MS/enrollment/Zero-touch: Unterschied zwischen den Versionen

Aktuelle Version vom 26. November 2024, 09:14 Uhr

Android Zero-Touch konfigurieren

Letzte Anpassung zur Version: 1.16

Neu:

Detailliertere Beschreibung zur Erstellung von Enrollment Tokens

Aktualisierungen

Zuletzt aktualisiert:

11.2024

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

Zero-Touch

Android Zero-Touch bietet die Möglichkeit Geräte

ohne physischen Kontakt zum Administrator
und ohne Scannen eine QR-Codes in ein MDM aufzunehmen.
Geräte werden dabei allein anhand ihrer Seriennummer (Wifi-only) oder ihrer IMEI identifiziert.
Es ist damit nicht möglich, das Gerät ohne MDM in Betrieb zu nehmen.

Ablauf

Gerät bei registriertem Händler für Zero-Touch-Geräte bestellen

Es sind nur bestimmte Geräte für Android Zero-Touch geeignet: Liste der Geräte

Diese Geräte müssen zwingend bei bestimmten Händlern erworben werden, die die Seriennummern oder IMEIs bei Google für Zero-Touch registrieren können.
Liste der Händler für Deutschland | Liste der Händler für Österreich | Liste der Händler für die Schweiz

Dem Händler muss bei der Bestellung eine Gmail-Adresse und ein dazugehöriger Firmenname mitgeteilt werden.
Einer Securepoint Unified Security Instanz können mehrere Gmail-Adressen zugeordnet werden
Jeder Gmail-Adresse kann nur ein Firmenname zugeordnet werden.

Verknüpfung mit Zero-Touch herstellen

Securepoint Unified Security Tenant (Endkunde) mit einer Gmail Adresse verknüpfen, die in Googles Zero-Touch-Portal registriert ist

Voraussetzungen

Eine Gmail-Adresse,
die bei der Bestellung des Gerätes an den Händler übermittelt wurde

Um ungewollte Nebeneffekte zu vermeiden, sollte unbedingt ein neues Konto angelegt werden.

Es empfiehlt sich hierbei ein Namensschema zu verwenden: mdm.$Kundenname@gmail.com

notempty

Wird das Konto von Google gesperrt oder vom Inhaber gelöscht, werden sämtliche Geräte zurückgesetzt.
Es muss unbedingt darauf geachtet werden, daß dieses Google-Konto auf gar keinen Fall gelöscht wird, oder daß die GMail-Adresse gesperrt wird.

Konfiguration

Konfiguration im Securepoint Mobile Security Portal unter Mobile Security Einstellungen des jeweiligen Endkunden/Tenants im Abschnitt Android Zero Touch

Schritt 1: Dialog: Hinzufügen Schritt 1: Dialog: Hinzufügen
Hinzufügen/Link	Ruft den Dialog zum Hinzufügen einer Verknüpfung auf	Schritt 2 Zugangsdaten für Google-Konto Schritt 3 Zugriffsberechtigung erteilen Es erfolgt eine Sicherheitswarnung von Google per E-Mail: "Securepoint Unified Security wurde Zugriff auf Ihr Google-Konto gewährt"
Schritt 2: Anmeldedaten Schritt 2: Anmeldedaten
Zugangsdaten zu dem Google-Konto, daß bei der Bestellung von Mobil-Geräten beim Händler hinterlegt wurde eintragen
Schritt 3: Zugriffsberechtigung erteilen Schritt 3: Zugriffsberechtigung erteilen
Zugriffsberechtigung erteilen, damit das Portal benötigt auf das Google-Konto zuzugreifen kann Es erfolgt eine Sicherheitswarnung von Google per E-Mail: "Securepoint Unified Security wurde Zugriff auf Ihr Google-Konto gewährt"

Schritt 4: Abschließen Schritt 4: Abschließen
Bestätigen	Das Google Benutzerkonto wurde erfolgreich für die Zero-Touch Konfiguration hinzugefügt. Abschluss mit der Schaltfläche Bestätigen		Abschluss mit der Schaltfläche Bestätigen
Ergebnis Ergebnis
Mit Zero-Touch verknüpftes Google Konto			Zero-Touch Eintrag im Menü Einstellungen

MS v1.16 Gerät Zerotouch nicht konfiguriert.png

Hat der Händler die IMEI bzw. Seriennummer bereits in Googles Zero-Touch-Portal hinterlegt, taucht das Gerät jetzt bereits im Menü Mobile Security Android Geräte mit einem Tag Zero Touch in der Kopfzeile der Geräte-Kachel auf.

