Inscribir en bloque dispositivos Samsung KNOX

Para inscribir varios dispositivos Samsung KNOX en Endpoint Management (o en cualquier administrador de dispositivos móviles) sin necesidad de configurar manualmente cada uno de los dispositivos, use KNOX Mobile Enrollment. La inscripción tiene lugar la primera vez que se usa el dispositivo o después de restablecerlo a sus parámetros de fábrica. Los administradores también pueden pasar nombres de usuarios y contraseñas directamente al dispositivo, por lo que los usuarios no necesitan escribir ningún dato en el momento de la inscripción.

Nota:

La configuración de KNOX Mobile Enrollment no está relacionada con el contenedor KNOX de Endpoint Management. Para obtener más información sobre KNOX Mobile Enrollment, consulte Requisitos de KME.

Requisitos previos para KNOX Mobile Enrollment

  • Dispositivos Samsung que ejecuten KNOX 2.4 o una versión posterior

    Nota:

    Solo los dispositivos Samsung 2.4 habilitados con TIMA reciben respaldo inmediatamente en la herramienta KNOX Mobile Enrollment.

  • Algunos dispositivos que carecen de la clave raíz de dispositivo o DRK (Device Root Key) respaldan la inscripción móvil con el binario de KNOX 2.4.1. Para ver una lista de los dispositivos respaldados, consulte KNOX Mobile Enrollment. Samsung debe incluir en una lista blanca los dispositivos para la inscripción.
  • Cuando se agregan dispositivos al portal de KNOX, hay que introducir los números IMEI o números de serie de los dispositivos. El único modo de realizar una inscripción en bloque es uno de los siguientes:
    • Comprar los dispositivos a distribuidores aprobados por Samsung,
    • Comprar los dispositivos a distribuidores que acepten compartir los números IMEI directamente con Samsung. El servicio de asistencia al cliente de KNOX puede facilitarle una lista de distribuidores en su país.

Para obtener más información sobre los requisitos de verificación de dispositivos, póngase en contacto con el servicio de asistencia técnica de KNOX.

  • Cuenta de socio de KNOX
  • Endpoint Management debe estar configurado (incluidas las licencias y los certificados) y en ejecución.
  • Archivo APK de Secure Hub. Hay que cargar este archivo al configurar KNOX Mobile Enrollment.

Para descargar el archivo APK de Secure Hub

  1. Inicie sesión en el sitio de descargas de Citrix y vaya a las descargas de Citrix Endpoint Management.

  2. Vaya a las aplicaciones móviles de productividad y MDX Toolkit, y elija su versión.

  3. Descargue el archivo de Citrix Secure Hub para Android.

Configurar excepciones del firewall

Para acceder a KNOX Mobile Enrollment, configure las siguientes excepciones del firewall. Algunas excepciones de firewall son necesarias para todos los dispositivos y algunas son específicas de la región geográfica de cada dispositivo.

Región del dispositivo dirección URL Puerto Destino
Todos https://gslb.secb2b.com 443 Equilibrador de carga global para iniciar KNOX Mobile Enrollment
Todos https://gslb.secb2b.com 80 Equilibrador de carga global para iniciar KNOX Mobile Enrollment en algunos dispositivos antiguos limitados
Todos umc-cdn.secb2b.com 443 Servidores de actualización de agentes Samsung
Todos bulkenrollment.s3.amazonaws.com 80 Contratos EULA de cliente para KNOX Mobile Enrollment
Todos eula.secb2b.com 443 Contratos EULA de cliente para KNOX Mobile Enrollment
Todos us-be-api-mssl.samsungknox.com 443 Servidores Samsung para verificación de IMEI
Estados Unidos https://us-segd-api.secb2b.com 443 Samsung Enterprise Gateway para la región de Norteamérica
Europa https://eu-segd-api.secb2b.com 443 Samsung Enterprise Gateway para la región de Europa
China https://china-segd-api.secb2b.com 443 Samsung Enterprise Gateway para la región de China

Obtener acceso a KNOX Mobile Enrollment

Siga estos procedimientos para obtener acceso a KNOX Mobile Enrollment.

