Gruppenobjektklasse, auf der Ihre Benutzergruppe basiert. Diese Klasse ist anpassbar. Navigieren Sie dazu zu Gruppen und Einstellungen > Alle Einstellungen > System > Enterprise Integration > Verzeichnisdienste > Gruppe.

n Organisationseinheit – Betrifft die Objektklasse der Organisationseinheit, auf der Ihre Benutzergruppe basiert. Diese Klasse ist anpassbar. Navigieren Sie dazu zu Gruppen und Einstellungen > Alle Einstellungen > System > Enterprise Integration > Verzeichnisdienste > Gruppe.

n Benutzerdefinierte Abfrage – Sie können auch eine Benutzergruppe aus Benutzern erstellen, die durch eine benutzerdefinierte Abfrage gefunden wurden. Die Wahl dieses externen Typs ersetzt die Suchtextfunktion und zeigt stattdessen den Abschnitt „Benutzerdefinierte Abfrage“ an.


VMware, Inc. 158


Suchtext Identifizieren Sie den Namen einer Benutzergruppe in Ihrem Verzeichnis, indem Sie das Suchkriterium eingeben, und wählen Sie Suchen. Sollte eine Verzeichnisgruppe Ihren Suchtext enthalten, wird eine Liste von Gruppennamen angezeigt.

Diese Option ist nicht verfügbar, wenn Externer Typ auf Benutzerdefinierte Abfrage gesetzt ist.

Verzeichnisname Eine schreibgeschützte Einstellung, die die Adresse Ihres Verzeichnisdienstservers anzeigt.

Domäne und Basis-DN der Gruppe Diese Informationen werden automatisch auf Grundlage der Verzeichnisdienstserver-Informationen ausgefüllt, die Sie auf der Seite Verzeichnisdienste eingeben (Gruppen und Einstellungen > System > Enterprise Integration > Verzeichnisdienste).

Wählen Sie das Pluszeichen (+) DN abrufen neben der Einstellung Basis-DN der Gruppe, durch das eine Liste von Elementen definierter Namen angezeigt wird, aus der Sie wählen können.

Benutzerdefinierte Objektklasse Identifiziert die Objektklasse, unter der Ihre Abfrage läuft. Bei der Standardobjektklasse handelt es sich um „Person“. Sie können jedoch gern eine benutzerdefinierte Objektklasse zur erfolgreicheren und genaueren Identifizierung Ihrer Benutzer bereitstellen.

Diese Option wird nur dann angezeigt, wenn Benutzerdefinierte Abfrage als Externer Typ ausgewählt wurde.

Gruppenname Wählen Sie einen Gruppennamen aus Ihrer Suchtext-Ergebnisliste. Durch die Wahl eines Gruppennamens wird der Wert in der Einstellung „Definierter Name“ automatisch geändert.

Diese Option wird erst nach erfolgreichem Abschluss einer Suche mithilfe der Einstellung Suchtext angezeigt.

Eindeutiger Name Diese schreibgeschützte Einstellung zeigt den vollständigen definierten Namen der Gruppe an, die Sie soeben erstellen.

Diese Option wird nur dann angezeigt, wenn Gruppe oder Organisationseinheit als Externer Typ ausgewählt wurde.

Benutzerdefinierter Basis-DN Identifiziert den definierten Basisnamen, der als Startpunkt Ihrer Abfrage dient. Der standardmäßige Basis-DN lautet „AirWatch“ und „sso“. Wenn Sie jedoch die Abfrage an einem anderem Startpunkt starten möchten, können Sie einen benutzerdefinierten Basis-DN bereitstellen.

Diese Option wird nur dann angezeigt, wenn Benutzerdefinierte Abfrage als Externer Typ ausgewählt wurde.

Organisationsgruppenzuweisung Anhand dieses optionalen Einstellung können Sie die von Ihnen erstellten Benutzergruppen bestimmten Organisationsgruppen zuweisen.


Benutzergruppeneinstellungen Wählen Sie zwischen Standardeinstellungen anwenden und Benutzerdefinierte Einstellungen für diese Benutzergruppe verwenden. Weitere Erläuterungen zu Einstellungen finden Sie unter Benutzerdefinierte Einstellungen. Sie können diese Option über die Berechtigungseinstellungen konfigurieren, nachdem die Gruppe erstellt wurde.


Benutzerdefinierte Abfrage


VMware, Inc. 159


Abfrage In dieser Einstellung wird die zurzeit geladene Abfrage angezeigt, die bei Betätigung der Schaltfläche Testabfrage und anschließender Auswahl der Schaltfläche Weiter ausgeführt wird. Änderungen an der Einstellung Benutzerdefinierte Logik oder der Einstellung Benutzerdefinierte Objektklasse werden hier angezeigt.

Benutzerdefinierte Logik Fügen Sie Ihre benutzerdefinierte Abfragelogik, wie einen Benutzer- oder Administratornamen, hier hinzu. Beispiel: „cn=lmüller“. Dabei können Sie einen beliebig großen Teil des definierten Namens verwenden. Mit der Schaltfläche Testabfrage können Sie prüfen, ob die Syntax Ihrer Abfrage korrekt ist, bevor Sie die Schaltfläche Weiter wählen.

Benutzerdefinierte Einstellungen

Verwaltungsberechtigungen Sie können allen Administratoren die Verwaltung der von Ihnen erstellten Benutzergruppe erlauben oder verwehren.

Standardrolle Wählen Sie eine Standardrolle für die Benutzergruppe aus dem Dropdown-Menü.

Standardregistrierungsrichtlinie Wählen Sie eine Standardregistrierungsrichtlinie aus dem Dropdown-Menü.

Automatisch mit Verzeichnis synchronisieren

Mit dieser Option wird die Funktion der Verzeichnissynchronisierung ermöglicht, mit der Benutzermitgliedschaft über den Verzeichnisserver erkannt und in einer temporären Tabelle gespeichert wird. Administratoren genehmigen Änderungen an der Konsole, es sei denn die Option „Automatische Zusammenführung“ ist aktiviert.

Wenn Sie verhindern möchten, dass Benutzergruppen bei einer geplanten Synchronisierung automatisch synchronisiert werden, muss diese Einstellung deaktiviert werden.

Änderungen automatisch zusammenführen

Aktivieren Sie diese Option, um automatisch Synchronisierungsänderungen ohne administrative Zustimmung anzuwenden.

Maximal zulässige Änderungen Verwenden Sie diese Einstellung, um einen Schwellenwert für die Anzahl der zulässigen automatischen Synchronisierungen von Benutzergruppen ohne Zustimmung des Administrators zu setzen.

Änderungen, die über den Schwellenwert hinausgehen, erfordern eine Genehmigung des Administrators. Diesbezüglich wird eine Benachrichtigung gesendet. Weitere Informationen finden Sie im Leitfaden für VMware AirWatch Mobile Device Management.Diese Option wird nur angezeigt, wenn Änderungen automatisch zusammenführen aktiviert ist.

Gruppenmitglieder automatisch hinzufügen

Aktivieren Sie diese Einstellung, um Benutzer automatisch der Benutzergruppe hinzuzufügen.

Wenn Sie verhindern möchten, dass Benutzergruppen bei einer geplanten Synchronisierung automatisch synchronisiert werden, muss diese Einstellung deaktiviert werden.


VMware, Inc. 160


E-Mail an Benutzer senden, wenn fehlende Benutzer hinzugefügt werden

Aktivieren Sie diese Option, um Benutzern eine E-Mail zu senden, wenn fehlende Benutzer zur Benutzergruppe hinzugefügt werden. Die Option „Fehlende Benutzer hinzufügen“ besteht in der Kombination der temporären Benutzergruppentabelle mit der Active Directory-Tabelle.

Nachrichtenvorlage Diese Option ist nur verfügbar, wenn E-Mail an Benutzer senden, wenn fehlende Benutzer hinzugefügt werden aktiviert ist.

Wählen Sie eine Nachrichtenvorlage zur Verwendung für die E-Mail-Benachrichtigung während des Hinzufügens fehlender Benutzer zu der Benutzergruppe.

Wenn Sie der Workspace ONE UEM Console neue Active Directory-Benutzer hinzufügen, hängt die Verfügbarkeit der Nachrichtenvorlage vom Registrierungsmodus ab, der unter Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung durch Auswahl von Authentifizierung und Auswahl in der Option Geräteregistrierungsmodus konfiguriert wurde.

Wenn Offene Registrierung als Geräteregistrierungsmodus ausgewählt wurde, ist eine E-Mail-Vorlage für die Benutzeraktivierung im Dropdown-Menü Nachrichtenvorlage verfügbar. Diese E-Mail-Nachricht ermöglicht dem neuen AD-Benutzer die Registrierung.

Wenn Nur registrierte Geräte als Geräteregistrierungsmodus ausgewählt wurde, ist eine E-Mail-Vorlage für die Geräteaktivierung im Dropdown-Menü Nachrichtenvorlage verfügbar. Diese E-Mail-Nachricht ermöglicht dem neuen AD-Benutzer die Registrierung seiner Geräte. Wenn Registrierungstoken verlangen aktiviert ist, kann das Gerät mit dem in der Nachricht eingebetteten Token registriert werden.

Weite Informationen zu „Definierter Name“ finden Sie im TechNet-Artikel „Objektbenennung“ von Microsoft unter https://technet.microsoft.com/.


Bearbeiten von BenutzergruppenberechtigungenFeinabstimmung von Benutzergruppenberechtigungen ermöglicht Ihnen, nochmals zu erwägen, wer in Ihrer Organisation bestimmte Gruppen bearbeiten darf. Hat Ihre Organisation beispielsweise eine Benutzergruppe für Führungskräfte, möchten Sie möglicherweise nicht unbedingt, dass untergeordnete Administratoren Verwaltungsberechtigungen für diese Benutzergruppe haben.

Auf der Seite Berechtigungen können Sie steuern, wer bestimmte Benutzergruppen verwalten und wer Profile, Konformitätsrichtlinien und Anwendungen an Benutzergruppen zuweisen kann.

Verfahren

1 Navigieren Sie zu Konten > Benutzergruppen > Listenansicht.

2 Wählen Sie das Symbol Bearbeiten für die Zeile einer bestehenden Benutzergruppe.

3 Wählen Sie die Registerkarte Berechtigungen und dann Hinzufügen.

4 Wählen Sie die Organisationsgruppe, für die Sie Berechtigungen festlegen möchten.

5 Wählen Sie die Berechtigungen, die Sie aktivieren möchten.

n Gruppe verwalten (bearbeiten/löschen) – Aktivieren Sie die Funktion zum Bearbeiten und Löschen von Benutzergruppen.


VMware, Inc. 161

https://technet.microsoft.com/

n Verwalten von Anwendern innerhalb der Gruppe und Registrierung ermöglichen – Verwalten Sie Benutzer in der Benutzergruppe und lassen Sie die Geräteregistrierung in der Organisationsgruppe (OG) zu. Diese Einstellung kann nur aktiviert werden, wenn auch „Gruppe verwalten (bearbeiten/löschen)“ aktiviert ist. Wenn „Gruppe verwalten (bearbeiten/löschen)“ deaktiviert ist, ist diese Einstellung ebenfalls deaktiviert.

n Gruppe für Zuweisung benutzen – Verwenden Sie Gruppen, um Geräten Sicherheitsrichtlinien und Unternehmensressourcen zuzuweisen. Diese Einstellung kann nur geändert werden, wenn „Gruppe verwalten (bearbeiten/löschen)“ deaktiviert ist. Wenn „Gruppe verwalten (bearbeiten/löschen)“ aktiviert ist, wird diese Einstellung gesperrt und kann nicht bearbeitet werden.

n Wenn die Benutzergruppe von einer übergeordneten OG verwaltet wird und Sie die Gruppe von einer ihrer untergeordneten OGs aus zuweisen möchten, ist diese Einstellung deaktiviert.

6 Wählen Sie den Umfang dieser Berechtigungen aus, d.h. welche Administratorgruppen diese Benutzergruppe verwalten oder verwenden dürfen. Nur eine der folgenden Optionen darf aktiviert sein.

n Nur Administrator – Die Berechtigungen betreffen nur Administratoren in der übergeordneten Organisationsgruppe.

n Alle Administratoren in/unter dieser Organisationsgruppe – Die Berechtigungen betreffen Administratoren in der Organisationsgruppe und alle Administratoren in sämtlichen nächsthöheren untergeordneten Organisationsgruppen.


Ausnahme für die Verwendung der Gruppe für die ZuweisungIn einem bestimmten Anwendungsfall ist die Option Gruppe für Zuweisung verwenden unter Benutzergruppenberechtigungen bearbeiten nicht verfügbar. Das bedeutet, dass Sie diese Benutzergruppe nicht als Zuweisungsgruppe verwenden können.

Sie können die Option Gruppe für Zuweisung verwenden im folgenden Anwendungsfall nicht auswählen (und daher kann die Gruppe nicht als Zuweisungsgruppe oder Smartgroup verwendet werden).

n Wenn die Benutzergruppe von einer übergeordneten OG verwaltet wird und Sie die Gruppe von einer ihrer untergeordneten OGs aus zuweisen möchten.

Zugreifen auf AnwenderdetailsSobald Ihre Benutzer und Benutzergruppen eingerichtet sind, können Sie alle Benutzerinformationen bezüglich Benutzerdetails, zugewiesenen Geräten und Interaktionen anzeigen.

Greifen Sie von einer beliebigen Stelle in Workspace ONE UEM Console oder über die folgenden Seiten auf die Benutzerinformationen zu, wo Sie den Benutzernamen finden:

n Benutzergruppenmitglieder (Konten > Benutzergruppen > Detailansicht > Mehr > Benutzer anzeigen)

n Benutzer – Listenansicht (Konten > Benutzer > Listenansicht)


VMware, Inc. 162

n Administratoren – Listenansicht (Konten > Administratoren > Listenansicht)

Die Seite „Benutzerdetails“ ist eine Einzelseitenansicht von Folgendem:

n Allen zugewiesenen Benutzergruppen

n Alle Geräte, die einem Benutzer im Laufe der Zeit zugeordnet wurden, sowie ein Link zu allen registrierten Geräten

n Allen Geräten, die der Benutzer in einer Umgebung mit gemeinsam benutzten Geräten ausgecheckt hat, und einem Link zur Fertigstellung des Check-in/Check-out-Geräteverlaufs

n Allen geräte- und Benutzerspezifischen Ereignisprotokollen

n Allen zugewiesenen, akzeptierten und abgelehnten Nutzungsbedingungen

Verschlüsseln von persönlichen DatenFalls gewünscht, können Sie personenbezogene Informationen verschlüsseln, einschließlich Vorname, Nachname, E-Mail-Adresse und Rufnummer.

Verfahren

1 Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > System > Sicherheit > Datensicherheit der Organisationsgruppe auf globaler oder Kundenebene, für die Sie die Verschlüsselung konfigurieren möchten.

2 Aktivieren Sie die Einstellung Benutzerinformationen verschlüsseln und wählen Sie im Anschluss die jeweiligen Benutzerdateneinstellungen, um die Verschlüsselung zu aktivieren. Dadurch werden die Funktionen zum Suchen, Sortieren und Filtern deaktiviert.

3 Klicken Sie auf Speichern, um die Benutzerdaten zu verschlüsseln, damit auf diese Daten in der Datenbank nicht zugegriffen werden kann. Dadurch werden einige Funktionen in der Workspace ONE UEM Console eingeschränkt, wie Suchen, Sortieren und Filtern.

Listenansicht für AnwendergruppenDie Seite „Listenansicht für Anwendergruppen“ bietet nützliche Tools zur allgemeinen Verwaltung und Pflege von Anwendergruppen, einschließlich der Anzeige, Zusammenführung, Löschung von Anwendergruppen sowie Hinzufügung von fehlenden Anwendern.

Navigieren Sie zu Konten > Benutzergruppen > Listenansicht.

Die Listenansicht für Anwendergruppen kann zur sofortigen Erstellung von Anwendergruppen basierend auf den für Sie wichtigsten Kriterien verwendet werden. Neue Benutzergruppen können außerdem einzeln oder massenweise hinzugefügt werden.


VMware, Inc. 163

Aktion Beschreibung

Filter Zeigen Sie nur die gewünschten Benutzergruppen durch Nutzung folgender Filter an.

n Benutzergruppentyp.

n Synchronisierungsstatus.

n Zusammenführungsstatus.

Hinzufügen

Benutzergruppe hinzufügen.

Führen Sie eine einmalige Hinzufügung einer verzeichnisbasierten Benutzergruppe oder einer benutzerdefinierten Benutzergruppe durch.

Batch-Import Importieren Sie neue Anwendergruppen massenweise über eine CSV-Datei (Comma-Separated Values). Sie können mehrere Benutzergruppen gleichzeitig durch Eingeben eines eindeutigen Namens und einer Beschreibung organisieren.

Sortieren und Anpassen der Größe von Spalten

Folgende Spalten in der Listenansicht sind sortierbar: „Gruppenname“, „Letzte Synchronisierung“, „Anwender“ und „Zusammenführungsstatus“. Die Größe folgender Spalten kann verändert werden: „Gruppenname“ und „Letzte Synchronisierung“.

Detailansicht Zeigen Sie grundlegende Informationen über Anwendergruppen in der Detailansicht an, indem Sie den Link in der Spalte Gruppenname auswählen. Zu diesen Informationen zählen Gruppenname, Gruppentyp, externer Typ, Manager und Anzahl der Anwender. Die Detailansicht enthält unter Alle Einstellungen > Geräte und Benutzer > Allgemein > Registrierung auf der Registerkarte Gruppierung außerdem einen Link zu Einstellungen für die Gruppenzuordnung.

Exportieren ( )Speichern Sie eine CSV-Datei (Comma-Separated Values) der gesamten ungefilterten bzw. gefilterten Listenansicht, die dann in Excel eingesehen und analysiert werden kann.

Die Listenansicht für Anwendergruppen enthält auch ein Kontrollkästchen zur Aktivierung und das Symbol Bearbeiten links neben dem Anwender. Durch Auswahl des Symbols Bearbeiten ( ) haben Sie die Möglichkeit, grundlegende Änderungen an der Benutzergruppe vorzunehmen. Sie können Massenaktionen für Anwendergruppen durchführen, indem Sie mindestens eine Gruppe auswählen. Hierdurch werden die jeweiligen Aktionsschaltflächen für die Auflistung angezeigt.

Weitere Aktionen für BenutzergruppenSie können mehr als eine Anwendergruppe auswählen, indem Sie die gewünschte Anzahl der Kontrollkästchen auswählen. Dadurch werden die verfügbaren Aktionsschaltflächen geändert und die entsprechenden Aktionen auf mehrere Gruppen und ihre jeweiligen Benutzer angewendet.

Aktion Beschreibung

Synchronisieren Kopieren Sie die zuletzt hinzugefügten Benutzergruppenbenutzer in die temporäre Tabelle, und zwar manuell und vor der geplanten automatischen Active Directory-Synchronisierung durch Workspace ONE UEM.

Benutzer anzeigen Diese Schaltfläche zeigt die Seite Anwendergruppenmitglieder an, durch die Sie die Anwendernamen aller Mitglieder in der ausgewählten Anwendergruppe überprüfen können.

Weitere Aktionen

Anzeigen und zusammenführen

Zeigen Sie die Anwender an, die der temporären Anwendergruppentabelle zuletzt hinzugefügt wurden, führen Sie diese zusammen bzw. entfernen Sie diese. Benutzergruppenbenutzer, die in dieser Tabelle angezeigt werden, erwartet die automatische Workspace ONE UEM-Benutzergruppensynchronisierung.


VMware, Inc. 164

Aktion Beschreibung

Fehlende Benutzer hinzufügen

Kombinieren Sie die temporäre Anwendergruppentabelle mit der Active Directory-Tabelle, wodurch Sie die Hinzufügung dieser neuen Anwender in der Anwendergruppe offiziell machen.

Löschen Löschen Sie eine Anwendergruppe.

Hinzufügen von Benutzern zu BenutzergruppenSie können Benutzer zu Benutzergruppen hinzufügen, falls dies erforderlich ist.

So fügen Sie einen neuen Benutzer einer oder mehreren Benutzergruppen hinzu:

Verfahren

1 Navigieren Sie zu Konten > Benutzer > Listenansicht.

2 Wählen Sie einen oder mehrere Benutzer in der Auflistung aus, indem Sie links das Kontrollkästchen aktivieren.

3 Klicken Sie auf die Schaltfläche Weitere Aktionen und wählen Sie dann Zu Benutzergruppe hinzufügen. Die Seite Ausgewählte Benutzer zur Benutzerdefinierten Benutzergruppe hinzufügen wird angezeigt.

4 Sie können Benutzer zu Bestehende Benutzergruppe hinzufügen oder eine Neue Benutzergruppe erstellen.

5 Wählen Sie den Gruppennamen.


7 Navigieren Sie zu Konten > Benutzergruppen > Listenansicht.

a Die Active Directory-Synchronisierung (die ein automatisierter geplanter Prozess ist) kopiert diese ausstehenden Benutzer der Benutzergruppe in eine temporäre Tabelle. Dann werden diese Benutzer der Benutzergruppe überprüft, hinzugefügt oder entfernt.

b Falls Sie nicht auf die automatische AD-Synchronisierung warten möchten, können Sie auch eine manuelle Synchronisierung vornehmen. Wählen Sie dazu die Benutzergruppe, der Sie die Benutzer hinzugefügt haben, und dann die Schaltfläche Synchronisieren aus.

8 Optional können Sie Mehr > Anzeigen und zusammenführen wählen, um Verwaltungsaufgaben wie das Überprüfen, Hinzufügen und Entfernen ausstehender Benutzergruppenbenutzer durchzuführen.

9 Um die temporäre Tabelle der ausstehenden Benutzergruppenbenutzer mit denen von Active Directory zu kombinieren, wählen Sie Mehr > Fehlende Benutzer hinzufügen.

Admin-GruppenDurch Administratorgruppen können Sie Untergruppen von Administratorkonten zusammenstellen, um Rollen und Berechtigungen zuzuweisen, die über den Besitz eines Administratorkontos herausgehen.


VMware, Inc. 165

Administratorkonten können zur Zuweisung von Rollen und Berechtigungen für den Zugriff auf die Konsole verwendet werden, die einem bestimmten Projekt zugewiesen ist. Sie können Ihre vorhandenen Verzeichnisdienstadministratoren in Administratorgruppen hinzufügen oder Administratorgruppen über Benutzerdefinierte Abfragen neu erstellen.

Wenn Sie beispielsweise eine neue Geschäftsanordnung haben, müssen Sie einer Gruppe von Schulungsleitern eventuell einen gesonderten Administratorzugriff zuweisen. Sie könnten eine Administratorgruppe erstellen, eine Benutzerdefinierte Abfrage für Schulungsleiter ausführen und eine Rolle zuweisen, die auf die neue Geschäftsentwicklung zugeschnitten ist. Weitere Informationen finden Sie in unter Administratorkonten.

Listenansicht von AdministratorgruppenDie Seite mit der Listenansicht von Administratorgruppen bietet nützliche Tools für die allgemeine Verwaltung und Pflege von Benutzergruppen. Zu Aufgaben bezüglich der Pflege zählen das Hinzufügen, Anzeigen, Zusammenführen und Löschen von Benutzergruppen und fehlenden Benutzern.

Diese Seite können Sie über Konten > Administratoren > Admin-Gruppen einsehen.

Zeigen Sie die Seite Admin-Gruppe bearbeiten an, indem Sie in der Spalte Gruppenname der Listenansicht den Hypertextnamen auswählen. Über diese Seite können Sie den Namen der Administratorgruppe ändern. Sie können auch für Gruppenmitglieder geltende Rollen hinzufügen und entfernen. Weitere Informationen finden Sie unter Administratorrollen.

Um die Liste Admin-Gruppen-Mitglieder anzuzeigen, wählen Sie die Hypertextlinknummer in der Spalte Administrator aus. Diese Liste enthält die Namen sämtlicher Administratoren in der Administratorgruppe.

Durch Aktivieren des Optionsfeldes neben dem Gruppennamen greifen Sie auf folgende Aktionen und Verwaltungsfunktionen zu.

Aktion Beschreibung

Synchronisieren Kopieren Sie die zuletzt hinzugefügten Administratorgruppenbenutzer in die temporäre Tabelle, und zwar manuell und vor der geplanten automatischen Active Directory-Synchronisierung durch Workspace ONE UEM.

Weitere Aktionen

Anzeigen und zusammenführen

Zeigen Sie Benutzer an, die Sie zuletzt zur temporären Administratorgruppentabelle hinzugefügt haben, und fügen Sie diese hinzu bzw. entfernen Sie diese. Administratoren von Administratorgruppen, die in dieser Tabelle aufgeführt werden, warten auf die automatische Workspace ONE UEM-Administratorgruppensynchronisierung.

Löschen Löschen Sie eine Administratorgruppe.

Oben, nach oben, nach unten, Unten

Sie können den Rang jeder Administratorgruppe, so wie er in der Auflistung erscheint, bearbeiten. Die Gruppen auf diese Art verschieben zu können ist von Vorteil, wenn Sie mehr Administratorgruppen haben, als Sie auf einer Seite anzeigen können.

Fügen Sie fehlende Benutzer hinzu.

Kombinieren Sie die temporäre Administratorgruppentabelle mit der Active Directory-Tabelle, wodurch Sie das Hinzufügen dieser neuen Administratoren in der Gruppe offiziell machen.


VMware, Inc. 166

Hinzufügen von AdministratorgruppenSie können für spezielle Projekte Administratorgruppen zur Zuweisung zusätzlicher Rollen und Berechtigungen zu Ihren Administratoren hinzufügen. Gehen Sie dazu folgendermaßen vor:

Verfahren

1 Navigieren Sie zu Konten > Administratoren > Administratorengruppen und klicken Sie auf Hinzufügen. Nehmen Sie die entsprechenden Einstellungen vor.


Externer Typ Wählen Sie den externen Typ der Administratorgruppe, die Sie hinzufügen.

n Gruppe – Betrifft die Gruppenobjektklasse, auf der Ihre Administratorgruppe basiert. Diese Klasse ist anpassbar. Navigieren Sie dazu zu Gruppen und Einstellungen > Alle Einstellungen > System > Enterprise Integration > Verzeichnisdienste > Gruppe.

n Organisationseinheit – Betrifft die Objektklasse der Organisationseinheit, auf der Ihre Administratorgruppe basiert. Diese Objektklasse ist anpassbar. Navigieren Sie dazu zu Gruppen und Einstellungen > Alle Einstellungen > System > Enterprise Integration > Verzeichnisdienste > Gruppe.

n Benutzerdefinierte Abfrage – Sie können auch eine Administratorgruppe aus Administratoren erstellen, die durch eine Benutzerdefinierte Abfrage gefunden wurden. Die Wahl dieses externen Typs ersetzt die Suchtextfunktion und zeigt stattdessen den Abschnitt „Benutzerdefinierte Abfrage“ an.

Verzeichnisname Eine schreibgeschützte Einstellung, die die Adresse Ihres Verzeichnisdienstservers anzeigt.

Domäne und Basis-DN der Gruppe

Diese Angaben werden automatisch auf Grundlage der Informationen zum Verzeichnisdienstserver aufgefüllt, die Sie auf der Seite Verzeichnisdienste eingeben (Konten > Benutzergruppen > Einstellungen > Verzeichnisdienste).

Wählen Sie das Pluszeichen (+) DN abrufen neben der Einstellung Basis-DN der Gruppe, durch das eine Liste von Basisdomänennamen angezeigt wird, aus der Sie wählen können.

Suchtext Geben Sie die Suchkriterien zum Identifizieren des Namens einer Administratorgruppe in Ihr Verzeichnis ein und wählen Sie Suchen. Sollte eine Verzeichnisgruppe Ihren Suchtext enthalten, wird eine Liste von Gruppennamen angezeigt.

Zudem können Sie der von Ihnen erstellten Administratorgruppe Standardrollen zuweisen. Nach erfolgreichem Abschluss einer Suche, wählen Sie die Registerkarte Rollen und anschließend die Schaltfläche Hinzufügen, um eine neue Rolle hinzuzufügen. Durch Änderung der Organisationsgruppe und -rolle können sie aber auch eine vorhanden Rolle bearbeiten.

Diese Einstellung wird nur dann angezeigt, wenn Gruppe oder Organisationseinheit als Externer Typ ausgewählt wurde.

Benutzerdefinierte Objektklasse

Identifiziert die Objektklasse, unter der Ihre Abfrage läuft. Bei der Standardobjektklasse handelt es sich um „Person“. Sie können jedoch eine benutzerdefinierte Objektklasse zur genaueren Identifizierung Ihrer Administratoren bereitstellen.

Dieses Feld wird nur dann angezeigt, wenn Benutzerdefinierte Abfrage als Externer Typ ausgewählt wurden.

Benutzerdefinierter Basis-DN

Identifiziert den definierten Basisnamen, der als Startpunkt Ihrer Abfrage dient. Der Standard ist „airwatch“ und „sso“, aber Sie können einen Benutzerdefinierten Basis-DN bereitstellen, wenn Sie die Abfrage an einem anderem Startpunkt starten möchten.

Dieses Feld wird nur dann angezeigt, wenn Benutzerdefinierte Abfrage als Externer Typ ausgewählt wurden.


VMware, Inc. 167


Gruppenname Wählen Sie einen Gruppennamen aus Ihrer Suchtext-Ergebnisliste. Durch die Wahl eines Gruppennamens wird der Wert in der Einstellung „Definierter Name“ automatisch geändert.

Diese Einstellung wird erst nach erfolgreichem Abschluss einer Suche mithilfe der Einstellung Suchtext angezeigt.

Eindeutiger Name Eine schreibgeschützte Einstellung, in der der volle eindeutige Name der Administratorgruppe angezeigt wird, die Sie soeben erstellen.

Diese Einstellung wird erst nach erfolgreichem Abschluss einer Suche mithilfe der Einstellung Suchtext angezeigt.

Rang Eine schreibgeschützte Einstellung, die den Rang der Administratorgruppe anzeigt, die Sie soeben erstellen. Der Rang einer Administratorgruppe kann geändert werden, indem Sie zu Gruppen und Einstellungen > Gruppen > Administratorgruppen navigieren und die relative Position der Gruppe

mithilfe der Aktionsschaltfläche „Mehr“ rechts neben der Auflistung der Administratorgruppen verschieben.

Automatische Synchronisierung

Mit dieser Option wird die Funktion der Verzeichnissynchronisierung ermöglicht, mit der Benutzermitgliedschaft über den Verzeichnisserver erkannt und in einer temporären Tabelle gespeichert wird. Ein Administrator genehmigt sämtliche Änderungen an der Konsole, es sei denn die Option Automatische Zusammenführung ist aktiviert.

Automatische Zusammenführung

Aktivieren Sie diese Option, um automatisch Synchronisierungsänderungen ohne administrative Zustimmung anzuwenden.

Maximal zulässige Änderungen

Verwenden Sie diese Einstellung, um einen Schwellenwert für die Anzahl der zulässigen automatischen Synchronisierungen von Administratorgruppen ohne Zustimmung des Administrators zu setzen.

Dieses Feld wird nur angezeigt, wenn Automatische Zusammenführung aktiviert ist.

Gruppenmitglieder automatisch hinzufügen

Aktivieren sie diese Option, um automatisch Administratoren der Administratorgruppe hinzuzufügen.

Zeitzone Geben Sie die mit der Administratorgruppe verbundene Zeitzone ein. Diese erforderliche Einstellung beeinflusst die geplanten, automatisierten Active Directory-Synchronisierungsabläufe.

Gebietsschema Wählen Sie die Lokalisierungseinstellung (Sprache) für die ausgewählte Administratorgruppe. Diese Einstellung ist erforderlich.

Erste Zielseite Geben Sie die erste Zielseite für Administratoren in der Administratorgruppe ein. Die Standardeinstellung für diese erforderliche Einstellung ist das Geräte-Dashboard; Sie können sie jedoch auf jede Seite Ihrer Wahl festlegen.

Benutzerdefinierte Abfrage

Abfrage In dieser Einstellung wird die zurzeit geladene Abfrage angezeigt, die bei Betätigung der Schaltfläche Testabfrage und anschließender Auswahl der Schaltfläche Weiter ausgeführt wird. Änderungen an der Option Benutzerdefinierte Logik oder der Einstellung Benutzerdefinierte Objektklasse werden hier angezeigt.

Benutzerdefinierte Logik

Fügen Sie Ihre Benutzerdefinierte Abfragelogik, wie einen Administratornamen, hier hinzu. Beispiel: „cn=lmüller“. Dabei können Sie einen beliebig großen Teil des definierten Namens verwenden. Mit der Schaltfläche Testabfrage können Sie prüfen, ob die Syntax Ihrer Abfrage zu einer erfolgreichen Suche führt, bevor Sie die Schaltfläche Weiter wählen.

Weite Informationen zu „Definierter Name“ finden Sie im TechNet-Artikel „Objektbenennung“ von Microsoft unter https://technet.microsoft.com/.


VMware, Inc. 168

https://technet.microsoft.com/


Zuweisungen anzeigenSie haben auch die Möglichkeit, zu bestätigen, welche Profile, Anwendungen, Bücher, Kanäle und Konformitätsrichtlinien in der zugewiesenen Gruppe einbezogen bzw. davon ausgeschlossen sind.

Verfahren

1 Navigieren Sie zur Gruppenliste in Gruppen & Einstellungen > Gruppen > Zuweisungsgruppen und suchen Sie eine Gruppe, die mindestens einer Entität zugewiesen wurde.

2 In der Spalte Zuweisungen wählen Sie die Hyperlink-Nummer, um die Seite Zuweisung(en) anzeigen zu öffnen. Auf dieser Seite werden nur solche Kategorien angezeigt, die in der Gruppe Zuweisungen oder Ausschlüsse enthalten sind.

Nächste Schritte

Über der Kopfzeile auf dem Bildschirm Zuweisungen anzeigen können Sie die Schaltfläche Aktualisieren, die Schaltfläche Exportieren und das Textfeld Liste durchsuchen verwenden, um Ihnen zu helfen, die Zuweisung des spezifischen Profils, der Anwendung, des Buches, des Kanals oder der Konformitätsrichtlinie zu ermitteln und zu bestätigen.


VMware, Inc. 169

Gerätezuweisungen 6Mithilfe von Gerätezuweisungen ist es möglich, Geräte auf Basis des Netzwerk-IP-Adressbereichs (Internet Protocol) oder Benutzerdefinierten Attributen über Organisationsgruppen (OG) und Benutzernamen hinweg zu verschieben. Dies bietet eine Alternative zur Organisation von Inhalten (z.B. Profile, Anwendungen, Richtlinien und Produkte) nach Benutzergruppen.

Statt Geräte manuell zwischen OGs durch Administratoren verschieben zu lassen, können Sie die Konsole so konfigurieren, dass Geräte automatisch verschoben werden, wenn sie eine Verbindung zu einem von Ihnen festgelegten WLAN-Netzwerk herstellen. Zudem können Sie Geräte basierend auf von Ihnen definierten Regeln mit Benutzerdefinierten Attributen verschieben.

Ein typischer Anwendungsfall für Gerätezuweisungen sind Benutzer, die regelmäßig ihre Rollen wechseln und spezielle Profile und Anwendungen für jede Rolle erfordern.

Sie müssen sich zwischen der Implementierung von Benutzergruppen und Gerätezuweisungen entscheiden, um Geräte zu verschieben, da Workspace ONE UEM nicht beide Funktionen auf demselben Gerät unterstützt.


n Aktivieren von Gerätezuweisungen

n Festlegen von Regeln zur Gerätezuweisung oder eines Netzwerkbereichs

Aktivieren von GerätezuweisungenBevor Sie Geräte zwischen Organisationsgruppen (OG) und Anwendernamen basierend auf Internet Protocol (IP) oder einem anwenderdefiniertem Attribut verschieben können, müssen Sie die Funktion „Gerätezuweisungen“ aktivieren. Gerätezuweisungen können nur auf einer untergeordneten Organisationsgruppe konfiguriert werden.

VMware, Inc. 170

Verfahren

1 Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Allgemein > Erweiterungen und wählen Sie, je nach Bedarf, Überschreiben oder Vererben für die aktuelle Einstellung aus.

2 Wählen Sie Aktiviert in der Einstellung Regeln zur Gerätezuweisung.

3 Wählen Sie den Verwaltungstyp.

n Organisationsgruppe nach IP-Bereich – Verschiebt das Gerät in eine festgelegte OG, wenn das Gerät einen WLAN-Netzwerkbereich verlässt und sich in einen anderen begibt. Durch diese Verschiebung wird die automatische Übertragung von Profilen, Anwendungen, Richtlinien und Produkten per Push ausgelöst.

n Organisationsgruppe nach benutzerdefiniertem Attribut – Das Gerät wird auf Basis benutzerdefinierter Attribute in eine Organisationsgruppe verschoben.

Benutzerdefinierte Attribute ermöglichen es Administratoren, bestimmte Werte eines verwalteten Geräts zu extrahieren und an die Workspace ONE UEM Console zurückzugeben. Sie können den Attributwert zur späteren Verwendung bei Produktbereitstellungen oder Gerätenachschlagewerten auch an Geräte zuweisen.

n Wenn Organisationsgruppe nach benutzerdefiniertem Attribut aktiviert ist, wird der Link Klicken Sie hier, um auf benutzerdefinierte Attribute basierende Zuweisungsregeln zu erstellen angezeigt. Wenn Sie auf diesen Link klicken, wird eine weitere Registerkarte in Ihrem Browser geöffnet. Auf dieser Registerkarte wird die Seite Zuweisungsregeln für anwenderdefinierte Attribute angezeigt, auf der Sie Ihre eigenen attributbasierten Zuweisungsregeln erstellen können. Weitere Informationen finden Sie unter Zuweisen von Organisationsgruppen mithilfe von benutzerdefinierten Attributen.

n Anwendername nach IP-Bereich – Wenn ein Gerät in einem Netzwerk vorhanden ist und in ein anderes Netzwerk wechselt, ändert das Gerät die Anwendernamen anstatt in eine andere Organisationsgruppe zu wechseln. Durch die Änderung des Anwendernamens wird dieselbe


VMware, Inc. 171

Übertragung von Profilen, Anwendungen, Richtlinien und Produkten per Push ausgelöst wie bei einer OG. Diese Option steht Kunden mit beschränkter Möglichkeit zur Erstellung von Organisationsgruppen zur Verfügung. Dadurch wird eine alternative Methode zur Verwendung der Gerätezuweisungsfunktion geboten.

