Citrix Endpoint Management

Android Enterprise heredado para clientes de Google Workspace (anteriormente G Suite)

Los clientes de Google Workspace deben usar los parámetros de Android Enterprise heredado para configurar Android Enterprise heredado. Google ha cambiado recientemente el nombre de G Suite a Google Workspace.

Si su organización ya utiliza Google Workspace para proporcionar a los usuarios acceso a las aplicaciones de Google, puede utilizar Google Workspace para registrar Citrix como EMM. Si su organización utiliza Google Workspace, entonces tiene un ID de empresa existente y cuentas de Google existentes para los usuarios. Para utilizar Citrix Endpoint Management con Google Workspace, sincronice con su directorio LDAP y recupere la información de la cuenta de Google procedente de Google mediante la API de Google Directory. Dado que este tipo de empresa está vinculado a un dominio existente, cada dominio solo puede crear una empresa. Para inscribir un dispositivo en Citrix Endpoint Management, cada usuario debe iniciar sesión manualmente con su cuenta de Google existente. La cuenta les da acceso a Google Play administrado además de cualquier otro servicio de Google proporcionado por su plan de Google Workspace.

Requisitos para Android Enterprise heredado:

  • Un dominio accesible públicamente
  • Una cuenta de administrador de Google
  • Dispositivos Android que admiten el perfil administrado
  • Una cuenta de Google que tenga Google Play instalado
  • Un perfil de Work instalado en el dispositivo

Para empezar a configurar Android Enterprise heredado, haga clic en Legacy Android Enterprise en la página Android Enterprise en los parámetros de Citrix Endpoint Management.

Opción Android Enterprise heredado

Crear una cuenta de Android Enterprise

Para poder configurar una cuenta de Android Enterprise, antes debe verificar el nombre de dominio en Google.

Si ya ha verificado el nombre de su dominio en Google, puede pasar a Configurar una cuenta de servicio de Android Enterprise y descargar un certificado de Android Enterprise.

  1. Vaya a https://gsuite.google.com/signup/basic/welcome.

    Aparece la siguiente página, donde puede introducir información sobre el administrador y la empresa.

    Página de configuración de la cuenta

  2. Introduzca la información del usuario administrador.

    Información de usuario administrador

  3. Escriba la información de la empresa, además de la información de su cuenta de administrador.

    Pantalla de información de la empresa

    Una vez completado el primer paso, verá la página siguiente.

    Página de verificación

Verificación de la propiedad del dominio

Permita a Google verificar el dominio de alguna de las siguientes maneras:

  • Agregue un registro TXT o CNAME al sitio web de su host de dominio.
  • Cargue un archivo HTML en el servidor web del dominio.
  • Agregue una etiqueta <meta> a la página de inicio. Google recomienda el primer método. Los pasos para comprobar que usted es el propietario del dominio no se describen en este artículo, pero puede encontrar esta información aquí: https://support.google.com/a/answer/6248925.
  1. Haga clic en Comenzar para iniciar la verificación de su dominio.

    Verá la página Verificar propiedad de dominio. Siga las instrucciones de esta página para verificar su dominio.

  2. Haga clic en Verificar.

    Botón Verificar

    Confirmación de verificación

  3. Google verifica que usted posee el dominio.

    Verificación de propiedad del dominio

  4. Aparecerá la siguiente página tras una verificación correcta. Haga clic en Continuar.

    Página de confirmación correcta

  5. Google crea un token de vinculación de EMM que usted debe suministrar a Citrix y usarlo para configurar los parámetros de Android Enterprise. Copie y guarde el token, porque lo necesitará más adelante durante el procedimiento de configuración.

    Token de enlace

  6. Haga clic en Finalizar para completar la configuración de Android Enterprise. Aparecerá una página que indicará que el dominio se ha verificado correctamente.

Después de crear una cuenta de servicio de Android Enterprise, puede iniciar sesión en la consola de administración de Google para administrar sus opciones de movilidad.

Configuración de una cuenta de servicio de Android Enterprise y descarga de un certificado de Android Enterprise

Para permitir que Citrix Endpoint Management establezca contacto con los servicios de Google Play y Google Directorio, debe crear una cuenta de servicio en el portal de proyectos de Google para desarrolladores. Esta cuenta de servicio se utiliza para la comunicación de servidor a servidor entre Citrix Endpoint Management y los servicios de Google para Android. Para obtener más información sobre el protocolo de autenticación que se está utilizando, vaya a https://developers.google.com/identity/protocols/OAuth2ServiceAccount.

