Version 3.1 | Juli 2020
Handout
Tele- und Mobilarbeit
mit Mini-PC oder privater Hardware
Impressum
BA-Service-Haus
Geschäftsbereich 3 – Steuerung RIM SB32 Regensburger Straße 104
90478 Nürnberg www.arbeitsagentur.de
Version 3.1 | Juli 2020
Handout
Tele- und Mobilarbeit
Inhalt
Tele- und Mobilarbeit
1 Einleitung... 5
1.1 Beschreibung ... 5
1.2 Virtuelles Profil ... 5
1.3 Telearbeit und Mobilarbeit ... 6
1.3.1 Berechtigungen bestellen ... 6
1.3.2 Nutzung der digitalen Dienstkarte ... 7
1.3.3 Voraussetzungen für die Einwahl ... 7
1.3.4 Mobilfunknummer hinterlegen ... 7
2 Vorbereitung der Tele- oder Mobilarbeit mit dem Mini-PC ... 9
2.1 Schnittstellen ... 9
2.2 Profil auf Mini-PC hinterlegen ... 10
2.3 Abmelden und Herunterfahren... 10
2.4 Abbau und Aufbau ... 10
2.5 Transport ... 11
2.6 Aufbau Heimarbeitsplatz... 11
2.7 Mini-PC einschalten ... 12
2.8 Lokale Anmeldung ... 12
2.9 Sorgfältiger Umgang mit dem Gerät ... 12
2.10 Datenspeicherung ... 13
2.11 Softwareversorgung ... 13
3 Vorbereitung der Tele- und Mobilarbeit mit privater Hardware ... 14
3.1 Citrix Receiver LTSR installieren ... 14
3.1.1 Software herunterladen ... 14
3.1.2 Software installieren ... 15
3.2.4 TOTP-Verfahren zurücksetzen ... 18
4 Anmeldung an der VDI-Umgebung ... 19
4.1 Aufruf der Einwahlmaske ... 19
4.2 Einwahl ... 19
4.2.1 Anmeldung mit digitaler Dienstkarte ... 19
4.2.2 Anmeldung mit Einmal-Passwort (OTP) ... 20
4.2.3 Entsperrung Benutzerkonto ... 21
4.2.4 Sicherheitsmeldung ... 22
5 Der virtuelle Desktop ... 23
5.1 Citrix-Menüband ... 24
5.2 Zweitmonitore ... 25
5.3 Arbeiten am virtuellen Desktop ... 25
5.4 OfflinePrint ... 25
5.4.1 OfflinePrint verwenden ... 26
5.4.2 Als Standarddrucker definieren ... 26
5.4.3 Einstellungen Offline-Drucker ... 26
5.4.4 Druckaufträge verwalten und ausdrucken ... 27
5.5 FollowPrint ... 27
5.6 KoalA-Nutzung ... 28
5.6.1 KoalA auf dem Mini-PC ... 28
5.6.2 KoalA mit privater Hardware ... 28
6 One Number Service (ONS) ... 29
7 Virtuellen Desktop beenden ... 30
7.1 Abmelden ... 30
7.2 Mini-PC ... 30
8 Mögliche Fehlerquellen und Einschränkungen ... 31
8.1 Einwahl in die VDI-Umgebung nicht möglich ... 31
8.2 One-Time-Password wird nicht empfangen ... 32
8.3 Kein Zertifikat gefunden (dDk) ... 32
8.4 Kein Zugriff auf virtuellen Desktop im BA-Netzwerk ... 32
8.5 Indizierung steht nicht zur Verfügung ... 32
8.6 OneNote in der virtuellen Umgebung ... 32
9 Wichtige Informationen ... 33
10 Unterstützung und Hilfe ... 33
1 Einleitung
Die Möglichkeit der Telearbeit und der Mobilarbeit kann von Ihnen mit unter- schiedlichen technischen Mitteln genutzt werden. Diese Beratungsunterlage beschreibt die Einwahl in die VDI-Umgebung (Virtuelle Desktop-Infrastruktur) der BA mittels Mini-PC und privater Hardware.
Hierbei wird die Arbeitsoberfläche als "virtueller Desktop (VDI)" mit hoher Ver- fügbarkeit und Geschwindigkeit zur Verfügung gestellt.
Falls Sie Telearbeit oder Mobilarbeit stattdessen per MAP und VPN-Einwahl durchführen wollen, beachten Sie bitte die Beratungsunterlage Mobiler Ar- beitsplatz (MAP).
1.1 Beschreibung
An Ihrem Büroarbeitsplatz werden alle Verarbeitungsvorgänge von Ihrem Mini-PC oder MAP durchgeführt.
Bei Tele- und Mobilarbeit nutzen Sie den Mini-PC oder Ihren privaten PC da- gegen nur für die Anmeldung und den Aufruf des "virtuellen Desktops". Dieser wird durch einen Server in Nürnberg zur Verfügung gestellt. Die gesamte Ver- arbeitung der Daten von Fachverfahren und Office-Programmen erfolgt somit zentral in Nürnberg.
Hinweis Die Programmversorgung erfolgt auf den VDI-Servern auto- matisch, so dass für Sie im Rahmen der Programmversio- nen kein Handlungsbedarf besteht. Lediglich ein für die Tele- oder Mobilarbeit verwendeter Mini-PC muss entspre- chend der Anweisungen Ihres RIM versorgt werden.
1.2 Virtuelles Profil
Alle Beschäftigten verfügen im BA-Netzwerk über ein Benutzerprofil, das die Arbeitsumgebung mit Kennwort, Desktop-Icons und Einstellungen zu Maus- zeiger und Hintergrundfarben enthält.
Mit der Tele- und Mobilarbeit per VDI erhalten Sie ein zusätzliches virtuelles Profil, das bei der erstmaligen Anmeldung am virtuellen Desktop als Kopie Ih- res Standardprofils erstellt wird.
Bitte beachten Sie, dass anschließend kein weiterer Abgleich der Profile statt- findet. Legen Sie Ihre Daten daher ausschließlich in Ihrer persönlichen Ab- lage, der Org-Ablage oder in einer Gruppenablage ab. Nur bei dieser Verfah- rensweise sind Ihre Daten aus beiden Profilen erreichbar.