Wichtig Wenn Sie den Zuweisungstyp für eine vorhandene Zuweisungskonfiguration ändern möchten, müssen Sie alle vorhandenen definierten Bereiche löschen. Entfernen Sie IP-Bereichszuweisungen, indem Sie zu Gruppen und Einstellungen > Gruppen > Organisationsgruppen > Netzwerkbereiche navigieren. Entfernen Sie benutzerdefinierte Attributzuweisungen, indem Sie zu Geräte > Provisioning > Benutzerdefinierte Attribute > Zuweisungsregeln für benutzerdefinierte Attribute navigieren.

4 Wählen Sie die Gerätebesitzoptionen. Nur Geräte mit den ausgewählten Zuständigkeitstypen werden zugewiesen.

n Unternehmen – Dediziert

n Unternehmen – Gemeinschaftsgerät

n Mitarbeitereigen

n Undefiniert

5 Sie können einen Netzwerkbereich hinzufügen, indem Sie den Link Zum Erstellen eines Netzwerkbereichs hier klicken wählen.

Oder rufen Sie die Seite unter Gruppen & Einstellungen > Gruppen > Organisationsgruppen > Netzwerkbereiche auf. Die Auswahl der Einstellungen für Netzwerkbereiche ist nur sichtbar, wenn Gerätezuweisungen für die Organisationsgruppe aktiviert wurde, in der Sie sich befinden, wenn Sie diesen Standort aufrufen. Weitere Informationen finden Sie unter Festlegen von Regeln zur Gerätezuweisung oder eines Netzwerkbereichs.

Bei Auswahl dieser Option wird die Seite Netzwerkbereiche angezeigt.

6 Wählen Sie Speichern, sobald alle Optionen festgelegt sind.

Festlegen von Regeln zur Gerätezuweisung oder eines NetzwerkbereichsWenn sich Ihr Gerät mit WLAN verbindet, authentifiziert und installiert das Gerät automatisch Profile, Anwendungen, Richtlinien und Produktbereitstellungen, die speziell der OG Ihrer Wahl entsprechen.

Sie können auch Regeln basierend auf benutzerdefinierten Attributen festlegen. Wenn sich ein Gerät mit einem zugewiesenen Attribut registriert, weist die Regel das Gerät der konfigurierten Organisationsgruppe zu. Das Gerät kann auch für den Fall zugewiesen werden, dass das Gerät eine Produktbereitstellung mit einem qualifizierten benutzerdefinierten Attribut empfängt.

Gerätezuweisungen können nur auf einer untergeordneten Organisationsgruppe konfiguriert werden.


VMware, Inc. 172

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Organisationsgruppen > Netzwerkbereiche.

Diese Option für Netzwerkbereiche wird erst dann angezeigt, wenn Sie Gerätezuweisungen aktiviert haben. Wenn Sie „Netzwerkbereiche“ nicht im Navigationspfad der Organisationsgruppen finden können, lesen Sie Aktivieren von Gerätezuweisungen.

2 Um einen einzelnen IP-Bereich (Internet Protocol) hinzuzufügen, wählen Sie Netzwerkbereich hinzufügen. Bearbeiten Sie auf der Seite Netzwerkbereich hinzufügen/bearbeiten folgende Einstellungen und klicken dann auf Speichern:

Tabelle 6-1. Netzwerkbereich hinzufügen


Start-IP-Adresse Geben Sie das obere Ende des Netzwerkbereichs ein.

End-IP-Adresse Geben Sie das untere Ende des Netzwerkbereichs ein.

Name der Organisationsgruppe Geben Sie den Namen der OG ein, zu der das Gerät wechselt, wenn der Netzwerkbereich eingegeben wird. Diese Einstellung wird nur angezeigt, wenn der Typ der Netzwerkzuweisung auf „Organisationsgruppe nach IP-Bereich“ gesetzt ist.

Benutzername Geben Sie den Benutzernamen ein, auf den die Geräte registriert werden, wenn der Netzwerkbereich eingegeben wird. Diese Einstellung ist nur sichtbar, wenn der Typ der Netzwerkzuweisung auf „Benutzername nach IP-Bereich“ gesetzt ist.

Beschreibung Geben Sie nach Wunsch eine aussagekräftige Beschreibung des Netzwerkbereichs ein.

Bei sich überlappenden Netzwerkbereichen wird folgende Meldung angezeigt: „Fehler beim Speichern. Netzwerkbereich bereits vorhanden.“


VMware, Inc. 173

3 Falls Sie mehrere Netzwerkbereiche hinzufügen müssen, können Sie wahlweise Batch-Import wählen, um Zeit zu sparen.

a Klicken Sie auf der Seite „Batch-Import“ auf den Link Vorlage für diesen Batch-Typ herunterladen, um die Batch-Importvorlage anzuzeigen und herunterzuladen.

b Füllen Sie diese Vorlage aus und importieren Sie sie mithilfe der Seite Batch-Import.

c Wählen Sie Speichern.


VMware, Inc. 174

Geräteprofile 7Geräte werden hauptsächlich mit Geräteprofilen verwaltet. Sie stellen Einstellungen dar, die Ihnen zusammen mit Konformitätsrichtlinien dabei helfen, Unternehmensregeln und -verfahren durchzusetzen.

Erstellen Sie Profile für alle Plattformtypen und konfigurieren Sie dann eine Nutzlast, die aus den von Ihnen für jedes einzelne Profil konfigurierten, individuellen Einstellungen für die einzelnen Plattformtypen besteht.

Zum Erstellen eines Profils bestimmen Sie zuerst die Einstellungen unter Allgemein, gefolgt von den Nutzlasteinstellungen.

n Die Einstellungen unter Allgemein bestimmen, wie das Profil eingesetzt wird und wer es erhält.

n Bei der Nutzlast für das Profil handelt es sich um die eigentliche Einschränkung und andere Einstellungen, die dem Gerät bei der Installation des Profils zugewiesen werden.


n Verarbeitung von Profilen

n Hinzufügen von allgemeinen Profileinstellungen

n Listenansicht für Geräteprofile

n Bearbeiten von Geräteprofilen

n Konformitätsprofile

n Geofence-Bereiche

n Zeitpläne

n Gerätezuweisung anzeigen

Verarbeitung von ProfilenGeräteprofile bieten eine standardisierte Grundlage für die Geräteverwaltung. Zusammen mit Konformitätsrichtlinien stellen Geräteprofile den Mechanismus dar, der die Geräteverwaltung zu einem solch wertvollen Tool macht.

VMware, Inc. 175

Die Verarbeitung und Veröffentlichung von Geräteprofilen ist eine erhebliche Belastung für den Server und muss zur Entlastung gesteuert werden. Die Workspace ONE UEM Console verwendet eine Batch-Verarbeitungslogik für die meisten prozessorintensiven Arten von Geräteprofilen. Sie können diese Batch-Logik anpassen, indem Sie zu Gruppen & Einstellungen > Alle Einstellungen > Installation > Leistungsoptimierung navigieren.

Hinzufügen von allgemeinen ProfileinstellungenDie folgenden Profileinstellungen und -optionen gelten für die meisten Plattformen und können als allgemeine Referenz verwendet werden. Einige Plattformen bieten jedoch möglicherweise andere Auswahlmöglichkeiten. Die folgenden Schritte und Einstellungen gelten für alle Profile:

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > HINZUFÜGEN.

Sie können aus den folgenden Optionen wählen, um ein Profil hinzuzufügen.

n Profil hinzufügen – Fügen Sie ein neues Geräteprofil einmalig hinzu.

n Profil hochladen – Laden Sie ein signiertes Profil auf Ihr Gerät hoch.

n Batchimport – Importieren Sie neue Geräteprofile massenweise über eine CSV-Datei (Comma-Separated Values). Geben Sie einen eindeutigen Namen und eine Beschreibung ein, um mehrere Profile auf einmal zu gruppieren und zu organisieren.

2 Wählen Sie Profil hinzufügen.

3 Wählen Sie die entsprechende Plattform für das bereitzustellende Profil aus.

Die Nutzlasteinstellungen variieren je nach ausgewählter Plattform.

4 Vervollständigen Sie die Registerkarte Allgemein, indem Sie folgende Einstellungen bearbeiten:


Name Name des Profils, der in Workspace ONE UEM Console angezeigt werden soll.

Version Schreibgeschütztes Feld, das die momentane Version des Profils gemäß der Schaltfläche Version hinzufügen berichtet.

Beschreibung Eine kurze Beschreibung des Profils, die dessen Zweck angibt.

Bereitstellung Bestimmt, ob die Profile beim Aufheben der Registrierung automatisch entfernt werden (trifft nicht auf Android-Profile zu).

n Verwaltet – Das Profil wird entfernt.

n Manuell – Dieses Profil bleibt installiert, bis es vom Endbenutzer entfernt wird.


VMware, Inc. 176


Zuweisungstyp Bestimmt, wie das Profil verwendet wird.

n Automatisch – Das Profil wird für alle Geräte eingesetzt.

n Optional – Der Endbenutzer kann das Profil über das Self Service-Portal (SSP) installieren. Das Profil kann aber auch für individuelle Geräte nach Ermessen des Administrators eingesetzt werden.

Endbenutzer können mithilfe eines Web Clips oder einer Lesezeichennutzlast auch Profile installieren, die Webanwendungen darstellen. Und wenn Sie die Anzeige der Nutzlast im App-Katalog konfigurieren, können Sie sie über den App-Katalog installieren.

n Interaktiv – (Gilt nicht für iOS oder Android). Dieses Profil weist einen eindeutigen Typ auf, den Endbenutzer über das Self-Service-Portal installieren. Wenn das Profil installiert ist, interagieren diese speziellen Profiltypen mit externen Systemen, um Daten zu generieren, die an das Gerät gesendet werden sollen. Diese Option ist nur verfügbar, sofern sie unter Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Erweitert > Profiloptionen aktiviert wurde.

n Konformität – Das Profil wird durch die Compliance Engine auf das Gerät angewendet, wenn der Benutzer keine Korrekturmaßnahme bezüglich der Konformität seines Geräts vornimmt. Weitere Informationen finden Sie unter Konformitätsprofile.

Entfernen zulassen n Immer – Der Endbenutzer kann das Profil zu jeder Zeit manuell entfernen.

n Mit Autorisierung – Der Endbenutzer kann das Profil mit Autorisierung des Administrators entfernen. Durch die Auswahl dieser Option wird ein Textfeld für ein Konto-Kennwort hinzugefügt.

n Nie – Der Endbenutzer kann das Profil nicht vom Gerät entfernen.

Verwaltet von Die Organisationsgruppe mit administrativem Zugriff auf das Profil.

Zugewiesene Gruppen Die Gruppe, der Geräteprofil hinzugefügt werden soll. Diese Einstellung beinhaltet eine Option zum Erstellen einer neuen Smartgroup, die mit Angaben des Mindestbetriebssystems, der Gerätemodelle, Besitzkategorien, Organisationsgruppen etc. konfiguriert werden kann. Weitere Informationen finden Sie unter Zuweisungsgruppen.


Ausschlüsse Wird Ja ausgewählt, wird ein neues Textfeld Ausgeschlossene Gruppen angezeigt. Mit diesem Textfeld können Sie Gruppen auswählen, die Sie von der Zuweisung dieser Ressource ausschließen möchten. Weitere Informationen finden Sie unter Ausschließen von Gruppen aus Profilen und Richtlinien.

Gerätezuweisung anzeigen

Nachdem Sie eine Auswahl in Zugewiesene Gruppe getroffen haben, können Sie eine Vorschau einer Liste aller zugewiesenen Geräte anzeigen, wobei die Smartgroup-Zuweisungen und -Ausschlüsse berücksichtigt werden.

Zusätzliche Zuweisungskriterien

Mit diesen Kontrollkästchen können Sie weitere Restriktionen für das Profil festlegen.

n Nur auf Geräten innerhalb der ausgewählten Bereiche installieren – Geben Sie eine beliebige Adresse und einen Radius (in Kilometern oder Meilen) ein, um die Profilinstallation einzugrenzen. Weitere Informationen finden Sie unter Geofence-Bereiche.

n Planung aktivieren und nur in ausgewählten Zeiträumen installieren – Legen Sie mit einem konfigurierten Zeitplan fest, wann welche Geräte das Profil erhalten sollen. Wird diese Option ausgewählt, wird das erforderliche Feld Zugewiesene Zeitpläne angezeigt. Weitere Informationen finden Sie unter Zeitpläne.

Entfernungsdatum Das Datum, an dem das Profil vom Gerät entfernt wird. Dabei ist ein zukünftiges Datum im Format T/M/JJJJ erforderlich.


VMware, Inc. 177

5 Konfigurieren Sie eine Nutzlast für die Geräteplattform.

Eine Schritt-für-Schritt-Anleitung zur Konfiguration einer bestimmten Nutzlast für eine bestimmte Plattform finden Sie im jeweiligen Leitfaden zur entsprechenden Plattform, der unter docs.vmware.com verfügbar ist.


Listenansicht für GeräteprofileNachdem Sie Ihre Profile erstellt und zugewiesen haben, benötigen Sie eine Methode, um diese Einstellungen gleichzeitig und remote von einer einzigen Stelle aus zu verwalten. Über die Seite Geräte > Profile & Ressourcen > Profile können Sie Profile organisieren und Aktionen ausführen.

Sie können maßgeschneiderte Listen von Geräteprofilen erstellen, basierend auf den Kriterien, die Sie unter Verwendung von Filter, Layout und Spaltensortierung festgelegt haben. Diese Listen können Sie ebenfalls in eine CSV-Datei zur Ansicht in Excel exportieren, wo Sie den Status des Geräteprofils einsehen können.


Filter Zeigen Sie nur die gewünschten Profile durch Nutzung folgender Filter an.

n Status – Filtern Sie Geräte zur Ansicht von Geräten mit dem Status „Aktiv“, „Inaktiv“ und „Alle“.

n Plattform – Filtern Sie Geräte nach 13 verschiedenen Plattformen oder allen Plattformen.

n Smartgroup – Filtern Sie Geräte, indem Sie eine Smartgroup aus dem Dropdown-Menü auswählen.

Layout Ermöglicht Ihnen, das Spaltenlayout der Auflistung anzupassen.

n Übersicht – Prüfen Sie die Listenansicht mit den Standardspalten und Anzeigeeinstellungen.

n Benutzerdefiniert – Wählen Sie nur die gewünschten Spalten in der Listenansicht aus. Sie haben auch die Möglichkeit, ausgewählte Spalten auf alle Administratoren in und unterhalb der momentanen Organisationsgruppe anzuwenden.

Exportieren Speichern Sie eine CSV-Datei (Comma-Separated Values) der gesamten Listenansicht, die dann in Excel eingesehen und analysiert werden kann. Falls Sie für die Listensicht einen Filter verwenden, spiegelt die exportierte Auflistung die herausgefilterten Resultate wider.

Spaltensortierung Klicken Sie auf die Spaltenüberschrift, um die Sortierung der Liste umzuschalten.

Profildetails In den Ansichten Übersicht und Benutzerdefiniert in den Profildetails weist jedes Profil ein Symbol auf, das den Nutzlasttyp darstellt.

– Einzelnutzlasttypen weisen ein eindeutiges Symbol für den individuellen Nutzlasttyp auf.

– Profile mit mehreren Nutzlasten des gleichen Typs weisen oben rechts vom Symbol ein Nummernkennzeichen auf.

– Profile mit mehreren Nutzlasten unterschiedlicher Typen weisen ein generisches Symbol mit einem Nummernkennzeichen auf.


VMware, Inc. 178


Installationsstatus Diese Spalte zeigt den Status der Installation eines Profils in Form von drei Symbolindikatoren mit je einem Hypertext-Nummernlink. Dieser Link führt Sie zur Seite Geräte anzeigen, welche die betroffenen Geräte der ausgewählten Kategorie auflistet.

n Installiert ( ) – Dieser Indikator zeigt die Anzahl der Geräte an, denen das Profil zugewiesen und auf denen das Profil erfolgreich installiert wurde.

n Nicht installiert ( ) – Dieser Indikator zeigt die Anzahl der Geräte an, denen das Profil zugewiesen aber auf denen das Profil nicht installiert wurde.

n Zugewiesen ( ) – Dieser Indikator zeigt die Gesamtzahl der zugewiesenen Profile an, unabhängig davon ob sie installiert wurden oder nicht.

Optionsfeld und Bearbeitungssymbol

Auf der Seite Listenansicht sehen Sie links neben dem Profil ein Optionsfeld zur Auswahl sowie das

Symbol Bearbeiten. Durch Auswahl des Symbols Bearbeiten ( ) können Sie grundlegende Änderungen an der Profilkonfiguration vornehmen. Durch Auswahl eines einzelnen Optionsfelds werden über der Auflistung die Schaltflächen Geräte, XML und Weitere Aktionen angezeigt:

n Geräte – Sehen Sie Geräte ein, die für das Profil zur Verfügung stehen, ob das Profil installiert ist und den Grund, falls dieses nicht installiert ist. Prüfen Sie, welche Geräte sich in Ihrer Flotte befinden, und übertragen Sie nach Bedarf Profile manuell per Push.

n </ > XML – Der XML-Code wird angezeigt, den Workspace ONE UEM nach der Profilerstellung generiert. Prüfen und speichern Sie den XML-Code zur erneuten Nutzung oder Änderung außerhalb der Konsole.

n Weitere Aktionenn Kopieren – Kopieren Sie ein vorhandenes Profil und optimieren Sie die Konfiguration der

Kopie, um mit den Geräteprofilen zu beginnen.

n Aktivieren/Deaktivieren – Aktivieren und deaktivieren Sie ein Geräteprofil beliebig.

n Löschen – Verwalten Sie Ihre Profilliste, indem Sie nicht erforderliche Profile entfernen.

Cursor-Popups bei GeräteprofilenJedes Geräteprofil in der Spalte Profildetails ist oben rechts mit einem QuickInfo-Symbol versehen. Wenn ein Benutzer (mit einem mobilen Touchscreengerät) auf dieses Symbol tippt oder (mittels eines PC oder Mac) mit einem Mauszeiger über dieses Symbol fährt, wird eine Cursor-Popup-Meldung angezeigt.

Dieses Popup-Meldung enthält Profildaten wie Profilname, Plattform und der inbegriffene Nutzlasttyp.


VMware, Inc. 179

Ein ähnliches QuickInfo-Symbol finden Sie in der Spalte Zugewiesene Gruppen in der Ansicht Profilliste. Cursor-Popups zeigen Zugewiesene Smartgroups und Bereitstellungstyp an.

Bestätigen der GeräteprofilinstallationIm seltenen Fall, dass ein Profil auf den vorgesehenen Geräten nicht installiert werden kann, können Sie auf der Seite Geräte anzeigen den Grund dafür sehen.

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile und wählen Sie die Nummernlinks rechts neben der Spalte Installationsstatus, um die Seite Geräte anzeigen zu öffnen.

2 (Optional) Erstellen Sie eine CSV-Datei (Comma-Separated Value) der gesamten Seite Geräte

anzeigen, indem Sie das Symbol Exportieren auswählen ( ).

Die CSV-Datei kann mithilfe von Excel gelesen und analysiert werden.

3 (Optional) Passen Sie die Spalten auf der Seite Geräte anzeigen an, die angezeigt werden sollen,

indem Sie das Symbol Verfügbare Spalten auswählen ( ).

Anzeigen der Spalte „Befehlsstatus“ von GeräteniOS-Geräte verfügen über die Spalte Befehlsstatus auf der Seite Geräte anzeigen, die folgende hilfreiche Installationsstatus in Bezug auf das ausgewählte iOS-Gerät enthält.

Die folgenden Status werden in der Spalte „Befehlsstatus“ angezeigt.

n Fehler – Wird als Link angezeigt, der bei Auswahl den jeweiligen, für das Gerät geltenden Fehlercode anzeigt.

n Enthalten – Wird angezeigt, wenn das Gerät in einem Zertifikats-Batch-Vorgang enthalten ist, der momentan ausgeführt wird.

n Nicht zutreffend – Wird angezeigt, wenn die Profilzuweisung keine Auswirkung auf das Gerät hat, aber trotzdem Bestandteil der Smartgroup oder Bereitstellung ist. Beispiel: Ein Profiltyp ist nicht verwaltet.

n Nicht jetzt – Wird angezeigt, wenn das Gerät gesperrt oder anderweitig besetzt ist.

n Ausstehend – Wird angezeigt, wenn sich die Installation in der Warteschlange befindet und voraussichtlich planmäßig abgeschlossen wird.

n Gelungen – Wird angezeigt, wenn das Profil erfolgreich installiert wurde.


VMware, Inc. 180

Geräteprofile – schreibgeschützte AnsichtGeräteprofile, die in einer Organisationsgruppe (OG) erstellt wurden und von einer Organisationsgruppe verwaltet werden, sind schreibgeschützt, wenn angemeldete Administratoren mit eingeschränkten Berechtigungen darauf zugreifen. Der schreibgeschützte Status wird im Profilfenster durch einen besonderen, zusätzlichen Kommentar angegeben: „Dieses Profil wird in einer höheren Organisationsgruppe verwaltet und kann nicht bearbeitet werden.“.

Dieser Schreibschutz gilt auch für Smartgroup-Zuweisungen. Wird ein Profil in einer übergeordneten OG erstellt und einer Smartgroup zugewiesen, kann ein Administrator einer untergeordneten OG die Smartgroup zwar sehen, aber nicht bearbeiten.

Ein derartiges Verhalten erhält eine hierarchiebasierte Sicherheit aufrecht und fördert gleichzeitig die Kommunikation unter den Administratoren.

Bearbeiten von GeräteprofilenMit der Workspace ONE UEM Console können Sie ein Geräteprofil bearbeiten, das bereits auf Geräten Ihrer Flotte installiert wurde. Es gibt zwei Arten von Änderungen, die Sie an jedem beliebigen Geräteprofil vornehmen können.

n Allgemein – Allgemeine Profileinstellungen dienen der Verwaltung der Profilverteilung: wie das Profil zugewiesen, von welcher Organisationsgruppe es verwaltet, welchen Smartgroups es zugewiesen und von welchen Smartgroups es ausgeschlossen wird.

n Nutzlast – Nutzlastprofileinstellungen betreffen das Gerät selbst: Kennungsvoraussetzung, Gerätebeschränkungen, wie Kameranutzung oder Bildschirmaufnahme, WLAN-Konfigurationen, VPN usw.

Da der Betrieb des Geräts selbst nicht beeinflusst wird, können Änderungen unter Allgemein üblicherweise ohne erneute Veröffentlichung des Profils vorgenommen werden. Die Speicherung solcher Änderungen hat zur Folge, dass das Profil nur auf solche Geräte übertragen wird, die dem Profil noch nicht zugewiesen wurden.

Nutzlaständerungen müssen jedoch immer für alle Geräte – neue sowie bereits bestehende – neu veröffentlicht werden, da der Betrieb des Geräts selbst betroffen ist.

Bearbeiten allgemeiner GeräteprofileinstellungenZu allgemeinen Profileinstellungen zählen Änderungen, mit der nur die Verteilung verwaltet wird. Die Verteilung gibt an, wie das Profil zugewiesen, von welcher Organisationsgruppe es verwaltet, welchen Zuweisungsgruppen es zugewiesen und von welchen Zuweisungsgruppen es ausgeschlossen wird.

Weitere Informationen finden Sie unter Hinzufügen von allgemeinen Profileinstellungen und Gerätezuweisung anzeigen.


VMware, Inc. 181

Verfahren

1 Navigieren Sie zu Geräte > Profile & Ressourcen > Profile und wählen Sie das Symbol Bearbeiten

( ) im Aktionsmenü des Profils, das Sie bearbeiten möchten.

Die einzigen Profile, die bearbeitet werden können, werden von einer Organisationsgruppe (oder einer nächsthöheren untergeordneten Organisationsgruppe) verwaltet.

2 Nehmen Sie in der Kategorie Allgemein die gewünschten Änderungen vor.

3 Nachdem Sie die allgemeinen Änderungen gemacht haben, wählen Sie Speichern und veröffentlichen aus, um das Profil auf alle von Ihnen hinzugefügten oder entfernten neuen Geräte anzuwenden.

Ergebnisse

Geräte, denen ein Profil bereits zugewiesen wurde, erhalten das neu veröffentlichte Profil erneut. Die Seite Gerätezuweisung anzeigen wird angezeigt, mit der Sie die Liste aller aktuell zugewiesenen Geräte bestätigen können.

Bearbeiten der Geräteprofileinstellungen für NutzlastenNutzlastprofileinstellungen schließen Änderungen ein, die das Gerät selbst betreffen: Kennungsvoraussetzung, Gerätebeschränkungen, wie Kameranutzung oder Bildschirmaufnahme, WLAN-Konfigurationen, VPN usw.

Die Schaltfläche Version hinzufügen ermöglicht es Ihnen, eine Inkrementversion des Profils zu erstellen, in der Einstellungen bei der Nutzlast geändert werden können.

Verfahren

1 Aktivieren Sie die Bearbeitung der Nutzlast, die sich auf den Betrieb des Geräts auswirkt, indem Sie auf die Schaltfläche Version hinzufügen klicken.

Wenn Sie die Schaltfläche Version hinzufügen auswählen und Ihre Änderungen speichern, wird das Geräteprofil auf allen Geräten erneut veröffentlicht, denen es zugewiesen ist. Diese erneute Veröffentlichung umfasst Geräte, die bereits über das Profil verfügen.

Eine Schritt-für-Schritt-Anleitung, wie Sie eine bestimmte Nutzlast konfigurieren, finden Sie im Leitfaden zur entsprechenden Plattform, der unter docs.vmware.com verfügbar ist.

2 Nachdem Sie die Nutzlaständerungen bearbeitet haben, wählen Sie Speichern und veröffentlichen, um das Profil auf alle zugewiesenen Geräte anzuwenden.

Ergebnisse

Die Seite Gerätezuweisung anzeigen wird angezeigt, mit der Sie die Liste aller aktuell zugewiesenen Geräte bestätigen können.


VMware, Inc. 182

KonformitätsprofileUm die Funktionsweise von Konformitätsprofilen zu verstehen, müssen Sie ein klares Verständnis über Geräte- und Konformitätsprofile haben. Geräteprofile bilden die Grundlage der Geräteverwaltung und -sicherheit, Übereinstimmungsrichtlinien dienen hingegen dem Schutz von Unternehmensinhalten.

Geräteprofile ermöglichen Ihnen die die Kontrolle über eine große Bandbreite an Geräteeinstellungen. Zu diesen Einstellungen zählen u.a. Kennungskomplexität, Geofencing, Zeitpläne, Funktionalität von Gerätehardware, WLAN, VPN, E-Mail, Zertifikate.

Die Compliance Engine überwacht Regeln, setzt Aktionen durch und wendet Eskalationen an (all dies können Sie definieren). Übereinstimmungsprofile sollen der Compliance Engine jedoch alle Optionen und Einstellungen bereitstellen, die üblicherweise nur Geräteprofilen zur Verfügung stehen. Weitere Informationen finden Sie unter Kapitel 9 Konformitätsrichtlinien.

Beispielsweise können Sie ein bestimmtes Geräteprofil erstellen, das mit Ihrem normalen Geräteprofil identisch ist, jedoch restriktivere Einstellungen aufweist. Sie können das jeweilige Geräteprofil bei der Festlegung Ihrer Konformitätsrichtlinie auf der Registerkarte „Aktionen“ anwenden. Wenn der Benutzer mit einer solchen Konfiguration keine Gerätekonformität erreichen kann, können Sie das restriktivere Konformitätsprofil anwenden.

Hinzufügen eines KonformitätsprofilsSie können ein Konformitätsprofil hinzufügen. Dabei handelt sich um eine Kombination einer Konformitätsrichtlinie und eines Geräteprofils. So lassen sich die Vorteile beider Funktionen optimal nutzen. Das Hinzufügen eines Konformitätsprofils besteht aus zwei Schritten: 1) Geräteprofil erstellen und (2) das Profil als "Aktion" in einer Konformitätsrichtlinie zuweisen.

Konformitätsprofile werden auf dieselbe Weise erstellt und gespeichert wie die Geräteprofile „Automatisch“ und „Optional“.

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile und wählen Sie anschließend Hinzufügen, Profil hinzufügen sowie eine Plattform aus.

2 Wählen Sie einen Namen für Ihr Konformitätsprofil aus, den Sie später wiedererkennen können.

3 Wählen Sie auf der Profilregisterkarte Allgemein die Option „Konformität“ in der Dropdown-Einstellung Zuweisungstyp aus.

4 Füllen Sie die verbleibenden Einstellungen „Allgemein“ und „Nutzlast“ aus.

5 Klicken Sie nach Abschluss auf Speichern und veröffentlichen.

6 Wählen Sie dieses Profil in ihrer Konformitätsrichtlinie.

7 Navigieren Sie zu Geräte > Konformitätsrichtlinien > Listenansicht, wählen Sie Hinzufügen und anschließend eine Plattform aus.

8 Legen Sie die Konformitätsregeln fest und wählen Sie Weiter aus.


VMware, Inc. 183

9 Treffen Sie auf der Registerkarte Aktionen folgende Auswahl.

a Legen Sie das erste Dropdown-Menü auf „Profil“ fest.

b Legen Sie das zweite Dropdown-Menü auf „Konformitätsprofil installieren“ fest.

c Legen Sie das dritte Dropdown-Menü auf das benannte Geräteprofil fest.

10 Wählen Sie Weiter aus und fahren Sie mit der Konfiguration der verbleibenden Einstellungen fort, einschließlich derer der Registerkarten „Zuweisung“ und „Übersicht“.

11 Speichern Sie die Konformitätsrichtlinie, indem Sie Fertigstellen oder Fertigstellen und aktivieren auswählen.

Nächste Schritte

Eine Schritt-für-Schritt-Anleitung zum Abschließen eines Geräteprofils finden Sie unter Hinzufügen von allgemeinen Profileinstellungen.

Eine Schritt-für-Schritt-Anleitung zum Abschließen einer Konformitätsrichtlinie finden Sie unter Hinzufügen einer Konformitätsrichtlinie.

Geofence-BereicheMit Workspace ONE UEM können Sie für Ihr Profil einen Geofence-Bereich festlegen. Ein Geofence-Bereich beschränkt die Gerätenutzung auf bestimmte Bereiche wie Bürogebäude, Schulen oder Kaufhäuser. Sie können einen Geofence-Bereich als virtuelle Grenze für ein reales geographisches Gebiet betrachten.

Beispielsweise könnte ein Geofence-Bereich mit einem Radius von 1 Kilometer für Ihr Büro angewendet werden; ein wesentlich größerer Geofence-Bereich hingegen für eine gesamte Region. Einen einmal festgelegten Geofence-Bereich können Sie auf Profile, SDK-Anwendungen und Workspace ONE UEM-Anwendungen wie VMware Content Locker und vieles mehr anwenden.

n Zur Aktivierung eines Geofence-Bereichs sind zwei Schritte erforderlich.

a Geofencing-Bereich hinzufügen.

b Anwenden eines Geofence auf ein Profil.

n Geofencing ist für Android- und iOS-Geräte verfügbar.

n Beachten Sie bitte, dass Sie nur über eine Nutzlast pro Profil verfügen sollten, obwohl Geofencing mit einer anderen Nutzlast kombiniert ist, um Sicherheitsprofile je nach Standort zu ermöglichen.

Weitere Informationen zur Nachverfolgung des GPS-Standorts in Workspace ONE UEM finden Sie im folgenden Artikel in der VMware Wissensdatenbank: https://support.workspaceone.com/articles/115001663108.

Unterstützung für Geofencing auf iOS-GerätenGeofencing für Anwendungen funktioniert nur auf iOS-Geräten, auf denen Ortungsdienste ausgeführt werden. Damit die Ortungsdienste funktionieren muss das Gerät entweder mit einem Mobilfunknetz oder


VMware, Inc. 184



WLAN-Hotspot verbunden sein. Andernfalls muss das Gerät über eine integrierte GPS-Funktion verfügen.

Bei Geräten, die nur WLAN-Zugriff bereitstellen, werden GPS-Daten gemeldet, wenn das Gerät eingeschaltet und entsperrt ist und der Workspace ONE Intelligent Hub geöffnet ist und verwendet wird. Bei Mobiltelefonen werden GPS-Daten gemeldet, wenn das Gerät auf einen anderen Mobilfunkmast umschaltet. VMware Browser und Content Locker melden GPS-Daten (unter Verwendung von Workspace ONE Intelligent Hub), wenn der Endbenutzer diese Anwendungen öffnet und benutzt.

Bei Geräten im „Flugmodus“ sind Ortungsdienste (und damit Geofencing) deaktiviert.

Gerät WLAN Mobilfunknetz Integriertes GPS

iPhone ✓ ✓ ✓

iPad WLAN + 3G/4G ✓ ✓ ✓

iPad WLAN ✓

iPod Touch ✓

Folgende Anforderungen müssen erfüllt sein, damit der GPS-Standort aktualisiert wird.

n Auf dem Gerät muss der Workspace ONE Intelligent Hub ausgeführt werden.

n Die Datenschutzeinstellungen müssen die Erfassung von GPS-Standortdaten zulassen (Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Datenschutz).

n Die Einstellungen für Workspace ONE Intelligent Hub für Apple iOS müssen die Option „Standortdaten erfassen“ ermöglichen (Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Apple > Apple iOS > Hub-Einstellungen).

Legen Sie die Workspace ONE Intelligent Hub-SDK-Einstellungen auf die Standard-SDK-Einstellungen anstatt auf „Keine“ fest.

Geofencing-Bereich hinzufügenSie müssen einen Geofencing-Bereich festlegen, bevor Sie diesen auf ein Gerät anwenden können.

Verfahren

1 Rufen Sie die Einstellungsseite für „Bereich“ auf, indem Sie zu Geräte > Profile und Ressourcen > Profileinstellungen > Bereiche navigieren. Wählen Sie Hinzufügen und dann Geofencing-Bereich aus.

2 Geben Sie eine Adresse und den Geofence-Radius in Kilometern oder Meilen ein.

Sie können außerdem per Doppelklick auf eine beliebige Stelle auf der Karte den Mittelpunkt festlegen.


VMware, Inc. 185

3 Wählen Sie Zum Suchen klicken, um auf einer Karte zu prüfen, wo der Geofence ungefähr angewendet werden soll.

Hinweis Für die Integration in Bing-Karten müssen unsichere Inhalte auf dieser Seite geladen werden. Falls eine Standortsuche nicht wie erwartet geladen wird, müssen Sie für Ihren Browser möglicherweise die Option „Alle Inhalte anzeigen“ zulassen.

4 Geben Sie die Bereichsbezeichnung (wie sie in der Workspace ONE UEM Console erscheinen soll) ein und klicken Sie auf Speichern.

Nächste Schritte

Anschließend müssen Sie ein Geofence auf ein Profil anwenden. Weitere Informationen finden Sie unter Anwenden eines Geofence auf ein Profil.

Anwenden eines Geofence auf ein ProfilHaben Sie einen Geofencing-Bereich definiert, können Sie ihn auf ein Profil anwenden und mit anderen Nutzlasten kombinieren, um robustere Profile zu erstellen.

Wenn ein Benutzer die Standortdienste auf seinem iOS-Gerät manuell deaktiviert, können in Workspace ONE UEM keine Standortupdates mehr erfasst werden. Workspace ONE UEM geht davon aus, das sich das Gerät an dem Standort befindet, an dem die Dienste deaktiviert wurden.

Verfahren

1 Gehen Sie zu Geräte > Profile & Ressourcen > Profile > HINZUFÜGEN und wählen Sie eine Plattform aus.

2 Wählen Sie Nur auf Geräten innerhalb der ausgewählten Bereiche installieren auf der Registerkarte Allgemein.

Das Feld Zugewiesene Geofence-Bereiche wird angezeigt. Sollte kein Geofence-Bereich festgelegt worden sein, leitet Sie das Menü zum Erstellungsmenü „Geofencing-Bereich“ zurück.

3 Geben Sie einen oder mehrere Geofencing-Bereiche für dieses Profil ein.

4 Konfigurieren Sie eine Nutzlast wie Kennung, Restriktionen oder WLAN, die nur auf Geräte innerhalb der ausgewählten Geofencing-Bereiche angewendet werden sollen.


Beispiel

Beispielsweise können Sie um sämtliche Ihrer Büros Geofencing-Bereiche definieren. Fügen Sie anschließend eine Restriktionsnutzlast hinzu, die den Zugriff auf das Game Center, Multiplayer-Spiele sowie YouTube-Inhalte und andere Einstellungen untersagt. Sobald der Geofence aktiviert ist, haben die Angestellten der Organisationsgruppe, auf die das Profil angewendet wurde, keinen Zugriff auf diese Funktionen mehr, solange sie im Büro sind.


VMware, Inc. 186

iBeaconsBei iBeacon handelt es sich um ein Bluetooth-basiertes Protokoll zur Positionsbestimmung, das von Apple entwickelt wurde. Daher wird es exklusiv für bestimmte Apple-Produkte verwendet.

iBeacon ist iOS-spezifisch und wird zur Verwaltung der Standorterkennung verwendet. Weitere Informationen finden Sie im Leitfaden zur VMware AirWatch iOS-Plattform, verfügbar unter docs.vmware.com.

ZeitpläneZeitpläne ermöglichen es Ihnen, zu steuern, wann die einzelnen Geräteprofile aktiv sind. Das Profil gibt an, ob die Nutzbarkeit von Geräten beschränkt oder berechtigt wird. Der Zeitplan versieht die Profilinstallation lediglich mit einem Zeitplan.

Zur Aktivierung eines Zeitplans sind zwei Schritte erforderlich.

1 Festlegen eines Zeitplans

Weitere Informationen finden Sie unter Festlegen eines Zeitplans.

2 Anwenden eines Zeitplans auf ein Profil

Weitere Informationen finden Sie unter Anwenden eines Zeitplans auf ein Profil.

Festlegen eines ZeitplansSie müssen einen Zeitplan definieren, bevor Sie Ihn auf ein Geräteprofil anwenden.

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profileinstellungen > Zeitpläne.

