Système d’exploitation Android

Remarque :

Cet article ne s’applique pas aux appareils gérés avec Android Enterprise, Samsung Knox, Samsung SAFE ou Samsung SEAMS. Pour plus d’informations sur ces appareils, consultez d’autres articles de cette section.

Endpoint Management prend également en charge les appareils Android qui ne sont pas gérés par un programme d’entreprise Android ou Samsung. Pour contrôler quand et comment les appareils Android se connectent au service Endpoint Management, utilisez Firebase Cloud Messaging (FCM). Pour plus d’informations, veuillez consulter la section Firebase Cloud Messaging.

Endpoint Management inscrit les appareils Android en mode MDM+MAM ou MDM, avec la possibilité pour les utilisateurs de s’enregistrer en mode MAM uniquement. Endpoint Management prend en charge les types d’authentification suivants pour les appareils Android en mode MDM+MAM. Pour plus d’informations, consultez les articles sous Certificats et authentification.

  • Domaine
  • Domaine et jeton de sécurité
  • Certificat client
  • Certificat client et domaine
  • Fournisseurs d’identité :
    • Azure Active Directory
    • Fournisseur d’identité Citrix

Une autre méthode d’authentification rarement utilisée est le certificat client et le jeton de sécurité. Pour plus d’informations, veuillez consulter la section https://support.citrix.com/article/CTX215200.

Un workflow général pour le démarrage de la gestion des appareils Android est le suivant :

  1. Effectuez le processus d’intégration. Voir Intégration et configuration des ressources et Préparation à l’inscription d’appareils et à la mise à disposition de ressources.

  2. Choisissez et configurez une méthode d’inscription. Voir Méthodes d’inscription prises en charge.

  3. Configurer les stratégies d’appareil Android.

  4. Inscrire des appareils Android.

  5. Configurez les actions de sécurité des appareils et des applications. Voir Actions de sécurisation.

Pour connaître les systèmes d’exploitation pris en charge, reportez-vous à la section Systèmes d’exploitation d’appareils pris en charge.

Méthodes d’inscription prises en charge

Le tableau suivant indique les méthodes d’inscription prises en charge par Endpoint Management pour les appareils Android :

Méthode Pris en charge
Inscription en bloc Non
Inscription manuelle Oui
Invitations d’inscription Oui

Ajouter un appareil Android manuellement

Si vous souhaitez ajouter manuellement un appareil Android ou iOS, par exemple à des fins de test, procédez comme suit.

  1. Dans la console Endpoint Management, cliquez sur Gérer > Appareils. La page Appareils s’ouvre.

    Page Appareils

  2. Cliquez sur Ajouter. La page Ajouter un appareil s’affiche.

    Page Ajouter un appareil

  3. Pour configurer ces paramètres :

    • Sélectionner une plate-forme : cliquez sur Android.
    • Numéro de série : entrez le numéro de série de l’appareil.
    • IMEI/MEID : entrez les informations IMEi/MEID de l’appareil (facultatif).
  4. Cliquez sur Ajouter. Le tableau Appareils s’affiche avec l’appareil ajouté en bas de la liste. Pour afficher et confirmer les détails de l’appareil, sélectionnez l’appareil que vous avez ajouté, puis dans le menu qui s’affiche, cliquez sur Modifier.

    Remarque :

    Lorsque vous sélectionnez la case à cocher en regard d’un appareil, le menu d’options s’affiche au-dessus de la liste des appareils. Lorsque vous cliquez dans la liste, le menu d’options s’affiche sur le côté droit de la liste.

    • LDAP configuré

    • Si vous utilisez des groupes locaux et utilisateurs locaux :

      • Un ou plusieurs groupes locaux.

      • Utilisateurs locaux attribués à des groupes locaux.

      • Des groupes de mise à disposition sont associés à des groupes locaux.

    • Utilisation d’Active Directory :

      • Des groupes de mise à disposition sont associés à des groupes Active Directory.

      Liste des détails de l'appareil

  5. La page Général dresse la liste des identificateurs, tels que le numéro de série et d’autres informations relatives au type de plate-forme. Pour Propriétaire, sélectionnez Entreprise ou BYOD.

