Citrix Endpoint Management

Inscribir en bloque dispositivos Samsung Knox

Para inscribir varios dispositivos Samsung Knox en Endpoint Management (o en cualquier administrador de dispositivos móviles) sin necesidad de configurar manualmente cada uno de los dispositivos, use Knox Mobile Enrollment. La inscripción tiene lugar la primera vez que se usa el dispositivo o después de restablecerlo a sus valores de fábrica. Los administradores también pueden pasar nombres de usuarios y contraseñas directamente al dispositivo, por lo que los usuarios no necesitan escribir ningún dato en el momento de la inscripción.

Nota:

La configuración de Knox Mobile Enrollment no está relacionada con el contenedor Knox de Endpoint Management. Para obtener más información sobre Knox Mobile Enrollment, consulte Guía de administración de Knox Mobile Enrollment.

Requisitos previos para Knox Mobile Enrollment

  • Endpoint Management debe estar configurado (incluidas las licencias y los certificados) y en ejecución.
  • Archivo APK de Secure Hub. Hay que cargar este archivo al configurar Knox Mobile Enrollment.
  • Para obtener una lista de los requisitos de KME, consulte Introducción a Knox Mobile Enrollment (Requisitos de Knox Mobile Enrollment).
  • Licencia de Knox Platform for Enterprise (PKE) de Samsung, necesaria para aplicar directivas de dispositivos. Proporcione la clave de licencia en la directiva de Endpoint Management, Knox Platform for Enterprise.

Para descargar el archivo APK de Secure Hub

Vaya a la tienda de Google Play para descargar el archivo de Citrix Secure Hub para Android.

Configurar excepciones del firewall

Para acceder a Knox Mobile Enrollment, configure las siguientes excepciones del firewall. Algunas excepciones de firewall son necesarias para todos los dispositivos y algunas son específicas de la región geográfica de cada dispositivo.

Región del dispositivo dirección URL Puerto Destino
Todas https://gslb.secb2b.com 443 Equilibrador de carga global para iniciar Knox Mobile Enrollment
Todas https://gslb.secb2b.com 80 Equilibrador de carga global para iniciar Knox Mobile Enrollment en algunos dispositivos antiguos limitados
Todas umc-cdn.secb2b.com 443 Servidores de actualización de agentes Samsung
Todas bulkenrollment.s3.amazonaws.com 80 Contratos EULA de cliente para Knox Mobile Enrollment
Todas eula.secb2b.com 443 Contratos EULA de cliente para Knox Mobile Enrollment
Todas us-be-api-mssl.samsungknox.com 443 Servidores Samsung para verificación de IMEI
Estados Unidos https://us-segd-api.secb2b.com 443 Samsung Enterprise Gateway para la región de EE. UU.
Europa https://eu-segd-api.secb2b.com 443 Samsung Enterprise Gateway para la región de Europa
China https://china-segd-api.secb2b.com 443 Samsung Enterprise Gateway para la región de China

Nota:

Puede ver una lista completa de excepciones de firewall en Guía de administración de Knox Mobile Enrollment.

Obtener acceso a Knox Mobile Enrollment

Siga las instrucciones de la documentación de Samsung para obtener acceso a Knox Mobile Enrollment en Introducción a KME.

Configurar Knox Mobile Enrollment

Después de obtener acceso a Knox Mobile Enrollment, inicie sesión en el portal Knox.

El proceso de inscripción sigue estos pasos generales.

  1. Crear un perfil MDM con los parámetros y la información de su consola MDM.

    El perfil MDM indica a los dispositivos cómo conectarse al MDM.

  2. Agregar dispositivos a su perfil de MDM.

    Puede cargar un archivo CSV con la información de los dispositivos o instalar y utilizar la aplicación de implementaciones de Knox desde Google Play.

  3. Samsung le avisa cuando el propietario de los dispositivos se haya verificado.

  4. Proporcionar a los usuarios unas credenciales de MDM. Indíqueles que se conecten a Internet por Wi-Fi y que acepten la petición de inscribir sus dispositivos.

Para crear un perfil MDM

Siga los pasos descritos en la documentación de Samsung en Configuración del perfil.

Cuando encuentre los siguientes campos o pasos, configúrelos como se describe:

  • Pick your MDM: Seleccione Citrix en el menú. Solo para perfiles de propietario de dispositivos.
  • MDM Agent APK: Solo para perfiles de propietario de dispositivos. Introduzca la URL de descarga del archivo APK de Secure Hub: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile.

    El archivo APK puede residir en cualquier servidor al que los dispositivos puedan acceder durante la inscripción. Durante la inscripción, un dispositivo:

    • Descarga Secure Hub de una URL de descarga de APK
    • Instala Secure Hub
    • A continuación, abre Secure Hub con los datos JSON personalizados que se describen a continuación.