1.3 Telearbeit und Mobilarbeit
Telearbeit und Mobilarbeit bezeichnen jeweils die Möglichkeit, Ihre Arbeitsum- gebung von außerhalb des BA-Netzes aufzurufen. Während die Telearbeit nach Vorliegen der Voraussetzungen für einen vordefinierten Zeitraum ge- nehmigt werden kann, kann Mobilarbeit als Reaktion auf eine kurzfristige Not- wendigkeit beantragt werden.
1.3.1 Berechtigungen bestellen
Die jeweils benötigte Berechtigung wird über den IM Webshop bestellt. Im Detail finden Sie die unterschiedlichen Produkte unter Infrastruktur > VDI - Virtuelle Desktop-Infrastruktur > Allgemeine Produkte.
Hinweis Daneben stehen weitere VDI-Berechtigungen für das IAB und spezielle Zielgruppen zur Verfügung.
Für Telearbeit ist nach Gremiengenehmigung durch die zuständige Führungs- kraft die Berechtigung "(TADST) Telearbeit für BA-Mitarbeiter-In" zu bestellen (siehe Abbildung 1).
Für den Heimarbeitsplatz besteht bei Nutzung des Mini-PCs ergänzend die Möglichkeit, über den Warenkorb durch die Führungskraft ein zusätzliches Netzwerkkabel, Monitor, sowie eine Maus und Tastatur zu bestellen. Hierbei sind die Ausstattungsvorgaben der Dienstvereinbarung zu beachten.
Abbildung 1
Die Berechtigung zur Mobilarbeit "(MADST) Mobiles Arbeiten" ist vor Beginn der Mobilarbeit durch die zuständige Führungskraft zu bestellen. Die Dauer der Mobilarbeit kann dabei durch Auswahl der entsprechenden Variante der Berechtigung zwischen 1 und 30 Tage befristet oder ohne Beschränkung ver- geben werden (siehe Abbildung 1).
Hinweise Die Berechtigungen stehen ca. 30 Minuten nach Genehmi- gung zur Verfügung.
Eine erneute Bestellung ist erst nach Ablauf einer bestehen- den Berechtigung oder Abbestellung durch die Führungs-
Für Beschäftigte des Personenkreises „OFK“ erfolgt die Zu- weisung der Berechtigung automatisch. Eine gesonderte Bestellung ist nicht notwendig.
Die Anmeldung am BA-Netz erfolgt bei der Mobilarbeit mittels Benutzername, Passwort und einer PIN. Diese PIN wird Ihnen wahlweise per SMS über das private oder dienstliche Mobiltelefon oder über eine Smartphone-App mitge- teilt. Die Nutzung beider Varianten wird Ihnen in den Kapiteln 1.3.4, 3.2 und 4.2.2 erläutert.
1.3.2 Nutzung der digitalen Dienstkarte
An einem Mini-PC mit einer BA-Tastatur mit Kartenleser und einem MAP kön- nen Sie die digitale Dienstkarte (dDk) auch via VDI wie gewohnt zur Anmel- dung und Signierung nutzen.
Bei Nutzung privater Hardware ist die Anmeldung per dDk nicht möglich, da notwendige Treiber und Zertifikate nicht vorhanden sind. Dies gilt auch bei Verwendung einer BA-Tastatur.
1.3.3 Voraussetzungen für die Einwahl
Am Mini-PC können Sie zwischen zwei Varianten der Anmeldung wählen:
• dDk und persönliche PIN
• Benutzernamen und Passwort sowie eine Einmal-PIN
Bei der Nutzung privater Hardware steht Ihnen nur die Einwahl mithilfe Ihres Benutzernamens, Passworts und einer Einmal-PIN zur Verfügung, deren Übermittlung entweder per SMS auf Ihr Handy oder App auf Ihr Smartphone erfolgt.
Zusätzlich muss auf privater Hardware der Citrix Receiver LTSR installiert werden. Beachten Sie hierzu die Kapitel 3.1 und 5.6.2.
Des Weiteren wird für ein unterbrechungsfreies Arbeiten eine kabelgebun- dene Internetverbindung mit mindestens 2 MBit/s an Bandbreite empfohlen.
1.3.4 Mobilfunknummer hinterlegen
Bitte hinterlegen Sie spätestens 24 Stunden vor der ersten Einwahl in Tele- oder Mobilarbeit eine private oder dienstliche Mobilfunknummer im IM Webshop („Meine Daten“ > „Persönliche Daten“ > „Telefoniedaten“ / siehe Abbildung 2).
Die hinterlegte Rufnummer wird primär für die Übermittlung der Einmal-PIN per SMS bei der Anmeldung ohne dDk benötigt. Zudem wird auch das Ent- sperrpasswort bei einem gesperrten Benutzerkonto in der VDI-Umgebung auf diesem Wege übermittelt (siehe Kapitel 4.2.3).
Zu jeder Einwahl erhalten Sie eine SMS mit einem Einmal-Passwort, englisch One-Time-Password (OTP), das Sie gegenüber der VDI-Umgebung als zur Einwahl berechtigt ausweist. Hinterlegen Sie deshalb vorzugsweise eine "Mo- bilfunknummer (privat)".
Ein dienstliches Mobiltelefon kann ebenfalls angegeben werden. Sind beide Varianten eingetragen, erfolgt die Zusendung des OTP auf Ihre private Mobil- funknummer.
Hinweise Bitte beachten Sie, dass eine nicht als privat hinterlegte Ruf- nummer automatisch auch in Ihren Kontaktdaten im Out- look-Adressbuch angezeigt wird.
Die Angabe der Vorwahl darf keine führende 0 enthalten.
Abbildung 2
2 Vorbereitung der Tele- oder Mobilarbeit mit dem Mini-PC
2.1 Schnittstellen
Um den Mini-PC nutzen zu können, müssen vor dem Einschalten diverse Ka- bel richtig mit dem Gerät verbunden werden. Die nachfolgende Grafik gibt Ihnen einen Überblick über die notwendigen Schnittstellen des Fujitsu Mini- PCs Q920 und des Fujitsu Mini-PCs Q956 (Abbildung 3).
Abbildung 3
Nachfolgend werden die in der Abbildung 3 nummerierten Positionen mit ih- ren Funktionen erläutert.