  1. En un explorador web, vaya a https://console.cloud.google.com/project e inicie sesión con las credenciales de administrador de Google.

  2. En la lista Projects, haga clic en Create Project.

    Opción de creación de un proyecto

  3. En Project name, introduzca un nombre para el proyecto.

    Opción de nombre del proyecto

  4. En el panel de mandos, haga clic en Use Google APIs.

    Opción para usar las API de Google

  5. Haga clic en Library y, en Search, escriba EMM. A continuación, haga clic en el resultado de la búsqueda.

    Opción de búsqueda de EMM

  6. En la página Overview, haga clic en Enable.

    Opción para habilitar

  7. Junto a Google Play EMM API, haga clic en Go to Credentials.

    Opción para ir a las credenciales

  8. En la lista Add credentials to our project, en el paso 1, haga clic en service account.

    Opción de cuenta de servicio

  9. En la página Service Accounts, haga clic en Create Service Account.

    Opción para crear una cuenta de servicio

  10. En Create service account, establezca un nombre para la cuenta y marque la casilla Furnish a new private key. Haga clic en P12, marque la casilla Enable Google Apps Domain-wide Delegation y haga clic en Create.

    Opciones que incluye la creación de cuenta de servicio

    El archivo de certificado (P12) se descargará en su equipo. Guarde el certificado en una ubicación segura.

  11. En la pantalla de confirmación Service account created, haga clic en Close.

    Página de confirmación

  12. En Permissions, haga clic en Service accounts y, en Options para su cuenta de servicio, haga clic en View Client ID.

    Opción para ver el ID de cliente

  13. Aparecerán los datos requeridos para la autorización de cuentas en la consola de administración de Google. Copie el ID del cliente y el ID de la cuenta de servicio a una ubicación donde pueda recuperar la información más adelante. Necesita esta información, junto con el nombre de dominio, para enviarla a Citrix para su inclusión en una lista de permitidos.

    Detalles de autorización de la cuenta

  14. En la página Library, busque Admin SDK y haga clic en el resultado de búsqueda.

    Búsqueda de Admin SDK

  15. En la página Overview, haga clic en Enable.

    Botón para habilitar

  16. Abra la consola de administración de Google para su dominio y haga clic en Seguridad.

    Opción Seguridad

  17. En la página Ajustes, haga clic en Mostrar más y en Configuración avanzada.

    Parámetros avanzados

    Parámetros avanzados

  18. Haga clic en Administrar el acceso de cliente API.

    Opción para administrar el acceso de cliente de API

  19. En Nombre de cliente, introduzca el ID de cliente que guardó previamente, en Uno o más ámbitos API, introduzca https://www.googleapis.com/auth/admin.directory.user y haga clic en Autorizar.

    Opciones de nombre del cliente

Vincular a EMM

Para poder utilizar Citrix Endpoint Management para administrar los dispositivos Android, debe ponerse en contacto con el servicio de asistencia técnica de Citrix y proporcionarles su nombre de dominio, cuenta de servicio y token de vinculación. Citrix enlaza el token con Citrix Endpoint Management como su proveedor de administración de movilidad empresarial (EMM). Para obtener la información de contacto de la asistencia técnica de Citrix, consulte Asistencia técnica de Citrix.

  1. Para confirmar la vinculación, inicie sesión en el portal de administración de Google y haga clic en Seguridad.

  2. Haga clic en Administrar proveedor de EMM de Android.

    Verá que su cuenta de Google Android Enterprise aparece vinculada a Citrix como su proveedor EMM.

    Después de confirmar la vinculación con el token, ya puede empezar a usar la consola de Citrix Endpoint Management para administrar sus dispositivos Android. Importe el certificado P12 generado en el paso 14. Configure los parámetros del servidor de Android Enterprise, habilite el inicio de sesión Single Sign-On basado en SAML y defina al menos una directiva de dispositivo para Android Enterprise.

