Android Entreprise

Android Entreprise est un espace de travail sécurisé disponible sur les appareils Android exécutant Android 5.0 et versions ultérieures. L’espace de travail isole les comptes, applications et données d’entreprise des comptes, applications et données personnels. Dans Endpoint Management, vous pouvez gérer vos propres appareils Android (BYOD) et ceux appartenant à l’entreprise en permettant aux utilisateurs de créer un profil professionnel séparé sur leurs appareils. En combinant le cryptage du matériel et les stratégies que vous déployez, vous séparez de manière sécurisée les zones professionnelles et personnelles d’un appareil. Vous pouvez gérer ou effacer à distance toutes les stratégies, applications et données d’entreprise sans affecter la zone personnelle de l’utilisateur. Pour de plus amples informations sur les appareils Android pris en charge, consultez le site Web Google Android Entreprise.

Vous utilisez Google Play pour ajouter, acheter et approuver des applications en vue de les déployer sur l’espace Android Entreprise d’un appareil. Vous pouvez utiliser Google Play pour déployer vos applications Android privées, en plus d’applications tierces et publiques. Lorsque vous ajoutez une application payante provenant d’un magasin d’applications public pour Android Entreprise, vous pouvez vérifier l’état de la licence d’achat groupé. Cet état représente le nombre total de licences disponibles, le nombre en cours d’utilisation et l’adresse e-mail de chaque utilisateur qui consomme des licences. Pour plus d’informations sur l’ajout d’une application à Endpoint Management, consultez la section Ajouter une application d’un magasin d’applications public.

Remarque :

Android Entreprise s’appelait précédemment Android for Work. Certaines parties du produit font toujours référence à Android for Work.

Configurer Android Entreprise

Endpoint Management fournit un moyen simple de configurer Android Entreprise pour votre organisation. Faites de Citrix votre fournisseur de gestion de la flotte mobile (EMM) via Google Play. Cela permet de créer une entreprise pour Android Entreprise dans Endpoint Management.

Remarque :

Clients G Suite, consultez la section Ancienne version d’Android Entreprise pour clients G Suite qui contient un tableau des informations de stratégie connexes.

Vous aurez besoin de vos informations d’identification Google ID d’entreprise pour vous connecter à Google Play

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sur la page Paramètres, cliquez sur Android Entreprise. Image de la page Paramètres avec Android Entreprise sélectionné

  3. Sur la page Android Entreprise, dans les paramètres Endpoint Management, cliquez sur Connecter. Vous êtes redirigé vers Google Play. Image de la connexion de Android Entreprise à Google Play

  4. Connectez-vous à Google Play avec votre ID Google d’entreprise. Entrez le nom de votre organisation et confirmez que Citrix est votre fournisseur EMM.

  5. Un ID d’entreprise est ajouté pour Android Entreprise. Pour activer Android Entreprise, faites glisser Activer Android Entreprise vers Oui.

    Image de l'option Activer Android Entreprise

Publier des applications de productivité mobiles pour Android Entreprise

Pour publier des applications de productivité mobiles pour Android Entreprise, suivez les étapes ci-dessous.

  1. Dans votre compte Google Play Store géré, publiez les applications dont vous souhaitez que vos utilisateurs disposent. Vous pouvez gérer votre compte Google Play sur https://play.google.com/work.
  2. Dans votre console Endpoint Management, publiez les mêmes applications que les suivantes :
    1. Sélectionnez les applications de magasin public et choisissez Android Entreprise. Pour plus d’informations sur la publication d’applications de magasin public, voir Ajouter une application d’un magasin d’applications public.
    2. Publiez les applications en tant qu’applications MDX, afin qu’elles reçoivent les stratégies MDX. Pour plus d’informations sur la publication d’applications MDX, voir Ajouter une application MDX.

Désinscription d’une entreprise Android Entreprise

Vous pouvez désinscrire une entreprise Android Entreprise à l’aide de la console du serveur Endpoint Management et des outils Endpoint Management Tools.

Lorsque vous effectuez cette tâche, le serveur Endpoint Management ouvre une fenêtre contextuelle Endpoint Management Tools. Avant de commencer, assurez-vous que le serveur Endpoint Management est autorisé à ouvrir des fenêtres contextuelles dans le navigateur que vous utilisez. Certains navigateurs, tels que Google Chrome, vous obligent à désactiver le blocage des fenêtres contextuelles et à ajouter l’adresse du site Endpoint Management à la liste blanche des fenêtres contextuelles bloquées.