Nr. 1: Netzstecker zum Anschluss an das Stromnetz Nr. 2: DVI-Anschluss zum Monitoranschluss
Nr. 3: Display-Port zum Monitoranschluss Nr. 4: Audio-Ausgang für 3,5 mm Klinkenstecker
Nr. 5: USB-Anschluss für Tastatur, Maus, Headset & Kamera Nr. 6: Netzwerk-Anschluss für LAN-Kabel (RJ45)
Nr. 7: Kensington-Schloss zur Diebstahlsicherung
An der Vorderseite des Mini-PC befinden sich zwei weitere USB-Anschlüsse.
Ist am Audio-Ausgang kein Gerät angeschlossen, wird Ton über den internen Lautsprecher des Mini-PC wiedergegeben.
Mit dem HP EliteDesk 800 G4 setzt die Bundesagentur für Arbeit seit 2020 er- gänzend auf einen moderneren PC-Standard. Auch dieser Gerätetyp kann für Tele- und Mobilarbeit eingesetzt werden. Abbildung 4 bietet Ihnen einen Überblick über dessen Schnittstellen.
Abbildung 4
2.2 Profil auf Mini-PC hinterlegen
Auf dem Mini-PC, den Sie für die Tele- oder Mobilarbeit mit nach Hause neh- men, muss Ihr Benutzerprofil hinterlegt sein. Bitte melden Sie sich hierzu zu- vor mindestens einmal auf diesem Rechner im Netz der BA an. So wird Ihr Benutzerprofil auf den Mini-PC kopiert und lokal gespeichert. Dies ist notwen- dig, um anschließend die Anmeldung auch außerhalb des BA-Netzwerkes durchführen zu können.
2.3 Abmelden und Herunterfahren
Bevor Sie den Mini-PC abbauen können, müssen Sie sich vom Gerät abmel- den und es herunterfahren. Rufen Sie hierzu das Startmenü des Systems auf und wählen Sie unter dem Ein-Aus-Symbol den Menüpunkt "Herunterfahren"
aus. Hierbei werden Sie gleichzeitig vom System abgemeldet und der PC ausgeschaltet.
2.4 Abbau und Aufbau
Sobald das System ausgeschaltet ist, ziehen Sie -beginnend mit dem Netz- stecker- die einzelnen Kabel vom Mini-PC ab. Beim Aufbau verfahren Sie bitte in umgekehrter Reihenfolge und schließen als letztes den Netzstecker wieder an das Gerät an.
2.5 Transport
Für den Transport des Mini-PC ist über die Anwendung „Warenkorb“ eine Ta- sche abrufbar (siehe Abbildung 5). Darin finden der Mini-PC sowie beispiels- weise ergänzend vorhandene Ausstattungen für "Skype for Business" ausrei- chend Platz. Achten Sie beim Transport auf eine behutsame und sichere Un- terbringung.
Abbildung 5
2.6 Aufbau Heimarbeitsplatz
Bitte bauen Sie den Mini-PC in Verbindung mit eventuell weiterer dienstlich vorhandener Hardware auf. Achten die hierbei auf die Empfehlungen zum richtigen Sitzen und der Anordnung von Arbeitsmitteln.
Damit sich der Mini-PC in die VDI-Umgebung einwählen kann, müssen Sie ihn per Netzwerkkabel mit Ihrem Internetrouter verbinden. WLAN steht hierfür nicht zur Verfügung.
Nachfolgend ist der Aufbau schematisch dargestellt:
Abbildung 6
2.7 Mini-PC einschalten
Der Ein-/Ausschalter des Mini-PC befindet sich bei den derzeit verwendeten Modellen auf der Vorderseite rechts. Ein kurzer Druck genügt zum Einschal- ten.
Abbildung 7
Abbildung 8
2.8 Lokale Anmeldung
Schalten Sie den Mini-PC ein, sobald Sie ihn komplett angeschlossen haben.
Der Mini-PC fährt anschließend bis zur Windows-Anmeldemaske hoch. Bitte nutzen Sie für die lokale Anmeldung das gleiche Anmeldeverfahren, das Sie auch zur Anmeldung im BA-Netzwerk verwenden.
Hinweis Nach der lokalen Anmeldung haben Sie weder Zugriff auf Ihre Ablagen, noch auf Fachverfahren. Der Mini-PC ist in dieser Konstellation lediglich die technische Basisstation zum weiter- führenden Aufruf der VDI-Umgebung als eigentlicher Arbeits- oberfläche.
2.9 Sorgfältiger Umgang mit dem Gerät
Bitte achten Sie insgesamt auf einen sorgfältigen Umgang mit der Ihnen zur Verfügung gestellten Hardware. Setzen Sie den Mini-PC zum Beispiel keinen extremen Witterungsverhältnissen wie Hitze, Kälte oder Nässe aus und be- nutzen Sie zum Transport die dazu vorgesehene Tasche.
Achten Sie bitte auch darauf, alle Steckverbindungen korrekt anzubringen, damit diese nicht unter unnötigem Druck oder Zug stehen. Ansonsten kann es in der Folge zu Beschädigungen und Verbindungsproblemen kommen.
2.10 Datenspeicherung
Bitte speichern Sie auf dem Laufwerk „Windows (C:)“ Ihres Mini-PC keine personenbezogenen Daten. Beachten Sie stets die Vorschriften des Daten- schutzes.
2.11 Softwareversorgung
Jeder Mini-PC ist mindestens einmal innerhalb von zwei Wochen für zwei Stunden mit dem BA-Netzwerk zu verbinden, um notwendige Sicherheitsaktu- alisierungen durchzuführen (z. B. Virenscanner).
Zusätzlich muss das System zu den regelmäßigen PRV-Updates am Netz- werk angeschlossen sein, damit die Versorgung mit aktuellen Windows-Si- cherheitsupdates gegeben ist.
Am Netzwerk angeschlossene und eingeschaltete Clients werden automa- tisch mit Software bzw. Sicherheitsupdates versorgt.
Tipp Sie können Ihren Mini-PC auch selbständig vor Beginn der Tele- oder Mobilarbeit mit der kommenden Programmver- sion versorgen. Nähere Informationen können Sie der Ar- beitshilfe Programmversorgung am Arbeitsplatz entnehmen.
