Guía de implementación: migración del administrador de dispositivos Android a Android Enterprise con Citrix Endpoint Management

Introducción

Android Enterprise es un conjunto de herramientas y servicios proporcionados por Google como una solución de administración empresarial para dispositivos Android. Con Android Enterprise, utiliza Citrix Endpoint Management (CEM) para administrar dispositivos Android de propiedad corporativa y traer sus propios dispositivos Android (BYOD). Puede administrar todo el dispositivo o un perfil independiente en el dispositivo. Ese perfil independiente aísla las cuentas, las aplicaciones y los datos empresariales de las cuentas por un lado, y las aplicaciones y los datos personales por el otro. También puede administrar dispositivos dedicados a un solo uso, como la administración de inventario.

Para obtener una descripción general de las capacidades de Android Enterprise de Google, consulta Android Enterprise Management

Antes de Android Enterprise, las empresas utilizaban el Administrador de dispositivos (DA) para administrar y proteger dispositivos Android. Con las necesidades de las organizaciones cambiantes, los dispositivos ahora están alcanzando más datos corporativos y confidenciales que nunca. Al mismo tiempo, los usuarios finales requieren protección de los datos personales y están preocupados por su privacidad. Con esto Google anunció la obsoleta del modo Administrador de dispositivos (DA) a favor de Android Enterprise, una plataforma de gestión moderna que se centra en la seguridad y la privacidad del usuario. Google recomienda que los clientes que utilicen el modo de administrador de dispositivos migren a Android Enterprise debido a la obsoleta del Administrador de dispositivos (DA).

Esta guía pretende proporcionar información paso a paso sobre cómo pasar de una implementación de Android de administrador de dispositivos heredado a Android Enterprise mediante una cuenta de Google Play administrada.

Para obtener más información, consulte el Bluebook de migración de Android Enterprise.

Requisitos previos para usar Android Enterprise

Cuando integra CEM con Google Play administrado para usar Android Enterprise, se crea una empresa. Google define una empresa como un enlace entre la organización Android Enterprise y su solución de administración móvil empresarial (EMM). El registro de Citrix como proveedor de EMM es necesario como parte de este proceso. Todos los usuarios y dispositivos que administra la organización a través de su solución EMM pertenecen a la empresa creada.

Si no utilizas una cuenta de G-Suite, se requiere una cuenta de Google compartida personal/corporativa para completar el registro empresarial. Esta cuenta es responsable de esta empresa y se convierte en la principal cuenta administrada de Google Play. Puede encontrar más información visitando el siguiente enlace.

El G-Suite y las cuentas compartidas personal/corporativas son gratuitas. La principal diferencia entre una cuenta de Google Play administrada y una cuenta de Google administrada es que la cuenta de Google administrada se basa en una suscripción de G-Suite y necesita demostrar la propiedad del dominio. Consulte el siguiente enlace.

Si no tiene una cuenta de Google disponible para crear esta empresa, siga las instrucciones y los requisitos previos siguientes para crear su cuenta.

Para los administradores de Citrix Endpoint Management (CEM), Google Play administrado combina la experiencia del usuario y las funciones de la tienda de aplicaciones de Google Play diseñadas para empresas.

Google Play administrado proporciona un almacén para los usuarios finales administrada y controlada por el administrador.

Activación de Android Enterprise

Para configurar Android Enterprise en su organización, registre Citrix como su proveedor de EMM a través de Google Play administrado. Al completar esta configuración, se creará la empresa que conecta Google Play administrado a Citrix Endpoint Management.

La infraestructura de Google Play se utiliza para ofrecer servicios que incluyen un almacén de entrega de aplicaciones empresariales administradas y privadas. Google Play también es donde viven los perfiles de dispositivos. La buena noticia es que la configuración es bastante simple.

Para activar Android Enterprise, vaya a la configuración de CEM, seleccione Android Enterprise y siga las instrucciones.

da-to-ae-migration-Image-01

Nota: Según la versión de Endpoint Management, verá un tipo diferente de menú utilizado para crear la cuenta de Android Enterprise. En todas las versiones se agrega un ID de empresa para Android Enterprise en la consola.

da-to-ae-migration-Image-01

Selecciona Habilitar su Android Enterprise.

