Manage Samsung DeX mit Microsoft Endpoint Manager / Intune

Mobile Endgeräte werden immer leistungsfähiger und können auch dahingehend verwendet werden, verschiedene, rechenintensive Aufgaben zu erledigen. Samsung hat mit DeX eine PC-ähnliche Benutzeroberfläche vorgestellt, um über ein mobiles Gerät ein Desktop-ähnliches Arbeiten zu ermöglichen.

DeX steht in diesem Kontext für Desktop Experience und ist auf Premium-Modellen verfügbar (eine Liste der unterstützen Geräte findet sich unter: FAQ | Customer Support | CONTENT & SERVICES (samsung.com)).

Mit Samsung DeX können Anwendungen in einem Desktop-Modus benutzt werden. Genaugenommen ist es eine Erweiterung von Android N’s Multi-Windows-Modus.

Der Vorteil von DeX ist, dass hier grundsätzliche jede Android-Anwendung im Desktop-Modus verwendet werden kann. Um aber eine vollwertige Desktop/DeX-Expertise zu gewährleisten, muss die Anwendung unter Umständen angepasst werden (siehe Samsung DeX – Build | Samsung Developers).

Eine Liste der bereits unterstützen Anwendungen findet man hier: DeX Mode | Device Multitasking | Samsung US.

Erwähnenswert ist, dass bereits sowohl zugewiesene Applikations- als auch Geräterichtlinien von Microsoft Endpoint Manager / Intune ohne Modifikation mit DeX funktionieren.

Um Samsung DeX zu nutzen, reicht im Minimalfall ein USB-HDMI-Kabel, das mit dem Bildschirm verbunden wird. Maus und Tastatur können per Bluetooth mit dem Mobilgerät verbunden werden. Über den Video-Stream erscheint dann die DeX-Oberfläche auf dem externen Bildschirm. Es stehen aber auch Desktop-(Host)-Anwendungen für Windows und macOS zur Verfügung, die den DeX-Desktop auf den Computer bringen.

Besonders interessant ist es neben der Verwaltung des Geräts selbst auch, DeX-Konfigurationen über Intune zu verwalten. In diesem Artikel beschäftigen wir uns damit, wie wir diese Einstellungen in Intune vornehmen müssen, um DeX automatisch einzurichten und zu konfigurieren.

Enrollment-Konfiguration

Für dieses Beispiel verwende ich ein Samsung Galaxy S10, das als „Company Owned with Workprofile“ enrolled wurde.

Als erstes verwende ich eine Gruppe, die alle Samsung-Modelle enthält, die mit einem bestimmten Profil installiert wurden. Alle Geräte dieser Gruppe sollen später die DeX-Konfiguration automatisch zugeordnet bekommen. Die Gruppe soll dynamisch neue Geräte aufnehmen können.

Das „Company Owned with Workprofile“-Enrollment Profile sieht folgendermassen aus:

Erstellen einer Gruppe in AAD

Erstellen wir nun eine dynamische Gruppe, um jedem neuen Gerät, das dieser Gruppe angehört, Richtlinien, Apps und Konfigurationen zuordnen zu können. Dazu navigieren wir in der Intune-Konsole auf Groups, New Group. In unserem Beispiel verwende ich den gleichen Namen wie im Enrollment Profile «Samsung COPE Test for DeX OEMConfig». Und da Geräte automatisch dieser Gruppe hinzugefügt werden sollen, verwenden wir den Gruppentyp Dynamic Device.

Als Membership Kriterium verwenden wir hier den Namen des Enrollment-Profils. So werden alle Geräte, die über das Profil in Intune enrolled werden, automatisch Mitglied unserer Gruppe.

Dazu legen wir die Regelkriterien unter den Punkt Dynamic device members fest. Als Property wählen wir EnrollmentProfileName unter Operator, Equals und unter Value fügen wir dann den Profilnamen ein „Samsung COPE Test for DeX OEMConfig“ ein.

Die Gruppe wird nach dem Bestätigen mit Save und Create angelegt.

DeX-Konfiguration

Schauen wir uns genauer an, wie wir die DeX-Einstellungen der auf Intune verwalteten Geräten vornehmen können.   

Um DeX-Einstellungen auf den Geräten zu konfigurieren, stehen uns die OEMConfig-Richtlinien zur Verfügung.