2 Wählen Sie Zeitplan hinzufügen über der Spalte Zeitplanname aus.

3 Wählen Sie Zeitplan hinzufügen unter der Spalte Wochentag aus und nehmen Sie anschließend die folgenden Einstellungen vor.


Zeitplanbezeichnung Geben Sie den Namen des Zeitplans ein, der in der Liste angezeigt wird.

Zeitzone Wählen Sie die Zeitzone der Organisationsgruppe aus, in der das Gerät verwaltet wird.

Wochentag Wenden Sie eine geplante Profilinstallation durch Auswahl eines Wochentags an.

Ganztägig Führen Sie die Installation des Profils um Mitternacht am ausgewählten Wochentag aus. Durch Aktivieren dieses Kontrollkästchen werden die Spalten Startzeit und Endzeit entfernt.

Startzeit Wählen Sie die Tageszeit aus, an der das Profil installiert werden soll.

Endzeit Wählen Sie die Tageszeit aus, an der das Profil deinstalliert werden soll.

Aktionen Entfernen Sie den Tagesplan durch Klicken auf das Symbol X.


VMware, Inc. 187

http://docs.vmware.com/


Anwenden eines Zeitplans auf ein ProfilHaben Sie einen Zeitplan festgelegt, können Sie ihn auf ein neues Profil anwenden und mit anderen Nutzlasten kombinieren, um robustere Profile zu erstellen. Zum Beispiel können Sie Zeitpläne für die normalen Geschäftszeiten definieren und dann eine Nutzlast „Restriktionen“ hinzufügen, die den Zugriff auf YouTube, Multiplayer-Spiele und andere Apps verwehrt.

Sobald der Zeitplan aktiviert ist, haben die Benutzer der Organisationsgruppe, auf die das Profil angewendet wurde, keinen Zugriff mehr auf diese Funktionen während der festgelegten Zeiten.

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > ADD und wählen Sie Ihre Plattform aus.

2 Wählen Sie Zeitplanung aktivieren und nur in ausgewählten Zeiträumen installieren auf der Registerkarte Allgemein.

3 In dem Feld Zugewiesene Zeitpläne geben Sie unter diesem Profil ein oder mehrere Zeitpläne ein.

4 Konfigurieren Sie eine Nutzlast, wie Kennung, Restriktionen oder WLAN, die Sie nur auf Geräte innerhalb der ausgewählten Zeitrahmen anwenden möchten.


Anwenden eines Zeitplans auf ein vorhandenes ProfilSie können einen zuvor definierten Zeitplan auf ein vorhandenes Profil anwenden, damit für dieses die von Ihnen festgelegten Zeiteinschränkungen gelten.

Verfahren

1 Navigieren Sie zu Geräte > Profile & Ressourcen > Profile und wählen Sie das zu bearbeitende Profil aus der Liste aus. Wählen Sie das Bearbeitungssymbol ( ) oder klicken Sie auf den Profilnamen.

2 Aktivieren Sie auf der Registerkarte Allgemein der Profilseite die Einstellung Zeitplanung aktivieren und nur in ausgewählten Zeiträumen installieren.

3 Wählen Sie in der angezeigten Einstellung Zugewiesener Zeitplan den zuvor gespeicherten Zeitplan aus dem Dropdown-Menü aus.


Löschen eines ZeitplansHalten Sie Ihre Sammlung frei von nicht verwendeten Zeitplänen, indem Sie sie löschen. Es kann kein Zeitplan gelöscht werden, der einem Profil zugewiesen ist. Heben Sie die Zuweisung des Plans vom Profil auf, bevor Sie ihn löschen.


VMware, Inc. 188

Voraussetzungen

Navigieren Sie zu Geräte > Profile & Ressourcen > Profileinstellungen > Zeitpläne.

Verfahren

1 Aktivieren Sie das Optionsfeld neben dem zu löschenden Zeitplan.

2 Klicken Sie auf die Schaltfläche Löschen.

Gerätezuweisung anzeigenDurch Auswahl der Schaltfläche Speichern und veröffentlichen nach der Konfiguration eines Geräteprofils wird die Seite Gerätezuweisung anzeigen eingeblendet. Dadurch können Sie die betroffenen (oder nicht betroffenen) Geräte im Voraus einsehen.

Abhängig von den Änderungen, die Sie am Geräteprofil vornehmen, wird in der Spalte Zuweisungsstatus Folgendes angezeigt:

n Hinzugefügt – Das Profil wird dem Gerät hinzugefügt und auf diesem veröffentlicht.

n Entfernt – Das Profil wird vom Gerät entfernt.

n Unverändert – Weist darauf hin, dass das Profil für das Gerät nicht erneut auf dem Gerät veröffentlicht wird.

n Aktualisiert – Weist darauf hin, dass das Profil für ein Gerät, dem das Profil bereits zugewiesen ist, erneut veröffentlicht wird.

Wählen Sie Veröffentlichen aus, um die Änderungen abzuschließen und erforderliche Profile ggf. erneut zu veröffentlichen.


VMware, Inc. 189

Ressourcen 8Ressourcen vereinfachen die Bereitstellung von WLAN-, VPN- und Exchange-Nutzlasten für Workspace ONE UEM-Bereitstellungen, die mehrere Plattformen wie iOS, Android und Windows unterstützen.

Erstellen Sie eine Ressource für beliebige Nutzlasten und definieren Sie die allgemeinen Einstellungen, die auf jede Geräteplattform angewendet werden sollen. Sie können dann wahlweise plattformspezifische Einstellungen konfigurieren, die nur für diese Geräte gelten.

Ressourcen werden separat von Geräteprofilen definiert, verwaltet und bereitgestellt. Stellen Sie Ressourcen zusammen mit Geräteprofilen bereit, um eine tiefgehende und umfassende Geräteverwaltung für alle unterstützten Plattformen in Ihrer Bereitstellung zu ermöglichen.

Sie müssen WLAN-, VPN- oder Exchange-Einstellungen nicht über Ressourcen bereitstellen. Wenn Sie dies dennoch tun sollten, können Sie für jede Plattform nach wie vor separate Geräteprofile für diese Nutzlasten erstellen. Wenn absehbar ist, dass die WLAN-, VPN- oder Exchange-Einstellungen plattformübergreifend identisch oder ähnlich sind, sollten Sie eventuell Ressourcen bereitstellen. Erstellen Sie dann wie gewohnt weitere Geräteprofile, um weitere Funktionen für jede Plattform zu verwalten.


n Ressourcenlistenansicht

n Hinzufügen einer Exchange-Ressource

n Hinzufügen einer WLAN-Ressource

n Hinzufügen einer VPN-Ressource

RessourcenlistenansichtMithilfe der Ressourcenlistenansicht können Sie Ihre Sammlung an Geräteressourcen verwalten. Dies umfasst Tätigkeiten wie das Anzeigen, Löschen und Bearbeiten einzelner Ressourcenkonfigurationen.

Hinzufügen einer RessourceSie können eine Ressource hinzufügen, die Ihrer Multi-Plattform-Geräteflotte mit denselben Exchange-, WLAN- und VPN-Einstellungen bereitgestellt werden soll.

VMware, Inc. 190

Navigieren Sie zu Geräte > Profile und Ressourcen > Ressourcen und wählen Sie Ressource hinzufügen. Zum Hinzufügen einer Ressource müssen Sie eine der folgenden Optionen auswählen.

n Exchange – Konfigurieren Sie die E-Mail-Einstellungen, um die Verbindung mit Ihrem Exchange-E-Mail-Server aufrechtzuerhalten.

n WLAN – Konfigurieren Sie die WLAN-Verbindungseinstellungen, um die Verbindung mit dem Netzwerk aufrechtzuerhalten.

n VPN – Konfigurieren Sie die VPN-Einstellungen (Virtual Private Network), um eine sichere Verbindung aufrechtzuerhalten.

Für jede Ressource müssen drei verschiedene Konfigurationsschritte durchgeführt werden. Erstellen Sie eine Geräteressource, indem Sie Ressourcendetails, die jeweiligen Plattformen und die Zuweisung der Ressource zu den Geräten festlegen.

n Die Ressourcendetails enthalten den Ressourcennamen, Beschreibung, Serverabhängigkeiten und andere kritische Einstellungen, durch die die Funktionsweise der Ressource festgelegt wird.

n Mit der Option Plattformen wird definiert, auf welchen Geräten die Ressource ausgeführt wird.

n Mit der Option Zuweisung wird festgelegt, wie die Ressource bereitgestellt wird, einschließlich Organisationsgruppen, Benutzergruppen und Smartgroups.

Verwalten von RessourcenSobald Sie über eine Sammlung von Ressourcen verfügen, können Sie diese über Geräte > Profile und Ressourcen > Ressourcen verwalten und diese filtern, anzeigen, bearbeiten und löschen.

n Filtern Sie die Ressourcenlistenansicht, um aktive, inaktive oder alle Ressourcen anzuzeigen.

n Zeigen Sie die unterschiedlichen Plattformen an, die Ihre Ressource enthält, indem Sie auf die Hyperlinknummer in der Spalte Plattformen klicken.

n Öffnen Sie Erweiterte Einstellungen für die Ressource, indem Sie auf den Hyperlinknamen der Plattform klicken.

n Öffnen Sie die Seite Geräte anzeigen durch Auswahl der Hyperlinknummer in der Spalte Installiert/Zugewiesen der Seite „Plattformen“. Auf dieser Seite wird die Liste der Geräte angezeigt, die der Ressource zugewiesen sind.

n Um den XML-Code anzuzeigen und zu exportieren und ein Zertifikat hochzuladen, klicken Sie auf den Hyperlink Anzeigen in der Spalte „XML“ auf der Seite „Plattformen“.

n Sie können eine Ressource bearbeiten, indem Sie auf den Link für den Namen der Ressource klicken, durch den der Abschnitt Ressourcendetails auf der Seite Ressource bearbeiten angezeigt wird.

n Bearbeiten Sie die Ressourcendetails durch Klicken auf das Symbol „Bearbeiten“ ( ) links neben der Ressourcenliste. Durch Klicken auf die Schaltfläche Weiter können Sie mit den Änderungen an den anderen Abschnitten auf der Seite Ressource bearbeiten fortfahren.


VMware, Inc. 191

n Bearbeiten Sie die Zuweisung der Ressource, indem Sie links neben dem Ressourceneintrag das Optionsfeld aktivieren und dann auf die Schaltfläche Zuweisung bearbeiten klicken.

n Löschen Sie eine Ressource, indem Sie links neben dem Ressourceneintrag das Optionsfeld aktivieren und auf die Schaltfläche Löschen klicken. Durch das Löschen einer Ressource wird diese deaktiviert, bis sie von allen Geräten entfernt wird.

Hinzufügen einer Exchange-RessourceDurch die Funktionen zum sicheren Senden und Empfangen von E-Mail-Nachrichten können Sie eine Ressource zur Bereitstellung von Geräten hinzufügen.

Unter Kapitel 8 Ressourcen finden Sie eine Übersicht.

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Ressourcen und wählen Sie Ressource hinzufügen gefolgt von Exchange aus. Nehmen Sie dann die folgenden Einstellungen vor.


Ressourcendetails

Ressourcenname Name des Profils, der in Workspace ONE UEM Console angezeigt werden soll.


Verbindungsdaten

Mailclient Wählen Sie den E-Mail-Client aus, den Sie bei der Ressource verwenden möchten.

Exchange-Host Geben Sie den Exchange-Host für das E-Mail-Konto ein, der in der Ressource einbezogen werden soll.

SSL verwenden Aktivieren Sie für diesen E-Mail-Client SSL (Secure Socket Layer).

Erweitert

Domäne* Geben Sie einen Nachschlagewert für die E-Mail-Domäne ein.

Benutzername** Geben Sie einen Nachschlagewert für den E-Mail-Benutzernamen ein.

E-Mail-Adresse* Geben Sie einen Nachschlagewert für die E-Mail-Adresse ein.

Kennwort Geben Sie das Kennwort für das E-Mail-Konto ein. Aktivieren Sie das Kontrollkästchen Zeichen anzeigen, um das ungekürzte Kennwort anzuzeigen.

Identitätszertifikat Laden Sie eine Zertifizierungsstelle hoch und fügen Sie sie dem E-Mail-Konto an, indem Sie die Schaltfläche Zertifikat hinzufügen auswählen.

Vergangene Tage mit ausstehender Mailsynchronisierung

Wählen Sie die Länge des E-Mail-Verlaufs aus, der synchronisiert werden soll. Sie können zwischen 3 Tage, 1 Woche, 2 Wochen, 1 Monat und Unbegrenzt wählen.

Kalender synchronisieren Legen Sie fest, dass Ihr Gerätekalender mit dem Exchange-Kalender synchronisiert werden soll. Diese Einstellung wird standardmäßig auf iOS- und macOS-Geräten aktiviert.

Kontakte synchronisieren Legen Sie fest, dass Ihre Gerätekontakte mit den Exchange-Kontakten synchronisiert werden sollen. Diese Einstellung wird standardmäßig auf iOS- und macOS-Geräten aktiviert.

* Weitere Informationen finden Sie unter Nachschlagewerte.


VMware, Inc. 192

2 Klicken Sie auf Weiter, um mit der Auswahl von Plattformen fortzufahren. Wählen Sie zwischen den folgenden unterstützten Plattformen und wählen Sie entweder die Standardeinstellungen oder Erweiterte Einstellungen.

n Konfigurieren von erweiterten Einstellungen für iOS Exchange.

n Konfigurieren von erweiterten Einstellungen für macOS Exchange.

n Konfigurieren von erweiterten Einstellungen für Android Exchange.

n Konfigurieren von erweiterten Einstellungen für Windows Phone Exchange.

n Konfigurieren von erweiterten Einstellungen für Windows Desktop Exchange.

3 Klicken Sie auf Weiter, um mit dem Abschnitt Zuweisung fortzufahren.

4 Weisen Sie Geräten die Ressource zu, indem Sie die folgenden Einstellungen vornehmen.


Zuweisungstyp Bestimmt, wie die Ressource auf Geräten bereitgestellt wird.

n Automatisch – Die Ressource wird auf allen Geräten automatisch bereitgestellt.

n Optional – Der Endbenutzer kann die Ressource wahlweise über das Self-Service-Portal (SSP) installieren. Die Ressource kann aber auch für einzelne Geräte nach Ermessen des Administrators bereitgestellt werden.

Verwaltet von Die Organisationsgruppe mit administrativem Zugriff auf die Ressource.

Zugewiesene Gruppen Die Gruppe, der die Geräteressource hinzugefügt werden soll. Diese Einstellung beinhaltet eine Option zum Erstellen einer neuen Smartgroup, die mit Angaben des Mindestbetriebssystems, der Gerätemodelle, Zuständigkeitskategorien, Organisationsgruppen etc. konfiguriert werden kann.

Ausschlüsse Wird Ja ausgewählt, wird ein neues Textfeld Ausgeschlossene Gruppen angezeigt, womit Sie Gruppen auswählen können, die Sie von der Zuweisung dieser Ressource ausschließen möchten.


Nachdem Sie im Textfeld Zugewiesene Gruppen eine Auswahl getroffen haben, wählen Sie diese Schaltfläche aus, um zu sehen, welchen Geräten diese Ressource zugewiesen wird, wobei die Smartgroup-Zuweisungen und -ausschlüsse berücksichtigt werden.

Konfigurieren von erweiterten Einstellungen für iOS ExchangeDie erweiterten Exchange-Einstellungen für iOS bestehen aus S/MIME- und Sicherheitskonfigurationsoptionen, die die Benutzerspezifische, zertifikatsbasierte Verschlüsselung von E-Mails ermöglichen.


S/MIME verwenden Verwenden Sie Secure Multipurpose Internet Mail Extensions, einen Verschlüsselungs- und Signierungsstandard für öffentliche Schlüssel.

S/MIME-Zertifikat Diese Option ist nur verfügbar, wenn S/MIME verwenden aktiviert ist. Fügen Sie E-Mails ein Signaturzertifikat hinzu, indem Sie Zertifikat hinzufügen auswählen.

S/MIME-Verschlüsselungszertifikat Diese Option ist nur verfügbar, wenn S/MIME verwenden aktiviert ist. Fügen Sie ein Zertifikat hinzu, das E-Mails verschlüsselt und digital signiert, indem Sie Zertifikat hinzufügen auswählen.


VMware, Inc. 193


Pro-Nachricht-Schalter aktivieren Diese Option ist nur verfügbar, wenn S/MIME verwenden aktiviert ist. Bieten Sie Endbenutzern die Wahl, welche E-Mail-Nachrichten mit dem systemeigenen iOS-Mailclient (nur überwachte iOS 8+-Geräte) signiert und verschlüsselt werden sollen.

Einstellungen und Sicherheit

Verschiebung von Nachrichten verhindern

Verhindert, dass E-Mails von einem Exchange-Postfach in ein anderes Postfach auf dem Gerät verschoben werden.

Verwendung in Drittanbieteranwendungen verhindern

Verhindert, dass andere Apps über das Exchange-Postfach Nachrichten senden.

Synchronisierung jüngster Adressen verhindern

Verhindert Kontaktempfehlungen beim Senden von E-Mails in Exchange.

Mail Drop verhindern Verhindert die Verwendung der Mail Drop-Funktion von Apple.

Konfigurieren von erweiterten Einstellungen für macOS ExchangeAktivieren Sie Ihre macOS-Geräte, um durch Konfiguration der erweiterten Einstellungen Exchange-E-Mails abzurufen.


Interner Exchange-Host Der Name des sicheren Servers für die Verwendung von EAS. Bei Auswahl von Systemeigener Mailclient werden diese Option und folgende Optionen angezeigt.

Port Geben Sie die Portnummer an, für die Kommunikation mit dem internen Exchange-Host zugewiesen wurde.

Interner Serverpfad Der Speicherort des sicheren Servers für die Verwendung von EAS.

SSL für internen Exchange Host verwenden

Kommunikation mit dem internen Exchange Host durch Aktivierung von Secure Socket Layer (SSL).

Externer Exchange-Host Der Name des externen Servers für die Verwendung von EAS.

Port Geben Sie die Nummer des Ports an, für den Kommunikation mit dem externen Exchange-Host zugewiesen wurde.

Externer Serverpfad Der Speicherort des externen Servers für die Verwendung von EAS.

SSL für externen Exchange Host verwenden

Kommunikation mit dem externen Exchange Host durch Aktivierung von Secure Socket Layer (SSL).

Konfigurieren von erweiterten Einstellungen für Android ExchangeDie erweiterten Exchange-Einstellungen für Android bestehen aus Verlaufssynchronisierung, Restriktionen, Synchronisierungszeitplanung und S/MIME. Konfigurieren Sie diese Optionen zur Bereitstellung von E-Mails für Ihre Android-Geräte.


Einstellungen

Vergangene Tage mit ausstehender Kalendersynchronisierung

Wählen Sie die Anzahl der vergangenen Tage, für die die Synchronisierung im Gerätekalender durchgeführt werden sollen.


VMware, Inc. 194


Synchronisierung von Aufgaben zulassen

Aktivieren Sie diese Option, um die Aufgabensynchronisierung mit Geräten zuzulassen.

Maximale E-Mail-Trunkierungsgröße (KB)

Geben Sie die Größe (in KB) an, über die E-Mail-Nachrichten trunkiert werden, wenn Sie mit den Geräten synchronisiert werden.

E-Mail-Signatur Geben Sie die E-Mail-Signatur ein, die in ausgehenden E-Mails angezeigt werden soll.

SSL-Fehler ignorieren Ermöglichen Sie, dass Geräte SSL-Fehler für Agent-Prozesse ignorieren.

Einschränkungen

Anlagen zulassen Lassen Sie E-Mail-Anlagen zu.

Maximale Anlagengröße Geben Sie die maximale Anlagengröße in MB an.

E-Mail-Weiterleitung zulassen Ermöglichen Sie die Weiterleitung von E-Mails.

HTML-Format ermöglichen Legen Sie fest, ob die mit dem Gerät synchronisierte E-Mail das HTML-Format aufweisen darf.

Wenn diese Einstellung deaktiviert ist, werden alle E-Mails zu Text konvertiert.

Screenshots deaktivieren Unterbinden Sie, dass Screenshots auf dem Gerät aufgenommen werden.

Synchronisierungsintervall Geben Sie die Anzahl der Minuten zwischen den Synchronisierungen ein.

Hauptbelastungstage für Synchronisierungszeitplan

n Planen Sie die Wochentage mit Hauptbelastung für die Synchronisierung sowie Startzeit und Endzeit für die Synchronisierung an den ausgewählten Tagen.

n Legen Sie die Frequenz des Synchronisierungszeitplans bei hoher Belastung sowie des Synchronisierungszeitplans bei geringer Belastung fest.

n Wenn Sie Automatisch wählen, werden E-Mails bei jedem Update synchronisiert.

n Wenn Sie Manuell wählen, werden E-Mails nur bei Auswahl synchronisiert.

n Wenn Sie einen Zeitwert wählen, werden E-Mails nach einem festgelegten Zeitplan synchronisiert.

n Aktivieren Sie auf Wunsch SSL verwenden, TLS verwenden und Standardkonto.

S/MIME-Einstellungen

Wählen Sie S/MIME verwenden. In dieser Ansicht können Sie ein S/MIME-Zertifikat auswählen, das Sie als Benutzerzertifikat der Anmeldedaten-Nutzlast zuordnen.

n S/MIME-Zertifikat – Wählen Sie das zu verwendende Zertifikat.

n Verschlüsselte S/MIME-Nachrichten verlangen – Verlangen Sie die Verschlüsselung von S/MIME-Nachrichten.

n Signierte S/MIME-Nachrichten verlangen – Verlangen Sie eine digitale Signatur für alle S/MIME-Nachrichten.

Stellen Sie einen Migrationshost bereit, falls Sie zur Verschlüsselung S/MIME-Zertifikate verwenden.

Konfigurieren von erweiterten Einstellungen für Windows Phone ExchangeErweiterte Exchange-Einstellungen für Windows Phone bestehen aus Synchronisierungsplan- und Datenschutzeinstellungen. Konfigurieren Sie diese Einstellungen zur sicheren Bereitstellung von Exchange-E-Mails für Ihre Geräte.


VMware, Inc. 195

Einstellungen Beschreibungen

Einstellungen

Nächstes Synchronisierungsintervall (Minuten)

Geben Sie die Anzahl der Minuten zwischen den Synchronisierungen ein.

Diagnoseprotokollierung Wählen Sie die Art der Diagnoseprotokollierung aus, die durchgeführt werden soll.

Inhaltstyp

Datenschutz bei Sperre verlangen Schützen Sie Daten, wenn ein Gerät mit einer PIN gesperrt ist.

Wenn das Gerät für die Verwendung einer PIN-Sperre konfiguriert ist, werden die verschlüsselten Daten mit einem separaten Unternehmensschlüssel verschlüsselt. Wenn ein Benutzer Zugriff auf die PIN-Sperre des Geräts erhält, werden die E-Mails und Daten Ihrer Organisation durch einen separaten Schlüssel geschützt.

Geschützte Domänen Diese Option ist nur verfügbar, wenn Datenschutz bei Sperre verlangen aktiviert ist. Geben Sie die Nachschlagewerte der Exchange-Domänen ein, die geschützt werden sollen. Weitere Informationen finden Sie unter Nachschlagewerte.

E-Mail-Synchronisierung zulassen Ermöglichen Sie die Synchronisierung von E-Mails. Durch die Deaktivierung dieser Einstellung wird der Zugriff auf E-Mails über Exchange Active Sync blockiert.

Konfigurieren von erweiterten Einstellungen für Windows Desktop ExchangeDie erweiterte Exchange-Einstellungen für Windows Desktop bestehen aus Synchronisierungszeitplanung und Datenschutzeinstellungen. Konfigurieren Sie diese Einstellungen zur sicheren Bereitstellung von Exchange-E-Mails für Ihre Geräte.


Einstellungen

Nächstes Synchronisierungsintervall (Minuten)

Wählen Sie die Häufigkeit in Minuten, in der das Gerät mit dem EAS-Server synchronisiert wird.

Diagnoseprotokollierung Protokollieren Sie Informationen für Fehlerbehebungszwecke.

Inhaltstyp

E-Mail-Synchronisierung zulassen Ermöglichen Sie die Synchronisierung von E-Mail-Nachrichten.

Hinzufügen einer WLAN-RessourceDurch die Funktionen zum Verbinden mit einem drahtlosen Netzwerk können Sie eine Ressource zur Bereitstellung von Geräten hinzufügen, wodurch diese sicher Daten senden und empfangen können.


VMware, Inc. 196

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Ressourcen und wählen Sie Ressource hinzufügen gefolgt von WLAN aus. Nehmen Sie dann die folgenden Einstellungen vor.


Ressourcendetails



Verbindungsdaten

Netzwerk SSID Geben Sie einen Bezeichner ein, der mit dem Namen (SSID) des gewünschten WLAN-Netzwerks verknüpft wird.

Ausgeblendetes Netzwerk Aktivieren Sie diese Option, wenn das Netzwerk nicht für die Übermittlung geöffnet ist.

AutoVerknüpfung Option, um festzulegen, dass das Gerät automatisch mit dem Netzwerk verknüpft werden soll.

Verschlüsselung Legen Sie anhand des Dropdown-Menüs fest, ob die über die WLAN-Verbindung übertragenen Daten verschlüsselt sind.

Diese Option wird abhängig vom Sicherheitstyp angezeigt.

Kennwort Geben Sie das Kennwort für das E-Mail-Konto ein. Aktivieren Sie das Kontrollkästchen Zeichen anzeigen, um das ungekürzte Kennwort anzuzeigen.


n Konfigurieren von erweiterten Einstellungen für WLAN-Proxy.

n Konfigurieren von erweiterten Einstellungen für macOS-WLAN.

n Konfigurieren von erweiterten Einstellungen für Android-WLAN.

n Konfigurieren von erweiterten Einstellungen für Windows-WLAN.










VMware, Inc. 197





Konfigurieren von erweiterten Einstellungen für WLAN-ProxyKonfigurieren Sie die erweiterten WLAN-Einstellungen, um Geräte über einen Proxy mit Workspace ONE UEM zu verbinden.


Proxytyp Wählen Sie zwischen Keiner, Manuell und Automatisch.

Proxy-URL Diese Option ist nur verfügbar, wenn für Proxytyp die Option Automatisch festgelegt ist. Geben Sie die URL des WLAN-Proxys ein, mit dem das Gerät eine Verbindung herstellt.

Direkte Verbindung bei unerreichbarer PAC zulassen

Diese Option ist nur verfügbar, wenn für Proxytyp die Option Automatisch festgelegt ist. Aktivieren Sie diese Option, wenn Sie zulassen möchten, dass das Gerät in Zeiten, in denen die Proxykonfigurationsdatei nicht zugänglich ist, eine Verbindung herstellen soll.

Proxyserver Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Geben Sie den Namen des Proxyservers ein, mit dem Ihre Geräte eine Verbindung herstellen.

Port des Proxyservers Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Schließen Sie die Portnummer des Proxyservers ein, durch den das Gerät eine Verbindung zum Proxyserver herstellt.

Proxybenutzername Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Geben Sie einen vom Proxyserver erkannten Benutzernamen ein.

Proxykennwort Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Geben Sie das dem Benutzernamen entsprechende Kennwort ein und bestätigen Sie dieses.

Konfigurieren von erweiterten Einstellungen für macOS-WLANKonfigurieren Sie die erweiterten WLAN-Einstellungen, um Ihre Geräte über einen Proxy mit Workspace ONE UEM zu verbinden.


Profil Wählen Sie das Ziel der Proxyeinstellungskonfiguration aus.

Gerät – Beschränken Sie die Proxyeinstellungen auf das jeweilige macOS-Gerät

Benutzer – Wenden Sie die Proxyeinstellungen für den Benutzer auf den Benutzer des macOS-Geräts an.

Wenden Sie die Proxyeinstellungen auf beide Ziele an, indem Sie beide Kontrollkästchen aktivieren.

Proxy

Proxytyp Wählen Sie zwischen Keiner, Manuell und Automatisch.

Proxy-URL Diese Option ist nur verfügbar, wenn für Proxytyp die Option Automatisch festgelegt ist. Geben Sie die URL des WLAN-Proxys ein, mit dem das Gerät eine Verbindung herstellt.


VMware, Inc. 198


Direkte Verbindung bei unerreichbarer PAC zulassen

Diese Option ist nur verfügbar, wenn für Proxytyp die Option Automatisch festgelegt ist. Aktivieren Sie diese Option, wenn Sie zulassen möchten, dass das Gerät in Zeiten, in denen die Proxykonfigurationsdatei nicht zugänglich ist, eine Verbindung herstellen soll.

Proxyserver Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Geben Sie den Namen des Proxyservers ein, mit dem Ihre Geräte eine Verbindung herstellen.

Port des Proxyservers Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Schließen Sie die Portnummer des Proxyservers ein, durch den das Gerät eine Verbindung zum Proxyserver herstellt.

Proxybenutzername Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Geben Sie einen vom Proxyserver erkannten Benutzernamen ein.

Proxykennwort Diese Option ist nur verfügbar, wenn für Proxytyp die Option Manuell festgelegt ist. Geben Sie das dem Benutzernamen entsprechende Kennwort ein und bestätigen Sie dieses.

Konfigurieren von erweiterten Einstellungen für Android-WLANDie erweiterten WLAN-Einstellungen für Android bestehen aus Fusion- und Proxyeinstellungen. Mithilfe dieser Einstellungen können Sie Drahtloskonfigurationen für Hochfrequenz-, spektrale Masken- und Proxyservereinstellungen.


Fusion

Fusion-Einstellungen einschließen Zeigen Sie die Haupteinstellungen für die Fusion-Funktion an.

Fusion 802.11d festlegen/802.11d aktivieren

Verwenden Sie für den Betrieb in weiteren regulatorischen Domänen die Drahtlosspezifikation 802.11d.

Ländercode festlegen/Ländercode Legen Sie den Ländercode zur Verwendung in den 802.11d-Spezifikationen fest.

RF-Band festlegen Zeigen Sie alle Optionen für Hochfrequenzspezifikationen an, einschließlich der 2,4-GHz- und 5-GHz-Kanalmasken.

2,4 GHz festlegen/2,4 GHz aktivieren

Verringern Sie das 2,4-GHz-Drahtlosfrequenzband.

2,4-GHz-Kanalmaske Verringern Sie Störungen benachbarter Kanäle, indem Sie einen Kanal oder eine spektrale Maske im Bereich der 2,4-GHz Frequenz anwenden.

5 GHz festlegen/5 GHz aktivieren Verringern Sie das 5-GHz-Drahtlosfrequenzband.

5-GHz-Kanalmaske Verringern Sie Störungen benachbarter Kanäle, indem Sie einen Kanal oder eine spektrale Maske im Bereich der 5-GHz Frequenz anwenden.

Proxy

Manuellen Proxy aktivieren Zeigen Sie die Proxyservereinstellungen an.

Proxyserver Geben Sie den Domänennamen des Proxys ein.

Port des Proxyservers Geben Sie die Portnummer ein, die vom Proxyserver verwendet werden soll.

Ausschlussliste Geben Sie Hostnamen ein, die nicht über den Proxy geleitet werden. Verwenden Sie ein Sternchen als Platzhalter für alle Domänen. Beispiel: „*.air-watch.com“.


VMware, Inc. 199

Konfigurieren von erweiterten Einstellungen für Windows-WLANKonfigurieren Sie die erweiterten WLAN-Einstellungen, um Ihre Windows-Geräte (Desktop und Phone) über einen Proxy mit Workspace ONE UEM zu verbinden.


Proxy Aktivieren Sie die Verwendung eines Proxys, um Ihre Windows-Geräte mit Workspace ONE UEM zu verbinden.

URL Diese Option ist nur verfügbar, wenn Proxy aktiviert ist. Geben Sie die URL des WLAN-Proxys ein, mit dem das Gerät eine Verbindung herstellt.

Port Diese Option ist nur verfügbar, wenn Proxy aktiviert ist. Schließen Sie die Portnummer des Proxyservers ein, durch den das Gerät eine Verbindung zum Proxyserver herstellt.

Hinzufügen einer VPN-RessourceSie können eine Ressource für die Bereitstellung eines virtuellen privaten Netzwerks (VPN) hinzufügen. Über ein VPN können Benutzer in öffentlichen Netzwerken Daten senden und empfangen, als ob sie direkt mit einem privaten Netzwerk verbunden wären.

Verfahren

1 Navigieren Sie zu Geräte > Profile und Ressourcen > Ressourcen und wählen Sie Ressource hinzufügen gefolgt von VPN aus. Nehmen Sie dann die folgenden Einstellungen vor.


Ressourcendetails



Verbindungsdaten

Verbindungstyp Wählen Sie die Art der sicheren Verbindung aus der Dropdown-Liste aus.

Server Geben Sie die Server-URL ein.


n Konfigurieren von erweiterten Einstellungen für iOS-VPN

n Konfigurieren von erweiterten Einstellungen für Android-VPN

n Konfigurieren von erweiterten Einstellungen für das Windows Phone-VPN



VMware, Inc. 200











Konfigurieren von erweiterten Einstellungen für iOS-VPNDie erweiterten VPN-Einstellungen für iOS bestehen aus Verbindungs- und Authentifizierungseinstellungen sowie Proxy- und Anbieterkonfigurationen. Aktivieren Sie bei Bedarf diese Einstellungen, um VPN für iOS zu konfigurieren.

Einstellungen Beschreibung

Verbindungsdaten

Konto Geben Sie den Namen des VPN-Kontos ein.

Verbindung bei Leerlauf abbrechen (Min.)

Ermöglichen Sie es dem VPN, nach einer bestimmten Zeitdauer eine automatische Trennung durchzuführen. Die Unterstützung für diesen Wert hängt vom VPN-Anbieter ab.

Gesamten Datenverkehr senden Wählen Sie diese Option, um den gesamten Datenverkehr über das angegebene Netzwerk zu senden.

Pro-App-VPN-Regeln Wählen Sie diese Option, um Pro-App-VPN-Regeln zu aktivieren und zu konfigurieren.

Automatisch verbinden Wählen Sie diese Option, um es dem VPN zu gestatten, automatisch eine Verbindung mit ausgewählten Safari-Domänen herzustellen. Diese Option wird angezeigt, wenn das Kontrollkästchen Pro-App-VPN-Regeln aktiviert ist.

Anbietertyp Wählen Sie den Pro-App-VPN-Anbietertyp aus. Legen Sie fest, wie der Datenverkehr getunnelt wird, entweder über eine Anwendungsebene oder über eine IP-Ebene. Wählen Sie hierfür zwischen „AppProxy“ und „PacketTunnel“. Diese Option wird angezeigt, wenn das Kontrollkästchen Pro-App-VPN-Regeln aktiviert ist.

Safari-Domänen Geben Sie jede Domäne ein, mit der das Pro-App-VPN automatisch eine Verbindung herstellen soll. Diese Domänen stellen interne Websites dar, die eine automatische Verbindung mit dem VPN auslösen. Diese Option wird angezeigt, wenn das Kontrollkästchen Pro-App-VPN-Regeln aktiviert ist.

Authentifizierung


VMware, Inc. 201


Benutzerauthentifizierung Authentifizieren Sie Endbenutzer, indem Sie entweder ein Zertifikat hochladen oder ein Kennwort für den Zugriff auf das VPN erfordern.

Gruppenname Geben Sie den Workspace ONE UEM-Gruppennamen ein.

Kennwort Diese Option ist nur verfügbar, wenn Benutzerauthentifizierung auf „Kennwort“ festgelegt ist. Geben Sie das Kennwort für den Workspace ONE UEM-Gruppennamen ein.

Identitätszertifikat Diese Einstellung ist nur verfügbar, wenn Benutzerauthentifizierung auf „Zertifikat“ festgelegt ist. Wählen Sie Zertifikat hinzufügen aus, um entweder eine Zertifikatsdatei zu benennen und hochzuladen oder eine vorhandene Zertifizierungsstelle anhand einer Zertifikatsvorlage auszuwählen.

VPN On-Demand aktivieren Diese Einstellung ist nur verfügbar, wenn Benutzerauthentifizierung auf „Zertifikat“ festgelegt ist. Aktivieren Sie VPN On-Demand, um automatisch VPN-Verbindungen anhand von Zertifikaten herzustellen.

Neue On-Demand-Schlüssel verwenden

Diese Einstellung ist nur verfügbar, wenn Benutzerauthentifizierung auf „Zertifikat“ festgelegt ist. Aktivieren Sie diese Option, um eine VPN-Verbindung zu aktivieren, wenn Endbenutzer auf eine der angegebenen Domänen zugreifen.

Domäne oder Host abstimmen Diese Einstellung ist nur verfügbar, wenn Benutzerauthentifizierung auf „Zertifikat“ festgelegt ist. Geben Sie den Namen einer Domäne oder eines Hosts ein, die bzw. der beim Zugriff durch einen Endbenutzer die Aktivierung einer VPN-Verbindung auslöst.

Bedarfsgesteuerte Aktion Diese Einstellung ist nur verfügbar, wenn Benutzerauthentifizierung auf „Zertifikat“ festgelegt ist. Wählen Sie die domänenspezifische bedarfsgesteuerte Aktion aus, die ausgeführt wird, wenn Endbenutzer eine VPN-Verbindung aktivieren. Wählen Sie zwischen „Immer herstellen“, „Nie herstellen“ und „Bei Bedarf herstellen“.

Proxy

Proxy Wählen Sie zwischen Keiner, Manuell und Automatisch.

URL für die Autokonfiguration des Proxyservers

Diese Option ist nur verfügbar, wenn Proxy auf Automatisch gesetzt ist. Geben Sie die URL des WLAN-Proxys ein, mit dem das Gerät eine Verbindung herstellt.

Server Diese Option ist nur verfügbar, wenn Proxy auf Manuell gesetzt ist. Geben Sie den Namen des Proxyservers ein, mit dem Ihre Geräte eine Verbindung herstellen.

Port Diese Option ist nur verfügbar, wenn Proxy auf Manuell gesetzt ist. Schließen Sie die Portnummer des Proxyservers ein, durch den das Gerät eine Verbindung zum Proxyserver herstellt.

Benutzername Diese Option ist nur verfügbar, wenn Proxy auf Manuell gesetzt ist. Geben Sie einen vom Proxyserver erkannten Benutzernamen ein.