Nota: Si ya utilizas perfiles de inscripción con el modo heredado de Android, puede ver el siguiente mensaje:

da-to-ae-migration-Image-01

Perfiles de inscripción de configuración para Android Enterprise

En Citrix Endpoint Management y en XenMobile versión 10.12+ tenemos varios perfiles de inscripción. Los perfiles de inscripción controlan la forma en que se inscriben los dispositivos Android si Android Enterprise está habilitado para la implementación de Endpoint Management. Los perfiles de inscripción determinan si los dispositivos Android están inscritos como dispositivos Android Enterprise o como dispositivos antiguos (administrador de dispositivos).

Estos perfiles permiten a los administradores iniciar la migración sencilla a Android Enterprise. El soporte completo para todos los perfiles de gestión de Android Enterprise está disponible.

  • Dispositivos totalmente administrados
  • Dispositivos dedicados (Dispositivos COSU)
  • Dispositivos totalmente administrados con un perfil de trabajo (Dispositivos de superación)

Nota: Con las implementaciones en la nube, hay más opciones disponibles para diferenciar entre el perfil de trabajo y otros modos. Tampoco se requiere RBAC para la configuración de dispositivos dedicados

Las implementaciones en las instalaciones no tienen esta opción y deben utilizar RBAC para la configuración de dispositivos dedicados. Las implementaciones en las instalaciones tampoco ofrecen una opción dentro de Perfiles de inscripción para dispositivos dedicados. Consulte lo siguiente para obtener más información.

Para obtener información adicional sobre los perfiles de inscripción, visite el enlace.

Nota: Con Android 11, todo esto está a punto de cambiar. Lee el blog Cambios futuros para el perfil totalmente administrado con trabajo de Android Enterprise para obtener más información.

da-to-ae-migration-Image-01

Al crear perfiles de inscripción, debe asignarles grupos de entrega. Si un usuario pertenece a varios grupos de entrega que tienen perfiles de inscripción diferentes, el nombre del grupo de entrega determina el perfil de inscripción utilizado.

En un conflicto de grupo de entrega, seleccione el grupo de entrega que aparece en último lugar en una lista alfabetizada de grupos de entrega. Para obtener más información, consulte Perfiles de inscripción.

IMPORTANTE: No asignes el nuevo perfil de inscripción a ningún grupo de entrega en este momento si tiene un usuario que pertenece a varios grupos de entrega.

Creación del grupo de entrega para su uso en Android Enterprise

La mejor manera de empezar es copiar un grupo de entrega existente para asociarlo a un perfil de inscripción de Android Enterprise:

  • Paso 1: Asigne un nombre al nuevo grupo de entrega
    • Asegúrese de que el nombre es el apellido alfabéticamente. Ejemplo zTestUserGroup
  • Paso 2: Asignar el nuevo grupo de entrega al nuevo perfil de inscripción
    • NO asignes un grupo de AD al grupo de entrega hasta que se complete la configuración

Aplicaciones de migración

Aplicaciones móviles de productividad para usuarios de Android Enterprise

Aunque CEM admite muchos tipos de aplicaciones diferentes, para este caso de migración, mostramos cómo migrar Secure Mail.

  • Paso 1: Crear una categoría de aplicación para aplicaciones heredadas de iOS y Android existentes

    da-to-ae-migration-Image-01

  • Paso 2: Mueva Citrix Secure Mail configurado para Android (DA heredado) a esta nueva categoría para tener una clara separación de las aplicaciones Android (DA heredadas). NOTA: Esta acción debe realizarse para todas las aplicaciones Android (DA heredadas) en su entorno

  • Paso 3: Modifique Secure Mail Android (DA heredado) con la siguiente regla de implementación para evitar que se muestre la aplicación dos veces en Secure Hub (uno: Android (DA heredado) Dos: Android Enterprise)

da-to-ae-migration-Image-01

Limitar por nombre de propiedad de dispositivo conocido Android Enterprise Enabled Device ID no es igual a true

Nota: Este valor solo está disponible si ya ha inscrito un dispositivo Android Enterprise

  • Paso 4: Cree una segunda categoría para Secure Mail para Android Enterprise NOTA: Esta acción debe realizarse para todas las aplicaciones Android Enterprise en su entorno.