3 Vorbereitung der Tele- und Mobilarbeit mit privater
Hardware
3.1 Citrix Receiver LTSR installieren
Voraussetzung ist ein aktuelles Betriebssystem welches vom Hersteller (z.B.
Microsoft, SuSE, Apple) aktiv mit Updates versorgt wird.
Der Zugang zur virtuellen Arbeitsumgebung erfolgt über den Citrix Receiver in der LTSR-Version (Long Term Service Release, eine Version mit Langzeit- support), den Sie einmalig herunterladen und auf Ihrer privaten Hardware in- stallieren.
Dieses Handout beschreibt in Kurzform die Installation und Nutzung des Citrix Receivers unter Microsoft Windows. Für weiterführende Informationen und für Hinweise zur Nutzung unter macOS, iPadOS, Linux, ChromeOS und Android beachten Sie bitte die IT-Arbeitshilfe „Installationshilfe für die Mobil- und Tele- arbeit (private Hardware)“
3.1.1 Software herunterladen
Rufen Sie hierzu die Einwahlseite (https://terminal.arbeitsagentur.de) auf.
Dort ist unterhalb der Eingabemaske die von der BA freigegebene Software- version als „Freigegebener Receiver“ für den Download verlinkt (siehe Abbil- dung 9).
Abbildung 9
Hinweis Aus Kompatibilitätsgründen ist unter Windows ausschließ- lich die von der BA über die Einwahlseite bereitgestellte Ci- trix-Version zu nutzen.
Falls Sie Skype for Business nutzen, installieren Sie bitte auch die "zugehö- rige Skype Optimierung" (siehe Abbildung 9). Weitere Informationen hierzu
3.1.2 Software installieren
Öffnen Sie die heruntergeladene Datei, um die Installation des Programms auf Ihrem privaten PC zu starten (siehe Abbildung 10).
Abbildung 10
Folgen Sie nun den Anweisungen des Installationsprozesses. Im abschlie- ßenden Fenster des Installationsablaufes betätigen Sie die Schaltfläche "Fer- tig stellen" (siehe Abbildung 11).
Abbildung 11
Nach Abschluss der Installation stehen Ihnen die Funktionen des Citrix Recei- vers LTSR in Ihrem Browser zur Verfügung.
Hinweis Eine Registrierung bei Citrix ("Konto hinzufügen") ist nicht notwendig.
3.2 Einmal-PIN per Smartphone-App
Vor Beginn der Tele- oder Mobilarbeit ohne dDk müssen Sie sich einmalig entscheiden, ob die Zustellung der notwendigen Einmal-PIN per SMS oder Smartphone-App geschehen soll. Zur Zustellung per SMS siehe Kapitel 4.2.2.
Sollten Sie die Zustellung per Smartphone-App wünschen, beachten Sie bitte die folgenden Informationen und führen Sie die genannten Schritte durch.
3.2.1 Technische Voraussetzungen
Sie benötigen ein Smartphone mit Kamera und die Möglichkeit, Anwendun- gen aus dem jeweiligen Appstore unter iOS, Android oder Windows Phone zu installieren.
3.2.2 Auswahl einer geeigneten App
Es gibt eine Vielzahl an frei verfügbaren Smartphone-Apps, mit deren Hilfe Sie gültige Einmal-PIN generieren können. Wir empfehlen derzeit den
„Google Authenticator“. Das Programm unter den mobilen Betriebssystemen Android, iOS als auch Windows Phone zur Verfügung und wird fortlaufend weiterentwickelt. Suchen Sie im jeweiligen Appstore zum Beispiel nach dem Begriff „TOTP“, um die gewünschte App zu finden.
3.2.3 Initialisierung
Installieren Sie zunächst die von Ihnen gewünschte App auf dem Smart- phone. Nachfolgend wird beispielhaft die Nutzung des Google Authenticator gezeigt.
Melden Sie sich anschließend an einem Arbeitsplatz-PC an und rufen Sie dort vor der Tele- oder Mobilarbeit einmalig die Intranet-Seite zur TOTP-Initialisie- rung (https://www.baintranet.de/006/010/008/011/Seiten/Initialisierung- TOTP.aspx) auf. Bitte befolgen Sie die dort genannten Anweisungen.
Abbildung 12
In der Folge wird Ihnen ein speziell für Ihr Benutzerkonto generierter QR- Code (Link in Bildform zum abscannen mit einem Smartphone) angezeigt, den Sie mit der zuvor auf Ihrem Smartphone installierten TOTP-App scannen.
Abbildung 13
Im Google Authenticator fügen Sie ein Konto hinzu, indem Sie auf das bunte
„+“ unten rechts klicken.
Abbildung 14
Mit der Option „QR-Code scannen“ können Sie den auf Ihrem Monitor ange- zeigten Code ablesen lassen. Alternativ können Sie über „Einrichtungsschlüs- sel eingeben“ die auf Abbildung 13 als „Secret“ bezeichnete Zeichenfolge ma- nuell eintragen.
Abbildung 15
Anhand der so übermittelten Konfigurationsdaten wird die App in die Lage versetzt, für Ihr Konto zulässige Einmal-PIN zu generieren. War die Übermitt- lung erfolgreich, wird die Information zu Ihrem Konto in der App angezeigt.
Abbildung 16
Die App generiert nach der Initialisierung alle 30 Sekunden einen neuen Code, der bei der VDI-Authentifizierung einzugeben ist. Es ist jeweils der ak- tuelle, sowie der vorherige Code gültig.
Wie bei der SMS-Pin erfolgt die Abfrage nach erfolgreicher Eingabe von Be- nutzernamen und Passwort auf der VDI-Einwahlseite.
Hinweise Sobald das TOTP-Verfahren initialisiert ist, wird das zuvor verwendete SMS-Verfahren deaktiviert. Zur Reaktivierung beachten Sie die Hinweise in Kapitel 3.2.4.
Bitte löschen Sie in der Folge nicht die im IM Webshop hin- terlegte Mobilfunkrufnummer. Zur Entsperrung Ihres Benut- zerkontos von außerhalb des BA-Netzes (siehe hierzu Kapi- tel 4.2.3) wird auch bei aktiviertem TOTP eine SMS versen- det.