    Opciones de Administrar proveedor de EMM de Android

Importar el certificado P12

Siga estos pasos para importar el certificado P12 de Android Enterprise:

  1. En la consola de Citrix Endpoint Management, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. A continuación, abra la página Parámetros y haga clic en Certificados. Aparecerá la página Certificados.

    Página Certificados

  2. Haga clic en Importar. Aparecerá el cuadro de diálogo Importar.

    Cuadro de diálogo Importar

    Configure los siguientes parámetros:

    • Importar: Seleccione Almacén de claves en la lista.
    • Tipo de almacén de claves: Seleccione PKCS#12 en la lista.
    • Usar como: Seleccione Servidor en la lista.
    • Archivo de almacén de claves: Haga clic en Examinar y vaya al certificado P12.
    • Contraseña: Escriba la contraseña del certificado. Esta es la contraseña de clave privada que creó al configurar su cuenta de Android Enterprise.
    • Descripción: Escriba una descripción opcional del certificado.
  3. Haga clic en Importar.

Configurar los parámetros de servidor de Android Enterprise

  1. En la consola de Citrix Endpoint Management, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. En Plataformas, haga clic en Android Enterprise. Aparecerá la página Android Enterprise.

    Página de Android Enterprise

    Configure estos parámetros y haga clic en Guardar.

    • Nombre de dominio: Introduzca el nombre del dominio de Android Enterprise. Por ejemplo: dominio.com
    • Cuenta de administrador de dominio: Introduzca el nombre de usuario del administrador del dominio; por ejemplo, la cuenta de correo electrónico utilizada en el portal Google Developer Portal.
    • ID de cuenta de servicio: Introduzca el ID de la cuenta de servicio. Por ejemplo, el correo electrónico asociado a la cuenta de servicio de Google (serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com).
    • ID de cliente: Escriba el ID numérico del cliente correspondiente a su cuenta de servicio de Google.
    • Habilitar Android Enterprise: Seleccione para habilitar o inhabilitar Android Enterprise.

Habilitar Single Sign-On basado en SAML

  1. En la consola de Citrix Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. Haga clic en Certificados. Aparecerá la página Certificados.

    Página Certificados

  3. En la lista de certificados, haga clic en el certificado SAML.

  4. Haga clic en Exportar y guarde el certificado en su equipo.

  5. Inicie sesión en el portal de Google Admin con las credenciales de administrador de Android Enterprise. Para acceder al portal, consulte portal Google Admin.

  6. Haga clic en Seguridad.

    Opción Seguridad

  7. En Seguridad, haga clic en Configurar inicio de sesión único (SSO) y configure los parámetros siguientes:

    Configuración de SSO

    • URL de la página de inicio de sesión: Introduzca la URL para que los usuarios inicien sesiones en el sistema y Google Apps. Por ejemplo: https://<Xenmobile-FQDN>/aw/saml/signin.
    • URL de la página de cierre de sesión: Introduzca la URL a la que se redirige a los usuarios cuando cierran la sesión. Por ejemplo: https://<Xenmobile-FQDN>/aw/saml/signout.
    • Cambiar URL de contraseña: Introduzca la URL para permitir que los usuarios cambien su contraseña en el sistema. Por ejemplo: https://<Xenmobile-FQDN>/aw/saml/changepassword. Si se define este campo, los usuarios verán esta solicitud incluso cuando SSO no esté disponible.
    • Certificado de verificación: Haga clic en ELEGIR ARCHIVO y busque el certificado SAML exportado desde Citrix Endpoint Management.
  8. Haga clic en Guardar cambios.

Configurar una directiva de dispositivo para Android Enterprise

Configure una directiva de códigos de acceso para requerir que los usuarios definan un código de acceso en sus dispositivos la primera vez que los inscriban.

Página de la directiva de código de acceso

Estos son los pasos básicos para configurar una directiva de dispositivo:

  1. En la consola de Citrix Endpoint Management, haga clic en Configurar > Directivas de dispositivo.

  2. Haga clic en Agregar y seleccione la directiva que quiere agregar en el cuadro de diálogo Agregar nueva directiva. Para este ejemplo, haga clic en Código de acceso.

