Documentation produit
Serveur XenMobile®
Voir PDF

Android Enterprise hérité pour les clients Google Workspace (anciennement G Suite)

April 16, 2026
Contributeur: 
C C

Les clients Google Workspace (anciennement G Suite) doivent utiliser les paramètres Android Enterprise hérités pour configurer Android Enterprise hérité.

Prérequis pour Android Enterprise hérité :

  • Un domaine accessible publiquement
  • Un compte administrateur Google
  • Des appareils prenant en charge les profils gérés et exécutant Android 5.0+ Lollipop
  • Un compte Google avec Google Play installé
  • Un profil de travail configuré sur l’appareil

Pour commencer à configurer un Android Enterprise hérité, cliquez sur Android Enterprise hérité dans la page Android Enterprise des paramètres de XenMobile®.

Image de l'option Android Enterprise hérité

Créer un compte Android Enterprise

Avant de pouvoir configurer un compte Android Enterprise, vous devez vérifier votre nom de domaine auprès de Google.

Si vous avez déjà vérifié votre nom de domaine auprès de Google, vous pouvez passer à cette étape : Configurer un compte de service Android Enterprise et télécharger un certificat Android Enterprise.

  1. Accédez à https://gsuite.google.com/signup/basic/welcome.

    La page suivante s’affiche, où vous saisissez les informations de votre administrateur et de votre entreprise.

    Image de la page de configuration du compte

  2. Saisissez les informations de votre utilisateur administrateur.

    Image des informations de l'utilisateur administrateur

  3. Saisissez les informations de votre entreprise, en plus des informations de votre compte administrateur.

    Image de l'écran des informations de l'entreprise

    La première étape du processus est terminée et la page suivante s’affiche.

    Image de la page de vérification.

Vérifier la propriété du domaine

Autorisez Google à vérifier votre domaine de l’une des manières suivantes :

  • Ajoutez un enregistrement TXT ou CNAME au site web de votre hébergeur de domaine.
  • Chargez un fichier HTML sur le serveur web de votre domaine.
  • Ajoutez une balise <meta> à votre page d’accueil. Google recommande la première méthode. Cet article ne couvre pas les étapes de vérification de la propriété de votre domaine, mais vous pouvez trouver les informations dont vous avez besoin ici : https://support.google.com/a/answer/6248925.

  1. Cliquez sur Démarrer pour commencer la vérification de votre domaine.

    La page Vérifier la propriété du domaine s’affiche. Suivez les instructions de la page pour vérifier votre domaine.

  2. Cliquez sur Vérifier.

    Image du bouton Vérifier

    Image de la confirmation de vérification

  3. Google vérifie la propriété de votre domaine.

    Image de la vérification de la propriété du domaine

  4. Après une vérification réussie, la page suivante s’affiche. Cliquez sur Continuer.

    Image de la page de confirmation de succès

  5. Google crée un jeton de liaison EMM que vous fournissez à Citrix® et que vous utilisez lors de la configuration des paramètres Android Enterprise. Copiez et enregistrez le jeton ; vous en aurez besoin plus tard dans la procédure de configuration.

    Image du jeton de liaison

  6. Cliquez sur Terminer pour achever la configuration d’Android Enterprise. Une page s’affiche, indiquant que vous avez vérifié votre domaine avec succès.

Après avoir créé un compte de service Android Enterprise, vous pouvez vous connecter à la console d’administration Google pour gérer vos paramètres de gestion de la mobilité.

Configurer un compte de service Android Enterprise et télécharger un certificat Android Enterprise

Pour permettre à XenMobile de contacter les services Google Play et Directory, vous devez créer un compte de service à l’aide du portail Google Project pour les développeurs. Ce compte de service est utilisé pour la communication de serveur à serveur entre XenMobile et les services Google pour Android. Pour plus d’informations sur le protocole d’authentification utilisé, accédez à https://developers.google.com/identity/protocols/OAuth2ServiceAccount.

  1. Dans un navigateur web, accédez à https://console.cloud.google.com/project et connectez-vous avec vos identifiants d’administrateur Google.

  2. Dans la liste Projets, cliquez sur Créer un projet.

    Image de l'option Créer un projet

  3. Dans Nom du projet, saisissez un nom pour le projet.

    Image de l'option Nom du projet

  4. Sur le tableau de bord, cliquez sur Utiliser les API Google.

    Image de l'option Utiliser les API Google

  5. Cliquez sur Bibliothèque, dans Rechercher, saisissez EMM, puis cliquez sur le résultat de la recherche.

    Image de l'option de recherche EMM

  6. Sur la page Vue d’ensemble, cliquez sur Activer.

    Image de l'option Activer

  7. À côté de API Google Play EMM, cliquez sur Accéder aux identifiants.

