XenMobile

Android Enterprise

Android Enterprise es un conjunto de herramientas y servicios proporcionados por Google como una solución de administración empresarial para dispositivos Android. Con Android Enterprise:

  • Puede utilizar XenMobile para administrar dispositivos Android que sean propiedad de la empresa y dispositivos Android BYOD.

  • Puede administrar todo el dispositivo o un perfil independiente en el dispositivo. Ese perfil independiente aísla las cuentas, las aplicaciones y los datos empresariales de las cuentas por un lado, y las aplicaciones y los datos personales por el otro.

  • También puede administrar dispositivos dedicados a un solo uso, como la administración de inventario. Para obtener información general sobre las capacidades de Android Enterprise con Google, consulte Administración de Android Enterprise.

Para obtener una lista de términos y definiciones relacionados con Android Enterprise, consulte Terminología de Android Enterprise en la guía para desarrolladores de Google Android Enterprise. Google actualiza estos términos con frecuencia.

Para conocer los sistemas operativos de Android compatibles con XenMobile, consulte Sistemas operativos compatibles.

Al integrar XenMobile en Google Play administrado para utilizar Android Enterprise, se crea una empresa. Google define una empresa como un vínculo entre la organización y la solución de administración móvil empresarial (EMM). Todos los usuarios y los dispositivos que la organización administra a través de esa solución pertenecen a la empresa.

Una empresa de Android Enterprise tiene tres componentes: una solución EMM, una aplicación de controlador de directivas de dispositivos (DPC) y una plataforma de aplicaciones de empresa de Google. Al integrar XenMobile en Android Enterprise, la solución completa tiene los siguientes componentes:

  • XenMobile: La solución EMM de Citrix. XenMobile es la solución unificada para lograr un espacio de trabajo digital seguro. XenMobile ofrece los medios para que los administradores de TI administren dispositivos y aplicaciones para sus organizaciones.
  • Citrix Secure Hub: La aplicación DPC de Citrix. Secure Hub es el panel de inicio de XenMobile. Secure Hub aplica directivas en el dispositivo.
  • Google Play administrado: Una plataforma de aplicaciones empresariales de Google que se integra en XenMobile. La API de EMM de Google Play establece las directivas de aplicación y distribuye las aplicaciones.

En esta ilustración se muestra cómo interactúan los administradores con estos componentes y cómo interactúan los componentes entre sí:

Imagen

Usar Google Play administrado con XenMobile

Nota:

Puede utilizar Google Play administrado o G Suite para registrar Citrix como su proveedor EMM. En este artículo se analiza el uso de Android Enterprise con Google Play administrado. Si su organización usa G Suite para ofrecer acceso a las aplicaciones, puede utilizarlo con Android Enterprise. Consulte Android Enterprise antiguo para clientes de G Suite.

Al utilizar Google Play administrado, puede aprovisionar cuentas administradas de Google Play para dispositivos y usuarios finales. Las cuentas de Google Play administrado proporcionan acceso a Google Play administrado, lo que permite a los usuarios instalar y utilizar las aplicaciones que ponga a su disposición. Si su organización utiliza un servicio de identidad de terceros, puede vincular las cuentas de Google Play administrado a las cuentas de identidad existentes.

Puesto que este tipo de empresa no está vinculada a un dominio, puede crear más de una empresa para una sola organización. Por ejemplo, cada departamento o región de una organización puede inscribirse como una empresa diferente para administrar conjuntos separados de dispositivos y aplicaciones.

Para los administradores de XenMobile, Google Play administrado combina la experiencia de usuario y las funciones de la tienda de aplicaciones de Google Play con un conjunto de capacidades de administración diseñadas para las empresas. Se utiliza Google Play administrado para agregar, comprar y aprobar aplicaciones para implementarlas en el espacio de trabajo de Android Enterprise del dispositivo. Se puede utilizar Google Play para implementar aplicaciones públicas, privadas y de terceros.

Para los usuarios de dispositivos administrados, Google Play administrado es la tienda de aplicaciones de empresa. Los usuarios pueden explorar aplicaciones, ver los detalles de la aplicación e instalarlas. A diferencia de la versión pública de Google Play, los usuarios solo podrán instalar las aplicaciones de Google Play administrado que usted haya puesto a su disposición.

Casos de implementación de dispositivos y modos de operación

El caso de implementación de dispositivos se refiere a quién pertenecen los dispositivos que usted implementa y cómo los administra usted. En cambio, los perfiles de dispositivo se distinguen en función de cómo el DPC administra y aplica las directivas en los dispositivos.

Un perfil de trabajo aísla las cuentas, las aplicaciones y los datos de empresa por un lado, y las cuentas, las aplicaciones y los datos personales por el otro. Para obtener información más detallada sobre los perfiles de trabajo, consulte el tema Qué es un perfil de trabajo en la ayuda de Google Android Enterprise.

Importante:

Cuando los dispositivos Android Enterprise se actualicen a la versión Android 11, Google migrará los dispositivos administrados como “totalmente administrados con un perfil de trabajo” a una nueva experiencia de perfil de trabajo con seguridad mejorada. Para obtener más información, consulte Changes ahead for Android Enterprise’s Fully Managed with Work Profile.

Administración de dispositivos Casos de uso Perfil de trabajo Perfil personal Notas
Dispositivos propiedad de la empresa (totalmente administrados) Dispositivos propiedad de la empresa destinados únicamente al uso profesional No Sí. DPC puede realizar acciones en todo el dispositivo: configurar la conectividad en todo el dispositivo, establecer la configuración global y realizar un restablecimiento a los valores de fábrica. Solo para dispositivos nuevos o de restablecimiento de fábrica.
Totalmente administrado con un perfil de trabajo Dispositivos propiedad de la empresa destinados al uso personal y profesional Sí. En estos dispositivos, se ejecutan dos copias del DPC: Una administra el dispositivo en modo propietario del dispositivo y la otra administra el perfil de trabajo en modo propietario del perfil. Puede aplicar directivas independientes al dispositivo y al perfil de trabajo. Estos dispositivos se conocían anteriormente como dispositivos COPE (propiedad de la empresa con acceso privado).
Dispositivos dedicados* Dispositivos propiedad de la empresa configurados para un solo caso de uso, como la señalización digital o la impresión de tíquets No Sí. Solo se suministran las aplicaciones obligatorias y se impide que los usuarios agreguen otras aplicaciones. Se conocían anteriormente como dispositivos de uso único y propiedad de la empresa (COSU).
Perfil de trabajo BYOD** Dispositivos personales inscritos en modo de perfil de trabajo (también conocido como modo propietario del perfil) Sí. DPC administra solo el perfil de trabajo, no todo el dispositivo. Estos dispositivos no necesitan ser nuevos ni haberse restablecido a los valores de fábrica.

* Los usuarios pueden compartir un dispositivo dedicado. Cuando un usuario inicia sesión en una aplicación en un dispositivo dedicado, el estado de su trabajo está relacionado con la aplicación, no con el dispositivo.

** XenMobile no admite dispositivos Zebra en el modo propietario de perfil. XenMobile admite dispositivos Zebra como dispositivos totalmente administrados y en modo antiguo de dispositivos (también denominado modo administrador del dispositivo).

Para obtener información sobre la migración del modo antiguo al modo de propietario del dispositivo o de propietario del perfil, consulte Migrar de la administración de dispositivos a Android Enterprise.

Métodos de autenticación

Los perfiles de inscripción determinan si los dispositivos Android se inscriben en MAM, MDM o MDM+MAM, con la posibilidad de que los usuarios se excluyan de MDM.

Los modos de seguridad de inscripción Nombre de usuario y PIN, URL de invitación, URL de invitación y PIN, y URL de invitación y contraseña no están disponibles para Android Enterprise. Para obtener información sobre la especificación del nivel de seguridad y los pasos necesarios para la inscripción, consulte Para configurar modos de seguridad de inscripción.

XenMobile admite los siguientes métodos de autenticación para dispositivos Android en MDM+MAM. Para obtener más información, consulte los artículos enCertificados y autenticación.

  • Dominio
  • Dominio y token de seguridad
  • Certificado de cliente
  • Certificado de cliente y dominio
  • Proveedores de identidades:
    • Azure Active Directory
    • Proveedor de identidades Citrix

Otro método de autenticación que rara vez se utiliza es el certificado de cliente junto con el token de seguridad. Para obtener información, consulte https://support.citrix.com/article/CTX215200.

Requisitos

Antes de comenzar a usar Android Enterprise, necesita:

  • Cuentas y credenciales:

    • Para configurar Android Enterprise con Google Play administrado, una cuenta corporativa de Google
    • Para descargar los archivos MDX más recientes, una cuenta de cliente de Citrix
    • Para implementar aplicaciones privadas (opcional), una cuenta de desarrollador de Google
  • Firebase Cloud Messaging (FCM) configurado para XenMobile. Consulte Firebase Cloud Messaging para obtener instrucciones.

