7.3. Konfiguration und Steuerung von Pushnachrichten für mobile Geräte¶
Wie alles andere auch in IDERI note, wird die Berechtigung, Pushnachrichten für Mobilgeräte zu erhalten, mit integrierten Sicherheitsmechanismen von Windows® konfiguriert. Auf Basis dieser Funktionalität können individuelle Benutzer oder Gruppen im Active Directory® für den Empfang von Pushnachrichten berechtigt werden oder vom Empfang von Pushnachrichten ausgeschlossen werden. Zusätzlich kann in IDERI note der Empfang von Pushnachrichten sogar auf der Geräteebene erlaubt oder verhindert werden. Die folgenden Abschnitte stellen diese beiden Optionen im Detail vor. In Abschnitt 7.3.1 wird zunächst gezeigt, wie die Berechtigung zum Empfang von Pushnachrichten mit Mitteln von integrierten Windows® Sicherheitsmechanismen erfolgt. Abschnitt 7.3.2 dagegen wird sich damit beschäftigen, wie individuelle Geräte für den Empfang von Pushnachrichten aktiviert oder deaktiviert werden können. Beachten Sie dabei, dass alle diese Konfigurationsoptionen nicht auf den Mobilgeräten selber, sondern im Backend von IDERI note stattfinden. Daher ist “die Berechtigung, Pushnachrichten für Mobilgeräte zu erhalten” vielleicht eine etwas missverständliche Bezeichnung: Im technischen Sinne ist eher “die Berechtigung, den IDERI note Server Pushnachrichten für ein Gerät oder einen Benutzer versenden zu lassen” damit gemeint, was zugegebenermaßen etwas sperrig klingt. Hat ein bestimmter Benutzer oder ein Gerät nicht die Berechtigung, Pushnachrichten zu empfangen, so sendet der IDERI note Server einfach eben keine Pushnachricht an dieses Gerät.
7.3.1. Steuerung des Pushempfangs mit integrierten Windows® Sicherheitsmechanismen¶
Das Zugriffsrecht für den Empfang von Pushnachrichten, “Mobile Push empfangen”, ist als Einstellung für die Allgemeinen Sicherheitsrichtlinien (siehe auch Abschnitt 4.4) modelliert und wird in Abbildung 7.11 gezeigt.
Standardmäßig haben “Authentifizierte Benutzer” diese Berechtigung automatisch, was natürlich nach Belieben geändert werden kann. Beachten Sie an dieser Stelle auch, dass in Abbildung 7.11 zwei weitere Zugriffsrechte, “Mobilgeräte aufzählen” und “Mobilgeräte verwalten” genannt werden, die in den folgenden Abschnitten noch wichtig werden. Zunächst genügt es zu wissen, dass standardmäßig alle Sicherheitsprinzipale mit der Berechtigung “Clientverbindungen aufzählen” auch die Berechtigung “Mobilgeräte aufzählen” erhalten und dass alle Sicherheitsprinzipale mit der Berechtigung “Neue Nachricht erzeugen” auch die Berechtigung “Mobilgeräte verwalten” erhalten. Zusätzlich erhalten standardmäßig die Mitglieder der lokalen Gruppe “Administratoren” auch diese beiden Berechtigungen.
Mit den allgemeinen Sicherheitsrichtlinien kann individuellen Benutzern oder Gruppen die Berechtigung, Pushnachrichten zu empfangen, erteilt oder verweigert werden. Eine Berechtigung für Pushnachrichten auf dieser Konfigurationsebene ist wohl für die meisten Unternehmen zweckmäßig. Zusätzlich kann jedoch mit IDERI note auch der Empfang von Pushnachrichten auf reiner Geräteebene festgelegt werden. Abschnitt 7.3.2 zeigt, wie eine Konfiguration auf Geräteebene vorgenommen wird.
7.3.2. Steuerung des Pushempfangs auf Geräteebene¶
standardmäßig läuft der IDERI note Dienst im “Automatischen Pushmodus für mobile Clients”. Die Abbildungen 3.71, 3.74 und 3.82 in Abschnitt 3.14 zeigen die Seite “Push von Mobilgeräten” im Systemsteuerungsapplet des IDERI note Dienstes mit dem Kästchen “Automatischer Pushmodus für mobile Clients” angekreuzt. Wählt man dieses Kästchen ab, wird dadurch der IDERI note Dienst in den manuellen Pushmodus umgeschaltet. Bevor wir aber diese Konfigurationsänderung durchführen, bedarf es zuerst eines gründlichen Verständnisses des “Automatischen Pushmodus für mobile Clients”, um die Implikationen des manuellen Pushmodus beurteilen zu können.
Wenn eine IDERI note Nachricht fällig wird und an Mobilgeräte “gepusht” werden soll, muss der IDERI note Dienst wissen, an welche Mobilgeräte die Nachricht überhaupt geschickt werden muss. Zu diesem Zweck verwaltet der IDERI note Dienst eine Liste von allen Mobilgeräten, die jemals mit ihm eine Verbindung aufgebaut haben, zusammen mit weiteren Geräteinformationen, wie etwa dem Benutzernamen, dem öffentlichen Schlüssel (für die Ende-zu-Ende-Verschlüsselung von Pushnachrichten), dem sogenannten “Push-Token”, der die Kombination aus Gerät und App für die Plattformpushdienste (Apple Push Notification Services für iOS/iPadOS-Geräte oder Firebase Cloud Messaging für Android-Geräte) eindeutig identifiziert, dem Zeitpunkt der letzten Verbindungsaufnahme und der Verbindungs-GUID. Active Directory® Sicherheitsprinzipale mit dem Zugriffsrecht “Clientverbindungen aufzählen” in den Allgemeinen Sicherheitsrichtlinien können diese Informationen im IDERI note Administrator mit Hilfe der Schaltfläche “Verwaltung mobiler Clients” (siehe Abschnitt 7.3.1) in der Kategorie “Einstellungen” im Panel “Verschiedenes” der Multifunktionsleiste (siehe Abbildung 7.12) einsehen.