Enrollment Token erstellen

MS 1.31 Android Geräte Token Zero-Touch.png

Dialogfenster zur Erstellung eines Enrollment Tokens für Zero Touch

Es muss ein Enrollment Token für die Registrierung von Zero Touch Geräten erstellt werden.
Dafür wird ein Android-Profil benötigt. Entweder kann ein bestehendes genutzt werden, oder ein neues Profil wird angelegt. Weitere Informationen dazu sind im Wiki-Artikel zu Android-Profilen zu finden.
Die nächsten Schritte:

Mobile Security Android Geräte Schaltfläche Neues Gerät anmelden
Im Dialogfenster:
- Möchten Sie einen vorhandenen Registrierungstoken verwenden? Erstellen Sie einen neuen Registrierungstoken
- Profil das gewünschte Profil
- Lizenz die entsprechende Lizenz
- Code nutzen notempty
  Das muss aktiviert werden, sonst ist der Registrierungstoken für Zero Touch nicht nutzbar!
- Weitere Optionen kann beliebig konfiguriert werden
- Registrierungstoken erstellen

Das so erstellte Enrollment Token kann jetzt für Zero Touch verwendet werden.

Zero-Touch Gerät registrieren

Registrierung im Menü Mobile Security Android Zero-Touch
Entweder

Gerät einer bestehende Konfiguration hinzufügen:
- Konfiguration bearbeiten: Gerätekachel anklicken (oder über das Hamburger-Menü in der Gerätekachel oben rechts / Bearbeiten)
- ggf. neues, gültiges Enrollmenttoken wählen
  Enrollmenttoken sind maximal 30 Tage lang gültig
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern

oder

mit der Schaltfläche Konfiguration hinzufügen
- Enrollmenttoken wählen
- Kunde wählen
- Weitere Angaben vervollständigen (Unternehmensname, Kontaktdaten…)
- Gerät(e) anhand der IMEI oder Seriennummer auswählen
- Angaben speichern

Sobald das Gerät erstmalig bzw. nach einem Werksreset mit dem Internet verbunden wird, wird das Profil auf das Gerät gepusht und die Verbindung zum MDM hergestellt.
Das Enrollment auf dem Gerät selbst ist, je nach Konfiguration, genau so, wie in den Abschnitten COPE, COBU oder COSU beschrieben.
Es entfällt lediglich das Scannen des Enrollment Tokens!

Name	TTT-Point Zero Touch	Name der Konfiguration	Menü zum Hinzufügen von Zero-Touch Geräten
Enrollmenttoken	Profil: Gewähltes Profil \| Token abCD12	Der ausgewählte Enrollmenttoken (wie im Menü Geräte / Neues Gerät anmelden erzeugt) wird auf alle Geräte angewandt, die mit dieser Konfiguration enrolled werden. notempty Aus Sicherheitsgründen für das ZeroTouch Enrollment können ausschließlich Enrollmenttokens ausgewählt werden, die mit einer PIN versehen worden sind.
Kunde	SecurepointCustomer	Die Bezeichnung für den Kunden, so wie sie an den Geräte-Händler übermittelt wurde. Wurden mehrere Gmail-Adressen mit dem Zero-Touch-Portal verknüpft, können hier verschiedene Bezeichnungen ausgewählt werden.
Standard		Definiert ob diese Konfiguration der Standard ist oder nicht. Bei Aktivierung werden neue Zero-Touch Geräte automatisch dieser Konfiguration hinzugefügt, sofern keine Andere angegeben wird Hinweis: Es sollte mindestens eine Konfiguration als Standard definiert sein.
Unternehmen	TTT-Point	Frei wählbare Bezeichnung für das Unternehmen, dem dieses Gerät zugeordnet werden soll.
E-Mail	admin@anyideas.de	Kontakt-E-Mail-Adresse Wird im Laufe des Einrichtungsprozesses auf dem Handy angezeigt, wenn auf dem Bildschirm "Dieses Gerät gehört deiner Organisation" auf IT-Administrator getippt wird.
Telefonnummer	01234-56789	Kontakt-Telefonnummer Anzeige s.o.
Benutzerdefinierte Nachricht	Willkommen bei TTT-Point	Wird während des Gerätesetups auf dem Display angezeigt
Geräte	123456789012345	Geräten kann diese Konfiguration anhand ihrer IMEI oder Seriennummer zugeordnet werden Das Feld ist nur aktiv, wenn auch ein Kunde ausgewählt wurde
Speichern		Speichert die Konfiguration

