Managed Google Accounts für Android Enterprise erstellen

Hinweis! Diese Einrichtungsmethode steht zur Zeit nicht für Android-Geräte ab Version 12 zur Verfügung. 

In Ihrem Unternehmen wird Workspace von Google eingesetzt? Ihre Mitarbeiter verfügen über ein Google-Konto mit Unterneh­mens-Email-Adresse und nutzen bereits weitere Google-Dienste? In diesem Fall bietet es sich an Managed Google Accounts, für die Verwaltung Ihrer And­roid-Geräte zu verwenden. 

Google Dienstkonto und Google APIs erstellen

Google-Einstellungen ins Verwaltungsportal übernehmen

Android Enterprise in der Google-Admin-Konsole konfigurieren

Google Dienstkonto und Google APIs erstellen

Voraussetzung: Sie benötigen eine bei Google registrierte Domäne. Weitere Informationen hierzu finden Sie unter https://support.google.com.

• Öffnen Sie die Google Cloud Konsole unter: https://console.cloud.google.com und loggen Sie sich mit Ihrem Google-Konto (welches Sie auch für die Administration von Google Workspace verwenden) ein. 

Projekt erstellen

• Wählen Sie zuerst Ihre Organisation aus (linker Pfeil im Bild). Hierbei handelt es sich um Ihre primäre Domäne, die auch später im Cortado Verwaltungsportal eingetragen werden muss.
• Richten Sie nun ein API-Projekt mit Klick auf Neues Projekt ein (rechter Pfeil im Bild).

• Vergeben Sie einen Projektnamen und klicken Sie anschließend auf Erstellen. Warten Sie bis ein neues Projekt erstellt wurde.

• Wählen Sie Ihr neu erstelltes Projekt anschließend aus (Pfeil im Bild).

Dienstkonto (inkl. P12 Zertifikat) erstellen

• Wählen Sie im Menü (oberer Pfeil im Bild) IAM & Verwaltung→ Dienstkonten (unterer Pfeil im Bild).

• Erstellen Sie jetzt ein Dienstkonto (Pfeil im Bild).

• Vergeben Sie einen Konto-Namen (oberer Pfeil im Bild). Die Dienstkonto-ID wird in Form einer E-Mail-Adresse erstellt (mittlerer Pfeil im Bild). Sie muss später in der Verwaltungsportal unter E-Mail-Adresse des Servicekontos eintragen werden (siehe unten).
• Klicken Sie anschließend auf Erstellen und Fortfahren (unterer Pfeil im Bild).

• Wählen Sie danach die Rolle Inhaber aus (oberer Pfeil im Bild).
• Klicken Sie auf Weiter (unterer Pfeil im Bild).

• Nehmen Sie im nächsten Fenster keine weiteren Einstellungen vor. Klicken Sie nur auf Fertig (Pfeil im Bild).

• Wählen Sie Ihr neues Dienstkonto jetzt aus (linker Pfeil im Bild) und klicken Sie rechts unter Aktionen im Menü (rechter Pfeil im Bild) auf Schlüssel verwalten (unterer Pfeil im Bild).

• Klicken Sie im nächsten Fenster auf Schlüssel hinzufügen (oberer Pfeil im Bild) und anschließend auf Neuen Schlüssel erstellen (unterer Pfeil im Bild).

• Wählen Sie den Schlüsseltyp: P12 (oberer Pfeil im Bild).
• Klicken Sie anschließend auf Erstellen (unterer Pfeil im Bild).

• Daraufhin wird ein Paar bestehend aus öffentlichem und privatem Schlüssel Ihres Dienstkontos erstellt. Speichern Sie es an einem sicheren Ort, da es sich um die einzige Kopie dieses Schlüssels handelt (unterer Pfeil im Bild).
• Außerdem wird Ihnen hier einmalig das Passwort des privaten Schlüssels angezeigt (oberer Pfeil im Bild). Notieren Sie das Passwort.
• Klicken Sie danach auf Schließen.
• Zertifikat und Passwort müssen später im Verwaltungsportal unter Zertifikat und Passwort eintragen werden (siehe unten).

