Android Entreprise

Android Entreprise est un ensemble d’outils et de services fournis par Google en tant que solution de gestion d’entreprise pour les appareils Android. Avec Android Entreprise, vous utilisez Endpoint Management pour gérer les appareils Android appartenant à l’entreprise et vos appareils Android BYOD (programme « Apportez votre propre appareil »). Vous pouvez gérer l’ensemble de l’appareil ou un profil distinct sur l’appareil. Le profil distinct permet d’isoler les comptes, applications et données d’entreprise des comptes, applications et données personnels. Vous pouvez également gérer des appareils dédiés à un usage unique, tels que la gestion de l’inventaire.

Pour plus d’informations sur les systèmes d’exploitation Android pris en charge par Endpoint Management, consultez la sectionSystèmes d’exploitation d’appareils pris en charge.

Pour obtenir la liste des termes et définitions liés à Android Enterprise, consultez la section Terminologie Android Entreprise du guide des développeurs Google Android Enterprise. Google met fréquemment à jour ces termes.

Lorsque vous intégrez Endpoint Management à Google Play d’entreprise pour utiliser Android Entreprise, vous créez une entreprise. Google définit une entreprise comme une liaison entre l’organisation et votre solution de gestion mobile d’entreprise (EMM). Tous les utilisateurs et appareils que l’organisation gère via votre solution appartiennent à son entreprise.

Une entreprise pour Android Enterprise comprend trois composants : une solution EMM, une application DPC (Device Policy Controller) et une plate-forme d’application Google Enterprise. Lorsque vous intégrez Endpoint Management à Android Entreprise, la solution complète comporte les composants suivants :

  • Citrix Endpoint Management : solution de gestion mobile d’entreprise Citrix. Endpoint Management est la solution de gestion unifiée des points de terminaison qui permet un espace de travail numérique sécurisé. Endpoint Management fournit aux administrateurs informatiques le moyen de gérer les appareils et les applications de leur organisation.
  • Citrix Secure Hub : l’application DPC Citrix. Secure Hub représente la rampe de lancement d’Endpoint Management. Secure Hub applique des stratégies sur l’appareil.
  • Google Play d’entreprise : plateforme d’application d’entreprise Google qui s’intègre avec Endpoint Management. L’API EMM de Google Play définit les stratégies d’application et distribue l’application.

Cette illustration montre comment les administrateurs interagissent avec ces composants et comment les composants interagissent les uns avec les autres :

Workflow Android Entreprise

Utilisation de Google Play d’entreprise avec Endpoint Management

Remarque :

Vous pouvez utiliser Google Play d’entreprise ou G Suite pour enregistrer Citrix en tant que fournisseur de gestion de la mobilité d’entreprise (EMM). Cet article traite de l’utilisation d’Android Enterprise avec Google Play d’entreprise. Si votre organisation utilise G Suite pour fournir un accès à l’application, vous pouvez l’utiliser avec Android Enterprise. Voir Ancienne version d’Android Entreprise pour clients G Suite.

Lorsque vous utilisez Google Play d’entreprise, vous provisionnez des comptes Google Play d’entreprise pour les appareils et les utilisateurs finaux. Les comptes Google Play d’entreprise permettent d’accéder à Google Play d’entreprise, ce qui permet aux utilisateurs d’installer et d’utiliser les applications que vous mettez à leur disposition. Si votre organisation utilise un service d’identité tiers, vous pouvez lier des comptes Google Play d’entreprise à vos comptes d’identité existants.

Comme ce type d’entreprise n’est pas lié à un domaine, vous pouvez créer plusieurs entreprises pour une seule organisation. Par exemple, chaque département ou région d’une organisation peut s’inscrire en tant qu’entreprise différente pour gérer des ensembles distincts d’appareils et d’applications.

Pour les administrateurs Endpoint Management, Google Play d’entreprise combine l’expérience utilisateur et les fonctionnalités du magasin d’applications de Google Play avec un ensemble de fonctionnalités de gestion conçues pour les entreprises. Vous utilisez Google Play d’entreprise pour ajouter, acheter et approuver des applications en vue de les déployer sur l’espace Android Enterprise d’un appareil. Vous pouvez utiliser Google Play pour déployer des applications publiques, privées, et tierces.

Pour les utilisateurs d’appareils gérés, Google Play d’entreprise correspond au magasin d’applications d’entreprise. Les utilisateurs peuvent parcourir les applications, afficher les détails des applications et les installer. Contrairement à la version publique de Google Play, les utilisateurs peuvent uniquement installer des applications à partir de Google Play d’entreprise que vous leur mettez à disposition.

Scénarios de déploiement d’appareils et modes de fonctionnement

Le scénario de déploiement d’appareils permet de savoir à qui appartient les appareils que vous déployez et désigne la façon dont vous les gérez. Le mode de fonctionnement désigne la façon dont DPC gère et applique les stratégies sur l’appareil. Le mode de fonctionnement prend en charge le scénario de déploiement de l’appareil.

Profil de travail : déploiement de l’appareil BYOD, mode Propriétaire du profil

Un scénario de déploiement BYOD permet aux employés d’apporter leurs appareils personnels au travail et d’utiliser ces appareils pour accéder aux informations et aux applications de l’entreprise.

Le mode de fonctionnement Propriétaire du profil prend en charge les déploiements BYOD. Par le biais de DPC, l’entreprise active les appareils personnels pour une utilisation professionnelle en ajoutant un profil de travail au compte d’utilisateur principal sur l’appareil. Le profile de travail permet d’isoler les comptes, applications et données d’entreprise des comptes, applications et données personnels. Le profil de travail est associé à l’utilisateur principal, mais en tant que profil distinct. En tant que propriétaire du profil, DPC gère uniquement le profil de travail sur l’appareil et dispose d’un contrôle limité en dehors de ce profil. Pour plus d’informations sur les profils de travail (ou profils professionnels), consultez la rubrique d’aide Qu’est-ce qu’un profil professionnel ? de Google Android Enterprise.

Le mode Propriétaire du profil est activé lorsque l’appareil est inscrit dans Endpoint Management. Étant donné que DPC gère uniquement le profil de travail, et non l’ensemble de l’appareil, les appareils inscrits en mode Propriétaire du profil n’ont pas besoin d’être neufs ou de faire l’objet d’une réinitialisation d’usine.

Un appareil en mode Propriétaire du profil est également appelé appareil de profil de travail. Le mode Propriétaire du profil est également appelé mode de profil de travail ou mode de profil géré.

Remarque :

Endpoint Management ne prend pas en charge les appareils Zebra en mode Propriétaire du profil. Endpoint Management prend en charge les appareils Zebra en tant qu’appareils entièrement gérés et en mode d’appareil d’ancienne génération (également appelé mode d’administration d’appareil).

Entièrement géré : déploiement d’appareils appartenant à l’entreprise, mode Propriétaire de l’appareil

Dans un scénario de déploiement d’appareils appartenant à l’entreprise, l’entreprise possède les appareils et contrôle entièrement leur utilisation. Généralement, les entreprises utilisent ce type de déploiement lorsqu’elles ont besoin de surveiller et de gérer strictement l’ensemble de l’appareil.

Le mode de fonctionnement Propriétaire de l’appareil prend en charge les déploiements d’appareils appartenant à l’entreprise. En mode Propriétaire de l’appareil, DPC gère l’ensemble de l’appareil. En tant que propriétaire de l’appareil, DPC peut effectuer des actions à l’échelle de l’appareil, telles que la configuration de la connectivité sur l’appareil, la configuration des paramètres globaux et la réinitialisation d’usine.