Avertissement :

une fois l’entreprise désinscrite, l’état par défaut des applications Android Entreprise sur les appareils déjà inscrits est rétabli. Google ne gère plus les appareils. Leur réinscription dans une entreprise Android Entreprise peut nécessiter une configuration supplémentaire pour restaurer les fonctionnalités précédentes.

Une fois l’entreprise Android Entreprise désinscrite :

  • Les applications Android Entreprise des appareils et des utilisateurs inscrits dans l’entreprise sont réinitialisées à leur état par défaut. Les autorisations d’applications Android Entreprise et les restrictions d’applications Android Entreprise appliquées précédemment n’affectent plus les opérations.
  • Endpoint Management gère les appareils inscrits dans l’entreprise. Du point de vue de Google, ces appareils ne sont pas gérés. Vous ne pouvez pas ajouter de nouvelles applications Android Entreprise. Vous ne pouvez pas appliquer les autorisations d’applications Android Entreprise ou les stratégies de restrictions d’applications Android Entreprise. Vous pouvez appliquer d’autres stratégies, telles que Planification, Mot de passe et Restrictions, à ces appareils.
  • Si vous tentez d’inscrire des appareils dans Android Entreprise, ils sont inscrits comme appareils Android et non comme appareils Android Entreprise.

Désinscription d’une entreprise Android Entreprise :

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sur la page Paramètres, cliquez sur Android Entreprise.

  3. Cliquez sur Désinscrire.

    Image de l'option Désinscrire

Inscription d’appareils Android Entreprise

Si le processus d’inscription de votre appareil nécessite que les utilisateurs saisissent un nom d’utilisateur ou un ID utilisateur : le format accepté dépend de la configuration d’Endpoint Management pour la recherche des utilisateurs par nom principal d’utilisateur (UPN) ou nom de compte SAM.

Si Endpoint Management est configuré pour la recherche des utilisateurs par UPN, les utilisateurs doivent entrer un nom UPN au format :

  • nom d’utilisateur@domaine

Si Endpoint Management est configuré pour la recherche des utilisateurs par SAM, les utilisateurs doivent entrer un nom SAM dans l’un des formats suivants :

  • nom d’utilisateur@domaine
  • domaine\nom d’utilisateur

Pour déterminer le type de nom d’utilisateur utilisé par Endpoint Management :

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.
  2. Cliquez sur LDAP pour afficher la configuration de la connexion LDAP.
  3. Dans la partie inférieure de la page, affichez le champ Recherche utilisateur par :

    • Si l’option est définie sur userPrincipalName, Endpoint Management est défini pour UPN.
    • Si l’option est définie sur sAMAccountName, Endpoint Management est défini pour SAM.

Provisionner le mode Appareil géré de travail dans Android Entreprise

Le mode Appareil géré de travail pour Android Entreprise est uniquement disponible pour les appareils appartenant à l’entreprise. Endpoint Management prend en charge ces méthodes d’inscription dans le mode Appareil géré de travail :

  • afw#xenmobile : avec cette méthode d’inscription, l’utilisateur entre les caractères « afw#xenmobile » lors de la configuration de l’appareil. Ce jeton identifie l’appareil comme étant géré par Endpoint Management et télécharge Secure Hub.
  • Code QR : le provisioning de code QR est un moyen simple de configurer une flotte distribuée d’appareils qui ne prennent pas en charge la technologie NFC, tels que les tablettes. La méthode d’inscription avec le code QR peut être utilisée sur des appareils de la flotte qui ont été réinitialisés à leurs paramètres d’usine. La méthode d’inscription avec le code QR permet de configurer le mode Appareil géré de travail en scannant un code QR depuis l’assistant d’installation.
  • Partage de données à l’aide de NFC : la méthode d’inscription avec le partage NFC peut être utilisée sur des appareils de la flotte qui ont été réinitialisés à leurs paramètres d’usine. Un partage NFC permet de transférer des données entre deux appareils en utilisant une communication en champ proche. Bluetooth, Wi-Fi et les autres modes de communication sont désactivés sur un appareil dont les paramètres d’usine ont été réinitialisés. NFC est le seul protocole de communication que l’appareil peut utiliser dans cet état.

afw#xenmobile

La méthode d’inscription est utilisée après la mise sous tension d’un nouvel appareil ou d’un appareil réinitialisé à ses paramètres d’usine lors de la configuration initiale. Les utilisateurs entrent « afw#xenmobile » lorsqu’ils sont invités à entrer un compte Google. Cette action télécharge et installe Secure Hub. Les utilisateurs suivent les invites de configuration de Secure Hub pour terminer l’inscription.

