Documentación de productos

Samsung Knox, SEAMS y SAFE

April 12, 2019
 | Contributed by: 

En dispositivos Samsung compatibles, Endpoint Management admite y extiende directivas de Samsung for Enterprise (SAFE) y Samsung Knox. Samsung Knox incluye SE for Android Management Service(SEAMS). SEAMS proporciona un control a nivel de API sobre el motor de directivas de seguridad de Samsung.

Utilice Firebase Cloud Messaging (FCM) para controlar cómo y cuándo los dispositivos Android se conectan al servicio Endpoint Management. Para obtener más información, consulte Firebase Cloud Messaging.

Endpoint Management inscribe dispositivos Android en el modo MDM o MDM+MAM, con la opción de que los usuarios se inscriban en el modo solo MAM. Endpoint Management admite los siguientes tipos de autenticación para dispositivos Android en modo MDM+MAM. Para obtener más información, consulte los artículos que se encuentran en Certificados y autenticación.

  • Dominio
  • Dominio y token de seguridad
  • Certificado de cliente
  • Certificado de cliente y dominio
  • Proveedores de identidades:
    • Azure Active Directory
    • Proveedor de identidades Citrix

Otro método de autenticación que rara vez se utiliza es el certificado de cliente junto con el token de seguridad. Para obtener más información, consulte https://support.citrix.com/article/CTX215200.

Un flujo de trabajo general para iniciar la administración de dispositivos Android es el siguiente:

  1. Complete el proceso de incorporación. Consulte Incorporarse como usuario y configurar recursos y Preparar la inscripción de dispositivos y la entrega de recursos.

  2. Elija y configure un método de inscripción. Consulte Métodos de inscripción admitidos.

  3. Implementar las claves de licencia de Samsung.

  4. Habilitar la atestación de Samsung Knox.

  5. Configurar las directivas de dispositivo para Samsung.

  6. Configure las acciones de seguridad para los dispositivos y las aplicaciones. Consulte Acciones de seguridad.

Para saber qué sistemas operativos son compatibles, consulte Sistemas operativos compatibles.

Métodos de inscripción admitidos

En la siguiente tabla se indican los métodos de inscripción que Endpoint Management admite para dispositivos Android:

Método ¿Se admite?
Inscripción en bloque Sí (Knox)
Inscripción manual
Invitaciones de inscripción

Puede usar Samsung Knox Mobile Enrollment para inscribir múltiples dispositivos Samsung Knox en Endpoint Management (o en cualquier administrador de dispositivos móviles) sin necesidad de configurar manualmente cada uno de los dispositivos. Para obtener más información, consulte Inscribir en bloque dispositivos Samsung Knox.

Para obtener información acerca de la inscripción de dispositivos, consulte Inscribir dispositivos Android.

Implementar las claves de licencia de Samsung

Samsung tiene claves de Enterprise License Management (ELM) y de Knox License Management (KLM). Las licencias de Samsung se adquieren en Samsung.

  • Knox: La plataforma Knox le requiere comprar una licencia Samsung Knox Workspace. Para habilitar las API de Knox e implementar las restricciones y las directivas de Knox en los dispositivos, configure la directiva de Endpoint Management y la clave de licencia MDM de Samsung. Para activar Knox, debe enviar al menos una directiva de restricciones, específica para Knox, junto con las claves ELM y KLMS.

    En cuanto a directivas concretas de HTC, Endpoint Management es compatible con la versión 0.5.0 de la API de HTC. En el caso de directivas específicas de Sony, Endpoint Management es compatible con la versión 2.0 del SDK de Sony Enterprise.

  • SAFE: Implemente la clave ELM integrada de Samsung en un dispositivo antes de implementar las restricciones y las directivas de SAFE. Para implementar esa clave, configure la directiva “Clave de licencia MDM de Samsung” de Endpoint Management.

Servicio Samsung Enterprise Firmware-Over-The-Air (E-FOTA)

Endpoint Management también admite el servicio Enterprise Firmware-Over-The-Air (E-FOTA) de Samsung. Samsung E-FOTA permite determinar cuándo se actualizan los dispositivos, la versión del firmware que se va a utilizar, y también permite probar las actualizaciones antes de implementarlas. Para obtener más información, consulte Configurar los parámetros de Samsung E-FOTA.

Habilitar la atestación de Samsung Knox

Puede configurar Endpoint Management para enviar consultas a las API de REST del servidor de atestación de Samsung Knox.

Samsung Knox utiliza las funcionalidades de seguridad del hardware y ofrece varios niveles de protección para el sistema operativo y las aplicaciones. Un nivel de esta seguridad se encuentra en la plataforma mediante la atestación. Un servidor de atestación ofrece la comprobación del software del sistema principal del dispositivo móvil (por ejemplo, los cargadores de arranque y el kernel). La verificación se produce en tiempo de ejecución en función de los datos recopilados durante el arranque seguro.

  1. En la consola web de Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. Haga clic en Samsung Knox.

    Imagen de la página Samsung Knox

  3. En Habilitar atestación de Samsung Knox, seleccione para habilitar la atestación de Samsung Knox. El valor predeterminado es No.

  4. En la lista URL del servicio Web, realice una de las acciones siguientes:

    • Haga clic en el servidor de atestación adecuado.

    • Haga clic en Agregar nuevo e introduzca la dirección URL del servicio Web.

  5. Haga clic en Probar conexión para comprobar la conexión. Aparecerá un mensaje indicando si la conexión tuvo lugar, o si, por el contrario, hubo algún error.

  6. Haga clic en Guardar.

Configurar las directivas de dispositivo para Samsung

Directivas de dispositivo para Samsung Knox:

     
Restricciones a aplicaciones Desinstalación de aplicaciones Explorador Web
Copiar aplicaciones al contenedor de Samsung Exchange Clave de Knox Platform for Enterprise
Código de acceso Restricciones Clave de licencia MDM de Samsung
VPN    

Directivas de dispositivo para Samsung SAFE:

     
Restricciones de desinstalación de aplicaciones Explorador Web Exchange
Firewall Quiosco Knox Platform for Enterprise
Actualización de SO Restricciones Clave de licencia MDM de Samsung
Cifrado de almacenamiento VPN  

Directivas de dispositivo para Samsung SEAMS:

     
Copiar aplicaciones al contenedor de Samsung    

Acciones de seguridad

Android admite las siguientes acciones de seguridad. Para obtener una descripción de cada acción de seguridad, consulte Acciones de seguridad.

     
Bloqueo de aplicaciones Borrado de aplicaciones Renovación de certificados
Borrado completo Localizar Bloquear
Bloqueo y restablecimiento de contraseña Notificar Revocar
Borrado selectivo    

Nota:

Para dispositivos que ejecutan Android 6.0 o posterior, la acción de seguridad “Localizar” requiere que el usuario conceda permisos de localización durante la inscripción. El usuario puede optar por no conceder permisos de localización. Si el usuario no concede el permiso durante la inscripción, Endpoint Management vuelve a solicitarlo cuando envía el comando de localización.

Samsung Knox, SEAMS y SAFE

En este artículo