Un appareil en mode Propriétaire de l’appareil est un appareil entièrement géré.

Le mode Propriétaire de l’appareil est activé lors de la configuration initiale de l’appareil. Seuls les appareils neufs ou qui ont fait l’objet d’une réinitialisation d’usine peuvent être inscrits dans Endpoint Management en mode Propriétaire de l’appareil.

Appareil dédié : déploiement d’appareils appartenant à l’entreprise, mode Propriétaire de l’appareil

Un appareil dédié est un type d’appareil entièrement géré. Les appareils dédiés sont des appareils appartenant à l’entreprise fonctionnant en mode Propriétaire de l’appareil. Les appareils dédiés fournissent un ensemble limité d’applications qui remplissent une fonction spécifique, comme la signalisation numérique, l’impression de tickets ou la gestion de l’inventaire. Lorsque vous provisionnez un appareil dédié, vous ne fournissez que les applications requises et empêchez les utilisateurs d’ajouter d’autres applications.

Les appareils dédiés sont également connus sous le nom d’appareils d’entreprise à usage unique (appareils COSU) ou d’appareils en mode kiosque.

Déploiement d’appareils d’ancienne génération, mode d’ancienne génération

Les scénarios de déploiement d’appareils d’ancienne génération sont utilisés pour les appareils exécutant des versions Android antérieures à 5.0. Les versions Android antérieures à 5.0 ne prennent pas en charge le mode Propriétaire de l’appareil ou le mode Propriétaire du profil. Android versions 5.1 prend en charge le mode Propriétaire de l’appareil, mais pas le mode Propriétaire du profil.

Le mode de fonctionnement d’ancienne génération, également appelé mode d’administration d’appareil, prend en charge les déploiements d’appareils d’ancienne génération. En mode d’ancienne génération, DPC a un contrôle limité de l’appareil. DPC peut effacer un appareil, exiger un code d’accès ou appliquer certaines stratégies. Pour gérer les applications sur les appareils d’ancienne génération, utilisez Google Play et autorisez les utilisateurs à ajouter un compte Google. Vous pouvez également demander à DPC d’ajouter un compte Google Play d’entreprise à l’appareil d’ancienne génération.

Le mode d’ancienne génération est déconseillé pour les déploiements où vous pouvez mettre en œuvre le mode Propriétaire de l’appareil ou le mode Propriétaire du profil. Google recommande d’utiliser le plus haut niveau possible de gestion des appareils au lieu d’utiliser une solution de dénominateur commun le plus bas pour un parc important. Pour plus d’informations sur la migration du mode d’ancienne génération vers le mode Propriétaire de l’appareil ou le mode Propriétaire du profil, consultez la section Migrer de l’administration des appareils vers Android Enterprise.

Remarque :

Citrix utilise également le terme ancienne génération pour désigner les clients qui utilisent Endpoint Management et G Suite, au lieu de Google Play d’entreprise, pour gérer les appareils Android Entreprise.

Méthodes d’authentification

Endpoint Management inscrit les appareils Android en mode MDM+MAM ou MDM, avec la possibilité pour les utilisateurs de s’enregistrer en mode MAM uniquement. Endpoint Management prend en charge les types d’authentification suivants pour les appareils Android en mode MDM+MAM. Pour plus d’informations, consultez les articles sous Certificats et authentification.

  • Domaine
  • Domaine et jeton de sécurité
  • Certificat client
  • Certificat client et domaine
  • Fournisseurs d’identité :
    • Azure Active Directory
    • Fournisseur d’identité Citrix

Une autre méthode d’authentification rarement utilisée est le certificat client et le jeton de sécurité. Pour plus d’informations, veuillez consulter la section https://support.citrix.com/article/CTX215200.

Exigences

Avant de commencer à utiliser Android Enterprise, vous devez disposer des éléments suivants :

  • Comptes et informations d’identification :

    • Pour configurer Android Enterprise avec Google Play d’entreprise, un compte Google d’entreprise
    • Pour télécharger les derniers fichiers MDX, un compte client Citrix
    • Pour déployer des applications privées (facultatif), un compte Google Developer
  • Pour l’inscription Samsung Knox Mobile Enrollment (facultatif), des licences Knox Premium

Connexion de Endpoint Management à Google Play

Pour configurer Android Enterprise pour votre organisation, enregistrez Citrix en tant que fournisseur de gestion de la mobilité d’entreprise (EMM) via Google Play d’entreprise. Cela permet de connecter Google Play d’entreprise à Endpoint Management et de créer une entreprise pour Android Entreprise dans Endpoint Management.

Vous avez besoin d’un compte Google d’entreprise pour vous connecter à Google Play.

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sur la page Paramètres, cliquez sur Android Entreprise. Page Paramètres avec Android Entreprise sélectionné

  3. Sur la page Android Entreprise, dans les paramètres Endpoint Management, cliquez sur Connecter. Google Play s’ouvre. Connexion de Android Entreprise à Google Play

  4. Connectez-vous à Google Play avec les informations d’identification de votre compte Google d’entreprise. Entrez le nom de votre organisation et confirmez que Citrix est votre fournisseur EMM.

  5. Un ID d’entreprise est ajouté pour Android Entreprise. Pour activer Android Entreprise, faites glisser Activer Android Entreprise vers Oui.

    Option Activer Android Entreprise

Votre identifiant Enterprise s’affiche dans la console Endpoint Management.

ID Android Entreprise

Votre environnement est connecté à Google et est prêt à gérer les appareils. Vous pouvez désormais mettre des applications à la disposition des utilisateurs.

Endpoint Management peut être utilisé pour mettre à la disposition des utilisateurs des applications de productivité mobiles Citrix, des applications MDX, des applications de magasin d’applications public, des applications Web et SaaS, des applications d’entreprise et des liens Web. Pour plus d’informations sur ces types d’applications et comment les mettre à la disposition des utilisateurs, consultez la section Ajouter des applications.

La section suivante explique comment mettre à disposition des applications de productivité mobiles.

Mettre à disposition des applications de productivité mobiles Citrix aux utilisateurs d’Android Enterprise

Afin de mettre à disposition des applications de productivité mobiles Citrix aux utilisateurs d’Android Enterprise, effectuez les étapes suivantes.

  1. Dans votre magasin Google Play Store d’entreprise, approuvez les applications dont vous souhaitez que vos utilisateurs disposent. Voir Approuver des applications dans Google Play d’entreprise.

  2. Dans la console Endpoint Management, publiez l’application en tant qu’application de magasin d’applications public. Consultez la section Configurer des applications en tant qu’applications de magasin d’applications public.

  3. Dans la console Endpoint Management, publiez à nouveau la même application en tant qu’application MDX afin que l’application puisse recevoir des stratégies MDX. Voir Configurer des applications en tant qu’applications MDX.

  4. Dans la console Endpoint Management, configurez les règles pour la question de sécurité que vos utilisateurs utilisent pour accéder aux profils de travail sur leurs appareils. Voir Configurer la stratégie de la question de sécurité.

Les applications que vous publiez sont disponibles pour les appareils inscrits dans votre entreprise Android Entreprise.