Kennwort Diese Option ist nur verfügbar, wenn Proxy auf Manuell gesetzt ist. Geben Sie das dem Benutzernamen entsprechende Kennwort ein und bestätigen Sie dieses.

Anbieterkonfigurationen

Anbieterschlüssel Erstellen Sie anhand des Konfigurationswörterbuchs für Anbieter Benutzerdefinierte Schlüssel.

Schlüssel Geben Sie den spezifischen Schlüssel ein, der vom Anbieter bereitgestellt wurde.

Wert Geben Sie den VPN-Wert für jeden Schlüssel ein.


VMware, Inc. 202

Konfigurieren von erweiterten Einstellungen für Android-VPNDie erweiterten VPN-Einstellungen für Android bestehen aus bedarfsgesteuerter Authentifizierung und VPN, die Sie zur Erstellung eines VPN für Android-Geräte konfigurieren müssen.


Authentifizierung

Identitätszertifikat Geben Sie die zur Authentifizierung der Verbindung verwendeten Zertifikatsanmeldedaten ein, indem Sie Zertifikat hinzufügen auswählen.

Anmeldedatenquelle Wählen Sie die Quelle der Anmeldedaten aus. Wählen Sie zwischen „Upload“, „Festgelegte Zertifizierungsstelle“ und „Benutzerzertifikat“.

Anmeldedatenname Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Upload“ festgelegt ist. Geben Sie den Namen der hochgeladenen Anmeldedaten ein.

Zertifikat Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Upload“ festgelegt ist. Klicken Sie auf „Upload“, um eine Zertifikatsdatei über Ihr Gerät auszuwählen.

Zertifizierungsstelle Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Festgelegte Zertifizierungsstelle“ festgelegt ist. Wählen Sie aus einer Dropdown-Liste die Zertifizierungsstelle aus.

Zertifikatsvorlage Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Festgelegte Zertifizierungsstelle“ festgelegt ist. Diese Einstellung wird basierend auf Ihrer Auswahl für die Einstellung „Zertifizierungsstelle“ automatisch aufgefüllt.

S/MIME Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Benutzerzertifikat“ festgelegt ist. Wählen Sie zwischen dem Benutzerorientierten S/MIME-Signaturzertifikat oder -Verschlüsselungszertifikat.

VPN On-Demand aktivieren

VPN On-Demand aktivieren Aktivieren Sie VPN On-Demand, um automatisch VPN-Verbindungen anhand von Zertifikaten herzustellen.

Aktivieren Sie VPN, indem Sie den Namen der App eingeben und links neben dem Lupensymbol auf das Pluszeichen klicken. Sie können mehr als eine App eingeben.

Konfigurieren von erweiterten Einstellungen für das Windows Phone-VPNKonfigurieren Sie die VPN-Einstellungen des Geräts, um sicher remote auf die Unternehmensinfrastruktur zuzugreifen. Sie können den Datenverkehr über das VPN beschränken, indem Sie Pro-App-VPN-Verbindungen konfigurieren. Anschließend legen Sie fest, dass beim Starten der jeweiligen App automatisch eine Verbindung zum VPN hergestellt wird.


Verbindungsdaten

Erweiterte Verbindungseinstellungen

Konfigurieren Sie erweiterte Routing-Regeln für die VPN-Verbindungen des Geräts.

Routing-Adressen Wählen Sie Hinzufügen aus, um die IP-Adressen und Subnetzpräfix-Größe für die VPN-Verbindung einzugeben. Bei Bedarf können Sie weitere Routing-Adressen hinzufügen.

Diese Option ist verfügbar, wenn Erweiterte Verbindungseinstellungen aktiviert ist.


VMware, Inc. 203


DNS-Routing-Regeln Wählen Sie Hinzufügen aus, um den Domänennamen einzugeben, unter dem der VPN-Server gehostet wird. Geben Sie Domänenname, DNS-Server und Web-Proxyserver für die einzelnen Domänen ein.

Diese Option ist verfügbar, wenn Erweiterte Verbindungseinstellungen aktiviert ist.

Routing-Richtlinie Lassen Sie zu, dass der Datenverkehr über die lokale Netzwerkverbindung erfolgt, indem Sie Direkten Zugriff auf externe Ressourcen zulassen auswählen. Wählen Sie umgekehrt Sämtlichen Verkehr durch VPN zwingen aus, um den gesamten Datenverkehr über das VPN zu senden. Diese Option ist verfügbar, wenn Erweiterte Verbindungseinstellungen aktiviert ist.

Proxy Wählen Sie AutoErkennung aus, damit die vom VPN verwendeten Proxyserver automatisch erkannt werden. Wählen Sie Manuell aus, um den Proxyserver zu konfigurieren. Diese Option ist verfügbar, wenn Erweiterte Verbindungseinstellungen aktiviert ist.

URL für die AutoKonfiguration des Proxyservers

Geben Sie die URL für die AutoKonfiguration des Proxyservers ein. Diese Option ist nur verfügbar, wenn Proxy auf „AutoErkennung“ gesetzt ist.

Server Geben Sie die URL für die Konfigurationseinstellungen des Proxyservers ein.

Diese Option wird angezeigt, wenn Proxy auf „Manuell“ gesetzt ist.

Port Geben Sie die Portnummer für den Zugriff auf den Proxyserver ein.

Diese Option wird angezeigt, wenn Proxy auf „Manuell“ gesetzt ist.

Proxy bei lokalem Netzwerk umgehen

Umgehen Sie den Proxyserver, wenn das Gerät erkennt, dass dieser sich im lokalen Netzwerk befindet.

Authentifizierung

Authentifizierungstyp Wählen Sie das Authentifizierungsprotokoll für das VPN aus.

n EAP – Lässt verschiedene Authentifizierungsmethoden zu.

n Computerzertifikat – Erkennt ein Clientzertifikat im Zertifikatsspeicher des Geräts, das zur Authentifizierung verwendet werden soll.

Protokolle Wählen Sie den EAP-Authentifizierungstyp aus.

n EAP-TLS – Smartcard- oder Clientzertifikatsauthentifizierung.

n EAP-MSCHAPv2 – Benutzername und Kennwort.

Anmeldedatentyp Wählen Sie Zertifikat verwenden, um ein Clientzertifikat zu verwenden. Wählen Sie Smartcard verwenden aus, um eine Smartcard zur Authentifizierung zu verwenden.

Diese Einstellung wird angezeigt, wenn die Option Protokolle auf EAP-TLS festgelegt ist.

Einfache Zertifikatsauswahl Vereinfachen Sie die Liste der Zertifikate, aus der der Benutzer seine Auswahl trifft. Das zuletzt ausgestellte Zertifikat wird dargestellt und die Entität, für die das Zertifikat ausgestellt wurde, gruppiert die Zertifikate.

Diese Einstellung wird angezeigt, wenn die Option Protokolle auf EAP-TLS festgelegt ist.

Windows-Anmeldedaten verwenden

Verwenden Sie dieselben Anmeldedaten wie beim Windows-Gerät.

Diese Einstellung wird angezeigt, wenn die Option Protokolle auf EAP-MSCHAPv2 festgelegt ist.

VPN-Verkehrsregeln

Anwendungs-ID Wählen Sie die Anwendung aus, auf die Datenverkehrsregeln angewendet werden sollen, indem Sie den Familiennamen des Anwendungspakets eingeben.

n Paketfamilienname – Beispiel: „WorkspaceONE.MDMAgent_htcwkw4rx2gx4“

VPN-On-Demand Stellen Sie beim Starten der Anwendung automatisch eine Verbindung mit dem VPN her.


VMware, Inc. 204


Routing-Richtlinie Wählen Sie die Routing-Richtlinie für die Anwendung aus.

n Direkten Zugriff auf externe Ressourcen zulassen ermöglicht sowohl Datenverkehr über das VPN als auch über die lokale Netzwerkverbindung.

n Sämtlichen Verkehr durch VPN zwingen erzwingt die Übermittlung des gesamten Datenverkehrs über das VPN.

VPN-Verkehrsfilter Fügen Sie Datenverkehrsfilter für bestimmte Legacy- und Modern-Anwendungen hinzu.

Wählen Sie Neuen Filter hinzufügen aus, um Filtertypen und Filterwerte für die Routing-Regeln hinzuzufügen. Nur Datenverkehr von der festgelegten Anwendung, der diesen Regeln entspricht, kann über das VPN übermittelt werden.

n IP-Protokoll – Numerischer Wert von 0-255, der das zuzulassende IP-Protokoll darstellt. Zum Beispiel: TCP = 6 und UDP = 17.

n IP-Adresse – Eine Liste von durch Kommata getrennten Werten, in der die Remote-IP-Adressbereiche, die zuzulassen sind, aufgeführt sind.

n Ports – Eine Liste von durch Kommata getrennten Werten, in der die Remoteportbereiche, die zuzulassen sind, aufgeführt sind. Zum Beispiel: 100–120, 200, 300–320. Ports sind nur gültig, wenn als Protokoll „TCP“ oder „UDP“ festgelegt ist.

n LocalPorts – Eine Liste von durch Kommata getrennten Werten, in der die lokalen Portbereiche aufgeführt sind, über die Datenverkehr zulässig ist.

n LocalAddress – Eine Liste von durch Kommata getrennten Werten, in der die lokalen IP-Adressen aufgeführt sind, über die Datenverkehr zulässig ist.

Geräteweite VPN-Regeln Wählen Sie Hinzufügen aus, um Verkehrsregeln für das gesamte Gerät hinzuzufügen.

Wählen Sie Hinzufügen aus, um Filtertypen und Filterwerte für die Routing-Regeln hinzuzufügen. Nur Datenverkehr, der diesen Regeln entspricht, kann über das VPN übermittelt werden.

Richtlinien

Anmeldedaten merken Speichern Sie die Anmeldedaten des Endbenutzers.

Immer an Erzwingen Sie die Aktivierung der VPN-Verbindung. Hierdurch wird die VPN-Verbindung aktiviert, wenn die Netzwerkverbindung getrennt und wieder hergestellt wird.

VPN-Sperre Erzwingen Sie die Aktivierung der VPN-Verbindung, deaktivierten Sie den Netzwerkzugriff, wenn die VPN-Verbindung getrennt ist, und verhindern Sie, dass eine Verbindung mit anderen VPN-Profilen hergestellt wird oder Änderungen an diesen vorgenommen werden.

Vertrauenswürdiges Netzwerk Geben Sie durch Komma getrennte vertrauenswürdige Netzwerkadressen ein. Es wird keine VPN-Verbindung hergestellt, wenn die Verbindung eines vertrauenswürdigen Netzwerks erkannt wird.

Getrennter Tunnel Ermöglichen Sie es Endbenutzern, ein VPN mit einem getrennten Tunnel zu verwenden.

Dieses Textfeld gilt nur für Windows Phone 8.1-Geräte.

Umgehung für lokalen Verkehr Umgehen Sie die VPN-Verbindung für den lokalen Intranetverkehr. Beispielsweise verwenden Sie nicht die VPN-Verbindung, wenn Sie auch mit der Verbindung mit Ihrem Firmennetzwerk am Arbeitsplatz verbunden sind.


Erkennung vertrauenswürdiger Netzwerke

Verwenden Sie die Option „Erkennung vertrauenswürdiger Netzwerke“, wenn Sie eine Verbindung mit dem VPN herstellen.



VMware, Inc. 205


Verbindungstyp Wählen Sie den Verbindungstyp aus, der zugelassen werden soll.

Durch die Option „Immer an“ wird die VPN-Verbindung immer ausgeführt.


Trennung bei Leerlauf - Zeit Legen Sie den maximalen Zeitraum fest, der ohne Konnektivitätsanforderungen verstreichen kann, bevor die VPN-Verbindung automatisch getrennt wird.


VPN On-Demand

Zulässige Anwendungen Wählen Sie Hinzufügen aus, um festzulegen, dass der gesamte Datenverkehr von Apps über das VPN gesichert wird.

Sie können beliebig viele Apps hinzufügen.

Zulässige Netzwerke Wählen Sie Hinzufügen aus, um die Netzwerke zu definieren.

Sämtlicher Datenverkehr über konfigurierte Netzwerke wird über das VPN gesichert.

Sie können beliebig viele Netzwerke hinzufügen.

Ausgeschlossene Anwendung Wählen Sie Hinzufügen aus, um die ausgeschlossenen Anwendungen zu definieren.

Sämtlicher Datenverkehr an diese Apps wird NICHT über das VPN gesichert.

Sie können beliebig viele ausgeschlossene Apps hinzufügen.

Ausgeschlossene Netzwerke Wählen Sie Hinzufügen aus, um die ausgeschlossenen Netzwerke zu definieren.

Sämtlicher Datenverkehr über ausgeschlossene Netzwerke wird NICHT über das VPN gesichert.

Sie können beliebig viele ausgeschlossene Netzwerke hinzufügen.

DNS-Suffix-Suchliste Wählen Sie Hinzufügen aus, um die DNS-Suffix-Suchliste zu definieren.

DNS-Suffixe werden an gekürzte URLs zur DNS-Auflösung und Konnektivität angehängt.

Sie können beliebig viele DNS-Suffixe hinzufügen.


VMware, Inc. 206

Konformitätsrichtlinien 9Die Compliance Engine ist ein automatisches Tool von Workspace ONE UEM, welches sicherstellt, dass alle Geräte Ihre Richtlinien erfüllen. Bei diesen Richtlinien kann es sich um grundlegende Sicherheitseinstellungen wie etwa das Vorhandensein einer Kennung und die Festlegung einer Mindestdauer für eine Gerätesperre handeln. Auf bestimmten Plattformen möchten Sie eventuell spezielle Vorsichtsmaßnahmen festlegen und durchsetzen. Diese Vorsichtsmaßnahmen bestehen unter anderem aus der Festlegung einer Kennwortstärke, dem Hinzufügen bestimmter Anwendungen zu Blacklists und dem Einsatz von Eincheck-Intervallen für Geräte, um zu gewährleisten, dass die Geräte sicher und mit Workspace ONE UEM verbunden sind.

Sobald festgestellt wird, dass Geräte den Konformitätsanforderungen nicht entsprechen, fordert die Compliance Engine die Benutzer zur Behandlung von Konformitätsfehlern auf, um disziplinarische Maßnahmen auf dem Gerät zu verhindern. Die Compliance Engine kann beispielsweise eine Nachricht auslösen, anhand derer der Benutzer benachrichtigt wird, dass sein Gerät nicht konform ist.

Darüber hinaus kann nicht konformen Geräten kein Geräteprofil zugewiesen und es können keine Anwendungen auf ihnen installiert werden. Sollten die Probleme im angegebenen Zeitraum nicht behoben werden, kann mit dem Gerät nicht mehr auf bestimmte Benutzerdefinierte Inhalte und Funktionen zugegriffen werden. Die verfügbaren Konformitätsrichtlinien und -aktionen variieren je nach Plattform.

Sie können Eskalationen automatisieren, falls keine Korrekturen vorgenommen werden. Dabei wird das Gerät gesperrt und der Benutzer aufgefordert, sich zur Entsperrung des Geräts an Sie zu wenden. Diese Eskalationsschritte, Disziplinarmaßnahmen, Toleranzperioden und Nachrichten sind mit der Unified Endpoint Management-Konsole alle anpassbar.

Es gibt zwei Methoden, mit denen Konformität gemessen wird.

n Echtzeitkonformität (RTC)

Außerplanmäßige Stichproben vom Gerät werden verwendet, um zu bestimmen, ob das Gerät kompatibel ist. Die Proben werden vom Administrator auf Wunsch angefordert.

n Engine-Konformität

Die Compliance Engine, ein Softwarealgorithmus, der planmäßige Stichproben erhält und misst, bestimmt hauptsächlich die Konformität eines Geräts. Die Zeitintervalle, in denen der Zeitplaner gestartet wird, werden vom Administrator in der Konsole festgelegt.

VMware, Inc. 207

Die Durchsetzung von mobilen Sicherheitsrichtlinien wird in dieser allgemeinen Übersicht dargestellt.

1 Wählen Sie Ihre Plattform aus.

Legen Sie fest, auf welcher Plattform Sie die Konformität erzwingen möchten. Nachdem Sie eine Plattform ausgewählt haben, wird Ihnen niemals eine Option angezeigt, die nicht für diese Plattform gilt.

2 Erstellen Sie Ihre Richtlinien.

Passen Sie Ihre Richtlinien so an, dass alle der folgenden Aspekte berücksichtigt werden: Anwendungsliste, Gefährdungsstatus, Verschlüsselung, Hersteller, Modell- und BS-Version, Kennung und Roaming.

3 Legen Sie die Eskalation fest.

Konfigurieren Sie zeitbasierte Aktionen in Stunden oder Tagen und wählen Sie für diese Aktionen einen mehrstufigen Ansatz.

4 Legen Sie Aktionen fest.

Senden Sie eine SMS, E-Mail oder Push-Benachrichtigung an das Gerät des Benutzers oder senden Sie nur dem Administrator eine E-Mail. Fordern Sie an, dass Geräte einchecken, entfernen oder blockieren Sie bestimmte Profile, installieren Sie Konformitätsprofile, entfernen oder blockieren Sie Anwendungen und führen Sie einen Enterprise-Wipe durch.

5 Konfigurieren Sie Zuweisungen.

Weisen Sie Ihre Konformitätsrichtlinie nach Organisationsgruppe oder Smartgroup zu und bestätigen Sie dann die Zuweisung nach Gerät.

Bestätigen der Integrität der Windows-GeräteAuf Windows-Geräten können Sie eine Integritätsüberprüfung konfigurieren und beim Gerätestart durchführen, um sicherzustellen, dass Ihre Unternehmensressourcen sicher sind. Weitere Informationen finden Sie im Thema Erkennung kompromittierter Geräte mit Integritätsnachweis in der Dokumentation Management von Windows-Desktop-Geräten unter docs.vmware.com.


n Listenansicht für Konformitätsrichtlinien

n Regeln für Konformitätsrichtlinien nach Plattform

n Hinzufügen einer Konformitätsrichtlinie

n Erkennung kompromittierter Geräte durch Integritätsnachweis

Listenansicht für KonformitätsrichtlinienMit der Listenansicht für Konformitätsrichtlinien haben Sie die Möglichkeit, alle aktiven und inaktiven Konformitätsrichtlinien und ihre Konfigurationen zu sehen. Geräte werden während der Erstregistrierung in den Konformitätsstatus Ausstehend gesetzt. Wird eine Richtlinie erstellt, gespeichert und einem


VMware, Inc. 208

https://docs.vmware.com

registrierten Gerät zugewiesen, wird der Konformitätsstatus des Geräts entweder auf Konform oder Nicht Konform gesetzt.

Wenn die Zuweisungen von Smartgroups geändert werden, wechselt die Übereinstimmungsrichtlinie eines Geräts in den Status Ausstehend, wenn das Gerät neu in der Smartgroup ist. Geräte, die der Smartgroup bereits zugewiesen sind, können die Änderung ihres Konformitätsstatus nicht sehen, da die Smartgroup ihre Zuweisung erweitert (oder reduziert).

Wenn Sie die Listenansicht für Übereinstimmungsrichtlinien aufrufen möchten, gehen Sie zu Geräte > Konformitätsrichtlinien > Listenansicht.


Status Filtern Sie die Auflistung zwischen den Status Alle, Aktiv und Inaktiv.

Aktionsmenü Sehen Sie individuelle Richtlinien ein und bearbeiten Sie sie, sehen Sie Geräte ein, denen die Richtlinien zugewiesen wurden, und löschen Sie Richtlinien, die Sie nicht länger behalten wollen.

Konform/Nicht konform/Ausstehend/Zugewiesen

Die Ziffern dieser Spalte enthalten Hypertextlinks, die bei Auswahl die Seite Geräte anzeigen mit dem jeweiligen Status der ausgewählten Konformitätsrichtlinie anzeigen.

Der Status Zugewiesen ist die Summe der Status Konform, Nicht konform und Ausstehend.

Weitere Informationen finden Sie auf der Seite Seite „Geräte anzeigen“.

Seite „Geräte anzeigen“Auf der Seite Geräte anzeigen werden Konformitätsdetails zu den einzelnen Geräten angezeigt, die der ausgewählten Richtlinie zugewiesen sind. Sie wird angezeigt, wenn Sie in der Listenansicht für Konformitätsrichtlinien in der Spalte Konform / Nicht Konform / Ausstehend / Zugewiesen eines der Hyperlink-Textzeichen auswählen.

Filtern Sie die Liste anhand dieser vier Statusarten durch Auswählen des Dropdown-Menüs Status. Der Status Zugewiesen ist die Summe der Status Konform, Nicht konform und Ausstehend.

Es gibt drei aufgelistete Gerätestatus in der Spalte Status.

n Konform – Durch die zugewiesene Konformitätsrichtlinie wurde festgestellt, dass das Gerät konform ist.

n Nicht konform – Durch die zugewiesene Konformitätsrichtlinie wurde festgestellt, dass das Gerät nicht konform ist.

n Ausstehend – Die Zuweisung der Konformitätsrichtlinie an neu registrierte Geräte ist geplant.


VMware, Inc. 209

Sie können auch die Angaben für C/E/S (Besitz), Plattform/OS/Modell, Organisationsgruppe, Letzte Konformitätsprüfung, Nächste Konformitätsprüfung und Ausgeführte Aktionen des Geräts bestätigen. In der Spalte „Ausgeführte Aktionen“ werden die Aktionen aufgelistet, die für nicht konforme Geräte ausgeführt wurden.

Sie mögen sich auch dafür entscheiden, die Konformität eines bestimmten Gerätes neu zu bewerten. Aktivieren Sie die Compliance Engine und melden Sie den Konformitätsstatus auf dem Gerät erneut an,

indem Sie Konformität neu bewerten auswählen ( ).

Regeln für Konformitätsrichtlinien nach PlattformNicht alle Regeln für Konformitätsrichtlinien treffen auf alle Plattformen zu. Die Seite Konformitätsrichtlinie hinzufügen ist plattformbasiert. Somit sehen Sie nur die Regeln und Aktionen für Konformitätsrichtlinien, die für Ihr Gerät gelten.

Verwenden Sie die folgende Tabelle, um festzulegen, welche Regeln zur Bereitstellung für Ihre Geräte verfügbar sind.

Konformitätsrichtlinie

Android und Android Legacy

Apple iOS

Apple macOS

Chrome OS QNX

Windows Robust

Windows 7

Windows Phone

Windows Desktop

Anwendungsliste ✓ ✓ ✓

Antivirus-Status ✓

Mobilfunkdaten-Nutzung ✓ ✓

Nutzung von Mobilfunkbenachrichtigung

✓

Nutzung von Mobilfunksprachanrufen

✓

Konformitätsattribut ✓

Kompromittierungsstatus ✓ ✓ ✓

Gerät zuletzt gesehen ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Gerätehersteller ✓

Verschlüsselung ✓ ✓ ✓ ✓ ✓ ✓

Firewall-Status ✓ ✓

Freier Speicherplatz ✓

iBeacon-Bereich ✓

Ablauf des interaktiven Zertifikatsprofils

✓ ✓

Letzter Kompromittierungsscan

✓ ✓

Annahme der MDM-Nutzungsbedingungen

✓ ✓ ✓ ✓ ✓ ✓ ✓


VMware, Inc. 210

Konformitätsrichtlinie


Apple iOS

Apple macOS

Chrome OS QNX

Windows Robust

Windows 7

Windows Phone

Windows Desktop

Modell ✓ ✓ ✓ ✓

BS-Version ✓ ✓ ✓ ✓ ✓ ✓ ✓

Kennung ✓ ✓ ✓ ✓ ✓

Roaming* ✓ ✓ ✓

Mobilfunkdaten-Nutzung im Roamingbetrieb*

✓ ✓

Sicherheitspatchversion ✓

SIM-Kartenwechsel * ✓ ✓ ✓

Systemintegritätsschutz ✓

Status automatischer Windows-Updates

✓

Windows Genuine-Validierung von Kopien

✓

Hinweis * Nur für fortgeschrittene Telekommunikationsbenutzer verfügbar.

Regeln für Konformitätsrichtlinien – BeschreibungRegeln für Konformitätsrichtlinien ermöglichen Ihnen den Aufbau einer soliden Grundlage für Ihre Richtlinie als wichtige Komponenten für diese. Die Aktionen, Eskalationen und Zuweisungen, die erfolgen, sind alle auf diesen Regeln aufgebaut.


Anwendungsliste Erkennen Sie bestimmte, per Blacklist gesperrte Anwendungen, die auf einem Gerät installiert sind, oder alle Anwendungen, die nicht per Whitelist zugelassen sind. Sie können entweder bestimmte Anwendungen verbieten (z.B. Social Media-Anwendungen) und Anwendungen von auf Blacklists stehenden Anbietern, oder nur die von Ihnen bestimmten Anwendungen zulassen. Außerdem können Sie eine Mindestversionsnummer für eine Anwendung festlegen.

Antivirus-Status Stellen Sie fest, ob eine Antivirus-Anwendung ausgeführt wird. Das Konformitätsrichtlinienmodul überprüft das Aktionszentrum des Geräts auf eine Antivirus-Lösung. Sollte Ihre Drittanbieterlösung nicht im Aktionszentrum angezeigt werden, wird sie als nicht überwacht gemeldet.

Nutzung von Mobilfunkdaten/Nachrichten/Sprachanrufen

Stellen Sie fest, wenn Endbenutzergeräte einen bestimmten Schwellenwert ihres Telekommunikationstarifplans überschreiten. Damit diese Richtlinie in Kraft treten kann, müssen die Telekommunikationseinstellungen konfiguriert werden.

Konformitätsattribut Vergleichen Sie Attributschlüssel im Gerät anhand der Endpunkt-Sicherheitskontrolle von Drittanbietern, die einen Booleanschen Wert für die Gerätekonformität zurückgibt. Nur für Windows Desktop-Geräte verfügbar.


VMware, Inc. 211


Gefährdungsstatus Stellen Sie fest, ob das Gerät kompromittiert ist. Verhindern Sie die Verwendung von Geräten mit Jailbreak oder Root-Zugriff, die in Workspace ONE UEM registriert sind.

Geräte mit Jailbreak oder Root-Zugriff bauen wesentliche Sicherheitseinstellungen ab und können Malware in Ihr Netzwerk einschleusen sowie Zugriff auf Ihre Unternehmensressourcen ermöglichen. Die Überwachung des Status von kompromittierten Geräten ist in BYOD-Umgebungen besonders wichtig, bei denen Mitarbeiter über verschiedene Versionen von Geräten und Betriebssystemen verfügen.

Gerät zuletzt gesehen Erkennen Sie, wenn das Gerät innerhalb eines festgelegten Zeitrahmens nicht eingecheckt wird.

Gerätehersteller Erkennen Sie den Gerätehersteller, wodurch Sie die Möglichkeit erhalten, bestimmte Android-Geräte zu identifizieren. Sie können bestimmte Hersteller verbieten oder nur die von Ihnen festgelegten Hersteller zulassen.

Verschlüsselung Erkennen Sie, ob die Verschlüsselung auf dem Gerät aktiviert ist.

Firewallstatus Erkennen Sie, ob eine Firewall-Anwendung ausgeführt wird. Die Compliance Engine überprüft das Aktionszentrum des Geräts auf eine Firewall-Lösung. Sollte Ihre Drittanbieterlösung nicht im Aktionszentrum angezeigt werden, wird sie als nicht überwacht gemeldet.

Freier Speicherplatz Erkennen Sie den verfügbaren Speicherplatz auf dem Gerät.

iBeacon-Bereich Erkennen Sie, ob Ihr Gerät sich im Bereich einer iBeacon-Gruppe befindet.

Ablauf des interaktiven Zertifikatsprofils

Erkennen Sie, wenn ein installiertes Profil innerhalb eines festgelegten Zeitraums auf dem Gerät abläuft.

Letzter Gefährdungsscan Erkennen Sie, wenn ein Gerät seinen Kompromittierungsstatus innerhalb des festgelegten Zeitraums nicht gemeldet hat.

Annahme der MDM-Nutzungsbedingungen

Erkennen Sie, wenn ein Endbenutzer die aktuellen MDM-Nutzungsbedingungen innerhalb eines bestimmten Zeitraums nicht akzeptiert hat.

Modell Erkennen Sie das Gerätemodell. Sie können entweder bestimmte Modelle untersagen oder nur die von Ihnen festgelegten Modelle zulassen.

BS-Version Erkennen Sie die BS-Version des Geräts. Sie können entweder bestimmte BS-Versionen untersagen oder nur die von Ihnen festgelegten Betriebssysteme und Versionen zulassen.

Kennung Erkennen Sie, ob eine Kennung auf dem Gerät vorhanden ist.

Roaming* Erkennen Sie, wenn sich das Gerät im Roamingbetrieb befindet.

Mobilfunkdaten-Nutzung im Roamingbetrieb*

Erkennen Sie Mobilfunkdaten-Nutzung im Roamingbetrieb im Vergleich zu einer statischen Menge an in MB oder GB gemessenen Daten.

Sicherheitspatchversion Stellen Sie das Datum des neuesten Sicherheitspatches von Google auf dem Android-Gerät fest. Gilt nur für Android-Version 6.0 und höher.

SIM-Kartenwechsel* Erkennen Sie, ob die SIM-Karte gewechselt wurde.

Systemintegritätsschutz Ermitteln Sie den Status des proprietären Schutzsystems von macOS für systemeigene Dateien und Verzeichnisse vor Änderungen durch Prozesse ohne eine bestimmte „Berechtigung“, selbst wenn Sie vom Root-Benutzer oder einem Benutzer mit Root-Berechtigungen ausgeführt werden.


VMware, Inc. 212


Status des automatischen Windows Updates

Erkennen Sie, ob automatische Windows-Updates aktiviert wurden. Die Compliance Engine überprüft das Aktionszentrum des Geräts auf eine Update-Lösung. Sollte Ihre Drittanbieterlösung nicht im Aktionszentrum angezeigt werden, wird sie als nicht überwacht gemeldet.

Echtheitsüberprüfung der Windows-Kopie

Erkennen Sie, ob die Windows-Kopie, die momentan auf dem Geräte ausgeführt wird, echt ist.

* Nur für fortgeschrittene Telekommunikationsbenutzer verfügbar.

Konformitätsrichtlinienaktionen nach PlattformZu den unterstützten Aktionen nach Plattform, die durch Konformitätsrichtlinien durchgesetzt werden, gehören Folgende:

Konformitätsrichtlinienaktion


Apple iOS

Apple macOS

Chrome OS QNX

Windows Robust

Windows 7

Windows Phone

Windows Desktop

Anwendung

Verwaltete Anwendung blockieren/entfernen

✓ ✓ ✓

Alle Anwendungen blockieren/entfernen

✓ ✓ ✓

Befehl

Roamingeinstellungen ändern. ✓(ab iOS 5)

Enterprise-Löschung ✓ ✓ ✓ ✓ ✓ ✓ ✓

Enterprise-Zurücksetzung ✓ ✓

BS-Update ✓

(nur DEP)

Geräte-Check-in anfordern ✓ ✓ ✓

Azure-Token deaktivieren*. ✓ ✓

E-Mail

E-Mail blockieren ✓ ✓

Benachrichtigen

E-Mail an Benutzer senden**. ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

SMS an Gerät senden. ✓ ✓ ✓ ✓

Push-Benachrichtigung an Gerät senden.

✓ ✓ ✓ ✓ ✓ ✓ ✓

E-Mail an Administrator senden.

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓


VMware, Inc. 213

Konformitätsrichtlinienaktion


Apple iOS

Apple macOS

Chrome OS QNX

Windows Robust

Windows 7

Windows Phone

Windows Desktop

Profil

Konformitätsprofile installieren. ✓ ✓ ✓ ✓ ✓

Profil blockieren/entfernen ✓ ✓ ✓ ✓ ✓

Profiltyp blockieren/entfernen ✓ ✓ ✓

Alle Profile blockieren/entfernen

✓ ✓ ✓ ✓ ✓

* Erfordert die Aktivierung der Option „Azure AD als Identitätsdienst verwenden“ unter Einstellungen > System > Enterprise Integration > Verzeichnisdienste > Erweiterungen. Wirkt sich auf alle Geräte für einen bestimmten Benutzer aus und deaktiviert jede Anwendung, die auf dem Azure-Token beruht.

** Umfasst die Option, den Manager des Benutzers auf CC zu setzen.

Hinzufügen einer KonformitätsrichtlinieFür das Hinzufügen einer Konformitätsrichtlinie sind vier Segmente entscheidend: Rollen, Aktionen, Zuweisung und Übersicht. Nicht alle in diesem Leitfaden aufgeführten Funktionen und Optionen sind für alle Plattformen verfügbar. In der Workspace ONE UEM-Konsole basieren alle verfügbaren Optionen auf der ursprünglich ausgewählten Plattform. In der Konsole sind daher keine Optionen verfügbar, die Sie nicht für Ihr Gerät verwenden können.

Hinweis Konformität von Windows Robust wird nur auf Motorola-Geräten unterstützt (Konformität wird durch die Aktion „Enterprise-Zurücksetzung“ durchgesetzt).

Konfigurieren Sie die Compliance Engine samt Profilen und automatischen Eskalationen durch Ausfüllen der Konformitätsrichtlinienregisterkarten.

Verfahren

1 Navigieren Sie zu Geräte > Konformitätsrichtlinien > Listenansicht und wählen Sie Hinzufügen aus.

2 Wählen Sie für Ihre Konformitätsrichtlinie eine Plattform auf der Seite Konformitätsrichtlinie hinzufügen aus.

3 Erkennen Sie die Bedingungen durch das Konfigurieren der Registerkarte Regeln anhand der ersten Übereinstimmung von einer beliebigen Regel oder allen Regeln.

n Regel hinzufügen – Aktivieren Sie diese Option, um weitere Regeln und Parameter hinzuzufügen. Weitere Informationen finden Sie unter Regeln für Konformitätsrichtlinien nach Plattform und Regeln für Konformitätsrichtlinien – Beschreibung.

n Zurück und Weiter – Gehen Sie zurück zum vorherigen oder weiter zum nächsten Schritt bzw. zur nächsten Aktion.


VMware, Inc. 214

4 Füllen Sie die Registerkarte Aktionen aus, um die Konsequenzen für Nicht-Konformität innerhalb Ihrer Richtlinie festzulegen.

Die verfügbaren Aktionen hängen von der jeweiligen Plattform ab. Weitere Informationen finden Sie unter Konformitätsrichtlinienaktionen nach Plattform.

5 Geben Sie gewünschte Aktionen und Eskalationen an.

Eine Eskalation ist einfach eine automatische Aktion, die ausgeführt wird, wenn die vorherige Aktion den Benutzer nicht veranlasst, Schritte zur Wiederherstellung der Gerätekonformität zu ergreifen.

Wählen Sie die Option und Typen der gewünschten Aktion aus.


Aktionen und Eskalationen

Kontrollkästchen Als nicht konform markieren

Erlaubt Ihnen, Aktionen auf einem Gerät auszuführen, ohne es als nicht konform zu markieren. Die Compliance Engine führt diese Aktion unter Berücksichtigung folgender Regeln durch:

n Das Kontrollkästchen „Als nicht konform markieren“ wird standardmäßig für jede neu hinzugefügte Aktion aktiviert.

n Ist bei einer Aktion die Option „Als nicht konform markieren“ aktiviert, werden alle nachfolgenden Aktionen und Eskalationen auch als nicht konform markiert. Diese nachfolgenden Kontrollkästchen können dann nicht bearbeitet werden.

n Wurde bei einer Aktion die Option „Als nicht konform markieren“ deaktiviert, so ist bei der nächsten Aktion bzw. Eskalation die Option standardmäßig aktiviert. Das Kontrollkästchen kann jedoch bearbeitet werden.

n Wenn für eine Aktion bzw. Eskalation die Option „Als nicht konform markieren“ deaktiviert ist und das Gerät nicht der Konformitätsregel entspricht, ist das Gerät offiziell „konform“. Danach wird die oben beschriebene Aktion ausgeführt.

n Der Status eines Geräts bleibt „konform“, sofern für das Gerät nicht eine Aktion bzw. Eskalation mit dem aktivierten Kontrollkästchen „Als nicht konform markieren“ durchgeführt wird. Das Gerät wird nur in diesem Fall als nicht konform erachtet.

Anwendung Blockieren oder entfernen Sie eine verwaltete Anwendung.

Sie können die Konformität einer Anwendung auch durch Einrichtung einer Whitelist, einer Blacklist oder einer erforderlichen Liste mit Anwendungen erzwingen.

Befehl Starten Sie ein Geräte-Check-in oder führen Sie ein Enterprise Wipe aus.

E-Mail Blockieren Sie den Benutzer von der Verwendung von E-Mails.

Falls Sie Mobile E-Mail Management zusammen mit der E-Mail-Compliance-Engine verwenden, wird die Aktion „E-Mail blockieren“ angewendet. Greifen Sie über E-Mail > Konformitätsrichtlinien > E-Mail-Richtlinien auf diese Option zu. Dadurch können Sie Gerätekonformitätsrichtlinien verwenden, wie beispielsweise per Blacklist gesperrte Anwendungen in Verbindung mit Richtlinien für die E-Mail-Compliance-Engine, die Sie konfigurieren. Mit dieser Aktion wird E-Mail-Konformität mit einem Update für einzelne Geräterichtlinien eingeleitet, sollte das Gerät nicht mehr konform sein.


VMware, Inc. 215


Benachrichtigen Benachrichtigen Sie jemanden über die Konformitätsverletzung.

Sie haben die folgenden Möglichkeiten zum Senden einer Benachrichtigung.

n E-Mail an Benutzer senden.

n SMS an Gerät senden.

n Push-Benachrichtigung an Gerät senden.

n E-Mail an Administrator senden.

Mehrere E-Mails können in das einhergehende Textfeld CC eingefügt werden, vorausgesetzt, dass sie durch Kommas getrennt werden. Mit CC können Sie auch eine E-Mail an den Manager des Benutzers senden, indem Sie einen Suchwert eingeben; klicken Sie hierzu auf das Pluszeichen neben dem CC-Textfeld und wählen Sie {UsersManager} aus dem Dropdown-Menü aus. Weitere Informationen finden Sie unter Nachschlagewerte.

Für alle Benachrichtigungsoptionen können Sie eine Nachrichtenvorlage verwenden. Zur Verwendung dieser Option heben Sie die Auswahl des Kontrollkästchens Standardvorlage auf; daraufhin wird ein Dropdown-Menü angezeigt, in dem Sie eine Nachrichtenvorlage auswählen können.