Hinweis! Dieses Dienstkonto können Sie sowohl für die Einrichtung des MDM als auch für Ihr App-Store-Konto nutzen. Alternativ können Sie aber auch zwei separate Dienstkonten erstellen.

APIs aktivieren

• Wählen Sie im Menü (linker Pfeil im Bild) unter APIs und Dienste→ Bibliothek (rechter Pfeil im Bild).

• Die API-Bibliothek wird daraufhin angezeigt.
• Geben Sie Admin SDK ins Suchfeld ein (Pfeil im Bild).

• Wählen Sie Admin SDK API in den Suchergebnissen aus und klicken Sie anschließend auf Aktivieren (Pfeil im Bild).

• Suchen Sie danach die Google Play EMM API in der API-Bibliothek und fügen Sie diese ebenfalls hinzu.

Hinweis! Sollten Sie zwei separate Dienstkonten verwenden, aktivieren Sie die API Admin SDK für das Konto mit dem Sie ihr MDM verwalten und die API Google Play EMM für Ihr App-Store-Konto.

Google-Einstellungen ins Verwaltungsportal übernehmen

• Wechseln Sie zum Verwaltungsportal von Cortado und wählen Sie dort Verwaltung→ Einstellungen→ Android Enterprise→ Konfigurieren.
• Wenn Sie Google Firebase Cloud Messaging (FCM) verwenden, kopieren Sie den Server-Schlüssel und die Sender-ID in die entsprechenden Felder (obere Pfeile im Bild).
• Alternativ zu FCM können Sie unter Gerätes-Synchronisation ein Intervall festlegen, in dem die Geräte der Nutzer/-innen regelmäßig synchronisiert werden. Richtlinien und Profile werden dann im festgelegten Intervall auf die Geräte gepusht.

Hinweis! Verwenden Sie entweder Google Firebase Cloud Messaging oder die Geräte-Synchronisation.

• Nehmen Sie für den Benutzerkonto-Typ→ Google-Konten, folgende Einstellungen vor:

• Primäre Domäne: Tragen Sie hier Ihre Firmendomäne ein, die Sie für Google Workspace ver­wenden.
• Super-Admin E-Mail-Adresse: Tragen Sie hier die Email-Adresse des Google Admin-Kontos ein, dass Sie auch für Google Workspace verwenden.
• E-Mail-Adresse des Servicekontos: Tragen Sie hier die E-Mail-Adresse Ihres Dienstkontos ein.
• Zertifikat/Passwort: Wählen Sie hier das, während der Erstellung des Dienstkontos generierte Zertifikat (.p12) aus und geben Sie das dazu­gehörig Passwort (notasecret) hier ein.
• Benutzer beim Import automatisch für Android Enterprise aktivieren: Deaktivieren Sie diese Checkbox, wenn die Nutzer/-innen während des Imports nicht automatisch für Android Enterprise aktiviert werden sollen. Dies ist zum Beispiel sinnvoll, wenn E-Mail-Adressen mit Subdomänen verwendet werden oder nur ein Teil der Nut­zer/-innen Android Enterprise verwendet. Alternativ können Sie die Nutzer/-innen unter Verwaltung→ Benutzer→ Android Enterprise aktivieren manuell für Android Enter­prise aktivieren.
• Google-Konto mit AD-E-Mail-Adresssen erstellen: Aktivieren Sie diese Check­box nur, wenn Sie auch Nutzer, die bisher kein Google-Konto haben für Android Enterprise aktivieren möchten. So wird für diese Nutzer/-innen während der Konfigura­tion ein Google-Konto erstellt. Dabei werden die E-Mail-Adressen der Nutzer/-innen aus dem AD verwendet. Die für den Import verwendeten E-Mail-Adressen müs­sen die gleiche Primary Domain haben, wie oben angegeben. Es dürfen keine Subdomänen verwendet werden. Sie können die Nutzer/-innen dann später unter Verwaltung→ Benutzer→ Android Enterprise aktivieren manuell für Android Enter­prise aktivieren.
• Initiales Passwort für das Google-Konto: Erstellen Sie hier ein initiales Passwort für die neu angelegten Google-Konten.
• Alternative Vorlage für E-Mail-Adresse: Wählen Sie hier eine Alternative, falls für die Erstellung der Google-Konten nicht die E-Mail-Adressen aus dem AD ver­wendet werden sollen.
• Sollte für alle Nutzer bereits ein Google-Konto (mit der AD-E-Mail-Adresse) exis­tieren, können Sie die Checkbox Google-Konto mit AD-E-Mail-Adresse aktivieren deaktivieren und die Checkbox Benutzer beim Import automatisch für Android Enterprise aktivieren aktivieren.
• SafetyNet: Wie Sie die SafetyNet-Einstellungen für Google konfigurieren erfahren Sie in unserem Hilfe-Artikel So konfigurieren Sie die SafetyNet-Überprüfung von Google.

