Android Enterprise einrichten (Szenario „Managed Google Domain“)

Wenn Sie bereits eine Managed Google Domain haben oder die Konten Ihrer Android-Enterprise-Benutzer außerhalb von Sophos Mobile verwalten wollen, richten Sie Android Enterprise mit dem Szenario „Managed Google Domain“ ein.

Anmerkung Nach der Einrichtung von Android Enterprise können Sie die Art der Benutzerverwaltung nicht mehr ändern, zum Beispiel von interner Benutzerverwaltung zu einem externen LDAP-Verzeichnis.

Gehen Sie folgendermaßen vor, um Android Enterprise mit dem Szenario „Managed Google Domain“ einzurichten.

Domäne bei Google registrieren

Anmerkung Falls Sie bereits eine Managed Google Domain registriert haben, zum Beispiel, weil Sie sich für „G Suite“ (vormals „Google Apps“) angemeldet haben, können Sie diesen Schritt überspringen.
Anmerkung Falls Sie Android Enterprise für mehrere Kunden in Sophos Mobile konfigurieren wollen, müssen Sie für jeden Kunden eine eigene Domäne verwenden.
  1. Öffnen Sie die Google-Webseite Für Android Enterprise registrieren.

    Sie finden den Link unter „Verwandte Informationen“.

  2. Geben Sie die erforderlichen Informationen ein.
    • Geben Sie unter Wie lautet der Domainname Ihres Unternehmens die Domäne ein, die als Managed Google Domain verwendet wird. Verwenden Sie zum Beispiel die Domäne Ihres Sophos Mobile Servers.
    • Geben Sie unter Wie melden Sie sich an die Anmeldeinformationen für einen neuen Domänen-Administrator ein.
      Anmerkung Notieren Sie sich die Anmeldeinformationen. Sie benötigen diese im weiteren Verlauf der Einrichtung.
  3. Klicken Sie die Schaltfläche zum Erstellen eines neuen Kontos.

    Dies öffnet die Google-Admin-Konsole.

  4. Starten Sie in der Google-Admin-Konsole die Prozedur zur Bestätigung Ihrer Domänen-Inhaberschaft.

    Folgen Sie den Anweisungen von Google, um Ihre Domäne zu bestätigen.

Google-Dienstkonto erstellen

Ein Google-Dienstkonto ist ein spezielles Google-Konto, das von Anwendungen benutzt wird. Dieses Konto wird von Sophos Mobile für die Kommunikation mit den Google APIs verwendet.

Erstellen Sie ein Projekt:
  1. Melden Sie sich als Domänen-Administrator an der Google-API-Konsole an.

    Sie finden den Link unter „Verwandte Informationen“.

  2. Klicken Sie in der Titelzeile der Google-API-Konsole auf Projekt auswählen > Neues Projekt.

    Wenn bereits ein Projekt ausgewählt ist, klicken Sie auf dessen Namen und dann auf Neues Projekt .

  3. Geben Sie im Dialogfeld Neues Projekt einen Projektnamen ein, zum Beispiel Android Enterprise, und klicken Sie anschließend auf Erstellen.
  4. Optional Wenn in der Kopfzeile ein anderes Projekt angezeigt wird, klicken Sie auf dessen Namen und wählen Sie dann das neue Projekt aus.
Aktivieren Sie die Admin-SDK-API:
  1. Klicken Sie oben links auf die Schaltfläche für das Navigationsmenü und dann auf APIs & Dienste > Bibliothek.
  2. Geben Sie im Suchfeld der Seite Willkommen bei der API-Bibliothek die Zeichenfolge admin sdk ein.
  3. Klicken Sie in der Ergebnisliste auf Admin SDK.
  4. Klicken Sie auf der Seite Admin SDK auf Aktivieren.
Aktivieren Sie die Google-Play-EMM-API:
  1. Geben Sie im Suchfeld der Seite Willkommen bei der API-Bibliothek die Zeichenfolge emm ein.
  2. Klicken Sie in der Ergebnisliste auf Google Play EMM API.
  3. Klicken Sie auf der Seite Google Play EMM API auf Aktivieren.
Dienstkonto erstellen:
  1. Klicken Sie im linken Menü der Seite Google Play EMM API auf Anmeldedaten.
  2. Klicken Sie auf Anmeldedaten erstellen > Dienstkonto.
  3. Geben Sie in Dienstkontodetails einen Namen für das Dienstkonto ein, zum Beispiel Android Enterprise.
  4. Klicken Sie auf Erstellen und fortfahren.
  5. Klicken Sie unter Diesem Dienstkonto Zugriff auf das Projekt erteilen auf Weiter.
  6. Klicken Sie unter Nutzern Zugriff auf dieses Dienstkonto erteilen auf Fertig.
  7. Klicken Sie unter Dienstkonten auf Bearbeiten neben dem Konto, das Sie gerade erstellt haben.
  8. Öffnen Sie das Tab Schlüssel.
  9. Klicken Sie auf Schlüssel hinzufügen > Neuen Schlüssel erstellen.
  10. Wählen Sie JSON aus und klicken Sie auf Erstellen.

    Der private Schlüssel für Ihr Dienstkonto wird erzeugt und auf Ihrem Computer in einer JSON-Datei gespeichert.