3.2.4 TOTP-Verfahren zurücksetzen
Falls Sie Ihr Smartphone wechseln, die App neu installiert haben oder doch lieber das SMS-PIN-Verfahren nutzen möchten, müssen Sie das TOTP-Ver- fahren auf der Initialisierungsseite im Intranet zunächst zurücksetzen (siehe Abbildung 17)
Abbildung 17
Anschließend können Sie das Verfahren erneut initialisieren (siehe Kapitel 3.2.3), bzw. stattdessen das SMS-PIN-Verfahren nutzen.
4 Anmeldung an der VDI- Umgebung
4.1 Aufruf der Einwahlmaske
Bei Tele- oder Mobilarbeit mit privater Hardware oder Mobilarbeit mit dem Mini-PC rufen Sie zur Anmeldung an der VDI-Umgebung mit Ihrem Internet- browser die Einwahlseite „https://terminal.arbeitsagentur.de“ auf. Dort wird Ihnen die nachfolgend dargestellte Einwahlmaske zur Eingabe Ihrer Daten angezeigt.
Abbildung 18
Hinweis Es wird empfohlen, für die Einwahl den Internet-Explorer zu verwenden. Dieser ist auf seine Kompatibilität mit dem Ein- wahlprozess getestet. Für alternative Browser wird die Funk- tion weder garantiert, noch kann für diese Browser Unterstüt- zung geleistet werden.
Bei Telearbeit mit dem Mini-PC finden Sie als weitere Option zur Einwahl im Startmenü die Verknüpfung "Telearbeit" (siehe Abbildung 19). Um die Ein- wahl zu beschleunigen, können Sie sich das Icon auch direkt auf dem Desk- top ablegen.
Abbildung 19
4.2 Einwahl
Bei Nutzung eines Mini-PC kann die Einwahl wahlweise mit der digitalen Dienstkarte oder mit Benutzername und Passwort erfolgen. Die dargestellte Ansicht der Weboberfläche der VDI-Einwahlmaske hängt davon ab, ob eine digitale Dienstkarte im Kartenleser der Tastatur steckt oder nicht.
4.2.1 Anmeldung mit digitaler Dienstkarte
Bei Verwendung der digitalen Dienstkarte - die Karte muss vor Aufruf der Ein-
hinterlegten Sicherheitszertifikats. Anschließend werden Sie automatisch nach der PIN Ihrer Karte gefragt (siehe Abbildung 20).
Abbildung 20
Sobald Sie die PIN Ihrer Karte eingegeben haben, wird Ihnen eine Webseite eingeblendet. Auf dieser Webseite ist Ihre Benutzerkennung vorab hinterlegt (siehe Abbildung 18). Sie müssen nun Ihr Windowskennwort eingeben und bestätigen.
4.2.2 Anmeldung mit Einmal-Passwort (OTP)
Ohne digitale Dienstkarte öffnet sich die aufgerufene Webseite sofort. Hier geben Sie ihre Benutzerkennung mit dem Nachsatz "@dst.baintern.de", so- wie das dazugehörige Passwort ein (siehe Abbildung 18).
Nach dem Aktivieren der Schaltfläche "Anmelden" wird Ihnen das OTP per SMS an die hinterlegte Mobilfunknummer zugesendet (siehe Abbildung 21).
Abbildung 21
Alternativ generieren Sie das OTP über das TOTP-Verfahren (siehe Abbil- dung 22).
Abbildung 22
Übernehmen Sie die übermittelte Ziffernfolge bitte in die nachfolgend beispiel- haft abgebildete Eingabemaske. Das SMS-OTP hat eine maximale Gültig- keitsdauer von 5 Minuten, das per App generierte OTP ist 1 Minute lang ver- wendbar.
Abbildung 23
4.2.3 Entsperrung Benutzerkonto
Sollten Sie Ihr Passwort oder Ihr OTP drei Mal in Folge falsch eingeben, sperrt das System automatisch Ihren Zugang zur VDI-Umgebung. Ihr Windows-Kennwort in der Dienststelle wird dadurch nicht gesperrt.
In diesem Fall erhalten Sie bei Zugang mit der digitalen Dienstkarte eine E- Mail an Ihre dienstliche E-Mailadresse. Falls Sie eine Handynummer in Ihren Kontakten hinterlegt haben, bekommen Sie zusätzlich eine SMS (siehe nach- folgende Textmuster).
Bei Nutzung des OTP erhalten Sie ebenfalls eine SMS und zusätzlich eine E- Mail an Ihre dienstliche E-Mailadresse.
Textmuster E-Mail:
"Hallo,
der Benutzer <Benutzerkennung>@dst.baintern.de wurde nach 3 Loginversu- chen mit falschem Passwort gesperrt.
Um den Benutzernamen zu entsperren loggen Sie sich mit dem Benutzerna- men <Benutzerkennung>@dst.baintern.de und dem Passwort <variables Ein- malkennwort> einmal auf der Webseite https://terminal.arbeitsagentur.de/ ein.
Sie bekommen eine Fehlermeldung, dass der Login Versuch fehlgeschlagen ist.
Danach können Sie sich mit Ihrem Active Directory Passwort (Windows-Be- nutzerkonto, Anm. d. Red.) wieder authentifizieren."
Hinweis Bitte wenden Sie sich bei Fragen zur weiteren Vorgehens- weise ausschließlich an den UHD und antworten Sie nicht auf die zugesendete E-Mail.
Textmuster SMS:
"Nach 3 Fehleingaben wurde der Zugang auf terminal.arbeitsagentur.de ge- sperrt.
Entsperrung durch einmaligen Login mit Entsperrpasswort: <variables Ein- malkennwort>."
Loggen Sie sich nun mit dem übermittelten Entsperrpasswort, welches Sie der SMS beziehungsweise E-Mail entnehmen können, in der VDI-Umgebung ein.
Hinweis Es ist nicht möglich, die E-Mail an Ihre private E- Mailadresse zu senden. Somit können Sie die entspre- chende E-Mail erst wieder in Ihrer oder der für Sie nächstge- legenen Dienststelle bei einer Anmeldung im BA-Netzwerk einsehen.
Ihr Zugang zur VDI-Umgebung wird mit dem übermittelten Passwort entsperrt und Sie können sich anschließend wie gewohnt mit Ihren Standard-Zugangs- daten anmelden.
