Samsung KME mit Android Enterprise

Wozu benötigt man Samsung Knox Mobile Enrollment (KME)?

Mit KME lassen sich Samsung-Geräte schnell und einfach für eine Verwaltung in einem Mobile Device Management (MDM)-System vorbereiten. Die Einschreibung von unternehmens-, verwaltungs- oder schuleigener Geräte kann so schnell erfolgen, ohne dass jedes Gerät einzeln manuell eingeschrieben werden muss. Dies führt speziell bei einer großen Anzahl von Geräten zu einer enormen Zeitersparnis. Die Einrichtung der Geräte wird automatisch gestartet, sobald diese in Betrieb genommen werden und eine Internetverbindung besteht. Selbst wenn im KME-Programm registrierte Geräte zurückgesetzt werden, schreiben sie sich automatisch erneut in das verwendete MDM-System ein. Das KME-Programm bietet somit ähnliche Funktionen wie das Device Enrollment Program (DEP) von Apple.

Welche Voraussetzungen müssen zur Nutzung von KME mit Android Enterprise erfüllt sein?

Zunächst muss Relution für die Nutzung von Android Enterprise eingerichtet werden. Die einzelnen Schritte sind mit Insight Android Enterprise einrichten beschrieben. Zudem können Samsung-Geräte durch autorisierte Händler mit der Seriennummer im KME-Programm registriert werden. Sofern die Geräte nicht von einem autorisierten Händler beschafft wurden, bietet Samsung die Möglichkeit, Geräte manuell nachträglich im KME-Programm hinzuzufügen. Hierzu muss entweder ein spezieller QR-Code im Zuge der Geräte-Einrichtung gescannt oder die Knox Mobile Deployment App auf einem zusätzlichen Samsung-Gerät genutzt werden, um ein neues Gerät einzurichten. Das KME-Programm wird von Samsung nach der Registrierung kostenfrei angeboten.

Welche Möglichkeiten bietet die Kombination mit Android Enterprise?

Für alle Samsung-Geräte ab Android 8 lässt sich die Android Enterprise (Device Owner) Einschreibung über KME nutzen. Dabei steht der Android Enterprise Modus „Verwaltetes Gerät“ (Fully Managed) zur Verfügung, welcher ausschließlich für geschäftliche bzw. schulische Zwecke genutzt wird. Die generellen Vorteile und Möglichkeiten von Android Enterprise mit Relution sind in einem separaten Insight Android Enterprise Verwaltetes Gerät & Arbeitsprofil beschrieben.

Wie erfolgt die Konfiguration im KME-Portal?

Nach der Anmeldung im Samsung Knox Portal kann das Modul Knox Mobile Enrollment ausgewählt werden:

Im nächsten Schritt wird im Bereich „MDM-Profil“ über die Schaltfläche „Profil erstellen“ ein neues MDM-Profil erstellt:

Im Anschluss wählt man den Profiltyp „Android Enterprise“ aus:

Hinweis: Samsung KME unterstützt weiterhin die Bereitstellungsmethode Geräteadministrator, die für Geräte ab Android 11 nicht mehr kompatibel ist. Siehe hierzu Samsung KME mit Android Legacy.

Welche Details müssen im KME MDM-Profil für eine Nutzung mit Relution angegeben werden?

1. Namen für das Profil vergeben. Im Schul-Kontext sollte pro Schule ein Profil angelegt werden (ähnlich wie bei Apple DEP ein MDM-Server pro Schule konfiguriert wird).
2. Für die Einschreibung als unternehmens-, verwaltungs- oder schuleigenes Gerät (Verwaltetes Gerät) bei MDM-Informationen die Option „Device Owner-Registrierung erzwingen“ wählen.
3. Als MDM-System „Other“ auswählen und die Standard APK für Android Enterprise Einschreibungen von Google bei „MDM-Agent-APK“ einfügen:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Hinweis: Samsung bemüht sich, dass Relution im Zuge der Partnerschaft „Samsung Neues Lernen“ in der Liste der MDM-Systeme zukünftig zur Auswahl steht.

Welche Einstellungen müssen im KME MDM-Profil für eine Nutzung mit Relution vorgenommen werden?

