Android Enterprise

Android Enterprise es un conjunto de herramientas y servicios proporcionados por Google como solución de administración empresarial para dispositivos Android. Con Android Enterprise:

• Usas XenMobile® para administrar dispositivos Android propiedad de la empresa y dispositivos Android de tipo “trae tu propio dispositivo” (BYOD).

• Puedes administrar todo el dispositivo o un perfil independiente en el dispositivo. El perfil independiente aísla las cuentas, aplicaciones y datos empresariales de las cuentas, aplicaciones y datos personales.

• También puedes administrar dispositivos dedicados a un solo uso, como la gestión de inventario. Para obtener una descripción general de las capacidades de Android Enterprise de Google, consulta Administración de Android Enterprise.

Recursos:

• Para obtener una lista de términos y definiciones relacionados con Android Enterprise, consulta Terminología de Android Enterprise en la guía para desarrolladores de Android Enterprise de Google. Google actualiza estos términos con frecuencia.

• Para conocer los sistemas operativos Android compatibles con XenMobile, consulta Sistemas operativos de dispositivos compatibles.

• Para obtener información sobre las conexiones salientes que debes tener en cuenta al configurar entornos de red para Android Enterprise, consulta el artículo de asistencia de Google, Requisitos de red de Android Enterprise.

Cuando integras XenMobile con Google Play administrado para usar Android Enterprise, creas una empresa. Google define una empresa como la vinculación entre la organización y tu solución de administración de movilidad empresarial (EMM). Todos los usuarios y dispositivos que la organización administra a través de tu solución pertenecen a su empresa.

Una empresa para Android Enterprise tiene tres componentes: una solución EMM, una aplicación de controlador de políticas de dispositivo (DPC) y una plataforma de aplicaciones empresariales de Google. Cuando integras XenMobile con Android Enterprise, la solución completa tiene estos componentes:

• XenMobile: La EMM de Citrix. XenMobile es la solución unificada de XenMobile para un espacio de trabajo digital seguro. XenMobile proporciona los medios para que los administradores de TI administren dispositivos y aplicaciones para sus organizaciones.
• Citrix Secure Hub™: La aplicación DPC de Citrix. Secure Hub es la plataforma de lanzamiento de XenMobile. Secure Hub aplica políticas en el dispositivo.
• Google Play administrado: Una plataforma de aplicaciones empresariales de Google que se integra con XenMobile. La API de EMM de Google Play establece políticas de aplicaciones y distribuye aplicaciones.

Esta ilustración muestra cómo los administradores interactúan con estos componentes y cómo los componentes interactúan entre sí:

Uso de Google Play administrado con XenMobile

Nota:

Puedes usar Google Play administrado o Google Workspace para registrar Citrix como tu proveedor de EMM. Este artículo trata sobre el uso de Android Enterprise con Google Play administrado. Si tu organización usa Google Workspace para proporcionar acceso a aplicaciones, puedes usarlo con Android Enterprise. Consulta Android Enterprise heredado para clientes de Google Workspace (anteriormente G-Suite).

Cuando usas Google Play administrado, aprovisionas cuentas de Google Play administrado para dispositivos y usuarios finales. Las cuentas de Google Play administrado proporcionan acceso a Google Play administrado, lo que permite a los usuarios instalar y usar las aplicaciones que pones a su disposición. Si tu organización usa un servicio de identidad de terceros, puedes vincular las cuentas de Google Play administrado con tus cuentas de identidad existentes.

Debido a que este tipo de empresa no está vinculado a un dominio, puedes crear más de una empresa para una sola organización. Por ejemplo, cada departamento o región dentro de una organización puede inscribirse como una empresa diferente para administrar conjuntos separados de dispositivos y aplicaciones.

Para los administradores de XenMobile, Google Play administrado combina la experiencia del usuario y las funciones de la tienda de aplicaciones de Google Play con un conjunto de capacidades de administración diseñadas para empresas. Usas Google Play administrado para agregar, comprar y aprobar aplicaciones para su implementación en el espacio de trabajo de Android Enterprise en un dispositivo. Puedes usar Google Play para implementar aplicaciones públicas, aplicaciones privadas y aplicaciones de terceros.

Para los usuarios de dispositivos administrados, Google Play administrado es la tienda de aplicaciones empresariales. Los usuarios pueden explorar aplicaciones, ver los detalles de las aplicaciones e instalarlas. A diferencia de la versión pública de Google Play, los usuarios solo pueden instalar aplicaciones de Google Play administrado que tú pongas a su disposición.

Escenarios de implementación de dispositivos y modos de funcionamiento

El escenario de implementación de dispositivos se refiere a quién posee los dispositivos que implementas y cómo los administras. Los perfiles de dispositivo se refieren a cómo el DPC administra y aplica políticas en los dispositivos.

Un perfil de trabajo aísla las cuentas, aplicaciones y datos empresariales de las cuentas, aplicaciones y datos personales. Para obtener más detalles sobre los perfiles de trabajo, consulta el tema de ayuda de Google Android Enterprise, Qué es un perfil de trabajo.

Importante:

Cuando los dispositivos Android Enterprise se actualizan a Android 11, Google migra los dispositivos administrados como “totalmente administrados con un perfil de trabajo” a una nueva experiencia de perfil de trabajo con seguridad mejorada. Para obtener más información, consulta Cambios futuros para los dispositivos Android Enterprise totalmente administrados con un perfil de trabajo.

* Los usuarios pueden compartir un dispositivo dedicado. Cuando un usuario inicia sesión en una aplicación en un dispositivo dedicado, el estado de su trabajo está con la aplicación, no con el dispositivo.

** XenMobile no es compatible con los dispositivos Zebra en modo de perfil de trabajo BYOD. XenMobile es compatible con los dispositivos Zebra como dispositivos totalmente administrados y en modo heredado de dispositivo (también llamado modo de administrador de dispositivo).

Para obtener información sobre cómo migrar del modo heredado al modo de propietario del dispositivo o propietario del perfil, consulta Migrar de la administración de dispositivos a Android Enterprise.

Métodos de autenticación

Los perfiles de inscripción determinan si los dispositivos Android se inscriben en MAM, MDM o MDM+MAM, con la opción de que los usuarios opten por no participar en MDM.

Para obtener información sobre cómo especificar el nivel de seguridad y los pasos de inscripción requeridos, consulta Configurar modos de seguridad de inscripción.

XenMobile es compatible con los siguientes métodos de autenticación para dispositivos Android inscritos en MDM+MAM. Para obtener información, consulta los artículos en Certificados y autenticación.

• Dominio
• Dominio más token de seguridad
• Certificado de cliente
• Certificado de cliente más dominio
• Proveedores de identidad:
  • Azure Active Directory
  • Proveedor de identidad de Citrix

Otro método de autenticación poco utilizado es el certificado de cliente más el token de seguridad. Para obtener información, consulta https://support.citrix.com/article/CTX215200.

Requisitos

Antes de empezar a usar Android Enterprise, necesitas:

• Cuentas y credenciales:

  • Para configurar Android Enterprise con Google Play administrado, una cuenta de Google corporativa
  • Para descargar los últimos archivos MDX, una cuenta de cliente de Citrix
  • Para implementar aplicaciones privadas (opcional), una cuenta de desarrollador de Google

• Firebase Cloud Messaging (FCM) configurado para XenMobile. Consulta Firebase Cloud Messaging para obtener instrucciones.

• Para Samsung Knox Mobile Enrollment (opcional), licencias premium de Knox.

Conexión de XenMobile a Google Play

Para configurar Android Enterprise para tu organización, registra Citrix como tu proveedor de EMM a través de Google Play administrado. Esa configuración conecta Google Play administrado a XenMobile y crea una empresa para Android Enterprise en XenMobile.

Necesitas una cuenta de Google corporativa para iniciar sesión en Google Play.

1. En la consola de XenMobile, haz clic en el icono de engranaje en la esquina superior derecha. Aparece la página Configuración.

2. Ve a Configuración > Android Enterprise.

1. Haz clic en Conectar. Se abre Google Play.

1. Inicia sesión en Google Play con tus credenciales de cuenta de Google corporativa. Introduce el nombre de tu organización y confirma que Citrix es tu proveedor de EMM.