Cette méthode d’inscription est recommandée pour la plupart des clients car la dernière version de Secure Hub est téléchargée à partir de Google Play Store. Contrairement aux autres méthodes d’inscription, vous ne pouvez pas télécharger Secure Hub depuis le serveur Endpoint Management.

Conditions préalables :

  • Pris en charge sur tous les appareils Android exécutant Android 5.0 et supérieur.

Code QR

Pour inscrire un appareil en mode Propriétaire d’appareil à l’aide d’un code QR, générez un code QR en créant un JSON et en convertissant le JSON en un code QR. Le code QR est scanné par l’appareil photo de l’appareil pour inscrire l’appareil.

Conditions préalables :

  • Pris en charge sur tous les appareils Android exécutant Android 7.0 et supérieur.

Créer un code QR à partir d’un JSON

Créez un JSON avec les champs suivants.

Ces champs sont obligatoires :

Clé : android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valeur : com.zenprise/com.zenprise.configuration.AdminFunction

Clé : android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valeur : qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Clé : android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valeur : https://path/to/securehub.apk

Remarque :

si Secure Hub est chargé sur le serveur Citrix Endpoint Management en tant qu’une application d’entreprise, il peut être téléchargé à partir de https://<fqdn>:4443/*instanceName*/worxhome.apk. Le chemin d’accès à Secure Hub APK doit être accessible via la connexion Wi-Fi à laquelle l’appareil se connecte lors du provisioning.

Ces champs sont facultatifs :

  • android.app.extra.PROVISIONING_LOCALE : entrez un code de langue et de pays.

    Les codes de langue sont des codes ISO de deux lettres minuscules (tels que fr) comme défini dans l’ISO 639-1. Les codes de pays sont des codes ISO de deux lettres majuscules (tels que FR) comme défini dans l’ISO 3166-1. À titre d’exemple, entrez fr_FR pour la langue française parlée en France.

  • android.app.extra.PROVISIONING_TIME_ZONE : fuseau horaire dans lequel l’appareil est exécuté.

    Entrez un nom basé sur la base de données Olson au format zone/emplacement. Par exemple, Europe/Paris pour l’heure de l’Europe occidentale. Si vous n’entrez rien, le fuseau horaire est automatiquement renseigné.

  • android.app.extra.PROVISIONING_LOCAL_TIME : durée en millisecondes depuis l’heure Unix.

    L’heure Unix (également appelée heure POSIX ou Unix timestamp) est le nombre de secondes écoulées depuis le 1er janvier 1970 (minuit UTC/GMT). L’heure n’inclut pas les secondes intercalaires (dans ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION : définissez cette option sur true pour ignorer le cryptage lors de la création du profil. Définissez cette option sur false pour forcer le cryptage lors de la création du profil.

Un fichier JSON typique ressemble à ce qui suit :

Image d'un fichier JSON typique

Validez le fichier JSON créé à l’aide de n’importe quel outil de validation JSON, tel que https://jsonlint.com. Convertissez cette chaîne JSON en un code QR à l’aide de n’importe quel générateur de code QR, tel que https://goqr.me.

Ce code QR est scanné par un appareil dont les paramètres d’usine ont été réinitialisés pour inscrire l’appareil dans le mode Appareil géré de travail.

Pour inscrire l’appareil

Pour inscrire un appareil en mode Appareil géré de travail, les paramètres d’usine de l’appareil doivent être réinitialisés.

  1. Touchez l’écran 6 fois sur l’écran d’accueil pour lancer le flux d’inscription du code QR.
  2. Lorsque vous y êtes invité, connectez-vous au Wi-Fi. L’emplacement de téléchargement de Secure Hub dans le code QR (codé dans le JSON) est accessible sur ce réseau Wi-Fi.

    Une fois que l’appareil se connecte au Wi-Fi, il télécharge un lecteur de code QR à partir de Google et lance l’appareil photo.

