vmware airwatch mobile device management guide device management... · hauptmenü...

Leitfaden für VMware AirWatch MobileDevice ManagementVerwalten von Mobilgeräten in Ihrer OrganisationAirWatch V9.1

Möchten Sie Feedback zur Dokumentation geben? Senden Sie unter support.air-watch.com ein Supportticket bezüglicheines Feedbacks zur Dokumentation über den Supportassistenten.Copyright©2017 VMware, Inc. All rights reserved. This product is protected by copyright and intellectual property laws in the United States and other countries as well as byinternational treaties. VMware products are covered by one ormore patents listed at http://www.vmware.com/go/patents.

VMware is a registered trademark or trademark of VMware, Inc. in the United States and other jurisdictions. All othermarks and names mentioned hereinmay be trademarks of theirrespective companies.

Leitfaden für VMware AirWatchMobile DeviceManagement | v.2017.06 | Juni 2017

Copyright©2017 VMware, Inc. All rights reserved.

1

http://support.air-watch.com/

InhaltsverzeichnisKapitel 1: Übersicht 6

Neuerungen 7Einführung in Mobile Device Management (MDM) 8

Kapitel 2: Erste Schritte mit AirWatch 10

Übersicht über die AirWatch Konsole 11Assistent „Erste Schritte“ 19

Kapitel 3: Umgebungseinrichtung 21

Übersicht über die Umgebungseinrichtung 22Anmelden bei der AirWatch Konsole 22APNs-Zertifikate 22Datenschutz und Datenerfassung 23Nutzungsbedingungen 29Konsolen-Branding 32Eingeschränkte Konsolenaktionen 33Weitere Unternehmenssysteme zur Integration 36

Kapitel 4: Anwender- und Administratorkonten 38

Übersicht über Anwender- und Administratorkonten 39Anwenderauthentifizierungstypen 39Standardanwenderkonten 45Verzeichnisbasierte Anwenderkonten 48Übersicht über Listenansichten für Anwenderkonten 51Batch-Importfunktion 54Administratorkonten 56

Kapitel 5: Rollenbasierter Zugriff 60

Übersicht über den rollenbasierten Zugriff 61Standard- und anwenderdefinierte Rollen 61Anwenderrollen 64Administratorrollen 65

2



Kapitel 6: Gruppen 72

Übersicht über Zuweisungsgruppen 73Übersicht über Organisationsgruppen 75Übersicht über Smartgruppen 79Übersicht über Anwendergruppen 85Übersicht über Administratorgruppen 94Anzeigen von Zuweisungen 97

Kapitel 7: Geräteregistrierung 99

Übersicht über Geräteregistrierung 100Standardregistrierung vs. Registrierung durch Verzeichnisdienste 104BYOD-Registrierung (Bring Your Own Device) 107Eigenständige Registrierung vs. Geräte-Staging 110Geräteeintragung 115Konfigurieren von Registrierungsoptionen 123Geräteeinträge auf Blacklists bzw. Whitelists 129Zusätzliche Registrierungsrestriktionen 130Registrierung über AutoErmittlung 135

Kapitel 8: Gemeinschaftsgeräte 137

Übersicht über Gemeinschaftsgeräte 138Festlegen der Gemeinschaftsgerätehierarchie 139

Kapitel 9: Gerätezuweisungen 140

Übersicht über Gerätezuweisungen 141Aktivieren von Gerätezuweisungen 141Festlegen von Regeln zur Gerätezuweisung oder eines Netzwerkbereichs 142

Kapitel 10: Profile und Ressourcen 144

Übersicht über Geräteprofile 145Hinzufügen von allgemeinen Profileinstellungen 145Listenansicht für Geräteprofile 147Bearbeiten von Geräteprofilen 151Übersicht über Ressourcen 152

3



Gerätezuweisung anzeigen 173Übersicht über Konformitätsprofile 174Geofences 175Zeitpläne 177

Kapitel 11: Konformitätsrichtlinien 179

Übersicht über Konformitätsrichtlinien 180Listenansicht für Konformitätsrichtlinien 180Regeln für Konformitätsrichtlinien nach Plattform 183Hinzufügen einer Konformitätsrichtlinie 187

Kapitel 12: Gerätetags 192

Übersicht über Gerätetags 193Filtern von Geräten nach Tags 193Erstellen eines neuen Tags 193Hinzufügen von Tags 194Verwalten von Tags 195

Kapitel 13: Verwalten von Geräten 197

Übersicht über die Verwaltung von Geräten 198Geräte-Dashboard 198Gerätelistenansicht 199Gerätedetails 205Geräteaktionen nach Plattform 209Registrierungsstatus 215Wipe-Schutz 218AirWatch Hub 220Berichte und Analysen 223

Kapitel 14: Zertifikatsverwaltung 224

Übersicht über die Zertifikatsverwaltung 225Listenansicht für digitale Zertifikate 225Ressourcen zur Integration von Zertifikaten 226

Kapitel 15: Anwenderdefinierte Attribute 228

4



Übersicht über anwenderdefinierte Attribute 229Erstellen von anwenderdefinierten Attributen 229Importieren von anwenderdefinierten Attributen 230Zuweisen von Organisationsgruppen durch anwenderdefinierte Attribute 231

Kapitel 16: Self-Service Portal 233

Übersicht über das Self-Service Portal 234Konfigurieren der Standardanmeldeseite des SSP 234Seite „Eigene Geräte“ im SSP 234Remoteaktionen im SSP 237Self-Service Portal – Aktionsmatrix 239VMware Content Locker – Optionen 240

Zugreifen auf andere Dokumente 241

5



Kapitel 1:Übersicht

Neuerungen 7

Einführung in Mobile Device Management (MDM) 8

6



NeuerungenDer Leitfaden für Mobile DeviceManagement wurdemit den neuesten Funktionen und Features von AirWatch V9.1 aufden aktuellen Stand gebracht. In dieser Liste sind die neuen Features samt entsprechenden Abschnitten undSeitenzahlen aufgeführt.

l Sie können den Authentifizierungsschutzmechanismus CAPTCHA nun bei der Anmeldeaufforderung deaktivieren.Denken Sie daran, dass die Deaktivierung von CAPTCHA die gesamte Sicherheit herabsetzen kann. WeitereInformationen finden Sie unter Sicherheits-PIN auf Seite 11.

l Die Anmeldeseite des Self-Service Portals (SSP) wurde erneuert und die Anpassung des Hintergrundbilds der SSP-Anmeldeseite nun ermöglicht. Weitere Informationen finden Sie unter Übersicht über das Self-Service Portal auf Seite234.

l Es wurden vier Admin-Konsolenbenachrichtigungen hinzugefügt, mit denen Sie stets auf dem Laufenden bleiben undrasch auf Änderungen in Ihrer Geräteflotte reagieren können. Weitere Informationen finden Sie unterBenachrichtigungen der AirWatch Konsole auf Seite 16 und Konfigurieren von Benachrichtigungseinstellungen aufSeite 17.

o Anwendungsentfernungsschutz –Wenn die von Ihnen als kritisch eingestuften Anwendungen weiterhin vonIhren Geräten entfernt werden, können Sie festlegen, dass Sie benachrichtigt werden, wenn die Anzahl dieserEntfernungen den von Ihnen definierten Schwellenwert überschreiten.

o Export der Listenansicht – Je nach Anzahl der Anwender und Geräte in Ihrer Liste kann der Export der Geräte-und Anwenderlistenansicht als CSV-Datei eineWeile dauern. Durch diese Benachrichtigung erfahren Sie, wannder Vorgang abgeschlossen ist und die Überprüfung gestartet werden kann.

o Zusammenführung von Anwendergruppen steht aus –Wenn Sie die Einstellung „Änderungen automatischzusammenführen“ für Ihre Anwendergruppe deaktiviert haben, müssen Sie jedes Mal die Genehmigung desAdministrators einholen, wenn Datenbankänderungen initiiert werden. Durch diese Benachrichtigung erfahrenSie, wann AirWatch den Vorgang der Zusammenführung starten kann.

o AutoUpdate der VPP-Anwendung –Warnungen mit der Priorität „Hoch“ informieren Sie darüber, wenn einemitdem Apple Programm für Volumenlizenzen (VPP) installierte Anwendung eine aktualisierte Version aufweist, dieSie installieren können.

l Die Genauigkeit von Lizenzinformationen wurde erhöht, indem der Status anstelle des Ablaufdatums auf demKennzeichen „Aktiv/Inaktiv“ basiert wurde. Das Lizenzmodell wird nun präzise dargestellt und kann auf Anwendernoder Geräten basieren. Weitere Informationen finden Sie unter Admin-Bereichs-Dashboard auf Seite 222.

Kapitel 1: Übersicht

7



Einführung in Mobile Device Management (MDM)Mobilgeräte sind wertvolle Instrumente für Unternehmen. Sie ermöglichen Mitarbeitern sofortigen Zugang zu Ihreninternen Inhalten und Ressourcen. Jedoch kann es angesichts der Vielfalt an mobilen Plattformen, Betriebssystemen undVersionen zu Schwierigkeiten bei der Verwaltung einer Reihe von Geräten kommen. VMware AirWatch®Mobile DeviceManagement™ (MDM) löst dieses Problem, indem es Ihnen ermöglicht, sämtlicheMobilgerätetypen im Unternehmen zukonfigurieren, zu sichern, zu überwachen und zu verwalten.

Vorteile von Mobile Device Management

Mobile DeviceManagement bietet eine elegante Lösung für Sicherheitsbedenken und Zugriffsmöglichkeiten, die mitUnternehmensmobilität einhergehen.

l Verwalten Sie großeMobilgerätebereitstellungen von einer einzigen Konsole aus.

l Registrieren Sie Geräte in Ihrer Unternehmensumgebung schnell und mühelos.

l Konfigurieren und aktualisieren Sie Geräteeinstellungen Over-the-Air.

l Setzen Sie Sicherheits- und Konformitätsrichtlinien durch.

l Sichern Sie den mobilen Zugriff auf Unternehmensressourcen.

l Führen Sie Remote-Sperren und -Wipes verwalteter Geräte aus.

Sie können IhreMDM-Umgebung so anpassen, dass Sie sofortigen Zugriff auf Gerätestandorte, aktuelle Anwender undInhalte haben. Automatisieren Sie IhreMDM-Bereitstellungen, um Sicherheits- und Konformitätseinstellungendurchzusetzen. Verwenden Sie dabei für Anwender oder Organisationsgruppen individuelle Regeln und Warnungen.Außerdem können Sie Inhalte und Funktionen je nach geographischem Standort eines Geräts einschränken oderfreischalten.

Dieser Leitfaden erläutert, wie Sie IhreMDM-Bereitstellung erstellen, konfigurieren und verwalten.

Unterstützte Browser

Die AirWatch Konsole unterstützt die aktuellen stabilen Builds der folgenden Webbrowser:

l Chrome

l Firefox

l Safari

l Internet Explorer 11

l Microsoft Edge

Hinweis: Falls Sie IE zum Zugriff auf die Konsole verwenden, navigieren Sie zu Bedienfeld > Einstellungen >Internetoptionen > Sicherheit und stellen Sie sicher, dass Sie über eine (anwenderdefinierte) Sicherheitsstufeverfügen, bei der Schriftart-Download aufAktiviert gestellt ist.

Falls Sie einen älteren Browser verwenden als oben aufgeführt, empfiehlt AirWatch, diesen zu aktualisieren, um die volleLeistung der AirWatch Konsole zu gewährleisten. Umfangreiche Plattformtests wurden ausgeführt, um die


8



Funktionstüchtigkeit bei der Verwendung dieser Webbrowser zu gewährleisten. Bei nicht zertifizierten Browsern könnenunter Umständen geringfügige Probleme in der AirWatch Konsole auftreten.

Unterstützte Plattformen

AirWatch unterstützt folgende Geräte und Betriebssysteme.

l Android 4.0+ l Tizen 2.3+

l Apple iOS 7.0+ l Windows Desktop (8/8.1/RT/10)

l ApplemacOS 10.9+ l Windows 7 oder höher

l ChromeOS (neueste Version) l Windows Phone (Windows Phone 8/8.1, Windows 10Mobile)

l QNX 6.5+ l Windows Robust (Mobile 5/6 und Windows CE 4/5/6)

Unterstützung für andere Geräte bzw. Betriebssysteme ist möglicherweise in begrenztem Rahmen verfügbar. WeitereInformationen finden Sie in dem jeweiligen Anwenderleitfaden der entsprechenden Plattform, verfügbar unter Zugreifenauf andere Dokumente auf Seite 241. Sie können sich auch direkt an den AirWatch Support wenden.


9



Kapitel 2:Erste Schritte mit AirWatch

Übersicht über die AirWatch Konsole 11

Assistent „Erste Schritte“ 19

10



Übersicht über die AirWatch KonsoleDie AirWatch Konsole ermöglicht Ihnen, jeden Aspekt Ihrer MDM-Bereitstellung (Mobile DeviceManagement)einzusehen und zu verwalten. Mithilfe dieser zentralen, webbasierten Ressource können Sie Ihrer Flotte schnell undbequem neue Geräte und Anwender hinzufügen, Profile verwalten und Systemeinstellungen konfigurieren.

Machen Sie sich mit den Sicherheitseinstellungen und Funktionen der Oberfläche vertraut, z.B. dem Assistent „ErsteSchritte“, den Menüsymbolen und der globalen Suche.

Sicherheits-PIN

Schaffen Sie Sicherheit für die AirWatch Konsole, indem Sie eine Sicherheits-PIN erstellen. Diese PIN dient zum Schutz vorversehentlichen Zurücksetzungsaktionen oder vor Löschung wichtiger Aspekte Ihrer Umgebung, wie Anwendern undOrganisationsgruppen. Die Sicherheits-PIN fungiert außerdem als zweite Schutzschicht. Als zusätzlicherAuthentifizierungspunkt blockiert sie Aktionen von nicht zugelassenen Anwendern.

Festlegen einer Sicherheits-PIN

Wenn Sie sich zum ersten Mal bei der AirWatch Konsole anmelden, werden Sie zur Erstellung einer Sicherheits-PINaufgefordert.

Geben Sie Ihre vierstellige Sicherheits-PIN ein und bestätigen Sie diese auf der Seite „Sicherheitseinstellungen“. SpeichernSie Ihre PIN für den zukünftigen Gebrauch. Sie können diese Seite erst verlassen oder zu einem anderen Bereich in derAirWatch Konsole navigieren, wenn Sie diese PIN erstellt haben.

Wenn Sie bei der Kennworteingabe diemaximale Anzahl an Eingabeversuchen überschreiten, wird eine CAPTCHA-Authentifizierungsaufforderung angezeigt, die Sie anpassen können. Sie können die CAPTCHA-Anmeldeaufforderungauch deaktivieren.

Zurücksetzen Ihrer Sicherheits-PIN

Setzen Sie Ihre Sicherheits-PIN regelmäßig zurück, um Sicherheitsrisiken gering zu halten.

1. Wählen Sie das Symbol Konto oben rechts in der AirWatch Konsole.

2. Wählen Sie Kontoeinstellungen verwalten, um sich zur Seite Sicherheitseinstellungen zu begeben, undanschließend Zurücksetzen im Menü „Sicherheitseinstellungen“, um Ihre PIN zurückzusetzen.

3. Melden Sie sich von der Konsole ab und führen Sie die Aufforderung zur Erstellung der PIN bei der erneutenAnmeldung durch.

Kapitel 2: Erste Schritte mit AirWatch

11



Kopfmenü

Das Kopfmenüwird im oberen Bereich auf nahezu jeder Seite der AirWatch Konsole angezeigt, über die Sie auf folgendeFunktionen und Features zugreifen können.

l Organisationsgruppe –Wählen Sie die Organisationsgruppe (über die Schaltfläche „Global“), an der Sie Änderungenvornehmen möchten.

l Hinzufügen – Fügen Sie schnell Administratoren, Geräte, Anwender, Richtlinien, Inhalte, Profile sowie interne oderöffentliche Anwendungen hinzu.

l Globale Suche ( ) – Durchsuchen Sie alle Aspekte Ihrer Bereitstellung in der AirWatch Konsole, einschließlichGeräte, Anwender, Inhalte, Anwendungen, Konfigurationseinstellungen, Administratoren, Seiten und mehr.

l Benachrichtigungen ( ) – Halten Sie sich mittels Benachrichtigungen über wichtige Konsolenereignisse auf demLaufenden. Das Nummern-Badge auf dem Glockensymbol „Benachrichtigungen“ bezieht sich auf die Anzahl derWarnungen, die Ihre Aufmerksamkeit erfordern.

l Gespeichert ( ) – Greifen Sie auf Ihre beliebtesten und am häufigsten verwendeten Seiten in der AirWatch Konsolezu.

l Hilfe ( ) – Öffnen Sie das Hilfeportal und durchsuchen Sie die verfügbaren Leitfäden und dieKonsolendokumentation.

l Konto – Zeigen Sie Ihre Kontodaten an. Ändern Sie die Kontorolle, der Sie in der aktuellen Umgebung zugewiesensind. Passen Sie Einstellungen an, einschließlich Kontaktinformationen, Sprache, Benachrichtigungen, Anzeigeverlaufder Anmeldungen und Sicherheitseinstellungenwie die PIN-Zurücksetzung. Melden Sie sich über Abmelden von derAirWatch Konsole ab und kehren Sie zur Anmeldeseite zurück.

l Aktualisieren ( ) – Aktualisieren Sie die Seite (samt Statistiken und Informationen), ohne die aktuelle Ansicht zuverlassen.

l Verfügbare Abschnitte ( ) – Passen Sie die Anzeige der Hub-Übersicht an, indem Sie nur die gewünschtenAbschnitte auswählen. Nur über die Hub-Übersicht verfügbar.

l Exportieren ( ) – Erstellt eine komplette Liste von Profilen, Anwendungen, Büchern, Kanälen oder Richtlinien inForm einer CSV-Datei (Comma-Separated Values), die Sie dann in Excel einsehen und analysieren können.

l Startseite ( ) – Legen Sie über dieses Symbol eine beliebige Seite der AirWatch Konsole als Ihre Startseite fest.Wenn Sie die AirWatch Konsole das nächsteMal öffnen, wird Ihre ausgewählte Seite als Startseite angezeigt.

l Speichern ( ) – Fügen Sie die aktuelle Seite zur Liste der gespeicherten Seiten hinzu, um schnell auf Ihrebeliebtesten Konsolenseiten zuzugreifen.


12



Weitere Informationen finden Sie unter folgenden Themen.

Übersicht über Organisationsgruppen auf Seite 75.

Übersicht über den rollenbasierten Zugriff auf Seite 61.

Benachrichtigungen der AirWatch Konsole auf Seite 16.

Übersicht über die AirWatch Konsole auf Seite 11.

AirWatch Hub auf Seite 220.


13



Hauptmenü

Das Hauptmenü ermöglicht die Navigation zu allen Funktionen, die innerhalb Ihrer Rolle und in der MDM-Bereitstellung(Mobile DeviceManagement) verfügbar sind.

Stellen Sie sicher, dass alle Aspekte einer grundlegenden, erfolgreichen Bereitstellung vorhanden sind. DerBereich „Erste Schritte“ ist so strukturiert, dass nur dieModule einer AirWatch Konsolenbereitstellungangezeigt werden, an denen Sie interessiert sind. Dadurch ersteht eine Onboardingerfahrung, die stärkerauf Ihre tatsächliche Konfiguration zugeschnitten ist.

Prüfen und verwalten SieMDM-Informationen, die für notwendige Entscheidungen maßgeblich sind, undverschaffen Sie sich einen schnellen Überblick über Ihre Geräteflotte. Erhalten Sie Einblick in Informationen,wie solche über die meisten Anwendungen, die aufgrund von Konformitätsverstößen auf Blacklists erfasstwurden. Behalten Sie den Überblick über Modullizenzen mit dem Admin Panel Dashboard und überwachenSie alle Geräte, die momentan nicht konform sind. Wählen und führen Sie Branchenvorlagen aus, um denOnboardingverlaufmit branchenspezifischen Anwendungen und Richtlinien für Ihre iOS-Geräte zuoptimieren.

Greifen Sie auf eine Übersicht über gängige Aspekte Ihrer Geräteflotte zu, einschließlich desKonformitätsstatus und einer Aufgliederung in Besitztyp, „Zuletzt gesehen“, Plattformtyp undRegistrierungstyp. Wechseln Sie die Ansicht ganz nach Belieben, beispielsweise zu kompletten Dashboardssowie zur Listen- oder Detailansicht. Greifen Sie auf zusätzliche Registerkarten zu, einschließlich alleraktuellen Profile, Registrierungsstatus, Benachrichtigung, Wipe-Schutzeinstellungen,Konformitätsrichtlinien, Zertifikate, Produktbereitstellung und Druckerverwaltung.

Überblicken und verwalten Sie Anwender und Administratoren, die an Ihrer MDM-Bereitstellung beteiligtsind. Greifen Sie auf Anwendergruppen, Rollen, Batch-Status und Einstellungen bezüglich Ihrer Anwenderzu, und verwalten Sie diese. Verwalten Sie außerdem Administratorgruppen, Rollen, Systemaktivität undEinstellungen, die Ihre Administratoren betreffen.

Greifen Sie auf den App-Katalog, den Buch-Katalog sowie auf VPP-Bestellungen (Programm fürVolumenlizenzen) zu und verwalten Sie diese. Prüfen Sie auch App-Analysen und -Protokolle, sowieAnwendungseinstellungen, einschließlich App-Kategorien, Smartgruppen, App-Gruppen, empfohlenerApps, Geofencing und App-Profile.

Greifen Sie auf einen detaillierten Überblick zur Inhaltsnutzung zu, einschließlich Speicherverlaufstrends,Anwender- und Inhaltsstatus sowie einer Aufgliederung der Aktivitäten und Anwender. Verwalten Sie die fürAnwender und Geräte verfügbaren Inhalte, und laden Sie diese hoch. Greifen Sie außerdem auf Batch-Importstatus, Inhaltskategorien, Inhalts-Repositorys, Anwenderspeicher, Konfiguration der Startseite vonVMware Content Locker sowie alle weiteren inhaltsspezifischen Einstellungen zu.

Verschaffen Sie sich einen detaillierten Überblick über E-Mail-Informationen bezüglich Ihrer Bereitstellung.Zu diesen Informationen zählen z.B. E-Mail-Verwaltungsstatus, verwaltete Geräte, Verstöße gegen E-Mail-Richtlinien, Bereitstellungstyp sowie der Zeitpunkt, an dem das Gerät zuletzt gesehen wurde.

Greifen Sie auf eine detaillierte Übersicht über telekommunikationsfähige Geräte zu, einschließlich derenNutzungsverlauf, Tarifnutzung und Datennutzung im Roamingbetrieb. Prüfen und verwalten Sie dieTelekommunikationsnutzung und behalten Sie die Datennutzung im Roamingbetrieb im Auge,einschließlich Anruf-, SMS- und Inhaltseinstellungen.


14



Verwalten Sie Strukturen, Typen und Status bezüglich Organisationsgruppen, Smartgruppen, App-Gruppen, Anwendergruppen und Administratorgruppen. Konfigurieren Sie die gesamten System- oderZugriffseinstellungen bezüglich aller Hauptmenü-Optionen.

Reduzieren und Erweitern des Untermenüs

Sie können das Untermenü reduzieren, indem Sie im unteren Bereich der Konsole auf den Pfeil klicken. Durch dieseAktion wird mehr Platz für Geräteinformationen geschaffen. Um das Untermenü zu erweitern oder erneut zu öffnen,wählen Sie den geänderten Pfeil.

Globale Suche

Die globale Suche verwendet ein modulares Design mit einer Schnittstelle mit Registerkarten zur Suche über Ihrengesamten Bereitstellung hinweg. Ihre Suche wird dabei jeweils auf eine einzige Registerkarte angewendet, wodurchschnellere Resultate erzielt werden. Wählen Sie eine weitere Registerkarte, um denselben Parameter auf einen weiterenBereich der AirWatch Konsole anzuwenden.

Nach Ausführen einer globalen Suche wählen Sie folgende Registerkarten, um die Ergebnisse einzusehen.


15



l Geräte – Passende Ergebnisse für Suchen nach freundlichen Gerätenamen und Geräteprofilnamen.

l Konten – Passende Ergebnisse für Suchen nach Anwender- und Administratornamen.

l Anwendungen – Passende Ergebnisse für Suchen nach internen, öffentlichen, gekauften und Webanwendungen.

l Inhalte – Passende Ergebnisse für Suchen nach sämtlichen auf Geräten erscheinenden Inhalten.

l Einstellungen – Passende Ergebnisse für Suchen nach individuellen Einstellungen auf Feldebene undKonsolenhauptseiten.

Sie können auch eine Suche nach einer Organisationsgruppe durchführen, indem Sie das Dropdown-Menü„Organisationsgruppe“ auswählen. Die Suchleiste wird über der Liste angezeigt.

Benachrichtigungen der AirWatch Konsole

Benachrichtigungen sind ein Kommunikationsmittel, mit dem Sie über Konsolenereignisse auf dem Laufenden gehaltenwerden, die sich möglicherweise auf Ihren Betrieb auswirken. Die Schaltfläche „Benachrichtigungen“ befindet sich nebender Schaltfläche für die globale Suche.

Es gibt verschiedene Arten von Benachrichtigungen.

l APNs Ablaufdatum und APNs abgelaufen – 30 Tage vor Ablauf der „APNs für MDM“-Zertifikate erhalten Sie eineBenachrichtigung, die eineWarnung mit der Priorität „Kritisch“ darstellt. Nach Ablauf der APNs-Zertifikate wird dieWarnung mit der Priorität „Kritisch“ auf eineWarnung mit der Priorität „Hoch“ herabgestuft. MitBenachrichtigungen können Sie die mit abgelaufenen Zertifikaten verbundenen Unannehmlichkeiten vermeiden unddie Kommunikation Ihrer Gerätemit der AirWatch Konsole aufrechterhalten.

l Anwendungsentfernungsschutz –Wenn der Anwendungsentfernungsschwellenwert überschritten wird, wird dieWarnung mit der Priorität „Hoch“ angezeigt. In diesem Fall können Sie im Popup-Fenster „Benachrichtigungen“ aufden Link „Anwendungsentfernung überprüfen“ klicken.

l Export der Listenansicht – Diese Benachrichtigung mit der Priorität „Info“ wird angezeigt, wenn der von Ihnenangeforderte Export der Geräte- oder Anwenderlistenansicht abgeschlossen wurde und zur Prüfung bereitsteht.

l Zusammenführung von Anwendergruppen steht aus – Diese Benachrichtigung setzt Sie darüber in Kenntnis, dassder Vorgang zur Zusammenführung von Anwendergruppen aussteht und die Genehmigung des Administratorserfordert. Die Benachrichtigung wird in zwei Szenarien gesendet:

o Sie haben die Einstellung „Änderungen automatisch zusammenführen“ in Ihrer verzeichnisbasiertenAnwendergruppe deaktiviert, sodass alle Änderungen eine Genehmigung erfordern.

o Sie haben die Einstellung „Änderungen automatisch zusammenführen“ aktiviert und die Anzahl der Änderungenüberschreitet den Schwellenwert für maximal zulässige Änderungen. Wenn der Anteil der Änderungen über demSchwellenwert liegt, ist die Genehmigung des Administrators erforderlich.

l AutoUpdate der VPP-Anwendung –Warnungen mit der Priorität „Hoch“ informieren Sie darüber, wenn einemitdem Apple Programm für Volumenlizenzen (VPP) installierte Anwendung eine aktualisierte Version aufweist, die Sieinstallieren können.


16



Informationen zu Benachrichtigungen zum Gerätelebenszyklus finden Sie unter Konfigurieren vonLebenszyklusbenachrichtigungen auf Seite 126.

Verwalten von Konsolenbenachrichtigungen

Bei aktiven Benachrichtigungen, die Ihre Aufmerksamkeit erfordern, wird auf dem Nummern-Badge ein Warnsymbolangezeigt, das die Anzahl der aktiven Warnungen angibt. Wenn Sie auf das Benachrichtigungssymbol in Form einerGlocke klicken, wird das Popup-Fenster Benachrichtigungen angezeigt.

Sie können die empfangenen Benachrichtigungen verwalten. Die Verwaltung umfasst die Anzeige der aktivenWarnungen, die Erneuerung Ihrer APNs, das Schließen abgelaufenerWarnungen, die Anzeige der Liste verworfenerWarnungen und die Konfiguration der Benachrichtigungseinstellungen.

JedeWarnung zeigt die Organisationsgruppe an, in der sich die APNs für ein MDM-Zertifikat befinden. DieWarnung zeigtaußerdem das Ablaufdatum des Zertifikats sowie einen Link zur Erneuerung Ihrer APNs an.

l Aktive Warnung anzeigen – In der Standardansicht wird die Liste der aktiven Warnungen angezeigt.

l Erneuern Sie Ihre APNs – Diese Option zeigt die Seite „Organisationsgruppe wechseln“ (OG) an. Diese Seite wirdangezeigt, wenn die OG, von der das Gerät mit dem bevorstehenden Lizenzablauf verwaltet wird, von der OGabweicht, in der Sie sich derzeit befinden. Erneuern Sie die jeweilige APNs-Lizenz, indem Sie zum automatischenÄndern Ihrer OG auf Ja klicken.

Erneuern Sie die Lizenz und halten Sie die Verbindung zwischen dem Gerät und AirWatch aufrecht, indem Sie dieAnweisungen auf der Einstellungsseite APNs für MDM befolgen.

l Warnung schließen – Schließen Sie die abgelaufeneWarnung und senden Sie sie an die Liste der geschlossenenWarnungen, indem Sie auf die Schaltfläche X klicken. Benachrichtigung mit der Priorität „Kritisch“ können nichtgeschlossen werden.

l Geschlossene Warnung anzeigen – Zeigen Sie die Liste der geschlossenen Warnungen an, indem Sie oben im Popup-Fenster „Benachrichtigungen“ die RegisterkarteGeschlossen auswählen.

Konfigurieren von Benachrichtigungseinstellungen

Auf der Seite „Benachrichtigungseinstellungen“ können SieWarnungen zum Ablauf von APNs aktivieren oderdeaktivieren, dieMethode zum Empfangen von Warnungen auswählen und die E-Mail-Adresse ändern, an dieWarnungen gesendet werden.


17



Gehen Sie zur Konfiguration der Benachrichtigungseinstellungen wie folgt vor:

1. Klicken Sie auf die Schaltfläche Konto, die von fast jeder Seite in der Konsole aus aufgerufen werden kann. Wählen Sieanschließend Kontoeinstellungen verwalten und dann die Registerkarte Benachrichtigungen.

Die Seite „Benachrichtigungseinstellungen“ kann auch über das Zahnradsymbol aufgerufen werden, das sich untenrechts im Popup-Fenster „Benachrichtigungen“ befindet.

2. Schließen Sie die Benachrichtigungseinstellungen ab.

Einstellung Beschreibung

Ablauf von APNs Sie können eineWarnung auslösen, wenn APNs-Lizenzen ablaufen oder in Kürze ablaufenwerden.

Benachrichtigung Wählen Sie dieMethode zur Übermittlung von Benachrichtigungen. Wählen Sie „Konsole“,„E-Mail“ oder „Beide“.

E-Mail senden an Geben Sie die E-Mail-Adresse an, wenn „E-Mail“ oder „Beide“ für die Benachrichtigungausgewählt ist. Trennen Sie mehrere E-Mail-Adressen durch ein Komma.

Export derListenansicht

Sie können eineWarnung auslösen, wenn der Export einer Anwender- oderGerätelistenansicht abgeschlossen ist.

Benachrichtigung Wählen Sie dieMethode zur Übermittlung von Benachrichtigungen. Wählen Sie „Konsole“,„E-Mail“ oder „Beide“. Bei der Option „Export der Listenansicht“ wird die E-Mail-Adresseverwendet, die auf der Registerkarte „Anwender“ in den Kontoeinstellungen für den aktuellangemeldeten Administrator erfasst ist.

Anwendergruppe –Zusammenführen

Sie können eineWarnung auslösen, wenn die Active Directory-Datenbank dieSynchronisierung mit AirWatch ändert und Sie die Option „Änderungen automatischzusammenführen“ deaktiviert haben.



AutoUpdate derVPP-Anwendung

Sie können eineWarnung auslösen, wenn einemit dem Apple Programm fürVolumenlizenzen (VPP) installierte Anwendung eine aktualisierte Version aufweist, die Sieinstallieren können.



3. Wählen Sie für Ihre Änderungen die Aktionen Speichern oder Abbrechen.


18



Assistent „Erste Schritte“Der Assistent „Erste Schritte“ dient als Checkliste, die Sie Schritt für Schritt durch die Einstellungen der AirWatch Konsoleleitet. Er zeigt nur dieModule an, die speziell Ihrer Bereitstellung entsprechen, und erzeugt so eineOnboardingerfahrung, die auf Ihre Konfiguration maßgeschneidert ist.

Die Seite „Erste Schritte“ ist in vier Bereiche aufgeteilt: Workspace ONE, Mobile DeviceManagement, Mobile ContentManagement und Mobile Application Management. Jeder Abschnitt hat seine eigenen Ablaufschritte. Schritte, die inallen Abschnitten gleich ausgeführt werden, werden automatisch nachverfolgt, sodass Sie denselben Schritt niemalswiederholen müssen.

l Workspace ONE – Verwalten und überwachen Sie alle Desktop-, BYOD- und unternehmenseigene Geräte in einemzentralen, sicheren Anwendungskatalog und bieten Sie Unterstützung für diese.

l Mobile Device Management (MDM) – Legen Sie die gewünschte Kontrollebene für Ihre Geräte fest, fügen SieAnwender hinzu und registrieren Sie Geräte im AirWatch System.

l Mobile Content Management (MCM) – Identifizieren Sie Inhalte, fügen Sie Anwender hinzu, sichern Sie privateInhalte und konfigurieren Sie Inhaltsverwaltungsspezifikationen.

l Mobile Application Management (MAM) – Stellen Sie fest, wie Anwender empfohlene Anwendungen installieren;identifizieren und installieren Sie öffentliche Anwendungen auf registrierten Geräten.

Navigieren im Assistenten „Erste Schritte“

Der Assistent „Erste Schritte“ wird in einer Weise ausgeführt, die sich Ihren Bedürfnissen so gut wiemöglich anpasst. Erbehält nicht nur die Übersicht über Ihren Fortschritt, er kann gestartet, angehalten, später wieder gestartet, aber auchzurückgespielt werden, um vorherige Antworten zu begutachten.

l Wählen Sie Assistent starten, um den ersten Schritt in einem Modul einzuleiten. Dabei beantworten Sie Fragen undrufen die entsprechenden Seiten in der AirWatch Konsole auf, um die Einstellungen für jede Funktion zukonfigurieren. Bei der Beantwortung der Fragen schreitet der Prozentzähler voran und zeigt an, wie weit Sie mit derBearbeitung des Moduls gekommen sind.

l Falls Sie ein Modul vor der vollständigen Bearbeitung verlassen, können SieWeiterwählen, um dorthinzurückkehren.

l Sie können jedes beliebigeModul auslassen, indem Sie Bereich überspringen auswählen. Dadurch wird dieSchaltfläche „Weiter“ vorübergehend deaktiviert und der Link Bereich fortsetzen eingefügt. Wählen Sie diesen Link,um die Schaltfläche „Weiter“ zu reaktivieren.

l Sie können Ihre Reaktion auf jedes Modul jederzeit überprüfen. Wählen Sie in den einzelnen Modulen dazu Bereichüberprüfen.

l Nach Abschluss der Bearbeitung eines jeden Teilschritts des Moduls wird ein kleines Häkchen in der Kopfleiste fürdiesen Teilschritt angezeigt. Die oben gezeigte, grüne Statusleiste, die das Modul in seiner Gesamtheit darstellt, wirdweiter aufgeführt.

l Wählen Sie jederzeit die Schaltfläche Zurück, um zur vorherigen Frage oder Seite zurückzukehren.


19



Aktivieren des Assistenten „Erste Schritte“

Bei einer neuen AirWatch Implementierung können Sie vom Hauptmenü, über dem SymbolHub links außen auf derKonsolenseite, die Seite „Erste Schritte“ aufrufen. Sie können jedoch den Assistenten „Erste Schritte“ jederzeit manuellaktivieren. Somit wird der Durchlauf neu begonnen.

So aktivieren Sie manuell den Assistenten „Erste Schritte“:

1. Wählen Sie eine beliebigeOrganisationsgruppe außer der Gruppe der obersten Ebene aus.

2. Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Organisationsgruppen > Organisationsgruppendetails.Stellen Sie sicher, dass Sie sich in der Organisationsgruppe der Kundenebene befinden, und speichern Sie IhreÄnderungen.

3. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Erste Schritte.

4. Wählen Sie Aktivieren bei allen Feldern dieser Seite:

a. Gerätestatus „Erste Schritte“

b. Inhaltsstatus „Erste Schritte“

c. Anwendungsstatus „Erste Schritte“

5. Speichern Sie die Änderungen an der Seite.

Weitere Informationen finden Sie unter Übersicht über Organisationsgruppen auf Seite 75.


20



Kapitel 3:Umgebungseinrichtung

Übersicht über die Umgebungseinrichtung 22

Anmelden bei der AirWatch Konsole 22

APNs-Zertifikate 22

Datenschutz und Datenerfassung 23

Nutzungsbedingungen 29

Konsolen-Branding 32

Eingeschränkte Konsolenaktionen 33

Weitere Unternehmenssysteme zur Integration 36

21



Übersicht über die UmgebungseinrichtungSie können u.a. die Umgebungs-URL und Anmeldedaten ermitteln, Zertifikate für die Verwaltung von Plattformengenerieren, Telekommunikations- sowie Datenschutzeinstellungen konfigurieren und die Konsole anpassen.

Anmelden bei der AirWatch KonsoleFür Ihre Anmeldung bei der AirWatch Konsole müssen Sie IhreUmgebungs-URL sowie die Anmeldedaten griffbereithaben. Wie Sie diese Informationen erhalten, hängt von der Art Ihrer Bereitstellung ab.

l SaaS-Bereitstellung – Ihr Kundenbetreuer stellt Ihnen Ihre Umgebungs-URL und Anwendername/Kennwort zurVerfügung . Die URL ist nicht anpassbar und folgt generell dem Format awmdm.com.

l On-Premise – Die On-Premise-URL ist anpassbar und folgt generell dem Format awmdm.<MeinUnternehmen>.com.

Ihr Kundenbetreuer stellt die ersten Anmeldedaten zur Einrichtung für Ihre Umgebung bereit. Administratoren, die mehrKonten erstellen möchten, um Verwaltungsverantwortungen zu delegieren, können Anmeldedaten für ihre Umgebungerstellen und verteilen. Genauere Informationen finden Sie unter „Erstellen eines Administratorkontos“.

Sobald Ihr Browser dieUmgebungs-URL geladen hat, unter der sich die AirWatch Konsole befindet, können Sie sichanmelden, indem Sie Ihren Anwendernamen und das Kennwort eingeben, die Ihnen von Ihrem AirWatch Administratorbereitgestellt wurden.

APNs-ZertifikateUm iOS-Geräte zu verwalten, müssen Sie zuerst ein APNs-Zertifikat (Apple Push Notification Service, Apple-Push-Benachrichtigungsdienst) einholen. Das APNs-Zertifikat ermöglicht AirWatch die sichere Kommunikation mit Apple-Geräten und meldet Informationen an AirWatch zurück.

Laut Apple-Enterprise-Entwicklerprogramm ist ein APNs-Zertifikat ein Jahr lang gültig und muss dann erneuert werden.Die AirWatch Konsole sendet Erinnerungen über die Benachrichtigungsfunktion, wenn das Ablaufdatum bevorsteht. Ihraktuelles Zertifikat wird nach der Erneuerung im Apple Development Portal gesperrt, d.h., dass Geräte erst verwaltetwerden, wenn Sie das neue Zertifikat hochgeladen haben. Planen Sie, Ihr Zertifikat sofort nach seiner Erneuerunghochzuladen. Verwenden Sie am besten für jede Umgebung ein anderes Zertifikat, falls Sie separate Produktions- undTestumgebungen einsetzen.

Kapitel 3: Umgebungseinrichtung

22



Weitere Informationen finden Sie im Wissensdatenbank-ArtikelGenerating and Renewing an APNs Certificatefor AirWatch unter folgendem Link: https://support.air-watch.com/articles/115001662728.

APNs-Zertifikatsablauf

Die Schaltfläche „Benachrichtigungen“ in der Kopfleiste der Konsole meldet Ihnen, wenn sich Ihre APNs für MDM-Zertifikate dem Ablaufdatum nähern. Diese Benachrichtigung ermöglicht es Ihnen, rechtzeitig Maßnahmen zu ergreifen.

Weitere Informationen finden Sie unter Benachrichtigungen der AirWatch Konsole auf Seite 16.

Generieren eines APNs-Zertifikats

Sie müssen zur sicheren Kommunikation zwischen Ihren iOS-Geräten und AirWatch APNs-Zertifikate generieren undgelegentlich erneuern. Um ein APNs-Zertifikat zu generieren, müssen Sie zwischen zweiMethoden wählen.

1. Führen Sie die im Assistent „Erste Schritte“ auf Seite 19 beschriebenen Schritte durch.

ODER

2. Generieren Sie manuell APNs-Zertifikate, indem Sie folgende Schritte durchführen.

a. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Anwender > Apple > APNs fürMDM.

b. Sollte das Gültig bis-Datum verstrichen sein, wählen Sie die Schaltfläche Erneuern und folgen Sie denAnweisungen auf dem Bildschirm. Sie finden dort den Link Anweisungen, in denen erläutert wird, wie Sie dasApple Push Certificates Portal zum Upload einer Zertifikatsanforderung verwenden. Diese Seite enthältaußerdem eine praktische Zu Apple-Schaltfläche, durch die das Apple Push Certificates Portal in einer neuenRegisterkarte Ihres Browsers geöffnet wird. Sie benötigen zwei Elemente, um fortfahren zu können.

i. Eine AirWatch Zertifikatsanforderung, wobei es sich um eine Datei im PLIST-Format handelt, die Sie aufIhrem Gerät speichern können.

ii. Die Apple ID, die Sie ursprünglich benutzt haben, um das Zertifikat zu erstellen.

c. Klicken Sie aufWeiter, um mit der nächsten Seite fortzufahren, auf der Sie Ihre Apple ID eingeben müssen undanschließend das von Apple veröffentlichte AirWatch MDM-Zertifikat (PEM-Datei) hochladen.

d. Wählen Sie Speichern.

Datenschutz und DatenerfassungEs ist wichtig, dass Sie Ihre Endanwender bei der Registrierung bei AirWatch darüber informieren, wie ihre Daten erfasstund gespeichert werden. Die AirWatch Konsole ermöglicht Ihnen die Erstellung eines anwenderdefiniertenDatenschutzhinweises, um Anwender darüber zu informieren, welche Daten Ihr Unternehmen von registrierten Gerätenerfasst.


23



https://support.air-watch.com/articles/115001662728

Arbeiten Sie mit Ihrer Rechtsabteilung, um festzulegen, wie die Nachricht bezüglich der Datenerfassung an IhreEndanwender verfasst werden soll.

Datenschutzhinweise für BYOD-Endanwender

Ein Datenschutzhinweis informiert Ihre Endanwender darüber, welche Daten Sie von ihren Geräten auf Grundlage vonderen Gerätetyp, Bereitstellungstyp und Besitztyp erfassen.

Konfiguration des Datenschutzhinweises

Datenschutzhinweise werden auf Grundlage der Organisationsgruppe und des Gerätebesitzes des verbundenen Gerätsautomatisch bereitgestellt. Sie können wählen, dass für die folgenden Besitztypen ein Datenschutzhinweis angezeigtwerden soll:Mitarbeitereigen, Unternehmen – Dediziert, Unternehmen – Gemeinschaftsgerät und Unbekannt.

Um den Hinweis zu erhalten, müssen Sie den Datenschutzhinweis vor der Zuweisung von Besitztypen erstellen. WeitereInformationen finden Sie im Abschnitt Erstellen eines Datenschutzhinweises im VMware AirWatch BYOD & PrivacyGuide, verfügbar über AirWatch Resources.

Bereitstellung des Datenschutzhinweises

Wenn Sie einen Besitztyp für den Empfang von Datenschutzhinweisen zuweisen, erhalten alle Anwender in der Kategoriedes ausgewählten Besitztyps unverzüglich die Datenschutzbenachrichtigung als Web Clip. Sollten Sie denNachschlagewert für den Datenschutzhinweis PrivacyNotificationUrl in Ihre Nachrichtenvorlage einfügen,dann enthält die Nachricht eine URL, wo die Anwender den Datenschutzhinweis lesen können.

Anwender erhalten den Datenschutzhinweis automatisch, falls:

l sie ein neues Gerät registrieren und zu einem Besitztyp gehören, für den der Datenschutzhinweis aktiviert ist.

l sie zurzeit ein registriertes Gerät verwenden und der Besitz nach der Registrierung in einen Typ geändert wird, demderWeb Clip zugewiesen wird.

Weitere Informationen zur Bereitstellung eines Datenschutzhinweises im Rahmen einer Geräteaktivierung finden Sieunter Registrieren eines einzelnen Geräts.

Erstellen eines Datenschutzhinweises für BYOD-Anwender

Informieren Sie Ihre Anwender durch einen anpassbaren Datenschutzhinweis darüber, welche Daten Ihr Unternehmenvon ihren registrierten Geräten erfasst. Arbeiten Sie mit Ihrer Rechtsabteilung, um festzulegen, wie die Nachrichtbezüglich der Datenerfassung an Ihre Endanwender verfasst werden soll.

1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Anwender > Allgemein >Nachrichtenvorlagen.

2. Wählen SieHinzufügen, um eine Vorlage zu erstellen. Sollten Sie bereits eine Vorlage für einen Datenschutzhinweiserstellt haben, wählen Sie diese von der Liste der verfügbaren Vorlagen zur Verwendung oder Bearbeitung.

3. Bearbeiten Sie die Einstellungen fürNachrichtenvorlage hinzufügen/bearbeiten.


Name Geben Sie einen Namen für die Benachrichtigungsvorlage ein.

Beschreibung Geben Sie eine Beschreibung für die Vorlage ein, die Sie erstellen.

Kategorie Wählen Sie Registrierung.


24




Typ Wählen SieMDM-Geräteaktivierung.

Spracheauswählen

Wählen Sie die Standardsprache für Ihre Vorlage. Verwenden Sie die SchaltflächeHinzufügen, umweitere Standardsprachen für einemehrsprachige Bereitstellung hinzuzufügen.

Standard Aktivieren Sie dieses Kontrollkästchen, um diese Vorlage zur Standardnachrichtenvorlageauszuwählen.

Nachrichtentyp Wählen Sie einen oder mehrere Nachrichtentypen: E-Mail, SMS oder Push-Nachricht.

4. Verfassen Sie den Inhalt der Benachrichtigung. Die von Ihnen im Feld Nachrichtentyp ausgewähltenNachrichtentypen bestimmen die Art der Nachrichten, die für Sie zur Konfiguration angezeigt werden.

Element Beschreibung

E-Mail

Formatierungder E-Mail-Inhalte

Wählen Sie, ob Ihre E-Mail-Benachrichtigungen in Nur-Text- oder HTML-Format geliefert werden.

Betreff Geben Sie die Betreffzeile Ihrer E-Mail-Benachrichtigung ein.

Nachrichtentext Verfassen Sie die E-Mail-Nachricht, die Sie Ihren Anwendern senden möchten. Die in diesemTextfeld angezeigten Bearbeitungs- und Formatierungstools hängen von dem Format ab, das Siein dem Feld Formatierung von E-Mail-Inhalten gewählt haben.

Sollten Sie den Datenschutzhinweis mit Visualisierung aktiviert haben, schließen Sie denNachschlagewert PrivacyNotificationUrl im Nachrichtentext ein.

SMS-

Nachrichtentext Verfassen Sie die SMS, die Sie Ihren Anwendern senden möchten.


Push-

Nachrichtentext Verfassen Sie die Push-Benachrichtigung, die Sie Ihren Anwendern senden möchten.


5. Wählen Sie Speichern.

Datenschutzeinstellungen

Durch Datenschutzeinstellungen können Sie festlegen, wie Geräte- und Anwenderdaten in der AirWatch Konsolegehandhabt werden. Diese Informationen sind für BYOD-Bereitstellungen (Bring Your Own Device) nützlich.

l Prüfen und passen Sie Datenschutzrichtlinien je nach Gerätebesitz an, wobei Sie sich an Datenschutzgesetze andererLänder oder gesetzlich festgelegte Richtlinien halten können.

l Stellen Sie sicher, dass bestimmte IT-Kontrollmechanismen bestehen, um ein Überladen der Server und Systeme zuverhindern.


25



Wichtig: Jede Rechtsprechung verfügt über eigene Regeln zur Erfassung von Endanwenderdaten. Machen Sie sicheingehend mit diesen Vorschriften vertraut, bevor Sie die unter Konfigurieren von Datenschutzeinstellungen auf Seite26 aufgeführten Schritte durchführen.

Konfigurieren von Datenschutzeinstellungen

Der Datenschutz von Endanwendern ist für Sie und Ihre Anwender ein wichtiges Anliegen. AirWatch bietet eine präziseSteuerung darüber, welche Daten von Anwendern erfasst werden und welche dieser erfassten Daten für Administratorensichtbar sind.

Konfigurieren Sie die Datenschutzeinstellungen, um sowohl den Anforderungen Ihrer Anwender als auch Ihrengeschäftlichen Anforderungen gerecht zu werden.

1. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Anwender > Allgemein > Datenschutz.

2. Wählen Sie die passende Einstellung für die Datensammlung zu GPS, Telekommunikation, Anwendungen undProfile.

Erfassen und anzeigen – Anwenderdaten werden in der AirWatch Konsole erfasst und angezeigt.

Erfassen, aber nicht anzeigen – Anwenderdaten werden zu Berichtszwecken erfasst, jedoch nicht in derAirWatch Konsole angezeigt.

Nicht erfassen – Anwenderdaten werden nicht erfasst und daher nicht angezeigt.

3. Wählen Sie die entsprechende Einstellung für die Befehle, die auf Geräten ausgeführt werden können.

Zulassen – Der Befehl wird ohne Zustimmung des Anwenders auf dem Gerät ausgeführt.

Mit Anwendererlaubnis zulassen – Der Befehl wird nur mit Zustimmung des Anwenders auf dem Gerätausgeführt.

Verhindern – Der Befehl wird nicht auf dem Gerät ausgeführt.

Erwägen Sie, alle Remotebefehle für mitarbeitereigene Geräte zu deaktivieren, insbesondere eine vollständigeGerätezurücksetzung auf dieWerkseinstellungen. Diese Deaktivierung verhindert, dass die privaten Inhalte einesEndanwenders versehentlich gelöscht werden.

Hinweis: Sollten Sie die Funktion zur vollständigen Gerätezurücksetzung für ausgewählte iOS-Gerätebesitztypendeaktivieren, wird die Berechtigung „Alle Inhalte und Einstellungen löschen“ bei der Registrierung nicht angezeigt.

Falls Sie den Zugriff auf Remotesteuerung, Dateimanager oder Registrierungsmanager für Android- bzw. WindowsRobust-Geräte erlauben, sollten Sie die Verwendung der OptionMit Anwendererlaubnis zulassen in Erwägungziehen. Diese Option verlangt vom Endanwender per Eingabeaufforderung, dass er dem Administrator Zugang zumGerät gewährt, bevor die Aktion ausgeführt wird. Falls Sie die Nutzung von Befehlen zulassen, sollten Sie dieseBefehle ausdrücklich in den Nutzungsbedingungen erwähnen.

4. Für Anwenderinformationenwählen Sie in der Konsole Anzeigen oderNicht anzeigen für die Angaben Vorname,Nachname, Rufnummer, E-Mail-Konten und Anwendername.


26



Sollte eine Option mit der Ausnahme von Anwendername aufNicht anzeigen gestellt sein, werden diese Daten inder AirWatch Konsole als „Privat“ angezeigt. Optionen, die aufNicht anzeigen gestellt sind, können in der Konsolenicht gesucht werden. Ein Anwendername, der aufNicht anzeigen gesetzt wurde, wird nur auf den Seiten„Listenansicht für Geräte“ und „Gerätedetails“ als „Privat“ angezeigt. Alle anderen Seiten der AirWatch Konsolezeigen den Anwendernamen des registrierten Anwenders an.

Sie können personenbezogene Informationen verschlüsseln, einschließlich Vorname, Nachname, E-Mail-Adresse undRufnummer. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Sicherheit >Datensicherheit von der globalen Organisationsgruppe oder Organisationsgruppe der Kundenebene, für die Sie dieVerschlüsselung konfigurieren möchten. Durch Aktivierung der Verschlüsselung, Auswahl der zu verschlüsselndenAnwenderdaten und anschließendes Klicken auf Speichernwerden die Anwenderdaten verschlüsselt. Dadurchwerden einige Funktionen in der AirWatch Konsole eingeschränkt, wie beispielsweise „Suchen“, „Sortieren“ und„Filtern“.

5. Wählen Sie, ob Sie den Modus Nicht stören auf dem Gerät aufAktivieren oder Deaktivieren festlegen möchten.Diese Einstellung erlaubt es Anwendergeräten, MDM-Befehle für einen vorgegebenen Zeitraum zu ignorieren. Beiaktiviertem Modus können Sie eine Toleranzperiode oder Aktivierungszeit in Minuten, Stunden oder Tagenfestlegen, nach denen der Modus Nicht stören abläuft.

Weitere Informationen zumModus „Nicht stören“ finden Sie im folgenden Artikel in der VMware AirWatchWissensdatenbank: https://support.air-watch.com/articles/115001662448.

6. Wählen Sie, ob Sie die Option Anwenderfreundlicher Datenschutzhinweis auf dem Gerät aufAktivieren oderDeaktivieren festlegen möchten.

l Wenn diese Einstellung Aktiviert ist, können Sie für jede Besitzebene entweder Ja (Datenschutzhinweis anzeigen)oderNein (keinen Datenschutzhinweis anzeigen) wählen:Mitarbeitereigen, Unternehmen – Dediziert,Unternehmen – Gemeinschaftsgerät und Unbekannt.

7. Klicken Sie auf Speichern. Zum Speichern der Änderungen müssen Sie Ihre PIN eingeben. Klicken Sie auf Speichern.

Weitere Informationen zur Anwendung einer BYOD-Lösung (Bring Your Own Device) finden Sie im VMware AirWatchBYOD and Privacy Guide, verfügbar unter Zugreifen auf andere Dokumente auf Seite 241.

Datenschutz – Best Practices

Den richtigen Mittelweg zwischen den Bedürfnissen Ihres Unternehmens und den Datenschutzbelangen IhrerMitarbeiter zu finden, kann eine Herausforderung darstellen. Um eine optimale Balance zu erzielen, gibt es einigeeinfache Vorgehensweisen zur Verwaltung von Datenschutzeinstellungen.

Wichtig: Jede Bereitstellung ist anders. Beraten Sie sich mit den Teams Ihrer Rechts-, Personal- und Management-Abteilung, um diese Einstellungen am besten auf Ihre Organisation maßzuschneidern.

Anwenderinformationen – Best Practices für den Datenschutz

Üblicherweise blenden Sie Anwenderinformationen, wie Vor- und Nachname, Rufnummer und E-Mail-Adresse für sowohlmitarbeiter- als auch unternehmenseigene Geräte ein.


27




Anwendungsinformationen – Best Practices für den Datenschutz

Generell ist es angemessen, die Sammlung von Daten bei mitarbeitereigenen Geräten entweder aufNicht erfassen oderErfassen und nicht anzeigen zu stellen. Diese Einstellung ist wichtig, da auf einem Gerät installierte öffentlicheAnwendungen, wenn eingesehen, als personenbezogene Information betrachtet werden können. Beiunternehmenseigenen Geräten erfasst AirWatch alle auf dem Gerät installierten Anwendungen.

Ist „Nicht erfassen“ ausgewählt, werden lediglich Informationen über private Anwendungen nicht erfasst. AirWatcherfasst alle verwalteten Anwendungen, sei es öffentliche, interne oder erworbene Anwendungen.

Remotebefehle – Best Practices für den Datenschutz

Erwägen Sie, alle Remotebefehle für mitarbeitereigene Geräte zu deaktivieren. Wenn Sie jedoch Remoteaktionen oder -befehle zulassen, sollten Sie diese ausdrücklich in den Nutzungsbedingungen erwähnen.

GPS-Koordinaten zum Datenschutz – Bewährte Methoden

Allgemein ist es nicht angebracht, GPS-Daten von mitarbeitereigenen Geräten zu erfassen. Die folgenden Hinweisebeziehen sich auf firmeneigene Geräte.

l GPS-Daten – Es werden unter anderem Standortdaten mit einem Zeitstempel erfasst, der die Zeit angibt, an der dieseInformationen an AirWatch gesendet wurden.

o Bei iOS-Geräten werden GPS-Daten automatisch gemeldet, wenn eine beliebige AirWatch Anwendung oder eineinterne Anwendung mit einem AirWatch SDK (Software Development Kit) geöffnet wird, das zur Erfassung vonGPS-Daten eingestellt wurde.

Wenn GPS-Daten gemeldet werden, definiert AirWatch einen Bereich im Umkreis von 1 Kilometer diesesStandorts. Es werden dann jedes Mal Standortinformationen gemeldet, wenn sich das Gerät außerhalb diesesBereichs bewegt oder wenn der Anwender eine AirWatch bzw. eine interne Anwendung öffnet. Es werden keineneuen GPS-Daten gemeldet, es sei denn, einer der folgenden Vorgänge tritt auf.

o Der Ortungsdienst muss auf dem iOS-Gerät aktiviert sein. AirWatch kann diese Einstellung nicht durchsetzen.

l Obwohl GPS-Daten üblicherweise für verloren gegangene oder gestohlene Geräte verwendet werden, können dieseDaten in jeder Situation verwendet werden, in der es nützlich ist, zu wissen, wo sich ein Gerät befindet.

Telekommunikationsdaten – Best Practices zum Datenschutz

Die Erfassung von Telekommunikationsdaten von mitarbeitereigenen Geräten ist nur dann angemessen, wenn Sie aneinem Stipendienprogrammmitwirken, bei dem SieMobilfunktarife bezuschussen. In diesem Fall oder beiunternehmenseigenen Geräten ist Folgendes hinsichtlich erfassbarer Daten zu erwägen.

l Betreiber/Ländercode – Betreiber und Ländercode werden erfasst und können zurTelekommunikationsnachverfolgung verwendet werden. Telekommunikationstarifpläne können basierend aufBetreiber und Land erstellt und die Geräte dem entsprechenden Plan zugewiesen werden. Diese Daten können auchverwendet werden, um Geräte je nach Betreiber und Land oder nach aktuellem Land und aktuellem Betreibernachzuverfolgen.

l Roamingstatus – Dieser Status kann verwendet werden, um nachzuverfolgen, welche Geräte sich im Roamingbetriebbefinden. Konformitätsrichtlinien können eingerichtet werden, um die Sprach- und Datennutzung zu deaktivieren,wenn sich das Gerät im Roamingbetrieb befindet, oder um bei der Anwendung anderer Konformitätsaktionenbehilflich zu sein. Wenn darüber hinaus ein Gerät einem Telekommunikationstarifplan zugewiesen ist, kann AirWatch


28



die Datennutzung im Roamingbetrieb nachverfolgen. Das Erfassen und Überwachen des Roamingstatus kannhilfreich sein, wenn es darum geht, hohe Betreiberkosten aufgrund von Roaming zu verhindern.

l Mobilfunkdatennutzung – Die Datennutzung hinsichtlich der Gesamtanzahl der gesendeten und empfangenenBytes. Diese Daten können für jedes Mobilfunkgerät erfasst werden. Wenn ein Gerät einemTelekommunikationstarifplan zugewiesen ist, können Sie die Datennutzung basierend auf dem Prozentsatz dergesamten Datenmenge pro Abrechnungszeitraum überwachen. Durch diese Funktion können SieKonformitätsrichtlinien basierend auf dem Prozentsatz der verbrauchten Daten erstellen. Dies kann hilfreich sein,wenn es darum geht, Zusatzgebühren beiMobilfunkkosten zu vermeiden.

l Mobilfunknutzung – Die Sprachminuten, die für jedes Mobilfunkgerät erfasst werden können. Ähnlich wie bei derDatennutzung können Sie die Sprachanrufnutzung basierend auf dem Prozentsatz der Minuten proAbrechnungszeitraum überwachen, sofern das Gerät einem Tarifplan zugewiesen ist. Dadurch können SieKonformitätsrichtlinien basierend auf dem Prozentsatz der verbrauchten Minuten erstellen. Dies kann hilfreich sein,wenn es darum geht, Zusatzgebühren beiMobilfunkkosten zu vermeiden.

l SMS-Nutzung – Die SMS-Daten (Short Message Service), die für jedes Mobilfunkgerät erfasst werden können.Ähnlich wie bei der Datennutzung können Sie die SMS-Nutzung basierend auf dem Prozentsatz der Nachrichten proAbrechnungszeitraum überwachen, sofern das Gerät einem Telekommunikationstarifplan zugewiesen ist. Dadurchkönnen Sie Konformitätsrichtlinien basierend auf dem Prozentsatz der verbrauchten Nachrichten erstellen. DieÜberwachung der SMS-Nutzung kann hilfreich sein, wenn es darum geht, Zusatzgebühren beiMobilfunkkosten zuverhindern.

NutzungsbedingungenErstellen und setzen Sie Nutzungsbedingungen durch, um sicherzustellen, dass alle Anwender mit verwalteten Gerätendieser Richtlinie zustimmen. Auf Verlangen müssen Anwender die Nutzungsbedingungen akzeptieren, bevor sie mit derRegistrierung fortfahren, Anwendungen installieren oder auf die AirWatch Konsole zugreifen. Mit der AirWatch Konsolekönnen Sie die Nutzungsbedingungen vollständig anpassen und jeder Organisationsgruppe und jeder untergeordnetenOrganisationsgruppe ihre eigenen, speziellen Nutzungsbedingungen zuweisen.

Die Nutzungsbedingungen werden bei der Registrierung jedes einzelnen Geräts angezeigt. Erlangen Sie Zugriff auffolgende Funktionen.

l Versionsnummern bestimmen

l Plattformen zum Erhalt der Nutzungsbedingungen festlegen

l Anwender per E-Mail über Updates zu den Nutzungsbedingungen informieren

l Sprachspezifische Kopien der Nutzungsbedingungen erstellen

l Mehrere Nutzungsbedingungen erstellen und diese den Organisationsgruppen nach Besitztyp oder Plattformzuweisen

l Haftungsvoraussetzungen spezifischer Gruppen durch Anpassung der Nutzungsbedingungen erfüllen

Erstellen von Nutzungsbedingungen für die Registrierung

Sie können speziell für Registrierungszwecke Nutzungsbedingungen erstellen. Zudem können Sie die für die Registrierungzulässigen Geräte beschränken, und zwar nach Geräteplattform, Besitztyp und Registrierungstyp.


29



1. Vergewissern Sie sich, dass Ihre aktuelle, aktive Organisationsgruppe diejenige ist, für die Sie dieNutzungsbedingungen erstellen.

2. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Anwender > Allgemein > Registrierung und wählenSie die RegisterkarteNutzungsbedingungen.

3. Wählen SieNeue Nutzungsbedingungen für Registrierung hinzufügen.

4. Geben Sie einen eindeutigen Namen der neuen Nutzungsbedingungen ein. Der Typ der Nutzungsbedingungen wirdvorab mit „Registrierung“ aufgefüllt.

5. Wählen Sie für die Einstellungen Plattformen, Gerätebesitz und Registrierungstyp die Option Beliebig, wenn IhreNutzungsbedingungen für sämtliche Arten von Geräten dieser Kategorie gelten.

6. Wenn Sie einen Gerätetyp festlegen möchten, können Sie eine oder mehrere Kategorien auswählen und die für IhreNutzungsbedingungen spezifischen Einschränkungen definieren.

l Wenn Sie Ausgewählte Plattformenwählen, wählen Sie anschließend die gewünschten Plattformen aus derangezeigten Liste aus. Ihre Nutzungsbedingungen gelten für die von Ihnen ausgewählten Geräteplattformen,wobei alle anderen Bedingungen ausgeschlossen werden.

l Sollten Sie Ausgewählte Besitztypenwählen, dann müssen Sie anschließend Ihren gewünschten Besitz aus derangezeigten Liste wählen. Ihre Nutzungsbedingungen gelten für die von Ihnen ausgewählten Besitztypen, wobeialle anderen Bedingungen ausgeschlossen werden.

l Sollten Sie Ausgewählte Registrierungstypenwählen, dann müssen Sie anschließend Ihre gewünschteRegistrierung aus der angezeigten Liste wählen. Ihre Nutzungsbedingungen gelten für die von Ihnenausgewählten Registrierungstypen, wobei alle anderen Bedingungen ausgeschlossen werden.

7. Um eine E-Mail an Anwender zu senden, wenn die Nutzungsbedingungen aktualisiert werden, aktivieren Sie dasKontrollkästchen Benachrichtigung.

a. Zu Lokalisierungszwecken können Sie wahlweise Nutzungsbedingungen für alle Ihren Bedürfnissenentsprechenden Sprachen eingeben. Treffen Sie dazu IhreWahl im Dropdown-Menü Sprache auswählen.

8. Geben Sie im bereitgestellten Textfeld Ihre angepassten Nutzungsbedingungen ein.

Der Editor stellt ein einfaches Tool zur Texteingabe dar, mit dem Sie Nutzungsbedingungen erstellen odervorhandene Nutzungsbedingungen einfügen können. Um Text von einer externen Quelle hinzuzufügen, klicken Siemit der rechten Maustaste auf das Textfeld und wählen Sie Als Nur-Text einfügen, um mögliche HTML- oderFormatierungsfehler zu verhindern.


Sie können die Annahme der MDM-Nutzungsbedingungen durchsetzen, indem Sie eine Konformitätsrichtlinie zurAnnahme der Nutzungsbedingen zum MDM erstellen. Diese Durchsetzung trifft nicht auf Geräte zu, die AirWatchContainer verwenden.

Erstellen von Nutzungsbedingungen für Anwendungen oder die Konsole

Sie können auch anwendungsbasierte Nutzungsbedingungen erstellen, um Endanwender über Daten, die von einerbestimmten Anwendung erfasst werden, oder Restriktionen, die sie auferlegt, in Kenntnis zu setzen.

Wenn Anwender diese Anwendungen über Ihren Unternehmens-App Catalog ausführen, müssen sie die Vereinbarungzum Zugriff auf die Anwendung akzeptieren. Sie können die Nutzungsbedingungen für App-Versionen festlegen,


30



sprachspezifische Nutzungsbedingungen erstellen und Anwendung entfernen, wenn die Nutzungsbedingungen nichtakzeptiert werden.

Konsolennutzungsbedingungen werden angezeigt, wenn sich ein Administrator zum ersten Mal bei der AirWatchKonsole anmeldet. Für die AirWatch Konsole können Sie Versionsnummern für die Nutzungsbedingungen festlegen undsprachspezifische Versionen der Nutzungsbedingungen erstellen.

Weisen Sie für Anwendungen Nutzungsbedingungen zu, wenn Sie eine Anwendung hinzufügen oder bearbeiten, indemSie die RegisterkarteNutzungsbedingungen auswählen.

1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Nutzungsbedingungen.

2. Wählen SieNutzungsbedingungen hinzufügen.

3. Tragen Sie einen Namen für die Nutzungsbedingungen ein und wählen Sie den Typ, wobei es sich um Konsole oderAnwendung handeln kann.

4. Konfigurieren Sie Einstellungen, wie z.B. Versionsnummer und Toleranzperiode, abhängig von dem Typ, den Sieausgewählt haben.

5. Geben Sie Ihre Nutzungsbedingungen in das dafür vorgesehene Textfeld ein. Der Editor stellt ein einfaches Tool zurTexteingabe dar, mit dem Sie Nutzungsbedingungen erstellen oder vorhandene Nutzungsbedingungen einfügenkönnen. Um Text aus einer externen Quelle hinzufügen, klicken Sie mit der rechten Maustaste auf das Textfeld undwählen Als Nur-Text einfügen, um etwaige HTML- oder Formatierungsfehler zu verhindern.


Anzeigen der Annahme der Nutzungsbedingungen

Durch die Konfiguration von Konformitätsrichtlinien können Sie die Annahme von Nutzungsbedingungen durchsetzen.Darüber hinaus können Sie auch eine Seite mit einer Auflistung aller Anwender anzeigen, die die Nutzungsbedingungenakzeptiert bzw. nicht akzeptiert haben. Sie können dann, falls nötig, diese Anwender direkt kontaktieren.

1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Nutzungsbedingungen.

2. Verwenden Sie das Dropdown-Menü Typ, um basierend auf Vereinbarungstyp, z.B. Registrierung, zu filtern. DieSpalte Anwender/Geräte zeigt Geräte an, die die Nutzungsbedingungen angenommen oder abgelehnt haben bzw.denen sie zugewiesen wurden.

3. Wählen Sie die entsprechende Anzahl in der SpalteGeräte für die Zeile „Nutzungsbedingungen“, um dieGeräteinformationen, die diese Vereinbarung betreffen, einzusehen. Sie können auch auf das Dropdown-Menü fürdie entsprechende Zeile zugreifen und dann auf eines der folgenden Elemente klicken.

l Geräte oder Anwender anzeigen – Sehen Sie eine komplette Liste von Geräten und deren Akzeptanzstatus ein.Sie können auch nach Organisationsgruppe filtern.

l Vorherige Versionen anzeigen – Sehen Sie frühere Ausgaben der Vereinbarung ein.

l Nutzungsbedingungen anzeigen – Sehen Sie die Nutzungsbedingungen ein.

Nachverfolgen der Annahme von Nutzungsbedingungen anhand von Berichten

Sie können die Anwenderannahme aller Nutzungsbedingungen nachverfolgen und so möglicheMaßnahmen ergreifen.


31



Zeigen Sie Details bestimmter Organisationsgruppen, akzeptierte Annahmeerklärungen für die Konsole sowie dieGeräteregistrierung an. Prüfen Sie die Akzeptanz direkt in der AirWatch Konsole oder exportieren Sie den Bericht im PDF-,CSV- oder Excel-Format.

1. Navigieren Sie zu Hub > Berichte und Analysen > Berichte > Listenansicht.

2. Suchen Sie nach und erstellen Sie den Bericht Details zur Annahme der Nutzungsbedingungen durch Auswahl desBerichttitels.

3. Wählen Sie dieOrganisationsgruppen.

4. Wählen Sie den Nutzungsbedingungstyp.

5. Wählen Sie das Berichtsformat.

6. Wählen SieHerunterladen, um den Bericht im ausgewählten Format zu speichern.

7. Sie können ihn auch als PDF-Vorschau einsehen.

Wichtig: AirWatch stellt keinen gesetzlich verbindlichen Beispieltext zur Verfügung. Mögliche zur Verfügung gestellteTextbeispiele müssen von Ihrer Firma bzw. Rechtsabteilung geprüft werden.

Konsolen-BrandingDie AirWatch Konsole bietet umfangreiche Anpassungsoptionen. Diese Option ermöglicht es Ihnen, Markenaspekte IhrerAirWatch Tools und Ressourcen dem Farbschema, dem Logo und dem allgemeinen Erscheinungsbild Ihrer Organisationvollständig anzupassen.

Das branding kann zur Unterstützung von Mandantenfähigkeit konfiguriert werden, damit verschiedene AbteilungenIhres Unternehmens ihre eigenes Erscheinungsbild in ihrer Organisationsgruppenebene haben.

Weitere Informationen finden Sie unter Übersicht über Organisationsgruppen auf Seite 75.

Konfigurieren von Konsolen-Branding

Passen Sie die Konsole so an, dass sie mit dem Farbschema, dem Logo und dem Erscheinungsbild Ihrer Organisationübereinstimmt.

1. Wählen Sie die Organisationsgruppe, die Sie einer Marke anpassen möchten, und navigieren Sie zu Gruppen undEinstellungen > Alle Einstellungen > System > Branding.

2. Konfigurieren Sie die folgenden Einstellungen auf der Registerkarte Branding:

l Laden Sie ein Unternehmenslogo hoch, indem Sie die jeweilige auf Ihrem Computer gespeicherte Dateihochladen. Die Auflösung des Bilds sollte 800 x 300 Pixel betragen.

l Laden Sie einen Hintergrund für die Anmeldeseite hoch, indem Sie die jeweilige auf Ihrem Computer gespeicherteDatei hochladen. Die Auflösung des hochgeladenen Bilds sollte 1024 x 768 Pixel betragen.

l Laden Sie einen Hintergrund für die Self-Service Portal-Anmeldeseite hoch, indem Sie die jeweilige auf IhremComputer gespeicherte Datei hochladen. Die Auflösung des hochgeladenen Bilds sollte 1024 x 768 Pixel betragen.

3. Die Anpassungen können Sie im Abschnitt Farben auf der Registerkarte Branding vornehmen.


32



4. Konfigurieren Sie die folgenden Einstellungen auf der Registerkarte Anwenderdefiniertes CSS:

l Geben Sie den anwenderdefinierten CSS-Code für eine erweiterte Banding-Anpassung ein.


Eingeschränkte KonsolenaktionenIn einer Situation, in der die AirWatch Konsole unbeaufsichtigt gelassen wird, bietet AirWatch eine zusätzlicheSicherheitsmaßnahme gegen bösartige Aktionen mit möglicherweise destruktiven Auswirkungen. Sie können dafürsorgen, dass diese Aktionen unbefugten Anwendern nicht zur Verfügung stehen. Navigieren Sie zu Gruppen undEinstellungen > Alle Einstellungen > System > Sicherheit > Eingeschränkte Aktionen.