2. Se agrega un ID de empresa para Android Enterprise. Para habilitar Android Enterprise, desliza Habilitar Android Enterprise a Sí.

   

Tu ID de empresa aparece en la consola de XenMobile.

Tu entorno está conectado a Google y listo para administrar los dispositivos. Ahora puedes proporcionar aplicaciones a los usuarios.

XenMobile se puede usar para proporcionar a los usuarios aplicaciones de productividad móvil de Citrix, aplicaciones MDX, aplicaciones de tiendas de aplicaciones públicas, aplicaciones web y SaaS, aplicaciones empresariales y enlaces web. Para obtener más información sobre estos tipos de aplicaciones y cómo proporcionarlas a los usuarios, consulta Agregar aplicaciones.

La siguiente sección muestra cómo proporcionar aplicaciones de productividad móvil.

Provisión de aplicaciones de productividad móvil de Citrix a usuarios de Android Enterprise

La provisión de aplicaciones de productividad móvil de Citrix para usuarios de Android Enterprise requiere estos pasos.

1. Publica las aplicaciones como aplicaciones MDX. Consulta Configurar aplicaciones como aplicaciones MDX.

2. Configura las reglas para los desafíos de seguridad que tus usuarios usan para acceder a los perfiles de trabajo en sus dispositivos. Consulta Configurar la política de desafíos de seguridad.

Las aplicaciones que publicas están disponibles para los dispositivos inscritos en tu empresa de Android Enterprise.

Nota:

Cuando implementas una aplicación de tienda de aplicaciones pública de Android Enterprise en un usuario de Android, ese usuario se inscribe automáticamente en Android Enterprise.

Configurar aplicaciones como aplicaciones MDX

Para configurar una aplicación de productividad de Citrix como una aplicación MDX para Android Enterprise:

1. En la consola de XenMobile, haz clic en Configurar > Aplicaciones. Aparece la página Aplicaciones.

   

2. Haz clic en Agregar. Aparece el cuadro de diálogo Agregar aplicación.

   

3. Haz clic en MDX. Aparece la página Información de la aplicación.

4. En el lado izquierdo de la página, selecciona Android Enterprise como plataforma.

5. En la página Información de la aplicación, escribe la siguiente información:

   • Nombre: Escribe un nombre descriptivo para la aplicación. Este nombre aparece en Nombre de la aplicación en la tabla Aplicaciones.
   • Descripción: Escribe una descripción opcional de la aplicación.
   • Categoría de la aplicación: Opcionalmente, en la lista, haz clic en la categoría a la que quieres agregar la aplicación. Para obtener más información sobre las categorías de aplicaciones, consulta Acerca de las categorías de aplicaciones.

6. Haz clic en Siguiente. Aparece la página Aplicación MDX de Android Enterprise.

7. Haz clic en Cargar y navega hasta la ubicación de los archivos .mdx de la aplicación. Selecciona el archivo y haz clic en Abrir.

8. La interfaz de usuario te notifica si la aplicación adjunta requiere aprobación de la tienda administrada de Google Play. Para aprobar la aplicación sin salir de la consola de XenMobile, haz clic en Sí.

   

9. Cuando se abra la página de la tienda administrada de Google Play, haz clic en Aprobar.

   

10. Haz clic en Aprobar de nuevo.

11. Selecciona Mantener aprobada cuando la aplicación solicite nuevos permisos. Haz clic en Guardar.

    

12. Cuando la aplicación esté aprobada y guardada, aparecerán más configuraciones en la página. Configura estas opciones:

    • Nombre de archivo: Escribe el nombre de archivo asociado a la aplicación.
    • Descripción de la aplicación: Escribe una descripción para la aplicación.
    • Pista de producto: Especifica qué pista de producto quieres enviar a los dispositivos de los usuarios. Si tienes una pista diseñada para pruebas, puedes seleccionarla y asignarla a tus usuarios. El valor predeterminado es Producción.
    • Versión de la aplicación: Opcionalmente, escribe el número de versión de la aplicación.
    • ID de paquete: La URL de la aplicación en la tienda de Google Play.
    • Versión mínima del SO: Opcionalmente, escribe la versión más antigua del sistema operativo que el dispositivo puede ejecutar para usar la aplicación.
    • Versión máxima del SO: Opcionalmente, escribe la versión más reciente del sistema operativo que el dispositivo debe ejecutar para usar la aplicación.
    • Dispositivos excluidos: Opcionalmente, escribe el fabricante o los modelos de dispositivos que no pueden ejecutar la aplicación.

13. Configura las Directivas MDX. Para obtener más información sobre las directivas de aplicaciones para aplicaciones MDX, consulta Directivas MDX de un vistazo y Descripción general del SDK de MAM.

14. Configura las reglas de implementación. Para obtener información, consulta Implementar recursos.

15. Expande Configuración de la tienda. Esta configuración no se aplica a las aplicaciones de Android Enterprise, que solo aparecen en Google Play administrado.

    

    Opcionalmente, puedes agregar una sección de preguntas frecuentes (FAQ) para la aplicación o capturas de pantalla que aparecen en la tienda de aplicaciones. También puedes configurar si los usuarios pueden calificar o comentar la aplicación.

    • Configura estas opciones:
      • Preguntas frecuentes de la aplicación: Agrega preguntas y respuestas frecuentes para la aplicación.
      • Capturas de pantalla de la aplicación: Agrega capturas de pantalla para ayudar a clasificar la aplicación en la tienda de aplicaciones. El gráfico que subas debe ser un PNG. No puedes subir una imagen GIF o JPEG.
      • Permitir calificaciones de la aplicación: Selecciona si quieres permitir que un usuario califique la aplicación. El valor predeterminado es ACTIVADO.
      • Permitir comentarios de la aplicación: Selecciona si quieres permitir que los usuarios comenten sobre la aplicación seleccionada. El valor predeterminado es ACTIVADO.

16. Haz clic en Siguiente. Aparece la página Aprobaciones.

    

    Usas flujos de trabajo cuando necesitas aprobación al crear cuentas de usuario. Si no quieres configurar flujos de trabajo de aprobación, puedes saltar al Paso 15.

    Configura estas opciones para asignar o crear un flujo de trabajo:

    • Flujo de trabajo a usar: En la lista, haz clic en un flujo de trabajo existente o haz clic en Crear un nuevo flujo de trabajo. El valor predeterminado es Ninguno.
    • Si seleccionas Crear un nuevo flujo de trabajo, configura estas opciones. Para obtener más información, consulta Aplicar flujos de trabajo.
    • Nombre: Escribe un nombre único para el flujo de trabajo.
    • Descripción: Opcionalmente, escribe una descripción para el flujo de trabajo.
    • Plantillas de aprobación de correo electrónico: En la lista, selecciona la plantilla de aprobación de correo electrónico que se asignará. Cuando haces clic en el icono del ojo a la derecha de este campo, aparece un cuadro de diálogo donde puedes previsualizar la plantilla.
    • Niveles de aprobación del gerente: En la lista, selecciona el número de niveles de aprobación del gerente requeridos para este flujo de trabajo. El valor predeterminado es 1 nivel. Las opciones posibles son:
      • No necesario
      • 1 nivel
      • 2 niveles
      • 3 niveles
    • Seleccionar dominio de Active Directory: En la lista, selecciona el dominio de Active Directory apropiado que se usará para el flujo de trabajo.
    • Buscar aprobadores adicionales requeridos: Escribe el nombre de la persona adicional requerida en el campo de búsqueda y luego haz clic en Buscar. Los nombres provienen de Active Directory.
    • Cuando el nombre aparezca en el campo, selecciona la casilla de verificación junto al nombre. El nombre y la dirección de correo electrónico aparecen en la lista Aprobadores adicionales requeridos seleccionados.
      • Para quitar una persona de la lista Aprobadores adicionales requeridos seleccionados, haz una de las siguientes acciones:
        • Haz clic en Buscar para ver una lista de todas las personas en el dominio seleccionado.
        • Escribe un nombre completo o parcial en el cuadro de búsqueda y luego haz clic en Buscar para limitar los resultados de la búsqueda.
        • Las personas en la lista Aprobadores adicionales requeridos seleccionados tienen marcas de verificación junto a su nombre en la lista de resultados de búsqueda. Desplázate por la lista y desmarca la casilla de verificación junto a cada nombre que quieras quitar.