  3. Complete la página Información de directiva.

  4. Haga clic en Android Enterprise y defina las configuraciones de la directiva.

  5. Asigne la directiva a un grupo de entrega.

Configurar parámetros de cuenta para Android Enterprise

En Citrix Endpoint Management, antes de empezar a administrar aplicaciones y directivas Android en los dispositivos, debe configurar la información de la cuenta y del dominio de Android Enterprise. Primero, debe completar las tareas de configuración de Android Enterprise en Google para definir un administrador de dominio y obtener un ID de cuenta de servicio, así como un token de vinculación.

  1. En la consola web de Citrix Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En Plataformas, haga clic en Android Enterprise. Aparecerá la página de configuración Android Enterprise.

Página de configuración de Android Enterprise

  1. En la página Android Enterprise, configure los siguientes parámetros:

    • Nombre de dominio: Introduzca el nombre de dominio.
    • Cuenta de administrador de dominio: Escriba el nombre de usuario del administrador de dominio.
    • ID de cuenta de servicio: Escriba el ID de la cuenta de servicio de Google.
    • ID de cliente: Escriba el ID del cliente correspondiente a su cuenta de servicio de Google.
    • Habilitar Android Enterprise: Seleccione si habilitar o no Android Enterprise.
  2. Haga clic en Guardar.

Configurar el acceso de socio de Google Workspace para Citrix Endpoint Management

Algunas funciones de Citrix Endpoint Management que ofrece Chrome usan las API de socios de Google para la comunicación entre Citrix Endpoint Management y el dominio de Google Workspace. Por ejemplo, Citrix Endpoint Management requiere las API para las directivas de dispositivo que administran las funciones de Chrome (como el modo incógnito y el modo invitado).

Para habilitar las API de socios, configure su dominio de Google Workspace en la consola de Citrix Endpoint Management y, a continuación, configure su cuenta de Google Workspace.

Configurar el dominio de Google Workspace en Citrix Endpoint Management

Para permitir que Citrix Endpoint Management se comunique con las API en su dominio de Google Workspace, vaya a Parámetros > Configuración de Google Chrome y defina estos parámetros.

  • Dominio de Google Workspace: El dominio de Google Workspace que aloja las API que necesita Citrix Endpoint Management.
  • Cuenta de administrador de Google Workspace: La cuenta de administrador del dominio de Google Workspace.
  • ID de cliente de Google Workspace: El ID de cliente para Citrix. Utilice este valor para configurar el acceso de socio para su dominio de Google Workspace.
  • ID de empresa de Google Workspace: El ID de empresa de la cuenta, rellenado desde su cuenta empresarial de Google.

Habilitar el acceso de socios para dispositivos y usuarios en su dominio de Google Workspace

  1. Inicie sesión en la Consola de administración de Google: https://admin.google.com.

  2. Haga clic en Administración de dispositivos.

    Consola de administrador de Google

  3. Haga clic en Administración de Chrome.

    Consola de administrador de Google

  4. Haga clic en Configuración de usuario.

    Consola de administrador de Google

  5. Busque Administración de Chrome ‑ Acceso de partners.

    Consola de administrador de Google

  6. Marque la casilla Habilitar Administración de Chrome - Acceso de partners.

  7. Acepte el indicador de que comprende y quiere habilitar el acceso de socios. Haga clic en Guardar.

  8. En la página de administración de Chrome, haga clic en Configuración del dispositivo.

    Consola de administrador de Google

  9. Busque Administración de Chrome ‑ Acceso de partners.

    Consola de administrador de Google

  10. Marque la casilla Habilitar Administración de Chrome - Acceso de partners.

  11. Acepte el indicador de que comprende y quiere habilitar el acceso de socios. Haga clic en Guardar.

  12. Vaya a la página Seguridad y haga clic en Configuración avanzada.

    Consola de administrador de Google

  13. Haga clic en Administrar el acceso de cliente API.

  14. En la consola de Citrix Endpoint Management, vaya a Parámetros > Configuración de Google Chrome y copie el valor de ID de cliente de G Suite. A continuación, vuelva a la página Administrar el acceso de cliente API y pegue el valor copiado en el campo Nombre de cliente.

  15. En Uno o más ámbitos API, agregue la URL: https://www.googleapis.com/auth/chromedevicemanagementapi

    Consola de administrador de Google

  16. Haga clic en Autorizar.

    Aparece el mensaje de configuración guardada.

