In Samsungs Smartphones S6 und S6 Edge ist Samsung Knox 2.4 integriert. Die Sicherheitsarchitektur Knox ist eine Kombination aus einer Hardware-Verschlüsselung, wie etwa der TrustZone-Technologie, sowie weiteren Software-Komponenten.
Privatpersonen, Selbständige oder kleinere Betriebe, die eine zusätzliche Sicherheitsschicht und auch eine klare Trennung von beruflichen und privaten Daten wünschen, können unter anderem mit den beiden neuen Flaggschiff-Geräten S6 und S6 Edge die Sicherheitslösung Samsung Knox Workspace mit der App Samsung MyKnox herunterladen. Damit steht auf dem ’normalen‘ Gerät auch ein zusätzlich gesicherter Container für Apps und Daten bereit. Die Verwaltung dieser Lösung übernimmt der Nutzer direkt auf dem Endgerät. Samsung bietet diese Lösung auf verschiedenen Modellen an.
Mit dem S6 und dem S6 Edge integriert Samsung mit Knox 2.4 die neue Version der Sicherheitsarchitektur und erweitert damit erheblich die Konfigurationsmöglichkeiten über zusätzliche Schnittstellen etwa für Wi-Fi oder andere Komponenten. Eine Enterprise-Mobility-Mangement-Lösung bekommt so zusätzliche Verwaltungsmöglichkeiten. Zu diesen EMM-Lösungen zählt unter anderem die kommerzielle Samsung-EMM-Lösung Knox Premium, aber auch Lösungen wie Mobile Iron, Airwatch oder BlackBerry Enterprise Services.
Eine dieser neuen Möglichkeiten ist die Integration der Geräte mit Active Directory über eine EMM-Lösung.
Für den Endanwender erleichtert sich damit der Zugriff auf gesicherte Container. Denn über die Integration mit Active-Directory-Benutzerkonten bekommt der Anwender ein Single-Sign-on für die im Container gesicherten Daten und Anwendungen. Es müssen nun nicht mehr verschiedene Kennwörter verwaltet werden. Gleichzeitig kann der Nutzer auch Dienste und Anwendungen in Samsung-Container, die über Active Directory authentifiziert werden, ebenfalls ohne weitere Anmeldungen nutzen.
Administratoren sind zudem in der Lage, über eine EMM-Lösung die Container über Active-Directory-Benutzerkonten zu entsperren oder Sicherheitseinstellungen über Gruppenrichtlinien durchzuführen.
Wie diese Integration im Detail aussehen kann, schildern wir in den folgenden Abschnitten. Allerdings konzentrieren sich die Ausführungen auf den Einsatz von Knox zusammen mit der Samsung-EMM-Lösung Knox Premium.
Für eine tiefgreifendere Integration von Knox mit Active Directory müssen Unternehmen neben Knox Workspace aber auch Knox Premium verwenden oder wie erwähnt eine andere EMM-Lösung einsetzen. Knox Premium bezeichnet dabei die Enterprise Mobility Management (EMM) von Samsung. Die Verwaltung von Samsung Knox Premium erfolgt in einem Webportal in der Cloud.
Damit Active Directory mit Knox zusammenarbeitet, ist es notwendig im Netzwerk einen Active Directory-Proxy für Knox zu installieren und einzurichten. Die Installation kann auf einem Domänencontroller erfolgen oder auf einem anderen Rechner, der Mitglied der Domäne ist. Die Software unterstützt allerdings nur 64-Bit-Windows-Versionen. Der Proxy zur Anbindung an Active Directory steht für die kleinste Version Knox Express nicht zur Verfügung. Der Proxy überträgt keinerlei Daten in die Samsung-Cloud, sondern stellt nur sicher, dass Anmeldedaten für Samsung-Smartphones, die über Knox gesichert werden, in Active Directory gespeichert werden können. Außerdem verbindet er die Cloudlösung mit den Domänencontrollern.
