Android for Work

Android for Work (Android Enterprise) es un espacio de trabajo seguro disponible en los dispositivos Android que ejecuten Android 5.0 y versiones posteriores. Ese espacio de trabajo aísla las cuentas, las aplicaciones y los datos empresariales de las cuentas por un lado, y las aplicaciones y los datos personales por el otro. En XenMobile, puede administrar tanto dispositivos BYOD (dispositivos personales utilizados en el trabajo) como los dispositivos Android propiedad de la empresa. Para ello, los usuarios deberán crear un perfil de trabajo independiente en sus dispositivos. Mediante la combinación del cifrado de hardware y las directivas que implemente, separará de forma segura los espacios empresarial y personal en un dispositivo. Puede administrar o borrar de forma remota todas las directivas, las aplicaciones y los datos empresariales sin que ello afecte al área personal del usuario. Para obtener más información acerca de los dispositivos Android compatibles, consulte el sitio Web Google Android Enterprise.

Se utiliza Google Play para agregar, comprar y aprobar aplicaciones para implementarlas en el espacio de trabajo de Android for Work del dispositivo. Se puede utilizar Google Play para implementar aplicaciones privadas de Android, así como aplicaciones públicas o de terceros. Cuando agrega a Android for Work una aplicación de pago proveniente de una tienda pública, puede consultar el estado de las licencias de compra en bloque. Ese estado está compuesto por la cantidad total de las licencias disponibles, la cantidad actualmente en uso y la dirección de correo electrónico de cada usuario que consume cada licencia. Para obtener más información sobre cómo agregar una aplicación a XenMobile, consulte Agregar una aplicación de tienda pública.

Nota:

En XenMobile Service y en nuestra documentación, hacemos referencia a Android for Work. Sin embargo, la terminología más reciente es Android Enterprise. Para obtener más información, consulte la documentación de Android.

Configurar Android for Work

XenMobile ofrece un método sencillo para adaptar Android for Work a su organización. Con las herramientas de administración de XenMobile, puede vincular XenMobile como su proveedor de administración de movilidad empresarial a través de Google Play y crear una empresa para Android for Work.

Nota:

Se recomienda que los clientes de G Suite consulten Android for Work antiguo para clientes de G Suite, que contiene una tabla de información sobre las directivas relacionadas.

Necesitará:

  • Las credenciales de cuenta de Citrix para iniciar sesión en XenMobile Tools
  • Las credenciales ID de Google de empresa para iniciar sesión en Google Play
  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En la página Parámetros, haga clic en Android for Work.

    Imagen de la pantalla de configuración para Android for Work

  3. En la página Android for Work de los parámetros de XenMobile, haga clic en Ir a XenMobile Tools.

    Imagen del enlace Ir a XenMobile Tools

  4. Inicie sesión en su cuenta de Citrix si se le solicita.
  5. En la página Android for Work de las herramientas de administración de XenMobile, haga clic en Ir a Google Play.

    Imagen de la opción Ir a Google Play

  6. En Google Play, registre Citrix como la solución de administración de movilidad empresarial de la organización:

    • Escriba el nombre de su organización.
    • Compruebe que Citrix aparece como su solución para la administración de movilidad empresarial.
    • Acepte las condiciones y haga clic en Confirmar.

    Imagen de la página de registro de Google Play

    • En la página que aparece, haga clic en Completar registro.

    En este paso, se crea un archivo para que lo descargue y lo cargue posteriormente en XenMobile.

  7. En la página Android for Work de las herramientas de administración de XenMobile, haga clic en Descargar.
  8. Cree una contraseña para el cifrado del archivo. Necesitará esta contraseña cuando cargue el archivo.

    Imagen de la solicitud de contraseña

  9. Haga clic en Volver a XenMobile.
  10. En la página de Android for Work de los parámetros de XenMobile, haga clic en Subir archivo.

    Imagen de la opción de subir archivo

  11. Busque el archivo que descargó e introduzca la contraseña que creó. Haga clic en Subir.

    Imagen de la opción de subir archivo

  12. Se agrega un ID de empresa a Android for Work. Para habilitar Android for Work, deslice Habilitar Android for Work a .

    Imagen de la opción Habilitar Android for Work

Publicar XenMobile Apps para Android for Work

Si quiere publicar aplicaciones de XenMobile Apps para Android Enterprise, siga estos pasos.

