Wechseln zu:Navigation, Suche
Wiki































De.png
En.png
Fr.png









Android Zero-Touch konfigurieren

Letzte Anpassung zur Version: 1.16

Neu:
  • Aktualisierungen
Zuletzt aktualisiert: 
    11.2024
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Aufruf: portal.securepoint.cloud  Mobile Security Einstellungen

Zero-Touch

Android Zero-Touch bietet die Möglichkeit Geräte

  • ohne physischen Kontakt zum Administrator
  • und ohne Scannen eine QR-Codes in ein MDM aufzunehmen.
  • Geräte werden dabei allein anhand ihrer Seriennummer (Wifi-only) oder ihrer IMEI identifiziert.
  • Es ist damit nicht möglich, das Gerät ohne MDM in Betrieb zu nehmen.

Ablauf

Gerät bei registriertem Händler für Zero-Touch-Geräte bestellen

  • Es sind nur bestimmte Geräte für Android Zero-Touch geeignet: Liste der Geräte
  • Diese Geräte müssen zwingend bei bestimmten Händlern erworben werden, die die Seriennummern oder IMEIs bei Google für Zero-Touch registrieren können.
    Liste der Händler für Deutschland | Liste der Händler für Österreich | Liste der Händler für die Schweiz
  • Dem Händler muss bei der Bestellung eine Gmail-Adresse und ein dazugehöriger Firmenname mitgeteilt werden.
    Einer Securepoint Unified Security Instanz können mehrere Gmail-Adressen zugeordnet werden
    Jeder Gmail-Adresse kann nur ein Firmenname zugeordnet werden.
  • Verknüpfung mit Zero-Touch herstellen

    Securepoint Unified Security Tenant (Endkunde) mit einer Gmail Adresse verknüpfen, die in Googles Zero-Touch-Portal registriert ist






























    Voraussetzungen
    • Eine Gmail-Adresse,
    • die bei der Bestellung des Gerätes an den Händler übermittelt wurde
  • Um ungewollte Nebeneffekte zu vermeiden, sollte unbedingt ein neues Konto angelegt werden.

    Es empfiehlt sich hierbei ein Namensschema zu verwenden: mdm.$Kundenname@gmail.com

  • notempty
    Wird das Konto von Google gesperrt oder vom Inhaber gelöscht, werden sämtliche Geräte zurückgesetzt.
    Es muss unbedingt darauf geachtet werden, daß dieses Google-Konto auf gar keinen Fall gelöscht wird, oder daß die GMail-Adresse gesperrt wird.



    Konfiguration

    Konfiguration im Securepoint Mobile Security Portal unter  Mobile Security Einstellungen des jeweiligen Endkunden/Tenants im Abschnitt  Android Zero Touch

    Schritt 1: Dialog: Hinzufügen
    Schritt 1: Dialog: Hinzufügen
     Hinzufügen/Link Ruft den Dialog zum Hinzufügen einer Verknüpfung auf
    Google-Zero-touch.png
    Schritt 2
    Zugangsdaten für Google-Konto
    Google-Zero-touch-Zugriff.png
    Schritt 3
    Zugriffsberechtigung erteilen
  • Es erfolgt eine Sicherheitswarnung von Google per E-Mail: "Securepoint Unified Security wurde Zugriff auf Ihr Google-Konto gewährt"












  • Schritt 2: Anmeldedaten
    Schritt 2: Anmeldedaten
    Zugangsdaten zu dem Google-Konto, daß bei der Bestellung von Mobil-Geräten beim Händler hinterlegt wurde eintragen
    Schritt 3: Zugriffsberechtigung erteilen
    Schritt 3: Zugriffsberechtigung erteilen

    Zugriffsberechtigung erteilen, damit das Portal benötigt auf das Google-Konto zuzugreifen kann

  • Es erfolgt eine Sicherheitswarnung von Google per E-Mail: "Securepoint Unified Security wurde Zugriff auf Ihr Google-Konto gewährt"
  • Schritt 4: Abschließen
    Schritt 4: Abschließen
     Bestätigen Das Google Benutzerkonto wurde erfolgreich für die Zero-Touch Konfiguration hinzugefügt. Abschluss mit der Schaltfläche Bestätigen Google-Zero-touch-hinzugefügt.png
    Abschluss mit der Schaltfläche Bestätigen
    Ergebnis
    Ergebnis
    Mit Zero-Touch verknüpftes Google Konto MSP v1.16 Einstellungen Zero-touch.png
    Zero-Touch Eintrag im Menü Einstellungen
    MS v1.16 Gerät Zerotouch nicht konfiguriert.png

    Hat der Händler die IMEI bzw. Seriennummer bereits in Googles Zero-Touch-Portal hinterlegt, taucht das Gerät jetzt bereits im Menü  Mobile Security Android Geräte mit einem Tag Zero Touch in der Kopfzeile der Geräte-Kachel auf.