4.2.4 Sicherheitsmeldung
Nach Bestätigung der OTP-Eingabe wird eine Sicherheitswarnung angezeigt (siehe Abbildung 24). Diese Sicherheitswarnung müssen Sie über die Schalt- fläche "Zulassen" bestätigen.
Abbildung 24
Hinweis Sofern Sie den Haken bei "Warnung für dieses Programm nicht mehr anzeigen" gesetzt haben, wird dieses Fenster nicht erneut angezeigt.
5 Der virtuelle Desktop
In die eigentliche Arbeitsumgebung wählen Sie sich ein, sobald Sie das auf der Oberfläche angezeigte Symbol der Tele- oder Mobilarbeit aktivieren (siehe Abbildung 25).
Abbildung 25
Anschließend startet der virtuelle Desktop, zunächst mit einem Fenster zum Aufbau der Verbindung (siehe Abbildung 26).
Hinweis Gegebenenfalls müssen Sie eine automatisch heruntergela- dene Datei mit der Endung ".ICA" mit dem Citrix-Receiver LTSR öffnen, diese wird Ihnen im Browser unter Downloads angezeigt.
Abbildung 26
Nachdem der Desktop gestartet ist, läuft wie am Arbeitsplatz das Anmel- deskript zur Verbindung mit Ihren Dateiablagen durch. Anschließend wird Ihnen der virtuelle Desktop angezeigt (siehe Abbildung 27).
Tipp Für eine bildschirmfüllende Darstellung und optimale Nut- zung empfiehlt sich die Maximierung des virtuellen Desktops in den Vollbildmodus.
Abbildung 27
5.1 Citrix-Menüband
Auf Ihrem virtuellen Desktop befindet sich am oberen Rand das Menüband der Citrix-Anwendung unter Microsoft Windows (siehe Abbildung 28). Über das Menüband können Sie auf Ihren privaten Bereich zurückwechseln, die Größe der Citrix-Anwendung bestimmen oder die Bildschirmsperre aufheben.
Sollte das Menüband nicht angezeigt werden, kann es per Aktivierung des Pfeilsymbols der Schaltfläche eingeblendet werden.
Abbildung 28
Anbei eine Beschreibung der einzelnen Funktionen. Im Vollbildmodus erhal- ten Sie ergänzend ein leicht abgewandeltes Menüband mit der zusätzlichen Schaltfläche „Telearbeit“ oder „Mobilarbeit“, die sich an zweiter Stelle von links platziert. Die zusätzliche Schaltfläche soll Ihnen lediglich als optischer Hinweis dienen, ob Sie sich aktuell auf der dienstlichen oder Ihrer privaten Oberfläche befinden.
Anbei eine Erklärung der Funktionalitäten der einzelnen Schaltflächen.
• Desktop des Mini-PCs beziehungsweise des privaten PCs anzeigen
• Tastenkombination Strg + Alt + Entf zum Aufheben der Bildschirmsperre Einstellungen des virtuellen Desktops
5.2 Zweitmonitore
Auch in Tele- oder Mobilarbeit über Citrix können Zweitmonitore verwendet werden. Dafür ist in der Regel eine Veränderung der Bildschirmeinstellungen über das Citrix-Menüband (siehe Kapitel 5.1) notwendig. Den Vorgang hat der UHD in einem WDB-Eintrag über die Nutzung von Citrix auf zwei Monitoren beschrieben.
5.3 Arbeiten am virtuellen Desktop
Mit dem virtuellen Desktop können Sie wie gewohnt arbeiten. Es gibt bei der Verwendung der zentral installierten und webbasierten Anwendungen keine Einschränkungen gegenüber Ihrem Büroarbeitsplatz.
Einzig Ihnen per Einzellizenz zur Verfügung gestellte Software, als Beispiel MindManager, Photoshop Elements oder Microsoft Visio, kann in der VDI- Umgebung nicht genutzt werden.
Bei der Nutzung von Tastaturkürzeln ist zu beachten, dass Aktionen wie Strg + Alt + Entf oder Win + L auf dem lokalen PC ausgeführt werden. Nut- zen Sie deshalb zum Sperren und Entsperren das Menüband der Citrix-An- wendung (siehe Abbildung 28)
Selbst eingerichtete oder anwendungsinterne Tastaturkürzel wie z.B.
Strg + C oder Strg + V funktionieren wie gewohnt, wenn der virtuelle Desktop im Vollbildmodus ausgeführt wird.
5.4 OfflinePrint
Sie können während der Arbeit in der virtuellen Umgebung sogenannte Off- line-Druckaufträge erstellen. Damit ist es Ihnen möglich, erstellte Dokumente in eine Warteschlange zu drucken, die Sie nach Ihrer Rückkehr in die Dienst- stelle an einem von Ihnen auswählbaren Drucker ausgeben lassen können.
Um die in der Tele- oder Mobilarbeit offline erzeugten Ausdrucke komfortabel für eine spätere Ausgabe zu verwalten und zu speichern, steht Ihnen im Start- menü die Anwendung „Druckerverwaltung“ (siehe Abbildung 29) zur Verfü- gung. Darüber können Sie automatisch einen virtuellen Drucker der Liste Ih- rer Drucker hinzufügen lassen.
Abbildung 29
5.4.1 OfflinePrint verwenden
Öffnen Sie die Druckerverwaltung, wechseln Sie dort zum Punkt "Erweiterun- gen verwalten" und markieren Sie anschließend das Auswahlfeld "OfflinePrint aktivieren" (siehe Abbildung 30).
Abbildung 30
5.4.2 Als Standarddrucker definieren
Damit dieser Drucker in allen Anwendungen für die Schnelldruckfunktion zur Verfügung steht, muss er als Standarddrucker festgelegt werden. Rufen Sie hierzu den Punkt "Drucker verwalten" in der Druckerverwaltung auf. Durch Aktivieren des Druckereintrages "OfflinePrint" können Sie diesen über das Kontextmenü als Standarddrucker definieren (siehe Abbildung 31).
Hinweis Bei der Verwendung des Schnelldruckes können Sie keinen Einfluss auf das Format des Ausdrucks nehmen. Statt der Auswahl von Hoch- und Querformat oder dem Duplexdruck werden die aktuellen Einstellungen des Druckers verwendet.