  1. En su cuenta administrada de Google Play Store, publique las aplicaciones que tendrán los usuarios. Puede administrar su cuenta de Google Play en https://play.google.com/work.
  2. En la consola de XenMobile, publique las mismas aplicaciones que las siguientes:
    1. Seleccione aplicaciones de tienda pública y elija Android for Work. Para obtener más información sobre la publicación de aplicaciones de tienda pública, consulte Agregar una aplicación de tienda pública.
    2. Publique las aplicaciones como aplicaciones MDX para que reciban las directivas MDX. Para obtener más información sobre la publicación de aplicaciones MDX, consulte Agregar una aplicación MDX.

Desinscribir una empresa de Android for Work

Puede desinscribir una empresa de Android for Work utilizando la consola del servidor XenMobile y las herramientas de XenMobile Tools.

Cuando realiza esta tarea, el servidor XenMobile abre una ventana emergente para XenMobile Tools. Antes de comenzar, compruebe que el servidor XenMobile tenga permiso para abrir ventanas emergentes en el explorador Web que esté utilizando. Algunos exploradores Web, como Google Chrome, requieren que se inhabilite el bloqueo de ventanas emergentes y se agregue la dirección del sitio de XenMobile a la lista blanca de bloqueo de ventanas emergentes.

Advertencia:

Una vez que se ha desinscrito una empresa, las aplicaciones Android for Work en dispositivos ya inscritos a través de ella se restablecen a sus estados predeterminados. Google ya no administra los dispositivos. Volver a inscribirlos en una empresa de Android for Work podría requerir una configuración adicional para restaurar la funcionalidad anterior.

Después de que la empresa Android for Work se ha desinscrito:

  • En los dispositivos y los usuarios inscritos a través de la empresa, las aplicaciones de Android for Work se restablecen a sus estados predeterminados. Las directivas de Permisos y Restricciones de aplicación de Android for Work aplicadas ya no tienen efecto en las operaciones.
  • XenMobile administra los dispositivos inscritos a través de la empresa. Desde el punto de vista de Google, esos dispositivos no están administrados. No se pueden agregar aplicaciones nuevas de Android for Work. No se pueden aplicar las directivas de Permisos de la aplicación Android Work y Restricción de la aplicación Android for Work. Se pueden aplicar otras directivas, tales como Programación, Contraseña y Restricciones, a estos dispositivos.
  • Si intenta inscribir dispositivos en Android for Work, se inscriben como dispositivos Android, no como dispositivos Android for Work.

Para desinscribir una empresa de Android for Work:

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En la página “Parámetros”, haga clic en Android for Work.

  3. Haga clic en Quitar empresa.

    Imagen de la opción Quitar empresa

  4. Especifique una contraseña. Necesitará la contraseña en el próximo paso para completar la desinscripción. Haga clic en Desinscribir.

    Imagen de la opción Desinscribir

  5. Cuando se abra la página de XenMobile Tools, introduzca la contraseña que creó en el paso anterior.

    Imagen del campo de contraseña

  6. Haga clic en Desinscribir.

    Imagen de la opción Desinscribir

Inscribir dispositivos Android for Work

Si el proceso de inscripción de dispositivos requiere que los usuarios introduzcan un ID o un nombre de usuario, el formato aceptado depende de cómo esté configurado XenMobile Server para buscar usuarios (por nombre principal de usuario (UPN) o por nombre de cuenta SAM).

Si XenMobile está configurado para buscar usuarios por nombre UPN, los usuarios deben introducir un nombre UPN en el formato:

  • nombre de usuario@dominio

Si XenMobile está configurado para buscar usuarios por SAM, los usuarios deben introducir un SAM en uno de estos formatos:

  • nombre de usuario@dominio
  • dominio\nombre de usuario

Para determinar el tipo de nombre de usuario que utiliza XenMobile:

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.
  2. Haga clic en LDAP para ver la configuración de la conexión LDAP.
  3. En la parte inferior de la página, verá el campo Buscar usuarios por:

    • Si está establecido en userPrincipalName, XenMobile está configurado para buscar usuarios por nombre UPN.
    • Si está establecido en sAMAccountName, XenMobile está configurado para buscar usuarios por cuenta SAM.