  • Para Samsung Knox Mobile Enrollment (opcional), licencias premium de Knox.

Conectar XenMobile con Google Play

Para configurar Android Enterprise en su organización, registre Citrix como su proveedor de EMM a través de Google Play administrado. Este proceso conecta Google Play administrado con XenMobile y crea una empresa para Android Enterprise en XenMobile.

Necesita una cuenta corporativa de Google para iniciar sesión en Google Play.

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. Vaya a Parámetros > Android Enterprise.

Página de parámetros con Android Enterprise destacada

  1. Haga clic en Conectar. Se abre Google Play.

Android Enterprise se conecta a Google Play

  1. Inicia sesión en Google Play con las credenciales de su cuenta corporativa de Google. Introduzca el nombre de su organización y confirme que Citrix es su proveedor EMM.

  2. Se agrega una ID de empresa para Android Enterprise. Para habilitar Android Enterprise, ajuste Habilitar Android Enterprise en .

    Opción Habilitar Android Enterprise

El ID de Enterprise aparece en la consola de XenMobile.

Imagen

Su entorno está conectado a Google y está listo para administrar dispositivos. Ya puede proporcionar aplicaciones a los usuarios.

XenMobile se puede utilizar para ofrecer a los usuarios aplicaciones móviles de productividad de Citrix, aplicaciones MDX, aplicaciones de tienda pública, aplicaciones web y SaaS, aplicaciones empresariales y enlaces web. Para obtener más información sobre estos tipos de aplicaciones y sobre cómo proporcionarlas a los usuarios, consulte Agregar aplicaciones.

En esta sección se muestra cómo ofrecer aplicaciones de productividad móvil.

Proporcionar aplicaciones Citrix de productividad móvil a usuarios de Android Enterprise

Para proporcionar aplicaciones Citrix de productividad móvil a usuarios de Android Enterprise, debe seguir estos pasos.

  1. Publique las aplicaciones como aplicaciones MDX. Consulte Configurar aplicaciones como aplicaciones MDX.

  2. Configure las reglas para el desafío de seguridad que emplean los usuarios con el fin de acceder a los perfiles de trabajo de sus dispositivos. Consulte Configurar la directiva de desafío de seguridad.

Las aplicaciones que publique están disponibles para los dispositivos inscritos de su empresa de Android Enterprise.

Nota:

Cuando implementa una aplicación de tienda pública de Android Enterprise en un usuario de dispositivo Android, ese usuario se inscribe automáticamente en Android Enterprise.

Configurar aplicaciones como aplicaciones MDX

Para configurar una aplicación de productividad de Citrix como una aplicación MDX para Android Enterprise:

  1. En la consola de XenMobile, haga clic en Configurar > Aplicaciones. Aparecerá la página Aplicaciones.

    Pantalla Configuración de aplicaciones

  2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Agregar aplicación.

    Pantalla Configuración de aplicaciones

  3. Haga clic en MDX. Aparecerá la página Información de la aplicación.

  4. En el lado izquierdo de la página, seleccione Android Enterprise como plataforma.

  5. En la página Información de la aplicación, escriba la información siguiente:

    • Nombre: Escriba un nombre descriptivo para la aplicación. Este nombre figurará en Nombre de la aplicación, en la tabla Aplicaciones.
    • Descripción: Escriba, si quiere, una descripción de la aplicación.
    • Categoría de la aplicación: En la lista, puede hacer clic en la categoría a la que se agregará la aplicación. Para obtener más información acerca de las categorías de aplicaciones, consulte Acerca de las categorías de aplicaciones.
  6. Haga clic en Siguiente. Aparecerá la página Aplicación MDX para Android Enterprise.

  7. Haga clic en Cargar y vaya a la ubicación de los archivos .mdx para la aplicación. Seleccione el archivo y haga clic en Abrir.

  8. La interfaz de usuario le notifica si la aplicación adjunta requiere la aprobación de Google Play Store administrado. Para aprobar la aplicación sin salir de la consola de XenMobile, haga clic en .

    Agregar una aplicación MDX

  9. Cuando se abra la página de Google Play Store administrado, haga clic en Approve.

    Aprobar una aplicación MDX

  10. Vuelva a hacer clic en Approve.

  11. Seleccione Keep approved when app requests new permissions. Haga clic en Guardar.

    Parámetros de aprobación de Google Play

  12. Cuando se aprueba y guarda la aplicación, aparecen más parámetros en la página. Configure estos parámetros:

    • Nombre de archivo: Escriba el nombre del archivo asociado a la aplicación.
    • Descripción de la aplicación: Escriba una descripción de la aplicación.
    • Seguimiento del producto: Especifique qué tipo de seguimiento de producto quiere enviar a los dispositivos de usuario. Si tiene un seguimiento diseñado para prueba, puede seleccionarlo y asignárselo a sus usuarios. El valor predeterminado es Producción.
    • Versión de la aplicación: Si quiere, escriba el número de versión de la aplicación.
    • ID del paquete: La URL de la aplicación de Google Play Store.
    • Versión mínima de SO: Si quiere, escriba la versión más antigua del sistema operativo que se puede ejecutar en el dispositivo para utilizar la aplicación.
    • Versión máxima de SO: Si quiere, escriba la versión más reciente del sistema operativo que debe ejecutar el dispositivo para utilizar la aplicación.
    • Dispositivos excluidos: Si quiere, escriba el fabricante o los modelos de los dispositivos en los que no se puede ejecutar la aplicación.
  13. Configure las directivas MDX. Para obtener más información sobre directivas para aplicaciones MDX, consulte Vista general de las directivas MDX y Introducción al SDK de MAM.

  14. Configure las reglas de implementación. Para obtener información, consulte Implementar recursos.

  15. Expanda Configuración del almacén. Este parámetro no se aplica a las aplicaciones de Android Enterprise, que solo aparecen en Google Play administrado.

    Pantalla Configuración de aplicaciones

    Si quiere, puede agregar una sección de preguntas frecuentes sobre la aplicación o capturas de pantalla que aparecen en el almacén de aplicaciones. También puede definir si los usuarios pueden puntuar o comentar la aplicación.

    • Configure estos parámetros:
      • Preguntas frecuentes sobre aplicaciones: Agregue una sección de preguntas frecuentes sobre la aplicación (junto con sus respuestas).
      • Capturas de pantalla de aplicaciones: Agregue capturas de pantalla para ayudar a clasificar la aplicación en el almacén de aplicaciones. El formato del gráfico que cargue debe ser PNG. No puede cargar imágenes en formato GIF o JPEG.
      • Permitir puntuación de aplicaciones: Seleccione si permitir a los usuarios puntuar la aplicación. De forma predeterminada, está activado. Permitir comentarios de aplicaciones: Seleccione si permitir a los usuarios publicar comentarios referentes a la aplicación seleccionada. De forma predeterminada, está activado.
  16. Haga clic en Siguiente. Aparecerá la página Aprobaciones.

    Pantalla Configuración de aplicaciones

    Los flujos de trabajo se utilizan cuando se necesita aprobación para crear cuentas de usuario. Si no quiere establecer flujos de trabajo de aprobación, puede ir directamente al paso 15.

    Configure estos parámetros para asignar o crear un flujo de trabajo:

    • Flujo de trabajo para usar: En la lista, haga clic en un flujo de trabajo existente o haga clic en Crear un flujo de trabajo. El valor predeterminado es Ninguno.
    • Si selecciona Crear un flujo de trabajo configure los siguientes parámetros: Para obtener más información, consulte Aplicar flujos de trabajo.
    • Nombre: Escriba un nombre único para el flujo de trabajo.
    • Descripción: Si quiere, escriba una descripción del flujo de trabajo.
    • Plantillas de correo electrónico de aprobación: En la lista, seleccione la plantilla de aprobación por correo electrónico que se va a asignar al flujo de trabajo. Cuando haga clic en el icono con forma de ojo situado a la derecha de este campo, aparecerá un cuadro de diálogo en el que puede obtener una vista previa de la plantilla.
    • Niveles de aprobación administrativa: En la lista, seleccione la cantidad de niveles de aprobación administrativa necesarios para este flujo de trabajo. El valor predeterminado es 1 nivel. Las opciones posibles son:
      • No se necesita
      • 1 nivel
      • 2 niveles
      • 3 niveles
    • Seleccionar dominio de Active Directory: En la lista, seleccione el dominio correspondiente de Active Directory que se va a usar para el flujo de trabajo.
    • Buscar aprobadores adicionales requeridos: Escriba el nombre de la persona obligatoria adicional en el campo de búsqueda y, a continuación, haga clic en Buscar. Los nombres se originan en Active Directory.
    • Cuando el nombre aparezca en el campo, marque la casilla situada al lado. El nombre y la dirección de correo electrónico aparecen en la lista Aprobadores adicionales requeridos seleccionados.
      • Para quitar a una persona de la lista Aprobadores adicionales requeridos seleccionados, realice una de las siguientes acciones:
        • Haga clic en Buscar para ver una lista de todos los usuarios del dominio seleccionado.
        • Escriba un nombre completo o parcial en el cuadro de búsqueda y, a continuación, haga clic en Buscar para limitar los resultados de la búsqueda.
        • Las personas de la lista Aprobadores adicionales requeridos seleccionados tienen marcas de verificación junto a sus nombres en la lista de resultados de la búsqueda. Desplácese por la lista y desmarque la casilla situada junto a cada nombre que quiera quitar.
  17. Haga clic en Siguiente. Aparecerá la página Asignación de grupos de entrega.