    Image de l'option Accéder aux identifiants

  8. Dans la liste Ajouter des identifiants à notre projet, à l’étape 1, cliquez sur compte de service.

    Image de l'option compte de service

  9. Sur la page Comptes de service, cliquez sur Créer un compte de service.

    Image de l'option Créer un compte de service

  10. Dans Créer un compte de service, nommez le compte et cochez la case Fournir une nouvelle clé privée. Cliquez sur P12, cochez la case Activer la délégation à l’échelle du domaine Google Apps, puis cliquez sur Créer.

    Image des options de création de compte de service

    Le certificat (fichier P12) est téléchargé sur votre ordinateur. Assurez-vous d’enregistrer le certificat dans un emplacement sécurisé.

  11. Sur la page de confirmation Compte de service créé, cliquez sur Fermer.

    Image de la page de confirmation

  12. Dans Autorisations, cliquez sur Comptes de service, puis sous Options pour votre compte de service, cliquez sur Afficher l’ID client.

    Image de l'option Afficher l'ID client

  13. Les détails requis pour l’autorisation du compte sur la console d’administration Google s’affichent. Copiez l’ID client et l’ID de compte de service dans un emplacement où vous pourrez récupérer les informations ultérieurement. Vous aurez besoin de ces informations, ainsi que du nom de domaine, pour les envoyer au support Citrix afin d’obtenir l’autorisation.

    Image des détails d'autorisation du compte

  14. Sur la page Bibliothèque, recherchez Admin SDK, puis cliquez sur le résultat de la recherche.

    Image de la recherche Admin SDK

  15. Sur la page Vue d’ensemble, cliquez sur Activer.

    Image du bouton Activer

  16. Ouvrez la console d’administration Google de votre domaine, puis cliquez sur Sécurité.

    Image de l'option Sécurité

  17. Sur la page Paramètres, cliquez sur Afficher plus, puis cliquez sur Paramètres avancés.

    Image des paramètres avancés

    Image des paramètres avancés

  18. Cliquez sur Gérer l’accès client API.

    Image de l'option Gérer l'accès client API

  19. Dans Nom du client, saisissez l’ID client que vous avez enregistré précédemment, dans Un ou plusieurs champs d’application d’API, saisissez https://www.googleapis.com/auth/admin.directory.user, puis cliquez sur Autoriser.

    Image des options de nom de client

Liaison à l’EMM

Avant de pouvoir utiliser XenMobile pour gérer vos appareils Android, vous devez contacter le support technique de Citrix et fournir votre nom de domaine, votre compte de service et votre jeton de liaison. Citrix lie le jeton à XenMobile en tant que fournisseur de gestion de la mobilité d’entreprise (EMM). Pour les informations de contact du support technique de Citrix, consultez Support technique de Citrix.

  1. Pour confirmer la liaison, connectez-vous au portail d’administration Google, puis cliquez sur Sécurité.

  2. Cliquez sur Gérer le fournisseur EMM pour Android.

    Vous constatez que votre compte Google Android Enterprise est lié à Citrix en tant que fournisseur EMM.

    Après avoir confirmé la liaison du jeton, vous pouvez commencer à utiliser la console XenMobile pour gérer vos appareils Android. Importez le certificat P12 que vous avez généré à l’étape 14. Configurez les paramètres du serveur Android Enterprise, activez l’authentification unique (SSO) basée sur SAML et définissez au moins une stratégie d’appareil Android Enterprise.

    Image des options Gérer le fournisseur EMM pour Android

Importer le certificat P12

Suivez ces étapes pour importer votre certificat P12 Android Enterprise :

  1. Connectez-vous à la console XenMobile.

  2. Cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console pour ouvrir la page Paramètres, puis cliquez sur Certificats. La page Certificats s’affiche.

    Image de la page Certificats

  3. Cliquez sur Importer. La boîte de dialogue Importer s’affiche.

    Image de la boîte de dialogue Importer

    Configurez les paramètres suivants :

    • Importer : Dans la liste, cliquez sur Keystore.
    • Type de Keystore : Dans la liste, cliquez sur PKCS#12.
    • Utiliser comme : Dans la liste, cliquez sur Serveur.
    • Fichier Keystore : Cliquez sur Parcourir et accédez au certificat P12.
    • Mot de passe : Saisissez le mot de passe du keystore.
    • Description : Facultatif, saisissez une description du certificat.