Inscribir dispositivos Android Enterprise

Si el proceso de inscripción de dispositivos requiere que los usuarios introduzcan un ID o un nombre de usuario, el formato aceptado depende de cómo esté configurado el servidor de Citrix Endpoint Management para buscar usuarios (por nombre principal de usuario [UPN] o por nombre de cuenta SAM).

Si el servidor de Citrix Endpoint Management está configurado para buscar usuarios por nombre UPN, los usuarios deben introducir un nombre UPN en el formato:

  • nombre de usuario@dominio

Si el servidor de Citrix Endpoint Management está configurado para buscar usuarios por SAM, los usuarios deben introducir un SAM en uno de estos formatos:

  • nombre de usuario@dominio
  • dominio\nombre de usuario

Para determinar para qué tipo de nombre de usuario está configurado su servidor de Citrix Endpoint Management:

  1. En la consola del servidor de Citrix Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.
  2. Haga clic en LDAP para ver la configuración de la conexión LDAP.
  3. En la parte inferior de la página, verá el campo Buscar usuarios por:

    • Si está establecido en userPrincipalName, el servidor de Citrix Endpoint Management está configurado para buscar usuarios por nombre UPN.
    • Si está establecido en sAMAccountName, el servidor de Citrix Endpoint Management está configurado para buscar usuarios por cuenta SAM.

Desinscribir una empresa de Android Enterprise

Puede desinscribir una empresa de Android Enterprise mediante la consola del servidor de Citrix Endpoint Management y las herramientas de Citrix Endpoint Management Tools.

Cuando realiza esta tarea, el servidor de Citrix Endpoint Management abre una ventana emergente para Citrix Endpoint Management Tools. Antes de comenzar, asegúrese de que el servidor de Citrix Endpoint Management tenga permiso para abrir ventanas emergentes en el explorador web que esté mediante. Algunos exploradores web, como Google Chrome, requieren que se inhabilite el bloqueo de ventanas emergentes y se agregue la dirección del sitio de Citrix Endpoint Management a la lista de permitidos del bloqueo de ventanas emergentes.

Advertencia:

Una vez que se haya desinscrito una empresa, las aplicaciones Android Enterprise en dispositivos ya inscritos a través de ella se restablecen a sus estados predeterminados. Google ya no administrará los dispositivos. Volver a inscribirlos en una empresa de Android Enterprise podría requerir una configuración adicional para restaurar la funcionalidad anterior.

Después de que la empresa Android Enterprise se ha desinscrito:

  • En los dispositivos y los usuarios inscritos a través de la empresa, las aplicaciones de Android Enterprise se restablecen a sus estados predeterminados. Las directivas Permisos de aplicación y Configuraciones administradas que se hayan aplicado previamente ya no tienen efecto.
  • Citrix Endpoint Management administra los dispositivos inscritos a través de la empresa, pero se consideran no administrados desde el punto de vista de Google. No se pueden agregar nuevas aplicaciones Android Enterprise. No se pueden aplicar las directivas Permisos de aplicación ni Configuraciones administradas. Sin embargo, aún se pueden aplicar otras directivas, tales como Programación, Contraseña y Restricciones, a estos dispositivos.
  • Si intenta inscribir dispositivos en Android Enterprise, se inscriben como dispositivos Android, no como dispositivos Android Enterprise.

Para desinscribir una empresa de Android Enterprise

  1. En la consola de Citrix Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En la página Parámetros, haga clic en Android Enterprise.

  3. Haga clic en Quitar empresa.

    Opción Quitar empresa

  4. Especifique una contraseña. La necesitará en el próximo paso para completar la desinscripción. Haga clic en Desinscribir.

    Opción Desinscribir

  5. Cuando se abra la página de Citrix Endpoint Management Tools, introduzca la contraseña que creó en el paso anterior.

    Campo de contraseña

  6. Haga clic en Desinscribir.

    Opción Desinscribir

Aprovisionar dispositivos totalmente administrados en Android Enterprise

Solo los dispositivos propiedad de la empresa pueden ser dispositivos totalmente administrados en Android Enterprise. En dispositivos totalmente administrados, la empresa u organización controla todo el dispositivo, no solo el perfil de trabajo. Los dispositivos totalmente administrados también se conocen como dispositivos administrados de trabajo.

