Android Enterprise

Android Enterprise es un conjunto de herramientas y servicios proporcionados por Google como una solución de administración empresarial para dispositivos Android. Con Android Enterprise, puede utilizar XenMobile para administrar dispositivos Android que sean propiedad de la empresa y dispositivos Android BYOD. Puede administrar todo el dispositivo o un perfil independiente en el dispositivo. Ese perfil independiente aísla las cuentas, las aplicaciones y los datos empresariales de las cuentas por un lado, y las aplicaciones y los datos personales por el otro. También puede administrar dispositivos dedicados a un solo uso, como la administración de inventario.

Para conocer los sistemas operativos de Android compatibles con XenMobile, consulte Sistemas operativos compatibles.

Para obtener una lista de términos y definiciones relacionados con Android Enterprise, consulte Terminología de Android Enterprise en la guía para desarrolladores de Google Android Enterprise. Google actualiza estos términos con frecuencia.

Al integrar XenMobile en Google Play administrado para utilizar Android Enterprise, se crea una empresa. Google define una empresa como un vínculo entre la organización y la solución de administración móvil empresarial (EMM). Todos los usuarios y los dispositivos que la organización administra a través de esa solución pertenecen a la empresa.

Una empresa de Android Enterprise tiene tres componentes: una solución EMM, una aplicación de controlador de directivas de dispositivos (DPC) y una plataforma de aplicaciones empresariales de Google. Al integrar XenMobile en Android Enterprise, la solución completa tiene los siguientes componentes:

  • XenMobile: La solución EMM de Citrix. XenMobile es la solución unificada de administración de dispositivos de punto final para un espacio de trabajo digital seguro. XenMobile ofrece los medios para que los administradores de TI administren dispositivos y aplicaciones para sus organizaciones.
  • Citrix Secure Hub: La aplicación DPC de Citrix. Secure Hub es el panel de inicio de XenMobile. Secure Hub aplica directivas en el dispositivo.
  • Google Play administrado: Una plataforma de aplicaciones empresariales de Google que se integra en XenMobile. La API de EMM de Google Play establece las directivas de aplicación y distribuye las aplicaciones.

En esta ilustración se muestra cómo interactúan los administradores con estos componentes y cómo interactúan los componentes entre sí:

Imagen

Usar Google Play administrado con XenMobile

Nota:

Puede utilizar Google Play administrado o G Suite para registrar Citrix como su proveedor EMM. En este artículo se analiza el uso de Android Enterprise con Google Play administrado. Si su organización ya usa G Suite para ofrecer acceso a las aplicaciones y quiere utilizarlo con Android Enterprise, consulte Android Enterprise antiguo para clientes de G Suite.

Al utilizar Google Play administrado, puede aprovisionar cuentas administradas de Google Play para dispositivos y usuarios finales. Las cuentas administradas de Google Play proporcionan acceso a Google Play administrado, lo que permite a los usuarios instalar y utilizar las aplicaciones que ponga a su disposición. Si su organización utiliza un servicio de identidad de terceros, puede vincular las cuentas administradas de Google Play a las cuentas de identidad existentes.

Puesto que este tipo de empresa no está vinculada a un dominio, puede crear más de una empresa para una sola organización. Por ejemplo, cada departamento o región de una organización puede inscribirse como una empresa diferente para administrar conjuntos separados de dispositivos y aplicaciones.

Para los administradores de XenMobile, Google Play administrado combina la experiencia de usuario y las funciones de la tienda de aplicaciones de Google Play con un conjunto de capacidades de administración diseñadas para las empresas. Se utiliza Google Play administrado para agregar, comprar y aprobar aplicaciones para implementarlas en el espacio de trabajo de Android Enterprise del dispositivo. Se puede utilizar Google Play para implementar aplicaciones públicas, privadas y de terceros.

Para los usuarios de dispositivos administrados, Google Play administrado es la tienda de aplicaciones empresariales. Los usuarios pueden explorar aplicaciones, ver los detalles de la aplicación e instalarlas. A diferencia de la versión pública de Google Play, los usuarios solo podrán instalar las aplicaciones de Google Play administrado que usted haya puesto a su disposición.

Casos de implementación de dispositivos y modos de operación

El caso de implementación de dispositivos se refiere a quién pertenecen los dispositivos que usted implementa y cómo los administra usted. El modo de operación se refiere a la forma en que el DPC administra y aplica las directivas en el dispositivo. El modo de operación admite el caso de implementación de dispositivos.

Perfil de trabajo: Implementación de dispositivos BYOD, modo propietario de perfil

El caso de una implementación BYOD permite a los empleados llevar dispositivos personales al trabajo y utilizarlos para acceder a la información y a las aplicaciones de la empresa.

El modo operativo de propietario de perfil admite implementaciones BYOD. A través del DPC, la empresa permite que los dispositivos personales puedan usarse en un entorno laboral. Para ello, agrega un perfil de trabajo a la cuenta de usuario principal presente en el dispositivo. Ese perfil de trabajo aísla las cuentas, las aplicaciones y los datos empresariales de las cuentas por un lado, y las aplicaciones y los datos personales por el otro. El perfil de trabajo está asociado al usuario principal, pero como un perfil independiente. Como propietario de perfil, el controlador DPC administra solamente el perfil de trabajo en el dispositivo y tiene un control limitado fuera del perfil de trabajo. Para obtener más información detallada sobre los perfiles de trabajo, consulte ¿Qué es un perfil de trabajo? en el sitio web de la ayuda de Google Android Enterprise.

El modo propietario de perfil se habilita cuando el dispositivo se inscribe en XenMobile. Como el controlador DPC administra solamente el perfil de trabajo y no todo el dispositivo, los dispositivos inscritos en el modo propietario del perfil no necesitan ser nuevos o restablecidos a los valores de fábrica.

Un dispositivo en modo propietario del perfil también se denomina dispositivo de perfil de trabajo. El modo propietario del perfil también se llama modo perfil de trabajo o modo perfil administrado.

Nota:

XenMobile no admite dispositivos Zebra en el modo propietario de perfil. XenMobile admite dispositivos Zebra como dispositivos totalmente administrados y en modo antiguo de dispositivos (también denominado modo administrador del dispositivo).

Totalmente administrado: Implementación de dispositivos propiedad de la empresa, modo propietario del dispositivo

En el caso de una implementación propiedad de la empresa, la empresa posee y controla completamente los dispositivos que se utilizan. Por lo general, las organizaciones implementan dispositivos propiedad de la empresa cuando necesitan supervisar y administrar de cerca todo el dispositivo.

El modo operativo de propietario del dispositivo admite implementaciones de dispositivos propiedad de la empresa. En el modo de propietario del dispositivo, DPC administra todo el dispositivo. Como propietario del dispositivo, DPC puede realizar acciones en todo el dispositivo, como configurar la conectividad en todo el dispositivo, establecer la configuración global y realizar un restablecimiento a los valores de fábrica.