    La page Général dresse également la liste des propriétés de sécurité, telles que ID fort, Verrouiller l’appareil, Contourner le verrouillage d’activation et d’autres informations relatives au type de plate-forme. Le champ Effacement complet de l’appareil inclut le code PIN de l’utilisateur. L’utilisateur doit entrer ce code une fois que l’appareil est effacé. Si l’utilisateur oublie le code, vous pouvez le rechercher ici.

  6. La page Propriétés dresse la liste des propriétés d’appareil qu’Endpoint Management va provisionner. Cette liste affiche toutes les propriétés d’appareil incluses dans le fichier de provisioning utilisé pour ajouter l’appareil. Pour ajouter une propriété, cliquez sur Ajouter, puis sélectionnez une propriété dans la liste. Pour connaître les valeurs valides pour chaque propriété, consultez le PDF Noms et valeurs des propriétés d’appareil.

    Lorsque vous ajoutez une propriété, elle s’affiche initialement sous la catégorie dans laquelle vous l’avez ajoutée. Après avoir cliqué sur Suivant et être revenu sur la page Propriétés, la propriété s’affiche dans la liste appropriée.

    Pour supprimer une propriété, placez le curseur dessus et cliquez sur le X sur le côté droit. Endpoint Management supprime l’élément immédiatement.

  7. Les sections Détails de l’appareil restantes contiennent des informations sommaires sur l’appareil.

    • Propriétés utilisateur : affiche les rôles RBAC, les appartenances aux groupes, les comptes Google Play gérés et les propriétés de l’utilisateur. Vous pouvez retirer un compte Google Play géré à partir de cette page.
    • Stratégies attribuées : affiche le nombre des stratégies attribuées, y compris le nombre de stratégies déployées, en attente ou ayant échoué. Fournit les informations relatives au nom, au type et à la dernière date de déploiement pour chaque stratégie.
    • Applications : affiche, pour le dernier inventaire, le nombre de déploiements d’applications installés, en attente et ayant échoué. Fournit le nom de l’application, l’identificateur, le type et d’autres informations. Pour une description des clés d’inventaire iOS et macOS, telles que HasUpdateAvailable, voir Protocole de gestion des appareils mobiles (MDM).
    • Média : affiche, pour le dernier inventaire, le nombre de déploiements de médias installés, en attente et ayant échoué.
    • Actions : affiche le nombre d’actions déployées, en attente et qui ont échoué. Fournit le nom de l’action et l’heure du dernier déploiement.
    • Groupes de mise à disposition : affiche le nombre de groupes de mise à disposition ayant réussi, en attente et qui ont échoué. Pour chaque déploiement, fournit le nom du groupe mise à disposition et l’heure déploiement. Sélectionnez un groupe de mise à disposition pour afficher des informations plus détaillées, y compris l’état, l’action, le canal ou l’utilisateur.
    • Profils iOS : affiche le dernier inventaire de profil iOS, y compris le nom, le type, l’organisation et une description.
    • Profils de provisioning iOS : affiche les informations du profil de provisioning de distribution d’entreprise, telles que l’UUID, la date d’expiration, et si les profils sont gérés ou non gérés.
    • Certificats : affiche pour les certificats valides, révoqués ou ayant expiré, des informations telles que le type, le fournisseur, l’émetteur, le numéro de série et le nombre de jours restants avant l’expiration.
    • Connexions : affiche l’état de la première connexion et de la dernière connexion. Fournit pour chaque connexion, le nom d’utilisateur, l’heure de l’avant-dernière authentification et l’heure de la dernière authentification.
    • État du MDM : affiche des informations telles que l’état du MDM, l’heure de la dernière notification push et l’heure de la dernière réponse de l’appareil.

Configurer les stratégies d’appareil Android

Utilisez ces stratégies pour configurer l’interaction entre Endpoint Management et les appareils exécutant Android. Ce tableau répertorie toutes les stratégies d’appareils disponibles pour les appareils Android.