    Pantalla Configuración de aplicaciones

  18. Junto a Elegir grupos de entrega, escriba el nombre de un grupo de entrega para buscarlo, o bien seleccione un grupo o varios de la lista. Los grupos que seleccione aparecerán en la lista Grupos de entrega a recibir asignaciones de aplicaciones.

  19. Expanda Programación de implementación y, a continuación, configure los siguientes parámetros:

    • Junto a Implementar, haga clic en para programar la implementación, o bien, haga clic en No para cancelarla. De forma predeterminada, está activado.
    • Junto a Programación de implementación, haga clic en Ahora o en Más tarde. La opción predeterminada es Ahora.
    • Si hace clic en Más tarde, haga clic en el icono de calendario y seleccione la fecha y la hora previstas para la implementación.
    • Junto a Condición de implementación, puede hacer clic en En cada conexión o en Solo cuando haya fallado la implementación anterior. La opción predeterminada es En cada conexión.
    • Junto a Implementar para conexiones permanentes, asegúrese de que está seleccionado No. Está desactivado de forma predeterminada. Las conexiones permanentes no están disponibles para Android Enterprise si comenzó a utilizar XenMobile con la versión 10.18.19 o posterior. No recomendamos las conexiones en el caso de clientes que comenzaron a utilizar XenMobile antes de la versión 10.18.19.

      Esta opción se aplica cuando se ha configurado la clave de implementación en segundo plano para la programación. Esta opción se configura en Parámetros > Propiedades de servidor.

      La programación de implementaciones que configure es la misma para todas las plataformas. Todos los cambios que se realicen se aplicarán a todas las plataformas, excepto la opción Implementar para conexiones permanentes.

  20. Haga clic en Guardar.

Repita los pasos para configurar una aplicación MDX para cada aplicación móvil de productividad.

Configurar la directiva de desafío de seguridad

En XenMobile, la directiva Código de acceso configura el conjunto de reglas que los usuarios deben seguir para superar los retos de seguridad para acceder a sus dispositivos o a los perfiles de trabajo de Android Enterprise en sus dispositivos. Un desafío de seguridad puede ser un código de acceso o un reconocimiento biométrico. Para obtener más información acerca de la directiva Código de acceso, consulte Directiva de código de acceso.

  • Si la implementación de Android Enterprise incluye dispositivos BYOD, configure la directiva de código de acceso para el perfil de trabajo.
  • Si la implementación incluye dispositivos totalmente administrados y propiedad de la empresa, configure la directiva de código de acceso para el propio dispositivo.
  • Si la implementación incluye ambos tipos de dispositivos, configure ambos tipos de directiva de código de acceso.

Para configurar la directiva de código de acceso:

  1. En la consola de XenMobile, vaya a Configurar > Directivas de dispositivo.

  2. Haga clic en Agregar.

  3. Haga clic en Mostrar filtro para ver el panel Plataformas de la directiva. En el panel Plataformas de la directiva, seleccione Android Enterprise.

  4. Haga clic en Código de acceso en el panel derecho.

Opción de seguridad de contraseña

  1. Introduzca un nombre de directiva. Haga clic en Siguiente.

    Nombre de seguridad de contraseña

  2. Establezca la configuración para la directiva de código de acceso.
    • Active la opción Código de acceso de dispositivo obligatorio para ver los parámetros disponibles de los desafíos de seguridad en el propio dispositivo.
    • Establezca Desafío de seguridad de perfil de trabajo en para ver los parámetros disponibles de los desafíos de seguridad de perfil de trabajo.
  3. Haga clic en Siguiente.

  4. Asigne la directiva a uno o varios grupos de entrega.

  5. Haga clic en Guardar.

Creación de perfiles de inscripción

Los perfiles de inscripción controlan el método de inscripción de los dispositivos Android si Android Enterprise está habilitado para su implementación de XenMobile. Cuando crea un perfil de inscripción para dispositivos Android Enterprise, puede configurarlo para inscribir los dispositivos nuevos y restablecidos a los valores de fábrica como:

  • Dispositivos totalmente administrados
  • Dispositivos dedicados (dispositivos COSU)
  • Dispositivos totalmente administrados con un perfil de trabajo (dispositivos COPE)

También puede configurar cada uno de estos perfiles de inscripción de Android Enterprise para inscribir dispositivos Android BYOD como dispositivos de perfil de trabajo.

Si Android Enterprise está habilitado para la implementación de XenMobile, todos los dispositivos Android recién inscritos (o que se han inscrito de nuevo) se inscriben como dispositivos Android Enterprise. De forma predeterminada, el perfil de inscripción global registra los dispositivos Android nuevos y de restablecimiento de fábrica como dispositivos totalmente administrados e inscribe los dispositivos BYOD Android como dispositivos de perfil de trabajo.

Cuando crea los perfiles de inscripción, les asigna grupos de entrega. Si un usuario pertenece a varios grupos de entrega que tienen perfiles de inscripción diferentes, el nombre del grupo de entrega determina el perfil de inscripción utilizado. XenMobile selecciona el grupo de entrega que aparece en último lugar en una lista alfabética de grupos de entrega. Para obtener más información, consulte Perfiles de inscripción.

Puede utilizar perfiles de inscripción para combinar varios casos de uso, como solo MDM, MDM+MAM y solo MAM. El tipo de licencia de XenMobile Server, reflejado en la propiedad de servidor xms.server.mode, determina los valores disponibles en Configurar > Perfiles de inscripción.

Agregar un perfil de inscripción para dispositivos totalmente administrados

De forma predeterminada, los dispositivos totalmente administrados se inscriben utilizando el perfil de inscripción global, pero se pueden crear otros perfiles para inscribir dispositivos totalmente administrados.

  1. En la consola de XenMobile, vaya a Configurar > Perfiles de inscripción.

  2. Para agregar un perfil de inscripción, haga clic en Agregar. En la página “Información de inscripción”, escriba un nombre para el perfil de inscripción.

  3. Establezca la cantidad de dispositivos que los miembros con este perfil pueden inscribir.

  4. Seleccione Android en Plataformas o haga clic en Siguiente. Aparecerá la página Configuración de inscripción.

  5. Establezca Administración en Android Enterprise.

  6. Establezca Modo propietario del dispositivo en Dispositivo propiedad de la empresa.

    Pantalla de configuración de perfiles de inscripción

  7. El perfil de trabajo BYOD le permite configurar el perfil de inscripción para inscribir dispositivos BYOD como dispositivos de perfil de trabajo. Los dispositivos nuevos y restablecidos a los valores de fábrica se inscriben como dispositivos totalmente administrados.

    • Establezca el perfil de trabajo BYOD en para permitir la inscripción de dispositivos BYOD como dispositivos de perfil de trabajo. De forma predeterminada, está activado.
    • Establezca el perfil de trabajo BYOD en No para restringir la inscripción a los dispositivos totalmente administrados.
  8. Elija si quiere inscribir dispositivos en Citrix MAM.

  9. Si establece el perfil de trabajo BYOD en , configure el consentimiento del usuario. Si quiere que los usuarios de dispositivos de perfil de trabajo BYOD puedan rechazar la administración de dispositivos al inscribirlos, establezca Permitir a los usuarios rechazar la administración de dispositivos en .

    Si el perfil de trabajo BYOD está activado, el valor predeterminado de Permitir a los usuarios rechazar la administración de dispositivos es . Si el perfil de trabajo BYOD está establecido en No, la opción Permitir a los usuarios rechazar la administración de dispositivos está desactivada.

  10. Seleccione Asignación (opciones). Aparecerá la pantalla Asignación de grupos de entrega.

  11. Elija un grupo o varios grupos de entrega que contengan los administradores que inscriben los dispositivos totalmente administrados. A continuación, haga clic en Guardar.

    La página “Perfil de inscripción” aparece con el perfil que ha agregado.

    Pantalla de configuración de perfiles de inscripción

Agregar un perfil de inscripción de dispositivos dedicado

Cuando su implementación de XenMobile incluye dispositivos dedicados, un único administrador de XenMobile o un pequeño grupo de administradores inscriben muchos dispositivos dedicados. Para garantizar que estos administradores puedan inscribir todos los dispositivos necesarios, cree un perfil de inscripción para ellos con dispositivos ilimitados permitidos por usuario.