Nach Betätigung dieser Schaltfläche erscheint ein Dialogfenster wie in Abbildung 7.13.
Beachten Sie, dass in diesem Dialog alle Einträge für mobile Clients den Wert “Automatisch” in der dritten Spalte (“Pushfähig”) aufweisen. Im automatischen Pushmodus sendet der IDERI note Dienst eine Pushnachricht an alle Mobilgeräte, an die die Nachricht adressiert ist, also deren Benutzer in der Empfängerliste der Nachricht stehen, und deren Benutzer auch die Berechtigung “Mobile Push empfangen” in den Allgemeinen Sicherheitsrichtlinien besitzen (siehe Abschnitt 7.3.1). Der IDERI note Dienst sendet jedoch nur soviele Pushnachrichten an Geräte, wie die Anzahl an Mobilgerätelizenzen erlaubt. Dabei sortiert der IDERI note Dienst die “Gerätekandidaten” nach dem Zeitpunkt ihrer letzten Verbindungsaufnahme und wenn dabei die Anzahl an Mobilgerätelizenzen nicht ausreicht, um die Pushnachricht an alle Geräte zu schicken, werden dabei diejenigen Geräte ausgelassen, deren letzte Verbindungsaufnahme mit dem IDERI note Dienst am weitesten zurückliegt.
Für die meisten Unternehmen wird vermutlich der automatische Pushmodus für mobile Clients die bevorzugte Einstellung sein, sollte aber eine feiner granulierte Zugriffssteuerung oder eine feste Anzahl von mit Pushnachrichten zu versorgenden Geräten erforderlich sein, muss der automatische Pushmodus abgeschaltet werden. Zu diesem Zweck starten Sie das Systemsteuerungsapplet des IDERI note Dienstes und aktivieren sie die Seite “Push von Mobilgeräten”. Entfernen sie das Häkchen bei “Automatischer Pushmodus für mobile Clients”, betätigen Sie die Schaltfläche “Übernehmen” und beantworten Sie die Rückfrage nach dem Start von Diensten mit “Ja”. Abbildung 7.14 zeigt diese Seite mit abgeschaltetem automatischem Pushmodus.
Rufen Sie nach dem Abschalten des automatischen Pushmodus für mobile Clients das Dialogfenster “Verwaltung mobiler Clients” nun erneut auf. Dieser Dialog wird sich nun wie in Abbildung 7.15 darstellen.
Beachten Sie, dass nun die dritte Spalte (“Pushfähig”) vollständig leer ist und in diesem Zustand kein Pushvorgang einer IDERI note Nachricht an irgendein Gerät stattfindet. Um ein bestimmtes Gerät nun für den Empfang von Pushnachrichten zu befähigen, machen Sie einen rechten Mausklick auf den entsprechenden Eintrag in diesem Dialog woraufhin ein Kontextmenü erscheint wie in Abbildung 7.16.
Nach der Aktivierung des Pushempfangs wie in Abbildung 7.16 gezeigt, erscheint das Dialogfenster “Verwaltung mobiler Clients” dann wie in Abbildung 7.17 mit dem Wert “Ja” in der Spalte “Pushfähig”.
Nun ist dieses Gerät das einzige Gerät, an das der IDERI note Server Pushnachrichten schickt, vorausgesetzt natürlich, dass der Benutzer des Geräts über das Zugriffsrecht “Mobile Push empfangen” in den allgemeinen Sicherheitsrichtlinien (siehe Abschnitt 7.3.1) verfügt und die zugehörige IDERI note Nachricht über ihre Empfängerliste auch an den Benutzer des Geräts adressiert ist. Um für weitere Geräte den Pushempfang zu aktivieren, wiederholen Sie die obigen Schritte zur Aktivierung für jedes einzelne Gerät.
Beachten Sie weiterhin, dass das Kontextmenü in Abbildung 7.16 noch weitere Einträge für das Deaktivieren der Pushfunktionalität oder das Löschen einer mobilen Geräteverbindung beinhaltet. Das Aktivieren oder Deaktivieren der Pushfunktionalität sowie das Löschen einer mobilen Geräteverbindung erfordert das Zugriffsrecht “Mobilgeräte verwalten” in den allgemeinen Sicherheitsrichtlinien (siehe Abschnitt 7.3.1).
Das Löschen einer mobilen Geräteverbindung ist mitunter erforderlich, beispielsweise wenn Benutzer den IDERI note Mobilclient von ihren Geräten deinstallieren oder ein Gerät aus dem Gerätebestand ausscheidet oder verloren geht. Es gibt keinen Weg, wie der IDERI note Dienst über diese Vorgänge informiert werden könnte, daher ist ein manuelles Bereinigen dieser Liste von Zeit zu Zeit erforderlich. Der Menüeintrag “Kopieren” in Abbildung 7.16 kopiert einfach die Geräteinformationen eines einzelnen angewählten Geräts in Textform in die Zwischenablage.
Mit dem Aufruf des Menüeintrags “Eigenschaften” im Kontextmenü in Abbildung 7.16 erscheint eine Eigenschaftsseite wie in Abbildung 7.18.
Beachten Sie auch, dass einzelne Textfelder auf dieser Eigenschaftsseite mit der Maus oder der Tabtaste angewählt und in die Zwischenablage kopiert werden können.