Es gibt auch einen Link, der in einem neuen Fenster die Seite Nachrichtenvorlage öffnet. Auf dieser Seite können Sie Ihre eigene Nachrichtenvorlage erstellen.

Profil Installieren, entfernen oder blockieren Sie ein bestimmtes Geräteprofil, einen Geräteprofiltyp oder eine Konformitätsrichtlinie.

Konformitätsprofile werden auf dieselbe Weise erstellt und gespeichert wie die Geräteprofile „Automatisch“ und „Optional“. Navigieren Sie zu Geräte > Profile und Ressourcen > Profile und wählen Sie anschließend Hinzufügen sowie Profil hinzufügen aus. Wählen Sie eine Plattform und auf der Profilregisterkarte Allgemein die Option „Konformität“ in der Dropdown-Einstellung Zuweisungstyp aus. Konformitätsprofile werden auf den Registerkarten Aktionen der Seite Konformitätsrichtlinie hinzufügen angewendet, wenn ein Endbenutzer gegen eine Konformitätsrichtlinie verstößt. Wählen Sie Konformitätsprofil installieren aus dem Dropdown-Menü und anschließend das zuvor gespeicherte Konformitätsprofil aus.

Nur Eskalationen

Schaltfläche Eskalation hinzufügen

Erstellt eine Eskalation. Beim Hinzufügen von Eskalationen wird empfohlen, die Sicherheit von Aktionen mit jeder weiteren Eskalation zu erhöhen.

Nach ... Zeitintervall Sie können die Eskalation um Minuten, Stunden oder Tage verzögern.

... führen Sie folgende Aktionen aus

Wiederholen – Aktivieren Sie dieses Kontrollkästchen, um die Eskalation in einem bestimmten Intervall zu wiederholen, bevor die nächste geplante Aktion beginnt.

Für macOS können Sie folgende Aktionen durchführen:

n Geräte-Löschung

n E-Mail an Administrator senden

n Enterprise-Löschung

n Profil blockieren/entfernen

n E-Mail an Anwender senden

n Profiltyp blockieren/entfernen

n Push-Benachrichtigung an Gerät senden


VMware, Inc. 216

n Alle Profile blockieren/entfernen

6 Legen Sie fest, welche Geräte der Konformitätsrichtlinie unterliegen (und welche davon ausgeschlossen sind), indem Sie die Optionen der Registerkarten Zuweisung und Übersicht auf der Seite „Konformitätsrichtlinie hinzufügen“ ausfüllen. Benennen, beenden und aktivieren Sie die Richtlinie über die Registerkarte „Übersicht“.


Verwaltet von Wählen Sie die Organisationsgruppe aus, von der diese Konformitätsrichtlinie verwaltet werden soll.

Zugewiesene Gruppen Weisen Sie dieser Richtlinie eine oder mehrere Gruppen zu. Weitere Informationen finden Sie unter Zuweisungsgruppen.

Ausschlüsse Wenn Sie Gruppen ausschließen möchten, wählen Sie Ja aus. Wählen Sie anschließend eine Gruppe aus der verfügbaren Liste von Gruppen im Textfeld Ausgeschlossene Gruppen aus. Weitere Informationen finden Sie unter Ausschließen von Gruppen aus Profilen und Richtlinien.

Schaltfläche Gerätezuweisung anzeigen

Zeigen Sie eine Liste der von dieser Konformitätsrichtlinienzuweisung betroffenen Geräte an.


7 Nachdem Sie die Zuweisung dieser Richtlinie festgelegt haben, wählen Sie Weiter.

Die Registerkarte Übersicht wird angezeigt.

8 Geben Sie einen Namen und eine aussagekräftige Beschreibung der Konformitätsrichtlinie ein.

9 Wählen Sie eine der folgenden Optionen.

n Fertigstellen – Speichern Sie Ihre Konformitätsrichtlinie, ohne sie auf zugewiesenen Geräten zu aktivieren.

n Fertigstellen und aktivieren – Speichern Sie die Richtlinien und wenden Sie sie auf alle betroffenen Geräte an.

Gerätezuweisung anzeigenWählen Sie beim Konfigurieren einer Konformitätsrichtlinie Gerätezuweisung anzeigen auf der Registerkarte Zuweisung aus. Daraufhin wird die Seite Gerätezuweisung anzeigen angezeigt. Mit dieser Seite können Sie prüfen, welche Geräte betroffen (oder nicht betroffen) sind.


VMware, Inc. 217

In der Spalte Zuweisungsstatus werden folgende Einträge für die in der Liste aufgeführten Geräte angezeigt.

n Hinzugefügt – Die Konformitätsrichtlinie wurde dem aufgeführten Gerät hinzugefügt.

n Entfernt – Die Konformitätsrichtlinie wurde vom Gerät entfernt.

n Unverändert – Das Gerät bleibt von den Änderungen an der Konformitätsrichtlinie unberührt.

Wählen Sie Veröffentlichen aus, um die Änderungen abzuschließen und veröffentlichen Sie ggf. erneut erforderliche Konformitätsrichtlinien.

Erkennung kompromittierter Geräte durch IntegritätsnachweisIm Rahmen des Integritätsnachweises werden Geräte beim Start auf Fehler bezüglich der Geräteintegrität geprüft. Verwenden Sie den Integritätsnachweis, um kompromittierte Windows Desktop-Geräte zu erkennen.

Bei der Bereitstellung von sowohl BYOD- als auch unternehmenseigenen Geräten ist es wichtig, dass die Geräte ordnungsgemäß funktionieren, wenn auf Unternehmensressourcen zugegriffen wird. Der Windows-Integritätsnachweisdienst greift über sichere Kommunikation auf Gerätestartinformationen aus der Cloud zu. Diese Informationen werden gemessen und mit den zugehörigen Datenpunkten abgeglichen, um sicherzustellen, dass das Gerät wie geplant gestartet und keinen Sicherheitsrisiken oder -bedrohungen ausgesetzt wird. Die Messungen umfassen Secure Boot, Codeintegrität, BitLocker und Start-Manager.

Mithilfe von Workspace ONE UEM können Sie den Windows-Integritätsnachweisdienst konfigurieren, um die Gerätekonformität sicherzustellen. Wenn eine der aktivierten Prüfungen nicht bestanden wird, wendet das Workspace ONE UEM-Konformitätsrichtlinienmodul Sicherheitsmaßnahmen basierend auf der konfigurierten Konformitätsrichtlinie an. Diese Funktion ermöglicht Ihnen die sichere Aufbewahrung von Unternehmensdaten von kompromittierten Geräten. Da Workspace ONE UEM die erforderlichen Informationen von der Gerätehardware und nicht vom Betriebssystem bezieht, werden kompromittierte Geräte selbst dann erkannt, wenn der Betriebssystem-Kernel kompromittiert ist.


VMware, Inc. 218

Konfigurieren Sie den Integritätsnachweisdienst für Windows Desktop-Konformitätsrichtlinien.Schützen Sie Ihre Dienste mithilfe des Windows-Integritätsnachweisdienstes für die Erkennung kompromittierter Geräte. Dieser Dienst ermöglicht Workspace ONE UEM, die Geräteintegrität beim Start zu prüfen und Korrekturmaßnahmen vorzunehmen.

Verfahren

1 Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Windows > Windows Desktop > Windows-Integritätsnachweis.

2 (Optional) Wählen Sie Benutzerdefinierten Server verwenden, wenn Sie einen benutzerdefinierten lokalen Server verwenden, auf dem der Integritätsnachweis ausgeführt wird. Geben Sie die Server-URL ein.

3 Konfigurieren Sie die Integritätsnachweiseinstellungen:


Definition des Kompromittierungsstatus

Benutzerdefinierten Server verwenden

Wählen Sie diese Option aus, um einen benutzerdefinierten Server zum Integritätsnachweis zu konfigurieren.

Für diese Option muss auf einem Server Windows Server 2016 oder höher ausgeführt werden.

Bei Aktivierung dieser Option wird das Feld Server URL angezeigt.

Server-URL Geben Sie die URL Ihres benutzerdefinierten Integritätsnachweisservers ein.

Secure Boot deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn Secure Boot auf dem Gerät deaktiviert ist.

Secure Boot erzwingt einen Systemstart in einem Zustand, der vom Hersteller als vertrauenswürdig eingestuft wird. Außerdem müssen bei aktiviertem Secure Boot die Kernkomponenten, die zum Starten des Computers verwendet werden, über die korrekten kryptografischen Signaturen verfügen, denen vom Hersteller des Computers vertraut wird. Die UEFI-Firmware prüft die Vertrauenswürdigkeit vor dem Start des Geräts. Wenn kompromittierte Dateien erkannt werden, kann das System nicht gestartet werden.

Attestation Identity Key (AIK) nicht vorhanden

Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn AIK nicht auf dem Gerät vorhanden ist.

Wenn ein Attestation Identity Key (AIK) auf einem Gerät vorhanden ist, weist dies darauf hin, dass das Gerät über ein Endorsement Key(EK)-Zertifikat verfügt. Ein solches Gerät ist vertrauenswürdiger als ein Gerät ohne EK-Zertifikat.

Richtlinie für Datenausführungsverhinderung (DEP) deaktiviert

Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die DEP-Richtlinie auf dem Gerät deaktiviert ist.

Die Richtlinie für Datenausführungsverhinderung (DEP) ist eine Speicherschutzfunktion, die auf Systemebene des Betriebssystems integriert ist. Die Richtlinie verhindert das Ausführen von Code von Datenseiten wie Standard-Heaps, Stapel und Speicherpools. DEP wird von Hardware und Software erzwungen.

BitLocker deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die BitLocker-Verschlüsselung auf dem Gerät deaktiviert ist.


VMware, Inc. 219


Codeintegritätsprüfung deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Codeintegritätsprüfung auf dem Gerät deaktiviert ist.

Die Codeintegrität ist eine Funktion, die die Integrität eines Treibers oder einer Systemdatei bei jedem Laden in den Speicher prüft. Die Codeintegrität prüft auf nicht signierte Treiber bzw. Systemdateien, bevor diese in den Kernel geladen werden. Zudem prüft diese auf Benutzer mit Administratorberechtigungen, die durch Schadsoftware modifizierte Systemdateien ausführen.

Frühstart von Antischadsoftware deaktiviert

Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn der Frühstart von Antischadsoftware auf dem Gerät deaktiviert ist.

Der Frühstart von Antischadsoftware (Early Launch Anti-Malware, ELAM) bietet Computern Schutz in Ihrem Netzwerk beim Start und bevor Treiber von Drittanbietern initialisiert werden.

Codeintegrität-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Codeintegrität-Versionsprüfung auf dem Gerät fehlschlägt.

Startmanager-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Startmanager-Versionsprüfung auf dem Gerät fehlschlägt.

Startanwendung - Sicherheit - Versionsnummernüberprüfung

Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit der Startanwendung nicht mit der eingegebenen Nummer übereinstimmt.

Start-Manager - Sicherheit - Versionsnummer - Überprüfung

Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit des Start-Managers nicht mit der eingegebenen Nummer übereinstimmt.

Erweiterte Einstellungen Aktivieren Sie diese Option, um im Abschnitt für Softwareversions-IDs erweiterte Einstellungen konfigurieren zu können.

Softwareversions-ID

Codeintegritätsrichtlinien-Hash-Prüfung

Aktivieren Sie diese Option, um eine Whitelist von bekannten, gültigen Hashwerten für die Codeintegrität-Software zu definieren. Wenn es sich bei dem Hashwert nicht um einen Wert auf der Whitelist handelt, schlägt die Integritätsnachweiskonformität fehl.

Secure Boot-Konfigurationsrichtlinien-Hash-Prüfung

Aktivieren Sie diese Option, um eine Whitelist von bekannten, gültigen Hashwerten für die Software zur Secure Boot-Konfiguration zu definieren. Wenn es sich bei dem Hashwert nicht um einen Wert auf der Whitelist handelt, schlägt die Integritätsnachweiskonformität fehl.

PCR0-Prüfung Aktivieren Sie diese Option, um eine Whitelist von bekannten, gültigen Maßnahmen für die Software zur PRC0-Prüfung zu definieren. Diese Maßnahme prüft den vom BIOS als vertrauenswürdig eingestuften Code, um sicherzustellen, dass dieser nicht kompromittiert wurde. Wenn es sich bei der Maßnahme nicht um einen Wert auf der Whitelist handelt, schlägt die Integritätsnachweiskonformität fehl.


Konfigurieren des Integritätsnachweises für Windows Phone-KonformitätsrichtlinienSchützen Sie Ihre Dienste mithilfe des Windows-Integritätsnachweisdienstes für die Erkennung kompromittierter Geräte. Dieser Dienst ermöglicht AirWatch, die Geräteintegrität beim Start zu prüfen und Korrekturmaßnahmen vorzunehmen.


VMware, Inc. 220

Die Konformitätsrichtlinie für den Kompromittierungsstatus gilt für Geräte mit Windows 10 Mobile mit einem Trusted Platform Module (TPM) 1.2 oder höher.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Windows > Windows Phone > Windows-Integritätsnachweis.

2 (Optional) Wählen Sie Benutzerdefinierten Server verwenden, wenn Sie einen benutzerdefinierten lokalen Server verwenden, auf dem der Integritätsnachweis ausgeführt wird. Geben Sie die Server-URL ein.

3 Konfigurieren Sie die Integritätsnachweiseinstellungen:


Definition des Kompromittierungsstatus

Benutzerdefinierten Server verwenden

Wählen Sie diese Option aus, um einen benutzerdefinierten Server zum Integritätsnachweis zu konfigurieren.

Für diese Option muss auf einem Server Windows Server 2016 oder höher ausgeführt werden.

Bei Aktivierung dieser Option wird das Feld Server URL angezeigt.

Server-URL Geben Sie die URL Ihres benutzerdefinierten Integritätsnachweisservers ein.

Secure Boot deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn Secure Boot auf dem Gerät deaktiviert ist.

Secure Boot erzwingt einen Systemstart in einem Zustand, der vom Hersteller als vertrauenswürdig eingestuft wird. Außerdem müssen bei aktiviertem Secure Boot die Kernkomponenten, die zum Starten des Computers verwendet werden, über die korrekten kryptografischen Signaturen verfügen, denen vom Hersteller des Computers vertraut wird. Die UEFI-Firmware prüft die Vertrauenswürdigkeit vor dem Start des Geräts. Wenn kompromittierte Dateien erkannt werden, kann das System nicht gestartet werden.

Attestation Identity Key (AIK) nicht vorhanden

Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn AIK nicht auf dem Gerät vorhanden ist.

Wenn ein Attestation Identity Key (AIK) auf einem Gerät vorhanden ist, weist dies darauf hin, dass das Gerät über ein Endorsement Key(EK)-Zertifikat verfügt. Ein solches Gerät ist vertrauenswürdiger als ein Gerät ohne EK-Zertifikat.

Richtlinie für Datenausführungsverhinderung (DEP) deaktiviert

Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die DEP-Richtlinie auf dem Gerät deaktiviert ist.

Die Richtlinie für Datenausführungsverhinderung (DEP) ist eine Speicherschutzfunktion, die auf Systemebene des Betriebssystems integriert ist. Die Richtlinie verhindert das Ausführen von Code von Datenseiten wie Standard-Heaps, Stapel und Speicherpools. DEP wird von Hardware und Software erzwungen.

BitLocker deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die BitLocker-Verschlüsselung auf dem Gerät deaktiviert ist.


VMware, Inc. 221


Codeintegritätsprüfung deaktiviert Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Codeintegritätsprüfung auf dem Gerät deaktiviert ist.

Die Codeintegrität ist eine Funktion, die die Integrität eines Treibers oder einer Systemdatei bei jedem Laden in den Speicher prüft. Die Codeintegrität prüft auf nicht signierte Treiber bzw. Systemdateien, bevor diese in den Kernel geladen werden. Zudem prüft diese auf Benutzer mit Administratorberechtigungen, die durch Schadsoftware modifizierte Systemdateien ausführen.

Frühstart von Antischadsoftware deaktiviert

Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn der Frühstart von Antischadsoftware auf dem Gerät deaktiviert ist.

Der Frühstart von Antischadsoftware (Early Launch Anti-Malware, ELAM) bietet Computern Schutz in Ihrem Netzwerk beim Start und bevor Treiber von Drittanbietern initialisiert werden.

Codeintegrität-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Codeintegrität-Versionsprüfung auf dem Gerät fehlschlägt.

Startmanager-Versionsprüfung Aktivieren Sie diese Option, um den Status eines kompromittierten Geräts zu kennzeichnen, wenn die Startmanager-Versionsprüfung auf dem Gerät fehlschlägt.

Startanwendung - Sicherheit - Versionsnummernüberprüfung

Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit der Startanwendung nicht mit der eingegebenen Nummer übereinstimmt.

Start-Manager - Sicherheit - Versionsnummer - Überprüfung

Aktivieren Sie diese Option, um einen kompromittierten Gerätestatus zu kennzeichnen, wenn die Versionsnummer für die Sicherheit des Start-Managers nicht mit der eingegebenen Nummer übereinstimmt.

Erweiterte Einstellungen Aktivieren Sie diese Option, um im Abschnitt für Softwareversions-IDs erweiterte Einstellungen konfigurieren zu können.

Softwareversions-ID

Codeintegritätsrichtlinien-Hash-Prüfung

Aktivieren Sie diese Option, um eine Whitelist von bekannten, gültigen Hashwerten für die Codeintegrität-Software zu definieren. Wenn es sich bei dem Hashwert nicht um einen Wert auf der Whitelist handelt, schlägt die Integritätsnachweiskonformität fehl.

Secure Boot-Konfigurationsrichtlinien-Hash-Prüfung

Aktivieren Sie diese Option, um eine Whitelist von bekannten, gültigen Hashwerten für die Software zur Secure Boot-Konfiguration zu definieren. Wenn es sich bei dem Hashwert nicht um einen Wert auf der Whitelist handelt, schlägt die Integritätsnachweiskonformität fehl.

PCR0-Prüfung Aktivieren Sie diese Option, um eine Whitelist von bekannten, gültigen Maßnahmen für die Software zur PRC0-Prüfung zu definieren. Diese Maßnahme prüft den vom BIOS als vertrauenswürdig eingestuften Code, um sicherzustellen, dass dieser nicht kompromittiert wurde. Wenn es sich bei der Maßnahme nicht um einen Wert auf der Whitelist handelt, schlägt die Integritätsnachweiskonformität fehl.

Nächste Schritte

Weitere Informationen finden Sie im Microsoft TechNet-Artikel zum Integritätsnachweis.


VMware, Inc. 222

Datenschutz für BYOD-Bereitstellungen 10Eine der wichtigsten Überlegungen für BYOD-Endbenutzer ist der Schutz der persönlichen Inhalte auf ihren Geräten. Ihre Organisation muss Mitarbeitern versichern, dass ihre persönlichen Daten nicht der Unternehmensaufsicht unterliegen.

Mit Workspace ONE UEM MDM können Sie den Datenschutz persönlicher Daten durch die Erstellung angepasster Datenschutzrichtlinien sicherstellen, die basierend auf dem Besitzertyp des Geräts keine persönlichen Daten erfassen. Darüber hinaus können Sie granulare Datenschutzeinstellungen definieren, um die Erfassung personenbezogener Informationen zu deaktivieren und bestimmte Remote-Aktionen für mitarbeitereigene Geräte zu verbieten, um den Datenschutz der Mitarbeiter zu gewährleisten.

Informieren Sie Ihre Endanwender bei der Registrierung bei Workspace ONE UEM darüber, wie ihre Daten erfasst und gespeichert werden.

Wichtig In den einzelnen Ländern und Rechtsprechungen gelten unterschiedliche Bestimmungen für die Erfassung der Daten von Endbenutzern. Ihre Organisation muss die geltenden Gesetze gründlich recherchieren, bevor Sie Ihre BYOD- und Datenschutzrichtlinien konfigurieren.


n Sicherheit und Datenschutz in Workspace ONE UEM

n Konfigurieren von Datenschutzeinstellungen

n Datenschutzhinweise für BYOD-Endbenutzer

n Benutzerdatenerfassung von BYOD-Endbenutzern

n Nutzungsbedingungen für BYOD-Endbenutzer

n Einschränkungen für BYOD-Geräte

Sicherheit und Datenschutz in Workspace ONE UEMWorkspace ONE UEM bietet angepasste Stufen der Geräte- und Anwendungsverwaltung, mit denen Sie die Sicherheit von Unternehmen und den Datenschutz von Endbenutzern in einem BYOD-Szenario abwägen können.

VMware, Inc. 223

Jeder Verwaltungstyp bietet ein anderes Gleichgewicht zwischen Datenschutz und Geräteverwaltung. Sie sollten gemeinsam mit Ihrer Rechts- und IT-Abteilung ermitteln, welches Szenario für Ihre BYOD-Benutzer am besten geeignet ist. Verwenden Sie den folgenden Vergleich, um die praktischste Wahl zu treffen.

Tabelle 10-1. Datenschutz versus Sicherheit

Minimale Verwaltung Adaptive Verwaltung Erforderliche Verwaltung

<- -- ->

Geräte n Kein MDM-Profil – Geräte können nicht vom Unternehmen verwaltet werden.

n Keine Profile für WLAN, VPN, systemeigene E-Mails, Einschränkungen usw.

n Keine erzwungene Komplexität für Gerätekennungen.

n Zurücksetzen des Geräts auf Werkeinstellungen und Remote-Gerätesperrung nicht zulässig.

n Flexibel – Endbenutzer wählen aus, ob Ihre Geräte von Workspace Services verwaltet werden.

n Konfigurationsprofile für WLAN, VPN, systemeigene E-Mail, Einschränkungen usw. sind verfügbar, nachdem Benutzer die adaptive Verwaltung über Workspace Services aktiviert haben.

n Gerätekennung und Komplexitätsanforderung werden erzwungen.

n Zurücksetzen des Geräts auf Werkeinstellungen und Remote-Gerätesperrung nicht zulässig.

n MDM-Profil – Geräte werden vollständig vom Unternehmen mit Workspace ONE Intelligent Hub verwaltet.

n Konfigurationsprofile für WLAN, VPN, systemeigene E-Mail, Einschränkungen usw.

n Gerätekennung und Komplexitätsanforderung werden erzwungen.

n Zurücksetzen des Geräts auf Werkeinstellungen und Remote-Gerätesperrung aktiviert.


VMware, Inc. 224

Tabelle 10-1. Datenschutz versus Sicherheit (Fortsetzung)

Minimale Verwaltung Adaptive Verwaltung Erforderliche Verwaltung

Anwendungen n Vom Benutzer verwaltete Anwendungsinstallation und -berechtigungen

n Benutzer müssen unbekannte Quellen (Android) oder Trust Developer (iOS) als vertrauenswürdig einstufen, um interne, SDK- oder eingebundene Anwendungen zu installieren.

n Administratoren können keine AppConfig- und Pro-App-VPN- oder Push-Anwendungen bereitstellen.

n Benutzer greifen über VMware Workspace ONE auf VMware-, E-Mail-, Content- und Browseranwendungen zu.

n Benutzer werden aufgefordert, Workspace Services zu aktivieren, wenn Sie zum ersten Mal auf eine Anwendung zugreifen, für die eine Verwaltung erforderlich ist.

n Wenn Workspace Services aktiviert ist, ist die Funktionalität für Erforderliche Verwaltung – Anwendungen aktiviert.

n Wenn Workspace Services deaktiviert ist, ist die Funktionalität für Minimale Verwaltung – Anwendungen aktiviert.

n Administratoren pushen und ziehen öffentliche, interne, SDL- und eingebundene Anwendungen mithilfe von MDM-Aktionen auf und von Geräten.

n Administratoren überwachen auf eine Blacklist gesetzte Anwendungen und führen Konformitätsaktionen für Geräte aus.

n Administratoren konfigurieren SSO und Pro-App-VPN.

n Administratoren verwalten Anwendungen mit AppConfig.

Datenschutz n Benutzerzentriertes Datenschutzmodell

n Minimale Geräte- und Benutzerinformationen werden in Anwendungen erfasst.

n Benutzer konfigurieren die Datenschutzoptionen für jede installierte Anwendung.

n GPS-Ortung wird nicht nachverfolgt.

n Ausgeglichenes Datenschutzmodell

n Workspace Services-Profil optimiert die Funktionalität und minimiert Datenschutzverletzungen.

n Der angepasste Datenschutzhinweis kommuniziert IT-Richtlinien und erfasste Daten an Endbenutzer.

n GPS-Ortung wird nicht nachverfolgt.

n Unternehmenszentriertes Datenschutzmodell

n Unternehmensdaten sind auf Geräte- und Anwendungsebene geschützt.

n Workspace Services verfügbar

n GPS-Ortung und Geofencing verfügbar

Konfigurieren von DatenschutzeinstellungenDer Datenschutz von Endbenutzern ist für Sie und Ihre Benutzer ein wichtiges Anliegen. Workspace ONE UEM bietet eine präzise Steuerung darüber, welche Daten von Benutzern erfasst werden und welche dieser erfassten Daten für Administratoren sichtbar sind. Konfigurieren Sie die Datenschutzeinstellungen, um sowohl den Anforderungen Ihrer Benutzer als auch Ihren geschäftlichen Anforderungen gerecht zu werden.


VMware, Inc. 225

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Datenschutz.

2 Wählen Sie die passende Einstellung für die Datenerfassung für GPS, Telekommunikation, Anwendungen, Profile und Netzwerk.

Erfassen und anzeigen – Benutzerdaten werden in der UEM-Konsole erfasst und angezeigt.

Erfassen, aber nicht anzeigen – Benutzerdaten werden zu Berichtszwecken erfasst, jedoch nicht in der UEM-Konsole angezeigt.

Nicht erfassen – Benutzerdaten werden nicht erfasst und daher nicht angezeigt.

3 Wählen Sie die entsprechende Einstellung für die Befehle, die auf Geräten ausgeführt werden können. Erwägen Sie, alle Remotebefehle für mitarbeitereigene Geräte zu deaktivieren, insbesondere eine vollständige Gerätezurücksetzung auf die Werkseinstellungen. Diese Deaktivierung verhindert, dass die privaten Inhalte eines Endbenutzers versehentlich gelöscht werden. Wenn Sie die Wipe-Funktion für ausgewählte iOS-Besitztypen deaktivieren, wird Benutzern während der Registrierung nicht die Berechtigung zum Löschen sämtlicher Inhalte und Einstellungen angezeigt.

Zulassen – Der Befehl wird auf Geräten ohne Zustimmung des Benutzers ausgeführt.

Mit Benutzererlaubnis zulassen – Der Befehl wird nur mit Zustimmung des Benutzers auf dem Gerät ausgeführt.

Verhindern – Der Befehl wird nicht auf dem Gerät ausgeführt.

4 Falls Sie den Zugriff auf Remotesteuerung, Dateimanager oder Registrierungsmanager für Android- bzw. Windows Rugged-Geräte erlauben, sollten Sie die Verwendung der Option Mit Benutzererlaubnis zulassen in Erwägung ziehen. Diese Option verlangt vom Endbenutzer per Eingabeaufforderung, dass er dem Administrator Zugang zum Gerät gewährt, bevor die Aktion ausgeführt wird. Falls Sie die Nutzung von Befehlen zulassen, sollten Sie diese Befehle ausdrücklich in den Nutzungsbedingungen erwähnen.

5 Für Benutzerinformationen wählen Sie in der Konsole Anzeigen oder Nicht anzeigen für die Angaben Vorname, Nachname, Rufnummer, E-Mail-Konten und Benutzername.

6 Sollte eine andere Option als Benutzername auf Nicht anzeigen gestellt sein, werden diese Daten in der UEM-Konsole als „Privat“ angezeigt. Optionen, die auf Nicht anzeigen gestellt sind, können in der Konsole nicht gesucht werden. Ein Benutzername, der auf Nicht anzeigen gesetzt wurde, wird nur auf den Seiten „Gerätelistenansicht“ und „Gerätedetails“ als „Privat“ angezeigt. Alle anderen Seiten der UEM-Konsole zeigen den Benutzernamen des registrierten Benutzers an.


VMware, Inc. 226

7 Sie können personenbezogene Informationen verschlüsseln, einschließlich Vorname, Nachname, E-Mail-Adresse und Rufnummer. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Sicherheit > Datensicherheit von der globalen Organisationsgruppe oder Organisationsgruppe der Kundenebene, für die Sie die Verschlüsselung konfigurieren möchten. Durch Aktivierung der Verschlüsselung, Auswahl der zu verschlüsselnden Benutzerdaten und anschließendes Klicken auf Speichern werden die Benutzerdaten verschlüsselt. Dadurch werden einige Funktionen in der UEM-Konsole eingeschränkt, wie Suchen, Sortieren und Filtern.

8 Wählen Sie, ob Sie den Modus Nicht stören auf dem Gerät auf Aktivieren oder Deaktivieren festlegen möchten. Diese Einstellung erlaubt es Benutzergeräten, MDM-Befehle für einen vorgegebenen Zeitraum zu ignorieren. Bei aktiviertem Modus können Sie eine Toleranzperiode oder Aktivierungszeit in Minuten, Stunden oder Tagen festlegen, nach denen der Modus Nicht stören abläuft.

9 Wählen Sie, ob Sie die Option Benutzerfreundlicher Datenschutzhinweis auf dem Gerät auf Aktivieren oder Deaktivieren festlegen möchten.

10 Wenn diese Einstellung Aktiviert ist, können Sie für jede Besitzebene entweder Ja (Datenschutzhinweis anzeigen) oder Nein (keinen Datenschutzhinweis anzeigen) wählen: Mitarbeitereigen, Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät und Unbekannt.

11 Klicken Sie auf Speichern. Die Datenschutzeinstellungen sind eine eingeschränkte Aktion, sodass Sie Ihre vierstellige Konsolen-PIN eingeben müssen, um fortzufahren.

Datenschutzhinweise für BYOD-EndbenutzerEin Datenschutzhinweis informiert Ihre Endbenutzer darüber, welche Daten Sie von ihren Geräten auf Grundlage von deren Gerätetyp, Bereitstellungstyp und Besitztyp erfassen.

Konfiguration des DatenschutzhinweisesDatenschutzhinweise werden auf Grundlage der Organisationsgruppe und des Gerätebesitzes des verbundenen Geräts automatisch bereitgestellt. Sie können wählen, dass für die folgenden Besitztypen ein Datenschutzhinweis angezeigt werden soll: Mitarbeitereigen, Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät und Unbekannt.

Bereitstellung des DatenschutzhinweisesWenn Sie einen Besitztyp für den Empfang von Datenschutzhinweisen zuweisen, erhalten alle Benutzer in der Kategorie des ausgewählten Besitztyps unverzüglich die Datenschutzbenachrichtigung als Web Clip. Sollten Sie den Nachschlagewert für den Datenschutzhinweis PrivacyNotificationUrl in Ihre Nachrichtenvorlage einfügen, dann enthält die Nachricht eine URL, wo die Benutzer den Datenschutzhinweis lesen können.

Benutzer erhalten den Datenschutzhinweis automatisch, falls:

n sie ein neues Gerät registrieren und zu einem Besitztyp gehören, für den der Datenschutzhinweis aktiviert ist.


VMware, Inc. 227

n sie zurzeit ein registriertes Gerät verwenden und der Besitz nach der Registrierung in einen Typ geändert wird, dem der Web Clip zugewiesen wird.

Weitere Informationen zur Bereitstellung eines Datenschutzhinweises im Rahmen einer Geräteaktivierung finden Sie unter Eintragen eines einzelnen Geräts.

DatenschutzeinstellungenDurch Datenschutzeinstellungen können Sie festlegen, wie Geräte- und Benutzerdaten in der Workspace ONE UEM Console gehandhabt werden. Diese Informationen sind für BYOD-Bereitstellungen (Bring Your Own Device) nützlich.

n Prüfen und passen Sie Datenschutzrichtlinien je nach Gerätebesitz an, wobei Sie sich an Datenschutzgesetze anderer Länder oder gesetzlich festgelegte Richtlinien halten können.

n Stellen Sie sicher, dass bestimmte IT-Kontrollmechanismen bestehen, um ein Überladen der Server und Systeme zu verhindern.

Wichtig Jede Rechtsprechung verfügt über eigene Regeln zur Erfassung von Endbenutzerdaten. Recherchieren Sie diese Regeln vor der Konfigurieren von Datenschutzeinstellungen eingehend.

Erstellen eines Datenschutzhinweises für BYOD-BenutzerInformieren Sie Ihre Benutzer durch einen anpassbaren Datenschutzhinweis darüber, welche Daten Ihr Unternehmen von ihren registrierten Geräten erfasst. Arbeiten Sie mit Ihrer Rechtsabteilung, um festzulegen, wie die Nachricht bezüglich der Datenerfassung an Ihre Endbenutzer verfasst werden soll.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Allgemein > Nachrichtenvorlagen.

2 Wählen Sie Hinzufügen, um eine Vorlage zu erstellen. Sollten Sie bereits eine Vorlage für einen Datenschutzhinweis erstellt haben, wählen Sie diese von der Liste der verfügbaren Vorlagen zur Verwendung oder Bearbeitung.

3 Bearbeiten Sie die Einstellungen für Nachrichtenvorlage hinzufügen/bearbeiten.


Name Geben Sie den Namen für die Nachrichtenvorlage ein.

Beschreibung Geben Sie eine Beschreibung für die Vorlage, die Sie erstellen, ein.

Kategorie Wählen Sie Registrierung.

Typ Wählen Sie MDM-Geräteaktivierung.

Sprache wählen Wählen Sie die Standardsprache für Ihre Vorlage. Verwenden Sie die Schaltfläche Hinzufügen, um weitere Standardsprachen für eine mehrsprachige Bereitstellung hinzuzufügen.

Standard Weist diese Vorlage als Standardnachrichtenvorlage zu.

Nachrichtentyp Wählen Sie einen oder mehrere Nachrichtentypen: E-Mail, SMSoder Push -Nachricht.


VMware, Inc. 228

4 Verfassen Sie den Inhalt der Benachrichtigung. Die von Ihnen im Feld Nachrichtentyp ausgewählten Nachrichtentypen bestimmen die Art der Nachrichten, die für Sie zur Konfiguration angezeigt werden.

Element Beschreibung

E-Mail

Formatierung der E-Mail-Inhalte

Wählen Sie, ob Ihre E-Mail-Benachrichtigungen in Nur-Text- oder HTML-Format geliefert werden.

Betreff Geben Sie die Betreffzeile Ihrer E-Mail-Benachrichtigung ein.

Nachrichtentext Verfassen Sie die E-Mail-Nachricht, die Sie Ihren Benutzern senden wollen. Die in diesem Textfeld angezeigten Bearbeitungs- und Formatierungstools hängen von dem Format ab, das Sie in dem Feld Formatierung von E-Mail-Inhalten gewählt haben.

Sollten Sie den Datenschutzhinweis mit Visualisierung aktiviert haben, schließen Sie den Nachschlagewert PrivacyNotificationUrl im Nachrichtentext ein.

SMS

Nachrichtentext Verfassen Sie die SMS, die Sie Ihren Benutzern senden wollen.


Push-Benachrichtigung

Nachrichtentext Verfassen Sie die Push-Benachrichtigung, die Sie Ihren Benutzern senden wollen.



Datenschutz – bewährte MethodenDen richtigen Mittelweg zwischen den Bedürfnissen Ihres Unternehmens und den Datenschutzbelangen Ihrer Mitarbeiter zu finden, kann eine Herausforderung darstellen. Um eine optimale Balance zu erzielen, gibt es einige einfache Vorgehensweisen zur Verwaltung von Datenschutzeinstellungen.

Wichtig Jede Bereitstellung ist anders. Passen Sie diese Einstellungen und Richtlinien so an, dass sie den Anforderungen Ihrer Organisation am besten entsprechen; wenden Sie sich hierzu an Ihre Rechts-, Personal- und Verwaltungsabteilungen.

Benutzerinformationen – Best Practices für den DatenschutzÜblicherweise blenden Sie Benutzerinformationen, wie Vor- und Nachname, Rufnummer und E-Mail-Adresse für sowohl mitarbeiter- als auch unternehmenseigene Geräte ein.

Anwendungsinformationen – Best Practices für den DatenschutzGenerell ist es angemessen, die Sammlung von Daten bei mitarbeitereigenen Geräten entweder auf Nicht erfassen oder Erfassen und nicht anzeigen zu stellen. Diese Einstellung ist wichtig, da auf einem Gerät installierte öffentliche Anwendungen, wenn eingesehen, als personenbezogene Information betrachtet werden können. Bei unternehmenseigenen Geräten erfasst Workspace ONE UEM alle auf dem Gerät installierten Anwendungen.


VMware, Inc. 229

Ist „Nicht erfassen“ ausgewählt, werden lediglich Informationen über private Anwendungen nicht erfasst. Workspace ONE UEM erfasst alle verwalteten Anwendungen, seien es öffentliche, interne oder erworbene Anwendungen.

Remotebefehle – Best Practices für den DatenschutzErwägen Sie, alle Remotebefehle für mitarbeitereigene Geräte zu deaktivieren. Wenn Sie jedoch Remoteaktionen oder -befehle zulassen, sollten Sie diese ausdrücklich in den Nutzungsbedingungen erwähnen.

GPS-Koordinaten zum Datenschutz – Bewährte MethodenBei der Erfassung von GPS-Koordinaten können grundlegende Datenschutzprobleme bestehen. Während es unangemessen ist, GPS-Daten von mitarbeitereigenen Geräten zu erfassen, gelten die folgenden Hinweise für alle Geräte, die in Workspace ONE UEM registriert sind.

n Nur Workspace ONE Intelligent Hub übermittelt GPS-Standortdaten von Geräte zurück an die UEM-Konsole.

n Andere Anwendungen, die Workspace ONE SDK wie VMware Browser, Content Locker, Boxer usw. verwenden, übermitteln keine GPS-Daten zurück an die UEM-Konsole.

n GPS-Standortdienste werden in der Regel dazu verwendet, um verloren gegangene oder gestohlene Geräte zu lokalisieren. GPS wird auch dann verwendet, wenn die Standortdaten eines Geräts essenzieller Bestandteil der jeweiligen Funktion der Workspace ONE UEM Console sind, beispielsweise Geofencing.

n Wenn GPS-Daten gemeldet werden, definiert Workspace ONE UEM einen Bereich im Umkreis von 1 Kilometer dieses Standorts. Es werden dann jedes Mal Standortinformationen gemeldet, wenn sich das Gerät außerhalb dieses Bereichs bewegt oder wenn der Benutzer eine Workspace ONE UEM-Anwendung bzw. eine interne Anwendung öffnet. Es werden keine neuen GPS-Daten gemeldet, es sei denn, einer der folgenden Vorgänge tritt auf.