17. Haz clic en Siguiente. Aparece la página Asignación de grupo de entrega.

    

18. Junto a Elegir grupos de entrega, escribe para buscar un grupo de entrega o selecciona uno o varios grupos en la lista. Los grupos que selecciones aparecen en la lista Grupos de entrega para recibir la asignación de la aplicación.

19. Expande Programación de implementación y luego configura las siguientes opciones:

    • Junto a Implementar, haz clic en ACTIVADO para programar la implementación o haz clic en DESACTIVADO para evitar la implementación. La opción predeterminada es ACTIVADO.
    • Junto a Programación de implementación, haz clic en Ahora o Más tarde. La opción predeterminada es Ahora.
    • Si haces clic en Más tarde, haz clic en el icono del calendario y luego selecciona la fecha y la hora para la implementación.
    • Junto a Condición de implementación, haz clic en En cada conexión o haz clic en Solo cuando la implementación anterior haya fallado. La opción predeterminada es En cada conexión.

    • Junto a Implementar para conexión siempre activa, asegúrate de que DESACTIVADO esté seleccionado. La opción predeterminada es DESACTIVADO. Las conexiones siempre activas no están disponibles para Android Enterprise si empezaste a usar XenMobile con la versión 10.18.19 o posterior. No recomendamos las conexiones para los clientes que empezaron a usar XenMobile antes de la versión 10.18.19.

      Esta opción se aplica cuando has configurado la clave de implementación en segundo plano de programación en Configuración > Propiedades del servidor.

      La programación de implementación que configures es la misma para todas las plataformas. Cualquier cambio que hagas se aplica a todas las plataformas, excepto a Implementar para conexión siempre activa.

20. Haz clic en Guardar.

Repite los pasos para configurar una aplicación MDX para cada aplicación de productividad móvil.

Configurar la directiva de desafío de seguridad

La directiva de dispositivo de código de acceso de XenMobile configura el conjunto de reglas para los desafíos de seguridad que los usuarios deben superar para acceder a sus dispositivos o a los perfiles de trabajo de Android Enterprise en sus dispositivos. Un desafío de seguridad puede ser un código de acceso o un reconocimiento biométrico. Para obtener más información sobre la directiva de código de acceso, consulta Directiva de dispositivo de código de acceso.

• Si tu implementación de Android Enterprise incluye dispositivos BYOD, configura la directiva de código de acceso para el perfil de trabajo.
• Si tu implementación incluye dispositivos totalmente administrados propiedad de la empresa, configura la directiva de código de acceso para el propio dispositivo.
• Si tu implementación incluye ambos tipos de dispositivos, configura ambos tipos de directiva de código de acceso.

Para configurar la directiva de código de acceso:

1. En la consola de XenMobile, ve a Configurar > Directivas de dispositivo.

2. Haz clic en Agregar.

3. Haz clic en Mostrar filtro para mostrar el panel Plataforma de directivas. En el panel Plataforma de directivas, selecciona Android Enterprise.

4. Haz clic en Código de acceso en el panel derecho.

1. Introduce un Nombre de directiva. Haz clic en Siguiente.

   

2. Configura las opciones de la directiva de código de acceso.
   • Establece Código de acceso del dispositivo requerido en Activado para ver las opciones disponibles para los desafíos de seguridad del propio dispositivo.
   • Establece Desafío de seguridad del perfil de trabajo en Activado para ver las opciones disponibles para los desafíos de seguridad del perfil de trabajo.

3. Haz clic en Siguiente.

4. Asigna la directiva a uno o varios grupos de entrega.

5. Haz clic en Guardar.

Crear perfiles de inscripción

Los perfiles de inscripción controlan cómo se inscriben los dispositivos Android si Android Enterprise está habilitado para tu implementación de XenMobile. Cuando creas un perfil de inscripción para inscribir dispositivos Android Enterprise, puedes configurar el perfil de inscripción para inscribir dispositivos nuevos y restablecidos de fábrica como:

• Dispositivos totalmente administrados
• Dispositivos dedicados (dispositivos COSU)
• Dispositivos totalmente administrados con un perfil de trabajo (dispositivos COPE)

También puedes configurar cada uno de estos perfiles de inscripción de Android Enterprise para inscribir dispositivos Android BYOD como dispositivos de perfil de trabajo.

Si Android Enterprise está habilitado para tu implementación de XenMobile, todos los dispositivos Android recién inscritos o reinscritos se inscriben como dispositivos Android Enterprise. De forma predeterminada, el perfil de inscripción global inscribe los dispositivos Android nuevos y restablecidos de fábrica como dispositivos totalmente administrados e inscribe los dispositivos Android BYOD como dispositivos de perfil de trabajo.

Cuando creas perfiles de inscripción, les asignas grupos de entrega. Si un usuario pertenece a varios grupos de entrega que tienen diferentes perfiles de inscripción, el nombre del grupo de entrega determina el perfil de inscripción utilizado. XenMobile selecciona el grupo de entrega que aparece último en una lista alfabética de grupos de entrega. Para obtener más información, consulta Perfiles de inscripción.

El tipo de licencia de tu servidor XenMobile, reflejado en la propiedad del servidor xms.server.mode, determina las configuraciones disponibles en Configurar > Perfiles de inscripción.

Agregar un perfil de inscripción para dispositivos totalmente administrados

El perfil de inscripción global inscribe dispositivos totalmente administrados de forma predeterminada, pero puedes crear más perfiles de inscripción para inscribir dispositivos totalmente administrados.

1. En la consola de XenMobile, ve a Configurar > Perfiles de inscripción.

2. Para agregar un perfil de inscripción, haz clic en Agregar. En la página Información de inscripción, escribe un nombre para el perfil de inscripción.

3. Establece el número de dispositivos que los miembros con este perfil pueden inscribir.

4. Selecciona Android en Plataformas o haz clic en Siguiente. Aparece la página Configuración de inscripción.

5. Establece Administración en Android Enterprise.

6. Establece Modo de propietario del dispositivo en Dispositivo propiedad de la empresa.

   

7. El perfil de trabajo BYOD te permite configurar el perfil de inscripción para inscribir dispositivos BYOD como dispositivos con perfil de trabajo. Los dispositivos nuevos y los restablecidos de fábrica se inscriben como dispositivos totalmente administrados.

   • Establece Perfil de trabajo BYOD en Activado para permitir la inscripción de dispositivos BYOD como dispositivos con perfil de trabajo. El valor predeterminado es Activado.
   • Establece Perfil de trabajo BYOD en Desactivado para restringir la inscripción a dispositivos totalmente administrados.

8. Elige si quieres inscribir dispositivos en Citrix MAM.

9. Si estableces Perfil de trabajo BYOD en Activado, configura el consentimiento del usuario. Para permitir que los usuarios de dispositivos con perfil de trabajo BYOD rechacen la administración de dispositivos al inscribir sus dispositivos, establece Permitir a los usuarios rechazar la administración de dispositivos en Activado.

   Si Perfil de trabajo BYOD está establecido en Activado, el valor predeterminado de Permitir a los usuarios rechazar la administración de dispositivos es Activado. Si Perfil de trabajo BYOD está establecido en Desactivado, entonces Permitir a los usuarios rechazar la administración de dispositivos está deshabilitado.

10. Selecciona Asignación (opciones). Aparece la pantalla Asignación de grupos de entrega.

11. Elige el grupo de entrega o los grupos de entrega que contienen a los administradores que inscriben dispositivos totalmente administrados. Luego, haz clic en Guardar.

    Aparece la página Perfil de inscripción con el perfil que agregaste.

    

Agregar un perfil de inscripción de dispositivos dedicados

Cuando tu implementación de XenMobile incluye dispositivos dedicados, un único administrador de XenMobile o un pequeño grupo de administradores inscriben muchos dispositivos dedicados. Para asegurarte de que estos administradores puedan inscribir todos los dispositivos necesarios, crea un perfil de inscripción para ellos con un número ilimitado de dispositivos permitidos por usuario.