Zero-Touch Konfiguration mit zugeordnetem Gerät

Abschluss durch Benutzer

Der Endanwender muss nun das Gerät erstmalig einschalten und eine Internetverbindung herstellen.
Die Konfiguration aus dem Profil wird anschließend automatisch auf das Gerät angewendet.

@@ Zeile 4: / Zeile 4: @@
 {{:MS/enrollment/Zero-touch.lang}}
-</div>{{TOC2}}
+{{var	| neu--Aktualisierung
-{{Header|1.7 <small>03.2022</small>
+		| Aktualisierungen
+		| Updates }}
+{{var	| neu--Enrollment Token erstellen
+		| Detailliertere Beschreibung zur [[#Enrollment_Token_erstellen | Erstellung von Enrollment Tokens]]
+		| }}
+</div>{{Select_lang}}{{TOC2|limit=2}}
+{{Header|1.16|
+* {{#var:neu--Enrollment Token erstellen}}
+| vorher=
+* {{#var:neu--Aktualisierung}}
+| vorher-ver= 1.16 (07.2023)
+| zuletzt= 11.2024
+|| {{Menu|ms||cog|{{#var:Einstellungen}} }}
 }}
+----
 === {{#var:Zero-touch}} ===
+<div class="einrücken">
 {{#var:Zero-touch--desc}}
+</div>
-== {{#var:Ablauf}} ==
+----
-=== {{#var:Ablauf Geräte bestellen}} ===
+=== {{#var:Ablauf}} ===
+<div class="einrücken">
+==== {{#var:Ablauf Geräte bestellen}} ====
 <div class="Einrücken">
 <li class="list--element__alert list--element__warning Hinweis2">{{#var:Ablauf-Geräte--Hinweis}}</li>
@@ Zeile 21: / Zeile 39: @@
 </div>
-=== {{#var:Portal verknüpfen}} ===
+==== {{#var:Portal verknüpfen}} ====
 <div class="Einrücken">
 {{#var:Portal verknüpfen--desc}}
 {{:MS/enrollment/Zero-touch-connect}}
 {{pt3|{{#var:Unkonfiguriertes Gerät--Bild}} | {{#var:Unkonfiguriertes Gerät--cap}} }}
 {{#var:Unkonfiguriertes Gerät--desc}}
 </div><br clear=all>
-=== {{#var:Enrollment Token erstellen}} ===
+==== {{#var:Enrollment Token erstellen}} {{Hinweis-box||gr|1.32|status=update}} ====
 <div class="Einrücken">
+{{Bild|{{#var:Enrollment Token erstellen--Bild}}|{{#var:Enrollment Token erstellen--cap}}|class=Bild-t}}
 {{#var:Enrollment Token erstellen--desc}}
 </div>
+<br clear=all>
-=== {{#var:Zero-touch-registrieren}} ===
+==== {{#var:Zero-touch-registrieren}} ====
 <div class="Einrücken">
 {{:MS/enrollment/enrollment-Zero-Touch}}
+</div>
 </div>

Aktuelle Version vom 26. November 2024, 09:14 Uhr

Zero-Touch

Ablauf

Gerät bei registriertem Händler für Zero-Touch-Geräte bestellen

Verknüpfung mit Zero-Touch herstellen

Voraussetzungen

Konfiguration

Schritt 1: Dialog: Hinzufügen

Schritt 2: Anmeldedaten

Schritt 3: Zugriffsberechtigung erteilen

Schritt 4: Abschließen

Ergebnis

Enrollment Token erstellen

Zero-Touch Gerät registrieren