1. Unter Geräteeinstellungen lässt sich definieren, ob Systemanwendungen benötigt werden. Sollten Systemanwendungen nicht zugelassen werden, wird das Gerät stark eingeschränkt. Beispielweise ist dann ein Teilen von Inhalten wie Fotos über WiFi Direct (ähnlich wie AirDrop) nicht möglich. Diese Einstellung nachträglich vom MDM-Server nicht geändert werden. Empfehlung: Systemanwendungen sollten daher initial zugelassen werden. Nachgelagert können nicht benötigte Anwendung über das Samsung Knox Service Plugin blockiert werden.
2. Angabe des Firmennamens bzw. Name der Schule.

Kann mit Samsung KME ein Relution Multi-Enrollment-Code als Custom JSON verwendet werden?

Relution 5 ermöglicht die Anlage eines Multi-Enrollment-Codes. Dadurch können beliebig viele Geräte mit einem Code eingeschrieben werden. Die Optimierung vereinfacht massenhafte Android Enterprise Einschreibungen beispielsweise für Klassensätze oder Ausleihgeräte an Schulen aber auch für Einschreibungen von Bring Your Own Device (BYOD)-Geräten bei iOS.

Bei der Anlage einer Einschreibung muss dazu im Konfigurationsschritt „Ablaufdatum & Benachrichtigung“ die Schaltfläche „Mehrfach-Einschreibung“ aktiviert werden.

Den Multi-Enrollment-Code für eine Mehrfach-Einschreibung erhält man in Relution in der Listenansicht der angelegten Einschreibungen durch Klick auf das QR-Code Icon pro Zeilenelement und im nachfolgenden Dialogfenster unter „Mittels DPC-Identifier“ -> „KME Custom JSON“. Oder auf der Enrollment Detailseite unter „Einschreibungs-Information“ -> „KME Custom JSON“. Das Custom JSON kann hier für die weitere Verwendung im Samsung Knox Portal jeweils bequem kopiert werden.

Die automatische Einschreibung von Samsung Knox Mobile Enrollment (KME)-Geräten mit Android Enterprise wird durch die Übertragung des Multi-Enrollment-Codes aus Relution via Custom JSON in das MDM-Profil bei Samsung KME ebenfalls vereinfacht.

Hierzu wird das Custom JSON in folgendem Format in das Eingabefeld „Benutzerdefinierte JSON-Daten (nach MDM-Definition) eingetragen:

{"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"ECWSXBLUOGEHGVQVRHXL"}

Ein manuelles Scannen des Android Enterprise Enrollment Codes aus dem Relution Portal ist damit nicht mehr notwendig und die Einschreibung lässt sich so weiter automatisieren.

Welche Vorteile bietet ein QR-Code mit WLAN-Konfiguration für die Einschreibung im KME MDM-Profil und wie kann dieser im Profil ergänzt werden?

Durch die Pflege einer WLAN-Konfiguration im KME MDM-Profil lässt sich die Einrichtung von Geräten optimieren. Durch das Scannen dieses QR-Codes im Zuge der Geräte-Einrichtung wird so automatisch eine Verbindung zum WLAN hergestellt. Dadurch entfällt die lästige manuelle Eingabe des WLAN-Passworts auf jedem Gerät. Insbesondere bei der Einschreibung von mehr als 10 Geräten führt dies zu einer deutlichen Zeitersparnis.

Über die Schaltfläche „QR-Code hinzufügen“ erscheint ein separater Dialog. Hier kann eine WLAN SSID angegeben werden. Zudem lassen sich die Verschlüsslung (Sicherheit) und das WLAN-Passwort hinterlegen. Diese Einstellung ist nur für Geräte mit Betriebssystem Android 10 und höher verfügbar.

Hinweis: Bei der Pflege der WLAN-Konfiguration im KME MDM-Profil kann eine zusätzliche Checkbox aktiviert werden, damit Geräte im Zuge der Einrichtung nachträglich im KME-Programm hinzugefügt und automatisch dem MDM-Profil zugeordnet werden. Dies ist nur dann notwendig, wenn die Geräte nicht von einem autorisierten Händler erworben bzw. nicht automatisch im KME ergänzt wurden.

Nachdem die Einstellungen gespeichert und die Anlage des MDM-Profils abgeschlossen ist, wird im KME-Portal für das MDM-Profil automatisch ein QR-Code erstellt. Dieser enthält ebenfalls die Informationen zur WLAN-Konfiguration.

Wie kann im KME-Portal ein MDM-Profil einem Gerät zuwiesen werden?

MDM-Profile lassen sich im KME-Portal Geräten auch manuell zuweisen. Dies ist z.B. notwendig, wenn in den Android Enterprise Profil Einstellungen kein QR-Code für die Geräteeinrichtung angelegt wurde oder aber das Betriebssystem der Geräte älter als Android 10 und damit nicht QR-Code kompatibel ist.