Un dispositivo en modo de propietario del dispositivo es un dispositivo totalmente administrado.

El modo de propietario del dispositivo se habilita durante la configuración inicial del dispositivo. Solo los dispositivos nuevos o los restablecidos a los valores de fábrica se pueden inscribir en XenMobile en el modo propietario del dispositivo.

Dispositivo dedicado: Implementación de dispositivos propiedad de la empresa, modo propietario del dispositivo

Un dispositivo dedicado es un tipo de dispositivo totalmente administrado. Eso significa que los dispositivos dedicados son dispositivos propiedad de la empresa que se ejecutan en el modo propietario del dispositivo. Los dispositivos dedicados ofrecen un conjunto limitado de aplicaciones que sirven para un propósito específico, como la señalización digital, la impresión de tíquets o la administración de inventario. Al aprovisionar un dispositivo dedicado, solo proporciona las aplicaciones necesarias e impide que los usuarios agreguen otras aplicaciones.

Los dispositivos dedicados también se conocen como dispositivos de uso único y propiedad de la empresa (COSU) o dispositivos en modo quiosco.

Implementación de dispositivos antiguos, modo antiguo

Los casos de implementación antigua son para dispositivos con versiones de Android anteriores a la 5.0. Las versiones de Android anteriores a 5.0 no admiten ni el modo propietario del dispositivo ni el de propietario del perfil. La versión 5.1 de Android admite el modo propietario del dispositivo, pero no el modo propietario del perfil.

El modo de operación antiguo, que también se denomina modo administrador del dispositivo, admite implementaciones de dispositivos antiguos. En el modo antiguo, DPC tiene un control limitado sobre un dispositivo. DPC puede borrar los datos de un dispositivo, requerir un código de acceso o aplicar algunas directivas. Para proporcionar la administración de aplicaciones en dispositivos antiguos, use Google Play y permita a los usuarios agregar una cuenta de Google. También puede hacer que DPC agregue una cuenta de Google Play administrada al dispositivo antiguo.

No se recomienda el modo antiguo para implementaciones en las que puede implementar el modo de propietario del dispositivo o el modo de propietario del perfil. Google recomienda utilizar el nivel más alto posible de administración de dispositivos en lugar de utilizar una solución de denominador común más bajo en una cantidad grande de dispositivos. Para obtener información sobre la migración del modo antiguo al modo de propietario del dispositivo o al modo de propietario del perfil, consulte Migrar de la administración de dispositivos a Android Enterprise.

Nota:

Citrix también utiliza el término antiguo para referirse a los clientes que utilizan XenMobile y G Suite, en lugar de Google Play administrado, para administrar los dispositivos Android Enterprise.

Métodos de autenticación

XenMobile inscribe dispositivos Android en el modo MDM o MDM+MAM, con la opción de que los usuarios se inscriban en el modo solo MAM. XenMobile admite los siguientes métodos de autenticación para dispositivos Android en modo MDM+MAM. Para obtener más información, consulte los artículos que se encuentran en Certificados y autenticación.

  • Dominio
  • Dominio y token de seguridad
  • Certificado de cliente
  • Certificado de cliente y dominio
  • Proveedores de identidades:
    • Azure Active Directory
    • Proveedor de identidades Citrix

Otro método de autenticación que rara vez se utiliza es el certificado de cliente junto con el token de seguridad. Para obtener información, consulte https://support.citrix.com/article/CTX215200.

Requisitos

Antes de comenzar a usar Android Enterprise, necesita:

  • Cuentas y credenciales:

    • Para configurar Android Enterprise con Google Play administrado, una cuenta corporativa de Google
    • Para descargar los archivos MDX más recientes, una cuenta de cliente de Citrix
    • Para implementar aplicaciones privadas (opcional), una cuenta de desarrollador de Google
  • Para Samsung Knox Mobile Enrollment (opcional), licencias premium de Knox.

Conectar XenMobile con Google Play

Para configurar Android Enterprise en su organización, registre Citrix como su proveedor de EMM a través de Google Play administrado. Este proceso conecta Google Play administrado con XenMobile y crea una empresa para Android Enterprise en XenMobile.

Necesitará una cuenta corporativa de Google para iniciar sesión en Google Play.

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En la página Parámetros, haga clic en Android Enterprise. Página de parámetros con Android Enterprise destacada

  3. En la página Android Enterprise de los parámetros de XenMobile, haga clic en Conectar. Esto le llevará a Google Play. Android Enterprise se conecta a Google Play

  4. Inicia sesión en Google Play con las credenciales de su cuenta corporativa de Google. Introduzca el nombre de su organización y confirme que Citrix es su proveedor EMM.

  5. Se agrega una ID de empresa para Android Enterprise. Para habilitar Android Enterprise, ajuste Habilitar Android Enterprise en .

    Opción Habilitar Android Enterprise

El ID de Enterprise aparece en la consola de XenMobile.

Imagen

Su entorno está conectado a Google y está listo para administrar dispositivos. Ya puede proporcionar aplicaciones a los usuarios.

XenMobile se puede utilizar para ofrecer a los usuarios aplicaciones móviles de productividad de Citrix, aplicaciones MDX, aplicaciones de tienda pública, aplicaciones web y SaaS, aplicaciones empresariales y enlaces web. Para obtener más información sobre estos tipos de aplicaciones y sobre cómo proporcionarlas a los usuarios, consulte Agregar aplicaciones.

En esta sección se muestra cómo ofrecer aplicaciones de productividad móvil.

Proporcionar aplicaciones Citrix de productividad móvil a usuarios de Android Enterprise

Para proporcionar aplicaciones Citrix de productividad móvil a usuarios de Android Enterprise, debe seguir estos pasos.

  1. En su tienda administrada de Google Play, apruebe las aplicaciones que quiere que tengan sus usuarios. Consulte Aprobar aplicaciones en Google Play administrado.

  2. En la consola de XenMobile, publique la aplicación como una aplicación de tienda pública. Consulte Configurar aplicaciones como aplicaciones de tienda pública.

  3. En la consola de XenMobile, vuelva a publicar la misma aplicación como una aplicación MDX para que esta pueda recibir directivas MDX. Consulte Configurar aplicaciones como aplicaciones MDX.

  4. En la consola de XenMobile, configure las reglas para el reto de seguridad que emplean los usuarios para acceder a los perfiles de trabajo de sus dispositivos. Consulte Configurar la directiva de desafío de seguridad.

Las aplicaciones que publique están disponibles para los dispositivos inscritos de su empresa de Android Enterprise.

Aprobar aplicaciones en Google Play administrado

Antes de poder agregar aplicaciones a XenMobile, debe aprobar la aplicación en su tienda administrada de Google Play. Si no ha aprobado ninguna aplicación en su tienda administrada de Google Play, aparece este error en la consola de XenMobile al intentar agregar la aplicación:

Imagen

Vaya a la tienda administrada de Google Play para determinar qué aplicaciones ya están disponibles y aprobadas para utilizarse en su empresa.

