Citrix Endpoint Management

Android pour Workspace

Android pour Workspace utilise l’API de gestion Android (AMAPI) fournie par Google pour gérer les appareils Android. Avec Android pour Workspace, les utilisateurs n’ont plus besoin d’inscrire leurs appareils via Secure Hub. Les utilisateurs s’inscrivent via l’application Citrix Workspace, et ils accèdent à toutes les applications et à tous les contenus via Workspace.

Android pour Workspace est disponible uniquement pour les déploiements cloud compatibles Citrix Workspace. La version initiale d’Android pour Workspace prend uniquement en charge la méthode d’inscription du profil de travail. Avec cette méthode d’inscription, les appareils disposent d’un profil de travail et d’un profil personnel pour séparer les données d’entreprise des données personnelles. Les profils de travail et les profils personnels sont séparés au niveau du système d’exploitation. Pour plus d’informations sur les profils de travail (ou profils professionnels), consultez la rubrique d’aide Qu’est-ce qu’un profil professionnel ? de Google.

Cette plate-forme est distincte de la plate-forme Android Enterprise. Les configurations existantes pour Android Enterprise ne sont pas compatibles avec Android pour Workspace. Si Android Enterprise est déjà configuré, vous devez créer de nouvelles versions des éléments suivants :

  • Compte Google
  • Groupes de mise à disposition
  • Profils d’inscription
  • Stratégies d’appareil et d’application

En outre, les utilisateurs Android Enterprise inscrits à Endpoint Management doivent se réinscrire à l’aide de l’application Citrix Workspace.

Si vous souhaitez utiliser Android Enterprise sans les fonctionnalités AMAPI, consultez la section Android Entreprise.

Exigences

Avant de commencer à utiliser Android pour Workspace, vous devez disposer des éléments suivants :

  • Citrix Gateway Service

  • Comptes et informations d’identification :

    • Pour configurer Android pour Workspace avec Google Play d’entreprise, un compte Google d’entreprise
    • Pour télécharger les derniers fichiers MDX, un compte client Citrix
  • Pour utiliser Android pour Workspace, les appareils doivent disposer des éléments suivants :

    • Android 7 ou version ultérieure
    • Version de l’application Citrix Workspace

Démarrer avec Android pour Workspace

Chemin de démarrage

Configuration unique

Suivez ces étapes pour effectuer la configuration initiale de la plate-forme Android pour Workspace.

  1. Créez un compte Google. Si Android Enterprise est déjà configuré, vous devez utiliser un compte Google avec une adresse e-mail différente.

    Voir Utilisation de Google Play d’entreprise avec Endpoint Management et Exigences.

  2. Liez votre compte Google à Endpoint Management.

    Voir Connexion de Endpoint Management à Google Play.

  3. Créez et configurez des profils d’inscription.

    Voir Création de profils d’inscription.

  4. Préparez-vous à fournir des applications compatibles MDX.

    Utilisez le SDK MAM pour développer des applications.

    Voir Présentation du SDK MAM.

Configurer les appareils

  1. Créez des groupes de mise à disposition. Les groupes de mise à disposition existants pour Android Enterprise ne fournissent pas de ressources aux appareils Android pour Workspace.

    Contrôlez quels utilisateurs reçoivent quelles ressources et à quel moment. Voir Déployer des ressources.

  2. Ajouter des applications. Vous pouvez approuver les applications dans Google Play directement à partir de la console Endpoint Management.

  3. Créer des profils d’inscription

    Spécifiez les options d’inscription pour la gestion des appareils et des applications. Voir Création de profils d’inscription.

  4. Configurez les stratégies d’appareil et d’application.

    Trouvez le juste équilibre entre sécurité de l’entreprise, confidentialité des utilisateurs et expérience utilisateur. Voir Configurer les stratégies d’appareil et d’application Android pour Workspace.

  5. Distribuez les applications

    Consultez :

    Les applications publiées pour Android pour Workspace ne comportent aucune règle de déploiement. Endpoint Management transmet de nouvelles applications et stratégies aux appareils Android pour Workspace toutes les 30 minutes.

  6. Configurez les actions de sécurité pour surveiller et garantir la conformité.

    Voir Actions de sécurisation.

Utilisation de Google Play d’entreprise avec Endpoint Management

Lorsque vous intégrez Endpoint Management à Google Play d’entreprise pour utiliser Android pour Workspace, vous créez une entreprise. Google définit une entreprise comme une liaison entre l’organisation et votre solution de gestion de la mobilité d’entreprise (EMM). Tous les utilisateurs et appareils que l’organisation gère via votre solution appartiennent à son entreprise.