Aktivieren der Funktion „Nachricht an alle Geräte senden“

Aktivieren Sie diese Einstellung, um einem Systemadministrator zu ermöglichen, über die Gerätelistenansicht eineNachricht an alle Geräte Ihrer Bereitstellung zu senden.

Weitere Informationen finden Sie unter Gerätelistenansicht auf Seite 199.

Auswählen von Kennwortschutzmaßnahmen

Eingeschränkte Konsolenaktionen bieten eine zusätzliche Sicherheitsmaßnahme vor bösartigen Angriffen mit potentielldestruktiven Konsequenzen. Konfigurieren Sie die Einstellungen für eingeschränkte Aktionen. Navigieren Sie dazu zuGruppen und Einstellungen > Alle Einstellungen > System > Sicherheit > Eingeschränkte Aktionen.

Sie können verlangen, dass Administratoren bei bestimmten Aktionen eine PIN eingeben müssen. Wählen Sie für jede zuschützende Aktion unter Kennwortschutzaktionen die entsprechende Schaltfläche Aktiviert oder Deaktiviert aus. Diesbietet Ihnen eine präzise Steuerung darüber, welche Aktionen abgesichert werden sollen.

Hinweis: Für einige Aktionen ist immer eine PIN erforderlich, weshalb Sie sie nicht deaktivieren können. Diese werdennachfolgend mit einem * gekennzeichnet.

Sie können diemaximale Anzahl an Fehlversuchen festlegen, bevor Sie automatisch von der Sitzung abgemeldet werden.Erreichen Sie die maximale Anzahl an Fehlversuchen, müssen Sie sich erneut bei der AirWatch Konsole anmelden undeine neue Sicherheits-PIN festlegen.


33




Admin-Konto löschen Verhindert das Löschen eines Admin-Anwenderkontos unter Konten >Administratoren > Listenansicht.

*VMware Enterprise SystemsConnector-Zertifikat neugenerieren

Verhindert die erneute Generierung des VMware Enterprise Systems Connector-Zertifikats unter Gruppen und Einstellungen > Alle Einstellungen > System >Enterprise Integration > VMware Enterprise Systems Connector.

*APNs-Zertifikatsänderung Verhindert die Deaktivierung von APNs für MDM in Gruppen und Einstellungen >Alle Einstellungen > Geräte und Anwender > Apple > APNs für MDM.

App löschen/ deaktivieren/ außerKraft setzen

Verhindert das Löschen, die Deaktivierung oder die Außerkraftsetzung einerAnwendung unter Anwendungen und Bücher > Anwendungen > Listenansicht.

Inhalte löschen/deaktivieren Verhindert das Löschen oder die Deaktivierung einer Inhaltsdatei in Inhalt >Listenansicht.

*Datenverschlüsselungumschalten

Verhindert die Einstellung „Verschlüsselung von Anwenderinformationen“ inGruppen und Einstellungen > Alle Einstellungen > System > Sicherheit >Datensicherheit.

Gerät löschen Verhindert das Löschen eines Geräts in Geräte > Listenansicht. Die Admin-Sicherheits-PIN ist nach wie vor für Massenaktionen erforderlich, selbst, wenndiese Einstellung deaktiviert wird.

*Geräte-Wipe Verhindert jeglichen Versuch, ein Gerät von den Seiten „Listenansicht für Geräte“ oder „Gerätedetails“ aus aufWerkseinstellungen zurückzusetzen.

Enterprise-Zurücksetzung Verhindert jeglichen Versuch, über die SeiteGerätedetails aufWindows Robust-,robusten Android- oder QNX-Geräten eine Enterprise-Zurücksetzungdurchzuführen.

Enterprise Wipe Verhindert jeglichen Versuch, ein Gerät von der SeiteGerätedetails aus einemEnterpriseWipe zu unterziehen.

Enterprise Wipe (Umschaltungauf Grundlage vonAnwendergruppenmitgliedschaft)

Verhindert jeglichen Versuch, ein Gerät einem EnterpriseWipe zu unterziehen,wenn es aus einer Anwendergruppe entfernt wird. Dies ist eine optionaleEinstellung, die Sie unter Gruppen und Einstellungen > Alle Einstellungen >Geräte und Anwender > Allgemein > Registrierung auf der RegisterkarteRestriktionen konfigurieren können. Falls Sie auf dieser Registerkarte dieRegistrierung auf konfigurierte Gruppen beschränken, haben Sie die zusätzlicheMöglichkeit, ein Gerät einem EnterpriseWipe zu unterziehen, wenn es aus einerGruppe entfernt wird. Weitere Informationen finden Sie unter Konfigurieren vonRegistrierungsrestriktionseinstellungen auf Seite 130.

*Organisationsgruppe löschen Verhindert jeglichen Versuch, die aktuelle Organisationsgruppe von Gruppenund Einstellungen > Gruppen > Organisationsgruppen >Organisationsgruppendetails zu löschen.

Profil löschen/deaktivieren Verhindert jeglichen Versuch, ein Profil von Geräte > Profile und Ressourcen >Listenansicht aus zu löschen oder zu deaktivieren.


34




Provisioning-Produkt löschen Verhindert jeglichen Versuch, ein Bereitstellungsprodukt über Geräte > Stagingund Provisioning > Listenansicht für Produkte zu löschen.

Zertifikat widerrufen Verhindert jeglichen Versuch, ein Zertifikat über Geräte > Zertifikate >Listenansicht zu widerrufen.

*Secure Channel-Zertifikataufheben

Verhindert jeglichen Versuch, ein bestehendes Secure Channel-Zertifikat überGruppen und Einstellungen > Alle Einstellungen > System > Erweiterungen >Secure Channel-Zertifikat zu löschen.

Anwenderkonto löschen Verhindert jeglichen Versuch, ein Anwenderkonto über Konten > Anwender >Listenansicht zu löschen.

Telekom-Tarifplan löschen Verhindert das Löschen eines Telekom-Tarifplans in Telekom > Planliste.

Auftragsprotokollebeneüberschreiben

Verhindert jeglichen Versuch, die momentan ausgewählte Auftragsprotokollebenezu überschreiben. Navigieren Sie dazu zu Gruppen und Einstellungen >Administrator > Diagnose > Protokollierung. Die Überschreibung derAuftragsprotokollebene ist nützlich, wenn auf einem Gerät oder einer Gruppe vonGeräten ein Problem auftritt. In diesem Fall kann der Administrator durchAnhebung der Protokollebene auf „Ausführlich“ jene Geräteeinstellungenüberschreiben. Dadurch wird der Höchstwert der Konsolenaktivität protokolliert,was es ideal für die Problembehandlung macht.

*App Scan-Anbieterzurücksetzen/umschalten

Verhindert das Zurücksetzen (und nachfolgende Entfernen) Ihrer App Scan-Integrationseinstellungen. Diese Aktion wird in Gruppen und Einstellungen > AlleEinstellungen > Anwendungen > App Scan ausgeführt.

Maximale Anzahl ungültiger PIN-Eingabeversuche

Legt die maximale Anzahl an ungültigen PIN-Eingaben fest, bevor die Konsolegesperrt wird. Diese Einstellung muss zwischen 1 und 5 liegen.

Konfigurieren von erforderlichen Aktionsbenachrichtigungen

Zusätzlich können Sie von Administratoren über die Aktivierung des Kontrollkästchens Benachrichtigungen durchsetzenverlangen, dass sie ihre Aktionen in Form von Benachrichtigungen begründen. Navigieren Sie zu Gruppen undEinstellungen > Alle Einstellungen > System > Sicherheit > Eingeschränkte Aktionen.


Gerät sperren Verlangen Sie einen Hinweis bei einem Versuch, ein Gerät über die Seiten Listenansicht fürGeräte oder Gerätedetails zu sperren.

SSO sperren Verlangen Sie einen Hinweis bei einem Versuch, eine SSO-Sitzung über die Seite Listenansichtfür Geräte oder Gerätedetails zu sperren.

Geräte-Wipe Verlangen Sie einen Hinweis bei einem Versuch, über die Seiten Listenansicht für Geräteoder Gerätedetails ein Geräte-Wipe auszuführen.

Enterprise-Zurücksetzung

Verlangen Sie für den Versuch bei einem Hinweis, über die SeiteGerätedetails auf einemWindows Robust- oder einem robusten Android-Gerät eine Enterprise-Zurücksetzungauszuführen.


35




Enterprise Wipe Verlangen Sie einen Hinweis bei einem Versuch, ein Gerät über die SeiteGerätedetails einemEnterpriseWipe zu unterziehen.

Auftragsprotokollebeneüberschreiben

Verlangen Sie einen Hinweis vor Versuchen, die Standard-Auftragsprotokollebene zuüberschreiben. Navigieren Sie dazu zu Gruppen und Einstellungen > Administrator >Diagnose > Protokollierung.

Weitere Unternehmenssysteme zur IntegrationProfitieren Sie von der erweiterten MDM-Funktionalität, indem Sie Ihre AirWatch Umgebung in vorhandeneUnternehmensinfrastrukturen integrieren, einschließlich E-Mail-Verwaltung in SMTP, Verzeichnisdienste undInhaltsverwaltungs-Repositorys.

AirWatch kann in folgende interne Komponenten integriert werden.

l E-Mail-Relay (SMTP) – Bieten Sie Sicherheit, Transparenz und Kontrolle für E-Mails, die über dieMobilfunkverbindung gesendet werden.

l Verzeichnisdienste (LDAP/AD) – Nutzen Sie vorhandene Unternehmensgruppen, um Anwender und Geräte zuverwalten.

l Microsoft-Zertifikatsdienste – Nutzen Sie Ihre bestehendeMicrosoft-Zertifikatsinfrastruktur für die AirWatchBereitstellung.

l Simple Certificate Enrollment Protocol (SCEP PKI) – Konfigurieren Sie Zertifikate für WLAN, VPN, Microsoft EAS undmehr.

l Email Management Exchange 2010 (PowerShell) – Stellen Sie eine sichere Verbindung mit AirWatch her, umRichtlinien mit Unternehmens-E-Mail-Servern durchzusetzen.

l BlackBerry Enterprise Server (BES) – Integrieren Sie AirWatch in BES zur optimierten BlackBerry-Verwaltung.

l Drittanbieter-Zertifikatsdienste – Importieren Sie Zertifikatsverwaltungssysteme, die mithilfe der Konsole verwaltetwerden sollen.

l Lotus Domino-Webdienst (HTTPS) – Greifen Sie mit Ihrer AW Bereitstellung auf Lotus Domino-Inhalte und -Funktionen zu.

l Inhalts-Repositorys – Integrieren Sie AirWatch in SharePoint, Google Drive, SkyDrive, Dateiserver undNetzwerkfreigaben.

l Syslog (Ereignisprotokolldaten) – Exportieren Sie die Ereignisprotokolldaten, sodass diese über alle integriertenServer und Systeme hinweg eingesehen werden können.

l Unternehmensnetzwerke – Konfigurieren SieWLAN- und VPN-Einstellungen und stellen Sie Geräteprofile mitAnwenderanmeldedaten für den Zugriff bereit.

l Security Information and Event Management (SIEM) – Erfassen und kompilieren Sie Geräte- und Konsolendaten,um Sicherheit und Konformität mit Vorschriften und Unternehmensrichtlinien zu gewährleisten.

Weitere Informationen darüber, wie Sie AirWatch in diese Infrastrukturen integrieren, finden Sie im VMware EnterpriseSystems Connector Guide, verfügbar unter https://www.vmware.com/support/pubs/workspaceone-pubs.html, im


36



VMware Tunnel Admin Guide und im Abschnitt „Syslog“ des Reports & Analytics Guide, verfügbar unter Zugreifen aufandere Dokumente auf Seite 241.


37



Kapitel 4:Anwender- und Administratorkonten

Übersicht über Anwender- und Administratorkonten 39

Anwenderauthentifizierungstypen 39

Standardanwenderkonten 45

Verzeichnisbasierte Anwenderkonten 48

Übersicht über Listenansichten für Anwenderkonten 51

Batch-Importfunktion 54

Administratorkonten 56

38



Übersicht über Anwender- und AdministratorkontenAirWatch verwaltet Geräte, indem es die Anwender eines jeden Geräts mitverfolgt. Deshalb müssen zur Registrierung beiAirWatch Anwenderkonten für Geräte erstellt und integriert werden. Auch Administratorkonten müssen erstellt undzugewiesen werden, um Administratoren das Verwalten von Anwendern und Geräten zu vereinfachen.

Mit der AirWatch Konsole können Sie eine komplette Anwender- und Administratorinfrastruktur einrichten. Nutzen Siedie gebotenen Konfigurationsoptionen zur Authentifizierung, Unternehmensintegration und fortlaufenden Verwaltung.

AnwenderauthentifizierungstypenDamit Geräte registriert werden können, muss jeder Geräteanwender über ein authentifiziertes und von AirWatcherkanntes Anwenderkonto verfügen. Der von Ihnen gewählte Anwenderauthentifizierungstyp hängt von denAnforderungen Ihrer Organisation ab.

Standardmäßige Anwenderauthentifizierung

Die Standardauthentifizierung kann zur Identifizierung von Anwendern in der AirWatch Architektur verwendet werden,bietet jedoch keine Integration für bestehende Unternehmensanwenderkonten.

Vorteile

l Kann für jede Bereitstellungsmethode verwendet werden.

l Erfordert keine technische Integration.

l Erfordert keine Unternehmensinfrastruktur.

Nachteile

l Anmeldedaten existieren nur in AirWatch und stimmen mit vorhandenen Unternehmensanmeldedaten nichtunbedingt überein.

l Bietet keine Verbundsicherheit oder Single Sign-On.

l AirWatch speichert alle Anwendernamen und Kennwörter.

1. Der Konsolenanwender meldet sich zur Authentifizierung mit dem lokalen AirWatch Konto(Standardauthentifizierung) bei AirWatch SaaS an.

Kapitel 4: Anwender- und Administratorkonten

39



l Anmeldedaten werden bei der Übertragung verschlüsselt.

l (Beispiel: Anwendername „[email protected]“, Kennwort „abcd“)

2. Der Geräteanwender registriert sich mit dem lokalen AirWatch Konto (Standardauthentifizierung).

l Anmeldedaten werden bei der Übertragung verschlüsselt.

l (Beispiel: Anwendername „jdoe2“, Kennwort „2557“)

Active Directory-/LDAP-Authentifizierung

Die Active Directory(AD)-/Lightweight Directory Access Protocol(LDAP)-Authentifizierung wird verwendet, um Anwender-und Administratorkonten von AirWatch in vorhandene Unternehmenskonten zu integrieren.

Vorteile

l Endanwender authentifizieren sich nun mit vorhandenen Unternehmensanmeldedaten.

l Sie stellt eine sichereMethode zur Integration in LDAP/AD dar.

l Sie bietet eine Standardintegrationsmethode.

Nachteile

l Für die Authentifizierung ist ein AD- oder ein anderer LDAP-Server erforderlich.

1. Das Gerät stellt zur Registrierung des Geräts eine Verbindung zu AirWatch MDM her. Der Anwender gibt denAnwendernamen und das Kennwort des Verzeichnisdiensts ein.

l Anwendername und Kennwort werden bei der Übertragung verschlüsselt.

l AirWatch speichert nicht das Anwenderkennwort für den Verzeichnisdienst.

2. AirWatch fragt zur Authentifizierung mit einem Dienstkonto die Verzeichnisdienste des Clients per Internet durch einsicheres LDAP-Protokoll ab.

3. Die Anmeldedaten des Anwenders werden mit dem Verzeichnisdienst des Unternehmens abgeglichen.

4. Wenn die Anmeldedaten des Anwenders gültig sind, ermöglicht der AirWatch Server die Durchführung derGeräteregistrierung durch das Gerät.


40



Active Directory-/LDAP-Authentifizierung mit VMware Enterprise Systems Connector

Die Active Directory-/LDAP-Authentifizierung mit VMware Enterprise Systems Connector bietet denselbenFunktionsumfang wie den der konventionellen AD-/LDAP-Authentifizierung. Dieses Modell agiert für SaaS-Bereitstellungen (Software as a Service) über die Cloud.

Vorteile

l Endanwender authentifizieren sich mit vorhandenen Unternehmensanmeldedaten.

l Diese Authentifizierung erfordert keine Änderungen an der Firewall, da die Kommunikation über VMware EnterpriseSystems Connector in Ihrem Netzwerk initiiert wird.

l Anmeldedaten werden verschlüsselt und gesichert übertragen.

l DieseMethode bietet eine sichere Konfiguration für andere Infrastrukturkomponenten, wie BES-, Microsoft AD CS-,SCEP- und SMTP-Server.

Nachteile

l Für dieseMethodemuss VMware Enterprise Systems Connector hinter der Firewall oder in einer DMZ installiert sein.

l DieseMethode erfordert zusätzliche Konfigurationen.

Modell der SaaS-Bereitstellung

Modell der lokalen Bereitstellung


41



Informationen zur Integration Ihrer AirWatch Umgebung in diese Infrastrukturkomponenten finden Sie im VMwareEnterprise Systems Connector Guide, verfügbar unter https://www.vmware.com/support/pubs/workspaceone-pubs.html.

Authentifizierungsproxy

Der Authentifizierungsproxy bietet Verzeichnisdienstintegration über die Cloud und gehärtete, interne Netzwerkehinweg. In diesem Modell kommuniziert der AirWatch MDM-Server mit einem öffentlichen Webserver oder einemExchange ActiveSync-Server. Bei dieser Konfiguration werden Anwender anhand des Domänencontrollers authentifiziert.

Vorteile

l Sie bietet eine sichereMethode zur Proxyintegration in AD/LDAP quer durch die Cloud.

l Endanwender können ihre Authentifizierung mit vorhandenen Unternehmensanmeldedaten ausführen.

l Das Lightweight-Modul erfordert minimale Konfiguration.

Nachteile

l Erfordert einen öffentlichen Webserver oder einen Exchange ActiveSync-Server mit Verbindungen zu einemAD/LDAP-Server.

l Nur bei bestimmten Architekturlayouts möglich.

l Weitaus weniger zuverlässige Lösung als VMware Enterprise Systems Connector.

1. Das Gerät stellt zur Registrierung des Geräts eine Verbindung mit AirWatch her. Der Anwender gibt denAnwendernamen und das Kennwort des Verzeichnisdiensts ein.

l Anwendername und Kennwort werden bei der Übertragung verschlüsselt.

l AirWatch speichert nicht das Anwenderkennwort für den Verzeichnisdienst.

2. AirWatch übermittelt den Anwendernamen und das Kennwort an einen konfigurierten Authentifizierungsproxy-Endpunkt, für den eine Authentifizierung erforderlich ist (z.B. Standardauthentifizierung).

3. Die Anmeldedaten des Anwenders werden mit den Verzeichnisdiensten des Unternehmens abgeglichen.

4. Wenn die Anmeldedaten des Anwenders gültig sind, gestattet der AirWatch Server dem Gerät die Durchführung derGeräteregistrierung.


42



SAML 2.0-Authentifizierung

Die SAML 2.0-Authentifizierung (Security Assertion Markup Language) bietet Unterstützung für Single Sign-On undVerbundauthentifizierung. AirWatch erhält nie Unternehmensanmeldedaten. Wenn eine Organisation über einen SAML-Identitätsanbieterserver verfügt, sollten Sie die SAML 2.0-Integration verwenden.

Vorteile

l Sie bietet Single Sign-On-Funktionen.

l Die Authentifizierung erfolgt mit den vorhandenen Unternehmensanmeldedaten.

l AirWatch erhält niemals Unternehmensanmeldedaten in reinem Textformat.

Nachteile

l Eine geschäftliche SAML-Identitätsanbieterstruktur ist erforderlich.

1. Das Gerät stellt zur Registrierung eine Verbindung mit AirWatch her. Der AirWatch Server leitet das Gerät an den vomClient festgelegten Identitätsanbieter um.

2. Das Gerät stellt eine sichere HTTPS-Verbindung mit dem vom Client bereitgestellten Identitätsanbieter her und derAnwender gibt die Anmeldedaten ein.

l Die Anmeldedaten werden bei der direkten Übertragung zwischen dem Gerät und dem SAML-Endpunktverschlüsselt.

3. Die Anmeldedaten werden mit den Verzeichnisdiensten abgeglichen.

4. Der Identitätsanbieter gibt eine signierte SAML-Antwort mit dem authentifizierten Anwendernamen zurück.

5. Das Gerät antwortet dem AirWatch Server und stellt die signierte SAML-Nachricht bereit. Der Anwender wirdauthentifiziert.

Wie Sie Ihre AirWatch Umgebung in einen SAML-Anbieter integrieren, erfahren Sie im VMware AirWatch SAMLIntegration Guide, verfügbar unter Zugreifen auf andere Dokumente auf Seite 241.


43



Tokenbasierte Authentifizierung

Die tokenbasierte Authentifizierung bietet Anwendern die einfachsteMethode zur Registrierung ihrer Geräte. Mit dieserRegistrierungseinstellung generiert AirWatch ein Token, das in die Registrierungs-URL eingefügt wird.

Zur Einzeltokenauthentifizierung greift der Anwender auf den Link vom Gerät zu, um die Registrierung abzuschließen.Der AirWatch Server bezieht sich dabei auf das dem Anwender bereitgestellte Token.

Legen Sie zur Erhöhung der Sicherheit eine Ablaufzeit (in Stunden) für jedes Token fest. Durch die Festlegung einerAblaufzeit wird das Risiko minimiert, dass ein anderer Anwender auf Informationen und Funktionen zugreift, die sich aufdem Gerät befinden.

Sie können sich auch dafür entscheiden, eine zweistufige Authentifizierung zu implementieren, um die Endanwender-Identitätsüberprüfung auf ein höheres Niveau zu heben. Mit dieser Authentifizierungseinstellung müssen Anwenderihren Anwendernamen und ihr Kennwort eingeben, nachdem siemit dem bereitgestellten Token auf den Registrierungs-Link zugegriffen haben.

Vorteile

l Minimaler Arbeitsaufwand für Endanwender beim Registrieren und Authentifizieren ihrer Geräte

l Sichere Tokennutzung durch Festlegen einer Ablaufzeit

l Keine Anmeldedaten zur Einzeltokenauthentifizierung für Anwender erforderlich

Nachteile

l Integration von SimpleMail Transfer Protocol (SMTP) oder Short Message Service (SMS) zum Senden eines Tokensan das Gerät erforderlich

1. Der Administrator autorisiert die Eintragung von Anwendergeräten.

2. Ein einmaliges Token wird generiert und über AirWatch an den Anwender gesendet.

3. Der Anwender erhält ein Token und ruft die Registrierungs-URL auf. Der Anwender wird zum Nachweis eines Tokensund optional zur zweistufigen Authentifizierung aufgefordert.

4. Die Geräteregistrierung wird durchgeführt.

5. Das Token wird von AirWatch als abgelaufen gekennzeichnet.

Hinweis: SaaS-Bereitstellungen umfassen SMTP.


44



Aktivieren von Sicherheitstypen zur Registrierung

Aktivieren Sie nach der Integration von AirWatch mit einem ausgewählten Anwendersicherheitstyp und vor derRegistrierung jeden Authentifizierungsmodus, den Sie zuzulassen planen.

Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Anwender > Allgemein > Registrierung in derRegisterkarte Authentifizierung und aktivieren Sie die entsprechenden Kontrollkästchen für die EinstellungAuthentifizierungsmodus.

StandardanwenderkontenErstellen Sie für Ihre Endanwender Standardanwenderkonten in AirWatch, wenn keine Integration in einenVerzeichnisdienst vorhanden ist. Standardanwenderkonten sind auch für Testzwecke nützlich, da sie schnell erstellt undim Anschluss gelöscht werden können. Weitere Informationen finden Sie unter Standardregistrierung vs. Registrierungdurch Verzeichnisdienste auf Seite 104.

Vorteile

l Kann für jede Bereitstellungsmethode verwendet werden.



Nachteile

l Anmeldedaten existieren nur in AirWatch und stimmen mit vorhandenen Unternehmensanmeldedaten nichtunbedingt überein.

l Bietet keine Verbundsicherheit.

l Single Sign-On wird nicht unterstützt.

l AirWatch speichert alle Anwendernamen und Kennwörter.

Erstellen von Standardanwenderkonten

Sie können Standardanwenderkonten für alle Anwender zur Authentifizierung und Anmeldung beim AirWatch Systemerstellen.

Erstellen von Standardanwenderkonten

Sie können Standardanwenderkonten erstellen, die alle Anwender zur Authentifizierung und Anmeldung beim AirWatchSystem benötigen. In diesem Abschnitt wird ausführlich erläutert, wie Sie einzelne Anwenderkonten erstellen.

1. Navigieren Sie zu Konten > Anwender > Listenansicht, wählen SieHinzufügen und dann Anwender hinzufügen. DieSeite Anwender hinzufügen/bearbeitenwird angezeigt.

2. Bearbeiten Sie auf der Registerkarte Allgemein folgende Einstellungen, um einen Standardanwender hinzuzufügen:


Sicherheitstyp Wählen Sie Standard, um einen Standardanwender hinzuzufügen.


45




Anwendername Geben Sie den Anwendernamen ein, mit dem der neue Anwender identifiziertwird.

Kennwort Geben Sie ein Kennwort ein, mit dem sich der Anwender anmelden kann.

Kennwort bestätigen Bestätigen Sie das Kennwort.

Vollständiger Name Tragen Sie den Vorname, Zweiter Vorname und Nachname des Anwendersein.

Anzeigename Geben Sie einen Namen ein, der für den Anwender in der AirWatch Konsolesteht.

E-Mail-Adresse Geben Sie die E-Mail-Adresse des Anwenders ein oder bearbeiten Sie diese.

E-Mail-Anwendername Geben Sie den E-Mail-Anwendernamen des Anwenders ein oder bearbeitenSie diesen.

Domäne Wählen Sie die E-Mail-Domäne aus den Dropdown-Einstellungen.

Telefonnummer Geben Sie die Rufnummer des Anwenders ein, einschließlich Pluszeichen,Landesvorwahl und Ortsvorwahl. Diese Option ist erforderlich, falls Siebeabsichtigen, Benachrichtigungen per SMS zu senden.

Registrierung

Registrierungsorganisationsgruppe Wählen Sie die Organisationsgruppe, bei der sich der Anwender registriert.

Ermöglichen Sie es demAnwender, sich bei zusätzlichenOrganisationsgruppen zuregistrieren

Sie können dem Anwender ermöglichen, sich bei mehr als einerOrganisationsgruppe zu registrieren. Sollten Sie Aktiviert auswählen,bearbeiten Sie die Dropdown-Einstellung Zusätzliche Organisationsgruppen.

Anwenderrolle Wählen Sie die Rolle für den Anwender, den Sie hinzufügen möchten, ausdieser Dropdown-Einstellung.

Benachrichtigung

Nachrichtentyp Wählen Sie den Typ der Nachricht, die Sie dem Anwender senden wollen –E-Mail, SMS oder Keine(r/s). Bei Auswahl von „SMS“ ist ein gültiger Eintrag inder Option Rufnummer erforderlich.

Nachrichtenvorlage Wählen Sie über die Dropdown-Einstellung die Vorlage für entweder E-Mail-oder SMS-Nachrichten. Wahlweise können SieNachrichtenvoransichtwählen, um die Vorlage im Voraus einzusehen. Sie können auch eine Vorlageerstellen, indem SieNachrichtenvorlagen konfigurierenwählen.


46



3. Über die Registerkarte Erweiterungen können Sie folgende Einstellungen bearbeiten:


Bereich „Erweiterte Informationen“

E-Mail-Kennwort Geben Sie das E-Mail-Kennwort des Anwenders ein, den Sie hinzufügen.

E-Mail-Kennwort bestätigen Bestätigen Sie das E-Mail-Kennwort des Anwenders, den Sie hinzufügen.

Anwenderprinzipalname Geben Sie den Prinzipalnamen des Standardanwenders ein. Diese Einstellung istoptional.

Kategorie Wählen Sie die Anwenderkategorie für den hinzuzufügenden Anwender.

Abteilung Geben Sie zu administrativen Zwecken die Abteilung des Anwenders ein.

Mitarbeiter-ID Geben Sie zu administrativen Zwecken dieMitarbeiter-ID des Anwenders ein.

Kostenstelle Geben Sie für Verwaltungszwecke die Kostenstelle des Anwenders ein.

Bereich „Zertifikate“

S/MIME verwenden Aktivieren bzw. deaktivieren Sie S/MIME (Secure/Multipurpose Internet MailExtensions).

Bei Aktivierung müssen Sie über ein S/MIME-fähiges Profil verfügen und überHochladen ein S/MIME-Zertifikat hochladen.

SeparatesVerschlüsselungszertifikat

Aktivieren bzw. deaktivieren Sie Verschlüsselungszertifikate.

Bei Aktivierung müssen Sie über Hochladen ein Verschlüsselungszertifikathochladen. Im Allgemeinen wird dasselbe S/MIME-Zertifikat zur Signierung undzur Verschlüsselung verwendet, es sei denn, es wird ausdrücklich ein anderesZertifikat verwendet.

AltesVerschlüsselungszertifikat

Aktivieren bzw. deaktivieren Sie die Legacy-Version einesVerschlüsselungszertifikats.

Wenn diese Option aktiviert ist, müssen Sie ein Verschlüsselungszertifikathochladen.

Bereich „Staging“

Geräte-Staging aktivieren Aktivieren bzw. deaktivieren Sie das Staging von Geräten.

Wenn diese Option aktiviert ist, müssen Sie Einzelanwendergeräte undMehranwendergeräte auswählen. Bei Einzelanwendergerätenmüssen Siezwischen der Option Standard, bei der sich Anwender selbst anmelden, oder derOption Erweitertwählen, bei der ein Gerät im Auftrag eines anderen Anwendersregistriert wird. Weitere Informationen finden Sie unter EigenständigeRegistrierung vs. Geräte-Staging auf Seite 110.

4. Wählen Sie Speichern, um nur den neuen Anwender zu speichern, oder Speichern und Gerät hinzufügen, um denneuen Anwender zu speichern und mit der SeiteGerät hinzufügen fortzufahren.


47



Verzeichnisbasierte AnwenderkontenDurch die Integration in einen bestehenden Verzeichnisdienst können Anwender automatisch importiert werden. Somüssen Anwender nicht manuell zur AirWatch Konsole hinzugefügt werden. Weitere Informationen finden Sie unterStandardregistrierung vs. Registrierung durch Verzeichnisdienste auf Seite 104.

Alle Verzeichnisanwender, die Sie über AirWatch Mobile DeviceManagement (MDM) verwalten möchten, müssen in derAirWatch Konsole ein entsprechendes Anwenderkonto besitzen.

Mit einer der folgenden Methoden können Sie Ihre vorhandenen Verzeichnisdienstanwender direkt bei AirWatchhinzufügen.

l Laden Sie eine Datei als Batch hoch, die all Ihre Verzeichnisdienstanwender enthält. Durch Batch-Import wirdautomatisch ein Anwenderkonto erstellt.

l Erstellen Sie nacheinander AirWatch Anwenderkonten, indem Sie den Anwendernamen des Verzeichnisses eingebenund Anwender prüfen auswählen, um die restlichen Details automatisch aufzufüllen.

l Führen Sie weder einen Batch-Import noch einemanuelle Erstellung der Anwenderkonten aus. Erlauben Siestattdessen allen Verzeichnisanwendern, sich bei der Registrierung selbst zu registrieren.

Vorteile

l Endanwender authentifizieren sich mit vorhandenen Unternehmensanmeldedaten.

l Änderungen können automatisch über das Verzeichnissystem bei AirWatch erkannt und synchronisiert werden.

l Diese Vorgehensweise stellt eine sichereMethode zur Integration in Ihren bestehenden Verzeichnisdienst dar.


l SaaS-Bereitstellungen mit VMware Enterprise Systems Connector erfordern keine Firewall-Änderungen und bieteneine sichere Konfiguration für andere Infrastrukturen wieMicrosoft ADCS-, SCEP- und SMTP-Server.

Nachteile

l Erfordert eine vorhandene Verzeichnisdienstinfrastruktur.

l SaaS-Bereitstellungen erfordern zusätzliche Konfiguration, da VMware Enterprise Systems Connector hinter derFirewall oder in einer DMZ installiert ist.

Erstellen von verzeichnisbasierten Anwenderkonten

Für jeden Anwender im AirWatch System müssen Konten erstellt werden; Verzeichnisanwender verwenden zurAuthentifizierung Ihre bestehenden Unternehmensanmeldedaten.

Erstellen von verzeichnisbasierten Anwenderkonten

Für jeden Anwender im AirWatch System müssen Konten erstellt werden; Verzeichnisanwender verwenden zurAuthentifizierung Ihre bestehenden Unternehmensanmeldedaten. In diesem Abschnitt wird ausführlich erläutert, wie Sieeinzelne Anwenderkonten erstellen.

1. Navigieren Sie zu Konten > Anwender > Listenansicht, und wählen SieHinzufügen und dann Anwender hinzufügen.Die Seite Anwender hinzufügen/bearbeitenwird angezeigt.


48



2. Bearbeiten Sie auf der Registerkarte Allgemein folgende Einstellungen, um einen Verzeichnisbenutzer hinzuzufügen.


Sicherheitstyp Wählen Sie Verzeichnis, um einen Active Directory-Anwender hinzuzufügen.

Verzeichnisname Dieses im Vorfeld aufgefüllte Feld identifiziert den Active Directory-Namen.

Domäne Wählen Sie den Domänennamen aus dem Dropdown-Menü.

Anwendername Geben Sie den Verzeichnisanwendernamen des Anwenders ein und wählenSie Anwender prüfen. Stellt das System eine Übereinstimmung fest, werdendie Anwenderinformationen automatisch eingetragen. Die verbleibendenEinstellungen in diesem Abschnitt sind erst verfügbar, nachdem Sie über dieSchaltfläche Anwender prüfen einen Active Directory-Anwender ausfindiggemacht haben.

Vollständiger Name Verwenden Sie Attribute bearbeiten, um Optionen zum Synchronisiereneines leeren Werts aus dem zu bearbeitenden Verzeichnis zuzulassen. Über„Attribute bearbeiten“ können die entsprechenden Anwenderinformationenautomatisch aufgefüllt werden.

Wenn eine Einstellung einen tatsächlichen Wert aus dem Verzeichnissynchronisiert, muss diese Einstellung im Verzeichnis selbst bearbeitetwerden. Die Änderung wird bei der nächsten Verzeichnissynchronisierungangewendet. Vervollständigen Sie jede vom Verzeichnis zurückgegebeneleere Option unter Vollständiger Name und wählen Sie Attributebearbeiten, um die Hinzufügung zu speichern.

Anzeigename Geben Sie den Namen ein, der in der Admin-Konsole angezeigt werden soll.

E-Mail-Adresse Geben Sie die E-Mail-Adresse des Anwenders ein oder bearbeiten Sie diese.

E-Mail-Anwendername Geben Sie den E-Mail-Anwendernamen des Anwenders ein oder bearbeitenSie diesen.

Domäne (E-Mail) Wählen Sie die E-Mail-Domäne aus dem Dropdown-Menü.

Telefonnummer Geben Sie die Rufnummer des Anwenders ein, einschließlich Pluszeichen,Landesvorwahl und Ortsvorwahl. Falls Sie beabsichtigen, Benachrichtigungenper SMS zu senden, ist die Telefonnummer erforderlich.

Registrierung

Registrierungsorganisationsgruppe Wählen Sie die Organisationsgruppe, bei der sich der Anwender registrierensoll.

Ermöglichen Sie es demAnwender, sich bei zusätzlichenOrganisationsgruppen zuregistrieren

Wählen Sie, ob Sie dem Anwender ermöglichen möchten, sich bei mehr alseiner Organisationsgruppe zu registrieren. Sollten Sie Aktiviert auswählen,bearbeiten Sie Zusätzliche Organisationsgruppen.

Anwenderrolle Wählen Sie die Rolle für den Anwender, den Sie hinzufügen möchten, ausdiesem Dropdown-Menü.


49




Benachrichtigung

Nachrichtentyp Wählen Sie den Typ der Nachricht, die Sie dem Anwender senden wollen –E-Mail, SMS oder Keine(r/s). Bei Auswahl von „SMS“ ist ein gültiger Eintrag indas Textfeld Rufnummer erforderlich.

Nachrichtenvorlage Wählen Sie aus der Dropdown-Einstellung die Vorlage für E-Mail- oder SMS-Nachrichten. Wahlweise können SieNachrichtenvoransichtwählen, um dieVorlage im Voraus einzusehen. Sie können auch eine Vorlage erstellen.Wählen Sie dazu den Link Nachrichtenvorlagen konfigurieren.

3. Über die Registerkarte Erweiterungen können Sie folgende Einstellungen bearbeiten:


Bereich „Erweiterte Informationen“

E-Mail-Kennwort Geben Sie das E-Mail-Kennwort des Anwenders ein, den Sie hinzufügen.

E-Mail-Kennwortbestätigen

Bestätigen Sie das E-Mail-Kennwort des Anwenders, den Sie hinzufügen.

Definierter Name Bei von VMware AirWatch erkannten Verzeichnisanwendern wurde dieses Textfeld mitdem definierten Namen des Anwenders bereits zuvor aufgefüllt. „Definierter Name“ isteine Zeichenfolge, die den Anwendernamen und alle einem Active Directory-Anwenderzugeordnete Autorisierungscodes darstellen.

Definierter Name desManagers

Geben Sie den definierten Name des Managers des Anwenders ein. Dieses Textfeld istoptional.

Kategorie Wählen Sie die Anwenderkategorie für den hinzuzufügenden Anwender.

Abteilung Geben Sie zu administrativen Zwecken Ihres Unternehmens die Abteilung desAnwenders ein.

Mitarbeiter-ID Geben Sie zu administrativen Zwecken Ihres Unternehmens dieMitarbeiter-ID desAnwenders ein.

Kostenstelle Geben Sie für Verwaltungszwecke Ihres Unternehmens die Kostenstelle desAnwenders ein.

AnwenderdefiniertesAttribut 1-5 (nur fürVerzeichnisanwender)

Geben Sie, wo zutreffend, Ihre zuvor konfigurierten anwenderdefinierten Attributeein. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte undAnwender > Erweiterungen > Anwenderdefinierte Attribute, um dieseanwenderdefinierten Attribute zu definieren.

Hinweis: Anwenderdefinierte Attribute können nur in Kundenorganisationsgruppen konfiguriertwerden.


50




Bereich „Zertifikate“

S/MIME verwenden Aktivieren bzw. deaktivieren Sie die Verwendung von S/MIME (Secure/MultipurposeInternet Mail Extensions). Bei Aktivierung müssen Sie über ein S/MIME-fähiges Profilverfügen und über Hochladen ein S/MIME-Zertifikat hochladen.

SeparatesVerschlüsselungszertifikat

Aktivieren bzw. deaktivieren Sie die Verwendung separaterVerschlüsselungszertifikate. Bei Aktivierung müssen Sie über Hochladen einVerschlüsselungszertifikat hochladen. Im Allgemeinen wird dasselbe S/MIME-Zertifikatzur Signierung und zur Verschlüsselung verwendet, es sei denn, es wird ausdrücklichein anderes Zertifikat verwendet.

AltesVerschlüsselungszertifikat

Aktivieren bzw. deaktivieren Sie die Legacy-Version eines Verschlüsselungszertifikats.Wenn diese Option aktiviert ist, müssen Sie ein Verschlüsselungszertifikat hochladen.

Bereich „Staging“

Geräte-Staging aktivieren Aktivieren bzw. deaktivieren Sie das Staging von Geräten.

Wenn diese Option aktiviert ist, müssen Sie Einzelanwendergeräte undMehranwendergeräte auswählen.

Bei Einzelanwendergerätenmüssen Sie zwischen der Option Standard, bei der sichAnwender selbst anmelden, oder der Option Erweitertwählen, bei der ein Gerät imAuftrag eines anderen Anwenders registriert wird.

4. Wählen Sie Speichern, um nur den neuen Anwender zu speichern, oder Speichern und Gerät hinzufügen, um denneuen Anwender zu speichern und mit der SeiteGerät hinzufügen fortzufahren.

Wie Sie Verzeichnisanwender bei AirWatch hinzufügen, erfahren Sie genauer im VMware AirWatch Directory ServicesGuide, verfügbar unter Zugreifen auf andere Dokumente auf Seite 241.

Übersicht über Listenansichten für AnwenderkontenDie Seite Listenansicht, die Sie unter Konten > Anwender > Listenansicht finden, bietet nützliche Tools für gängigeVorgänge zur Verwaltung und Pflege von Anwenderkonten.


51



Anpassen der Listenansicht

Die Listenansicht für Anwenderkonten kann zur sofortigen Erstellung von angepassten Anwenderlisten verwendetwerden. Zudem können Sie das Seitenlayout auf Grundlage von Kriterien anpassen, die für Sie am wichtigsten sind. Zurspäteren Analyse können Sie diese angepasste Liste exportieren und neue Anwender einzeln oder massenweisehinzufügen.

Aktion Beschreibung

Filter Zeigen Sie nur die gewünschten Anwender unter Verwendung folgender Filter an.

l Sicherheitstyp l Anwendergruppe

l Registrierungsorganisationsgruppe l Anwenderrolle

l Registrierungsstatus

Hinzufügen l Anwender hinzufügen – Fügen Sie einmalig ein Standardanwenderkonto hinzu. Fügen Sie neueMitarbeiter oder kürzlich beförderteMitarbeiter hinzu, die Zugriff aufMDM-Funktionen benötigen.Weitere Informationen finden Sie unter Hinzufügen von Anwendern zu Anwendergruppen auf Seite93.

l Batch-Import – Importieren Sie massenweise neue Anwender über eine CSV-Datei (Comma-Separated Values). Geben Sie einen eindeutigen Namen und eine Beschreibung ein, um mehrereAnwender auf einmal zu gruppieren und zu organisieren. Weitere Informationen finden Sie unterBatch-Import von Anwendern oder Geräten auf Seite 54.

Layout Ermöglicht Ihnen, das Spaltenlayout anzupassen.

l Übersicht – Prüfen Sie die Listenansichtmit den Standardspalten und Anzeigeeinstellungen.

l Anwenderdefiniert –Wählen Sie nur die gewünschten Spalten in der Listenansicht aus. Sie habenauch dieMöglichkeit, ausgewählte Spalten auf alle Administratoren in und unterhalb dermomentanen Organisationsgruppenebene anzuwenden.


52



Aktion Beschreibung

Sortieren Diemeisten Spalten in der Listenansicht (in den Layouts Übersicht und Anwenderdefiniert) sindsortierbar, einschließlich Geräte, Anwendergruppen und Registrierungsorganisationsgruppe.

Exportieren Speichern Sie eine CSV-Datei (Comma-Separated Values) der gesamten Listenansicht, die dann in Exceleingesehen und analysiert werden kann.

Arbeiten mit Anwenderkonten

Die Listenansicht weist außerdem ein Kontrollkästchen und ein Bearbeitungssymbol links neben jedem Anwenderkontoauf. Wählen Sie den Hypertext-Anwendernamen in der Spalte „Allgemeine Information“ aus, um Anwenderdetailsanzuzeigen. Weitere Informationen finden Sie unter Zugreifen auf Anwenderdetails auf Seite 91.

Das Symbol Bearbeiten ermöglicht Ihnen, grundlegende Änderungen am Anwenderkonto vorzunehmen. BeiAktivierung eines einzelnen Kontrollkästchens werden drei Aktionsschaltflächen angezeigt: Nachricht senden, Geräthinzufügen undWeitere Aktionen.

Durch Aktivierung der Kontrollkästchen können mehrere Anwenderkonten ausgewählt werden, wodurch sich dieverfügbaren Aktionen ändern.

Aktion Beschreibung

Nachrichtsenden

Bieten Sie einem einzelnen Anwender oder einer Anwendergruppe sofortigen Support. Senden SieAnwendern eine Aktivierungs-E-Mail (Anwendervorlage), in der diese bezüglich ihrerRegistrierungsanmeldedaten benachrichtigt werden.

Geräthinzufügen

Fügen Sie ein Gerät hinzu, das mit dem ausgewählten Anwender verknüpft werden soll. DieseSchaltfläche ist nur für die Einzelanwenderauswahl verfügbar.

WeitereAktionen

Wählen Sie diese Schaltfläche aus, um die folgenden Optionen anzuzeigen.

ZurAnwendergruppe

hinzufügen

Fügen Sie ausgewählte Anwender einer neuen oder bestehenden Anwendergruppe hinzu, um die Anwenderverwaltungzu vereinfachen. Weitere Informationen finden Sie unter Listenansicht für Anwendergruppen auf Seite 92 und Bearbeitenvon Anwendergruppenberechtigungen auf Seite 90.

VonAnwendergruppe

entfernen

Entfernen Sie ausgewählte Anwender von der bestehenden Anwendergruppe.

Organisationsgruppeändern

Verschieben Sie Anwender manuell in eine andere Organisationsgruppe. Aktualisieren Sie die verfügbaren Inhalte,Genehmigungen und Restriktionen von Anwendern, wenn sich deren Position ändert, sie befördert werden oder sie denBürostandort wechseln.

Löschen Löschen Sie ein Anwenderkonto schnell und in vollem Umfang, wenn Mitgliedern Ihrer Organisation gekündigt wird oderdiese ihre Position verlassen.

Aktivieren Aktivieren Sie das Konto, wenn ein Anwender zu einer Organisation zurückkehrt oder im Unternehmen wieder eingestelltwerden muss.

Deaktivieren Deaktivieren Sie Anwender, die unauffindbar oder nicht konform sind, oder wenn Geräte verloren gehen oder gestohlenwerden.


53



Batch-ImportfunktionWenn Siemehrere Dutzend Anwender bei AirWatch hinzufügen müssen, können Sie Anwender und Anwendergruppen inBatches erstellen oder von Ihrem Verzeichnisdienst importieren.

Bei einem Batch-Import wird eine von AirWatch bereitgestellte Vorlage in ein CSV-Format konvertiert, mit Ihren eigenenDaten aufgefüllt und anschließend wird die vollständige Vorlage hochgeladen.

Änderungen in externen LDAP/AD-Anwenderverzeichnissen

Sobald Ihre Anwender- und Anwendergruppen-Batchliste hochgeladen ist, werden Änderungen an Ihren externenLDAP/AD-Anwenderverzeichnissen nicht auf AirWatch übertragen. Diese Änderungen an Anwendern undAnwendergruppen müssen manuell aktualisiert oder als neuer Batch hochgeladen werden.

Batch-Import von Anwendern oder Geräten

Um Zeit zu sparen, können Sie mehrere Lightweight Directory Access Protocol(LDAP)-/Active Directory(AD)-Anwender und-Geräte batchweise in die AirWatch Konsole importieren.

1. Navigieren Sie zu Konten > Anwender > Batch-Status oder Geräte > Lebenszyklus > Registrierungsstatus >Hinzufügen und wählen Sie Batch-Import.

2. Geben Sie grundlegende Informationen in der AirWatch Konsole ein, einschließlich Batch-Name und Batch-Beschreibung.

3. Wählen Sie den entsprechenden Batch-Typ aus dem Dropdown-Menü Batch-Typ.

4. Wählen Sie die Vorlage aus, die am besten zu der Art des von Ihnen geplanten Batch-Imports passt, und laden Sie sieherunter.

Geräte auf Blacklist – Importieren Sie eine Liste bekannter, nicht konformer Geräte nach IMEI, Seriennummer oderUDID. Geräte auf Blacklists sind nicht für die Registrierung zugelassen. Wenn ein Gerät auf einer Blacklist versucht,sich zu registrieren, wird es automatisch blockiert.

Geräte auf Whitelist – Importieren Sie vorab genehmigte Geräte nach IMEI, Seriennummer oder UDID. VerwendenSie diese Funktion zum Importieren von bekannten, vertrauenswürdigen Geräten. Der Besitz und die Gruppen-ID zudiesem Gerät wird bei der Registrierung automatisch auf das Gerät angewendet.

Benutzer bzw. Gerät –Wählen Sie zwischen einer einfachen CSV-Vorlagemit nur den am häufigsten verwendetenOptionen und einer erweiterten CSV-Vorlagemit allen Optionen.

5. Öffnen Sie die CSV-Datei (Comma-Separated Values), die eine einzigemit Beispielgerätedaten aufgefüllte Zeile enthält.Die CSV-Datei enthält mehrere Spalten, die den Einstellungen auf der Seite „Anwender hinzufügen/bearbeiten“ entsprechen. Die SpalteGruppen-ID entspricht der Einstellung Registrierungsorganisationsgruppe auf der SeiteAnwender hinzufügen/bearbeiten. Die Registrierungsorganisationsgruppe ist die Gruppe, bei der der Anwenderregistriert wird, wenn unter Gruppen und Einstellungen > Alle Einstellungen > Geräte und Anwender > Allgemein> Registrierung auf der RegisterkarteGruppierung der Gruppen-ID-Zuweisungsmodus auf Standard gesetzt ist.

Bei verzeichnisbasierter Registrierung sollte der Sicherheitstyp für jeden Anwender Verzeichnis sein.

6. Geben Sie ggf. Daten für die Anwender Ihrer Organisation ein, einschließlich Geräteinformationen, und speichern Siedie Datei.

7. Kehren Sie zur Seite „Batch-Import“ zurück und wählen SieDatei auswählen, um die zuvor heruntergeladene und


54



aufgefüllte CSV-Datei zu suchen und hochzuladen.


Batch-Import von Anwendergruppen

Um Zeit zu sparen, können Sie mehrere Lightweight Directory Access Protocol(LDAP)-/Active Directory(AD)-Anwendergruppen in die AirWatch Konsole importieren.

1. Navigieren Sie zu Konten > Anwendergruppen > Listenansicht und wählen SieHinzufügen.

2. Wählen Sie Batch-Import.

3. Geben Sie grundlegende Informationen in der AirWatch Konsole ein, einschließlich Batch-Name und Batch-Beschreibung.

4. Wählen Sie unter Batch-Datei (.csv) die SchaltflächeDatei auswählen, um die ausgefüllte CSV-Datei, die nun für denImport bereit steht, zu suchen und hochzuladen.

5. Wählen Sie alternativ den Link Vorlage für diesen Batch-Typ herunterladen, speichern Sie die CSV-Datei (Comma-Separated Values) und verwenden Sie diese, um eine neue Importdatei vorzubereiten.

l Öffnen Sie die CSV-Datei. Diese Datei enthält mehrere Spalten, die den Einstellungen auf der SeiteAnwendergruppe hinzufügen entsprechen. In Spalten mit einem Sternchen müssen Daten eingegeben werden.Speichern Sie die Datei.

l Die letzte Spaltenüberschrift in der CSV-Dateivorlage lautet „Gruppen-ID/Verwalten (Bearbeiten undLöschen)/Verwalten (Anwender und Registrierung)/UG-Zuweisung/Administrator Vererbung“. DieseSpaltenüberschrift entspricht den Einstellungen und der Logik der Registerkarte Berechtigungen der SeiteAnwendergruppe bearbeiten.

6. Wählen Sie Importieren.

7. Sollte der Batch-Import nicht vollständig abgeschlossen werden, prüfen und behandeln Sie Fehler über Konten >Batch-Status. Sie können bestimmte Batch-Importfehler prüfen, indem Sie auf den Hyperlink Fehler klicken.

Bearbeiten von Standardanwendern mit Batchimport

Mit der Batchimportfunktion können Sie Anwender in Gruppen statt einzeln bearbeiten und verschieben. Für diesesVerfahren müssen Anwender in AirWatch vorhanden sein. Bearbeiten Sie die folgenden Felder in der CSV-Datei und ladenSie die Datei über Batchimport hoch.

l Kennwort (nur Standard)

l Vorname

l Zweiter Vorname

l Nachname

l E-Mail-Adresse

l Telefonnummer

l Mobilfunknummer


55



l Abteilung

l E-Mail-Anwendername

l E-Mail-Kennwort

l Autorisierte Organisationsgruppen (nur auf oder unter der angegebenen Gruppen-ID)

l Registrierungsanwenderkategorie (diese Kategorie ist dem Anwender zugänglich, anderenfalls standardmäßig auf 0gestellt)

l Registrierungsanwenderrolle (diese Rolle ist dem Anwender zugänglich; anderenfalls wird die Standardrolle derOrganisationsgruppe angenommen)

Die Bearbeitung von Standardanwendern gilt nur für Standardmäßige Anwenderauthentifizierung auf Seite 39 undAuthentifizierungsproxy auf Seite 42.

Verschieben von Anwendern mittels Batch-Import

Sie können auch die Batch-Importfunktion verwenden, um eine Reihe von Anwendern in eine andereOrganisationsgruppe zu verschieben.

1. Geben Sie über die Seite „Batch-Import“ wesentliche Informationen zur späteren Verwendung in der AirWatchKonsole ein, einschließlich Batch-Name und Batch-Beschreibung.

2. Wählen Sie in der Liste der Vorlagen Organisationsgruppe wechseln und speichern Sie die CSV-Datei an einementsprechenden Speicherort.

3. Geben Sie zutreffendeGruppen-ID der bestehenden Organisationsgruppe des Anwenders, den zu verschiebendenAnwendernamen und die Zielgruppen-ID der neuen Organisationsgruppe des Anwenders ein.

4. Kehren Sie zur Seite „Batch-Import“ in der AirWatch Konsole zurück; wählen SieDatei auswählen, um diegespeicherte CSV-Datei zu suchen und hochzuladen; und klicken Sie aufÖffnen.


AdministratorkontenAdministratorkonten ermöglichen Ihnen, über die zentralisierte AirWatch KonsoleMDM-Einstellungen (Mobile DeviceManagement) zu verwalten, Funktionen und Inhalte per Push zu übertragen oder zu widerrufen und vieles mehr.

Ein temporäres Administratorkonto stellt außerdem die Funktion der Remoteunterstützung in der AirWatch Konsolebereit. Diese temporären Administratorkonten (mit konfigurierbarem Ablauf) können für den Zugriff auf Bereicheverwendet werden, die üblicherweise Inhabern permanenter Administratorkonten vorbehalten sind.

Erstellen eines Administratorkontos

Administratorkonten können von der Seite Administratorlistenansicht hinzugefügt werden, um Zugriff auf erweiterteFunktionen der AirWatch Konsole zu gewähren. Jeder Administrator, der die Konsole verwaltet und überwacht, muss eineigenes Konto besitzen.

1. Navigieren Sie zu Konten > Administratoren > Listenansicht; wählen SieHinzufügen und dann Administratorhinzufügen. Die Seite Administrator hinzufügen/bearbeitenwird angezeigt.


56



2. Wählen Sie auf der Registerkarte Standard für die Einstellung Anwendertyp entweder Standard oder Verzeichnis.

l Füllen Sie bei Standard alle erforderlichen Felder auf der Registerkarte Standard aus, einschließlichAnwendername, Kennwort sowie Vor- und Nachname. Sie können auch Zweistufige Authentifizierungaktivieren und die Option Benachrichtigung auswählen, bei der Sie eine Nachrichtenvorlage verwenden können.

l Geben Sie bei Verzeichnis dieDomäne und den Anwendernamen des Administratoranwenders ein.

3. Wählen Sie die RegisterkarteDetails und geben Sie gegebenenfalls weitere Informationen ein.

4. Wählen Sie die Registerkarte Rollen, dieOrganisationsgruppe und dann die Rolle, die Sie dem neuen Administratorzuweisen möchten. Weisen Sie mit der Schaltfläche Rolle hinzufügen neue Rollen hinzu.

5. Wählen Sie die Registerkarte API und dann den Authentifizierungstyp.

6. Wählen Sie die RegisterkarteHinweise, um für den Administratoranwender weitereHinweise einzugeben.

7. Wählen Sie Speichern, um das Administratorkonto mit der zugewiesenen Rolle zu erstellen.


57



Erstellen eines temporären Administratorkontos

Sie können vorübergehenden administrativen Zugriff auf Ihre Umgebung gewähren – zur Unterstützung, für Demos oderfür andere zeitlich begrenzte Anwendungsfälle.

1. Navigieren Sie zu Konten > Administratoren > Listenansicht und wählen SieHinzufügen. Wählen Sie die OptionTemporären Administrator hinzufügen.

ODER

Wählen Sie die SchaltflächeHilfe und dann Temporären Administrator hinzufügen auswählen.

2. Auf der Registerkarte Standard können Sie ein temporäres Administratorkonto basierend auf E-Mail-Adresse oderAnwendername hinzufügen und folgende Einstellungen bearbeiten.


E-Mail-Adresse Geben Sie die E-Mail-Adresse ein, auf der das temporäre Administratorkonto beruht. Dieses Feldist nur verfügbar, wenn das Optionsfeld „E-Mail-Adresse“ aktiviert wurde.

Anwendername Geben Sie den Anwendernamen ein, auf dem das temporäre Administratorkonto beruht. DiesesFeld ist nur verfügbar, wenn das Optionsfeld „Anwendername“ aktiviert wurde.

Kennwort/Kennwortbestätigen

Geben Sie das der E-Mail-Adresse oder dem Anwendernamen entsprechende Kennwort ein undbestätigen Sie dieses.

Ablaufzeitraum Wählen Sie einen Ablaufzeitraum (standardmäßig 6 Stunden). Sie können dieses Dropdown-Menü auch auf Inaktiv stellen, um das Konto jetzt zu erstellen und später zu aktivieren.

Ticketnummer Wahlweise können Sie die ASK-Ticketnummer von myAirWatch als Referenzmarkierunghinzufügen.

3. Auf der Registerkarte Rollen können Sie Rollen bezüglich des temporären Administratorkontos hinzufügen undlöschen.

a. Fügen Sie eine Rolle hinzu, indem Sie die Schaltfläche Rolle hinzufügen und anschließend dieOrganisationsgruppe und -rolle auswählen, für die das temporäre Administratorkonto bestimmt ist.


58



b. Bearbeiten Sie eine vorhandene Rolle, indem Sie auf das Bearbeitungssymbol ( ) klicken und eine andereOrganisationsgruppe und -rolle wählen.

c. Löschen Sie eine Rolle, indem Sie das Löschsymbol ( ) wählen.


Verwalten von Administratorkonten

Sie können zur fortlaufenden Verwaltung und Pflege von Administratorkonten Hauptverwaltungsfunktionenimplementieren, indem Sie zu Konten > Administratoren > Listenansicht navigieren.

Wählen Sie in der Spalte Anwendername den Hypertextlink aus, um die Seite Administrator hinzufügen/bearbeitenanzuzeigen. Durch diesen Link können Sie die aktuell zugewiesenen Rollen schnell aktualisieren oder schnell Rolleninnerhalb Ihrer Organisation ändern, um die jeweiligen Berechtigungen auf dem laufenden Stand zu halten. Darüberhinaus können Sie allgemeine Administratorinformationen und das Kennwort ändern.

Sie können die Liste von Administratoren filtern, um alle Rollen einzuschließen oder die Auflistung auf eine bestimmteRolle zu beschränken.

Aktivieren Sie das Optionsfeld neben dem Anwendernamen des Administrators, um die für diesen Administratorgeltenden Aktionsschaltflächen anzuzeigen.

l Verlauf anzeigen – Behalten Sie im Auge, wann Administratoren sich bei der AirWatch Konsole an- und abmelden.

l Deaktivieren – Ändern Sie den Status eines Administratorkontos von aktiv auf inaktiv. Durch diese Funktion werdendie Verwaltungsfunktionen und -berechtigungen vorübergehend aufgehoben. Gleichzeitig können Sie durch dieseFunktion die festgelegten Rollen des Administratorkontos zur späteren Verwendung behalten.

l Aktivieren – Ändern Sie den Status eines Administratorkontos von inaktiv auf aktiv.

l Löschen – Stellen Sie sicher, dass nur zulässige Anwender auf die AirWatch Konsole zugreifen. Falls jemand kündigtoder jemandem gekündigt wird, sperren und entfernen Sie das jeweilige Anwenderkonto sofort und widerrufen Siedie Berechtigungen.

l Kennwort ändern – Bearbeiten Sie das Kennwort, das zu einem standardmäßigen oder temporärenAdministratorkonto gehört.


59



Kapitel 5:Rollenbasierter Zugriff

Übersicht über den rollenbasierten Zugriff 61

Standard- und anwenderdefinierte Rollen 61

Anwenderrollen 64

Administratorrollen 65

60



Übersicht über den rollenbasierten ZugriffDie AirWatch Konsole ermöglicht Ihnen, auf Grundlage der von Ihnen während des Registrierungsprozesses derAnwender erstellten Rollen, verschiedene Zugriffsebenen für einzelne Anwender oder Gruppen festzulegen.

Helpdesk-Administratoren beispielsweise haben in Ihrem Unternehmen möglicherweise beschränkten Zugriff innerhalbder Konsole – der IT-Manager hingegen einen größeren Umfang an Berechtigungen.

Um die rollenbasierte Zugriffssteuerung zu aktivieren, müssen Sie zuerst die Administrator- und Anwenderrollen in derAirWatch Konsole festlegen. Diese Rollen werden durch bestimmte Ressourcen, auch als Berechtigungen bekannt,definiert, die den Zugriff auf verschiedene Funktionen in der AirWatch Konsole aktivieren und deaktivieren. Rollenkönnen auch für Endanwender, die Zugang zum Self-Service Portal benötigen, erstellt werden.

Standard- und anwenderdefinierte RollenAirWatch stellt Ihnen bereits mehrere Standardrollen zur Auswahl zur Verfügung. Diese Standardrollen stehen bei jederAirWatch Aktualisierung zur Verfügung und helfen dabei, Rollen neuen Anwendern schnell zuzuweisen. Sollten Sieweitere Einstellungen wünschen, können Sie anwenderdefinierte Rollen erstellen, um so Anwenderberechtigungen nochweiter anzupassen. Anders als bei Standardrollen, erfordern anwenderdefinierte Rollen manuelle Aktualisierungen beijedem AirWatch Upgrade.

Jede Art von Rolle hat ihre eigenen Vor- und Nachteile. Standardrollen sparen Zeit bei der Neukonfiguration einer völligneuen Rolle. Sie eignen sich für eine Reihe von administrativen Berechtigungen und werden automatisch neben neuenAirWatch Funktionen und Einstellungen aktualisiert. Standardrollen sind jedoch möglicherweise nicht für IhreOrganisation oder IhreMDM-Bereitstellung geeignet. Deshalb wurden anwenderdefinierte Rollen geschaffen.

Standardmäßige Endanwenderrollen

Rollen sind standardmäßig für Endanwender in der AirWatch Konsole verfügbar.

l Vollzugriffsrolle – Erteilt volle Berechtigung, alle Aufgaben im Self-Service Portal auszuführen.

l Standardzugriffsrolle – Erteilt alle Berechtigungen außer MDM-Befehle im Self-Service Portal.

Anwenderdefinierte Rollen ermöglichen es Ihnen, so viele eindeutige Rollen anzupassen, wie Sie möchten, und großeund kleine Änderungen über verschiedene Anwender und Administratoren hinweg zu justieren. AnwenderdefinierteRollen müssen jedoch mit der Zeit manuell gewartet und mit neuen Funktionen aktualisiert werden.

Bearbeiten einer standardmäßigen Endanwenderrolle zur Erstellung einer anwenderdefiniertenAnwenderrolle

Sollten keine der verfügbaren Standardrollen eine für Ihre Organisation angemessene Rolle bieten, können Sie erwägen,eine vorhandene Anwenderrolle zu ändern und eine anwenderdefinierte Anwenderrolle zu erstellen.

1. Stellen Sie sicher, dass Sie sich momentan in der Organisationsgruppe befinden, der Sie die neue Rolle zuordnenmöchten.

2. Navigieren Sie zu Konten > Anwender > Rollen.

3. Bestimmen Sie, welche Rolle von der Liste mit der zu erstellenden Rolle am ehesten übereinstimmt. Bearbeiten Siediese Rolle anschließend, indem Sie auf dasBearbeitungssymbol ( ) rechts außen klicken. Die Seite Rolle hinzufügen/bearbeitenwird angezeigt.

Kapitel 5: Rollenbasierter Zugriff

61



4. Bearbeiten Sie bei BedarfName, Beschreibung und Erste Zielseite. Prüfen Sie jedes einzelne Kontrollkästchen. DieseOptionen entsprechen den verschiedenen Berechtigungen. Aktivieren und deaktivieren Sie sie nach Bedarf.

5. Wählen Sie Speichern, um Ihre Änderungen zu speichern. Dabei werden die vorherigen Einstellungen der Rollezugunsten der neuen Einstellungen überschrieben.

Standardadministratorrollen

Folgende Rollen sind standardmäßig für Administratoren in der AirWatch Konsole verfügbar: Vergleichen Sie mit demAdministratorrollen-Vergleichstool bestimmte Berechtigungen von zwei Administratorrollen. Weitere Informationenfinden Sie unter Vergleichen von Administratorrollen auf Seite 71.

Rolle Beschreibung

Systemadministrator Die Rolle „Systemadministrator“ bietet vollständigen Zugriff auf eine AirWatch Umgebung.Die Rolle bietet Zugriff auf Kennwort- und Sicherheitseinstellungen, Sitzungsverwaltungund Überwachungsinformationen der AirWatch Konsole. Diese Informationen befindensich auf der Registerkarte Administration unter Systemkonfiguration. Diese Rolle ist nichtfür SaaS-Kunden (Software as a Service) verfügbar.

Gerätemanager Die Rolle „Gerätemanager“ gibt Anwendern wesentlichen Zugriff auf die AirWatch Konsole.Diese Rolle ist jedoch nicht zur Konfiguration der meisten Systemkonfigurationen gedacht.Zu diesen Konfigurationen zählen Active Directory (AD)/Lightweight Directory AccessProtocol (LDAP), SimpleMail Transfer Protocol (SMTP), Agents usw. Verwenden Sie fürdiese Aufgaben eine hochrangige Rolle, wie AirWatch Administrator oderSystemadministrator.

Berichtsbetrachter Die Rolle „Berichtsbetrachter“ ermöglicht es, dass die über MDM (Mobile DeviceManagement) erfassten Daten eingesehen werden. Diese Rolle beschränkt den Anwenderin seiner Möglichkeit, Berichte von der AirWatch Konsole aus zu generieren, einzusehen,zu exportieren und zu abonnieren.

AirWatch Administrator Die Rolle „AirWatch Administrator“ ermöglicht umfangreichen Zugriff auf die AirWatchUmgebung. Dieser Zugriff schließt die Registerkarte Administration unterSystemkonfiguration jedoch nicht mit ein, da diese Registerkarte Einstellungen derAirWatch Konsole oberster Ebene verwaltet.

Schreibgeschützt Die Rolle „Schreibgeschützt“ bietet Zugriff auf die meisten Funktionen der AirWatchKonsole, beschränkt den Zugriff allerdings auf schreibgeschützten Status. Verwenden Siediese Rolle, um die vorhandenen Einstellungen in einer AirWatch Umgebung zuüberprüfen und zu erfassen. Für Systembetreiber oder -administratoren ist diese Rollenicht geeignet.

Inhaltsverwaltung Die Rolle „Inhaltsverwaltung“ beschränkt den Zugriff auf die Verwaltung von VMwareContent Locker. Verwenden Sie diese Rolle für spezialisierte Administratoren zum Uploadund zur Verwaltung von Inhalten eines Geräts.

App-Verwaltung Die Rolle „App-Verwaltung“ ermöglicht Administratoren mit dieser Berechtigung dieBereitstellung und Verwaltung von internen und öffentlichen Apps einer Geräteflotte.Verwenden Sie diese Rolle für einen Administrator zur Anwendungsverwaltung.


62



Rolle Beschreibung

Helpdesk Die Rolle „Helpdesk“ bietet Tools für die meisten IT-Helpdesk-Funktionen der Ebene 1. Dasin dieser Rolle verfügbare, primäre Tool umfasst dieMöglichkeit, mit RemoteaktionenGerätedaten einzusehen und darauf entsprechend zu reagieren. Diese Rolle bietet auchdieMöglichkeit, Berichte einzusehen und Geräte zu suchen.

Reiner App-Katalog-Administrator

Die Rolle „Reiner App-Katalog-Administrator“ weist im Großen und Ganzen dieselbenBerechtigungen auf wie die Rolle „App-Verwaltung“. Neben diesen Berechtigungen sindFunktionen zum Hinzufügen und Verwalten von Administrator- und Anwenderkonten,Administrator- und Anwendergruppen, Gerätedetails sowie Tags vorhanden.

Horizon-Administrator Die Rolle „Horizon-Administrator“ verfügt über einen speziell konfigurierten Satz vonBerechtigungen, die als Ergänzung einer in VMware Horizon View integrierten AirWatchKonfiguration dienen.

NSX-Administrator Die Rolle „NSX-Administrator“ verfügt über einen speziell konfigurierten Satz vonBerechtigungen, die als Ergänzung einer in VMware NSX integrierten AirWatchKonfiguration dienen. Diese Rolle stellt die ideale Ergänzung für die System- undZertifikatsverwaltungsberechtigungen dar, durch die Administratoren Endpunktsicherheitdurch Rechenzentrumssicherheit erreichen können.

Datenschutzadministrator Die Rolle „Datenschutzadministrator“ ermöglicht schreibgeschützten Zugriff auf die Hub-Übersicht, die Gerätelistenansicht, die Anzeige der Systemeinstellung und vollständigeBearbeitungsberechtigungen für Datenschutzeinstellungen.

Erstellen einer anwenderdefinierten Administratorrolle durch Bearbeiten einerStandardadministratorrolle

Sollten keine der verfügbaren Standardrollen eine für Administratorressourcen angemessene Rolle in Ihrer Organisationbieten, können Sie erwägen, eine vorhandene Standardrolle in eine anwenderdefinierte Administratorrolle zu ändern.

1. Stellen Sie sicher, dass Sie sich zurzeit in der Organisationsgruppe befinden, der Sie die neue Rolle zuordnenmöchten.

2. Navigieren Sie zu Konten > Administratoren > Rollen.

3. Bestimmen Sie, welche Rolle von der Liste mit der zu erstellenden Rolle am ehesten übereinstimmt. Aktivieren Sie dasKontrollkästchen für diese Rolle.

4. Wählen Sie Kopieren aus dem Aktionsmenü über dem Eintrag. Die Seite Rolle kopieren wird angezeigt.

5. Bearbeiten Sie bestimmte Einstellungen der Kopie auf der folgenden Seite Rolle kopieren. Geben Sie eineneindeutigen Namen und eine Beschreibung für die anwenderdefinierte Rolle ein.


Weitere Informationen finden Sie unter Erstellen von Administratorrollen auf Seite 66.


63



AnwenderrollenDurch Anwenderrollen können Sie bestimmte Aktionen aktivieren bzw. deaktivieren, die angemeldete Anwenderdurchführen können. Zu diesen Aktionen zählt die Steuerung des Zugriffs auf ein Geräte-Wipe oder eine Geräteabfragesowie die Verwaltung privater Inhalte. Außerdem können Sie Startseiten anpassen und den Zugriff auf das Self-ServicePortal beschränken.

Bei der Erstellung von mehreren Anwenderrollen handelt es sich um eine zeitsparendeMaßnahme. Sie könnenumfassende Konfigurationen über verschiedene Organisationsgruppen hinweg durchführen oder die Anwenderrolle füreinen bestimmten Anwender jederzeit ändern.

Erstellen einer neuen Anwenderrolle

Neben den voreingestellten Standard- und Vollzugriffsrollen können Sie auch anwenderdefinierte Rollen erstellen. DieVerfügbarkeit mehrerer Anwenderrollen fördert die Flexibilität und kann sich unter Umständen als zeitsparend erweisen,wenn neuen Anwendern Rollen zugewiesen werden.

So erstellen Sie eine Anwenderrolle:

1. Navigieren Sie zu Konten > Anwender > Rollen und klicken Sie aufHinzufügen. Die Seite Rollehinzufügen/bearbeitenwird angezeigt.

2. Geben SieName und Beschreibung ein und wählen Sie die erste Zielseite des SSP für Anwender mit dieser neuenRolle.

Bei vorhandenen Anwenderrollen ist die erste Zielseite standardmäßig die Seite Eigene Geräte.

3. Wählen Sie aus einer Optionsliste die Zugriffs- und Steuerungsebene, über die Endanwender dieser zugewiesenenRolle im SSP verfügen.

l Klicken Sie auf Keine auswählen, um alle Kontrollkästchen auf der Seite zu deaktivieren.

l Aktivieren Sie alle Kontrollkästchen auf der Seite, indem Sie aufAlle auswählen klicken.

4. Speichern Sie Ihre Änderungen an der Rolle. Die hinzugefügte Anwenderrolle wird nun in der Liste der Seite „Rollen“ angezeigt.

Über die Seite „Rollen“ können Sie Rollen einsehen, bearbeiten oder löschen.

Konfigurieren einer Standardrolle

Eine Standardrolle ist die Basisrolle, auf der alle Anwenderrollen beruhen. Während der Konfiguration einer Standardrollekönnen Sie Berechtigungen festlegen, die die Anwender dann automatisch beim Registrieren erhalten.

1. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Anwender > Allgemein > Registrierung und wählenSie die RegisterkarteGruppierung.

2. Konfigurieren Sie eine Standardebene für den Zugriff von Endanwendern im Self-Service Portal (SSP), indem Sie eineStandardrolle auswählen. Diese Rolleneinstellungen sind nach Organisationsgruppe anpassbar.



64



Zuweisen oder Bearbeiten der Rolle eines vorhandenen Anwenders

Sie können die Rolle für einen bestimmten Anwender bearbeiten, beispielsweise, um Zugriff auf AirWatch Funktionen zugewähren oder zu beschränken.

1. Wählen Sie die entsprechende Organisationsgruppe.

2. Navigieren Sie zu Konten > Anwender > Listenansicht.

3. Suchen Sie nach dem jeweiligen Anwender, den Sie auf der Liste bearbeiten möchten. Nachdem Sie den Anwenderidentifiziert haben, wählen Sie das Bearbeitungssymbol unter dem Kontrollkästchen. Die Seite Anwenderhinzufügen/bearbeitenwird angezeigt.