  1. Inicie sesión en https://play.google.com/work con las credenciales de su cuenta de Google.
  2. Haga clic en Mis aplicaciones administradas para ver todas las aplicaciones que se han aprobado para los usuarios. Imagen

Para aprobar una aplicación en la tienda administrada de Google Play:

  1. Al iniciar sesión en Google Play administrado, seleccione la aplicación que quiere aprobar. Aparecerá el botón Aprobar en la página de la aplicación. Imagen
  2. Haga clic en Aprobar. Imagen
  3. Vuelva a hacer clic en Aprobar.
  4. Seleccione Keep approved when app requests new permissions. Haga clic en Guardar. Imagen

Configurar aplicaciones como aplicaciones de tienda pública

Para configurar Citrix ShareFile como una aplicación de tienda pública de Android Enterprise:

  1. En la consola de XenMobile, haga clic en Configurar > Aplicaciones. Aparecerá la página Aplicaciones. Imagen de la pantalla Configuración de aplicaciones

  2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Agregar aplicación.

    Imagen de la pantalla Configuración de aplicaciones

  3. Haga clic en Almacén público de aplicaciones. Aparecerá la página Información de la aplicación.

  4. En la página Información de la aplicación, escriba la información siguiente:

    • Nombre: Escriba un nombre descriptivo para la aplicación. Este nombre figurará en Nombre de la aplicación, en la tabla Aplicaciones.
    • Descripción: Escriba, si quiere, una descripción de la aplicación.
    • Categoría de la aplicación: En la lista, puede hacer clic en la categoría a la que se agregará la aplicación. Para obtener más información acerca de las categorías de aplicaciones, consulte Crear categorías de aplicaciones.
  5. Haga clic en Siguiente. Aparecerá la página de las plataformas de la aplicación.

  6. En Plataformas, seleccione Android Enterprise. Desmarque las demás plataformas.

  7. En Android Enterprise, escriba el ID del paquete de la aplicación y haga clic en Buscar. El identificador de la aplicación se encuentra en la URL de la aplicación en la tienda de Google Play. Imagen

  8. Si la consola muestra que la aplicación no está aprobada en la tienda de Google Play, haga clic en para aprobarla. Imagen

  9. Seleccione la aplicación para agregarla. Haga clic en Siguiente. Imagen

  10. Asigne la aplicación a uno o varios grupos de entrega. Imagen

  11. Haga clic en Guardar.

Repita estos pasos para Citrix Secure Mail y Citrix Secure Web.

Configurar aplicaciones como aplicaciones MDX

Las aplicaciones móviles de productividad no utilizan el archivo de manifiesto nativo de Android, por lo que debe agregar esas aplicaciones como aplicaciones MDX y configurar sus directivas MDX antes de poner las aplicaciones a disposición de los usuarios.

Antes de agregar aplicaciones MPX, descargue los archivos MDX mas recientes para Android:

  1. Vaya a la página de descargas de XenMobile e inicie sesión con sus credenciales de cliente de Citrix: https://www.citrix.com/downloads/citrix-endpoint-management/product-software/xenmobile-enterprise-edition-worx-apps-and-mdx-toolkit.html.

    Imagen

  2. Descomprima el archivo descargado y extraiga su contenido.

Para agregar y configurar una aplicación MDX:

  1. En la consola de XenMobile, haga clic en Configurar > Aplicaciones. Aparecerá la página Aplicaciones.

    Imagen de la pantalla Configuración de aplicaciones

  2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Agregar aplicación.

    Imagen de la pantalla Configuración de aplicaciones

  3. Haga clic en MDX. Aparecerá la página Información de la aplicación MDX.

  4. Asigne un nombre a la aplicación y haga clic en Siguiente. Imagen

  5. Haga clic en Siguiente para acceder a la configuración de la plataforma Android.

  6. Haga clic en Cargar. Imagen

  7. Vaya a la ubicación del archivo MDX y seleccione el archivo MDX a instalar. Imagen

  8. El acceso a la red en algunas aplicaciones está bloqueado de forma predeterminada. Habilitar el acceso a la red. Haga clic en el menú y seleccione Túnel: SSO web. Imagen

  9. Haga clic en Siguiente en las siguientes páginas (con lo que aceptará los valores predeterminados) hasta que llegue a la página de asignaciones de grupos de entrega.

  10. Asigne la aplicación a los mismos grupos de entrega a los que la asignó al publicarla como aplicación de tienda pública.

  11. Haga clic en Guardar.

Repita los pasos para configurar una aplicación MDX para cada aplicación móvil de productividad.

Configurar la directiva de desafío de seguridad

En XenMobile, la directiva Código de acceso configura el conjunto de reglas que los usuarios deben seguir para superar los retos de seguridad para acceder a sus dispositivos o a los perfiles de trabajo de Android Enterprise en sus dispositivos. Un desafío de seguridad puede ser un código de acceso o un reconocimiento biométrico. Para obtener más información acerca de la directiva Código de acceso, consulte Directiva de código de acceso.

Si la implementación de Android Enterprise incluye dispositivos BYOD, configure la directiva de código de acceso para el perfil de trabajo. Si la implementación incluye dispositivos totalmente administrados y propiedad de la empresa, configure la directiva de código de acceso para el propio dispositivo. Si la implementación incluye ambos tipos de dispositivos, configure ambos tipos de directiva de código de acceso.

Para configurar la directiva de código de acceso:

  1. En la consola de XenMobile, vaya a Configure > Device Policies.

  2. Haga clic en Agregar.

  3. Haga clic en Mostrar filtro para ver el panel Plataformas de la directiva. En el panel Plataformas de la directiva, seleccione Android Enterprise.

  4. Haga clic en Código de acceso en el panel derecho. Imagen

  5. Introduzca un nombre de directiva. Haga clic en Siguiente. Imagen

  6. Establezca la configuración para la directiva de código de acceso.
    • Active la opción Código de acceso de dispositivo obligatorio para ver los parámetros disponibles de los desafíos de seguridad en el propio dispositivo.
    • Establezca Desafío de seguridad de perfil de trabajo en para ver los parámetros disponibles de los desafíos de seguridad de perfil de trabajo.
  7. Haga clic en Siguiente.

  8. Asigne la directiva a uno o varios grupos de entrega.

  9. Haga clic en Guardar.

Aprovisionar dispositivos de perfil de trabajo en Android Enterprise

Los dispositivos de perfil de trabajo de Android Enterprise se inscriben en el modo de propietario de perfil. Estos dispositivos no necesitan ser nuevos o restablecidos a los valores de fábrica. Los dispositivos BYOD se inscriben como dispositivos de perfil de trabajo. La experiencia de inscripción es similar a la inscripción de Android en XenMobile. Los usuarios descargan Secure Hub desde Google Play e inscriben sus dispositivos.