Der Aufbau einer Infrastruktur für die Zusammenarbeit von Knox mit Active Directory besteht aus mehreren Bereichen. Die Generelle Verwaltung der Umgebung, der Geräte, der Benutzer und aller Richtlinien nehmen Administratoren über den cloudbasierten Samsung Knox-Dienst vor. Dieser stellt das Zentrum der Infrastruktur dar und wird über eine Webkonsole verwaltet. Unternehmen müssen für die Verwendung also keine eigenen Server installieren. Alle Endgeräte, die Benutzer, die Kommunikation mit Active Directory und die Sicherheitseinstellungen werden an dieser zentralen Stelle vorgenommen.
Die Active Directory-Umgebung wird über einen Agenten mit dem Clouddienst verbunden. Der dazu notwendige Dienst wird von Samsung im Rahmen der Lizenzierung von Samsung Knox Premium/Workspace kostenlos zur Verfügung gestellt. Administratoren müssen die Software auf einem Server im Netzwerk installieren, zusätzlich zu den Active Directory-Verwaltungsprogrammen. Der Datenaustausch zwischen Domänencontrollern und Samsung Knox erfolgt anschließend über das Internet mit diesem Agenten.
Die Geräte der Anwender werden ebenfalls direkt mit dem Clouddienst verbunden. Die Authentifizierung und Absicherung sowie die Installation des notwendigen EMM-Clients auf dem Smartphone erfolgt ebenfalls über die Cloud. Die Active Directory-Einstellungen werden über den Agenten ausgelesen, aber nicht in der Cloud gespeichert. Hier besteht auch die Möglichkeit mit Active Directory-Benutzernamen zu arbeiten.
Benutzer können Ihre eigenen Einstellungen im Benutzerportal verwalten. Dieses steht ebenfalls über das Internet zur Verfügung, auch hier müssen keine eigenen Server betrieben werden. Einfach ausgedrückt besteht Samsung Knox also aus zwei Webportalen. Ein Portal dient Administratoren der Verwaltung, das andere ist für Endbenutzer gedacht um ihr eigenes Smartphone zu verwalten. Natürlich stehen die beiden Portale in Verbindung, und Administratoren können beide Portale verwalten.
Um Samsung Knox mit einem Active Directory zu verbinden, benötigen Unternehmen also zuerst eine Lizenz für Knox Premium. Diese steht auch als Testversion zur Verfügung. Im Knox-Adminportal werden alle Einstellungen vorgenommen, um Knox mit Active Directory zu verbinden. Dazu wird über Einstellungen\Lizenzen zunächst überprüft, ob passende Lizenzen zur Verfügung stehen.
Die notwendigen Installationsdateien für die Anbindung von Active Directory sind über Einstellungen\Cloud-Connectoren zu finden. Über die Schaltfläche Cloud-Konnektor hinzufügen, wird das notwendige Installationsprogramm heruntergeladen. Dieses wird anschließend im internen Netzwerk installiert. In Testumgebungen kann die Installation durchaus auf einem Domänencontroller erfolgen.
In der Domäne müssen Administratoren die Installation über die ZIP-Datei der Samsung Knox Cloud Suite durchführen. Durch die Installation führt ein Assistent. Es müssen keinerlei Daten eingegeben werden. Im ersten Schritt reicht es aus die Knox EMM Cloud Management Suite zu installieren. Dadurch werden die notwendigen Systemdateien im Netzwerk integriert. Die eigentliche Einrichtung erfolgt erst danach.
Nach der Installation der Suite startet der Assistent zum Verbinden des Connectors mit Samsung Knox. Im ersten Schritt muss der Anmeldenamen und das Kennwort eines Administratorbenutzers eingegeben werden, der das Recht hat das EMM-Portal zu verwalten. Welche Benutzer das sind, sehen Administratoren in Samsung Knox EMM im Bereich Rollen\System Administrator\Mitglieder. Hier lassen sich auch jederzeit weitere Administratoren pflegen.