  4. Cliquez sur Importer.

Configurer les paramètres du serveur Android Enterprise

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console. La page Paramètres s’affiche.

  2. Sous Serveur, cliquez sur Android Enterprise. La page Android Enterprise s’affiche.

    Image de la page Android Enterprise

    Configurez les paramètres suivants, puis cliquez sur Enregistrer.

    • Nom de domaine : Saisissez le nom de domaine de votre Android Enterprise ; par exemple, domain.com.
    • Compte administrateur de domaine : Saisissez le nom d’utilisateur de votre administrateur de domaine ; par exemple, le compte de messagerie utilisé pour le portail Google Developer.
    • ID de compte de service : Saisissez l’ID de votre compte de service ; par exemple, l’adresse e-mail associée au compte de service Google (serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com).
    • ID client : Saisissez l’ID client numérique de votre compte de service Google.
    • Activer Android Enterprise : Sélectionnez pour activer ou désactiver Android Enterprise.

Activer l’authentification unique basée sur SAML

  1. Connectez-vous à la console XenMobile.

  2. Cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console. La page Paramètres s’affiche.

  3. Cliquez sur Certificats. La page Certificats s’affiche.

    Image de la page Certificats

  4. Dans la liste des certificats, cliquez sur le certificat SAML.

  5. Cliquez sur Exporter et enregistrez le certificat sur votre ordinateur.

  6. Connectez-vous au portail d’administration Google à l’aide de vos informations d’identification d’administrateur Android Enterprise. Pour accéder au portail, consultez le portail d’administration Google.

  7. Cliquez sur Sécurité.

    Image de l'option Sécurité

  8. Sous Sécurité, cliquez sur Configurer l’authentification unique (SSO), puis configurez les paramètres suivants.

    Image des paramètres SSO

    • URL de la page de connexion : Saisissez l’URL permettant aux utilisateurs de se connecter à votre système et à Google Apps. Par exemple : https://<Xenmobile-FQDN>/aw/saml/signin.
    • URL de la page de déconnexion : Saisissez l’URL vers laquelle les utilisateurs sont redirigés lorsqu’ils se déconnectent. Par exemple : https://<Xenmobile-FQDN>/aw/saml/signout.
    • URL de modification du mot de passe : Saisissez l’URL permettant aux utilisateurs de modifier leur mot de passe dans votre système. Par exemple : https://<Xenmobile-FQDN>/aw/saml/changepassword. Si ce champ est défini, les utilisateurs voient cette invite même lorsque l’authentification unique n’est pas disponible.
    • Certificat de vérification : Cliquez sur CHOISIR UN FICHIER, puis accédez au certificat SAML exporté depuis XenMobile.

  9. Cliquez sur ENREGISTRER LES MODIFICATIONS.

Configurer une stratégie d’appareil Android Enterprise

Configurez une stratégie de code d’accès afin que les utilisateurs doivent établir un code d’accès sur leurs appareils lors de leur première inscription.

Image de la page de stratégie de code d'accès

Les étapes de base pour configurer une stratégie d’appareil sont les suivantes.

  1. Connectez-vous à la console XenMobile.

  2. Cliquez sur Configurer, puis sur Stratégies d’appareil.

  3. Cliquez sur Ajouter, puis dans la boîte de dialogue Ajouter une nouvelle stratégie, sélectionnez la stratégie que vous souhaitez ajouter. Dans cet exemple, vous cliquez sur Code d’accès.

  4. Remplissez la page Informations sur la stratégie.

  5. Cliquez sur Android Enterprise, puis configurez les paramètres de la stratégie.

  6. Attribuez la stratégie à un groupe de mise à disposition.

Configurer les paramètres de compte Android Enterprise

Avant de pouvoir commencer à gérer les applications et les stratégies Android sur les appareils, vous devez configurer un domaine Android Enterprise et les informations de compte dans XenMobile. Tout d’abord, effectuez les tâches de configuration Android Enterprise sur Google pour configurer un administrateur de domaine et obtenir un ID de compte de service et un jeton de liaison.

  1. Dans la console web XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sous Serveur, cliquez sur Android Enterprise. La page de configuration Android Enterprise apparaît.

Image de la page de configuration Android Enterprise

  1. Sur la page Android Enterprise, configurez les paramètres suivants :

    • Nom de domaine : Saisissez votre nom de domaine.
    • Compte administrateur de domaine : Saisissez le nom d’utilisateur de votre administrateur de domaine.
    • ID de compte de service : Saisissez votre ID de compte de service Google.
    • ID client : Saisissez l’ID client de votre compte de service Google.
    • Activer Android Enterprise : Sélectionnez si vous souhaitez activer ou non Android Enterprise.