  1. En la consola de XenMobile, vaya a Configurar > Perfiles de inscripción.

  2. Para agregar un perfil de inscripción, haga clic en Agregar. En la página “Información de inscripción”, escriba un nombre para el perfil de inscripción. Compruebe que la cantidad de dispositivos que puedan inscribir los miembros de este perfil sea ilimitada.

  3. Seleccione Android en Plataformas o haga clic en Siguiente. Aparecerá la página Configuración de inscripción.

  4. Establezca Administración en Android Enterprise.

  5. Establezca Modo propietario del dispositivo en Dispositivo dedicado.

    Página Perfiles de inscripción

  6. El perfil de trabajo BYOD le permite configurar el perfil de inscripción para inscribir dispositivos BYOD como dispositivos de perfil de trabajo. Los dispositivos nuevos y restablecidos a los valores de fábrica se inscriben como dispositivos dedicados. Establezca el perfil de trabajo BYOD en para permitir la inscripción de dispositivos BYOD como dispositivos de perfil de trabajo. Establezca el perfil de trabajo BYOD en No para restringir la inscripción a los dispositivos propiedad de la empresa. De forma predeterminada, está activado.

  7. Elija si quiere inscribir dispositivos en Citrix MAM.

  8. Si establece el perfil de trabajo BYOD en , configure el consentimiento del usuario. Si quiere que los usuarios de dispositivos de perfil de trabajo BYOD puedan rechazar la administración de dispositivos al inscribirlos, establezca Permitir a los usuarios rechazar la administración de dispositivos en .

    Si el perfil de trabajo BYOD está activado, el valor predeterminado de Permitir a los usuarios rechazar la administración de dispositivos es . Si el perfil de trabajo BYOD está establecido en No, la opción Permitir a los usuarios rechazar la administración de dispositivos está desactivada.

  9. Seleccione Asignación (opciones). Aparecerá la pantalla Asignación de grupos de entrega.

  10. Elija un grupo o varios grupos de entrega que contengan los administradores que inscriben los dispositivos dedicados. A continuación, haga clic en Guardar.

    La página “Perfil de inscripción” aparece con el perfil que ha agregado.

    Pantalla de configuración de perfiles de inscripción

Agregar un perfil de inscripción para dispositivos totalmente administrados con un perfil de trabajo

  1. En la consola de XenMobile, vaya a Configurar > Perfiles de inscripción.

  2. Para agregar un perfil de inscripción, haga clic en Agregar. En la página “Información de inscripción”, escriba un nombre para el perfil de inscripción.

  3. Establezca la cantidad de dispositivos que los miembros con este perfil pueden inscribir.

  4. Seleccione Android en Plataformas o haga clic en Siguiente. Aparecerá la página Configuración de inscripción.

  5. Establezca Administración en Android Enterprise. Establezca Modo propietario del dispositivo en Totalmente administrado con perfil de trabajo.

    Pantalla de configuración de perfiles de inscripción

  6. El perfil de trabajo BYOD le permite configurar el perfil de inscripción para inscribir dispositivos BYOD como dispositivos de perfil de trabajo. Los dispositivos nuevos y restablecidos a los valores de fábrica se inscriben como dispositivos totalmente administrados con un perfil de trabajo. Establezca el perfil de trabajo BYOD en para permitir la inscripción de dispositivos BYOD como dispositivos de perfil de trabajo. Establezca el perfil de trabajo BYOD en No para restringir la inscripción a los dispositivos dedicados. Está desactivado de forma predeterminada.

  7. Elija si quiere inscribir dispositivos en Citrix MAM.

  8. Si establece el perfil de trabajo BYOD en , configure el consentimiento del usuario. Si quiere que los usuarios de dispositivos de perfil de trabajo BYOD puedan rechazar la administración de dispositivos al inscribirlos, establezca Permitir a los usuarios rechazar la administración de dispositivos en .

    Si el perfil de trabajo BYOD está activado, el valor predeterminado de Permitir a los usuarios rechazar la administración de dispositivos es . Si el perfil de trabajo BYOD está establecido en No, la opción Permitir a los usuarios rechazar la administración de dispositivos está desactivada.

  9. Seleccione Asignación (opciones). Aparecerá la pantalla Asignación de grupos de entrega.

  10. Elija un grupo o varios grupos de entrega que contengan los administradores que inscriben los dispositivos totalmente administrados con un perfil de trabajo. A continuación, haga clic en Guardar.

    La página “Perfil de inscripción” aparece con el perfil que ha agregado.

    Página Perfiles de inscripción

Agregar un perfil de inscripción para dispositivos antiguos

Google va a retirar el modo de administrador de dispositivos de la administración de dispositivos. Google anima a los clientes a administrar todos los dispositivos Android en el modo propietario del dispositivo o en el modo propietario del perfil (consulte Retirada del administrador de dispositivos en las guías para desarrolladores de Google Android Enterprise).

Para habilitar este cambio:

  • Citrix establece Android Enterprise como opción de inscripción predeterminada para dispositivos Android.
  • Si Android Enterprise está habilitado para la implementación de XenMobile, todos los dispositivos Android recién inscritos (o que se han inscrito de nuevo) se inscriben como dispositivos Android Enterprise.

Es posible que su organización no esté preparada para comenzar a administrar dispositivos Android antiguos mediante Android Enterprise. En ese caso, puede seguir administrándolos en el modo de administrador de dispositivos. En el caso de los dispositivos ya inscritos en el modo de administrador de dispositivos, XenMobile continúa administrándolos en el modo de administrador de dispositivos.

Cree un perfil de inscripción para dispositivos antiguos para permitir que las nuevas inscripciones de dispositivos Android utilicen el modo de administrador de dispositivos.

Para crear un perfil de inscripción para los dispositivos antiguos:

  1. En la consola de XenMobile, vaya a Configurar > Perfiles de inscripción.

  2. Para agregar un perfil de inscripción, haga clic en Agregar. En la página “Información de inscripción”, escriba un nombre para el perfil de inscripción.

  3. Establezca la cantidad de dispositivos que los miembros con este perfil pueden inscribir.

  4. Seleccione Android en Plataformas o haga clic en Siguiente. Aparecerá la página Configuración de inscripción.

  5. Establezca Administración en Administración de dispositivos antigua (no se recomienda). Haga clic en Siguiente.

    Pantalla de configuración de perfiles de inscripción

  6. Elija si quiere inscribir dispositivos en Citrix MAM.

  7. Si quiere que los usuarios puedan rechazar la administración de dispositivos al inscribirlos, establezca Permitir a los usuarios rechazar la administración de dispositivos en . De forma predeterminada, está activado.

  8. Seleccione Asignación (opciones). Aparecerá la pantalla Asignación de grupos de entrega.

  9. Elija un grupo o varios grupos de entrega que contengan los administradores que inscriben los dispositivos dedicados. A continuación, haga clic en Guardar.

La página “Perfil de inscripción” aparece con el perfil que ha agregado.

Página de perfil de inscripción

Para seguir administrando dispositivos antiguos en el modo de administrador de dispositivos, inscríbalos o vuelva a inscribirlos con este perfil. Para inscribir dispositivos de administrador de dispositivos similares a los dispositivos de perfil de trabajo, los usuarios deben descargar Secure Hub y proporcionar una URL de servidor de inscripción.

Aprovisionar dispositivos de perfil de trabajo en Android Enterprise

Los dispositivos de perfil de trabajo de Android Enterprise se inscriben en el modo propietario de perfil. Estos dispositivos no necesitan ser nuevos ni haberse restablecido a los valores de fábrica. Los dispositivos BYOD se inscriben como dispositivos de perfil de trabajo. La experiencia de inscripción es similar a la inscripción de Android en XenMobile. Los usuarios descargan Secure Hub desde Google Play e inscriben sus dispositivos.

De forma predeterminada, los parámetros de depuración por USB y fuentes desconocidas están inhabilitados en los dispositivos cuando estos se inscriben en Android Enterprise como dispositivos de perfil de trabajo.

Cuando inscriba dispositivos en Android Enterprise como dispositivos de perfil de trabajo, vaya siempre a Google Play. Desde allí, habilite Secure Hub para que aparezca en el perfil personal del usuario.

Aprovisionar dispositivos Android Enterprise totalmente administrados

Puede inscribir dispositivos totalmente administrados en la implementación que configuró en las secciones anteriores. Los dispositivos totalmente administrados son dispositivos propiedad de la empresa y se inscriben en el modo propietario del dispositivo. Solo los dispositivos nuevos o los restablecidos a los valores de fábrica se pueden inscribir en el modo propietario del dispositivo.