Approuver des applications dans Google Play d’entreprise

Avant de pouvoir ajouter des applications à Endpoint Management, vous devez d’abord les approuver dans votre magasin Google Play Store d’entreprise. Si vous n’avez pas approuvé une application dans votre magasin Google Play Store d’entreprise, cette erreur s’affiche dans la console Endpoint Management lorsque vous essayez d’ajouter l’application :

Erreur Android Entreprise

Accédez à Google Play Store d’entreprise pour déterminer quelles applications sont déjà disponibles et approuvées pour une utilisation dans votre entreprise.

  1. Connectez-vous à https://play.google.com/work à l’aide de vos informations d’identification de compte Google.
  2. Cliquez sur Mes applications gérées pour afficher toutes les applications qui ont été approuvées pour vos utilisateurs. Statut d'approbation de Google Play

Pour approuver une application dans Google Play Store d’entreprise, procédez comme suit :

  1. Lorsque vous êtes connecté à Google Play d’entreprise, sélectionnez l’application que vous souhaitez approuver. Un bouton Approuver apparaît sur la page de l’application. Approbation Google Play
  2. Cliquez sur Approuver. Paramètres d'approbation Google Play
  3. Cliquez à nouveau sur Approuver.
  4. Sélectionnez Maintenir l’état approuvé de cette application lorsqu’elle demande d’autres autorisations. Cliquez sur Enregistrer. Paramètres d'approbation Google Play

Configurer des applications en tant qu’applications de magasin d’applications public

Pour configurer Citrix ShareFile en tant qu’application de magasin d’applications public Android Enterprise, procédez comme suit :

  1. Dans la console Endpoint Management, cliquez sur Configurer > Applications. La page Applications s’affiche. Écran de configuration Applications

  2. Cliquez sur Ajouter. La boîte de dialogue Ajouter une application s’affiche.

    Écran de configuration Applications

  3. Cliquez sur Magasin d’applications public. La page Informations sur l’application s’affiche.

  4. Sur la page Informations sur l’application, entrez les informations suivantes :

    • Nom : entrez un nom descriptif pour l’application. Ce nom apparaît sous Nom de l’application dans le tableau Applications.
    • Description : entrez une description pour l’application (facultatif).
    • Catégorie d’application : si vous le souhaitez, dans la liste, cliquez sur la catégorie dans laquelle vous souhaitez ajouter l’application. Pour de plus amples informations sur les catégories d’applications, veuillez consulter la section Créer des catégories d’applications.
  5. Cliquez sur Suivant. La page Plates-formes d’applications s’affiche.

  6. Sous Plate-formes, sélectionnez Android Entreprise. Supprimez les autres plates-formes.

  7. Sous Android Enterprise, entrez le Bundle ID de l’application et cliquez sur Rechercher. L’identifiant de l’application se trouve dans l’URL de l’application dans Google Play Store. Bundle ID d'application Android Entreprise

  8. Si la console indique que l’application n’est pas approuvée dans Google Play Store, cliquez sur Oui pour l’approuver maintenant. Application Android Entreprise non approuvée

  9. Sélectionnez l’application à ajouter. Cliquez sur Suivant. Boîte d'ajout d'applications Android Entreprise

  10. Attribuez cette application à un ou plusieurs groupes de mise à disposition. Groupe de mise à disposition Android Entreprise

  11. Cliquez sur Enregistrer.

Répétez ces étapes pour Citrix Secure Mail et Citrix Secure Web.

Configurer des applications en tant qu’applications MDX

Les applications de productivité mobile n’utilisent pas le manifeste Android natif. Vous devez ajouter ces applications en tant qu’applications MDX et configurer leurs stratégies MDX avant de déployer les applications auprès des utilisateurs.

Avant d’ajouter des applications MDX, téléchargez les derniers fichiers MDX Android :

  1. Accédez à la page de téléchargements Citrix Endpoint Management et connectez-vous avec vos informations d’identification client Citrix : https://www.citrix.com/downloads/citrix-endpoint-management/product-software/xenmobile-enterprise-edition-worx-apps-and-mdx-toolkit.html.

    Téléchargement de fichier MDX

  2. Décompressez le fichier téléchargé et extrayez son contenu.

Pour ajouter et configurer une application MDX, procédez comme suit :

  1. Dans la console Endpoint Management, cliquez sur Configurer > Applications. La page Applications s’affiche.

    Écran de configuration Applications

  2. Cliquez sur Ajouter. La boîte de dialogue Ajouter une application s’affiche.

    Écran de configuration Applications

  3. Cliquez sur MDX. La page Informations sur l’application MDX s’affiche.

  4. Entrez un nom pour l’application et cliquez sur Suivant. Informations sur l'application MDX

  5. Cliquez sur Suivant pour accéder à la configuration de la plate-forme Android.

  6. Cliquez sur Upload. Téléchargement MDX

  7. Accédez à l’emplacement des fichiers MDX et sélectionnez le fichier MDX que vous souhaitez installer. Sélection de fichier MDX

  8. L’accès réseau dans certaines applications est défini sur Bloqué par défaut. Activez l’accès réseau. Cliquez sur le menu et sélectionnez Tunnel - SSO Web. Options d'accès réseau

  9. Cliquez sur Suivant dans les pages qui suivent, à l’exception des valeurs par défaut, jusqu’à ce que vous atteigniez la page Attribution de groupes de mise à disposition.

  10. Attribuez l’application aux mêmes groupes de mise à disposition auxquels vous l’avez attribuée lors de la publication en tant qu’application de magasin d’applications public.

  11. Cliquez sur Enregistrer.

Répétez les étapes pour configurer une application MDX pour chaque application de productivité mobile.

Configurer la stratégie de la question de sécurité

La stratégie de code secret Endpoint Management configure l’ensemble de règles associées aux questions de sécurité que les utilisateurs utilisent pour accéder à leurs appareils ou aux profils de travail Android Entreprise sur leurs appareils. Une question de sécurité peut être définie avec un mot de passe ou une reconnaissance biométrique. Pour plus d’informations sur la stratégie de code secret, consultez la section Stratégie de code secret.

Si votre déploiement Android Enterprise inclut des appareils BYOD, configurez la stratégie de code secret pour le profil de travail. Si votre déploiement inclut des appareils entièrement gérés appartenant à l’entreprise, configurez la stratégie de code secret pour l’appareil lui-même. Si votre déploiement inclut les deux types d’appareils, configurez les deux types de stratégie de code secret.

Pour configurer la stratégie de code secret, procédez comme suit :

  1. Dans la console Endpoint Management, cliquez sur Configurer > Stratégies d’appareil.

  2. Cliquez sur Ajouter.

  3. Cliquez sur Afficher le filtre pour afficher le panneau Stratégie par plate-forme. Dans le panneau Stratégie par plate-forme, sélectionnez Android Enterprise.

  4. Cliquez sur Code secret dans le panneau droit. Option de sécurité de mot de passe

  5. Entrez un nom de stratégie. Cliquez sur Suivant. Nom de sécurité du mot de passe

  6. Configurez les paramètres de la stratégie de code secret.
    • Définissez l’option Code secret de l’appareil requis sur Activé pour afficher les paramètres disponibles pour les questions de sécurité de l’appareil.
    • Définissez l’option Question de sécurité du profil de travail requise sur Activé pour afficher les paramètres disponibles pour les questions de sécurité du profil de travail.
  7. Cliquez sur Suivant.