Si tiene una cuenta en el portal Web de KNOX

  1. Inicie sesión en el portal Web de KNOX y vaya a su panel de mandos Samsung KNOX Dashboard.

  2. En KNOX Mobile Enrollment, haga clic en Get Started.

  3. Rellene los campos relevantes y haga clic en Apply.

Una vez que Samsung apruebe su solicitud, recibirá un correo electrónico de bienvenida con instrucciones sobre cómo empezar a usar la herramienta de inscripción KNOX Mobile Enrollment. Para acelerar el proceso de aprobación, proporcione toda la información necesaria, incluidos los detalles de contacto de su distribuidor, el representante de ventas de Samsung y cualquier otra información que pueda ayudarle para la aprobación.

Si no tiene cuenta en el portal Web de KNOX

  1. En la página KNOX Mobile Enrollment, haga clic en Get Started.

  2. Rellene los campos obligatorios.

  3. Recibirá un correo electrónico para confirmar su registro en el portal de KNOX. Haga clic en Complete Registration para continuar.

  4. Escriba y confirme su contraseña para el portal Web de KNOX.

  5. En el panel de mandos (Dashboard) de Samsung KNOX, en KNOX Bulk Enrollment Program, haga clic en Launch KNOX Mobile Enrollment.

  6. Para una aprobación más rápida, proporcione toda la información necesaria que pueda, como los detalles de contacto de su distribuidor, el representante de ventas de Samsung y cualquier otra información que pueda ayudarle para la aprobación.

Configurar KNOX Mobile Enrollment

Después de obtener acceso a KNOX Mobile Enrollment, vaya al portal de KNOX y haga clic en Launch Mobile Enrollment.

Imagen de la pantalla Launch Mobile Enrollment

Si Samsung no puede autorizar la cuenta para usar Bulk Enrollment, verá esta pantalla:

Imagen del botón Volver atrás

El proceso de inscripción sigue estos pasos generales, que se describen detalladamente en las siguientes subsecciones.

  1. Crear un perfil MDM con los parámetros y la información de su consola MDM.

    El perfil MDM indica a los dispositivos cómo conectarse al MDM.

  2. Agregar dispositivos a su perfil de MDM.

    Puede cargar un archivo CSV con la información de los dispositivos o escanear los dispositivos con la aplicación Mobile Enrollment de Google Play.

  3. Samsung le avisa cuando el propietario de los dispositivos se haya verificado.

  4. Proporcionar a los usuarios unas credenciales de MDM. Indíqueles que se conecten a Internet por Wi-Fi y que acepten la petición de inscribir sus dispositivos.

Para crear un perfil MDM

Cree un perfil MDM que defina el servidor Endpoint Management que se va a usar. Cree un perfil por cada servidor.

  1. Inicie sesión en el sitio Web de KNOX Mobile Enrollment.

  2. Haga clic en la ficha MDM Profiles, haga clic en Add y luego haga clic en Server URI not required for my MDM.

    Imagen de la ficha MDM Profiles

    Imagen de la opción MDM Server Connection

    Nota:

    No especifique ninguna URI de servidor MDM. Endpoint Management no utiliza el protocolo Samsung MDM.

  3. En la pantalla Create an MDM Profile, suministre la información siguiente:

    • Un nombre para el perfil.
    • Para el APK del agente MDM, indique la URL de descarga del archivo APK de Secure Hub. Por ejemplo:

      https://example.com/zdm/worxhome.apk

      https://pmdm.mycorp-inc.net/zdm/worxhome.apk

      El archivo APK puede residir en cualquier servidor al que los dispositivos puedan acceder durante la inscripción. Durante la inscripción, un dispositivo descarga Secure Hub desde esa URL, instala Secure Hub y, a continuación, abre Secure Hub con los datos JSON personalizados que se describen a continuación.

      Nota:

      Las mayúsculas y minúsculas del nombre del archivo .apk deben coincidir con la dirección URL que se especifique. Por ejemplo, si el nombre de archivo va todo en minúscula, también debe figurar todo en minúscula en la dirección URL.

    • Para Custom JSON Data, escriba la dirección del servidor Endpoint Management, el nombre de usuario y la contraseña en el formato: {"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}

      Ejemplos:

      {"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"james.cork", "xm_password":"aDin20_1fa"}

      También puede escribir datos JSON personalizados para Android Zero Touch.

           {
               "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
               {
                   "serverURL":"URL","xm_username":"username","xm_password":"password"
               }
           }
      

      Nota:

      Es necesario cargar el archivo APK de Secure Hub en el servidor especificado (por ejemplo: https://pmdm.mycorp-inc.net:4443) en la sección Apps. Este proceso es similar a la carga de las aplicaciones de empresa.