  3. Pointez l’appareil photo sur le code QR pour scanner le code.

    Android télécharge Secure Hub à partir de l’emplacement de téléchargement dans le code QR, valide la signature du certificat de signature, installe Secure Hub et le définit comme propriétaire de l’appareil.

Pour plus d’informations, consultez ce guide Google pour les développeurs Android EMM : https://developers.google.com/android/work/prov-devices#qr_code_method.

Partage de données avec NFC

Pour inscrire un appareil en mode d’appareil à l’aide du partage NFC, deux appareils sont requis : un dont les paramètres d’usine ont été rétablis et un exécutant l’application Endpoint Management Provisioning Tool.

Conditions préalables :

  • Pris en charge sur tous les appareils Android exécutant Android 5.0, Android 5.1, Android 6.0 et supérieur.
  • Un serveur Endpoint Management version 10.4 activé pour Android Entreprise.
  • Un appareil dont les paramètres d’usine ont été rétablis, provisionné pour Android Entreprise en mode Appareil géré de travail. Les étapes à suivre pour satisfaire ces conditions préalables sont disponibles plus loin dans cet article.
  • Un autre appareil avec capacité NFC, exécutant l’application Provisioning Tool configurée. Provisioning Tool est disponible dans Secure Hub 10.4 où sur la page des téléchargements de Citrix.

Chaque appareil ne peut disposer que d’un profil Android Entreprise, géré par une application de gestion de la mobilité d’entreprise (EMM). Dans Endpoint Management, Secure Hub est l’application EMM. Un seul profil est autorisé sur chaque appareil. Si vous essayez d’ajouter une deuxième application EMM, la première application EMM sera supprimée.

Vous pouvez démarrer le mode Appareil géré de travail sur des nouveaux appareils ou sur des appareils dont les paramètres d’usine ont été réinitialisés. La gestion de l’appareil est effectuée entièrement sur Endpoint Management.

Données transférées via le partage NFC

Le provisioning d’un appareil dont les paramètres d’usine ont été rétablis requiert l’envoi des données suivantes via NFC pour initialiser Android Entreprise :

  • Nom du package de l’application EMM du fournisseur qui fait office de propriétaire de l’appareil (dans ce cas, Secure Hub).
  • Emplacement intranet/Internet à partir duquel l’appareil peut télécharger l’application EMM du fournisseur.
  • Hachage SHA1 de l’application EMM du fournisseur pour vérifier que le téléchargement a réussi.
  • Détails de la connexion Wi-Fi de façon à ce qu’un appareil dont les paramètres d’usine ont été réinitialisés puisse se connecter et télécharger l’application EMM du fournisseur. Remarque : Android ne prend pas charge 802.1x Wi-Fi pour cette étape.
  • Fuseau horaire de l’appareil (facultatif).
  • Emplacement géographique de l’appareil (facultatif).

Lorsque les deux appareils sont « cognés », les données de Provisioning Tool sont envoyées à l’appareil dont les paramètres d’usine ont été réinitialisés. Ces données sont ensuite utilisées pour télécharger Secure Hub avec des paramètres d’administrateur. Si vous ne précisez pas le fuseau horaire ni l’emplacement, Android les configure automatiquement sur le nouvel appareil.

Configuration d’Endpoint Management Provisioning Tool

Avant de partager des données avec NFC, vous devez configurer Provisioning Tool. Cette configuration est ensuite transférée à l’appareil dont les paramètres d’usine ont été réinitialisés durant le partage des données avec NFC.

Image de la configuration de Provisioning Tool

Vous pouvez entrer des données dans les champs requis ou les renseigner via un fichier texte. Les étapes de la procédure suivante décrivent comment configurer le fichier texte et contiennent des descriptions pour chaque champ. L’application n’enregistre pas les informations après qu’elles soient entrées, il peut donc s’avérer utile de créer un fichier texte afin de conserver les informations pour une utilisation ultérieure.

Pour configurer le Provisioning Tool à l’aide d’un fichier texte

Appelez le fichier nfcprovisioning.txt et placez-le dans le dossier /sdcard/ sur la carte SD de l’appareil. Cela permet à l’application de lire le fichier texte et renseigner les valeurs.