  2. Cliquez sur Enregistrer.

Configurer l’accès partenaire Google Workspace pour XenMobile

Certaines fonctionnalités de gestion des points de terminaison pour Chrome utilisent les API partenaires Google pour communiquer entre XenMobile et votre domaine Google Workspace. Par exemple, XenMobile nécessite les API pour les stratégies d’appareil qui gèrent les fonctionnalités Chrome telles que le mode Incognito et le mode Invité.

Pour activer les API partenaires, vous configurez votre domaine Google Workspace dans la console XenMobile, puis vous configurez votre compte Google Workspace.

Configurer votre domaine Google Workspace (anciennement G Suite) dans XenMobile

Pour permettre à XenMobile de communiquer avec les API de votre domaine Google Workspace, accédez à Paramètres > Configuration Google Chrome et configurez les paramètres.

  • Domaine Google Workspace : Le domaine Google Workspace qui héberge les API nécessaires à XenMobile.
  • Compte administrateur Google Workspace : Le compte administrateur de votre domaine Google Workspace.
  • ID client Google Workspace : L’ID client pour Citrix. Utilisez cette valeur pour configurer l’accès partenaire pour votre domaine Google Workspace.
  • ID d’entreprise Google Workspace : L’ID d’entreprise de votre compte, renseigné à partir de votre compte d’entreprise Google.

Activer l’accès partenaire pour les appareils et les utilisateurs dans votre domaine Google Workspace

  1. Connectez-vous à la console d’administration Google : https://admin.google.com

  2. Cliquez sur Gestion des appareils.

    Image de la console d'administration Google

  3. Cliquez sur Gestion Chrome.

    Image de la console d'administration Google

  4. Cliquez sur Paramètres utilisateur.

    Image de la console d'administration Google

  5. Recherchez Gestion Chrome - Accès partenaire.

    Image de la console d'administration Google

  6. Cochez la case Activer la gestion Chrome - Accès partenaire.

  7. Acceptez que vous comprenez et souhaitez activer l’accès partenaire. Cliquez sur Enregistrer.

  8. Sur la page de gestion Chrome, cliquez sur Paramètres de l’appareil.

    Image de la console d'administration Google

  9. Recherchez Gestion Chrome - Accès partenaire.

    Image de la console d'administration Google

  10. Cochez la case Activer la gestion Chrome - Accès partenaire.

  11. Acceptez que vous comprenez et souhaitez activer l’accès partenaire. Cliquez sur Enregistrer.

  12. Accédez à la page Sécurité, puis cliquez sur Paramètres avancés.

    Image de la console d'administration Google

  13. Cliquez sur Gérer l’accès client API.

  14. Dans la console XenMobile, accédez à Paramètres > Configuration Google Chrome et copiez la valeur de l’ID client Google Workspace. Ensuite, revenez à la page Gérer l’accès client API et collez la valeur copiée dans le champ Nom du client.

  15. Dans Un ou plusieurs champs d’application API, ajoutez l’URL : https://www.googleapis.com/auth/chromedevicemanagementapi

    Image de la console d'administration Google

  16. Cliquez sur Autoriser.

    Le message « Vos paramètres ont été enregistrés » apparaît.

Image de l'écran de configuration des stratégies d'appareil

Inscription des appareils Android Enterprise

Si votre processus d’inscription d’appareil exige que les utilisateurs saisissent un nom d’utilisateur ou un ID utilisateur, le format accepté dépend de la façon dont le serveur XenMobile est configuré pour rechercher les utilisateurs par nom d’utilisateur principal (UPN) ou par nom de compte SAM.

Si le serveur XenMobile est configuré pour rechercher les utilisateurs par UPN, les utilisateurs doivent saisir un UPN au format :

  • nom_utilisateur@domaine

Si le serveur XenMobile est configuré pour rechercher les utilisateurs par SAM, les utilisateurs doivent saisir un SAM dans l’un de ces formats :

  • nom_utilisateur@domaine
  • domaine\nom_utilisateur

Pour déterminer le type de nom d’utilisateur pour lequel votre serveur XenMobile est configuré :

  1. Dans la console du serveur XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres apparaît.
  2. Cliquez sur LDAP pour afficher la configuration de la connexion LDAP.

  3. Vers le bas de la page, affichez le champ Recherche d’utilisateur par :

    • S’il est défini sur userPrincipalName, le serveur XenMobile est configuré pour l’UPN.
    • S’il est défini sur sAMAccountName, le serveur XenMobile est configuré pour SAM.