4. Scrollen Sie auf der Registerkarte Allgemein zum Abschnitt Registrierung und wählen Sie eine Anwenderrolle ausdiesem Dropdown-Menü aus, um die Rolle für diesen Anwender zu ändern.


AdministratorrollenDurch Administratorrollen wird Ihnen die Aktivierung bzw. Deaktivierung von Berechtigungen für jede vorhandeneEinstellung und Ressource in der AirWatch Konsole ermöglicht. Diese Einstellungen gewähren oder beschränkenKonsolenfunktionen für jedes Mitglied Ihres Administratorteams, wodurch Sie eine auf Ihre speziellen Bedürfnissezugeschnittene Hierarchie an Administratoren schaffen können.

Bei der Erstellung von mehreren Administratorrollen handelt es sich um eine zeitsparendeMaßnahme. Das trifftbesonders dann zu, wenn auf einmal umfassende Konfigurationen über verschiedene Organisationsgruppen hinwegdurchgeführt oder die Berechtigungen für einen bestimmten Administrator geändert werden müssen.

Listenansicht von Administratorrollen

Über die Listenansicht von Administratorrollen können Sie Ihre Rollenbibliothek für Ihre gesamte Administratorbasishinzufügen, bearbeiten, vergleichen und verwalten.

Rolle hinzufügen

Erstellen Sie eine neue Administratorrolle, indem Sie die Schaltfläche Rolle hinzufügen auswählen. WeitereInformationen finden Sie unter Erstellen von Administratorrollen auf Seite 66.

Rolle importieren

Sie können eine Rolle importieren, die aus einer anderen Umgebung exportiert wurde. Weitere Informationen finden Sieunter Importieren von Administratorrollen auf Seite 68Exportieren von Administratorrollen auf Seite 68 und Probleme beider Versionsverwaltung beim Import und Export von Administratorrollen auf Seite 69.

Rolle kopieren

Durch Kopieren einer vorhandenen Rolle können Sie Zeit sparen. Außerdem können Sie die Berechtigungen zumKopieren ändern und unter einem anderen Namen speichern.

1. Aktivieren Sie das Kontrollkästchen neben der Rolle, die kopiert werden soll.

2. Klicken Sie auf die Schaltfläche Kopieren. Die Seite Rolle kopieren wird angezeigt.


65



3. Nehmen Sie die jeweiligen Änderungen an Kategorien, Name und Beschreibung vor.

4. Klicken Sie nach Abschluss auf Speichern.

Anwender anzeigen

Durch Klicken auf die Schaltfläche Anwender anzeigenwird die Listenansicht sämtlicher Administratoren angezeigt.Wählen Sie einen Rollennamen aus und klicken Sie anschließend auf die Schaltfläche Anwender anzeigen.

Rolle löschen

Sie können nicht verwendete Rollen aus Ihrer Bibliothek von Administratorrollen löschen. Es kann keine Rolle gelöschtwerden, die einem Administrator zugewiesen ist. Wählen Sie eine nicht zugewiesene Rolle aus, die gelöscht werden soll,und klicken Sie auf die Schaltfläche Löschen.

Rolle exportieren

Sie können eine als XML-Datei gespeicherte Rolle an einem Speicherort auf Ihrem Gerät exportieren und zu einemspäteren Zeitpunkt importieren. Wählen Sie die zu exportierende Rolle aus und klicken Sie auf die SchaltflächeExportieren. Weitere Informationen finden Sie unter Exportieren von Administratorrollen auf Seite 68, Importieren vonAdministratorrollen auf Seite 68 und Probleme bei der Versionsverwaltung beim Import und Export vonAdministratorrollen auf Seite 69.

Rolle umbenennen

Vor dem Import einer Administratorrolle, die denselben Namen wie eine bereits vorhandene Administratorrolle aufweist,empfiehlt es sich, die bestehende Administratorrolle zuerst umzubenennen. Weitere Informationen finden Sie unterUmbenennen einer Administratorrolle auf Seite 69.

Rolle bearbeiten

Sie können Name, Beschreibung und spezielle Berechtigungen einer vorhandenen Rolle bearbeiten. Wählen Sie denHypertext-Rollennamen aus der Liste aus. Daraufhin wird die Seite Rolle anzeigen angezeigt, auf der Sie Änderungenvornehmen können.

Rollen vergleichen

Sie können überdies die einzelnen Berechtigungseinstellungen beider Rollen vergleichen. Weitere Informationen findenSie unter Vergleichen von Administratorrollen auf Seite 71.

Erstellen von Administratorrollen

Sie können neue Administratorrollen zur Definition bestimmter Aufgaben erstellen, die bei AirWatch durchgeführtwerden können. Diese Rollen weisen Sie dann einzelnen Administratoren zu. So erstellen Sie eine Administratorrolle:


66



1. Navigieren Sie zu Konten > Administratoren > Rollen und wählen Sie Rolle hinzufügen in der AirWatch Konsole.

2. Unter Rolle erstellen geben SieName und Beschreibung der Rolle ein.

3. Treffen Sie in der Liste Kategorien eine Auswahl.

Der Bereich Kategorien organisiert Kategorien oberster Ebene, wieGeräteverwaltung; darunter befinden sichUnterkategorien, wie Anwendungen, Browser,Massenverwaltung usw. Diese Kategorieunterteilung ermöglichteinen schnellen und mühelosen Rollenerstellungsprozess. Neben allen Unterkategorieeinstellungen im rechtenFenster befinden sich die Kontrollkästchen Lesen und Bearbeiten.

Wenn Sie eine Auswahl im Abschnitt Kategorien treffen, wird der das Bereich auf der rechten Seite mit denunterkategorisierten Inhalten (individuellen Einstellungen) aufgefüllt. Jede individuelle Einstellung verfügt über ihreeigenen Kontrollkästchen Lesen und Bearbeiten sowie über ein Kontrollkästchen für sowohl Lesen als auchBearbeiten für die Gesamtauswahl in der Spaltenüberschrift. Durch diese Anordnung wird Ihnen eine flexibleSteuerung und Anpassung beim Erstellen von Rollen ermöglicht.

4. Aktivieren Sie die entsprechenden Kontrollkästchen Lesen bzw. Bearbeiten in den entsprechendenRessourcenoptionen. Sie können ausgewählte Ressourcen auch wieder deaktivieren.


67



5. Um eine generelle Kategorieauswahl zu treffen, wählen Sie Keine, Lesen oder Bearbeiten direkt im AbschnittKategorien, ohne das rechte Fenster je auszufüllen. Klicken Sie auf das runde Symbol rechts neben derKategoriebezeichnung, welches ein Dropdown-Menü enthält. Verwenden Sie diese Auswahlmethode, wenn Sie sichabsolut sicher sind, keine Funktionen, reine Lesefunktionen oder Bearbeitungsfunktionen für eine gesamteKategorieeinstellung auswählen zu wollen.

6. Klicken Sie auf Speichern, um die Erstellung der anwenderdefinierten Rolle abzuschließen. Sie können diehinzugefügte Rolle jetzt auch in der Liste auf der Seite Rollen sehen. In dieser Ansicht können Sie die Rollendetailsbearbeiten oder die Rolle löschen.

Sie müssen die anwenderdefinierte Rolle mit jeder neuen AirWatch Version aktualisieren, um die neuen Berechtigungenin der aktuellen Version mit einzubeziehen.

Importieren von Administratorrollen

Sie können Administratorrollen, die aus anderen Umgebungen als XML-Datei gespeichert wurden, importieren, wodurchAdministratorrollen zu portierbaren Ressourcen werden und Zeit gespart wird.

So importieren Sie eine Rolle in eine separate AirWatch Umgebung:

1. Navigieren Sie zu Konten > Administratoren > Rollen und wählen Sie Rolle importieren.

2. Klicken Sie auf der Seite „Rolle importieren“ auf Browsen und suchen die vorher gespeicherte XML-Datei. Klicken SieaufHochladen, um die Administratorrolle zur Validierung in die Kategorieliste hochzuladen.

3. AirWatch führt unter anderem Validierungsüberprüfungen für folgende Elemente durch: XML-Dateien, Import vonRollenberechtigungen, doppelte Rollennamen, fehlende Namen und fehlende Beschreibungen.

4. Wählen Sie bestimmte Kategorien im linken Fenster und prüfen Sie deren Ressourceneinstellungen und dieSpezifikationen der importierten Rolle.

5. Sie können gemäß Ihren Bedürfnissen die Ressourcen sowieName und Beschreibung der importierten Rollebearbeiten. Wenn Sie sowohl die bestehende als auch die importierte Rolle behalten wollen, müssen Sie vor demImport der neuen Rolle die bestehende Administratorrolle umbenennen.

a. Sollte die von Ihnen importierte Rolle denselben Namen tragen, wie eine bereits bestehende Rolle in IhrerUmgebung, wird folgende Nachricht angezeigt: „Eine Rolle mit diesem Namen existiert bereits in dieser Umgebung. Möchten

Sie die bestehende Rolle überschreiben?“

b. Sollten Sie „Nein“ wählen, bleibt die bestehende Rolle in Ihrer Umgebung unberührt und der Import der neuenRolle wird abgebrochen.

c. Wählen Sie jedoch „Ja“, werden Sie zur Eingabe der Sicherheits-PIN aufgefordert, wonach nach korrekter Eingabedie bestehende Rolle durch die importierte Rolle ersetzt wird.

6. Wählen Sie Speichern, um die importierte Rolle auf die neue Umgebung anzuwenden.

Exportieren von Administratorrollen

Administratorrollen können als XML-Datei exportiert und in andere Umgebungen importiert werden, wodurchAdministratorrollen zu portierbaren Ressourcen werden und Zeit gespart wird.

So starten Sie diesen Vorgang:


68




2. Aktivieren Sie das Kontrollkästchen neben der Administratorrolle, die Sie exportieren möchten. Dadurch werdenAktionsschaltflächen über dem Rolleneintrag angezeigt.

3. Wählen Sie Exportieren und speichern Sie die XML-Datei an einem beliebigen Ort auf Ihrem Gerät.

Die Aktion „Exportieren“ ist nicht verfügbar, wenn Sie mehr als eine Administratorrolle auswählen.

Umbenennen einer Administratorrolle

Vor dem Import einer Administratorrolle, die denselben Namen wie eine bereits vorhandene Administratorrolle aufweist,empfiehlt es sich, die bestehende Administratorrolle zuerst umzubenennen. Durch die Umbenennung einer Rolle könnenSie sowohl die vorhandene als auch die neue Rolle in derselben Umgebung behalten.

1. Navigieren Sie zu Konten > Administratoren > Rollen und wählen Sie das Symbol Bearbeiten ( ) neben der Rolle,die Sie umbenennen möchten. Die Seite Rolle bearbeitenwird angezeigt.

2. Bearbeiten Sie den Namen der Rolle und optional die Beschreibung.


Probleme bei der Versionsverwaltung beim Import und Export von Administratorrollen

Es kann vorkommen, dass eine exportierte Rolle in eine Umgebung mit einer früheren AirWatch Version importiert wird.Diese frühere Version verfügt dann möglicherweise nicht über dieselben Ressourcen und Berechtigungen, die dieimportierte Rolle aufweist.

In diesem Fall sendet AirWatch Ihnen die folgende Nachricht:Einige der Berechtigungen in dieser Umgebung können in Ihrer importierten Datei nicht gefunden werden. Prüfen und berichtigen Siebitte die hervorgehobenen Berechtigungen vor dem Speichern.

Nutzen Sie die Kategorielistenseite, um die Auswahl der hervorgehobenen Berechtigungen aufzuheben. Dadurch könnenSie die Rolle in der neuen Umgebung speichern.

Lese-/Bearbeitungsanzeige in Kategorien für Administratorrollen

Im Abschnitt Kategorien gibt es einen visuellen Indikator, der die momentane Auswahl „Nur lesen“, „Bearbeiten“ odereine Kombination der Kategorien anzeigt. Dieser Indikator zeigt die Einstellung an, ohne dass Sie die einzelnenUnterkategorieeinstellungen öffnen und prüfen müssen.

Der Indikator ist mit einem runden Symbol rechts neben der Kategorieauflistung versehen, das Folgendes anzeigt.

Alle Optionen dieser Kategorie verfügen über die Bearbeitungsfunktion (und daher definitionsgemäß auchüber die reine Lesefunktion).


69



Bei der Mehrzahl der Kategorieeinstellungen ist die Bearbeitungsfunktion aktiviert, wobei aber beimindestens einer Unterkategorie die Bearbeitungsfunktion deaktiviert ist.

Bei allen Kategorieeinstellungen ist die reine Lesefunktion aktiviert (Bearbeitung deaktiviert).

DieMehrzahl der Kategorieeinstellungen ist schreibgeschützt, wobei aber bei mindestens einerUnterkategorie die Bearbeitungsfunktion aktiviert ist.

Zuweisen oder Bearbeiten der Rolle eines Administrators

Sie können einem Administrator Rollen zuweisen und so dessen Fähigkeiten innerhalb der AirWatch Konsole erweitern.Sie können außerdem bestehende Rollen bearbeiten und somit deren Fähigkeiten potentiell einschränken oder ändern.

1. Navigieren Sie zu Konten > Administratoren > Listenansicht, machen Sie das Administratorkonto ausfindig undwählen Sie das Bearbeitungssymbol unter den Aktionsschaltflächen. Die Seite Administrator hinzufügen/bearbeitenwird angezeigt.

2. Wählen Sie die Registerkarte Rollen. Wählen Sie dann Rolle hinzufügen.

3. Geben Sie die Details zurOrganisationsgruppe und Rolle für jede hinzugefügte Rolle ein.


Administratorrollen-Vergleichstool

Bei der Erstellung einer Administratorrolle ist es oft einfacher, eine vorhandene Rolle zu ändern, als eineAdministratorrolle neu zu erstellen. Das Rollenvergleichstool vereinfacht diesen Vorgang.

Wenn Sie weniger oder mehr als zwei Rollen ausgewählt haben, wird die Schaltfläche Vergleichen nicht angezeigt.

l Standardmäßig werden nur die Kategorien und Unterkategorien angezeigt, deren Einstellungen Unterschiedeaufweisen. Sie können alle Berechtigungen anzeigen, einschließlich der Einstellungen, die bei beiden ausgewählten


70



Rollen identisch sind, indem Sie das Kontrollkästchen Alle Berechtigungen anzeigen aktivieren.

l Falls Sie zwei Rollen mit flächendeckend identischen Berechtigungen wählen, zeigt die Konsole oben auf der SeiteRollen vergleichen folgendeMeldung an:

„Es bestehen keine Unterschiede in den Berechtigungen zwischen den beiden Rollen.“

l Sie können auch Exportieren auswählen, um eine CSV-Datei (Comma-Separated Values) zu erstellen, die mit Excelangezeigt werden kann. Die CSV-Datei enthält die vollständige Liste aller Einstellungen für die Rollen 1 und 2, womitSie dieMöglichkeit haben, die Unterschiede zwischen den Rollen zu analysieren.

Vergleichen von Administratorrollen

Die Berechtigungseinstellungen zweier Administratorrollen können zu Zwecken der Genauigkeit oder zur BestätigungIhrer beabsichtigten Einstellungsunterschiede verglichen werden. Vergleichen Sie zwei Administratorrollen mit demRollenvergleichstool.


2. Wählen Sie zwei beliebige aufgelistete Rollen, einschließlich Rollen, die auf verschiedenen Seiten angezeigt werden,und wählen Sie diese Rollen aus.

3. Wählen Sie Vergleichen. Die Seite Rollen vergleichenwird mit einer Liste an Kategorien angezeigt. Wählen Sie linkseine bestimmte Kategorie, werden rechts alle Details zu dieser Kategorie angezeigt.

l Im rechten Bedienfeld können Rollenunterkategorien eingesehen werden. Wählen Sie dazu rechts außen denLink Details. Reduzieren Sie die Rollenunterkategorie über den Link Ausblenden.

l Die Kategorie Alle im linken Fenster zeigt bei Auswahl alle übergeordneten Kategorien der Seite Rollenvergleichen. Wenn Sie in die Leiste Ressourcen durchsuchen einen Suchparameter eingeben, werden rechts nurdie passenden Kategorien und Ressourcen aufgelistet.

l Die Suchfunktion ist persistent. Das bedeutet, dass, solange die Leiste Ressourcen durchsuchen einen Parameterenthält, bei Auswahl der Kategorie Alle nur die übereinstimmenden Kategorien und Ressourcen angezeigtwerden. Die Suchfunktion ist auch dann persistent, wenn Sie bestimmte Ressourcen wählen und Lesen undBearbeiten ausgewählt haben.


71



Kapitel 6:Gruppen

Übersicht über Zuweisungsgruppen 73

Übersicht über Organisationsgruppen 75

Übersicht über Smartgruppen 79

Übersicht über Anwendergruppen 85

Übersicht über Administratorgruppen 94

Anzeigen von Zuweisungen 97

72



Übersicht über ZuweisungsgruppenZuweisungsgruppen ist ein Oberbegriff, der zur Kategorisierung bestimmter Gruppierungsstrukturen der Verwaltunginnerhalb von AirWatch verwendet wird.

Organisations-, Smart- und Anwendergruppen weisen eigene umfassende Funktionsgruppen und Eigenschaften auf undsind unverwechselbar. Ihre Gemeinsamkeit besteht in der Art und Weise, in der sie verwendet werden können, ummühelos Inhalte an Anwendergeräte zuzuweisen. Die Funktion Zuweisungsgruppen ermöglicht einem Administrator dieVerwaltung dieser drei Gruppierungsstrukturen von einer zentralen Stelle.

Über die Listenansicht können Sie mehrere Organisations-, Smart- und Anwendergruppen einem oder mehreren Profilen,öffentlichen Anwendungen und Richtlinien zuweisen.

Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Zuweisungsgruppen.

Erstellen von anwenderdefinierten Zuweisungsgruppenlisten

Die Ansicht „Zuweisungsgruppen“ führt drei Arten von Gruppen auf, mit denen Geräten Inhalte zugewiesen werden:Organisationsgruppen, Smartgruppen und Anwendergruppen. Sie können nur Listen von den Gruppen erstellen, andenen Sie interessiert sind.

Sortieren nach Spalten

Sie können die Auflistung der Gruppen nach individuellen Spalten sortieren, indem Sie die Spaltenüberschrift wählen.

Filtern von Gruppen

Sie können Gruppen nach Gruppentyp (Smartgruppen, Organisationsgruppen und Anwendergruppen) filtern unddanach, wie und ob sie zugewiesen (Zuweisungen, Ausschlüsse, „Alle“ und „Keine“) wurden.

Auswählen von Links in der Auflistung der Zuweisungsgruppen

Vier Spalten auf der Seite der Zuweisungsgruppenauflistung dienen einer speziellen Funktion und sind gesondert zuerwähnen.

Kapitel 6: Gruppen

73



l Die SpalteGruppen enthält einen Link für jede einzelne Smartgruppe. Zur Bearbeitung der Smartgruppe können Sieauf diesen Link klicken.

l Wenn Sie die Spalte Zuweisungenwählen, und diese einen größeren Wert als Null enthält, wird die Seite „Zuweisung(en) anzeigen“ angezeigt, sogar für bereits zugewiesene Organisationsgruppen und Anwendergruppen. Durch dieseFunktion haben Sie dieMöglichkeit, Zuweisungen an Profile, öffentliche Anwendungen und Konformitätsrichtlinieneinzusehen und zu bestätigen.

l Wenn Sie die Spalte Ausschlüssewählen, und diese einen größeren Wert als Null enthält, wird die Seite „Zuweisung(en) anzeigen“ angezeigt, sogar für bereits zugewiesene Organisationsgruppen und Anwendergruppen. Durch dieSeite „Zuweisung(en) anzeigen“ haben Sie dieMöglichkeit, Ausschlüsse von Profilen, öffentlichen Anwendungen undKonformitätsrichtlinien einzusehen und zu bestätigen.

l Wird die Zahl der SpalteGeräte ausgewählt, wird die Seite „Gerätelistenansicht“ angezeigt. Die Gerätelistenansichtenthält die Liste aller Geräte in der ausgewählten Organisationsgruppe, Smartgruppe oder Anwendergruppe.


Anzeigen von Zuweisungen auf Seite 97

Gerätelistenansicht auf Seite 199

Zuweisen einer oder mehrerer Zuweisungsgruppen

Sie können Geräteprofilen, öffentlichen Anwendungen und Konformitätsrichtlinien Gruppen zuweisen. Sie können sogarmehrere Gruppen jedes Typs (Organisation, Smart und Anwender) gleichzeitig zuweisen.

1. Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Zuweisungsgruppen.

2. Wählen Sie eine oder mehrere Gruppen in der Liste und dann die Schaltfläche Zuweisen über der Spaltenüberschrift.

3. Auf der Seite Zuweisenwerden die von Ihnen ausgewählten Organisationsgruppen, Smartgruppen bzw.Anwendergruppen angezeigt.

4. Weisen Sie sie zu, indem Sie eine Suche nach einem Profil, einer öffentlichen Anwendung und einerKonformitätsrichtlinie starten. Sie können bis zu 10 Profile, bis zu 10 öffentliche Anwendungen und eine einzigeKonformitätsrichtlinie auswählen.

Kapitel 6: Gruppen

74



Sie können lediglich mehrere Entitäten eines einzigen Typs pro Sitzung auswählen. Mit einem einzigen Befehl könnenSie beispielsweise bis zu 10 verschiedenen Profilen mehrere Gruppen zuweisen, jedoch nicht 10 Profilen, 10Anwendungen und einer Konformitätsrichtlinie mehrere Gruppen zuweisen. Wenn Sie mehrere Entitätenverschiedener Typen besitzen, müssen Sie für jeden Typ (Profile, Anwendungen, Richtlinien) separateZuweisungssitzungen durchführen.

5. Wählen SieWeiter, um die SeiteGerätezuweisung anzeigen einzublenden, über die Sie die Gruppenzuweisungbestätigen können.

6. Wählen Sie Speichern und veröffentlichen, um die Zuweisung abzuschließen.

Übersicht über OrganisationsgruppenAirWatch identifiziert Anwender und erstellt Berechtigungen durch Organisationsgruppen. Obwohl mit jederbetrieblichen Methode Inhalte auf Geräten bereitgestellt werden können, verwenden Sie Organisationsgruppen (OG),um so eineMDM-Hierarchie einzurichten, die mit Ihrer betrieblichen Struktur identisch ist. OGs können auch aufGrundlage von AirWatch Funktionen und Inhalten erstellt werden.

Sie können auf Organisationsgruppen über Gruppen und Einstellungen > Gruppen > Organisationsgruppen >Listenansicht oder über das Dropdown-Menü für Organisationsgruppen zugreifen.

l Erstellen Sie Gruppen für Entitäten in Ihrer Organisation.

l Richten Sie Hierarchien mit über- und untergeordneten Ebenen ein.

l Führen Sie Integrationen in mehrere, interne Infrastrukturen auf der Stufenebene durch.

l Delegieren Sie rollenbasierten Zugriff und Verwaltung basierend auf einer mandantenfähigen Struktur.

Eigenschaften von Organisationsgruppen

Organisationsgruppen können sich allen funktionalen, geographischen und organisatorischen Entitäten anpassen undeinemandantenfähige Lösung ermöglichen:

l Skalierbarkeit – Profitieren Sie von einem flexiblen Support für exponentielles Wachstum.

l Mandantenfähigkeit – Erstellen Sie Gruppen, die als unabhängige Umgebungen funktionieren.

l Vererbung – Beschleunigen Sie den Einrichtungsvorgang, indem Sie festlegen, dass untergeordnete Gruppenübergeordnete Konfigurationen erben.

Kapitel 6: Gruppen

75



Im Beispiel des Dropdown-Menüs für Organisationsgruppen können alle Profile, Funktionen, Anwendungen undandereMDM-Einstellungen auf der obersten Ebene „World Wide Enterprises“ eingerichtet werden.

Dann werden die Einstellungen an die untergeordneten Organisationsgruppen vererbt, wie Asia/Pacific und EMEA,und sogar Australia > Manufacturing Division oder Australia > Operations Division > Corporate.

Wahlweise können Sie Einstellungen auf einer unteren Ebene überschreiben und nur bestimmte Einstellungen ändernoder beibehalten. Diese Einstellungen können auf jeder Ebene geändert bzw. heruntergetragen werden.

Überlegungen zur Einrichtung von Organisationsgruppen

Bevor Sie Ihre Organisationsgruppenhierarchie (OG) in der AirWatch Konsole einrichten, sollten Sie zuerst dieGruppenstruktur bestimmen. Gruppenstrukturen ermöglichen Ihnen die bestmögliche Nutzung von Einstellungen,Anwendungen und Ressourcen.

l Delegierte Administration – Sie können die Administration von Untergruppen an Administratoren unterer Ebenendelegieren, indem Sie deren Sichtbarkeit auf eine untere Organisationsgruppe beschränken.

l Unternehmensadministratoren haben hier Zugriff und können alles inder Umgebung sehen.

l Der LA-Manager hat Zugriff auf die LA-OG und kann nur diese Geräteverwalten.

l DerNY-Manager hat Zugriff auf die NY-OG und kann nur diese Geräteverwalten.

l Systemeinstellungen – Einstellungen können auf verschiedene Ebenen in der Organisationsgruppenstrukturangewendet und diesen vererbt werden. Sie können auch auf jeder Ebene überschrieben werden. Einstellungen sindbeispielsweise Geräteregistrierungsoptionen, Authentifizierungsmethoden, Datenschutzeinstellungen und Branding.

Kapitel 6: Gruppen

76



l Unternehmen allgemein legt die Registrierung mit dem ActiveDirectory-Server des Unternehmens fest.

l Geräte der Fahrer überschreiben die übergeordneteAuthentifizierung und erlauben eine tokenbasierte Registrierung.

l Geräte der Warenhäuser erben die AD-Einstellungen von derübergeordneten Gruppe.

l Gerät – Anwendungsfall – Ein Profil kann einer oder mehreren Organisationsgruppen zugewiesen werden. Geräte indiesen Gruppen können dann dieses Profil annehmen. Weitere Informationen finden Sie im Abschnitt „Profile“. Vorder Erstellung von Organisationsgruppen sollten Sie die Konfiguration von Geräten mit Profil-, Anwendungs- undInhaltseinstellungen nach Attributen erwägen, wie beispielsweise Gerätefabrikat und -modell, Besitztyp oderAnwendergruppen.

l Die Geräte der Geschäftsführer können keine Anwendungen installierenund haben Zugriff auf das WLAN-Vertriebsnetzwerk.

l Die Geräte der Vertriebsabteilung dürfen Anwendungen installieren undhaben VPN-Zugriff.

Überschreiben vs. Vererben von Einstellungen bei Organisationsgruppen

Durch die Hierarchie Ihrer Struktur wird bestimmt, welche Organisationsgruppen untergeordnet und welcheübergeordnet sind. Sie können jedoch nur durch das Hinzufügen von Repositorys und Anwendungen festlegen, dassdiese systemeigene Vererbung überschrieben werden soll.

Sie können Repositorys und Anwendungen untergeordneten Gruppen hinzufügen, die die Einstellungen ihrerübergeordneten Gruppen erben. Wahlweise können Sie auch die Vererbung auf jeder Gruppenebene überschreiben.

Wie Sie Repositorys und Anwendungen einrichten, erfahren Sie im VMware AirWatch Leitfaden für Mobile ContentManagement (MCM) bzw. im VMware AirWatch Leitfaden für Mobile Application Management (MAM). AlleDokumente sind unter Zugreifen auf andere Dokumente auf Seite 241 verfügbar.

Erstellen von Organisationsgruppen

Sie müssen eine Organisationsgruppe (OG) für jede Geschäftseinheit erstellen, in der Geräte eingesetzt werden. MachenSie sich bewusst, dass die OG, in der Sie sichmomentan befinden, die übergeordnete OG ist, die Sie gerade erstellen.

1. Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Organisationsgruppen > Organisationsgruppendetails.

2. Über die RegisterkarteUntergeordnete Organisationsgruppe hinzufügen können Sie folgende Einstellungenbearbeiten:


Name Geben Sie den Namen für die untergeordnete Organisationsgruppe (OG) ein, der angezeigt werdensoll. Verwenden Sie nur alphanumerische Zeichen. Verwenden Sie keine Sonderzeichen.

Kapitel 6: Gruppen

77




Gruppen-ID Geben Sie eine Bezeichnung für die OG ein, die Endanwender bei der Geräteanmeldung angebenmüssen. Gruppen-IDs werden während der Registrierung von Gruppengeräten in derentsprechenden OG verwendet.

Stellen Sie sicher, dass alle Anwender, die Geräte gemeinsam nutzen, dieGruppen-ID erhalten, dadiesemöglicherweise zur Geräteanmeldung erforderlich ist (je nach Konfiguration derGemeinschaftsgeräte).

Typ Wählen Sie den vorkonfigurierten OG-Typ, der der Kategorie der untergeordneten OG entspricht.

Land Wählen Sie das Land der OG.

Sprachversion Wählen Sie die Sprachenklassifikation für das ausgewählte Land.

Branche desKunden

Diese Einstellung ist nur verfügbar, wenn für Typ „Kunde“ gewählt ist. Wählen Sie eine Option ausder Liste mit Kundenbranchen.


Organisationsgruppentyp – Funktionen

Der Typ einer Organisationsgruppe kann die Fähigkeit eines Administrators, bestimmte Einstellungen zu konfigurieren,beeinflussen. Bestimmte Systemeinstellungen, wieWipe-Schutz, sowie bestimmte Funktionen, wie „Persönliche Inhalte“,„Telekommunikation“ usw. können nur auf Organisationsgruppen der Kundenebene konfiguriert werden. Außerdem ist„Global“ nur für bestimmte Bereitstellungen verfügbar. Im Gegensatz zu „Kunde“, „Partner“ und „Global“ dienen dieTypen ausschließlich Metadatenzwecken.

Weitere Informationen zu den verschiedenen Typen an Organisationsgruppen (z.B. Global, Partner, Kunde,Container) finden Sie im folgenden Artikel in der VMware AirWatch Wissensdatenbank: https://support.air-watch.com/articles/115001662908.

Hinzufügen von Geräten auf globaler Ebene

Die globale Organisationsgruppe (OG) ist für die Aufnahme von OGs vom Typ „Kunde“ und anderer Typen konzipiert.Wenn Sie Geräte zur globalen Ebene hinzufügen und die globale Ebenemit Einstellungen für diese Geräte konfigurieren,sind alle untergeordneten Kunden-OGs aufgrund der Funktionsweise der Vererbung ebenfalls davon betroffen. Diesreduziert die Vorteile bezüglich der Mandantenfähigkeit und Vererbung.

Weitere Informationen finden Sie unter Bedenken hinsichtlich der Geräteregistrierung auf globaler Ebene auf Seite 134.

Organisationsgruppen – Restriktionen

Sollten Sie versuchen, eine Einstellung zu konfigurieren, die OG-beschränkt ist, werden Sie von den Einstellungsseitenunter Gruppen und Einstellungen > Alle Einstellungen verständigt, die Organisationsgruppe (OG) zu wechseln.

Die folgenden Restriktionen treffen auf die Erstellung von Organisationsgruppen der Kundenebene zu.

Kapitel 6: Gruppen

78





l In einer SaaS-Umgebung (Software as a Service) können Sie keine verschachtelten Kunden-OGs erstellen.

l In einer On-Premise-Umgebung können Sie verschachtelte Kunden-OGs erstellen – jedoch nur dann, wenn es sich beiIhrem Administrator um einen Systemadministrator handelt.

Einstellungsvergleich bei Organisationsgruppen

Als Administrator finden Sie es möglicherweise nützlich, die Einstellungen einer Organisationsgruppe (OG)mit deneneiner anderen zu vergleichen. Folgende Einstellungen sind bei einem Vergleich von OG-Einstellungen verfügbar.

l Laden Sie XML-Dateien mit OG-Einstellungen von verschiedenen AirWatch Softwareversionen hoch.

l Beseitigen Sie dieMöglichkeit, dass ein Unterschied in den Konfigurationen Problemewährend derVersionsmigration verursachen könnte.

l Filtern Sie die Vergleichsergebnisse, sodass nur die für Sie wesentlichen Einstellungen angezeigt werden.

l Mit der Suchfunktion können Sie eine einzelne Einstellung nach Namen suchen.

Diese Vergleichsfunktion für Organisationsgruppen ist nur für On-Premise-Kunden verfügbar.

Vergleichen zweier Organisationsgruppen

Sie können die Einstellungen einer Organisationsgruppemit der einer anderen vergleichen, um so durchVersionsmigration entstandene Probleme zu beheben.

Sobald der UAT-Server (User Acceptance Testing; Anwenderakzeptanztest) beispielsweise aktualisiert, konfiguriert undgetestet wurde, können die UAT-Einstellungen direkt mit den Produktionseinstellungen verglichen werden.

1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Admin > Einstellungsverwaltung >Einstellungsvergleich.

2. Wählen Sie über das linke Dropdown-Menü (mit der Zahl 1 gekennzeichnet) eine OG in Ihrer Umgebung aus. Siekönnen die XML-Einstellungsdatei auch hochladen, indem Sie die SchaltflächeHochladenwählen und eineexportierte OG-XML-Einstellungsdatei auswählen.

3. Wählen Sie im rechten Dropdown-Menü (mit der Zahl 2 gekennzeichnet) die OG, mit der Sie den Vergleichdurchführen möchten.

4. Klicken Sie auf die SchaltflächeUpdate, um so eine Liste aller Einstellungen für beide ausgewählteOrganisationsgruppen anzuzeigen. Unterschiede zwischen den beiden Sätzen an OG-Einstellungen werdenautomatisch hervorgehoben. Sie können alternativ das Kontrollkästchen Nur Unterschiede anzeigen aktivieren.Dieses zeigt nur solche Einstellungen an, die nur für eine OG gelten, aber nicht für die andere. Leere (oder nichtfestgelegte) individuelle Einstellungen werden in der Vergleichsauflistung als „NULL“ angezeigt.

Übersicht über SmartgruppenSmartgruppen sind anpassbare Gruppen, die bestimmen, welche Plattformen, Geräte und Anwender eine zugewieseneAnwendung, ein Buch, eine Konformitätsrichtlinie, ein Geräteprofil oder eine Bereitstellung erhalten.

Organisationsgruppen werden in der Regel vom geografischen Standort, Geschäftsbereich und von der Abteilungfestgelegt. Smartgruppen bieten jedoch die Flexibilität, Inhalte und Einstellungen nach Geräteplattform, Model,Betriebssystem, Gerätetag oder Anwendergruppe bereitzustellen. Sie können sogar Inhalte für einzelne Anwender übermehrere Organisationsgruppen hinweg bereitstellen.

Kapitel 6: Gruppen

79



Sie können Smartgruppen beim Upload von Inhalten und Festlegen von Einstellungen erstellen. Aufgrund ihrermodularen Natur können Sie natürlich auch zu jeder beliebigen Zeit zur späteren Zuweisung erstellen.

Der Hauptvorteil von Smartgruppen liegt in ihrer Wiederverwendbarkeit. Es kann sich als praktisch erweisen, stets eineneue Zuweisung vorzunehmen, wenn Sie Inhalte hinzufügen oder ein Profil bzw. eine Richtlinie definieren. Wenn Siestattdessen nur einmal Zuweisende für Smartgruppen festlegen, können Sie diese Smartgruppen mühelos in IhrerInhaltsdefinition einschließen.

Erstellen einer Smartgruppe

Bevor Sie einer Anwendung, einem Buch, einer Konformitätsrichtlinie, einem Geräteprofil, einem Videokanal oder einemProdukt eine Smartgruppe zuweisen können, müssen Sie diese zuerst erstellen.

1. Wählen Sie die entsprechendeOrganisationsgruppe, auf die Ihre neue Smartgruppe angewendet und von der dieseverwaltet werden kann.

2. Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Zuweisungsgruppen und wählen Sie dann Smartgruppehinzufügen.

3. Geben Sie einen Namen für die Smartgruppe ein.

4. Konfigurieren Sie den Typ der Smartgruppe. Wählen Sie zwischen den Optionen Kriterien auswählen und Geräteoder Anwender auswählen.

l Die Option Kriterien auswählen funktioniert am besten bei großen Gruppen (mehr als 500 Geräte), dieallgemeine Updates erhalten. DieseMethode funktioniert am besten, da die inhärenten Details dieser Gruppenan sämtliche Endpunkte Ihrer Mobilgeräteflotte ausgegeben werden können.

o Im Typ Kriterien auswählenwählen Sie qualifizierende Parameter, die in der Smartgruppe hinzugefügtwerden sollen. Zu den Parametern zählen unter anderem Organisationsgruppe, Anwendergruppe, Besitz,Tags, Plattform und Betriebssystem,Modell, und Enterprise-OEM-Version (Original EquipmentManufacturer, Originalgerätehersteller). In den Abschnitten Hinzufügungen und Ausschlüsse können Sieauch bestimmte Geräte und Anwender hinzufügen und ausschließen.

Kapitel 6: Gruppen

80



Obwohl „Plattform“ ein Kriterium in einer Smartgruppe ist, hat die im Geräteprofil oder in derKonformitätsrichtlinie konfigurierte Plattform immer Vorrang vor der Plattform der Smartgruppe. Wirdbeispielsweise ein Geräteprofil für die iOS-Plattform erstellt, wird dieses Profil nur an iOS-Geräte zugewiesen,auch wenn die Smartgruppe Android-Geräte enthält.

l Die Option Geräte oder Anwender auswählen funktioniert am besten bei kleineren Gruppen (500 Geräte oderweniger), die nur vereinzelte, aber wichtige Updates erhalten. DieseMethode funktioniert aufgrund dergranularen Ebene, auf der Sie Gruppenmitglieder auswählen können, am besten.

Beim Umschalten zwischen Kriterien auswählen und Geräte oder Anwender auswählenwerden sämtlichebisher gemachte Eingaben und Auswahlen gelöscht.

o Verwenden Sie den Typ Geräte oder Anwender auswählen, um Inhalte und Einstellungen an bestimmteFälle außerhalb der allgemeinen Unternehmensmobilitätskriterien zuzuweisen. Geben Sie den freundlichenNamen des Geräts unter Geräte und Anwendernamen (Vor- oder Nachnamen) unter Anwender ein. Siemüssen mindestens ein Gerät oder einen Anwender hinzufügen, um die Smartgruppe speichern zu können.

Die Anzahl der Regeln, mit der eine Smartgruppe programmiert wird, ist beschränkt (500). Diese Beschränkungauf 500 Regeln steht nicht im Zusammenhang mit dem Geräteschwellenwert von 500, mit dem festgestellt wird,ob Ihre Smartgruppe auf der Option Kriterien auswählen oder Geräte oder Anwender auswählen basiert.

5. Klicken Sie abschließend auf Speichern.

Zuweisen einer Smartgruppe

Nach der Erstellung der Smartgruppemüssen Sie diese zuweisen, damit diese in Kraft treten kann. Sie können sie einerAnwendung, einem Buch, einer Konformitätsrichtlinie, einem Geräteprofil, einem Videokanal oder einerProduktbereitstellung zuweisen. Es gibt zweiMethoden der Smartgruppenzuweisung.

Zuweisen einer Smartgruppe während der Erstellung eines Geräteprodukts

Sie können eine Smartgruppe zuweisen, wenn Sie eine Anwendung, ein Buch, eine Konformitätsrichtlinie, einGeräteprofil, einen Videokanal oder eine Produktbereitstellung hinzufügen oder erstellen.

1. Bearbeiten Sie das Dropdown-Menü Zugewiesene Gruppen.

2. Wählen Sie eine Smartgruppe aus dem Dropdown-Menü aus. Die verfügbaren Smartgruppen werden nur in der

Kapitel 6: Gruppen

81



Organisationsgruppe (OG) verwaltet, zu der die Ressource hinzugefügt wird, bzw. einer ihr untergeordneten OG.

3. Entspricht keine der Smartgruppen den gewünschten Zuweisungskriterien, wählen Sie die Option Smartgruppeerstellen. Sie können mehr als eine Smartgruppe pro Anwendung, Buch, Konformitätsrichtlinie, Geräteprofil,Videokanal oder Produktbereitstellung zuweisen.

4. Wählen Sie Speichern, um die Zuweisung einzubeziehen.

Zuweisen einer Smartgruppe während der Verwaltung der Smartgruppe

Sie haben außerdem dieMöglichkeit, eine Smartgruppe während der Verwaltung dieser Smartgruppe zuzuweisen.

1. Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Zuweisungsgruppen, um die vollständige Liste allerSmartgruppen einzusehen.

2. Wählen Sie eine oder mehrere Smartgruppen aus, die Sie zuweisen möchten, und dann die Schaltfläche Zuweisen.Daraufhin wird die Seite Zuweisen angezeigt.

Wählen Sie den Link „Gruppe(n)“ in der oberen Leiste auf der Seite Zuweisen, um die SeiteGruppen anzuzeigen. Aufdieser Seite werden die Organisationsgruppen, die die Smartgruppen verwalten, angezeigt. Kehren Sie zur Seite„Zuweisen“ zurück, indem Sie die Schaltfläche Schließenwählen.

3. Verwenden Sie auf der Seite Zuweisen das Suchfeld, um die Liste der infrage kommenden Produkte einzusehen unddiese den ausgewählten Smartgruppen zuzuweisen.

4. Wählen SieWeiter, um die SeiteGerätezuweisung anzeigen einzublenden und den Zuweisungsstatus zu bestätigen.

5. Wählen Sie Speichern und veröffentlichen.

Weitere Informationen finden Sie unter Gerätezuweisung anzeigen auf Seite 173.

Ausschließen von Smartgruppen aus Profilen und Richtlinien

Zusätzlich zu Anwendungen, Büchern, Videokanälen und Produkten werden Smartgruppen auch auf Geräteprofile undKonformitätsrichtlinien angewendet. Durch diese Flexibilität können Sie ausgewählte Smartgruppen von Profilen undRichtlinien ausschließen.

Benötigen Sie beispielsweise eine Konformitätsrichtlinie für alle Anwender außer den Führungskräften desUnternehmens? Dann weisen Sie der Richtlinie eine Smartgruppe zu, die alle Anwender enthält, und schließen Sie eineSmartgruppe aus, die nur die Führungskräfte enthält.

1. Wählen Sie beim Hinzufügen eines neuen Geräteprofils oder einer neuen Konformitätsrichtlinie die Option Ja nebender Einstellung Ausschlüsse, um die Option Ausgeschlossene Gruppen anzuzeigen.

2. Wählen Sie in der Einstellung Ausgeschlossene Gruppen jene Smartgruppen aus, die Sie von der Zuweisung diesesProfils oder dieser Richtlinie ausschließen möchten. Alternativ können Sie durch Klicken auf die SchaltflächeZuweisungsgruppe erstellen eine neue Smartgruppe erstellen.

Falls Sie dieselbe Smartgruppe sowohl in der Einstellung Zugewiesene Gruppen als auch in AusgeschlosseneGruppen auswählen, kann das Profil oder die Richtlinie nicht gespeichert werden.

3. Wählen SieGerätezuweisung anzeigen, um eine Vorschau der betroffenen Geräte anzuzeigen.

Kapitel 6: Gruppen

82



Listenansicht für Smartgruppen

Verwalten Sie Ihre Smartgruppen mit der AirWatch Konsole. Dort können Sie Smartgruppen bearbeiten, zuweisen,ausschließen, löschen und Zuweisungen von Smartgruppen aufheben. Navigieren Sie zu Gruppen und Einstellungen >Gruppen > Zuweisungsgruppen, um die vollständige Liste aller Smartgruppen einzusehen. Administratoren haben nurEinsicht auf die Gruppen, die sie auf Grundlage ihrer Berechtigungseinstellungen verwalten können.

In den Spalten Gruppen, Zuweisungen, Ausschlüsse und Geräte finden Sie Links, die Ihnen bei Auswahl Ansicht aufdetaillierte Informationen gewähren.

l Über die Links in den Spalten Zuweisungen oder Ausschlüsse gelangen Sie zur Seite Smartgruppenzuweisungenanzeigen.

l Über einen Link in der SpalteGeräte laden Sie die SeiteGeräte > Listenansichtmit ausschließlich in der Smartgruppeenthaltenen Geräten hoch.

l Sie können Ihre Sammlung von Gruppen nach Gruppentyp (Smart, Organisation, Anwender oder alle) oder nachdem Status Zugewiesen filtern. Der Status „Zugewiesen“ gibt an, ob die Gruppe zugewiesen oder ausgeschlossen istbzw. beide Status oder keines dieser Status aufweist.

l Sie können eine Smartgruppe direkt vom Eintrag aus zuweisen.

Bearbeiten, Löschen und Aufheben der Zuweisung einer Smartgruppe

Alle Änderungen, die Sie auf eine Smartgruppe anwenden, wirken sich auf alle Richtlinien und Profile aus, denen dieseSmartgruppe zugewiesen wird.

Eine Smartgruppe für Führungskräfte wird einer Konformitätsrichtlinie, einem Geräteprofil und zwei internenAnwendungen zugewiesen. Falls Sie einige Führungskräfte ausschließen möchten, bearbeiten Sie einfach dieSmartgruppe, indem Sie Ausschlüsse festlegen. Mit dieser Maßnahmewerden nicht nur die zwei internen Anwendungensondern auch die Konformitätsrichtlinie und das Geräteprofil von den ausgeschlossenen Geräten entfernt.

1. Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Zuweisungsgruppen.

2. Wählen Sie das Symbol Bearbeiten ( ) links neben der aufgeführten Smartgruppe, die Sie bearbeiten möchten. Siekönnen auch den Namen der Smartgruppe in der SpalteGruppe auswählen. Die Seite Smartgruppe bearbeitenerscheint samt vorhandenen Einstellungen.

3. Ändern Sie auf der Seite Smartgruppe bearbeiten die Option Kriterien oder Geräte und Anwender (je nachdem,unter welchem Typ die Smartgruppe gespeichert wurde). Wählen Sie danachWeiter.

Kapitel 6: Gruppen

83



4. Auf der Seite Zuweisung(en) anzeigen können Sie prüfen, welche Profile, Anwendungen, Bücher, Bereitstellungenund Richtlinien dadurch dem Gerät hinzugefügt oder vom Gerät entfernt werden können.

5. Wählen Sie Veröffentlichen, um Ihre Änderungen an der Smartgruppe zu speichern. Alle Profile, Anwendungen,Bücher, Bereitstellungen und Richtlinien, die zu dieser Smartgruppe gehören, ändern auf Basis dieser Bearbeitungihre Gerätezuweisungen.

Das Konsolenereignis-Protokollmodul verfolgt Änderungen an den Smartgruppen, wie hinsichtlich des Autors derÄnderungen, der hinzugefügten Geräte sowie der entfernten Geräte.

Löschen einer Smartgruppe

Wenn Sie für eine Smartgruppe keine weitere Verwendung haben, können Sie diese löschen. Sie können nur jeweils eineSmartgruppe löschen. Bei Auswahl von mehr als einer Smartgruppe wird die Schaltfläche Löschen deaktiviert. Wenn eineSmartgruppe zugewiesen ist, dürfen Sie diese nicht löschen.

1. Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Zuweisungsgruppen und suchen Sie die Smartgruppe,die aus der Liste gelöscht werden soll.

2. Aktivieren Sie das Kontrollkästchen links neben dem Smartgruppennamen und wählen Sie Löschen im angezeigtenAktionsmenü.

Aufheben der Zuweisung einer Smartgruppe

Siekönnen dieZuweisungeinerSmartgruppevon einerAnwendung, einemBuch, Kanal, Profil, Produkt odereinerRichtlinieaufheben. Durch dieseAktionwerden dieentsprechenden Inhaltevon allenGeräten in derSmartgruppeentfernt.

1. Heben Sie die Zuweisung einer Smartgruppe zu Anwendungen, Büchern, Konformitätsrichtlinien, Geräteprofilen oderProduktbereitstellungen auf. Folgen sie den angezeigten Navigationspfaden.

l Anwendungen – Navigieren Sie zu Anwendungen und Bücher > Anwendungen > Listenansicht und wählen Siedie RegisterkarteÖffentlich oder Intern.

l Bücher – Navigieren Sie zu Anwendungen und Bücher > Bücher > Listenansicht und wählen Sie die RegisterkarteÖffentlich, Intern oderWeb.

l Kanäle – Navigieren Sie zu Inhalte > Video > Kanäle.

l Konformitätsrichtlinie – Navigieren Sie zu Geräte > Konformitätsrichtlinien > Listenansicht.

l Geräteprofil – Navigieren Sie zu Geräte > Profile und Ressourcen > Profile.

l Produktbereitstellung – Navigieren Sie zu Geräte > Staging und Bereitstellung > Produkte > Listenansicht.

2. Suchen Sie den Inhalt oder die Einstellung in der Auflistung und wählen Sie das Symbol Bearbeiten imAktionsmenü.

3. Wählen Sie die Registerkarte Zuweisung oder suchen Sie das Textfeld Zugewiesene Smartgruppen.

4. Wählen Sie „Löschen“ (X) neben der Smartgruppe, deren Zuweisung Sie aufheben möchten. Durch diese Aktion wirddie Smartgruppe nicht gelöscht. Es wird lediglich die Smartgruppenzuweisung von der gespeicherten Einstellungentfernt.

5. Gehen Sie wie gewohnt vor, um Ihre Änderungen zu speichern.

Kapitel 6: Gruppen

84



Untersuchen von Smartgruppenereignissen unter Verwendung des Protokollmoduls für Konsolenereignisse

Mit dem Protokollmodul für Konsolenereignisse können Sie mühelos nachvollziehen, welche Änderungen anSmartgruppen wann und von wem vorgenommen wurden. Diese Protokolle können vor allem bei derProblembehandlung von Geräten nützlich sein.

1. Navigieren Sie zu Hub > Berichte und Analysen > Ereignisse > Konsolenereignisse.

2. Wählen Sie Smartgruppen aus dem Dropdown-FilterModul über der Konsolenereignis-Liste.

3. Wenden Sie nach Wunsch weitere Filter an, wieDatumsbereich, Schweregrad und Kategorie.

4. Wählen Sie, wo immer zutreffend, den Hypertextlink in der Spalte Ereignisdaten, der zusätzliche Informationenenthält, die Ihnen bei Ihren Aufgaben möglicherweise zugutekommen.

Übersicht über AnwendergruppenSie können Anwender in Anwendergruppen gruppieren, die dann, wie Organisationsgruppen, als Filter zur Zuweisungvon Profilen und Anwendungen fungieren. Richten Sie bei der Konfiguration Ihrer MDM-Umgebung dieAnwendergruppen auf die Sicherheitsgruppen bzw. Geschäftsrollen in Ihrer Organisation aus.

Sie können Anwendern und Geräten durch Anwendergruppen Profile, Konformitätsrichtlinien, Inhalte undAnwendungen zuweisen. Sie können Ihre vorhandenen Verzeichnisdienstgruppen bei AirWatch hinzufügen oderAnwendergruppen neu erstellen.

Als Alternative zu Anwendergruppen können Sie Inhalte auch durch Zuweisung von Geräten nach vorkonfiguriertenNetzwerk-IP-Adressbereichen oder anwenderdefinierten Attributen verwalten. Weitere Informationen finden Sie unterÜbersicht über Gerätezuweisungen auf Seite 141.

Anwendergruppen ohne Verzeichnisintegration (anwenderdefiniert)

Beim Erstellen einer Anwendergruppe außerhalb Ihrer vorhandenen Active Directory-Struktur haben Sie dieMöglichkeit,jederzeit spezielle Gruppen von Anwendern zu erstellen. Konfigurieren Sie speziell den Zugriff auf Funktionen undInhalte, und schließen Sie Standard- und Verzeichnisanwender mit ein, um Anwendergruppen gemäß Ihrer Bereitstellunganzupassen. Erstellen Sie beispielsweise eine temporäre Anwendergruppe für ein bestimmtes Projekt, das spezielleAnwendungen, Geräteprofile und Konformitätsrichtlinien verlangt.

Weitere Informationen zum massenweisen Hinzufügen von Anwendergruppen finden Sie unter Batch-Import vonAnwendergruppen auf Seite 55.

Hinzufügen von Anwendergruppen ohne Verzeichnisintegration (anwenderdefiniert)

Sie können eine anwenderdefinierte Anwendergruppe außerhalb Ihrer Unternehmensstruktur erstellen, was je nach dervon Ihnen benötigten Art von Anwendergruppe sogar eventuell vorzuziehen ist. Anwenderdefinierte Anwendergruppenkönnen nur einer Organisationsgruppe auf Kundenebene hinzugefügt werden.

1. Navigieren Sie zu Konten > Anwendergruppen > Listenansicht und wählen SieHinzufügen und dannAnwendergruppe hinzufügen.

2. Ändern Sie die Option Anwendergruppentyp in Anwenderdefiniert.

3. Geben Sie den in der AirWatch Konsole zur Identifizierung der Anwendergruppe verwendeten Gruppennamen sowiedie Beschreibung ein.

Kapitel 6: Gruppen

85



4. Bestätigen Sie die Organisationsgruppe, die die Anwendergruppe verwaltet, und wählen Sie Speichern.

5. Anschließend können Sie dieser neuen Anwendergruppe Anwender hinzufügen, indem Sie zu Konten > Anwender >Listenansicht navigieren.

Fügen Sie Anwender massenweise hinzu, indem Sie links neben jedem aufgeführten Anwendernamen dieKontrollkästchen aktivieren. Klicken Sie dann oberhalb der Spaltenüberschriften auf die Schaltfläche Verwaltungund wählen Sie Zu Anwendergruppe hinzufügen.

Anwendergruppen mit Verzeichnisintegration

Eine Alternative zu anwenderdefinierten Anwendergruppen ohne Active Directory-Integration stellt dieAnwendergruppenintegration dar, die Ihre bestehende Active Directory-Struktur nutzt und dadurch viele Vorteile bietet.

Nach dem Import vorhandener Verzeichnisdienstgruppen als AirWatch Anwendergruppen können Sie Folgendesdurchführen:

l Anwenderverwaltung – Verweisen Sie auf Ihre vorhandenen Verzeichnisdienstgruppen (wie Sicherheitsgruppen undVerteilungslisten) und passen Sie die Anwenderverwaltung in AirWatch an die vorhandenen Organisationssystemean.

l Profile und Richtlinien –Weisen Sie Profile, Anwendungen und Richtlinien über eine gesamte AirWatchBereitstellung hinweg an Anwendergruppen zu.

l Integrierte Updates – Aktualisieren Sie Anwendergruppenzuweisungen automatisch nachGruppenmitgliedschaftsänderungen.

l Verwaltungsberechtigungen – Legen Sie Verwaltungsberechtigungen fest, um es nur zulässigen Administratoren zuerlauben, Richtlinien- und Profilzuweisungen für bestimmte Anwendergruppen zu ändern.

l Registrierung – Erlauben Sie Anwendern, sich mit ihren vorhandenen Anmeldedaten zu registrieren und automatischeiner Organisationsgruppe zugewiesen zu werden.

Der Administrator muss eine vorhandene Organisationsgruppe als primäre Stammorganisationsgruppe festlegen, vonder aus der Administrator dann Geräte und Anwender verwaltet. Verzeichnisdienstemüssen in dieserStammorganisationsgruppe aktiviert werden.

Sie können Ihre vorhandenen Verzeichnisdienstgruppen bei AirWatch hinzufügen. Obwohl dadurch nicht sofortAirWatch Anwenderkonten für alle Ihrer Verzeichnisdienstkonten erstellt werden, wird durch dieseMaßnahmegewährleistet, dass AirWatch diese Konten als Anwendergruppen erkennt. Verwenden Sie diese Gruppe, um zueinzuschränken, wer sich registrieren kann.

Weitere Informationen zum massenweisen Hinzufügen von Verzeichnisanwendergruppen finden Sie unter Batch-Importvon Anwendergruppen auf Seite 55.

Hinzufügen von Anwendergruppen mit Verzeichnisintegration

Das Erstellen von Anwendergruppen mit Verzeichnisintegration sorgt für eine abgestimmte Vorgehensweise bei derGeräteverwaltung: Die Geräteregistrierung sowie darauf folgende Updates, die administrative Übersicht und dieAnwenderverwaltung entsprechen alle Ihrer bestehenden Verzeichnisdienststruktur.

Bevor Sie fortfahren, stellen Sie sicher, dass es sich beiAnwendergruppentyp um Verzeichnis handelt.

1. Navigieren Sie zu Konten > Anwendergruppen > Listenansicht und wählen SieHinzufügen und dannAnwendergruppe hinzufügen.

Kapitel 6: Gruppen

86




Typ Wählen Sie den Typ der Anwendergruppe.

l Verzeichnis – Erstellen Sie eine Anwendergruppe, die auf Ihre vorhandeneActive Directory-Struktur ausgerichtet ist.

l Anwenderdefiniert – Erstellen Sie eine Anwendergruppe außerhalb derbestehenden Active Directory-Struktur Ihrer Organisation. DieserAnwendergruppentyp gewährt Zugriff auf Funktionen und Inhalte fürStandard- und Verzeichnisanwender, um Anwendergruppen gemäß IhrerBereitstellung anzupassen. Anwenderdefinierte Anwendergruppen könnennur einer Organisationsgruppe auf Kundenebene hinzugefügt werden.

Externer Typ Wählen Sie den externen Typ der Gruppe, die Sie hinzufügen.

l Gruppe – Betrifft die Gruppenobjektklasse, auf der Ihre Anwendergruppebasiert. Diese Einstellung ist anpassbar. Navigieren Sie dazu zu Gruppenund Einstellungen > Alle Einstellungen > System > Enterprise Integration> Verzeichnisdienste > Gruppe.

l Organisationseinheit – Betrifft die Objektklasse der Organisationseinheit,auf der Ihre Anwendergruppe basiert. Diese Einstellung ist anpassbar.Navigieren Sie dazu zu Gruppen und Einstellungen > Alle Einstellungen >System > Enterprise Integration > Verzeichnisdienste > Gruppe.

l Anwenderdefinierte Abfrage – Sie können auch eine Anwendergruppe ausAnwendern erstellen, die durch eine anwenderdefinierte Abfrage gefundenwurden. DieWahl dieses externen Typs ersetzt die Suchtextfunktion undzeigt stattdessen den Abschnitt „Anwenderdefinierte Abfrage“ an.

Suchtext Identifizieren Sie den Namen einer Anwendergruppe in Ihrem Verzeichnis,indem Sie das Suchkriterium eingeben, und wählen Sie Suchen. Sollte eineVerzeichnisgruppe Ihren Suchtext enthalten, wird eine Liste vonGruppennamen angezeigt.

Diese Option ist nicht verfügbar, wenn Externer Typ aufAnwenderdefinierteAbfrage gesetzt ist.

Verzeichnisname Eine schreibgeschützte Einstellung, die die Adresse IhresVerzeichnisdienstservers anzeigt.

Domäne und Basis-DN derGruppe

Diese Informationen werden automatisch auf Grundlage derVerzeichnisdienstserver-Informationen aufgefüllt, die Sie auf der SeiteVerzeichnisdienste eingeben (Gruppen und Einstellungen > System >Enterprise Integration > Verzeichnisdienste).

Wählen Sie das Pluszeichen (+)DN abrufen neben der Einstellung Basis-DN derGruppe, durch das eine Liste von Elementen definierter Namen angezeigt wird,aus der Sie wählen können.

Kapitel 6: Gruppen

87




AnwenderdefinierteObjektklasse

Identifiziert die Objektklasse, unter der Ihre Abfrage läuft. Bei derStandardobjektklasse handelt es sich um „Person“. Sie können jedoch gerneine anwenderdefinierte Objektklasse zur erfolgreicheren und genauerenIdentifizierung Ihrer Anwender bereitstellen.

Diese Option wird nur dann angezeigt, wenn Anwenderdefinierte Abfrage alsExterner Typ ausgewählt wurde.

Gruppenname Wählen Sie einen Gruppennamen aus Ihrer Suchtext-Ergebnisliste. Durch dieWahl eines Gruppennamens wird der Wert in der Einstellung „DefinierterName“ automatisch geändert.

Diese Option wird erst nach erfolgreichem Abschluss einer Suchemithilfe derEinstellung Suchtext angezeigt.

Definierter Name Diese schreibgeschützte Einstellung zeigt den vollständigen definierten Namender Gruppe an, die Sie soeben erstellen.

Diese Option wird nur dann angezeigt, wenn Gruppe oderOrganisationseinheit als Externer Typ ausgewählt wurde.

Anwenderdefinierter Basis-DN Identifiziert den definierten Basisnamen, der als Startpunkt Ihrer Abfrage dient.Der standardmäßige Basis-DN lautet „AirWatch“ und „sso“. Wenn Sie jedochdie Abfrage an einem anderem Startpunkt starten möchten, können Sie einenanwenderdefinierten Basis-DN bereitstellen.

Diese Option wird nur dann angezeigt, wenn Anwenderdefinierte Abfrage alsExterner Typ ausgewählt wurde.

Organisationsgruppenzuweisung Anhand dieses optionalen Einstellung können Sie die von Ihnen erstelltenAnwendergruppen bestimmten Organisationsgruppen zuweisen.


Anwendergruppeneinstellungen Wählen Sie zwischen Standardeinstellungen anwenden undAnwenderdefinierte Einstellungen für diese Anwendergruppe verwenden.Weitere Erläuterungen zu Einstellungen finden Sie unter AnwenderdefinierteEinstellungen. Sie können diese Option über die Berechtigungseinstellungenkonfigurieren, nachdem die Gruppe erstellt wurde.


Benutzerdefinierte Abfrage

Abfrage In dieser Einstellung wird die zurzeit geladene Abfrage angezeigt, die beiBetätigung der Schaltfläche Testabfrage und anschließender Auswahl derSchaltflächeWeiter ausgeführt wird. Änderungen an der EinstellungAnwenderdefinierte Logik oder der Einstellung AnwenderdefinierteObjektklassewerden hier angezeigt.

Kapitel 6: Gruppen

88




Benutzerdefinierte Logik Fügen Sie Ihre anwenderdefinierte Abfragelogik, wie einen Anwender- oderAdministratornamen, hier hinzu. Beispiel: „cn=lmüller“. Dabei können Sie einenbeliebig großen Teil des definierten Namens verwenden. Mit der SchaltflächeTestabfrage können Sie prüfen, ob die Syntax Ihrer Abfrage korrekt ist, bevorSie die SchaltflächeWeiterwählen.

Anwenderdefinierte Einstellungen

Verwaltungsberechtigungen Sie können allen Administratoren die Verwaltung der von Ihnen erstelltenAnwendergruppe erlauben oder verwehren.

Standardrolle Wählen Sie eine Standardrolle für die Anwendergruppe aus dem Dropdown-Menü.

Standardregistrierungsrichtlinie Wählen Sie eine Standardregistrierungsrichtlinie aus dem Dropdown-Menü.

Automatisch mit Verzeichnissynchronisieren

Mit dieser Option wird die Funktion der Verzeichnissynchronisierungermöglicht, mit der Anwendermitgliedschaft über den Verzeichnisservererkannt und in einer temporären Tabelle gespeichert wird. Administratorengenehmigen Änderungen an der Konsole, es sei denn die Option„Automatische Zusammenführung“ ist aktiviert.

Wenn Sie verhindern möchten, dass Anwendergruppen bei einer geplantenSynchronisierung automatisch synchronisiert werden, muss diese Einstellungdeaktiviert werden.

Änderungen automatischzusammenführen

Aktivieren Sie diese Option, um automatisch Synchronisierungsänderungenohne administrative Zustimmung anzuwenden.

Maximal zulässige Änderungen Verwenden Sie diese Einstellung, um einen Schwellenwert für die Anzahl derzulässigen automatischen Synchronisierungen von Anwendergruppen ohneZustimmung des Administrators zu setzen.

Änderungen, die über den Schwellenwert hinausgehen, erfordern dieGenehmigung des Administrators. Diesbezüglich wird eine Benachrichtigunggesendet.

Diese Option wird nur angezeigt, wenn Änderungen automatischzusammenführen aktiviert ist.

Gruppenmitglieder automatischhinzufügen

Aktivieren Sie diese Einstellung, um Anwender automatisch derAnwendergruppe hinzuzufügen.

Wenn Sie verhindern möchten, dass Anwendergruppen bei einer geplantenSynchronisierung automatisch synchronisiert werden, muss diese Einstellungdeaktiviert werden.

E-Mail an Anwender senden,wenn fehlende Anwenderhinzugefügt werden

Sie können eine E-Mail an Anwender senden, wenn Sie fehlende Anwenderhinzufügen. Die Option „Fehlende Anwender hinzufügen“ besteht in derKombination der temporären Anwendergruppentabelle mit der ActiveDirectory-Tabelle.

Kapitel 6: Gruppen

89




Nachrichtenvorlage Wählen Sie eine Nachrichtenvorlage zur Verwendung für die E-Mail-Benachrichtigung während des Hinzufügens fehlender Anwender zu derAnwendergruppe.

Diese Option ist nur verfügbar, wenn E-Mail an Anwender senden, wennfehlende Anwender hinzugefügt werden aktiviert ist.

Weite Informationen zu „Definierter Name“ finden Sie im TechNet-Artikel „Objektbenennung“ von Microsoftunter https://technet.microsoft.com.


Bearbeiten von Anwendergruppenberechtigungen

Feinabstimmung von Anwendergruppenberechtigungen ermöglicht Ihnen, nochmals zu erwägen, wer in IhrerOrganisation bestimmte Gruppen bearbeiten darf. Hat Ihre Organisation beispielsweise eine Anwendergruppe fürFührungskräfte, möchten Sie möglicherweise nicht unbedingt, dass untergeordnete AdministratorenVerwaltungsberechtigungen für diese Anwendergruppe haben.

Auf der Seite Berechtigungen können Sie steuern, wer bestimmte Anwendergruppen verwalten und wer Profile,Konformitätsrichtlinien und Anwendungen an Anwendergruppen zuweisen kann. Wichtige logische Beschränkungenwerden rot gekennzeichnet.

1. Navigieren Sie zu Konten > Anwendergruppen > Listenansicht.

2. Wählen Sie das Symbol Bearbeiten für die Zeile einer bestehenden Anwendergruppe.

3. Wählen Sie die Registerkarte Berechtigungen und dann Hinzufügen.

4. Wählen Sie dieOrganisationsgruppe, für die Sie Berechtigungen festlegen möchten.

5. Wählen Sie die Berechtigungen, die Sie aktivieren möchten.

l Gruppe verwalten (bearbeiten/löschen) – Aktivieren Sie die Funktion zum Bearbeiten und Löschen vonAnwendergruppen.

l Verwalten von Anwendern innerhalb der Gruppe und Registrierung ermöglichen – Verwalten Sie Anwender inder Anwendergruppe und gestatten Sie die Geräteregistrierung in der Organisationsgruppe.

o Diese Einstellung kann nur aktiviert werden, wenn auch „Gruppe verwalten (bearbeiten/löschen)“ aktiviertist.

o Wenn „Gruppe verwalten (bearbeiten/löschen)“ deaktiviert ist, ist diese Einstellung ebenfalls deaktiviert.

l Gruppe für Zuweisung benutzen – Verwenden Sie Gruppen, um Geräten Sicherheitsrichtlinien undUnternehmensressourcen zuzuweisen.

o Diese Einstellung kann nur geändert werden, wenn „Gruppe verwalten (bearbeiten/löschen)“ deaktiviert ist.

o Wenn „Gruppe verwalten (bearbeiten/löschen)“ aktiviert ist, wird diese Einstellung gesperrt und kann nichtbearbeitet werden.

Kapitel 6: Gruppen

90



https://technet.microsoft.com/

6. Wählen Sie den Umfang dieser Berechtigungen aus, d.h. welche Administratorgruppen diese Anwendergruppeverwalten oder verwenden dürfen. Nur eine der folgenden Optionen darf aktiviert sein.

l Nur Administrator – Die Berechtigungen betreffen nur Administratoren in der übergeordnetenOrganisationsgruppe.

l Alle Administratoren in/unter dieser Organisationsgruppe – Die Berechtigungen betreffen Administratoren inder Organisationsgruppe und alle Administratoren in sämtlichen nächsthöheren untergeordnetenOrganisationsgruppen.


Zugreifen auf Anwenderdetails

Sobald Ihre Anwender und Anwendergruppen eingerichtet sind, können Sie alle Anwenderinformationen bezüglichAnwenderdetails, zugewiesenen Geräten und Interaktionen anzeigen.

Greifen Sie von einer beliebigen Stelle in der AirWatch Konsole auf Anwenderinformationen zu, an der derAnwendername angezeigt wird, einschließlich der folgenden Seiten in der Konsole.

l Anwendergruppenmitglieder (Konten > Anwendergruppen > Detailansicht > Mehr > Anwender anzeigen)

l Anwender – Listenansicht (Konten > Anwender > Listenansicht)

l Administratoren – Listenansicht (Konten > Administratoren > Listenansicht)

Die Seite „Anwenderdetails“ ist eine Einzelseitenansicht von Folgendem:

l Allen zugewiesenen Anwendergruppen

l Allen Geräten, die einem Anwender im Laufe der Zeit zugeordnet wurden, sowie einem Link zum vollständigenVerlauf aller registrierten Geräte

l Allen Geräten, die der Anwender in einer Umgebung mit gemeinsam benutzten Geräten ausgecheckt hat, und einemLink zur Fertigstellung des Check-in/Check-out-Geräteverlaufs

l Allen geräte- und anwenderspezifischen Ereignisprotokollen

l Allen zugewiesenen, akzeptierten und abgelehnten Nutzungsbedingungen

Verschlüsseln von persönlichen Daten

Falls gewünscht, können Sie personenbezogene Informationen verschlüsseln, einschließlich Vorname, Nachname, E-Mail-Adresse und Rufnummer.

Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Sicherheit > Datensicherheit von derOrganisationsgruppe der globalen oder Kundenebene, für die Sie die Verschlüsselung konfigurieren möchten.

1. Aktivieren Sie die Einstellung Anwenderinformationen verschlüsseln und wählen Sie im Anschluss die jeweiligenAnwenderdateneinstellungen, um die Verschlüsselung zu aktivieren. Dadurch werden die Funktionen zum Suchen,Sortieren und Filtern deaktiviert.

2. Klicken Sie auf Speichern, um die Anwenderdaten zu verschlüsseln, damit auf diese Daten in der Datenbank nichtzugegriffen werden kann. Dadurch werden einige Funktionen in der AirWatch Konsole eingeschränkt, wiebeispielsweise „Suchen“, „Sortieren“ und „Filtern“.

Kapitel 6: Gruppen

91



Listenansicht für Anwendergruppen

Die Seite „Listenansicht für Anwendergruppen“ bietet nützliche Tools zur allgemeinen Verwaltung und Pflege vonAnwendergruppen, einschließlich der Anzeige, Zusammenführung, Löschung von Anwendergruppen sowie Hinzufügungvon fehlenden Anwendern. Navigieren Sie zu Konten > Anwendergruppen > Listenansicht.

Die Listenansicht für Anwendergruppen kann zur sofortigen Erstellung von Anwendergruppen basierend auf den für Siewichtigsten Kriterien verwendet werden. Neue Anwendergruppen können außerdem einzeln oder massenweisehinzugefügt werden.

Aktion Beschreibung

Filter Zeigen Sie nur die gewünschten Anwendergruppen durch Nutzung folgender Filter an.

l Anwendergruppentyp

l Synchronisierungsstatus

l Zusammenführungsstatus

Hinzufügen

Anwendergruppehinzufügen

Führen Sie eine einmalige Hinzufügung einer verzeichnisbasierten Anwendergruppe oder eineranwenderdefinierten Anwendergruppe durch.

Batch-Import Importieren Sie neue Anwendergruppen massenweise über eine CSV-Datei (Comma-SeparatedValues). Geben Sie einen eindeutigen Namen und eine Beschreibung ein, um mehrereAnwendergruppen auf einmal zu organisieren.

Sortieren undAnpassen derGröße vonSpalten

Folgende Spalten in der Listenansicht sind sortierbar: „Gruppenname“, „Letzte Synchronisierung“,„Anwender“ und „Zusammenführungsstatus“. Die Größe folgender Spalten kann verändertwerden: „Gruppenname“ und „Letzte Synchronisierung“.

Detailansicht Zeigen Sie grundlegende Informationen über Anwendergruppen in der Detailansicht an, indem Sieden Link in der SpalteGruppenname auswählen. Zu diesen Informationen zählen Gruppenname,Gruppentyp, externer Typ, Manager und Anzahl der Anwender. Die Detailansicht enthält unter AlleEinstellungen > Geräte und Anwender > Allgemein > Registrierung auf der RegisterkarteGruppierung außerdem einen Link zu Einstellungen für die Anwendergruppenzuordnung.

Exportieren ( ) Speichern Sie eine CSV-Datei (Comma-Separated Values) der gesamten ungefilterten bzw.gefilterten Listenansicht, die dann in Excel eingesehen und analysiert werden kann.

Die Listenansicht für Anwendergruppen enthält auch ein Kontrollkästchen zur Aktivierung und das Symbol Bearbeitenlinks neben dem Anwender. Durch Auswahl des Symbols Bearbeiten ( ) haben Sie dieMöglichkeit, grundlegendeÄnderungen an der Anwendergruppe vorzunehmen. Sie können Massenaktionen für Anwendergruppen durchführen,indem Sie ein oder mehrere Kontrollkästchen aktivieren. Hierdurch werden die jeweiligen Aktionsschaltflächen für dieAuflistung angezeigt.

Sie können mehr als eine Anwendergruppe auswählen, indem Sie die gewünschte Anzahl der Kontrollkästchenauswählen. Dadurch werden die verfügbaren Aktionsschaltflächen geändert und die entsprechenden Aktionen aufmehrere Gruppen und ihre jeweiligen Anwender angewendet.

Kapitel 6: Gruppen

92



Aktion Beschreibung

Synchronisieren Kopieren Sie die zuletzt hinzugefügten Anwendergruppenanwender in die temporäre Tabelle, undzwar manuell und vor der geplanten automatischen Active Directory-Synchronisierung durchAirWatch.