Le fichier texte doit contenir les données suivantes :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Il s’agit de l’emplacement intranet/Internet de l’application EMM du fournisseur. Après que l’appareil dont les paramètres d’usine ont été réinitialisés se soit connecté au Wi-Fi suite au partage NFC, il doit avoir accès à cet emplacement pour le téléchargement. L’adresse URL est une adresse URL standard qui ne requiert aucun formatage spécial.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Il s’agit de la somme de contrôle de l’application EMM du fournisseur. Elle est utilisée pour vérifier que le téléchargement a réussi. Les étapes à suivre pour obtenir la somme de contrôle sont abordées plus loin dans cet article.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Cette ligne est le SSID Wi-Fi connecté de l’appareil sur lequel Provisioning Tool est exécuté.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Les valeurs prises en charge sont WEP et WPA2. Si le Wi-Fi n’est pas protégé, ce champ doit être vide.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Si le Wi-Fi n’est pas protégé, ce champ doit être vide.

android.app.extra.PROVISIONING_LOCALE=<locale>

Entrez un code de langue et de pays. Les codes de langue sont des codes ISO de deux lettres minuscules (tels que fr) comme défini dans l’ISO 639-1. Les codes de pays sont des codes ISO de deux lettres majuscules (tels que FR) comme défini dans l’ISO 3166-1. À titre d’exemple, entrez fr_FR pour la langue française parlée en France. Si vous n’entrez aucun code, la langue et le pays sont automatiquement renseignés.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

Fuseau horaire dans lequel l’appareil est exécuté. Entrez un nom basé sur la base de données Olson au format zone/emplacement. Par exemple, Europe/Paris pour l’heure de l’Europe occidentale. Si vous n’entrez rien, le fuseau horaire est automatiquement renseigné.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Ces données ne pas requises car la valeur est codée en dur dans l’application Secure Hub. Il n’est mentionné ici que par souci de complétude.

Si un accès protégé Wi-Fi WPA2 est utilisé, un fichier nfcprovisioning.txt peut ressembler à ce qui suit :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Si un accès non protégé Wi-Fi est utilisé, un fichier nfcprovisioning.txt peut ressembler à ce qui suit :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Pour obtenir la somme de contrôle de Secure Hub

Pour obtenir la somme de contrôle d’une application, ajoutez l’application en tant qu’application d’entreprise.

  1. Dans la console Endpoint Management, accédez à Configurer > Applications, puis cliquez sur Ajouter.

    La fenêtre Ajouter une application s’affiche.

  2. Cliquez sur Entreprise.

    La page Informations sur l’application s’affiche.

    Image de la page Informations sur l'application

  3. Sélectionnez la configuration suivante et cliquez sur Suivant.

    La page Android Entreprise Enterprise App s’affiche.

    Image de la page Application Android for Work d'entreprise

  4. Fournissez le chemin d’accès au fichier .apk et cliquez sur Suivant pour charger le fichier.

    Une fois le chargement terminé, vous verrez les détails du package chargé.

    Image de la page de chargement de fichier

  5. Cliquez sur Suivant. Cliquez sur Télécharger fichier JSON pour télécharger le fichier JSON, que vous pouvez ensuite utiliser pour le chargement sur Google Play. Pour Secure Hub, le chargement sur Google Play n’est pas requis, mais vous avez besoin du fichier JSON pour lire la valeur SHA1.

    Image de la page de téléchargement de fichier JSON

    Un fichier JSON typique ressemble à ce qui suit :

    Image d'un fichier JSON typique

  6. Copiez la valeur de file_sha1_base64 et utilisez-la dans le champ Hash de Provisioning Tool.

    Remarque : l’URL du hachage doit être sécurisée.

    • Convertissez tous les symboles + en -
    • Convertissez tous les symboles / en _
    • Remplacez \u003d à la fin de la valeur par =

    Si vous stockez le hachage dans le fichier nfcprovisioning.txt de la carte SD de l’appareil, l’application procède à la conversion de sécurité. Toutefois, si vous décidez d’entrer le hachage manuellement, il est de votre responsabilité de vous assurer que l’URL est sécurisée.

Bibliothèques utilisées

Provisioning Tool utilise les bibliothèques suivantes dans son code source :

Provisionner le mode Profil de travail dans Android Entreprise

Le mode Profil de travail pour Android Entreprise est disponible pour les appareils sur lesquels vous séparez de manière sécurisée les zones professionnelles et personnelles d’un appareil. Par exemple, le mode de profil de travail est disponible pour les périphériques BYOD. L’expérience d’inscription du mode Profil de travail est similaire à l’inscription Android dans Endpoint Management. Les utilisateurs téléchargent Secure Hub depuis Google Play et inscrivent leurs appareils.