1. En la consola de XenMobile, ve a Configurar > Perfiles de inscripción.

2. Para agregar un perfil de inscripción, haz clic en Agregar. En la página Información de inscripción, escribe un nombre para el perfil de inscripción. Asegúrate de que el número de dispositivos que los miembros con este perfil pueden inscribir esté establecido en ilimitado.

3. Selecciona Android en Plataformas o haz clic en Siguiente. Aparece la página Configuración de inscripción.

4. Establece Administración en Android Enterprise.

5. Establece Modo de propietario del dispositivo en Dispositivo dedicado.

   

6. El perfil de trabajo BYOD te permite configurar el perfil de inscripción para inscribir dispositivos BYOD como dispositivos con perfil de trabajo. Los dispositivos nuevos y los restablecidos de fábrica se inscriben como dispositivos dedicados. Establece Perfil de trabajo BYOD en Activado para permitir la inscripción de dispositivos BYOD como dispositivos con perfil de trabajo. Establece Perfil de trabajo BYOD en Desactivado para restringir la inscripción a dispositivos propiedad de la empresa. El valor predeterminado es Activado.

7. Elige si quieres inscribir dispositivos en Citrix MAM.

8. Si estableces Perfil de trabajo BYOD en Activado, configura el consentimiento del usuario. Para permitir que los usuarios de dispositivos con perfil de trabajo BYOD rechacen la administración de dispositivos al inscribir sus dispositivos, establece Permitir a los usuarios rechazar la administración de dispositivos en Activado.

   Si Perfil de trabajo BYOD está establecido en Activado, el valor predeterminado de Permitir a los usuarios rechazar la administración de dispositivos es Activado. Si Perfil de trabajo BYOD está establecido en Desactivado, entonces Permitir a los usuarios rechazar la administración de dispositivos está deshabilitado.

9. Selecciona Asignación (opciones). Aparece la pantalla Asignación de grupos de entrega.

10. Elige el grupo de entrega o los grupos de entrega que tienen a los administradores que inscriben los dispositivos dedicados. Luego, haz clic en Guardar.

    Aparece la página Perfil de inscripción con el perfil que agregaste.

    

Agregar un perfil de inscripción para dispositivos totalmente administrados con un perfil de trabajo

1. En la consola de XenMobile, ve a Configurar > Perfiles de inscripción.

2. Para agregar un perfil de inscripción, haz clic en Agregar. En la página Información de inscripción, escribe un nombre para el perfil de inscripción.

3. Establece el número de dispositivos que los miembros con este perfil pueden inscribir.

4. Selecciona Android en Plataformas o haz clic en Siguiente. Aparece la página Configuración de inscripción.

5. Establece Administración en Android Enterprise. Establece Modo de propietario del dispositivo en Totalmente administrado con perfil de trabajo.

   

6. El perfil de trabajo BYOD te permite configurar el perfil de inscripción para inscribir dispositivos BYOD como dispositivos con perfil de trabajo. Los dispositivos nuevos y los restablecidos de fábrica se inscriben como dispositivos totalmente administrados con un perfil de trabajo. Establece Perfil de trabajo BYOD en Activado para permitir la inscripción de dispositivos BYOD como dispositivos con perfil de trabajo. Establece Perfil de trabajo BYOD en Desactivado para restringir la inscripción a dispositivos dedicados. El valor predeterminado es Desactivado.

7. Elige si quieres inscribir dispositivos en Citrix MAM.

8. Si estableces Perfil de trabajo BYOD en Activado, configura el consentimiento del usuario. Para permitir que los usuarios de dispositivos con perfil de trabajo BYOD rechacen la administración de dispositivos al inscribir sus dispositivos, establece Permitir a los usuarios rechazar la administración de dispositivos en Activado.

   Si Perfil de trabajo BYOD está establecido en Activado, el valor predeterminado de Permitir a los usuarios rechazar la administración de dispositivos es Activado. Si Perfil de trabajo BYOD está establecido en Desactivado, entonces Permitir a los usuarios rechazar la administración de dispositivos está deshabilitado.

9. Selecciona Asignación (opciones). Aparece la pantalla Asignación de grupos de entrega.

10. Elige el grupo de entrega o los grupos de entrega que tienen a los administradores que inscriben dispositivos totalmente administrados con un perfil de trabajo. Luego, haz clic en Guardar.

    Aparece la página Perfil de inscripción con el perfil que agregaste.

    

Agregar un perfil de inscripción para dispositivos heredados

Google está dejando de usar el modo de administrador de dispositivos para la administración de dispositivos. Google anima a los clientes a administrar todos los dispositivos Android en modo de propietario del dispositivo o en modo de propietario del perfil. (Consulta Device admin deprecation en las guías para desarrolladores de Google Android Enterprise.)

Para admitir este cambio:

• Citrix convierte a Android Enterprise en la opción de inscripción predeterminada para dispositivos Android.
• Si Android Enterprise está habilitado para tu implementación de XenMobile, todos los dispositivos Android recién inscritos o reinscritos se inscriben como dispositivos Android Enterprise.

Es posible que tu organización no esté lista para empezar a administrar dispositivos Android heredados mediante Android Enterprise. En ese caso, puedes seguir administrándolos en modo de administrador de dispositivos.

Para los dispositivos ya inscritos en modo de administrador de dispositivos, XenMobile sigue administrándolos en modo de administrador de dispositivos.

Crea un perfil de inscripción para dispositivos heredados para permitir que las nuevas inscripciones de dispositivos Android utilicen el modo de administrador de dispositivos.

Para crear un perfil de inscripción para dispositivos heredados:

1. En la consola de XenMobile, ve a Configurar > Perfiles de inscripción.

2. Para agregar un perfil de inscripción, haz clic en Agregar. En la página Información de inscripción, escribe un nombre para el perfil de inscripción.

3. Establece el número de dispositivos que los miembros con este perfil pueden inscribir.

4. Selecciona Android en Plataformas o haz clic en Siguiente. Aparece la página Configuración de inscripción.

5. Establece Administración en Administración de dispositivos heredados (no recomendado). Haz clic en Siguiente.

   

6. Elige si quieres inscribir dispositivos en Citrix MAM.

7. Para permitir que los usuarios rechacen la administración de dispositivos al inscribir sus dispositivos, establece Permitir a los usuarios rechazar la administración de dispositivos en Activado. El valor predeterminado es Activado.

8. Selecciona Asignación (opciones). Aparece la pantalla Asignación de grupos de entrega.

9. Elige el grupo de entrega o los grupos de entrega que tienen a los administradores que inscriben los dispositivos dedicados. Luego, haz clic en Guardar.

Aparece la página Perfil de inscripción con el perfil que agregaste.

Para seguir administrando un dispositivo heredado en modo de administrador de dispositivos, inscríbelo o reinscríbelo usando este perfil. Inscribes los dispositivos de administrador de dispositivos de forma similar a los dispositivos de perfil de trabajo: los usuarios descargan Secure Hub y tú proporcionas una URL de servidor de inscripción.

Aprovisionamiento de dispositivos de perfil de trabajo de Android Enterprise

Los dispositivos de perfil de trabajo de Android Enterprise se inscriben en modo de propietario de perfil. Estos dispositivos no necesitan ser nuevos ni restablecidos de fábrica. Los dispositivos BYOD se inscriben como dispositivos de perfil de trabajo. La experiencia de inscripción es similar a la inscripción de Android en XenMobile. Los usuarios descargan Secure Hub de Google Play e inscriben sus dispositivos.

Por defecto, las opciones de Depuración USB y Orígenes desconocidos están deshabilitadas en un dispositivo cuando se inscribe en Android Enterprise como dispositivo de perfil de trabajo.

Al inscribir dispositivos en Android Enterprise como dispositivos de perfil de trabajo, ve siempre a Google Play. Desde allí, habilita Secure Hub para que aparezca en el perfil personal del usuario.

Aprovisionamiento de dispositivos Android Enterprise totalmente administrados

Puedes inscribir dispositivos totalmente administrados en la implementación que configuraste en las secciones anteriores. Los dispositivos totalmente administrados son dispositivos propiedad de la empresa y se inscriben en modo de propietario de dispositivo. Solo los dispositivos nuevos o restablecidos de fábrica pueden inscribirse en modo de propietario de dispositivo.