Anwenderanzeigen

Diese Schaltfläche zeigt die Seite Anwendergruppenmitglieder an, durch die Sie die Anwendernamenaller Mitglieder in der ausgewählten Anwendergruppe überprüfen können.

WeitereAktionen

Anzeigen undzusammenführen

Zeigen Sie die Anwender an, die der temporären Anwendergruppentabelle zuletzt hinzugefügt wurden, führen Sie diesezusammen bzw. entfernen Sie diese. Anwendergruppenanwender, die in dieser Tabelle angezeigt werden, erwartet dieautomatische AirWatch Anwendergruppensynchronisierung.

Fehlende Anwenderhinzufügen

Kombinieren Sie die temporäre Anwendergruppentabelle mit der Active Directory-Tabelle, wodurch Sie die Hinzufügungdieser neuen Anwender in der Anwendergruppe offiziell machen.

Löschen Löschen Sie eine Anwendergruppe.

Hinzufügen von Anwendern zu Anwendergruppen

So fügen Sie einen neuen Anwender einer oder mehreren Anwendergruppen hinzu:

1. Navigieren Sie zu Konten > Anwender > Listenansicht.

2. Wählen Sie einen oder mehrere Anwender in der Auflistung aus, indem Sie links das Kontrollkästchen aktivieren.

3. Klicken Sie auf die SchaltflächeWeitere Aktionen und wählen Sie dann Zu Anwendergruppe hinzufügen aus. DieSeite Ausgewählte Anwender zur anwenderdefinierten Anwendergruppe hinzufügenwird angezeigt.

4. Sie können Anwender zu Bestehende Anwendergruppe hinzufügen oder eineNeue Anwendergruppe erstellen.

5. Wählen Sie den Gruppennamen.


7. Navigieren Sie zu Konten > Anwendergruppen > Listenansicht.

a. Bei der Active Directory(AD)-Synchronisierung (einem automatischem, geplanten Prozess) werden dieseausstehenden Anwendergruppenanwender in eine temporäre Tabelle kopiert, mit der sie überprüft, hinzugefügtund entfernt werden können.

b. Möchten Sie nicht auf die automatische AD-Synchronisierung warten, können sie manuell synchronisieren.Wählen Sie dazu die Anwendergruppe, der Sie die Anwender hinzugefügt haben, und dann die SchaltflächeSynchronisieren.

8. Optional können SieMehr > Anzeigen und zusammenführenwählen, um Verwaltungsaufgaben wie dasÜberprüfen, Hinzufügen bzw. Entfernen ausstehender Anwendergruppenanwender durchzuführen.

9. Um die temporäre Tabelle der ausstehenden Anwendergruppenanwender mit denen von Active Directory zukombinieren, wählen SieMehr > Fehlende Anwender hinzufügen.

Kapitel 6: Gruppen

93



Übersicht über AdministratorgruppenDurch Administratorgruppen können Sie Untergruppen von Administratorkonten zusammenstellen, um Rollen undBerechtigungen zuzuweisen, die über den Besitz eines Administratorkontos herausgehen.

Administratorkonten können zur Zuweisung von Rollen und Berechtigungen für den Zugriff auf die Konsole verwendetwerden, die einem bestimmten Projekt zugewiesen ist.

Sie können Ihre vorhandenen Verzeichnisdienstadministratoren in Administratorgruppen hinzufügen oderAdministratorgruppen über anwenderdefinierte Abfragen neu erstellen.

Wenn Sie beispielsweise eine neue Geschäftsanordnung haben, müssen Sie einer Gruppe von Schulungsleitern eventuelleinen gesonderten Administratorzugriff zuweisen. Sie könnten eine Administratorgruppe erstellen, eineanwenderdefinierte Abfrage für Schulungsleiter ausführen und eine Rolle zuweisen, die auf die neueGeschäftsentwicklung zugeschnitten ist. Weitere Informationen finden Sie unter Administratorkonten auf Seite 56.

Listenansicht von Administratorgruppen

Die Seite mit der Listenansicht von Administratorgruppen bietet nützliche Tools für die allgemeine Verwaltung und Pflegevon Anwendergruppen. Zu Aufgaben bezüglich der Pflege zählen das Hinzufügen, Anzeigen, Zusammenführen undLöschen von Anwendergruppen und fehlenden Anwendern.

Diese Seite können Sie über Konten > Administratoren > Admin-Gruppen einsehen.

Zeigen Sie die Seite Admin-Gruppe bearbeiten an, indem Sie in der SpalteGruppenname der Listenansicht denHypertextnamen auswählen. Über diese Seite können Sie den Namen der Administratorgruppe ändern. Sie können auchfür Gruppenmitglieder geltende Rollen hinzufügen und entfernen. Weitere Informationen finden Sie unterAdministratorrollen auf Seite 65.

Um die Liste Admin-Gruppen-Mitglieder anzuzeigen, wählen Sie die Hypertextlinknummer in der Spalte Administratoraus. Diese Liste enthält die Namen sämtlicher Administratoren in der Administratorgruppe.

Durch Aktivieren des Optionsfeldes neben dem Gruppennamen greifen Sie auf folgende Aktionen undVerwaltungsfunktionen zu.

Aktion Beschreibung

Synchronisieren Kopieren Sie die zuletzt hinzugefügten Administratorgruppenanwender in die temporäre Tabelle,und zwar manuell und vor der geplanten automatischen Active Directory-Synchronisierung durchAirWatch.

WeitereAktionen

Kapitel 6: Gruppen

94



Aktion Beschreibung

Anzeigen undzusammenführen

Zeigen Sie Anwender an, die Sie zuletzt zur temporären Administratorgruppentabelle hinzugefügthaben, und fügen Sie diese hinzu bzw. entfernen Sie diese. Administratoren vonAdministratorgruppen, die in dieser Tabelle aufgeführt werden, warten auf die automatischeAirWatch Administratorgruppensynchronisierung.

Löschen Löschen Sie eine Administratorgruppe.

Oben, nachoben, nachunten, Unten

Sie können den Rang jeder Administratorgruppe, so wie er in der Auflistung erscheint, bearbeiten.Die Gruppen auf diese Art verschieben zu können ist von Vorteil, wenn Sie mehrAdministratorgruppen haben, als Sie auf einer Seite anzeigen können.

FehlendeAnwenderhinzufügen

Kombinieren Sie die temporäre Administratorgruppentabelle mit der Active Directory-Tabelle,wodurch Sie das Hinzufügen dieser neuen Administratoren in der Gruppe offiziell machen.

Hinzufügen von Administratorgruppen

Sie können für spezielle Projekte Administratorgruppen zur Zuweisung zusätzlicher Rollen und Berechtigungen zu IhrenAdministratoren hinzufügen. Gehen Sie dazu folgendermaßen vor:

1. Navigieren Sie zu Konten > Administratoren > Admin-Gruppen und klicken Sie aufHinzufügen. Nehmen Sie dieentsprechenden Einstellungen vor.


Externer Typ Wählen Sie den externen Typ der Administratorgruppe, die Sie hinzufügen.

l Gruppe – Betrifft die Gruppenobjektklasse, auf der Ihre Administratorgruppe basiert.Diese Einstellung ist anpassbar. Navigieren Sie dazu zu Gruppen und Einstellungen >Alle Einstellungen > System > Enterprise Integration > Verzeichnisdienste > Gruppe.

l Organisationseinheit – Betrifft die Objektklasse der Organisationseinheit, auf der IhreAdministratorgruppe basiert. Diese Einstellung ist anpassbar. Navigieren Sie dazu zuGruppen und Einstellungen > Alle Einstellungen > System > Enterprise Integration >Verzeichnisdienste > Gruppe.

l Anwenderdefinierte Abfrage – Sie können auch eine Administratorgruppe ausAdministratoren erstellen, die durch eine anwenderdefinierte Abfrage gefundenwurden. DieWahl dieses externen Typs ersetzt die Suchtextfunktion und zeigtstattdessen den Abschnitt „Anwenderdefinierte Abfrage“ an.

Verzeichnisname Eine schreibgeschützte Einstellung, die die Adresse Ihres Verzeichnisdienstservers anzeigt.

Domäne und Basis-DN der Gruppe

Diese Informationen werden automatisch auf Grundlage der Verzeichnisdienstserver-Informationen angezeigt, die Sie auf der Seite Verzeichnisdienste eingeben (Konten >Anwendergruppen > Einstellungen > Verzeichnisdienste).

Wählen Sie das Pluszeichen (+)DN abrufen neben der Einstellung Basis-DN der Gruppe,durch das eine Liste von Basisdomänennamen angezeigt wird, aus der Sie wählen können.

Kapitel 6: Gruppen

95




Suchtext Geben Sie die Suchkriterien zum Identifizieren des Namens einer Administratorgruppe in IhrVerzeichnis ein und wählen Sie Suchen. Sollte eine Verzeichnisgruppe Ihren Suchtextenthalten, wird eine Liste von Gruppennamen angezeigt.

Zudem können Sie der von Ihnen erstellten Administratorgruppe Standardrollen zuweisen.Nach erfolgreichem Abschluss einer Suche, wählen Sie die Registerkarte Rollen undanschließend die SchaltflächeHinzufügen, um eine neue Rolle hinzuzufügen. DurchÄnderung derOrganisationsgruppe und -rolle können sie aber auch eine vorhanden Rollebearbeiten.

Diese Einstellung wird nur dann angezeigt, wenn Gruppe oderOrganisationseinheit alsExterner Typ ausgewählt wurde.

AnwenderdefinierteObjektklasse

Identifiziert die Objektklasse, unter der Ihre Abfrage läuft. Bei der Standardobjektklassehandelt es sich um „Person“. Sie können jedoch gern eine anwenderdefinierte Objektklassezur erfolgreicheren und genaueren Identifizierung Ihrer Administratoren bereitstellen.

Dieses Feld wird nur dann angezeigt, wenn Anwenderdefinierte Abfrage als Externer Typausgewählt wurden.

AnwenderdefinierterBasis-DN

Identifiziert den definierten Basisnamen, der als Startpunkt Ihrer Abfrage dient. DerStandard ist „airwatch“ und „sso“, aber Sie können einen anwenderdefinierten Basis-DNbereitstellen, wenn Sie die Abfrage an einem anderem Startpunkt starten möchten.

Dieses Feld wird nur dann angezeigt, wenn Anwenderdefinierte Abfrage als Externer Typausgewählt wurden.

Gruppenname Wählen Sie einen Gruppennamen aus Ihrer Suchtext-Ergebnisliste. Durch dieWahl einesGruppennamens wird der Wert in der Einstellung „Definierter Name“ automatischgeändert.

Diese Einstellung wird erst nach erfolgreichem Abschluss einer Suchemithilfe derEinstellung Suchtext angezeigt.

Definierter Name Eine schreibgeschützte Einstellung, in der der volle eindeutige Name derAdministratorgruppe angezeigt wird, die Sie soeben erstellen.

Diese Einstellung wird erst nach erfolgreichem Abschluss einer Suchemithilfe derEinstellung Suchtext angezeigt.

Rang Eine schreibgeschützte Einstellung, die den Rang der Administratorgruppe anzeigt, die Siesoeben erstellen. Der Rang einer Administratorgruppe kann geändert werden, indem Sie zuGruppen und Einstellungen > Gruppen > Administratorgruppen navigieren und dierelative Position der Gruppemithilfe der Aktionsschaltfläche „Mehr“ ( ), rechts neben derAuflistung der Administratorgruppen verschieben.

AutomatischeSynchronisierung

Mit dieser Option wird die Funktion der Verzeichnissynchronisierung ermöglicht, mit derAnwendermitgliedschaft über den Verzeichnisserver erkannt und in einer temporärenTabelle gespeichert wird. Ein Administrator genehmigt sämtliche Änderungen an derKonsole, es sei denn die Option Automatische Zusammenführung ist aktiviert.

Kapitel 6: Gruppen

96




AutomatischeZusammenführung

Aktivieren Sie diese Option, um automatisch Synchronisierungsänderungen ohneadministrative Zustimmung anzuwenden.

Maximal zulässigeÄnderungen

Verwenden Sie diese Einstellung, um einen Schwellenwert für die Anzahl der zulässigenautomatischen Synchronisierungen von Administratorgruppen ohne Zustimmung desAdministrators zu setzen.

Dieses Feld wird nur angezeigt, wenn Automatische Zusammenführung aktiviert ist.

Gruppenmitgliederautomatischhinzufügen

Aktivieren sie diese Option, um automatisch Administratoren der Administratorgruppehinzuzufügen.

Zeitzone Geben Sie die mit der Administratorgruppe verbundene Zeitzone ein. Diese erforderlicheEinstellung beeinflusst die geplanten, automatisierten Active Directory-Synchronisierungsabläufe.

Sprachversion Wählen Sie die Lokalisierungseinstellung (Sprache) für die ausgewählteAdministratorgruppe. Diese Einstellung ist erforderlich.

Erste Zielseite Geben Sie die erste Zielseite für Administratoren in der Administratorgruppe ein. DieStandardeinstellung für diese erforderliche Einstellung ist das Geräte-Dashboard; Siekönnen sie jedoch auf jede Seite Ihrer Wahl festlegen.

Benutzerdefinierte Abfrage

Abfrage In dieser Einstellung wird die zurzeit geladene Abfrage angezeigt, die bei Betätigung derSchaltfläche Testabfrage und anschließender Auswahl der SchaltflächeWeiter ausgeführtwird. Änderungen an der Option Benutzerdefinierte Logik oder der EinstellungBenutzerdefinierte Objektklassewerden hier angezeigt.

BenutzerdefinierteLogik

Fügen Sie Ihre benutzerdefinierte Abfragelogik, wie einen Administratornamen, hier hinzu.Beispiel: „cn=lmüller“. Dabei können Sie einen beliebig großen Teil des definierten Namensverwenden. Mit der Schaltfläche Testabfrage können Sie prüfen, ob die Syntax IhrerAbfrage zu einer erfolgreichen Suche führt, bevor Sie die SchaltflächeWeiterwählen.

Weite Informationen zu „Definierter Name“ finden Sie im TechNet-Artikel „Objektbenennung“ von Microsoftunter https://technet.microsoft.com.


Anzeigen von ZuweisungenSie haben auch dieMöglichkeit, zu bestätigen, welche Profile, Anwendungen, Bücher, Kanäle und Konformitätsrichtlinienin der zugewiesenen Gruppe einbezogen bzw. davon ausgeschlossen sind.

1. Navigieren Sie zur Gruppenliste in Gruppen und Einstellungen > Gruppen > Zuweisungsgruppen und suchen Sieeine Gruppe, die mindestens einer Entität zugewiesen wurde.

Kapitel 6: Gruppen

97



https://technet.microsoft.com/

2. In der Spalte Zuweisungenwählen Sie die Hyperlink-Nummer, um die Seite Zuweisung(en) anzeigen zu öffnen. Aufdieser Seite werden nur solche Kategorien angezeigt, die in der Gruppe Zuweisungen oder Ausschlüsse enthaltensind.

Über der Kopfzeilenleiste auf der Seite Zuweisung(en) anzeigen befinden sich drei neue Tools, die Ihnen bei derBestätigung der spezifischen Profile, Anwendungen, Bücher, Kanäle und Konformitätsrichtlinien behilflich sind.

Kapitel 6: Gruppen

98



Kapitel 7:Geräteregistrierung

Übersicht über Geräteregistrierung 100

Standardregistrierung vs. Registrierung durch Verzeichnisdienste 104

BYOD-Registrierung (Bring Your Own Device) 107

Eigenständige Registrierung vs. Geräte-Staging 110

Geräteeintragung 115

Konfigurieren von Registrierungsoptionen 123

Geräteeinträge auf Blacklists bzw. Whitelists 129

Zusätzliche Registrierungsrestriktionen 130

Registrierung über AutoErmittlung 135

99



Übersicht über GeräteregistrierungAirWatch bietet mehrere Optionen für die Registrierung eines Geräts, die für dessen Verwaltung erforderlich ist.

Dieses Flussdiagramm zeigt einige dieser Kombinationen an und dient als Referenz für die Auswahl eines geeignetenRegistrierungspfads, der am besten zu den Anforderungen Ihrer Organisation passt. Es soll keine umfangreiche Listesämtlicher Registrierungsoptionen sein, sondern Ihnen lediglich als Empfehlung dienen, welche Optionen Sieberücksichtigen sollten.

Kapitel 7: Geräteregistrierung

100



Voraussetzungen für den Registrierungsvorgang

Dieser Registrierungsvorgang unterscheidet sich möglicherweise geringfügig je nach Geräteplattform. Eineplattformspezifische Anleitung zur Registrierung der einzelnen Geräte finden Sie im entsprechenden Leitfaden zurPlattform.

Um ein Gerät zu registrieren, benötigen Sie folgende Informationen.

l Registrierungs-URL – Diese Registrierungs-URL lautet AWAgent.com für alle Anwender, Organisationen und Geräte,die sich bei AirWatch registrieren.

l Anwenderanmeldedaten – Dieser Anwendername und dieses Kennwort bestätigen die Identität eines Anwenders,sodass dieser sich anmelden, authentifizieren und registrieren kann.

o Die Anmeldedaten sind möglicherweisemit denen der Netzwerkverzeichnisdienste für die Verwendung bei einerverzeichnisdienstbasierten Registrierung identisch.

ODER

o Die Anmeldedaten gelten möglicherweise speziell für AirWatch für die Verwendung bei einerStandardanwenderregistrierung.

l Gruppen-ID – Die Gruppen-ID bestimmt, auf welcheMDM-Ressourcen und -Funktionen (Mobile DeviceManagement) der Endanwender nach der Registrierung Zugriff hat. Geben Sie Endanwendern, falls erforderlich, dieseGruppen-ID an.

Registrieren von Geräten auf globaler Ebene


Weitere Informationen finden Sie unter Bedenken hinsichtlich der Geräteregistrierung auf globaler Ebene auf Seite 134.

Registrieren von Geräten mit AirWatch Agent

Die Registrierung eines Geräts mithilfe von AirWatch Agent ist für Android-, iOS- und Windows-Geräte die häufigste Form.

1. Navigieren Sie über den systemeigenen Browser des zu registrierenden Geräts zu AWAgent.com.

AirWatch erkennt automatisch, ob AirWatch Agent bereits installiert ist, und leitet bei Bedarf zum entsprechendenStore für mobile Anwendungen um, sodass Agent heruntergeladen werden kann.

Zum Herunterladen von Agent von einem öffentlichen App Store wird entweder eine Apple-ID oder ein Google-Kontobenötigt.

2. Führen Sie nach dem Download Agent aus oder kehren Sie zu Ihrer Browsersitzung zurück.

Wichtig: Um eine erfolgreiche Installation und Ausführung von AirWatch Agent sicherzustellen, muss auf IhremAndroid-Gerät mindestens 60 MB freier Speicherplatz vorhanden sein. CPU und Laufzeitspeicher werden proAnwendung auf der Android-Plattform zugeteilt. Verwendet eine Anwendung mehr als zugewiesen, führt dasAndroid-Gerät eine Optimierung durch, indem es die Anwendung schließt.


101



https://www.awagent.com/

https://www.awagent.com/

3. Geben Sie Ihre E-Mail-Adresse ein. AirWatch überprüft, ob Ihre Adresse bereits vorher der Umgebung hinzugefügtwurde. In diesem Fall sind Sie als Endanwender bereits konfiguriert, und Ihre Organisationsgruppe wurde bereitszugewiesen.

Falls AirWatch Sie nicht mit Ihrer E-Mail-Adresse als Endanwender identifizieren kann, werden Sie aufgefordert, IhreUmgebungs-URL, Gruppen-ID und Anmeldedaten einzugeben. Bei Bedarf kann Ihnen Ihr AirWatch Administrator dieUmgebungs-URL und Gruppen-ID zur Verfügung stellen.

4. Schließen Sie die Registrierung ab, indem Sie alle verbleibenden Eingabeaufforderungen befolgen.

Zusätzliche Registrierungsabläufe

In Einzelfällen muss der Registrierungsprozess bestimmten Organisationen und Bereitstellungen angepasst werden. Fürjede der zusätzlichen Registrierungsoptionen benötigen Endanwender die in dem Abschnitt „ErforderlicheInformationen“ dieses Leitfadens aufgelisteten Anmeldedaten.

l Registrierung auf Aufforderung per Benachrichtigung – Endanwender erhalten eine Benachrichtigung (E-Mail undSMS)mit einer Registrierungs-URL und geben ihre Gruppen-ID sowie Anmeldedaten ein. Wenn der Endanwender dieNutzungsbedingungen akzeptiert, wird das Gerät automatisch registriert und ist dann mit allen MDM-Funktionenund -Inhalten ausgerüstet, einschließlich Anwendungen und Funktionen vom AirWatch Server.

l Einfachklickregistrierung – In diesem für webbasierte Registrierungen geltenden Ablauf sendet der Administratordem Anwender ein von AirWatch generiertes Token sowie eine Registrierungslink-URL. Der Anwender muss lediglichauf den zur Verfügung gestellten Link klicken, um das Gerät zu authentifizieren und zu registrieren. Dies ist dereinfachste und schnellste Registrierungsprozess für den Endanwender. Dieser Vorgang kann dabei auch durch dieFestlegung von Ablaufzeiten erfolgen.

o Webregistrierung – Es gibt eine optionaleWillkommensseite, die Administratoren für Webregistrierungenaufrufen können, indem sie „/enroll/welcome“ zur aktiven Umgebung hinzufügen. Wird beispielsweise denAnwendern, die an der Webregistrierung teilnehmen, die URLhttps://<anwenderdefUmgebung>/enroll/welcome zur Verfügung gestellt, sehen sie die Seite „Willkommen beiAirWatch“ mit Optionen zur Registrierung per E-Mail-Adresse oder Gruppen-ID. Diese Option ist für AirWatchVersion 8.0 und höher verfügbar.

l Zweistufige Authentifizierung – Bei diesem Ablauf sendet der Administrator denselben von AirWatch generiertenRegistrierungstoken. Der Anwender muss jedoch auch seine Anmeldedaten eingeben. DieseMethode ist genausounkompliziert wie die Einfachklickregistrierung. Es besteht jedoch eine zusätzliche Sicherheitsstufe: Vom Anwenderwird verlangt, seine eindeutigen Anmeldeinformationen einzugeben.

l Endanwenderregistrierung – Der Anwender meldet sich beim Self-Service Portal (SSP) an und registriert seine Geräte.Sobald die Registrierung abgeschlossen ist, sendet das System dem Endanwender eine E-Mail mit der Registrierungs-URL und den Anmeldedaten. Bei diesem Ablauf wird davon ausgegangen, dass Administratoren noch keineGeräteregistrierung für eine Unternehmensgeräteflotte durchgeführt haben. Darüber hinaus wird die Annahmegestellt, dass Unternehmensgeräte registriert werden müssen, damit Administratoren Registrierungsstatusnachverfolgen und eine Liste von Unternehmensgeräten im Rahmen eines BYOD-Programms verwenden können.

l Einzelanwendergeräte-Staging – Der Administrator registriert Geräte im Auftrag eines Endanwenders. DieseMethode ist für Administratoren nützlich, die mehrere Geräte für ein gesamtes Team oder einzelneMitglieder einesTeams einrichten. Dadurch werden Endanwendern die Zeit und Mühe erspart, ihre Geräte selbst registrieren zumüssen. Der Administrator kann Geräte auch konfigurieren, registrieren und auswärtigen Anwendern dann per Postschicken.


102



l Mehranwendergeräte-Staging – Der Administrator registriert Geräte, die von mehreren Anwendern verwendetwerden. Jedes Gerät wird mit einem bestimmten Satz an Funktionen registriert und bereitgestellt, wobei Anwendererst auf die Funktionen zugreifen können, nachdem sie sich mit eindeutigen Anmeldedaten angemeldet haben.


Aktivieren von Registrierungstokens und Erstellen einer Standardnachricht auf Seite 121.

Endanwender-Geräteeintragung auf Seite 120.

Geräteeintragung auf Seite 115.

Bereitstellen eines Einzelanwendergeräts (Staging) auf Seite 113.

Bereitstellen eines Mehranwendergeräts (Staging) auf Seite 114.


103



Standardregistrierung vs. Registrierung durch VerzeichnisdiensteWenn Sie eine Verzeichnisdienstinfrastruktur wie Active Directory (AD), Lotus Domino und Novell eDirectory besitzen,können Sie vorhandene Anwender und Gruppen in AirWatch anwenden.

Wenn Sie noch keine Verzeichnisdienstinfrastruktur besitzen oder entschieden haben, eine Integration ohne diesedurchzuführen, müssen Sie eine Standardregistrierung durchführen. Bei der Standardregistrierung müssen AirWatch-Anwenderkonten manuell erstellt werden.

Hinweis: AirWatch unterstützt zwar eine Kombination aus Standard- und verzeichnisbasierten Anwendern, allerdingswird in der Regel nur eine der Methoden für die Erstregistrierung von Anwendern und Geräten verwendet.

Vor- und Nachteile

Vorteile Nachteile

Standardregistrierung l Kann für jede Bereitstellungsmethode verwendetwerden.



l Anmeldedaten existieren nur inAirWatch und stimmen mitvorhandenenUnternehmensanmeldedatennicht unbedingt überein.

l Bietet keine Verbundsicherheit.

l Single Sign-On wird nichtunterstützt.

l AirWatch speichert alleAnwendernamen undKennwörter.

Registrierung mitVerzeichnisdiensten

l Endanwender authentifizieren sich mitvorhandenen Unternehmensanmeldedaten.

l Änderungen können automatisch über dasVerzeichnissystem bei AirWatch erkannt undsynchronisiert werden.

l Diese Vorgehensweise stellt eine sichereMethodezur Integration in Ihren bestehendenVerzeichnisdienst dar.


l SaaS-Bereitstellungen mit VMware EnterpriseSystems Connector erfordern keine Firewall-Änderungen und bieten eine sichereKonfiguration für andere Infrastrukturen wieMicrosoft ADCS-, SCEP- und SMTP-Server.

l Erfordert eine vorhandeneVerzeichnisdienstinfrastruktur.

l SaaS-Bereitstellungen erfordernzusätzliche Konfiguration, daVMware Enterprise SystemsConnector hinter der Firewalloder in einer DMZ installiert ist.


104



Überlegungen zur Registrierung – Standard- vs. verzeichnisbasierte Registrierung

Neben den bestehenden Vor- und Nachteilen von Standard- vs. Verzeichnisanwendern sollten Sie bei der Registrierungvon Endanwendern auch die folgenden Fragen zu den Anwendern und Situationen berücksichtigen.

Informationen zu den Vor- und Nachteilen von Standard- sowie Verzeichnisanwendern finden Sie unterStandardregistrierung vs. Registrierung durch Verzeichnisdienste auf Seite 104.

Punkt 1: Wer kann sich registrieren?

Beachten Sie bei der Beantwortung dieser Frage Folgendes.

l Dient IhreMDM-Bereitstellung dazu, Geräte für alle Anwender Ihrer Organisation mit oder unter der von Ihnenkonfigurierten Basis-DN zu verwalten? Falls dies der Fall ist, besteht die einfachsteMöglichkeit hierfür darin, allenAnwendern die Registrierung zu gestatten, indem die Kontrollkästchen zur Beschränkung der Registrierungdeaktiviertwerden.

Sie können allen Anwendern die Registrierung bei der ersten Einführung der Bereitstellung gestatten und imAnschluss die Registrierung beschränken, um zu verhindern, dass sich unbekannte Anwender registrieren. DieseÄnderungen werden beim Hinzufügen neuer Mitarbeiter oder Mitglieder zu vorhandenen Anwendergruppen durchIhre Organisation synchronisiert und zusammengeführt.

l Sollen bestimmte Anwender oder Gruppen nicht in MDM eingeschlossen werden? Falls dies der Fall ist, müssen Siedie Anwender entweder nacheinander hinzufügen oder eine CSV-Datei (Comma-Separated Value)mit ausschließlichberechtigten Anwendern stapelweise importieren.

Informationen zum Beschränken bestimmter Anwender und Gruppen finden Sie unter Konfigurieren vonRegistrierungsrestriktionseinstellungen auf Seite 130.

Punkt 2: Wie erfolgt die Zuweisung von Anwendern?

Ein weiterer Punkt, der bei der Integration Ihrer AirWatch Umgebung in Verzeichnisdienste berücksichtigt werden muss,ist die Art und Weise, wie Sie bei einer Registrierung Organisationsgruppen Verzeichnisanwender zuweisen. Beachten Siebei der Beantwortung dieser Frage Folgendes.

l Haben Sie eine Organisationsgruppenstruktur erstellt, die der Logik Ihrer Verzeichnisdienstgruppen entspricht? Siekönnen Anwendergruppenzuweisungen erst bearbeiten, nachdem Sie diese Aufgabe durchgeführt haben.

l Wenn Ihre Anwender ihre eigenen Geräte registrieren, ist die Option zum Auswählen einer Gruppen-ID aus einer Listeeinfach durchzuführen. Trotz der unkomplizierten Handhabung können Fehler durch menschliches Handeln undfalsche Gruppenzuweisungen passieren.

Sie können basierend auf einer Anwendergruppe eine Gruppen-ID auswählen oder Anwendern die Auswahl einerGruppen-ID aus einer Liste ermöglichen. Die Optionen für den Gruppen-ID-Zuweisungsmodus befinden sich unter Geräte> Geräteeinstellungen > Geräte und Anwender > Allgemein > Registrierung auf der RegisterkarteGruppierung.

Informationen zum Konfigurieren der Gruppen-ID-Optionen finden Sie unter Konfigurieren von Registrierungsoptionenauf der Registerkarte „Gruppierung“ auf Seite 123.

Aktivieren der Standardregistrierung

Die Standardregistrierung bezieht sich auf den Vorgang zur manuellen Erstellung von Anwenderkonten und -gruppen füralle Anwender Ihrer Organisation. Wenn Ihre Organisation über keine AirWatch Integration in einen Verzeichnisdienstverfügt, sind Anwenderkonten über die Standardregistrierung zu erstellen.


105



Sie sparen Zeit durch Ausfüllen und Hochladen von CSV-Vorlagendateien (Comma-Separated Values) über die Batch-Importfunktion, die alle Anwenderinformationen enthalten.

Weitere Informationen finden Sie unter Batch-Import von Anwendern oder Geräten auf Seite 54.

Aktivieren der auf einem Verzeichnisdienst basierenden Registrierung

Die Registrierung über Verzeichnisdienste bezieht sich auf den Vorgang zur Integration von AirWatch in dieVerzeichnisdienstinfrastruktur Ihrer Organisation. Durch die Integration Ihres Verzeichnisdiensts in AirWatch können SieAnwender und optional Anwendergruppen wie Sicherheitsgruppen und Verteilungslisten automatisch importieren.

Bei der Integration in einen Verzeichnisdienst wie Active Directory (AD) stehen Optionen zum Importieren vonAnwendern zur Verfügung.

l Allen Verzeichnisanwendern die Registrierung gestatten – Sie können allen Verzeichnisdienstanwendern dieRegistrierung gestatten. Zudem können Sie Ihre Umgebung so konfigurieren, dass Anwender basierend auf ihrer E-Mail-Adresse automatisch erkannt werden. Erstellen Sie anschließend ein AirWatch Anwenderkonto für sie bei derDurchführung einer Registrierung.

l Anwender nacheinander hinzufügen – Nach der Integration in einen Verzeichnisdienst können Sie Anwender einzelnauf dieselbe Art und Weise hinzufügen wie bei der Erstellung von AirWatch Standardanwenderkonten. Der einzigeUnterschied besteht darin, dass Sie Ihren Anwendernamen eingeben und Anwender prüfen auswählen müssen,damit die verbleibenden Informationen in Ihrem Verzeichnisdienst automatisch aufgefüllt werden.

l CSV-Datei per Batch-Upload hochladen –Mithilfe dieser Option können Sie eine Liste von Verzeichnisdienstkontenin einer CSV-Vorlagendatei (Comma-Separated Values) importieren. Die Datei enthält bestimmte Spalten, von deneneinige nicht leer sein dürfen.

l In Anwendergruppen integrieren (optional) – Durch dieseMethode können Sie mit Ihren vorhandenenAnwendergruppenmitgliedschaften Profile, Apps, Konformitätsrichtlinien etc. zuweisen.

Hinweis:Weitere Informationen zur Integration Ihrer AirWatch Umgebung in Ihren Verzeichnisdienst finden Sie imVMware AirWatch Directory Services Guide. Wenn Sie die Integration von AirWatch in einen SAML-Anbieter inErwägung ziehen, lesen Sie das VMware AirWatch SAML Integration Guide, beide verfügbar unter Zugreifen aufandere Dokumente auf Seite 241.


106



BYOD-Registrierung (Bring Your Own Device)Eine große Herausforderung bei der Verwaltung persönlicher Geräte von Anwendern besteht darin, mitarbeiter- sowieunternehmenseigene Geräte zu erkennen und zwischen diesen zu unterscheiden, und die Registrierung folglich nur aufgenehmigte Geräte zu beschränken.

Mithilfe von AirWatch können Sie eine Vielzahl von Optionen konfigurieren, die ein individuelles Anwendererlebnis fürden Endanwender bei der Registrierung eines persönlichen Geräts ermöglichen. Bevor Sie beginnen, müssen SieÜberlegungen anstellen, wie die Identifizierung von mitarbeitereigenen Geräten in Ihrer Bereitstellung erfolgen soll undob Registrierungsrestriktionen für unternehmenseigene Geräte erzwungen werden sollen.

Überlegungen zur Registrierung – BYOD

Unter der Annahme, dass SieMitarbeitern die Registrierung ihrer persönlichen Geräte in Ihre AirWatch Umgebunggestatten, gibt es einige Überlegungen, die Sie anstellen müssen, bevor Sie fortfahren.

Punkt 1: Registrieren sich BYOD-Anwender mit VMware Workspace ONE, AirWatch Container App oder AirWatchAgent?

VMwareWorkspace ONE ist eine einfache und sichere Unternehmensplattform, die beliebige Apps auf Gerätenbereitstellt und verwaltet. Es bietet Self-Service-SSO-Zugriff (Single Sign-On) auf Cloud-, mobilen und Windows-Anwendungen und beinhaltet intelligent integrierte E-Mail-, Kalender-, Datei- und Kollaborationstools.

Mit Workspace ONEmüssen Anwender ihre persönlichen Geräte für den Zugriff auf Dienste nicht registrieren. Die AppWorkspace ONE kann über den Apple App Store, Google Play oder Microsoft Store heruntergeladen und installiertwerden. Anwender melden sich dann an und erhalten basierend auf den festgelegten Richtlinien Zugriff aufAnwendungen. Die App Workspace ONE konfiguriert ein MDM-Verwaltungsprofil bei der Installation, wodurch das Gerätautomatisch registriert wird.

Mithilfe von AirWatch Container können Sie bestimmte Ressourcen für Segmente von BYOD-Anwendern bereitstellen.Einige Anwender benötigen eventuell lediglich Zugriff auf Unternehmens-E-Mails, während andere Anwender nur auf eineeinzelne Unternehmens-App zugreifen müssen.

Mit AirWatch Container können sich Ihre BYOD-Anwender in AirWatch registrieren und sicher aufGeschäftsanwendungen und -ressourcen zugreifen, ohne dass Ihnen dasselbe AirWatch-Profil wie das vonunternehmenseigenen Geräten zugewiesen wird.

Mit AirWatch Container werden Bedenken von Anwendern in Bezug auf den Datenschutz in MDM aus demWeggeräumt, indem Administratoren lediglich dieMöglichkeit gegeben wird, verwaltete Unternehmens-Apps statt desgesamten Geräts zu steuern.

Punkt 2: Wie wird der Besitztyp festgelegt?

Allen bei AirWatch registrierten Geräten wird ein Gerätebesitztyp zugewiesen: „Unternehmen – Dediziert“,„Unternehmen – Gemeinschaftsgerät“ oder „Mitarbeitereigen“. Persönliche Geräte von Mitarbeitern werden als„Mitarbeitereigen“ eingestuft und unterliegen den jeweiligen Datenschutzeinstellungen und -restriktionen, die Sie fürdiesen Typ konfiguriert haben.

Berücksichtigen Sie zur Festlegung des Besitztyps folgende Punkte.

l Haben Sie Zugriff auf eineMasterliste von Unternehmensgeräten, die Sie als Massenupload in die AirWatch Konsolehochladen können? Falls dies der Fall ist, können Sie diese Liste hochladen und den standardmäßigen Besitztyp auf„Mitarbeitereigen“ festlegen.


107



l Haben Sie die rechtlichen Konsequenzen berücksichtigt, die beim Auswählen eines Besitztyps aus einer Listeentstehen können? Beispiel: Ein Anwender registriert ein persönliches Gerät, wählt jedoch fälschlicherweise„Unternehmenseigen“ als Besitztyp aus. Welche Folgen hat der Verstoß einer Richtlinie und das vollständigeZurücksetzen eines persönlichen Geräts auf dieWerkeinstellungen für einen Anwender?

Sie können AirWatch für Ihr BYOD-Programm konfigurieren, damit bei der Registrierung ein standardmäßiger Besitztypangewendet oder Anwendern dieMöglichkeit gegeben wird, den jeweiligen Besitztyp selbst auszuwählen.

Punkt 3: Sollen zusätzliche Registrierungsrestriktionen für mitarbeitereigene Geräte angewendet werden?

Beachten Sie bei der Beantwortung dieser Frage Folgendes.

l Unterstützt IhreMDM-Bereitstellung nur bestimmte Geräteplattformen? Falls dies der Fall ist, können Sie diesePlattformen angeben und nur die Registrierung von Geräten zulassen, auf denen diese ausgeführt werden.

l Soll die Anzahl der persönlichen Geräte, die ein Mitarbeiter registrieren darf, beschränkt werden? Falls dies der Fallist, können Sie die maximale Anzahl der Geräte festlegen, die ein Anwender registrieren darf.

Sie können zusätzliche Registrierungsrestriktionen festlegen, um darüber hinaus zu steuern, wer sich registrieren kannund welche Gerätetypen registriert werden können. Beispielsweise können Sie festlegen, dass nur Android-Geräteunterstützt werden sollen, die über integrierte Enterprise-Management-Funktionen verfügen. Nachdem IhreOrganisation bestimmt hat, welche Arten von mitarbeitereigenen Geräte am zweckmäßigsten für Ihre Arbeitsumgebungsind, können Sie die entsprechenden Einstellungen konfigurieren.

Weitere Informationen finden Sie unter Zusätzliche Registrierungsrestriktionen auf Seite 130.

Identifizieren von Unternehmensgeräten und Festlegen des Standardgerätebesitzes

Wenn Sie eine Kombination aus unternehmens- undmitarbeitereigenen Geräten besitzen, die dieMitarbeiter selbstregistrieren, kann es hilfreich sein, eine Geräteliste anzufertigen.

Wenn die Registrierung gestartet wird, wird der Besitztyp von als unternehmenseigen identifizierten Gerätenautomatisch basierend auf Ihrer Auswahl konfiguriert. Anschließend können Sie alle mitarbeitereigenen Gerätekonfigurieren, die nicht auf der Liste stehen, um diesemit dem Besitztyp „Mitarbeitereigen“ zu registrieren.

Die folgende Vorgehensweise erläutert, wie eine Liste von vorab genehmigten Unternehmensgeräten importiert wird. Siekönnen nach der Registrierung automatisch den Besitztyp „Unternehmenseigen“ anwenden, selbst, wenn eineRestriktion vorhanden ist, die automatisch den Besitztyp „Mitarbeitereigen“ anwendet.

Bei Restriktionen für offene Registrierungen dagegen wird die Registrierung nur für jene Geräte ausdrücklich zugelassenoder blockiert, die bestimmten, von Ihnen festgelegten Parametern (z.B. Plattform, Modell, Betriebssystem)entsprechen.

1. Navigieren Sie zu Geräte > Lebenszyklus > Registrierungsstatus und wählen SieHinzufügen sowie Batch-Import.

Sie können auch Geräte auf Whitelistwählen, um bis zu 30 Geräte auf der Whitelist gleichzeitig nach IMEI, UDIDoder Seriennummer einzugeben. Zudem können Sie als Besitztyp entweder „Unternehmenseigen“ oder„Unternehmen – Gemeinschaftsgerät“ wählen.

2. Geben Sie Batch-Name und Batch-Beschreibung ein und wählen Sie anschließend Zulässiges Gerät (Whitelist)hinzufügen für Batch-Typ.

3. Wählen Sie zum Hochladen einer DateiDatei auswählen oder klicken Sie auf das Info-Symbol , um eineBeispielvorlage herunterzuladen. Füllen Sie vor dem Speichern einer Vorlage die erforderlichen Informationen aus.



108



Legen Sie nun den Standardgerätebesitztyp auf „Mitarbeitereigen“ für alle offenen Registrierungen fest.

1. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Anwender > Allgemein > Registrierung und wählenSie die RegisterkarteGruppierung.

2. Wählen SieMitarbeitereigen für Standardgerätebesitz.

3. Wählen Sie die dem Anwender zugewiesene Standardrolle aus, durch die die Zugriffsebene des Anwenders für dasSelf-Service Portal (SSP) festgelegt wird.

4. Wählen Sie Standardaktion für Inaktive Anwender, die festlegt, wie vorgegangen werden soll, wenn der Anwenderals inaktiv gekennzeichnet ist.


Auffordern von Anwendern zur Identifizierung des Besitztyps

Wenn Ihre Bereitstellung Organisationsgruppen mit verschiedenen Besitztypen umfasst, können Sie Anwender dazuauffordern, ihren Besitztyp bei der Registrierung zu identifizieren.

1. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Anwender > Allgemein > Registrierung und wählenSie die RegisterkarteOptionale Eingabeaufforderung.

2. Wählen Sie Eingabeaufforderung für Gerätebesitztyp. Bei der Registrierung werden Anwender dazu aufgefordert,ihren Besitztyp auszuwählen.


Risiken

Zwar gestaltet sich diese Vorgehensweise einfach, allerdings wird vorausgesetzt, dass jeder Anwender ordnungsgemäßden für sein Gerät entsprechenden Besitztyp auswählt.

Wenn ein Anwender eines persönlichen Geräts den Typ „Unternehmenseigen“ wählt, unterliegt das Gerät nun Richtlinienund Profilen, die normalerweise nicht angewendet werden. Eine solche fehlerhafte Auswahl kann schwerwiegenderechtliche Konsequenzen hinsichtlich des Anwenderdatenschutzes zur Folge haben.

Sie können den Besitztyp zwar jederzeit im Nachhinein ändern, es ist jedoch sicherer, eine Liste vonUnternehmensgeräten zu erstellen. Registrieren Sie die unternehmenseigenen Geräte später separat und legen Sie denStandardbesitztyp auf „Mitarbeitereigen“ fest.

Weitere Informationen zu den Unterschieden zwischen Gerätebesitztypen finden Sie im VMware AirWatch BYOD Guide,verfügbar unter Zugreifen auf andere Dokumente auf Seite 241.


109



Eigenständige Registrierung vs. Geräte-StagingAirWatch unterstützt zweiMethoden für die Registrierung von Unternehmensgeräten. Sie können es Anwendernermöglichen, ihre Geräte selbst zu registrieren oder Geräte im Auftrag des Anwenders registrieren zu lassen. Letztereswird als Geräte-Staging bezeichnet.

Beim Geräte-Staging registriert ein Administrator Geräte, bevor er diese den Endanwendern zuweist und an diese verteilt.DieseMethode ist für Administratoren hilfreich, die Geräte einrichten müssen, die von mehreren Anwendern innerhalbeiner Organisation gemeinsam verwendet werden.

Das Geräte-Staging funktioniert auch bei neuen Gerätebereitstellungen gut, da dieser Vorgang stattfindet, bevor einMitarbeiter das Gerät erhält. Wenn Ihre Endanwender bereits Unternehmensgeräte besitzen, ist es am sinnvollsten,ihnen die eigenständige Registrierung zu gestatten. Anwendern die Registrierung ihrer eigenen Geräte zu gestatten istzudem empfehlenswert, wenn sich die Durchführung des Geräte-Staging für Administratoren aufgrund der Gesamtanzahlder Geräte als umständlich erweist.

Geräte-Staging kann für Android-, Windows Phone-, iOS- und macOS-Geräte durchgeführt werden.

Hinweis:Windows Phone unterstützt zurzeit nur Einzelanwendergeräte-Staging.

Überlegungen zur Registrierung – Selbstregistrierung

Wenn Sie Zeit sparen möchten, indem Sie Endanwender dieMöglichkeit zur Selbstregistrierung geben, berücksichtigenSie folgende Fragen.

Punkt 1: Gerätebesitz

l Besitzen Ihre Endanwender bereits zugewiesene Unternehmensgeräte? In diesem Fall kann es sich als impraktikabelerweisen, Daten von den einzelnen Geräten zu erfassen und das Staging durchzuführen. Es empfiehlt sich, dieRegistrierung den Anwendern zu überlassen.

l Verwenden Ihre Endanwender dieselben Geräte oder besitzen sie eigene dedizierte Geräte? Wenn die Endanwendernicht dieselben Geräte verwenden, können Sie den alleinigen Besitzer des Geräts in die Pflicht nehmen, es selbst zuregistrieren.

Punkt 2: AutoErmittlung

Ordnen Sie der E-Mail-Domäne Ihrer Organisation Ihre AirWatch Umgebung zu? Bei diesem Vorgang, auch alsAutoErmittlung bezeichnet, müssen Endanwender lediglich E-Mail-Adresse und Anmeldedaten eingeben. DieRegistrierungs-URL und Gruppen-ID werden automatisch eingegeben.

Weitere Informationen finden Sie auch unter Konfigurieren der AutoErmittlungs-Registrierung von eineruntergeordneten Organisationsgruppe auf Seite 136 und Konfigurieren der AutoErmittlungs-Registrierung von einerübergeordneten Organisationsgruppe auf Seite 135.

Vorgang zur selbstständigen Registrierung

Für die selbstständige Registrierung benötigen Endanwender eventuell ihre Gruppen-ID und Anmeldedaten. Wenn eineIntegration in Verzeichnisdienste erfolgt ist, entsprechen diese Anmeldedaten den Verzeichnisdienst-Anmeldedaten desAnwenders.

Sie können die E-Mail-Domäne Ihrer Organisation auch mit Ihrer AirWatch Umgebung verknüpfen. Dieser Vorgang wirdals „AutoErmittlung“ bezeichnet. Wenn die Funktion „AutoErmittlung“ aktiviert ist, werden Endanwender von den


110



Geräten der unterstützten Plattformen zur Eingabe ihrer E-Mail-Adresse aufgefordert. Diese Geräte führen dieRegistrierung automatisch durch, wenn die jeweilige E-Mail-Domäne (der nach dem@-Zeichen folgende Text)übereinstimmt. Dabei muss keine Gruppen-ID oder Registrierungs-URL eingegeben werden.

Hinweis: AirWatch Container-Anwender können die AirWatch Container App über den App Store herunterladen.

1. Wenn Sie zu AWAgent.com navigieren, wird automatisch erkannt, ob AirWatch Agent installiert ist. Falls dies nichtder Fall ist, leitet dieWebsite zum jeweiligen Mobile App Store um.

2. Nachdem der Agent gestartet wurde, geben Anwender neben einer E-Mail-Adresse oder URL-/Gruppen-ID ihreAnmeldedaten ein und können dann mit der Registrierung fortfahren.

Überlegungen zur Registrierung – Geräte-Staging

Administratoren können Geräte im Auftrag von Anwendern durch einen Vorgang, das sog. Geräte-Staging, registrieren.Das Staging von Geräten dient dazu, den Vorgang zur Registrierung und zur Registrierung von iOS-Geräten, die vonmehreren Anwendern gemeinsam verwendet werden, zu optimieren. Durch ein Geräte-Staging kann auch eine gesamteGeräteflotte schnell mit Apple Configurator bereitgestellt werden.

Punkt 1: Ist die Durchführung eines Geräte-Staging ratsam?

Administratoren müssen das Geräte-Staging nacheinander durchführen, es sei denn, sie verwenden Apple Configurator.Bei großen Bereitstellungen sollten Sie den erforderlichen Zeit- und Personalaufwand berücksichtigen.

Während Administratoren mühelos ein Staging für neue Geräte durchführen können, müssen Mitarbeiter, die bereitsunternehmenseigene Geräte verwenden, diese einsenden oder zum Geräte-Staging vor Ort Daten von diesen erfassen.

Das Geräte-Staging kann eineWeile dauern, wenn Sie Tausende von Geräten vorab registrieren müssen. Deshalbfunktioniert es am besten, wenn eine neue Reihe von Geräten bereitgestellt werden soll. Denn so können Sie auf dieGeräte zugreifen, bevor dieMitarbeiter sie erhalten.

Das Geräte-Staging kann wie folgt für Android-, Windows Phone- und iOS-Geräte durchgeführt werden:

l Einzelanwender (Standard) –Wird beim Staging eines Geräts verwendet, das später von einem beliebigen Anwenderregistriert werden kann.

l Einzelanwender (Erweitert) –Wird beim Staging und Registrieren eines Geräts für einen bestimmten Anwenderverwendet.

l Mehranwender –Wird beim Staging eines Geräts verwendet, das von mehreren Anwendern gemeinsam verwendetwird.

Hinweis:Windows Phone unterstützt zurzeit nur Einzelanwendergeräte-Staging.

Punkt 2: Nehmen Sie am Geräteregistrierungsprogramm von Apple teil?

Um optimal von den Vorteilen der in Mobile DeviceManagement (MDM) registrierten Apple-Geräte zu profitieren, hatApple das Geräteregistrierungsprogramm (Device Enrollment Program, DEP) geschaffen. Das DEP ermöglicht Folgendes:

l Installieren eines vom Endanwender nicht löschbaren MDM-Profils auf einem Gerät.

l Bereitstellen von Geräten im Überwachungsmodus (nur iOS-Geräte). Geräte im Überwachungsmodus können aufzusätzliche Sicherheits- und Konfigurationseinstellungen zugreifen.


111



https://awagent.com/

l Durchsetzen der Registrierung für alle Endanwender.

l Optimieren des Registrierungsprozesses und Anpassen an die Anforderungen Ihres Unternehmens.

l Vermeiden, dass Daten in iCloud gesichert werden, indem die Option deaktiviert wird, mit der sich Anwender bei derErstellung eines DEP-Profils mit einer Apple-ID anmelden können.

l Erzwingen von BS-Updates für alle Endanwender.

Punkt 3: Ist die Verwendung des Apple Configurator ratsam?

Apple Configurator ermöglicht IT-Administratoren die effiziente Bereitstellung von Apple iOS-Geräten. Für Organisationenwie Einzelhandelsgeschäfte, Bildungseinrichtungen und Krankenhäuser hat es sich als nützliches Tool erwiesen, umgemeinsam genutzte Geräte für mehrere Endanwender vorab zu registrieren.

Die Registrierung von vorab registrierten Geräten für einen einzelnen Anwender mit Configurator wird unterstützt. Hierzumuss die Seriennummer/IMEI in der Konsole des registrierten Geräts eines Anwenders hinzugefügt werden. Einimmenser Vorteil von Apple Configurator besteht darin, dass Sie mit einem USB-Hub oder iOS-Gerätewagen in nurwenigen Minuten mehrere Geräte bereitstellen können.

Weitere Informationen zu Apple Configurator, einschließlich Informationen zur Integration, finden Sie im DokumentVMware AirWatch Integration in Apple Configurator, verfügbar unter Zugreifen auf andere Dokumente auf Seite 241.

Überwachungsmodus

Administratoren haben dieMöglichkeit, den Überwachungsmodus für Geräte zu aktivieren, die über Apple Configuratorregistriert wurden. Hierdurch werden zusätzliche optimierte Sicherheitsfunktionen aktiviert. Bei diesem Modus werdenjedoch verschiedene Beschränkungen auf dem Gerät eingeführt.

Vorteile

Nachdem ein Gerät überwacht und bei AirWatch registriert wurde, besitzt der Administrator folgende optimierteFunktionen, die im Vergleich zu normalen Geräten zur Konfiguration zur Verfügung stehen.

l Erhöhte Berechtigungen über MDM

o Hindern Sie Anwender an der Entfernung von Anwendungen. Die Entfernung von Anwendungen kann durchRestriktionen unter „Systemkonfiguration“ auch lokal auf dem Gerät beschränkt werden.

o Verhindern Sie die Verwendung von AirDrop.

o Hindern Sie Anwender an der Änderung von iCloud- und E-Mail-Kontoeinstellungen, die Kontoänderungenverbieten.

o Deaktivieren Sie iMessage.

o Legen Sie Restriktionen für iBookstore-Inhaltsbewertungen fest.

o Game Center und iBookstore deaktivieren

l Erhöhte Sicherheit

o Endanwender daran hindern, aufWebsites mit jugendfreien Inhalten in Safari aufzurufen

o Beschränken, welche Geräte eine Verbindung zu festgelegten AirPlay-Zielen wie Apple TVs herstellen können


112



o Installation von Zertifikaten oder nicht verwalteten Konfigurationsprofilen verhindern

o Erzwingen, dass der gesamte Netzwerkdatenverkehr des Geräts über ein globales HTTP-Proxy erfolgt

l Kiosk-Modus

o Sperren Sie Geräte auf eine Anwendung mit Einzel-App-Modus und deaktivieren Sie die Schaltfläche „Startseite“.

l Anpassen von Hintergründen und Texten auf dem Gerät

l Aktivieren oder Aufheben der Aktivierungssperre

Beschränkungen

l Der USB-Zugriff auf überwachte Geräte ist auf die Überwachung von Mac-Geräten beschränkt.

l Daten können nicht über iTunes von dem bzw. auf das Gerät verschoben werden.

o Medien wie Fotos und Videos können nicht von dem Gerät auf einen PC oder Mac kopiert werden. VerwendenSie VMware Content Locker für die Übertragung dieses Datentyps, um die Inhalte mit denen im Abschnitt„Private Dokumente“ des Anwenders zu synchronisieren. Alternativ können Daten mithilfe einerDateifreigabeanwendung perWLAN/WWAN auf einen Server übertragen werden.

l Im Überwachungsmodus wird der Zugriff auf geräteseitige Protokolle mittels iPhone Configuration Utility (IPCU)verhindert.

o Durch diesen Modus wird die Problembehandlung von Anwendungs- oder Geräteproblemen erschwert. DerGrund für diese Schwierigkeit ist darauf zurückzuführen, dass die Protokolle nur von dem Gerät abgerufenwerden können, wenn das Gerät mit dem überwachten Mac verbunden ist. Um einige dieser Herausforderungenzu beheben, verwenden Sie das AirWatch SDK. Dieses dient zum Senden von Protokollen und Logistik von denAnwendungen an die AirWatch Konsole.

l Geräte können im Betrieb nicht auf dieWerkseinstellungen zurückgesetzt werden.

o Sobald ein Gerät auf dieWerkseinstellungen zurückgesetzt wurde, muss es wieder mit dem überwachten Macverknüpft werden, um den Überwachungsmodus wiederherzustellen. Dieser Vorgang kann sich alsproblematisch erweisen, wenn sich der Mac nicht in der Nähe des Geräts befindet.

Bei der Entscheidung bezüglich der Aktivierung des Überwachungsmodus sollten Sie Folgendes berücksichtigen: Trotzder Aktivierung zusätzlicher Funktionen, die die Sicherheit auf dem Gerät erhöhen, müssen die USB-Beschränkungenberücksichtigt werden.

Die Nähe des Geräts zum überwachten Mac spielt eine wichtige Rolle bei den Entscheidungen. Da aufgrund der USB-Beschränkung der Zugriff auf geräteseitige Protokolle verwehrt wird, muss ein fehlerhaftes Gerät an das Lagerzurückgesendet und das Staging zur Wiederherstellung des Funktionalität erneut durchgeführt werden.

Die Vorabentscheidung bezüglich der Überwachung ist wichtig, da der Vorgang zur Überwachung oder der Verzicht aufeine Überwachung die Lieferung des Geräts an einen IT-Standort oder ein Lager erfordert.

Bereitstellen eines Einzelanwendergeräts (Staging)

Das Einzelanwender-Geräte-Staging der AirWatch Admin-Konsole ermöglicht einem einzigen Administrator, Geräte fürandere Anwender in deren Auftrag auszurüsten – eine Funktion, die besonders für IT-Administratoren nützlich sein kann,wenn sie eine Flotte an Geräten bereitstellen müssen.


113



1. Navigieren Sie zu Konten > Anwender > Listenansicht und wählen Sie Bearbeiten für das Anwenderkonto, für das SieGeräte-Staging aktivieren möchten.

2. Wählen Sie auf der Seite Anwender hinzufügen/bearbeiten die Registerkarte Erweiterungen.

a. Scrollen Sie nach unten zum Bereich Staging.

b. Wählen SieGeräte-Staging aktivieren.

c. Wählen Sie die Staging-Einstellungen, die diesem Staging-Anwender entsprechen.

3. Mit der Option Einzelanwendergerätewird das Staging von Geräten für einen einzelnen Anwender ausgeführt.Schalten Sie den Typ des Einzelanwender-Geräte-Staging-Modus entweder auf Standard oder Erweitert um. BeimStandard-Staging muss ein Endanwender nach dem Staging Anmeldedaten eingeben. „Erweitert“ heißt, dass derAnwender, der das Staging ausführt, das Gerät im Auftrag eines anderen Anwenders registrieren kann.

4. Vergewissern Sie sich, dassMehranwendergeräte aufDeaktiviert gestellt ist.

5. Registrieren Sie das Gerät über eine der zwei folgenden Methoden.

l Führen Sie die Registrierung über AirWatch Agent aus, indem Sie eine Server-URL und Gruppen-ID eingeben.

l Öffnen Sie den Internet-Browser des Geräts, navigieren Sie zur Registrierungs-URL und geben Sie die korrekteGruppen-ID ein.

6. Geben Sie bei der Registrierung Ihre Staging-Anwender-Anmeldedaten ein. Falls erforderlich geben Sie an, dass Siedas Staging für Einzelanwendergeräte ausführen. Dies ist nur erforderlich, falls „Mehranwendergeräte-Staging“ ebenfalls für den Staging-Anwender aktiviert ist.

7. Schließen Sie die Registrierung entweder für erweitertes oder für Standard-Staging ab.

l Sollten Sie ein erweitertes Staging ausführen, werden Sie dazu aufgefordert, den Anwendernamen des Besitzersdes Endanwendergeräts einzugeben, der das Gerät benutzen wird. Setzen Sie die Registrierung fort, indem Siedas MDM-Profil (Mobile DeviceManagement) installieren und alle Eingabeaufforderungen und Nachrichtenakzeptieren.

l Beim Standard-Staging wird der Endanwender beim Abschluss der Registrierung aufgefordert, die eigenenAnmeldedaten im Anmeldefenster einzugeben.

Das Geräte-Staging ist nun abgeschlossen und das Gerät kann vom neuen Anwender verwendet werden.

Bereitstellen eines Mehranwendergeräts (Staging)

Mehranwendergeräte-/ Gemeinschaftsgeräte-Staging erlaubt einem IT-Administrator, Geräte bereitzustellen, die vonmehreren Anwendern verwendet werden sollen. Mehranwender-Staging ermöglicht den dynamischen Wechsel vonzugewiesenen Anwendern auf einem Gerät, während sich andere Netzwerkanwender beim Gerät anmelden.

1. Navigieren Sie zu Konten > Anwender > Listenansicht und wählen Sie Bearbeiten für das Anwenderkonto, für das SieGeräte-Staging aktivieren möchten.

2. Wählen Sie auf der Seite Anwender hinzufügen/bearbeiten die Registerkarte Erweiterungen.

a. Scrollen Sie nach unten zum Bereich Staging.

b. Wählen SieGeräte-Staging aktivieren.


114



c. Wählen Sie die Staging-Einstellungen, die diesem Staging-Anwender entsprechen.

3. Mit der Option Einzelanwendergerätewird das Staging von Geräten für einen einzelnen Anwender ausgeführt.Schalten Sie den Typ des Einzelanwender-Geräte-Staging-Modus entweder auf Standard oder Erweitert um. BeimStandard-Staging muss ein Endanwender nach dem Staging Anmeldedaten eingeben. „Erweitert“ heißt, dass derAnwender, der das Staging ausführt, das Gerät im Auftrag eines anderen Anwenders registrieren kann.

4. Vergewissern Sie sich, dassMehranwendergeräte aufAktiviert gestellt ist.

5. Registrieren Sie das Gerät über eine der zwei folgenden Methoden.

l Führen Sie die Registrierung über AirWatch Agent aus, indem Sie eine Server-URL und Gruppen-ID eingeben.

l Öffnen Sie den Internet-Browser des Geräts, navigieren Sie zur Registrierungs-URL und geben Sie die korrekteGruppen-ID ein.

6. Geben Sie bei der Registrierung Ihre Staging-Anwender-Anmeldedaten ein. Falls erforderlich geben Sie an, dass Siedas Staging für Einzelanwendergeräte ausführen. Dies ist nur erforderlich, falls „Mehranwendergeräte-Staging“ ebenfalls für den Staging-Anwender aktiviert ist.

7. Schließen Sie die Registrierung entweder für erweitertes oder für Standard-Staging ab.

l Sollten Sie ein erweitertes Staging ausführen, werden Sie dazu aufgefordert, den Anwendernamen des Besitzersdes Endanwendergeräts einzugeben, der das Gerät benutzen wird. Setzen Sie die Registrierung fort, indem Siedas MDM-Profil (Mobile DeviceManagement) installieren und alle Eingabeaufforderungen und Nachrichtenakzeptieren.

l Beim Standard-Staging wird der Endanwender beim Abschluss der Registrierung aufgefordert, die eigenenAnmeldedaten im Anmeldefenster einzugeben.

Das Geräte-Staging ist nun abgeschlossen und das Gerät kann von den neuen Anwendern verwendet werden.

GeräteeintragungDie Eintragung von Unternehmensgeräten vor ihrer Registrierung ist optional und bietet den wesentlichen Vorteil, dassdie Registrierung ausschließlich auf eingetragene Geräte beschränkt werden kann.

Ein weiterer Vorteil ist dieMöglichkeit zur Nachverfolgung von Registrierungsstatus, die angeben, welche Ihrer Anwendersich registriert haben und bei welchen Anwendern dieser Vorgang noch aussteht. Sie können noch nicht registrierteAnwender dann benachrichtigen.

AirWatch kann auch dann Geräte erfolgreich eintragen, wenn die Geräte-IDs weder von Anwendern noch vonAdministratoren beim Dateneingabeschritt angegeben werden.

Überlegungen zur Registrierung – Registrierung

Wenn Siemit der Registrierung von Geräten vor der Registrierung fortfahren möchten, berücksichtigen Sie die folgendenOptionen.

Überlegung: Wer registriert Geräte?

Eine wichtige Überlegung bei der Registrierung von Geräten ist die Auswahl der Person, die die tatsächlicheGeräteregistrierung durchführt.


115



l Wie viele Geräte umfasst Ihre Bereitstellung insgesamt? Bei großen Bereitstellungen mit Tausenden von Gerätensollten Sie diese Daten einer CSV-Datei (Comma-Separated Values) hinzufügen. Diese Datei wird anschließend vor derBereitstellung der Geräte hochgeladen. Wahlweise können Sie die Aufgabe zur Geräteregistrierung an denEndanwender weiterleiten.

l Führen Sie ein BYOD-Programm, bei dem Mitarbeiter ihre persönlichen Geräte verwenden können? Wenn Sie dieRegistrierung ausschließlich auf registrierte Geräte beschränken, müssen SieMitarbeitern Anweisungen zurRegistrierung ihrer Geräte bereitstellen.

Geräteregistrierung durch den Endanwender über das SSP

Wenn Sie BYOD in Ihrer Bereitstellung unterstützen, weisen Sie Endanwender an, vor der Registrierung ihre Geräte beiAirWatch zu registrieren. Sie können diesen Schritt durchführen und trotzdem verlangen, dass Geräte vor derRegistrierung durch den Anwender registriert werden müssen. Wenn Sie die Registrierung nachverfolgen möchten oderRegistrierungstokens verwenden möchten, verlangen Sie die Registrierung von Anwendern mit unternehmenseigenenGeräten. In beiden Fällen müssen Sie Endanwender über den Vorgang in Kenntnis setzen.

Die folgenden Anweisungen basieren auf der Annahme, dass der Endanwender über AirWatch Anmeldedaten verfügt –entweder die vorhandenen Verzeichnisdienst-Anmeldedaten oder die Anmeldedaten eines zuvor aktivierten AirWatchAnwenderkontos. Wenn Sie die Registrierung mit Verzeichnisdiensten ohnemanuelles Hinzufügen von Anwendernausgewählt haben, dürfen keine Anwenderkonten bereit erstellt worden sein.

Wenn Sie möchten, dass Endanwender ihre Geräte registrieren, müssen Sie eine E-Mail oder eine Benachrichtigung mitRegistrierungsanweisungen an alle Anwendergruppen außerhalb von AirWatch senden.

Wenn Sie Registrierungstokens zur Registrierungsauthentifizierung aktiviert haben, wird das Token an den Anwender inder ausgewählten Nachricht gesendet.

Beschränken der Registrierung auf ausschließlich registrierte Geräte

Ganz gleich, ob Administratoren oder Endanwender Geräte registriert haben – Sie können die Registrierung ausschließlichauf registrierte Geräte beschränken. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Anwender >Allgemein > Registrierung und wählen Sie dieNur registrierte Geräte aus.

Nachverfolgen des Registrierungsstatus

Nach der Registrierung der Geräte können Sie die Registrierung nachverfolgen, indem Sie zum Geräte-Dashboardnavigieren und das Diagramm Registrierung auswählen. Durch dieses Diagramm können Sie basierend auf demRegistrierungsstatus filtern. Sie können auch auf den Hub zugreifen, in dem die zuletzt registrierten Geräte aufgeführtwerden.

l Einzelne Geräte eintragen – Geben Sie zur einfachen Erkennung in der AirWatch Konsole wichtige Geräte- undAnlageninformationen wie etwa einen freundlichen Namen ein. Zu diesen Informationen zählen Modell,Betriebssystem, Seriennummer, eindeutiger Gerätebezeichner (UDID) und Anlagennummer. Dieser Vorgang istgegebenenfalls auch der abschließende Arbeitsschritt beim Hinzufügen eines einzelnen Anwenders. Wählen Sie dazuSpeichern und Gerät hinzufügen statt Speichern.

l Mehrere Geräten eintragen – Ähnlich wie beim Massenhinzufügen von Anwendern beschleunigt dieser Prozess denGeräteregistrierungsprozess, wenn mehrere Geräte auf einmal hinzugefügt werden. Er kann in den ProzessMassenerstellung von Anwenderkonten integriert werden.


116



l Endanwender-Geräteregistrierung –Wenn Sie BYOD unterstützen und eine Geräteregistrierung vor der Registrierungverlangen, weisen Sie Endanwender an, vor der Registrierung bei AirWatch ihre Geräte zu registrieren.

Weitere Informationen finden Sie unter Aktivieren von Registrierungstokens und Erstellen einer Standardnachricht aufSeite 121.

Eintragen eines einzelnen Geräts

Um ein einzelnes Gerät einzutragen, bei der Sie die Registrierung beschränken und nachverfolgen können, folgen Sieeinem der drei Navigationspfade. Fahren Sie dann mit der SeiteGerät hinzufügen fort und bearbeiten Sie die in diesemThema erläuterten Einstellungen.

1. Navigieren Sie zu Konten > Anwender > Listenansicht und wählen Sie einen einzelnen Anwender zum Erhalt des neueingetragenen Gerätes. Als Nächstes wählen Sie die SchaltflächeGerät hinzufügen, die über der Kopfzeile im Eintragangezeigt wird.

ODER

2. Schließen Sie den Prozess zur Erstellung eines neuen Anwenderkontos ab (entweder Standard oder Verzeichnis), undwählen Sie Speichern und Gerät hinzufügen als abschließenden Schritt. Bei diesem Schritt wird die SeiteGeräthinzufügen angezeigt.

ODER

3. Navigieren Sie zu Geräte > Lebenszyklus > Registrierungsstatus und wählen SieHinzufügen und dann Geräteintragen. Die SeiteGerät hinzufügenwird mit Anweisungen zum Hinzufügen eines Geräts angezeigt.

Bearbeiten Sie auf der SeiteGerät hinzufügen je nach Bedarf die folgenden Optionen.

Vervollständigen Sie die Registerkarte Anwender.


Abschnitt „Anwender“

Suchtext Suchen Sie nach einem Anwender, indem Sie einen Suchparameter eingeben und dieSchaltfläche Anwender suchenwählen.

Abschnitt „Gerät“

Voraussichtlicherfreundlicher Name

Geben Sie den freundlichen Namen des Geräts ein. Dieses Textfeld akzeptiertNachschlagewerte, die Sie unter Verwendung des Pluszeichens einfügen können.

Organisationsgruppe Wählen Sie die Organisationsgruppe, zu der das Gerät gehört.

Besitz Wählen Sie die Besitzebene des Geräts.

Plattform Wählen Sie die Plattform des Geräts.

Erweiterte Optionenzu Gerätedatenanzeigen

Prüfen Sie Einstellungen für erweiterte Gerätedaten.

Modell Wählen Sie das Gerätemodell. Die Optionen des Dropdown-Menüs hängen von derWahl derPlattform ab.

BS Wählen Sie das Betriebssystem des Geräts. Die Optionen des Dropdown-Menüs hängen vonderWahl der Plattform ab.


117




UDID* Geben Sie den eindeutigen Bezeichner des Geräts ein.

Seriennummer* § ‡ Geben Sie die Seriennummer des Geräts ein.

IMEI* § Geben Sie die IMEI-Nummer (InternationalMobile Station Equipment Identity) des Geräts ein.

SIM* Geben Sie das Teilnehmer-Identitätsmodul (Subscriber Identity Module, SIM) für das Gerät ein.

Anlagennummer* Geben Sie die Anlagennummer des Geräts ein.

Abschnitt „Messaging“

Nachrichtentyp Die Art der Benachrichtigung, die an den Anwender gesendet wird, sobald das Geräthinzugefügt ist. Wählen Sie von Keine(r/s), E-Mail oder SMS.

Für die Option „E-Mail“ ist eine gültige E-Mail-Adresse erforderlich. Sie müssen außerdem eineE-Mail-Nachrichtenvorlage auswählen.

Die Option „SMS“ erfordert eine Rufnummer mit Landes- und Ortsvorwahl. Für die SMS-Nutzung fallen möglicherweise Kosten an. Sie müssen außerdem eine SMS-Nachrichtenvorlageauswählen.

E-Mail-Adresse Erforderlich für den Nachrichtentyp „E-Mail“.

E-Mail-Nachrichtenvorlage

Erforderlich für den Nachrichtentyp „E-Mail“. Wählen Sie eine Vorlage aus dem Dropdown-Menü. Prüfen Sie die E-Mail-Nachricht durch Klicken auf die SchaltflächeNachrichtenvoransicht.

Telefonnummer Erforderlich für den Nachrichtentyp „SMS“.

SMS-Nachrichtenvorlage

Erforderlich für den Nachrichtentyp „SMS“. Wählen Sie eine Vorlage aus der Dropdown-Liste.Prüfen Sie die SMS-Nachricht durch Klicken auf die SchaltflächeNachrichtenvoransicht.

* Zur Registrierung eines Geräts muss aus diesen erwähnten Einstellungen mindestens eine angegeben werden.

§ Zur Registrierung eines Windows Phone-Geräts müssen Sie entweder die IMEI oder Seriennummer des Gerätseingeben.

‡ Zur Registrierung eines Windows Desktop-Geräts müssen Sie die Seriennummer des Geräts eingeben.

Bearbeiten Sie die Registerkarte Anwenderdefinierte Attribute (optional).


SchaltflächeHinzufügen Wählen Sie diese Schaltfläche, um ein anwenderdefiniertes Attribut und dessenentsprechendenWert hinzuzufügen.

Weitere Informationen zu anwenderdefinierten Attributen finden Sie im VMwareAirWatch Product Provisioning and Staging Guide, verfügbar unter Zugreifen auf andereDokumente auf Seite 241.

Attribute Wählen Sie das anwenderdefinierte Attribut aus dem Dropdown-Menü.

Wert Wählen Sie den Wert des anwenderdefinierten Attributs aus dem Dropdown-Menü.

Bearbeiten Sie die Registerkarte Tags (optional).


118




SchaltflächeHinzufügen Wählen Sie diese Schaltfläche, um dem Gerät ein Tag hinzuzufügen.

Tag Wählen Sie das Tag aus dem Dropdown-Menü vorhandener Tags.

Wählen Sie Speichern, um den Prozess der Geräteeintragung abzuschließen.

Fehlende Geräte-IDs während der Registrierung

Wenn während der Eintragung kein Bezeichner festgelegt wird (wie UDID, IMEI und Seriennummer), verwendet AirWatchdie folgenden Attribute, um ein registriertes Gerät automatisch seinem Registrierungsdatensatz zuzuordnen, und zwar inder folgenden Reihenfolge. Dadurch wird AirWatch der erfolgreiche Eintrag derjenigen Geräte ermöglicht, für diegenügend Informationen bereitgestellt wurden.

1. Anwender, auf den das Gerät eingetragen ist

2. Plattform (falls festgelegt)

3. Modell (falls festgelegt)

4. Besitztyp (falls festgelegt)

5. Datum des ältesten übereinstimmenden Registrierungsdatensatzes

Eintragen mehrerer Geräte

Die Eintragung von Geräten vor ihrer Registrierung ist optional und ermöglicht Ihnen, die Registrierung auf ausschließlicheingetragene Geräte zu beschränken Ein weiterer Vorteil ist dieMöglichkeit, Registrierungsstatus nachzuverfolgen.

Tragen Sie mehrere Geräte unter Verwendung einer Batch-Importfunktion ein und sparen Sie so Zeit.

