Cortado Mobile Solutions

Meine Tickets
Willkommen
Anmelden

Google Accounts für Android Enterprise erstellen

Für viele Android-Geräte (ab Version 5.0) können Sie ein zertifikat- und profilbasiertes MDM einrichten. Eine Liste aller unterstützen Geräte finden Sie unter folgendem Link

In Ihrem Unternehmen wird G Suite by Google Cloud eingesetzt? Ihre Mitarbeiter verfügen bereits über ein Google-Konto mit Unterneh­mens-Email-Adresse und nutzen bereits Gmail, Google Docs, Google Drive usw.? In diesem Fall bietet es sich an Google Accounts, für die Verwaltung Ihrer And­roid-Geräte mit dem Cortado-Server zu verwenden. 

Google Service Account, Google APIs und den Firebase Serverschlüssel erstellen

Google-Einstellungen in die Managementkonsole übernehmen

Android Enterprise in der Google-Admin-Konsole konfigurieren

Google Service Account, Google APIs und den Firebase Serverschlüssel erstellen

  • Öffnen Sie die Google-Developer-Konsole unter: https://code.goo­gle.com/apis/console und loggen Sie sich mit Ihrem Google-Konto (welches Sie auch für die Administration von G Suite verwenden) ein. 

Projekt erstellen

  • Wählen Sie zuerst Ihre Organisation aus (linker Pfeil im Bild).
  • Richten Sie nun ein API-Projekt mit Klick auf Create project ein (rechter Pfeil im Bild).

  • Vergeben Sie einen Projektnamen und klicken Sie anschließend auf Create. Warten Sie bis ein neues Projekt erstellt wurde. 

OAuth konfigurie­ren

Der OAuth-Zustimmungsbildschirm wird Nutzern gezeigt, wenn Sie mit Ihrer Unique-ID Zugriff auf deren private Daten anfordern.

  • Öffnen Sie anschließend den API-Manager. Klicken Sie dafür im Menü (linker Pfeil im Bild) unter APIs & Services auf OAuthconsent screen (rechter Pfeil im Bild).

  • Stellen Sie den Application type auf Internal (oberer Pfeil im Bild).
  • Tragen Sie mindestens den Produktnamen, der den Nutzern angezeigt wird ein (unterer Pfeil im Bild) und speichern Sie anschließend die Daten.

Service Account (inkl. P12 Zertifi­kat) erstellen

  • Wählen Sie im Menü (oberer Pfeil im Bild) IAM & Admin→ Service accounts (unterer Pfeil im Bild).

  • Erstellen Sie jetzt einen Service Account.

  • Vergeben Sie einen Namen (oberer Pfeil im Bild). Die Service account ID wird in Form einer E-Mail-Adresse erstellt (unterer Pfeil im Bild). Sie muss später in der Management­konsole unter Service account e-mail address eintragen werden (siehe unten).
  • Klicken Sie anschließend auf Create.

  • Wählen Sie die Rolle Owner aus und klicken Sie anschließend auf Continue.

  • Wählen Sie Create key (linker Pfeil im Bild) und als Key typ: P12 (rechter Pfeil im Bild).
  • Klicken Sie anschließend auf Create.

  • Daraufhin wird ein Paar bestehend aus öffentlichem und privatem Schlüssel Ihres Service Accounts erstellt. Speichern Sie es an einem sicheren Ort, da es sich um die einzige Kopie dieses Schlüssels handelt (rechter Pfeil im Bild).
  • Außerdem wird Ihnen hier einmalig das Passwort des privaten Schlüssels angezeigt (linker Pfeil im Bild). Notieren Sie das Passwort.
  • Klicken Sie danach auf Done.
  • Zertifikat und Passwort müssen später in der Managementkonsole unter Certi­ficate und Password eintragen werden (siehe unten).

Hinweis! Diesen Service Account können Sie sowohl für die Einrichtung des MDM als auch für Android-VPP nutzen. Alternativ können Sie aber auch zwei separate Dienstkonten erstellen.

APIs aktivieren

  • Wählen Sie im Menü (linker Pfeil im Bild) den API Manager und dort unter APIs & Services→Library (rechter Pfeil im Bild).

  • Die API Libary wird daraufhin angezeigt.
  • Geben Sie Admin SDK ins Suchfeld ein (Pfeil im Bild).