  8. Attribuez la stratégie à un ou plusieurs groupes de mise à disposition.

  9. Cliquez sur Enregistrer.

Provisionner des appareils Android Entreprise avec profil de travail

Les appareils Android Entreprise avec profil de travail sont inscrits en mode Propriétaire du profil. Ces appareils n’ont pas besoin d’être neufs ou réinitialisés en usine. Les appareils BYOD sont inscrits en tant qu’appareils avec profil de travail. L’expérience d’inscription est similaire à l’inscription Android dans Endpoint Management. Les utilisateurs téléchargent Secure Hub depuis Google Play et inscrivent leurs appareils.

Par défaut, les paramètres Débogage USB et Sources inconnues sont désactivés sur un appareil lorsqu’il est inscrit dans Android Entreprise en tant qu’appareil avec profil de travail.

Lors de l’inscription d’appareils dans Android Entreprise en tant qu’appareils avec profil de travail, accédez toujours à Google Play. De là, activez l’affichage de Secure Hub dans le profil personnel de l’utilisateur.

Provisionner des appareils Android Entreprise entièrement gérés

Vous pouvez inscrire des appareils entièrement gérés dans le déploiement que vous avez configuré dans les sections précédentes. Les appareils entièrement gérés sont des appareils appartenant à l’entreprise et sont inscrits en mode Propriétaire de l’appareil. Seuls les appareils neufs ou qui ont fait l’objet d’une réinitialisation d’usine peuvent être inscrits en mode Propriétaire de l’appareil.

Vous pouvez inscrire des appareils en mode Propriétaire de l’appareil à l’aide de l’une des méthodes d’inscription suivantes :

  • Jeton d’identification DPC : cette méthode d’inscription permet aux utilisateurs de saisir les caractères afw#xenmobile lors de la configuration de l’appareil. afw#xenmobile représente le jeton d’identification DPC Citrix. Ce jeton identifie l’appareil comme étant géré par Endpoint Management et télécharge Secure Hub depuis Google Play Store. Voir Inscription d’appareils à l’aide du jeton d’identificateur DPC Citrix.
  • Partage de données à l’aide de NFC : la méthode d’inscription à l’aide du partage NFC permet de transférer des données entre deux appareils en utilisant une communication en champ proche. Bluetooth, Wi-Fi et les autres modes de communication sont désactivés sur un nouvel appareil ou un appareil dont les paramètres d’usine ont été réinitialisés. NFC est le seul protocole de communication que l’appareil peut utiliser dans cet état. Voir Inscription d’appareils à l’aide du partage NFC.
  • Code QR : l’inscription à l’aide d’un code QR permet d’inscrire une flotte distribuée d’appareils qui ne prennent pas en charge la technologie NFC, tels que les tablettes. La méthode d’inscription à l’aide d’un code QR permet de configurer le mode Profil de l’appareil en scannant un code QR depuis l’assistant d’installation. Voir Inscription d’appareils à l’aide d’un code QR.
  • Inscription sans contact : l’inscription sans contact vous permet de configurer les appareils pour qu’ils s’inscrivent automatiquement lorsqu’ils sont mis sous tension pour la première fois. L’inscription sans contact est prise en charge sur certains appareils Android exécutant Android 8.0 ou version ultérieure. Voir Inscription sans contact.
  • Comptes Google : les utilisateurs saisissent leurs informations d’identification de compte Google pour lancer le processus de provisioning. Cette option est destinée aux entreprises utilisant G Suite.

Inscription d’appareils à l’aide du jeton d’identificateur DPC Citrix

Les utilisateurs entrent afw#xenmobile lorsqu’ils sont invités à entrer un compte Google après avoir mis sous tension un nouvel appareil ou un appareil ayant fait l’objet d’une réinitialisation d’usine lors de la configuration initiale. Cette action télécharge et installe Secure Hub. Les utilisateurs suivent les invites de configuration de Secure Hub pour terminer l’inscription.

Cette méthode d’inscription est recommandée pour la plupart des clients car la dernière version de Secure Hub est téléchargée à partir de Google Play Store. Contrairement aux autres méthodes d’inscription, vous ne pouvez pas télécharger Secure Hub depuis le serveur Endpoint Management.

Configuration système requise

  • Pris en charge sur tous les appareils Android exécutant Android OS.

Pour inscrire l’appareil

  1. Mettez sous tension un nouvel appareil ou un appareil ayant fait l’objet d’une réinitialisation d’usine.

  2. La configuration initiale de l’appareil s’affiche et vous invite à créer un compte Google. Si l’appareil affiche l’écran d’accueil, vérifiez dans la barre de notification une notification indiquant Terminer la configuration.

    Invite de connexion de configuration de l'appareil

  3. Entrez afw#xenmobile dans le champ Adresse e-mail ou numéro de téléphone.

    Texte de configuration de l'appareil

  4. Touchez Installer sur l’écran Android Entreprise vous invitant à installer Secure Hub.

    Installation Android Entreprise

  5. Touchez Installer sur l’écran du programme d’installation de Secure Hub.

    Installation de Secure Hub

  6. Touchez Autoriser pour toutes les demandes d’autorisation d’application.

  7. Touchez Accepter et continuer pour installer Secure Hub et lui permettre de gérer l’appareil.

    Autorisations Secure Hub

  8. Secure Hub est maintenant installé et s’affiche sur l’écran d’inscription par défaut. Dans cet exemple, la détection automatique n’est pas configurée. Si c’est le cas, lorsque l’utilisateur entre son nom d’utilisateur et son adresse e-mail, un serveur est automatiquement identifié. Entrez plutôt l’URL d’inscription de l’environnement et touchez Suivant.

    Informations d'identification Secure Hub

  9. La configuration par défaut de Endpoint Management permet aux utilisateurs de choisir s’ils utilisent MAM ou MDM+MAM. Si vous y êtes invité, touchez Oui, inscrire pour choisir MDM+MAM.

    Inscription d'appareil Secure Hub

  10. Entrez le nom d’utilisateur et le mot de passe, puis touchez Suivant.

    Connexion Secure Hub

  11. L’utilisateur est invité à configurer un code secret pour l’appareil. Touchez Définir et saisissez un code secret.

    Code secret Secure Hub

  12. L’utilisateur est invité à configurer une méthode de déverrouillage pour le profil de travail. Pour cet exemple, touchez Mot de passe, Code PIN et saisissez un code PIN.

    Options de code secret

  13. L’appareil se trouve maintenant sur l’écran d’accueil Mes applications de Secure Hub. Touchez Ajouter des applications depuis le magasin.

    Écran des applications Secure Hub

  14. Pour ajouter Secure Web, touchez Secure Web.

    Magasin Secure Hub

  15. Touchez Ajouter.

    Magasin Secure Web

  16. Secure Hub dirige l’utilisateur vers Google Play Store pour installer Secure Web. Touchez Installer.

    Installation sécurisée d'application

  17. Après l’installation de Secure Web, touchez Ouvrir. Entrez une URL d’un site interne dans la barre d’adresse et vérifiez que la page se charge.

    Test Secure Web

  18. Accédez à Paramètres > Comptes sur l’appareil. Notez que le compte géré ne peut pas être modifié. Les options destinées aux développeurs, telles que le partage d’écran ou le débogage à distance, sont également bloquées.