Android Enterprise in der Google-Admin-Konsole konfigurieren

• Melden Sie sich erneut an der Google Cloud Konsole (https://console.cloud.google.com/) mit Ihrem Google-Konto an, welches Sie auch für die Administration von Google Workspace benutzen.
• Wählen Sie im Menü unter IAM und Verwaltung→ Dienstkonten (linker Pfeil im Bild) Ihr Dienstkonto aus.
• Klicken Sie in Ihrem Dienstkonto unter Aktionen auf Details verwalten (rechter Pfeil im Bild).

• Kopieren Sie sich die Eindeutige ID (Pfeil im Bild) in die Zwischenablage.

• Melden Sie sich mit Ihrem Google-Konto (welches Sie auch für die Administration von Google Workspace benut­zen) unter https://admin.google.com in der Admin-Konsole an.
• Klicken Sie in der linken Spalte auf Sicherheit→ Zugriffs- und Datenkontrolle→ API-Steuerung (linke Pfeile im Bild) und anschließend auf  Domainweite Delegierung verwalten (rechter Pfeil im Bild).

• Klicken Sie hier auf Neu hinzufügen (Pfeil im Bild).

• Kopieren Sie jetzt die Eindeutige ID, aus der Zwischenablage in das Feld Client-ID.
• Tragen Sie unter OAuth-Bereiche folgende Bereiche (kommagetrennt) ein:

https://www.googleapis.com/auth/admin.directory.group,https://www.googleapis.com/auth/admin.directory.user,https://www.googleapis.com/auth/androidenterprise

Hinweis! Sollten Sie zwei separate Dienstkonten nutzen, verwenden Sie

https://www.googleapis.com/auth/admin.directory.group

und

https://www.googleapis.com/auth/admin.directory.user

für das Konto mit dem Sie ihr MDM verwalten und

https://www.googleapis.com/auth/androidenterprise

für Ihr App-Store-Konto.

• Wählen Sie im Menü: Geräte→ Mobilgeräte und Endpunkte→ Einstellungen→ Integration externer Anbieter (linke Pfeile im Bild).  
• Klicken Sie auf der rechten Seite auf den Stift-Button (rechter Pfeil im Bild).

• Die Checkbox Externe Android-Mobilgeräteverwaltung aktivieren darf nicht aktiviert werden (linker Pfeil im Bild).
• Klicken Sie auf EMM-Anbieter hinzufügen (rechter Pfeil im Bild).

• Generieren Sie einen Token (Pfeil im Bild) und kopieren Sie ihn in die Zwischenablage.

Hinweis! Senden Sie diesen Token, zusammen mit der E-Mail-Adresse Ihres Dienstkontos und Ihrem primären Domänennamen per E-Mail an: support@cortado.com. Sie erhalten von Cortado die ID Ihrer Organisation zurück.

Sobald Cortado das MDM für Ihr Konto aktiviert hat, wird die Cortado Mobile Solutions GmbH als Ihr Android EMM-Anbieter im Google-Admin-Portal angezeigt (Pfeil im Bild).

• Tragen Sie die ID der Organisation, die Sie von Cortado erhalten haben unter Verwaltung→ Apps→ App-Store-Konten→ Erstellen→ Android ein (Pfeil im Bild). Weitere Informationen hierzu finden Sie in unserem Hilfe-Artikel App-Store-Konto für Android-Apps erstellen/bearbeiten.