Puedes inscribir dispositivos en modo de propietario de dispositivo utilizando cualquiera de estos métodos de inscripción:

• Token de identificador DPC: Con este método de inscripción, los usuarios introducen los caracteres afw#xenmobile al configurar el dispositivo. afw#xenmobile es el token de identificador DPC de Citrix. Este token identifica el dispositivo como administrado por XenMobile y descarga Secure Hub de Google Play Store. Consulta Inscribir dispositivos con el token de identificador DPC de Citrix.
• Toque NFC (Near Field Communication): El método de inscripción por NFC (Near Field Communication) transfiere datos entre dos dispositivos mediante comunicación de campo cercano. Bluetooth, Wi-Fi y otros modos de comunicación están deshabilitados en un dispositivo nuevo o restablecido de fábrica. NFC es el único protocolo de comunicación que el dispositivo puede usar en este estado. Consulta Inscribir dispositivos con NFC.
• Código QR: La inscripción con código QR se puede usar para inscribir una flota distribuida de dispositivos que no admiten NFC, como las tabletas. El método de inscripción con código QR configura el modo de perfil del dispositivo escaneando un código QR desde el asistente de configuración. Consulta Inscribir dispositivos con un código QR.
• Zero-touch: La inscripción Zero-touch te permite configurar dispositivos para que se inscriban automáticamente cuando se encienden por primera vez. La inscripción Zero-touch es compatible con algunos dispositivos Android que ejecutan Android 9.0 o posterior. Consulta Inscripción Zero-touch.
• Cuentas de Google: Los usuarios introducen sus credenciales de cuenta de Google para iniciar el proceso de aprovisionamiento. Esta opción es para empresas que usan Google Workspace.

Inscribir dispositivos con el token de identificador DPC de Citrix

Los usuarios introducen afw#xenmobile cuando se les pide que introduzcan una cuenta de Google después de encender dispositivos nuevos o restablecidos de fábrica para la configuración inicial. Esta acción descarga e instala Secure Hub. Luego, los usuarios siguen las indicaciones de configuración de Secure Hub para completar la inscripción.

Este método de inscripción se recomienda para la mayoría de los clientes porque la última versión de Secure Hub se descarga de Google Play Store. A diferencia de otros métodos de inscripción, no proporcionas Secure Hub para su descarga desde XenMobile Server.

Requisitos del sistema

1. Compatible con todos los dispositivos Android que ejecutan el sistema operativo Android.

Para inscribir el dispositivo

1. Enciende un dispositivo nuevo o restablecido de fábrica.

2. Se carga la configuración inicial del dispositivo y se te pide una cuenta de Google. Si el dispositivo carga la pantalla de inicio, busca una notificación de Finalizar configuración en la barra de notificaciones.

3. Introduce afw#xenmobile en el campo Correo electrónico o teléfono.

   

4. Toca Instalar en la pantalla de Android Enterprise que te pide que instales Secure Hub.

5. Toca Instalar en la pantalla del instalador de Secure Hub.

6. Toca Permitir para todas las solicitudes de permisos de la aplicación.

7. Toca Aceptar y continuar para instalar Secure Hub y permitirle administrar el dispositivo.

8. Secure Hub ya está instalado y en la pantalla de inscripción predeterminada. En este ejemplo, AutoDiscovery no está configurado. Si lo estuviera, el usuario podría introducir su nombre de usuario/correo electrónico y se le podría encontrar un servidor. En su lugar, introduce la URL de inscripción para el entorno y toca Siguiente.

   

9. La configuración predeterminada de XenMobile permite a los usuarios elegir si usan MAM o MDM+MAM. Si se te pide de esta manera, toca Sí, inscribir para elegir MDM+MAM.

10. Introduce el nombre de usuario y la contraseña, luego toca Siguiente.

11. Se le pide al usuario que configure un código de acceso para el dispositivo. Toca Establecer e introduce un código de acceso.

12. Se le pide al usuario que configure un método de desbloqueo del perfil de trabajo. Para este ejemplo, toca Contraseña, toca PIN e introduce un PIN.

    

13. El dispositivo está ahora en la pantalla de inicio Mis aplicaciones de Secure Hub. Toca Agregar aplicaciones de la tienda.

14. Para agregar Secure Web, toca Secure Web.

    

15. Toca Agregar.

16. Secure Hub dirige al usuario a Google Play Store para instalar Secure Web. Toca Instalar.

17. Después de instalar Secure Web, toca Abrir. Introduce una URL de un sitio interno en la barra de direcciones y verifica que la página se carga.

18. Ve a Configuración > Cuentas en el dispositivo. Observa que la Cuenta administrada no se puede modificar. Las opciones de desarrollador para compartir pantalla o depuración remota también están bloqueadas.

    

Inscribir dispositivos con NFC

Para inscribir un dispositivo como totalmente administrado mediante NFC se necesitan dos dispositivos: uno restablecido a su configuración de fábrica y otro que ejecute la herramienta de aprovisionamiento de XenMobile.

Requisitos del sistema y requisitos previos

• Dispositivos Android compatibles.
• Un dispositivo nuevo o restablecido de fábrica, aprovisionado para Android Enterprise como dispositivo totalmente administrado. Puedes encontrar los pasos para completar este requisito previo más adelante en este artículo.
• Otro dispositivo con capacidad NFC, que ejecute la herramienta de aprovisionamiento configurada. La herramienta de aprovisionamiento está disponible en Secure Hub o en la página de descargas de Citrix.

Cada dispositivo puede tener solo un perfil de Android Enterprise, administrado por Secure Hub. Solo se permite un perfil por dispositivo. Intentar agregar una segunda aplicación DPC elimina Secure Hub instalado.

Datos transferidos mediante NFC

El aprovisionamiento de un dispositivo restablecido de fábrica requiere que envíes los siguientes datos mediante NFC para inicializar Android Enterprise:

• Nombre del paquete de la aplicación DPC que actúa como propietario del dispositivo (en este caso, Secure Hub).
• Ubicación de intranet/internet desde la cual el dispositivo puede descargar la aplicación DPC.
• Hash SHA1 de la aplicación DPC para verificar si la descarga se realizó correctamente.
• Detalles de conexión Wi-Fi para que un dispositivo restablecido de fábrica pueda conectarse y descargar la aplicación DPC. Nota: Android ya no es compatible con Wi-Fi 802.1x para este paso.
• Zona horaria del dispositivo (opcional).
• Ubicación geográfica del dispositivo (opcional).

Cuando los dos dispositivos se tocan, los datos de la herramienta de aprovisionamiento se envían al dispositivo restablecido de fábrica. Esos datos se utilizan luego para descargar Secure Hub con la configuración de administrador. Si no introduces los valores de zona horaria y ubicación, Android configura automáticamente los valores en el nuevo dispositivo.

Configurar la herramienta de aprovisionamiento de XenMobile

Antes de realizar un toque NFC, debes configurar la herramienta de aprovisionamiento. Esta configuración se transfiere luego al dispositivo restablecido de fábrica durante el toque NFC.

Puedes introducir datos en los campos obligatorios o rellenarlos usando un archivo de texto. Los pasos del siguiente procedimiento describen cómo configurar el archivo de texto y contienen descripciones para cada campo. La aplicación no guarda la información después de que la introduces, por lo que es posible que quieras crear un archivo de texto para guardar la información para uso futuro.

Para configurar la herramienta de aprovisionamiento mediante un archivo de texto

Nombra el archivo nfcprovisioning.txt y colócalo en la carpeta /sdcard/ de la tarjeta SD del dispositivo. La aplicación puede leer el archivo de texto y rellenar los valores.