    Modification du compte

Inscription d’appareils à l’aide du partage NFC

Pour inscrire un appareil en tant qu’appareil entièrement géré à l’aide du partage NFC, deux appareils sont requis : un dont les paramètres d’usine ont été rétablis et un exécutant l’application Endpoint Management Provisioning Tool.

Configuration système requise et conditions préalables

  • Appareils Android pris en charge
  • Un nouvel appareil ou un appareil dont les paramètres d’usine ont été rétablis, provisionné pour Android Entreprise en tant qu’appareil entièrement géré. Les étapes à suivre pour satisfaire ces conditions préalables sont disponibles plus loin dans cet article.
  • Un autre appareil avec capacité NFC, exécutant l’application Provisioning Tool configurée. Provisioning Tool est disponible dans Secure Hub ou sur la page de téléchargements Citrix.

Chaque appareil ne peut avoir qu’un seul profil Android Enterprise, géré par Secure Hub. Un seul profil est autorisé sur chaque appareil. La tentative d’ajout d’une deuxième application DPC supprime le Secure Hub installé.

Données transférées via le partage NFC

Le provisioning d’un appareil dont les paramètres d’usine ont été rétablis requiert l’envoi des données suivantes via NFC pour initialiser Android Entreprise :

  • Nom du package de l’application DPC qui fait office de propriétaire de l’appareil (dans ce cas, Secure Hub).
  • Emplacement intranet/Internet à partir duquel l’appareil peut télécharger l’application DPC.
  • Hachage SHA1 de l’application DPC pour vérifier que le téléchargement a réussi.
  • Détails de la connexion Wi-Fi de façon à ce qu’un appareil dont les paramètres d’usine ont été réinitialisés puisse se connecter et télécharger l’application DPC. Remarque : Android ne prend pas charge 802.1x Wi-Fi pour cette étape.
  • Fuseau horaire de l’appareil (facultatif).
  • Emplacement géographique de l’appareil (facultatif).

Lorsque les deux appareils sont « cognés », les données de Provisioning Tool sont envoyées à l’appareil dont les paramètres d’usine ont été réinitialisés. Ces données sont ensuite utilisées pour télécharger Secure Hub avec des paramètres d’administrateur. Si vous ne précisez pas le fuseau horaire ni l’emplacement, Android les configure automatiquement sur le nouvel appareil.

Configuration d’Endpoint Management Provisioning Tool

Avant de partager des données avec NFC, vous devez configurer Provisioning Tool. Cette configuration est ensuite transférée à l’appareil dont les paramètres d’usine ont été réinitialisés durant le partage des données avec NFC.

Configuration de Provisioning Tool

Vous pouvez entrer des données dans les champs requis ou les renseigner via un fichier texte. Les étapes de la procédure suivante décrivent comment configurer le fichier texte et contiennent des descriptions pour chaque champ. L’application n’enregistre pas les informations après qu’elles soient entrées, il peut donc s’avérer utile de créer un fichier texte afin de conserver les informations pour une utilisation ultérieure.

Pour configurer le Provisioning Tool à l’aide d’un fichier texte

Appelez le fichier nfcprovisioning.txt et placez-le dans le dossier /sdcard/ sur la carte SD de l’appareil. Cela permet à l’application de lire le fichier texte et renseigner les valeurs.

Le fichier texte doit contenir les données suivantes :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Il s’agit de l’emplacement intranet/Internet de l’application EMM du fournisseur. Après que l’appareil dont les paramètres d’usine ont été réinitialisés se soit connecté au Wi-Fi suite au partage NFC, il doit avoir accès à cet emplacement pour le téléchargement. L’adresse URL est une adresse URL standard qui ne requiert aucun formatage spécial.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Il s’agit de la somme de contrôle de l’application EMM du fournisseur. Elle est utilisée pour vérifier que le téléchargement a réussi. Les étapes à suivre pour obtenir la somme de contrôle sont abordées plus loin dans cet article.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Cette ligne est le SSID Wi-Fi connecté de l’appareil sur lequel Provisioning Tool est exécuté.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Les valeurs prises en charge sont WEP et WPA2. Si le Wi-Fi n’est pas protégé, ce champ doit être vide.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Si le Wi-Fi n’est pas protégé, ce champ doit être vide.

android.app.extra.PROVISIONING_LOCALE=<locale>

Entrez un code de langue et de pays. Les codes de langue sont des codes ISO de deux lettres minuscules (tels que fr) comme défini dans l’ISO 639-1. Les codes de pays sont des codes ISO de deux lettres majuscules (tels que FR) comme défini dans l’ISO 3166-1. À titre d’exemple, entrez fr_FR pour la langue française parlée en France. Si vous n’entrez aucun code, la langue et le pays sont automatiquement renseignés.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

Fuseau horaire dans lequel l’appareil est exécuté. Tapez un nom basé sur la base de données Olson au format zone/emplacement. Par exemple, Europe/Paris pour l’heure de l’Europe occidentale. Si vous n’entrez rien, le fuseau horaire est automatiquement renseigné.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Ces données ne pas requises car la valeur est codée en dur dans l’application Secure Hub. Il n’est mentionné ici que par souci de complétude.

Si un accès protégé Wi-Fi WPA2 est utilisé, un fichier nfcprovisioning.txt peut ressembler à ce qui suit :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Si un accès non protégé Wi-Fi est utilisé, un fichier nfcprovisioning.txt peut ressembler à ce qui suit :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Pour obtenir la somme de contrôle de Secure Hub

Pour obtenir la somme de contrôle d’une application, ajoutez l’application en tant qu’application d’entreprise.

  1. Dans la console Endpoint Management, accédez à Configurer > Applications, puis cliquez sur Ajouter.

    La fenêtre Ajouter une application s’affiche.

  2. Cliquez sur Entreprise.

    La page Informations sur l’application s’affiche.

    Page Informations sur l'application

  3. Sélectionnez la configuration suivante et cliquez sur Suivant.

    La page Android Entreprise Enterprise App s’affiche.

    Application Android Enterprise d'entreprise

  4. Fournissez le chemin d’accès au fichier .apk et cliquez sur Suivant pour charger le fichier.

    Une fois le chargement terminé, vous verrez les détails du package chargé.

    Page de chargement de fichier

  5. Cliquez sur Suivant. Cliquez sur Télécharger fichier JSON pour télécharger le fichier JSON, que vous pouvez ensuite utiliser pour le chargement sur Google Play. Pour Secure Hub, le chargement sur Google Play n’est pas requis, mais vous avez besoin du fichier JSON pour lire la valeur SHA1.

    Page de téléchargement de fichier JSON

    Un fichier JSON typique ressemble à ce qui suit :

    Fichier JSON typique

  6. Copiez la valeur de file_sha1_base64 et utilisez-la dans le champ Hash de Provisioning Tool.

    Remarque : l’URL du hachage doit être sécurisée.

    • Convertissez tous les symboles + en -
    • Convertissez tous les symboles / en _
    • Remplacez \u003d à la fin de la valeur par =

    Si vous stockez le hachage dans le fichier nfcprovisioning.txt de la carte SD de l’appareil, l’application procède à la conversion de sécurité. Toutefois, si vous décidez d’entrer le hachage manuellement, il est de votre responsabilité de vous assurer que l’URL est sécurisée.

Bibliothèques utilisées

Provisioning Tool utilise les bibliothèques suivantes dans son code source :

Inscription d’appareils à l’aide d’un code QR

Pour inscrire un appareil entièrement géré à l’aide d’un code QR, générez un code QR en créant un fichier JSON et en convertissant le fichier JSON en un code QR. Le code QR est scanné par l’appareil photo de l’appareil pour inscrire l’appareil.