Puede inscribir dispositivos en el modo propietario del dispositivo mediante cualquiera de estos métodos de inscripción:

  • Token identificador DPC: Con este método de inscripción, los usuarios escriben los caracteres afw#xenmobile al configurar el dispositivo. afw#xenmobile es el token identificador DPC de Citrix. Este token identifica el dispositivo como administrado por XenMobile y descarga Secure Hub de Google Play Store. Consulte Inscribir dispositivos mediante el token identificador DPC de Citrix.
  • Conexión de transmisión de datos en proximidad (NFC): El método de inscripción de la conexión NFC transfiere datos entre dos dispositivos por transmisión de datos en proximidad. Bluetooth, Wi-Fi y otros modos de comunicación están inhabilitados en un dispositivo nuevo o que ha sido restablecido a sus valores de fábrica. NFC es el único protocolo de comunicación que el dispositivo puede utilizar en ese estado. Consulte Inscribir dispositivos con una conexión NFC.
  • Código QR: La inscripción con códigos QR se puede utilizar para inscribir una flota distribuida de dispositivos que no admiten NFC, como las tabletas. El método de inscripción por código QR define y configura el modo de perfil del dispositivo al escanear un código QR desde el asistente de configuración. Consulte Inscribir dispositivos con un código QR.
  • Zero Touch: El aprovisionamiento automático le permite configurar los dispositivos para que se inscriban automáticamente cuando se enciendan por primera vez. El aprovisionamiento automático se admite en algunos dispositivos Android con Android 8.0 o versiones posteriores. Consulte Aprovisionamiento automático.
  • Cuentas de Google: Los usuarios introducen sus credenciales de cuenta de Google para iniciar el proceso de aprovisionamiento. Esta opción es para empresas que utilizan G Suite.

Inscribir dispositivos mediante el token identificador DPC de Citrix

Los usuarios escriben afw#xenmobile cuando se les pide que introduzcan una cuenta de Google después de encender dispositivos nuevos o restablecidos a los valores de fábrica para la configuración inicial. Esta acción descarga e instala Secure Hub. Los usuarios siguen las indicaciones de configuración de Secure Hub para completar la inscripción.

Se recomienda este método de inscripción para la mayoría de los clientes porque la versión más reciente de Secure Hub se descarga desde Google Play Store. A diferencia de otros métodos de inscripción, no es necesario proporcionar Secure Hub para descargarlo desde XenMobile Server.

Requisitos del sistema

  • Compatible con todos los dispositivos Android que ejecutan el sistema operativo Android.

Para inscribir el dispositivo

  1. Encienda un dispositivo nuevo o restablecido a los valores de fábrica.

  2. La configuración inicial del dispositivo se carga y solicita una cuenta de Google. Si el dispositivo carga la pantalla de inicio del dispositivo, compruebe que en la barra de notificaciones hay la notificación Finalizar configuración.

    Indicador de inicio de sesión para configuración del dispositivo

  3. Escriba afw#xenmobile en el campo Correo electrónico o Teléfono.

    Texto para configuración del dispositivo

  4. Toque Instalar en la pantalla de Android Enterprise que solicita la instalación de Secure Hub.

    Instalación de Android Enterprise

  5. Toque Instalar en la pantalla del instalador de Secure Hub.

    Instalación de Secure Hub

  6. Toque Permitir para todas las solicitudes de permisos de la aplicación.

  7. Toque Aceptar y continuar para instalar Secure Hub y permitirle que administre el dispositivo.

    Permisos de Secure Hub

  8. Secure Hub ya se ha instalado y se halla en la pantalla de inscripción predeterminada. En este ejemplo, la detección automática no está configurada. Si lo estuviera, el usuario puede introducir su nombre de usuario o su correo electrónico y se le encontraría un servidor. En lugar de seguir este método, introduzca la URL de inscripción del entorno y toque Siguiente.

    Credenciales de Secure Hub

  9. La configuración predeterminada de XenMobile permite a los usuarios elegir MAM o MDM+MAM. Si se le pide de esta manera, toque Sí, inscribirlo para elegir MDM+MAM.

    Inscripción de dispositivo en Secure Hub

  10. Introduzca el nombre de usuario y la contraseña y, a continuación, toque Siguiente.

    Inicio de sesión en Secure Hub

  11. Se pide al usuario que configure un código de acceso de dispositivo. Toque Establecer e introduzca un código de acceso.

    Código de acceso de Secure Hub

  12. Se solicita al usuario que configure un método de desbloqueo del perfil de trabajo. En este ejemplo, toque Contraseña y PIN, e introduzca un PIN.

    Opciones de código de acceso

  13. El dispositivo se encuentra ahora en la pantalla de inicio de Secure Hub Mis aplicaciones. Toque Agregar aplicaciones desde la tienda.

    Pantalla de aplicaciones de Secure Hub

  14. Para agregar Secure Web, toque Secure Web.

    Almacén de Secure Hub

  15. Toque Agregar.

    Almacén de Secure Web

  16. Secure Hub dirige al usuario a Google Play Store para instalar Secure Web. Toque Instalar.

    Instalación segura de aplicaciones

  17. Después de que Secure Web se instale, toque Abrir. Introduzca una dirección URL de un sitio interno en la barra de direcciones y compruebe que se carga la página.

    Prueba de Secure Web

  18. Vaya a Configuración > Cuentas en el dispositivo. Observe que la cuenta administrada no se puede modificar. Las opciones de desarrollador para compartir la pantalla o la depuración remota también están bloqueadas.

    Modificación de la cuenta

Inscribir dispositivos con una conexión NFC

Para inscribir un dispositivo como dispositivo totalmente administrado mediante conexiones NFC, se necesitan dos dispositivos: uno que se haya restablecido a sus valores de fábrica y otro con la herramienta XenMobile Provisioning Tool.

Requisitos del sistema y requisitos previos

  • Dispositivos Android compatibles.
  • Un dispositivo nuevo o restablecido a los valores de fábrica, aprovisionado para Android Enterprise como un dispositivo totalmente administrado. Dispone de los pasos necesarios para completar este requisito previo más adelante en este artículo.
  • Otro dispositivo con capacidades de comunicación NFC, que ejecuta la herramienta Provisioning Tool configurada. La herramienta Provisioning Tool está disponible en Secure Hub o en la página Descargas de Citrix.

Cada dispositivo solo puede tener un perfil de Android Enterprise, gestionado por Secure Hub. Solo se permite un perfil para cada dispositivo. Al intentar agregar una segunda aplicación DPC, se quita la instancia instalada de Secure Hub.

Datos transferidos a través de la conexión NFC

Para aprovisionar un dispositivo restablecido a sus valores de fábrica, debe enviar los siguientes datos vía una conexión NFC para inicializar Android Enterprise:

  • Nombre del paquete de la aplicación DPC que actuará como propietaria del dispositivo (en este caso, Secure Hub).
  • Ubicación de intranet o Internet desde donde el dispositivo puede descargar la aplicación DPC.
  • Valor hash SHA1 de la aplicación DPC para verificar si la descarga se ha realizado correctamente.
  • Datos de la conexión Wi-Fi para que un dispositivo restablecido a sus valores de fábrica pueda conectarse y descargar la aplicación DPC. Nota: Android no admite 802.1x Wi-Fi para este paso.
  • Zona horaria del dispositivo (opcional).
  • Ubicación geográfica del dispositivo (opcional).

Cuando los dos dispositivos se conectan por NFC, los datos de la herramienta Provisioning Tool se envían al dispositivo restablecido a los valores de fábrica. Esos datos se utilizan para descargar Secure Hub con los parámetros del administrador. Si no introduce valores para la zona horaria y la ubicación geográfica, Android los configurará automáticamente en el nuevo dispositivo.

Configuración de la herramienta XenMobile Provisioning Tool

Antes de una conexión NFC, es necesario configurar la herramienta Provisioning Tool. Esta configuración se transfiere, a continuación, al dispositivo restablecido a los valores de fábrica durante la conexión NFC.

Configuración de Provisioning Tool

Puede introducir los datos en los campos requeridos o rellenar los campos mediante un archivo de texto. En los pasos del siguiente procedimiento, se describe cómo configurar un archivo de texto que contenga descripciones para cada campo. La aplicación no guarda información una vez introducida esta, por lo que puede ser conveniente crear un archivo de texto para conservar esa información para el futuro.

Para configurar Provisioning Tool mediante un archivo de texto

Nombre el archivo nfcprovisioning.txt y colóquelo en la carpeta /sdcard/ de la tarjeta SD del dispositivo. La aplicación leerá el archivo de texto y rellenará los valores.