Abbildung 31
5.4.3 Einstellungen Offline-Drucker
Um Einfluss auf den Ausdruck zu nehmen, verwenden Sie statt des Schnell- drucks den Standard-Druckdialog. Indem Sie dort die „Druckereinstellungen“
öffnen, können Sie zum Beispiel die Ausrichtung und Anzahl der Drucke an- passen oder den Duplexdruck aktivieren (siehe Abbildung 32).
Abbildung 32
5.4.4 Druckaufträge verwalten und ausdrucken
Abgesendete Druckaufträge können Sie in der Druckerverwaltung unter dem Punkt "Offlinedruck" verwalten. Dort angezeigte Dokumente können Sie ein- zeln oder nach vorheriger Mehrfachauswahl auch gemeinsam über das Kon- textmenü ausdrucken lassen.
Den Ausgabedrucker legen Sie über das Auswahlmenü in der unteren rech- ten Ecke fest (siehe Abbildung 33).
Abbildung 33
5.5 FollowPrint
Besitzer einer digitalen Dienstkarte können neben OfflinePrint auch die Op- tion "FollowPrint" nutzen. Diese lässt sich ebenfalls als Erweiterung in der
Druckerverwaltung aktivieren (siehe Abbildung 30). Sie bietet Ihnen den Vor- teil, dass Sie den Ausdruck Ihrer Dokumente bundesweit an allen entspre- chend ausgestatteten Multifunktionsdruckern auslösen können, nachdem Sie sich mit Ihrer dDk ausgewiesen haben.
Nähere Informationen zu Funktion und Voraussetzungen entnehmen Sie bitte der IT-Arbeitshilfe FollowPrint.
5.6 KoalA-Nutzung
Auch in Tele- und Mobilarbeit können Sie Skype for Business als Plattform des Verfahrens KoalA (Konferenz am lokalen Arbeitsplatz) nutzen.
Eine dienstlich vorhandene Kamera sowie Ihr Headset können Sie mitneh- men und zu Hause an den Mini-PC oder privaten PC anschließen. Integrierte Geräte Ihres privaten Notebooks funktionieren in der Regel ebenfalls. Ein Un- terschied zur Nutzung in der Dienststelle besteht nicht.
Beachten Sie hierzu auch die in Kapitel 8.1 aufgeführten Hinweise.
5.6.1 KoalA auf dem Mini-PC
Wenn Sie die Software auf dem virtuellen Desktop nutzen möchten, beenden Sie bitte zuvor die automatisch auf dem Mini-PC gestartete Instanz von
"Skype for Business". Durch den parallelen Betrieb zweier Instanzen auf dem Mini-PC und innerhalb des virtuellen Clients können andernfalls Probleme auftreten, zum Beispiel Verbindungsabbrüche bei Gesprächen.
Um Skype for Business zu beenden, folgen Sie bitte den Schritten in Abbil- dung 34.
Abbildung 34
5.6.2 KoalA mit privater Hardware
Um Skype for Business über Citrix einwandfrei nutzen zu können, müssen Sie zusätzlich zum Citrix Receiver LTSR auch die "HDX RealTime Media En- gine for Microsoft Skype® for Business" installieren.
Diese ist auf der Einwahlseite unterhalb der Eingabemaske als „zugehörige Skype-Optimierung“ in der jeweils freigegebenen Version zum Download ver-
2 graue Punkte links und 1 graues Dreieck rechts weisen auf den Start der Skype-Optimierung hin. Erscheinen 2 blaue Dreiecke, wird die Skype for Bu- siness-Optimierung fehlerfrei ausgeführt (siehe Abbildung 35). Sollte das linke Dreieck grau und zeitgleich das rechte blau erscheinen, konnte die Skype for Business-Optimierung nicht gestartet werden.
Abbildung 35
Tritt dieser Fehler auf, wurde das Optimierungs-Paket auf dem lokalen Client nicht oder nicht ordnungsgemäß installiert. Alternativ befindet sich ein weite- rer virtueller Desktop in Verwendung, welcher mit der lokalen Installation der Optimierung am PC oder MAP verbunden ist.
Bitte beachten Sie, dass bei Nutzung des Optimierungspakets folgende Ein- schränkungen in der Funktionalität von Skype for Business bestehen:
• während einer Videokonferenz kann kein weiterer Teilnehmer eingela- den werden. Teilnehmer, bei denen Skype for Business lokal am PC oder MAP gestartet wurde, können aber weitere Teilnehmer einladen.
• Bei Videokonferenzen werden nicht von allen Teilnehmern die Video- bilder angezeigt. Hier werden nur das eigene Bild, sowie das Bild des gerade sprechenden Teilnehmers eingeblendet.
Hinweis Beachten Sie für die KoalA-Nutzung auch die IT-Arbeitshilfe
„Installationshilfe für die Mobil- und Telearbeit (private Hard- ware)“
6 One Number Service (ONS)
Mithilfe des "One Number Service" können Sie Ihre dienstliche Rufnummer auch außerhalb der Dienststelle nutzen, um Gespräche zu führen und Ihre Er- reichbarkeit sicherzustellen. Nähere Informationen können Sie dem Handout zum IT-Beratungsmodul "Telefonie - Fortgeschrittene" entnehmen.
Ihr Regionales Infrastrukturmanagement (RIM) stellt Ihnen die Funktion auch gerne im Rahmen einer IT-Beratung vor.
7 Virtuellen Desktop beenden
7.1 Abmelden
Um sich vom virtuellen Desktop abzumelden, gehen Sie wie an einem Stan- dard-Arbeitsplatz vor. Über Öffnen des Startmenüs und Auswahl des Benut- zersymbols erscheint ein Menüfenster, in dem „Abmelden“ als Option er- scheint (siehe Abbildung 36).
Abbildung 36
Der virtuelle Desktop wird nun beendet und Ihre Profildaten werden gespei- chert. Das Fenster schließt sich nach erfolgreicher Abmeldung automatisch.
Aus Sicherheitsgründen wird die Weboberfläche mit dem Icon "Telearbeit", beziehungsweise "Mobilarbeit" im Hintergrund nach 5 Minuten automatisch abgemeldet. Sollten Sie zu einem späteren Zeitpunkt noch einmal den virtuel- len Desktop aufrufen wollen, so müssen Sie eine Neuanmeldung entspre- chend der Kapitel 3.2 bis 5 durchführen.