Configuration système requise

  • Pris en charge sur tous les appareils Android exécutant Android 7.0 et supérieur.

Créer un code QR à partir d’un JSON

Créez un JSON avec les champs suivants.

Ces champs sont obligatoires :

Clé : android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valeur : com.zenprise/com.zenprise.configuration.AdminFunction

Clé : android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valeur : qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Clé : android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valeur : https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

Ces champs sont facultatifs :

  • android.app.extra.PROVISIONING_LOCALE : entrez un code de langue et de pays.

    Les codes de langue sont des codes ISO de deux lettres minuscules (tels que fr) comme défini dans l’ISO 639-1. Les codes de pays sont des codes ISO de deux lettres majuscules (tels que FR) comme défini dans l’ISO 3166-1. À titre d’exemple, entrez fr_FR pour la langue française parlée en France.

  • android.app.extra.PROVISIONING_TIME_ZONE : fuseau horaire dans lequel l’appareil est exécuté.

    Saisissez un nom basé sur la base de données Olson au format zone/emplacement. Par exemple, Europe/Paris pour l’heure de l’Europe occidentale. Si vous n’entrez rien, le fuseau horaire est automatiquement renseigné.

  • android.app.extra.PROVISIONING_LOCAL_TIME : durée en millisecondes depuis l’heure Unix.

    L’heure Unix (également appelée heure POSIX ou Unix timestamp) est le nombre de secondes écoulées depuis le 1er janvier 1970 (minuit UTC/GMT). L’heure n’inclut pas les secondes intercalaires (dans ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION : définissez cette option sur true pour ignorer le cryptage lors de la création du profil. Définissez cette option sur false pour forcer le cryptage lors de la création du profil.

Un fichier JSON typique ressemble à ce qui suit :

JSON typique

Validez le fichier JSON créé à l’aide de n’importe quel outil de validation JSON, tel que https://jsonlint.com. Convertissez cette chaîne JSON en un code QR à l’aide de n’importe quel générateur de code QR en ligne, tel que https://goqr.me.

Ce code QR est scanné par un appareil dont les paramètres d’usine ont été réinitialisés pour inscrire l’appareil en tant qu’appareil entièrement géré.

Pour inscrire l’appareil

Après la mise sous tension d’un nouvel appareil ou d’un appareil ayant fait l’objet d’une réinitialisation d’usine, procédez comme suit :

  1. Touchez l’écran 6 fois sur l’écran d’accueil pour lancer le flux d’inscription du code QR.
  2. Lorsque vous y êtes invité, connectez-vous au Wi-Fi. L’emplacement de téléchargement de Secure Hub dans le code QR (codé dans le JSON) est accessible sur ce réseau Wi-Fi.

    Une fois que l’appareil se connecte au Wi-Fi, il télécharge un lecteur de code QR à partir de Google et lance l’appareil photo.

  3. Pointez l’appareil photo sur le code QR pour scanner le code.

    Android télécharge Secure Hub à partir de l’emplacement de téléchargement dans le code QR, valide la signature du certificat de signature, installe Secure Hub et le définit comme propriétaire de l’appareil.

Pour plus d’informations, consultez ce guide Google pour les développeurs Android EMM : https://developers.google.com/android/work/prov-devices#qr_code_method.

Inscription sans contact

L’inscription sans contact vous permet de configurer les appareils pour qu’ils soient provisionnés en tant qu’appareils entièrement gérés lorsqu’ils sont mis sous tension pour la première fois.

Votre revendeur d’appareils vous crée un compte sur le portail d’inscription sans contact Android, un outil en ligne qui vous permet d’appliquer des configurations aux appareils. À l’aide du portail d’inscription sans contact Android, vous créez une ou plusieurs configurations d’inscription sans contact et appliquez les configurations aux appareils attribués à votre compte. Lorsque vos utilisateurs mettent ces appareils sous tension, ils sont automatiquement inscrits dans Endpoint Management. La configuration attribuée à l’appareil définit son processus d’inscription automatique.

Configuration système requise

  • La prise en charge de l’inscription sans contact est disponible à partir de Android 8.0.

Appareils et informations de compte provenant de votre revendeur

  • Les appareils pouvant bénéficier de l’inscription sans contact sont achetés auprès d’un revendeur d’entreprise ou d’un partenaire Google. Pour obtenir la liste des partenaires Android Enterprise prenant en charge l’inscription sans contact, consultez le site Web Android.

  • Un compte provenant du portail d’inscription sans contact Android Enterprise, créé par votre revendeur.

  • Des informations de connexion au compte du portail d’inscription sans contact Android Enterprise, fournies par votre revendeur.

Créer une configuration sans contact

Lorsque vous créez une configuration sans contact, incluez un fichier JSON personnalisé pour spécifier les détails de la configuration.

Utilisez ce fichier JSON pour configurer l’appareil à inscrire sur le serveur Endpoint Management que vous spécifiez. Remplacez l’URL de votre serveur par « URL » dans cet exemple.

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }

Vous pouvez utiliser un fichier JSON facultatif avec plus de paramètres pour personnaliser davantage votre configuration. Cet exemple spécifie le serveur Endpoint Management ainsi que le nom d’utilisateur et le mot de passe que les appareils configurés utilisent pour ouvrir une session sur le serveur.

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  1. Accédez au portail d’inscription sans contact Android à l’adresse https://partner.android.com/zerotouch. Connectez-vous avec les informations de compte provenant de votre revendeur d’appareils sans contact.

  2. Cliquez sur Configuration. Portail d'inscription sans contact

  3. Cliquez sur + au-dessus du tableau de configuration. Portail d'inscription sans contact

  4. Entrez vos informations de configuration dans la fenêtre de configuration qui s’affiche. Portail d'inscription sans contact
    • Configuration name : saisissez le nom que vous avez choisi pour cette configuration.
    • EMM DPC : choisissez Citrix Secure Hub.
    • DPC extras : collez votre texte JSON personnalisé dans ce champ.
    • Company name : saisissez le nom que vous souhaitez afficher sur vos appareils sans contact Android Enterprise pendant le provisioning de l’appareil.
    • Support email address : saisissez une adresse e-mail que vos utilisateurs peuvent contacter pour obtenir de l’aide. Cette adresse apparaît sur vos appareils sans contact Android Enterprise avant le provisioning de l’appareil.
    • Support phone number : saisissez un numéro de téléphone que vos utilisateurs peuvent contacter pour obtenir de l’aide. Ce numéro de téléphone apparaît sur vos appareils sans contact Android Enterprise avant le provisioning de l’appareil.
    • Custom Message : si vous le souhaitez, ajoutez une ou deux phrases pour aider vos utilisateurs à vous contacter ou leur donner plus de détails sur l’état de leur appareil. Ce message personnalisé apparaît sur vos appareils sans contact Android Enterprise avant le provisioning de l’appareil.
  5. Cliquez sur Ajouter.

  6. Pour créer des configurations supplémentaires, répétez les étapes 2 à 4.

  7. Pour appliquer une configuration à un appareil, procédez comme suit :

    1. Dans le portail d’inscription sans contact Android, cliquez sur Devices.

    2. Recherchez l’appareil dans la liste des appareils et choisissez la configuration que vous souhaitez lui attribuer. Portail d'inscription sans contact

    3. Cliquez sur Update.

Vous pouvez appliquer une configuration à de nombreux appareils à l’aide d’un fichier CSV.