Aprovisionar el modo de dispositivo administrado de trabajo en Android for Work

El modo de dispositivo administrado de trabajo (Work-managed) solo está disponible para dispositivos que son propiedad de la empresa en Android for Work. XenMobile admite estos métodos de inscripción en el modo de dispositivo administrado de trabajo:

  • afw#xenmobile: Con este método de inscripción, el usuario escribe los caracteres “afw#xenmobile” al configurar el dispositivo. Este token identifica el dispositivo como administrado por XenMobile y descarga Secure Hub.
  • Código QR: El aprovisionamiento de códigos QR es una forma fácil de aprovisionar una flota distribuida de dispositivos que no admiten NFC, como las tabletas. Puede usar el método de inscripción por código QR en flotas de dispositivos que se han restablecido a sus valores de fábrica. El método de inscripción por código QR define y configura el modo de dispositivo administrado de trabajo escaneando un código QR en el asistente de configuración.
  • Conexión Near Field Communication (NFC): Puede usar el método de inscripción por conexión NFC en flotas de dispositivos que se han restablecido a sus valores de fábrica. Una conexión NFC transfiere datos entre dos dispositivos por transmisión de datos en proximidad. Bluetooth, Wi-Fi y otros modos de comunicación están inhabilitados en un dispositivo que ha sido restablecido a sus parámetros de fábrica. NFC es el único protocolo de comunicación que el dispositivo puede utilizar en ese estado.

afw#xenmobile

El método de inscripción se usa después de encender un dispositivo nuevo o restablecido a los valores de fábrica para la configuración inicial. Los usuarios escriben “afw#xenmobile” cuando se les solicita que escriban una cuenta de Google. Esta acción descarga e instala Secure Hub. Los usuarios siguen las indicaciones de configuración de Secure Hub para completar la inscripción.

Se recomienda este método de inscripción para la mayoría de los clientes porque la versión más reciente de Secure Hub se descarga desde la tienda Google Play. A diferencia de otros métodos de inscripción, no es necesario proporcionar Secure Hub para descargarlo desde el servidor XenMobile.

Requisitos previos:

  • Se respalda en todos los dispositivos con Android 5.0 y versiones posteriores.

Código QR

Para inscribir un dispositivo en el modo propietario mediante un código QR, debe generar un código QR. Para ello, cree un JSON y conviértalo en un código QR. La cámara del dispositivo escanea el código QR para inscribir el dispositivo.

Requisitos previos:

  • Se respalda en todos los dispositivos con Android 7.0 y versiones posteriores.

Crear un código QR a partir de un JSON

Cree un JSON con los siguientes campos.

Estos campos son obligatorios:

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valor: com.zenprise/com.zenprise.configuration.AdminFunction

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valor: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valor: https://path/to/securehub.apk

Nota:

Si Secure Hub se carga en el servidor Citrix XenMobile como una aplicación de empresa, se puede descargar desde https://<fqdn>:4443/*instanceName*/worxhome.apk. Se debe poder acceder a la ruta del APK de Secure Hub a través de la conexión Wi-Fi a la que se conectará el dispositivo durante el aprovisionamiento.

Estos campos son opcionales:

  • android.app.extra.PROVISIONING_LOCALE=<locale>: Indique los códigos de idioma y país.

    Los códigos de idioma son códigos de idioma ISO de dos letras minúsculas (por ejemplo, “es” para español), según se definen en ISO 639-1. Los códigos de país son códigos de país de dos letras mayúsculas (por ejemplo, “ES” para España), según se definen en ISO 3166-1. Por ejemplo, introduzca es_ES para el español hablado en España.

  • android.app.extra.PROVISIONING_TIME_ZONE=<timezone>: La zona horaria en que se ejecuta el dispositivo.

    Introduzca un nombre Olson con el formato área/ciudad. Por ejemplo: America/Los_Angeles para la zona horaria del Pacífico en Estados Unidos. Si no introduce ninguno, la zona horaria se rellena automáticamente.

  • android.app.extra.PROVISIONING_LOCAL_TIME: Tiempo en milisegundos desde epoch.

    El epoch de Unix (o la hora de Unix, la hora de POSIX o la marca de hora de Unix) es la cantidad de segundos que hayan transcurridos desde el 1 de enero de 1970 (medianoche UTC/GMT). En este tiempo no se cuentan los segundos intercalares (en ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: Establézcalo en true para omitir el cifrado durante la creación del perfil. Establezca esta opción en false para forzar el cifrado durante la creación del perfil.