Désinscription d’une entreprise Android Enterprise

Vous pouvez désinscrire une entreprise Android Enterprise à l’aide de la console du serveur XenMobile et des outils XenMobile.

Lorsque vous effectuez cette tâche, le serveur XenMobile ouvre une fenêtre contextuelle pour les outils XenMobile. Avant de commencer, assurez-vous que le serveur XenMobile est autorisé à ouvrir des fenêtres contextuelles dans le navigateur que vous utilisez. Certains navigateurs, tels que Google Chrome, vous obligent à désactiver le blocage des fenêtres contextuelles et à ajouter l’adresse du site XenMobile à la liste d’autorisation des fenêtres contextuelles.

Avertissement :

Une fois qu’une entreprise est désinscrite, les applications Android Enterprise sur les appareils déjà inscrits via celle-ci sont réinitialisées à leur état par défaut. Les appareils ne seront plus gérés par Google. La réinscription de ces appareils dans une entreprise Android Enterprise peut ne pas restaurer les fonctionnalités précédentes sans configuration supplémentaire.

Une fois l’entreprise Android Enterprise désinscrite :

  • Les appareils et les utilisateurs inscrits via l’entreprise voient leurs applications Android Enterprise réinitialisées à leur état par défaut. Les stratégies d’autorisations d’application Android Enterprise et de restrictions d’application Android Enterprise précédemment appliquées n’ont plus d’effet.
  • Les appareils inscrits via l’entreprise sont gérés par XenMobile, mais ne sont pas gérés du point de vue de Google. Aucune nouvelle application Android Enterprise ne peut être ajoutée. Aucune stratégie d’autorisations d’application Android Enterprise ou de restrictions d’application Android Enterprise ne peut être appliquée. D’autres stratégies, telles que la planification, le mot de passe et les restrictions, peuvent toujours être appliquées à ces appareils.
  • Si vous tentez d’inscrire des appareils dans Android Enterprise, ils sont inscrits en tant qu’appareils Android, et non en tant qu’appareils Android Enterprise.

Pour désinscrire une entreprise Android Enterprise :

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres apparaît.

  2. Sur la page Paramètres, cliquez sur Android Enterprise.

  3. Cliquez sur Supprimer l’entreprise.

    Image de l'option Supprimer l'entreprise

  4. Spécifiez un mot de passe. Vous aurez besoin de ce mot de passe pour l’étape suivante afin de terminer la désinscription. Cliquez ensuite sur Désinscrire.

    Image de l'option Désinscrire

  5. Lorsque la page des outils XenMobile s’ouvre, saisissez le mot de passe que vous avez créé à l’étape précédente.

    Image du champ de mot de passe

  6. Cliquez sur Désinscrire.

    Image de l'option Désinscrire

Provisionnement des appareils entièrement gérés dans Android Enterprise

Seuls les appareils appartenant à l’entreprise peuvent être des appareils entièrement gérés pour Android Enterprise. Sur les appareils entièrement gérés, l’appareil entier, et pas seulement le profil professionnel, est contrôlé par l’entreprise ou l’organisation. Les appareils entièrement gérés sont également appelés appareils gérés par le travail.

XenMobile prend en charge ces méthodes d’inscription pour les appareils entièrement gérés :

  • afw#xenmobile : Avec cette méthode d’inscription, l’utilisateur saisit les caractères « afw#xenmobile » lors de la configuration de l’appareil. Ce jeton identifie l’appareil comme étant géré par XenMobile et télécharge Secure Hub.
  • Code QR : Le provisionnement par code QR est un moyen facile de provisionner un parc d’appareils distribués qui ne prennent pas en charge le NFC, tels que les tablettes. La méthode d’inscription par code QR peut être utilisée sur les appareils du parc qui ont été réinitialisés à leurs paramètres d’usine. La méthode d’inscription par code QR configure les appareils entièrement gérés en scannant un code QR à partir de l’assistant de configuration.
  • Contact NFC (Near Field Communication) : La méthode d’inscription par contact NFC peut être utilisée sur les appareils du parc qui ont été réinitialisés à leurs paramètres d’usine. Un contact NFC transfère des données entre deux appareils à l’aide de la communication en champ proche. Le Bluetooth, le Wi-Fi et d’autres modes de communication sont désactivés sur un appareil réinitialisé en usine. Le NFC est le seul protocole de communication que l’appareil peut utiliser dans cet état.

afw#xenmobile

La méthode d’inscription est utilisée après la mise sous tension d’un appareil neuf ou réinitialisé en usine pour la configuration initiale. Les utilisateurs saisissent « afw#xenmobile » lorsqu’ils sont invités à saisir un compte Google. Cette action télécharge et installe Secure Hub. Les utilisateurs suivent ensuite les invites de configuration de Secure Hub pour terminer l’inscription.