  • Paso 5: Configurar Secure para Android Enterprise
  • Ejemplo: SecureMail_AE
    • Asigne la aplicación a la categoría Android Enterprise.
    • Configure la aplicación para su uso únicamente en Android Enterprise.
    • Aprueba la aplicación en Google Play for Work Store dentro de la consola CEM.
    • Asigne la aplicación al grupo de entrega para utilizarla en el perfil de inscripción de Android Enterprise.
  • Paso 6: Modifique las directivas y acciones de la aplicación para que coincidan con su versión anterior de Secure Mail Android (DA heredado) en la sección Android Enterprise.

Publicación de aplicaciones empresariales (MDX y no MDX)

Si no utiliza aplicaciones empresariales o empaquetadas desarrolladas de forma privada, puede omitir esta sección. Haga clic aquí para ir a la siguiente sección.

Todas las aplicaciones empresariales deben cargarse a Google Play para usarlas con Android Enterprise. Para simplificar el flujo de trabajo de administración de aplicaciones de los administradores de TI, hemos integrado el iframe de Google Play administrado en Citrix Endpoint Management (CEM). Esto permite a los administradores de TI aprobar y publicar aplicaciones públicas o privadas desde la consola CEM. Los administradores ya no necesitan salir de la consola a los portales de Play administrado o Developer para aprobar o publicar aplicaciones. Este iFrame le permite subir a Google Play sin crear una cuenta de desarrollador de Google (ahorrando $25). Una vez que los administradores de TI cargan las aplicaciones empresariales, solo estarán disponibles dentro de la implementación empresarial.

Agregar una aplicación empresarial privada como aplicación Android Enterprise (no mdx)

En Endpoint Management Console, haga clic en configurar > Aplicaciones y seleccione Aplicaciones empresariales y cargue el apk. El botón de carga abre la tienda de Google Play administrado.

da-to-ae-migration-Image-01

Agregar aplicaciones privadas de Android Enterprise como aplicación empresarial envuelta en MDX

Utilice el kit de herramientas de línea de comandos para envolver una aplicación privada de AE con MDX Toolkit. Su salida es:

a. Envuelto .apk (tamaño mayor que el apk original)

b. archivo.mdx

  • Sube el .apk a Google Play (similar a las aplicaciones que no son mdx anteriores)
  • Ir a publicar la aplicación MDX y cargar el archivo mdx

Para más detalles y un ejemplo de envoltorio, visita

Edición de directivas existentes para el tipo de dispositivo correcto Android (DA heredado) y Android Enterprise (AE)

Para diferenciar dispositivos habilitados para Android Enterprise y Android (DA heredado), se puede usar una regla de implementación para garantizar que las directivas correctas se entregan con la aplicación al dispositivo correcto. Para Android (DA heredado): ¿Limitar por nombre de propiedad de dispositivo conocido Android Enterprise Enabled Device? No es igual a verdadero

Esta regla de implementación comprueba si el dispositivo Android NO está habilitado para Android Enterprise y entrega las directivas junto con la aplicación.

da-to-ae-migration-Image-01

Esta regla de implementación comprueba si el dispositivo Android está habilitado para Android Enterprise y entrega las directivas junto con la aplicación.

da-to-ae-migration-Image-01

Pruebas y revisión

Para probar, asigne un grupo de Active Directory al grupo de entrega creado recientemente utilizado para Android Enterprise. Utilice el mismo grupo de anuncios que antes en el grupo de entrega existente.

Vuelva a inscribir el dispositivo del usuario para iniciar el proceso de inscripción de Android Enterprise. Tenga en cuenta el nuevo aspecto y la sensación de Android Enterprise

Anular la inscripción y volver a inscribir el dispositivo

Los usuarios pueden desinscribirse una vez dentro de Secure Hub. Siga las instruccionesdetalladas

En esta guía estamos mediante el modo propietario del perfil de trabajo, de modo que el dispositivo no necesita ser nuevo o restablecerse de fábrica.

da-to-ae-migration-Image-01

El dispositivo ahora está habilitado Android Enterprise.

Desde la consola CEM, vaya a Administrar seguido de Dispositivos para obtener una descripción general de qué dispositivos están habilitados para Android Enterprise.

da-to-ae-migration-Image-01

Después de volver a inscribirse correctamente, puede ver dos dispositivos, uno Android (DA heredado) y el otro Android Enterprise. El dispositivo Android anterior (DA heredado) se puede eliminar para garantizar la lista de dispositivos más actualizada.