Die Daten dieses Benutzers müssen im Assistenten zur Anbindung an Active Directory eingegeben werden. Der Server muss dazu natürlich über eine Internetverbindung verfügen. Die Samsung Knox Cloud Management Suite ist aber auch Proxy-fähig. Das heißt, Administratoren können für die Anbindung an das Internet auch einen Proxy-Server angeben, inklusive der Authentifizierung für den Samsung Knox-Dienst. Auch diese Einrichtung erfolgt über den Assistenten zur Anbindung von Active Directory an Knox. Freigaben an der Firewall sind keine notwendig, die komplette Kommunikation erfolgt über den Client, der als Systemdienst in das System eingebunden wird.
Danach wählen Administratoren die Anpassung von Active Directory aus. Das ist notwendig, damit die Einstellungen der Benutzer und Geräte in den Eigenschaften der Benutzerkonten in Active Directory zu sehen ist. Außerdem werden durch diesen Vorgang neue Vorlagen für Gruppenrichtlinien integriert. Mit diesen Richtlinien lassen sich Einstellungen für Smartphones/Tablets vorgeben.
Nach der Einrichtung verbindet sich der Assistent mit dem Clouddienst und Active Directory. Im Fenster ist der Status der Anbindung zu sehen. Bevor hier auf „Next“ geklickt wird, sollte sichergestellt werden, dass alle notwendigen Aufgaben den Status „Success“ haben. Erst dann können Connector und Samsung Knox miteinander kommunizieren.
Danach wird die erfolgreich getestete Verbindung eingerichtet und der notwendige Systemdienst installiert und gestartet. Der Agent ist jetzt installiert und kann Daten mit Samsung Knox austauschen. Die entsprechenden Informationen sind nach der ersten Replikation bereits in der Verwaltungsoberfläche von Samsung Knox zu sehen.
Nach der Installation sind Active Directory und Samsung Knox verbunden. Das ist auch durch die neue Registerkarte KNOX EMM Mobile in den Eigenschaften von Benutzerkonten zu sehen. Die Verwaltung erfolgt entweder über Active Directory-Benutzer und -Computer oder das Active Directory-Verwaltungscenter. Hier sind allerdings erst Daten zu sehen, wenn für den entsprechenden Benutzer auch Geräte registriert sind.
Im EMM-Verwaltungsportal ist die Active Directory-Domäne über Einstellungen\Verzeichnisdienste zu sehen. Der Server, auf dem die Samsung Knox Cloud Management Suite installiert ist, finden Administratoren wiederum über Einstellungen\Cloud-Konnektoren. An dieser Stelle lassen sich natürlich weitere Domänen oder Domänencontroller anbinden. Hier sollte an allen Stellen der Status „Aktiv“ angezeigt werden und keinerlei Fehlermeldungen erscheinen.
Die erfolgreiche Verbindung zwischen Knox-Clouddienst und Active Directory-Domäne können Administratoren auch über das Tool connectionTestGUI.exe im Verzeichnis C:\Program Files\Samsung\KNOX EMM Cloud Management Suite des Servers durchführen, auf dem der Proxy installiert wurde.
Um Geräte an die EMM-Lösung und Active Directory anzubinden, muss der EMM-Client auf dem Endgerät installiert werden. Der dazu notwendige Link lässt sich per SMS oder per E-Mail versenden. Dazu muss in das EMM-Verwaltungsportal und danach in das Benutzerportal gewechselt werden. Über die Auswahl von Geräte\Geräte hinzufügen, lässt sich der Einladungs-Link versenden. Administratoren können in der Verwaltungsoberfläche aber auch an anderen Stellen den Link versenden lassen. Wichtig ist generell, dass Anwender eingeladen werden, sich mit dem Portal verbinden und anschließend den EMM-Agenten auf ihrem Smartphone/Tablet installieren.