Une entreprise Android pour Workspace comprend deux composants : une solution EMM et une plate-forme d’application Google Enterprise. Lorsque vous intégrez Endpoint Management à Android pour Workspace, la solution complète comporte les composants suivants :

  • Citrix Endpoint Management : solution de gestion mobile d’entreprise Citrix. Endpoint Management est la solution de gestion unifiée des points de terminaison qui permet un espace de travail numérique sécurisé. Endpoint Management fournit aux administrateurs informatiques le moyen de gérer les appareils et les applications de leur organisation.
  • Google Play d’entreprise : plate-forme d’application d’entreprise Google qui s’intègre avec Endpoint Management. L’API EMM de Google Play définit les stratégies d’application et distribue l’application.

Lorsque vous utilisez Google Play d’entreprise, vous provisionnez des comptes Google Play d’entreprise pour les appareils et les utilisateurs finaux. Les comptes Google Play d’entreprise permettent d’accéder à Google Play d’entreprise, ce qui permet aux utilisateurs d’installer et d’utiliser les applications que vous mettez à leur disposition. Si votre organisation utilise un service d’identité tiers, vous pouvez lier des comptes Google Play d’entreprise à vos comptes d’identité existants.

Comme ce type d’entreprise n’est pas lié à un domaine, vous pouvez créer plusieurs entreprises pour une seule organisation. Par exemple, chaque département ou région d’une organisation peut s’inscrire en tant qu’entreprise différente. L’utilisation de différentes entreprises vous permet de gérer des ensembles distincts d’appareils et d’applications.

Pour les administrateurs Endpoint Management, Google Play d’entreprise combine l’expérience utilisateur et les fonctionnalités du magasin d’applications de Google Play avec un ensemble de fonctionnalités de gestion conçues pour les entreprises. Vous utilisez Google Play d’entreprise pour ajouter, acheter et approuver des applications en vue de les déployer sur l’espace Android pour Workspace d’un appareil. Vous pouvez utiliser Google Play pour déployer des applications publiques, privées, et tierces.

Pour les utilisateurs d’appareils gérés, Google Play d’entreprise correspond au magasin d’applications d’entreprise. Les utilisateurs peuvent parcourir les applications, afficher les détails des applications et les installer. Contrairement à la version publique de Google Play, les utilisateurs peuvent uniquement installer des applications à partir de Google Play d’entreprise que vous leur mettez à disposition.

Connexion de Endpoint Management à Google Play

Pour configurer Android pour Workspace pour votre organisation, enregistrez Citrix en tant que fournisseur de gestion de la mobilité d’entreprise (EMM) via Google Play d’entreprise. Cela permet de connecter Google Play d’entreprise à Endpoint Management et de créer une entreprise Android pour Workspace dans Endpoint Management.

Vous avez besoin d’un compte Google d’entreprise pour vous connecter à Google Play.

  1. Dans la console Endpoint Management, accédez à Paramètres > Android pour Workspace.

  2. Cliquez sur Connect. Google Play s’ouvre.

    Connexion de Android pour Workspace à Google Play

  3. Connectez-vous à Google Play avec les informations d’identification de votre compte Google d’entreprise. Entrez le nom de votre organisation et confirmez que Citrix est votre fournisseur EMM.

  4. Un ID d’entreprise est ajouté pour Android pour Workspace. Votre identifiant Enterprise s’affiche dans la console Endpoint Management.

    ID d'entreprise Android pour Workspace

Votre environnement est connecté à Google et est prêt à gérer les appareils. Vous pouvez désormais mettre des applications à la disposition des utilisateurs.

Endpoint Management peut mettre à la disposition des utilisateurs des applications de productivité mobiles Citrix, des applications MDX, des applications de magasin d’applications public, des applications Web et SaaS, des applications d’entreprise et des liens Web. Pour plus d’informations sur ces types d’applications et sur leur mise à disposition des utilisateurs, consultez la section Ajouter des applications.

Création de profils d’inscription

Les profils d’inscription contrôlent le mode d’inscription des appareils Android si Android pour Workspace est activé pour votre déploiement Endpoint Management. Configurez le profil d’inscription pour inscrire de nouveaux appareils et des appareils ayant fait l’objet d’une réinitialisation d’usine en tant qu’appareils avec profil de travail Android pour Workspace. Vous pouvez également configurer chacun de ces profils d’inscription pour inscrire les appareils Android BYOD en tant qu’appareils avec profil de travail.

