Samsung KME mit Android Legacy
Samsung Knox Mobile Enrollment mit Geräteadministrator
Die folgende Kurzanleitung beschreibt die Änderungen am Enrollment-Prozess für KME mit Relution Server 4.62 oder neuer und Relution für Android 3.86 oder neuer. Diese Änderungen ermöglichen das Einschreiben von Samsung Geräten mit Android 10. Der Enrollment-Typ Geräteadministrator wird ab Android 11 nicht mehr unterstützt.
Die bisherige Anleitung befindet sich hier.
Dieses Dokument hebt die Änderungen gegenüber dem bisherigen Prozess hervor. Der restliche Prozess bleibt unverändert.
Neues Profil anlegen
Wie bisher muss ein Profil auf dem Knox Mobile Enrollment Portal von Samsung angelegt werden.
Hierzu muss nach dem Login auf Samsungknox.com zunächst auf “Launch Console” im Bereich “Knox Mobile Enrollment” geklickt werden.
In der Knox Mobile Enrollment Konsole muss anschließend im linken Menü auf “MDM Profiles” gewechselt werden und dort die Schaltfläche “Create Profile” betätigt werden.
Im nachfolgenden Auswahldialog muss “Device Admin” als Profiltyp ausgewählt werden.
Ein Profil vom Typ “Device Owner” wird aktuell noch nicht unterstützt.
Profil konfigurieren
Im neuen Profil muss im Gegensatz zu bisher die Option “Server URI not required for my MDM” ausgewählt werden. Die bisherige Option funktioniert auf Geräten beginnend ab Android 10 nicht mehr, da Samsung die dazu benötigte Infrastruktur abgeschaltet hat.
Da Relution weiterhin On-Premise Installationen unterstützt muss die Server URL jetzt auf anderem Weg zum Client übermittelt werden. Die Konfiguration dazu erfolgt auf den nachfolgenden Seiten.
Im neuen Profil muss zunächst der MDM Client angegeben werden, der während des Enrollments auf das Gerät installiert werden soll. Im Gegensatz zu bisher kann das nicht mehr automatisch ermittelt werden, da Samsung keine direkte Verbindung mehr zu unserem MDM Server hat.
Hier muss die URL https://repo.relution.io/apps/android/latest/Relution-normal-release.apk verwendet werden um die aktuelle Release-Version von Relution für Android auf das Gerät zu installieren. Für Kunden mit einer White Label Version kann die URL entsprechend abweichen.
Anschließend muss noch “Custom JSON Data” hinterlegt werden, welche dem MDM Client nach der Installation übermittelt wird.
Hier muss das Protokoll (HTTPS) gefolgt vom Hostnamen des MDM Servers eingetragen werden.
Das JSON besteht dabei aus:
{ "server" : "https://<hostname>" }
Dabei muss <hostname> entsprechend durch den Hostnamen des MDM Servers ersetzt werden. Für die Cloud Instanz von MWAY ("https://live.relution.io") ist das entsprechende JSON somit wie folgt:
{ "server" : "https://live.relution.io" }
Im Anschluss kann das neue Profil gespeichert werden.
Das neue Profil muss jetzt noch dem mobilen Gerät zugewiesen werden, wie es auch im bisherigen Prozess schon der Fall war.
Beim ersten Start (oder nach einem Factory Reset) des Geräts bekommt dieses das Profil von Samsungs KME Server zugeordnet, die Relution App wird auf dem Gerät installiert und der Einschreibungsvorgang gestartet.
Einschreibung
Der Einschreibungsvorgang auf dem mobilen Gerät ist, mit Ausnahme einer Änderung, identisch zum bisherigen Vorgang. Da der Samsung Server nicht mehr wie bisher direkt mit dem MDM Server kommuniziert wird das Enrollment nicht mehr automatisch erzeugt.
Es ist daher für den Benutzer jetzt erforderlich sich während des Enrollments auf dem mobilen Gerät anzumelden.
Bei der Anmeldung wird dynamisch ein Enrollment für den Benutzer erzeugt, sofern folgende Voraussetzungen gegeben sind:
- Es gibt ein Auto-Enrollment für dieses Gerät mit der entsprechenden Seriennummer. Es müssen also wie bisher vor dem Enrollment die Geräte aus dem Samsung Portal importiert worden sein.
- Das Auto-Enrollment ist entweder der “Device User” Gruppe zugeordnet oder dem entsprechenden Benutzer.
Ist kein Auto-Enrollment vorhanden, das Auto-Enrollment kann anhand der Seriennummer nicht gefunden werden oder ist einem anderen Benutzer zugeordnet, so schlägt der Einschreibungsvorgang fehl.