Telekommunikationsdaten – Best Practices zum DatenschutzDie Erfassung von Telekommunikationsdaten von mitarbeitereigenen Geräten ist nur dann angemessen, wenn Sie an einem Stipendienprogramm mitwirken, bei dem Sie Mobilfunktarife bezuschussen. In diesem Fall oder bei unternehmenseigenen Geräten ist Folgendes hinsichtlich erfassbarer Daten zu erwägen.

n Betreiber/Ländercode – Betreiber und Ländercode werden erfasst und können zur Telekommunikationsnachverfolgung verwendet werden. Telekommunikationstarifpläne können basierend auf Betreiber und Land erstellt und die Geräte dem entsprechenden Plan zugewiesen werden. Diese Daten können auch verwendet werden, um Geräte je nach Betreiber und Land oder nach aktuellem Land und aktuellem Betreiber nachzuverfolgen.

n Roamingstatus – Dieser Status kann verwendet werden, um nachzuverfolgen, welche Geräte sich im Roamingbetrieb befinden. Konformitätsrichtlinien können eingerichtet werden, um die Sprach- und Datennutzung zu deaktivieren, wenn sich das Gerät im Roamingbetrieb befindet, oder um bei der


VMware, Inc. 230

Anwendung anderer Konformitätsaktionen behilflich zu sein. Wenn darüber hinaus ein Gerät einem Telekommunikationstarifplan zugewiesen ist, kann Workspace ONE UEM die Datennutzung im Roamingbetrieb nachverfolgen. Das Erfassen und Überwachen des Roamingstatus kann hilfreich sein, wenn es darum geht, hohe Betreiberkosten aufgrund von Roaming zu verhindern.

n Mobilfunkdatennutzung – Die Datennutzung hinsichtlich der Gesamtanzahl der gesendeten und empfangenen Bytes. Diese Daten können für jedes Mobilfunkgerät erfasst werden. Wenn ein Gerät einem Telekommunikationstarifplan zugewiesen ist, können Sie die Datennutzung basierend auf dem Prozentsatz der gesamten Datenmenge pro Abrechnungszeitraum überwachen. Durch diese Funktion können Sie Konformitätsrichtlinien basierend auf dem Prozentsatz der verbrauchten Daten erstellen. Dies kann hilfreich sein, wenn es darum geht, Zusatzgebühren bei Mobilfunkkosten zu vermeiden.

n Mobilfunknutzung – Die Sprachminuten, die für jedes Mobilfunkgerät erfasst werden können. Ähnlich wie bei der Datennutzung können Sie die Nutzung basierend auf dem Prozentsatz der Minuten pro Abrechnungszeitraum überwachen, sofern das Gerät einem Tarifplan zugewiesen ist. Durch diese Methode können Sie Konformitätsrichtlinien basierend auf dem Prozentsatz der verbrauchten Minuten erstellen. Dies kann hilfreich sein, wenn es darum geht, Zusatzgebühren bei Mobilfunkkosten zu vermeiden.

n SMS-Nutzung – Die SMS-Daten (Short Message Service), die für jedes Mobilfunkgerät erfasst werden können. Ähnlich wie bei der Datennutzung können Sie die SMS-Nutzung basierend auf dem Prozentsatz der Nachrichten pro Abrechnungszeitraum überwachen, sofern das Gerät einem Telekommunikationstarifplan zugewiesen ist. Dadurch können Sie Konformitätsrichtlinien basierend auf dem Prozentsatz der verbrauchten Nachrichten erstellen. Die Überwachung der SMS-Nutzung kann hilfreich sein, wenn es darum geht, Zusatzgebühren bei Mobilfunkkosten zu verhindern.

Benutzerdatenerfassung von BYOD-Endbenutzern

Die Workspace ONE UEM-Infrastruktur erfasst und speichert viele Arten von benutzergenerierten Daten. Die folgende Matrix ordnet jeden Datentyp den Plattformen und Betriebssystemen zu, über die die Daten erfasst werden können.

Verwenden Sie diese Matrix, um zu ermitteln, welche Datenerfassung für Ihre Bereitstellung erforderlich ist. Workspace ONE UEM definiert auch optionale Daten, die Sie erfassen können, z. B. Bluetooth-MAC. Sie können diese Optionen konfigurieren und Datenschutzeinstellungen nach Besitzertyp zuweisen: Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät, Mitarbeitereigen.

AndroidApple iOS macOS

Windows Robust

Windows Phone Windows 7

Windows Desktop

Anwendungsverfolgung

Installierte interne Apps anzeigen ✓ ✓ ✓ X ✓ ✓ ✓

App-Versionen anzeigen ✓ ✓ ✓ X ✓ ✓ ✓

App-Status erfassen ✓ X ✓ X ✓ X ✓

Zertifikate


VMware, Inc. 231


Windows Robust


Windows Desktop

Liste der installierten Zertifikate anzeigen

✓ ✓ ✓ X ✓ X ✓*

Anlagennachverfolgung

Gerätename ✓ ✓ ✓ ✓ ✓ ✓ ✓

Geräte-UDID ✓ ✓ ✓ ✓ ✓ ✓ ✓

Telefonnummer ✓ ✓ X ✓ ✓ X ✓

IMEI/MEID-Nummer ✓ ✓ X ✓ ✓ X ✓

Seriennummer des Geräts ✓ ✓ ✓ ✓ ✓ ✓ ✓

IMSI-Nummer ✓ X X ✓ ✓ X ✓

Gerätemodell ✓ ✓ ✓ ✓ ✓ X X

Gerätemodellname (Anzeigename)

X ✓ ✓ ✓ ✓ X X

Hersteller ✓ ✓ ✓ ✓ X X ✓

BS-Version ✓ ✓ ✓ ✓ ✓ ✓ ✓

Betriebssystem-Build ✓ X ✓ ✓ ✓ ✓ ✓

Firmware-/Kernel-Version X X ✓ X X X X

Gerätefehler verfolgen X X ✓ ✓ ✓ ✓ ✓

Gerätestatus

Verfügbarer Akku ✓ ✓ ✓ ✓ ✓ ✓ ✓

Akkukapazität ✓ ✓ ✓ ✓ ✓ X X

Verfügbarer RAM ✓ ✓ ✓ ✓ X ✓ X

RAM-Kapazität ✓ ✓ ✓ ✓ X ✓ X

Standort

GPS-Nachverfolgung ✓ ✓** ✓ ✓ ✓ X ✓

Netzwerk

WLAN-IP-Adresse ✓ ✓ ✓ ✓ ✓ ✓ ✓

WLAN-MAC-Adresse ✓ ✓ ✓ ✓ ✓ ✓ ✓

WLAN-Signalstärke X X ✓ ✓ X ✓ ✓

Version der Betreibereinstellungen ✓ ✓ X X X X X

Mobilfunksignalstärke ✓ X X X X X X

Mobilfunktechnologie (keine, GSM, CDMA)

✓ ✓ X X X X X

Aktueller MCC ✓ ✓ X X X X X

Aktueller MNC ✓ ✓ X X X X X

SIM-Kartennummer ✓ ✓ X X ✓ X ✓


VMware, Inc. 232


Windows Robust


Windows Desktop

SIM-Betreibernetzwerk ✓ ✓ X X X X X

Abonnent-MNC ✓ ✓ X X X X X

Bluetooth-MAC ✓ ✓ ✓ X ✓ ✓ X

IP-Adressen anzeigen ✓ ✓ ✓ X ✓ ✓ X

LAN-Adapter anzeigen X X ✓ X X ✓ X

MAC-Adresse anzeigen ✓ ✓ ✓ X ✓ ✓ X

Roaming

Roamingstatus ermitteln ✓ ✓ X X ✓ X X

Push-Benachrichtigungen beim Roaming deaktivieren

X ✓ X X X X X

Sprachroaming aktiviert (zulässig) X ✓ X X X X X

Datennutzung

Datennutzung über das Mobilfunknetz verfolgen

✓ ✓ X X X X X

Datennutzung über das WLAN-Netzwerk verfolgen

X X X X X X X

Anrufe

Anrufverlauf verfolgen ✓ X X X X X X

Nachrichten

SMS-Verlauf verfolgen ✓ X X X X X X

Mobilfunkstatus

Aktuelles Betreibernetzwerk ✓ ✓ X X ✓ X X

Aktueller Netzwerkstatus ✓ ✓ X X X X X

Remoteansicht

Gerät fernsteuern ✓ X ✓ ✓ X ✓ ✓

Bildschirmaufnahme (speichern, per Mail senden, drucken usw.)

✓ X ✓ ✓ X ✓ ✓

Bildschirmfreigabe (Remoteansicht in Apps)

✓ ✓ X ✓ X ✓ ✓

Dateimanager

Gerätedateimanager öffnen ✓ X ✓ ✓ X ✓ ✓

Geräteregistrierungsmanager öffnen

X X X ✓ X ✓ ✓

Dateien kopieren ✓ X ✓ ✓ X ✓ ✓

Ordner erstellen ✓ X ✓ ✓ X ✓ ✓

Dateien vom Gerät herunterladen ✓ X ✓ ✓ X ✓ ✓


VMware, Inc. 233


Windows Robust


Windows Desktop

Dateien verschieben ✓ X ✓ ✓ X ✓ ✓

Ordner und Dateien umbenennen ✓ X ✓ ✓ X ✓ ✓

Dateien auf Gerät hochladen ✓ X ✓ ✓ X ✓ ✓

✓: kann erfasst werden

X: kann nicht erfasst werden

✓*: kann in Workspace ONE Intelligent Hub-Bereitstellungen erfasst werden

✓**: Kann in Workspace ONE Intelligent Hub- oder iOS 9.3+-Bereitstellungen im Überwachungsmodus erfasst werden

Nutzungsbedingungen für BYOD-Endbenutzer

Aus Haftungsgründen müssen Sie die Mitarbeiter informieren, welche Daten erfasst werden und welche Aktionen auf Geräten, die in Workspace ONE UEM registriert sind, zulässig sind. Um Ihre Strategie zu kommunizieren, erstellen Sie Nutzungsbedingungen in der Workspace ONE UEM Console.

Benutzer werden aufgefordert, die von Ihnen konfigurierten Nutzungsbedingungen zu lesen und zu akzeptieren, bevor sie MDM auf ihren persönlichen Geräten aktivieren können. Indem Sie Nutzungsbedingungen basierend auf dem Besitzertyp zuweisen, können Sie verschiedene Vereinbarungen für Unternehmens- und BYOD-Benutzer erstellen und verteilen.

Nachdem Ihre Organisation Nutzungsbedingungen formuliert hat, sollten Sie sie Endbenutzern in Form eines ein- bis zweiseitigen Whitepapers, das unnötige juristische Fachbegriffe vermeidet, zur Verfügung stellen. Bei diesem Whitepaper handelt es sich nicht um die offiziellen Nutzungsbedingungen, denen Endbenutzer zustimmen. Stattdessen dient es dazu, Ihre Unternehmensrichtlinien zu kommunizieren. Im Idealfall sehen Endbenutzer die Nutzungsbedingungen für mitarbeitereigene Geräte nicht erst, wenn sie ihr Gerät registrieren. Kommunizieren Sie vorab und eindeutig, welche Endbenutzerinformationen Sie erfassen und wie sich Ihre BYOD-Richtlinien auf sie auswirken.

Einschränkungen für BYOD-Geräte

Workspace ONE UEM ermöglicht es Ihnen, unterschiedliche Sicherheitsrichtlinien und Einschränkungen für mitarbeitereigene und unternehmenseigene Geräte bereitzustellen.

Mithilfe von Einschränkungsprofilen können Sie strenge Einschränkungen für dedizierte Unternehmensgeräte und lockerere Einschränkungen für mitarbeitereigene Geräte festlegen. Beispielsweise werden Einschränkungen für Apps wie YouTube oder native App Stores in der Regel nicht auf mitarbeitereigenen Geräten bereitgestellt. Stattdessen können Sie Sicherheitsprofile und Einschränkungen erstellen, die den Grad der Gerätesicherheit erhöhen, ohne dass sich dies negativ auf die Funktionalität auswirkt.


VMware, Inc. 234

Geräteunabhängige EinschränkungenWorkspace ONE UEM stellt für jedes Gerät und jede Plattform die folgenden Einschränkungen zur Verfügung:

n Verschlüsselte Sicherungen – Schützen Sie alle Sicherungen mit Datenverschlüsselung für BYOD-Geräte mit Zugriff auf Unternehmensinhalte.

n Warnungen vor gefährlichen und betrügerischen Websites in unterstützten Browsern durchsetzen – Benutzer müssen alle Warnungen bestätigen, die vom Browser ausgegeben werden, wenn eine verdächtige Website erkannt wird.

n Verschieben von E-Mails deaktivieren – Verhindern Sie die Offenlegung vertraulicher Unternehmensdaten, indem Sie die Möglichkeit deaktivieren, eine Unternehmens-E-Mail an ein persönliches Konto weiterzuleiten oder diese in Drittanbieteranwendungen zu öffnen.

Plattformspezifische EinschränkungenJede Plattform verfügt über eigene, durchsetzbare Einschränkungen. Bewerten Sie diese Einschränkungen einzeln, um deren Wert für Ihre Bereitstellung zu ermitteln. Einige, wie z. B. iOS-Einschränkungen, die auf überwachte Geräte beschränkt sind, gelten nicht, da mitarbeitereigene Geräte nicht mit dem Apple Configurator registriert werden dürfen.

n Sie können Sicherheitsprofile und Einschränkungen erstellen, indem Sie zu Geräte > Profile > Listenansicht navigieren und Hinzufügen auswählen. Wählen Sie dann die entsprechende Plattform aus.

n Wenn Sie Profile speziell für mitarbeitereigene Geräte erstellen, weisen Sie diese nur Smartgroups mit dem Besitzertyp „Mitarbeitereigen“ zu.

Enterprise-Löschung für BYOD-GeräteEin wichtiger Aspekt Ihrer BYOD-Bereitstellung ist die Entfernung von Unternehmensinhalten, wenn ein Mitarbeiter das Unternehmen verlässt oder ein Gerät verloren geht oder gestohlen wird. Workspace ONE UEM ermöglicht Ihnen, eine Enterprise-Löschung auf Geräten durchzuführen, um alle Unternehmensinhalte und Zugriffsmöglichkeiten zu entfernen, die persönlichen Dateien und Einstellungen jedoch unangetastet zu lassen.

Mit Workspace ONE UEM können Sie entscheiden, wie eine Enterprise-Löschung auf öffentliche und gekaufte VPP-Anwendungen angewendet wird, die sich in einer Grauzone zwischen Unternehmens- und mitarbeitereigenen Geräten befinden. Durch eine Enterprise-Löschung wird zudem das Gerät bei Workspace ONE UEM abgemeldet und es werden alle Inhalte entfernt, die über MDM aktiviert wurden. Zu diesen Inhalten zählen E-Mail-Konten, VPN-Einstellungen, WLAN-Profile, sichere Inhalte und Unternehmensanwendungen.

Wenn Sie Apple Volume Purchase Plan-Einlösungscodes für Geräte mit iOS 6 und früheren Versionen verwendet haben, können Sie bereits eingelöste Lizenzen für diese Anwendung nicht zurückfordern. Wenn die Anwendung installiert ist, ist sie dem App-Store-Konto des Benutzers zugeordnet. Diese Zuordnung kann nicht rückgängig gemacht werden. Allerdings können Sie Lizenzcodes einlösen, die für iOS 7 und höher verwendet wurden.


VMware, Inc. 235

Durchführen eines Enterprise Wipe für ein BYOD-GerätEin Enterprise Wipe hebt die Registrierung des Geräts in Workspace ONE UEM auf und entfernt alle Enterprise-Inhalte, einschließlich E-Mail-Konten, VPN-Einstellungen, Profilen und Anwendungen.

Verfahren

1 Wählen Sie in der Admin-Konsole die entsprechende Organisationsgruppe aus.

2 Navigieren Sie zu Geräte > Listenansicht und wählen Sie ein Gerät oder mehrere Geräte in der Liste aus.

3 Die Ansicht „Gerätedetails“ zeigt eine Liste der Aktionen an, die Sie im Dropdown-Menü Mehr oben rechts durchführen können. Wählen Sie Enterprise Wipe.

4 Wählen Sie im Bestätigungsdialogfeld Erneute Registrierung verhindern, um zu verhindern, dass dieses Gerät erneut registriert wird.

5 Geben Sie gegebenenfalls eine Sicherheits-PIN ein, und wählen Sie dann Enterprise Wipe aus, um die Aktion abzuschließen.

Deaktivieren der vollständigen Löschung für BYOD-GeräteAus Sicherheits- und Datenschutzgründen können Sie die Möglichkeit, eine vollständige Löschung auf einem BYOD-Gerät durchzuführen, deaktivieren.

Sollten Sie die vollständige Löschung für ausgewählte iOS-Besitztypen deaktivieren, wird auf Geräten dieses Besitztyps während der Profilinstallation die Berechtigung „Alle Inhalte und Einstellungen löschen“ nicht angezeigt.

Verfahren

1 Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Benutzer > Allgemein > Datenschutz.

2 Blättern Sie nach unten zum Abschnitt Befehle und suchen Sie die Spalte Mitarbeitereigen.

3 Legen Sie für Vollständige Löschung die Option Verhindern fest und wählen Sie dann Speichern aus.


VMware, Inc. 236

Gerätetags 11Gerätetags ermöglichen Ihnen die Identifizierung eines bestimmten Geräts ohne Geräteprofil, Smartgroup oder Konformitätsrichtlinie und ohne Erstellung eines Hinweises.

Wenn ein Gerät zum Beispiel eine defekte Batterie oder einen gebrochenen Bildschirm aufweist, können Sie Tags verwenden, um diese Geräte über die Workspace ONE UEM Console zu identifizieren. Mit Tags werden auch Hardwarevarianten sichtbarer identifiziert als mit Modellnummer oder Beschreibung.

Es kann beispielsweise sein, dass zwei PCs dieselbe Modellnummer aufweisen, aber leicht unterschiedliche CPUs und benutzerdefinierte Speicher haben. Tagging bei Hardware ermöglicht eine mühelose Identifikation dieser Geräte.

Tags und SmartgroupsDie Tag-Funktion wurde in Smartgroups integriert, was bedeutet, dass Tags zur Festlegung einer Smartgroup verwendet werden können.

Wenn Sie beispielsweise alle Geräte mit kosmetischen Schäden in Ihrer Flotte markiert haben, können Sie diese Geräte in einer Smartgroup zusammenfassen. Diese Smartgroup können Sie dann von dem Pool an Geräten ausschließen, den Sie vorübergehend für Gäste bestimmt haben.

Ein weiteres Beispiel ist das Tagging von Geräten mit schwacher Leistungsstärke. Sie können dann eine Smartgroup dieser markierten Geräte erstellen und diese Geräte von geschäftskritischen Zuweisungen ausschließen.

Gerätetags und RollenberechtigungenAlle Aktivitäten im Zusammenhang mit der Funktion für Gerätetags erfordern Berechtigungen für die Rolle, die Sie Ihren Administratoren zuweisen. Wenn Ihre Administratoren Tags erstellen sollen, müssen Sie diese Berechtigung (auch als Ressource bezeichnet) der Rolle hinzufügen, die Sie diesem Administrator zuweisen. Dasselbe gilt für das Anzeigen, Bearbeiten, Löschen, Zuweisen und sogar die Suche nach Tags. Weitere Informationen zum Überprüfen der Berechtigungen für Administratorkonten finden Sie unter Anzeigen der Ressourcen einer Administratorrolle.


n Filtern von Geräten nach Tags

n Erstellen eines neuen Tags über die Systemeinstellungen

VMware, Inc. 237

n Zuweisen von Tags zu einem einzelnen Gerät

n Zuweisen von Tags zu mehreren Geräten

n Bearbeiten eines vorhandenen Gerätetags

n Löschen eines vorhandenen Gerätetags

Filtern von Geräten nach TagsSie können mit der Filterfunktion in der Gerätelistenansicht ausschließlich Geräte mit bestimmten Tags anzeigen.

Verfahren

1 Navigieren Sie zu Geräte > Listenansicht und wählen Sie Filter. Daraufhin wird links neben der Geräteliste die Spalte Filter angezeigt.

2 Wählen Sie Erweiterungen aus der Liste der Filterkategorien aus und wählen Sie Tags aus.

3 Klicken Sie auf eine beliebige Stelle im Suchtextfeld und wählen Sie in der Liste der Gerätetags die aus, die angezeigt werden sollen.

Ergebnisse

Geräte mit deaktivierten Tags werden aus der Ergebnisliste herausgefiltert. Die Gerätelistenansicht wird mit Auswahl des ersten Tags sofort automatisch aktualisiert.

Erstellen eines neuen Tags über die SystemeinstellungenSie können ein neues Gerätetag zur Verwendung in der Workspace ONE UEM Console erstellen. Tags ermöglichen Ihnen die mühelose Identifizierung eines bestimmten Geräts auf einen Blick, ohne Geräteprofil, Smartgroup oder Konformitätsrichtlinie und ohne Erstellung eines Hinweises.

Voraussetzungen

Sie müssen über die entsprechenden Berechtigungen verfügen, um ein Tag zu erstellen. Sie können diese Berechtigungen überprüfen, indem Sie alle zugewiesenen Ressourcen (oder Berechtigungen) einer Administratorrolle anzeigen, die Rolle mit der Berechtigung „Tag erstellen“ ändern und die geänderte Rolle dann gegebenenfalls Ihrem Administratorkonto zuweisen. Weitere Informationen finden Sie unter Anzeigen der Ressourcen einer Administratorrolle.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Benutzer > Erweiterungen > Tags.

2 Klicken Sie auf die Schaltfläche Tag erstellen.

Die Seite Tag erstellen wird angezeigt.


VMware, Inc. 238

3 Geben Sie den Namen des Tags ein. Wie nützlich ein Tag ist, hängt von seinem Namen ab. Wählen Sie einen Namen aus, mit dem ein Gerät auf einen Blick identifiziert werden kann.

4 Wählen Sie den Typ des gewünschten Tags aus: Gerät , Allgemein oder Video.

5 Wählen Sie den Farbcode aus, der dem Tag zugeordnet ist. Nachdem Sie dieses Tag einem Gerät zugewiesen haben, werden Tags der konfigurierten Farbe in der Listenansicht für Geräte angezeigt, sodass sie leicht zu erkennen sind.


Ergebnisse

Das Gerätetag ist nun für die Zuweisung zu einem Gerät verfügbar.

Nächste Schritte

Navigieren Sie zu Geräte > Listenansicht, und wählen Sie mindestens ein Gerät aus, dem dieses Tag zugewiesen werden soll.

Zuweisen von Tags zu einem einzelnen GerätWenn Sie schnell einmalige Änderungen an Gerätetags vornehmen müssen, können Sie einem einzelnen Gerät problemlos ein oder mehrere Tags zuweisen.

Sie können einem Gerät Tags zuweisen, um es ohne Hinweise, Profile, Richtlinien oder Zuweisung eines speziellen Anzeigenamens identifizieren zu können.

Möchten Sie Berechtigungen im Rahmen einer Administratorrolle erteilen, die die Möglichkeit, ein Tag einem Gerät zuzuweisen, einschließt (oder ausschließt)? Siehe Anzeigen der Ressourcen einer Administratorrolle.

Verfahren

1 Navigieren Sie zu Geräte > Listenansicht, und wählen Sie das Gerät aus, das markiert werden soll.

n Zeigen Sie die Detailansicht an, indem Sie den Anzeigenamen des Geräts in der Liste auswählen.

n Aktivieren Sie das Kontrollkästchen oberhalb des Bleistiftsymbols neben dem Gerät.

2 Klicken Sie auf die Schaltfläche Weitere Aktionen und wählen Sie Tag zuweisen aus.

Die Seite Tag-Zuweisung wird mit einer Liste der verfügbaren Tags angezeigt, die für Ihr ausgewähltes Gerät verfügbar sind.

3 Wählen Sie alle Tags, die dem Gerät zugewiesen werden sollen.

Sie können mehr als ein Tag auswählen. Wenn Sie Tag zuweisen in der Detailansicht des Geräts auswählen, wird der Link Tags verwalten angezeigt. Wählen Sie diesen Link aus, um die Seite „Tag-Systemeinstellungen“ zu öffnen, auf der Sie ein neues Tag erstellen können. Weitere Informationen finden Sie unter Erstellen eines neuen Tags über die Systemeinstellungen.



VMware, Inc. 239

Zuweisen von Tags zu mehreren GerätenSie können einem oder mehreren Geräten ein Tag (oder mehrere Tags) zuweisen, um diese ohne Hinweise, Profile, Richtlinien oder Zuweisung eines speziellen Anzeigenamens identifizieren zu können. Durch das Zuweisen mehrerer Tags zu mehreren Geräten können Sie Zeit sparen.

Voraussetzungen

Sie müssen über die entsprechenden Berechtigungen verfügen, um ein Tag mehreren Geräten zuzuweisen. Sie können diese Berechtigungen überprüfen, indem Sie alle zugewiesenen Ressourcen (oder Berechtigungen) einer Administratorrolle anzeigen, die Rolle mit der Berechtigung „Gerätemassenverwaltung – Tags zuweisen“ ändern und die geänderte Rolle dann Ihrem Administratorkonto zuweisen. Weitere Informationen finden Sie unter Anzeigen der Ressourcen einer Administratorrolle.

Verfahren

1 Navigieren Sie zu Geräte > Listenansicht.

2 Aktivieren Sie das Kontrollkästchen neben jedem Gerät, dem ein Tag zugewiesen werden soll.

3 Wählen Sie Weitere Aktionen und dann Tag zuweisen.

Die Seite Tag-Zuweisung wird mit einer Liste der Tags angezeigt, die für Ihre ausgewählten Geräte verfügbar sind.

4 Wählen Sie die Tags aus, die allen ausgewählten Geräten zugewiesen werden sollen.

Sie können mehr als ein Tag auswählen.


Bearbeiten eines vorhandenen GerätetagsSie können ein vorhandenes Gerätetag zur Verwendung in der Workspace ONE UEM Console bearbeiten. Tags ermöglichen Ihnen die mühelose Identifizierung eines bestimmten Geräts auf einen Blick, ohne Geräteprofil, Smartgroup oder Konformitätsrichtlinie und ohne Erstellung eines Hinweises.

Voraussetzungen

Sie müssen über die entsprechenden Berechtigungen verfügen, um ein Tag zu bearbeiten. Sie können diese Berechtigungen überprüfen, indem Sie alle zugewiesenen Ressourcen (oder Berechtigungen) einer Administratorrolle anzeigen, die Rolle mit der Berechtigung „Tag bearbeiten“ ändern und die geänderte Rolle dann Ihrem Administratorkonto zuweisen. Weitere Informationen finden Sie unter Anzeigen der Ressourcen einer Administratorrolle.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Geräte und Benutzer > Erweiterungen > Tags.

2 Suchen Sie in der Liste das Tag, das Sie bearbeiten möchten.


VMware, Inc. 240

3 Wählen Sie das Bleistiftsymbol ( ) neben dem Tag aus, das Sie bearbeiten möchten.

Der Bildschirm „Tag bearbeiten“ wird angezeigt.

4 Sie können den Namen, den Typ und den Farbcode des Tags bearbeiten.


Ergebnisse

Das Tag wurde mit einem neuen Namen, Typ und Farbcode bearbeitet. Geräte, die mit dem vorherigen Tag zugewiesen waren, wurden mit dem bearbeiteten Tag aktualisiert.

Löschen eines vorhandenen GerätetagsSolange ein Tag nicht zugewiesen ist und Sie nicht vorhaben, es erneut zu verwenden, können Sie es über die Workspace ONE UEM Console löschen.

Voraussetzungen

Sie müssen über die entsprechenden Berechtigungen verfügen, um ein Tag zu löschen. Sie können diese Berechtigungen überprüfen, indem Sie alle zugewiesenen Ressourcen (oder Berechtigungen) einer Administratorrolle anzeigen, die Rolle mit der Berechtigung „Tag löschen“ ändern und die geänderte Rolle dann gegebenenfalls Ihrem Administratorkonto zuweisen. Weitere Informationen finden Sie unter Anzeigen der Ressourcen einer Administratorrolle.

Zu löschende Tags dürfen keinem Gerät zugewiesen sein.

Um die Zuweisung von Tags zu Geräten aufzuheben, navigieren Sie zu Geräte > Listenansicht, und suchen Sie nach dem Tag, das Sie löschen möchten. Öffnen Sie die Detailansicht für Geräte mit dem zugewiesenen Tag. Heben Sie die Zuweisung des Tags zu allen Geräten auf, denen es zugewiesen ist.

Verfahren

1 Wenn die Tagzuweisung vollständig aufgehoben wurde, navigieren Sie zu Gruppen und Einstellungen > Geräte und Benutzer > Erweiterungen > Tags.

2 Suchen Sie in der Liste das Tag, das Sie löschen möchten.

3 Aktivieren Sie das Optionsfeld neben dem zu löschenden Tag.

Über dem Eintrag wird die Schaltfläche Löschen angezeigt.

4 Wählen Sie Löschen.

Es wird eine Bestätigung mit der Frage „Markierung endgültig löschen?“ angezeigt.

5 Wählen Sie in der Bestätigung OK aus.

Wenn das Tag einem Gerät zugewiesen ist, kann es nicht gelöscht werden. Anweisungen zum Aufheben der Zuweisung von Tags zu Geräten finden Sie weiter oben.


VMware, Inc. 241

Ergebnisse

Wenn das Tag keinem Gerät zugewiesen ist, wenn Sie es löschen, wird es aus der Workspace ONE UEM Console entfernt.


VMware, Inc. 242

Einführung in Berichte 12Workspace ONE UEM-Berichte ermöglichen den Zugriff auf Berichte über verschiedene Abschnitte Ihrer Workspace ONE UEM-Lösung. Verwenden Sie diese Berichte, um Muster aus der UEM Console zu analysieren.

Benutzerdefinierte BerichteBenutzerdefinierte Berichte wurden verschoben. Navigieren Sie zu Monitor > Intelligenz.

Weitere Informationen finden Sie unter Berichte für Workspace ONE Intelligence.

Berichte in Workspace ONE UEMMit der Funktion „Berichte“ können Sie auf detaillierte Informationen zu den Geräten, Benutzern und Anwendungen in Ihrer Workspace ONE UEM-Lösung zugreifen. Die Exporte dieser Berichte erfolgen im CSV-Format.

Weitere Informationen finden Sie unter Übersicht über Workspace ONE UEM-Berichte.

BerichtsspeicherOptimieren Sie den Speicher Ihrer Workspace ONE UEM-Berichte über den Berichtsspeicher. Diese Speicherfunktion steigert die Leistung von Workspace ONE UEM-Berichten. Sie sollten den Berichtsspeicher aktivieren, wenn Sie bei der Verwendung von Berichten Leistungseinbußen bei der Workspace ONE UEM-Datenbank feststellen.

Weitere Informationen finden Sie unter Berichtsspeicher.


n Berichte für Workspace ONE Intelligence

n Übersicht über Workspace ONE UEM-Berichte

n Dateispeicherung

n Berichtsspeicher

VMware, Inc. 243

Berichte für Workspace ONE IntelligenceVerwenden Sie Berichte von Workspace ONE Intelligence, um Daten in Ihrer Workspace ONE UEM-Bereitstellung zusammenzustellen. Intelligence-Berichte verwenden ein cloudbasiertes Berichtsspeichersystem, um Daten zu erfassen und die Berichte zu erstellen.

Berichte im HintergrundDie Berichtsfunktion bietet schnelleren, einfacheren Zugriff auf kritische Business Intelligence-Daten als normale Workspace ONE UEM-Berichte. Erstellen Sie Berichte mithilfe von Startvorlagen oder passen Sie fertige Berichte an. Sie können aus Kategorien wie Anwendungen, Geräte und BS-Updates auswählen. Diese Berichte liefern die neuesten Daten, die aus Ihrer Workspace ONE UEM-Umgebung extrahiert wurden.

Berichte verwenden einen separaten Dienst, um Daten an einen Berichts-Clouddienst zu übertragen. Dieser Dienst erfasst Daten, die für Administratoren bei der Beantwortung wichtiger Fragen nützlich sind. Die Funktion erstellt einen anfänglichen Snapshot Ihrer Bereitstellung und erfasst weiterhin laufende Änderungen.

Installieren des Workspace ONE Intelligence Connector-DienstsBevor Sie Workspace ONE Intelligence-Funktionen verwenden, müssen Sie den Workspace ONE Intelligence Connector-Dienst (auch als ETL-Installationsprogramm bezeichnet) auf einem separaten Server in Ihrer Workspace ONE UEM-Umgebung installieren.

Jede Funktion verwendet den Workspace ONE Intelligence Connector-Dienst, der über das Workspace ONE Intelligence Connector-Installationsprogramm installiert wird. Der Workspace ONE Intelligence Connector-Dienst sammelt die Daten von Ihrem Workspace ONE UEM Console-Server und leitet sie an den Berichte-Clouddienst weiter.

Weitere Informationen finden Sie unter Workspace ONE IntelligenceAnforderungen und Installieren des Workspace ONE Intelligence Connector-Diensts für lokal.

Berichte-AssistentDer Berichte-Assistent kann unter Verwendung einer Startvorlage oder eines neuen Berichts einen benutzerdefinierten Bericht erstellen. Der Assistent führt Sie Schritt für Schritt durch den Vorgang.

Berichte verwenden Filter, die Sie anpassen können, um Daten aus Anwendungen und Geräten basierend auf wichtigen Attributen zu sammeln. Schließen Sie so viele Filter wie nötig ein, um die Ergebnisse des Berichts einzuschränken. Jeder hinzugefügte Filter verwendet den Operator "AND". Anschließend wählen Sie den Wert für den Wert und den Operator für jedes Attribut aus.

Weitere Informationen finden Sie unter Ausführen des Berichte-Assistenten.


VMware, Inc. 244

Verwalten von BerichtenNach dem Erstellen eines Berichts verwalten Sie Ihre Berichte über die Listenansicht „Berichte“. Auf dieser Seite können Sie Berichte ausführen, Berichte zur Ausführung planen, Berichte kopieren und Berichte löschen.

Weitere Informationen finden Sie unter Berichtsmanagement.

Workspace ONE IntelligenceAnforderungenBevor Sie Workspace ONE Intelligence-Funktionen nutzen können, müssen Sie die von Workspace ONE Intelligence unterstützten Berichte aktivieren (dabei handelt es sich nicht um Workspace ONE UEM-Berichte). Sie müssen dann den Workspace ONE Intelligence Connector-Dienst (auch als ETL-Installationsprogramm bekannt) installieren.

Zugreifen auf Berichten Freigegebene SaaS-Kunden arbeiten mit ihren Kundenbetreuern zusammen, um auf Berichte

zuzugreifen, die von Workspace ONE Intelligence unterstützt werden. Diese Bereitstellungen müssen keinen eigenen Workspace ONE Intelligence Connector-Server installieren.

n Dedizierte SaaS-Kunden arbeiten mit ihren Kundenbetreuern zusammen, um auf Berichte zuzugreifen, die von Workspace ONE Intelligence unterstützt werden. Diese Bereitstellungen müssen keinen eigenen Workspace ONE Intelligence-Connector-Server installieren.

n Lokale Kunden arbeiten mit ihrem Kundenbetreuer zusammen, um auf Berichte zuzugreifen, die von Workspace ONE Intelligence unterstützt werden. Diese Bereitstellungen müssen ihren eigenen Workspace ONE Intelligence Connector-Server installieren.

Erforderliche Workspace ONE UEM Console-VersionWorkspace ONE Intelligence erfordert Workspace ONE UEM Console ab 9.6.

Erforderliche DatenbankberechtigungenZum Installieren des Workspace ONE Intelligence Connectors benötigt die installierende Person Berechtigungen für die folgenden Rollen für die Console und die Verzeichnisdienstserver.

n DBOwner für die Workspace ONE UEM-Datenbank

n DBDatareader für die MSDB

n SQLAgentUserRole für die MSDB

Workspace ONE Intelligence Connector-Serveranforderungen für lokale BereitstellungenSie müssen den Workspace ONE Intelligence-Connector-Dienst auf dem dazugehörigen eigenen Server installieren, bevor Sie Workspace ONE Intelligence-Funktionen nutzen können.


VMware, Inc. 245

Tabelle 12-1. Hardware-Anforderungen nach Geräteanzahl

Komponente 5.000 Geräte 25.000 Geräte 50.000 Geräte 100.000 Geräte

Server 1 1 1 1

CPUs 2 (Intel-Prozessor mit 2 GHz)

2 (Intel-Prozessor mit 2 GHz)



Speicherplatz 4 GB 8 GB 8 GB 8 GB

Speicher 25 GB 25 GB 25 GB 25 GB

Tabelle 12-2. Software-Anforderungen

Komponente Anforderung

Java Java 8

BS Windows Server 2012 R2 oder höher

Tabelle 12-3. Netzwerkanforderungen

Komponente Anforderung

Ausgehender Datenverkehr vom Workspace ONE Intelligence Connector-Dienst

Port 443

Protokoll für ausgehenden Datenverkehr vom Workspace ONE Intelligence-Connector-Dienst

HTTPS

Interner Netzwerkzugriff auf die Workspace ONE UEM-Datenbank

Welcher Port verwendet wird, hängt von Ihrer Workspace ONE UEM-Bereitstellung ab.

Hinzufügen von Regionen des Cloud-Diensts für lokale Bereitstellungen zur WhitelistFügen Sie auf dem Server für den Workspace ONE Intelligence Connector bestimmte URL-Ziele der Whitelist hinzu, damit das Connector-Installationsprogramm die Endpoints abrufen und eine Liste aller unterstützten Regionen erstellen kann. Fügen Sie zudem andere URL-Ziele je nach Ihrer Region der Whitelist hinzu.

