Inscribir en bloque dispositivos Samsung Knox

Para inscribir varios dispositivos Samsung Knox en Endpoint Management (o en cualquier administrador de dispositivos móviles) sin necesidad de configurar manualmente cada uno de los dispositivos, use Knox Mobile Enrollment. La inscripción tiene lugar la primera vez que se usa el dispositivo o después de restablecerlo a sus valores de fábrica. Los administradores también pueden pasar nombres de usuarios y contraseñas directamente al dispositivo, por lo que los usuarios no necesitan escribir ningún dato en el momento de la inscripción.

Nota:

La configuración de Knox Mobile Enrollment no está relacionada con el contenedor Knox de Endpoint Management. Para obtener más información sobre Knox Mobile Enrollment, consulte Guía de administración de Knox Mobile Enrollment.

Requisitos previos para Knox Mobile Enrollment

  • Endpoint Management debe estar configurado (incluidas las licencias y los certificados) y en ejecución.
  • Archivo APK de Secure Hub. Hay que cargar este archivo al configurar Knox Mobile Enrollment.
  • Para obtener una lista de los requisitos de KME, consulte Introducción a Knox Mobile Enrollment (Requisitos de Knox Mobile Enrollment).

Para descargar el archivo APK de Secure Hub

  1. Inicie sesión en el sitio de descargas de Citrix y vaya a las descargas de Citrix Endpoint Management.

  2. Vaya a las aplicaciones móviles de productividad y MDX Toolkit, y elija su versión.

  3. Descargue el archivo de Citrix Secure Hub para Android.

Configurar excepciones del firewall

Para acceder a Knox Mobile Enrollment, configure las siguientes excepciones del firewall. Algunas excepciones de firewall son necesarias para todos los dispositivos y algunas son específicas de la región geográfica de cada dispositivo.

Región del dispositivo dirección URL Puerto Destino
Todas https://gslb.secb2b.com 443 Equilibrador de carga global para iniciar Knox Mobile Enrollment
Todas https://gslb.secb2b.com 80 Equilibrador de carga global para iniciar Knox Mobile Enrollment en algunos dispositivos antiguos limitados
Todas umc-cdn.secb2b.com 443 Servidores de actualización de agentes Samsung
Todas bulkenrollment.s3.amazonaws.com 80 Contratos EULA de cliente para Knox Mobile Enrollment
Todas eula.secb2b.com 443 Contratos EULA de cliente para Knox Mobile Enrollment
Todas us-be-api-mssl.samsungknox.com 443 Servidores Samsung para verificación de IMEI
Estados Unidos https://us-segd-api.secb2b.com 443 Samsung Enterprise Gateway para la región de Norteamérica
Europa https://eu-segd-api.secb2b.com 443 Samsung Enterprise Gateway para la región de Europa
China https://china-segd-api.secb2b.com 443 Samsung Enterprise Gateway para la región de China

Nota:

Puede ver una lista completa de excepciones de firewall en Guía de administración de Knox Mobile Enrollment.

Obtener acceso a Knox Mobile Enrollment

Siga las instrucciones de la documentación de Samsung para obtener acceso a Knox Mobile Enrollment en Introducción a KME.

Configurar Knox Mobile Enrollment

Después de obtener acceso a Knox Mobile Enrollment, inicie sesión en el portal Knox.

El proceso de inscripción sigue estos pasos generales.

  1. Crear un perfil MDM con los parámetros y la información de su consola MDM.

    El perfil MDM indica a los dispositivos cómo conectarse al MDM.

  2. Agregar dispositivos a su perfil de MDM.

    Puede cargar un archivo CSV con la información de los dispositivos o instalar y utilizar la aplicación de implementaciones de Knox desde Google Play.

  3. Samsung le avisa cuando el propietario de los dispositivos se haya verificado.

  4. Proporcionar a los usuarios unas credenciales de MDM. Indíqueles que se conecten a Internet por Wi-Fi y que acepten la petición de inscribir sus dispositivos.

Para crear un perfil MDM

Siga los pasos descritos en la documentación de Samsung en Profile Configuration.

Cuando encuentre los siguientes campos o pasos, configúrelos como se describe:

  • Pick your MDM: Seleccione Citrix en el menú. Solo para perfiles de propietario de dispositivos.
  • MDM Agent APK: Solo para perfiles de propietario de dispositivos. Introduzca la URL de descarga del archivo APK de Secure Hub. Por ejemplo:

    https://example.com/zdm/securehub.apk

    https://pmdm.mycorp-inc.net/zdm/securehub.apk

    El archivo APK puede residir en cualquier servidor al que los dispositivos puedan acceder durante la inscripción. Durante la inscripción, un dispositivo descarga Secure Hub desde esa URL, instala Secure Hub y, a continuación, abre Secure Hub con los datos JSON personalizados que se describen a continuación.