    Verwahren Sie die JSON-Datei an einem sicheren Ort. Sie benötigen die Datei, um Sophos Mobile mit Ihrer Managed Google Domain zu verbinden.

  11. Klicken Sie auf Schließen.
  12. Öffnen Sie das Tab Details.
  13. Erweitern Sie den Bereich Domainweite Delegation einblenden und wählen Sie Domainweite Delegation von Google Workspace aktivieren aus.
  14. Geben Sie in Produktname für den Zustimmungsbildschirm zum Beispiel Sophos Mobile ein.
  15. Klicken Sie auf Speichern.
API-Zugriff konfigurieren:
  1. Melden Sie sich als Domänen-Administrator an der Google-Admin-Konsole an.

    Sie finden den Link unter „Verwandte Informationen“.

  2. Klicken Sie auf Sicherheit > API-Steuerung.
  3. Klicken Sie unter Domainweite Delegierung auf Domainweite Delegierung verwalten.
  4. Klicken Sie auf Neu hinzufügen.
  5. Öffnen Sie in einem Texteditor die JSON-Datei und kopieren Sie den Wert von client_id in das Feld Client-ID.

    Wenn Ihre JSON-Datei beispielsweise eine Zeile "client_id": "123456789" enthält, geben Sie im Feld Client-ID den Wert 123456789 ein.

  6. Geben Sie in OAuth-Bereiche Folgendes ein (ohne Zeilenumbruch):

    https://www.googleapis.com/auth/admin.directory.user, https://www.googleapis.com/auth/androidenterprise

  7. Klicken Sie auf Autorisieren.

Mobilgeräteverwaltung in Google Admin konfigurieren

In Google Admin müssen Sie die Mobilgeräteverwaltung konfigurieren und ein Verbindungs-Token für Sophos Mobile erzeugen.

  1. Klicken Sie auf der Startseite von Google Admin auf Geräte.
    Die Schaltfläche Geräte
  2. Klicken Sie im linken Fensterbereich auf Mobilgeräte und Endpunkte > Einstellungen > Universelle Einstellungen.
    Der Menüpunkt Universelle Einstellungen
  3. Klappen Sie Allgemein auf.
    Die Schaltfläche Allgemein maximieren
  4. Kontrollieren Sie, dass Mobilgeräteverwaltung den Wert Basic oder Nicht verwaltet hat.
    Mobilgeräteverwaltung hat den Wert Basic
  5. Falls Mobilgeräteverwaltung den Wert Basic hat: Klicken Sie neben Passwortanforderungen auf Bearbeiten.
    Die Schaltfläche Bearbeiten
  6. Deaktivieren Sie Nutzer müssen ein Passwort festlegen.
    Die Einstellung Nutzer müssen ein Passwort festlegen
  7. Klicken Sie im linken Fensterbereich auf Mobilgeräte und Endpunkte > Einstellungen > Integrationen externer Anbieter.
    Der Menüeintrag für Integrationen externer Anbieter
  8. Klicken Sie neben Android-EMM auf Bearbeiten.
    Die Schaltfläche Bearbeiten
  9. Aktivieren Sie Externe Android-Mobilgeräteverwaltung aktivieren.
    Die Einstellung Externe Android-Mobilgeräteverwaltung aktivieren
  10. Klicken Sie auf EMM-Anbieter hinzufügen.
  11. Klicken Sie auf Token generieren.
  12. Klicken Sie neben dem Token auf Kopieren, um es in die Zwischenablage zu kopieren.
    Die Schaltfläche Kopieren
  13. Speichern Sie das Token temporär. In einem späteren Schritt müssen Sie es in Sophos Mobile Admin eingeben.
  14. Klicken Sie auf der Seite EMM-Anbieter verwalten links oben auf Schließen.
    Die Schaltfläche Schließen
  15. Klicken Sie auf Speichern.
    Die Schaltfläche Speichern
  16. Klicken Sie auf Trotzdem speichern.
    Die Schaltfläche Trotzdem speichern

Sophos Mobile an Ihre Managed Google Domain binden

  1. Melden Sie sich bei Sophos Mobile Admin an.
  2. Wählen Sie in der Menüleiste unter EINSTELLUNGEN den Eintrag Einrichtung > Google-Einrichtung aus und öffnen Sie anschließend das Tab Android Enterprise.
  3. Klicken Sie auf Konfigurieren.
  4. Wählen Sie Szenario „Managed Google Domain“ aus und klicken Sie anschließend auf Weiter.
  5. Konfigurieren Sie folgende Einstellungen:
    OptionBeschreibung
    Unternehmens-Domäne Ihre gegenüber Google bestätigte Managed Google Domain.
    Domänen-Administrator Der Name Ihres Domänen-Administratorkontos. Dies ist der Administrator, den Sie erstellt haben, als Sie Ihre Domäne bei Google registriert haben.
    EMM-Token Das Token, das Sie in Google Admin erzeugt haben.
  6. Klicken Sie auf Datei hochladen und wählen Sie die JSON-Datei aus, die Sie von Google heruntergeladen haben, als Sie das Dienstkonto erstellt haben.

    Sie müssen eine JSON-Datei mit der Dateiendung .json auswählen.

  7. Klicken Sie auf Verbinden.
Sophos Mobile kontaktiert den Google-Webservice, um sich als EMM-Anbieter mit Ihrer Managed Google Domain zu verbinden.