Citrix Endpoint Management admite estos métodos de inscripción para los dispositivos totalmente administrados:

  • afw#xenmobile: Con este método de inscripción, el usuario escribe los caracteres afw#xenmobile al configurar el dispositivo. Este token identifica el dispositivo como administrado por Citrix Endpoint Management y descarga Citrix Secure Hub.
  • Código QR: El aprovisionamiento de códigos QR es una forma fácil de aprovisionar una flota distribuida de dispositivos que no admiten NFC, como las tabletas. Puede usar el método de inscripción por código QR en flotas de dispositivos que se han restablecido a sus valores de fábrica. El método de inscripción por código QR instala y configura dispositivos totalmente administrados mediante el escaneo de un código QR desde el asistente de configuración.
  • Conexión Near Field Communication (NFC): Puede usar el método de inscripción por conexión NFC en flotas de dispositivos que se han restablecido a sus valores de fábrica. Una conexión NFC transfiere datos entre dos dispositivos por transmisión de datos en proximidad. Bluetooth, Wi-Fi y otros modos de comunicación están inhabilitados en un dispositivo que ha sido restablecido a sus valores de fábrica. NFC es el único protocolo de comunicación que el dispositivo puede utilizar en ese estado.

afw#xenmobile

El método de inscripción se usa después de encender un dispositivo nuevo o restablecido a los valores de fábrica para la configuración inicial. Los usuarios escriben afw#xenmobile cuando se les pide que introduzcan una cuenta de Google. Esta acción descarga e instala Citrix Secure Hub. Los usuarios siguen las indicaciones de configuración de Citrix Secure Hub para completar la inscripción.

Se recomienda este método de inscripción para la mayoría de los clientes porque la versión más reciente de Citrix Secure Hub se descarga desde Google Play Store. A diferencia de otros métodos de inscripción, no es necesario proporcionar Citrix Secure Hub para descargarlo desde el servidor de Citrix Endpoint Management.

Requisitos previos:

  • Compatible con todos los dispositivos Android que ejecutan el sistema operativo Android.

Código QR

Para inscribir un dispositivo en el modo de dispositivo mediante un código QR, debe generar un código QR. Para ello, cree un JSON y conviértalo en un código QR. La cámara del dispositivo escanea el código QR para inscribir el dispositivo.

Requisitos previos:

  • Se admite en todos los dispositivos con Android 7.0 y versiones posteriores.

Crear un código QR a partir de un JSON

Cree un JSON con los siguientes campos.

Estos campos son obligatorios:

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valor: com.zenprise/com.zenprise.configuration.AdminFunction

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valor: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valor: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

Estos campos son opcionales:

  • android.app.extra.PROVISIONING_LOCALE: Indique los códigos de idioma y país.

    Los códigos de idioma son códigos de idioma ISO de dos letras minúsculas (por ejemplo, “es” para español), según se definen en ISO 639-1. Los códigos de país son códigos de país de dos letras mayúsculas (por ejemplo, “ES” para España), según se definen en ISO 3166-1. Por ejemplo, introduzca es_ES para el español hablado en España.

  • android.app.extra.PROVISIONING_TIME_ZONE: La zona horaria en que se ejecuta el dispositivo.

    Escriba el nombre de la base de datos del área o ubicación. Por ejemplo, America/Los_Angeles para la zona horaria del Pacífico en Estados Unidos. Si no introduce ningún nombre, la zona horaria se rellena automáticamente.

  • android.app.extra.PROVISIONING_LOCAL_TIME: Tiempo en milisegundos desde epoch.

    El epoch de Unix (o la hora de Unix, la hora de POSIX o la marca de hora de Unix) es la cantidad de segundos que hayan transcurridos desde el 1 de enero de 1970 (medianoche UTC/GMT). En este tiempo no se cuentan los segundos intercalares (en ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: Establézcalo en true para omitir el cifrado durante la creación del perfil. Establezca esta opción en false para forzar el cifrado durante la creación del perfil.

Un archivo JSON típico es similar al siguiente:

JSON típico

Valide el archivo JSON que se cree mediante una herramienta de validación JSON, como https://jsonlint.com. Convierta esa cadena JSON en un código QR con cualquier generador de códigos QR en línea.

Este código QR se escanea con un dispositivo restablecido a los valores de fábrica para inscribirlo como dispositivo totalmente administrado.