      Imagen de la página MDM Profile

Cuando un dispositivo inicia la inscripción en bloque, usa los datos del perfil. Primero, el dispositivo descarga Secure Hub desde la dirección URL especificada, luego lo instala y lo abre con los datos JSON personalizados como parámetro. Secure Hub ya tiene la dirección de Endpoint Management, así que no necesita pedirla. La inscripción se produce automáticamente, ya que el archivo JSON también proporciona credenciales.

Para agregar dispositivos mediante un archivo CSV

Para agregar dispositivos, cargue los ID de los dispositivos y asócielos a uno de los perfiles de MDM creados previamente. Cargue un archivo .csv. Las diferentes formas de generar el archivo están documentadas en el sitio Web de KNOX. La forma más sencilla es escribir un IMEI por línea, de la siguiente manera.

Nota:

También puede agregar dispositivos escaneándolos, como se describe en la sección siguiente.

  1. Vaya a Devices > All Devices y haga clic en Upload devices.

    Imagen de la opción Upload Devices

  2. En CSV File Format, haga clic en Download file template.

  3. Escriba la información en las columnas correspondientes de la plantilla:

    • Device info: IMEI, MEID o número de serie.
    • Other info (optativo): Cualquier otra información que quiera incluir sobre este dispositivo.

    Nota:

    La plantilla incluye las columnas de nombre de usuario y contraseña. Si está utilizando Android Enterprise antiguo y los dispositivos Samsung de los usuarios tienen versiones anteriores a KNOX 3.0, estos no pueden iniciar sesión con su nombre de usuario y contraseña en Secure Hub. Por lo tanto, puede dejar estas columnas en blanco.

    En cambio, si utiliza Android Enterprise y los dispositivos Samsung de los usuarios ejecutan KNOX 3.0 o posterior, puede escribir un nombre de usuario y contraseña. El nombre de usuario y la contraseña se deberán haber suministrado a los usuarios para la configuración MDM de empresa.

  4. Resalte todas las celdas en la hoja de cálculo.

  5. Haga clic con el botón secundario en las celdas resaltadas y seleccione Format cells.

  6. En la ficha Number, en Category, haga clic en Text. A continuación, haga clic en OK.

  7. Guarde la hoja de cálculo como un archivo CSV.

Para inscribir dispositivos mediante un archivo CSV

  1. Haga clic en la ficha Devices.

  2. Haga clic en Upload Devices.

    Imagen de la pantalla Upload Devices

  3. En el cuadro de diálogo Add Devices, haga clic en Browse, seleccione el archivo CSV y haga clic en Upload.

  4. Especifique los datos de la compra. La herramienta KNOX Mobile Enrollment verifica los detalles de compra para asegurarse de que cada dispositivo se inscribe en la empresa correcta.

  5. En Assign to Profile, seleccione el perfil MDM que ha agregado.

  6. Haga clic en Submit.

La lista All Devices muestra el estado de inscripción y el perfil de todos los dispositivos que intentó inscribir.

Para que un dispositivo se inscriba correctamente en la empresa, debe conectarse a la red inalámbrica y los usuarios deben aceptar la descarga y la instalación de Secure Hub.

Para agregar dispositivos escaneándolos

  1. Descargue e instale la aplicación KNOX Mobile Enrollment desde Google Play.

  2. Escriba sus credenciales de Samsung Portal y luego toque en SIGN IN.

  3. Toque en Scan Devices.

  4. Toque en Scan new devices.

  5. Alinee el código de barras de cada dispositivo con la línea roja para escanearlos.

  6. Si el escaneo se realiza correctamente, aparecerá el IMEI del dispositivo. Toque en Save.

  7. Los dispositivos escaneados aparecerán en la cola de escaneo. Toque en Upload.

Para inscribir dispositivos escaneados

  1. Inicie sesión en su cuenta del portal Web de KNOX y haga clic en Launch Mobile Enrollment.

  2. Toque en Scanned para ver todos los dispositivos agregados.

  3. Seleccione los dispositivos que quiere inscribir y toque en Submit selected. Para enviar todos los dispositivos escaneados, toque en Submit all.

  4. En la ventana emergente Submit scanned devices, introduzca los datos de compra en Purchase details para confirmar la propiedad de los dispositivos.

  5. En el menú Assign MDM profile, seleccione el perfil que quiere usar para la inscripción de los dispositivos y haga clic en Submit.

Recibirá un correo electrónico de confirmación cuando la información de los dispositivos se haya verificado.