OEMConfig ist ein Android-Standard, der dabei hilft, dass mittels EMM OEM-spezifische Einstellungen standardisiert vorgenommen werden können (näheres unter: OEMConfig supports enterprise device features (blog.google)).

OEMConfig-Konfigurationen werden per App auf ein Gerät gebracht. Fast jeder OEM bietet eine solche Anwendung an. Bei Samsung ist es das Knox Service Plugin (KSP).

Um eine OEMConfig-Konfiguration auf dem Gerät anwenden zu können, muss zunächst das KSP installiert werden. Das KSP ist als App im Playstore verfügbar und kann auf die Geräte verteilt werden.

Plug it in

Zunächst muss das KSP im über den Managed Play Store in der Intune-Konsole hinzugefügt werden.

Weitere Informationen zum Bereitstellen von Apps finden sich unter: Add Android Enterprise system apps to Microsoft Intune | Microsoft Docs.

Danach kann das KSP über eine Gruppe allen Geräten zugewiesen werden.

Um die Zuweisung nun durchzuführen, muss über Apps, Knox Service Plug In, Properties, Assignments eine Gruppe zugewiesen werden.

Am besten wird das KSP „required“ zugewiesen. Dies stellt sicher, dass die Anwendung immer auf dem System installiert wird.  

Nun füge ich unsere Gruppe mittels der Option Add group als Required (install) hinzu. Im Dialog Select Group können wir nach unserer Gruppe «Samsung COPE Test for DeX OEMConfig» suchen und diese dann mit Select zuwiesen. Als letzten Schritt bestätigen wir nun die Konfiguration mit Review&Create.

Nachdem nun das Gerät mittels unseres QR-Codes aus dem Enrollment-Profil enrollt wird, wird automaisch das KSP installiert. Ist das KSP einsatzbereit, kann eine OEMConfig-Richtlinie verarbeitet werden.

Erstellen und Zuweisen einer OEMConfig-Richtlinie

Anmerkung: Vorbereitende Schritte zum Erstellen eines OEMConfig Profil finden sich auf (Use OEMConfig on Android Enterprise devices in Microsoft Intune – Azure | Microsoft Docs).

Zuerst muss ein Android Enterprise Configuration Profile mit dem Typ OEMConfig angelegt werden.

Nach der Vergabe eines Namens «Samsung COPE Test for DeX OEMConfig» muss das Knox Service Plugin (KSP) ausgewählt werden. Das KSP verarbeitet später die Einstellungen aus dem OEMConfig-Profil.

Unter Configuration Settings kann dann nach den DeX-Einstellungen gesucht werden, die wir konfigurieren wollen. Es ist natürlich auch möglich, weitere Einstellungen neben DeX in der OEMConfig vorzunehmen. Um bestimmte Optionen leichter zu finden, sucht man am besten über den locate-Link, in unserem Beispiel mit dem Suchbegriff DeX.

Wird eine Einstellung ausgewählt, werden die entsprechenden Parameter angezeigt.

In unserem Beispiel benutze ich die DeX für Windows-Anwendung, um beim Verbinden des Geräts die Benutzeroberfläche auf dem PC anzeigen zu können. Hier habe ich dann noch den Vorteil, dass Tastatur und Maus des PCs mitbenutzt werden können. Daten können einfach zwischen PC und DeX-Gerät kopiert werden. Die Richtung des Datenflusses, also PC→DeX oder DeX→PC, kann unter der Einstellung Configure Transfer Settings eigens erlaubt oder gesperrt werden.

Anmerkung: Weiter Informationen zu DeX und dem Software-Download findet sich auf: Samsung DeX | Apps und Dienste | Samsung DE.

Als nächstes soll für die DeX-Umgebung der Hintergrund geändert und Voreinstellungen zur Verbindung gesetzt werden.  

Wie schon oben beschrieben legen wir nun eine OEMConfig-Richtlinie mit dem Namen «Samsung COPE Test for DeX OEMConfig» an. Um am schnellsten in die DeX-Konfiguration zu gelangen, geht man in den folgenden Schritten vor.

Zunächst legen wir einen Profilnamen fest, in unserem Beispiel «DeX Config», und danach den Knox-Lizenzschlüssel, da DeX ein Premium-Feature ist. Die DeX Einstellungen werden dann über DeX customization profile (Premium)Configure konfiguriert. 