7.2 Mini-PC
Wenn Sie den Mini-PC nutzen, können Sie nach der Abmeldung vom virtuel- len Desktop auch den Mini-PC ausschalten. Hierzu gehen Sie bitte wie in Ka- pitel 2.3 beschrieben vor.
8 Mögliche Fehlerquellen und Einschränkungen
8.1 Einwahl in die VDI-Umgebung nicht möglich
Sollte die Installation des Citrix Receivers LTSR unter Windows auf privater Hardware fehlschlagen oder die Einwahl per Citrix aus sonstigen Gründen nicht gelingen, kann alternativ über https://vdi.arbeitsagentur.de die browser- basierte Einwahl genutzt werden.
Die Einwahl erfolgt analog der Nutzung von Citrix (siehe Kapitel 4.2 / Abbil- dung 37).
Abbildung 37
Bei dieser Art von Einwahl über einen HTLM5-fähigen Browser wird kein vo- rinstallierter Citrix Receiver LTSR auf dem auszuführenden Gerät benötigt.
Die Kommunikation zwischen Mini-PC, bzw. privater Hardware und dem virtu- ellen BA-Client findet stattdessen über einen gesicherten Kanal mithilfe der HTML5-Technologie statt.
Bitte beachten Sie, dass über diese Einwahlmethode keine Verbindung zu den angeschlossenen Geräten wie z.B. CardReader, Headset und Webcam hergestellt werden kann und diese deshalb innerhalb der VDI-Umgebung nicht genutzt werden können. In diesem Fall stehen unter anderem die An- meldung per dDk und Telefonkonferenzen per Skype for Business nicht zur Verfügung.
Bitte sehen Sie deshalb davon ab, an Skype-basierten Telefonkonferenzen teilzunehmen. Auf reine Telefonkonferenzräume von Vodafone können Sie dennoch über die Rufnummer der Konferenz inklusive Ihrer persönlichen PIN zugreifen.
8.2 One-Time-Password wird nicht empfangen
Dies kann bei einer gesperrten Benutzerkennung auftreten. Eine weitere Ur- sache kann die noch nicht in Ihrem Outlook-Profil hinterlegte Handy-Rufnum- mer sein. Sie können dies, wie in Kapitel 1.4.4 für die Neuanlage einer Ruf- nummer beschrieben, überprüfen.
In seltenen Fällen kann zudem der SMS-Dienst aufgrund einer Störung nicht zur Verfügung stehen.
8.3 Kein Zertifikat gefunden (dDk)
Dieser Fehler wird meist durch eine defekte digitale Dienstkarte verursacht.
Es kann jedoch auch vorkommen, dass Ihre Dienstkarte nicht korrekt freige- schaltet ist. In einem solchen Fall wenden Sie sich bitte an den Bereich LRA (Local Registration Authority) Ihres Internen Service Personal, zum Beispiel
„_BA-Hannover-IS-LRA“.
8.4 Kein Zugriff auf virtuellen Desktop im BA-Netzwerk
Innerhalb des BA-Netzwerkes ist es nicht möglich, sich mit dem virtuellen Desktop zu verbinden. Aus Lizenz- und Performancegründen ist die VDI-Ar- beitsumgebung ausschließlich außerhalb des BA-Netzes aufrufbar.
8.5 Indizierung steht nicht zur Verfügung
In der VDI-Umgebung steht die Indizierungsfunktion der Office-Anwendungen nicht zur Verfügung. Suchvorgänge dauern deshalb etwas länger, worauf Sie die betreffende Anwendung hinweist. Hierbei handelt es sich jedoch nicht um einen Fehler, sondern nur um eine technisch bedingte geringfügige Funkti- onseinschränkung.
8.6 OneNote in der virtuellen Umgebung
Die Nutzung von OneNote über den virtuellen Desktop erzeugt eine sehr hohe Netzlast und führt oftmals zu Abstürzen des virtuellen Desktops.
Sollten Sie OneNote benötigten, können Sie sich über eine Remotedesk- topverbindung mit einem PC in Ihrer Dienststelle verbinden und dort OneNote öffnen.
Sollten Sie für die Remotedesktopverbindung einen Rechnernamen benöti- gen, erfragen Sie diesen bitte bei einer Kollegin oder einem Kollegen vor Ort.
Der Rechnername wird auch im gesperrten oder abgemeldeten Zustand ei- nes PC oben links auf dem Bildschirm angezeigt.
9 Wichtige Informationen
Folgende Informationen sind auch für die Nutzung der VDI-Umgebung zu be- achten:
• IT-Anwenderhandbuch
(https://www.baintranet.de/006/010/008/002/documents/IT-Anwender- handbuch.pdf)
• Allg. Nutzungsbestimmungen für die Informationstechnik der BA in ge- meinsamen Einrichtungen
(https://www.baintranet.de/006/007/002/001/Documents/Allgemeine- Nutzungsbestimmungen.pdf)
• Wichtige Informationen im vertraulichen Umgang mit E-Mails (Ver- schlüsselung)
(Wichtige Informationen im vertraulichen Umgang mit E-Mails (Ver- schlüsselung))
• Informationssicherheit am Arbeitsplatz
(https://www.baintranet.de/006/010/004/007/Seiten/weisungen-richtli- nien-Index.aspx)
• Übersicht der zugelassenen externen Speichermedien
(https://www.baintranet.de/006/010/004/007/documents/Externe-Spei- chermedien-Uebersicht-PDF.pdf)
10 Unterstützung und Hilfe
Der UHD ist erster Ansprechpartner bei allen Problemen im Zusammenhang mit den Inhalten dieses Handouts.
Er ist erreichbar (Montag bis Freitag von 6.15 Uhr - 19.00 Uhr)
• telefonisch unter der Kurzwahl *8888 oder unter (0800) 1 00 35 39 bzw.
• per Webformular (per URL unter http://uhd.web.dst.baintern.de/webformular)
• Die zusammengefassten Kontaktmöglichkeiten und weitere Hilfestellung erreichen Sie über die Verknüpfung des UHD auf Ihrem Desktop:
Abbildung 38