Citrix Workspace est une solution MDM+MAM uniquement. Lorsqu’un utilisateur s’inscrit à Endpoint Management via l’application Workspace, il doit accepter la gestion des appareils et des applications.

La méthode d’authentification des appareils Android pour Workspace correspond par défaut à la méthode d’authentification configurée pour l’application Citrix Workspace. La configuration d’une méthode d’authentification dans la console Endpoint Management n’a aucun effet sur ces appareils. Voir Modifier les méthodes d’authentification.

Lorsque vous créez des profils d’inscription, vous leur attribuez des groupes de mise à disposition. Si un utilisateur appartient à plusieurs groupes de mise à disposition qui ont des profils d’inscription différents, le nom du groupe de mise à disposition détermine le profil d’inscription utilisé. Endpoint Management sélectionne le groupe de mise à disposition qui apparaît en dernier dans une liste alphabétique des groupes de mise à disposition. Pour plus d’informations, veuillez consulter Profils d’inscription.

Ajouter un profil d’inscription pour les appareils avec profil de travail

  1. Dans la console Endpoint Management, accédez à Configurer > Profils d’inscription.

  2. Pour ajouter un profil d’inscription, cliquez sur Ajouter. Sur la page Infos d’inscription, entrez un nom pour le profil d’inscription.

  3. Définissez le nombre d’appareils que les membres disposant de ce profil peuvent inscrire.

  4. Sélectionnez Android sous Plates-formes ou cliquez sur Suivant. La page Configuration de l’inscription s’affiche.

  5. Activez Inscription via l’application Workspace. Endpoint Management active automatiquement les paramètres Profil de travail BYOD et Citrix MAM.

    Écran de configuration des profils d'inscription

  6. Sélectionnez Attribution (facultatif). L’écran Attribution de groupes de mise à disposition s’affiche.

  7. Choisissez le(s) groupe(s) de mise à disposition contenant les administrateurs qui inscrivent les appareils entièrement gérés avec un profil de travail. Cliquez ensuite sur Enregistrer.

    La page Profil d’inscription apparaît avec le profil que vous avez ajouté.

    Page Profils d'inscription

Provisioning d’appareils BYOD Android pour Workspace avec profil de travail

Les appareils BYOD Android pour Workspace avec profil de travail sont inscrits en mode Propriétaire du profil. Ces appareils n’ont pas besoin d’être neufs ou réinitialisés en usine. Les utilisateurs téléchargent Citrix Workspace depuis Google Play et inscrivent leurs appareils.

Par défaut, Endpoint Management désactive les paramètres Débogage USB et Sources inconnues sur un appareil lorsque vous l’inscrivez dans Android pour Workspace en tant qu’appareil avec profil de travail.

Lors de l’inscription d’appareils dans Android pour Workspace en tant qu’appareils avec profil de travail, accédez toujours à Google Play. De là, activez l’affichage de Citrix Workspace dans le profil personnel de l’utilisateur.

Configurer les stratégies d’appareil et d’application Android pour Workspace

Pour obtenir une vue d’ensemble des stratégies contrôlées au niveau de l’appareil et de l’application, consultez la section Stratégies d’appareil et stratégies MDX pour Android Entreprise prises en charge.

Informations clés sur les stratégies :

  • Restrictions sur l’appareil : des dizaines de restrictions sur l’appareil vous permettent de contrôler des fonctionnalités telles que :

    • Utilisation de l’appareil photo de l’appareil
    • Utilisation du copier-coller entre les profils de travail et les profils personnels
  • Per App VPN : utilisez la stratégie Configurations gérées pour configurer les profils VPN pour Android pour Workspace.

Stratégies d’appareil

Vous trouverez ci-dessous une liste des stratégies d’appareil disponibles pour Android pour Workspace.

Actions de sécurisation

Android pour Workspace prend en charge les actions de sécurisation suivantes. Pour obtenir une description de chaque action, consultez la section Actions de sécurisation.

  • Effacement complet
  • Localiser
  • Verrouiller
  • Notifier (sonnerie)
  • Effacer les données d’entreprise

L’action de sécurisation Localiser échoue à moins que la stratégie d’appareil Localisation n’ait défini le mode de localisation de l’appareil sur Haute précision ou Économie de batterie. Voir Stratégie d’emplacement.