So registrieren Sie mehrere Geräte:

1. Navigieren Sie zu Konten > Anwender > Listenansicht oder zu Geräte > Lebenszyklus > Registrierungsstatus.

a. Wählen SieHinzufügen und dann Batch-Import, um das Formular Batch-Import zu öffnen.

2. Füllen Sie alle erforderlichen Felder aus: Batch-Name, Batch-Beschreibung und Batch-Typ.

3. Wählen Sie das Info-Symbol ( ) neben dem Feld Batch-Datei (CSV), um auf die Hilfeseite Anwender- undGeräteimport zuzugreifen, wo Sie CSV-Vorlagen und dazugehörige Beschreibungen finden können.

4. Wählen Sie die entsprechendeDownload-Vorlage und Beispiel für diesen Batch-Typ. Speichern Sie dann die CSV-Datei (Comma-Separated Values) an einem zugänglichen Speicherort.

5. Machen Sie die gespeicherte CSV-Datei ausfindig, öffnen Sie diese und geben Sie alle relevanten Informationen füralle Geräte ein, die Sie importieren möchten. Die Vorlage wird im Vorhinein mit drei Beispieleinträgen aufgefüllt, diezeigen, welche Informationen in jede Spalte gehören.

Wichtig: Geben Sie alle Daten mit numerischen Werten ausschließlich mit doppelten Anführungszeichen ein (z.B.„123456“), um eine Trunkierung der Werte zu vermeiden. Trunkierte Daten in der CSV-Datei könnten dazuführen, dass Gerätemöglicherweise von VMware AirWatch MDM per Blacklist gesperrt werden.


119



l Um ein Gerät einzutragen, stellen Sie sicher, dass Spalte X (Eintragung nur durch Anwender) aufNein gesetztist.

l Um ein zusätzliches Gerät beim selben Anwenderkonto zu registrieren, stellen Sie sicher, dass alle Informationenin den Spalten A bis W identisch sind. Die verbleibenden Spalten werden verwendet, um zusätzliche Geräte zuregistrieren.

l Um erweiterte Eintragungsinformationen zu speichern, stellen Sie sicher, dass die Spalte AF (ErweiterteGeräteinformationen speichern) auf Ja gestellt ist.

6. Speichern Sie die ausgefüllte Vorlage als CSV-Datei. Wählen Sie in der AirWatch KonsoleDatei wählen im FormularBatch-Import, navigieren Sie zum Pfad, unter dem Sie die ausgefüllte CSV-Datei gespeichert haben, und klicken Sieauf diese.

7. Wählen Sie Speichern, um die Registrierung für alle aufgeführten Anwender und die entsprechenden Gerätedurchzuführen.

Endanwender-Geräteeintragung

Wenn Sie die Gerätedetails zur Einrichtung nicht kennen, empfiehlt es sich eventuell, Endanwender zur selbstständigenEintragung ihrer Geräte anzuweisen. Eine solche Anweisung ist anzuraten, wenn Sie über eine BYOD-Bereitstellung (BringYour Own Device) verfügen.

l Senden Sie eine E-Mail- oder Intranet-Benachrichtigung an Anwender außerhalb von AirWatch mit der Anleitung zurEintragung. Stellen Sie sicher, dass die Registrierungsauthentifizierung für Active Directory oder fürAuthentifizierungsproxy aktiviert ist. Navigieren Sie dazu zu Geräte > Geräteeinstellungen > Geräte und Anwender >Allgemein > Registrierung > Authentifizierung.

Prüfen Sie auch, dass Unbekannte Anwender abweisen deaktiviert ist. Navigieren Sie dazu zu Geräte >Geräteeinstellungen > Geräte und Anwender > Allgemein > Registrierung > Restriktionen.

l Erstellen Sie Anwenderkonten, die allen Endanwendern die Eintragung ihrer Geräte ermöglichen. Senden Sie dannallen Anwendern eine Benachrichtigung zur Aktivierung ihrer Anwenderkonten mit einer Anleitung zur Eintragung.

Beide Optionen verlangen, dass Sie den Endanwendern grundlegende Informationen zur Verfügung stellen.

l Wo sie sich eintragen sollen – Endanwender können sich eintragen, indem sie zur Self-Service Portal-URL navigieren.Diese URL folgt der Struktur https://<AirWatchUmgebung>/MyDevice, wobei <AirWatchUmgebung> dieRegistrierungs-URL darstellt.

l Wie sie sich für das Self-Service Portal authentifizieren – Endanwender benötigen Gruppen-ID, Anwendernameund Kennwort, um sich im Self-Service Portal (SSP) anzumelden.

Anweisen der Anwender zur Selbsteintragung

Sobald Endanwender die Registrierungsnachricht erhalten, können diese ihre Geräte folgendermaßen eintragen und Zeitsparen:

1. Navigieren Sie zur SSP-URL (Self Service-Portal): https://<AirWatch-Umgebung>/MyDevice, wobei <AirWatch-Umgebung> für die Registrierungs-URL Ihrer Umgebung steht.


120



2. Geben Sie zur Anmeldung dieGruppen-ID sowie die Anmeldedaten ein, d.h. entweder eine E-Mail-Adresse oderAnwendername und Kennwort. Diese Anmeldedaten können den Verzeichnisdienst-Anmeldedaten fürVerzeichnisanwender entsprechen.

3. Wählen SieGerät hinzufügen, um das Formular Gerät eintragen zu öffnen.

4. Geben Sie die Geräteinformationen in die erforderlichen Textfelder des Formulars Gerät eintragen ein.

5. Wählen Sie Speichern, um die Daten abzusenden und das Gerät einzutragen.

Nachverfolgen des Geräteeintragungsstatus

Gelegentlich kann es sein, dass Sie ein Problem bei der Geräteeintragung beheben oder den allgemeinenEintragungsvorgang nachverfolgen müssen. Bisweilen löschen Endanwender versehentlich die Nachricht mit derEintragungsanleitung, oder sie lösen einen Authentifizierungscode nicht innerhalb des vorgegebenen Ablaufzeitraumsein.

Verwalten Sie den Eintragungsstatus über die Seite „Registrierungsstatus“, indem Sie zu Geräte > Lebenszyklus >Registrierungsstatus navigieren.

Verfolgen Sie den Registrierungsstatus der Geräte nach, indem Sie die Spalte Registrierungsstatus in der Liste sortierenoder die Listenansicht nach dem Registrierungsstatus filtern.

Weitere Informationen finden Sie unter Registrierungsstatus auf Seite 215.

Aktivieren von Registrierungstokens und Erstellen einer Standardnachricht

Wenn die Registrierung auf ausschließlich registrierte Geräte beschränkt werden soll, haben Sie dieMöglichkeit, einRegistrierungstoken zu verlangen. Durch diese Option wird die Sicherheit erhöht, da bestätigt wird, dass ein bestimmterAnwender zur Registrierung autorisiert ist. Sie können eine E-Mail oder SMS mit angehängtem Registrierungstoken anAnwender mit AirWatch Konten senden.

1. Aktivieren Sie die tokenbasierte Registrierung, indem Sie die jeweilige Organisationsgruppe auswählen. Navigieren Siezu Geräte > Geräteeinstellungen > Geräte und Anwender > Allgemein > Registrierung und stellen Sie sicher, dassdie Registerkarte Authentifizierung ausgewählt ist.

Scrollen Sie nach unten zum Abschnitt Erste Schritte und wählen Sie fürNur eingetragene Geräte die OptionGeräteregistrierungsmodus. Das Kontrollkästchen Eintragungstoken verlangenwird angezeigt. Durch dieAktivierung dieser Option wird die Registrierung ausschließlich auf Geräte beschränkt, die mit Tokens registriertwurden.

2. Wählen Sie einen Eintragungstokentyp aus.


121



l Einstufig – Für die Registrierung wird lediglich ein Token benötigt.

l Zweistufig – Für die Registrierung wird lediglich ein Token und die Anmeldung mit den Anwenderanmeldedatenbenötigt.

3. Legen Sie die Eintragungstokenlänge fest. Diese erforderliche Einstellung kennzeichnet, wie komplex dasRegistrierungstoken ist, und muss 6 bis 20 alphanumerische Zeichen enthalten.

4. Legen Sie die Tokenablaufzeit (Stunden) fest. Diese erforderliche Einstellung gibt den Zeitraum an, in dem derEndanwender auf einen Link klicken und sich registrieren muss. Nachdem dieser abgelaufen ist, müssen Sie einenweiteren Link senden.

Generieren von Tokens mit der AirWatch Konsole

1. Navigieren Sie zu Konten > Anwender > Listenansicht und wählen Sie Anwender bearbeiten für einen Anwender.(Dieser Vorgang gilt auch für die Erstellung von Anwendern.) Die Seite „Anwender hinzufügen/bearbeiten“ wirdangezeigt.

2. Scrollen Sie nach unten und wählen Sie unterNachrichtentyp die Option E-Mail für Verzeichnisanwender und SMSfür Standardanwenderkonten.

3. Wählen Sie eineNachrichtenvorlage. Sie können die Standardvorlage verwenden oder eine Vorlage erstellen, indemSie auf den darunter stehenden Link klicken. Dadurch wird die SeiteNachrichtenvorlage in einer neuen Registerkarteangezeigt. Wählen Sie nach der Auswahl einer Nachrichtenvorlage Speichern und Gerät hinzufügen. Die SeiteGeräthinzufügenwird angezeigt.

4. Prüfen Sie unter Allgemein die Informationen zum Gerät und bestätigen Sie die Informationen bezüglich derNachricht. Klicken Sie danach auf Speichern, um das Token mithilfe des ausgewählten Nachrichtentyps an denAnwender zu senden.

Hinweis: Aus Sicherheitsgründen ist kein Zugriff auf das Token über die AirWatch Konsole möglich.

Generieren von Tokens mit dem Self-Service Portal (SSP)

1. Melden Sie sich beim Self-Service Portal an. Sie können sich über ein Gerät oder einen Computer anmelden, sofernSie Single Sign-On oder SmartCards zur Authentifizierung verwenden. (Verzeichnisanwender können sich mit ihrenVerzeichnisdienst-Anmeldedaten anmelden.)

2. Wählen SieGerät hinzufügen.

3. Geben Sie die Geräteinformationen (freundlicher Name und Plattform) und sonstige Informationen ein, indem Sie dieEinstellungen auf dem Formular Gerät eintragen bearbeiten. Stellen Sie sicher, dass die E-Mail-Adresse undRufnummer vorhanden und korrekt sind, da sie eventuell nicht automatisch aufgefüllt werden.

4. Klicken Sie auf Speichern, um das Registrierungstoken mithilfe des ausgewählten Nachrichtentyps an den Anwenderzu senden.

Hinweis: Das Token wird nicht auf dieser Seite angezeigt, sondern lediglich in der gesendeten Nachricht.


122



Durchführung der Registrierung mithilfe eines Registrierungstokens

1. Öffnen Sie die SMS oder E-Mail auf dem Gerät und klicken Sie auf den Link mit dem Registrierungstoken.

Wenn Sie auf einer Registrierungsseite nach einer Gruppen-ID oder einem Token gefragt werden, geben Sie denToken direkt ein.

2. Geben Sie bei Verwendung einer zweistufigen Authentifizierung einen Anwendernamen oder ein Kennwort ein.

3. Setzen Sie die Registrierung wie gewohnt fort. Im Anschluss wird das Gerät mit dem Anwender verknüpft, für den dasToken erstellt wurde.

Nachdem das MDM-Profil auf dem Gerät installiert wurde, wird das Token als „Verwendet“ erachtet und kann nicht zurRegistrierung anderer Geräte verwendet werden. Wenn die Registrierung nicht abgeschlossen wurde, kann das Tokennach wie vor auf anderen Geräten verwendet werden. Wenn das Token nach dem von Ihnen festgelegten Zeitraumabläuft, müssen Sie einen weiteren Registrierungstoken generieren.

Konfigurieren von RegistrierungsoptionenPassen Sie Ihren Registrierungsablauf an, indem Sie die in der AirWatch Konsole verfügbaren, erweiterten Optioneneinbeziehen. Greifen Sie auf weitere Registrierungsoptionen zu; navigieren Sie dazu zu Geräte > Geräteeinstellungen >Geräte und Anwender > Allgemein > Registrierung.

Zusätzlich zu den Registerkarten „Authentifizierung“ und „Nutzungsbedingungen“ können Sie optional folgendeRegisterkarten zur Registrierung bearbeiten.

1. Konfigurieren von Registrierungsoptionen auf der Registerkarte „Gruppierung“ auf Seite 123.

2. Konfigurieren von Registrierungsrestriktionseinstellungen auf Seite 130.

3. Konfigurieren von Registrierungsoptionen auf der Registerkarte „Optionale Eingabeaufforderung“ auf Seite 124.

4. Konfigurieren von Registrierungsoptionen auf der Registerkarte „Anpassung“ auf Seite 127.

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Gruppierung“

Über die Registerkarte „Gruppierung“ können Sie wesentliche Informationen bezüglich Organisationsgruppen undGruppen-IDs für Endanwender einsehen und angeben. Aktivieren Sie den Gruppen-ID-Zuweisungsmodus und wählenSie, wie die AirWatch MDM-Umgebung (Mobile DeviceManagement) den Anwendern Gruppen-IDs zuweisen soll.

Die Registerkarte „Gruppierung“ befindet sich unter Geräte > Geräteeinstellungen > Geräte und Anwender > Allgemein> Registrierung.


123




Gruppen-ID-Zuweisungsmodus

l Standard –Wählen Sie diese Option, wenn Anwendern Gruppen-IDs zur Registrierung zurVerfügung gestellt werden. Die verwendete Gruppen-ID bestimmt, welcherOrganisationsgruppe die Anwender zugewiesen werden.

l Anwender auffordern, Gruppen-ID auszuwählen – Aktivieren Sie diese Option, umVerzeichnisdienstanwendern zu ermöglichen, bei der Registrierung eine Gruppen-ID aus einerListe auszuwählen. Der Abschnitt Gruppen-ID-Zuweisung führt verfügbareOrganisationsgruppen und ihre jeweiligen Gruppen-IDs auf. Sie müssen dabei keineGruppenzuweisungszuordnung ausführen; Anwender laufen aber so Gefahr, eine falscheGruppen-ID auszuwählen.

l Automatisch nach Anwendergruppe auswählen – Diese Option trifft nur zu, wenn Sie eineIntegration in Anwendergruppen durchführen. Aktivieren Sie diese Option, umsicherzustellen, dass Anwender automatisch an Organisationsgruppen nach IhrenVerzeichnisdienst-Gruppenzuweisungen zugewiesen werden. Im AbschnittGruppenzuweisungseinstellungenwerden alle Organisationsgruppen der Umgebung undihre zugeordneten Verzeichnisdienst-Anwendergruppen aufgeführt. Wählen Sie Zuweisungbearbeiten, um die Organisationsgruppen-/ Anwendergruppen-Zuordnungen zu ändern unddie Rangstufe der einzelnen Gruppen festzulegen.

Sie haben beispielsweise drei Gruppen, „Geschäftsleitung“, „Vertrieb“ und „Global“, die nachder Rangfolge ihrer Aufgabengebiete angeordnet sind. Alle sind Mitglied von „Global“. SolltenSie also diese Anwendergruppe als erstes in die Rangfolge setzen, werden dadurch alle IhrerAnwender in einer einzigen Organisationsgruppe zusammengefasst. Indem Sie stattdessen„Geschäftsleitung“ als erstes in die Rangfolge setzten, stellen Sie sicher, dass die wenigenPersonen, die zu dieser Gruppe gehören, ihrer eigenen Organisationsgruppe zugeordnetwerden. Indem Sie „Vertrieb“ als zweites in die Rangfolge setzen, stellen Sie sicher, dass alleVertriebsmitarbeiter in einer vertriebsspezifischen Organisationsgruppe gruppiert werden.Wird „Global“ als drittes in die Rangfolge gesetzt, so werden alle, die noch keiner Gruppezugewiesen wurden, einer separaten Organisationsgruppe hinzugefügt.

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Optionale Eingabeaufforderung“

Sie können sich entscheiden, mit der RegisterkarteOptionale Eingabeaufforderung zusätzliche Geräteinformationenanzufordern oder dem Anwender optionale Benachrichtigungen bezüglich Registrierungs- und MDM-Informationenbereitstellen.

Die Registerkarte „Optionale Eingabeaufforderung“ befindet sich unter Geräte > Geräteeinstellungen > Geräte undAnwender > Allgemein > Registrierung.


Eingabeaufforderung fürGerätebesitztyp

Sie können den Endanwender auffordern, seinen Gerätebesitztyp auszuwählen.Anderenfalls konfigurieren Sie einen standardmäßigen Gerätebesitztyp für diemomentane Organisationsgruppe.


124




Willkommensnachricht anzeigen Sie können früh im Registrierungsprozess eineWillkommensnachricht für IhreAnwender einblenden. Kopfzeile und Text dieser Willkommensnachricht könnenSie unter System > Lokalisierung > Lokalisierungseditor konfigurieren. WählenSie anschließend die Bezeichnungen „EnrollmentWelcomeMessageHeader“ bzw.„EnrollmentWelcomeMessageBody“.

MDM-Installationsnachrichtanzeigen

Sie können eine Nachricht für Ihre Anwender während desGeräteregistrierungsprozesses einblenden. Überschrift und Text dieser MDM-Installationsnachricht können Sie unter System > Lokalisierung >Lokalisierungseditor konfigurieren. Wählen Sie anschließend die Bezeichnungen„EnrollmentMdmInstallationMessageHeader“ bzw.„EnrollmentMdmInstallationMessageBody“.

Falls Sie Ihre eigene Überschrift und Textnachrichten mit demLokalisierungseditor bearbeiten, müssen Sie „Überschreiben“ in der OptionAktuelle Einstellungwählen. Auf dieseWeise wird sichergestellt, dass Ihreangepassten Nachrichten verwendet werden und nicht dieStandardnachrichten.

Eingabeaufforderung fürRegistrierungs-E-Mail aktivieren

Sie können den Anwender während der Registrierung auffordern, seine E-Mail-Anmeldedaten einzugeben.

Hinweis: Die Eingabeaufforderung für die Registrierungs-E-Mail fordert vondem Endanwender die E-Mail-Adresse an, um automatisch die Option imAnwenderdatensatz anzuzeigen. Diese Daten sind besonders für solcheOrganisationen hilfreich, die über den Suchwert {EmailAddress} E-Mails aufGeräten bereitstellen.

Eingabeaufforderung bezüglichAnlagennummer aktivieren

Sie können den Anwender während der Registrierung auffordern, seineGeräteanlagennummer einzugeben.

Registrierungsübergangsmeldungenanzeigen (nur Android)

Damit können Sie Registrierungsnachrichten auf Android-Geräten ein- oderausblenden.

Mutual TLS-Authentifizierung fürWindows durchsetzen

Durch Aktivieren dieser Option erzwingen Windows Phone- und Windows-Geräte die Verwendung von Endpunkten, die mit Mutual TLS-Authentifizierunggesichert sind. Dies erfordert zusätzliche Einrichtung und Konfiguration.Wenden Sie sich bitte an AirWatch Support für Unterstützung.

Erstellen von anwenderdefinierten Registrierungsnachrichten

Sie können Meldungen bezüglich Geräteregistrierung und zukünftige für ein Gerät bestimmteMDM-Eingabeaufforderungen individuell anpassen. Häufig sind angepasste Nachrichten gegenüber Standardnachrichtenbevorzugt. Zudem kommen Ihre Anwender weniger durcheinander, da in Push-Benachrichtigungen ein bestimmterOrganisationsname statt einer Umgebungs-URL oder einfach „AirWatch“ angezeigt wird.

1. Navigieren Sie zu Geräte > Geräteeinstellungen > Allgemein > Registrierung und wählen Sie die RegisterkarteAnpassung.


125



2. Wählen Sie Eine spezifische Nachrichtenvorlage für jede Plattform verwenden und dann eine Nachrichtenvorlagezur Geräteaktivierung aus dem Dropdown-Menü für jede einzelne Plattform aus. Siehe Erstellen vonNachrichtenvorlagen.

3. Konfigurieren Sie für iOS-Geräte optional folgende Optionen:

l Geben Sie eine Ziel-URL nach Registrierung für iOS-Geräte ein.

l Geben Sie für iOS-Geräte eineMDM-Profilnachricht ein. Dies ist die Nachricht, die bei der Registrierung in einerInstallationseingabeaufforderung für das MDM-Profil angezeigt wird.


Erstellen von Vorlagen für Registrierungsnachrichten

Sie können Ihre eigene Bibliothek mit auf Plattformen abgestimmten Nachrichtenvorlagen erstellen und so eine Vielzahlmöglicher Registrierungsszenarien abdecken.

1. Navigieren Sie zu Geräte > Geräteeinstellungen > Allgemein > Nachrichtenvorlagen und wählen SieHinzufügen.

2. Konfigurieren Sie das Dropdown-Menü Kategorie entsprechend der Kategorie Ihrer Vorlage. Dabei gibt es folgendeOptionen: Administrator, Anwendung, Konformität, Inhalt, Gerätelebenszyklus, Registrierung undNutzungsbedingungen.

3. Wählen Sie den Typ aus, der am besten zur Unterkategorie passt. Die Optionen des Dropdown-Menüs Typ hängenvon der Einstellung des Menüs Kategorie ab.

4. Richten Sie das Dropdown-Menü Sprache auswählen ein. Über die SchaltflächeHinzufügen können Sie Sprachenanfügen.

5. Aktivieren Sie das Kontrollkästchen Standard, wenn Sie die Vorlage für die gewählte Kategorie als Standardvorlagefestlegen möchten.

6. Wählen Sie den Nachrichtentyp für die Vorlage. Die Optionen umfassen E-Mail-, SMS- und Push-Benachrichtigung.

7. Verfassen Sie Ihre Nachricht, indem Sie Text in das Textfeld Nachrichtentext eingeben.

Es sind zwei verschiedeneMethoden zum Verfassen der E-Mail-Nachrichtenvorlage verfügbar: Nur-Text und HTML.

Die Option Nur-Textweist nur eineMonospace-Schriftart mit Serifen (Courier) ohne Formatierungsoptionen auf.

Die Option HTML ermöglicht eine Umgebung zurNur-Text-Bearbeitung, einschließlich Schriftarten, Formatierung,Überschriftenebenen, Aufzählungszeichen, Einzug, Absatzausrichtung, Tiefstellung, Hochstellung sowie Bild- undHyperlinkfunktionen. Die HTML-Umgebung unterstützt grundlegende HTML-Codierung über die SchaltflächeQuelleanzeigen, durch die Sie zwischen Rich-Text- und Quellenansicht umschalten können.

8. Speichern Sie Ihre Vorlage, indem Sie auf die Schaltfläche Speichern klicken.

Konfigurieren von Lebenszyklusbenachrichtigungen

Lebenszyklusbenachrichtigungen ermöglichen Ihnen, anwenderdefinierte Benachrichtigungen nach bestimmtenEreignissen im Laufe des Lebenszyklus eines Geräts zu senden, einschließlich Registrierung und Registrierungsaufhebung.

Konfigurieren Sie diese optionale Einstellung unter Geräte > Lebenszyklus > Einstellungen > Benachrichtigungen undfüllen Sie folgende Felder in folgenden Bereichen aus.


126



l Gerät erfolgreich registriert – Senden Sie eine E-Mail-Benachrichtigung, wenn ein Gerät erfolgreich registriert wird.

l Geräteregistrierung aufgehoben – Senden Sie eine E-Mail-Benachrichtigung, wenn die Registrierung eines Gerätsaufgehoben wird.

l Gerät aufgrund von Registrierungsrestriktion blockiert – Senden Sie eine E-Mail-Benachrichtigung, wenn ein Gerätdurch eine Registrierungsrestriktion blockiert wird. Zur Konfiguration von Registrierungsrestriktionen navigieren Siezu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Anwender > Allgemein > Registrierung undwählen Sie die Registerkarte Restriktionen.


E-Mailsenden an

l Keine(r/s) – Legen Sie fest, dass keine Bestätigungs-E-Mail bei einer erfolgreichen Geräteblockierung,Registrierung oder Registrierungsaufhebung gesendet werden soll.

l Anwender – Senden Sie eine Bestätigungs-E-Mail an die Geräteanwender, um sie über eineerfolgreiche Geräteblockierung, Registrierung oder Registrierungsaufhebung zu informieren.

o CC – Senden Sie dieselbe Bestätigungs-E-Mail an eine einzige oder mehrere, durch Kommagetrennte E-Mail-Adressen.

o Nachrichtenvorlage –Wählen Sie die gewünschte Nachrichtenvorlage aus der Dropdown-Auflistung. Sie haben dieMöglichkeit, eine neue Nachrichtenvorlage hinzuzufügen oder einevorhandene Vorlage zu bearbeiten, indem Sie den Hyperlink „Hier klicken“ auswählen, der Sie zurEinstellungsseiteGeräte und Anwender > Allgemein > Nachrichtenvorlagen führt.

l Administrator – Senden Sie dem AirWatch Administrator eine Bestätigungs-E-Mail und informierenSie ihn über die erfolgreiche Geräteblockierung, Registrierung oder Registrierungsaufhebung.

o An – Senden Sie dieselbe Bestätigungs-E-Mail an eine einzige oder mehrere, durch Kommagetrennte E-Mail-Adressen.

Konfigurieren von Registrierungsoptionen auf der Registerkarte „Anpassung“

Sie können zusätzlichen Endanwender-Support bieten, einschließlich E-Mail-Adresse und Rufnummer, indem Sie dieRegisterkarte Anpassung konfigurieren. Eine derartige Supportebene ist von Nutzen, wenn Anwender ihr Gerät ausirgendeinem Grund nicht registrieren können.

Die Registerkarte „Anpassung“ befindet sich unter Geräte > Geräteeinstellungen > Geräte und Anwender > Allgemein >Registrierung.


AnwenderspezifischeNachrichtenvorlagefür jede Plattform

Wenn diese Option aktiviert ist, können Sie eine eindeutige Nachrichtenvorlage für jedePlattform auswählen.

Der bereitgestellte Link verweist auf die Seite „Nachrichtenvorlage“, über die Sie sofort mit derErstellung von Vorlagen beginnen können.

E-Mail-Adresse fürRegistrierungs-Support

Geben Sie die E-Mail-Adresse für den Support ein.


127




Rufnummer fürRegistrierung-Support

Geben Sie die Rufnummer für den Support ein.

Ziel-URL nachRegistrierung (nuriOS)

Geben Sie eine Ziel-URL nach Registrierung an, zu der die Anwender nach erfolgreicherRegistrierung geleitet werden. Diese URL kann eine Unternehmensressource sein, wiebeispielsweise eine Unternehmenswebsite oder eine Anmeldeseite, die zu weiteren Ressourcenführt.

MDM-Profilnachricht(nur iOS)

Dieses Textfeld gilt für Nachrichten, die während der Registrierung von ausschließlich iOS-Geräten angezeigt werden. Sie können eine Nachricht, die aus maximal 255 Zeichen besteht,festlegen.

AnwenderdefinierteMDM Appsverwenden

Wenn diese Funktion aktiviert ist, wird ein Link mit der Bezeichnung Anwendungsgruppenangezeigt, der bei Auswahl die Seite der Anwendungsgruppenauflistungen öffnet. WeitereInformationen zu Listenansicht für Anwendungsgruppen finden Sie im VMware AirWatchLeitfaden für Mobile Application Management, verfügbar unter Zugreifen auf andereDokumente auf Seite 241.


128



Geräteeinträge auf Blacklists bzw. WhitelistsEine Blacklist ist eine explizite Auflistung von unzulässigen Geräten oder Anwendungen. EineWhitelist ist eine expliziteAuflistung, die ausschließlich zulässige Geräte oder Anwendungen enthält. Dieses Konzept kann auf die Registrierungangewendet werden, sodass Sie steuern können, welche Geräte zur Registrierung zulässig sind.

In einer Bereitstellung von ausschließlich unternehmenseigenen Geräten, können Sie beispielsweise eineWhitelistzulässiger iOS-Geräte nach IMEI (InternationalMobile Equipment Identity), Seriennummer oder UDID (Unique DeviceIdentifier) erstellen. Auf dieseWeise können nur die von Ihnen bestimmten Geräte registriert werden und dieRegistrierung durch mitarbeitereigene Geräten kann blockiert werden.

Außerdem können Sie bei Diebstahl oder Verlust eines Gerätes dessen IMEI, Seriennummer oder UDID einer Blacklisthinzufügen. Das Hinzufügen eines Geräts zur Blacklist hebt die Registrierung des Geräts auf, entfernt alleMDM-Profileund verhindert die Registrierung des Geräts, bis Sie es von der Blacklist entfernen.

Hinweis: Sie können Windows Phone-Geräte nicht nach IMEI oder UDID per Blacklist sperren, das diese Funktionderzeit nicht von Microsoft unterstützt wird.

Hinzufügen eines auf der Blacklist oder Whitelist erfassten Gerätes

Sie können ein auf der Blacklist (Gerät wurde zur Registrierung beschränkt) oder Whitelist erfasstes (Gerät wurde zurRegistrierung freigegeben) Gerät basierend auf verschiedenen Geräteattributen hinzufügen.

1. Navigieren Sie zu Geräte > Lebenszyklus > Registrierungsstatus und wählen SieHinzufügen.

2. Wählen Sie aus der Dropdown-ListeHinzufügen entweder Geräte auf Blacklist oder Geräte auf Whitelist und füllenSie die zutreffenden Felder aus.


Geräte aufBlacklist/Whitelist

Geben Sie in die Liste die zulässigen (Whitelist) und nicht zulässigen (Blacklist) Geräte (nachGeräteattributauswahl) ein – bis zu 30 Geräte auf einmal.

Geräteattribut Wählen Sie den entsprechenden Geräteattributtyp. Wählen Sie die IMEI, Seriennummeroder UDID.

Organisationsgruppe Bestätigen Sie, welcher Organisationsgruppe die Geräte der Blacklist bzw. der Whitelisthinzugefügt wurden.

Besitz Sie können nur Gerätemit dem ausgewählten Besitztyp zulassen

Dieses Feld ist nur beim „Whitelisting“ von Geräten verfügbar.

ZusätzlicheInformationen

Ermöglicht Ihnen dieWahl einer Plattform zur Anwendung Ihrer Blacklist bzw. Whitelist.

Plattform Sie können alle Geräte einer gesamten Plattform auf die Blacklist bzw. Whitelist setzen.

Dieses Feld ist nur dann verfügbar, wenn das Kontrollkästchen Zusätzliche Informationenaktiviert wurde.

3. Wählen Sie Speichern, um die Einstellungen zu bestätigen.


129



Zusätzliche RegistrierungsrestriktionenDie Anwendung zusätzlicher Registrierungsrestriktionen gilt für alle Bereitstellungen, unabhängig von derVerzeichnisdienstintegration, BYOD-Unterstützung, Geräteregistrierung oder anderen Konfigurationen. Sie könnenzusätzliche Registrierungsrestriktionen einrichten, um festzulegen, wer sich registrieren kann und welche Gerätetypenzulässig sind.

Außerdem können Sie die maximale Anzahl der registrierten Geräte pro Organisationsgruppe festlegen. Nach derKonfiguration von Registrierungsrestriktionen können Sie diese Restriktionen sogar als Richtlinie speichern.

Überlegungen zur Registrierung – Zusätzliche Restriktionen

Durch Registrierungsrestriktionen können Sie die Registrierungsparameter anpassen, die auf Ihre Bereitstellungangewendet werden sollen. Beachten Sie bei der Wahl der zu verwendenden Registrierungsrestriktionen folgendePunkte.

Punkt 1 – Werden bestimmte Plattformen oder BS-Versionen oder wird eine maximale Anzahl zulässiger Gerätebeschränkt?

l Möchten Sie nur Unterstützung für Geräte bieten, die über integrierte Enterprise-Management-Funktionen verfügen(z.B. Samsung SAFE/Knox, HTC Sense, LG Enterprise und Motorola-Geräte)? Falls dies der Fall ist, können Sie alsRegistrierungsrestriktion verlangen, dass Android-Geräte eine unterstützte Enterprise-Version aufweisen müssen.

l Möchten Sie die maximale Anzahl der Geräte, die ein Anwender registrieren darf, beschränken? Falls dies der Fall ist,können Sie die jeweilige Anzahl festlegen und darüber hinaus eine Unterscheidung zwischen unternehmens- undmitarbeitereigenen Geräten vornehmen.

l Gibt es bestimmte Plattformen, die in Ihrer Bereitstellung nicht unterstützt werden? Falls dies der Fall ist, können Sieeine Liste von blockierten Geräteplattformen erstellen, bei denen eine Registrierung nicht möglich ist.

Ihre Organisation muss die Anzahl und Arten der Geräte, die IhreMitarbeiter besitzen, auswerten. Zudem muss sieermitteln, welche dieser Geräte für die Bereitstellung in Ihrer Arbeitsumgebung infrage kommen. Im Anschluss könnenSie diese Registrierungsrestriktionen als Richtlinie speichern.

Punkt 2: Soll die Registrierung auf eine festgelegte Liste von Unternehmensgeräten beschränkt werden?

Zusätzliche Registrierungsoptionen ermöglichen die Auswahl der Geräte, die die Endanwender registrieren dürfen. Sokönnen Sie die Registrierung von auf Blacklists erfassten Geräten verhindern oder die Registrierung nur auf Geräte aufWhitelists beschränken, was sich insbesondere für BYOD-Bereitstellungen als nützlich erweist. Sie können Geräte nachTyp, Plattform oder bestimmten Geräte-IDs und Seriennummern aufWhitelists erfassen. Weitere Informationen findenSie unter Hinzufügen eines auf der Blacklist oder Whitelist erfassten Gerätes auf Seite 129.

Punkt 3: Soll die Anzahl der pro Organisationsgruppe registrierten Geräte beschränkt werden?

Sie können die Anzahl der pro Organisationsgruppe (OG) registrierten Geräte limitieren. Das Festlegen eines derartigenLimits hilft Ihnen bei der Verwaltung Ihrer Bereitstellung, indem verhindert wird, dass die Anzahl gültiger Registrierungenüberschritten wird.

Konfigurieren von Registrierungsrestriktionseinstellungen

Bei der Integration von AirWatch in Verzeichnisdienste können Sie bestimmen, welche Anwender Geräte in IhrerUnternehmensbereitstellung registrieren können.


130



Sie können die Registrierung auf ausschließlich bekannte Anwender oder konfigurierte Gruppen beschränken. BekannteAnwender sind Anwender, die bereits in der AirWatch Konsole vorhanden sind. Konfigurierte Gruppen sind Anwender,die Verzeichnisdienstgruppen zugehörig sind, falls Sie eine Integration in Anwendergruppen durchführen möchten. Siekönnen auch die Anzahl der pro Organisationsgruppe registrierten Geräte limitieren und Restriktionen alswiederverwendbare Richtlinien speichern.

Um zu diesen Optionen zu gelangen, navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte undAnwender > Allgemein > Registrierung und wählen Sie die Registerkarte Restriktionen. Die Registerkarte „Restriktionen“ ermöglicht es Ihnen, Registrierungsrestriktionsrichtlinien nach Organisationsgruppen- und Anwendergruppenrollenanzupassen.

l Erstellen und weisen Sie vorhandene Registrierungsrestriktionsrichtlinien durch Richtlinieneinstellungen zu.

l Weisen Sie die Richtlinie im Bereich „Gruppenzuweisungseinstellungen“ einer Anwendergruppe zu.

l Setzen Sie Geräte nach Plattform, Betriebssystem, UDID, IMEI usw. auf Black- oder Whitelists.

Weitere Informationen zur Integration Ihrer Verzeichnisdienstgruppen in AirWatch finden Sie im VMware AirWatchDirectory Services Guide, verfügbar über AirWatch Resources.


Registrierungauf bekannteAnwenderbeschränken

Aktivieren Sie diese Option, um die Registrierung auf bereits vorhandene Anwender in der AirWatchKonsole zu beschränken. Dies gilt für Verzeichnisanwender, die Sie der AirWatch Konsole manuell –einzeln oder per Batch-Import – hinzugefügt haben. Diese Option kann auch zur Registrierungssperrenach der ersten Bereitstellung verwendet werden, wobei sich jeder registrieren konnte. Dadurchermöglichen Sie die selektive Registrierung von Anwendern.

Deaktivieren Sie diese Option, um allen Verzeichnisanwendern, die noch nicht in der Admin-Konsolevorhanden sind, zu ermöglichen, sich bei AirWatch zu registrieren. AirWatch Anwenderkonten werdenautomatisch während der Registrierung erstellt.

RegistrierungaufkonfigurierteGruppenbeschränken

Aktivieren Sie diese Option, um die Registrierung zu beschränken und nur Anwendern die Registrierungvon Geräten zu ermöglichen, die zu „Alle Gruppen“ oder „Ausgewählte Gruppen“ (falls Sie eineIntegration mit Anwendergruppen ausgeführt haben) gehören. Sie sollten diese Option nichtauswählen, wenn Sie noch keine Integration in Ihren Verzeichnisdienst-Anwendergruppen ausgeführthaben.

Deaktivieren Sie diese Option, um allen Verzeichnisanwendern zu erlauben, bei der Registrierung neueAirWatch Anwenderkonten zu erstellen. Außerdem können Sie die Option Enterprise Wipe auf Gerätender nicht zu den konfigurierten Gruppen gehörenden Anwender ausführenwählen, um automatischalle Unternehmensinformationen von sämtlichen Geräten zu entfernen, die zu keiner Anwendergruppe(falls Alle Gruppen ausgewählt ist) oder zu einer bestimmten Anwendergruppe (falls AusgewählteGruppen ausgewählt ist) gehören.

Eine Option zur Integration in Anwendergruppen besteht darin, eine Verzeichnisdienstgruppe „VonMDM zugelassen“ zu erstellen, diese in AirWatch zu importieren und dann vorhandeneVerzeichnisdienst-Anwendergruppen der Gruppe „Von MDM zugelassen“ hinzuzufügen, sobald sie fürAirWatch MDM berechtigt sind.


131




MaximumanregistriertenGeräten indieser OGund darunterfestlegen

Aktivieren und bearbeiten Sie die Funktion Gerätelimit eingeben, um die Anzahl der Geräte zubeschränken, die sich in der aktuellen Organisationsgruppe (OG) registrieren können.

Hinweis: Restriktionen gelten nicht für iOS-Geräte, die über das Geräteregistrierungsprogramm (DEP) von Appleregistriert sind, da die erforderlichen Geräteinformationen erst nach der Registrierung des Geräts erhalten werden.

Grenzwert für registrierte Geräte pro Organisationsgruppe

Sie können die Anzahl der pro Organisationsgruppe (OG) registrierten Geräte limitieren. Das Festlegen eines derartigenLimits hilft Ihnen bei der Verwaltung Ihrer Bereitstellung, indem verhindert wird, dass die Anzahl gültiger Registrierungenüberschritten wird.

Dieses Gerätelimit kann in jeder Art von OG (Global, Kunden, Partner) gesetzt werden. Sobald ein Limit in einer OGfestgelegt wurde, können Sie keine weiteren Limits im OG-Zweig festlegen. Sie können ein Limit für ein weiteres Gerätfestlegen, jedoch nur, wenn Sie dieses in einem separaten OG-Zweig festlegen.

Um ein Limit für ein registriertes Gerät in Ihrer aktuellen OG festzulegen, navigieren Sie zu Gruppen und Einstellungen >Alle Einstellungen > Geräte und Anwender > Allgemein > Registrierung. Wählen Sie anschließend die RegisterkarteRestriktionen und aktivieren Sie das Limit unter Legen Sie ein Maximum an registrierten Geräten in dieserOrganisationsgruppe und darunter fest.

Sollte diese Option nicht verfügbar sein, prüfen Sie in der übergeordneten OG (höher als die momentane OG) oder eineruntergeordneten OG (niedriger als die momentane OG). Aller Wahrscheinlichkeit nach wurde ober- oder unterhalb Ihreraktuellen OG bereits ein vorhandenes Limit festgelegt.


132



Erstellen einer Registrierungsbeschränkungsrichtlinie

Ihre Organisation muss die Anzahl und Arten der Geräte, die IhreMitarbeiter besitzen, auswerten. Zudem muss sieermitteln, welche dieser Geräte für die Bereitstellung in Ihrer Arbeitsumgebung infrage kommen. Im Anschluss könnenSie diese Registrierungsrestriktionen als Richtlinie speichern.

1. Navigieren Sie zu Geräte > Geräteeinstellungen > Geräte und Anwender > Allgemein > Registrierung.

2. Wählen Sie die Registerkarte Restriktionen und dann Richtlinie hinzufügen im Bereich Richtlinieneinstellungen.

3. Fügen Sie auf der Seite Registrierungseinschränkungsrichtlinie hinzufügen/bearbeiten eineRegistrierungsbeschränkungsrichtlinie hinzu.


Name derRegistrierungsrestriktionsrichtlinie

Geben Sie den Namen für Ihre Registrierungsrestriktionsrichtlinie ein.

Organisations-gruppe

Wählen Sie eine Organisationsgruppe aus dem Dropdown-Feld. Dies ist dieOG, auf die Ihre neue Registrierungsrestriktionsrichtlinie angewendet wird.

Richtlinientyp Wählen Sie den Typ der Registrierungsrestriktionsrichtlinie – entwederOrganisationsgruppenstandard für die ausgewählte Organisationsgruppeoder Anwendergruppenrichtlinie für bestimmte Anwendergruppen überGruppenzuweisungseinstellungen auf der Registerkarte Restriktionen.

ZulässigeBesitztypen

Wählen Sie, ob Geräte der Kategorien Unternehmen – Dediziert,Unternehmen – Gemeinschaftsgerät bzw.Mitarbeitereigen zugelassen oderverhindert werden sollen.

ZulässigeRegistrierungstypen

Wählen Sie, ob die Registrierung von Geräten über die AnwendungenMDM(AirWatch Agent) bzw. AirWatch Container (für iOS/Android) zugelassen oderverhindert werden sollen.

Gerätelimit pro Anwender Wählen SieUnbegrenzt, um es Anwendern zu ermöglichen, beliebig vieleGeräte zu registrieren.

Deaktivieren Sie dieses Kontrollkästchen, umWerte für den BereichGerätelimit pro Anwender einzugeben und so diemaximale Geräteanzahlpro Besitztyp zu definieren.

l Maximale Geräteanzahl proAnwender

l Maximale Anzahl anGemeinschaftsgeräten

l Maximale Anzahl angeschäftlichen Geräten

l Maximale Anzahl anmitarbeitereigenen Geräten


133




Zulässige Geräte-typen

Aktivieren Sie das Kontrollkästchen Registrierung auf bestimmtePlattformen, Modelle oder Betriebssysteme begrenzen, um weiteregerätespezifische Restriktionen hinzuzufügen.

Hinweis: Sie können Windows Phone-Geräte nicht nach IMEI oder UDIDper Blacklist sperren, das diese Funktion derzeit nicht von Microsoftunterstützt wird.

Restriktionsmodus aufGeräteebene

Dieses Feld wird nur bei Auswahl von Registrierung auf bestimmtePlattformen, Modelle oder Betriebssysteme begrenzen im Bereich ZulässigeGerätetypen angezeigt.

Bestimmen Sie, über welche Art von Gerätebeschränkungen Sie verfügensollten.

l Nur aufgeführte Gerätetypen zulassen (Whitelist) –Wählen Sie dieseOption, um explizit nur solche Geräte zuzulassen, die den von Ihneneingegebenen Parametern entsprechen, und alle anderen Geräte zublockieren.

l Aufgeführte Gerätetypen blockieren (Blacklist) –Wählen Sie dieseOption, um explizit solche Geräte zu blockieren, die den von Ihneneingegebenen Parametern entsprechen, und alle anderen Gerätezuzulassen.

Wählen Sie für beide Restriktionsmodi auf GeräteebeneGeräterestriktionhinzufügen, um Plattform,Modell, Hersteller (spezifisch für Android-Geräte), Betriebssystem bzw. Unternehmensversion auszuwählen. Siekönnen auch einen Gerätegrenzwert pro definiertem Geräterestriktionhinzufügen. Ebenso können mehrere Geräterestriktionen hinzugefügtwerden.

Sie können auch bestimmte Geräte anhand von IMEI, Seriennummer oderUDID blockieren. Navigieren Sie dazu zu Geräte > Lebenszyklus >Registrierungsstatus und wählen SieHinzufügen. Auf dieseWeise kann eineinzelnes Gerät effektiv blockiert und eine erneute Registrierung ohneAuswirkung auf Geräte anderer Anwender verhindert werden. Eine erneuteRegistrierung kann wahlweise auch verhindert werden, wenn ein EnterpriseWipe ausgeführt wird.

4. Wählen Sie Speichern, um Ihre Änderungen zu speichern, und navigieren Sie zurück zur SeiteGeräte und Anwender> Allgemein > Registrierung.

Bedenken hinsichtlich der Geräteregistrierung auf globaler Ebene

Es gibt verschiedene Gründe, warum die direkte Registrierung von Geräten bei der obersten Organisationsgruppe (OG),häufig als „global“ bezeichnet, nicht empfehlenswert ist. Zu diesen Gründen zählen dieMandantenfähigkeit, Vererbungund Funktionalität.


134



Mandantenfähigkeit

Sie können beliebig viele untergeordnete Organisationsgruppen erstellen und jede einzelne unabhängig von denanderen konfigurieren. Einstellungen, die Sie an einer untergeordneten OG vornehmen, werden nicht auf gleichgestellteOGs angewendet.

Vererbung

Änderungen an einer übergeordneten OGwerden auf untergeordnete OGs angewendet. Umgekehrt werden Änderungenan einer untergeordneten OG nicht auf übergeordnete oder gleichgestellte OGs angewendet.

Funktionalität

Bestimmte Einstellungen und Funktionen sind nur für Organisationsgruppen vom Typ „Kunde“ konfigurierbar. Hierzuzählen beispielsweiseWipe-Schutz, Telekommunikation und private Inhalte. Geräte, die zur globalen Ebene hinzugefügtwurden, werden von diesen Einstellungen ausgeschlossen.


Registrierung über AutoErmittlungAirWatch macht den Registrierungsprozess einfach, indem es ein AutoErmittlungs-System verwendet, um Geräte überdie E-Mail-Adressen der Anwender bei Umgebungen und Organisationsgruppen (OG) zu registrieren. AutoErmittlungkann auch verwendet werden, um Endanwendern die Authentifizierung beim Self Service-Portal (SSP)mit ihrer E-Mail-Adresse zu ermöglichen.

Hinweis: Um AutoErmittlung für On-Premise-Umgebungen zu aktivieren, müssen Sie sicherstellen, dass IhreUmgebung mit den AirWatch AutoErmittlungs-Servern kommunizieren kann.

Anmeldung zur Registrierung über AutoErmittlung

Der Server überprüft die Eindeutigkeit der E-Mail-Domäne und lässt nur zu, dass eine Domäne bei einerOrganisationsgruppe in einer Umgebung registriert wird. Registrieren Sie Ihre Domäne aufgrund dieser serverseitigenPrüfung in der Organisationsgruppe der höchsten Ebene.

AutoErmittlung wird für neue SaaS-Kunden (Software as a Service) automatisch konfiguriert.

Konfigurieren der AutoErmittlungs-Registrierung von einer übergeordneten Organisationsgruppe

Die AutoErmittlungs-Registrierung vereinfacht den Registrierungsprozess, indem es Geräte unter Verwendung der E-Mail-Adressen der Endanwender bei den beabsichtigten Umgebungen und Organisationsgruppen (OG) registriert.

Konfigurieren Sie eine AutoErmittlungs-Registrierung von einer übergeordneten OG, indem Sie folgende Schrittedurchführen.

1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Administrator > Clouddienste und legen Sieden AutoErmittlungsmodus aufAirWatch ID fest. Geben Sie Ihre AirWatch ID für AutoErmittlung ein und wählenSie Identität festlegen.


135



a. Falls nötig, wählen Sie Zum Registrieren hier klicken, um eine AirWatch ID für die AutoErmittlung zu beziehen.Sobald Sie sich eingetragen und Identität festlegen gewählt haben, wird das HMAC-Token automatischaufgefüllt. Klicken Sie aufVerbindung testen, um sicherzustellen, dass die Verbindung funktioniert.

2. Verknüpfen Sie diese Domäne, indem SieOrganisationsgruppe auswählen und IhreGeschäftliche E-Mail-Domänesowie Bestätigungs-E-Mail-Adresse eingeben. Die Verknüpfung der Organisationsgruppemit dem Endanwenderdient als Startpunkt für mögliche Eingabeaufforderungen bezüglich der Gruppen-ID.

3. Navigieren Sie zu Ihrem E-Mail-Postfach und bestätigen Sie Ihre E-Mail-Adresse, indem Sie auf den Bestätigungslink inder Bestätigungs-E-Mail klicken.

4. Fügen Sie je nach Bedarf weitereGeschäftliche E-Mail-Domänen hinzu, z.B. „us.beispiel.de“ oder „eu.beispiel.de“.

l Mehrere E-Mail-Domänen können in derselben Organisationsgruppenebene hinzugefügt werden.

l Erwägen Sie das Hinzufügen alternativer E-Mail-Domänen innerhalb anderer Organisationsgruppen, umMandantenfähigkeit zu erleichtern.

5. Klicken Sie auf Speichern, um die Einrichtung von AutoErmittlung abzuschließen.

Weisen Sie Endanwender, die ihre Geräte selbst registrieren, an, die Option auszuwählen, bei der sie zurAuthentifizierung ihre E-Mail-Adresse verwenden, statt eine Umgebungs-URL und Gruppen-ID einzugeben. WennAnwender Geräte über eine E-Mail-Adresse registrieren, werden diese bei derselben Gruppe registriert, die unterRegistrierungsorganisationsgruppe des dazugehörigen AirWatch Anwenderkontos aufgelistet ist.

Konfigurieren der AutoErmittlungs-Registrierung von einer untergeordneten Organisationsgruppe

Sie können die AutoErmittlungs-Registrierung von einer untergeordneten Organisationsgruppe unterhalb derRegistrierungsorganisationsgruppe konfigurieren. Um eine AutoErmittlungs-Registrierung auf diese Art und Weise zuaktivieren, müssen Sie Anwender dazu auffordern, bei der Registrierung eine Gruppen-ID auswählen.

1. Navigieren Sie zu Geräte > Geräteeinstellungen > Allgemein > Registrierung und wählen Sie die RegisterkarteGruppierung.

2. Wählen Sie Anwender auffordern, Gruppen-ID auszuwählen.



136



Kapitel 8:Gemeinschaftsgeräte

Übersicht über Gemeinschaftsgeräte 138

Festlegen der Gemeinschaftsgerätehierarchie 139

137



Übersicht über GemeinschaftsgeräteJedem Mitarbeiter in gewissen Organisationen ein Gerät zu geben, kann sich zum einem kostenintensiven Unterfangenentwickeln. Mit AirWatch MDM können SieMobilgeräte zur Nutzung durch mehrere Endanwender auf zweiWeiseneinsetzen: mit einer einzigen festen Konfiguration für alle Endanwender oder mit einer eindeutigenKonfigurationseinstellung für jeden einzelnen Anwender.

Die Funktionalität für Gemeinschaftsgeräte bzw. für Mehranwendergeräte gewährleistet Sicherheit und Authentifizierungfür jeden einzelnen Endanwender und gestattet, falls zutreffend, nur bestimmten Endanwendern den Zugriff aufvertrauliche Informationen.

Bei der Verteilung von Gemeinschaftsgeräten müssen Sie die Geräte zuerst mit entsprechendenAnwendungseinstellungen und -restriktionen versehen, bevor Sie sie für Endanwender bereitstellen. Anschließendkönnen sich Endanwender mit AirWatch ganz einfach bei Gemeinschaftsgeräten anmelden (und abmelden), indem sielediglich ihre dedizierten Anmeldedaten eingeben oder sich über Verzeichnisdienste anmelden. Inwieweit Endanwenderauf Unternehmensressourcen, wie Inhalte, Funktionen und Anwendungen, zugreifen können, hängt von ihrer Rolle ab.Auf Basis dieser Rolle werden beim Anmelden des Endanwenders automatisch die Funktionen und Ressourcenkonfiguriert, die ihm dann nach der Anmeldung durch den Anwender zur Verfügung stehen.

Die An- und Abmeldefunktionen sind innerhalb von AirWatch Agent eigenständig. Diese Eigenständigkeit gewährleistet,dass der Registrierungsstatus des Gerätes niemals verändert wird und das Gerät, unabhängig von seiner Verwendung,über die AirWatch Konsole verwaltet werden kann.

Gemeinschaftsgeräte – Funktionalität

Es gibt grundlegende Funktionen im Bereich der Funktionalität und Sicherheit von Geräten, die aufmehrere Anwenderzutreffen müssen. Diese Funktionen bieten überzeugende Gründe, Gemeinschaftsgeräte als kosteneffiziente Lösung zurbestmöglichen Ausschöpfung von Unternehmensmobilität zu erwägen.

l Funktionalität

o Individualisieren Sie das Anwendererlebnis des einzelnen Endanwenders, ohne Unternehmenseinstellungen zuverlieren.

o Bei der Anmeldung auf einem Gerät wird das Gerät automatisch je nach Endanwenderrolle undOrganisationsgruppemit bestimmten Unternehmenszugriffsrechten sowie Einstellungen, Anwendungen undInhalten konfiguriert.

o Profitieren Sie von dem in AirWatch Agent integrierten, eigenständigen An- und Abmeldeverfahren.

o Nachdem sich der Endanwender vom Gerät abmeldet, werden die Konfigurationseinstellungen für diese Sitzungentfernt. Das Gerät steht dann dem nächsten Anwender zur Anmeldung bereit.

l Sicherheit

o Versehen Sie Gerätemit Einstellungen für Gemeinschaftsgeräte, bevor Sie diese den Endanwendern zurVerfügung stellen.

o Endanwender können sich ohne Auswirkungen auf die Geräteregistrierung bei AirWatch auf Geräten an- undabmelden.

o Endanwender können sich bei der Anmeldung über Verzeichnisdienste oder dedizierte AirWatch Anmeldedatenauthentifizieren.

o Verwalten Sie ein Gerät sogar, wenn es nicht angemeldet ist.

Kapitel 8: Gemeinschaftsgeräte

138



Plattformen, die Gemeinschaftsgeräte unterstützen

Folgende Geräte unterstützen Funktionalität für Gemeinschafts-/ Mehranwendergeräte.

l Android 2.3+

l iOS-Gerätemit AirWatch Agent v4.2+

l macOS-Gerätemit AirWatch Agent V2.1+

Festlegen der GemeinschaftsgerätehierarchieWenn Sie sich zum ersten Mal bei AirWatch anmelden, wird dort nur eine Organisationsgruppe (OG) angezeigt, die mitdem Namen Ihrer Organisation für Sie erstellt wurde. Bei dieser Gruppe handelt es sich um Ihre OG auf oberster Ebene.Unter dieser obersten Gruppe können Sie Untergruppen erstellen und so die hierarchische Struktur Ihres Unternehmensausbauen.

1. Navigieren Sie zu Gruppen und Einstellungen > Gruppen > Organisationsgruppen > Organisationsgruppendetails.Hier wird eine OG angezeigt, die für Ihr Unternehmen steht.

2. Überprüfen Sie die Genauigkeit der angezeigten Organisationsgruppendetails, und nehmen Sie mithilfe derverfügbaren Einstellungen die gewünschten Änderungen vor. Falls Sie Änderungen vornehmen, klicken Sie danachauf Speichern.

3. Wählen SieUntergeordnete Organisationsgruppe hinzufügen.

4. Geben Sie für die OG auf der nächsthöchsten Ebene unter Ihrer Organisationsgruppe der höchsten Ebene folgendeInformationen ein.


Name Geben Sie den Namen für die untergeordnete Organisationsgruppe (OG) ein, der angezeigt werdensoll. Verwenden Sie nur alphanumerische Zeichen. Verwenden Sie keine Sonderzeichen.

Gruppen-ID Geben Sie eine Bezeichnung für die OG ein, die Endanwender bei der Geräteanmeldung angebenmüssen. Gruppen-IDs werden während der Registrierung von Gruppengeräten in derentsprechenden OG verwendet.

Stellen Sie sicher, dass alle Anwender, die Geräte gemeinsam nutzen, dieGruppen-ID erhalten, dadiesemöglicherweise zur Geräteanmeldung erforderlich ist (je nach Konfiguration derGemeinschaftsgeräte).

Typ Wählen Sie den vorkonfigurierten OG-Typ, der der Kategorie der untergeordneten OG entspricht.

Land Wählen Sie das Land der OG.

Sprachversion Wählen Sie die Sprachenklassifikation für das ausgewählte Land.

Branche desKunden

Diese Einstellung ist nur verfügbar, wenn für Typ „Kunde“ gewählt ist. Wählen Sie eine Option ausder Liste mit Kundenbranchen.


Kapitel 8: Gemeinschaftsgeräte

139



Kapitel 9:Gerätezuweisungen

Übersicht über Gerätezuweisungen 141

Aktivieren von Gerätezuweisungen 141

Festlegen von Regeln zur Gerätezuweisung oder eines Netzwerkbereichs 142

140



Übersicht über GerätezuweisungenMithilfe von Gerätezuweisungen ist es möglich, Geräte auf Basis des Netzwerk-IP-Adressbereichs (Internet Protocol) oderanwenderdefinierten Attributen über Organisationsgruppen (OG) und Anwendernamen hinweg zu verschieben. Diesbietet eine Alternative zur Organisation von Inhalten (z.B. Profile, Anwendungen, Richtlinien und Produkte) nachAnwendergruppen.

Statt Gerätemanuell zwischen OGs durch Administratoren verschieben zu lassen, können Sie die Konsole sokonfigurieren, dass Geräte automatisch verschoben werden, wenn sie eine Verbindung zu einem von Ihnen festgelegtenWLAN-Netzwerk herstellen. Zudem können Sie Geräte basierend auf von Ihnen definierten Regeln mitanwenderdefinierten Attributen verschieben.

Ein typischer Anwendungsfall für Gerätezuweisungen sind Anwender, die regelmäßig ihre Rollen wechseln und spezielleProfile und Anwendungen für jede Rolle erfordern.

Sie müssen sich zwischen der Implementierung von Anwendergruppen und Gerätezuweisungen zur Verschiebung vonGeräten entscheiden, da AirWatch nicht beide Funktionen auf demselben Gerät unterstützt.

Aktivieren von GerätezuweisungenBevor Sie Geräte zwischen Organisationsgruppen (OG) und Anwendernamen basierend auf Internet Protocol (IP) odereinem anwenderdefiniertem Attribut verschieben können, müssen Sie die Funktion „Gerätezuweisungen“ aktivieren.Gerätezuweisungen können nur auf einer untergeordneten Organisationsgruppe konfiguriert werden.

1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Anwender > Allgemein >Erweiterungen und wählen Sie, je nach Bedarf, Überschreiben oder Erben für die aktuelle Einstellung.

2. Wählen Sie Aktiviert in der Einstellung Regeln zur Gerätezuweisung.

3. Wählen Sie den Verwaltungstyp.

l Organisationsgruppe nach IP-Bereich – Verschiebt das Gerät in eine festgelegte OG, wenn das Gerät einenWLAN-Netzwerkbereich verlässt und sich in einen anderen begibt. Durch diese Verschiebung wird dieautomatische Übertragung von Profilen, Anwendungen, Richtlinien und Produkten per Push ausgelöst.

l Organisationsgruppe nach anwenderdefiniertem Attribut – Verschiebt das Gerät auf Basis anwenderdefinierterAttribute in eine Organisationsgruppe Anwenderdefinierte Attribute ermöglichen es Administratoren, bestimmte

Kapitel 9: Gerätezuweisungen

141



Werte eines verwalteten Geräts zu extrahieren und an die AirWatch Konsole zurückzugeben. Sie können denAttributwert zur späteren Verwendung bei Produktbereitstellungen oder Gerätenachschlagewerten auch anGeräte zuweisen.

o Wenn Organisationsgruppe nach anwenderdefiniertem Attribut aktiviert ist, wird der Link Hier klicken, um eine aufanwenderdefinierten Attributen basierende Zuweisungsregel zu erstellen angezeigt. Wenn Sie auf diesen Link klicken, wird eineweitere Registerkarte in Ihrem Browser geöffnet. Auf dieser Registerkarte wird die Seite Zuweisungsregeln für anwenderdefinierteAttribute angezeigt, auf der Sie Ihre eigenen attributbasierten Zuweisungsregeln erstellen können. Weitere Informationen findenSie unter Zuweisen von Organisationsgruppen durch anwenderdefinierte Attribute auf Seite 231.

l Anwendername nach IP-Bereich – Verlässt ein Gerät einen Netzwerkbereich und begibt sich in einen anderen,wird das Gerät nicht von einer OG in eine andere verschoben, sondern ändert automatisch denAnwendernamen. Durch die Änderung des Anwendernamens wird dieselbe Übertragung von Profilen,Anwendungen, Richtlinien und Produkten per Push ausgelöst wie bei einer OG. Diese Option steht Kunden mitbeschränkter Möglichkeit zur Erstellung von Organisationsgruppen zur Verfügung. Dadurch wird eine alternativeMethode zur Verwendung der Gerätezuweisungsfunktion geboten.

Wichtig:Möchten Sie den Zuweisungstyp einer bestehenden Gerätezuweisungskonfiguration ändern, navigierenSie zu Gruppen und Einstellungen > Gruppen > Organisationsgruppen > Netzwerkbereiche und löschen Sie allevorhandenen zugewiesenen Bereiche.

4. Wählen Sie dieGerätebesitzoptionen. Nur Gerätemit den ausgewählten Besitztypen werden zugewiesen.

l Unternehmen – Dediziert

l Unternehmen – Gemeinschaftsgerät

l Mitarbeitereigen

l Undefiniert

5. Wählen Sie Speichern, sobald alle Optionen festgelegt sind.

Festlegen von Regeln zur Gerätezuweisung oder eines NetzwerkbereichsWenn sich Ihr Gerät mit WLAN verbindet, authentifiziert und installiert das Gerät automatisch Profile, Anwendungen,Richtlinien und Produktbereitstellungen, die speziell der OG Ihrer Wahl entsprechen.

Sie können auch Regeln basierend auf anwenderdefinierten Attributen festlegen. Wenn sich ein Gerät mit einemzugewiesenen Attribut registriert, weist die Regel das Gerät der konfigurierten Organisationsgruppe zu. Das Gerät kannauch für den Fall zugewiesen werden, dass das Gerät eine Produktbereitstellung mit einem qualifiziertenanwenderdefinierten Attribut empfängt.

Nachdem Sie die Gerätezuweisungen aktiviert haben, können Sie ein Gerät durch eine anwenderdefinierte Attributregelverschieben oder einen Netzwerkbereich festlegen. Weitere Informationen finden Sie unter Zuweisen vonOrganisationsgruppen durch anwenderdefinierte Attribute auf Seite 231.

Gerätezuweisungen können nur auf einer untergeordneten Organisationsgruppe konfiguriert werden.

1. Wählen Sie den Link Zum Erstellen eines Netzwerkbereichs hier klicken oder navigieren Sie zu Gruppen undEinstellungen > Gruppen > Organisationsgruppen > Netzwerkbereiche.


142



2. Um einen einzelnen IP-Bereich (Internet Protocol) hinzuzufügen, wählen SieNetzwerkbereich hinzufügen.Bearbeiten Sie auf der SeiteNetzwerkbereich hinzufügen/bearbeiten folgende Einstellungen und klicken dann aufSpeichern:

l Start-IP-Adresse – Geben Sie das obere Ende des Netzwerkbereichs ein.

l End-IP-Adresse – Geben Sie das untere Ende des Netzwerkbereichs ein.

l Organisationsgruppenname – Geben Sie den Namen der OG ein, zu der das Gerät wechselt, wenn derNetzwerkbereich eingegeben wird. Diese Einstellung wird nur angezeigt, wenn derNetzwerkzuweisungstyp auf„Organisationsgruppe nach IP-Bereich“ festgelegt ist.

l Anwendername – Geben Sie den Anwendernamen ein, auf den die Geräte eingetragen werden, wenn derNetzwerkbereich eingegeben wird. Diese Einstellung erscheint nur, wenn derNetzwerkzuweisungstyp auf„Anwendername nach IP-Bereich“ festgelegt ist.

l Beschreibung – Geben Sie nach Wunsch eine aussagekräftige Beschreibung des Netzwerkbereichs ein.

l Bei sich überlappenden Netzwerkbereichen wird folgendeMeldung angezeigt: „Fehler beim Speichern.Netzwerkbereich bereits vorhanden.“

3. Falls Sie mehrere Netzwerkbereiche hinzufügen müssen, können Sie wahlweise Batch-Importwählen, um Zeit zusparen. Klicken Sie auf der Seite „Batch-Import“ auf den Link Vorlage für diesen Batch-Typ herunterladen, um dieBatch-Importvorlage anzuzeigen und herunterzuladen.

Füllen Sie diese Vorlage aus, importieren Sie sie auf der Seite Batch-Import und wählen Sie Speichern aus.


143



Kapitel 10:Profile und Ressourcen

Übersicht über Geräteprofile 145

Hinzufügen von allgemeinen Profileinstellungen 145

Listenansicht für Geräteprofile 147

Bearbeiten von Geräteprofilen 151

Übersicht über Ressourcen 152

Gerätezuweisung anzeigen 173

Übersicht über Konformitätsprofile 174

Geofences 175

Zeitpläne 177

144



Übersicht über GeräteprofileGeräte werden hauptsächlich mit Geräteprofilen verwaltet. Sie stellen Einstellungen dar, die Ihnen zusammen mitKonformitätsrichtlinien dabei helfen, Unternehmensregeln und -verfahren durchzusetzen.

Erstellen Sie Profile für alle Plattformtypen und konfigurieren Sie dann eine Nutzlast, die aus den von Ihnen für jedeseinzelne Profil konfigurierten, individuellen Einstellungen für die einzelnen Plattformtypen besteht.

Eine Schritt-für-Schritt-Anleitung zur Konfiguration einer Nutzlast für eine bestimmte Plattform finden Sie im jeweiligenLeitfaden zur entsprechenden Plattform, verfügbar unter Zugreifen auf andere Dokumente auf Seite 241.

Zum Erstellen eines Profils bestimmen Sie zuerst die Einstellungen unter Allgemein, gefolgt von denNutzlasteinstellungen.

l Die Einstellungen unter Allgemein bestimmen, wie das Profil eingesetzt wird und wer es erhält.

l Bei derNutzlast für das Profil handelt es sich um die eigentliche Einschränkung und andere Einstellungen, die demGerät bei der Installation des Profils zugewiesen werden.

Hinzufügen von allgemeinen ProfileinstellungenDie folgenden Profileinstellungen und -optionen gelten für die meisten Plattformen und können als allgemeine Referenzverwendet werden. Einige Plattformen bieten jedoch möglicherweise andere Auswahlmöglichkeiten. Die folgendenSchritte und Einstellungen gelten für alle Profile:

1. Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > HINZUFÜGEN. Sie können aus den folgendenOptionen wählen, um ein neues Profil hinzuzufügen.

l Profil hinzufügen – Fügen Sie ein neues Geräteprofil einmalig hinzu.

l Profil hochladen – Laden Sie ein signiertes Profil auf Ihr Gerät hoch.

l Batch-Import – Importieren Sie neue Geräteprofile massenweise über eine CSV-Datei (Comma-Separated Values).Geben Sie einen eindeutigen Namen und eine Beschreibung ein, um mehrere Profile auf einmal zu gruppierenund zu organisieren.

2. Wählen Sie Profil hinzufügen.

3. Wählen Sie die entsprechende Plattform für das bereitzustellende Profil aus. Die Nutzlasteinstellungen variieren jenach ausgewählter Plattform.

4. Vervollständigen Sie die Registerkarte Allgemein, indem Sie folgende Einstellungen bearbeiten:


Name Name des Profils, der in der AirWatch Konsole angezeigt werden soll.

Version Schreibgeschütztes Feld, das die aktuelle Version des Profils gemäß der Schaltfläche Versionhinzufügenmeldet.

Beschreibung Eine kurze Beschreibung des Profils, die dessen Zweck angibt.

Kapitel 10: Profile und Ressourcen

145




Bereitstellung Bestimmt, ob das Profil beim Aufheben der Registrierung automatisch entfernt wird (giltnicht für Android for Work-Profile).

l Verwaltet – Das Profil wird entfernt.

l Manuell – Das Profil bleibt installiert, bis es vom Endanwender entfernt wird.

Zuweisungstyp Legt fest, wie das Profil für die Geräte eingesetzt wird.

l Automatisch – Das Profil wird für alle Geräte automatisch bereitgestellt.

l Optional – Der Endanwender kann das Profil wahlweise über das Self-Service Portal(SSP) installieren. Das Profil kann aber auch für einzelne Geräte nach Ermessen desAdministrators bereitgestellt werden.

Endanwender können auch Profile von Webanwendungen über App Cataloginstallieren, indem sie eine Nutzlast für einen Web Clip oder ein Lesezeichen verwenden,sofern diese Nutzlast so konfiguriert wird, dass sie in App Catalog angezeigt wird.

l Interaktiv – (Gilt nicht für iOS oder Android for Work) Dies ist ein eindeutigerProfiltyp, der vom Endanwender über das Self-Service Portal installiert wird. Wenn dasProfil installiert ist, interagieren diese speziellen Profiltypen mit externen Systemen, umDaten zu generieren, die an das Gerät gesendet werden sollen. Diese Option ist nurverfügbar, sofern sie unter Gruppen und Einstellungen > Alle Einstellungen > Geräteund Anwender > Erweiterungen > Profiloptionen aktiviert wurde.

l Konformität – Das Profil wird durch die Compliance Engine auf das Gerät angewendet,wenn der Anwender keine Korrekturmaßnahme bezüglich der Konformität seinesGeräts vornimmt. Weitere Informationen finden Sie unter Übersicht überKonformitätsprofile auf Seite 174.

Entfernung zulassen l Immer – Der Endanwender kann das Profil jederzeit manuell entfernen.

l Bei Autorisierung – Der Endanwender kann das Profil mit Autorisierung desAdministrators entfernen. Durch die Auswahl dieser Option wird ein Textfeld für einKonto-Kennwort hinzugefügt.

l Nie – Der Endanwender kann das Profil nicht vom Gerät entfernen.

Verwaltet von Die Organisationsgruppemit administrativem Zugriff auf das Profil.

ZugewieseneGruppen

Die Gruppe, der das Geräteprofil hinzugefügt werden soll. Diese Einstellung beinhaltet eineOption zum Erstellen einer neuen Smartgruppe, die mit Angaben desMindestbetriebssystems, der Gerätemodelle, Besitzkategorien, Organisationsgruppen etc.konfiguriert werden kann. Weitere Informationen finden Sie unter Übersicht überZuweisungsgruppen auf Seite 73.

Obwohl „Plattform“ ein Kriterium in einer Smartgruppe ist, hat die im Geräteprofil oder inder Konformitätsrichtlinie konfigurierte Plattform immer Vorrang vor der Plattform derSmartgruppe. Wird beispielsweise ein Geräteprofil für die iOS-Plattform erstellt, wird diesesProfil nur an iOS-Geräte zugewiesen, auch wenn die Smartgruppe Android-Geräte enthält.


146




Ausschlüsse Wird Ja ausgewählt, wird das Feld Ausgeschlossene Gruppen angezeigt, womit Sie Gruppenauswählen können, die Sie von der Zuweisung dieses Geräteprofils ausschließen möchten.Details finden Sie unter Ausschließen von Smartgruppen aus Profilen und Richtlinien aufSeite 82.

Gerätezuweisunganzeigen

Nachdem Sie im Textfeld Zugewiesene Gruppen eine Auswahl getroffen haben, können Siediese Schaltfläche wählen, um eine Listenvorschau von allen Geräten anzuzeigen, denendieses Profil zugewiesen wird. Dabei werden die Smartgruppenzuweisungen und -ausschlüsse berücksichtigt.

ZusätzlicheZuweisungskriterien

Durch diese Kontrollkästchen werden weitere Restriktionen für das Profil aktiviert.

l Nur auf Geräten innerhalb der ausgewählten Bereiche installieren – Geben Sie einebeliebige Adresse in der Welt und einen Radius (in Kilometern oder Meilen) ein, um eineEingrenzung der Profilinstallation vorzunehmen. Weitere Informationen finden Sieunter Geofences auf Seite 175.

l Planung aktivieren und nur in ausgewählten Zeiträumen installieren – Legen Sie miteinem konfigurierten Zeitplan fest, welche Geräte in welchem Zeitraum das Profilerhalten sollen. Wird diese Option gewählt, wird das erforderliche Feld ZugewieseneZeitpläne angezeigt. Weitere Informationen finden Sie unter Zeitpläne auf Seite 177.

Entfernungsdatum Das Datum, an dem das Profil vom Gerät entfernt wird. Dabei muss es sich um ein in derZukunft liegendes Datum im Format DD.MM.YYYY handeln.

5. Konfigurieren Sie eineNutzlast für die Geräteplattform.

Eine Schritt-für-Schrittanleitung zur Konfiguration einerNutzlast für eine bestimmte Plattform finden Sie imjeweiligen Leitfaden zur entsprechenden Plattform, verfügbar unter Zugreifen auf andere Dokumente auf Seite 241.


Listenansicht für GeräteprofileNachdem Sie Ihre Profile erstellt und zugewiesen haben, benötigen Sie eineMethode, um diese Einstellungen auf einmalund remote von einer einzigen Quelle zu verwalten. Die SeiteGeräte > Profile und Ressourcen > Listenansicht bietetIhnen dieMöglichkeit, Zielprofile zentral zu organisieren und für dieseMaßnahmen zu ergreifen.


147



Sie können maßgeschneiderte Listen an Geräteprofilen erstellen, basierend auf Kriterien, die Sie unter Verwendung vonFilter, Layout und Spaltensortierung festgelegt haben. Diese Listen können Sie ebenfalls in eine CSV-Datei zur Ansicht inExcel exportieren, wo Sie den Status des Geräteprofils einsehen können.