El archivo de texto debe contener los siguientes datos:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Esta línea es la ubicación de intranet/internet de la aplicación del proveedor de EMM. Después de que el dispositivo restablecido de fábrica se conecte a Wi-Fi tras el toque NFC, el dispositivo debe tener acceso a esta ubicación para la descarga. La URL es una URL normal, sin necesidad de formato especial.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Esta línea es la suma de comprobación (checksum) de la aplicación del proveedor de EMM. Esta suma de comprobación se utiliza para verificar que la descarga se realizó correctamente. Los pasos para obtener la suma de comprobación se describen más adelante en este artículo.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Esta línea es el SSID de Wi-Fi conectado del dispositivo en el que se ejecuta la herramienta de aprovisionamiento.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Los valores admitidos son WEP y WPA2. Si la Wi-Fi no está protegida, este campo debe estar vacío.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Si la Wi-Fi no está protegida, este campo debe estar vacío.

android.app.extra.PROVISIONING_LOCALE=<locale>

Introduce los códigos de idioma y país. Los códigos de idioma son códigos ISO de idioma de dos letras en minúscula (como en) definidos por ISO 639-1. Los códigos de país son códigos ISO de país de dos letras en mayúscula (como US) definidos por ISO 3166-1. Por ejemplo, escribe en_US para el inglés hablado en Estados Unidos. Si no introduces ningún código, el país y el idioma se rellenan automáticamente.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

La zona horaria en la que se ejecuta el dispositivo. Escribe un nombre de Olson con el formato área/ubicación. Por ejemplo, America/Los_Angeles para la hora del Pacífico. Si no introduces un nombre, la zona horaria se rellena automáticamente.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Estos datos no son necesarios, ya que el valor está codificado en la aplicación como Secure Hub. Se mencionan aquí solo a modo de información.

Si hay una red Wi-Fi protegida con WPA2, un archivo nfcprovisioning.txt completado podría tener el siguiente aspecto:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Si hay una red Wi-Fi no protegida, un archivo nfcprovisioning.txt completado podría tener el siguiente aspecto:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Para obtener la suma de comprobación de Citrix Secure Hub

La suma de comprobación de Secure Hub es un valor constante: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM. Para descargar un archivo APK de Secure Hub, usa el siguiente enlace de Google Play Store: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile.

Para obtener la suma de comprobación de una aplicación

Requisitos previos:

• La herramienta apksigner de Android SDK Build Tools
• Línea de comandos de OpenSSL

Para obtener la suma de comprobación de cualquier aplicación, sigue estos pasos:

1. Descarga el archivo APK de la aplicación desde Google Play Store.

2. En la línea de comandos de OpenSSL, navega hasta la herramienta apksigner: android-sdk/build-tools/<version>/apksigner y escribe lo siguiente:

   apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
   <!--NeedCopy-->
   

   El comando devuelve una suma de comprobación válida.

3. Para generar el código QR, introduce la suma de comprobación en el campo PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM. Por ejemplo:

{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}
<!--NeedCopy-->

Bibliotecas usadas

La herramienta de aprovisionamiento usa las siguientes bibliotecas en su código fuente:

• Biblioteca appcompat v7, biblioteca de soporte de diseño y biblioteca Palette v7 de Google bajo licencia Apache 2.0

  Para obtener información, consulta la Guía de características de la biblioteca de soporte.

• Butter Knife de Jake Wharton bajo licencia Apache 2.0

Inscribir dispositivos mediante un código QR

Para inscribir un dispositivo totalmente administrado mediante un código QR, genera un código QR creando un JSON y convirtiendo el JSON en un código QR. Las cámaras de los dispositivos escanean el código QR para inscribir el dispositivo.

Requisitos del sistema

• Compatible con todos los dispositivos Android que ejecutan Android 9.0 y versiones posteriores.

Crear un código QR a partir de un JSON

Crea un JSON con los siguientes campos.

Estos campos son obligatorios:

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valor: com.zenprise/com.zenprise.configuration.AdminFunction

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valor: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valor: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

Estos campos son opcionales:

• android.app.extra.PROVISIONING_LOCALE: Introduce los códigos de idioma y país.

  Los códigos de idioma son códigos ISO de idioma de dos letras en minúscula (como en) definidos por ISO 639-1. Los códigos de país son códigos ISO de país de dos letras en mayúscula (como US) definidos por ISO 3166-1. Por ejemplo, introduce en_US para el inglés hablado en Estados Unidos.

• android.app.extra.PROVISIONING_TIME_ZONE: La zona horaria en la que se ejecuta el dispositivo.

  Escribe un nombre de Olson con el formato área/ubicación. Por ejemplo, America/Los_Angeles para la hora del Pacífico. Si no introduces uno, la zona horaria se rellena automáticamente.

• android.app.extra.PROVISIONING_LOCAL_TIME: Hora en milisegundos desde la Época.

  La época Unix (o tiempo Unix, tiempo POSIX o marca de tiempo Unix) es el número de segundos transcurridos desde el 1 de enero de 1970 (medianoche UTC/GMT). La hora no incluye segundos intercalares (en ISO 8601: 1970-01-01T00:00:00Z).

• android.app.extra.PROVISIONING_SKIP_ENCRYPTION: Establece en true para omitir el cifrado durante la creación del perfil. Establece en false para forzar el cifrado durante la creación del perfil.

Un JSON típico tiene el siguiente aspecto:

Valida el JSON que crees usando cualquier herramienta de validación de JSON, como https://jsonlint.com. Convierte esa cadena JSON en un código QR usando cualquier generador de códigos QR en línea, como https://www.qr-code-generator.com.

Este código QR es escaneado por un dispositivo restablecido de fábrica para inscribirlo como un dispositivo totalmente administrado.

Para inscribir el dispositivo

Después de encender un dispositivo nuevo o restablecido de fábrica:

1. Toca la pantalla seis veces en la pantalla de bienvenida para iniciar el flujo de inscripción del código QR.

2. Cuando se te solicite, conéctate a la red Wi-Fi. La ubicación de descarga de Secure Hub en el código QR (codificada en el JSON) es accesible a través de esta red Wi-Fi.

   Una vez que el dispositivo se conecta correctamente a la red Wi-Fi, descarga un lector de códigos QR de Google e inicia la cámara.

3. Apunte la cámara al código QR para escanearlo.

Android descarga Secure Hub desde la ubicación de descarga del código QR, valida la firma del certificado de firma, instala Secure Hub y lo establece como propietario del dispositivo.

Para obtener más información, consulta esta guía de Google para desarrolladores de EMM de Android: https://developers.google.com/android/work/prov-devices#qr_code_method.

Inscripción sin intervención

La inscripción sin intervención te permite configurar dispositivos para que se aprovisionen automáticamente como dispositivos totalmente administrados cuando se encienden por primera vez.

Tu distribuidor de dispositivos crea una cuenta para ti en el portal de Android zero-touch, una herramienta en línea que te permite aplicar configuraciones a los dispositivos. Con el portal de Android zero-touch, creas una o varias configuraciones de inscripción sin intervención y las aplicas a los dispositivos asignados a tu cuenta. Cuando tus usuarios encienden estos dispositivos, se inscriben automáticamente en XenMobile. La configuración asignada al dispositivo define su proceso de inscripción automática.

Requisitos del sistema

• La compatibilidad con la inscripción sin intervención comienza con Android 9.0.

Dispositivos e información de la cuenta de tu distribuidor

• Los dispositivos aptos para la inscripción sin intervención se compran a un distribuidor empresarial o a un socio de Google. Para obtener una lista de socios de Android Enterprise zero-touch, consulta el sitio web de Android.

• Una cuenta del portal de Android Enterprise zero-touch, creada por tu distribuidor.

• Información de inicio de sesión de la cuenta del portal de Android Enterprise zero-touch, proporcionada por tu distribuidor.

Crear una configuración sin intervención

Cuando crees una configuración sin intervención, incluye un JSON personalizado para especificar los detalles de la configuración.

Usa este JSON para configurar el dispositivo para que se inscriba en el servidor XenMobile que especifiques. Sustituye la URL de tu servidor por ‘URL’ en este ejemplo.

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }
<!--NeedCopy-->

Puedes usar un JSON opcional con más parámetros para personalizar aún más tu configuración. Este ejemplo especifica el servidor XenMobile y el nombre de usuario y la contraseña que los dispositivos que usan esta configuración utilizan para iniciar sesión en el servidor.

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
<!--NeedCopy-->

1. Ve al portal de Android zero-touch en https://partner.android.com/zerotouch. Inicia sesión con la información de la cuenta de tu distribuidor de dispositivos zero-touch.