Par défaut, les paramètres Débogage USB et Sources inconnues sont désactivés sur un appareil lorsqu’il est inscrit en mode Profil de travail dans Android Entreprise.

Conseil :

Lors de l’inscription d’appareils dans Android Entreprise en mode Profil de travail, accédez toujours à Google Play. De là, activez l’affichage de Secure Hub dans le profil personnel de l’utilisateur.

Prise en charge des appareils COSU Android Entreprise

Endpoint Management prend en charge la gestion des appareils d’entreprise à usage unique (COSU) Android Entreprise. Les appareils COSU remplissent une seule fonction, comme la signalisation numérique, l’impression de tickets ou la gestion des stocks. Les administrateurs limitent ces appareils à une application ou à un ensemble restreint d’applications. Les administrateurs empêchent également les utilisateurs d’activer d’autres applications ou d’effectuer d’autres actions sur l’appareil.

Pour provisionner des appareils COSU :

  • Ajoutez un rôle RBAC (contrôle d’accès basé sur un rôle) pour permettre aux administrateurs Endpoint Management d’inscrire des appareils COSU à votre déploiement Endpoint Management. Attribuez ce rôle aux utilisateurs auxquels vous souhaitez donner la possibilité d’inscrire des appareils COSU.
  • Ajoutez un profil d’inscription pour les administrateurs Endpoint Management que vous autorisez à inscrire des appareils COSU dans votre déploiement Endpoint Management.
  • Ajoutez à la liste blanche les applications auxquelles vous souhaitez que l’appareil COSU accède.
  • (Facultatif) Activez le mode de verrouillage des tâches pour l’application en liste blanche. Lorsqu’une application est en mode de verrouillage des tâches, elle est épinglée sur l’écran de l’appareil lorsque l’utilisateur l’ouvre. Aucun bouton d’accueil n’apparaît et le bouton Retour est désactivé. L’utilisateur quitte l’application à l’aide d’une action programmée dans l’application, comme la déconnexion.
  • Provisionnez chaque appareil à l’aide de la méthode xfw#mobile, NFC Bump ou Code QR, lorsque l’appareil est allumé pour la première fois après la réinitialisation d’usine. Voir afw#xenmobile, NFC bump ou Code QR.

Configuration système requise

  • La prise en charge de l’inscription des appareils COSU Android commence avec Android 6.0.
  • L’appareil doit être neuf ou réinitialisé en usine.

Ajouter le rôle COSU

Le rôle RBAC pour l’inscription d’appareils COSU permet à Endpoint Management de provisionner et d’activer en mode silencieux un compte Google Play géré sur l’appareil. Contrairement aux comptes d’utilisateurs Google Play gérés, ces comptes d’appareils identifient un appareil qui n’est pas lié à un utilisateur.

Vous affectez ce rôle RBAC aux administrateurs Endpoint Management pour leur permettre d’inscrire des appareils COSU.

Pour ajouter le rôle RBAC pour inscrire des appareils COSU :

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Cliquez sur Contrôle d’accès basé sur rôle. La page Contrôle d’accès basé sur rôle qui apparaît affiche les quatre rôles utilisateur par défaut, ainsi que tout rôle que vous avez déjà ajouté.

  3. Cliquez sur Ajouter. La page Ajouter un rôle s’affiche.

  4. Entrez les informations suivantes.

    • Nom RBAC : entrez COSU ou un nom descriptif pour le rôle. Vous ne pouvez pas modifier le nom d’un rôle.
    • Modèle RBAC : choisissez le modèle ADMIN.
    • Accès autorisé : sélectionnez Accès à la console d’admin et Inscription d’appareils COSU.
    • Fonctionnalités de la console : sélectionnez Appareils.
    • Appliquer les autorisations : sélectionnez les groupes auxquels vous voulez appliquer le rôle COSU. Si vous cliquez sur À des groupes d’utilisateurs spécifiques, une liste des groupes s’affiche à partir de laquelle vous pouvez sélectionner un ou plusieurs groupes.
  5. Cliquez sur Suivant. La page Attribution s’affiche.

