Android SafetyNet

Puede usar la funcionalidad Android SafetyNet para evaluar la compatibilidad y la seguridad de los dispositivos Android que tienen Secure Hub instalado. Android SafetyNet no está disponible para implementaciones de MAM.

Cuando esta función está habilitada, la SafetyNet Attestation API examina la información sobre software y hardware en un dispositivo para crear un perfil de ese dispositivo. La API a continuación busca el mismo perfil dentro de una lista de modelos de dispositivo que hayan pasado la prueba de compatibilidad de Android. La API también usa esta información para determinar si Secure Hub ha sido modificado por una fuente desconocida.

Cuando la función Android SafetyNet está habilitada, Secure Hub envía la solicitud SafetyNet Attestation API a los servicios de Google Play y el resultado es devuelto a Endpoint Management. Endpoint Management luego actualiza la información del dispositivo con los resultados de la atestación. Puede configurar acciones automatizadas que utilicen los resultados de la atestación para desencadenar acciones en el dispositivo.

Para más información acerca de cómo funciona la SafetyNet Attestation API, consulte SafetyNet Attestation API en la guía de desarrolladores de Android de Google.

Calcule cuántas solicitudes de SafetyNet Attestation API necesita

Las solicitudes de SafetyNet Attestation API se envían:

  • Cuando un dispositivo se inscribe en Endpoint Management.

  • Cuando se produce una autenticación en línea de Secure Hub. La autenticación en línea se produce cuando una sesión del servidor caduca o cuando un usuario cierra sesión en el servidor y luego vuelve a iniciarla. Secure Hub solicita al usuario que proporcione credenciales para autenticarse en el servidor.

  • Cuando se reinicia un dispositivo.

  • En un intervalo de tiempo recurrente que usted configure, entre 24 y 1000 horas.

Si su implementación de Endpoint Management hará más de 10 000 solicitudes al día, rellene este formulario de solicitud de cuota.

Obtener la clave API de SafetyNet

Para habilitar Android SafetyNet en Endpoint Management, necesita la clave API de SafetyNet.

  1. Inicie sesión en la consola API de Google con las credenciales de su cuenta de administrador de Google.

  2. Vaya a la página Biblioteca.

  3. Busque “Android Device Verification API”. Imagen de la página de API de Google

  4. Haga clic en Android Device Verification API. Imagen de la página de API de Google

  5. Si la API no está ya habilitada, haga clic en Enable. Imagen de la página de API de Google

  6. Haga clic en Administrar.

  7. Haga clic en Create Credentials para generar una clave API. Imagen de la página de API de Google

  8. Seleccione Android Device Verification y haga clic en What credentials to I need. Luego haga clic en Done. Imagen de la página de API de Google

  9. En la página Credentials, haga clic en el icono de copiar que hay junto a la clave para copiar la clave. Imagen de la página de API de Google

  10. Guarde la clave para poder pegarla en la consola de Endpoint Management cuando habilite Android SafetyNet.

Habilitar Android SafetyNet

  1. En la consola de Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En la página Parámetros, haga clic en Android SafetyNet. Imagen de la página de parámetros con Android SafetyNet destacada

  3. Configure estos parámetros:

    • Clave API. Pegue la clave API de SafetyNet que obtuvo de la consola API de Google.

    • Programa de atestación en horas. Introduzca el intervalo en el que la SafetyNet Attestation API evalúa sus dispositivos Android, en horas. El valor mínimo es 24 horas. El valor máximo es 1000 horas. El valor por defecto es 24 horas. Imagen de la configuración de Android SafetyNet

  4. Haga clic en Guardar.

Ver resultados de Android SafetyNet

Para ver los resultados de la evaluación de SafetyNet Attestation API para un dispositivo:

  1. En la consola de Endpoint Management, haga clic en Administrar > Dispositivos.

  2. Seleccione dispositivos Android para ver los resultados de SafetyNet Attestation API. Luego haga clic en Mostrar más.

  3. En la página Device details, seleccione Properties.

  4. Los resultados aparecen en la sección Security. Imagen de la página Device Details con Android SafetyNet destacada

La SafetyNet Attestation API devuelve estos estados para cada dispositivo:

  • SafetyNet CTS profile match: Si este valor está en True, el dispositivo tiene un perfil que coincide con el que ha pasado la prueba Android Compatibility Test Suite (CTS). Si este valor está en False, el dispositivo no tiene un perfil que coincide con el que ha pasado la prueba Android CTS.

  • SafetyNet basic integrity: Si este valor está en True, la SafetyNet Attestation API no encontró pruebas de que Secure Hub en el dispositivo haya sido modificado por una fuente desconocida. Si este valor está en False, Secure Hub en el dispositivo ha sido modificado por una fuente desconocida.

  • SafetyNet last known status: Este valor muestra el último estado SafetyNet conocido del dispositivo:

    • Success: La SafetyNet Attestation API no encontró pruebas de que Secure Hub en el dispositivo haya sido modificado por una fuente desconocida.

    • LOCK_BOOTLOADER: El usuario debe bloquear el gestor de arranque del dispositivo. Secure Hub en el dispositivo ha sido modificado por una fuente desconocida.

    • RESTORE_TO_FACTORY_ROM: El usuario debe restaurar el dispositivo con una memoria ROM de fábrica vacía. Secure Hub en el dispositivo ha sido modificado por una fuente desconocida.