Samsung

Samsung ofrece varias soluciones compatibles con Citrix Endpoint Management.

  • En dispositivos Samsung compatibles, Endpoint Management admite y extiende directivas de Samsung for Enterprise (SAFE) y Knox.
  • Knox incluye SE for Android Management Service (SEAMS). SEAMS proporciona un control a nivel de API sobre el motor de directivas de seguridad de Samsung.
  • Knox Service Plugin (KSP) en una aplicación que admite un subconjunto de funciones de Knox Platform for Enterprise.

Utilice Firebase Cloud Messaging (FCM) para controlar cómo y cuándo los dispositivos Android se conectan al servicio Endpoint Management. Para obtener más información, consulte Firebase Cloud Messaging.

Endpoint Management inscribe dispositivos Android en el modo MDM o MDM+MAM, con la opción de que los usuarios se inscriban en el modo solo MAM. Endpoint Management admite los siguientes tipos de autenticación para dispositivos Android en modo MDM+MAM. Para obtener más información, consulte los artículos que se encuentran en Certificados y autenticación.

  • Dominio
  • Dominio y token de seguridad
  • Certificado de cliente
  • Certificado de cliente y dominio
  • Proveedores de identidades:
    • Azure Active Directory
    • Proveedor de identidades Citrix

Otro método de autenticación que rara vez se utiliza es el certificado de cliente junto con el token de seguridad. Para obtener más información, consulte https://support.citrix.com/article/CTX215200.

Un flujo de trabajo general para iniciar la administración de dispositivos Android es el siguiente:

  1. Complete el proceso de incorporación. Consulte Incorporarse como usuario y configurar recursos y Preparar la inscripción de dispositivos y la entrega de recursos.

  2. Elija y configure un método de inscripción. Consulte Métodos de inscripción admitidos.

  3. Implementar las claves de licencia de Samsung.

  4. Habilitar la atestación de Knox.

  5. Configurar las directivas de dispositivo para Samsung.

  6. Configure las acciones de seguridad para los dispositivos y las aplicaciones. Consulte Acciones de seguridad.

Para saber qué sistemas operativos son compatibles, consulte Sistemas operativos compatibles.

Métodos de inscripción admitidos

En la siguiente tabla se indican los métodos de inscripción que Endpoint Management admite para dispositivos Android:

Método ¿Se admite?
Inscripción en bloque Sí (Knox)
Inscripción manual
Invitaciones de inscripción

Puede usar Knox Mobile Enrollment para inscribir múltiples dispositivos Knox en Endpoint Management (o en cualquier administrador de dispositivos móviles) sin necesidad de configurar manualmente cada uno de los dispositivos. Para obtener más información, consulte Inscribir en bloque dispositivos Knox.

Para obtener información acerca de la inscripción de dispositivos, consulte Inscribir dispositivos Android.

Implementar las claves de licencia de Samsung

Samsung tiene claves de Enterprise License Management (ELM) y de Knox License Management (KLM). Las licencias de Samsung se adquieren en Samsung.

  • Knox: La plataforma Knox requiere que compre una licencia Knox Workspace. Para habilitar las API de Knox e implementar las restricciones y las directivas de Knox en los dispositivos, configure la directiva de Endpoint Management y la clave de licencia MDM de Samsung. Para activar Knox, debe enviar al menos una directiva de restricciones, específica para Knox, junto con las claves ELM y KLMS.

    En cuanto a directivas concretas de HTC, Endpoint Management es compatible con la versión 0.5.0 de la API de HTC. En el caso de directivas específicas de Sony, Endpoint Management es compatible con la versión 2.0 del SDK de Sony Enterprise.

  • SAFE: Implemente la clave ELM integrada de Samsung en un dispositivo antes de implementar las restricciones y las directivas de SAFE. Para implementar esa clave, configure la directiva “Clave de licencia MDM de Samsung” de Endpoint Management.

Servicio Samsung Enterprise Firmware-Over-The-Air (E-FOTA)

Endpoint Management también admite el servicio Enterprise Firmware-Over-The-Air (E-FOTA) de Samsung. Samsung E-FOTA permite determinar cuándo se actualizan los dispositivos, la versión del firmware que se va a utilizar, y también permite probar las actualizaciones antes de implementarlas. Para obtener más información, consulte Configurar los parámetros de Samsung E-FOTA.

Habilitar la atestación de Knox

Puede configurar Endpoint Management para enviar consultas a las API de REST del servidor de atestación de Knox.