Cette méthode d’inscription est recommandée pour la plupart des clients car la dernière version de Secure Hub est téléchargée depuis le Google Play Store. Contrairement aux autres méthodes d’inscription, vous ne fournissez pas Secure Hub pour le téléchargement depuis le serveur XenMobile.

Prérequis :

  • Pris en charge sur tous les appareils Android exécutant Android 5.0 et versions ultérieures.

Code QR

Pour inscrire un appareil en mode appareil à l’aide d’un code QR, vous générez un code QR en créant un JSON et en convertissant le JSON en code QR. Les caméras des appareils scannent le code QR pour inscrire l’appareil.

Prérequis :

  • Pris en charge sur tous les appareils Android exécutant Android 7.0 et versions ultérieures.

Créer un code QR à partir d’un JSON

Créez un JSON avec les champs suivants.

Ces champs sont obligatoires :

Clé : android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Value: com.zenprise/com.zenprise.configuration.AdminFunction

Key: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Value: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Key: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Value: https://path/to/securehub.apk

Remarque :

Si Secure Hub est téléchargé sur le serveur Citrix XenMobile en tant qu’application d’entreprise, il peut être téléchargé à partir de https://<fqdn>:4443/*instanceName*/worxhome.apk. Le chemin d’accès au fichier APK de Secure Hub doit être accessible via la connexion Wi-Fi à laquelle l’appareil se connecte pendant le provisionnement.

Ces champs sont facultatifs :

  • android.app.extra.PROVISIONING_LOCALE : Saisissez les codes de langue et de pays.

    Les codes de langue sont des codes de langue ISO à deux lettres minuscules (tels que en) tels que définis par ISO 639-1. Les codes de pays sont des codes de pays ISO à deux lettres majuscules (tels que US) tels que définis par ISO 3166-1. Par exemple, saisissez en_US pour l’anglais tel que parlé aux États-Unis.

  • android.app.extra.PROVISIONING_TIME_ZONE : Le fuseau horaire dans lequel l’appareil fonctionne.

    Saisissez un nom Olson sous la forme zone/emplacement. Par exemple, America/Los_Angeles pour l’heure du Pacifique. Si vous n’en saisissez pas, le fuseau horaire est automatiquement renseigné.

  • android.app.extra.PROVISIONING_LOCAL_TIME : Heure en millisecondes depuis l’époque.

    L’époque Unix (ou heure Unix, heure POSIX ou horodatage Unix) est le nombre de secondes qui se sont écoulées depuis le 1er janvier 1970 (minuit UTC/GMT). L’heure n’inclut pas les secondes intercalaires (en ISO 8601 : 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION : Définissez sur true pour ignorer le chiffrement lors de la création du profil. Définissez sur false pour forcer le chiffrement lors de la création du profil.

Un JSON typique ressemble à ce qui suit :

Image d'un JSON typique

Validez le JSON créé à l’aide de n’importe quel outil de validation JSON, tel que https://jsonlint.com. Convertissez cette chaîne JSON en un code QR à l’aide de n’importe quel générateur de code QR en ligne, tel que https://goqr.me.

Ce code QR est scanné par un appareil réinitialisé aux paramètres d’usine pour inscrire l’appareil en mode appareil géré par le travail.

Pour inscrire l’appareil

Pour inscrire un appareil en tant qu’appareil entièrement géré, l’appareil doit être dans l’état de réinitialisation d’usine.

  1. Appuyez six fois sur l’écran d’accueil pour lancer le flux d’inscription par code QR.

  2. Lorsque vous y êtes invité, connectez-vous au Wi-Fi. L’emplacement de téléchargement de Secure Hub dans le code QR (encodé dans le JSON) est accessible via ce réseau Wi-Fi.

    Une fois que l’appareil se connecte avec succès au Wi-Fi, il télécharge un lecteur de code QR depuis Google et lance l’appareil photo.

  3. Pointez l’appareil photo vers le code QR pour scanner le code.

    Android télécharge Secure Hub depuis l’emplacement de téléchargement dans le code QR, valide la signature du certificat de signature, installe Secure Hub et le définit comme propriétaire de l’appareil.