El archivo de texto debe contener los datos siguientes:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Esta línea es la ubicación de intranet o Internet de la aplicación de proveedor EMM. Una vez que el dispositivo restablecido a los valores de fábrica se haya conectado a una red Wi-Fi por conexión NFC, el dispositivo debe tener acceso a esta ubicación para la descarga. La URL es una dirección URL normal, sin formato especial.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Esta línea es la suma de comprobación de la aplicación de proveedor EMM. Esta suma de comprobación se utiliza para verificar que la descarga se ha realizado correctamente. Los pasos para obtener la suma de comprobación se describen más adelante en este artículo.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Esta línea es el SSID del dispositivo conectado por Wi-Fi donde se está ejecutando la herramienta Provisioning Tool.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Los valores admitidos son WEP y WPA2. Si la red Wi-Fi no está protegida, este campo debe estar vacío.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Si la red Wi-Fi no está protegida, este campo debe estar vacío.

android.app.extra.PROVISIONING_LOCALE=<locale>

Introduzca códigos de idioma y país. Los códigos de idioma son códigos de idioma ISO de dos letras minúsculas (por ejemplo, “es” para español), según se definen en ISO 639-1. Los códigos de país son códigos de país de dos letras mayúsculas (por ejemplo, “ES” para España), según se definen en ISO 3166-1. Por ejemplo, introduzca es_ES para el español hablado en España. Si no introduce ningún código, el país y el idioma se rellenan automáticamente.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

La zona horaria en que se ejecuta el dispositivo. Escriba un nombre Olson con el formato área/ciudad. Por ejemplo: America/Los_Angeles para la zona horaria del Pacífico en Estados Unidos. Si no introduce ningún nombre, la zona horaria se rellena automáticamente.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Este dato no es necesario, porque el valor está codificado en la aplicación como “Secure Hub”. Se menciona aquí a título meramente informativo.

Si existe una red Wi-Fi protegida con WPA2, un archivo nfcprovisioning.txt completado puede tener el siguiente aspecto:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Si existe una red Wi-Fi no protegida, un archivo nfcprovisioning.txt completado puede tener el siguiente aspecto:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Para obtener la suma de comprobación de Citrix Secure Hub

La suma de comprobación de Secure Hub es un valor constante: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM. Para descargar un archivo APK destinado para Secure Hub, utilice el siguiente enlace de Google Play Store: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile.

Para obtener la suma de comprobación de una aplicación

Requisitos previos:

  • La herramienta apksigner del componente Android SDK Build-Tools
  • Línea de comandos de OpenSSL

Para obtener la suma de comprobación de una aplicación, siga estos pasos:

  1. Descargue el archivo APK de la aplicación desde Google Play.
  2. En la línea de comandos de OpenSSL, vaya a la herramienta apksigner: android-sdk/build-tools/<version>/apksigner y escriba lo siguiente:

    apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
    

    El comando devuelve una suma de comprobación válida.

  3. Para generar el código QR, introduzca la suma de comprobación en el campo PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM. Por ejemplo:
{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}

Bibliotecas utilizadas

La herramienta Provisioning Tool utiliza las bibliotecas siguientes en su código fuente:

  • Biblioteca appcompat v7, biblioteca Design support y biblioteca Palette v7 de Google bajo la licencia de Apache 2.0

    Para obtener información, consulte Support Library Features Guide.

  • Butter Knife, por Jake Wharton, bajo la licencia de Apache 2.0

Inscribir dispositivos con un código QR

Para inscribir dispositivos totalmente administrados mediante un código QR, debe generar un código QR. Para ello, cree un JSON y conviértalo en un código QR. La cámara del dispositivo escanea el código QR para inscribir el dispositivo.

Requisitos del sistema

  • Se admite en todos los dispositivos con Android 8.0 y versiones posteriores.

Crear un código QR a partir de un JSON

Cree un JSON con los siguientes campos.

Estos campos son obligatorios:

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valor: com.zenprise/com.zenprise.configuration.AdminFunction

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valor: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Clave: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valor: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

Estos campos son opcionales:

  • android.app.extra.PROVISIONING_LOCALE: Indique los códigos de idioma y país.

    Los códigos de idioma son códigos de idioma ISO de dos letras minúsculas (por ejemplo, “es” para español), según se definen en ISO 639-1. Los códigos de país son códigos de país de dos letras mayúsculas (por ejemplo, “ES” para España), según se definen en ISO 3166-1. Por ejemplo, introduzca es_ES para el español hablado en España.

  • android.app.extra.PROVISIONING_TIME_ZONE: La zona horaria en que se ejecuta el dispositivo.

    Escriba un nombre Olson con el formato área/ciudad. Por ejemplo: America/Los_Angeles para la zona horaria del Pacífico en Estados Unidos. Si no introduce ninguno, la zona horaria se rellena automáticamente.

  • android.app.extra.PROVISIONING_LOCAL_TIME: Tiempo en milisegundos desde epoch.

    El epoch de Unix (o la hora de Unix, la hora de POSIX o la marca de hora de Unix) es la cantidad de segundos que hayan transcurridos desde el 1 de enero de 1970 (medianoche UTC/GMT). En este tiempo no se cuentan los segundos intercalares (en ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: Establézcalo en true para omitir el cifrado durante la creación del perfil. Establezca esta opción en false para forzar el cifrado durante la creación del perfil.

Un archivo JSON típico es similar al siguiente:

JSON típico

Valide el archivo JSON que se cree mediante cualquier herramienta de validación JSON, como https://jsonlint.com. Convierta esa cadena JSON en un código QR con cualquier generador de códigos QR en línea; por ejemplo, https://www.qr-code-generator.com.

Este código QR se escanea con un dispositivo restablecido a los valores de fábrica para inscribirlo como dispositivo totalmente administrado.

Para inscribir el dispositivo

Después de encender un dispositivo nuevo o restablecido a los valores de fábrica:

  1. Toque seis veces en la pantalla de bienvenida para iniciar la inscripción por código QR.
  2. Cuando se le solicite, conéctese a la Wi-Fi. Se puede acceder a la ubicación de descarga que tenga establecido Secure Hub en el código QR (codificado en JSON) a través de esta red Wi-Fi.

    Una vez que el dispositivo se haya conectado a la red Wi-Fi, descarga un lector de códigos QR desde Google e inicia la cámara.

  3. Apunte la cámara al código QR para escanear el código.

    Android descarga Secure Hub desde la ubicación de descarga establecida en el código QR, valida la firma del certificado de firma, instala Secure Hub y establece el modo propietario del dispositivo.

Para obtener más información, consulte esta guía de Google para desarrolladores de Android EMM: https://developers.google.com/android/work/prov-devices#qr_code_method.

Aprovisionamiento automático

El aprovisionamiento automático le permite configurar dispositivos para que se aprovisionen como dispositivos totalmente administrados cuando al encenderse por primera vez.

Su proveedor de dispositivos creará una cuenta para usted en el portal de Android Zero Touch, una herramienta online que le permite aplicar configuraciones a los dispositivos. El portal de Android Zero Touch le permite crear una o más configuraciones de aprovisionamiento automático y aplicar las configuraciones a los dispositivos asignados a su cuenta. Cuando los usuarios encienden estos dispositivos, los dispositivos se inscriben automáticamente en XenMobile. La configuración asignada al dispositivo define su proceso de inscripción automática.

Requisitos del sistema

  • El soporte para el aprovisionamiento automático se ofrece a partir de la versión Android 8.0

Información de su proveedor sobre dispositivos y cuentas

  • Los dispositivos aptos para el aprovisionamiento automático se compran a un distribuidor empresarial o a un socio de Google. Para obtener una lista de los socios de Android Enterprise Zero Touch, consulte el sitio web de Android.

  • Una cuenta de portal de Android Enterprise Zero Touch, creada por su distribuidor.

  • Datos de inicio de sesión de la cuenta de portal de Android Enterprise Zero Touch creada por su distribuidor.

Crear una configuración automática

Cuando cree una configuración automática, incluya un JSON personalizado para especificar los detalles de la configuración.

Utilice este JSON para configurar el dispositivo para que se inscriba en el servidor XenMobile Server que especifique. Sustituya la URL de su servidor por “URL” en este ejemplo.

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }

Puede utilizar un JSON opcional con más parámetros para personalizar su configuración en mayor profundidad. En este ejemplo, se especifica la instancia de XenMobile Server y el nombre de usuario y la contraseña que utilizan los dispositivos con esta configuración para iniciar sesión en el servidor.

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  1. Vaya al portal de Android Zero Touch en https://partner.android.com/zerotouch. Inicie sesión con la información de la cuenta de su proveedor de dispositivos de aprovisionamiento automático.