     
APN Accès aux applications Inventaire des applications
Mode kiosque Désinstallation des applications Informations d’identification
Options Endpoint Management Désinstallation de Endpoint Management Exchange pour Android HTC
Fichiers Configuration du Launcher Emplacement
Code secret Restrictions Planification
Magasin Termes et conditions Tunnel
VPN Clip Web Wi-Fi

Inscrire des appareils Android

  1. Accédez au magasin Google Play sur votre Android et téléchargez l’application Citrix Secure Hub, puis touchez l’application.
  2. Lorsque vous êtes invité à installer l’application, cliquez sur Suivant, puis cliquez sur Installer.
  3. Après l’installation de Secure Hub, touchez Ouvrir.
  4. Pour les appareils fonctionnant sous Android 6.0 ou version ultérieure, acceptez les autorisations requises :

    • Autoriser Secure Hub à passer et à gérer des appels téléphoniques ? (requis)
    • Autoriser Secure Hub à accéder aux photos, aux médias et aux fichiers de votre appareil ? (requis)
    • Autoriser Secure Hub à accéder à l’emplacement de cet appareil ? (facultatif)
  5. Entrez vos informations d’identification d’entreprise, telles que le nom de votre serveur Endpoint Management, le nom d’utilisateur principal (UPN), ou votre adresse e-mail. Cliquez ensuite sur Suivant.
  6. Pour les appareils en mode MDM + MAM, choisissez comment inscrire votre appareil :

    • Pour inscrire en mode MDM + MAM, appuyez sur Oui, inscrire.
    • Pour inscrire en mode MAM uniquement, appuyez sur Non.
  7. Dans la boîte de dialogue Activer l’administrateur de l’appareil, touchez Activer.
  8. Entrez votre mot de passe d’entreprise, puis touchez Se connecter.
  9. En fonction de la configuration d’Endpoint Management, vous pouvez être invité à créer un code PIN Citrix. Vous pouvez utiliser le code PIN pour vous connecter à Secure Hub et à d’autres applications Endpoint Management, telles que Secure Mail et Citrix Files. Vous devez entrer votre code PIN Citrix deux fois. Sur l’écran Créer un code PIN Citrix, entrez un code PIN.
  10. Entrez de nouveau le code PIN. Secure Hub s’affiche. Vous pouvez ensuite accéder à l’app store pour afficher les applications que vous pouvez installer sur votre appareil Android.
  11. Si vous avez configuré Endpoint Management pour distribuer automatiquement des applications sur les appareils après l’inscription, les utilisateurs sont invités à installer les applications. En outre, les stratégies que vous configurez dans Endpoint Management sont déployées sur l’appareil. Cliquez sur Installer pour installer les applications.

Pour désinscrire et réinscrire un appareil Android

Les utilisateurs peuvent se désinscrire depuis Secure Hub. Lorsque les utilisateurs se désinscrivent à l’aide de la procédure suivante, l’appareil s’affiche toujours dans l’inventaire d’appareils dans la console Endpoint Management. Cependant, vous ne pouvez pas effectuer d’actions sur l’appareil. Par exemple, vous ne pouvez pas suivre l’appareil ni contrôler sa conformité.

  1. Touchez pour ouvrir l’application Secure Hub.

  2. Selon que vous possédez une tablette ou un téléphone, procédez comme suit :

    Sur un téléphone :

    • Balayez l’écran à partir de la gauche pour ouvrir un panneau de paramètres.

    • Touchez Préférences, Comptes, puis touchez Supprimer le compte.

    Sur une tablette :

    • Touchez la flèche en regard de votre adresse e-mail sur le coin supérieur droit.

    • Touchez Préférences, Comptes, puis touchez Supprimer le compte.

  3. Dans la fenêtre Supprimer le compte ?, appuyez sur Oui, supprimer. Secure Hub désinscrit votre appareil. Suivez les instructions à l’écran pour réinscrire votre appareil.

Actions de sécurisation

Android prend en charge les actions de sécurisation suivantes. Pour obtenir une description de chaque action de sécurité, reportez-vous à la sectionActions de sécurisation.

     
Mode kiosque Effacement des applications Renouvellement de certificat
Effacement complet Localiser Verrouiller
Verrouiller et réinitialiser un mot de passe Notifier Révoquer
Effacer les données d’entreprise    

Remarque :

Pour les appareils exécutant Android 6.0 ou version ultérieure, la fonction Localiser requiert que l’utilisateur donne accès à la localisation lors de l’inscription. L’utilisateur peut choisir de ne pas accorder l’autorisation de localisation. Si l’utilisateur n’accorde pas l’autorisation lors de l’inscription, Endpoint Management demande à nouveau l’autorisation de localisation lors de l’envoi de la commande Localiser.