Öffnet ein Anwender den Link auf seinem Smartphone, wird er über einen Assistenten durch die Anbindung an Samsung Knox geführt. Der Assistent entspricht generell der Einrichtung der kostenlosen Version von My Knox. Für die Installation der kommerziellen Knox-Version muss auf den Endgeräten zuvor My Knox über die Optionen deinstalliert werden. Ansonsten schlägt die Installation des Agenten fehl. Nach der Installation ist das Smartphone über Geräte im Benutzerportal zu finden. Hier lassen sich verschiedene Informationen anzeigen und zahlreiche Aktionen vornehmen. Administratoren können alle Geräte aller angebundenen Benutzer über das Adminportal verwalten.
Auf den Endgeräten sind im Knox-Container über Knox WebApps die Apps zu sehen, die Administratoren im EMM-Verwaltungsportal über Apps zur Verfügung stellen. Hier lassen sich auch weitere Apps hinzufügen oder Apps für Anwender sperren. Administratoren können wiederum über Geräte im Adminportal alle angebundenen Geräte anzeigen, überwachen und verwalten. Auch hier stehen über das Kontextmenü zahlreiche Aufgaben zur Verfügung.
Sobald Administratoren Active Directory mit Samsung Knox verbunden haben, können sie Richtlinien für die Sicherheit auch in Active Directory steuern. Dazu muss aber zunächst im EMM-Adminportal über Einstellungen\Geräterichtlinien-Management die Option Active Directory-Gruppenrichtlinie aktiviert werden. Hier ist auch die Domäne zu sehen, die an Samsung Knox angebunden ist.
Die Einstellungen für Gruppenrichtlinien nehmen Administratoren in der ganz normalen Gruppenrichtlinien-Verwaltungskonsole vor. Hier ist nach der Installation der Samsung Knox Cloud Management Suite auf dem Server, und der Installation der Active Directory-Verwaltungstools für Windows der neue Bereich Cloud Management Settings in der Computerkonfiguration zu finden.
Hier lassen sich zahlreiche Einstellungen bezüglich der Sicherheit von Benutzerkonten und Endgeräten festlegen. Administratoren können hier zum Beispiel die Kennwortsicherheit steuern, oder Einstellungen bezüglich der Anbindung von Exchange/Office 365. Über Gruppenrichtlinien lassen sich sehr umfangreiche Sicherheitseinstellungen zentral definieren. Sinnvoll ist das vor allem dann, wenn Unternehmen ohnehin bereits mit Gruppenrichtlinien arbeiten. Denn die neue Gruppenrichtlinie lässt sich optimal in bestehende Strukturen anbinden.
Beim Anlegen von neuen Anwendern haben Administratoren die Möglichkeit als Verzeichnisdienst den Knox-Verzeichnisdienst zu verwenden, oder Active Directory. Beim Anlegen stehen dazu verschiedene Suffixe zur Verfügung, der Namensraum für den Cloud-Verzeichnisdienst und das Active Directory.
Die Anbindung von Samsung Knox und den damit verbundenen Endgeräten an Active Directory macht vor allem dann Sinn, wenn im Unternehmen deutlich mehr als ein Dutzend verschiedener Smartphones eingesetzt wird. Die Anbindung ist relativ problemlos durchzuführen, die generelle Verwaltung ist etwas kompliziert, da die einzelnen Menüpunkte zur Verwaltung von Active Directory an verschiedenen Stellen in der Konsole untergebracht sind. Dennoch ist die Möglichkeit zur Integration von Active Directory ein sehr interessanter Weg, da Benutzer und Administratoren mit dem gleichen Benutzernamen und Kennwort zugreifen können, wie bei der Verwendung von internen Ressourcen.
Hinweis: Weitere umfangreiche Informationen finden sich auf der Galaxy-S6-Webseite für Business-Kunden.
Sie möchten mehr über Samsung KNOX und Samsung Business-Geräte erfahren? Unter SamsungMobileBusiness@samsung.de erfahren Sie, auf welchen Veranstaltungen Sie das Samsung Business Team zum direkten Austausch treffen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…