De forma predeterminada, los parámetros de depuración por USB y fuentes desconocidas están inhabilitados en un dispositivo cuando se inscribe en Android Enterprise como dispositivo de perfil de trabajo.

Cuando inscriba dispositivos en Android Enterprise como dispositivos de perfil de trabajo, vaya siempre a Google Play. Desde allí, habilite Secure Hub para que aparezca en el perfil personal del usuario.

Aprovisionar dispositivos Android Enterprise totalmente administrados

Puede inscribir dispositivos totalmente administrados en la implementación que configuró en las secciones anteriores. Los dispositivos totalmente administrados son dispositivos propiedad de la empresa y se inscriben en el modo de propietario del dispositivo. Solo los dispositivos nuevos o los restablecidos a los valores de fábrica se pueden inscribir en el modo de propietario del dispositivo.

Puede inscribir dispositivos en el modo de propietario del dispositivo mediante cualquiera de estos métodos de inscripción:

  • Token identificador DPC, afw#xenmobile: Con este método de inscripción, los usuarios escriben los caracteres “afw#xenmobile” al configurar el dispositivo. afw#xenmobile es el token identificador DPC de Citrix. Este token identifica el dispositivo como administrado por XenMobile y descarga Secure Hub de la tienda de Google Play. Consulte Inscribir dispositivos con afw#xenmobile.
  • Conexión de transmisión de datos en proximidad (NFC): El método de inscripción de la conexión NFC transfiere datos entre dos dispositivos por transmisión de datos en proximidad. Bluetooth, Wi-Fi y otros modos de comunicación están inhabilitados en un dispositivo nuevo o que ha sido restablecido a sus valores de fábrica. NFC es el único protocolo de comunicación que el dispositivo puede utilizar en ese estado. Consulte Inscribir dispositivos con una conexión NFC.
  • Código QR: La inscripción con códigos QR se puede utilizar para inscribir una flota distribuida de dispositivos que no admiten NFC, como las tabletas. El método de inscripción por código QR define y configura el modo de perfil del dispositivo al escanear un código QR desde el asistente de configuración. Consulte Inscribir dispositivos con un código QR.
  • Zero Touch: El aprovisionamiento automático le permite configurar los dispositivos para que se inscriban automáticamente cuando se enciendan por primera vez. El aprovisionamiento automático se admite en algunos dispositivos Android con Android 8.0 o versiones posteriores. Consulte Aprovisionamiento automático.
  • Cuentas de Google: Los usuarios introducen sus credenciales de cuenta de Google para iniciar el proceso de aprovisionamiento. Esta opción es para empresas que utilizan G Suite.

Inscribir dispositivos con afw#xenmobile

Los usuarios escriben “afw#xenmobile” cuando se les pide que introduzcan una cuenta de Google después de encender un dispositivo nuevo o restablecido a los valores de fábrica para la configuración inicial. Esta acción descarga e instala Secure Hub. Los usuarios siguen las indicaciones de configuración de Secure Hub para completar la inscripción.

Se recomienda este método de inscripción para la mayoría de los clientes porque la versión más reciente de Secure Hub se descarga desde la tienda de Google Play. A diferencia de otros métodos de inscripción, no es necesario proporcionar Secure Hub para descargarlo desde el servidor de XenMobile.

Requisitos del sistema

  • Compatible con todos los dispositivos Android que ejecutan el sistema operativo Android.

Para inscribir el dispositivo

  1. Encienda un dispositivo nuevo o restablecido a los valores de fábrica.

  2. La configuración inicial del dispositivo se carga y solicita una cuenta de Google. Si el dispositivo carga la pantalla de inicio del dispositivo, compruebe que en la barra de notificaciones hay la notificación Finalizar configuración.

    Imagen

  3. Escriba afw#xenmobile en el campo Correo electrónico o Teléfono.

    Imagen

  4. Toque Instalar en la pantalla de Android Enterprise que solicita la instalación de Secure Hub.

    Imagen

  5. Toque Instalar en la pantalla del instalador de Secure Hub.

    Imagen

  6. Toque Permitir para todas las solicitudes de permisos de la aplicación.

  7. Toque Aceptar y continuar para instalar Secure Hub y permitirle que administre el dispositivo.

    Imagen

  8. Secure Hub ya se ha instalado y se halla en la pantalla de inscripción predeterminada. En este ejemplo, la detección automática no está configurada. Si lo estuviera, el usuario puede introducir su nombre de usuario o su correo electrónico y se le encontraría un servidor. En lugar de seguir este método, introduzca la URL de inscripción del entorno y toque Siguiente.

    Imagen

  9. La configuración predeterminada de XenMobile permite elegir si usar MAM o MDM+MAM. Si se le pide de esta manera, toque Sí, inscribirlo para elegir MDM+MAM.

    Imagen

  10. Introduzca el nombre de usuario y la contraseña y, a continuación, toque Siguiente.

    Imagen

  11. Se pide al usuario que configure un código de acceso de dispositivo. Toque Establecer e introduzca un código de acceso.

    Imagen

  12. Se solicita al usuario que configure un método de desbloqueo del perfil de trabajo. En este ejemplo, toque Contraseña y PIN, e introduzca un PIN.

    Imagen

  13. El dispositivo se encuentra ahora en la pantalla de inicio de Secure Hub Mis aplicaciones. Toque Agregar aplicaciones desde la tienda.

    Imagen

  14. Para agregar Secure Web, toque Secure Web.

    Imagen

  15. Toque Agregar.

    Imagen

  16. Secure Hub dirige al usuario a la tienda de Google Play para instalar Secure Web. Toque Instalar.

    Imagen

  17. Después de que Secure Web se instale, toque Abrir. Introduzca una dirección URL de un sitio interno en la barra de direcciones y compruebe que se carga la página.

    Imagen

  18. Vaya a Configuración > Cuentas en el dispositivo. Observe que la cuenta administrada no se puede modificar. Las opciones de desarrollador para compartir la pantalla o la depuración remota también están bloqueadas.

    Imagen

Inscribir dispositivos con una conexión NFC

Para inscribir un dispositivo como dispositivo totalmente administrado mediante conexiones NFC, se necesitan dos dispositivos: uno que se haya restablecido a sus valores de fábrica y otro con la herramienta XenMobile Provisioning Tool.

Requisitos del sistema y requisitos previos

  • Dispositivos Android compatibles.
  • Un dispositivo nuevo o restablecido a los valores de fábrica, aprovisionado para Android Enterprise como un dispositivo totalmente administrado. Dispone de los pasos necesarios para completar este requisito previo más adelante en este artículo.
  • Otro dispositivo con capacidades de comunicación NFC, que ejecuta la herramienta Provisioning Tool configurada. La herramienta Provisioning Tool está disponible en Secure Hub o en la página Descargas de Citrix.