Informationen zur Liste finden Sie im Thema Für lokale Bereitstellungen auf die Whitelist zu setzende URLs nach Region im VMware Workspace ONE Intelligence-Benutzerhandbuch.

Eine Übersicht darüber, welche Region sich in welchem Teil der Welt befindet, finden Sie im Thema Workspace ONE UEM SaaS Environment Location Mapped to a Workspace ONE Intelligence Region im VMware Workspace ONE Intelligence-Benutzerhandbuch.

ProxyWenn Sie einen Proxyserver verwenden und ihn mit dem Workspace ONE Intelligence Connector verwenden möchten, stellen Sie sicher, dass Sie bestimmte Ziele der Whitelist hinzugefügt haben. Wenn Sie die aufgelisteten Ziele nicht der Whitelist hinzufügen, kann die Installation fehlschlagen.


VMware, Inc. 246

Weitere Informationen finden Sie im Thema Für lokale Bereitstellungen auf die Whitelist zu setzende URLs zur Verwendung eines Proxyservers im VMware Workspace ONE Intelligence-Benutzerhandbuch.

Installieren des Workspace ONE Intelligence Connector-Diensts für lokalDer Workspace ONE Intelligence Connector-Dienst erfasst Daten von Ihrer Workspace ONE UEM-Datenbank und leitet sie an den cloudbasierten Berichtsdienst weiter.

Sie finden den Connector unter https://resources.workspaceone.com/view/88ymmbfft3zt9jbnc3gt/en.

Sie müssen ihn auf einem eigenen Server installieren. Weitere Informationen zum Installationsvorgang anderer Workspace ONE UEM-Anwendungsserver finden Sie im VMware Workspace ONE UEM-Installationsleitfaden unter https://docs.vmware.com/de/VMware-Workspace-ONE-UEM/.

Wichtig Wenn Sie im Rahmen des Upgradevorgangs ein Upgrade der Workspace ONE UEM-Datenbank durchführen, müssen Sie den Workspace ONE Intelligence Connector-Dienst während des Upgrades der Workspace ONE UEM-Datenbank beenden. Sie müssen den Dienst dann nach Beendigung des Upgrades neu starten.

Wichtig Wenn Sie die Einstellung für die Bereitstellungsregion ändern müssen, führen Sie das Installationsprogramm nicht erneut aus.

Voraussetzungen

Stellen Sie sicher, dass Sie die entsprechenden URLs der Whitelist hinzugefügt haben, damit der Connector-Installationsvorgang mit dem korrekten cloudbasierten Berichtsdienst kommunizieren kann. Eine Liste der URLs finden Sie im Thema Für lokale Bereitstellungen auf die Whitelist zu setzende URLs nach Region im Workspace ONE Intelligence-Benutzerhandbuch.

Wenn Sie einen Proxyserver verwenden und ihn mit dem Workspace ONE Intelligence Connector verwenden möchten, stellen Sie sicher, dass Sie bestimmte Ziele der Whitelist hinzugefügt haben. Wenn Sie die aufgelisteten Ziele nicht der Whitelist hinzufügen, kann die Installation fehlschlagen. Weitere Informationen finden Sie im Thema „Für lokale Bereitstellungen auf die Whitelist zu setzende URLs zur Verwendung eines Proxyservers“ im Workspace ONE Intelligence-Benutzerhandbuch.

Verfahren

1 Stellen Sie sicher, dass Sie die im Workspace ONE Intelligence-Benutzerhandbuch beschriebenen Hardware-, Software- und Netzwerkanforderungen erfüllt haben.

2 Laden Sie das Workspace ONE Intelligence Connector-Installationsprogramm auf den Server herunter, den Sie für den Dienst konfiguriert haben.

3 Führen Sie das Installationsprogramm aus, und wählen Sie Weiter aus.

4 Akzeptieren Sie die Nutzungsbedingungen und wählen Sie Weiter aus.


VMware, Inc. 247

https://resources.workspaceone.com/view/88ymmbfft3zt9jbnc3gt/en

https://docs.vmware.com/de/VMware-Workspace-ONE-UEM/

5 Stellen Sie sicher, dass der Workspace ONE Intelligence Connector-Dienst als zu installierende Funktion ausgewählt ist. Wählen Sie Weiter.

Das Installationsprogramm erkennt die Version von Java, die auf dem Anwendungsserver installiert ist. Wenn das Installationsprogramm die erforderliche Version nicht erkennt, wird die erforderliche Version installiert.

6 Geben Sie die Einstellungen des Datenbankservers ein.


Datenbankserver, auf dem Sie installieren

Wählen Sie Durchsuchen neben dem Textfeld Datenbankserver aus und wählen Sie dann in der Liste Ihre Workspace ONE UEM-Datenbank aus.

Wenn Sie einen benutzerdefinierten Port verwenden, wählen Sie nicht Durchsuchen aus. Verwenden Sie stattdessen die folgende Syntax: DBHostName,<customPortNumber > ,. Wählen Sie dann Durchsuchen aus, um den Datenbankserver auszuwählen. Beispiel: db.acme.com, 8043

Herstellen einer Verbindung mit Wählen Sie eine der folgenden Authentifizierungsmethoden aus.

n Windows-Authentifizierung verwendet zur Authentifizierung ein Dienstkonto auf dem Windows-Server.

Sie werden aufgefordert, das Dienstkonto einzugeben, das Sie verwenden möchten. Dieses Dienstkonto wird zum Ausführen aller Anwendungspools und Dienste im Zusammenhang mit Workspace ONE UEM verwendet. Das Dienstkonto muss Zugriff auf die Workspace ONE UEM-Datenbank haben.

n SQL Server-Authentifizierung verwendet die SQL Server-Authentifizierungsmethode.

Sie werden aufgefordert, den Benutzernamen und das Kennwort einzugeben.

Name des Datenbankkatalogs Geben Sie den Namen der Workspace ONE UEM-Datenbank ein, oder durchsuchen Sie den SQL-Server, und wählen Sie ihn in der Liste aus.

7 Wählen Sie den Zielordner für die Installation des Workspace ONE Intelligence Connector-Diensts

aus.

8 Konfigurieren Sie die Einstellungen für den Workspace ONE Intelligence Connector-Dienst.

a Wählen Sie die Bereitstellungsregion für Ihren Clouddienst aus. Stellen Sie sicher, dass die richtige Region ausgewählt ist.

Führen Sie das Installationsprogramm nicht erneut aus, wenn Sie diese Region zukünftig ändern müssen.

Wenn Sie den Workspace ONE-Intelligence-Connector-Dienst von einer vorherigen Version aktualisieren, wird dieser Bildschirm nicht angezeigt, da die Region während eines Upgrades nicht geändert werden kann.

b Geben Sie Ihr Workspace ONE UEM-Installationstoken ein.

Dieses Token wird im Rahmen des Installationsvorgangs von Workspace ONE UEM erstellt.


VMware, Inc. 248

9 (Optional) Geben Sie die Proxyinformationen ein.

Diese Informationen finden Sie in der Workspace ONE UEM Console unter Gruppen und Einstellungen > Alle Einstellungen > Installation > Proxy > Proxy-Einstellungen der Konsole.

10 Wählen Sie Installieren aus, um den Workspace ONE Intelligence Connector-Dienst zu installieren. Nachdem die Installation abgeschlossen ist, wählen Sie Fertig stellen aus.

Ausführen des Berichte-AssistentenDer Berichte-Assistent leitet Sie durch die Erstellung eines benutzerdefinierten Berichts zu Ihrer Workspace ONE UEM-Umgebung. Der Assistent enthält leere Vorlagen, die Sie als Ausgangspunkt für Ihre Berichte verwenden können, oder Sie können fertige Berichte anpassen.

Informationen dazu, wie Sie auf die Workspace ONE Intelligence-Benutzeroberfläche zugreifen, finden Sie unter Zugriff auf Workspace ONE Intelligence.

Verfahren

1 Rufen Sie die Workspace ONE Intelligence-Benutzeroberfläche auf.

2 Wechseln Sie zu Berichte > Berichte und wählen Sie dann Bericht hinzufügen.

3 Wählen Sie die Berichtskategorie Apps, Geräte oder BS-Updates aus.

4 Wählen Sie eine Vorlage und dann Weiter aus.

n Anwendungsvorlagen


Anwendungsstartvorlage Wählen Sie diese Option aus, um einen Bericht aus einer leeren Vorlage zu erstellen.

Verwaltete Anwendungen Wählen Sie diese Option aus, um einen Bericht zu erstellen, der eine Liste aller verwalteten Anwendungen auf Ihren Geräten anzeigt.

Alle Anwendungen Wählen Sie diese Option aus, um einen Bericht zu erstellen, der eine Liste aller verwalteten oder nicht verwalteten Anwendungen auf Ihren Geräten anzeigt.

iOS und Android-Agents von Workspace ONE UEM

Wählen Sie diese Option aus, um einen Bericht zu erstellen, der eine Liste aller Workspace ONE Intelligent Hub-App-Details auf Ihren iOS- und Android-Geräten anzeigt.

n Gerätevorlagen


Registrierte Geräte Wählen Sie diese Option aus, um einen Bericht zu erstellen, der eine Liste aller registrierten Geräte und deren Details anzeigt.

Nicht konforme Geräte Wählen Sie diese Option aus, um einen Bericht zu erstellen, der eine Liste aller Geräte anzeigt, die Ihre Konformitätsrichtlinien verletzen.

Gerätestartvorlage Wählen Sie diese Option aus, um einen Bericht aus einer leeren Vorlage zu erstellen.


VMware, Inc. 249

n BS-Update-Vorlagen

Tabelle 12-4. BS-Update-Vorlagen


Alle Windows-BS-Updates Erstellen Sie einen Bericht zu allen (oder gefilterten) Updates für das Windows-Betriebssystem.

Status kritischer Updates Erstellen Sie einen Bericht mit allen (oder gefilterten) kritischen Updates für das Betriebssystem.

Sicherheitsupdate-Status Erstellen Sie einen Bericht, dessen Schwerpunkt auf Sicherheitsupdates für das Betriebssystem liegt.

Status Service Pack-Updates Erstellen Sie einen Bericht über Service Pack-Updates für das Betriebssystem.

BS-Update-Startvorlage Wählen Sie diese Option aus, um einen Bericht aus einer leeren Vorlage zu erstellen.

5 Wählen Sie auf dem Bildschirm „Anpassen“ das Symbol zum Hinzufügen eines Filters (+) aus, um zu Ihrer leeren Vorlage Filter hinzuzufügen oder eine Startvorlage weiter anzupassen.

Für jeden Filter sind die folgenden Einstellungen erforderlich.


Filtern Wählen Sie ein Attribut aus, das den Daten entspricht, die Sie erfassen möchten.

Die Vorlage für registrierte Geräte verwendet beispielsweise das Attribut Registrierungsstatus, um Ergebnisse einzuschränken.

Selektoren Wählen Sie einen Operator aus, der auf den Wert des Attributs angewendet wird.

Wenn Sie z. B. das Attribut GUID der Organisationsgruppe des Geräts verwenden, wählen Sie den Selektor Enthält aus, um alle Geräte in der Organisationsgruppe einzuschließen, die mit dem Wert übereinstimmen.

Wert Geben Sie einen Wert ein, zu dem Sie Daten erhalten möchten. Bei einigen Selektoren können Sie den Wert aus einem Dropdown-Menü auswählen. Bei anderen Selektoren ist dagegen ein expliziter Eintrag erforderlich.

Wenn Sie das Attribut Registrierungsstatus und den Selektor Enthält verwenden, wählen Sie Registriert aus, um einen Bericht zu allen registrierten Geräten zu erhalten.

Wenn Sie Geräte dagegen nach dem Attribut Land und dem Selektor Enthält filtern, müssen Sie den Namen des Landes eingeben, der in den Bericht aufgenommen werden sollen. Sie müssen für jedes Land, das Sie filtern möchten, einen Filter hinzufügen.

6 Wählen Sie unter Berichtsvorschau die Option Spalten bearbeiten aus.

Der Bildschirm Spalten bearbeiten wird angezeigt.

7 Suchen Sie die Spalte, die dem von Ihnen ausgewählten Filter entspricht, um eine Vorschau des Berichts anzuzeigen.

8 Wählen Sie Speichern aus, um zum Bildschirm Bericht hinzufügen zurückzukehren, und wählen Sie Weiter aus.


VMware, Inc. 250

9 Geben Sie einen Namen und eine Beschreibung für den Bericht ein.

10 Wählen Sie Bericht jetzt ausführen aus, wenn Sie den Bericht nach dem Speichern des benutzerdefinierten Berichts ausführen möchten.

11 Sie können entweder Bericht jetzt ausführen auswählen oder einen Zeitplan für eine spätere Berichtsausführung erstellen.

12 Wählen Sie zum Speichern des Berichts Speichern aus.

Zugriff auf Workspace ONE IntelligenceGreifen Sie über die Workspace ONE UEM Console auf die Workspace ONE Intelligence-Schnittstelle zu. Über die Workspace ONE Intelligence-Schnittstelle können Sie Dashboards, Automatisierung und Berichte (früher als benutzerdefinierte Berichte bezeichnet) verwenden.

Um auf die Workspace ONE Intelligence-Schnittstelle zuzugreifen, müssen Sie Ihre Anmeldedaten eingeben und sich beim Dienst anmelden.

Zum Aufrufen der Berichte navigieren Sie zu Monitor > Intelligence, und wählen Sie Opt-in und dann Starten aus, nachdem Sie den Workspace ONE Intelligence Connector-Dienst installiert haben.

Um zur Workspace ONE UEM Console zurückzukehren, führen Sie die erforderlichen Schritte aus.

Verfahren

1 Wählen Sie in der oberen rechten Ecke der Benutzeroberfläche das quadratische Menü für VMware-Dienste aus.

2 Wählen Sie im Menü für VMware-Dienste Workspace ONE UEM aus.

BerichtsmanagementNach dem Erstellen eines Berichts können Sie Ihre Berichte über die Listenansicht „Berichte“ verwalten. Sie können Berichte ausführen, Berichte zur Ausführung planen, Berichte kopieren und Berichte löschen. Wählen Sie einen einzelnen Bericht aus, und verwenden Sie die Managementaktionen, den Planer und die Überwachungsprotokolle.

ListenansichtÜber die Listenansicht für Berichte unter Berichte > Berichte können Sie mehrere Berichte auswählen und Aktionen mit einer Auswahl durchführen.

n Bericht hinzufügen: öffnet den Berichte-Assistenten zum Erstellen eines neuen Berichts.

n Bearbeiten: bearbeitet die Filter eines Berichts.

n Ausführen: führt den Bericht sofort aus. Nachdem der Bericht abgeschlossen ist, erhalten Sie eine Mail mit einem Link, über den Sie zum Bericht weitergeleitet werden.

n Freigeben: sendet den Bericht an einen einzelnen Administrator oder an mehrere Administratoren. Sie können den Bericht dann über den gesendeten Link aufrufen.


VMware, Inc. 251

n Planen: plant die Ausführung eines Berichts und das Senden einer E-Mail mit einem Link zum Bericht, sobald dieser abgeschlossen ist. Um auf den Bericht zuzugreifen, müssen Benutzer ein Administratorkonto auf der Workspace ONE UEM -Konsole besitzen, um sich anzumelden und sich zu authentifizieren, bevor sie den Bericht herunterladen.

n Kopieren: erstellt eine Kopie des Berichts. Verwenden Sie diese Aktion, wenn Sie unterschiedliche Zeitpläne für denselben Bericht verwenden möchten. Mit „Kopieren“ können Sie auch einen Bericht erstellen, der auf einem vorhandenen Bericht basiert, ohne von vorne beginnen zu müssen.

n Löschen: löscht einen Bericht und entfernt ihn und alle zugehörigen Abonnements dauerhaft.

EinzelberichtsansichtWählen Sie einen Bericht aus, um auf die Registerkarten Übersicht, Zeitpläne und Überwachungsprotokoll zuzugreifen.

n Übersicht: Die Registerkarte Übersicht für einen Bericht enthält Managementaktionen.

n Bearbeiten

n Ausführen

n Freigeben

n Löschen

n Zeitpläne: Die Registerkarte Zeitpläne enthält Managementaktionen zum Planen von Berichten.

Wählen Sie die Option aus, um einen Bericht hinzuzufügen, zu bearbeiten oder zu löschen. Fügen Sie einen Bericht hinzu und konfigurieren Sie die Einstellungen des Assistenten. Nachdem der Bericht ausgeführt wurde, sendet das System eine E-Mail an die Kontakte, die im Assistenten konfiguriert wurden. Die E-Mail enthält einen Link zum Herunterladen des Berichts. Um auf den Bericht zuzugreifen, müssen Benutzer ein Administratorkonto auf der Workspace ONE UEM-Konsole besitzen, um sich anzumelden und sich zu authentifizieren, bevor sie den Bericht herunterladen.

Konfigurieren Sie im Assistenten Zeitplan folgende Einstellungen zum Planen eines Berichts.

Tabelle 12-5. Einstellungen zum Planen von Berichten


Zeitplanname Geben Sie einen Namen für den Zeitplan ein.

Wiederholung Wählen Sie im Dropdown-Menü die Häufigkeit der Ausführung des Berichts aus.

n Stündlich

n Täglich

n Wöchentlich

n Monatlich

Der Wert Wiederholung wirkt sich auf die verfügbaren Zeiteinstellungen aus.

Stündlich – Alle Wählen Sie die Anzahl der Stunden aus, die verstreichen müssen, bevor der Bericht erneut ausgeführt wird.

Stündlich – Startet um Wählen Sie die Uhrzeit der Berichtsausführung aus.

Täglich – Tageszeit Wählen Sie die Uhrzeit aus, zu welcher der Bericht ausgeführt werden soll.


VMware, Inc. 252

Tabelle 12-5. Einstellungen zum Planen von Berichten (Fortsetzung)


Wöchentlich – Wochentage Wählen Sie die Wochentage und die Uhrzeit der Berichtsausführung aus.

Wöchentlich – Startet um Wählen Sie die Uhrzeit der Berichtsausführung aus.

Monatlich – Tag des Monats Legen Sie den Tag des Monats und die Uhrzeit der Berichtsausführung fest.

Diese Einstellung wird angezeigt, wenn Wiederholung auf Monatlich eingestellt ist.

Monatlich – Startet um Wählen Sie die Uhrzeit der Berichtsausführung aus.

Alle Wiederholungseinstellungen – Endet Wenn Sie die Wiederholung eines Berichts beenden möchten, legen Sie das Enddatum fest.

Senden an Geben Sie die E-Mail-Adresse jedes Empfängers ein.

Betreff Geben Sie einen Betreff für die E-Mail ein, die nach Fertigstellung des Berichts gesendet wird. Die E-Mail enthält den Link, um den Bericht aufzurufen.

Nachricht Geben Sie eine Nachricht für die E-Mail ein, die nach Fertigstellung des Berichts gesendet wird.

Sie können geplante Berichte und deren Häufigkeit anzeigen, indem Sie zu Berichte > Geplante Berichte navigieren. Auf der Seite „Geplante Berichte“ finden Sie die Aktionen Bearbeiten und Löschen zur Verwaltung von Zeitplänen.

n Überwachungsprotokoll – Auf der Registerkarte Überwachungsprotokoll werden Ereignisse für einen Bericht aufgelistet. Erfahren Sie, wann ein Ereignis aufgetreten ist, wer es verursacht hat und was passiert ist. Das Protokoll enthält die folgenden Daten.

n Datum und Uhrzeit

n Administratorkonto

n Ereignisname

n Aktion

Übersicht über Workspace ONE UEM-BerichteMit der Funktion „Berichte“ können Sie auf detaillierte Informationen zu den Geräten, Benutzern und Anwendungen in Ihrer Workspace ONE UEM-Lösung zugreifen.

Verwenden Sie diese Informationen zur Fehlerbehebung Ihrer Bereitstellung, und treffen Sie fundierte Entscheidungen darüber, welche Aktionen durchzuführen sind. Die Exporte dieser Berichte erfolgen im CSV-Format (kommagetrennte Werte).

n Intuitivere Schnittstelle

n Verbesserte Berichterstellungsbeständigkeit

n Leichtere Filterauswahl

n Schnellere Downloadzeiten

n Erweiterte Verfolgungsfunktion für den Exportstatus


VMware, Inc. 253

n Optimierte Abonnementfunktion für Berichte

Der Speicherort Ihrer Berichte hängt von der verwendeten Speicherlösung ab. Standardmäßig speichert Workspace ONE UEM die Berichte in der Datenbank. Die Berichte verbleiben in der Datenbank, bis sie ablaufen. Nach Ablauf werden die Berichte automatisch gelöscht. Je nach Größe Ihrer Bereitstellung sollten Sie eine Speicherlösung als Erweiterung Ihrer Datenbank in Betracht ziehen, um die Leistung zu verbessern.

Erweitern Sie Ihre Datenbank mit einem Dateispeicher und Berichtsspeicher.

n Der Dateispeicher speichert Berichte, Inhalte und Anwendungen in einem separaten Dateispeicherserver.

n Der Berichtspeicher speichert Workspace ONE UEM-Berichte in einem dedizierten Dateispeicher, die von allen anderen Inhalten getrennt sind.

Um die Leistung zu verbessern, sollten Sie den Berichtsspeicher aktivieren. Dieser Speicher nutzt einen dedizierten Server, um alle Workspace ONE UEM-Berichte zu speichern und die Leistung zu erhöhen. Weitere Informationen finden Sie unter Berichtsspeicher.

Wichtig Wenn Sie Version 9.0.2 oder 9.0.3 verwenden, müssen Sie den Dateispeicher aktivieren, um Workspace ONE UEM-Berichte verwenden zu können. Weitere Informationen finden Sie unter Dateispeicherung.

Neue BerichteDas Tag Neu vor dem Berichtsnamen in der UEM Console kennzeichnet neue Berichte. Diese Berichte kombinieren mehrere veraltete Berichte.

Um die neuen Berichte anzuzeigen, navigieren Sie zu Monitor > Berichte und Analysen > Berichte > Listenansicht. Um die exportierten neuen Berichte anzuzeigen, navigieren Sie zu Monitor > Berichte und Analysen > Exporte.

Workspace ONE UEM bietet 20 neue Berichte. Die folgende Tabelle zeigt die verfügbaren Spalten für jeden dieser neuen Berichte.

Anmeldeverlauf von Admin-Konten

Name Browser

Kernbenutzer Plattform

Anmeldedaten Fehlerursache

Quell-IP Status

Admin-Benutzerrollen

Organisationsgruppen-ID Rolle

Organisationsgruppenname Rollenbeschreibung

Benutzername Datum der letzten Anmeldung

E-Mail Benutzertyp

Vorname Primär


VMware, Inc. 254

Nachname

Anwendungsdetails nach Gerät

Organisationsgruppen-ID Installierte Version

Organisationsgruppenname Paketgröße (KB)

Freundlicher Name Dynamische Größe (KB)

Seriennummer Größe insgesamt

App-Name Installationsstatus

Anwendungs-ID Installations-Statusgrund

Eingesetzt von Workspace ONE UEM App – Zuerst gesehen

Verwaltete App App-Aktualisierungsdatum

Zugewiesene Version Geräte-ID

Gerätetyp Gerätemodell

BS-Version Besitzertyp

Gerät zuletzt gesehen Benutzername

E-Mail-Adresse

Nach Gerät angezeigte Details zu Anwendungen, die sich auf der Blacklist oder nicht auf der Whitelist befinden

Organisationsgruppen-ID Gerätemodell

Organisationsgruppenname BS-Version

Geräte-ID Zuständigkeit

Benutzername Telefonnummer

E-Mail-Adresse App-Name

Seriennummer Anwendungs-ID

IMEI App-Version

Geräteplattform App – Zuerst gesehen

Zertifikat läuft bald ab

Zertifikatsname Profilname

Ausgestellt für Freundlicher Name

Ausgestellt von Organisationsgruppenname

Name der Zertifizierungsstelle Gültigkeitsdatum

Status Tage bis zum Ablauf

Inhaltsdetails nach Gerät

Organisationsgruppen-ID Inhaltstyp

Organisationsgruppenname Inhalte installiert

Geräte-ID Inhaltspriorität

Freundlicher Name Wichtigkeit der Inhalte

Benutzername Inhaltskategorie


VMware, Inc. 255

E-Mail-Adresse Status

Seriennummer Inhaltsversion

IMEI Inhaltsgröße in KB

Geräteplattform Gültigkeitsdatum

Gerätemodell Ablaufdatum

BS-Version Datum der letzten Änderung

Zuständigkeit Zuletzt gesehen

Inhaltstyp Tage im Offline-Betrieb

Anzahl der aktiven Geräte

Organisationsgruppenname Gesamtzahl der inaktiven Geräte

Gesamtzahl der aktiven Geräte Gesamtzahl der Geräte

Anzahl aller aktiven Geräte nach Benutzern

Organisationsgruppen-ID Gesamtzahl der inaktiven Geräte

Benutzername Gesamtzahl der Geräte

Gesamtzahl der aktiven Geräte

Gerätebatterieprotokoll

Geräte-ID Zustandsanzeige der Batterie

Freundlicher Name Lebensdauer der Batterie in Prozent

Organisationsgruppen-ID Batteriespannung

Organisationsname Batteriestrom

Gerätemodell Batterietemperatur

Geräteplattform Batterie – Verbrauch in mAh

BS-Version Durchschnittliches Batterieintervall

Eigentümer Durchschnittlicher Batteriestrom

AC-Leitungsstatus Backup-Batterie – Lebensdauer

Abtastzeit Vollständige Lebensdauer der Backup-Batterie

Übertragungszeit Lebensdauer der Backup-Batterie in Prozent

Lebensdauer der Batterie Zustandsanzeige für Backup-Batterie

Lebensdauer der Batterie Spannung der Backup-Batterie

Geräteinventar

Organisationsgruppen-ID Aktueller Betreiber

Organisationsgruppenname Geräte-Roaming

Geräte-ID Roaming-Startdatum

Freundlicher Name Roaming-Enddatum

Benutzername MAC-Adresse

E-Mail-Adresse WLAN-IP-Adresse


VMware, Inc. 256

Vorname IMEI

Nachname SIM-Kartennummer

Anzeigename GPRS-Verbindung

Seriennummer Gerätekapazität (GB)

Geräteplattform Verfügbare Kapazität (GB)

Gerätemodell Verfügbarer physischer Speicher (MB)

Telefonnummer Gesamter physischer Speicher (MB)

Zuständigkeit Lebensdauer der Batterie in Prozent

BS-Version Zeitpunkt der Netzstrom-Abtastung

Registrierungsdatum Gerät im Netzbetrieb

Konformitätsstatus Entfernung der Nutzlast nicht erlaubt

Registrierungsstatus Wird überwacht

Datum der Registrierungsaufhebung EAS-Geräte-ID

Verwaltet von Ist Cloud-Sicherung aktiviert

Zuletzt gesehen Datum der letzten iCloud-Sicherung

Anlagennummer Ist Aktivierungssperre aktiviert

Ist kompromittiert Kaufdatum

Mein iPhone suchen Geschätztes Kaufdatum

Land Garantiestatus

MDM-verwaltet Registrierungsdatum

Gerätebezeichner Beginn des Versicherungsschutzes

Heimat-Netzwerkbetreiber Ende des Versicherungsschutzes

Gerätestandortprotokoll

Organisationsgruppenname E-Mail-Adresse

Organisationsgruppen-ID Abtastzeit

Freundlicher Name Breitengrad

Geräte-ID Längengrad

Benutzername Höhe

Details zur Gerätesicherheit

Organisationsgruppen-ID IMEI

Organisationsgruppenname Datenschutz aktiviert

Geräte-ID Verschlüsselung auf Blockebene aktiviert

Freundlicher Name Verschlüsselung auf Dateiebene aktiviert

Seriennummer Kennung vorhanden

Gerätemodell Kennung konform J/N

Telefonnummer Ausstehende Installationen


VMware, Inc. 257

Zuständigkeit Alle zugewiesenen Profile installiert

BS-Version Kennung mit Profilen konform

Zuletzt gesehen Verschlüsselung ist konform.

Ist kompromittiert Interne Speicherverschlüsselung ist aktiviert.

MAC-Adresse SD-Karten-Verschlüsselung ist aktiviert.

WLAN-IP-Adresse Tage offline

Registrierungsbenutzername Gerätegruppe

E-Mail-Adresse

Details zur Gerätenutzung

Organisationsgruppen-ID Roamingdatennutzung

Organisationsgruppenname Datennutzung (MB)

Geräte-ID Planname

Freundlicher Name Mobilkartenbezeichner

Zuständigkeit Datensatzdatum

Geräteplattform Täglicher Sprachanruf innerhalb der Hauptzeit

Gerätemodell Täglicher Sprachanruf außerhalb der Hauptzeit

BS-Version Tägliche Nachricht

Benutzername Nachrichtenlimit

E-Mail-Adresse Tägliche Datennutzung

Seriennummer Abrechnungszeitraum

IMEI Monatliche Sprachanrufe innerhalb der Hauptzeit

Telefonnummer Monatliche Sprachanrufnutzung in Prozent

Zuletzt gesehen Monatliche Sprachanrufe außerhalb der Hauptzeit

SIM-Kartennummer Monatliche Nachricht

Abtastzeit Monatliche Nachrichtennutzung in Prozent

Heimat-Netzwerkbetreiber Monatliche Datennutzung

Aktueller Betreiber Monatliche Datennutzung in Prozent

Land Startdatum und -zeit des Anrufs

Netzwerk-IP-Adresse Anrufdauer in Minuten

IP-Adresse des Mobilgeräts Anrufrichtung

Geräte-Roaming Status „Anruf beantwortet“

Roaming-Startdatum Anrufendstatus

Roaming-Enddatum Anrufverbindungsstatus

Empfangene Daten (KB) Anruf im Roamingbetrieb

Gesendete Daten (KB) Name des Kontakts

Gesamt KB


VMware, Inc. 258

Gerätezurücksetzungsprotokoll

Geräte-ID oder MAC-Adresse Organisationsgruppen-ID

Freundlicher Name Organisationsgruppenname

Seriennummer Benutzername

Gerätetyp E-Mail-Adresse

Gerätemodell Zurücksetzung ausgestellt von

BS-Version Wipe-Typ

Zuständigkeit Ereigniszeit

Geräteplattform

Geräte inklusive Benutzerdetails

Organisationsgruppen-ID Benutzerstatus

Organisationsgruppenname Geräteplattform

Freundlicher Name Gerätemodell

Geräte-ID BS-Version

Benutzername Zuständigkeit

Benutzer-ID Seriennummer

Vorname IMEI

Nachname Registrierungsstatus

E-Mail-Adresse Konformitätsstatus

Rufnummer des Benutzers Datum registriert

Domänentyp Datum, an dem Registrierung aufgehoben wurde

Profilkonfigurationseinstellungen

Organisationsgruppe Gerätemodell

Profilname Name des minimalen Betriebssystems

Profilgruppentyp Name des Betriebssystems (maximal)

Geräteplattform Name der Profileinstellung

Beschreibung Wert

Zuweisungstyp Organisationsgruppenpfad

Profildetails nach Gerät

Organisationsgruppen-ID Modell

Organisationsgruppenname BS-Version

Freundlicher Name U/M/G

Benutzername Profil

E-Mail-Benutzername Installierte Version

E-Mail-Adresse Neueste Version

Seriennummer Installiertes Datum


VMware, Inc. 259

MAC-Adresse Installiert

SDK-Analysen

Geräte-ID Anwendungs-ID

Freundlicher Name Name der Anwendung

Organisationsgruppen-ID Anwendungsversion

Organisationsgruppenname Ereignisname

Benutzername Ereignisdaten

Abtastzeit

Verlauf des Gemeinschaftsgeräts

Organisationsgruppen-ID Nachname

Organisationsgruppenname E-Mail-Adresse

Geräte-ID Eincheckdatum

Gerätename Check-out-Datum

Vorname

Details zur Annahme der Nutzungsbedingungen

Organisationsgruppenname Telefonnummer

Organisationsgruppen-ID Name der Nutzungsbedingungen

Benutzername Version

Vorname Akzeptierte Version

Nachname Akzeptiert

E-Mail-Adresse Akzeptiert am

Abonnieren eines neuen BerichtsAbonnieren Sie einen neuen Bericht, um Warnungen von der Seite Monitor der UEM Console zu erhalten. Mit dem Abonnement können Sie auf wichtige Informationen zur Nutzung und andere technische Parameter zugreifen.

Aus Sicherheitsgründen enthält die Abonnement-E-Mail für neue Berichte den Bericht nicht als Dateianhang. Die E-Mail enthält einen Link, um den Bericht herunterzuladen. Dieser Link erfordert eine Authentifizierung zum Herunterladen. Nur Administratoren mit gültigen Anmeldedaten können auf die Berichte zugreifen.

Wichtig Administratoren mit den entsprechenden Rollenberechtigungen und Zugriff auf die Organisationsgruppe können die Abonnements anderer Administratoren anzeigen und bearbeiten.

Verfahren

1 Navigieren Sie zu Monitor > Berichte und Analysen > Berichte > Listenansicht > Alle Berichte.

2 Wählen Sie den gewünschten neuen Bericht aus, und wählen Sie dann das Symbol Berichtsabonnements aus.


VMware, Inc. 260

3 Konfigurieren Sie auf der Registerkarte Parameter die entsprechenden Einstellungen, um Kriterien für den Geltungsbereich des Berichts festzulegen.

Diese Einstellungen sind je nach Bericht unterschiedlich.

4 Konfigurieren Sie auf der Registerkarte Zeitplan die folgenden Einstellungen:


Von Gibt an, von wem das Abonnement gesendet wird.

An Gibt an, wer das Abonnement erhält.

Wiederholung Legt fest, wann die UEM Console das Abonnement sendet. Die verfügbaren Optionen sind einmal, täglich, wöchentlich und monatlich. Sie können auch die Tageszeit für den Bericht und das Ende der Wiederholung festlegen.

Wenn die Wiederholung auf bestimmte Tage des Monats festgelegt ist, z. B. auf den 31. Tag eines Monats, und der Monat nur 30 Tage hat, erhalten Sie keinen Bericht für diesen Monat.

Datum/Uhrzeit Gibt an, wann mit dem Senden von Abonnements begonnen werden soll.

Thema Gibt einen Betreff an, um das Abonnement zu identifizieren, wenn es von der UEM Console bereitgestellt wird.

Nachricht Definiert die Meldung, um das Abonnement zu erläutern, wenn es von der UEM Console bereitgestellt wird.

Generieren von BerichtenDie Berichts- und Analyselösung Workspace ONE UEM bietet die Möglichkeit, Daten aus vielen Abschnitten in der UEM Console zu exportieren. Auf der Seite Exporte der UEM Console können Sie die generierten Berichte herunterladen. Sobald Berichte erfolgreich generiert wurden, stehen Links zum Herunterladen im Raster Export zur Verfügung.

Verfahren

1 Navigieren Sie zu Monitor > Berichte und Analysen > Berichte > Listenansicht, und wählen Sie den gewünschten Bericht aus.

2 Vervollständigen Sie auf dem Berichtbildschirm die entsprechenden Einstellungen.


3 Klicken Sie auf Herunterladen, um den Bericht auf die Seite Exporte zu exportieren.

4 Navigieren Sie zu Monitor > Berichte und Analyse > Exporte und wählen Sie den gewünschten Bericht aus. Klicken Sie für den ausgewählten Bericht in der Spalte Status auf Fertig stellen, um ihn herunterzuladen.

Ergebnisse

Hinweis Die exportierten neuen Berichte werden in der Spalte Exporttyp als Neue Berichte und die vorhandenen Berichte als Berichte markiert.


VMware, Inc. 261

Nächste Schritte

Hinweis Ab Version 9.0 stehen die Berichte (in einer CSV-Struktur) zum Download im gezippten Format zur Verfügung.

Abonnieren eines alten BerichtsAbonnieren Sie einen Bericht, um Warnungen von der Seite Monitor der UEM Console zu erhalten. Mit dem Abonnement können Sie auf wichtige Informationen zur Nutzung und andere technische Parameter zugreifen.

Wichtig Alle Abonnements, die mit einem veralteten Bericht verknüpft sind, sollten wie gewohnt funktionieren. Sie werden jedoch als veraltet markiert. Sie sollten neue Berichte verwenden und Abonnements erstellen, um diese zu verwenden.

Verfahren

1 Navigieren Sie zu Monitor > Berichte und Analysen > Berichte > Listenansicht > Alle Berichte.

2 Wählen Sie den gewünschten Bericht aus und wählen Sie dann das Symbol Berichtsabonnements aus.

3 Konfigurieren Sie auf der Registerkarte Allgemein die folgenden Einstellungen.


Beschreibung Legt einen beschreibenden Namen für das Abonnement fest.

Render-Format Legt das Format für den Bericht fest. Das Standarddateiformat ist CSV (kommagetrennte Werte).

Antwort an Gibt an, wer das Abonnement erhält.

Thema Gibt einen Betreff an, um das Abonnement zu identifizieren, wenn es von der UEM Console bereitgestellt wird.

Nachrichtentext Definiert die Meldung, um das Abonnement zu erläutern, wenn es von der UEM Console bereitgestellt wird.


VMware, Inc. 262

4 Konfigurieren Sie auf der Registerkarte Parameter die entsprechenden Einstellungen, um Kriterien für den Geltungsbereich des Berichts festzulegen.


5 Konfigurieren Sie auf der Registerkarte Ausführung die folgenden Einstellungen.


Einmal Wählen Sie diese Option aus, um diesen Bericht ein einziges Mal zu abonnieren.

Täglich Wählen Sie diese Option aus, um den Bericht jedes Mal zu erhalten, wenn eine festgelegte Anzahl von Tagen verstrichen ist.

Wöchentlich Wählen Sie diese Option aus, um den Bericht an bestimmten Wochentagen zu erhalten.

Monatlich Wählen Sie diese Option aus, um den Bericht an einem bestimmten Tag des Monats zu erhalten. Sie können den Zeitplan auch auf den ersten, zweiten, dritten, vierten oder letzten Wochentag des Monats festlegen.

Wenn die Wiederholung auf einen Tag festgelegt ist, der im Monat nicht auftritt, erhalten Sie keinen Bericht. Wenn Sie beispielsweise die Wiederholung auf den vierten Freitag eines Monats festlegen und der Monat nur drei Freitage hat, erhalten Sie keinen Bericht für diesen Monat. Dies gilt auch für bestimmte Tage des Monats, z. B. für den 31. Tag eines Monats, wenn der Monat nur 30 Tage hat.