    Las mayúsculas y minúsculas del nombre del archivo APK deben coincidir con la dirección URL que se especifique. Por ejemplo, si el nombre de archivo va todo en minúscula, también debe figurar todo en minúscula en la dirección URL.

  • MDM Server URI: No especifique ninguna URI de servidor MDM. Endpoint Management no utiliza el protocolo Samsung MDM.
  • Custom JSON Data: Escriba la dirección del servidor de Endpoint Management, el nombre de usuario y la contraseña en el formato: {"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}

    Ejemplos:

    {"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"james.cork", "xm_password":"aDin20_1fa"}

    También puede escribir datos JSON personalizados para la inscripción automática de Android Enterprise.

         {
             "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
             {
                 "serverURL":"URL","xm_username":"username","xm_password":"password"
             }
         }
    

Cuando un dispositivo inicia la inscripción en bloque, usa los datos del perfil. Primero, el dispositivo descarga Secure Hub desde la dirección URL especificada, luego lo instala y lo abre con los datos JSON personalizados como parámetro. Secure Hub ya tiene la dirección de Endpoint Management, así que no necesita pedirla. La inscripción se produce automáticamente, ya que el archivo JSON también proporciona credenciales.

Configuración adicional

Consulte las siguientes páginas de documentación de Samsung para obtener más información sobre la configuración:

Para inscribir dispositivos con una interfaz API de Knox anterior a la versión 2.4

En los dispositivos que tienen la API de Knox anterior a la versión 2.4, la inscripción en bloque no funciona de manera inmediata. Por eso, los usuarios deben iniciar la inscripción ellos mismos. Para ello, deben ir al sitio web de Samsung, descargar el nuevo cliente de Mobile Enrollment e iniciar la inscripción.

El cliente de inscripción descargado usa el mismo perfil MDM y los mismos archivos APK configurados en el portal de Knox Bulk Enrollment para los dispositivos Knox 2.4/2.4.1.

Los usuarios, por lo general, deben seguir estos pasos:

  1. Encienda el dispositivo y conéctese a una red Wi-Fi. Si Mobile Enrollment no se abre o si no hay redes inalámbricas disponibles:

    1. Vaya a Samsung Knox Mobile Enrollment.

    2. Toque el botón Next para inscribir dispositivos a través de una conexión de datos móviles.

  2. Cuando aparezca el diálogo Enroll with Knox, toque Continue.

  3. Lea los Contratos de licencia del usuario final (EULA), si están disponibles. Toque Next.

  4. Si el sistema lo pide, introduzca el ID de usuario y la contraseña que le haya entregado su administrador de TI, en User ID y Password.

En este punto, se validan las credenciales de usuario y el dispositivo se inscribe en el entorno de TI empresarial de la organización.

Habilitar e inhabilitar la autenticación biométrica para dispositivos Samsung

Endpoint Management permite habilitar o inhabilitar la autenticación biométrica (autenticación por huella dactilar y escaneo de iris) para dispositivos Samsung sin necesidad de ninguna acción por parte de los usuarios. Si inhabilita la autenticación biométrica en Endpoint Management, los usuarios y las aplicaciones de terceros no pueden habilitar la función.

  1. En la consola de Endpoint Management, haga clic en Configurar > Directivas de dispositivo. Aparecerá la página Directivas de dispositivo.

  2. Haga clic en Agregar. Aparecerá la página Agregar nueva directiva.

  3. Haga clic en Código de acceso. Aparecerá la página de información Directiva de código de acceso.

  4. En el panel Información de directiva, escriba la información siguiente:

    • Nombre de directiva: Escriba un nombre descriptivo para la directiva.
    • Descripción: Escriba una descripción opcional de la directiva.
  5. Haga clic en Siguiente. Aparecerá la página Plataformas de la directiva.

  6. En Plataformas, seleccione Android o Samsung Knox.

  7. Active el parámetro Configurar la autenticación biométrica.

  8. Si ha seleccionado Android, en Samsung SAFE, seleccione Permite huella dactilar o Permite iris o ambas opciones.

    Opción Configurar la autenticación biométrica