Un archivo JSON típico es similar al siguiente:

Imagen de un archivo JSON típico

Valide el archivo JSON que se cree utilizando cualquier herramienta de validación JSON, como https://jsonlint.com. Convierta esa cadena JSON en un código QR utilizando cualquier generador de códigos QR en línea, como http://goqr.me.

Este código QR se escanea con un dispositivo restablecido a los valores de fábrica para inscribirlo en el modo de dispositivo administrado de trabajo.

Para inscribir el dispositivo

Para inscribir un dispositivo en el modo de dispositivo administrado de trabajo, este debe estar restablecido a los valores de fábrica.

  1. Toque seis veces en la pantalla de bienvenida para iniciar la inscripción por código QR.
  2. Cuando se le solicite, conéctese a la Wi-Fi. Se puede acceder a la ubicación de descarga que tenga establecido Secure Hub en el código QR (codificado en JSON) a través de esta red Wi-Fi.

    Una vez que el dispositivo se conecte a la red Wi-Fi, descarga un lector de códigos QR desde Google e inicia la cámara.

  3. Apunte la cámara al código QR para escanear el código.

    Android descarga Secure Hub desde la ubicación de descarga establecida en el código QR, valida la firma del certificado de firma, instala Secure Hub y establece el modo propietario del dispositivo.

Para obtener más información, consulte esta guía de Google para desarrolladores EMM de Android: https://developers.google.com/android/work/prov-devices#qr_code_method.

Conexión NFC

Para inscribir un dispositivo en el modo propietario del dispositivo por conexión NFC, se necesitan dos dispositivos: uno que se haya restablecido a sus parámetros de fábrica y uno que ejecute la herramienta XenMobile Provisioning Tool.

Requisitos previos:

  • Se respalda en todos los dispositivos con Android 5.0, Android 5.1, Android 6.0 y versiones posteriores.
  • La versión de servidor XenMobile 10.4 habilitada para Android for Work.
  • Un dispositivo con parámetros de fábrica, aprovisionado para Android for Work en el modo de dispositivo administrado de trabajo. Dispone de los pasos necesarios para completar este requisito previo más adelante en este artículo.
  • Otro dispositivo con capacidades de comunicación NFC, que ejecuta la herramienta Provisioning Tool configurada. La herramienta Provisioning Tool está disponible en Secure Hub 10.4 o en la página de descargas de Citrix.

Cada dispositivo puede tener un solo perfil de Android for Work, administrado por una aplicación para la administración de movilidad empresarial (EMM). En XenMobile, Secure Hub es la aplicación EMM. Solo se permite un perfil por dispositivo. Si intenta agregar una segunda aplicación EMM, se eliminará la primera.

Puede iniciar el modo de dispositivo administrado de trabajo en dispositivos nuevos o en dispositivos que han sido restaurados a sus valores de fábrica. Podrá administrar por completo el dispositivo con XenMobile.

Datos transferidos a través de la conexión NFC

Para aprovisionar un dispositivo restablecido a sus valores de fábrica, debe enviar los siguientes datos vía una conexión NFC para activar Android for Work:

  • Nombre del paquete de la aplicación de proveedor EMM que actuará como propietario del dispositivo (en este caso, Secure Hub).
  • Ubicación de intranet o Internet desde donde el dispositivo puede descargar la aplicación de proveedor EMM.
  • Valor hash SHA1 de la aplicación de proveedor EMM para verificar si la descarga fue correcta.
  • Datos de la conexión Wi-Fi para que un dispositivo restablecido a sus valores de fábrica pueda conectarse y descargar la aplicación de proveedor EMM. Nota: Android no admite 802.1x Wi-Fi para este paso.
  • Zona horaria del dispositivo (opcional).
  • Ubicación geográfica del dispositivo (opcional).

Cuando los dos dispositivos se conectan por NFC, los datos de la herramienta Provisioning Tool se envían al dispositivo restablecido a los valores de fábrica. Esos datos se utilizan para descargar Secure Hub con los parámetros del administrador. Si no introduce valores para la zona horaria y la ubicación geográfica, Android los configurará automáticamente en el nuevo dispositivo.

Configuración de la herramienta XenMobile Provisioning Tool

Antes de una conexión NFC, es necesario configurar la herramienta Provisioning Tool. Esta configuración se transfiere, a continuación, al dispositivo restablecido con parámetros de fábrica durante la conexión NFC.