Cada dispositivo solo puede tener un perfil de Android Enterprise, gestionado por Secure Hub. Solo se permite un perfil para cada dispositivo. Al intentar agregar una segunda aplicación DPC, se quita la instancia instalada de Secure Hub.

Datos transferidos a través de la conexión NFC

Para aprovisionar un dispositivo restablecido a sus valores de fábrica, debe enviar los siguientes datos vía una conexión NFC para inicializar Android Enterprise:

  • Nombre del paquete de la aplicación DPC que actuará como propietaria del dispositivo (en este caso, Secure Hub).
  • Ubicación de intranet o Internet desde donde el dispositivo puede descargar la aplicación DPC.
  • Valor hash SHA1 de la aplicación DPC para verificar si la descarga se ha realizado correctamente.
  • Datos de la conexión Wi-Fi para que un dispositivo restablecido a sus valores de fábrica pueda conectarse y descargar la aplicación DPC. Nota: Android no admite 802.1x Wi-Fi para este paso.
  • Zona horaria del dispositivo (opcional).
  • Ubicación geográfica del dispositivo (opcional).

Cuando los dos dispositivos se conectan por NFC, los datos de la herramienta Provisioning Tool se envían al dispositivo restablecido a los valores de fábrica. Esos datos se utilizan para descargar Secure Hub con los parámetros del administrador. Si no introduce valores para la zona horaria y la ubicación geográfica, Android los configurará automáticamente en el nuevo dispositivo.

Configuración de la herramienta XenMobile Provisioning Tool

Antes de una conexión NFC, es necesario configurar la herramienta Provisioning Tool. Esta configuración se transfiere, a continuación, al dispositivo restablecido a los valores de fábrica durante la conexión NFC.

Imagen de la configuración de Provisioning Tool

Puede introducir los datos en los campos requeridos o rellenar los campos mediante un archivo de texto. En los pasos del siguiente procedimiento, se describe cómo configurar un archivo de texto que contenga descripciones para cada campo. La aplicación no guarda información una vez introducida ésta, por lo que puede ser conveniente crear un archivo de texto para conservar esa información para el futuro.

Para configurar Provisioning Tool mediante un archivo de texto

Nombre el archivo nfcprovisioning.txt y colóquelo en la tarjeta SD del dispositivo (en la carpeta /sdcard/). La aplicación leerá el archivo de texto y rellenará los valores.

El archivo de texto debe contener los datos siguientes:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Esta línea es la ubicación de intranet o Internet de la aplicación de proveedor EMM. Una vez que el dispositivo restablecido a los valores de fábrica se haya conectado a una red Wi-Fi por conexión NFC, el dispositivo debe tener acceso a esta ubicación para la descarga. La URL es una dirección URL normal, sin formato especial.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Esta línea es la suma de comprobación de la aplicación de proveedor EMM. Esta suma de comprobación se utiliza para verificar que la descarga se ha realizado correctamente. Los pasos para obtener la suma de comprobación se describen más adelante en este artículo.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Esta línea es el SSID del dispositivo conectado por Wi-Fi donde se está ejecutando la herramienta Provisioning Tool.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Los valores admitidos son WEP y WPA2. Si la red Wi-Fi no está protegida, este campo debe estar vacío.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Si la red Wi-Fi no está protegida, este campo debe estar vacío.

android.app.extra.PROVISIONING_LOCALE=<locale>

Introduzca códigos de idioma y país. Los códigos de idioma son códigos de idioma ISO de dos letras minúsculas (por ejemplo, “es” para español), según se definen en ISO 639-1. Los códigos de país son códigos de país de dos letras mayúsculas (por ejemplo, “ES” para España), según se definen en ISO 3166-1. Por ejemplo, introduzca es_ES para el español hablado en España. Si no introduce ningún código, el país y el idioma se rellenan automáticamente.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

La zona horaria en que se ejecuta el dispositivo. Escriba un nombre Olson con el formato área/ciudad. Por ejemplo: America/Los_Angeles para la zona horaria del Pacífico en Estados Unidos. Si no introduce ningún nombre, la zona horaria se rellena automáticamente.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Este dato no es necesario, porque el valor está codificado en la aplicación como “Secure Hub”. Se menciona aquí a título meramente informativo.

Si existe una red Wi-Fi protegida con WPA2, un archivo nfcprovisioning.txt completado puede tener el siguiente aspecto:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Si existe una red Wi-Fi no protegida, un archivo nfcprovisioning.txt completado puede tener el siguiente aspecto:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Para obtener la suma de comprobación de Secure Hub

Si quiere obtener la suma de comprobación de cualquier aplicación, agregue la aplicación como aplicación de empresa.

  1. En la consola de XenMobile, vaya a Configurar > Aplicaciones y haga clic en Agregar.

    Aparecerá la ventana Agregar aplicaciones.

  2. Haga clic en Empresa.

    Aparecerá la página Información de la aplicación.

    Imagen de la página Información de la aplicación

  3. Seleccione la configuración siguiente y haga clic en Siguiente.

    Aparecerá la página Aplicación de empresa para Android Enterprise.

    Imagen de la página de la aplicación de empresa para Android for Work

  4. Facilite la ruta al archivo APK y haga clic en Siguiente para cargar el archivo.

    Una vez completada la carga, verá los datos del paquete cargado.

    Imagen de la página de carga de archivos

  5. Haga clic en Siguiente. Haga clic en Download JSON para descargar el archivo JSON que podrá utilizar para hacer cargas en Google Play. Para Secure Hub, la carga en Google Play no es obligatoria, pero necesita el archivo JSON para leer el valor SHA1 en él.

    Imagen de la página de descarga de archivo JSON

    Un archivo JSON típico es similar al siguiente:

    Imagen de un archivo JSON típico

  6. Copie el valor file_sha1_base64 y úselo en el campo Hash de la herramienta Provisioning Tool.

    Nota: El hash debe ser contener caracteres que se puedan usar en las URL.

    • Convierta todos los símbolos + a -.
    • Convierta los símbolos / a _.
    • Reemplace \u003d por =.

    La aplicación hará la conversión de manera segura si guarda el hash en el archivo nfcprovisioning.txt, en la tarjeta SD del dispositivo. Sin embargo, si opta por introducir el hash manualmente, tendrá que comprobar usted mismo que el valor es compatible con direcciones URL.

Bibliotecas utilizadas

La herramienta Provisioning Tool utiliza las bibliotecas siguientes en su código fuente:

  • Biblioteca appcompat v7, biblioteca Design support y biblioteca Palette v7 de Google bajo la licencia de Apache 2.0

    Para obtener información, consulte Support Library Features Guide.

  • Butter Knife de Jake Wharton bajo la licencia de Apache 2.0

Inscribir dispositivos con un código QR

Para inscribir dispositivos totalmente administrados mediante un código QR, debe generar un código QR. Para ello, cree un JSON y conviértalo en un código QR. La cámara del dispositivo escanea el código QR para inscribir el dispositivo.