Pour plus d’informations sur l’application d’une configuration à de nombreux appareils, consultez la rubrique d’aide d’Android Enterprise Inscription sans contact pour les administrateurs informatiques. Cette rubrique d’aide d’Android Enterprise contient plus d’informations sur la façon de gérer les configurations et de les appliquer aux appareils.

Afficher les appareils entièrement gérés dans la console Endpoint Management

  1. Dans la console Endpoint Management, accédez à Gérer > Appareils.

  2. Ajouter la colonne Appareil Android Entreprise activé ? en cliquant sur le menu à droite du tableau de cette page. Liste des appareils Android Entreprise

  3. Pour afficher les actions de sécurité disponibles, sélectionnez un appareil entièrement géré et cliquez sur Sécurisé. Lorsque l’appareil est entièrement géré, l’action Effacer est disponible, mais l’opération Effacer les données d’entreprise ne l’est pas. Cela est dû au fait que l’appareil n’autorise que les applications de Google Play Store d’entreprise. L’utilisateur ne peut donc pas installer des applications à partir du magasin public. Votre organisation gère tout le contenu de l’appareil.

    Actions de sécurisation

Provisionner des appareils Android Enterprise dédiés

Les appareils Android Enterprise dédiés sont des appareils entièrement gérés qui ne remplissent qu’une seule fonction. En effet, vous limitez ces appareils à une application ou à un petit ensemble d’applications nécessaires pour effectuer les tâches propres à une fonction. Vous pouvez également empêcher les utilisateurs d’activer d’autres applications ou d’effectuer d’autres actions sur l’appareil.

Les appareils dédiés sont inscrits à l’aide de l’une des méthodes d’inscription utilisées pour d’autres appareils entièrement gérés, comme décrit dans la section Provisionner des appareils Android Entreprise entièrement gérés. Le provisioning d’appareils dédiés nécessite une configuration supplémentaire avant l’inscription.

Les appareils dédiés sont également connus sous le nom d’appareils d’entreprise à usage unique (appareils COSU).

Remarque :

Contrairement à d’autres appareils entièrement gérés, les appareils dédiés ne peuvent être inscrits que par les utilisateurs disposant de comptes Active Directory. Les utilisateurs locaux ne peuvent pas inscrire des appareils dédiés.

Pour provisionner des appareils dédiés :

  • Ajoutez un rôle RBAC (contrôle d’accès basé sur un rôle) pour permettre aux administrateurs Endpoint Management d’inscrire des appareils dédiés dans votre déploiement Endpoint Management. Attribuez ce rôle aux utilisateurs auxquels vous souhaitez donner la possibilité d’inscrire des appareils dédiés.
  • Ajoutez un profil d’inscription pour les administrateurs Endpoint Management que vous autorisez à inscrire des appareils dédiés dans votre déploiement Endpoint Management.
  • Ajoutez à la liste blanche les applications auxquelles vous souhaitez que l’appareil dédié accède.
  • (Facultatif) Activez le mode de verrouillage des tâches pour l’application en liste blanche. Lorsqu’une application est en mode de verrouillage des tâches, elle est épinglée sur l’écran de l’appareil lorsque l’utilisateur l’ouvre. Aucun bouton d’accueil n’apparaît et le bouton Retour est désactivé. L’utilisateur quitte l’application à l’aide d’une action programmée dans l’application, comme la déconnexion.
  • Inscrivez chaque appareil en tant qu’appareil entièrement géré.

Configuration système requise

  • L’inscription des appareils dédiés est prise en charge à partir de Android 6.0.

Ajouter le rôle RBAC pour les appareils dédiés

Le rôle RBAC pour l’inscription d’appareils dédiés permet à Endpoint Management de provisionner et d’activer en mode silencieux un compte Google Play d’entreprise sur l’appareil. Contrairement aux comptes d’utilisateurs Google Play d’entreprise, ces comptes d’appareils identifient un appareil qui n’est pas lié à un utilisateur.

Vous affectez ce rôle RBAC aux administrateurs Endpoint Management pour leur permettre d’inscrire des appareils dédiés.

Pour ajouter le rôle RBAC pour inscrire des appareils dédiés :

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Cliquez sur Contrôle d’accès basé sur rôle. La page Contrôle d’accès basé sur rôle qui apparaît affiche les quatre rôles utilisateur par défaut, ainsi que tout rôle que vous avez déjà ajouté.

  3. Cliquez sur Ajouter. La page Ajouter un rôle s’affiche.

  4. Entrez les informations suivantes.

    • Nom RBAC : entrez COSU ou un nom descriptif pour le rôle. Vous ne pouvez pas modifier le nom d’un rôle.
    • Modèle RBAC : choisissez le modèle ADMIN.
    • Accès autorisé : sélectionnez Accès à la console d’admin et Inscription d’appareils COSU.
    • Fonctionnalités de la console : sélectionnez Appareils.
    • Appliquer les autorisations : sélectionnez les groupes auxquels vous voulez appliquer le rôle COSU. Si vous cliquez sur À des groupes d’utilisateurs spécifiques, une liste des groupes s’affiche à partir de laquelle vous pouvez sélectionner un ou plusieurs groupes.
  5. Cliquez sur Suivant. La page Attribution s’affiche.

  6. Entrez les informations suivantes pour affecter le rôle aux groupes Active Directory.

    • Sélectionner un domaine : cliquez sur un domaine dans la liste.
    • Inclure des groupes d’utilisateurs : cliquez sur Rechercher pour afficher la liste de tous les groupes disponibles. Ou, tapez un nom de groupe complet ou partiel pour limiter la liste aux seuls groupes portant ce nom.
    • Dans la liste qui s’affiche, sélectionnez les groupes d’utilisateurs auxquels vous souhaitez attribuer le rôle. Lorsque vous sélectionnez un groupe d’utilisateurs, le groupe apparaît dans la liste Groupes d’utilisateurs sélectionnés. Add role
  7. Cliquez sur Enregistrer.

Ajouter un profil d’inscription dédié (COSU)

Lorsque votre déploiement Endpoint Management inclut des appareils dédiés, un seul administrateur ou un groupe restreint d’administrateurs Endpoint Management peut inscrire de nombreux appareils dédiés. Pour vous assurer que ces administrateurs peuvent inscrire tous les appareils requis, créez un profil d’inscription pour eux avec un nombre illimité d’appareils autorisés par utilisateur. Attribuez ce profil à un groupe de mise à disposition contenant les administrateurs qui inscrivent les appareils dédiés. De cette façon, même si le profil Global par défaut a un nombre limité d’appareils autorisés par utilisateur, les administrateurs peuvent inscrire un nombre illimité d’appareils. Ces administrateurs doivent figurer dans le profil d’inscription dédié (COSU).

  1. Dans la console Endpoint Management, accédez à Configurer > Profils d’inscription. Le profil Global par défaut s’affiche.

  2. Pour ajouter un profil d’inscription, cliquez sur Ajouter. Dans la page Infos d’inscription, entrez un nom pour le profil d’inscription. Assurez-vous que le nombre d’appareils que les membres avec ce profil peuvent inscrire est défini sur illimité.