  • Wählen Sie Admin SDK in den Suchergebnissen aus und klicken Sie anschließend auf Enable.

  • Suchen Sie danach die Google Play EMM API in der API Libary und fügen Sie diese ebenfalls hinzu.

Hinweis! Sollten Sie zwei separate Dienstkonten verwenden, aktivieren Sie die API Admin SDK für das Konto mit dem Sie ihr MDM verwalten und die API Google Play EMM für Android-VPP.

Firebase Cloud Messaging Server key generieren

Firebase Cloud Messaging (FCM) (ehemals Google Cloud Messaging (GCM)) ist ein kostenloser Dienst, mit dem Daten von Servern aus an Android-Apps gesendet wer­den können. Android Enterprise nutzt diesen Dienst für das Mobile Device Manage­ment. Zur Verwendung von FCM benötigen Sie ein Serverschlüssel.

Hinweis für Cortado MDM! Die Erstellung eines Google-Firebase-Projekts ist optional. Google Firebase Cloud Messaging (FCM) kann verwendet werden, um Policies und Profile sofort auf die Geräte der Nutzer zu pushen. Wird kein FCM verwendet, werden die Benutzergeräte in einen von Ihnen festgelegten Intervall synchronisiert (Automatic Intervall Sync).

Um einen solchen Schlüssel zu erhalten, führen Sie bitte folgende Schritte aus:

  • Öffnen Sie die Webseite https://console.firebase.google.com und loggen Sie sich mit Ihrem Google Admin-Konto für Android Enterprise ein.
  • Wählen Sie anschließend or import a Google project (Pfeil im Bild).

  • Wählen Sie jetzt Ihr Projekt und Ihr Land aus. Klicken Sie danach auf Add Fire­base.

  • Wählen Sie Settings (linker Pfeil im Bild) und Project settings (rechter Pfeil im Bild).

  • Unter Cloud Messaging finden Sie Ihren Server key und Ihre Sender ID. Kopie­ren Sie diese ebenfalls für die Cortado-Managementkonsole.

  • Tragen Sie im nächsten Schritt den Server key unter Google Cloud Messaging API key und die Sender ID unter Project number ein.

Google-Einstellungen in die Managementkonsole übernehmen

  • Wechseln Sie zur Managementkonsole und wählen dort Control Panel→ General Settings→ MDM→ Configure→ Android MDM.
  • Wenn Sie Google Firebase Cloud Messaging (FCM) verwenden, kopieren Sie den Server-Schlüssel und die Sender-ID in die Managementkonsole unter Server key und Sender ID (obere Pfeile im Bild).
  • Alternativ zu FCM können Sie unter Automatic Interval Sync (AIS) ein Intervall festlegen, in dem die Geräte der Nutzer regelmäßig synchronisert werden. Richtlinien und Profile werden dann im festgelegten Intervall auf die Geräte gepusht.
Hinweis! Verwenden Sie entweder Google Firebase Cloud Messaging oder Automatic Interval Sync.
Hinweis! Die Option Automatic Interval Sync (AIS) steht zur Zeit noch nicht für Cortado Server zur Verfügung. Nutzer von Cortado Server verwenden vorerst weiterhin das FCM und tragen Server key und Sender ID in der Managementkonsole ein.

  • Nehmen Sie für den User account type Google Accounts, folgende Einstellungen vor:

  • Primary domain: Tragen Sie hier Ihre Firmendomäne ein, die Sie für G Suite ver­wenden.
  • Super admin e-mail address: Tragen Sie hier die Email-Adresse des Google Admin-Kontos ein, dass Sie auch für G Suite verwenden.
  • Service account e-mail address: Tragen Sie hier die Service-Account-ID ein.
  • Certificate/Password: Wählen Sie hier das, während der Erstellung des Dienstkontos generierte Zertifikat (.p12) aus und geben Sie das dazu­gehörig Passwort (notasecret) hier ein.
  • Auto enable users for Android Enterprise while import: Deaktivieren Sie diese Checkbox, wenn die Nutzer während des Imports nicht automatisch für Android Enterprise aktiviert werden sollen. Dies ist zum Beispiel sinnvoll, wenn E-Mail-Adressen mit Subdomänen verwendet werden oder nur ein Teil der Nut­zer Android Enterprise verwendet. Alternativ können Sie die Nutzer unter Con­trol Panel→ Users→ Enable Android Enterprise manuell für Android Enter­prise aktivieren.
  • Create Google account using AD email address: Aktivieren Sie diese Check­box nur, wenn Sie auch Nutzer, die bisher kein Google-Konto haben für Android Enterprise aktivieren möchten. So wird für diese Nutzer während der Konfigura­tion ein Google-Konto erstellt. Dabei werden die E-Mail-Adressen der Nutzer aus dem AD verwendet. Die für den Import verwendeten E-Mail-Adressen müs­sen die gleiche Primary Domain haben wie oben angegeben. Es dürfen keine Subdomänen verwendet werden. Sie können die Nutzer dann später unter Con­trol Panel→ Users→ Enable Android Enterprise manuell für Android Enter­prise aktivieren.
  • Initial Google account password: Erstellen Sie hier ein initiales Passwort für die neu angelegten Google-Konten.
  • Alternative e-mail address template: Wählen Sie hier eine Alternative, falls für die Erstellung der Google-Konten nicht die E-Mail-Adressen aus dem AD ver­wendet werden sollen.
  • Sollte für alle Nutzer bereits ein Google-Konto (mit der AD-E-Mail-Adresse) exis­tieren, können Sie die Checkbox Create Google account using AD e-mail address deaktivieren und die Checkbox Auto enable users for Android Enter­prise while import aktivieren.
  • SafetyNet: Wie Sie die SafetyNet-Einstellungen für Google konfigurieren erfahren Sie hier.

Android Enterprise in der Google-Admin-Konsole konfigurieren

  • Melden Sie sich erneut an der Google-Developer-Konsole (https://code.goo­gle.com/apis/console) mit Ihrem Google-Konto an, welches Sie auch für G Suite benutzen.
  • Wählen Sie im Menü IAM & admin→ Service accounts (linker Pfeil im Bild).
  • Klicken Sie in Ihrem Service-Account unter Actions auf Edit (rechter Pfeil im Bild).

  • Kopieren Sie sich die Unique-ID in die Zwischenablage.

  • Melden Sie sich mit Ihrem Google-Konto (welches Sie auch für G Suite benut­zen) unter https://admin.google.com in der Admin-Konsole an.
  • Klicken Sie dort auf Security.

  • Wählen Sie anschließend Advanced settings→ Manage API client access.

  • Kopieren Sie jetzt die Unique-ID, die Sie in der Google-Developer-Konsole unter IAM & Admin→ Service accounts in Ihren Service-Account-Details finden und fügen Sie diese in der Admin-Konsole unter Client Name  ein.
  • Tragen Sie unter API-Bereiche folgende Bereiche (kommagetrennt) ein:

https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.user,https://www.googleapis.com/auth/androidEnterprise

Hinweis! Sollten Sie zwei separate Dienstkonten nutzen, verwenden Sie https://www.googleapis.com/auth/admin.directory.group und https://www.googleapis.com/auth/admin.directory.user für das Konto mit dem Sie ihr MDM verwalten und https://www.googleapis.com/auth/androidenter­prise für Android-VPP.
  • Wählen Sie im Menü: Security→ Manage EMM provider for Android. Erstellen Sie ein Token (Generate Token) und kopieren Sie es in die Zwischenablage.

Hinweis! Senden Sie diesen Token, zusammen mit Ihrer Service account ID und ihrem primären Domänennamen per E-Mail an: support@cortado.com. Sie erhalten von Cortado eine Enterprise ID zurück.
  • Tragen Sie die Enterprise ID unter Control Panel→ Apps & Docs→ VPP Accounts→ Create→ Android ein.
  • Nach dem Erstellen des Android VPP-Accounts in der Cortado Management­konsole wird Ihre Service account e-mail address in der Google Admin-Konsole angezeigt (oberer Pfeil im Bild).

Hinweis! Beachten Sie bitte, dass die Checkbox Enforce EMM policies on Android devices nicht gesetzt werden darf (unterer Pfeil im Bild).

War diese Antwort hilfreich? Ja Nein

Feedback senden
Entschuldigen Sie, dass wir nicht hilfreich sein konnten. Helfen Sie uns, diesen Artikel zu verbessern und geben uns dazu ein Feedback.