Filter Zeigen Sie nur die gewünschten Profile durch Nutzung folgender Filter an.

l Status – Filtern Sie Geräte zur Ansicht von Geräten mit dem Status „Aktiv“, „Inaktiv“ und„Alle“.

l Plattform – Filtern Sie Geräte nach 13 verschiedenen Plattformen oder allen Plattformen.

l Smartgruppe – Filtern Sie Geräte, indem Sie eine Smartgruppe aus dem Dropdown-Menüauswählen.

Layout Ermöglicht Ihnen, das Spaltenlayout der Auflistung anzupassen.

l Übersicht – Prüfen Sie die Listenansichtmit den Standardspalten und Anzeigeeinstellungen.

l Anwenderdefiniert –Wählen Sie nur die gewünschten Spalten in der Listenansicht aus. Siehaben auch dieMöglichkeit, ausgewählte Spalten auf alle Administratoren in und unterhalbder momentanen Organisationsgruppe anzuwenden.

Exportieren Speichern Sie eine CSV-Datei (Comma-Separated Values) der gesamten Listenansicht, die dannin Excel eingesehen und analysiert werden kann. Falls Sie für die Listensicht einen Filterverwenden, spiegelt die exportierte Auflistung die herausgefilterten Resultate wider.


148




Spaltensortierung Klicken Sie auf die Spaltenüberschrift, um die Sortierung der Liste umzuschalten.

Profildetails In den Ansichten Übersicht und Anwenderdefiniert in den Profildetails weist jedes Profil einSymbol auf, das den Nutzlasttyp darstellt.

– Einzelnutzlasttypen weisen ein eindeutiges Symbol für den jeweiligen Nutzlasttyp auf.

– Profile mit mehreren Nutzlasten desselben Typs weisen oben rechts auf dem Symbolein Nummern-Badge auf.

– Profile mit mehreren Nutzlasten unterschiedlicher Typen weisen ein generischesSymbol mit einem Nummern-Badge auf.

Installationsstatus Diese Spalte zeigt den Status der Installation eines Profils in Form von drei Symbolindikatorenmit je einem Hypertext-Nummernlink. Dieser Link führt Sie zur SeiteGeräte anzeigen, welche diebetroffenen Geräte der ausgewählten Kategorie auflistet.

l Installiert ( ) – Dieser Indikator zeigt die Anzahl der Geräte an, denen das Profil

zugewiesen und auf denen das Profil erfolgreich installiert wurde.

l Nicht installiert ( ) – Dieser Indikator zeigt die Anzahl der Geräte an, denen das Profil

zugewiesen, aber auf denen das Profil nicht installiert wurde.

l Zugewiesen ( ) – Dieser Indikator zeigt die Gesamtzahl der zugewiesenen Profile an, ganzgleich, ob sie installiert wurden oder nicht.

Optionsfeld undBearbeitungssymbol

Auf der Seite Listenansicht sehen Sie links neben dem Profil ein Optionsfeld zur Auswahl sowiedas Symbol Bearbeiten. Durch Auswahl des Symbols Bearbeiten ( ) haben Sie dieMöglichkeit,grundlegende Änderungen an der Profilkonfiguration vorzunehmen. Durch Auswahl eineseinzelnen Optionsfelds werden über der Auflistung die Schaltflächen Geräte, XML undWeitereAktionen angezeigt:

l Geräte – Sehen Sie Geräte ein, die für das Profil zur Verfügung stehen, ob das Profil installiertist und den Grund, falls dieses nicht installiert ist. Prüfen Sie, welche Geräte sich in IhrerFlotte befinden, und übertragen Sie nach Bedarf Profile manuell per Push.

l </> XML – Sehen Sie den XML-Code ein, den AirWatch nach der Profilerstellung generiert.Prüfen und speichern Sie den XML-Code zur erneuten Nutzung oder Änderung außerhalbder AirWatch Konsole.

l Weitere Aktionen

o Kopieren – Kopieren Sie ein vorhandenes Profil und optimieren Sie die Konfigurationder Kopie, um mit den Geräteprofilen zu beginnen.

o Aktivieren/Deaktivieren – Aktivieren und deaktivieren Sie ein Geräteprofil beliebig.

o Löschen – Verwalten Sie Ihre Profilliste, indem Sie nicht erforderliche Profile entfernen.


149



Cursor-Popups bei Geräteprofilen

Jedes Geräteprofil in der Spalte Profildetails ist oben rechts mit einem QuickInfo-Symbol versehen. Wenn ein Anwender(mit einem mobilen Touchscreengerät) auf dieses Symbol tippt oder (mittels eines PC oder Mac)mit einem Mauszeigerüber dieses Symbol fährt, wird eine Cursor-Popup-Meldung angezeigt. Dieses Popup-Meldung enthält Profildaten wieProfilname, Plattform und der inbegriffeneNutzlasttyp.

Ein ähnliches QuickInfo-Symbol finden Sie in der Spalte Zugewiesene Gruppen in der Ansicht Profilliste. Cursor-Popupszeigen Zugewiesene Smartgruppen und Einsatztyp an.

Bestätigen der Geräteprofilinstallation

Im seltenen Fall, dass ein Profil auf den vorgesehenen Geräten nicht installiert werden kann, können Sie auf der SeiteGeräte anzeigen den Grund dafür sehen.

Navigieren Sie zu Geräte > Profile und Ressourcen > Profile und wählen Sie die Nummernlinks rechts neben der SpalteInstallationsstatus, um die SeiteGeräte anzeigen zu öffnen.

Falls Ihr Profil die gewünschten Geräte nicht erreicht, ziehen Sie zur Problembehandlung folgende Artikel derVMware AirWatch Wissensdatenbank zurate: https://support.air-watch.com/articles/115001662268.

Anzeigen der Spalte „Befehlsstatus“ von Geräten

Die über die SeiteGeräte anzeigen einsehbare Spalte Befehlsstatus enthält folgende, dem ausgewählten Gerätentsprechende Installationsstatus.


150




l Fehler –Wird als Link angezeigt, der bei Auswahl den jeweiligen, für das Gerät geltenden Fehlercode anzeigt.

l Enthalten –Wird angezeigt, wenn das Gerät in einem Zertifikats-Batch-Vorgang enthalten ist, der momentanausgeführt wird.

l Nicht zutreffend –Wird angezeigt, wenn ein Gerät nicht von einer Profilzuweisung betroffen ist, aber dennoch Teilder Smartgruppe oder der Bereitstellung ist, zum Beispiel bei einem nicht verwalteten Profiltyp.

l Nicht jetzt –Wird angezeigt, wenn das Gerät gesperrt oder anderweitig besetzt ist.

l Ausstehend –Wird angezeigt, wenn sich die Installation in der Warteschlange befindet und voraussichtlichplanmäßig abgeschlossen wird.

l Gelungen –Wird angezeigt, wenn das Profil erfolgreich installiert wurde.

Hinweis: Die Spalte Befehlsstatus funktioniert nur bei iOS-Geräten.

Sie haben auch dieMöglichkeit, eine CSV-Datei (Comma-Separated Values) der gesamten SeiteGeräte anzeigen zuerstellen, die dann mit Excel gelesen wird. Wählen Sie dazu das Symbol Exportieren ( ). Außerdem können Siebestimmen, welche Spalten auf der SeiteGeräte anzeigen angezeigt werden sollen. Wählen Sie dazu das SymbolVerfügbare Spalten ( ).

Geräteprofile – Schreibgeschützte Ansicht

Geräteprofile, die in einer Organisationsgruppe (OG) erstellt wurden und von einer Organisationsgruppe verwaltetwerden, sind schreibgeschützt, wenn angemeldete Administratoren mit eingeschränkten Berechtigungen daraufzugreifen. Der schreibgeschützte Status wird im Profilfenster durch einen besonderen, zusätzlichen Kommentarangegeben: „Dieses Profil wird in einer höheren Organisationsgruppe verwaltet und kann nicht bearbeitet werden.“

Dieser Schreibschutz gilt auch für Smartgruppenzuweisungen. Wird ein Profil in einer übergeordneten OG erstellt undeiner Smartgruppe zugewiesen, kann ein Administrator einer niedrigeren OG die Smartgruppe, der das Profil zugewiesenwurde, zwar sehen, aber nicht bearbeiten.

Ein derartiges Verhalten erhält eine hierarchiebasierte Sicherheit aufrecht und fördert gleichzeitig die Kommunikationunter den Administratoren.

Bearbeiten von GeräteprofilenMit der AirWatch Konsole können Sie ein Geräteprofil bearbeiten, das bereits auf Geräten Ihrer Flotte installiert wurde. Esgibt zwei Arten von Änderungen, die Sie an jedem beliebigen Geräteprofil vornehmen können.

l Allgemein – Allgemeine Profileinstellungen dienen der Verwaltung der Profilverteilung: wie das Profil zugewiesen,von welcher Organisationsgruppe es verwaltet, welchen Smartgruppen es zugewiesen und von welchenSmartgruppen es ausgeschlossen wird.

l Nutzlast – Nutzlastprofileinstellungen betreffen das Gerät selbst: Passcode-Voraussetzung, Gerätebeschränkungen,wie Kameranutzung oder Bildschirmaufnahme, WLAN-Konfigurationen, VPN usw.

Da der Betrieb des Geräts selbst nicht beeinflusst wird, können Änderungen unter Allgemein üblicherweise ohne erneuteVeröffentlichung des Profils vorgenommen werden. Die Speicherung solcher Änderungen hat zur Folge, dass das Profilnur auf solche Geräte übertragen wird, die dem Profil noch nicht zugewiesen wurden.


151



Nutzlaständerungen müssen jedoch immer für alle Geräte – neue sowie bereits bestehende – neu veröffentlicht werden,da der Betrieb des Geräts selbst betroffen ist.

Bearbeiten allgemeiner Geräteprofileinstellungen

Zu allgemeinen Profileinstellungen zählen Änderungen, mit der die Verteilung verwaltet wird. Die Verteilung gibt an, wiedas Profil zugewiesen, von welcher Organisationsgruppe es verwaltet, welchen Smartgruppen es zugewiesen und vonwelchen Smartgruppen es ausgeschlossen wird.

1. Navigieren Sie zu Geräte > Profile und Ressourcen > Profile und wählen Sie das Symbol Bearbeiten ( ) imAktionsmenü des Profils, das Sie bearbeiten möchten.

Die einzigen Profile, die bearbeitet werden können, werden von einer Organisationsgruppe oder einernächsthöheren untergeordneten Organisationsgruppe verwaltet.

2. Nehmen Sie in der Kategorie Allgemein die gewünschten Änderungen vor.

3. Nachdem Sie die allgemeinen Änderungen bearbeitet haben, wählen Sie Speichern und veröffentlichen, um dasProfil auf alle von Ihnen hinzugefügten oder entfernten neuen Geräte anzuwenden. Geräte, denen ein Profil bereitszugewiesen wurde, erhalten das neu veröffentlichte Profil erneut. Die SeiteGerätezuweisung anzeigenwirdangezeigt, mit der Sie die Liste aller aktuell zugewiesenen Geräte bestätigen können.


Hinzufügen von allgemeinen Profileinstellungen auf Seite 145

Gerätezuweisung anzeigen auf Seite 173

Bearbeiten der Geräteprofileinstellungen für Nutzlasten

Nutzlastprofileinstellungen schließen Änderungen ein, die das Gerät selbst betreffen: Passcode-Voraussetzung,Gerätebeschränkungen, wie Kameranutzung oder Bildschirmaufnahme, WLAN-Konfigurationen, VPN usw.

Die Schaltfläche Version hinzufügen ermöglicht es Ihnen, eine Inkrementversion des Profils zu erstellen, in derEinstellungen bei derNutzlast geändert werden können.

1. Aktivieren Sie die Bearbeitung derNutzlast, die sich auf den Betrieb des Geräts auswirkt, indem Sie auf dieSchaltfläche Version hinzufügen klicken.

Wenn Sie auf die Schaltfläche Version hinzufügen klicken und Ihre Änderungen speichern, wird das Geräteprofil füralle Geräte neu veröffentlicht, denen es zugewiesen ist, einschließlich der Geräte, die bereits über das Profil verfügen.Eine Schritt-für-Schritt-Anleitung, wie Sie eine bestimmteNutzlast konfigurieren, finden Sie im Leitfaden zurentsprechenden Plattform, verfügbar unter Zugreifen auf andere Dokumente auf Seite 241.

2. Nachdem Sie dieNutzlaständerungen bearbeitet haben, wählen Sie Speichern und veröffentlichen, um das Profilauf alle zugewiesenen Geräte anzuwenden. Die SeiteGerätezuweisung anzeigenwird angezeigt, mit der Sie die Listealler aktuell zugewiesenen Geräte bestätigen können.

Übersicht über RessourcenRessourcen vereinfachen die Bereitstellung von WLAN-, VPN- und Exchange-Nutzlasten für AirWatch-Bereitstellungen, diemehrere Plattformen wie iOS, Android und Windows unterstützen.


152



Erstellen Sie eine Ressource für beliebige Nutzlasten und definieren Sie die allgemeinen Einstellungen, die auf jedeGeräteplattform angewendet werden sollen. Sie können dann wahlweise plattformspezifische Einstellungenkonfigurieren, die nur für diese Geräte gelten.

Ressourcen werden separat von Geräteprofilen definiert, verwaltet und bereitgestellt. Stellen Sie Ressourcen zusammenmit Geräteprofilen bereit, um eine tiefgehende und umfassende Geräteverwaltung für alle unterstützten Plattformen inIhrer Bereitstellung zu ermöglichen.

Sie müssen WLAN-, VPN- oder Exchange-Einstellungen nicht über Ressourcen bereitstellen. Wenn Sie dies dennoch tunsollten, können Sie für jede Plattform nach wie vor separate Geräteprofile für diese Nutzlasten erstellen. Wenn absehbarist, dass dieWLAN-, VPN- oder Exchange-Einstellungen plattformübergreifend identisch oder ähnlich sind, sollten Sieeventuell Ressourcen bereitstellen. Erstellen Sie dann wie gewohnt weitere Geräteprofile, um weitere Funktionen für jedePlattform zu verwalten.

Ressourcenlistenansicht

Durch die Ressourcenlistenansicht können Sie Ressourcen hinzufügen, (nach „Aktiv“, „Inaktiv“ oder „Alle“) filtern,anzeigen, bearbeiten und löschen.

Hinzufügen einer Ressource

Beim Hinzufügen einer Ressource über mehrere Geräte hinweg müssen Sie vorher zunächst festlegen, welche Art vonRessource Sie benötigen, z.B. Exchange (E-Mail), VPN oderWLAN.


153



Ressourcenlistenansicht

Mithilfe der Ressourcenlistenansicht können Sie eine wachsende Sammlung an Geräteressourcen verwalten. Diesumfasst Tätigkeiten wie das Anzeigen, Löschen und Bearbeiten einzelner Ressourcenkonfigurationen.

Hinzufügen einer Ressource

Sie können eine Ressource hinzufügen, die Ihrer Multi-Plattform-Geräteflotte mit denselben Exchange-, WLAN- und VPN-Einstellungen bereitgestellt werden soll.

Navigieren Sie zu Geräte > Profile und Ressourcen > Ressourcen und wählen Sie Ressourcen hinzufügen. ZumHinzufügen einer Ressourcemüssen Sie eine der folgenden Optionen auswählen.

l Exchange – Konfigurieren Sie die E-Mail-Einstellungen, um die Verbindung mit Ihrem Exchange-E-Mail-Serveraufrechtzuerhalten.

l WLAN – Konfigurieren Sie dieWLAN-Verbindungseinstellungen, um die Verbindung mit dem Netzwerkaufrechtzuerhalten.

l VPN – Konfigurieren Sie die VPN-Einstellungen (Virtual Private Network), um eine sichere Verbindungaufrechtzuerhalten.

Für jede Ressourcemüssen drei verschiedene Konfigurationsschritte durchgeführt werden. Erstellen Sie eineGeräteressource, indem Sie Ressourcendetails, die jeweiligen Plattformen und die Zuweisung der Ressource zu denGeräten festlegen.

l Die Ressourcendetails enthalten den Ressourcennamen, Beschreibung, Serverabhängigkeiten und andere kritischeEinstellungen, durch die die Funktionsweise der Ressource festgelegt wird.

l Mit der Option Plattformenwird definiert, auf welchen Geräten die Ressource ausgeführt wird.

l Mit der Option Zuweisungwird festgelegt, wie die Ressource bereitgestellt wird, einschließlich Organisations-,Anwender- und Smartgruppen.


154



Verwalten von Ressourcen

Sobald Sie über eine Sammlung von Ressourcen verfügen, können Sie mühelos über Geräte > Profile und Ressourcen >Ressourcen verwalten und diese filtern, anzeigen, bearbeiten und löschen.

l Filtern Sie die Ressourcenlistenansicht, um aktive, inaktive oder alle Ressourcen anzuzeigen.

l Zeigen Sie die unterschiedlichen Plattformen an, die Ihre Ressource enthält, indem Sie auf die Hyperlinknummer inder Spalte Plattformen klicken.

o Öffnen Sie Erweiterte Einstellungen der Ressource, indem Sie auf den Hyperlinknamen der Plattform klicken.

o Öffnen Sie die SeiteGeräte anzeigen, auf der die Liste der für die Ressource zugewiesenen Geräte angezeigtwerden. Klicken Sie hierzu auf die Hyperlinknummern in der Spalte Installiert/zugewiesen auf der Seite„Plattformen“.

o Um den XML-Code anzuzeigen und zu exportieren und ein Zertifikat hochzuladen, klicken Sie auf den HyperlinkAnzeigen in der Spalte „XML“ auf der Seite „Plattformen“.

l Sie können eine Ressource bearbeiten, indem Sie auf den Link für den Namen der Ressource klicken, durch den derAbschnitt Ressourcendetails auf der Seite Ressource bearbeiten angezeigt wird.

o Bearbeiten Sie die Ressourcendetails, indem Sie links neben dem Ressourceneintrag auf das Stiftsymbol zurBearbeitung ( ) klicken. Durch Klicken auf die SchaltflächeWeiter können Sie mit den Änderungen an denanderen Abschnitten auf der Seite Ressource bearbeiten fortfahren.

l Bearbeiten Sie die Zuweisung der Ressource, indem Sie links neben dem Ressourceneintrag das Optionsfeldaktivieren und dann auf die Schaltfläche Zuweisung bearbeiten klicken.

l Löschen Sie eine Ressource, indem Sie links neben dem Ressourceneintrag das Optionsfeld aktivieren und auf dieSchaltfläche Löschen klicken. Durch das Löschen einer Ressource wird diese deaktiviert, bis sie von allen Gerätenentfernt wird.


155



Hinzufügen einer Exchange-Ressource

Durch die Funktionen zum sicheren Senden und Empfangen von E-Mail-Nachrichten können Sie eine Ressource zurBereitstellung von Geräten hinzufügen.

1. Fügen Sie eine Exchange-Ressource hinzu, indem Sie folgende Einstellungen bearbeiten:


Ressourcendetails

Ressourcenname Name des Profils, der in der AirWatch Konsole angezeigt werden soll.


Verbindungsdaten

E-Mail-Client Wählen Sie den E-Mail-Client aus, den Sie bei der Ressource verwenden möchten.

Exchange-Host Geben Sie den Exchange-Host für das E-Mail-Konto ein, der in der Ressourceeinbezogen werden soll.

SSL verwenden Aktivieren Sie für diesen E-Mail-Client SSL (Secure Socket Layer).

Erweitert

Domäne Geben Sie einen anwenderdefinierten Nachschlagewert für die E-Mail-Domäne ein.

Anwendername Geben Sie einen anwenderdefinierten Nachschlagewert für den E-Mail-Anwendernamen ein.

E-Mail-Adresse Geben Sie einen anwenderdefinierten Nachschlagewert für die E-Mail-Adresse ein.

Kennwort Geben Sie das Kennwort für das E-Mail-Konto ein. Aktivieren Sie das KontrollkästchenZeichen anzeigen, um das ungekürzte Kennwort anzuzeigen.

Identitätszertifikat Wählen Sie die Schaltfläche Zertifikat hinzufügen, um eine Zertifizierungsstelle in dasE-Mail-Konto hochzuladen und anzuhängen.

Vergangene Tage mitausstehenderMailsynchronisierung

Wählen Sie die Länge des E-Mail-Verlaufs aus, der synchronisiert werden soll. Siekönnen zwischen 3 Tage, 1 Woche, 2 Wochen, 1 Monat und Unbegrenztwählen.

Kalender synchronisieren Legen Sie fest, dass Ihr Gerätekalender mit dem Exchange-Kalender synchronisiertwerden soll. Diese Einstellung wird standardmäßig auf iOS- und macOS-Gerätenaktiviert.

Kontakte synchronisieren Legen Sie fest, dass Ihre Gerätekontaktemit den Exchange-Kontakten synchronisiertwerden sollen. Diese Einstellung wird standardmäßig auf iOS- und macOS-Gerätenaktiviert.

2. Klicken Sie aufWeiter, um mit der Auswahl von Plattformen fortzufahren. Wählen Sie zwischen den folgendenunterstützten Plattformen und wählen Sie entweder die Standardeinstellungen oder Erweiterte Einstellungen.

l Konfigurieren von erweiterten Einstellungen für iOS Exchange auf Seite 157

l Konfigurieren von erweiterten Einstellungen für macOS Exchange auf Seite 158

l Konfigurieren von erweiterten Einstellungen für Android Exchange auf Seite 158


156



l Konfigurieren von erweiterten Einstellungen für Windows Phone Exchange auf Seite 160

l Konfigurieren von erweiterten Einstellungen für Windows Desktop Exchange auf Seite 160

3. Klicken Sie aufWeiter, um mit dem Abschnitt Zuweisung fortzufahren.

4. Nehmen Sie die folgenden Einstellungen vor, um den Geräten die Ressource zuzuweisen.


Zuweisungstyp Bestimmt, wie die Ressource auf Geräten bereitgestellt wird.

l Automatisch – Die Ressource wird auf allen Geräten automatisch bereitgestellt.

l Optional – Der Endanwender kann die Ressource wahlweise über das Self-Service Portal(SSP) installieren. Die Ressource kann aber auch für einzelne Geräte nach Ermessen desAdministrators bereitgestellt werden.

Verwaltet von Die Organisationsgruppemit administrativem Zugriff auf die Ressource.

ZugewieseneGruppen

Die Gruppe, der die Geräteressource hinzugefügt werden soll. Diese Einstellung beinhaltet eineOption zum Erstellen einer neuen Smartgruppe, die mit Angaben desMindestbetriebssystems, der Gerätemodelle, Besitzkategorien, Organisationsgruppen etc.konfiguriert werden kann. Weitere Informationen finden Sie unter Übersicht überZuweisungsgruppen auf Seite 73.

Ausschlüsse Wird Ja ausgewählt, wird ein neues Textfeld Ausgeschlossene Gruppen angezeigt, womit SieGruppen auswählen können, die Sie von der Zuweisung dieser Ressource ausschließenmöchten. Details finden Sie unter Ausschließen von Smartgruppen aus Profilen und Richtlinienauf Seite 82.


Nachdem Sie im Textfeld Zugewiesene Gruppen eine Auswahl getroffen haben, wählen Siediese Schaltfläche aus, um zu sehen, welchen Geräten diese Ressource zugewiesen wird, wobeidie Smartgruppenzuweisungen und -ausschlüsse berücksichtigt werden.

Konfigurieren von erweiterten Einstellungen für iOS Exchange

Die erweiterten Exchange-Einstellungen für iOS bestehen aus S/MIME- und Sicherheitskonfigurationsoptionen, die dieanwenderspezifische, zertifikatsbasierte Verschlüsselung von E-Mails ermöglichen.


S/MIME verwenden Verwenden Sie SecureMultipurpose Internet Mail Extensions, einenVerschlüsselungs- und Signierungsstandard für öffentliche Schlüssel.

S/MIME-Zertifikat Diese Option ist nur verfügbar, wenn S/MIME verwenden aktiviert ist. Fügen Sie E-Mails ein Signaturzertifikat hinzu, indem Sie Zertifikat hinzufügen auswählen.

S/MIME-Verschlüsselungszertifikat

Diese Option ist nur verfügbar, wenn S/MIME verwenden aktiviert ist. Fügen Sie einZertifikat hinzu, das E-Mails verschlüsselt und digital signiert, indem Sie Zertifikathinzufügen auswählen.

Pro-Nachricht-Schalteraktivieren

Diese Option ist nur verfügbar, wenn S/MIME verwenden aktiviert ist. Bieten SieEndanwendern dieWahl, welche E-Mail-Nachrichten mit dem systemeigenen iOS-Mailclient (nur überwachte iOS 8+-Geräte) signiert und verschlüsselt werden sollen.


157




Einstellungen und Sicherheit

Verschiebung von Nachrichtenverhindern

Verhindert, dass E-Mails von einem Exchange-Postfach in ein anderes Postfach aufdem Gerät verschoben werden.

Verwendung in Drittanbieter-Apps verhindern

Verhindert, dass andere Apps über das Exchange-Postfach Nachrichten senden.

Synchronisierung jüngsterAdressen verhindern

Verhindert Kontaktempfehlungen beim Senden von E-Mails in Exchange.

Mail Drop verhindern Verhindert die Verwendung der Mail Drop-Funktion von Apple.

Konfigurieren von erweiterten Einstellungen für macOS Exchange

Aktivieren Sie IhremacOS-Geräte, um durch Konfiguration der erweiterten Einstellungen Exchange-E-Mails abzurufen.


Interner Exchange-Host Der Name des sicheren Servers für die Verwendung von EAS. Bei Auswahl vonSystemeigener Mailclientwerden diese Option und folgende Optionen angezeigt.

Port Geben Sie die Portnummer an, für die Kommunikation mit dem internen Exchange-Hostzugewiesen wurde.

Interner Serverpfad Der Speicherort des sicheren Servers für die Verwendung von EAS.

SSL für internenExchange Hostverwenden

Kommunikation mit dem internen Exchange Host durch Aktivierung von Secure SocketLayer (SSL).

Externer Exchange-Host Der Name des externen Servers für die Verwendung von EAS.

Port Geben Sie die Nummer des Ports an, für den Kommunikation mit dem externen Exchange-Host zugewiesen wurde.

Externer Serverpfad Der Speicherort des externen Servers für die Verwendung von EAS.

SSL für externenExchange Hostverwenden

Kommunikation mit dem externen Exchange Host durch Aktivierung von Secure SocketLayer (SSL).

Konfigurieren von erweiterten Einstellungen für Android Exchange

Die erweiterten Exchange-Einstellungen für Android bestehen aus Verlaufssynchronisierung, Restriktionen,Synchronisierungszeitplanung und S/MIME. Konfigurieren Sie diese Optionen zur Bereitstellung von E-Mails für IhreAndroid-Geräte.


Einstellungen

Vergangene Tage mitausstehenderKalendersynchronisierung

Wählen Sie die Anzahl der vergangenen Tage, für die die Synchronisierung imGerätekalender durchgeführt werden sollen.


158




Aufgabensynchronisierungzulassen

Aktivieren Sie diese Option, um die Aufgabensynchronisierung mit Gerätenzuzulassen.

Maximale Größe für E-Mail-Trunkierung (KB)

Geben Sie die Größe (in KB) an, über die E-Mail-Nachrichten trunkiert werden, wennSie mit den Geräten synchronisiert werden.

E-Mail-Signatur Geben Sie die E-Mail-Signatur ein, die in ausgehenden E-Mails angezeigt werden soll.

SSL-Fehler ignorieren Ermöglichen Sie, dass Geräte SSL-Fehler für Agent-Prozesse ignorieren.

Restriktionen

Anlagen zulassen Lassen Sie E-Mail-Anlagen zu.

Maximale Anlagengröße Geben Sie die maximale Anlagengröße in MB an.

E-Mail-Weiterleitung zulassen Ermöglichen Sie dieWeiterleitung von E-Mails.

HTML-Format zulassen Legen Sie fest, ob die mit dem Gerät synchronisierte E-Mail das HTML-Formataufweisen darf.

Wenn diese Einstellung deaktiviert ist, werden alle E-Mails zu Text konvertiert.

Screenshots deaktivieren Unterbinden Sie, dass Screenshots auf dem Gerät aufgenommen werden.

Synchronisierungsintervall Geben Sie die Anzahl der Minuten zwischen den Synchronisierungen ein.

Hauptbelastungstage für Synchronisierungszeitplan

l Planen Sie dieWochentagemit Hauptbelastung für die Synchronisierung sowieStartzeit und Endzeit für die Synchronisierung an den ausgewählten Tagen.

l Legen Sie die Frequenz des Synchronisierungszeitplans bei hoher Belastungsowie des Synchronisierungszeitplans bei geringer Belastung fest.

o Wenn Sie Automatischwählen, werden E-Mails bei jedem Updatesynchronisiert.

o Wenn SieManuell wählen, werden E-Mails nur bei Auswahl synchronisiert.

o Wenn Sie einen Zeitwert wählen, werden E-Mails nach einem festgelegtenZeitplan synchronisiert.

l Aktivieren Sie aufWunsch SSL verwenden, TLS verwenden und Standardkonto.


159




S/MIME-Einstellungen

Wählen Sie S/MIME verwenden. In dieser Ansicht können Sie ein S/MIME-Zertifikatauswählen, das Sie als Anwenderzertifikat der Anmeldedaten-Nutzlast zuordnen.

l S/MIME-Zertifikat –Wählen Sie das zu verwendende Zertifikat.

l Verschlüsselte S/MIME-Nachrichten verlangen – Verlangen Sie dieVerschlüsselung von S/MIME-Nachrichten .

l Signierte S/MIME-Nachrichten verlangen – Verlangen Sie die digitale Signierungaller S/MIME-Nachrichten.

Stellen Sie einenMigrationshost bereit, falls Sie zur Verschlüsselung S/MIME-Zertifikate verwenden.

Konfigurieren von erweiterten Einstellungen für Windows Phone Exchange

Erweiterte Exchange-Einstellungen für Windows Phone bestehen aus Synchronisierungsplan- undDatenschutzeinstellungen. Konfigurieren Sie diese Einstellungen zur sicheren Bereitstellung von Exchange-E-Mails für IhreGeräte.

Einstellungen Beschreibungen

Einstellungen

NächstesSynchronisierungsintervall(Minuten)

Geben Sie die Anzahl der Minuten zwischen den Synchronisierungen ein.

Diagnoseprotokollierung Wählen Sie die Art der Diagnoseprotokollierung aus, die durchgeführt werden soll.

Inhaltstyp

Datenschutz bei Sperreverlangen

Schützen Sie Daten, wenn ein Gerät mit einer PIN gesperrt ist.

Wenn das Gerät für die Verwendung einer PIN-Sperre konfiguriert ist, werden dieverschlüsselten Daten mit einem separaten Unternehmensschlüssel verschlüsselt. Wennein Anwender Zugriff auf die PIN-Sperre des Geräts erhält, werden die E-Mails und DatenIhrer Organisation durch einen separaten Schlüssel geschützt.

Geschützte Domänen Diese Option ist nur verfügbar, wenn Datenschutz bei Sperre verlangen aktiviert ist.Geben Sie die Nachschlagewerte der Exchange-Domänen ein, die geschützt werden sollen.

E-Mail-Synchronisierungzulassen

Ermöglichen Sie die Synchronisierung von E-Mails. Durch die Deaktivierung dieserEinstellung wird der Zugriff auf E-Mails über Exchange Active Sync blockiert.

Konfigurieren von erweiterten Einstellungen für Windows Desktop Exchange

Die erweiterte Exchange-Einstellungen für Windows Desktop bestehen aus Synchronisierungszeitplanung undDatenschutzeinstellungen. Konfigurieren Sie diese Einstellungen zur sicheren Bereitstellung von Exchange-E-Mails für IhreGeräte.


160




Einstellungen

NächstesSynchronisierungsintervall(Minuten)

Wählen Sie die Häufigkeit in Minuten, in der das Gerät mit dem EAS-Serversynchronisiert wird.

Diagnoseprotokollierung Protokollieren Sie Informationen für Problembehandlungszwecke.

Inhaltstyp

E-Mail-Synchronisierungzulassen

Ermöglichen Sie die Synchronisierung von E-Mail-Nachrichten.


161



Hinzufügen einer WLAN-Ressource

Durch die Funktionen zum Verbinden mit einem drahtlosen Netzwerk können Sie eine Ressource zur Bereitstellung vonGeräten hinzufügen, wodurch diese sicher Daten senden und empfangen können.

1. Fügen Sie eineWLAN-Ressource hinzu, indem Sie folgende Einstellungen bearbeiten:


Ressourcendetails



Verbindungsdaten

Service Set Identifier Geben Sie einen Bezeichner ein, der mit dem Namen (SSID) des gewünschten WLAN-Netzwerks verknüpft wird.

Verborgenes Netzwerk Aktivieren Sie diese Option, wenn das Netzwerk nicht für die Übermittlung geöffnet ist.

AutoVerknüpfung Option, um festzulegen, dass das Gerät automatisch mit dem Netzwerk verknüpftwerden soll.

Verschlüsselung Legen Sie anhand des Dropdown-Menüs fest, ob die über dieWLAN-Verbindungübertragenen Daten verschlüsselt sind.

Diese Option wird abhängig vom Sicherheitstyp angezeigt.

Kennwort Geben Sie das Kennwort für das E-Mail-Konto ein. Aktivieren Sie das KontrollkästchenZeichen anzeigen, um das ungekürzte Kennwort anzuzeigen.


l Konfigurieren von erweiterten Einstellungen für WLAN-Proxy auf Seite 163.

l Konfigurieren von erweiterten Einstellungen für macOS-WLAN auf Seite 163.

l Konfigurieren von erweiterten Einstellungen für Android-WLAN auf Seite 164.

l Konfigurieren von erweiterten Einstellungen für Windows-WLAN auf Seite 165.


4. Weisen Sie Geräten die Ressource zu, indem Sie die folgenden Einstellungen vornehmen.






162





ZugewieseneGruppen





Konfigurieren von erweiterten Einstellungen für WLAN-Proxy

Konfigurieren Sie die erweiterten WLAN-Einstellungen, um Geräte über ein Proxy mit AirWatch zu verbinden.


Proxytyp Wählen Sie zwischen Keiner,Manuell und Automatisch.

Proxy-URL Diese Option ist nur verfügbar, wenn Proxytyp aufAutomatisch gesetzt ist. Geben Siedie URL des WLAN-Proxys ein, mit dem das Gerät eine Verbindung herstellt.

Direkte Verbindung beiunerreichbarer PACzulassen

Diese Option ist nur verfügbar, wenn Proxytyp aufAutomatisch gesetzt ist. AktivierenSie diese Option, wenn Sie zulassen möchten, dass das Gerät in Zeiten, in denen dieProxykonfigurationsdatei nicht zugänglich ist, eine Verbindung herstellen soll.

Proxyserver Diese Option ist nur verfügbar, wenn Proxytyp aufManuell gesetzt ist. Geben Sie denNamen des Proxyservers ein, mit dem Ihre Geräte eine Verbindung herstellen.

Proxyserver Port Diese Option ist nur verfügbar, wenn Proxytyp aufManuell gesetzt ist. Schließen Sie diePortnummer des Proxyservers ein, durch den das Gerät eine Verbindung zumProxyserver herstellt.

Proxyanwendername Diese Option ist nur verfügbar, wenn Proxytyp aufManuell gesetzt ist. Geben Sie einenvom Proxyserver erkannten Anwendernamen ein.

Proxykennwort Diese Option ist nur verfügbar, wenn Proxytyp aufManuell gesetzt ist. Geben Sie dasdem Anwendernamen entsprechende Kennwort ein und bestätigen Sie dieses.

Konfigurieren von erweiterten Einstellungen für macOS-WLAN

Konfigurieren Sie die erweiterten WLAN-Einstellungen, um Ihre Geräte über ein Proxy mit AirWatch zu verbinden.


163




Profil Wählen Sie das Ziel der Proxyeinstellungskonfiguration aus.

Gerät – Beschränken Sie die Proxyeinstellungen auf das jeweiligemacOS-Gerät

Anwender –Wenden Sie die Proxyeinstellungen für den Anwender auf den Anwenderdes macOS-Geräts an.

Wenden Sie die Proxyeinstellungen auf beide Ziele an, indem Sie beide Kontrollkästchenaktivieren.

Proxy

Proxytyp Wählen Sie zwischen Keiner,Manuell und Automatisch.

Proxy-URL Diese Option ist nur verfügbar, wenn Proxytyp aufAutomatisch gesetzt ist. Geben Siedie URL des WLAN-Proxys ein, mit dem das Gerät eine Verbindung herstellt.

Direkte Verbindung beiunerreichbarer PACzulassen

Diese Option ist nur verfügbar, wenn Proxytyp aufAutomatisch gesetzt ist. AktivierenSie diese Option, wenn Sie zulassen möchten, dass das Gerät in Zeiten, in denen dieProxykonfigurationsdatei nicht zugänglich ist, eine Verbindung herstellen soll.

Proxyserver Diese Option ist nur verfügbar, wenn Proxytyp aufManuell gesetzt ist. Geben Sie denNamen des Proxyservers ein, mit dem Ihre Geräte eine Verbindung herstellen.

Proxyserver Port Diese Option ist nur verfügbar, wenn Proxytyp aufManuell gesetzt ist. Schließen Sie diePortnummer des Proxyservers ein, durch den das Gerät eine Verbindung zumProxyserver herstellt.

Proxyanwendername Diese Option ist nur verfügbar, wenn Proxytyp aufManuell gesetzt ist. Geben Sie einenvom Proxyserver erkannten Anwendernamen ein.

Proxykennwort Diese Option ist nur verfügbar, wenn Proxytyp aufManuell gesetzt ist. Geben Sie dasdem Anwendernamen entsprechende Kennwort ein und bestätigen Sie dieses.

Konfigurieren von erweiterten Einstellungen für Android-WLAN

Die erweiterten WLAN-Einstellungen für Android bestehen aus Fusion- und Proxyeinstellungen. Mithilfe dieserEinstellungen können Sie Drahtloskonfigurationen für Hochfrequenz-, spektraleMasken- und Proxyservereinstellungen.


Fusion

Fusion-Einstellungeneinbeziehen

Zeigen Sie die Haupteinstellungen für die Fusion-Funktion an.

Fusion 802.11dfestlegen/802.11daktivieren

Verwenden Sie für den Betrieb in weiteren regulatorischen Domänen dieDrahtlosspezifikation 802.11d.

Ländercodefestlegen/Ländercode

Legen Sie den Ländercode zur Verwendung in den 802.11d-Spezifikationen fest.

RF-Band festlegen Zeigen Sie alle Optionen für Hochfrequenzspezifikationen an, einschließlich der 2,4-GHz-und 5-GHz-Kanalmasken.


164




2,4 GHz festlegen/2,4 GHzaktivieren

Verringern Sie das 2,4-GHz-Drahtlosfrequenzband.

2,4-GHz-Kanalmaske Verringern Sie Störungen benachbarter Kanäle, indem Sie einen Kanal oder einespektraleMaske im Bereich der 2,4-GHz Frequenz anwenden.

5 GHz festlegen/5 GHzaktivieren

Verringern Sie das 5-GHz-Drahtlosfrequenzband.

5-GHz-Kanalmaske Verringern Sie Störungen benachbarter Kanäle, indem Sie einen Kanal oder einespektraleMaske im Bereich der 5-GHz Frequenz anwenden.

Proxy

Manuellen Proxy aktivieren Zeigen Sie die Proxyservereinstellungen an.

Proxyserver Geben Sie den Domänennamen des Proxys ein.

Proxyserver Port Geben Sie die Portnummer ein, die vom Proxyserver verwendet werden soll.

Ausschlussliste Geben Sie Hostnamen ein, die nicht über den Proxy geleitet werden. Verwenden Sie einSternchen als Platzhalter für alle Domänen. Beispiel: „*.air-watch.com“.

Konfigurieren von erweiterten Einstellungen für Windows-WLAN

Konfigurieren Sie die erweiterten WLAN-Einstellungen, um IhreWindows-Geräte (Desktop und Phone) über ein Proxy mitAirWatch zu verbinden.


Proxy Aktivieren Sie die Verwendung eines Proxys, um IhreWindows-Gerätemit AirWatch zu verbinden.

URL Diese Option ist nur verfügbar, wenn Proxy aktiviert ist. Geben Sie die URL des WLAN-Proxys ein, mit demdas Gerät eine Verbindung herstellt.

Port Diese Option ist nur verfügbar, wenn Proxy aktiviert ist. Schließen Sie die Portnummer des Proxyserversein, durch den das Gerät eine Verbindung zum Proxyserver herstellt.


165



Hinzufügen einer VPN-Ressource

Sie können eine Ressource für die Bereitstellung eines virtuellen privaten Netzwerks (VPN) hinzufügen. Über ein VPNkönnen Anwender in öffentlichen Netzwerken Daten senden und empfangen, als ob sie direkt mit einem privatenNetzwerk verbunden wären.

1. Fügen Sie eine VPN-Ressource hinzu, indem Sie folgende Einstellungen bearbeiten:


Ressourcendetails



Verbindungsdaten

Verbindungstyp Wählen Sie die Art der sicheren Verbindung aus der Dropdown-Liste aus.

Server Geben Sie die Server-URL ein.


l Konfigurieren von erweiterten Einstellungen für iOS-VPN auf Seite 167

l Konfigurieren von erweiterten Einstellungen für Android-VPN auf Seite 169

l Konfigurieren von erweiterten Einstellungen für das Windows Phone-VPN auf Seite 169


4. Weisen Sie Geräten die Ressource zu, indem Sie die folgenden Einstellungen vornehmen.






ZugewieseneGruppen



166







Konfigurieren von erweiterten Einstellungen für iOS-VPN

Die erweiterten VPN-Einstellungen für iOS bestehen aus Verbindungs- und Authentifizierungseinstellungen sowie Proxy-und Anbieterkonfigurationen. Aktivieren Sie bei Bedarf diese Einstellungen, um VPN für iOS zu konfigurieren.

Einstellungen Beschreibung

Verbindungsdaten

Konto Geben Sie den Namen des VPN-Kontos ein.

Verbindung bei Leerlaufabbrechen (Min.)

Ermöglichen Sie es dem VPN, nach einer bestimmten Zeitdauer eine automatischeTrennung durchzuführen. Die Unterstützung für diesen Wert hängt vom VPN-Anbieterab.

Gesamten Datenverkehrsenden

Wählen Sie diese Option, um den gesamten Datenverkehr über das angegebeneNetzwerk zu senden.

Pro-App-VPN-Regeln Wählen Sie diese Option, um Pro-App-VPN-Regeln zu aktivieren und zu konfigurieren.

Automatisch verbinden Wählen Sie diese Option, um es dem VPN zu gestatten, automatisch eine Verbindung mitausgewählten Safari-Domänen herzustellen. Diese Option wird angezeigt, wenn dasKontrollkästchen Pro-App-VPN-Regeln aktiviert ist.

Anbietertyp Wählen Sie den Pro-App-VPN-Anbietertyp aus. Legen Sie fest, wie der Datenverkehrgetunnelt wird, entweder über eine Anwendungsebene oder über eine IP-Ebene. WählenSie hierfür zwischen „AppProxy“ und „PacketTunnel“. Diese Option wird angezeigt, wenndas Kontrollkästchen Pro-App-VPN-Regeln aktiviert ist.

Safari-Domänen Geben Sie jede Domäne ein, mit der das Pro-App-VPN automatisch eine Verbindungherstellen soll. Diese Domänen stellen interneWebsites dar, die eine automatischeVerbindung mit dem VPN auslösen. Diese Option wird angezeigt, wenn dasKontrollkästchen Pro-App-VPN-Regeln aktiviert ist.

Authentifizierung

Anwenderauthentifizierung Authentifizieren Sie Endanwender, indem Sie entweder ein Zertifikat hochladen oder einKennwort für den Zugriff auf das VPN erfordern.

Gruppenname Geben Sie den AirWatch Gruppennamen ein.

Kennwort Diese Option ist nur verfügbar, wenn Anwenderauthentifizierung auf „Kennwort“ festgelegt ist. Geben Sie das Kennwort für den AirWatch Gruppennamen ein.


167



Einstellungen Beschreibung

Identitätszertifikat Diese Einstellung ist nur verfügbar, wenn Anwenderauthentifizierung auf „Zertifikat“ festgelegt ist. Wählen Sie Zertifikat hinzufügen aus, um entweder eine Zertifikatsdatei zubenennen und hochzuladen oder eine vorhandene Zertifizierungsstelle anhand einerZertifikatsvorlage auszuwählen.

VPN On-Demand aktivieren Diese Einstellung ist nur verfügbar, wenn Anwenderauthentifizierung auf „Zertifikat“ festgelegt ist. Aktivieren Sie VPNOn-Demand, um automatisch VPN-Verbindungenanhand von Zertifikaten herzustellen.

Neue On-Demand-Schlüsselverwenden

Diese Einstellung ist nur verfügbar, wenn Anwenderauthentifizierung auf „Zertifikat“ festgelegt ist. Aktivieren Sie diese Option, um eine VPN-Verbindung zu aktivieren, wennEndanwender auf eine der angegebenen Domänen zugreifen.

Domäne oder Hostabstimmen

Diese Einstellung ist nur verfügbar, wenn Anwenderauthentifizierung auf „Zertifikat“ festgelegt ist. Geben Sie den Namen einer Domäne oder eines Hosts ein, die bzw. derbeim Zugriff durch einen Endanwender die Aktivierung einer VPN-Verbindung auslöst.

Bedarfsgesteuerte Aktion Diese Einstellung ist nur verfügbar, wenn Anwenderauthentifizierung auf „Zertifikat“ festgelegt ist. Wählen Sie die domänenspezifische bedarfsgesteuerte Aktion aus, dieausgeführt wird, wenn Endanwender eine VPN-Verbindung aktivieren. Wählen Siezwischen „Immer herstellen“, „Nie herstellen“ und „Bei Bedarf herstellen“.

Proxy

Proxy Wählen Sie zwischen Keiner,Manuell und Automatisch.

URL für dieAutokonfiguration desProxyservers

Diese Option ist nur verfügbar, wenn Proxy aufAutomatisch gesetzt ist. Geben Sie dieURL des WLAN-Proxys ein, mit dem das Gerät eine Verbindung herstellt.

Server Diese Option ist nur verfügbar, wenn Proxy aufManuell gesetzt ist. Geben Sie denNamen des Proxyservers ein, mit dem Ihre Geräte eine Verbindung herstellen.

Port Diese Option ist nur verfügbar, wenn Proxy aufManuell gesetzt ist. Schließen Sie diePortnummer des Proxyservers ein, durch den das Gerät eine Verbindung zumProxyserver herstellt.

Anwendername Diese Option ist nur verfügbar, wenn Proxy aufManuell gesetzt ist. Geben Sie einen vomProxyserver erkannten Anwendernamen ein.

Kennwort Diese Option ist nur verfügbar, wenn Proxy aufManuell gesetzt ist. Geben Sie das demAnwendernamen entsprechende Kennwort ein und bestätigen Sie dieses.

Anbieterkonfigurationen

Anbieterschlüssel Erstellen Sie anhand des Konfigurationswörterbuchs für Anbieter anwenderdefinierteSchlüssel.

Schlüssel Geben Sie den spezifischen Schlüssel ein, der vom Anbieter bereitgestellt wurde.

Wert Geben Sie den VPN-Wert für jeden Schlüssel ein.


168



Konfigurieren von erweiterten Einstellungen für Android-VPN

Die erweiterten VPN-Einstellungen für Android bestehen aus bedarfsgesteuerter Authentifizierung und VPN, die Sie zurErstellung eines VPN für Android-Geräte konfigurieren müssen.


Authentifizierung

Identitätszertifikat Geben Sie die zur Authentifizierung der Verbindung verwendeten Zertifikatsanmeldedaten ein,indem Sie Zertifikat hinzufügen auswählen.

Anmeldedatenquelle Wählen Sie die Quelle der Anmeldedaten aus. Wählen Sie zwischen „Upload“, „FestgelegteZertifizierungsstelle“ und „Anwenderzertifikat“.

Anmeldedatenname Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Upload“ festgelegt ist. Geben Sieden Namen der hochgeladenen Anmeldedaten ein.

Zertifikat Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Upload“ festgelegt ist. Klicken Sieauf „Upload“, um eine Zertifikatsdatei über Ihr Gerät auszuwählen.

Zertifizierungsstelle Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Festgelegte Zertifizierungsstelle“ festgelegt ist. Wählen Sie aus einer Dropdown-Liste die Zertifizierungsstelle aus.

Zertifikatsvorlage Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Festgelegte Zertifizierungsstelle“ festgelegt ist. Diese Einstellung wird basierend auf Ihrer Auswahl für die Einstellung„Zertifizierungsstelle“ automatisch aufgefüllt.

S/MIME Diese Option ist verfügbar, wenn Anmeldedatenquelle auf „Anwenderzertifikat“ festgelegt ist.Wählen Sie zwischen dem anwenderorientierten S/MIME-Signaturzertifikat oder -Verschlüsselungszertifikat.

Aktivieren von VPN On-Demand

VPN On-Demandaktivieren

Aktivieren Sie VPNOn-Demand, um automatisch VPN-Verbindungen anhand von Zertifikatenherzustellen.

Aktivieren Sie VPN, indem Sie den Namen der App eingeben und links neben dem Lupensymbolauf das Pluszeichen klicken. Sie können mehr als eine App eingeben.

Konfigurieren von erweiterten Einstellungen für das Windows Phone-VPN

Konfigurieren Sie die VPN-Einstellungen des Geräts, um sicher remote auf die Unternehmensinfrastruktur zuzugreifen. Siekönnen den Datenverkehr über das VPN beschränken, indem Sie Pro-App-VPN-Verbindungen konfigurieren.Anschließend legen Sie fest, dass beim Starten der jeweiligen App automatisch eine Verbindung zum VPN hergestelltwird.


Verbindungsdaten

ErweiterteVerbindungseinstellungen

Konfigurieren Sie erweiterte Routing-Regeln für die VPN-Verbindungen des Geräts.

Routing-Adressen Wählen SieHinzufügen aus, um die IP-Adressen und Subnetzpräfix-Größe für die VPN-Verbindung einzugeben. Bei Bedarf können Sie weitere Routing-Adressen hinzufügen.

Diese Option ist verfügbar, wenn Erweiterte Verbindungseinstellungen aktiviert ist.


169




DNS-Routing-Regeln Wählen SieHinzufügen aus, um den Domänennamen einzugeben, unter dem der VPN-Server gehostet wird. Geben SieDomänenname, DNS-Server undWeb-Proxyserver für dieeinzelnen Domänen ein.

Diese Option ist verfügbar, wenn Erweiterte Verbindungseinstellungen aktiviert ist.

Routing-Richtlinie Lassen Sie zu, dass der Datenverkehr über die lokale Netzwerkverbindung erfolgt, indemSieDirekten Zugriff auf externe Ressourcen zulassen auswählen. Wählen Sie umgekehrtSämtlichen Verkehr durch VPN zwingen aus, um den gesamten Datenverkehr über dasVPN zu senden. Diese Option ist verfügbar, wenn Erweiterte Verbindungseinstellungenaktiviert ist.

Proxy Wählen Sie AutoErkennung aus, damit die vom VPN verwendeten Proxyserverautomatisch erkannt werden. Wählen SieManuell aus, um den Proxyserver zukonfigurieren. Diese Option ist verfügbar, wenn Erweiterte Verbindungseinstellungenaktiviert ist.

URL für dieAutoKonfiguration desProxyservers

Geben Sie die URL für die AutoKonfiguration des Proxyservers ein. Diese Option ist nurverfügbar, wenn Proxy auf „AutoErkennung“ gesetzt ist.

Server Geben Sie die URL für die Konfigurationseinstellungen des Proxyservers ein.

Diese Option wird angezeigt, wenn Proxy auf „Manuell“ gesetzt ist.

Port Geben Sie die Portnummer für den Zugriff auf den Proxyserver ein.

Diese Option wird angezeigt, wenn Proxy auf „Manuell“ gesetzt ist.

Proxy bei lokalemNetzwerk umgehen

Umgehen Sie den Proxyserver, wenn das Gerät erkennt, dass dieser sich im lokalenNetzwerk befindet.

Authentifizierung

Authentifizierungstyp Wählen Sie das Authentifizierungsprotokoll für das VPN aus.

l EAP – Lässt verschiedene Authentifizierungsmethoden zu.

l Computerzertifikat – Erkennt ein Clientzertifikat im Zertifikatsspeicher des Geräts, daszur Authentifizierung verwendet werden soll.

Protokolle Wählen Sie den EAP-Authentifizierungstyp aus.

l EAP-TLS – Smartcard- oder Clientzertifikatsauthentifizierung.

l EAP-MSCHAPv2 – Anwendername und Kennwort.

Anmeldedatentyp Wählen Sie Zertifikat verwenden, um ein Clientzertifikat zu verwenden. Wählen SieSmartcard verwenden aus, um eine Smartcard zur Authentifizierung zu verwenden.

Diese Einstellung wird angezeigt, wenn die Option Protokolle auf EAP-TLS festgelegt ist.


170




EinfacheZertifikatsauswahl

Vereinfachen Sie die Liste der Zertifikate, aus der der Anwender seine Auswahl trifft. DieZertifikate sind nach der Entität gruppiert, für die das Zertifikat ausgestellt wurde und daszuletzt ausgestellte Zertifikat angezeigt wird.

Diese Einstellung wird angezeigt, wenn die Option Protokolle auf EAP-TLS festgelegt ist.

Windows-Anmeldedatenverwenden

Verwenden Sie dieselben Anmeldedaten wie beim Windows-Gerät.

Diese Einstellung wird angezeigt, wenn die Option Protokolle auf EAP-MSCHAPv2festgelegt ist.

VPN-Verkehrsregeln

Anwendungs-ID Wählen Sie die Anwendung aus, auf die Datenverkehrsregeln angewendet werden sollen,indem Sie den Familiennamen des Anwendungspakets eingeben.

l Paketfamilienname – Beispiel: „AirWatchLLC.AirWatchMDMAgent_htcwkw4rx2gx4“

VPN On-Demand Stellen Sie beim Starten der Anwendung automatisch eine Verbindung mit dem VPN her.

Routing-Richtlinie Wählen Sie die Routing-Richtlinie für die Anwendung aus.

l Direkten Zugriff auf externe Ressourcen zulassen ermöglicht sowohl Datenverkehrüber das VPN als auch über die lokale Netzwerkverbindung.

l Sämtlichen Verkehr durch VPN zwingen erzwingt die Übermittlung des gesamtenDatenverkehrs über das VPN.

VPN-Verkehrsfilter Fügen Sie Datenverkehrsfilter für bestimmte Legacy- und Modern-Anwendungen hinzu.

Wählen SieNeuen Filter hinzufügen aus, um Filtertypen und Filterwerte für die Routing-Regeln hinzuzufügen. Nur Datenverkehr von der festgelegten Anwendung, der diesenRegeln entspricht, kann über das VPN übermittelt werden.

l IP-Protokoll – Numerischer Wert von 0-255, der das zuzulassende IP-Protokolldarstellt. Zum Beispiel: TCP = 6 und UDP = 17.

l IP-Adresse – Eine Liste von durch Kommata getrennten Werten, in der die Remote-IP-Adressbereiche, die zuzulassen sind, aufgeführt sind.

l Ports – Eine Liste von durch Kommata getrennten Werten, in der dieRemoteportbereiche, die zuzulassen sind, aufgeführt sind. Zum Beispiel: 100–120,200, 300–320. Ports sind nur gültig, wenn als Protokoll „TCP“ oder „UDP“ festgelegtist.

l LocalPorts – Eine Liste von durch Kommata getrennten Werten, in der die lokalenPortbereiche aufgeführt sind, über die Datenverkehr zulässig ist.

l LocalAddress – Eine Liste von durch Kommata getrennten Werten, in der die lokalenIP-Adressen aufgeführt sind, über die Datenverkehr zulässig ist.


171




Geräteweite VPN-Regeln Wählen SieHinzufügen aus, um Verkehrsregeln für das gesamte Gerät hinzuzufügen.

Wählen SieHinzufügen aus, um Filtertypen und Filterwerte für die Routing-Regelnhinzuzufügen. Nur Datenverkehr, der diesen Regeln entspricht, kann über das VPNübermittelt werden.

Richtlinien

Anmeldedaten merken Speichern Sie die Anmeldedaten des Endanwenders.

Immer an Erzwingen Sie die Aktivierung der VPN-Verbindung. Hierdurch wird die VPN-Verbindungaktiviert, wenn die Netzwerkverbindung getrennt und wieder hergestellt wird.

VPN-Sperre Erzwingen Sie die Aktivierung der VPN-Verbindung, deaktivierten Sie den Netzwerkzugriff,wenn die VPN-Verbindung getrennt ist, und verhindern Sie, dass eine Verbindung mitanderen VPN-Profilen hergestellt wird oder Änderungen an diesen vorgenommen werden.

VertrauenswürdigesNetzwerk

Geben Sie die Adressen vertrauenswürdiger Netzwerke getrennt durch Kommata ein. Eswird keine VPN-Verbindung hergestellt, wenn die Verbindung eines vertrauenswürdigenNetzwerks erkannt wird.

Getrennter Tunnel Ermöglichen Sie es Endanwendern, ein VPNmit einem getrennten Tunnel zu verwenden.

Dieses Textfeld gilt nur für Windows Phone 8.1-Geräte.

Umgehung für lokalenVerkehr

Umgehen Sie die VPN-Verbindung für den lokalen Intranetverkehr. Beispielsweiseverwenden Sie nicht die VPN-Verbindung, wenn Sie auch mit der Verbindung mit IhremFirmennetzwerk am Arbeitsplatz verbunden sind.


ErkennungvertrauenswürdigerNetzwerke

Verwenden Sie die Option „Erkennung vertrauenswürdiger Netzwerke“, wenn Sie eineVerbindung mit dem VPN herstellen.


Verbindungstyp Wählen Sie den Verbindungstyp aus, der zugelassen werden soll.

Durch die Option „Immer an“ wird die VPN-Verbindung immer ausgeführt.


Abmeldezeit im Leerlauf Legen Sie den maximalen Zeitraum fest, der ohne Konnektivitätsanforderungenverstreichen kann, bevor die VPN-Verbindung automatisch getrennt wird.


VPN On-Demand

Apps zulassen Wählen SieHinzufügen aus, um festzulegen, dass der gesamte Datenverkehr von Appsüber das VPN gesichert wird.

Sie können beliebig viele Apps hinzufügen.

Zulässige Netzwerke Wählen SieHinzufügen aus, um die Netzwerke zu definieren.

Sämtlicher Datenverkehr über konfigurierte Netzwerke wird über das VPN gesichert.

Sie können beliebig viele Netzwerke hinzufügen.


172




AusgeschlosseneAnwendungen

Wählen SieHinzufügen aus, um die ausgeschlossenen Anwendungen zu definieren.

Sämtlicher Datenverkehr an diese Apps wird NICHT über das VPN gesichert.

Sie können beliebig viele ausgeschlossene Apps hinzufügen.

AusgeschlossenesNetzwerke

Wählen SieHinzufügen aus, um die ausgeschlossenen Netzwerke zu definieren.

Sämtlicher Datenverkehr über ausgeschlossene Netzwerke wird NICHT über das VPNgesichert.

Sie können beliebig viele ausgeschlossene Netzwerke hinzufügen.

DNS-Suffix-Suchliste Wählen SieHinzufügen aus, um die DNS-Suffix-Suchliste zu definieren.

DNS-Suffixe werden an Kurzbezeichnungs-URLs zur DNS-Auflösung und Konnektivitätangehängt.

Sie können beliebig viele DNS-Suffixe hinzufügen.

Gerätezuweisung anzeigenDurch Auswahl der Schaltfläche Speichern und veröffentlichen nach der Konfiguration eines Geräteprofils wird die SeiteGerätezuweisung anzeigen eingeblendet. Dadurch können Sie die betroffenen (oder nicht betroffenen) Geräte im Vorauseinsehen.

Abhängig von den Änderungen, die Sie am Geräteprofil vornehmen, wird in der Spalte Zuweisungsstatus Folgendesangezeigt:

l Hinzugefügt – Das Profil wird dem Gerät hinzugefügt und auf diesem veröffentlicht.

l Entfernt – Das Profil wird vom Gerät entfernt.

l Unverändert –Weist darauf hin, dass das Profil für das Gerät nicht erneut auf dem Gerät veröffentlicht wird.

l Aktualisiert –Weist darauf hin, dass das Profil für ein Gerät, dem das Profil bereits zugewiesen ist, erneutveröffentlicht wird.

Wählen Sie Veröffentlichen aus, um die Änderungen abzuschließen und erforderliche Profile ggf. erneut zuveröffentlichen.


173



Übersicht über KonformitätsprofileUm die Funktionsweise von Konformitätsprofilen zu verstehen, müssen Sie ein klares Verständnis über Geräte- undKonformitätsprofile haben. Geräteprofile bilden die Grundlage, während Konformitätsrichtlinien alsSicherheitsmaßnahme zum Schutz von Unternehmensinhalten dienen.

Geräteprofile ermöglichen Ihnen die die Kontrolle über eine große Bandbreite an Geräteeinstellungen. Zu diesenEinstellungen zählen u.a. Passcode-Komplexität, Geofencing, Zeitpläne, Funktionalität von Gerätehardware, WLAN, VPN,E-Mail, Zertifikate.

Die Compliance Engine überwacht Regeln, setzt Aktionen durch und wendet Eskalationen an (all dies können Siedefinieren). Konformitätsprofile sollen der Compliance Engine jedoch alle Optionen und Einstellungen bereitstellen, dieüblicherweise nur Geräteprofilen zur Verfügung stehen. Weitere Informationen finden Sie unter Übersicht überKonformitätsrichtlinien auf Seite 180.

Beispielsweise können Sie ein bestimmtes Geräteprofil erstellen, das mit Ihrem normalen Geräteprofil identisch ist,jedoch restriktivere Einstellungen aufweist. Sie können das jeweilige Geräteprofil bei der Festlegung IhrerKonformitätsrichtlinie auf der Registerkarte „Aktionen“ anwenden. Wenn der Anwender mit einer solchen Konfigurationkeine Gerätekonformität erreichen kann, können Sie das restriktivere Konformitätsprofil anwenden.

Hinzufügen eines Konformitätsprofils

Konformitätsprofile werden auf dieselbeWeise erstellt und gespeichert wie die Geräteprofile „Automatisch“ und„Optional“.

1. Navigieren Sie zu Geräte > Profile und Ressourcen > Profile und wählen Sie anschließend Hinzufügen, Profilhinzufügen sowie eine Plattform aus.

2. Wählen Sie einen Namen für Ihr Konformitätsprofil aus, den Sie später wiedererkennen können.

3. Wählen Sie auf der Profilregisterkarte Allgemein die Option „Konformität“ in der Dropdown-EinstellungZuweisungstyp aus.

4. Füllen Sie die verbleibenden Einstellungen „Allgemein“ und „Nutzlast“ aus.

5. Klicken Sie nach Abschluss auf Speichern und veröffentlichen.

Eine Schritt-für-Schritt-Anleitung zum Vervollständigen eines Geräteprofils finden Sie unter Hinzufügen von allgemeinenProfileinstellungen auf Seite 145.

Anschließend müssen Sie dieses Profil in Ihrer Konformitätsrichtlinie auswählen.

6. Navigieren Sie zu Geräte > Konformitätsrichtlinien > Listenansicht und wählen SieHinzufügen und eine Plattform.

7. Legen Sie die Konformitätsregeln fest und wählen SieWeiter aus.

8. Treffen Sie auf der Registerkarte Aktionen folgende Auswahl.

l Legen Sie das erste Dropdown-Menü auf „Profil“ fest.

l Legen Sie das zweite Dropdown-Menü auf „Konformitätsprofil installieren“ fest.

l Legen Sie das dritte Dropdown-Menü auf das in Schritt 2 benannte Geräteprofil fest.


174



9. Wählen SieWeiter aus und fahren Sie mit der Konfiguration der verbleibenden Einstellungen fort, einschließlich dererder Registerkarten „Zuweisung“ und „Übersicht“.

10. Speichern Sie die Konformitätsrichtlinie, indem Sie Fertigstellen oder Fertigstellen und aktivieren auswählen.

Eine Schritt-für-Schritt-Anleitung zum Vervollständigen einer Konformitätsrichtlinie finden Sie unter Hinzufügen einerKonformitätsrichtlinie auf Seite 187.

GeofencesMit AirWatch können Sie für Ihr Profil einen Geofence festlegen und damit die Gerätenutzung auf bestimmte Bereichebeschränken, wie Bürogebäude, Schulen oder Kaufhäuser. Sie können einen Geofence als virtuelle Grenze für ein realesgeographisches Gebiet betrachten.

Beispielsweise könnte ein Geofencemit einem Radius von 1 Kilometer für Ihr Büro angewendet werden; ein wesentlichgrößerer Geofence hingegen für eine gesamte Region. Einen einmal festgelegten Geofence können Sie auf Profile, SDK-Anwendungen und AirWatch Anwendungen wie VMware Content Locker anwenden.

l Zur Aktivierung von einem Geofence sind zwei Schritte erforderlich.

1. Hinzufügen eines Geofencing-Bereichs auf Seite 176.

2. Anwenden eines Geofence auf ein Profil auf Seite 176.

l Geofencing ist für Android- und iOS-Geräte verfügbar.

l Beachten Sie bitte, dass Sie nur über eine Nutzlast pro Profil verfügen sollten, obwohl Geofencing mit einer anderenNutzlast kombiniert ist, um Sicherheitsprofile je nach Standort zu ermöglichen.

Weitere Informationen zur AirWatch Nachverfolgung des GPS-Standorts finden Sie im folgenden Artikel in derVMware AirWatch Wissensdatenbank: https://support.air-watch.com/articles/115001663108.

Unterstützung für Geofencing auf iOS-Geräten

Geofencing für Anwendungen funktioniert nur auf iOS-Geräten, auf denen Ortungsdienste ausgeführt werden. Damit derOrtungsdienst ausgeführt werden kann, muss das Gerät entweder mit einem Mobilfunknetz oder einemWLAN-Hotspotverbunden sein oder über integrierte GPS-Funktionen verfügen.

Bei Geräten, die nur WLAN-Zugriff bereitstellen, werden GPS-Daten gemeldet, wenn das Gerät eingeschaltet undentsperrt ist und der Agent geöffnet ist und verwendet wird. BeiMobiltelefonen werden GPS-Daten gemeldet, wenn dasGerät auf einen anderen Mobilfunkmast umschaltet. VMware Browser und Content Locker melden GPS-Daten, wenn derEndanwender diese Anwendungen öffnet und benutzt.

Bei Geräten im „Flugmodus“ sind Ortungsdienste (und damit Geofencing) deaktiviert.

Gerät WLAN Mobilfunknetz Integriertes GPS

iPhone ✓ ✓ ✓

iPad WLAN + 3G/4G ✓ ✓ ✓

iPad WLAN ✓

iPod Touch ✓


175




Folgende Anforderungen müssen erfüllt sein, damit der GPS-Standort aktualisiert wird.

l Auf dem Gerät muss AirWatch Agent laufen.

l Die Datenschutzeinstellungen müssen die Erfassung von GPS-Standortdaten zulassen (Gruppen und Einstellungen >Alle Einstellungen > Geräte und Anwender > Allgemein > Datenschutz).

l In den Apple iOS Agent-Einstellungen muss „Standortdaten erfassen“ aktiviert sein (Gruppen und Einstellungen >Alle Einstellungen > Geräte und Anwender > Apple > Apple iOS > Agent-Einstellungen).

Setzen Sie die Agent SDK-Einstellungen auf Standard- oder andere SDK-Einstellungen anstatt auf „Keine(r/s)“.

Hinzufügen eines Geofencing-Bereichs

Sie müssen einen Geofencing-Bereich festlegen, bevor Sie diesen auf ein Gerät anwenden können.

1. Rufen Sie die Seite „Bereich“ auf, indem Sie zu Geräte > Profile und Ressourcen > Profileinstellungen > Bereichenavigieren. Wählen SieHinzufügen und dann Geofencing-Bereich aus.

2. Geben Sie eine Adresse und den Geofence-Radius in Kilometern oder Meilen ein. Sie können außerdem perDoppelklick auf eine beliebige Stelle auf der Karte den Mittelpunkt festlegen.

3. Wählen Sie Zum Suchen klicken, um auf einer Karte zu prüfen, wo der Geofence ungefähr angewendet werden soll.

Hinweis: Für die Integration in Bing-Karten müssen unsichere Inhalte auf dieser Seite geladen werden. Falls eineStandortsuche nicht wie erwartet geladen wird, müssen Sie für Ihren Browser möglicherweise „Alle Inhalteanzeigen“ zulassen.

4. Geben Sie die Bereichsbezeichnung ein (wie er in der AirWatch Konsole angezeigt wird) und klicken Sie auf Speichern.

Anschließendmüssen SiedieunterAnwenden einesGeofenceaufein ProfilaufSeite176aufgeführten Schrittedurchführen.

Anwenden eines Geofence auf ein Profil

Haben Sie einen Geofencing-Bereich definiert, können Sie ihn auf ein Profil anwenden und mit anderen Nutzlastenkombinieren, um robustere Profile zu erstellen.

Beispielsweise können Sie um sämtliche Ihrer Büros Geofencing-Bereiche definieren. Fügen Sie anschließend eineRestriktionsnutzlast hinzu, die den Zugriff auf das Game Center, Multiplayer-Spiele sowie YouTube-Inhalte und andereEinstellungen untersagt. Sobald der Geofence aktiviert ist, haben die Angestellten der Organisationsgruppe, auf die dasProfil angewendet wurde, keinen Zugriff auf diese Funktionen mehr, solange sie im Büro sind.

1. Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > HINZUFÜGEN und wählen Sie eine Plattform aus.

2. Wählen SieNur auf Geräten innerhalb der ausgewählten Bereiche installieren auf der Registerkarte Allgemein. DasFeld Zugewiesene Geofence-Bereichewird angezeigt. Sollte kein Geofence-Bereich festgelegt worden sein, leitet Siedas Menü zum Erstellungsmenü „Geofencing-Bereich“ zurück.

3. Geben Sie einen oder mehrere Geofencing-Bereiche für dieses Profil ein.

4. Konfigurieren Sie eine Nutzlast wie Passcode, Restriktionen oderWLAN, die nur auf Geräte innerhalb derausgewählten Geofencing-Bereiche angewendet werden sollen.



176



Wenn ein Anwender die Ortungsdienste auf seinem iOS-Gerät manuell deaktiviert, kann AirWatch keine Standortupdatesmehr erfassen. AirWatch geht davon aus, das sich das Gerät an dem Standort befindet, an dem die Dienste deaktiviertwurden.

iBeacon

iBeacon ist iOS-spezifisch und wird zur Verwaltung der Standorterkennung verwendet. Weitere Informationen finden Sieim Leitfaden zur VMware AirWatch iOS-Plattform, verfügbar unter Zugreifen auf andere Dokumente auf Seite 241.

ZeitpläneZeitpläne ermöglichen es Ihnen, zu steuern, wann die einzelnen Geräteprofile aktiv sind. Das Profil gibt an, ob dieNutzbarkeit von Geräten beschränkt oder berechtigt wird. Der Zeitplan versieht die Profilinstallation lediglich mit einemZeitplan.

Zur Aktivierung eines Zeitplans sind zwei Schritte erforderlich.

1. Festlegen eines Zeitplans

2. Anwenden eines Zeitplans auf ein Profil

Festlegen eines Zeitplans

Sie müssen einen Zeitplan definieren, bevor Sie Ihn auf ein Geräteprofil anwenden.

1. Navigieren Sie zu Geräte > Profile und Ressourcen > Profileinstellungen > Zeitpläne.

2. Wählen Sie Zeitplan hinzufügen.

3. Bearbeiten Sie die folgenden Einstellungen.


Zeitplanbezeichnung Geben Sie den Namen des Zeitplans ein, der in der Liste angezeigt wird.

Zeitzone Wählen Sie die Zeitzone der Organisationsgruppe aus, in der das Gerät verwaltetwird.

SpalteWochentag Wählen Sie einen Wochentag aus, an dem eine geplante Profilinstallationangewendet werden soll.

SpalteGanztägig Aktivieren Sie diese Option, damit das Profil um Mitternacht am ausgewähltenWochentag installiert wird. Durch Aktivieren dieses Kontrollkästchen werden dieSpalten Startzeit und Endzeit entfernt.

Spalte Startzeit Wählen Sie die Tageszeit aus, an der das Profil installiert werden soll.

Spalte Endzeit Wählen Sie die Tageszeit aus, an der das Profil deinstalliert werden soll.

Spalte Aktionen Klicken Sie auf das X, um den Tageszeitplan zu entfernen.



177



Anwenden eines Zeitplans auf ein neues Profil

Haben Sie einen Zeitplan festgelegt, können Sie ihn auf ein neues Profil anwenden und mit anderen Nutzlastenkombinieren, um robustere Profile zu erstellen. Zum Beispiel können Sie Zeitpläne für die normalen Geschäftszeitendefinieren und dann eine Nutzlast „Restriktionen“ hinzufügen, die den Zugriff auf YouTube, Multiplayer-Spiele usw.verwehrt.

Sobald der Zeitplan aktiviert ist, haben die Anwender der Organisationsgruppe, auf die das Profil angewendet wurde,keinen Zugriff mehr auf diese Funktionen während der festgelegten Zeiten.

1. Navigieren Sie zu Geräte > Profile und Ressourcen > Profile > HINZUFÜGEN und wählen Sie Ihre Plattform aus.

2. Wählen Sie Zeitplanung aktivieren und nur in ausgewählten Zeiträumen installieren auf der RegisterkarteAllgemein.

3. In dem Feld Zugewiesene Zeitpläne geben Sie unter diesem Profil ein oder mehrere Zeitpläne ein.

4. Konfigurieren Sie eine Nutzlast, wie Passcode, Restriktionen oderWLAN, die Sie nur auf Geräte innerhalb derausgewählten Zeitrahmen anwenden möchten.