Anmerkung:

Ab 1.7.2021 wird keine Premium-Lizenz mehr benötigt.

Siehe auch: Knox Platform for Enterprise free for customers | Samsung Knox

Im erstellten Profil sehen wir die Liste aller Optionen für DeX. Wir nehmen nun die Einstellungen vor, damit DeX automatisch gestartet wird, wenn eine HDMI-Verbindung hergestellt wird. Dafür setzen wir unter Auto-start DeX on HDMI connection auf True. Die zweite Einstellung ist es dann, den Mouse Cursor so einzustellen, dass dieser zwischen verbundenen Bildschirm und DeX-Gerät verwendet werden kann. Dies schaltet man unter der Option Enable Mouse Cursor Flow mittels True ein.

Anmerkung: Sind Einstellungen dem KSP bereits zugeordnet kann es sein, dass man die Eingabefelder nicht sieht, bzw. neue Werte hinzufügen möchte. Um weitere Werte einzugeben nutzt man den „…“-Option in das untergeordnete Eingabemenü zu gelangen.

Nun legen wir ein Hintergrundbild für DeX fest. Unter Set DeX Wallpaper kann konfiguriert werden, wie das Image eingebunden wird, zum Beispiel über eine URL (Option: Wallpaper Image), über welche URL das Image abgerufen werden kann (Option: Image content or location) und welches Wallpaper verändert werden soll (Option: Which Wallpaper to setup? –All, On lockscreen, On system und Not configured).

Ist die DeX-Konfiguration abgeschlossen, klickt man zweimal Next. Unter Add Groups kann unsere erstellte Gruppe «Samsung COPE Test for DeX OEMConfig» hinzugefügt werden.

Abschliessend noch mit Next auf die Zusammenfassung gehen und die Einstellungen kontrollieren. Ist alles in Ordnung, kann mit Create das Profil erstellt werden.

Wird das Gerät nun verbunden, zeigt sich DeX in der PC-Anwendung oder auf einem externen Bildschirm.

Wird ein PC verwendet, muss die Software zunächst auf dem PC installiert und gestartet werden. Ist alles in Ordnung, findet sich ein Symbol im Tray.

Wird nun unser DeX-fähiges Gerät verbunden, so muss die Verbindung nochmals auf dem Gerät bestätigt werden.

Ist dies mit Start Now bestätigt, wird die DeX-Oberfläche angezeigt. 

Anmerkung: Die Konfiguration ändert sich übrigens dynamisch, d.h. eine Änderung der URL ändert den Hintergrund, ohne erneut verbinden zu müssen.

Abschliessendes:

Hier noch einige Best Practices zur Verwendung von OEMConfig und DeX.

OEMConfig

OEMConfig ist eine Funktionalität, die im Rahmen von Android Enterprise zur Verfügung steht. Je nach OEM steht eine App mit einem mehr oder weniger umfangreichen Parametersatz zur Verfügung. Samsung bietet hier sehr viele Einstellungsmöglichkeiten.

Im Rahmen von DeX lässt sich die Vorkonfiguration mit den vorherigen Schritten leicht umsetzen.

Erste Benutzung

Wird auf einem neuen Gerät eine OEMConfig angewendet, die einen Premium Key benötigt, kann es sein, dass dies auf dem Gerät einmalig bestätigt werden muss, um die Lizenz zu aktivieren.

Sollte das übersehen werden, kommt es meist zu folgendem Fehler:

Debug Mode

Bei Samsung gibt es die Möglichkeit, in der OEMConfig-Konfiguration einen „Debug Mode“ zu setzten. Das KSP bleibt dann als Anwendung auf dem Gerät sichtbar und kann die Fehlersuche erleichtern.

Fehlermeldungen

OEMConfig-Fehlermeldungen werden in Intune in den Geräteeigenschaften unter „App Configuration“ angezeigt.

Anmerkung: Die Fehlermeldung in Intune entspricht der Meldung, die der KSP ausgibt.

Eine Liste der Fehlermeldungen findet sich unter: Error messages (samsungknox.com).

Device Wide Settings

Manche Einstellungen werden für alle Benutzer auf dem Gerät und unabhängig von Work-Profile und persönlichem Bereich gesetzt. Diese Einstellungen finden sich hier.

Hier gibt es auch DeX-relevante Einstellungen.