  2. Haga clic en Configuration. Portal de Zero Touch

  3. Haga clic en + sobre la tabla de configuración. Portal de Zero Touch

  4. Introduzca la información de configuración en la ventana de configuración que aparece. Portal de Zero Touch
    • Configuration name: Escriba el nombre que quiera para esta configuración.
    • EMM DPC: Elija Citrix Secure Hub.
    • DPC extras: Pegue el texto JSON personalizado en este campo.
    • Company name: Escriba el nombre que quiera que aparezca en sus dispositivos Android Enterprise Zero Touch durante el aprovisionamiento del dispositivo.
    • Support email address: Escriba una dirección de correo electrónico con la que los usuarios puedan ponerse en contacto para obtener ayuda. Esta dirección aparece en los dispositivos Android Enterprise Zero Touch antes del aprovisionamiento del dispositivo.
    • Support phone number: Escriba un número de teléfono con el que los usuarios puedan ponerse en contacto para obtener ayuda. Este número de teléfono aparece en los dispositivos Android Enterprise Zero Touch antes del aprovisionamiento del dispositivo.
    • Custom Message: Si quiere, agregue una o dos frases para ayudar a los usuarios a ponerse en contacto con usted o para darles más detalles sobre lo que ocurre con su dispositivo. Este mensaje personalizado aparece en los dispositivos Android Enterprise Zero Touch antes del aprovisionamiento del dispositivo.
  5. Haga clic en Agregar.

  6. Para crear más configuraciones, repita los pasos 2, 3 y 4.

  7. Para aplicar una configuración a un dispositivo:

    1. En el portal de Android Zero Touch, haga clic en Devices.

    2. Busque el dispositivo en la lista de dispositivos y elija la configuración que quiera asignar. Portal de Zero Touch

    3. Haga clic en Update.

Puede aplicar una configuración a muchos dispositivos mediante un archivo CSV.

Para obtener información sobre cómo aplicar una configuración a muchos dispositivos, consulte la sección de ayuda de Android Enterprise Aprovisionamiento automático para administradores de TI. Esta sección de ayuda de Android Enterprise contiene más información sobre cómo administrar configuraciones y aplicarlas a los dispositivos.

Aprovisionar dispositivos Android Enterprise dedicados

Los dispositivos Android Enterprise dedicados son dispositivos totalmente administrados que se destinan a cumplir un solo caso de uso. Los dispositivos dedicados también se conocen como dispositivos de uso único y propiedad de la empresa (COSU). Así, restringe estos dispositivos a una aplicación o a un pequeño conjunto de aplicaciones que permitan realizar las tareas necesarias para este caso de uso. También impide que los usuarios habiliten otras aplicaciones o realicen otras acciones en el dispositivo.

Inscriba los dispositivos dedicados mediante cualquiera de los métodos de inscripción utilizados para otros dispositivos totalmente administrados, como se describe en Aprovisionar dispositivos Android Enterprise totalmente administrados. Aprovisionar dispositivos dedicados requiere una configuración adicional antes de inscribirlos.

Para aprovisionar dispositivos dedicados:

  • Agregue un perfil de inscripción para los administradores de XenMobile a los que permite inscribir dispositivos dedicados en su implementación de XenMobile. Consulte Creación de perfiles de inscripción.
  • Permita las aplicaciones a las que quiera que acceda el dispositivo dedicado.
  • Si quiere, configure la aplicación permitida para permitir el modo de bloqueo de tarea. Cuando una aplicación se encuentra en el modo de bloqueo de tarea, esa aplicación queda anclada a la pantalla del dispositivo cuando el usuario la abre. No aparece el botón Inicio y el botón Atrás está desactivado. El usuario sale de la aplicación mediante una acción programada en la aplicación, como cerrar sesión.
  • Inscriba cada dispositivo en el perfil de inscripción que ha agregado.

Requisitos del sistema

  • La inscripción de dispositivos Android dedicados comienza a ofrecerse a partir de Android 6.0.

Permitir aplicaciones y establecer el modo de bloqueo de tarea

Con la directiva Quiosco, puede permitir aplicaciones y establecer el modo de bloqueo de tarea. De forma predeterminada, se permiten los servicios Secure Hub y Google Play.

Para agregar la directiva de quiosco

  1. En la consola de XenMobile, haga clic en Configurar > Directivas de dispositivo. Aparecerá la página Directivas de dispositivo.

  2. Haga clic en Agregar. Aparecerá el cuadro de diálogo Agregar nueva directiva.

  3. Expanda Más y, a continuación, en “Seguridad”, haga clic en Quiosco. Aparecerá la página de asignación Directiva de quiosco.

  4. En Plataformas, seleccione Android Enterprise. Desmarque las demás plataformas.

  5. En el panel “Información de directiva”, escriba el nombre de la directiva y una descripción opcional.

  6. Haga clic en Siguiente y, a continuación, en Agregar.

  7. Para permitir una aplicación y permitir o denegar el modo de bloqueo de tarea para esa aplicación:

    En la lista, seleccione la aplicación que quiere permitir.

    Seleccione Permitir para que la aplicación quede anclada en la pantalla del dispositivo cuando el usuario la abra. Elija Denegar para que la aplicación no quede anclada. El valor predeterminado es Permitir.

    Pantalla de configuración Directivas de dispositivo

  8. Haga clic en Guardar.

  9. Para permitir otra aplicación y permitir o denegar el modo de bloqueo de tarea para esa aplicación, haga clic en Agregar.

  10. Configure las reglas de implementación y elija los grupos de entrega. Para obtener más información, consulte Directivas de dispositivo.

Para inscribir el dispositivo

  1. Haga clic en Siguiente o seleccione Android en Plataformas. Aparecerá la página Configuración de inscripción.

  2. Establezca Administración en Android Enterprise.

  3. Establezca Modo propietario del dispositivo en Dispositivo propiedad de la empresa.

    Pantalla de configuración de perfiles de inscripción

  4. Seleccione Asignación (opciones). Aparecerá la pantalla Asignación de grupos de entrega.

  5. Elija un grupo o varios grupos de entrega que contengan los administradores que inscriben los dispositivos dedicados. A continuación, haga clic en Guardar.

Si ha habilitado el perfil de trabajo BYOD en el perfil de inscripción, los dispositivos que no son nuevos o restablecidos a los valores de fábrica se inscriben como dispositivos de perfil de trabajo. Consulte Aprovisionar dispositivos de perfil de trabajo en Android Enterprise.

Aprovisionar dispositivos totalmente administrados con un perfil de trabajo (dispositivos COPE) en Android Enterprise

Los dispositivos totalmente administrados con un perfil de trabajo, conocidos anteriormente como dispositivos COPE, son dispositivos propiedad de la empresa que están pensados tanto para el trabajo como para fines personales. Su organización administra estos dispositivos totalmente. Puede aplicar un conjunto de directivas al dispositivo y un conjunto de directivas diferente al perfil de trabajo.

En la consola de XenMobile, los dispositivos totalmente administrados con un perfil de trabajo aparecen con estos términos:

  • El propietario del dispositivo es “Empresa”.

  • El tipo de instalación del dispositivo en Android Enterprise es “COPE (propiedad de la empresa con acceso privado)”.

Requisitos del sistema

  • La inscripción de dispositivos totalmente administrados con perfiles de trabajo se admite a partir de la versión Android 8.0.

Agregar un perfil de inscripción para dispositivos totalmente administrados con perfiles de trabajo

Cree un perfil de inscripción para inscribir dispositivos totalmente administrados con perfiles de trabajo. Los administradores de los grupos de entrega asignados a este perfil de inscripción pueden inscribir dispositivos totalmente administrados con perfiles de trabajo. Para garantizar que estos administradores puedan inscribir todos los dispositivos necesarios, cree un perfil de inscripción para ellos con dispositivos ilimitados permitidos por usuario. Asigne este perfil a un grupo de entrega que contenga los administradores que inscriban dispositivos totalmente administrados con perfiles de trabajo.

  1. En la consola de XenMobile, vaya a Configurar > Perfiles de inscripción.

  2. Para agregar un perfil de inscripción, haga clic en Agregar. En la página “Información de inscripción”, escriba un nombre para el perfil de inscripción. Compruebe que la cantidad de dispositivos que puedan inscribir los miembros de este perfil sea ilimitada.

  3. Haga clic en Siguiente o seleccione Android Enterprise en Plataformas. Aparecerá la página Configuración de inscripción.

  4. Establezca el tipo de inscripción en una de las siguientes opciones:
    • Totalmente administrado/Perfil de trabajo: Los nuevos dispositivos o los restablecidos a los valores de fábrica se inscriben totalmente administrados. Los dispositivos BYOD se inscriben únicamente con un perfil de trabajo administrado por usted.
    • COPE/Perfil de trabajo: Los dispositivos nuevos y restablecidos a los valores de fábrica se inscriben como dispositivos totalmente administrados con un perfil de trabajo. Los dispositivos BYOD se inscriben únicamente con un perfil de trabajo administrado por usted.

    Pantalla de configuración de perfiles de inscripción

  5. Seleccione Asignación (opcional) o haga clic en Siguiente. Aparecerá la pantalla Asignación de grupos de entrega.

  6. Elija un grupo o varios grupos de entrega que contengan los administradores que inscriben los dispositivos dedicados. A continuación, haga clic en Guardar.

    La página “Perfil de inscripción” aparece con el perfil que ha agregado.

