Citrix Endpoint Management

Cumplimiento de requisitos para dispositivos Android (Technical Preview)

Nota:

Las funciones en versión Technical Preview están disponibles para uso en entornos de producción limitados o en entornos que no son de producción, y para dar a los clientes la oportunidad de compartir comentarios. Citrix no acepta casos de asistencia para funciones en Technical Preview, pero agradece comentarios para mejorarlas. Para enviar sus comentarios sobre esta función, haga clic en Envíenos sus comentarios. Es posible que Citrix actúe a partir de los comentarios en función de su gravedad e importancia.

En el caso de los dispositivos Android inscritos en el modo Propietario del dispositivo, el administrador del cliente puede gestionar el cumplimiento del dispositivo. Puede definir reglas personalizadas para evaluar el cumplimiento, que incluyen:

  • Garantizar que la fortaleza de la contraseña del dispositivo cumpla los estándares especificados.
  • Verificar la instalación de todas las aplicaciones obligatorias.
  • Confirmar la eliminación de todas las aplicaciones prohibidas.

En los casos en que se determine que los dispositivos no cumplen los requisitos, los clientes pueden solicitar a los usuarios que corrijan los problemas. Además, hay medidas más estrictas disponibles, como congelar las aplicaciones en el dispositivo para restringir el acceso de los usuarios hasta que se logre el cumplimiento. Para habilitar esta funcionalidad, se necesitan dos requisitos previos, ya que se requieren cambios tanto en el servidor como en el cliente:

  • Actualice el servidor CEM a la versión 24.8.0.
  • Actualice Secure Hub a la versión 24.8.0.

Procedimiento de administración del cumplimiento de dispositivos Android

  1. Active la marca de función afw.policy.compliance específicamente para el servidor CEM.
  2. Agregue e implemente la directiva de cumplimiento.
    1. En la ficha Configurar, seleccione Directivas de dispositivo y haga clic en Cumplimiento.

      Directivas de dispositivo

    2. Configure la directiva con los siguientes parámetros:

      • Habilitar la Verificación del cumplimiento: este parámetro controla si los dispositivos se someten a comprobaciones de cumplimiento. Para revocar una directiva de cumplimiento implementada, inhabilite esta opción y vuelva a implementar la directiva. El simple hecho de quitar la directiva del grupo de entrega no entrará en vigor.

      Habilitar la verificación del cumplimiento

      • Acción de incumplimiento: elija entre Solo advertir y Congelar aplicaciones (solo para dispositivos propiedad de la empresa). Al seleccionar Solo advertencia, se notificará a los usuarios de Secure Hub qué artículos no cumplen los requisitos y se les pedirá que solucionen estos problemas. Al seleccionar Congelar aplicaciones (solo para dispositivos propiedad de la empresa), se bloquean todas las aplicaciones del dispositivo, pero los administradores pueden personalizar una lista de aplicaciones descongeladas para exceptuar aplicaciones específicas, como Secure Hub (para mostrar y resolver los elementos que no cumplen los requisitos), Google Play Store (para instalar las aplicaciones necesarias), Parámetros (para restablecer los valores de fábrica) y SMS (para comunicaciones de emergencia). Congelar aplicaciones (solo para dispositivos propiedad de la empresa) solo se aplica a dispositivos de propiedad corporativa.

      Congelar aplicaciones

      • Verificar el cumplimiento de los códigos de acceso: comprueba si los códigos de acceso del dispositivo cumplen los estándares especificados. Normalmente se usa con directivas de códigos de acceso.
      • Verificar aplicaciones obligatorias: muestra una lista de aplicaciones obligatorias. Garantiza que estas aplicaciones estén instaladas en el dispositivo.

      Nota:

      • Las aplicaciones enumeradas en Aplicaciones obligatorias también deben incluirse en la sección de aplicaciones obligatorias del grupo de entrega para garantizar su funcionalidad. De lo contrario, no serán efectivas.
      • Puesto que es posible que las aplicaciones obligatorias no estén disponibles en Google Play administrado, los usuarios finales permanecerán en modo bloqueado.

      Verificar aplicaciones obligatorias

      • Verificar aplicaciones prohibidas: muestra una lista de aplicaciones prohibidas. Garantiza que ninguna de estas aplicaciones esté instalada.

      Nota:

      Los administradores deben abstenerse de agregar aplicaciones preinstaladas del sistema a la lista de Aplicaciones prohibidas, ya que los usuarios finales no tienen permiso para eliminarlas.

  3. Implemente la directiva.
    1. En Secure Hub, haga clic en Actualizar directiva o espere a que se realice la sincronización periódica de 6 horas para implementar la directiva en los dispositivos.
    2. Tras la implementación, se activa inmediatamente una verificación del cumplimiento. Los dispositivos que no cumplen los requisitos en el modo Congelar aplicaciones restringen tanto el dispositivo como sus aplicaciones hasta que se cumplan los requisitos.

    Directiva de dispositivo

    Si el administrador configura la Acción de incumplimiento para que sea Congelar aplicaciones, tanto Secure Hub como el propio dispositivo restringirán el uso de las aplicaciones. Concretamente:

    • Aparecerá una notificación persistente en la barra de notificaciones para recordar al usuario que las aplicaciones se han congelado.