2. Haz clic en Configuración.

3. Haz clic en + encima de la tabla de configuración.

4. Introduce la información de tu configuración en la ventana de configuración que aparece.
   • Nombre de la configuración: Escribe el nombre que elijas para esta configuración.
   • EMM DPC: Elige Citrix Secure Hub.
   • Extras de DPC: Pega tu texto JSON personalizado en este campo.
   • Nombre de la empresa: Escribe el nombre que quieres que aparezca en tus dispositivos Android Enterprise zero-touch durante el aprovisionamiento del dispositivo.
   • Dirección de correo electrónico de soporte: Escribe una dirección de correo electrónico a la que tus usuarios puedan contactar para obtener ayuda. Esta dirección aparece en tus dispositivos Android Enterprise zero-touch antes del aprovisionamiento del dispositivo.
   • Número de teléfono de soporte: Escribe un número de teléfono al que tus usuarios puedan contactar para obtener ayuda. Este número de teléfono aparece en tus dispositivos Android Enterprise zero-touch antes del aprovisionamiento del dispositivo.
   • Mensaje personalizado: Opcionalmente, añade una o dos frases para ayudar a tus usuarios a contactarte o darles más detalles sobre lo que está sucediendo con su dispositivo. Este mensaje personalizado aparece en tus dispositivos Android Enterprise zero-touch antes del aprovisionamiento del dispositivo.

5. Haz clic en Agregar.

6. Para crear más configuraciones, repite los pasos del 2 al 4.

7. Para aplicar una configuración a un dispositivo:

   1. En el portal de Android zero-touch, haz clic en Dispositivos.

   2. Busca el dispositivo en la lista de dispositivos y elige la configuración que quieres asignarle.

   3. Haz clic en Actualizar.

Puedes aplicar una configuración a muchos dispositivos usando un archivo CSV.

Para obtener información sobre cómo aplicar una configuración a muchos dispositivos, consulta el tema de ayuda de Android Enterprise Inscripción sin intervención para administradores de TI. Este tema de ayuda de Android Enterprise contiene más información sobre cómo administrar configuraciones y aplicarlas a los dispositivos.

Aprovisionamiento de dispositivos Android Enterprise dedicados

Los dispositivos Android Enterprise dedicados son dispositivos totalmente administrados que se dedican a cumplir un único caso de uso. Los dispositivos dedicados también se conocen como dispositivos de un solo uso propiedad de la empresa (COSU). Restringes estos dispositivos a una aplicación o a un pequeño conjunto de aplicaciones necesarias para realizar las tareas requeridas para este caso de uso. También impides que los usuarios habiliten otras aplicaciones o realicen otras acciones en el dispositivo.

Inscribe dispositivos dedicados utilizando cualquiera de los métodos de inscripción utilizados para otros dispositivos totalmente administrados, como se describe en Aprovisionamiento de dispositivos Android Enterprise totalmente administrados. El aprovisionamiento de dispositivos dedicados requiere una configuración adicional antes de la inscripción.

Para aprovisionar dispositivos dedicados:

• Agrega un perfil de inscripción para los administradores de XenMobile a los que permites inscribir dispositivos dedicados en tu implementación de XenMobile. Consulta Creación de perfiles de inscripción.
• Permite las aplicaciones a las que quieres que acceda el dispositivo dedicado.
• Opcionalmente, configura la aplicación permitida para que admita el modo de bloqueo de tareas. Cuando una aplicación está en modo de bloqueo de tareas, la aplicación se fija a la pantalla del dispositivo cuando el usuario la abre. No aparece ningún botón de Inicio y el botón Atrás está deshabilitado. El usuario sale de la aplicación utilizando una acción programada en la aplicación, como cerrar sesión.
• Inscribe cada dispositivo en el perfil de inscripción que agregaste.

Requisitos del sistema

• La compatibilidad con la inscripción de dispositivos dedicados comienza con Android 6.0.

Permitir aplicaciones y configurar el modo de bloqueo de tareas

La política de dispositivos Kiosk te permite permitir aplicaciones y configurar el modo de bloqueo de tareas. Por defecto, Secure Hub y los servicios de Google Play están permitidos.

Para agregar la política de Kiosk:

1. En la consola de XenMobile, haz clic en Configurar > Directivas de dispositivo. Aparece la página Directivas de dispositivo.

2. Haz clic en Agregar. Aparece el cuadro de diálogo Agregar nueva directiva.

3. Expande Más y luego, en Seguridad, haz clic en Kiosk. Aparece la página Directiva de Kiosk.

4. En Plataformas, selecciona Android Enterprise. Desmarca otras plataformas.

5. En el panel Información de la directiva, escribe el Nombre de la directiva y una Descripción opcional.

6. Haz clic en Siguiente y luego en Agregar.

7. Para permitir una aplicación y permitir o denegar el modo de bloqueo de tareas para esa aplicación:

   Selecciona la aplicación que quieres permitir de la lista.

   Elige Permitir para configurar la aplicación para que se fije a la pantalla del dispositivo cuando el usuario la inicie. Elige Denegar para configurar la aplicación para que no se fije. El valor predeterminado es Permitir.

   

8. Haz clic en Guardar.

9. Para permitir otra aplicación y permitir o denegar el modo de bloqueo de tareas para esa aplicación, haz clic en Agregar.

10. Configura las reglas de implementación y elige los grupos de entrega. Para obtener más información, consulta Directivas de dispositivo.

Para inscribir el dispositivo

1. Haz clic en Siguiente o selecciona Android en Plataformas. Aparece la página Configuración de inscripción.

2. Establece Administración en Android Enterprise.

3. Establece Modo de propietario del dispositivo en Dispositivo propiedad de la empresa.

   

4. Selecciona Asignación (opciones). Aparece la pantalla Asignación de grupo de entrega.

5. Elige el grupo o los grupos de entrega que tienen los administradores que inscriben los dispositivos dedicados. Luego, haz clic en Guardar.

Si habilitaste el perfil de trabajo BYOD en el perfil de inscripción, los dispositivos que no son nuevos o que no se han restablecido de fábrica se inscriben como dispositivos con perfil de trabajo. Consulta Aprovisionamiento de dispositivos Android Enterprise con perfil de trabajo.

Aprovisionamiento de dispositivos Android Enterprise totalmente administrados con un perfil de trabajo (dispositivos COPE)

Los dispositivos totalmente administrados con un perfil de trabajo, anteriormente llamados dispositivos COPE, son dispositivos propiedad de la empresa que se utilizan tanto para fines laborales como personales. Tu organización administra todos los dispositivos. Puedes aplicar un conjunto de directivas al dispositivo y un conjunto de directivas independiente al perfil de trabajo.

En la consola de XenMobile, los dispositivos totalmente administrados con un perfil de trabajo aparecen con estos términos:

• La propiedad del dispositivo es “Corporativa”.

• El tipo de instalación de Android Enterprise del dispositivo es “Propietario corporativo habilitado personalmente”.

Requisitos del sistema

• La compatibilidad para inscribir dispositivos totalmente administrados con perfiles de trabajo comienza desde Android 9.0 hasta Android 10.x.

Agregar un perfil de inscripción para dispositivos totalmente administrados con perfiles de trabajo

Crea un perfil de inscripción para inscribir dispositivos totalmente administrados con perfiles de trabajo. Los administradores de los grupos de entrega asignados a este perfil de inscripción pueden inscribir dispositivos totalmente administrados con perfiles de trabajo. Para asegurarte de que estos administradores puedan inscribir todos los dispositivos necesarios, crea un perfil de inscripción para ellos con un número ilimitado de dispositivos permitidos por usuario. Asigna este perfil a un grupo de entrega que tenga a los administradores que inscriben dispositivos totalmente administrados con perfiles de trabajo.

1. En la consola de XenMobile, ve a Configurar > Perfiles de inscripción.

2. Para agregar un perfil de inscripción, haz clic en Agregar. En la página Información de inscripción, escribe un nombre para el perfil de inscripción. Asegúrate de que el número de dispositivos que los miembros con este perfil pueden inscribir esté establecido en ilimitado.