Imagen de la configuración de Provisioning Tool

Puede introducir los datos en los campos requeridos o rellenar los campos mediante un archivo de texto. En los pasos del siguiente procedimiento, se describe cómo configurar un archivo de texto que contenga descripciones para cada campo. La aplicación no guarda información una vez introducida ésta, por lo que puede ser conveniente crear un archivo de texto para conservar esa información para el futuro.

Para configurar Provisioning Tool mediante un archivo de texto

Nombre el archivo nfcprovisioning.txt y colóquelo en la tarjeta SD del dispositivo (en la carpeta /sdcard/). La aplicación leerá el archivo de texto y rellenará los valores.

El archivo de texto debe contener los datos siguientes:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Esta línea es la ubicación de intranet o Internet de la aplicación de proveedor EMM. Una vez que el dispositivo restablecido a los valores de fábrica se conecte a Wi-Fi por conexión NFC, el dispositivo debe tener acceso a esta ubicación para la descarga. La URL es una dirección URL normal, sin formato especial.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Esta línea es la suma de comprobación de la aplicación de proveedor EMM. Esta suma de comprobación se utiliza para verificar que la descarga se ha realizado correctamente. Los pasos para obtener la suma de comprobación se describen más adelante en este artículo.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Esta línea es el SSID del dispositivo conectado por Wi-Fi donde se está ejecutando la herramienta Provisioning Tool.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Los valores admitidos son WEP y WPA2. Si la red Wi-Fi no está protegida, este campo debe estar vacío.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Si la red Wi-Fi no está protegida, este campo debe estar vacío.

android.app.extra.PROVISIONING_LOCALE=<locale>

Introduzca códigos de idioma y país. Los códigos de idioma son códigos de idioma ISO de dos letras minúsculas (por ejemplo, “es” para español), según se definen en ISO 639-1. Los códigos de país son códigos de país de dos letras mayúsculas (por ejemplo, “ES” para España), según se definen en ISO 3166-1. Por ejemplo, introduzca es_ES para el español hablado en España. Si no introduce ningún código, el país y el idioma se rellenan automáticamente.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

La zona horaria en que se ejecuta el dispositivo. Introduzca un nombre Olson con el formato área/ciudad. Por ejemplo: America/Los_Angeles para la zona horaria del Pacífico en Estados Unidos. Si no introduce ningún nombre, la zona horaria se rellena automáticamente.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Este dato no es necesario, porque el valor está codificado en la aplicación como “Secure Hub”. Se menciona aquí a título meramente informativo.

Si existe una red Wi-Fi protegida con WPA2, un archivo nfcprovisioning.txt completado puede tener el siguiente aspecto:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=http://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Si existe una red Wi-Fi no protegida, un archivo nfcprovisioning.txt completado puede tener el siguiente aspecto:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=http://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Para obtener la suma de comprobación de Secure Hub

Si quiere obtener la suma de comprobación de cualquier aplicación, agregue la aplicación como aplicación de empresa.

  1. En la consola de XenMobile, vaya a Configurar > Aplicaciones y haga clic en Agregar.

    Aparecerá la ventana Agregar aplicación.

  2. Haga clic en Enterprise.

    Aparecerá la página Información de la aplicación.

    Imagen de la página Información de la aplicación

  3. Seleccione la configuración siguiente y haga clic en Siguiente.

    Aparecerá la pantalla de la aplicación de empresa para Android for Work.

    Imagen de la página de la aplicación de empresa para Android for Work

  4. Facilite la ruta al archivo APK y haga clic en Siguiente para cargar el archivo.

    Una vez completada la carga, verá los datos del paquete cargado.

    Imagen de la página de carga de archivos

  5. Haga clic en Siguiente para ver la página desde donde descargar el archivo JSON, que podrá utilizar para hacer cargas en Google Play. Para Secure Hub, la carga en Google Play no es obligatoria, pero necesita el archivo JSON para leer el valor SHA1 en él.

    Imagen de la página de descarga de archivo JSON

    Un archivo JSON típico es similar al siguiente:

    Imagen de un archivo JSON típico

  6. Copie el valor file_sha1_base64 y úselo en el campo Hash de la herramienta Provisioning Tool.

    Nota: El hash debe ser contener caracteres que se puedan usar en las URL.

    • Convierta todos los símbolos + a -.
    • Convierta los símbolos / a _.
    • Reemplace \u003d por =.

    La aplicación hará la conversión de manera segura si guarda el hash en el archivo nfcprovisioning.txt, en la tarjeta SD del dispositivo. Sin embargo, si opta por introducir el hash manualmente, tendrá que comprobar usted mismo que el valor es compatible con direcciones URL.