    Enrollment Token erstellen

    MS 1.31 Android Geräte Token Zero-Touch.png
    Dialogfenster zur Erstellung eines Enrollment Tokens für Zero Touch

    Es muss ein Enrollment Token für die Registrierung von Zero Touch Geräten erstellt werden.
    Dafür wird ein Android-Profil benötigt. Entweder kann ein bestehendes genutzt werden, oder ein neues Profil wird angelegt. Weitere Informationen dazu sind im Wiki-Artikel zu Android-Profilen zu finden.
    Die nächsten Schritte:

    •  Mobile Security Android Geräte Schaltfläche  Neues Gerät anmelden
    • Im Dialogfenster:
      • Möchten Sie einen vorhandenen Registrierungstoken verwenden? Erstellen Sie einen neuen Registrierungstoken
      • Profil das gewünschte Profil
      • Lizenz die entsprechende Lizenz
      • Code nutzen    notempty
        Das muss aktiviert werden, sonst ist der Registrierungstoken für Zero Touch nicht nutzbar!
      • Weitere Optionen kann beliebig konfiguriert werden
      •  Registrierungstoken erstellen

    Das so erstellte Enrollment Token kann jetzt für Zero Touch verwendet werden.


    Zero-Touch Gerät registrieren































    Registrierung im Menü  Mobile Security Android Zero-Touch
    Entweder

    • Gerät einer bestehende Konfiguration hinzufügen:
      • Konfiguration bearbeiten: Gerätekachel anklicken (oder über das Hamburger-Menü in der Gerätekachel oben rechts /  Bearbeiten)
      • ggf. neues, gültiges Enrollmenttoken wählen
        Enrollmenttoken sind maximal 30 Tage lang gültig
      • Gerät(e) anhand der IMEI oder Seriennummer auswählen
      • Angaben speichern

    oder

    • mit der Schaltfläche  Konfiguration hinzufügen
      • Enrollmenttoken wählen
      • Kunde wählen
      • Weitere Angaben vervollständigen (Unternehmensname, Kontaktdaten…)
      • Gerät(e) anhand der IMEI oder Seriennummer auswählen
      • Angaben speichern
  • Sobald das Gerät erstmalig bzw. nach einem Werksreset mit dem Internet verbunden wird, wird das Profil auf das Gerät gepusht und die Verbindung zum MDM hergestellt.
    Das Enrollment auf dem Gerät selbst ist, je nach Konfiguration, genau so, wie in den Abschnitten COPE, COBU oder COSU beschrieben.
    Es entfällt lediglich das Scannen des Enrollment Tokens!
  • Name TTT-Point Zero Touch Name der Konfiguration MSP v1.16 Zero-Touch Konfiguration hinzufügen.png
    Menü zum Hinzufügen von Zero-Touch Geräten
    Enrollmenttoken
    Profil: Gewähltes Profil | Token abCD12 Der ausgewählte Enrollmenttoken (wie im Menü Geräte / Neues Gerät anmelden erzeugt) wird auf alle Geräte angewandt, die mit dieser Konfiguration enrolled werden. notempty
    Aus Sicherheitsgründen für das ZeroTouch Enrollment können ausschließlich Enrollmenttokens ausgewählt werden, die mit einer PIN versehen worden sind.
    Kunde SecurepointCustomer Die Bezeichnung für den Kunden, so wie sie an den Geräte-Händler übermittelt wurde.
    Wurden mehrere Gmail-Adressen mit dem Zero-Touch-Portal verknüpft, können hier verschiedene Bezeichnungen ausgewählt werden.
    Standard Definiert ob diese Konfiguration der Standard ist oder nicht.
    Bei Aktivierung    werden neue Zero-Touch Geräte automatisch dieser Konfiguration hinzugefügt, sofern keine Andere angegeben wird
    Hinweis: Es sollte mindestens eine Konfiguration als Standard definiert sein.
    Unternehmen TTT-Point Frei wählbare Bezeichnung für das Unternehmen, dem dieses Gerät zugeordnet werden soll.
    E-Mail admin@anyideas.de Kontakt-E-Mail-Adresse
    Wird im Laufe des Einrichtungsprozesses auf dem Handy angezeigt, wenn auf dem Bildschirm "Dieses Gerät gehört deiner Organisation" auf IT-Administrator getippt wird.
    Telefonnummer 01234-56789 Kontakt-Telefonnummer Anzeige s.o.
    Benutzerdefinierte Nachricht Willkommen bei TTT-Point Wird während des Gerätesetups auf dem Display angezeigt
    Geräte 123456789012345 Geräten kann diese Konfiguration anhand ihrer IMEI oder Seriennummer zugeordnet werden
  • Das Feld ist nur aktiv, wenn auch ein Kunde ausgewählt wurde
  •  Speichern Speichert die Konfiguration
    Zero-Touch Konfiguration mit zugeordnetem Gerät MSP v1.16 Zero-Touch Konfiguration.png

    Abschluss durch Benutzer

  • Der Endanwender muss nun das Gerät erstmalig einschalten und eine Internetverbindung herstellen.
    Die Konfiguration aus dem Profil wird anschließend automatisch auf das Gerät angewendet.