Anwenden eines Zeitplans auf ein vorhandenes Profil

Sie können einen zuvor definierten Zeitplan auf ein vorhandenes Profil anwenden.

1. Navigieren Sie zu Geräte > Profile und Ressourcen > Profile und wählen Sie zu bearbeitende Profil aus der Liste aus.Klicken Sie auf das Stiftsymbol ( ) oder auf den Profilnamen.

2. Aktivieren Sie auf der Registerkarte Allgemein der Profilseite die Einstellung Zeitplanung aktivieren und nur inausgewählten Zeiträumen installieren.

3. Wählen Sie in der angezeigten Einstellung Zugewiesener Zeitplan den zuvor gespeicherten Zeitplan aus demDropdown-Menü aus.


Löschen eines Zeitplans

Halten Sie Ihre Sammlung frei von nicht verwendeten Zeitplänen, indem Sie sie löschen. Es kann kein Zeitplan gelöschtwerden, der einem Profil zugewiesen ist. Heben Sie die Zuweisung des Plans vom Profil auf, bevor Sie ihn löschen.

1. Aktivieren Sie das Optionsfeld neben dem zu löschenden Zeitplan.

2. Klicken Sie auf die Schaltfläche Löschen.


178



Kapitel 11:Konformitätsrichtlinien

Übersicht über Konformitätsrichtlinien 180

Listenansicht für Konformitätsrichtlinien 180

Regeln für Konformitätsrichtlinien nach Plattform 183

Hinzufügen einer Konformitätsrichtlinie 187

179



Übersicht über KonformitätsrichtlinienDie Compliance Engine ist ein automatisiertes Tool von AirWatch, das sicherstellt, dass alle Geräte Ihren Richtlinienentsprechen. Dabei kann es sich um so grundlegende Sicherheitseinstellungen handeln, wie die Durchsetzung einesPasscodes und die Vorgabe einer minimalen Zeitspanne für die Gerätesperre. Bei bestimmten Plattformen können Sieauch die Kennwortstärke festlegen und durchsetzen, bestimmte Anwendungen per Blacklist sperren und Check-in-Intervalle festlegen, um zu gewährleisten, dass Geräte geschützt sind und eine Verbindung mit den AirWatch Servernbesteht.

Sobald die Konfiguration abgeschlossen ist, fordert die Compliance Engine bei nicht konformen Geräten die Anwenderzur Behandlung von Konformitätsfehlern auf, um disziplinarischeMaßnahmen auf dem Gerät zu verhindern. DieCompliance Engine kann beispielsweise eine Nachricht auslösen, die den Anwender darüber verständigt, dass sein Gerätnicht konform ist. Sollten die Probleme im angegebenen Zeitraum nicht behoben werden, kann mit dem Gerät nichtmehr auf bestimmte anwenderdefinierte Inhalte und Funktionen zugegriffen werden. Die verfügbarenKonformitätsrichtlinien und -aktionen variieren je nach Plattform.

Sie können den Eskalationsprozess automatisieren, falls keine Korrekturen vorgenommen werden. Dabei wird das Gerätgesperrt und der Anwender aufgefordert, sich zur Entsperrung des Geräts an Sie zu wenden. Diese Eskalationsschritte,Disziplinarmaßnahmen, Toleranzperioden und Nachrichten sind bei der AirWatch Konsole alle anpassbar.

Es gibt zweiMethoden, mit denen Konformität gemessen wird.

l Echtzeitkonformität (Real Time Compliance, RTC) – Ungeplante Stichproben vom Gerät werden verwendet, um zubestimmen, ob das Gerät konform ist. Die Proben werden vom Administrator aufWunsch angefordert.

l Modulkonformität – Die Konformität eines Geräts wird hauptsächlich durch die Ausführung der Compliance Enginebestimmt – ein Softwarealgorithmus, der geplante Stichproben enthält und misst. Die Zeitintervalle, in denen derZeitplaner gestartet wird, werden vom Administrator in der Konsole festgelegt.

Die Durchsetzung mobiler Sicherheitsrichtlinien besteht aus einem 5-stufigen Prozess.

l Plattform auswählen – Bestimmen Sie, auf welcher Plattform Sie Konformität durchsetzen möchten.

l Richtlinien erstellen – Passen Sie Ihre Richtlinien so an, dass alle der folgenden Aspekte berücksichtigt werden:Anwendungsliste, Gefährdungsstatus, Verschlüsselung, Hersteller, Modell- und BS-Version, Passcode und Roaming.

l Eskalation festlegen – Konfigurieren Sie zeitbasierte Aktionen in Minuten, Stunden oder Tagen, und wählen Sie fürdiese Aktionen einen mehrstufigen Ansatz.

l Aktionen bestimmen – Senden Sie eine SMS, E-Mail oder Push-Benachrichtigung an das Gerät des Anwenders odersenden Sie nur dem Administrator eine E-Mail. Fordern Sie an, dass Geräte einchecken; entfernen oder blockieren Siebestimmte Profile; installieren Sie Konformitätsrichtlinien; entfernen oder blockieren Sie Anwendungen; und führenSie ein EnterpriseWipe durch.

l Zuweisungen konfigurieren –Weisen Sie Ihre Konformitätsrichtlinie nach Organisations- oder Smartgruppe zu undbestätigen Sie dann die Zuweisung nach Gerät.

Listenansicht für KonformitätsrichtlinienMit der Listenansicht für Konformitätsrichtlinien haben Sie dieMöglichkeit, alle aktiven und inaktivenKonformitätsrichtlinien und ihre Konfigurationen zu sehen. Geräte werden während der Erstregistrierung in den

Kapitel 11: Konformitätsrichtlinien

180



Konformitätsstatus Ausstehend gesetzt. Wird eine Richtlinie erstellt, gespeichert und einem registrierten Gerätzugewiesen, wird der Konformitätsstatus des Geräts entweder auf Konform oderNicht Konform gesetzt.

Bei Änderungen von Smartgruppen-Zuweisungen wechselt die Konformitätsrichtlinie eines Geräts in den StatusAusstehend, wenn das Gerät in der Smartgruppe neu ist. Geräte, die der Smartgruppe bereits zugewiesen sind, könnendie Änderung ihres Konformitätsstatus nicht sehen, da die Smartgruppe ihre Zuweisung erweitert (oder reduziert).

Navigieren Sie über Geräte > Konformitätsrichtlinien > Listenansicht zur Listenansicht für Konformitätsrichtlinien.


Status Filtern Sie die Auflistung zwischen den Status Alle, Aktiv und Inaktiv.

Aktionsmenü Sehen Sie individuelle Richtlinien ein und bearbeiten Sie sie, sehen Sie Geräte ein,denen die Richtlinien zugewiesen wurden, und löschen Sie Richtlinien, die Sie nichtlänger behalten wollen.

Konform/Nichtkonform/Ausstehend/Zugewiesen

Die Ziffern dieser Spalte enthalten Hypertextlinks, die bei Auswahl die SeiteGeräteanzeigenmit dem jeweiligen Status der ausgewählten Konformitätsrichtlinieanzeigen.

Der Status Zugewiesen ist die Summe der konformen, nicht konformen undausstehenden Geräte.

Weitere Informationen finden Sie unter Seite „Geräte anzeigen“ auf Seite 181.

Seite „Geräte anzeigen“

Auf der SeiteGeräte anzeigenwerden Konformitätsdetails zu den einzelnen Geräten angezeigt, die der ausgewähltenRichtlinie zugewiesen sind. Sie wird angezeigt, wenn Sie in der Listenansicht für Konformitätsrichtlinien in der SpalteKonform / Nicht Konform / Ausstehend / Zugewiesen eines der Hyperlink-Textzeichen auswählen.

Wählen Sie das Dropdown-Menü Status, um die Liste zwischen vier Status zu filtern. Zugewiesen entspricht dabei derSumme der Status Konform, Nicht konform und Ausstehend.


181



Es gibt drei aufgelistete Gerätestatus in der Spalte Status.

l Konform – Durch die zugewiesene Konformitätsrichtlinie wurde festgestellt, dass das Gerät konform ist.

l Nicht konform – Durch die zugewiesene Konformitätsrichtlinie wurde festgestellt, dass das Gerät nicht konform ist.

l Ausstehend – Die Zuweisung der Konformitätsrichtlinie an neu registrierte Geräte ist geplant.

Sie können auch U/M/G (Besitz) des Gerätes, Plattform/BS/Modell, Organisationsgruppe, LetzteKonformitätsüberprüfung, Nächste Konformitätsüberprüfung und Ausgeführte Aktionen (Auflistung der ausgeführtenAktionen bezüglich nicht konformer Geräte) bestätigen.

Sie mögen sich auch dafür entscheiden, die Konformität eines bestimmten Gerätes neu zu bewerten. Wählen Sie

Konformität neu bewerten ( ), um die Compliance Engine zu starten und erneut einen Bericht zumKonformitätsstatus des Gerätes zu erstellen.


182



Regeln für Konformitätsrichtlinien nach PlattformNicht alle Regeln für Konformitätsrichtlinien treffen auf alle Plattformen zu. Die Seite Konformitätsrichtlinie hinzufügenist plattformbasiert. Somit sehen Sie nur die Regeln und Aktionen für Konformitätsrichtlinien, die für Ihr Gerät gelten.

Verwenden Sie die folgende Tabelle, um festzulegen, welche Regeln zur Bereitstellung für Ihre Geräte verfügbar sind.

Konformitätsrichtlinie Android Apple iOS Apple macOS Chrome OS QNXWindowsRugged

Windows7

WindowsPhone

WindowsDesktop

Anwendungsliste ✓ ✓ ✓

Antivirus-Status ✓

Mobilfunkdaten-Nutzung ✓ ✓

Nutzung vonMobilfunkbenachrichtigung

✓

Nutzung vonMobilfunksprachanrufen

✓

Konformitätsattribut ✓

Kompromittierungsstatus ✓ ✓ ✓

Gerät zuletzt gesehen ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Gerätehersteller ✓

Verschlüsselung ✓ ✓ ✓ ✓ ✓ ✓

Firewall-Status ✓ ✓

Freier Speicherplatz ✓

iBeacon-Bereich ✓

Ablauf des interaktivenZertifikatsprofils

✓ ✓

LetzterKompromittierungsscan

✓ ✓

Annahmeder MDM-Nutzungsbedingungen

✓ ✓ ✓ ✓ ✓ ✓ ✓

Modell ✓ ✓ ✓ ✓

BS-Version ✓ ✓ ✓ ✓ ✓ ✓ ✓

Passcode ✓ ✓ ✓ ✓ ✓

Roaming* ✓ ✓ ✓

Mobilfunkdaten-Nutzung imRoamingbetrieb*

✓ ✓

Sicherheitspatchversion ✓

SIM-Karten-Wechsel* ✓ ✓ ✓

Status automatischerWindows-Updates

✓

WindowsGenuine-Validierungvon Kopien

✓


183



*Hinweis: Nur für fortgeschrittene Telekommunikationsanwender verfügbar.

Regeln für Konformitätsrichtlinien – Beschreibung

Regeln für Konformitätsrichtlinien ermöglichen Ihnen den Aufbau einer soliden Grundlage für Ihre Richtlinie als wichtigeKomponenten für diese. Die Aktionen, Eskalationen und Zuweisungen, die erfolgen, sind alle auf diesen Regelnaufgebaut.


Anwendungsliste Erkennen Sie bestimmte, per Blacklist gesperrte Anwendungen, die aufeinem Gerät installiert sind, oder alle Anwendungen, die nicht perWhitelist zugelassen sind. Sie können entweder bestimmteAnwendungen verbieten (z.B. Social Media-Anwendungen) undAnwendungen von auf Blacklists stehenden Anbietern, oder nur dievon Ihnen bestimmten Anwendungen zulassen. Außerdem können SieeineMindestversionsnummer für eine Anwendung festlegen.

Antivirus-Status Stellen Sie fest, ob eine Antivirus-Anwendung ausgeführt wird. DasKonformitätsrichtlinienmodul überprüft das Aktionszentrum desGeräts auf eine Antivirus-Lösung. Sollte Ihre Drittanbieterlösung nichtim Aktionszentrum angezeigt werden, wird sie als nicht überwachtgemeldet.

Nutzung vonMobilfunkdaten/Nachrichten/Sprachanrufen

Stellen Sie fest, wenn Endanwendergeräte einen bestimmtenSchwellenwert ihres Telekommunikationstarifplans überschreiten.Damit diese Richtlinie in Kraft treten kann, müssen dieTelekommunikationseinstellungen konfiguriert werden.

Konformitätsattribut*** Vergleichen Sie Attributschlüssel im Gerät anhand der Endpunkt-Sicherheitskontrolle von Drittanbietern, die einen Booleanschen Wertfür die Gerätekonformität zurückgibt.


184




Kompromittierungsstatus Stellen Sie fest, ob das Gerät kompromittiert ist. Verhindern Sie dieVerwendung von Geräten mit Jailbreak oder Root-Zugriff, die beiAirWatch registriert sind.

Gerätemit Jailbreak oder Root-Zugriff bauen wesentlicheSicherheitseinstellungen ab und können Malware in Ihr Netzwerkeinschleusen sowie Zugriff auf Ihre Unternehmensressourcenermöglichen. Die Überwachung des Status von kompromittiertenGeräten ist in BYOD-Umgebungen besonders wichtig, bei denenMitarbeiter über verschiedene Versionen von Geräten undBetriebssystemen verfügen.

Weitere Informationen zur Erkennung von kompromittiertenGeräten unter Verwendung von VMware AirWatch finden Sie infolgenden Artikeln in der Wissensdatenbank:https://support.air-watch.com/articles/115001662748 undhttps://support.air-watch.com/articles/115001662508.

Gerät zuletzt gesehen Erkennen Sie, wenn das Gerät innerhalb eines festgelegtenZeitrahmens nicht eingecheckt wird.

Gerätehersteller Erkennen Sie den Gerätehersteller, wodurch Sie dieMöglichkeiterhalten, bestimmte Android-Geräte zu identifizieren. Sie könnenbestimmte Hersteller verbieten oder nur die von Ihnen festgelegtenHersteller zulassen.

Verschlüsselung Erkennen Sie, ob die Verschlüsselung auf dem Gerät aktiviert ist.

Firewall-Status Erkennen Sie, ob eine Firewall-Anwendung ausgeführt wird. DieCompliance Engine überprüft das Aktionszentrum des Geräts auf eineFirewall-Lösung. Sollte Ihre Drittanbieterlösung nicht imAktionszentrum angezeigt werden, wird sie als nicht überwachtgemeldet.

Freier Speicherplatz Erkennen Sie den verfügbaren Speicherplatz auf dem Gerät.

iBeacon-Bereich Erkennen Sie, ob sich Ihr iOS-Gerät im Bereich einer iBeacon-Gruppebefindet. Weitere Informationen finden Sie unter „Konfigurieren voniBeacon“ im Leitfaden zur VMware AirWatch iOS-Plattform,verfügbar unter Zugreifen auf andere Dokumente auf Seite 241.

Ablauf des interaktiven Zertifikatsprofils Erkennen Sie, wenn ein installiertes Profil innerhalb eines festgelegtenZeitraums auf dem Gerät abläuft.

Letzter Kompromittierungsscan Erkennen Sie, wenn ein Gerät seinen Kompromittierungsstatusinnerhalb des festgelegten Zeitraums nicht gemeldet hat.

Annahme der MDM-Nutzungsbedingungen Erkennen Sie, wenn ein Endanwender die aktuellen MDM-Nutzungsbedingungen innerhalb eines bestimmten Zeitraums nichtakzeptiert hat.


185






Modell Erkennen Sie das Gerätemodell. Sie können entweder bestimmteModelle untersagen oder nur die von Ihnen festgelegten Modellezulassen.

BS-Version Erkennen Sie die BS-Version des Geräts. Sie können entwederbestimmte BS-Versionen untersagen oder nur die von Ihnenfestgelegten Betriebssysteme und Versionen zulassen.

Passcode Erkennen Sie, ob ein Passcode auf dem Gerät vorhanden ist.

Roaming* Erkennen Sie, wenn sich das Gerät im Roamingbetrieb befindet.

Mobilfunkdaten-Nutzung imRoamingbetrieb*

Erkennen SieMobilfunkdaten-Nutzung im Roamingbetrieb imVergleich zu einer statischen Menge an in MB oder GB gemessenenDaten.

Sicherheitspatchversion** Stellen Sie das Datum des neuesten Sicherheitspatches von Google aufdem Android-Gerät fest.

SIM-Kartenwechsel* Erkennen Sie, ob die SIM-Karte gewechselt wurde.

Status automatischer Windows-Updates Erkennen Sie, ob automatischeWindows-Updates aktiviert wurden.Die Compliance Engine überprüft das Aktionszentrum des Geräts aufeine Update-Lösung. Sollte Ihre Drittanbieterlösung nicht imAktionszentrum angezeigt werden, wird sie als nicht überwachtgemeldet.

Windows Genuine-Validierung von Kopien Erkennen Sie, ob dieWindows-Kopie, die momentan auf dem Geräteausgeführt wird, echt ist.

* Nur für fortgeschrittene Telekommunikationsanwender verfügbar.

** Nur für die Android-Version 6.0 und höher verfügbar.

*** Nur für Windows Desktop-Geräte verfügbar.

Konformitätsrichtlinienaktionen nach Plattform

Zu den unterstützten Aktionen nach Plattform, die durch Konformitätsrichtlinien durchgesetzt werden, gehörenFolgende:

Konformitätsrichtlinienaktion Android Apple iOS Apple macOS Chrome OS QNXWindowsRobust

Windows7

WindowsPhone

WindowsDesktop

Anwendung

Verwaltete Anwendungblockieren/entfernen

✓ ✓ ✓

Alle Anwendungenblockieren/entfernen

✓ ✓ ✓

Befehl

Geräte-Check-in anfordern ✓ ✓ ✓

EnterpriseWipe ✓ ✓ ✓ ✓ ✓ ✓ ✓


186



Konformitätsrichtlinienaktion Android Apple iOS Apple macOS Chrome OS QNXWindowsRobust

Windows7

WindowsPhone

WindowsDesktop

Enterprise-Zurücksetzung ✓ ✓

Roamingeinstellungen ändern ✓

(iOS 5+)

BS-Updates ✓

(nur DEP)

E-Mail

E-Mail blockieren ✓ ✓

Benachrichtigen

E-Mail an Anwender senden ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

SMS an Gerät senden ✓ ✓ ✓ ✓

Push-Benachrichtigung anGerät senden

✓ ✓ ✓ ✓ ✓ ✓ ✓

E-Mail an Administrator senden ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Profil

Konformitätsprofil installieren ✓ ✓ ✓ ✓

Profil blockieren/entfernen ✓ ✓ ✓ ✓ ✓

Profiltyp blockieren/entfernen ✓ ✓ ✓

Alle Profileblockieren/entfernen

✓ ✓ ✓ ✓ ✓

Hinzufügen einer KonformitätsrichtlinieDas Hinzufügen einer Konformitätsrichtlinie ist ein Vorgang, der aus vier Segmenten besteht: Rollen, Aktionen,Zuweisung und Übersicht. Nicht alle in diesem Leitfaden aufgeführten Funktionen und Optionen sind für alle Plattformenverfügbar. Die AirWatch Konsole basiert alle verfügbaren Optionen auf die ursprünglicheWahl der Plattform. Die Konsolewird daher niemals eine Option anbieten, die Sie nicht für Ihr Gerät verwenden können.

Hinweis: Konformität von Windows Robust wird nur aufMotorola-Geräten unterstützt. (Konformität wird durch dieAktion „Enterprise-Zurücksetzung“ durchgesetzt.)

Konfigurieren Sie die Compliance Engine samt Profilen und automatischen Eskalationen durch Ausfüllen derKonformitätsrichtlinienregisterkarten.

1. Navigieren Sie zu Geräte > Konformitätsrichtlinien > Listenansicht und wählen SieHinzufügen aus.

2. Wählen Sie für Ihre Konformitätsrichtlinie eine Plattform auf der Seite Konformitätsrichtlinie hinzufügen aus.

3. Konfigurieren Sie die Registerkarte Regeln, indem Sie unter „Regeln“ Beliebig oder Alle auswählen, um Bedingungenzu erkennen.


187



l Regel hinzufügen – Aktivieren Sie diese Option, um weitere Regeln und Parameter hinzuzufügen.

l Zurück undWeiter – Gehen Sie zurück zum vorherigen oder weiter zum nächsten Schritt bzw. zur nächstenAktion.

4. Füllen Sie die Registerkarte Aktionen aus, um die Konsequenzen für Nicht-Konformität innerhalb Ihrer Richtliniefestzulegen. Die verfügbaren Aktionen hängen von der jeweiligen Geräteplattform ab.

5. Geben Sie gewünschte Aktionen und Eskalationen an. Eine Eskalation ist einfach eine automatische Aktion, die dannausgeführt wird, wenn die vorherige Aktion den Geräteanwender nicht veranlasst, Maßnahmen zurWiederherstellung der Gerätekonformität zu ergreifen.Wählen Sie die Option und Typen der gewünschten Aktion aus.


Aktionen und Eskalationen

KontrollkästchenAls nichtkonformmarkieren

Erlaubt Ihnen, Aktionen auf einem Gerät auszuführen, ohne es als nicht konform zu markieren.Die Compliance Engine führt diese Aktion unter Berücksichtigung folgender Regeln durch:l Das Kontrollkästchen „Als nicht konform markieren“ wird standardmäßig für jede neu hinzugefügte

Aktion aktiviert.

l Ist bei einer Aktion die Option „Als nicht konform markieren“ aktiviert, werden alle nachfolgendenAktionen und Eskalationen auch als nicht konform markiert. Diese nachfolgenden Kontrollkästchenkönnen dann nicht bearbeitet werden.

l Wurde bei einer Aktion die Option „Als nicht konform markieren“ deaktiviert, so ist bei dernächsten Aktion bzw. Eskalation die Option standardmäßig aktiviert. Das Kontrollkästchen kannjedoch bearbeitet werden.

l Wurde bei einer Aktion bzw. Eskalation die Option „Als nicht konform markieren“ deaktiviert unddas Gerät erfüllt die Konformitätsregel nicht, so ist der Konformitätsstatus des Geräts offiziell„Konform“ und die Aktion wird ausgeführt.

l Während die Konformitätsregel eine Reihe von Aktionen und Eskalationen durchläuft, bleibt derGerätestatus „Konform“, es sei denn, eine Aktion oder Eskalation tritt auf, bei der dasKontrollkästchen „Als nicht konform markieren“ aktiviert ist. Das Gerät wird nur in diesem Fall alsnicht konform erachtet.

Anwendung Blockieren oder entfernen Sie eine verwaltete Anwendung.Sie können die Konformität einer Anwendung auch durch Einrichtung einer Whitelist, einerBlacklist oder einer erforderlichen Liste mit Anwendungen erzwingen. Weitere Informationenzur Einrichtung eines robusten MAM-Plans (Mobile Application Management) finden Sie imVMware AirWatch Leitfaden für MAM, verfügbar unter Zugreifen auf andere Dokumente aufSeite 241.

Befehl Starten Sie ein Geräte-Check-in oder führen Sie ein EnterpriseWipe aus.


188




E-Mail Blockieren Sie den Anwender von der Verwendung von E-Mails.Die Aktion „E-Mail blockieren“ wird angewendet, wenn SieMobile Email Managementzusammen mit der E-Mail-Compliance-Engine verwenden. Greifen Sie über E-Mail >Konformitätsrichtlinien > E-Mail-Richtlinien auf diese Option zu. Dadurch können SieGerätekonformitätsrichtlinien verwenden, wie beispielsweise per Blacklist gesperrteAnwendungen in Verbindung mit Richtlinien für die E-Mail-Compliance-Engine, die Siekonfigurieren. Mit dieser Aktion wird E-Mail-Konformität mit einem Update für einzelneGeräterichtlinien eingeleitet, sollte das Gerät nicht mehr konform sein.

Benachrichtigen Senden Sie eine E-Mail, SMS oder Push-Benachrichtigung an das Gerät oder den Administrator.Mehrere E-Mails können in das einhergehende Textfeld CC eingefügt werden, vorausgesetzt,dass sie durch Kommas getrennt werden.Für E-Mail-bezogene Benachrichtigungsaktionen gibt es ein Dropdown-Menü, das Ihnen dieAuswahl einer E-Mail-Vorlage ermöglicht. Es gibt auch einen Link, der in einem neuen Fenster dieSeiteNachrichtenvorlage öffnet. Auf dieser Seite können Sie Ihre eigene Nachrichtenvorlageanpassen. Aktivieren Sie dieses Dropdown-Menü, indem Sie das Kontrollkästchen rechts nebendem Textfeld CC: deaktivieren.

Profil Installieren, entfernen oder blockieren Sie ein bestimmtes Geräteprofil, einen Geräteprofiltypoder eine Konformitätsrichtlinie.Konformitätsprofile werden auf dieselbeWeise erstellt und gespeichert wie die Geräteprofile„Automatisch“ und „Optional“. Navigieren Sie zu Geräte > Profile und Ressourcen > Profileund wählen Sie anschließend Hinzufügen sowie Profil hinzufügen. Wählen Sie eine Plattformund auf der Profilregisterkarte Allgemein die Option „Konformität“ in der Dropdown-EinstellungZuweisungstyp aus. Konformitätsprofile werden auf den Registerkarten Aktionen der SeiteKonformitätsrichtlinie hinzufügen angewendet, wenn ein Endanwender gegen eineKonformitätsrichtlinie verstößt. Wählen Sie Konformitätsprofil installieren aus demDropdown-Menü und anschließend das zuvor gespeicherte Konformitätsprofil aus.

Nur Eskalationen

SchaltflächeEskalationhinzufügen

Erstellt eine Eskalation. Beim Hinzufügen von Eskalationen wird empfohlen, die Sicherheit vonAktionen mit jeder weiteren Eskalation zu erhöhen.

Nach ...Zeitintervall

Sie können die Eskalation in Minuten, Stunden oder Tagen verzögern.

...Führen Sie diefolgendenAktionen aus

Wiederholen – Aktivieren Sie dieses Kontrollkästchen, um die Eskalation in einem bestimmtenIntervall zu wiederholen, bevor die nächste geplante Aktion beginnt.


189



Für macOS können Sie folgende Aktionen durchführen:

Tipp: Führen Sie Geräteabfragen für nicht konforme iOS 7-Geräte und höher durch, um die Zeitspanne zwischenWiederherstellung der Gerätekonformität durch den Anwender und der Erkennung dieser Änderung durchAirWatch zu verkürzen. Um diese Stichprobe festzulegen, navigieren Sie zu Gruppen und Einstellungen >Einstellungen > Geräte und Anwender > Apple > MDM-Stichprobenplan und legen Sie Stichprobe auf nichtkonformen Geräten fest.

6. Um zu bestimmen, welche Geräte der Konformitätsrichtlinie unterzogen bzw. davon ausgeschlossen werden sollen,füllen Sie die Registerkarten Zuweisung und Übersicht auf der Seite „Konformitätsrichtlinie hinzufügen“ aus.Danach können Sie die Richtlinie mithilfe des Registerkarte „Übersicht“ benennen, abschließen und aktivieren.


Verwaltet von Wählen Sie die Organisationsgruppe aus, von der diese Konformitätsrichtlinie verwaltet werdensoll.

ZugewieseneGruppen

Weisen Sie dieser Richtlinie eine oder mehrere Gruppen zu. Weitere Informationen finden Sieunter Übersicht über Zuweisungsgruppen auf Seite 73.

Ausschlüsse Wenn Sie Gruppen ausschließen möchten, wählen Sie Ja aus. Wählen Sie anschließend eineGruppe aus der verfügbaren Liste von Gruppen im Textfeld Ausgeschlossene Gruppen aus.Siehe Ausschließen von Smartgruppen aus Profilen und Richtlinien auf Seite 82.

SchaltflächeGerätezuweisunganzeigen

Zeigen Sie eine Liste der von dieser Konformitätsrichtlinienzuweisung betroffenen Geräte an.

Obwohl „Plattform“ ein Kriterium in einer Smartgruppe ist, hat die im Geräteprofil oder in der Konformitätsrichtliniekonfigurierte Plattform immer Vorrang vor der Plattform der Smartgruppe. Wird beispielsweise ein Geräteprofil fürdie iOS-Plattform erstellt, wird dieses Profil nur an iOS-Geräte zugewiesen, auch wenn die Smartgruppe Android-Geräte enthält.

7. Nachdem Sie die Zuweisung dieser Richtlinie festgelegt haben, wählen SieWeiter. Die RegisterkarteÜbersichtwirdangezeigt.

l Geben Sie einen Namen und eine aussagekräftige Beschreibung der Konformitätsrichtlinie ein.

l Wählen Sie eine der folgenden Optionen:

o Fertigstellen – Speichern Sie Ihre Konformitätsrichtlinie, ohne sie auf zugewiesenen Geräten zu aktivieren.

o Fertigstellen und aktivieren – Speichern Sie die Richtlinie und wenden Sie sie auf alle betroffenen Geräte an.


190



Gerätezuweisung anzeigen

Wählen Sie beim Konfigurieren einer KonformitätsrichtlinieGerätezuweisung anzeigen auf der Registerkarte Zuweisungaus. Daraufhin wird die SeiteGerätezuweisung anzeigen angezeigt. Mit dieser Seite können Sie prüfen, welche Gerätebetroffen (oder nicht betroffen) sind.

In der Spalte Zuweisungsstatuswerden folgende Einträge für die in der Liste aufgeführten Geräte angezeigt.

l Hinzugefügt – Die Konformitätsrichtlinie wurde dem aufgeführten Gerät hinzugefügt.

l Entfernt – Die Konformitätsrichtlinie wurde vom Gerät entfernt.

l Unverändert – Das Gerät bleibt von den Änderungen an der Konformitätsrichtlinie unberührt.

Wählen Sie Veröffentlichen aus, um die Änderungen abzuschließen und veröffentlichen Sie ggf. erneut erforderlicheKonformitätsrichtlinien.


191



Kapitel 12:Gerätetags

Übersicht über Gerätetags 193

Filtern von Geräten nach Tags 193

Erstellen eines neuen Tags 193

Hinzufügen von Tags 194

Verwalten von Tags 195

192



Übersicht über GerätetagsGerätetags ermöglichen Ihnen die Identifizierung eines bestimmten Geräts ohne Geräteprofil, Smartgruppe oderKonformitätsrichtlinie und ohne Erstellung eines Hinweises.

Tags werden beispielsweise verwendet, wenn ein Gerät eine defekte Batterie, eine gebrochene Blende oder einenbeschädigten Bildschirm aufweist und Sie das Gerät über die AirWatch Konsole identifizieren möchten. Mit Tags werdenauch Hardwarevarianten sichtbarer identifiziert als mit Modellnummer oder Beschreibung.

Es kann beispielsweise sein, dass zwei PCs dieselbeModellnummer aufweisen, aber leicht unterschiedliche CPUs undanwenderdefinierte Speicher haben. Tagging bei Hardware ermöglicht einemühelose Identifikation dieser Geräte.

Tags und Smartgruppen

Die Tag-Funktion wurde in Smartgruppen integriert, was bedeutet, dass Tags zur Festlegung einer Smartgruppeverwendet werden können.

Wenn Sie beispielsweise alle Gerätemit kosmetischen Schäden in Ihrer Flotte markiert haben, können Sie diese Geräte ineiner Smartgruppe zusammenfassen. Diese Smartgruppe können Sie dann von dem Pool an Geräten ausschließen, denSie vorübergehend für Gäste bestimmt haben.

Ein weiteres Beispiel ist das Tagging von Geräten mit schwacher Leistungsstärke. Sie können dann eine Smartgruppedieser markierten Geräte erstellen und diese Geräte von geschäftskritischen Zuweisungen ausschließen.

Filtern von Geräten nach TagsSie können mit der Filterfunktion in der Gerätelistenansicht ausschließlich Gerätemit bestimmten Tags anzeigen.

1. Navigieren Sie zu Geräte > Listenansicht und wählen Sie die Schaltfläche Filter. Daraufhin wird links neben derGeräteliste die Spalte Filter angezeigt.

2. Wählen Sie Erweiterungen in der Liste der Filterkategorien aus.

3. Wählen Sie Tags, wobei es sich um eine Unterkategorie von Erweiterungen handelt.

4. Aktivieren Sie in der Liste der Tags die Kontrollkästchen aller Gerätetags, die Sie anzeigen möchten. Gerätemitdeaktivierten Tags werden aus der Ergebnisliste herausgefiltert. Die Listenansicht für Gerätewird mit Auswahl desersten Tags sofort automatisch aktualisiert.

Erstellen eines neuen TagsTags können erstellt werden, um Geräte auf visuellereWeise zu identifizieren, als mit freundlichen Namen,Geräteprofilen, Smartgruppen oder Konformitätsrichtlinien. Erstellen Sie ein neues Tag in der Gerätelistenansicht.

Kapitel 12: Gerätetags

193



1. Navigieren Sie zu Geräte > Listenansicht.

2. Wählen Sie durch Aktivieren des Kontrollkästchens links neben dem Geräteeintrag ein Gerät aus.

3. Klicken Sie aufMehr und wählen Sie im Dropdown-Menü Tag hinzufügen. Die Seite Tag-Zuweisungwird angezeigt.

4. Wählen SieNEUES TAG.

5. Geben Sie den Namen des neuen Tags ein und wählen Sie eine Farbe.

6. Klicken Sie aufHinzufügen, um das Tag zu speichern.

Wahlweise können Sie auch zu Gruppen und Einstellungen navigieren, um ein Tag zu erstellen.

1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Anwender > Erweiterungen >Tags.

2. Wählen Sie dieOrganisationsgruppe, zu der das Tag gehören soll, und anschließend Hinzufügen.

3. Geben Sie auf der Seite „Tag hinzufügen“ den Namen des Tags ein.

4. Wählen Sie den Typ des Tags, den Sie hinzufügen möchten – Allgemein oder Gerät.


Hinzufügen von TagsSie können einem Gerät Tags hinzufügen, um es ohne Hinweise, Profile, Richtlinien, oder dem Gerät einen speziellenfreundlichen Namen gegeben zu haben, identifizieren zu können.

Hinzufügen von Tags zu einem einzelnen Gerät

Wenn Sie schnell einmalige Änderungen an Geräte-Tags vornehmen müssen, können Sie einem einzelnen Gerätproblemlos ein oder mehrere Tags hinzufügen.


194



1. Navigieren Sie zu Geräte > Listenansicht und wählen Sie das Gerät aus, das markiert werden soll. Durch Auswahleines Geräts über eine dieser zweiMethoden werden die Schaltflächen Senden undWeitere Aktionen angezeigt.

l Zeigen Sie dieDetailansicht an, indem Sie das Gerät aus der Liste auswählen.

l Aktivieren Sie das Kontrollkästchen neben dem Gerät.

2. Klicken Sie auf die SchaltflächeWeitere Aktionen und wählen Sie Tag hinzufügen. Die Seite Tag-Zuweisungwird miteiner Liste der verfügbaren Tags angezeigt, die für Ihr ausgewähltes Gerät verfügbar sind.

3. Wählen Sie alle Tags, die dem Gerät zugewiesen werden sollen. Sie können mehr als ein Tag auswählen.

4. Wählen Sie Speichern, um ein oder mehrere Tags auf das Gerät anzuwenden.

Hinzufügen von Tags zu mehreren Geräten

Sie können ein Tag (oder mehrere Tags) einem oder mehreren Geräten zuweisen, was sich bei größeren Mengen alszeitsparend erweisen kann.

1. Navigieren Sie zu Geräte > Listenansicht.

2. Aktivieren Sie das Kontrollkästchen neben jedem Gerät, das markiert werden soll.

3. Wählen SieWeitere Aktionen und dann Tag hinzufügen. Die Seite Tag-Zuweisungwird mit einer Liste der Tagsangezeigt, die für Ihre ausgewählten Geräte verfügbar sind.

4. Wählen Sie die Tags aus, die allen ausgewählten Geräten zugewiesen werden sollen. Sie können mehr als ein Tagauswählen.

5. Wählen Sie Speichern, um ein oder mehrere Tags auf die Geräte anzuwenden.

Verwalten von TagsSobald Sie eine Sammlung mehrerer Gerätetags haben, können Sie bestehende Tags bearbeiten, Tags von Gerätenentfernen und nicht verwendete Tags löschen.

Bearbeiten eines Tags

Sie können ein vorhandenes Tag bearbeiten, wenn Sie dieses umbenennen oder dessen Typ und die Farbe derMarkierung ändern möchten.

1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Anwender > Erweiterungen >Tags, und wählen Sie entweder die Schaltfläche Bearbeiten ( ) oder den Namen des zu bearbeitenden Tags. NurTags, die Teil einer untergeordneten Organisationsgruppe oder der momentan ausgewählten Organisationsgruppesind, können bearbeitet werden.

2. Nehmen Sie gewünschte Änderungen an den Einstellungen fürName und Typ vor.


Entfernen eines Tags

Ein Tag, das nicht mehr auf das Gerät zutrifft, kann entfernt bzw. dieMarkierung kann aufgehoben werden.


195



1. Navigieren Sie zur Detailansicht des Gerätes.

2. Wählen Sie die RegisterkarteÜbersicht und scrollen Sie auf der SeiteGeräteinformationen ganz nach unten, wo Siealle Tags finden, die dem Gerät momentan zugewiesen sind.

3. Wählen Sie das X neben jedem einzelnen Tags, das Sie entfernen möchten.

Hinweis: Die Entfernung eines Tags von einem Gerät (auch „Aufhebung der Markierung“ genannt) ist nicht mit derLöschung eines Geräts gleichzusetzen.

Löschen eines Tags

Ein Tag, das keinem Gerät zugewiesen ist und keinem Zweck mehr dient, kann gelöscht werden.

1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Anwender > Erweiterungen >Tags.

2. Wählen Sie das X neben dem Tag, das Sie löschen möchten.


196



Kapitel 13:Verwalten von Geräten

Übersicht über die Verwaltung von Geräten 198

Geräte-Dashboard 198

Gerätelistenansicht 199

Gerätedetails 205

Geräteaktionen nach Plattform 209

Registrierungsstatus 215

Wipe-Schutz 218

AirWatch Hub 220

Berichte und Analysen 223

197



Übersicht über die Verwaltung von GerätenVerwalten Sie Geräte in Ihrer Flotte und führen Sie auf den unterschiedlichen Seiten in der AirWatch Admin-KonsoleFunktionen auf einer bestimmten Reihe von Gerät durch.

Sie können den Datenfluss mit dem Hub überprüfen, mit dem Device Dashboard einen näheren Blick auf Ihre Flottewerfen, Geräte gruppieren und angepasste Listen mit der Listenansicht für Geräte erstellen.

Sie können auch Berichte generieren und mühelos Geräte anhand von Tags identifizieren. Zudem können Sie das Self-Service Portal (SSP) einrichten, um Endanwendern zu ermöglichen, ihre eigenen Geräte zu verwalten und dieMitarbeiterdes Helpdesk zu entlasten.

Geräte-DashboardSie können neu registrierte Geräte über das AirWatch Geräte-Dashboard verwalten. Das Geräte-Dashboard bietet einenÜberblick über Ihre gesamte Geräteflotte sowie eine schnelleMöglichkeit, Aktionen für einzelne Geräte auszuführen.

Sie können grafische Darstellungen relevanter Gerätedaten zu Ihrer Flotte prüfen, wie beispielsweise Gerätebesitztyp,Konformitätsstatistiken sowie Plattform- und Betriebssystemstrukturen. Sie können auf die einzelnen Gerätesätze in dendargestellten Kategorien zugreifen, indem Sie eine der verfügbaren Datenansichten vom Geräte-Dashboard auswählen.

In dieser Listenansicht können Sie administrative Aktionen ausführen, wie Nachrichten senden, Geräte sperren, Gerätelöschen und zum Gerät gehörende Gruppen ändern.

l Sicherheit – Sehen Sie die häufigsten Ursachen für Sicherheitsprobleme in Ihrer Geräteflotte ein. Wählen Sie einRingdiagramm. Daraufhin wird eine gefilterte Listenansicht für Geräte angezeigt, die von dem ausgewähltenSicherheitsproblem betroffen sind. Falls die Plattform dies unterstützt, können Sie über eine KonformitätsrichtlinieMaßnahmen für diese Geräte ergreifen.

o Kompromittiert – Anzahl und Prozentsatz der kompromittierten Geräte (mit Jailbreak oder Root-Zugriff) in IhrerBereitstellung.

o Kein Passcode – Anzahl und Prozentsatz der Geräte ohne einen zur Sicherheit konfigurierten Passcode.

o Keine Verschlüsselung – Anzahl und Prozentsatz der Geräte, die nicht zur Sicherheit verschlüsselt sind. Die

Kapitel 13: Verwalten von Geräten

198



Android-SD-Kartenverschlüsselung wird in dieser gemeldeten Zahl nicht berücksichtigt. Nur Android-Geräte, diekeine Festplattenverschlüsselung aufweisen, werden in dem Ringdiagramm dargestellt.

l Besitz – Sehen Sie die Gesamtzahl der Geräte in allen Besitzkategorien ein. Wählen Sie einen Teil desBalkendiagramms aus. Daraufhin wird eine gefilterte Listenansicht für Geräte der kompromittierten Geräteangezeigt, die von dem ausgewählten Besitztyp betroffen sind.

l Übersicht „Zuletzt gesehen“ / Aufgliederung „Zuletzt gesehen“ – Sehen Sie Anzahl und Prozentsatz der Geräte ein,die vor kurzem mit dem AirWatch MDM-Server kommuniziert haben. Wenn mehrere Geräte beispielsweise seit über30 Tagen nicht gesehen wurden, wählen Sie das entsprechenden Balkendiagramm aus, um nur diese Geräteanzuzeigen. Sie können dann all diese gefilterten Geräte auswählen und ihnen eine Nachricht senden, in der sie zumCheck-in aufgefordert werden.

l Plattformen – Sehen Sie die Gesamtzahl der Geräte in allen Geräteplattformkategorien ein. Wählen Sie einBalkendiagramm. Daraufhin wird eine gefilterte Listenansicht für Geräte von kompromittierten Geräten unter derausgewählten Plattform angezeigt.

l Registrierung – Sehen Sie die Gesamtzahl der Geräte in den einzelnen Registrierungskategorien ein. Wählen Sie einBalkendiagramm. Daraufhin wird eine gefilterte Listenansicht für Geräte von kompromittierten Geräten mit demausgewählten Registrierungsstatus angezeigt.

l Aufgliederung der Betriebssysteme – Sehen Sie die Geräte in Ihrer Flotte auf Grundlage des Betriebssystems ein. Esgibt separate Diagramme für Apple iOS, Android, Windows Phone und Windows Robust. Wählen Sie einBalkendiagramm. Daraufhin wird eine gefilterte Listenansicht für Geräte von kompromittierten Geräten mit derausgewählten BS-Version angezeigt.

GerätelistenansichtWählen SieGeräte > Listenansicht, um eine vollständige Auflistung aller Geräte in der momentan ausgewähltenOrganisationsgruppe einzusehen.

In der Spalte Zuletzt gesehenwird ein Indikator angezeigt, der die Anzahl der Minuten angibt, die seit dem Geräte-Check-in verstrichen ist. Der Indikator ist je nach der unter Timeout der Geräteinaktivität (Min) definierten Anzahl vonMinuten rot oder grün. Dieser Indikator kann unter Gruppen und Einstellungen > Alle Einstellungen > Geräte undAnwender > Allgemein > Erweiterungen festgelegt werden.

Wählen Sie jederzeit ein Gerät in der Spalte Allgemeine Info, um die Detailseite für dieses Gerät zu öffnen.

Sortieren Sie nach Spalten und konfigurieren Sie Informationsfilter, um auf Grundlage bestimmter InformationenGeräteaktivitäten zu prüfen. So können Sie beispielsweise nach der Spalte Konformitätsstatus sortieren, um nur dieGeräte anzuzeigen, die zurzeit nicht konform sind, und ausschließlich für diese GeräteMaßnahmen zu ergreifen.Durchsuchen Sie alle Geräte nach einem freundlichen Namen oder Anwendernamen, um ein Gerät oder einen Anwenderherauszufiltern.

Anpassen des Layouts der Gerätelistenansicht

Wählen Sie die Schaltfläche Layout und dann die Option Anwenderdefiniert, um die vollständige Liste der sichtbarenSpalten in der Listenansicht für Geräte anzuzeigen. In dieser Ansicht können Sie Spalten der Geräteliste nach IhrenWünschen aus- und einblenden.

Sie haben auch dieMöglichkeit, Ihre angepasste Spaltenansicht für alle Administratoren in oder unterhalb dermomentanen Organisationsgruppe anzuwenden. Falls Sie beispielsweise die „Anlagennummer“ nicht sehen wollen,


199



können Sie diese Spalte in einer Organisationsgruppe und in den Listenansichten für Geräte aller untergeordnetenOrganisationsgruppen ausblenden.

Wenn Sie alle Anpassungen vorgenommen haben, wählen Sie die Schaltfläche Akzeptieren, um Ihre Spalteneinstellungenzu speichern und diese neue Spaltenansicht anzuwenden. Sie können jederzeit zu den Einstellungen für die SchaltflächeLayout zurückkehren und Ihre Spaltenanzeigeeinstellungen anpassen.

Durchsuchen der Gerätelistenansicht

Sie können nach einem einzelnen Gerät suchen, um schnell auf dessen Informationen zuzugreifen und Remoteaktionenauf dem Gerät auszuführen.

Um eine Suche auszuführen, navigieren Sie zu Geräte > Listenansicht, wählen Sie die Leiste Liste durchsuchen und gebenSie einen Anwendernamen, einen anwenderfreundlichen Gerätenamen oder ein beliebiges anderes Element zurIdentifizierung des Geräts ein. Durch diese Aktion wird eine Suche auf allen Geräten mit Ihrem Suchparameter in deraktuellen Organisationsgruppe und in allen untergeordneten Gruppen gestartet.

Cursor-Popups in der Gerätelistenansicht

Jedes Gerät in der Spalte Allgemeine Informationen ist oben rechts mit einem QuickInfo-Symbol versehen. Wenn einAnwender (mit einem mobilen Touchscreengerät) auf dieses Symbol tippt oder (mittels eines PC oder Mac)mit einemMauszeiger über dieses Symbol fährt, wird eine Cursor-Popup-Meldung angezeigt. Dieses Popup-Fenster enthältInformationen wie Freundlicher Name, Organisationsgruppe, Gruppen-ID, Verwaltung und Besitz.

Einige QuickInfo-Symbole befinden sich in der Gerätelistenansicht in den Spalten Registrierung und Konformitätsstatus.Diese QuickInfo-Symbole enthalten Cursor-Popups, die Registrierungsdatum bzw. Konformitätsverstöße anzeigen.

Filtern von Geräten in der Listenansicht

Mit den verfügbaren Filtern können Sie gesamte Gerätekategorien herausfiltern. Anhand dieser Filter wird es Ihnenermöglicht, nur die Geräte zu sehen, an denen Sie interessiert sind.

l Verwaltung

l Besitz

l Smartgruppen

l Anwendergruppen

l Gerätetyp (Plattform, BS-Version, die von derWahl der Plattform abhängig ist)

l Sicherheit („Gefährdet“, Verschlüsselung, Passcode)


200



l Status (Registrierungsstatus, „Zuletzt gesehen“, Konformität, Registrierungsverlauf)

l Erweitert

o MAC-Adresse – Filtern Sie nach der Media Access Control-Adresse eines Geräts.

o IP-Bereich – Filtern Sie Geräte nach der ihnen momentan zugewiesenen IP-Adresse.

o Tags – Zeigen Sie Geräte nach deren zugewiesenen Tags an, die Sie über ein Dropdown-Menü suchen und auswählen können.

o Tunnel – Wählen Sie zwischen der Anzeige aller Geräte, die mit dem Tunnel verbunden sind oder nicht verbunden sind.

o Inhaltskonformität – Wählen Sie bei der Anzeige zwischen allen Geräten, Geräten, denen erforderliche Dokumente fehlen, sowieGeräten, denen nur die aktuelle Version der erforderlichen Inhalte fehlt.

Sie können auch gezielt nach bestimmten Informationen über alle Anwender und Geräte hinweg suchen. Damit erhaltenSie dieMöglichkeit, nach einem Anwendernamen (z.B. „Lieschen Müller“) oder Gerätetyp zu suchen.

Hinzufügen eines Gerätes aus der Listenansicht

Sie können ein Gerät einschließlich Anwenderzuweisung, anwenderdefinierte Attribute und Tagging hinzufügen oderregistrieren. Um ein neues Gerät über Geräte > Listenansicht oder Geräte > Lebenszyklus > Registrierungsstatushinzuzufügen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die SchaltflächeGerät hinzufügen. Die SeiteGerät hinzufügenwird angezeigt. Füllen Sie die folgendenFelder auf der Registerkarte Anwender aus.


Anwender

Suchtext Jedes Gerät muss einem Anwender zugewiesen werden. Suchen Sie nacheinem Anwender, indem Sie Suchparameter in das Textfeld eingeben und aufdie Schaltfläche Anwender suchen klicken. Sie können einen Anwender ausden Suchergebnissen auswählen oder auf den Link Neuen Anwendererstellen klicken.

Neuen Anwender erstellen

Sicherheitstyp Wählen Sie zwischen Standard- und Verzeichnisanwendern. WeitereInformationen finden Sie unter Standardmäßige Anwenderauthentifizierungauf Seite 39 und Active Directory-/LDAP-Authentifizierung auf Seite 40.

Anwendername Geben Sie den Anwendernamen ein, unter dem Ihr Anwender in IhrerAirWatch Umgebung identifiziert ist.

Kennwort, Kennwort bestätigen Geben Sie das Kennwort entsprechend dem Anwendernamen ein undbestätigen Sie dieses.

E-Mail-Adresse Geben Sie die E-Mail-Adresse für das Anwenderkonto ein.

Registrierungsorganisationsgruppe Die Organisationsgruppe (OG), die als Registrierungs-OG für dieGeräteregistrierung dient.


201




Erweiterte Anwenderdetailsanzeigen

Aktivieren Sie das Kontrollkästchen, um alle erweiterten Anwenderdetailsanzuzeigen, einschließlich umfassender Informationen zu Anwendername,Rufnummer des Anwenders, Name des Managers sowie optionalerIdentifikationseinstellungen wie Abteilung, Mitarbeiter-ID und Kostenstelle.

Wählen Sie die standardmäßige Anwenderrolle für den Anwender aus, denSie hinzufügen, wodurch die Berechtigungen dieses Anwenders bei derVerwendung eines verbundenen Geräts festgelegt werden. WeitereInformationen finden Sie unter Anwenderrollen auf Seite 64.

Gerät

Voraussichtlicher freundlicherName

Geben Sie den Namen des Geräts ein, der in der Gerätelistenansichterscheint. Sie können dabei Suchwerte verwenden, die es Ihnen erlauben,anwender-, geräte- und bereitstellungsspezifische Variablen in denfreundlichen Namen einzufügen. Dazu gehören unter anderem E-Mail-Adresse, Mobilfunknummer, Seriennummer des Geräts,Organisationsgruppe.

Organisationsgruppe Wählen Sie die Organisationsgruppe aus dem Dropdown-Menü aus, der dasGerät zugeordnet werden soll.

Besitz Wählen Sie den Gerätebesitz aus dem Dropdown-Menü aus. Sie könnenzwischen Keine(r/s), Unternehmen – Dediziert, Unternehmen –Gemeinschaftsgerät undMitarbeitereigenwählen.

Plattform Wählen Sie die Plattform des Geräts aus dem Dropdown-Menü aus.

Erweiterte Optionen zuGerätedaten anzeigen

Aktivieren Sie das Kontrollkästchen, um alle Einstellungen für erweiterteGeräteinformationen anzuzeigen.

Einstellungen für erweiterte Geräteinformationen

Modell Wählen Sie das Gerätemodell aus der Dropdown-Liste aus. Die Inhalte diesesDropdown-Menüs hängen davon ab, welche Auswahl in dem Dropdown-Menü Plattform getroffen wurde.

BS Wählen Sie das Betriebssystem des Geräts aus der Dropdown-Liste aus. DieInhalte dieses Dropdown-Menüs hängen davon ab, welche Auswahl in demDropdown-Menü Plattform getroffen wurde.

UDID Geben Sie den eindeutigen Bezeichner des Geräts (UDID) ein.

Seriennummer Geben Sie die Seriennummer des Geräts ein.

IMEI Geben Sie die 15-stellige IMEI-Nummer (InternationalMobile StationEquipment Identity) des Geräts ein.

SIM Geben Sie die SIM-Kartendaten des Geräts ein.

Anlagennummer Geben Sie die Anlagennummer des Geräts ein. Diese Nummer wird intern vonIhrer Organisation erstellt und in diesem Feld festgehalten.


202




Messaging

Nachrichtentyp Wählen Sie die Art der Benachrichtigung aus (Keine(r/s), SMS oder E-Mail),die nach erfolgreicher Registrierung bei der AirWatch Umgebung an das Gerätgesendet werden soll.

E-Mail-Adresse Geben Sie die E-Mail-Adresse ein, an die die Registrierungsnachricht gesendetwerden soll.

Dieses Feld wird nur dann angezeigt, wenn „E-Mail“ als Nachrichtentypausgewählt wurde.

E-Mail-Nachrichtenvorlage Wählen Sie die E-Mail-Vorlage aus dem Dropdown-Menü aus. Verwenden Sieden Link zum Öffnen der Seite „Nachrichtenvorlage“, auf der Sie eine neue E-Mail-Nachrichtenvorlage erstellen können.

Telefonnummer Geben Sie die Rufnummer ein, an die die SMS gesendet werden soll.

Dieses Feld wird nur dann angezeigt, wenn „SMS“ als Nachrichtentypausgewählt wurde.

SMS-Nachrichtenvorlage Wählen Sie die SMS-Vorlage aus dem Dropdown-Menü aus. Verwenden Sieden Link zum Öffnen der Seite „Nachrichtenvorlage“, auf der Sie eine neueSMS-Nachrichtenvorlage erstellen können.

2. Wahlweise können Sie dem Gerät auch anwenderdefinierte Attribute zuweisen. Wählen Sie die SchaltflächeHinzufügen und geben Sie ein Attribut und den entsprechendenWert ein.

3. Optional können Sie dem Gerät auch Tags zuweisen. Wählen Sie die SchaltflächeHinzufügen und wählen Sie fürjedes zuzuweisende Tag ein Tag aus dem Dropdown-Menü aus.


Massenaktionen in der Gerätelistenansicht

Nachdem Sie eine Untergruppe an Geräten gefiltert haben, können Sie für mehrere GeräteMassenaktionen durchführen,indem Sie die Geräte und eine Aktion über die Gruppe von Aktionsschaltflächen auswählen.

Weitere Informationen finden Sie unter Auswählen von Geräten in der Gerätelistenansicht auf Seite 204.

Massenaktionen sind nur in der Gerätelistenansicht verfügbar, wenn sie in den Systemeinstellungen aktiviert sind(Gruppen und Einstellungen > Alle Einstellungen > System > Sicherheit > Eingeschränkte Aktionen). Fürkennwortgeschützte Aktionen ist eine PIN erforderlich.

Bei in der Listenansicht ausgewählten Geräten wird die Anzahl der ausgewählten Geräte neben den Aktionsschaltflächenangezeigt. Diese Zahl beinhaltet auch gefilterte Geräte, die ebenfalls ausgewählt wurden.

Massenverwaltungslimit in der Gerätelistenansicht

Um bei der Verwaltung einer großen Geräteflotte einen reibungslosen Ablauf zu gewährleisten, können Sie einemaximaleGeräteanzahl für den Empfang eines Massenaktionsbefehls festlegen.


203



Ändern Sie diese Limits, indem Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Anwender >Erweiterungen > Massenverwaltung navigieren.

Wenn bei vorhandenemMassenverwaltungslimit mehrere Geräte ausgewählt werden, wird ein Link neben der Nachrichtbezüglich der Anzahl der ausgewählten Elemente angezeigt: Einige Aktionen sind aufgrund von Mengenlimitsdeaktiviert..

Warnung bezüglich Massenaktion in Warteschlange in der Gerätelistenansicht

Die Verarbeitung von Massenaktionen nimmt Zeit in Anspruch. Wenn Sie während der Verarbeitung einer vorhandenenMassenaktion in der AirWatch Konsole eine neueMassenaktion initiieren, wird eineWarnmeldung angezeigt.

„Ihre vorherigen angeforderten Massenaktionen werden noch bearbeitet. DieseAnforderung wird ausgeführt, sobald vorherige Aktionen abgeschlossen sind.Möchten Sie die momentane Anforderung fortsetzen?“

Wählen Sie Ja aus, um die neueMassenaktion in dieWarteschlange zu setzen. Wählen SieNein aus, um die neueMassenaktion abzubrechen.

Auswählen von Geräten in der Gerätelistenansicht

Sie können einzelne Geräte auf einer Seite auswählen, indem Sie links neben jedem Gerät die jeweiligen Kontrollkästchenaktivieren. Zudem können Sie über mehrere Seiten hinweg einen Geräteblock auswählen. Sie können sogar alle Geräte inIhrer gesamten Flotte auswählen, wodurch möglicherweise dieWarnung „Eingeschränkte Aktionen“ ausgelöst wird.

Auswählen eines Geräteblocks

Sie können auch einen zusammenhängenden Block an Geräten auswählen, der sich sogar über mehrere Seitenerstrecken kann, indem Sie das Kontrollkästchen neben dem Gerät am Anfang der Liste aktivieren. Halten Sie dann dieUmschalttaste gedrückt und aktivieren Sie das Kontrollkästchen neben dem Gerät am Ende der Liste. Diese Aktion ähneltder Blockauswahl in Windows- und Mac-Umgebungen und ermöglicht Ihnen die Zuweisung von Massenaktionen für diejeweiligen ausgewählten Geräte.

Auswählen aller Geräte

Um alle Geräte in der Liste auszuwählen oder deren Auswahl aufzuheben, kann das Kontrollkästchen „Global“ linksneben der Kopfzeile der Spalte Zuletzt gesehen verwendet werden. Enthält Ihre Listensicht eine Auflistung gefilterterGeräte, kann das Kontrollkästchen „Global“ verwendet werden, um alle gefilterten Geräte auszuwählen oder die Auswahlaufzuheben.

Ein grünes Minuszeichen ( ) im Kontrollkästchen „Global“ bedeutet, dass mindestens ein aber nicht alle Geräteausgewählt sind. Wählen Sie dieses Symbol erneut aus, so wird aus demMinuszeichen ein Häkchen ( ). Dadurch wirdangezeigt, dass alle Geräte in der (gefilterten und nicht gefilterten) Auflistung ausgewählt wurden. Wählen Sie es eindrittes Mal aus, so wird daraus ein leeres Kontrollkästchen ( ). Dadurch wird angezeigt, dass momentan keine Geräte indieser Auflistung aktiviert sind.

Ein Video zum Auswählen von Geräten und zu Massenaktionen finden Sie unter https://support.air-watch.com/articles/115001664748.


204





Warnung „Eingeschränkte Aktionen“ bei Auswahl aller Geräte

Wenn Sie eine Aktion unter Auswahl aller Geräte Ihrer Geräteflotte aktivieren, erscheint folgendeWarnmeldung:

„Sie versuchen, diese Aktion an [Anzahl der ausgewählten Geräte] Gerätenvorzunehmen. Beachten Sie, dass diese Aktion möglicherweise nicht für alleGeräte gilt. Bestimmte Beschränkungen dieser Aktion beziehen sich aufRegistrierungsstatus, Verwaltungstyp, Geräteplattform, Modell oderBetriebssystem.“

DieseWarnung führt die Vielfalt vor Augen, die eine große Geräteflotte mit zahlreichen unterschiedlichen Herstellern,Betriebssystemen und Funktionen mit sich bringt. Dies hängt nicht mit derMassenverwaltungsbeschränkung undmöglichen, dadurch generierten Warnungen zusammen. Bei einer aktivenMassenverwaltungsbeschränkungwürde dieWarnmeldung Eingeschränkte Aktion nicht angezeigt werden.

GerätedetailsVerwenden Sie die Seite „Gerätedetails“, um detaillierte Informationen für ein einzelnes Gerät anzuzeigen und schnell aufAnwender- und Geräteverwaltungsaktionen zuzugreifen.

Sie gelangen zu Gerätedetails, indem Sie den freundlichen Namen eines Geräts von einem der verfügbaren Dashboardswählen oder die verfügbaren Suchtools in der AirWatch Konsole verwenden.


205



Die Hauptseite ist in mehrere wesentliche Abschnitte unterteilt.

l Benachrichtigungs-Badges – Zeigt kompromittierten Zustand, Konformitätsverletzungen, Registrierungsdatum undden Status „Zuletzt gesehen“ des ausgewählten Geräts an.

l Sicherheit – Zeigt Sicherheitseinstellungen an, z.B. verwendete Verwaltungssoftware, Passcode-Status undDatenschutzmaßnahmen.

l Anwender-Info – Zeigt wesentliche Anwenderinformationen, wie vollständigen Namen und E-Mail-Adresse an.

l Geräteinformation – Zeigt Gerätedetails an, z.B. Organisationsgruppe, Standort, Smartgruppen, Seriennummer,UDID, Anlagennummer, Status der Stromversorgung, Speicherkapazität, physischen Speicher undGarantieinformationen.

l Profile – Zeigt alle Profile an, z.B. installierte (aktive), zugewiesene (inaktive) sowie nicht verwaltete (über Sideloadinggeladene) Profile.

l Anwendungen – Zeigt alle installierten Anwendungen an, sowohl automatische als auch On-Demand-Anwendungen.

l Inhalte – Zeigt alle installierten Inhalte an, z.B. vom Anwender hinzugefügte Dokumente.

l Zertifikate – Führt alle installierten Zertifikate auf, einschließlich Zertifikatemit baldigem Ablaufdatum.


206



Dashboard für Gerätedetails

Auf dem Dashboard werden wesentliche Geräteinformationen angezeigt, wie Gerätetyp, Gerätemodell, BS-Versionsnummer, Besitztyp, interaktiver Geräteaktionsschaltflächen-Cluster und Indikator „Zuletzt verwendete Liste“.

Bei Auswahl der Pfeilschaltflächen im Indikator Zuletzt verwendete Liste ändert sich das ausgewählte Gerät je nachdessen Position in der gefilterten Listenansicht.

Aktionsschaltflächen-Cluster für Gerätedetails

Führen Sie durch das Aktionsschaltflächen-Cluster gängige Geräteaktionen wie „Abfragen“, „Senden [Nachricht]“,„Sperren“ sowie weitere Aktionen über die SchaltflächeWeitere Aktionen durch.

Die verfügbaren Geräteaktionen variieren je nach Plattform, Gerätehersteller und -modell, Registrierungsstatus sowie derjeweiligen Konfiguration Ihrer AirWatch Konsole. Eine komplette Liste der Remoteaktionen, die von einem Administratorüber die AirWatch Konsole ausgeführt werden können, finden Sie unter Geräteaktionen nach Plattform auf Seite 209.

Menüregisterkarten zu Gerätedetails

Für den Zugriff auf bestimmte Geräteinformationen können SieMenüregisterkarten verwenden, die je nach dergewählten Geräteplattform variieren.

Menüregisterkarte Beschreibung

Zusammenfassung Prüfen Sie allgemeine Statistiken, wie beispielsweise Registrierungsstatus, Konformität, „Zuletztgesehen“, GPS-Verfügbarkeit, Plattform/Modell/BS, Organisationsgruppe, Seriennummer, Statusder Stromversorgung, Speicherkapazität, sowie physischen und virtuellen Speicher.

Konformität Prüfen Sie Status, Richtlinienname, Datum der vorherigen und bevorstehendenKonformitätsprüfung sowie die bereits auf dem Gerät ausgeführten Aktionen. Die RegisterkarteKonformität enthält erweiterte Funktionen zur Problembehandlung und Zweckmäßigkeit:

l Bei nicht konformen Geräten und bei Geräten mit ausstehendem Konformitätsstatus stehenFunktionen zur Problembehandlung zur Verfügung. Sie können Konformität auf Gerätebasis

( ) neu bewerten oder detaillierte Informationen über den Konformitätsstatus auf demGerät ( ) abrufen.

l Anwender mit reiner Leseberechtigung können bestimmte Konformitätsrichtlinien direktüber die Registerkarte Konformität einsehen; Anwender mit Administratorzugriff hingegenkönnen Konformitätsrichtlinien bearbeiten.

Profile Prüfen Sie alle momentan zugewiesenen, installierten und nicht verwalteten Profile auf einemGerät.


207




Apps Prüfen Sie alle momentan zugewiesenen und auf dem Gerät installierten Apps.

Inhalte Prüfen Sie Status, Typ, Name, Version, Priorität, Bereitstellung, letzte Aktualisierung, Datum undZeit der Ansichten sowie bestätigte Inhalte auf dem Gerät. Diese Registerkarte enthält eineSymbolleiste für administrative Aktionen (installieren oder löschen).

Standort Prüfen Sie den aktuellen Standort oder Standortverlauf eines Geräts. Wählen Sie den Zeitraumoder die Zeitdauer aus, den bzw. die Sie bei der Suche nach Standortdatenpunkt zurückblicken.Mithilfe des anwenderdefinierten Zeitraums können Sie einen Datums- und Zeitbereich in 5-Minuten-Inkrementen auswählen.

Aktivieren Sie die Sammlung von Standortdaten, indem Sie zu Gruppen und Einstellungen > AlleEinstellungen > Geräte und Anwender navigieren und die plattformspezifische Seite Agent-Einstellungen auswählen. Weitere Informationen zu Standortdaten in Bezug auf Datenschutzfinden Sie unter GPS-Koordinaten zum Datenschutz – BewährteMethoden auf Seite 28.

Bearbeiten Sie die Anzahl der erfassten Standortdatenpunkte und dieMindestentfernungzwischen den Standorten, indem Sie zu Gruppen und Einstellungen > Alle Einstellungen >Installation > Karten navigieren.

Anwender Greifen Sie auf Informationen über den Anwender eines Geräts sowie auf den Status der anderenfür diesen Anwender registrierten Geräte zu.

Mehr Diese zusätzlichen Menüregisterkarten variieren je nach Geräteplattform.

l Netzwerk – Prüfen Sie die aktuellen Netzwerkinformationen eines Geräts (Mobilfunk, WLAN,Bluetooth, IMEI).

l Sicherheit – Prüfen Sie den aktuellen Sicherheitsstatus eines Geräts auf Grundlage derSicherheitseinstellungen.

l Telekommunikation – Prüfen Sie alle gesendeten und empfangenen Mengen an Anrufen,Daten und Nachrichten.

l Hinweise – Prüfen Sie Hinweise bezüglich des Geräts, und fügen Sie solche Hinweise hinzu.Vermerken Sie beispielsweise den Versandstatus, oder dass sich das Gerät momentan inReparatur befindet oder es außer Betrieb ist.

l Zertifikate – Identifizieren Sie Gerätezertifikate nach Name und Aussteller. Diese Registerkartegibt auch die Ablaufdaten des Zertifikats an.

l Bereitstellung – Prüfen Sie den vollständigen Verlauf und den Status aller dem Gerätbereitgestellten Pakete sowiemögliche Bereitstellungsfehler.

l Nutzungsbedingungen – Zeigen Sie eine Liste der Nutzungsbedingungen an, die bei derRegistrierung des Geräts akzeptiert wurden.


208




Mehr(Forts.)

l Warnungen – Prüfen Sie alle mit dem Gerät zusammenhängenden Warnungen.

l Gemeinschaftsgeräteprotokoll – Prüfen Sie den Verlauf bezüglich Gemeinschaftsgeräten,einschließlich vergangener Check-ins und Check-outs sowie des Status.

l Statusverlauf – Prüfen Sie den Geräteverlauf bezüglich des Registrierungsstatus.

l Gezielte Protokollierung – Prüfen Sie die Protokolle von Konsole, Katalog, Gerätediensten,Geräteverwaltung und Self-Service Portal. Ein bereitgestellter Link ermöglicht Ihnen, diegezielte Protokollierung zu konfigurieren (Alle Einstellungen > Administrator > Diagnose >Protokollierung).

l Problembehandlung – Prüfen Sie Protokollierungsinformationen unter Ereignisprotokollund Befehle. Diese Seite enthält Export- und Suchfunktionen, die Ihnen gezielteSuchvorgänge und Analysen ermöglicht.

o Ereignisprotokoll – Sehen Sie detaillierte Fehlerbehebungsinformationen und Server-Check-ins ein, einschließlich Filter nach Ereignisgruppentyp, Datumsbereich,Schweregrad,Modul und Kategorie.

In der Ereignisprotokoll-Auflistung befinden sich in der Spalte Ereignisdaten eventuellHypertextlinks, über die Sie weitere Details zum Ereignis in einem separaten Fensteranzeigen können. Diese Informationen ermöglichen Ihnen eine tiefgreifendereProblembehandlung, zum Beispiel bei der Nachforschung, warum ein Profil nichtinstalliert wurde.

o Befehle – Sehen Sie eine detaillierte Auflistung ausstehender, in der Warteschlangebefindlicher und abgeschlossener Befehle ein, die an das Gerät gesendet wurden. Enthälteinen Filter, mit dem Sie Befehle nach Kategorie, Status und einem bestimmten Befehlfiltern können.

l Anlagen – Verwenden Sie diesen Speicherplatz auf dem Server für Screenshots, Dokumenteund Links zur Problembehandlung und für andere Zwecke, ohne dafür Speicherplatz auf demGerät in Anspruch zu nehmen.

Geräteaktionen nach PlattformAls AirWatch Administrator können Sie Befehle auf Geräten Ihrer Flotte einzeln oder massenweise remote ausführen.Verschiedene Plattformen bieten dabei unterschiedliche Aktionen. Jede dieser plattformspezifischen Geräteaktionen undderen Definitionen stellen Befehle dar, die ein Administrator über die AirWatch Konsole ausführen kann.

Weitere Informationen finden Sie unter Beschreibungen der Geräteaktionen auf Seite 211.

Aktion AndroidAppleiOS

macOSAppleTV

ChromeBS

QNXWindowsRugged

Windows 7WindowsPhone

WindowsDesktop

Tag hinzufügen ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

AirWatch Agent (Abfrage) ✓ ✓ ✓ (*)

Anwendungsremoteansicht ✓ ✓ ✓


209




macOSAppleTV

ChromeBS

QNXWindowsRugged


WindowsDesktop

Apps (Abfrage) ✓ ✓ ✓ ✓ (*) ✓ ✓

Bücher (Abfrage) ✓

Zertifikate (Abfrage) ✓ ✓ ✓ ✓ ✓ (*) ✓ ✓

Geräte-Passcode ändern ✓ ✓

Organisationsgruppe ändern ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Besitz ändern ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Aktivierungssperre aufheben ✓

Passcode zurücksetzen (Gerät) ✓ ✓ ✓ ✓

Passcode zurücksetzen (Container) ✓

Passcode zurücksetzen(Restriktionseinstellung) ✓

Passcode zurücksetzen (SSO) ✓ ✓

Gerät löschen ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Geräteinformationen (Abfrage) ✓ ✓ ✓ ✓ ✓ ✓ ✓ (*) ✓ ✓

Geräte-Wipe ✓ ✓ ✓ ✓ ✓ ✓

Gerät bearbeiten ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Modus „Verloren“ de-/aktivieren ✓

Registrieren ✓ ✓ ✓ ✓ ✓ ✓

Enterprise-Zurücksetzung ✓ ✓

Enterprise Wipe ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Dateimanager ✓ ✓ ✓

Gerät finden ✓ ✓ ✓

iOS-Update ✓

Standort ✓ ✓ ✓ ✓ ✓ ✓

Gerät sperren ✓ ✓ ✓ ✓ ✓ ✓

SSO sperren ✓ ✓

Verwaltete Einstellungen ✓

Auf „Nicht stören“ setzen ✓ ✓

Auftragsprotokollebene überschreiben ✓

Profile (Abfrage) ✓ ✓ ✓ ✓ ✓ (*)

Jetzt bereitstellen ✓ ✓

Alle abfragen ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Gerät neu starten ✓


210




macOSAppleTV

ChromeBS

QNXWindowsRugged


WindowsDesktop

Registrierungsmanager ✓

Remotesteuerung ✓ ✓ ✓

Remoteverwaltung ✓ ✓ ✓ ✓ ✓ ✓

Remoteansicht ✓

Gerät umbenennen ✓

Debug-Protokoll anfordern ✓

Geräte-Check-in anfordern ✓ ✓ ✓ ✓

Gerätestandort anfordern ✓

AirWatch Agent neu starten ✓

Sicherheit (Abfrage) ✓ ✓ ✓ ✓ (*) ✓ ✓

Nachricht senden ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

AirPlay starten ✓ ✓

AWCM starten ✓ ✓

AWCM beenden ✓ ✓

Gerät synchronisieren ✓ ✓ ✓

Task-Manager ✓

Manifest anzeigen ✓

Warmstart ✓ ✓

(*) DieseWindows 7-Geräteaktion wird durch Ausführung des Befehls „Alle abfragen“ erfüllt. Dadurch werden dieselben Informationen zurückgegeben, als wennindividuelle Abfragebefehle separat ausgeführt werden würden.