Bibliotecas utilizadas

La herramienta Provisioning Tool utiliza las bibliotecas siguientes en su código fuente:

  • Biblioteca appcompat v7, biblioteca Design support y biblioteca Palette v7 de Google bajo la licencia de Apache 2.0

    Para obtener información, consulte Support Library Features Guide.

  • Butter Knife de Jake Wharton bajo la licencia de Apache 2.0

Aprovisionar el modo de perfil de trabajo en Android for Work

En Android for Work, el modo de perfil de trabajo está disponible para dispositivos en los que se separan de forma segura las áreas corporativas de las personales. Por ejemplo, el modo de perfil de trabajo está disponible para dispositivos BYOD. La experiencia de inscripción para el modo de perfil de trabajo es similar a la inscripción de Android en XenMobile. Los usuarios descargan Secure Hub desde Google Play e inscriben sus dispositivos.

De forma predeterminada, los parámetros de depuración por USB y fuentes desconocidas están inhabilitados en un dispositivo cuando se inscribe en Android for Work en el modo de perfil de trabajo.

Sugerencia:

Cuando inscriba dispositivos en Android for Work en el modo de perfil de trabajo, vaya siempre a Google Play. Desde allí, habilite Secure Hub para que aparezca en el perfil personal del usuario.

Respaldo a dispositivos COSU de Android for Work

XenMobile respalda la administración de dispositivos Android for Work de uso único y propiedad de la empresa (Corporate Owned Single Use o COSU). Los dispositivos COSU están diseñados para un uso concreto, como la señalización digital, la impresión de tíquets o la administración de inventario. Los administradores restringen estos dispositivos a una aplicación o conjunto pequeño de aplicaciones. Los administradores también impiden que los usuarios habiliten otras aplicaciones o realicen otras acciones en el dispositivo.

Para aprovisionar dispositivos COSU

  • Agregue un rol del control de acceso basado en roles (RBAC) que permita a los administradores de XenMobile inscribir dispositivos COSU en su implementación de XenMobile. Asigne este rol a los usuarios cuyos dispositivos COSU quiera inscribir.
  • Agregue un perfil de inscripción para los administradores de XenMobile a los que permite inscribir dispositivos COSU en su implementación de XenMobile.
  • Incluya en la lista blanca la aplicación o las aplicaciones a las que quiera que acceda el dispositivo COSU.
  • Opcionalmente, configure la aplicación incluida en la lista blanca para permitir el modo de bloqueo de tarea. Cuando una aplicación se encuentra en el modo de bloqueo de tarea, esa aplicación queda anclada a la pantalla del dispositivo cuando el usuario la abre. No aparece el botón Inicio y el botón Atrás está desactivado. El usuario sale de la aplicación usando una acción programada en la aplicación, como cerrar sesión.
  • Aprovisione cada dispositivo usando el método de xfw#mobile, conexión NFC o código QR cuando el dispositivo se encienda por primera vez después del restablecimiento de fábrica. Consulte afw#xenmobile, conexión NFC o código QR.

Requisitos del sistema

  • El respaldo para inscribir dispositivos Android COSU comienza a partir de Android 6.0.
  • El dispositivo debe ser nuevo o estar restablecido a los valores de fábrica.

Agregar el rol COSU

El rol RBAC para inscribir dispositivos COSU permite que XenMobile aprovisione y active silenciosamente una cuenta administrada de Google Play en el dispositivo. A diferencia de las cuentas de usuario administradas de Google Play, estas cuentas de dispositivo identifican un dispositivo que no está vinculado a ningún usuario.

Este rol RBAC se debe asignar a los administradores de XenMobile para permitirles inscribir los dispositivos COSU.

Para agregar el rol RBAC con el que inscribir dispositivos COSU

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. Haga clic en Control de acceso basado en roles. Aparecerá la página Control de acceso basado en roles con los cuatro roles de usuario predeterminados, además de los roles que haya agregado antes.