    Las mayúsculas y minúsculas del nombre del archivo APK deben coincidir con la dirección URL que se especifique. Por ejemplo, si el nombre de archivo va todo en minúscula, también debe figurar todo en minúscula en la dirección URL.

  • MDM Server URI: No especifique ninguna URI de servidor MDM. Endpoint Management no utiliza el protocolo Samsung MDM.
  • Custom JSON Data: Secure Hub necesita la dirección del servidor de Endpoint Management, el nombre de usuario y la contraseña para la inscripción. Puede proporcionar esos datos en JSON para que Secure Hub no los solicite a los usuarios. Secure Hub pide a los usuarios la dirección del servidor, el nombre de usuario o la contraseña solo si el campo se omite en el JSON.

    El formato para los datos JSON personalizados es: {"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}

    En este ejemplo, típico para la inscripción en bloque, Secure Hub no solicita a los usuarios la dirección del servidor ni sus credenciales durante la inscripción:

    {"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"userN2", "xm_password":"password7890"}

    En este ejemplo, típico para dispositivos en quiosco, Secure Hub solicita credenciales a los usuarios:

    {"serverURL":"https://example.com/zdm"}

    También puede escribir datos JSON personalizados para la inscripción automática de Android Enterprise.

         {
             "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
             {
                 "serverURL":"URL","xm_username":"username","xm_password":"password"
             }
         }
    

Cuando un dispositivo inicia la inscripción, este descarga Secure Hub desde la URL indicada, lo instala y lo abre.

Configuración adicional

Consulte las siguientes páginas de documentación de Samsung para obtener más información sobre la configuración:

Para inscribir dispositivos con una interfaz API de Knox anterior a la versión 2.4

En dispositivos que tienen la API de Knox anterior a la versión 2.4, la inscripción en bloque no se inicia durante la configuración inicial del dispositivo. En su lugar, son los usuarios quienes deben iniciar la inscripción. Para ellos, deben ir a un sitio de Samsung para descargar el nuevo cliente de Mobile Enrollment e iniciar la inscripción.

El cliente de inscripción descargado usa el mismo perfil MDM y los mismos archivos APK configurados en el portal de Knox Bulk Enrollment para los dispositivos Knox 2.4/2.4.1.

Los usuarios, por lo general, deben seguir estos pasos:

  1. Encienda el dispositivo y conéctese a una red Wi-Fi. Si Mobile Enrollment no se abre o si no hay redes inalámbricas disponibles:

    1. Vaya a Samsung Knox Mobile Enrollment.

    2. Toque el botón Next para inscribir dispositivos a través de una conexión de datos móviles.

  2. Cuando aparezca el diálogo Enroll with Knox, toque Continue.

  3. Lea los Contratos de licencia del usuario final (EULA), si están disponibles. Toque Siguiente.

  4. Si el sistema lo pide, introduzca el ID de usuario y la contraseña que le haya entregado su administrador de TI, en User ID y Password.

En este punto, se validan las credenciales de usuario y el dispositivo se inscribe en el entorno de TI empresarial de la organización.

Habilitar e inhabilitar la autenticación biométrica para dispositivos Samsung

Endpoint Management admite la autenticación de escaneo de huellas digitales e iris, también conocida como autenticación biométrica. Puede habilitar e inhabilitar la autenticación biométrica para dispositivos Samsung sin requerir ninguna acción por parte de los usuarios. Si inhabilita la autenticación biométrica en Endpoint Management, los usuarios y las aplicaciones de terceros no pueden habilitar la función.

  1. En la consola de Endpoint Management, haga clic en Configurar > Directivas de dispositivo. Aparecerá la página Directivas de dispositivo.

  2. Haga clic en Agregar. Aparecerá la página Agregar nueva directiva.

  3. Haga clic en Código de acceso. Aparecerá la página de información Directiva de código de acceso.

  4. En el panel Información de directiva, escriba la información siguiente:

    • Nombre de directiva: Escriba un nombre descriptivo para la directiva.
    • Descripción: Escriba una descripción opcional de la directiva.
  5. Haga clic en Siguiente. Aparecerá la página Plataformas de la directiva.

  6. En Plataformas, seleccione Android o Samsung Knox.

  7. Active el parámetro Configurar la autenticación biométrica.

  8. Si ha seleccionado Android, en Samsung SAFE, seleccione Permite huella dactilar, Permite iris o ambas opciones.

    Opción Configurar la autenticación biométrica

Inscribir en bloque dispositivos Samsung Knox