  6. Entrez les informations suivantes pour attribuer le rôle à des groupes d’utilisateurs.

    • Sélectionner un domaine : cliquez sur un domaine dans la liste.
    • Inclure des groupes d’utilisateurs : cliquez sur Rechercher pour afficher la liste de tous les groupes disponibles. Ou, tapez un nom de groupe complet ou partiel pour limiter la liste aux seuls groupes portant ce nom.
    • Dans la liste qui s’affiche, sélectionnez les groupes d’utilisateurs auxquels vous souhaitez attribuer le rôle. Lorsque vous sélectionnez un groupe d’utilisateurs, le groupe apparaît dans la liste Groupes d’utilisateurs sélectionnés.

    Remarque :

    vous pouvez attribuer un rôle aux groupes d’utilisateurs uniquement pour les utilisateurs Active Directory et non pour les utilisateurs locaux créés dans Endpoint Management.

  7. Cliquez sur Enregistrer.

Ajouter un profil d’inscription COSU

Lorsque votre déploiement Endpoint Management inclut des appareils COSU, un seul administrateur ou un groupe restreint d’administrateurs Endpoint Management peut inscrire de nombreux appareils COSU. Pour vous assurer que ces administrateurs peuvent inscrire tous les appareils requis, créez un profil d’inscription pour eux avec un nombre illimité d’appareils autorisés par utilisateur. Attribuez ce profil à un groupe de mise à disposition contenant les administrateurs qui inscrivent les appareils COSU. De cette façon, même si le profil Global par défaut a un nombre limité d’appareils autorisés par utilisateur, les administrateurs peuvent inscrire un nombre illimité d’appareils. Ces administrateurs doivent figurer dans le profil d’inscription COSU.

  1. Accédez à Configurer > Profils d’inscription. Le profil Global par défaut s’affiche.

  2. Pour ajouter un profil d’inscription, cliquez sur Ajouter. Dans la page Infos d’inscription, entrez un nom pour le profil d’inscription. Assurez-vous que le nombre d’appareils que les membres avec ce profil peuvent inscrire est défini sur illimité.

    Image de l'écran de configuration Profils d'inscription

  3. Cliquez sur Suivant. L’écran Attribution de groupes de mise à disposition s’affiche.

  4. Choisissez le(s) groupe(s) de mise à disposition contenant les administrateurs qui inscrivent les appareils COSU. Cliquez ensuite sur Enregistrer.

    La page Profil d’inscription apparaît avec le profil que vous avez ajouté.

    Image de l'écran de configuration Profils d'inscription

Mettre des applications sur liste blanche et définir le mode de verrouillage des tâches

La stratégie Kiosque vous permet d’ajouter des applications à la liste blanche et de définir le mode de verrouillage des tâches. Par défaut, les services Secure Hub et Google Play sont ajoutés à la liste blanche.

Pour ajouter la stratégie Kiosque :

  1. Dans la console Endpoint Management, cliquez sur Configurer > Stratégies d’appareil. La page Stratégies d’appareil s’affiche.

  2. Cliquez sur Ajouter. La boîte de dialogue Ajouter une nouvelle stratégie apparaît.

  3. Développez Plus puis, sous Sécurité, cliquez sur Kiosque. La page Stratégie kiosque s’affiche.

  4. Sous Plate-formes, sélectionnez Android Entreprise.

  5. Dans le volet Informations sur la stratégie, tapez le nom de la stratégie et une description facultative.

  6. Cliquez sur Suivant, puis sur Ajouter.

  7. Pour ajouter une application à la liste blanche et autoriser ou refuser le mode de verrouillage des tâches pour cette application :

    Sélectionnez dans la liste l’application que vous souhaitez ajouter à la liste blanche.

    Choisissez Autoriser pour que l’application soit épinglée sur l’écran de l’appareil lorsque l’utilisateur démarre l’application. Choisissez Refuser pour que l’application ne soit pas épinglée. La valeur par défaut est Autoriser.

    Image de l'écran de configuration Stratégies d'appareil

  8. Cliquez sur Enregistrer.

  9. Pour ajouter une autre application à la liste blanche et autoriser ou refuser le mode de verrouillage des tâches, cliquez sur Ajouter.

  10. Configurez les règles de déploiement et choisissez des groupes de mise à disposition. Pour de plus amples informations, consultez la section Stratégies d’appareil.