  3. Haga clic en Agregar. Aparecerá la página Agregar rol.

  4. Introduzca la siguiente información.

    • Nombre de RBAC: Indique “COSU” u otro nombre descriptivo para el rol. No se puede cambiar el nombre de un rol.
    • Plantilla de RBAC: Elija la plantilla ADMIN.
    • Acceso autorizado: Seleccione Acceso a consola de administración e Inscripción de dispositivos COSU.
    • Funcionalidad de la consola: Seleccione Dispositivos.
    • Aplicar permisos: Seleccione los grupos a los que aplicar el rol COSU. Si hace clic en Para grupos de usuarios específicos, aparecerá una lista de grupos. De esa lista, puede seleccionar un grupo o varios.
  5. Haga clic en Siguiente. Aparecerá la página Asignación.

  6. Escriba la siguiente información para asignar el rol a los grupos de usuarios.

    • Seleccionar dominio: En la lista, haga clic en un dominio.
    • Incluir grupos de usuarios: Haga clic en Buscar para ver una lista de todos los grupos disponibles. O bien, escriba un nombre de grupo completo o parcial para limitar la lista solo a los grupos con ese nombre.
    • En la lista que aparezca, seleccione los grupos de usuarios a los que asignar el rol. Cuando se selecciona un grupo de usuarios, el grupo aparece en la lista Grupos de usuarios seleccionados.

    Nota:

    Puede asignar un rol a grupos de usuarios solo para usuarios de Active Directory, no usuarios locales creados en XenMobile.

  7. Haga clic en Guardar.

Agregar un perfil de inscripción COSU

Cuando su implementación de XenMobile incluye dispositivos COSU, un único administrador de XenMobile o un pequeño grupo de administradores inscriben muchos dispositivos COSU. Para garantizar que estos administradores puedan inscribir todos los dispositivos necesarios, cree un perfil de inscripción para ellos con dispositivos ilimitados permitidos por usuario. Asigne este perfil a un grupo de entrega que contenga los administradores que inscriben los dispositivos COSU. De esta forma, incluso aunque el perfil global predeterminado tiene una cantidad limitada de dispositivos permitidos por usuario, los administradores pueden inscribir una cantidad ilimitada de dispositivos. Esos administradores deben estar en el perfil de inscripción de COSU.

  1. Vaya a Configurar > Perfiles de inscripción. Aparecerá el perfil predeterminado “Global”.

  2. Para agregar un perfil de inscripción, haga clic en Agregar. En la página “Información de inscripción”, escriba un nombre para el perfil de inscripción. Compruebe que la cantidad de dispositivos que puedan inscribir los miembros de este perfil sea ilimitada.

    Imagen de la pantalla de configuración de perfiles de inscripción

  3. Haga clic en Siguiente. Aparecerá la pantalla “Asignación de grupos de entrega”.

  4. Elija un grupo o varios grupos de entrega que contengan los administradores que inscriben los dispositivos COSU. Luego haga clic en Guardar.

    La página “Perfil de inscripción” aparece con el perfil que ha agregado.

    Imagen de la pantalla de configuración de perfiles de inscripción

Incluir aplicaciones en la lista blanca y establecer el modo de bloqueo de tarea

La directiva de quiosco permite incluir aplicaciones en la lista blanca y establecer el modo de bloqueo de tarea. De forma predeterminada, los servicios de Secure Hub y Google Play están incluidos en la lista blanca.

Para agregar la directiva de quiosco

  1. En la consola de XenMobile, haga clic en Configurar > Directivas de dispositivo. Aparecerá la página Directivas de dispositivo.

  2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Agregar nueva directiva.

  3. Expanda Más y, a continuación, en “Seguridad”, haga clic en Quiosco. Aparecerá la página de asignación Directiva de quiosco.

  4. En “Plataformas”, seleccione Android for Work.

  5. En el panel “Información de directiva”, escriba el nombre de la directiva y una descripción opcional.

  6. Haga clic en Siguiente y, a continuación, en Agregar.

  7. Para incluir una aplicación en la lista blanca y permitir o denegar el modo de bloqueo de tarea para esa aplicación

    En la lista, seleccione la aplicación que quiere incluir en la lista blanca.

    Seleccione Permitir para que la aplicación quede anclada en la pantalla del dispositivo cuando el usuario la abra. Elija Denegar para que la aplicación no quede anclada. El valor predeterminado es Permitir.

    Imagen de la pantalla de configuración de directivas de dispositivo

  8. Haga clic en Guardar.

  9. Para incluir otra aplicación en la lista blanca y permitir o denegar el modo de bloqueo de tarea para esa aplicación, haga clic en Agregar.

  10. Configure las reglas de implementación y elija los grupos de entrega. Para obtener más información, consulte Directivas de dispositivo.