Datum/Uhrzeit Legen Sie den spezifischen Tag und die Uhrzeit für den Empfang des Berichts fest.

Bereich Legen Sie das Enddatum für das Berichtsabonnement fest.

6 Verwenden Sie auf der Registerkarte Verteilungsliste einen oder alle Parameter, um eine Verteilungsliste für den Empfang des Abonnements zu erstellen.


Rolle wählen Wählen Sie eine Rolle aus dem Menü aus und klicken Sie auf Zur Liste hinzufügen, um sie der Verteilungsliste hinzuzufügen.

Benutzer wählen Wählen Sie einzelne Benutzer aus und klicken Sie auf Zur Liste hinzufügen, um sie der Verteilungsliste hinzuzufügen.

E-Mail-Adresse eingeben Geben Sie die Adressen der Abonnementempfänger manuell ein, wenn Sie die Adresse kennen, und klicken Sie auf Zur Liste hinzufügen, um sie der Verteilungsliste hinzuzufügen.

Suchliste Geben Sie Text ein, um in der Verteilungsliste nach einzelnen Einträgen zu suchen und Einträge aus der Verteilungsliste zu löschen.

Verteilungsliste Legen Sie fest, an wen Workspace ONE UEM das Abonnement sendet. Erstellen Sie diese Liste mit den Einträgen „Rolle“, „Benutzer“ und „E-Mail-Adresse“.

Hinweis Administratoren können fehlgeschlagene oder inaktive Abonnements bearbeiten und sie erneut speichern, um den Fehler zu beheben.


VMware, Inc. 263

Verwalten von BerichtenNavigieren Sie zur Seite Monitor > Berichte und Analysen > Berichte > Listenansicht, um Berichte in der UEM Console anzuzeigen. Sie können Daten in verschiedenen Formaten exportieren und die folgenden Aktionen durchführen.

Berichtabonnements – Konfigurieren Sie einen Bericht so, dass er in bestimmen Intervallen und mit definierten Parametern ausgeführt wird.

Zu „Eigene Berichte“ hinzufügen – Fügen Sie Berichte zur Registerkarte Eigene Berichte hinzu, um schnell darauf zuzugreifen.

Fehlerbehebung für BerichteWenn Sie Probleme mit der Berichtsfunktion haben, sollten Sie eine Fehlerbehebung durchführen, bevor Sie sich an den Support werden. Diese Fehlerbehebungsschritte behandeln die häufigsten Probleme mit der Berichtsfunktion.

ProblemBerichte werden nicht gestartet.

Ursache

Der Dienst für Hintergrundverarbeitung wird nicht ausgeführt.

Lösung

Befolgen Sie die Anweisungen in Aktivieren des Diensts für Hintergrundverarbeitung.


VMware, Inc. 264

ProblemWährend der Berichtsverarbeitung treten gelegentlich Fehler auf.

Ursache

Verschiedene Ursachen.

Lösung

Weitere Informationen dazu erhalten Sie in den folgenden Protokollen.

n Web-Konsolenprotokoll – Informationen zur Fehlerbehebung finden Sie in den Web-Konsolenprotokollen, wenn ein Konsolenfehler auftritt. Diese Protokolle können sowohl für neue als auch für vorhandene Berichte herangezogen werden. Die Protokolle finden Sie hier:

\AirWatch\Logs\WebConsole\WebConsoleLog.txt

n Detaillierte Fehlerprotokolle zu neuen Berichten – beachten Sie die Protokolle hier:

\AirWatch\Logs\Services\BackgroundProcessorServiceLogFile.txt

n Detaillierte Fehlerprotokolle zu alten Berichten – beachten Sie die Protokolle des Berichtsservers hier:

\Microsoft SQL Server\MSRS12.ABC\Reporting Services\LogFiles

Aktivieren des Diensts für HintergrundverarbeitungFür Workspace ONE UEM-Berichte muss der Dienst für Hintergrundverarbeitung auf dem UEM Console-Server ausgeführt werden. Der Installationsvorgang aktiviert diesen Prozess. Wenn er jedoch nicht ausgeführt wird, müssen Sie ihn aktivieren, um Workspace ONE UEM-Berichte verwenden zu können.

Jeder UEM Console-Server benötigt den Dienst für Hintergrundverarbeitung. Jeder Server verarbeitet Berichte und schreibt sie in die entsprechende Warteschlange, bevor er sie an die Datenbank, den Dateispeicher oder den Berichtsspeicher sendet.

Verfahren

1 Drücken Sie auf dem Konsolenserver Windows-Taste + R.


VMware, Inc. 265

2 Führen Sie den Befehl „services.msc“ aus.

Es wird ein Bildschirm mit allen Diensten angezeigt, die auf dem Konsolenserver aufgeführt werden.

3 Suchen Sie AirWatch Hintergrund-Prozessordienst, und wählen Sie Eigenschaften aus.

Auf einem Bildschirm wird der Dienststatus angezeigt.


VMware, Inc. 266

4 Stellen Sie sicher, dass der Status dieses Diensts Wird ausgeführt lautet. Wenn der Status Angehalten lautet, starten Sie den Dienst.


VMware, Inc. 267

DateispeicherungBestimmte Workspace ONE UEM Funktionen können für die Verarbeitung und Downloads einen dedizierten Dateispeicherungsdienst verwenden, was die allgemeine Belastung Ihrer Workspace ONE UEM Datenbank senkt und deren Leistung erhöht. Die manuelle Konfiguration der Dateispeicherung gilt nur für On-Premises-Kunden. Sie wird für SaaS-Kunden automatisch konfiguriert.

Sie beinhaltet auch bestimmte Workspace ONE UEM Berichte, die Bereitstellung interner Anwendungen und von Workspace ONE UEM verwaltete Inhalte. Wenn Sie für eine dieser Funktionen Dateispeicherung aktivieren, wird sie automatisch auf die anderen angewendet. Wenn Sie die Dateispeicherung einrichten, werden alle Berichte, alle internen Anwendungen und alle verwalteten Inhalte dort abgelegt.

Berichte in Workspace ONE UEMAb Version 9.0.2 der Konsole wurden drei neue Berichte hinzugefügt, die genauso aussehen wie vorhandene Berichte, aber ein vollständig überarbeitetes Back-End-Framework verwenden. Dieses neue Framework generiert Berichte mit höherer Zuverlässigkeit und schnelleren Downloadzeiten. Um diese Vorteile zu nutzen, müssen Sie Dateispeicherung einrichten

Interne AnwendungenWenn die Dateispeicherung aktiviert ist, werden alle internen Anwendungspakete, die Sie über die UEM-Konsole hochladen, an einem Dateispeicherort gespeichert.

Die Dateispeicherung ist erforderlich, um Win 32-Anwendungen (IPA, PAK, APPX, MSI, EXE usw.) und Mac OS-Anwendungen (.dmg, .pkg, .mpkg usw.) aus dem Bereich „Anwendungen & Bücher“ der UEM-Konsole zu implementieren. Diese Funktion wird Softwareverteilung genannt.

Von Workspace ONE UEM verwaltete InhalteSie können verwaltete Inhalte von der Workspace ONE UEM Datenbank trennen, indem Sie sie an einem dedizierten Dateispeicherort ablegen. Das Hochladen einer großen Zahl verwalteter Inhalte kann zu Problemen hinsichtlich der Datenbankleistung führen. In diesem Fall können lokale Benutzer Datenbankspeicherplatz verfügbar machen, indem sie verwaltete Inhalte auf eine integrierte lokale Dateispeicherlösung verschieben.

Auch private Inhalte werden zur Dateispeicherlösung verschoben. Persönliche Inhalte werden standardmäßig in der SQL-Datenbank abgelegt. Wenn Sie einen Remotedateispeicher aktiviert haben, werden persönliche Inhalte im Remotedateispeicher abgelegt und nicht im Dateispeicher oder in der SQL-Datenbank.

Voraussetzungen für DateispeicherungTrennen Sie den verwalteten Inhalt von der Workspace ONE UEM-Datenbank, indem Sie ihn in einem dedizierten Dateispeicher speichern. Um eine Dateispeicherung einzurichten, müssen Sie den


VMware, Inc. 268

Speicherort und die Speicherkapazität für Ihre Dateispeicherung bestimmen, die Netzwerkanforderungen konfigurieren und ein Personifikationskonto erstellen.

Wichtig Die Dateispeicherung ist für die Verteilung von Windows 10 Software erforderlich.

Erstellen des freigegebenen Ordners auf einem Server in Ihrem internen Netzwerkn Der Dateispeicher kann sich auf einem separaten Server oder dem gleichen Server wie einer der

anderen Workspace ONE UEM-Anwendungsserver in Ihrem internen Netzwerk befinden. Er sollte nur für Komponenten zugänglich sein, die Zugang benötigen, etwa den Konsolen- und den Gerätediensteserver.

n Sollten sich der Gerätedienstserver, Konsolenserver und der Server, der die freigegebenen Ordner hostet, nicht in derselben Domäne befinden, geben Sie die Domäne währen der Konfiguration des Dienstkontos im Format <domain\username> an. Domänenvertrauensstellung kann auch hergestellt werden, um Authentifizierungsfehler zu vermeiden.

Konfigurieren der Netzwerkanforderungenn Bei Verwendung von Samba/SMB – TCP: 445, 137, 139. UDP: 137, 138

n Bei Verwendung von NFS – TCP und UDP: 111 und 2049

Zuordnen ausreichender FestplattenkapazitätIhr spezifischen Speicheranforderungen können je nach der von Ihnen vorgesehenen Verwendung von Dateispeicherung variieren. Der Dateispeicherort sollte genügend Speicherplatz für die internen Anwendungen, verwalteten Inhalte oder Berichte aufweisen, die Sie verwenden möchten. Berücksichtigen Sie die nachfolgend aufgeführten Punkte:

n Wenn Sie Zwischenspeicherung für interne Anwendungen oder Inhalte aktivieren, ist es empfehlenswert, den Gerätedienst-Server auf 120 Prozent der kumulativen Größe aller Anwendungen/Inhalte zu dimensionieren, die Sie veröffentlichen müssen.

n Bei Speicherberichten hängen Ihre Speicheranforderungen von der Anzahl der Geräte, der Anzahl täglicher Berichte und der Häufigkeit ab, mit der Sie diese löschen. Als Ausgangspunkt sollten Sie planen, für Bereitstellungsgrößen von bis zu 250.000 Geräten, die etwa 200 tägliche Berichte ausführen, mindestens 50 GB zuzuteilen. Passen Sie diese Zahlen an die tatsächlichen Gegebenheiten in Ihrem Einsatz an. Wenden Sie diese Dimensionierung auch auf Ihren Konsolen-Server an, wenn Sie Zwischenspeicherung aktivieren.

Erstellen eines Dienstkontos mit ordnungsgemäßen Berechtigungenn Erstellen Sie ein Konto in der Domäne des freigegebenen Speicherverzeichnisses.

n Erteilen Sie dem lokalen Benutzer Lese-/Schreib-/Änderungsberechtigungen für die Dateifreigabe, die für den Dateispeicherpfad verwendet wird.

n Konfigurieren Sie den Benutzer für Dateispeicher-Identitätswechsel in Workspace ONE UEM mit dem Domänenkonto im Format <domain\username>.


VMware, Inc. 269

n Wenn sich das freigegebene Speicherverzeichnis nicht in einer Domäne befindet, erstellen Sie einen identischen lokalen Benutzer und ein identisches Kennwort auf dem Server, der als Dateispeicher-, Konsolen- und Gerätedienstserver verwendet wird. Geben Sie in diesem Fall das lokale Benutzerkonto im Format <username> an.

Sie können anstatt eines lokalen Benutzerkontos auch ein Domänendienstkonto verwenden.

Konfigurieren von Dateispeicherung in der Organisationsgruppe „Global“Konfigurieren Sie Dateispeichereinstellungen auf der Ebene der Organisationsgruppe „Global“ in der UEM-Konsole.

Aktivieren von Dateispeicherung für BerichteBevor Sie die Vorteile des Berichtsdateispeichers nutzen können, müssen Sie den Dateispeicher aktivieren und konfigurieren.

Verfahren

1 Navigieren Sie auf der Organisationsgruppenebene „Global“ zu Gruppen & Einstellungen > Alle Einstellungen > Installation > Dateipfad und scrollen Sie ganz nach unten.

2 Wählen Sie Dateispeicherung aktiviert und konfigurieren Sie die Einstellungen.

Wenn Dateispeicherung aktiviert ist, können Sie ein externes Repository konfigurieren, in dem Dateien gespeichert werden. Sind die Einstellungen deaktiviert, werden Dateien als große Binärobjekte in der Datenbank gespeichert.


Dateispeicherpfad Geben Sie den Pfad der Dateien im folgenden Format ein: \\{Servername}\{Ordnername}, wobei der Ordnername der Name des freigegebenen Ordners ist, den Sie auf dem Server erstellen.

Dateispeicher-Zwischenspeicherung aktiviert

Wenn Sie die Zwischenspeicherung aktivieren, sollten Sie daran denken, den benötigten Speicherplatz auf dem Server bereitzustellen.

Dateispeicheridentitätswechsel aktiviert

Wählen Sie diese Funktion, um ein Dienstkonto mit ordnungsgemäßen Berechtigungen hinzuzufügen.

Benutzername für Dateispeicheridentitätswechsel

Geben Sie einen gültigen Benutzernamen für das Dienstkonto an, um sowohl Lese- als auch Schreibberechtigungen für das freigegebene Speicherverzeichnis zu erhalten.

Kennwort Geben Sie ein gültiges Kennwort für das Dienstkonto an, um sowohl Lese- als auch Schreibberechtigungen für das freigegebene Speicherverzeichnis zu erhalten.

3 Wählen Sie die Schaltfläche Verbindung testen aus, um die Konfiguration zu testen

BerichtsspeicherOptimieren Sie den Speicher Ihrer Workspace ONE UEM-Berichte über den Berichtsspeicher. Diese Speicherfunktion steigert die Leistung von Workspace ONE UEM-Berichten.


VMware, Inc. 270

Dieser Speicher unterscheidet sich von dem Dateispeicher, der von Berichten, internen Anwendungen und Inhalten verwendet wird. Wenn Sie bereits den Dateispeicher verwenden, müssen Sie den Berichtsspeicher nicht aktivieren. Sie sollten den Berichtsspeicher aktivieren, wenn Sie bei der Verwendung von Berichten Leistungseinbußen bei der Workspace ONE UEM-Datenbank feststellen. Der Berichtsspeicher gilt nur für Berichte, wodurch die Gesamtleistung der Berichte erhöht und die Belastung Ihrer Workspace ONE UEM-Datenbank reduziert wird.

Wenn Sie sowohl den Dateispeicher als auch den Berichtsspeicher aktivieren, setzt der Berichtsspeicher den Dateispeicher beim Speichern von Berichten außer Kraft.

Für den Berichtsspeicher ist ein dedizierter Server erforderlich, um den Dienst und den Speicher der Berichte zu hosten.

Voraussetzungen für BerichtsspeicherungUm die Berichtsspeicherlösung bereitzustellen, muss Ihr Server die Anforderungen erfüllen.

Hinweis Wenn Sie bereits einen Dateispeicher verwenden, ist der Berichtsspeicher zwar verfügbar, aber nicht erforderlich für Ihre Bereitstellung. Wenn Sie den Berichtsspeicher parallel zum Dateispeicher konfigurieren, priorisieren die Berichtsdateien den Berichtsspeicher gegenüber dem Dateispeicher.

Erstellen des freigegebenen Ordners auf einem Server in Ihrem internen Netzwerkn Der Berichtsspeicher kann sich auf einem separaten Server oder auf einem der anderen Workspace

ONE UEM-Anwendungsserver in Ihrem internen Netzwerk befinden. Stellen Sie sicher, dass nur die Komponenten, die Zugriff auf den Server benötigen, auf den Berichtsspeicherserver zugreifen können, z. B. die Konsolen- und Gerätedienstserver.

n Sollten sich der Gerätedienstserver, Konsolenserver und der Server, der die freigegebenen Ordner hostet, nicht in derselben Domäne befinden, stellen Sie eine Domänenvertrauensstellung zwischen den Domänen her, um Authentifizierungsfehler zu verhindern. Wenn der Gerätedienstserver oder Konsolenserver mit keiner Domäne verknüpft ist, ist es ausreichend, die Domäne bei der Dienstkontokonfiguration anzugeben.

Konfigurieren des Berichtsspeichers in der globalen OrganisationsgruppeKonfigurieren Sie die Berichtsspeichereinstellungen auf der Ebene der globalen Organisationsgruppe in der UEM Console.Erstellen eines Dienstkontos mit ordnungsgemäßen Berechtigungen

n Erstellen Sie ein Konto mit Lese- und Schreibberechtigung für das freigegebene Speicherverzeichnis.

n Erstellen Sie den gleichen lokalen Benutzer und das gleiche Kennwort auf dem Konsolenserver, dem Gerätedienstserver und dem Server, der für die Berichtsspeicherung verwendet wird.

n Erteilen Sie dem lokalen Benutzer Lese-/Schreib-/Änderungsberechtigungen für die Dateifreigabe, die für den Berichtsspeicherpfad verwendet wird.


VMware, Inc. 271

Wenn Sie dem Benutzer die Berechtigung zum Ändern erteilen, löscht Workspace ONE UEM alte Berichte aus dem Speicher. Wenn Sie dem Benutzer keine Änderungsberechtigungen erteilen, sollten Sie die Überwachung des Berichtsspeichers in Erwägung ziehen, um Speicherplatz zu sparen.

n Konfigurieren Sie den lokalen Benutzer als Benutzer für Berichtsspeicher-Identitätswechsel in Workspace ONE UEM.

Sie können anstatt eines lokalen Benutzerkontos auch ein Domänendienstkonto verwenden.

Zuordnen ausreichender FestplattenkapazitätIhre spezifischen Speicheranforderungen können je nach der von Ihnen vorgesehenen Verwendung des Berichtsspeichers variieren. Stellen Sie sicher, dass der Berichtsspeicherort über ausreichend Speicherplatz für die Berichte verfügt, die Sie verwenden möchten.

Bei Speicherberichten hängen Ihre Speicheranforderungen von der Anzahl der Geräte, der Anzahl täglicher Berichte und der Häufigkeit ab, mit der Sie diese löschen. Planen Sie als Ausgangspunkt für Bereitstellungsgrößen von bis zu 250.000 Geräten, die etwa 200 tägliche Berichte ausführen, mindestens 50 GB ein. Passen Sie diese Zahlen an die tatsächlichen Gegebenheiten in Ihrem Einsatz an. Wenden Sie zudem diese Dimensionierung auf Ihren Konsolenserver an, wenn Sie Zwischenspeicherung aktivieren.

Aktivieren des BerichtsspeichersAktivieren Sie den Berichtsspeicher, um Ihre Berichte auf einem dedizierten Server zu speichern und die Leistung zu verbessern.

Verfahren

1 Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Installation > Berichte.

2 Setzen Sie Berichtsspeicherung aktiviert auf Aktiviert.

3 Konfigurieren Sie die Berichtsspeichereinstellungen.


Dateipfad für Berichtsspeicherung Geben Sie den Pfad, unter dem die Berichte gespeichert werden sollen, im folgenden Format ein: \\{Servername}\{Ordnername}, wobei der Ordnername der Name des freigegebenen Ordners ist, den Sie auf dem Server erstellt haben.

Berichtsspeicherung-Caching aktiviert

Wenn die Einstellung aktiviert ist, werden die Dateien beim erstmaligen Zugriff lokal auf dem DS-Server zwischengespeichert. Nachfolgende Anforderungen werden mithilfe der Datei, die auf dem DS-Server zwischengespeichert wurde, bedient, anstatt vom Dateispeicherort zu streamen.

Wenn Sie die Zwischenspeicherung aktivieren, sollten Sie daran denken, den benötigten Speicherplatz auf dem Server bereitzustellen. Weitere Informationen finden Sie unter Voraussetzungen für Berichtsspeicherung.

Berichtsspeicherung-Identitätswechsel akviviert

Durch die Aktivierung dieser Option wird ein Dienstkonto mit den ordnungsgemäßen Berechtigungen hinzugefügt.


VMware, Inc. 272


Berichtsspeicherung-Identitätswechsel Benutzernamen

Geben Sie den Benutzernamen eines gültigen Dienstkontos mit Lese-, Schreib- und Änderungsberechtigungen für das freigegebene Speicherverzeichnis ein.

Wird angezeigt, wenn Berichtsspeicherung-Identitätswechsel aktiviert aktiviert ist.

Berichtsspeicherung-Identitätswechsel Kennwort

Geben Sie das Kennwort eines gültigen Dienstkontos mit Lese-, Schreib- und Änderungsberechtigungen für das freigegebene Speicherverzeichnis ein.

Wird angezeigt, wenn Berichtsspeicherung-Identitätswechsel aktiviert aktiviert ist.

4 Wählen Sie die Schaltfläche Verbindung testen, um die Konfiguration zu testen


VMware, Inc. 273

Zertifikatsverwaltung 13Während die Mobilität sensibler Unternehmensinhalte zur Norm wird, steigt die Wahrscheinlichkeit unbefugter Zugriffe und bösartiger Bedrohungen. Auch wenn Sie Ihre geschäftlichen E-Mails, das WLAN und VPN (Virtual Private Network) mithilfe starker Kennwörter schützen, bleibt die Infrastruktur dennoch gefährdet. Ihre Infrastruktur ist anfällig für Brute-Force-Angriffe, Wörterbuchangriffe und Mitarbeiterfehler.

Für größeren Schutz sollten Sie die Implementierung digitaler Zertifikate zur Sicherung Ihrer Unternehmensressourcen erwägen. Zertifikate bieten ein Niveau an Stabilität, Sicherheit und Authentifizierung, mit dem Kennwörter nicht konkurrieren können. Mit Mobile Certificate Management von Workspace ONE UEM wird dieses Problem gelöst, indem es Sicherheit während des gesamten Lebenszyklus eines Geräts gewährleistet.

Widerrufen und Erneuern von digitalen ZertifikatenSie können Zertifikate einzeln oder in Gruppen widerrufen und erneuern. Verwenden Sie dazu die Erneuern oder Widerrufen digitaler Zertifikate.


n Erneuern oder Widerrufen digitaler Zertifikate

n Ressourcen zur Integration von Zertifikaten

Erneuern oder Widerrufen digitaler ZertifikateNach der Ausstellung können Sie in Workspace ONE UEM die bereitgestellten digitalen Zertifikate in der Listenansicht für Zertifikate in der Workspace ONE UEM Console verwalten. Administratoren können Zertifikate nach Gerät, Zertifizierungsstelle, Benutzer, Profil, Ausstellungsdatum usw. anzeigen und sortieren. Navigieren Sie zu Geräte > Zertifikate > Listenansicht.

Die Listenansicht für Zertifikate bietet eine Übersicht über alle eingesetzten Zertifikate sowie die Möglichkeit, Zertifikate erneuern oder widerrufen zu können, sei es einzeln oder massenweise. Finden und widerrufen Sie alle digitalen Zertifikate von einem deaktivierten Benutzer bzw. Gerät oder erneuern bzw. rotieren Sie sogar alle WLAN-Authentifizierungszertifikate vor einem aus Konformitätsgründen anberaumtem Ablaufdatum.

Verfahren

1 Starten Sie den Prozess über Geräte > Zertifikate > Listenansicht.

VMware, Inc. 274

2 Identifizieren und wählen Sie die digitalen Zertifikate aus, die Sie erneuern oder widerrufen möchten, indem Sie ein oder mehrere Kontrollkästchen aktivieren.

3 Wählen Sie die Schaltfläche „Aktion“ für die ausgewählten Zertifikate aus, auf die Sie die Aktion anwenden möchten.

n Erneuern

n Widerrufen

Ressourcen zur Integration von ZertifikatenSie können alle Zertifikatdokumente anhand des Namens auf docs.vmware.com finden.

n VMware AirWatch-Zertifikat-EOBO mit ADCS über DCOM – Richten Sie das Signaturzertifikat des Registrierungs-Agent mithilfe von ADCS über das DCOM-Protokoll ein und nutzen Sie die Microsoft-Funktion zum Registrieren von Zertifikaten im Auftrag anderer Benutzer (Enroll On Behalf Of Others, EOBO).

n VMware AirWatch-Zertifikatsauthentifizierung für Cisco AnyConnect – Richten Sie Ihre Cisco ASA Firewall mit Workspace ONE UEM zur automatischen Bereitstellung und Konfiguration des AnyConnect VPN mit externer ZS-Authentifizierung ein.

n VMware AirWatch-Zertifikatsauthentifizierung für Cisco IPSec VPN – Richten Sie Ihre Cisco ASA Firewall und Workspace ONE UEM zur automatischen Bereitstellung und Konfiguration des IPSec VPN mit externer ZS-Authentifizierung ein.

n VMware AirWatch-Zertifikatsauthentifizierung für EAS mit ADCS – Stellen Sie eine Vertrauensstellung zwischen Ihren Verzeichnisdiensten, Ihrer Zertifizierungsstelle und einem E-Mail-Server (nicht CAS) her.

n VMware AirWatch-Zertifikatsauthentifizierung für EAS mit NDES-MSCEP – Richten Sie den Microsoft Exchange Client Access Server (CAS) und Workspace ONE UEM ein, um einem Gerät zur Authentifizierung die Verbindung mit Microsoft Exchange ActiveSync (EAS) unter Verwendung eines Zertifikats zu ermöglichen.

n VMware AirWatch-Zertifikatsauthentifizierung für EAS mit SEG – Richten Sie Kerberos Delegation ein, um die EAS-Zertifikatsauthentifizierung mit dem Secure Email Gateway (SEG) zu ermöglichen.

n VMware Workspace ONE UEM-Integration mit Entrust IdentityGuard – Integrieren Sie den Entrust IdentityGuard-Dienst.

n VMware Workspace ONE UEM – Leitfaden zur Integration in GlobalSign – Integrieren Sie die GlobalSign-Dienste zur Ausstellung von Zertifikaten.

n VMware Workspace ONE UEM – Leitfaden zur Integration mit JCCH – Integrieren Sie die JCCH-Dienste zur Ausstellung von Zertifikaten.


VMware, Inc. 275

n VMware Workspace ONE UEM-Integration mit Microsoft ADCS über DCOM – Richten Sie die Microsoft-Zertifizierungsstelle für die direkte ZS über das DCOM-Protokoll ein. Nutzen Sie digitale Zertifikate durch Automatisierung des Erstellungs-, Erneuerungs- und Widerrufprozesses für Mobilgeräte.

n VMware Workspace ONE UEM-Integration mit Microsoft NDES über SCEP – Richten Sie die Microsoft-Zertifizierungsstelle zur direkten ZS-Integration in Workspace ONE UEM über das NDES/SCEP/MSECP-Protokoll ein.

n VMware Workspace ONE UEM-Integration mit OpenTrust CMS Mobile 2 – Integrieren Sie die OpenTrust CMS Mobile-Dienste.

n VMware Workspace ONE UEM – Leitfaden zur Integration in RSA-PKI – Führen Sie eine Integration in RSA-PKI zur Ausstellung von Zertifikaten durch.

n VMware Workspace ONE UEM-Integration mit SCEP – Verwenden Sie SCEP zur Nutzung von Zertifikaten als Teil Ihrer Workspace ONE UEM-Bereitstellung.

n VMware Workspace ONE UEM – Leitfaden zur Integration mit SecureAuth PKI – Integrieren Sie SecureAuth-Dienste zur Ausstellung von Zertifikaten.

n VMware Workspace ONE UEM – Leitfaden zur Integration mit Symantec MPKI – Integrieren Sie Symantec MPKI-Dienste.

n VMware AirWatch-Zertifikatsauthentifizierung für EAS mit SEG und TMG – Erörtert zwei Konfigurationen – TMG zu EAS-Server und TMG zu SEG zu EAS-Server und definiert die zum Einrichten der Zertifikatsauthentifizierung erforderlichen Konfigurationen.

n VMware Workspace ONE UEM-Sicherung mobiler Geräte mithilfe von Zertifikaten – Erfahren Sie mehr dazu, warum digitale Zertifikate auf mobilen Geräten mehr leisten, als nur interne Inhalte zu sichern.

n VMware Workspace ONE UEM – Übersicht über die Auswahl von Microsoft ZS-Bereitstellungsmodellen – Bietet Ihnen eine Übersicht über die verschiedenen Microsoft ZS-Bereitstellungsmodelle und hilft Ihnen bei der Wahl des richtigen Bereitstellungsmodells für Ihr Unternehmen.


VMware, Inc. 276

Benutzerdefinierte Attribute 14Benutzerdefinierte Attribute ermöglichen Ihnen, bestimmte Werte eines verwalteten Geräts zu extrahieren und an Workspace ONE UEM Console zurückzugeben. Sie können den Attributwert auch als Nachschlagewert für Geräte zuweisen.

Hinweis Benutzerdefinierte Attribute (und der Regelgenerator) sind nur in Organisationsgruppen auf Kundenebene konfigurierbar.

Datenbank der benutzerdefinierten AttributeBenutzerdefinierte Attribute werden entweder als XML-Datei auf dem Gerät oder in der Datenbank für benutzerdefinierte Attribute auf dem Workspace ONE UEM Console-Server gespeichert. Bei Verwendung der Datenbank werden benutzerdefinierte Attribute regelmäßig als Proben zu Workspace ONE UEM zu Zwecken der Anlagennachverfolgung von Schlüssel-/Wertpaaren gesendet. Wenn ein Eintrag in der Gerätedatenbank mit „Attribut erstellen = TRUE“ konfiguriert ist, übernimmt der Workspace ONE Intelligent Hub automatisch den Namen und den Wert, die mit dem benutzerdefinierten Attribut gesendet wurden. Das Schlüssel-/Wertpaar wird auf der Seite „Gerätedetails“ für das Gerät auf der Registerkarte „Benutzerdefinierte Attribute“ angezeigt.

Hinweis Benutzerdefinierte Attributwerte dürfen die folgenden Sonderzeichen nicht zurückgeben: / \ "*:; <> ? |. Wenn ein Skript einen Wert zurückgibt, der diese Zeichen enthält, wird der Wert nicht auf der Konsole gemeldet. Löschen Sie diese Zeichen in der Ausgabe des Skripts.


n Erstellen von benutzerdefinierten Attributen

n Importieren von benutzerdefinierten Attributen

n Zuweisen von Organisationsgruppen mithilfe von benutzerdefinierten Attributen

Erstellen von benutzerdefinierten AttributenErstellen Sie benutzerdefinierte Attribute und Werte für die Push-Übertragung auf Geräte. Diese Attribute und Werte steuern, wie die Produktregeln funktionieren. Benutzerdefinierte Attribute fungieren auch als Nachschlagewerte für bestimmte Geräte.

VMware, Inc. 277

Verfahren

1 Navigieren Sie zu Geräte > Provisioning > Benutzerdefinierte Attribute > Listenansicht.

2 Wählen Sie Hinzufügen und dann Attribut hinzufügen.

3 Geben Sie in der Registerkarte Einstellungen einen Attributnamen ein.

4 Geben Sie die optionale Beschreibung für den von dem Attribut identifizierten Inhalt ein.

5 Geben Sie den Namen der Anwendung ein, die das Attribut erfasst.

6 Wählen Sie Werte für Regelgenerator erfassen, um die Werte des Attributs im Dropdown-Menü des Regelgenerators verfügbar zu machen.

7 Klicken Sie auf Im Regelgenerator verwenden, wenn Sie das Attribut im Regelgenerator verwenden möchten.

8 Wählen Sie Persistieren, um die Entfernung des benutzerdefinierten Attributs aus der Workspace ONE UEM Console zu verhindern, es sei denn, es wird ausdrücklich von einem Administrator oder API-Aufruf entfernt.

Anderenfalls wird das Attribut wie gewohnt entfernt. Sollten Sie ein Benutzerdefiniertes Attribut löschen, das von einem Gerät an die UEM-Konsole gemeldet wurde, verbleibt ein persistentes Benutzerdefiniertes Attribut weiterhin in der UEM-Konsole. Persistente Benutzerdefinierte Attribute sind nur für Android- und Windows Rugged-Geräte verfügbar.

9 Wählen Sie Als Nachschlagewert benutzen, um das benutzerdefinierte Attribut überall in der UEM-Konsole als Nachschlagewert zu verwenden.

Sie können beispielsweise benutzerdefinierte Attribute als Teil eines Geräteanzeigenamens verwenden und so die Gerätebenennung vereinfachen.

10 Wählen Sie die Registerkarte Werte.

11 Klicken Sie auf Wert hinzufügen, um dem Benutzerdefinierten Attribut Werte hinzuzufügen. Wählen Sie anschließend Speichern.

Importieren von benutzerdefinierten AttributenDurch die Funktion für den Batch-Import von benutzerdefinierten Attributen können Sie massenweise benutzerdefinierte Attribute und entsprechende Werte in das System laden. In den bereitgestellten Vorlagen entspricht jede Spalte einem benutzerdefinierten Attribut und jede Zeile den verschiedenen Parametern.

Durch Vorlagen können Sie benutzerdefinierte Attribute auf unterschiedliche Weise und mit verschiedenen Informationen importieren.

Vorsicht Die Syntax der ersten Spalte sämtlicher Vorlagen muss exakt repliziert werden. Wenn nicht die richtige Syntax verwendet wird, kann dies zu Datenbankproblemen und zu einem Datenverlust führen.


VMware, Inc. 278

Vorlagentypenn Vorlage mit benutzerdefinierten Attributen – Ermöglicht Ihnen das Festlegen eines

benutzerdefinierten Attributs und der zugehörigen Einstellungen.

n Vorlage mit benutzerdefinierten Attributwerten – Ermöglicht Ihnen das Festlegen der Werte von vordefinierten benutzerdefinierten Attributen.

n Benutzerdefinierte Attributwerte von Geräten – Ermöglicht das Festlegen von Werten von vordefinierten benutzerdefinierten Attributen für einzelne Geräte basierend auf dem Wert des Querverweises (Xref). Durch Xref-Werte werden die einzelnen Geräte festgelegt, die den Wert von jedem benutzerdefinierten Attribut erhalten.

a Geräte-ID (die von Workspace ONE UEM zugewiesene Geräte-ID bei der Registrierung des Geräts)

b Seriennummer

c UDID

d MAC-Adresse

e IMEI-Nummer

Speichern Sie die Datei vor dem Import im CSV-Format.

Zuweisen von Organisationsgruppen mithilfe von benutzerdefinierten AttributenKonfigurieren Sie Regeln, die steuern, wie Geräte nach der Registrierung Organisationsgruppen zugewiesen werden. Sie können nur eine Zuweisungsregel für Benutzerdefinierte Attribute für jede von Ihnen ausgeführte Organisationsgruppe erstellen.


VMware, Inc. 279

Verfahren

1 Stellen Sie sicher, dass Sie sich aktuell in einer kundenspezifischen Organisationsgruppe befinden.

2 Navigieren Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Benutzer > Allgemein > Erweiterungen.

3 Stellen Sie Regeln zur Gerätezuweisung auf Aktiviert.

4 Legen Sie den Typ auf Organisationsgruppe nach Benutzerdefiniertem Attribut fest.


6 Navigieren Sie zu Geräte > Provisioning > Benutzerdefinierte Attribute > Listenansicht > Hinzufügen > Attribut hinzufügen und erstellen Sie ein benutzerdefiniertes Attribut, falls Sie das nicht bereits getan haben.

Weitere Informationen finden Sie unter Erstellen von benutzerdefinierten Attributen.

7 Navigieren Sie zu Geräte > Provisioning > Benutzerdefinierte Attribute > Zuweisungsregeln für benutzerdefinierte Attribute > Regel hinzufügen.

8 Wählen Sie die Organisationsgruppe, der die Regel Geräte zuweist.

9 Wählen Sie Regel hinzufügen zur Konfiguration der Logik der Regel.


Attribut/Anwendung

Dieses benutzerdefinierte Attribut bestimmt die Gerätezuweisung.

Operator Dieser Operator vergleicht das Attribut mit dem Wert, um festzustellen, ob das Gerät für das Produkt geeignet ist.

Sollte mehr als ein Operator pro Regel verwendet werden, müssen Sie einen logischen Operator zwischen jedem Operator einschließen.

Hinweis Es gibt eine Beschränkung auf den Operatoren „kleiner als“ (<) und „größer als“ (>). Zu dieser Einschränkung gehören die Varianten „kleiner oder gleich“ und „größer oder gleich“. Diese Operatoren sind im engeren Sinne mathematisch. Das bedeutet, dass sie sich auf den Vergleich von Zahlen einschließlich Grenzzahlen auswirken. Sie können nicht zum Vergleich von nicht numerischem Textzeichenfolgen verwendet werden. Obwohl es üblich ist, Softwareversionen mithilfe von Zahlen darzustellen, die ein gestaffeltes System zur Bezeichnung von Versionen darstellen (z. B. 6.14.2), gelten diese Bezeichnungen nicht als Zahlen, da sie über mehr als eine Dezimalstelle verfügen. Bei diesen Bezeichnungen handelt es sich eigentlich um Textzeichenfolgen. Aus diesem Grund kann eine Zuweisungsregel, die Softwareversionsnummern mit mehreren Dezimalstellen mit Operatoren wie „größer“ oder „kleiner“ (und deren Varianten) vergleicht, zu Fehlermeldungen führen.

Wert Alle Werte von allen zutreffenden Geräten werden hier für das Attribut, das für die Regel ausgewählt wurde, aufgelistet.

Logischen Operator hinzufügen

Wählen Sie diese Funktion zur Anzeige eines Dropdown-Menüs von logischen Operatoren, wie UND, ODER, NICHT und Klammern. So können komplexere Regeln erstellt werden.

10 Wählen Sie Speichern nach der Konfiguration der Logik der Regel.


VMware, Inc. 280

Ergebnisse

Wenn sich ein Gerät mit einem zugewiesenen Attribut registriert, weist die Regel das Gerät der konfigurierten Organisationsgruppe zu.


VMware, Inc. 281

vmware · 2020-03-02 · inhalt 1 verwalten von geräten 10 geräte-dashboard 10...

Documents