Pour plus d’informations, consultez ce guide Google pour les développeurs Android EMM : https://developers.google.com/android/work/prov-devices#qr_code_method.

Coup de pouce NFC

Pour inscrire un appareil en tant qu’appareil entièrement géré à l’aide de coups de pouce NFC, deux appareils sont nécessaires : l’un réinitialisé aux paramètres d’usine et l’autre exécutant l’outil de provisionnement XenMobile.

Prérequis :

  • Pris en charge sur tous les appareils Android exécutant Android 5.0, Android 5.1, Android 6.0 et versions ultérieures.
  • Un serveur XenMobile version 10.4 activé pour Android Enterprise.
  • Un appareil neuf ou réinitialisé aux paramètres d’usine, provisionné pour Android Enterprise en tant qu’appareil entièrement géré. Vous trouverez les étapes pour satisfaire ce prérequis plus loin dans cet article.
  • Un autre appareil doté de la capacité NFC, exécutant l’outil de provisionnement configuré. L’outil de provisionnement est disponible dans Secure Hub 10.4 ou sur la page de téléchargements Citrix.

Chaque appareil ne peut avoir qu’un seul profil Android Enterprise, géré par une application de gestion de la mobilité d’entreprise (EMM). Dans XenMobile, Secure Hub est l’application EMM. Un seul profil est autorisé sur chaque appareil. Tenter d’ajouter une deuxième application EMM supprime la première application EMM.

Données transférées via le coup de pouce NFC

Le provisionnement d’un appareil réinitialisé aux paramètres d’usine nécessite l’envoi des données suivantes via un coup de pouce NFC pour initialiser Android Enterprise :

  • Nom du package de l’application du fournisseur EMM qui agit en tant que propriétaire de l’appareil (dans ce cas, Secure Hub).
  • Emplacement intranet/Internet à partir duquel l’appareil peut télécharger l’application du fournisseur EMM.
  • Hachage SHA1 de l’application du fournisseur EMM pour vérifier si le téléchargement a réussi.
  • Détails de la connexion Wi-Fi afin qu’un appareil réinitialisé aux paramètres d’usine puisse se connecter et télécharger l’application du fournisseur EMM. Remarque : Android ne prend désormais plus en charge le Wi-Fi 802.1x pour cette étape.
  • Fuseau horaire de l’appareil (facultatif).
  • Emplacement géographique de l’appareil (facultatif).

Lorsque les deux appareils sont mis en contact, les données de l’outil de provisionnement sont envoyées à l’appareil réinitialisé aux paramètres d’usine. Ces données sont ensuite utilisées pour télécharger Secure Hub avec les paramètres d’administrateur. Si vous ne saisissez pas de valeurs de fuseau horaire et d’emplacement, Android configure automatiquement les valeurs sur le nouvel appareil.

Configuration de l’outil de provisionnement XenMobile

Avant d’effectuer un coup de pouce NFC, vous devez configurer l’outil de provisionnement. Cette configuration est ensuite transférée à l’appareil réinitialisé aux paramètres d’usine pendant le coup de pouce NFC.

Image de la configuration de l'outil de provisionnement

Vous pouvez saisir des données dans les champs requis ou les renseigner via un fichier texte. Les étapes de la procédure suivante décrivent comment configurer le fichier texte et contiennent des descriptions pour chaque champ. L’application n’enregistre pas les informations après que vous les ayez saisies, vous pouvez donc créer un fichier texte pour conserver les informations pour une utilisation future.

Pour configurer l’outil de provisionnement à l’aide d’un fichier texte

Nommez le fichier nfcprovisioning.txt et placez-le dans le dossier /sdcard/ sur la carte SD de l’appareil. L’application peut alors lire le fichier texte et renseigner les valeurs.

Le fichier texte doit contenir les données suivantes :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Cette ligne est l’emplacement intranet/Internet de l’application du fournisseur EMM. Une fois que l’appareil réinitialisé aux paramètres d’usine se connecte au Wi-Fi après le coup de pouce NFC, l’appareil doit avoir accès à cet emplacement pour le téléchargement. L’URL est une URL normale, sans formatage spécial requis.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Cette ligne est la somme de contrôle de l’application du fournisseur EMM. Cette somme de contrôle est utilisée pour vérifier que le téléchargement a réussi. Les étapes pour obtenir la somme de contrôle sont abordées plus loin dans cet article.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Cette ligne est le SSID Wi-Fi connecté de l’appareil sur lequel l’outil de provisionnement est en cours d’exécution.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Les valeurs prises en charge sont WEP et WPA2. Si le Wi-Fi n’est pas protégé, ce champ doit être vide.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Si le Wi-Fi n’est pas protégé, ce champ doit être vide.