    Citrix Secure Hub

    • Las aplicaciones, exceptuando las que figuran como permitidas de forma predeterminada o en la lista de Aplicaciones descongeladas, se congelarán y dejarán de responder cuando se haga clic en ellas.
    • Este estado persiste hasta que el dispositivo cumpla los requisitos. Incluso después de reiniciarse o realizar una actualización del sistema, el dispositivo volverá inmediatamente a este estado congelado (excepto durante las actualizaciones de Secure Hub, que requieren que el usuario las inicie manualmente).
  4. Resolución del incumplimiento:
    • Cuando un dispositivo no cumple los requisitos, Secure Hub no puede actualizar la directiva mediante el método habitual (hacer clic en el botón Actualizar directiva en la página Información del dispositivo).
    • En su lugar, se dispone de la solución alternativa de abrir la página que muestra los elementos que no cumplen los requisitos y el resultado de la actualización se transmite mediante una notificación del sistema.

    Solicitud de actualización correcta

    • Acciones específicas para los usuarios:
      • Establezca un código de acceso más complejo para cumplir las normas.
      • Instale las aplicaciones obligatorias desde la tienda de aplicaciones Google Play.
      • Desinstale las aplicaciones prohibidas.
  5. Supervisión del cumplimiento
    • Ver estado de cumplimiento: un nuevo icono de estado de cumplimiento en Administrar -> Dispositivos -> Estado. Verde indica cumplimiento, mientras que naranja indica el incumplimiento.

    Estado de cumplimiento

    • El estado de cumplimiento detallado está disponible en Administrar -> Dispositivos -> Detalles del dispositivo -> Propiedades -> Información de seguridad.

    Dispositivo compatible

Solución de problemas

  1. La aplicación obligatoria configurada no se encuentra en la tienda de aplicaciones Google Play, por lo que el dispositivo deja de cumplir los requisitos y no puede resolver el problema. Se trata de un defecto de diseño.

    Defecto de diseño

    El servidor CEM envía las aplicaciones necesarias a los servidores de Secure Hub y Google a través de los enlaces 1 y 2, pero el enlace 3 está fuera de nuestro control. Cuando Secure Hub comprueba si hay aplicaciones obligatorias mediante el enlace 1, no podemos garantizar que la tienda de aplicaciones Google Play gestionada tenga estas aplicaciones disponibles. Esta discrepancia significa que, si bien la directiva de cumplimiento exige que Secure Hub instale estas aplicaciones, es posible que no se encuentren en la tienda de aplicaciones de inmediato. Por lo general, los servidores de Google envían las aplicaciones necesarias al dispositivo en un plazo de 24 horas mediante el enlace 3.

  2. Antes de actualizar Secure Hub, el dispositivo no cumplía los requisitos y las aplicaciones estaban congeladas. No obstante, después de actualizar Secure Hub, se descongelan todas las aplicaciones. Esto se debió a que, durante el proceso de actualización, el funcionamiento de Secure Hub se interrumpió, lo que le impidió mantener la aplicación congelada. Este problema es conocido y actualmente no tiene solución. Estamos trabajando activamente con Google para solucionar este problema y esperamos mejoras en futuras versiones. Tras completar la actualización, los usuarios pueden iniciar manualmente Secure Hub para que empiece el proceso y restaurar las aplicaciones a su estado congelado.

  3. ¿Cómo descongelar aplicaciones? El método más común es que los usuarios resuelvan todos los problemas de incumplimiento de requisitos, lo que hace que el dispositivo cumpla los requisitos y descongele automáticamente todas las aplicaciones. Si no es posible lograr el cumplimiento rápidamente, se pueden seguir los siguientes pasos: - Agregue las aplicaciones relacionadas a la lista de aplicaciones descongeladas y actualice deslizando hacia abajo. - Cambie la Acción de incumplimiento a Advertencia y actualice deslizando hacia abajo. - Desactive la opción de verificación correspondiente a los elementos que no cumplen los requisitos o la opción maestra y después actualice deslizando hacia abajo. - Si ninguno de los métodos anteriores funciona, habilite la marca de función afw.locktaskmode.disable para el servidor CEM específico y actualice deslizando hacia abajo. Esta acción fuerza la descongelación de todas las aplicaciones, pero Secure Hub permanece bloqueado de forma similar a cuando la Acción de incumplimiento se establece en Advertencia. - Inhabilite la marca de función afw.policy.compliance para el servidor CEM específico y actualice deslizando hacia abajo. - En el peor de los casos, cuando Secure Hub no pueda conectarse al servidor CEM, restablezca los valores de fábrica desde Parámetros.

  4. El estado de cumplimiento que se muestra en Analizar -> Panel de mandos es un tipo de cumplimiento diferente en Citrix Endpoint Management del que se hace referencia en esta directiva. Esta función aún no está totalmente desarrollada y se mejorará en futuras versiones.

    Panel de mandos

  5. Esta función no se aplica a los dispositivos inscritos mediante los modos COSU/WPCOD/BYOD. Actualmente, solo admite dispositivos inscritos en el modo Propietario del dispositivo (DO).

Cumplimiento de requisitos para dispositivos Android (Technical Preview)