Welche Vorbedingungen müssen für die automatische Einschreibung von Samsung Knox Geräten mit Android Enterprise in Relution gegeben sein?

Es muss sichergestellt sein, dass die jeweilige Organisation in Relution, in die das Samsung Knox Gerät eingeschrieben wird, mit einer Google Organisation verknüpft ist. Eine Anleitung für die Verknüpfung wird im Insight Android Enterprise in Relution einrichten beschrieben.

Anschließend muss in Relution unter „Geräte -> Einschreibungen“ für jedes Samsung Knox Gerät eine Android Enterprise „Verwaltetes Gerät“ Einschreibung mit den folgenden Einstellungen angelegt werden:

1. Plattform: Android Enterprise
2. Typ: Verwaltetes Gerät
3. Eigentümerschaft: Firmengerät (COD).

Wie werden Samsung Knox Geräte über KME automatisch eingeschrieben?

Bei erstmaliger Inbetriebnahme der Samsung Knox Geräte sind folgende Schritte notwendig:

1. Direkt zu Beginn kann auf dem Gerät in den KME-Konfiguration Wizard gewechselt werden. Hierzu muss physisch mit dem Finger ein „+“-Zeichen beim initialen „Los geht’s“ Bildschirm auf dem Gerät „gezeichnet“ werden.
2. Der Wizard bietet verschieden Optionen. Einerseits kann mit einem weiteren Gerät, auf dem die Samsung Knox Deployment App eingerichtet wurde, die Einrichtung per Bluetooth und WiFi-Direct erfolgen. Oder für Geräte ab Android 10 die empfohlene komfortable Einrichtung mittels QR-Code durchgeführt werden.

Hinweis: Dabei wird der im KME-Portal für das MDM-Profil erzeugte QR-Code (siehe oben) gescannt und nicht der Einschreibe-QR-Code aus Relution verwendet. Wichtig ist, dass der QR-Code des MDM-Profils für beliebig viele Geräte genutzt werden kann. Lediglich wenn mehrere MDM-Profile, bspw. mit unterschiedlichen WLAN-Konfigurationen, angelegt wurden, muss beim Scannen darauf geachtet werden, dass der richtige QR-Code verwendet wird.

3. Nach der Initiierung werden einige Konfigurationen auf dem Gerät durchgeführt, die teilweise manuell bestätigt werden müssen. Dabei wird bspw. die WLAN-Verbindung hergestellt, das MDM-Profil aus dem KME-Portal auf das Gerät geladen und dann die Einschreibung für Android Enterprise vorbereitet. Sofern nicht der KME-Konfiguration Wizard, sondern der Standard Android Einrichtungsassistent genutzt wird, wird nach der Herstellung einer WLAN-Verbindung im Standard Android Einrichtungsdialog automatisch in den KME-Konfiguration Wizard gewechselt. Anschließend wird das im KME-Portal dem Gerät zugeordnete MDM-Profil geladen sowie die weiteren Konfigurationsschritte automatisch angestoßen.

4. Im weiteren Verlauf des Einschreibeprozesses erfolgt dann die Kopplung des Gerätes mit dem MDM-System. Hierzu wird der Relution Einschreibe-QR-Code zum Abschluss der Einschreibung benötigt. Wichtig dabei ist, dass für jedes einzelne Gerät ein individueller QR-Code aus einer separat angelegten Einschreibung in Relution genutzt werden muss.

Hinweis: Sofern in Relution ein Multi-Enrollment-Code angelegt wurde, kann dieser für mehrere Geräte genutzt werden. Zudem wird dieser Schritt automatisch übersprungen sofern im KME MDM-Profil ein Custom JSON mit dem Multi-Enrollment-Code gepflegt wurde.

5. Je nach Konfiguration der Einschreibung in Relution muss abschließend noch ein Passcode bzw. ein Muster definiert werden. Sofern in der Einschreibung kein gesonderter Schutz des Geräts gewünscht ist, wird dieser Einrichtungsschritt übersprungen.
6. Sofern im Zuge der Einschreibung dem Gerät eine (Standard-)Richtlinie zugeordnet wurde, in der auch verwaltete Apps für die automatische Installation oder sonstige Konfigurationen zugeordnet sind, werden diese automatisch auf dem Gerät eingespielt.

Weiterführende Links

• Knox Mobile Enrollment
• Samsung Knox Deployment
• Profile configuration
• QR code enrollment (for Android 10 devices).