Knox utiliza las funcionalidades de seguridad del hardware y ofrece varios niveles de protección para el sistema operativo y las aplicaciones. Un nivel de esta seguridad se encuentra en la plataforma mediante la atestación. Un servidor de atestación ofrece la comprobación del software del sistema principal del dispositivo móvil (por ejemplo, los cargadores de arranque y el kernel). La verificación se produce en tiempo de ejecución en función de los datos recopilados durante un arranque seguro.

  1. En la consola web de Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. Haga clic en Samsung Knox.

    Imagen de la página Knox

  3. En Habilitar atestación de Samsung Knox, seleccione para habilitar la atestación de Knox. El valor predeterminado es No.

  4. En la lista URL del servicio web, realice una de las acciones siguientes:

    • Haga clic en el servidor de atestación adecuado.

    • Haga clic en Agregar nuevo e introduzca la dirección URL del servicio web.

  5. Haga clic en Probar conexión para comprobar la conexión. Aparecerá un mensaje indicando si la conexión tuvo lugar, o si, por el contrario, hubo algún error.

  6. Haga clic en Guardar.

Configurar las directivas de dispositivo para Samsung

Directivas de dispositivo para Knox:

     
Restricciones a aplicaciones Desinstalación de aplicaciones Explorador web
Copiar aplicaciones al contenedor de Samsung Exchange Clave de Knox Platform for Enterprise
Código de acceso Restricciones Clave de licencia MDM de Samsung
VPN    

Directivas de dispositivo para Samsung SAFE:

     
Restricciones de desinstalación de aplicaciones Explorador web Exchange
Firewall Quiosco Knox Platform for Enterprise
Actualización de SO Restricciones Clave de licencia MDM de Samsung
Cifrado de almacenamiento VPN  

Directivas de dispositivo para Samsung SEAMS:

     
Copiar aplicaciones al contenedor de Samsung    

Acciones de seguridad

Android admite las siguientes acciones de seguridad. Para obtener una descripción de cada acción de seguridad, consulte Acciones de seguridad.

     
Bloqueo de aplicaciones Borrado de aplicaciones Renovación de certificados
Borrado completo Localizar Bloquear
Bloqueo y restablecimiento de contraseña Notificar Revocar
Borrado selectivo    

Nota:

Para dispositivos que ejecutan Android 6.0 o posterior, la acción de seguridad “Localizar” requiere que el usuario conceda permisos de localización durante la inscripción. El usuario puede optar por no conceder permisos de localización. Si el usuario no concede los permisos durante la inscripción, Endpoint Management vuelve a solicitarlos cuando envía el comando de localización.

Agregar la aplicación Knox Service Plugin

Si piensa usar Android Enterprise con Knox, agregue Knox Service Plugin a Endpoint Management. La aplicación KSP utiliza AndroidOEMConfig para ofrecer funciones tales como directivas de seguridad, configuración flexible de VPN y controles de autenticación biométrica. AndroidOEMConfig permite a los fabricantes de equipos originales y a los administradores de movilidad de dispositivos finales (EMM) ofrecer API de OEM personalizadas que cubren casos de uso que no ofrece Android Enterprise. Para obtener más información sobre KSP, consulte la documentación de Samsung.

  1. Inicie sesión en su cuenta de Google y https://play.google.com/work/apps/details?id=com.samsung.android.knox.kpu. apruebe la aplicación.
  2. Inicie sesión en la consola de Endpoint Management y agregue Knox Service Plugin como una aplicación del almacén público de aplicaciones. Para obtener más información sobre cómo agregar aplicaciones del almacén público de aplicaciones, consulte Agregar una aplicación de almacén público. Imagen de la aplicación KSP
  3. En la consola de Endpoint Management, vaya a Configurar > Directivas de dispositivo. Haga clic en Agregar.
  4. Haga clic en Configuración administrada de Android Enterprise. En el cuadro de diálogo que aparece, seleccione Knox Service Plugin en el menú. Para obtener más información sobre la directiva de configuraciones administradas por Android Enterprise, consulte Directiva Configuraciones administradas de Android Enterprise.
  5. Escriba un nombre para la directiva y continúe hasta la página de la plataforma. Imagen de la directiva de Knox Service Plugin para la configuración administrada de Android Enterprise
  6. En la página de la plataforma, escriba un nombre de perfil para su perfil de Knox e introduzca la clave de licencia Premium de KPE de Samsung. Las directivas que aparecen debajo de estos campos provienen de su implementación de Knox. Para obtener más información sobre las directivas de Knox, consulte https://docs.samsungknox.com/knox-platform-for-enterprise/admin-guide/about-knox-workspace.htm. Imagen de los seleccionadores de directivas
  7. Haga clic en Siguiente y configure las reglas de implementación de la directiva.
  8. Haga clic en Guardar.