Ver PDF
Samsung Knox, SEAMS y SAFE
En dispositivos Samsung compatibles, Endpoint Management admite y extiende directivas de Samsung for Enterprise (SAFE) y Samsung Knox. Samsung Knox incluye SE for Android Management Service(SEAMS). SEAMS proporciona un control a nivel de API sobre el motor de directivas de seguridad de Samsung.
Utilice Firebase Cloud Messaging (FCM) para controlar cómo y cuándo los dispositivos Android se conectan al servicio Endpoint Management. Para obtener más información, consulte Firebase Cloud Messaging.
Endpoint Management inscribe dispositivos Android en el modo MDM o MDM + MAM, con la opción de que los usuarios se inscriban en el modo solo MAM. Endpoint Management admite los siguientes tipos de autenticación para dispositivos Android en modo MDM + MAM. Para obtener más información, consulte los artículos que se encuentran en Certificados y autenticación.
- Dominio
- Dominio y token de seguridad
- Certificado de cliente
- Certificado de cliente y dominio
- Proveedores de identidades:
- Azure Active Directory
- Proveedor de identidades Citrix
Otro método de autenticación que rara vez se utiliza es el certificado de cliente junto con el token de seguridad. Para obtener más información, consulte https://support.citrix.com/article/CTX215200.
Un flujo de trabajo general para iniciar la administración de dispositivos Android es el siguiente:
-
Complete el proceso de incorporación. Consulte Incorporarse como usuario y configurar recursos y Preparar la inscripción de dispositivos y la entrega de recursos.
-
Elija y configure un método de inscripción. Consulte Métodos de inscripción admitidos.
-
Configure las acciones de seguridad para los dispositivos y las aplicaciones. Consulte Acciones de seguridad.
Para saber qué sistemas operativos son compatibles, consulte Sistemas operativos compatibles.
Métodos de inscripción admitidos
En la siguiente tabla se indican los métodos de inscripción que Endpoint Management admite para dispositivos Android:
| Método | ¿Se admite? |
|---|---|
| Inscripción en bloque | Sí (Knox) |
| Inscripción manual | Sí |
| Invitaciones de inscripción | Sí |
Puede usar Samsung Knox Mobile Enrollment para inscribir múltiples dispositivos Samsung Knox en Endpoint Management (o en cualquier administrador de dispositivos móviles) sin necesidad de configurar manualmente cada uno de los dispositivos. Para obtener más información, consulte Inscribir en bloque dispositivos Samsung Knox.
Para obtener información acerca de la inscripción de dispositivos, consulte Inscribir dispositivos Android.
Implementar las claves de licencia de Samsung
Samsung tiene claves de Enterprise License Management (ELM) y de Knox License Management (KLM). Las licencias de Samsung se adquieren en Samsung.
-
Knox: La plataforma Knox le requiere comprar una licencia Samsung Knox Workspace. Para habilitar las API de Knox e implementar las restricciones y las directivas de Knox en los dispositivos, configure la directiva de Endpoint Management y la clave de licencia MDM de Samsung. Para activar Knox, debe enviar al menos una directiva de restricciones, específica para Knox, junto con las claves ELM y KLMS.
En cuanto a directivas concretas de HTC, Endpoint Management es compatible con la versión 0.5.0 de la API de HTC. En el caso de directivas específicas de Sony, Endpoint Management es compatible con la versión 2.0 del SDK de Sony Enterprise.
-
SAFE: Implemente la clave ELM integrada de Samsung en un dispositivo antes de implementar las restricciones y las directivas de SAFE. Para implementar esa clave, configure la directiva “Clave de licencia MDM de Samsung” de Endpoint Management.
Servicio Samsung Enterprise Firmware-Over-The-Air (E-FOTA)
Endpoint Management también admite el servicio Enterprise Firmware-Over-The-Air (E-FOTA) de Samsung. Samsung E-FOTA permite determinar cuándo se actualizan los dispositivos, la versión del firmware que se va a utilizar, y también permite probar las actualizaciones antes de implementarlas. Para obtener más información, consulte Configurar los parámetros de Samsung E-FOTA.
Habilitar la atestación de Samsung Knox
Puede configurar Endpoint Management para enviar consultas a las API de REST del servidor de atestación de Samsung Knox.
Samsung Knox utiliza las funcionalidades de seguridad del hardware y ofrece varios niveles de protección para el sistema operativo y las aplicaciones. Un nivel de esta seguridad se encuentra en la plataforma mediante la atestación. Un servidor de atestación ofrece la comprobación del software del sistema principal del dispositivo móvil (por ejemplo, los cargadores de arranque y el kernel). La verificación se produce en tiempo de ejecución en función de los datos recopilados durante el arranque seguro.
-
En la consola web de Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.
-
Haga clic en Samsung Knox.
-
En Habilitar atestación de Samsung Knox, seleccione Sí para habilitar la atestación de Samsung Knox. El valor predeterminado es No.
-
En la lista URL del servicio web, realice una de las acciones siguientes:
-
Haga clic en el servidor de atestación adecuado.
-
Haga clic en Agregar nuevo e introduzca la dirección URL del servicio web.
-
-
Haga clic en Probar conexión para comprobar la conexión. Aparecerá un mensaje indicando si la conexión tuvo lugar, o si, por el contrario, hubo algún error.
-
Haga clic en Guardar.
Configurar las directivas de dispositivo para Samsung
Directivas de dispositivo para Samsung Knox:
Directivas de dispositivo para Samsung SAFE:
Directivas de dispositivo para Samsung SEAMS:
| Copiar aplicaciones al contenedor de Samsung |
Acciones de seguridad
Android admite las siguientes acciones de seguridad. Para obtener una descripción de cada acción de seguridad, consulte Acciones de seguridad.
| Bloqueo de aplicaciones | Borrado de aplicaciones | Renovación de certificados |
| Borrado completo | Localizar | Bloquear |
| Bloqueo y restablecimiento de contraseña | Notificar | Revocar |
| Borrado selectivo |
Nota:
Para dispositivos que ejecutan Android 6.0 o posterior, la acción de seguridad “Localizar” requiere que el usuario conceda permisos de localización durante la inscripción. El usuario puede optar por no conceder permisos de localización. Si el usuario no concede el permiso durante la inscripción, Endpoint Management vuelve a solicitarlo cuando envía el comando de localización.