    Pantalla de configuración de perfiles de inscripción

Si un usuario pertenece a varios grupos de entrega que tienen perfiles de inscripción diferentes, el nombre del grupo de entrega determina el perfil de inscripción utilizado. XenMobile selecciona el grupo de entrega que aparece en último lugar en una lista alfabética de grupos de entrega.

Para inscribir el dispositivo

Los dispositivos nuevos y los restablecidos a los valores de fábrica se inscriben como dispositivos totalmente administrados con un perfil de trabajo mediante el token identificador DPC, la conexión de transmisión de datos en proximidad (NFC) o los métodos de código QC. Consulte Inscribir dispositivos mediante el token identificador DPC de Citrix, Inscribir dispositivos con una conexión NFC o Inscribir dispositivos con un código QR.

Los dispositivos que no son nuevos o restablecidos a los valores de fábrica se inscriben como dispositivos de perfil de trabajo como se describe en Aprovisionar dispositivos de perfil de trabajo en Android Enterprise.

Ver dispositivos Android Enterprise en la consola de XenMobile

  1. En la consola de XenMobile, vaya a Administrar > Dispositivos.

  2. Para agregar la columna ¿Dispositivo habilitado para Android Enterprise?, haga clic en el menú situado a la derecha de la tabla de esta página. Lista de dispositivos Android Enterprise

  3. Para ver las acciones de seguridad disponibles, seleccione un dispositivo totalmente administrado y haga clic en Proteger. Cuando el dispositivo está totalmente administrado, la acción Borrado completo está disponible, pero Borrado selectivo no. Esta diferencia se debe a que el dispositivo solo permite aplicaciones de Google Play Store administrado. No hay una opción para que el usuario instale aplicaciones desde la tienda pública. Su organización administraba todo el contenido del dispositivo.

    Acciones de seguridad

Configurar directivas de aplicaciones y de dispositivo para Android Enterprise

Para obtener una descripción general de las directivas controladas tanto a nivel de dispositivo como de aplicación, consulte Directivas MDX y directivas de dispositivo compatibles con Android Enterprise.

Qué debe saber sobre las directivas:

  • Protección contra la pérdida de datos: La tecnología de contenedores MAM de XenMobile protege las aplicaciones con cifrado y otras tecnologías de prevención de pérdida de datos (DLP) móviles. Utilice el SDK de Citrix MAM, MDX Service o MDX Toolkit para habilitar MDX en las aplicaciones.

  • Restricciones a dispositivos: Docenas de restricciones para los dispositivos le permiten controlar funciones como:

    • El uso de la cámara del dispositivo
    • Copiar y pegar contenido entre perfiles personales y de trabajo
  • VPN por aplicación: Utilice la directiva Configuraciones administradas para configurar perfiles de VPN para Android Enterprise.

  • Directiva de correo electrónico: Se recomienda utilizar la directiva Configuraciones administradas para configurar aplicaciones.

En esta tabla se indican todas las directivas de dispositivo disponibles para dispositivos Android Enterprise.

Importante:

Para los dispositivos que se inscriben en Android Enterprise y utilizan aplicaciones MDX, puede controlar algunos parámetros a través de MDX y Android Enterprise. Utilice la configuración de directiva menos restrictiva para MDX y controle la directiva a través de Android Enterprise.

     
Permisos de aplicación de Android Enterprise Configuraciones administradas por Android Enterprise Inventario de aplicaciones
Desinstalación de aplicaciones Actualizar automáticamente aplicaciones administradas Controlar actualización del SO
Credenciales XML personalizado Exchange
Archivos Administración de Keyguard Quiosco
Ubicación Código de acceso Restricciones
Clave de licencia MDM de Samsung Programación Wi-Fi
Opciones de XenMobile    

Directivas de dispositivo para los dispositivos totalmente administrados con un perfil de trabajo (dispositivos COPE)

En el caso de los dispositivos totalmente administrados con perfiles de trabajo (dispositivos COPE), se pueden usar algunas directivas de dispositivo para aplicar configuraciones diferentes a todo el dispositivo y al perfil de trabajo. También puede usar otras directivas de dispositivo para aplicar una configuración solo a todo el dispositivo o solo al perfil de trabajo.

Directiva Aplicable a
Permisos de aplicación de Android Enterprise Perfil de trabajo
Configuraciones administradas por Android Enterprise Perfil de trabajo
Inventario de aplicaciones Perfil de trabajo
Desinstalación de aplicaciones Perfil de trabajo
Actualizar automáticamente aplicaciones administradas Perfil de trabajo
Controlar actualización del SO N/D
Credenciales Perfil de trabajo
XML personalizado N/D
Exchange N/D
Archivos Perfil de trabajo
Administración de Keyguard Dispositivo y perfil de trabajo
Quiosco N/D
Ubicación Dispositivo (solo modo de ubicación)
Código de acceso Dispositivo y perfil de trabajo
Restricciones Dispositivo y perfil de trabajo (crear directivas separadas para el dispositivo y el perfil de trabajo)
Clave de licencia MDM de Samsung N/D
Programación Perfil de trabajo
Wi-Fi Dispositivo
Opciones de XenMobile Perfil de trabajo

Consulte también Directivas MDX y directivas de dispositivo compatibles con Android Enterprise y Introducción al SDK de MAM.

Acciones de seguridad

Android Enterprise admite las siguientes acciones de seguridad. Para obtener una descripción de cada acción de seguridad, consulte Acciones de seguridad.

Acción de seguridad Perfil de trabajo Totalmente administrado
Renovación de certificados
Borrado completo No
Localizar
Bloquear
Bloqueo y restablecimiento de contraseña No
Notificar (Hacer sonar)
Revocar
Borrado selectivo No

Notas de acciones de seguridad

  • La acción de seguridad “Localizar” falla, a menos que la directiva Localización establezca el modo de ubicación para el dispositivo en Alta precisión o Ahorro de batería. Consulte Directiva de localización geográfica.

  • En dispositivos de perfil de trabajo con versiones de Android anteriores a Android 8.0:

    • La acción de bloqueo y restablecimiento de contraseña no es compatible.
  • En dispositivos de perfil de trabajo con la versión de Android 8.0 o posterior:

    • El código de acceso enviado bloquea el perfil de trabajo. El dispositivo en sí no se bloquea.
    • Si no hay un código de acceso establecido en el perfil de trabajo:
      • Si no se envía ningún código de acceso o el código enviado no cumple los requisitos de código de acceso, el dispositivo se bloquea.
    • Si hay un código de acceso establecido en el perfil de trabajo:
      • Si no se envía ningún código de acceso o el código enviado no cumple los requisitos de código de acceso, el perfil de trabajo se bloquea, pero el dispositivo no se bloquea.
  • En dispositivos totalmente administrados con perfiles de trabajo (dispositivos COPE):

    • Puede aplicar la acción de seguridad Bloquear por separado al dispositivo o al perfil de trabajo.

Desinscribir una empresa de Android Enterprise

Si ya no quiere utilizar su empresa de Android Enterprise, puede desinscribirla.

Advertencia:

Una vez que desinscriba una empresa, las aplicaciones Android Enterprise en dispositivos ya inscritos a través de ella se restablecen a sus estados predeterminados. Google ya no administra los dispositivos. Si se inscribe en una nueva empresa de Android Enterprise, deberá aprobar aplicaciones para la nueva organización desde Google Play administrado. A continuación, puede actualizar las aplicaciones desde la consola de XenMobile.

Después de que la empresa Android Enterprise se ha desinscrito:

  • En los dispositivos y los usuarios inscritos a través de la empresa, las aplicaciones de Android Enterprise se restablecen a sus estados predeterminados. Las directivas de configuraciones administradas por Android Enterprise aplicadas ya no afectan a las operaciones.
  • XenMobile administra los dispositivos inscritos a través de la empresa. Desde el punto de vista de Google, esos dispositivos no están administrados. No puede agregar nuevas aplicaciones Android Enterprise. No se pueden aplicar directivas de configuraciones administradas por Android Enterprise. Se pueden aplicar otras directivas, tales como Programación, Contraseña y Restricciones, a estos dispositivos.
  • Si intenta inscribir dispositivos en Android Enterprise, se inscriben como dispositivos Android, no como dispositivos Android Enterprise.

Puede desinscribir una empresa de Android Enterprise desde la consola de XenMobile Server y con la ayuda de las herramientas de XenMobile Tools.

Cuando realiza esta tarea, XenMobile abre una ventana emergente para XenMobile Tools. Antes de comenzar, compruebe que XenMobile tenga permiso para abrir ventanas emergentes en el explorador web que esté utilizando. Algunos exploradores web, como Google Chrome, requieren que se inhabilite el bloqueo de ventanas emergentes y se agregue la dirección del sitio de XenMobile a la lista de permitidos para bloquear ventanas emergentes.

Para desinscribir una empresa de Android Enterprise

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En la página Parámetros, haga clic en Android Enterprise.

  3. Haga clic en Desinscribir.

    Opción de desinscripción