Requisitos del sistema

  • Se admite en todos los dispositivos con Android 8.0 y versiones posteriores.

Crear un código QR a partir de un JSON

Cree un JSON con los siguientes campos.

Estos campos son obligatorios:

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valor: com.zenprise/com.zenprise.configuration.AdminFunction

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valor: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valor: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

Estos campos son opcionales:

  • android.app.extra.PROVISIONING_LOCALE: Indique los códigos de idioma y país.

    Los códigos de idioma son códigos de idioma ISO de dos letras minúsculas (por ejemplo, “es” para español), según se definen en ISO 639-1. Los códigos de país son códigos de país de dos letras mayúsculas (por ejemplo, “ES” para España), según se definen en ISO 3166-1. Por ejemplo, introduzca es_ES para el español hablado en España.

  • android.app.extra.PROVISIONING_TIME_ZONE: La zona horaria en que se ejecuta el dispositivo.

    Escriba un nombre Olson con el formato área/ciudad. Por ejemplo: America/Los_Angeles para la zona horaria del Pacífico en Estados Unidos. Si no introduce ninguno, la zona horaria se rellena automáticamente.

  • android.app.extra.PROVISIONING_LOCAL_TIME: Tiempo en milisegundos desde epoch.

    El epoch de Unix (o la hora de Unix, la hora de POSIX o la marca de hora de Unix) es la cantidad de segundos que hayan transcurridos desde el 1 de enero de 1970 (medianoche UTC/GMT). En este tiempo no se cuentan los segundos intercalares (en ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: Establézcalo en true para omitir el cifrado durante la creación del perfil. Establezca esta opción en false para forzar el cifrado durante la creación del perfil.

Un archivo JSON típico es similar al siguiente:

Imagen de un archivo JSON típico

Valide el archivo JSON que se cree mediante cualquier herramienta de validación JSON, como https://jsonlint.com. Convierta esa cadena JSON en un código QR mediante cualquier generador de códigos QR en línea, como https://goqr.me.

Este código QR se escanea con un dispositivo restablecido a los valores de fábrica para inscribirlo como dispositivo totalmente administrado.

Para inscribir el dispositivo

Después de encender un dispositivo nuevo o restablecido a los valores de fábrica:

  1. Toque seis veces en la pantalla de bienvenida para iniciar la inscripción por código QR.
  2. Cuando se le solicite, conéctese a la Wi-Fi. Se puede acceder a la ubicación de descarga que tenga establecido Secure Hub en el código QR (codificado en JSON) a través de esta red Wi-Fi.

    Una vez que el dispositivo se haya conectado a la red Wi-Fi, descarga un lector de códigos QR desde Google e inicia la cámara.

  3. Apunte la cámara al código QR para escanear el código.

    Android descarga Secure Hub desde la ubicación de descarga establecida en el código QR, valida la firma del certificado de firma, instala Secure Hub y establece el modo de propietario del dispositivo.

Para obtener más información, consulte esta guía de Google para desarrolladores EMM de Android: https://developers.google.com/android/work/prov-devices#qr_code_method.

Aprovisionamiento automático

El aprovisionamiento automático le permite configurar dispositivos para que se aprovisionen como dispositivos totalmente administrados cuando al encenderse por primera vez.

Su proveedor de dispositivos creará una cuenta para usted en el portal de Android Zero Touch, una herramienta online que le permite aplicar configuraciones a los dispositivos. El portal de Android Zero Touch le permite crear una o más configuraciones de aprovisionamiento automático y aplicar las configuraciones a los dispositivos asignados a su cuenta. Cuando los usuarios encienden estos dispositivos, los dispositivos se inscriben automáticamente en XenMobile. La configuración asignada al dispositivo define su proceso de inscripción automática.

Requisitos del sistema

  • El soporte para el aprovisionamiento automático se ofrece a partir de la versión Android 8.0

Información de su proveedor sobre dispositivos y cuentas

  • Los dispositivos aptos para el aprovisionamiento automático se compran a un distribuidor empresarial o a un socio de Google. Para obtener una lista de los socios de Android Enterprise Zero Touch, consulte el sitio web de Android.

  • Una cuenta de portal de Android Enterprise Zero Touch, creada por su distribuidor.

  • Datos de inicio de sesión de la cuenta de portal de Android Enterprise Zero Touch creada por su distribuidor.

Crear una configuración automática

Cuando cree una configuración automática, incluya un JSON personalizado para especificar los detalles de la configuración.

Utilice este JSON para configurar el dispositivo para que se inscriba en el servidor XenMobile que especifique. Sustituya la URL de su servidor por ‘URL’ en este ejemplo.

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }

Puede utilizar un JSON opcional con más parámetros para personalizar su configuración en mayor profundidad. En este ejemplo se especifica el servidor XenMobile y el nombre de usuario y la contraseña que utilizan los dispositivos con esta configuración para iniciar sesión en el servidor.

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  1. Vaya al portal de Android Zero Touch en https://partner.android.com/zerotouch. Inicie sesión con la información de la cuenta de su proveedor de dispositivos de aprovisionamiento automático.

  2. Haga clic en Configuración. Imagen del portal de Zero Touch

  3. Haga clic en + sobre la tabla de configuración. Imagen del portal de Zero Touch

  4. Introduzca la información de configuración en la ventana de configuración que aparece. Imagen del portal de Zero Touch
    • Nombre de configuración: Escriba el nombre elegido para esta configuración.
    • EMM DPC: Elija Citrix Secure Hub.
    • Extras de DPC: Pegue el texto JSON personalizado en este campo.
    • Nombre de la empresa: Escriba el nombre que quiere que aparezca en sus dispositivos Android Enterprise Zero Touch durante el aprovisionamiento de dispositivos.
    • Dirección de correo electrónico de asistencia técnico: Escriba una dirección de correo electrónico con la que los usuarios puedan ponerse en contacto para obtener ayuda. Esta dirección aparece en los dispositivos Android Enterprise Zero Touch antes del aprovisionamiento del dispositivo.
    • Número de teléfono de asistencia técnica: Escriba un número de teléfono con el que los usuarios puedan ponerse en contacto para obtener ayuda. Este número de teléfono aparece en los dispositivos Android Enterprise Zero Touch antes del aprovisionamiento del dispositivo.
    • Mensaje personalizado: Si quiere, puede agregar una o dos frases que ayuden a los usuarios a ponerse en contacto con usted o proporcionar más detalles sobre lo que está sucediendo en su dispositivo. Este mensaje personalizado aparece en los dispositivos Android Enterprise Zero Touch antes del aprovisionamiento del dispositivo.
  5. Haga clic en Agregar.