Para inscribir el dispositivo

Para inscribir un dispositivo como un dispositivo totalmente administrado, el dispositivo debe haberse restablecido a los valores de fábrica.

  1. Toque seis veces en la pantalla de bienvenida para iniciar la inscripción por código QR.
  2. Cuando se le solicite, conéctese a la Wi-Fi. Se puede acceder a la ubicación de descarga que tenga establecido Citrix Secure Hub en el código QR (codificado en JSON) a través de esta red Wi-Fi.

    Una vez que el dispositivo se haya conectado a la red Wi-Fi, descarga un lector de códigos QR desde Google e inicia la cámara.

  3. Apunte la cámara al código QR para escanear el código.

    Android descarga Citrix Secure Hub desde la ubicación de descarga establecida en el código QR, valida la firma del certificado de firma, instala Citrix Secure Hub y establece el modo de propietario del dispositivo.

Para obtener más información sobre el aprovisionamiento de dispositivos mediante el método de código QR, consulte la documentación de API de Google para desarrolladores de Android EMM.

Conexión NFC

Para inscribir un dispositivo como dispositivo totalmente administrado mediante conexiones NFC, se necesitan dos dispositivos: uno que se haya restablecido a sus valores de fábrica y otro con la herramienta Citrix Endpoint Management Provisioning Tool.

Requisitos previos:

  • Dispositivos Android compatibles
  • Citrix Endpoint Management habilitado para Android Enterprise
  • Un dispositivo nuevo o restablecido a los valores de fábrica, aprovisionado para Android Enterprise como un dispositivo totalmente administrado. Dispone de los pasos necesarios para completar este requisito previo más adelante en este artículo.
  • Otro dispositivo con capacidades de comunicación NFC, que ejecuta la herramienta Provisioning Tool configurada. La herramienta Provisioning Tool está disponible en Citrix Secure Hub o en la página de descargas de Citrix.

Cada dispositivo puede tener un solo perfil de Android Enterprise, administrado por una aplicación para la administración de movilidad empresarial (EMM). En Citrix Endpoint Management, Citrix Secure Hub es la aplicación EMM. Solo se permite un perfil por dispositivo. Si intenta agregar una segunda aplicación EMM, se eliminará la primera.

Datos transferidos a través de la conexión NFC

Para aprovisionar un dispositivo restablecido a sus valores de fábrica, debe enviar los siguientes datos vía una conexión NFC para inicializar Android Enterprise:

  • Nombre del paquete de la aplicación de proveedor EMM que actuará como propietario del dispositivo (en este caso, Citrix Secure Hub).
  • Ubicación de intranet o Internet desde donde el dispositivo puede descargar la aplicación de proveedor EMM.
  • Valor hash SHA-256 de la aplicación de proveedor EMM para verificar si la descarga fue correcta.
  • Datos de la conexión Wi-Fi para que un dispositivo restablecido a sus valores de fábrica pueda conectarse y descargar la aplicación de proveedor EMM. Nota: Android no admite 802.1x Wi-Fi para este paso.
  • Zona horaria del dispositivo (opcional).
  • Ubicación geográfica del dispositivo (opcional).

Cuando los dos dispositivos se conectan por NFC, los datos de la herramienta Provisioning Tool se envían al dispositivo restablecido a los valores de fábrica. Esos datos se utilizan para descargar Citrix Secure Hub con los parámetros del administrador. Si no introduce valores para la zona horaria y la ubicación geográfica, Android los configurará automáticamente en el nuevo dispositivo.

Configuración de la herramienta Citrix Endpoint Management Provisioning Tool

Antes de una conexión NFC, es necesario configurar la herramienta Provisioning Tool. Esta configuración se transfiere, a continuación, al dispositivo restablecido a los valores de fábrica durante la conexión NFC.

Configuración de Provisioning Tool

Puede introducir los datos en los campos requeridos o rellenar los campos mediante un archivo de texto. En los pasos del siguiente procedimiento, se describe cómo configurar un archivo de texto que contenga descripciones para cada campo. La aplicación no guarda información una vez introducida esta, por lo que puede ser conveniente crear un archivo de texto para conservar esa información para el futuro.

Para configurar Provisioning Tool mediante un archivo de texto

Nombre el archivo nfcprovisioning.txt y colóquelo en la tarjeta SD del dispositivo (en la carpeta /sdcard/). La aplicación leerá el archivo de texto y rellenará los valores.