Désinscription d’une entreprise Android pour Workspace

Si vous ne souhaitez plus utiliser votre entreprise Android pour Workspace, vous pouvez annuler l’inscription de l’entreprise.

Avertissement :

une fois que vous avez désinscrit une entreprise, l’état par défaut des applications sur les appareils déjà inscrits via l’entreprise est rétabli. Google ne gère plus les appareils. Si vous inscrivez un appareil sur une nouvelle entreprise Android pour Workspace, vous devez approuver les applications de la nouvelle organisation à partir de Google Play d’entreprise. Vous pouvez ensuite mettre à jour les applications à partir de la console Endpoint Management.

Une fois que vous avez désinscrit une entreprise Android pour Workspace :

  • Les applications des appareils et des utilisateurs inscrits dans l’entreprise sont réinitialisées à leur état par défaut. Les stratégies Configurations gérées appliquées précédemment n’affectent plus les opérations.
  • Endpoint Management gère les appareils inscrits dans l’entreprise. Du point de vue de Google, ces appareils ne sont pas gérés. Vous ne pouvez pas ajouter de nouvelles applications. Vous ne pouvez pas appliquer les stratégies Configurations gérées. Vous pouvez appliquer d’autres stratégies, telles que Planification, Mot de passe et Restrictions, à ces appareils.
  • Si vous tentez d’inscrire des appareils dans Android pour Workspace, ils sont inscrits comme appareils Android et non comme appareils Android pour Workspace.

Vous pouvez désinscrire une entreprise Android pour Workspace à l’aide de la console du serveur Endpoint Management et des outils Endpoint Management Tools.

Lorsque vous effectuez cette tâche, Endpoint Management ouvre une fenêtre contextuelle Outils. Avant de commencer, assurez-vous que votre navigateur a l’autorisation d’ouvrir des fenêtres contextuelles. Certains navigateurs, tels que Google Chrome, vous obligent à désactiver le blocage des fenêtres contextuelles et à ajouter l’adresse du site Endpoint Management à la liste d’autorisation des fenêtres contextuelles.

Pour désinscrire une entreprise Android pour Workspace :

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sur la page Paramètres, cliquez sur Android pour Workspace.

  3. Cliquez sur Désinscrire.

    Option de désinscription

Expérience utilisateur

Les utilisateurs de la plate-forme Android pour Workspace inscrivent leurs appareils via l’application Citrix Workspace. Une fois les utilisateurs inscrits, ils accèdent aux applications et aux données d’entreprise via l’application Workspace.

Pour plus d’informations sur la configuration de l’application Citrix Workspace, consultez Application Citrix Workspace pour Android.

Pour plus d’informations sur l’inscription et la configuration de l’application sur les appareils utilisateur, consultez À propos de l’application Citrix Workspace pour Android dans la documentation sur l’aide utilisateur.

Limitations connues

  • Google ne prend pas en charge les fonctionnalités suivantes avec Android pour Workspace. Les stratégies qui affectent ces fonctionnalités ne s’appliquent pas à ces appareils et les applications de productivité mobiles n’autorisent pas les utilisateurs à accéder à ces fonctionnalités.
    • Widget de calendrier
    • Synchronisation du calendrier avec le profil personnel
    • Contacts entre profils
  • Les utilisateurs doivent importer les certificats d’autorité de certification (CA) manuellement. Endpoint Management ne transmet pas les certificats de l’autorité de certification à l’appareil.
  • Les URL de Secure Mail ne s’ouvrent pas automatiquement dans Secure Web. Les utilisateurs doivent choisir l’option Ouvrir dans l’application et sélectionner Secure Web.
  • Tous les serveurs DNS configurés dans votre instance Citrix Gateway Connector doivent pouvoir résoudre tous les noms de domaine complets (FQDN). Si les serveurs DNS ne parviennent pas à résoudre tous les noms de domaine complets, le chargement des URL peut échouer dans Secure Web.
  • Secure Web peut afficher un écran vide lors du lancement. Dans ce cas, ouvrez l’application Citrix Workspace, authentifiez-vous et relancez Secure Web.
  • Le chargement des sites Web intranet peut échouer dans Secure Web. Dans ce cas, configurez une application Web SaaS dans la bibliothèque d’applications Citrix Cloud pour cette URL.
  • Les applications préparées à l’aide du SDK MAM peuvent ne pas s’afficher comme gérées. Dans ce cas, lancez l’application Citrix Workspace et ouvrez les applications à partir de cet emplacement.