  6. Para crear más configuraciones, repita los pasos 2 a 4.

  7. Para aplicar una configuración a un dispositivo:

    1. En el portal de Android Zero Touch, haga clic en Dispositivos.

    2. Busque el dispositivo en la lista de dispositivos y elija la configuración que quiera asignar. Imagen del portal de Zero Touch

    3. Haga clic en Update.

Puede aplicar una configuración a muchos dispositivos mediante un archivo CSV.

Para obtener información sobre cómo aplicar una configuración a muchos dispositivos, consulte la sección de ayuda de Android Enterprise Aprovisionamiento automático para administradores de TI. Esta sección de ayuda de Android Enterprise contiene más información sobre cómo administrar configuraciones y aplicarlas a los dispositivos.

Ver dispositivos totalmente administrados en la consola de XenMobile

  1. En la consola de XenMobile, vaya a Administrar > Dispositivos.

  2. Para agregar la columna ¿Dispositivo habilitado para Android Enterprise?, haga clic en el menú situado a la derecha de la tabla de esta página. Imagen

  3. Para ver las acciones de seguridad disponibles, seleccione un dispositivo totalmente administrado y haga clic en Proteger. Cuando el dispositivo está totalmente administrado, la acción Borrado completo está disponible, pero Borrado selectivo no. Esto se debe a que el dispositivo solo permite aplicaciones de la tienda administrada de Google Play. No hay una opción para que el usuario instale aplicaciones desde la tienda pública. Su organización administra todo el contenido del dispositivo.

    Imagen

Aprovisionar dispositivos Android Enterprise dedicados

Los dispositivos Android Enterprise dedicados son dispositivos totalmente administrados que se destinan a cumplir un solo caso de uso. Así, restringe estos dispositivos a una aplicación o a un pequeño conjunto de aplicaciones que permitan realizar las tareas necesarias para este caso de uso. También impide que los usuarios habiliten otras aplicaciones o realicen otras acciones en el dispositivo.

Los dispositivos dedicados se inscriben mediante cualquiera de los métodos de inscripción utilizados para otros dispositivos totalmente administrados, como se describe en Aprovisionar dispositivos Android Enterprise totalmente administrados. Aprovisionar dispositivos dedicados requiere una configuración adicional antes de inscribirlos.

Los dispositivos dedicados también se conocen como dispositivos de uso único y propiedad de la empresa (COSU).

Nota:

A diferencia de otros dispositivos totalmente administrados, los dispositivos dedicados solo se pueden inscribir de parte de usuarios con cuentas de Active Directory. Los usuarios locales no pueden inscribir dispositivos dedicados.

Para aprovisionar dispositivos dedicados:

  • Agregue un rol del control de acceso basado en roles (RBAC) que permita a los administradores de XenMobile inscribir dispositivos dedicados en su implementación de XenMobile. Asigne este rol a los usuarios cuyos dispositivos dedicados quiera inscribir.
  • Agregue un perfil de inscripción para los administradores de XenMobile a los que permite inscribir dispositivos dedicados en su implementación de XenMobile.
  • Incluya en la lista blanca la aplicación o las aplicaciones a las que quiera que acceda el dispositivo dedicado.
  • Si quiere, configure la aplicación incluida en la lista blanca para permitir el modo de bloqueo de tarea. Cuando una aplicación se encuentra en el modo de bloqueo de tarea, esa aplicación queda anclada a la pantalla del dispositivo cuando el usuario la abre. No aparece el botón Inicio y el botón Atrás está desactivado. El usuario sale de la aplicación mediante una acción programada en la aplicación, como cerrar sesión.
  • Inscriba cada dispositivo como un dispositivo totalmente administrado.

Requisitos del sistema

  • La inscripción de dispositivos Android dedicados comienza a ofrecerse a partir de Android 6.0.

Agregar el rol de RBAC para dispositivos dedicados

El rol RBAC para inscribir dispositivos dedicados permite que XenMobile aprovisione y active silenciosamente una cuenta administrada de Google Play en el dispositivo. A diferencia de las cuentas de usuario administradas de Google Play, estas cuentas de dispositivo identifican un dispositivo que no está vinculado a ningún usuario.

Este rol RBAC se debe asignar a los administradores de XenMobile para permitirles inscribir los dispositivos dedicados.

Para agregar el rol de RBAC con el que inscribir dispositivos dedicados:

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. Haga clic en Control de acceso basado en roles. Aparecerá la página Control de acceso basado en roles con los cuatro roles de usuario predeterminados, además de los roles que haya agregado antes.

  3. Haga clic en Agregar. Aparecerá la página Agregar rol.

  4. Introduzca la siguiente información.

    • Nombre de RBAC: Indique “COSU” u otro nombre descriptivo para el rol. No se puede cambiar el nombre de un rol.
    • Plantilla de RBAC: Elija la plantilla ADMIN.
    • Acceso autorizado: Seleccione Acceso a consola de administración e Inscripción de dispositivos COSU.
    • Funcionalidad de la consola: Seleccione Dispositivos.
    • Aplicar permisos: Seleccione los grupos a los que aplicar el rol COSU. Si hace clic en Para grupos de usuarios específicos, aparecerá una lista de grupos. De esa lista, puede seleccionar un grupo o varios.
  5. Haga clic en Siguiente. Aparecerá la página Asignación.

  6. Escriba la siguiente información para asignar el rol a los grupos de Active Director.

    • Seleccionar dominio: En la lista, haga clic en un dominio.
    • Incluir grupos de usuarios: Haga clic en Buscar para ver una lista de todos los grupos disponibles. O bien escriba un nombre de grupo completo o parcial para limitar la lista solo a los grupos con ese nombre.
    • En la lista que aparezca, seleccione los grupos de usuarios a los que asignar el rol. Cuando se selecciona un grupo de usuarios, el grupo aparece en la lista Grupos de usuarios seleccionados. Imagen
  7. Haga clic en Guardar.

Agregar un perfil de inscripción dedicado (COSU)

Cuando su implementación de XenMobile incluye dispositivos dedicados, un único administrador de XenMobile o un pequeño grupo de administradores inscriben muchos dispositivos dedicados. Para garantizar que estos administradores puedan inscribir todos los dispositivos necesarios, cree un perfil de inscripción para ellos con dispositivos ilimitados permitidos por usuario. Asigne este perfil a un grupo de entrega que contenga los administradores que inscriben los dispositivos dedicados. De esta forma, incluso aunque el perfil global predeterminado tiene una cantidad limitada de dispositivos permitidos por usuario, los administradores pueden inscribir una cantidad ilimitada de dispositivos. Esos administradores deben estar en el perfil de inscripción de dispositivos dedicados (COSU).

  1. En la consola de XenMobile, vaya a Configurar > Perfiles de inscripción. Aparecerá el perfil predeterminado “Global”.

  2. Para agregar un perfil de inscripción, haga clic en Agregar. En la página “Información de inscripción”, escriba un nombre para el perfil de inscripción. Compruebe que la cantidad de dispositivos que puedan inscribir los miembros de este perfil sea ilimitada.