El archivo de texto debe contener los datos siguientes:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Esta línea es la ubicación de intranet o Internet de la aplicación de proveedor EMM. Una vez que el dispositivo restablecido a los valores de fábrica se haya conectado a una red Wi-Fi por conexión NFC, el dispositivo debe tener acceso a esta ubicación para la descarga. La URL es una dirección URL normal, sin formato especial.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA-256 hash>

Esta línea es la suma de comprobación de la aplicación de proveedor EMM. Esta suma de comprobación se utiliza para verificar que la descarga se ha realizado correctamente. Los pasos para obtener la suma de comprobación se describen más adelante en este artículo.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Esta línea es el SSID del dispositivo conectado por Wi-Fi donde se está ejecutando la herramienta Provisioning Tool.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Los valores admitidos son WEP y WPA2. Si la red Wi-Fi no está protegida, este campo debe estar vacío.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Si la red Wi-Fi no está protegida, este campo debe estar vacío.

android.app.extra.PROVISIONING_LOCALE=<locale>

Introduzca códigos de idioma y país. Los códigos de idioma son códigos de idioma ISO de dos letras minúsculas (por ejemplo, “es” para español), según se definen en ISO 639-1. Los códigos de país son códigos de país de dos letras mayúsculas (por ejemplo, “ES” para España), según se definen en ISO 3166-1. Por ejemplo, introduzca es_ES para el español hablado en España. Si no introduce ningún código, el país y el idioma se rellenan automáticamente.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

La zona horaria en que se ejecuta el dispositivo. Escriba el nombre de la base de datos del área o ubicación. Por ejemplo, America/Los_Angeles para la zona horaria del Pacífico en Estados Unidos. Si no introduce ningún nombre, la zona horaria se rellena automáticamente.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Este dato no es necesario, porque el valor está codificado en la aplicación como “Citrix Secure Hub”. Se menciona aquí a título meramente informativo.

Si existe una red Wi-Fi protegida con WPA2, un archivo nfcprovisioning.txt completado puede tener el siguiente aspecto:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Si existe una red Wi-Fi no protegida, un archivo nfcprovisioning.txt completado puede tener el siguiente aspecto:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Para obtener la suma de comprobación de Citrix Secure Hub

La suma de comprobación de Citrix Secure Hub es un valor constante: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM. Para descargar un archivo APK destinado para Citrix Secure Hub, utilice el siguiente enlace de Google Play Store: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile.

Para obtener la suma de comprobación de una aplicación

Requisitos previos:

  • La herramienta apksigner del componente Android SDK Build-Tools
  • Línea de comandos de OpenSSL

Para obtener la suma de comprobación de una aplicación, siga estos pasos:

  1. Descargue el archivo APK de la aplicación desde Google Play.
  2. En la línea de comandos de OpenSSL, vaya a la herramienta apksigner: android-sdk/build-tools/<version>/apksigner y escriba lo siguiente:

    apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
    <!--NeedCopy-->
    

    El comando devuelve una suma de comprobación válida.

  3. Para generar el código QR, introduzca la suma de comprobación en el campo PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM. Por ejemplo:
{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}
<!--NeedCopy-->

Bibliotecas utilizadas

La herramienta Provisioning Tool utiliza las bibliotecas siguientes en su código fuente:

Aprovisionar dispositivos de perfil de trabajo en Android Enterprise

En los dispositivos de perfil de trabajo de Android Enterprise, las áreas corporativas y personales de un dispositivo se separan de forma segura. Por ejemplo, los dispositivos BYOD pueden ser dispositivos de perfil de trabajo. La experiencia de inscripción para los dispositivos de perfil de trabajo es similar a la inscripción de Android en Citrix Endpoint Management. Los usuarios descargan Citrix Secure Hub desde Google Play e inscriben sus dispositivos.

De forma predeterminada, los parámetros de depuración por USB y fuentes desconocidas están inhabilitados en un dispositivo cuando se inscribe en Android Enterprise como un modo de perfil de trabajo.

Sugerencia:

Cuando inscriba dispositivos en Android Enterprise como dispositivos de perfil de trabajo, vaya siempre a Google Play. Desde allí, habilite Citrix Secure Hub para que aparezca en el perfil personal del usuario.