    Écran de configuration Profils d'inscription

  3. Cliquez sur Suivant. L’écran Attribution de groupes de mise à disposition s’affiche.

  4. Choisissez le(s) groupe(s) de mise à disposition contenant les administrateurs qui inscrivent les appareils dédiés. Cliquez ensuite sur Enregistrer.

    La page Profil d’inscription apparaît avec le profil que vous avez ajouté.

    Écran de configuration Profils d'inscription

Mettre des applications sur liste blanche et définir le mode de verrouillage des tâches

La stratégie Kiosque vous permet d’ajouter des applications à la liste blanche et de définir le mode de verrouillage des tâches. Par défaut, les services Secure Hub et Google Play sont ajoutés à la liste blanche.

Pour ajouter la stratégie Kiosque :

  1. Dans la console Endpoint Management, cliquez sur Configurer > Stratégies d’appareil. La page Stratégies d’appareil s’affiche.

  2. Cliquez sur Ajouter. La boîte de dialogue Ajouter une nouvelle stratégie apparaît.

  3. Développez Plus puis, sous Sécurité, cliquez sur Kiosque. La page Stratégie kiosque s’affiche.

  4. Sous Plate-formes, sélectionnez Android Entreprise. Supprimez les autres plates-formes.

  5. Dans le volet Informations sur la stratégie, tapez le nom de la stratégie et une description facultative.

  6. Cliquez sur Suivant, puis sur Ajouter.

  7. Pour ajouter une application à la liste blanche et autoriser ou refuser le mode de verrouillage des tâches pour cette application :

    Sélectionnez dans la liste l’application que vous souhaitez ajouter à la liste blanche.

    Choisissez Autoriser pour que l’application soit épinglée sur l’écran de l’appareil lorsque l’utilisateur démarre l’application. Choisissez Refuser pour que l’application ne soit pas épinglée. La valeur par défaut est Autoriser.

    Écran de configuration Stratégies d'appareil

  8. Cliquez sur Enregistrer.

  9. Pour ajouter une autre application à la liste blanche et autoriser ou refuser le mode de verrouillage des tâches, cliquez sur Ajouter.

  10. Configurez les règles de déploiement et choisissez des groupes de mise à disposition. Pour de plus amples informations, consultez la section Stratégies d’appareil.

Pour inscrire l’appareil

  1. Mettez sous tension un nouvel appareil ou un appareil ayant fait l’objet d’une réinitialisation d’usine.

  2. Inscrivez l’appareil en tant qu’appareil entièrement géré en l’attribuant à un utilisateur qui dispose du rôle RBAC pour les appareils dédiés.

Une fois l’appareil inscrit, il affiche une liste des applications qu’un utilisateur peut exécuter et verrouiller dans cet écran.

Liste des applications

Cet exemple montre que lorsque Gmail est sur l’appareil, il ne peut pas s’exécuter.

Configurer les stratégies d’appareil Android Enterprise

Utilisez ces stratégies pour configurer l’interaction entre Endpoint Management et les appareils exécutant Android Enterprise. Ce tableau répertorie toutes les stratégies d’appareils disponibles pour les appareils Android Enterprise.

     
Autorisation de l’application Android Enterprise Configurations gérées par Android Entreprise Désinstallation des applications
Inventaire des applications Contrôler mise à jour d’OS Informations d’identification
XML personnalisé Options Endpoint Management Exchange
Fichiers Gestion du keyguard Kiosque
Knox Platform for Enterprise Emplacement Code secret
Restrictions Clé de licence MDM Samsung Planification
Wi-Fi    

Consultez également la section Stratégies d’appareil et stratégies MDX Android Entreprise prises en charge.

Actions de sécurisation

Android Enterprise prend en charge les actions de sécurisation suivantes. Pour obtenir une description de chaque action, consultez la section Actions de sécurisation.

Action de sécurisation Android Enterprise (BYOD) Android Enterprise (propriété de l’entreprise)
Renouvellement de certificat Oui Oui
Effacement complet Non Oui
Localiser Oui Oui
Verrouiller Oui Oui
Verrouiller et réinitialiser un mot de passe Non Oui
Notifier (sonnerie) Oui Oui
Révoquer Oui Oui
Effacer les données d’entreprise Oui Non

Remarques :

L’action de sécurisation Localiser échoue à moins que la Stratégie d’emplacement n’ait défini le mode de localisation de l’appareil sur Haute précision ou Économie de batterie.

La commande Verrouiller et réinitialiser le mot de passe n’est pas prise en charge sur les appareils avec profil de travail qui exécutent des versions Android antérieures à Android 8.0. Sur les appareils avec profil de travail qui exécutent Android 8.0 ou version ultérieure, le code secret envoyé verrouille le profil de travail, mais l’appareil n’est pas verrouillé. Si aucun code secret n’est envoyé ou si le code secret envoyé ne répond pas aux exigences en matière de code secret et qu’aucun code secret n’est déjà défini sur le profil de travail, l’appareil est verrouillé. Si aucun code secret n’est envoyé ou si le code secret envoyé ne répond pas aux exigences en matière de code secret, mais qu’un code secret est déjà défini sur le profil de travail, le profil de travail est verrouillé mais l’appareil ne l’est pas.

Désinscription d’une entreprise Android Entreprise

Si vous ne souhaitez plus utiliser votre entreprise Android Entreprise, vous pouvez annuler l’inscription de l’entreprise.

Avertissement :

une fois l’entreprise désinscrite, l’état par défaut des applications Android Entreprise sur les appareils déjà inscrits est rétabli. Google ne gère plus les appareils. Leur réinscription dans une entreprise Android Entreprise peut nécessiter une configuration supplémentaire pour restaurer les fonctionnalités précédentes.

Une fois l’entreprise Android Entreprise désinscrite :

  • Les applications Android Entreprise des appareils et des utilisateurs inscrits dans l’entreprise sont réinitialisées à leur état par défaut. Les stratégies Autorisations de l’application Android Entreprise et Configurations gérées par Android Entreprise appliquées précédemment n’affectent plus les opérations.
  • Endpoint Management gère les appareils inscrits dans l’entreprise. Du point de vue de Google, ces appareils ne sont pas gérés. Vous ne pouvez pas ajouter de nouvelles applications Android Entreprise. Vous ne pouvez pas appliquer les stratégies Autorisations de l’application Android Entreprise ou Configurations gérées par Android Entreprise. Vous pouvez appliquer d’autres stratégies, telles que Planification, Mot de passe et Restrictions, à ces appareils.
  • Si vous tentez d’inscrire des appareils dans Android Entreprise, ils sont inscrits comme appareils Android et non comme appareils Android Entreprise.

Vous pouvez désinscrire une entreprise Android Entreprise à l’aide de la console du serveur Endpoint Management et des outils Endpoint Management Tools.

Lorsque vous effectuez cette tâche, le serveur Endpoint Management ouvre une fenêtre contextuelle Endpoint Management Tools. Avant de commencer, assurez-vous que le serveur Endpoint Management est autorisé à ouvrir des fenêtres contextuelles dans le navigateur que vous utilisez. Certains navigateurs, tels que Google Chrome, vous obligent à désactiver le blocage des fenêtres contextuelles et à ajouter l’adresse du site Endpoint Management à la liste blanche des fenêtres contextuelles bloquées.

Désinscription d’une entreprise Android Entreprise :

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sur la page Paramètres, cliquez sur Android Entreprise.

  3. Cliquez sur Désinscrire.

    Option de désinscription