3. Haz clic en Siguiente o selecciona Android Enterprise en Plataformas. Aparece la página Configuración de inscripción.

4. Establece el Tipo de inscripción en una de las siguientes opciones:
   • Totalmente administrado/Perfil de trabajo: Los dispositivos nuevos o restablecidos de fábrica se inscriben como totalmente administrados. Los dispositivos BYOD se inscriben solo con un perfil de trabajo administrado por ti.
   • COPE/Perfil de trabajo: Los dispositivos nuevos o restablecidos de fábrica se inscriben como totalmente administrados con un perfil de trabajo. Los dispositivos BYOD se inscriben solo con un perfil de trabajo administrado por ti.

   

5. Selecciona Asignación (opcional) o haz clic en Siguiente. Aparece la pantalla Asignación de grupo de entrega.

6. Elige el grupo o los grupos de entrega que tienen a los administradores que inscriben los dispositivos dedicados. Luego, haz clic en Guardar.

   Aparece la página Perfil de inscripción con el perfil que agregaste.

   

Si un usuario pertenece a varios grupos de entrega que tienen diferentes perfiles de inscripción, el nombre del grupo de entrega determina el perfil de inscripción utilizado. XenMobile selecciona el grupo de entrega que aparece en último lugar en una lista alfabética de grupos de entrega.

Para inscribir el dispositivo

Los dispositivos nuevos y restablecidos de fábrica se inscriben como dispositivos totalmente administrados con un perfil de trabajo utilizando el token de identificador DPC, el toque de comunicación de campo cercano (NFC) o los métodos de código QR. Consulta Inscribir dispositivos mediante el token de identificador DPC de Citrix, Inscribir dispositivos con toque NFC o Inscribir dispositivos mediante un código QR.

Los dispositivos que no son nuevos o restablecidos de fábrica se inscriben como dispositivos con perfil de trabajo, como se describe en Aprovisionamiento de dispositivos con perfil de trabajo de Android Enterprise.

Ver dispositivos Android Enterprise en la consola de XenMobile

1. En la consola de XenMobile, ve a Administrar > Dispositivos.

2. Agrega la columna ¿Dispositivo con Android Enterprise habilitado? haciendo clic en el menú a la derecha de la tabla en esta página.

3. Para ver las acciones de seguridad disponibles, selecciona un dispositivo totalmente administrado y haz clic en Proteger. Cuando el dispositivo está totalmente administrado, la acción Borrado completo está disponible, pero Borrado selectivo no lo está. Esa diferencia se debe a que el dispositivo solo permite aplicaciones de la tienda Google Play administrada. No hay una opción para que el usuario instale aplicaciones de la tienda pública. Tu organización administra todo el contenido del dispositivo.

   

Configurar políticas de dispositivos y aplicaciones de Android Enterprise

Para obtener una descripción general de las políticas controladas tanto a nivel de dispositivo como de aplicación, consulta Políticas de dispositivos y políticas MDX compatibles con Android Enterprise.

Qué debes saber sobre las políticas:

• Protección contra pérdida de datos: La tecnología de contenedor MAM de XenMobile protege las aplicaciones con cifrado y otras tecnologías móviles de prevención de pérdida de datos (DLP). Usa el SDK de MAM de Citrix o el kit de herramientas MDX para habilitar MDX en las aplicaciones.

• Restricciones de dispositivos: Decenas de restricciones de dispositivos te permiten controlar funciones como:

  • Uso de la cámara del dispositivo
  • Uso de copiar y pegar entre perfiles de trabajo y personales

• VPN por aplicación: Usa la política de dispositivo de configuraciones administradas para configurar perfiles VPN para Android Enterprise.

• Política de correo electrónico: Te recomendamos usar la política de dispositivo de configuraciones administradas para configurar aplicaciones.

Esta tabla enumera todas las políticas de dispositivos disponibles para dispositivos Android Enterprise.

Importante:

Para los dispositivos que se inscriben en Android Enterprise y usan aplicaciones MDX: Puedes controlar algunas configuraciones a través de MDX y Android Enterprise. Usa la configuración de política menos restrictiva para MDX y controla la política a través de Android Enterprise.

Políticas de dispositivos para dispositivos totalmente administrados con perfil de trabajo (dispositivos COPE)

Para los dispositivos totalmente administrados con perfiles de trabajo (dispositivos COPE), algunas políticas de dispositivos se pueden usar para aplicar configuraciones separadas a todo el dispositivo y al perfil de trabajo. Puedes usar otras políticas de dispositivos para aplicar configuraciones solo a todo el dispositivo o solo al perfil de trabajo de los dispositivos totalmente administrados con perfiles de trabajo.

Consulta también Políticas de dispositivos y políticas MDX compatibles con Android Enterprise y Descripción general del SDK de MAM.

Acciones de seguridad

Android Enterprise admite las siguientes acciones de seguridad. Para obtener una descripción de cada acción de seguridad, consulta Acciones de seguridad.

Notas sobre las acciones de seguridad

• La acción de seguridad de localizar falla a menos que la política de dispositivo de ubicación establezca el modo de ubicación para el dispositivo en Alta precisión o Ahorro de batería. Consulta Política de dispositivo de ubicación.

• En dispositivos con perfil de trabajo que ejecutan versiones de Android anteriores a Android 9.0:

  • La acción de bloquear y restablecer contraseña no es compatible.

• En dispositivos con perfil de trabajo con Android 9.0 o superior:

  • La contraseña enviada bloquea el perfil de trabajo. El dispositivo en sí no se bloquea.
  • Si no se establece ninguna contraseña en el perfil de trabajo:
    • Si no se envía ninguna contraseña, o la contraseña enviada no cumple los requisitos de contraseña: El dispositivo se bloquea.
  • Si se establece una contraseña en el perfil de trabajo:
    • Si no se envía ninguna contraseña, o la contraseña enviada no cumple los requisitos de contraseña: El perfil de trabajo se bloquea, pero el dispositivo en sí no se bloquea.

• En dispositivos totalmente administrados con perfiles de trabajo (dispositivos COPE):

  • Puedes aplicar la acción de seguridad de Bloquear por separado al dispositivo o al perfil de trabajo.

Anular la inscripción de una empresa de Android Enterprise

Si ya no quieres usar tu empresa de Android Enterprise, puedes anular la inscripción de la empresa.

Advertencia:

Después de anular la inscripción de una empresa, las aplicaciones de Android Enterprise en los dispositivos ya inscritos a través de ella se restablecen a sus estados predeterminados. Google ya no administra los dispositivos. Si te inscribes en una nueva empresa de Android Enterprise, debes aprobar las aplicaciones para la nueva organización desde Google Play administrado. Luego, puedes actualizar las aplicaciones desde la consola de XenMobile.

Después de anular la inscripción de la empresa de Android Enterprise:

• Los dispositivos y usuarios inscritos a través de la empresa tienen las aplicaciones de Android Enterprise restablecidas a su estado predeterminado. Las políticas de configuraciones administradas aplicadas anteriormente ya no afectan las operaciones.
• XenMobile administra los dispositivos inscritos a través de la empresa. Desde la perspectiva de Google, esos dispositivos no están administrados. No puedes agregar nuevas aplicaciones de Android Enterprise. No puedes aplicar políticas de configuraciones administradas. Puedes aplicar otras políticas, como Programación, Contraseña y Restricciones, a estos dispositivos.
• Si intentas inscribir dispositivos en Android Enterprise, se inscriben como dispositivos Android, no como dispositivos Android Enterprise.

Anula la inscripción de una empresa de Android Enterprise usando la consola de XenMobile Server y las herramientas de XenMobile.

Cuando realizas esta tarea, XenMobile abre una ventana emergente para las herramientas de XenMobile. Antes de empezar, asegúrate de que XenMobile tenga permiso para abrir ventanas emergentes en el navegador que estás usando. Algunos navegadores, como Google Chrome, requieren que deshabilites el bloqueo de ventanas emergentes y agregues la dirección del sitio de XenMobile a la lista de permitidos del bloqueador de ventanas emergentes.

Para anular la inscripción de una empresa de Android Enterprise:

1. En la consola de XenMobile, haz clic en el icono de engranaje en la esquina superior derecha. Aparece la página Configuración.

2. En la página Configuración, haz clic en Android Enterprise.

3. Haz clic en Anular inscripción.