android.app.extra.PROVISIONING_LOCALE=<locale>

Saisissez les codes de langue et de pays. Les codes de langue sont des codes de langue ISO à deux lettres minuscules (tels que en) tels que définis par ISO 639-1. Les codes de pays sont des codes de pays ISO à deux lettres majuscules (tels que US) tels que définis par ISO 3166-1. Par exemple, saisissez en_US pour l’anglais tel que parlé aux États-Unis. Si vous ne saisissez aucun code, le pays et la langue sont automatiquement renseignés.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

Le fuseau horaire dans lequel l’appareil fonctionne. Saisissez un nom Olson sous la forme zone/emplacement. Par exemple, America/Los_Angeles pour l’heure du Pacifique. Si vous n’entrez pas de nom, le fuseau horaire est automatiquement renseigné.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Ces données ne sont pas requises, car la valeur est codée en dur dans l’application en tant que Secure Hub. Elles ne sont mentionnées ici que par souci d’exhaustivité.

S’il existe un Wi-Fi protégé par WPA2, un fichier nfcprovisioning.txt complété pourrait ressembler à ce qui suit :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

S’il existe un Wi-Fi non protégé, un fichier nfcprovisioning.txt complété pourrait ressembler à ce qui suit :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Pour obtenir la somme de contrôle de Secure Hub

Pour obtenir la somme de contrôle de n’importe quelle application, ajoutez l’application en tant qu’application d’entreprise.

  1. Dans la console XenMobile, accédez à Configurer > Applications, puis cliquez sur Ajouter.

    La fenêtre Ajouter des applications apparaît.

  2. Cliquez sur Entreprise.

    La page Informations sur l’application s’affiche.

    Image de la page Informations sur l'application

  3. Sélectionnez la configuration suivante, puis cliquez sur Suivant.

    La page Application d’entreprise Android Enterprise apparaît.

    Image de l'application Android Enterprise

  4. Indiquez le chemin d’accès au fichier .apk, puis cliquez sur Suivant pour télécharger le fichier.

    Une fois le téléchargement terminé, les détails du package téléchargé apparaissent.

    Image de la page de téléchargement de fichiers

  5. Cliquez sur Suivant pour ouvrir la page de téléchargement du fichier JSON, que vous utiliserez ensuite pour le télécharger sur Google Play. Pour Secure Hub, le téléchargement sur Google Play n’est pas requis, mais vous avez besoin du fichier JSON pour en lire la valeur SHA1.

    Image de la page de téléchargement du fichier JSON

    Un fichier JSON typique ressemble à ce qui suit :

    Image d'un fichier JSON typique

  6. Copiez la valeur file_sha1_base64 et utilisez-la dans le champ Hachage de l’outil de provisionnement.

    Remarque :

    Le hachage doit être compatible URL.

    • Convertissez tous les symboles + en -
    • Convertissez tous les symboles / en _
    • Remplacez le \u003d final par =

    Si vous stockez le hachage dans le fichier nfcprovisioning.txt sur la carte SD de l’appareil, l’application effectue la conversion de sécurité. Cependant, si vous choisissez de saisir le hachage manuellement, il est de votre responsabilité de vous assurer de sa compatibilité URL.

Bibliothèques utilisées

L’outil de provisionnement utilise les bibliothèques suivantes dans son code source :

Provisionner un appareil avec profil professionnel dans Android Enterprise

Sur les appareils avec profil professionnel dans Android Enterprise, vous séparez en toute sécurité les zones d’entreprise et personnelles sur un appareil. Par exemple, les appareils BYOD peuvent être des appareils avec profil professionnel. L’expérience d’inscription pour les appareils avec profil professionnel est similaire à l’inscription Android dans XenMobile. Les utilisateurs téléchargent Secure Hub depuis Google Play et inscrivent leurs appareils.

Par défaut, les paramètres de débogage USB et de sources inconnues sont désactivés sur un appareil lorsqu’il est inscrit dans Android Enterprise en tant qu’appareil avec profil professionnel.

Conseil :

Lors de l’inscription d’appareils dans Android Enterprise en tant qu’appareils avec profil professionnel, accédez toujours à Google Play. À partir de là, activez Secure Hub pour qu’il apparaisse dans le profil personnel de l’utilisateur.

Android Enterprise hérité pour les clients Google Workspace (anciennement G Suite)
April 16, 2026
Contributeur: 
C C
April 16, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.