Por motivos de seguridad, los dispositivos no se asignan inmediatamente a esta cuenta de inscripción en bloque. Samsung debe verificar primero que los dispositivos pertenecen realmente a la entidad que ha configurado la cuenta de inscripción en bloque.

Con este fin, la pantalla siguiente pide la identidad del distribuidor así como datos de las facturas correspondientes.

Imagen de la solicitud de identificación del distribuidor

Importante:

Por motivos legales, Samsung mantiene dos grupos de servidores separados: América y Unión Europea. Los dispositivos de Estados Unidos deben registrarse con una cuenta KNOX para la región de Estados Unidos. Los dispositivos de países de la Unión Europea (así como los dispositivos de cualquier otra región excepto China, que no recibe respaldo), deben registrarse con una cuenta KNOX de la Unión Europea.

Aunque una cuenta acepte un dispositivo de la región incorrecta, la inscripción en bloque del dispositivo falla con un error. Para comprobar si el código de país o el origen del dispositivo no es Estados Unidos, descargue la aplicación Phone Info Samsung desde Google Play.

Experiencia de inscripción para los usuarios

Una vez completada la configuración anterior, la primera vez que un usuario inicia un dispositivo y se conecta a Internet por Wi-Fi, aparece la siguiente secuencia de pantallas. El proceso de inscripción se inicia automáticamente y el usuario solo tiene que descargar e instalar Secure Hub y luego introducir unas credenciales válidas en la pantalla Secure Hub para completar la inscripción.

Nota:

El proceso de inscripción no utiliza una conexión de datos móviles, para evitar costes de red para el usuario final.

Imagen de la pantalla de descarga

Imagen de la pantalla de inscripción

Para inscribir dispositivos ejecutando una interfaz API de KNOX anterior a la versión 2.4

En los dispositivos que tienen la API de KNOX anterior a la versión 2.4, la inscripción en bloque no funciona de manera inmediata. Por eso, los usuarios deben iniciar la inscripción ellos mismos. Para ello, deben ir al sitio web de Samsung, descargar el nuevo cliente de Mobile Enrollment e iniciar la inscripción.

El cliente de inscripción descargado usa el mismo perfil MDM y los mismos archivos APK configurados en el portal de KNOX Bulk Enrollment para los dispositivos KNOX 2.4/2.4.1.

Los usuarios, por lo general, deben seguir estos pasos:

  1. Encienda el dispositivo y conéctese a una red Wi-Fi. Si Mobile Enrollment no se abre o si no hay redes inalámbricas disponibles:

    • Vaya a https://me.samsungknox.com.

    • Toque en el botón Enroll para inscribir dispositivos a través de una conexión de datos móviles.

  2. Cuando aparezca el diálogo Enroll with KNOX, toque en Continue.

  3. Lea el Contrato de licencia del usuario final (EULA), si está disponible. Toque en Next.

  4. Si el sistema lo pide, introduzca el ID de usuario y la contraseña que le haya entregado su administrador de TI, en User ID y Password.

En este punto, se validan las credenciales de usuario y el dispositivo se inscribe en el entorno de TI empresarial de la organización.

Habilitar e inhabilitar la autenticación biométrica para dispositivos Samsung

Endpoint Management permite habilitar o inhabilitar la autenticación biométrica (autenticación por huella dactilar y escaneo de iris) para dispositivos Samsung sin necesidad de ninguna acción por parte de los usuarios. Si inhabilita la autenticación biométrica en Endpoint Management, los usuarios y las aplicaciones de terceros no pueden habilitar la función.

  1. En la consola de Endpoint Management, haga clic en Configurar > Directivas de dispositivo. Aparecerá la página Directivas de dispositivo.

  2. Haga clic en Agregar. Aparecerá la página Agregar nueva directiva.

  3. Haga clic en Código de acceso. Aparecerá la página de información Directiva de código de acceso.

  4. En el panel Información de directiva, escriba la información siguiente:

    • Nombre de directiva: Escriba un nombre descriptivo para la directiva.
    • Descripción: Escriba una descripción opcional de la directiva.
  5. Haga clic en Siguiente. Aparecerá la página Plataformas de la directiva.

  6. En Plataformas, seleccione Android o Samsung KNOX.

  7. Active el parámetro Configurar la autenticación biométrica.

  8. Si ha seleccionado Android, en Samsung SAFE, seleccione Permitir huella dactilar o Permitir iris o ambas opciones.

    Imagen de la opción Configurar la autenticación biométrica