Beschreibungen der Geräteaktionen

Nehmen Sie Einsicht auf detaillierte Beschreibungen aller Aktionen, die von der Konsole auf einem Gerät remoteausgeführt werden können.

l Tag hinzufügen –Weisen Sie einem Gerät ein anpassbares Tag zu, das zur Identifizierung eines bestimmten Geräts inIhrer Flotte verwendet werden kann.

l AirWatch Agent (Abfrage) – Senden Sie einen Abfragebefehl an AirWatch Agent auf dem Gerät, um sicherzustellen,dass dieser auf dem Gerät installiert ist und ordnungsgemäß funktioniert.

l Anwendungsremoteansicht – Nehmen Sie in einer installierten Anwendung eine Reihe von Screenshots auf, undsenden Sie diese an die Seite „Remoteansicht“ in der Admin-Konsole. Sie können die Anzahl der Screenshots und dieLänge der Dauer (in Sekunden) zwischen den Screenshots wählen.

l Anwendungen (Abfrage) – Senden Sie einen Abfragebefehl an das Gerät, um eine Liste der installiertenAnwendungen abzurufen.

l Bücher (Abfrage) – Senden Sie einen Abfragebefehl an das Gerät, um eine Liste mit installierten Büchernzurückzugeben.


211



l Zertifikate (Abfrage) – Senden Sie einen Abfragebefehl an das Gerät, um eine Liste der installierten Zertifikatezurückzugeben.

l Geräte-Passcode ändern – Ersetzen Sie alle vorhandenen Geräte-Passcodes, die zum Zugriff auf ausgewählte Geräteverwendet werden, durch einen neuen Passcode.

l Organisationsgruppe wechseln – Ändern Sie die Startorganisationsgruppe des Geräts in eine andere, bereitsvorhandene OG. Weist eine Option zum Auswählen einer statischen oder dynamischen OG auf.

l Besitz ändern: Ändern Sie gegebenenfalls die Besitzeinstellungen für ein Gerät. Zur Auswahl stehen „Unternehmen –Dediziert“, „Unternehmen – Gemeinschaftsgerät“, „Mitarbeitereigen“ und „Undefiniert“.

l Aktivierungssperre aufheben – Heben Sie die Aktivierungssperre auf einem iOS-Gerät auf. Ist die Aktivierungssperreaktiviert, so benötigt der Anwender eine Apple-ID sowie ein Kennwort, bevor folgende Aktionen ausgeführt werdenkönnen: Deaktivieren von „Mein iPhone suchen“, Zurücksetzen des Geräts aufWerkseinstellungen und Reaktivierenzur Benutzung des Geräts.

l Passcode löschen (Container) – Löschen Sie den containerspezifischen Passcode. Diese Funktion ist für Situationenbestimmt, in denen Anwender den Container-Passcode ihres Geräts vergessen haben.

l Passcode löschen (Gerät) – Löschen Sie den Geräte-Passcode. Diese Funktion ist für Situationen bestimmt, in denenAnwender ihr Geräte-Passcode vergessen haben.

l Passcode löschen (Restriktionseinstellung) – Löschen Sie den Passcode, der Gerätefunktionen, wieAnwendungsinstallation, Safari-Nutzung, Kameranutzung usw. beschränkt.

l Passcode löschen (SSO) – Löschen Sie den SSO-Passcode. Diese Funktion ist für Situationen bestimmt, in denenAnwender ihren Single Sign-On-Passcode vergessen haben.

l Gerät löschen – Löschen Sie ein Gerät, und heben Sie die Registrierung dieses Geräts in der Admin-Konsole auf. Mitdieser Aktion werden keine Daten vom Gerät selbst, sondern nur deren Darstellung in der Konsole entfernt.

l Geräteinformationen (Abfrage) – Senden Sie einen Abfragebefehl an das Gerät, um grundlegendeGeräteinformationen, wie freundlichen Namen, Plattform, Modell, Organisationsgruppe, Version desBetriebssystems und Besitzstatus, zurückzugeben.

l Geräte-Wipe – Entfernen Sie sämtliche Daten von einem Gerät, einschließlich E-Mails, Profile und MDM-Funktionen,und setzen Sie das Gerät somit auf dieWerkseinstellungen zurück. Falls zutreffend, schließt dies alle persönlichenAnwenderinformationen mit ein. Diese Aktion kann nicht rückgängig gemacht werden.

l Gerät bearbeiten – Bearbeiten Sie Gerätedaten, wie Freundlicher Name, Anlagennummer, Gerätebesitz,Gerätegruppe und Gerätekategorie.

l Modus „Verloren“ aktivieren/deaktivieren – Verwenden Sie diese Option zum Sperren eines Geräts und zumSenden einer Nachricht, Rufnummer oder SMS an den Sperrbildschirm. Der Modus „Verloren“ kann vom Anwenderselbst nicht deaktiviert werden. Wenn der Modus „Verloren“ von einem Administrator deaktiviert wird, kehrt dasGerät zur normalen Funktion zurück. Anwender erhalten eine Nachricht, in der Sie darüber informiert werden, dassder Standort ihres Geräts freigegeben wurde. (Überwachte iOS 9.3+-Geräte)

o Gerätestandort anfordern – Fragen Sie ein Gerät im Modus „Verloren“ ab und verwenden Sie die Registerkarte„Standort“, um das Gerät ausfindig zu machen. (Überwachte iOS 9.3+-Geräte)


212



l Registrieren – Senden Sie eine Nachricht an Geräteanwender, die sie dazu auffordert, ihre Geräte zu registrieren.Wahlweise können Sie eine Nachrichtenvorlage verwenden, die Registrierungsinformationen, wie eine Schritt-für-Schritt-Anleitung und hilfreiche Links, enthält. Diese Aktion ist nur auf nicht registrierten Geräten verfügbar.

l Enterprise-Zurücksetzung – Setzen Sie ein Gerät auf dieWerkseinstellungen zurück und behalten Sie dabei nur dieVMware AirWatch Registrierung bei.

l Enterprise Wipe – Heben Sie die Registrierung eines Geräts auf, und entfernen Sie alle verwaltetenUnternehmensressourcen, einschließlich Anwendungen und Profile. Diese Aktion kann nicht rückgängig gemachtwerden. Zur Verwaltung dieses Geräts durch VMware AirWatch ist eine erneute Registrierung erforderlich. EnthältOptionen, um eine spätere erneute Registrierung zu verhindern, sowie das Feld Hinweisbeschreibung, in dem Siewichtige Informationen zu dieser Aktion hinterlassen können.

o EnterpriseWipe wird nicht für Geräte, die in Clouddomänen eingebunden sind, unterstützt.

l Dateimanager – Starten Sie einen Dateimanager in der AirWatch Konsole, der es Ihnen ermöglicht, remote dieInhalte eines Geräts anzuzeigen, Ordner hinzuzufügen, Suchen auszuführen und Dateien hochzuladen.

l Gerät suchen – Senden Sie an die entsprechende VMware AirWatch Anwendung eine Textnachricht sowie einenhörbaren Ton (mit den Optionen, die Anzahl der Wiederholungen der Töne sowie die Länge zwischen den Tönen inSekunden festzulegen). Dieser hörbare Ton sollt den Anwender dabei helfen, das verlegte Gerät zu finden.

l iOS Update – Übertragen Sie eine Betriebssystemaktualisierung per Push auf ein oder mehrere iOS-Geräte. Dies trifftnur auf überwachte, DEP-registrierte Gerätemit iOS-Version 9 oder höher zu. Weitere Informationen finden Sie imLeitfaden zur VMware AirWatch iOS-Plattform, verfügbar über AirWatch Resources.

l Standort – Blenden Sie mit der GPS-Funktion eines Geräts dessen Standort auf einer Karte ein.

l Gerät sperren – Sperren Sie den Bildschirm eines ausgewählten Geräts, woraufhin das Gerät unbrauchbar wird, bis esentsperrt wird. Hier finden Sie optionale Felder für eine benutzerdefinierteNachricht, Rufnummer undHinweisbeschreibung.

l SSO sperren – Sperren Sie den Zugriff auf VMware AirWatch Container und alle beteiligten Anwendungen für denGeräteanwender.

l Verwaltete Einstellungen – Aktivieren oder deaktivieren Sie Sprachroaming, Datenroaming und private Hotspots.

l Auf „Nicht stören“ setzen – Setzen Sie das Gerät auf „Nicht stören“, und verhindern Sie dadurch, dass esNachrichten, E-Mails, Profile und andere eingehende Interaktionen empfängt. Nur bei Geräten, die aktiv als „Nichtstören“ markiert sind, ist die Aktion „Nicht stören“ löschen verfügbar, wodurch die Restriktionen zurückgesetztwerden.

l Auftragsprotokollebene überschreiben – Überschreiben Sie die zurzeit festgelegte Ebene derAuftragsereignisprotokollierung auf dem ausgewählten Gerät. Diese Aktion bestimmt dieProtokollierungsausführlichkeit der Aufträge, die durch Produktbereitstellung per Push übertragen wurden, undüberschreibt die unter Android Agent-Einstellungen momentan festgelegte Protokollebene. „Auftragsprotokollebeneüberschreiben“ kann zurückgesetzt werden, indem auf dem Aktionsbildschirm das Dropdown-Menüelement AufStandardeinstellung zurücksetzen ausgewählt oder die Auftragsprotokollebene unter der Kategorie„Produktbereitstellung“ in den Android Agent-Einstellungen geändert wird.

l Profile (Abfrage) – Senden Sie einen Abfragebefehl an das Gerät, um eine Liste mit installierten Geräteprofilenzurückzugeben.


213



l Jetzt bereitstellen – Stellen Sie einem Gerät Produkte bereit. Die Bereitstellung ist die Fähigkeit, eineordnungsgemäße Installation von Dateien, Aktionen, Profilen und Anwendungen in einem einzigen Produkt zuerstellen, das dann per Push auf Geräte übertragen werden kann.

l Alle abfragen – Senden Sie einen Abfragebefehl an das Gerät, um eine Liste aller installierten Anwendungen(einschließlich VMware AirWatch Agent, sofern zutreffend), Bücher, Zertifikate, Gerätedaten, Profile undSicherheitsmaßnahmen zurückzugeben.

l Gerät neu starten – Führen Sie einen Remoteneustart eines Geräts aus, wodurch Sie den Effekt des Ein- undWiedereinschaltens erzielen.

l Registrierungsmanager – Starten Sie in der AirWatch Konsole einen Registrierungsmanager, der es Ihnen ermöglicht,remote die Registrierung des Betriebssystems eines Geräts einzusehen, Schlüssel hinzuzufügen, Suchen auszuführenund Eigenschaften hinzuzufügen.

l Remotesteuerung –Mit dieser Aktion übernehmen Sie remote die Steuerung über ein unterstütztes Gerät. Dabeiwird eine Konsolenanwendung gestartet, durch die Sie Support für das Gerät bereitstellen und Fehler behandelnkönnen.

l Remoteverwaltung – Übernehmen Sie mit dieser Aktion die Steuerung über ein unterstütztes Gerät. Durch dieseAktion wird eine Konsolenanwendung gestartet, die es Ihnen ermöglicht, Support und Problembehandlung für dasGerät zu bieten.

l Remoteansicht – Aktivieren Sie einen aktiven Fluss des Geräteoutputs an ein Ziel Ihrer Wahl (einschließlich IP-Adresse, Port, Audio-Port, Kennwort und Scanzeit). Dadurch wird es Ihnen ermöglicht, zu sehen, was die Anwenderbeim Betrieb ihres Geräts sehen.

l Gerät umbenennen – Ändern Sie den freundlichen Namen des Gerätes in der AirWatch Konsole.

l Debug-Protokoll anfordern – Fordern Sie das Debug-Protokoll auf einem ausgewählten Gerät an. Darauf können Siedas Protokoll einsehen, indem Sie die RegisterkarteMehr und dann Anlagen > Dokumente auswählen. DiesesProtokoll wird als Textdatei geliefert und kann zur Problembehandlung und zum Support verwendet werden.

l Geräte-Check-in anfordern – Fordern Sie an, dass sich das ausgewählte Geräte bei der AirWatch Konsole anmeldet.Mit dieser Aktion wird der Status der Spalte Zuletzt gesehen aktualisiert.

l AirWatch Agent neu starten – Führen Sie einen Neustart von VMware AirWatch Agent aus. Diese Funktion wird zurProblembehandlung verwendet, wenn der Registrierungs- oder der Submodulinstallations-Prozess unterbrochenwird.

l Sicherheit (Abfrage) – Senden Sie einen Abfragebefehl an das Gerät, um eine Liste mit den aktivenSicherheitsmaßnahmen (Gerätemanager, Verschlüsselung, Passcode, Zertifikate usw.) abzurufen.

l Nachricht senden – Senden Sie eine Nachricht an den Anwender des ausgewählten Geräts. Wählen Sie E-Mail, Push-Benachrichtigung oder SMS.

l AirPlay starten – Streamen Sie audiovisuelle Inhalte vom Gerät an die AirWatch Konsole mit dem Apple ProprietaryWireless Streaming Protocol. Sie müssen dieMAC-Adresse (Media Access Control) und Scanzeit (in Sekunden)angeben. Dazu ist iOS 4.2 oder höher erforderlich.

l AWCM starten/stoppen – Starten/stoppen Sie den AirWatch Cloud Messaging-Dienst für das ausgewählte Gerät.VMware AirWatch Cloud Messaging (AWCM) optimiert die Übertragung von Nachrichten und Befehlen von der


214



AirWatch Konsole, sodass der Endanwender nicht auf das öffentliche Internet zugreifen oder Anwenderkonten, wieGoogle-IDs, verwenden muss.

l Gerät synchronisieren – Synchronisieren Sie das ausgewählte Gerät mit der AirWatch Konsole, wodurch der StatusZuletzt gesehen angeglichen wird.

l Task-Manager – Starten Sie einen Dateimanager in der AirWatch Konsole, der es Ihnen ermöglicht, remote diemomentan auf einem Gerät laufenden Aufgaben einzusehen, einschließlich Name, Prozess-ID und gegebenenfallsvon Ihnen getroffene Aktionen.

l Manifest anzeigen – Sehen Sie das Paketmanifest eines Geräts im XML-Format von der AirWatch Konsole ein. ImManifest aufWindows Robust-Geräten werden Metadaten für Widgets und Anwendungen aufgeführt.

l Warmstart – Veranlassen Sie einen Neustart des Betriebssystems, ohne einen Selbsttest (POST) durchzuführen.

RegistrierungsstatusVerwenden Sie die Seite Registrierungsstatus, um auf Registrierungsstatus auf einer Einzelgerätebasis zuzugreifen,Gerätemassenweise zu importieren und einzutragen, Geräte per Whitelist zuzulassen und per Blacklist zu sperren undGerätetokens zu widerrufen oder zurückzusetzen.

Wählen SieGeräte > Lebenszyklus > Registrierungsstatus, um eine komplette Auflistung aller Geräte der momentanausgewählten Organisationsgruppe nach Registrierungsstatus zu sehen.

Sortieren Sie nach Spalten und konfigurieren Sie Informationsfilter, um auf Grundlage bestimmter InformationenGeräteaktivitäten zu prüfen. Sortieren Sie beispielsweise die Spalte Tokenstatus, um nur die Geräte zu prüfen, derenEintragung nicht in Kraft ist, und ergreifen SieMaßnahmen für ausschließlich diese Geräte. Durchsuchen Sie alle Gerätenach einem freundlichen Namen oder Anwendernamen, um ein Gerät oder einen Anwender herauszufiltern.


215




Filter Sie können durch Filter gesamte Gerätekategorien herausfiltern, sodass Sie nur die von Ihnengewünschten Geräte sehen.

l Registrierungsstatus

l Plattform

l Besitz

l Tokenstatus

l Tokentyp

l Quelle

l Zuerst gesehen

Hinzufügen l Gerät eintragen – Sie können ein einzelnes Gerät zur Registrierung eintragen oderHinzufügen.

l Blacklisting und Whitelisting von Geräten – Es können nur Geräte registriert werden, dievon Ihnen identifiziert oder auf dieWhitelist gesetzt wurden. Wahlweise können Sie Gerätezur Registrierung beschränken, indem Sie diese auf einer Blacklist erfassen.

l Batch-Import – Fügen Sie Geräte oder Anwender massenweise über die Seite „Batch-Import“ hinzu.

Weitere Informationen finden Sie unter Hinzufügen eines Gerätes aus der Listenansicht aufSeite 201, Hinzufügen eines auf der Blacklist oder Whitelist erfassten Gerätes auf Seite 129 undBatch-Import von Anwendern oder Geräten auf Seite 54.

Nachricht erneutsenden

Senden Sie dem Anwender die ursprüngliche Nachricht erneut, einschließlich Self-Service Portal-URL, Gruppen-ID und Anmeldedaten.

Weitere Aktionen

Organisationsgruppeändern

Verschieben Sie das ausgewählte Gerät in die Organisationsgruppe Ihrer Wahl.

Besitz ändern Ändern Sie den Besitztyp für das ausgewählte Gerät.

Löschen Löschen Sie dauerhaft die Eintragungsinformationen für ausgewählte Geräte. Durch dieseAktion muss sich der Anwender neu eintragen, um sich zu registrieren. Wo zutreffend müssenSie zuerst das Token widerrufen, bevor Sie eine Geräteeintragung löschen.

Token zurücksetzen Setzen Sie beiWiderruf oder Ablauf den Status eines Tokens zurück.

Token widerrufen Setzen Sie durch, dass der Eintragungstokenstatus ausgewählter Geräte abläuft, wodurch imWesentlichen der Zugriff für nicht gewünschte Anwender und Geräte blockiert wird.

Für die Aktionen Token zurücksetzen und Token widerrufen können Sie das Feld Anwenderverständigen deaktivieren, wodurch das Senden der standardmäßigen E-Mail-Benachrichtigungverhindert wird.


216




Auswählen mehrererGeräte

Führen Sie auf einzelnen oder mehreren Geräten Aktionen aus, indem Sie das Kontrollkästchenneben jedem Gerät aktivieren und die Aktionsschaltflächen verwenden.

Nachdem Sie einen Filter angewendet haben, um einen bestimmten Gerätesatz anzuzeigen,können SieMassenaktionen für mehrere ausgewählte Geräte durchführen. Führen Sie dieseAktion durch, indem Sie die Geräte und eine Aktion über die Schaltflächen Nachricht erneutsenden undWeitere Aktionen auswählen.

Sie können die einzelnen Kontrollkästchen aktivieren. Sie können auch das globaleKontrollkästchen oben in der Kontrollkästchenspalte aktivieren und so alle herausgefiltertenGeräte auswählen.

Wenn Sie eine Aktion für ein oder mehrere Geräte wählen, wird eine Bestätigungsseiteangezeigt, auf der Sie Ihre Aktion Speichern oder Abbrechen können.

Layout Wählen Sie die Option Anwenderdefiniert, um alle verfügbaren Spalten anzuzeigen. In dieserAnsicht können Sie Spalten beliebig ein- und ausblenden.

Sie haben auch dieMöglichkeit, Ihre angepasste Spaltenansicht für alle Administratoren in oderunterhalb der momentanen Organisationsgruppe anzuwenden.

Sie können jederzeit zur Schaltfläche Layout zurückkehren und IhreSpaltenanzeigeeinstellungen ändern.

Detailansicht des Registrierungsstatus

Sie können jederzeit in der Spalte Allgemeine Info den freundlichen Namen eines Geräts auswählen, um dieDetailansicht für das Gerät zu öffnen.

In der Detailansicht können Sie über die SchaltflächeNachricht erneut senden die Registrierungsnachricht erneutsenden. Sie können die Eintragungsinformationen eines Geräts auch bearbeiten, indem Sie die Schaltfläche Eintragungbearbeitenwählen und den Abschnitt Erweiterte Geräteinformationen ausfüllen.

DieDetailansicht zeigt eine Reihe von Registerkarten an, die wichtige Eintragungsinformationen über das Gerätenthalten.

l Übersicht – Prüfen Sie das Eintragungsdatum, die verstrichene Zeit, seitdem das Gerät zum ersten Mal gesehenwurde, sowie grundlegende Geräte- und Anwenderinformationen.

l Anwender – Prüfen Sie detaillierte Anwenderinformationen.

l Nachricht – Prüfen Sie die ausgehende Geräteaktivierungs-E-Mail-Nachricht, einschließlich der Anmeldedaten unddes QR-Codes. Es gibt eine Ressource, die „Anwenderregistrierungsnachricht“, die dem AirWatch Administratorermöglicht, die RegisterkarteNachricht auszublenden, nachdem das Gerät erfolgreich registriert wurde.

l Anwenderdefinierte Attribute – Prüfen Sie die zum Gerät gehörenden, anwenderdefinierten Attribute. WeitereInformationen zu anwenderdefinierten Attributen finden Sie im VMware AirWatch Product Provisioning andStaging Guide, verfügbar unter Zugreifen auf andere Dokumente auf Seite 241.

l Tags – Prüfen Sie die momentan zu den Geräten gehörenden Tags. Weitere Informationen finden Sie unter Übersichtüber Gerätetags auf Seite 193.


217



l Offline-Registrierung – Sofern verfügbar, ermöglicht diese Registerkarte Ihnen, Ihr Gerät zu registrieren, auch wennes offline ist. Das erweist sich besonders dann als nützlich, wenn Sie das Maximum der geplanten Nutzungszeit auseinem Gerät herausholen wollen, wenn dieses sich in einem nicht verfügbaren Zustand befindet (z.B. auf Reisen).

Wipe-SchutzDie Remotezurücksetzung von berechtigten Unternehmensinhalten, auch als „EnterpriseWipe“ bezeichnet, wirddurchgeführt, wenn ein Gerät verloren geht oder gestohlen wird. Sie dient als Schutz vor dem Risiko einerunbeabsichtigten Offenlegung von Unternehmensinhalten gegenüberWettbewerbern.

Unter bestimmten Umständen werden jedoch mehrere Geräte durch Vorgänge wie etwa mit der Compliance Engine undandere automatisierte Anweisungen für eine Zurücksetzung geplant. Als Administrator sollten Sie sich darüberinformieren, wann eine solche Anweisung geplant ist, um dieMöglichkeit zu haben, ggf. eingreifen zu können.

Konfigurieren Sie dieWipe-Schutzeinstellungen durch Festlegen eines Wipe-Schwellenwerts, der die minimale Anzahlgewipter Geräte in einem bestimmten Zeitraum darstellt. Wenn innerhalb von 20Minuten mehr als 10 Geräte gewiptwerden, können Sie alle zukünftigen Wipes zurückhalten, bis Sie dieWipe-Befehle überprüft haben.

In Wipe-Protokollen können Sie prüfen, wann und aus welchem Grund Geräte gewipt wurden. Nachdem Sie dieInformationen geprüft haben, können Sie die zurückgehaltenen Wipe-Befehle akzeptieren oder ablehnen, und dasSystem entsperren, um den Wipe-Schwellenwertzähler zurückzusetzen.

Konfigurieren der Wipe-Schutzeinstellungen für verwaltete Geräte

Legen Sie einen Wipe-Schwellenwert für verwaltete Geräte fest und benachrichtigen Sie Administratoren per E-Mail, wennder Schwellenwert erreicht wird. Diese Einstellungen können Sie nur in der globalen Organisationsgruppe oder derOrganisationsgruppe der Kundenebene konfigurieren.

1. Navigieren Sie zu Geräte > Lebenszyklus > Einstellungen > Wipe-Schutz für verwaltete Geräte.

2. Konfigurieren Sie folgende Einstellungen:


GewipteGeräte

Geben Sie die Anzahl der gewipten Geräte als Schwellenwert zum Auslösen des Wipe-Schutzes ein.

Innerhalb(Minuten)

Geben Sie den Wert für Innerhalb (Minuten) ein. Dabei handelt sich um die Zeitdauer, während derdieWipes auftreten müssen, um den Wipe-Schutz auszulösen.

E-Mail Wählen Sie eine Nachrichtenvorlage für die E-Mail an Administratoren.

Erstellen Sie eine Nachrichtenvorlage für den Wipe-Schutz, indem Sie zu Geräte und Anwender >Allgemein > Nachrichtenvorlagen navigieren. Fügen Sie dann eine neue Vorlage hinzu und wählenSieGerätelebenszyklus für Kategorie undWipe-Schutzbenachrichtigung für Typ. Sie können folgendeSuchwerte als Teil Ihrer Nachrichtenvorlage verwenden:

l {EnterpriseWipeInterval} – DerWert von Innerhalb (Minuten) auf der Einstellungsseite.

l {WipeLogConsolePage} – Ein Link zur Seite „Wipe-Protokoll“.

An Geben Sie die E-Mail-Adressen der Administratoren ein, die die Benachrichtigung erhalten sollen. Siesollten nur Administratoren benachrichtigen, die Zugang zur Seite „Wipe-Protokoll“ haben.



218



Konfigurieren der Wipe-Schutzeinstellungen für nicht verwaltete Geräte

In seltenen Fällen können automatische EnterpriseWipe-Befehle an nicht verwaltete Geräte gesendet werden.Verwenden Sie dieselben Wipe-Schwellenwerteinstellungen wie für verwaltete Geräte. Sobald dieser Schwellenwerterreicht ist, gibt das System eineMeldung über die eingegangene E-Mail aus und verschiebt alle nachfolgendenEnterpriseWipe-Befehle, bis ein Administrator eine andere Einstellung vornimmt. Diese Einstellungen können Sie nur inder globalen Organisationsgruppe oder der Organisationsgruppe der Kundenebene konfigurieren.

1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Anwender > Erweiterungen >Wipe-Schutz für nicht verwaltete Geräte.

2. Konfigurieren Sie folgende Einstellungen:


GewipteGeräte

Geben Sie die Anzahl der gewipten Geräte als Schwellenwert zum Auslösen des Wipe-Schutzes ein.

Innerhalb(Minuten)

Geben Sie den Wert für Innerhalb (Minuten) ein. Dabei handelt sich um die Zeitdauer, während derdieWipes auftreten müssen, um den Wipe-Schutz auszulösen.

E-Mail Wählen Sie eine Nachrichtenvorlage für die E-Mail an Administratoren.

Erstellen Sie eine Nachrichtenvorlage für den Wipe-Schutz, indem Sie zu Geräte und Anwender >Allgemein > Nachrichtenvorlagen navigieren. Fügen Sie dann eine neue Vorlage hinzu und wählenSieGerätelebenszyklus für Kategorie undWipe-Schutzbenachrichtigung für Typ. Sie können folgendeSuchwerte als Teil Ihrer Nachrichtenvorlage verwenden:

l {EnterpriseWipeInterval} – DerWert von Innerhalb (Minuten) auf der Einstellungsseite.

l {WipeLogConsolePage} – Ein Link zur Seite „Wipe-Protokoll“.

An Geben Sie die E-Mail-Adressen der Administratoren ein, die die Benachrichtigung erhalten sollen. Siesollten nur Administratoren benachrichtigen, die Zugang zur Seite „Wipe-Protokoll“ haben.

EnterpriseWipeszulassen

Aktiviert die Durchführung von EnterpriseWipes auf nicht verwalteten Geräten. Diese Einstellung iststandardmäßig aktiviert.


Anzeigen vonWipe-Protokollen

Sie können die SeiteWipe-Protokolle einsehen und prüfen, wann und aus welchem Grund Geräte gewipt wurden.Nachdem Sie die Informationen geprüft haben, können Sie alle gesperrten Wipe-Befehle akzeptieren oder ablehnen unddas System entsperren, um den Wipe-Schwellenwertzähler zurückzusetzen.

Ist das System gesperrt, sehen Sie oben auf der Seite ein Banner, das diesen Status anzeigt.

1. Navigieren Sie zu Geräte > Lebenszyklus > Wipe-Protokoll. Der Zugriff auf die SeiteWipe-Protokoll wird durch dieRessource „Bericht – Geräte-Wipe-Protokoll“ verwaltet und steht standardmäßig System-, SaaS- und AirWatchAdministratoren zur Verfügung. Sie können diese Ressource jeder anwenderdefinierten Administratorrolle über dieSeite Administratorrolle erstellen hinzufügen.

Weitere Informationen finden Sie unter Erstellen von Administratorrollen auf Seite 66.


219



2. Für das Wipe-Protokoll stehen folgende Filter-Parameter zur Verfügung.

l Datumsbereich

l Wipe-Typ

l Status

l Quelle

l Besitz

3. Sehen Sie die Geräteliste ein und bestimmen Sie, ob es sich bei den aufgeführten Geräten um gültigeWipes handelt.Geräte, bei denen Aktionen ausstehen, haben den Status „Zurückgehalten“. Geräte, die vor der erreichtenSchwellenwertgrenze gewipt wurden, werden als „Verarbeitet“ angezeigt.

a. Handelt es sich um gültigeWipes, wählen Sie jedes einzelne Gerät und dannWipe(s) zulassen aus derBefehlsliste. Der Status wechselt dann zu „Zulässig“.

b. Handelt es sich nicht um gültigeWipes, wählen Sie jedes einzelne Gerät und dannWipe(s) ablehnen aus derBefehlsliste. Der Status wechselt dann zu „Abgelehnt“.

Nachdem Sie für jedes Gerät Maßnahmen ergriffen haben, entsperren Sie das System, um den Schwellenwertzählerdes Gerätes auf Null zurückzusetzen und zuzulassen, dass Wipe-Befehle ausgeführt werden, bis dieSchwellenwertgrenze erreicht ist.

4. Wählen Sie oben auf der Seite System entsperren.

Sie können diese Aktion nur in der globalen Organisationsgruppe oder der Organisationsgruppe der Kundenebeneausführen.

AirWatch HubDer VMware AirWatch Hub ist Ihr zentrales Portal für den schnellen Zugriff auf kritische Informationen. Sie könnenschnell wichtige Probleme erkennen und von einem zentralen Ort in der AirWatch Konsole aus Maßnahmen ergreifen.


220



Wenn Sie ein Balken- oder Ringdiagramm auf der Seite auswählen, wird die Listenansicht für Geräte angezeigt. DieseListenansicht enthält alle Geräte speziell zu der von Ihnen ausgewählten Metrik. Sie können dann Aktionen ausführen,z.B. diesen Geräten eine Nachricht senden.

Wählen Sie beispielsweise das Ringdiagramm „Antivirus-Status“. Innerhalb weniger Sekunden wird die Listenansicht fürGerätemit einer Liste von Geräten angezeigt, bei denen aufgrund einer fehlenden Antivirus-Software einRichtlinienverstoß ausgelöst wurde. Aktivieren Sie alle Geräte in dieser Liste, indem Sie links neben jedem Gerät dasKontrollkästchen aktivieren. Sie können auch das Kontrollkästchen „Alle auswählen“ unterhalb der SchaltflächeGeräthinzufügen aktivieren. Über dem Eintrag werden die Aktionsschaltflächen angezeigt. Klicken Sie auf die SchaltflächeSenden, um eine Nachricht an die Anwender der ausgewählten Geräte zu senden. Sie können festlegen, dass eine E-Mail,eine Push-Benachrichtigung oder eine SMS gesendet werden soll.

AirWatch Hub – Elemente

Der Hub bietet übersichtliche Diagramme und detaillierte Ansichten bezüglich:

l Geräte – Zeigt die genaue Geräteanzahl an.

o Statusübersicht über alle Geräte, einschließlich „Eingetragen“, „Registriert“, „EnterpriseWipe ausstehend“,„bevorstehendes Geräte-Wipe“ und „Registrierung aufgehoben“.

o Plattformaufgliederung der bei AirWatch registrierten Geräte.

o Registrierungsverlauf des letzten Tags, der letzten Woche und des letzten Monats.

l Konformität – Prüfen Sie, welche Geräte gegen Konformitätsrichtlinien verstoßen.

o Alle zurzeit durch Geräte verletzten Konformitätsrichtlinien, einschließlich Anwendungen,Sicherheitseinstellungen, Standort usw.

o Am häufigsten verletzte Richtlinien, die alle Typen an festgelegten Konformitätsrichtlinien einbeziehen.

o Auf Blacklists erfasste Anwendungen, einschließlich aller auf Geräten installierten und auf Blacklists erfassten


221



Anwendungen, nach Verstößen aufgelistet.

o Geräte, auf denen Anwendungen fehlen, die installiert sein und für Ihre Anwender zur Verfügung stehen sollten.

l Profile – Prüfen Sie, welche Profile veraltet sind.

o Aktuelle Profilversion, einschließlich Gerätemit alten Versionen aller Profile.

l Anwendungen – Prüfen Sie, welche Anwendungen Geräten zugeordnet sind.

o Aktuelle Anwendungsversion, einschließlich Gerätemit alten Versionen jeder Anwendung.

o Am häufigsten installierte Anwendungen, nach Geräten aufgelistet, auf denen die Anwendung zurzeit installiertist.

l Inhalte – Prüfen Sie Gerätemit veralteten Inhalten.

o Aktuelle Inhaltsversion, einschließlich sämtlicher veralteter Dateien, die nach Instanzreihenfolge sortiert werden.

l E-Mail – Prüfen Sie, welche Geräte nicht in der Lage sind, E-Mails zu erhalten.

o Gerätemit blockierter E-Mail, einschließlich standardmäßig per Blacklist oder per Registrierungsaufhebungblockierter Geräte.

l Zertifikate – Prüfen Sie, welche Zertifikate vor dem Ablauf stehen.

o Zertifikate, die in 1Monat, in 1 – 3Monaten, in 3 – 6Monaten, in 6 – 12Monaten und in über 12Monatenablaufen. Prüfen Sie außerdem bereits abgelaufene Zertifikate.

Welche Geräte angezeigt werden, hängt von Ihrer aktuellen Organisationsgruppe ab, einschließlich aller Geräte inuntergeordneten Organisationsgruppen. Mit dem Dropdown-Menü „Organisationsgruppe“ können Sie in niedrigereOrganisationsgruppen wechseln und automatisch Geräteergebnisse aktualisieren.

Schalten Sie durch Auswahl der Symbole Listenansicht und Diagrammansicht zwischen den Ansichten um.Wählen Sie eineMetrik, mit der die Gerätelistenansicht für diesen bestimmten Satz an Geräten geöffnet werden soll. Siekönnen dann Aktionen ausführen, z.B. diesen Geräten eine Nachricht senden.

Passen Sie den Hub über das Symbol Verfügbare Bereiche an. Aktivieren bzw. deaktivieren Sie die Kontrollkästchender verfügbaren Bereiche (Geräte, Konformität, Profile usw.) und wählen Sie Speichern, um die Hub-Übersichtanzupassen.

Sie können Hub-Daten in Form einer PDF-Datei exportieren, indem Sie das Symbol Exportieren auswählen. DasExportieren in eine PDF-Datei ist nützlich, wenn es darum geht, tägliche, wöchentliche oder monatliche Berichte zumaktuellen Zustand Ihrer Mobilgerätebereitstellung zu liefern.

Admin-Bereichs-Dashboard

Der Admin-Bereich bietet einen Überblick über Modullizenzinformationen und eingesetzte AirWatch Komponenten. DerAdmin-Bereich enthält eine Übersicht über AirWatch Lizenzen in Form von zwei separaten Abschnitten: Aktive Produkteund Eingesetzte Komponenten.

Greifen Sie über Hub > Admin-Bereich auf den Admin-Bereich zu. Auf den Admin-Bereich kann nur über eineKundenorganisationsgruppe zugegriffen werden. Weitere Informationen finden Sie unter Organisationsgruppentyp –Funktionen auf Seite 78.


222



Aktive Produkte im Admin-Bereich

Der Abschnitt Aktive Produkte bestätigt die Lizenzgültigkeit der in Ihrer Bereitstellung enthaltenen Funktionen, wie etwaBrowser, Container, Mobile DeviceManagement und App Catalog. Für jede Funktion wird die Gesamtanzahl derLizenzen, das Lizenzmodell und der Lizenztyp angezeigt.

Eingesetzte Komponenten im Admin-Bereich

Der Abschnitt Eingesetzte Komponenten enthält einen Bereich für jede aktivierte Komponente derKundenorganisationsgruppe. Bei allen wird dabei der Konnektivitätsstatus gemeldet.

l VMware Enterprise Systems Connector

l AirWatch Secure Email Gateway

l VMware Tunnel

Mit der Aktualisierungsschaltfläche ( ) können Sie den Konnektivitätsstatus der einzelnen aktivierten Komponentenaktualisieren.

Sie können auch auf die Einstellungsschaltfläche ( ) klicken, um die Seite „Systemeinstellungen“ anzuzeigen, die deraktivierten Komponente entspricht.

Branchenvorlagen für iOS

Eine Branchenvorlage ist eine Sammlung mobiler Anwendungen und Geräteprofile, die Sie per Push auf Ihre Geräteverschieben können, um so den Bereitstellungsablauf enorm zu beschleunigen. Sie können Vorlagen zur Unterstützungvon Branchen wie Gesundheitswesen und Einzelhandel wählen und können diese dann zur Anpassung Ihrer Bedürfnissebearbeiten.

Weitere Informationen zu Branchenvorlagen finden Sie im Leitfaden zur VMware AirWatch iOS-Plattform, verfügbarunter Zugreifen auf andere Dokumente auf Seite 241.

Berichte und AnalysenAirWatch verfügt über umfangreiche Funktionen zur Berichterstellung und Ereignisprotokollierung, die Administratorenumsetzbare, ergebnisorientierte Statistiken bezüglich Geräteflotten liefern.

Sie können diese vordefinierten Berichte nutzen, um anwenderdefinierte Berichte anhand von bestimmten Geräten,Anwendergruppen, Datumsbereichen oder Dateipräferenzen zu erstellen. Berichte können auf der Seite Berichte unterHub > Berichte und Analysen > Berichte > Listenansicht angezeigt werden. Hinzugefügte Berichte sind von derRegisterkarteMeine Berichte, oben auf der Seite Berichte zugreifbar.

Weitere Informationen finden Sie im VMware AirWatch Reports & Analytics Guide, verfügbar unter Zugreifen aufandere Dokumente auf Seite 241.


223



Kapitel 14:Zertifikatsverwaltung

Übersicht über die Zertifikatsverwaltung 225

Listenansicht für digitale Zertifikate 225

Ressourcen zur Integration von Zertifikaten 226

224



Übersicht über die ZertifikatsverwaltungWährend dieMobilität sensibler Unternehmensinhalte zur Norm wird, steigt dieWahrscheinlichkeit unbefugter Zugriffeund bösartiger Bedrohungen. Auch wenn Sie E-Mail, WLAN und Virtual Private Network (VPN) Ihres Unternehmens mitsicheren Kennwörtern schützen, bleibt Ihre Infrastruktur für Brute-Force- und Wörterbuchangriffe sowiemenschlicheFehler seitens Ihrer Mitarbeiter anfällig.

Für größeren Schutz sollten Sie die Implementierung digitaler Zertifikate zur Sicherung Ihrer Unternehmensressourcenerwägen. Zertifikate bieten ein Niveau an Stabilität, Sicherheit und Authentifizierung, mit dem Kennwörter nichtkonkurrieren können. Mobile CertificateManagement von VMware AirWatch löst dieses Problem, indem es Sicherheitwährend des gesamten Lebenszyklus eines Gerätes gewährleistet.

Listenansicht für digitale ZertifikateNach der Ausstellung ermöglicht AirWatch Ihnen die Verwaltung der eingesetzten digitalen Zertifikate über dieListenansicht für Zertifikate in der AirWatch Konsole. Administratoren können Zertifikate nach Gerät,Zertifizierungsstelle, Anwender, Profil, Ausstellungsdatum usw. anzeigen und sortieren. Navigieren Sie zu Geräte >Zertifikate > Listenansicht.

Widerrufen oder Erneuern eines digitalen Zertifikats

Die Listenansicht für Zertifikate bietet eine Übersicht über alle eingesetzten Zertifikate sowie dieMöglichkeit, Zertifikateerneuern oder widerrufen zu können, sei es einzeln oder massenweise. Finden und widerrufen Sie alle digitalen Zertifikatevon einem deaktivierten Anwender bzw. Gerät oder erneuern bzw. rotieren Sie sogar alleWLAN-Authentifizierungszertifikate vor einem aus Konformitätsgründen anberaumtem Ablaufdatum.

Starten Sie den Prozess über Geräte > Zertifikate > Listenansicht.

1. Identifizieren und wählen Sie die digitalen Zertifikate aus, die Sie erneuern oder widerrufen möchten, indem Sie einoder mehrere Kontrollkästchen aktivieren.

Kapitel 14: Zertifikatsverwaltung

225



2. Wählen Sie die jeweilige Aktionsschaltfläche, Erneuern oderWiderrufen, um die gewünschte Aktion auf dieausgewählten Zertifikate anzuwenden.

Ressourcen zur Integration von ZertifikatenDiese umfassende Liste an Dokumentation zur Zertifikatsverwaltung finden Sie jeweils auch unter Zugreifen auf andereDokumente auf Seite 241.

l AirWatch Zertifikat EOBO mit ADCS über DCOM – Richten Sie das Registrierungs-Agent-Signaturzertifikat zur direktenIntegration in AirWatch unter Verwendung von ADCS über das DCOM-Protokoll ein. So wird AirWatch die Nutzung der Funktionvon Microsofts „Zertifikat im Auftrag von Anderen registrieren“ ermöglicht.

l AirWatch Zertifikatsauthentifizierung für Cisco AnyConnect – Richten Sie Ihre Cisco ASA Firewall mit AirWatch zurautomatischen Bereitstellung und Konfiguration des AnyConnect VPN mit externer ZS-Authentifizierung ein.

l AirWatch Zertifikatsauthentifizierung für Cisco IPSec VPN – Richten Sie Ihre Cisco ASA Firewall mit AirWatch zur automatischenBereitstellung und Konfiguration des IPSec VPN mit externer ZS-Authentifizierung ein.

l AirWatch Zertifikatsauthentifizierung für EAS mit ADCS – Stellen Sie Vertrauensstellung zwischen Ihren Verzeichnisdiensten,Ihrer Zertifizierungsstelle und einem E-Mail-Server (nicht CAS) her.

l AirWatch Zertifikatsauthentifizierung für EAS mit NDES-MSCEP – Richten Sie den Microsoft Exchange Client Access Server(CAS) und AirWatch ein, um einem Gerät zur Authentifizierung die Verbindung mit Microsoft Exchange ActiveSync (EAS) unterVerwendung eines Zertifikats zu ermöglichen.

l AirWatch Zertifikatsauthentifizierung für EAS mit SEG – Richten Sie Kerberos Delegation ein, um die EAS-Zertifikatsauthentifizierung mit dem SEG (Secure Email Gateway) zu ermöglichen.

l AirWatch Integration in Entrust IdentityGuard – Integrieren Sie den Entrust IdentityGuard-Dienst, um Zertifikate auszustellen.

l AirWatch Integration in GlobalSign Guide – Führen Sie eine Integration in GlobalSign-Dienste zur Ausstellung von Zertifikatendurch.

l AirWatch Integration in JCCH Guide – Integrieren Sie in JCCH-Dienste zur Ausstellung von Zertifikaten.

l AirWatch Integration in Microsoft ADCS über DCOM – Richten Sie die Microsoft-Zertifizierungsstelle zur direkten ZS-Integrationin AirWatch über das DCOM-Protokoll ein und nutzen Sie digitale Zertifikate zu Ihrem Vorteil, indem Sie den Ausstellungs-,Erneuerungs- und Widerrufsprozess auf Mobilgeräten automatisieren.

l AirWatch Integration in Microsoft NDES über SCEP – Richten Sie die Microsoft-Zertifizierungsstelle zur direkten ZS-Integrationin AirWatch über das NDES-/SCEP-/MSECP-Protokoll ein.

l AirWatch Integration in OpenTrust CMSMobile 2 – Führen Sie zur Ausstellung von Zertifikaten eine Integration in OpenTrustCMS Mobile-Dienste durch.

l AirWatch Integration in RSA PKI Guide – Führen Sie zur Ausstellung von Zertifikaten eine Integration in RSA PKI für IhreAirWatch MDM-Lösung durch.

l AirWatch Integration in SCEP – Verwenden Sie SCEP zur Nutzung von Zertifikaten als Teil Ihrer AirWatch Bereitstellung.

l AirWatch Integration in SecureAuth PKI Guide – Führen Sie zur Ausstellung von Zertifikaten eine Integration in SecureAuth PKI-Dienste durch.

l AirWatch Integration in Symantec MPKI Guide – Führen Sie zur Ausstellung von Zertifikaten eine Integration in Symantec MPKI-Dienste durch.


226



l AirWatch Zertifikatsauthentifizierung für EAS mit SEG und TMG – Erläutert zwei Konfigurationen – TMG zu EAS Server undTMG zu SEG zu EAS Server – und bestimmt die Konfigurationen, die zur Einrichtung der Zertifikatsauthentifizierung auf einemTMG-Proxy erforderlich sind, um Anforderungen durch einen Proxy an Back-End-EAS- oder SEG-Server zu leiten.

Lesen Sie außerdem die folgenden Dokumente unter Zugreifen auf andere Dokumente auf Seite 241.

l AirWatch – Sichern von Mobilgeräten mit Zertifikaten – Bietet eine Einführung in die Vorteile digitaler Zertifikate aufUnternehmensebene. Erfahren Sie mehr zu dem Thema, warum digitale Zertifikate in der mobilen Umgebung nicht nur alsSicherheitsschutzmaßnahme für interne Inhalte wirken.

l AirWatch – Übersicht über die Auswahl von Microsoft ZS-Bereitstellungsmodellen – Bietet Ihnen eine Übersicht über dieverschiedenen Microsoft ZS-Bereitstellungsmodelle und hilft Ihnen bei der Wahl des richtigen Bereitstellungsmodells für IhrUnternehmen.


227



https://resources.air-watch.com/view/83w2y945m5p37zjshp6t/en

https://resources.air-watch.com/view/8yx7fm65s6vv3nprn4yh/en

Kapitel 15:Anwenderdefinierte Attribute

Übersicht über anwenderdefinierte Attribute 229

Erstellen von anwenderdefinierten Attributen 229

Importieren von anwenderdefinierten Attributen 230

Zuweisen von Organisationsgruppen durch anwenderdefinierte Attribute 231

228



Übersicht über anwenderdefinierte AttributeAnwenderdefinierte Attribute ermöglichen es Administratoren, bestimmteWerte eines verwalteten Geräts zu extrahierenund an die AirWatch Konsole zurückzugeben. Sie können den Attributwert zur späteren Verwendung beiProduktbereitstellungen oder Gerätenachschlagewerten auch an Geräte zuweisen.

Diese Attribute ermöglichen Ihnen, sich des Regelgenerators zu bedienen, wenn Sie über Produktbereitstellung Produkteerstellen.

Hinweis: Anwenderdefinierte Attribute (und der Regelgenerator) sind nur in Organisationsgruppen auf Kundenebenekonfigurierbar und verwendbar.

Datenbank der anwenderdefinierten Attribute

Anwenderdefinierte Attribute werden entweder als XML-Datei auf dem Gerät oder in der Datenbank füranwenderdefinierte Attribute auf dem AirWatch Konsolenserver gespeichert. Bei Verwendung der Datenbank werdenanwenderdefinierte Attribute regelmäßig als Proben zu AirWatch zu Zwecken der Anlagennachverfolgung von Schlüssel-/Wertpaaren gesendet. Wenn ein Eintrag in der Gerätedatenbank mit „Attribut erstellen“ =WAHR konfiguriert wird,werden Name und Wert automatisch von AirWatch Agent erfasst und zusammen mit der Probe des anwenderdefiniertenAttributs gesendet. Das Schlüssel-/Wertpaar wird auf der Seite „Gerätedetails“ für das Gerät auf der Registerkarte„Anwenderdefinierte Attribute“ angezeigt.

Erstellen von anwenderdefinierten Attributen

Erstellen Sie anwenderdefinierte Attribute und Werte für die Push-Übertragung auf Geräte. Sie erstellen die mit diesenverbundenen Attribute und Werte. Weitere Informationen finden Sie unter Erstellen von anwenderdefinierten Attributenauf Seite 229.

Importieren von anwenderdefinierten Attributen

Durch die Funktion für den Batch-Import von anwenderdefinierten Attributen können Sie massenweiseanwenderdefinierte Attribute und entsprechendeWerte in das System laden. In den bereitgestellten Vorlagen entsprichtjede Spalte einem anwenderdefinierten Attribut und jede Zeile den verschiedenen Parametern des anwenderdefiniertenAttributs. Weitere Informationen finden Sie unter Importieren von anwenderdefinierten Attributen auf Seite 230.

Plattformspezifische Bereitstellung von anwenderdefinierten Attributen

Mittel XML-Bereitstellung können Sie anwenderdefinierte Attribute auf ein Gerät für die Verwendung mit erweitertenProduktbereitstellungsfunktionen per Push übertragen. DieMethode zur Push-Übertragung mittels XML hängt von derGeräteplattform ab.

Erstellen von anwenderdefinierten AttributenErstellen Sie anwenderdefinierte Attribute und Werte für die Push-Übertragung auf Geräte. Diese Attribute und Wertesteuern, wie Produktregeln funktionieren, und dienen als Nachschlagewerte für bestimmte Geräte.

1. Navigieren Sie zu Geräte > Staging und Bereitstellung > Anwenderdefinierte Attribute > Listenansicht.

2. Wählen SieHinzufügen und dann Attribut hinzufügen.

3. Geben Sie einen Attributnamen ein.

Kapitel 15: Anwenderdefinierte Attribute

229



4. Geben Sie die optionale Beschreibung für den von dem Attribut identifizierten Inhalt ein.

5. Geben Sie den Namen der Anwendung ein, die das Attribut erfassen wird.

6. Wählen SieWerte für Regelgenerator erfassen, um dieWerte des Attributs im Dropdown-Menü desRegelgenerators verfügbar zu machen.

7. Klicken Sie auf Im Regelgenerator verwenden, wenn Sie das Attribut im Regelgenerator verwenden möchten.

8. Wählen Sie Persistieren, um die Entfernung des anwenderdefinierten Attributs aus der AirWatch Konsole zuverhindern, es sei denn, es wird ausdrücklich von einem Administrator oder API-Aufruf entfernt. Anderenfalls wirddas Attribut wie gewohnt entfernt.

Sollten Sie ein anwenderdefiniertes Attribut löschen, das von einem Gerät an die AirWatch Konsole gemeldet wurde,verbleibt ein persistentes anwenderdefiniertes Attribut weiterhin in der AirWatch Konsole.

Persistente anwenderdefinierte Attribute sind nur für Android- und Windows Robust-Geräte verfügbar.

9. Wählen Sie Als Nachschlagewert benutzen, um das anwenderdefinierte Attribut überall in der AirWatch Konsole alsNachschlagewert zu verwenden.

Sie können beispielsweise anwenderdefinierte Attribute als Teil eines freundlichen Namens verwenden und so dieGerätebenennung vereinfachen.

10. Wählen Sie die RegisterkarteWerte.

11. Klicken Sie aufWert hinzufügen, um dem anwenderdefinierten Attribut Werte hinzuzufügen. Wählen Sieanschließend Speichern.

Importieren von anwenderdefinierten AttributenDurch die Funktion für den Batch-Import von anwenderdefinierten Attributen können Sie massenweiseanwenderdefinierte Attribute und entsprechendeWerte in das System laden. In den bereitgestellten Vorlagen entsprichtjede Spalte einem anwenderdefinierten Attribut und jede Zeile den verschiedenen Parametern des anwenderdefiniertenAttributs.

Durch Vorlagen können Sie anwenderdefinierte Attribute auf unterschiedlicheWeise und mit verschiedenenInformationen importieren.

Vorsicht: Die Syntax der ersten Spalte sämtlicher Vorlagen muss exakt repliziert werden. Wenn die richtige Syntaxnicht verwendet wird, kann dies zu Datenbankproblemen und zu einem Datenverlust führen.

Vorlagentypen

l Vorlagemit anwenderdefinierten Attributen – Ermöglicht Ihnen das Festlegen eines anwenderdefinierten Attributsund der zugehörigen Einstellungen.


230



l Vorlagemit anwenderdefinierten Attributwerten – Ermöglicht Ihnen das Festlegen derWerte von vordefiniertenanwenderdefinierten Attributen.

l Anwenderdefinierte Attributwerte von Geräten – Ermöglicht das Festlegen von Werten von vordefiniertenanwenderdefinierten Attributen für einzelne Geräte basierend auf demWert des Querverweises (Xref). Durch Xref-Werte werden die einzelnen Geräte festgelegt, die den Wert von jedem anwenderdefinierten Attribut erhalten.

o 1 – Geräte-ID (die von AirWatch zugewiesene Geräte-ID bei der Registrierung des Geräts)

o 2 – Seriennummer

o 3 – UDID

o 4 –MAC-Adresse

o 5 – IMEI-Nummer

Speichern Sie die Datei vor dem Import im CSV-Format.

Zuweisen von Organisationsgruppen durch anwenderdefinierte AttributeKonfigurieren Sie Regeln, die steuern, wie Geräte nach der Registrierung Organisationsgruppen zugewiesen werden. Siekönnen nur eine Zuweisungsregel für anwenderdefinierte Attribute für jede von Ihnen ausgeführte Organisationsgruppeerstellen.

So erstellen Sie Zuweisungsregeln:

1. Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Geräte und Anwender > Allgemein >Erweiterungen.

2. Stellen Sie Regeln zur Gerätezuweisung aktivieren aufAktiviert.

3. Legen Sie den Typ aufOrganisationsgruppe nach anwenderdefiniertem Attribut fest.


5. Navigieren Sie zu Geräte > Staging und Bereitstellung > Anwenderdefinierte Attribute > Listenansicht >Hinzufügen > Attribut hinzufügen und erstellen Sie ein anwenderdefiniertes Attribut, falls Sie das nicht bereits getanhaben. Weitere Informationen finden Sie unter Erstellen von anwenderdefinierten Attributen auf Seite 229.

6. Navigieren Sie zu Geräte > Staging und Bereitstellung > Anwenderdefinierte Attribute > Zuweisungsregeln füranwenderdefinierte Attribute > Regel hinzufügen.


231



7. Wählen Sie dieOrganisationsgruppe, der die Regel Geräte zuweist.

8. Wählen Sie Regel hinzufügen zur Konfiguration der Logik der Regel.


Attribut/Anwendung Dies ist das anwenderdefinierte Attribut mit den entsprechen Werten zum Bestimmen vonGerätezuweisungen.

Operator Dieser Operator vergleicht das Attributmit demWert, um festzustellen, ob das Gerät fürdas Produkt geeignet ist.

Sollte mehr als ein Operator pro Regel verwendet werden, müssen Sie einen logischenOperator zwischen jedem Operator einschließen.

Wert Hierbei handelt es um den Wert des anwenderdefinierten Attributs. AlleWerte von allenzutreffenden Geräten werden hier für das Attribut, das für die Regel ausgewählt wurde,aufgelistet.

Logischen Operatorhinzufügen

Wählen Sie diese Funktion zur Anzeige eines Dropdown-Menüs von logischen Operatoren,wie UND, ODER, NICHT und Klammern. So können komplexere Regeln erstellt werden.

9. Wählen Sie Speichern nach der Konfiguration der Logik der Regel.

Wenn sich ein Gerät mit einem zugewiesenen Attribut registriert, weist die Regel das Gerät der konfiguriertenOrganisationsgruppe zu.


232



Kapitel 16:Self-Service Portal

Übersicht über das Self-Service Portal 234

Konfigurieren der Standardanmeldeseite des SSP 234

Seite „Eigene Geräte“ im SSP 234

Remoteaktionen im SSP 237

Self-Service Portal – Aktionsmatrix 239

VMware Content Locker – Optionen 240

233



Übersicht über das Self-Service PortalDas AirWatch Self-Service Portal (SSP) ist ein nützliches Onlinetool, das zur Remoteüberwachung und -verwaltung vonGeräten verwendet wird. Es kann zur Reduzierung der versteckten Kosten, die die Verwaltung einer Geräteflotte mit sichbringt, beitragen. Lehren und schulen Sie Ihre Geräteanwendern darin, wie grundlegende Geräteverwaltungsaufgabenausgeführt, Probleme überprüft und Fehler behoben werden. Dadurch kann Ihre Organisation möglicherweise die Anzahlder Helpdesk-Tickets und Supportfragen reduzieren.

Zugreifen auf das Self-Service Portal auf Geräten

Sie können von einer Arbeitsstation oder einem Gerät aus über https://<AirWatch-Umgebung>/MyDevice auf das Self-Service Portal (SSP) zugreifen. Sollten Sie über ein Gerät verfügen, das Web Clips oder Lesezeichen unterstützt, hat IhrAdministrator diese Verknüpfungen möglicherweise bereitgestellt. Dadurch können Sie direkt auf das SSP zugreifen.

Self-Service Portal (SSP) – Anpassungen

Durch Konfigurieren der Branding-Einstellungen können Sie den Standardhintergrund für die Anmeldeseite ändern.

Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > System > Branding und klicken Sie auf dieSchaltflächeUpload in der Einstellung Hintergrund für Anmeldeseite des Self Service-Portals. Wählen Sie einanwenderdefiniertes Hintergrundbild mit einer empfohlenen Auflösung von 1024 x 768 Pixel.

Konfigurieren der Standardanmeldeseite des SSPSie können die im Self-Service Portal angezeigte Standardauthentifizierungsmethode je nach den Bedürfnissen IhrerOrganisation und Anwender festlegen.

Hinweis: Diese Einstellung ist nur auf der globalen Ebene für On-Premise-Kunden zugreifbar.

So konfigurieren Sie diese Einstellung: Navigieren Sie zu Gruppen und Einstellungen > Alle Einstellungen > Installation >Erweiterungen > Sonstiges, und legen Sie den SSP-Authentifizierungstyp fest:

l E-Mail – Fordert Anwender auf, ihre E-Mail-Adresse einzugeben (falls Sie AutoErmittlung eingerichtet haben).

l Legacy – Fordert Anwender auf, ihre Gruppen-ID und Anmeldedaten (Anwendername/Kennwort) einzugeben.

l Dediziert – Fordert Anwender auf, nur ihre Anmeldedaten (Anwendername/Kennwort) einzugeben. Bei dieserOption wird für Umgebungen einzelner Kunden eine einzige Gruppen-ID als Standardeinstellung übernommen.

Seite „Eigene Geräte“ im SSPDie Seite Eigene Geräte im Self-Service Portal bietet Zugriff auf detaillierte Geräteinformationen und ermöglicht denAnwendern, eine Vielfalt an Aktionen auszuführen.

Welche Registerkarten sichtbar und welche Aktionen verfügbar sind, hängt von der Geräteplattform ab. WeitereInformationen finden Sie im VMware AirWatch Leitfaden zur entsprechenden Plattform, verfügbar über AirWatchResources.

Kapitel 16: Self-Service Portal

234



Auswählen einer Sprache für das SSP

Das Self-Service Portal übernimmt automatisch die Standardsprache Ihres Browsers. Sie können diese standardmäßigeEinstellung jedoch überschreiben, indem Sie auf der Anmeldeseite im Dropdown-Menü Sprache auswählen eineentsprechende Auswahl treffen.

Anmelden beim SSP

Melden Sie sich mit denselben Anmeldedaten (Gruppen-ID, Anwendername und Kennwort) an, mit denen Sie sichursprünglich bei AirWatch registriert haben. Es kann sein, dass Sie einen zufällig generierten CAPTCHA-Code eingebenmüssen.

Ändern des Kennwortes für das SSP

Über die Seite Konto können Sie das zu Ihrem AirWatch Konto zugehörige Kennwort ändern. Dieses Kennwort wird zurGeräteregistrierung und zur Anmeldung im SSP verwendet.

Ändern Sie Ihr Kennwort über die Schaltfläche Konto oben rechts im Self-Service Portal. Die Seite Anwenderkontowirdangezeigt, auf der Sie neben dem Feld Aktuelles Kennwort die Schaltfläche Ändernwählen können.

Auswählen eines Geräts im SSP

Nachdem Sie sich im SSP anmelden, werden auf der Seite Eigene Geräte alle zu diesem Konto gehörenden Geräteaufgeführt. Jedes registrierte Gerät wird oben auf der Self-Service Portal-Seite auf einer eigenen Registerkarte angezeigt.Wählen Sie die Registerkarte des Geräts, das Sie anzeigen und verwalten möchten.

Der Gerätestatus wird unter dem Namen des Geräts auf der Registerkarte aufgeführt. Beispiele jener Status sind Erkannt,Registriert, Registrierung ausstehend, Registrierung aufgehoben und Enterprise Wipe ausstehend.

Hinzufügen eines Geräts im SSP

Sie können ein Gerät direkt über das Self-Service Portal hinzufügen.

1. Wählen SieGerät hinzufügen auf der Seite Eigene Geräte.

2. Bearbeiten Sie entsprechend die erforderlichen Felder: Freundlicher Name, Plattform, Gerätebesitz, Nachrichtentypund E-Mail-Adresse.

3. Wählen Sie Speichern, um dem SSP-Konto das neue Gerät hinzuzufügen.


235



Hinweis: Der Status eines neu hinzugefügten Geräts wird auf „Registrierung ausstehend“ gesetzt, bis es vollständigregistriert ist.

Gerätedaten im SSP

Nach der Anmeldung eines Anwenders beim SSP wird dessen primäres Gerät auf dem Hauptbildschirm angezeigt. DieSeite „Hauptansicht“ zeigt Informationen, wie Registrierungsdatum, das Datum, an dem ein Gerät Zuletzt gesehenwurde sowie den Gerätestatus an.

Die Schaltfläche Zu „Details“ zeigt Registerkarten an, die Informationen zu den ausgewählten Geräten unter demausgewählten Anwenderkonto enthalten.

l Übersicht – Zeigt zusammengefasste Informationen hinsichtlich Konformität, Profilen, Anwendungen, Inhalten,freundlichem Namen, Anlagennummer, UDID-Nummer und WLAN-MAC-Adresse an.

o Der freundliche Name eines Geräts kann direkt in der Registerkartenansicht Übersicht bearbeitet werden.Wählen Sie dazu das Bearbeitungssymbol rechts neben dem Feld Freundlicher Name.

Hinweis: Die AnwenderrollenressourceGeräteübersicht steuert die Sichtbarkeit der RegisterkarteÜbersicht imSSP. Sind bestimmte Informationen bei einer Anwenderrollenansicht aufgrund einer deaktivierten Ressource, wieGeräte-Apps, Gerätekonformität oder Geräteprofile, beschränkt, so sind entsprechende Informationen, dienormalerweise auf der RegisterkarteÜbersicht angezeigt werden, ausgeblendet.

Eine genaue Anleitung zur Begrenzung von Ressourcen für Anwender- und Administratorrollen finden Sie unterAnwenderrollen und Administratorrollen.

l Konformität – Zeigt den Konformitätsstatus des Geräts, einschließlich des Namens und der Stufe allerKonformitätsrichtlinien an, die für das Gerät gelten.

l Profile – Zeigt alleMDM-Profile (einschließlich automatischer Profile) an, die den unter Ihrem Anwenderkontoregistrierten Geräten gesendet wurden. Diese Registerkarte zeigt außerdem den Status jedes Profils an.


236



l Anwendungen – Zeigt alle auf dem ausgewählten Gerät installierten Anwendungen und gibt wesentlicheInformationen zur Anwendung an.

Remoteaktionen im SSPAirWatch gibt Administratoren dieMöglichkeit, auf verwalteten Geräten verschiedene Remoteaktionen und -optionenauszuführen. Mitarbeitern, die ihre eigenen Geräte verwenden, wird empfohlen, für ihre Zwecke ähnlicheVerwaltungstools zu verwenden. Das AirWatch SSP bietet Mitarbeitern eineMöglichkeit, wichtigeMDM-Tools ohneEinbeziehung der IT zu nutzen. Durch entsprechende Aktivierung können Endanwender das SSP in einemWebbrowserstarten und auf wichtigeMDM-Supporttools zugreifen. Zudem können Sie die Informationsanzeige sowie die Funktionzum Ausführen von Remoteaktionen über das SSP aktivieren bzw. deaktivieren.

Die im SSP verfügbaren Aktionen des ausgewählten Geräts, die je nach Plattform und Aktionsberechtigungen variieren,werden von Ihrem Administrator festgelegt. Zulässige Aktionen werden auf der Hauptseite in Standardaktionen undErweiterte Aktionen unterteilt.

Aktionsberechtigungen werden vom Administrator festgelegt; deshalb können Geräteanwender möglicherweise nichtalle aufgelisteten Aktionen ausführen. Weitere Informationen finden Sie im VMware AirWatch Leitfaden zurentsprechenden Plattform, verfügbar unter AirWatch Resources.

Standardmäßige Remoteaktionen im SSP

Standardmäßige Remoteaktionen werden auf der untergeordneten Registerkarte „Standardaktionen“ des ausgewähltenGeräts im Self-Service Portal angezeigt. Die verfügbaren Aktionen hängen von Registrierungsstatus, Geräteplattform undAktionsberechtigungen ab.

Aktion Beschreibung

Passcode ändern Legt einen neuen Passcode für das ausgewählte Gerät fest.

SSO-Passcode löschen Löscht den Single Sign-On-Passcode auf dem ausgewählten Gerät, wodurch die nächsteverwendete SSO-Anwendung zur Eingabe eines neuen Passcodes auffordert. Diese Funktionist nützlich, wenn Anwender den Gerätepasscode vergessen haben und das Gerät deshalbgesperrt ist.

Passcode löschen Löscht den Passcode auf dem ausgewählten Gerät, wodurch Sie zur Eingabe eines neuenPasscodes aufgefordert werden. Diese Funktion ist nützlich, wenn Anwender denGerätepasscode vergessen haben und das Gerät deshalb gesperrt ist.

Gerät löschen Entfernt das Gerät aus dem Self Service-Portal.

Eintragung löschen Löscht mögliche Datensätze bezüglich ausstehender Registrierung aus dem Self Service-Portal.

Geräteabfrage Fordert das Gerät auf, umfangreicheMDM-Daten an den AirWatch Server zu senden.

Geräte-Wipe Entfernt alle Daten von dem ausgewählten Gerät, einschließlich E-Mails, Profile und MDM-Funktionen, und setzt das Gerät auf dieWerkseinstellungen zurück.

Agent herunterladen Laden Sie AirWatch Agent herunter und installieren Sie die Anwendung auf dem Gerät, mitdem Sie das SSP einsehen.


237



Aktion Beschreibung

Enterprise Wipe Entfernt alle Unternehmensdaten von dem ausgewählten Gerät und entfernt das Gerät ausAirWatch MDM. Alle Unternehmensdaten werden von dem Gerät entfernt, einschließlichMDM-Profile, Richtlinien und interner Anwendungen. Das Gerät kehrt zu dem Zustand vorder Installation von AirWatch MDM zurück.

Gerät orten Aktiviert die GPS-Funktion, um ein verlorenes oder gestohlenes Gerät zu orten. Diese Aktionist ausgeblendet, wenn die Datenschutzeinstellungen einschränkend sind.

Gerät/Bildschirmsperren

Sperrt das ausgewählte Gerät, damit ein nicht autorisierter Anwender nicht darauf zugreifenkann. Diese Option ist im Falle von verlorenen oder gestohlenen Geräten nützlich.Endanwender sollten in diesem Fall möglicherweise auch die GPS-Funktion verwenden, umdas Gerät zu suchen.

SSO sperren Sperrt den Single Sign-On-Passcode für Anwendungen auf diesem Gerät. Die nächste SSO-Anwendung, die geöffnet wird, fordert zur Eingabe eines Passcodes auf.

Ton erzeugen Findet ein Gerät, indem Sie es remote klingeln lassen.

Registrierungsnachrichterneut senden

Sendet eine Kopie der E-Mail, der SMS oder des QR-Codes zur ersten Registrierung an das zuregistrierende Gerät.

Nachricht senden Sendet dem Gerät eine E-Mail, telefonische Benachrichtigung oder SMS.

Roaming festlegen Legen Sie fest, ob Roaming für dieses Gerät aktiviert sein soll.

Gerät synchronisieren Versorgt Gerätemit den aktuellen Unternehmensrichtlinien, -inhalten und -anwendungen.

Registrierungsnachrichtanzeigen

Sehen Sie die tatsächliche E-Mail, die SMS oder den QR-Code der Nachricht der erstenRegistrierung.

Hinweis: Eintragungs- und Registrierungsaktionen werden nur im SSP angezeigt, wenn die Registrierung einesausgewählten Geräts noch aussteht.

Erweitere Remoteaktionen im SSP

Erweiterte Remoteaktionen werden auf der untergeordneter Registerkarte „Erweiterte Aktionen“ des ausgewähltenGeräts im Self-Service-Portal angezeigt. Die verfügbaren Aktionen hängen von Registrierungsstatus, Geräteplattform undAktionsberechtigungen ab.

Aktion Beschreibung

Anwendungstoken generieren Generieren Sie ein Token, das das Gerät zum Zugriff auf sichere Anwendungenverwenden kann.

E-Mail verwalten Verwalten Sie Geräte, die mit einem E-Mail-Konto verknüpft sind.

Nutzungsbedingungen überprüfen Überprüfen Sie vorherige Nutzungsbedingungen für dieses Konto.

Token widerrufen Widerrufen Sie das Token für eine ausgewählte Anwendung.

S/MIME-Zertifikat hochladen Laden Sie ein S/MIME-Zertifikat für ein geschäftliches E-Mail-Konto hoch.


238



Self-Service Portal – AktionsmatrixDie folgende Tabelle zeigt, welche grundlegenden und erweiterten SSP-Aktionen von den verschiedenen gängigenPlattformen unterstützt werden.

Aktion Android iOSWindowsPhone

macOSWindowsMobile

Windows 7WindowsDesktop

Standardaktionen

BES-Registrierung

Passcode ändern ✓

Passcode (SSO) löschen ✓ ✓ ✓ ✓

Gerät löschen ✓ ✓ ✓ ✓ ✓ ✓ ✓

Eintragung löschen ✓ ✓ ✓ ✓ ✓

Geräteabfrage ✓ ✓ ✓ ✓ ✓

Geräte-Wipe ✓ ✓ ✓ ✓ ✓

Agent herunterladen ✓ ✓

Enterprise Wipe ✓ ✓ ✓ ✓ ✓ ✓ ✓

Gerät orten ✓ ✓ ✓ ✓

Gerät/Bildschirm sperren ✓ ✓ ✓ ✓ ✓

SSO sperren ✓ ✓

Ton erzeugen ✓

Registrierungsnachricht erneut senden ✓ ✓ ✓ ✓ ✓

Nachricht senden ✓ ✓ ✓ ✓ ✓ ✓ ✓

Roaming festlegen ✓

Gerät synchronisieren ✓ ✓

Registrierungsnachricht anzeigen ✓ ✓ ✓ ✓ ✓

Erweiterte Aktionen

Anwendungstoken generieren ✓ ✓ ✓ ✓ ✓ ✓ ✓

E-Mail verwalten ✓ ✓ ✓

Nutzungsbedingungen überprüfen ✓ ✓ ✓ ✓ ✓ ✓ ✓

Token widerrufen ✓ ✓ ✓ ✓ ✓ ✓ ✓

S/MIME-Zertifikat hochladen ✓ ✓ ✓ ✓ ✓ ✓ ✓


239



VMware Content Locker – OptionenAirWatch bietet drei endanwenderseitige Funktionen an, die die Inhaltsverwaltung Ihrer Organisation vereinfachen.Neben den für Inhalte in der AirWatch Konsole verfügbaren robusten Konfigurations- und Verwaltungsoptionen könnenSie auch das Verhalten dieser anwenderseitigen Funktionen konfigurieren.

l VMware Content Locker – Ermöglicht Endanwendern den Zugriff auf wichtige Inhalte auf ihren Geräten beigleichzeitigem Schutz dieser Dateien. Alle Inhalte, auf die über VMware Content Locker zugegriffen wird, werden inder Anwendung geöffnet, wodurch sichergestellt wird, dass diese ohne Genehmigung weder kopiert, gespeichertnoch freigegeben werden können.

l Content Locker Sync – Ermöglicht Endanwendern, Dateien einem freigegebenen Ordner auf ihren Computernhinzuzufügen, der anschließend mit ihrem Repository „Private Inhalte“ synchronisiert wird. Mit dieser Optionerhalten Endanwender Zugriff auf diese Dateien über die Anwendung „VMware Content Locker“ ihrer Mobilgeräteoder das Self-Service Portal.

Hinweis: Das Herunterladen, Installieren und Verwenden dieser Funktionen sind anwenderabhängige Aktionen. ImVMware Content Locker End User Guide für die entsprechenden Plattformen finden Sie eine Schritt-für-Schritt-Anleitung zum Herunterladen und Verwenden von VMware Content Locker als Endanwender sowie zum Installierenund Verwenden von VMware Content Locker Sync. Weitere Informationen finden Sie auch im Content Apps forDesktop End User Guide unter https://resources.air-watch.com/view/jshgwzqd2fdcby73ryhf/en.

Diese Leitfäden sind im Ressourcenportal verfügbar.

Einzelheiten zu den oben genannten Funktionen erhalten Sie bei Ihrem AirWatch Administrator.


240



https://resources.air-watch.com/view/jshgwzqd2fdcby73ryhf/en

Zugreifen auf andere DokumenteBeim Lesen dieses Dokuments stoßen Sie möglicherweise auf Verweise auf Dokumente, die hierin nicht enthalten sind.

Am schnellsten und einfachsten finden Sie Dokumente, indem Sie dieWebsite https://my.air-watch.com/help/9.1/en/Content/Release_Notes/Doc_List_PDFs.htm aufrufen und auf dieser nach dem gewünschtenDokument suchen. Jedes versionsspezifische Dokument enthält einen Link zum jeweiligen PDF-Dokument in AirWatchResources.

Alternativ können Sie in myAirWatch (resources.air-watch.com) zu „AirWatch Resources“ navigieren und dort eine Suchedurchführen. Achten Sie darauf, dass Sie bei der Suche nach Dokumenten in Resources Ihre AirWatch Version auswählen.Mit den Filtern können Sie gezielt nach PDF-Dateien und AirWatch V9.1 suchen.

Zugreifen auf andere Dokumente

241



https://my.air-watch.com/help/9.1/en/Content/Release_Notes/Doc_List_PDFs.htm

https://my.air-watch.com/help/9.1/en/Content/Release_Notes/Doc_List_PDFs.htm

vmware airwatch mobile device management guide device management... · hauptmenü...

Documents