    Imagen de la pantalla de configuración de perfiles de inscripción

  3. Haga clic en Siguiente. Aparecerá la pantalla Asignación de grupos de entrega.

  4. Elija un grupo o varios grupos de entrega que contengan los administradores que inscriben los dispositivos dedicados. Luego haga clic en Save.

    La página “Perfil de inscripción” aparece con el perfil que ha agregado.

    Imagen de la pantalla de configuración de perfiles de inscripción

Incluir aplicaciones en la lista blanca y establecer el modo de bloqueo de tarea

La directiva de quiosco permite incluir aplicaciones en la lista blanca y establecer el modo de bloqueo de tarea. De forma predeterminada, los servicios de Secure Hub y Google Play están incluidos en la lista blanca.

Para agregar la directiva de quiosco

  1. En la consola de XenMobile, haga clic en Configurar > Directivas de dispositivo. Aparecerá la página Directivas de dispositivo.

  2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Agregar nueva directiva.

  3. Expanda Más y, a continuación, en “Seguridad”, haga clic en Quiosco. Aparecerá la página de asignación Directiva de quiosco.

  4. En “Plataformas”, seleccione Android Enterprise. Desmarque las demás plataformas.

  5. En el panel “Información de directiva”, escriba el nombre de la directiva y una descripción opcional.

  6. Haga clic en Siguiente y, a continuación, en Agregar.

  7. Para incluir una aplicación en la lista blanca y permitir o denegar el modo de bloqueo de tarea para esa aplicación

    En la lista, seleccione la aplicación que quiere incluir en la lista blanca.

    Seleccione Permitir para que la aplicación quede anclada en la pantalla del dispositivo cuando el usuario la abra. Elija Denegar para que la aplicación no quede anclada. El valor predeterminado es Permitir.

    Imagen de la pantalla de configuración de directivas de dispositivo

  8. Haga clic en Guardar.

  9. Para incluir otra aplicación en la lista blanca y permitir o denegar el modo de bloqueo de tarea para esa aplicación, haga clic en Agregar.

  10. Configure las reglas de implementación y elija los grupos de entrega. Para obtener más información, consulte Directivas de dispositivo.

Para inscribir el dispositivo

  1. Encienda un dispositivo nuevo o restablecido a los valores de fábrica.

  2. Inscriba los dispositivos como dispositivos totalmente administrados y asígnelos a usuarios que tengan el rol de RBAC de dispositivo dedicado.

Una vez inscrito el dispositivo, muestra una lista de las aplicaciones que un usuario puede ejecutar y bloquear en esta pantalla.

Imagen

Este ejemplo muestra que, mientras Gmail esté en el dispositivo, no se puede ejecutar.

Configurar directivas de dispositivo para Android Enterprise

Use estas directivas para configurar cómo interactúa XenMobile con los dispositivos Android Enterprise. En esta tabla se indican todas las directivas de dispositivo disponibles para dispositivos Android Enterprise.

     
Configuraciones administradas de Android Enterprise Inventario de aplicaciones Desinstalación de aplicaciones
Control de actualización del SO Credenciales XML personalizado
Exchange Directiva de archivos Quiosco
Ubicación Código de acceso Restricciones
Clave de licencia MDM de Samsung Programación Wi-Fi

También puede consultar Directivas MDX y directivas de dispositivo compatibles con Android Enterprise.

Acciones de seguridad

Android Enterprise admite las siguientes acciones de seguridad. Para obtener una descripción de cada acción de seguridad, consulte Acciones de seguridad.

Acción de seguridad Android Enterprise (uso de dispositivos personales en el trabajo) Android Enterprise (propiedad de la empresa)
Renovación de certificados
Borrado completo No
Localizar
Bloquear
Bloqueo y restablecimiento de contraseña No
Notificar (Hacer sonar)
Revocar
Borrado selectivo No

Notas:

La acción de seguridad “Localizar” falla, a menos que la Directiva de localización geográfica haya establecido el modo de ubicación para el dispositivo en Alta precisión o Ahorro de batería.

El comando “Bloqueo y restablecimiento de contraseña” no se admite en dispositivos de perfil de trabajo con versiones de Android anteriores a Android 8.0. En dispositivos de perfil de trabajo con Android 8.0 o una versión posterior, la contraseña enviada bloquea el perfil de trabajo, pero el dispositivo no se bloquea. Si no se envía ningún código de acceso o el código enviado no cumple los requisitos de código de acceso y no se había establecido ningún código de acceso en el perfil de trabajo, el dispositivo se bloquea. Si no se envía ningún código de acceso o el código enviado no cumple los requisitos de código de acceso, pero ya se había establecido un código de acceso en el perfil de trabajo, el perfil de trabajo se bloquea, pero el dispositivo no se bloquea.

Desinscribir una empresa de Android Enterprise

Si ya no quiere utilizar su empresa de Android Enterprise, puede desinscribirla.

Advertencia:

Una vez que se haya desinscrito una empresa, las aplicaciones Android Enterprise en dispositivos ya inscritos a través de ella se restablecen a sus estados predeterminados. Google ya no administra los dispositivos. Volver a inscribirlos en una empresa de Android Enterprise podría requerir una configuración adicional para restaurar la funcionalidad anterior.

Después de que la empresa Android Enterprise se ha desinscrito:

  • En los dispositivos y los usuarios inscritos a través de la empresa, las aplicaciones de Android Enterprise se restablecen a sus estados predeterminados. Las directivas de configuraciones administradas de Android Enterprise aplicadas ya no afectan a las operaciones.
  • XenMobile administra los dispositivos inscritos a través de la empresa. Desde el punto de vista de Google, esos dispositivos no están administrados. No puede agregar nuevas aplicaciones Android Enterprise. No se pueden aplicar directivas de configuraciones administradas de Android Enterprise. Se pueden aplicar otras directivas, tales como Programación, Contraseña y Restricciones, a estos dispositivos.
  • Si intenta inscribir dispositivos en Android Enterprise, se inscriben como dispositivos Android, no como dispositivos Android Enterprise.

Puede desinscribir una empresa de Android Enterprise desde la consola del servidor XenMobile y con la ayuda de las herramientas de XenMobile Tools.

Cuando realiza esta tarea, el servidor XenMobile abre una ventana emergente para XenMobile Tools. Antes de comenzar, compruebe que el servidor XenMobile tenga permiso para abrir ventanas emergentes en el explorador web que esté utilizando. Algunos exploradores web, como Google Chrome, requieren que se inhabilite el bloqueo de ventanas emergentes y se agregue la dirección del sitio de XenMobile a la lista blanca de bloqueo de ventanas emergentes.

Para desinscribir una empresa de Android Enterprise

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En la página Parámetros, haga clic en Android Enterprise.

  3. Haga clic en Desinscribir.

    Opción de desinscripción