Ancienne version d’Android Enterprise pour clients Google Workspace (anciennement G Suite)

Les clients Google Workspace doivent utiliser les paramètres de l’ancienne version d’Android Entreprise pour configurer une ancienne version d’Android Entreprise. « G Suite » a récemment été renommé « Google Workspace » par Google.

Si votre organisation utilise déjà Google Workspace pour permettre aux utilisateurs d’accéder aux applications Google, vous pouvez utiliser Google Workspace pour enregistrer Citrix comme fournisseur EMM. Si votre organisation utilise Google Workspace, elle dispose d’un identifiant d’entreprise et de comptes Google existants pour les utilisateurs. Pour utiliser Citrix Endpoint Management avec Google Workspace, vous synchronisez vos données avec votre annuaire LDAP et récupérez les informations de compte Google à partir de Google à l’aide de l’API Google Directory. Étant donné que ce type d’entreprise est lié à un domaine existant, chaque domaine ne peut créer qu’une seule entreprise. Pour inscrire un appareil dans Citrix Endpoint Management, chaque utilisateur doit se connecter manuellement avec son compte Google existant. Le compte lui donne accès à Google Play d’entreprise en plus des autres services Google fournis par le forfait Google Workspace.

Configuration requise pour l’ancienne version d’Android Entreprise :

• Un domaine publiquement accessible
• Un compte d’administrateur Google
• Des appareils Android avec prise en charge des profils gérés
• Un compte Google sur lequel Google Play est installé
• Un profil de travail configuré sur l’appareil.

Pour démarrer la configuration de l’ancienne version d’Android Entreprise, cliquez sur Ancienne version de Android Entreprise dans la page Android Entreprise des paramètres Citrix Endpoint Management.

Créer un compte Android Entreprise

Pour pouvoir configurer un compte Android Entreprise, vous devez vérifier votre nom de domaine auprès de Google.

Si vous avez déjà vérifié votre nom de domaine auprès de Google, vous pouvez passer à cette étape : Configurer un compte de service Android Entreprise et télécharger un certificat Android Entreprise.

1. Accédez à https://gsuite.google.com/signup/basic/welcome.

   La page suivante s’affiche où vous entrez vos informations d’administrateur et les informations sur l’entreprise.

   

2. Entrez vos informations d’utilisateur administrateur.

   

3. Entrez vos informations d’entreprise, en plus de vos informations de compte d’administrateur.

   

   La première étape de ce processus est terminée et la page suivante s’affiche.

   

Vérifier le propriétaire du domaine

Autorisez Google à vérifier votre domaine de l’une des manières suivantes :

• Ajoutez un enregistrement TXT ou CNAME au site Web de votre hôte de domaine.
• Chargez un fichier HTML sur le serveur Web de votre domaine.
• Ajoutez une balise <meta> à votre page d’accueil. Google recommande la première méthode. Cet article ne couvre pas les étapes permettant de vérifier que votre domaine vous appartient, mais vous pouvez trouver les informations dont vous avez besoin sur : https://support.google.com/a/answer/6248925/.

1. Cliquez sur Démarrer pour commencer la vérification de votre domaine.

   La page Valider la propriété du domaine s’affiche. Suivez les instructions sur la page pour vérifier votre domaine.

2. Cliquez sur Vérifier.

   

   

3. Google vérifie que vous êtes le propriétaire du domaine.

   

4. La page suivante s’affiche si la vérification réussit. Cliquez sur Continuer.

   

5. Google crée un jeton de liaison EMM que vous fournissez à Citrix lorsque vous configurez les paramètres d’Android Entreprise. Copiez et enregistrez le jeton ; vous en aurez besoin plus tard lors de la configuration.

   

6. Cliquez sur Terminer pour terminer la configuration d’Android Entreprise. Une page s’affiche indiquant que vous avez vérifié avec succès votre domaine.

Une fois que vous avez créé un compte de service Android Entreprise, vous pouvez ouvrir une session sur la console d’administration Google pour gérer vos paramètres de gestion de la mobilité.

Définir un compte de service Android Entreprise et télécharger un certificat Android Entreprise

Pour autoriser Citrix Endpoint Management à contacter les services Google Play et Directory, vous devez créer un compte de service à l’aide du portail Project de Google destiné aux développeurs. Ce compte de service est utilisé pour permettre les communications entre serveurs entre Citrix Endpoint Management et les services Google pour Android. Pour plus d’informations sur le protocole d’authentification utilisé, accédez à https://developers.google.com/identity/protocols/OAuth2ServiceAccount.

1. Dans un navigateur Web, accédez à https://console.cloud.google.com/project et ouvrez une session à l’aide de vos informations d’identification d’administrateur Google.

2. Dans la liste Projets, cliquez sur Créer un projet.

   

3. Dans Nom du projet, entrez un nom pour le projet.

   

4. Sur le tableau de bord, cliquez sur Utiliser les API de Google.

   

5. Cliquez sur Bibliothèque et dans Rechercher, entrez EMM, puis cliquez sur le résultat de la recherche.

   

6. Sur la page de présentation, cliquez sur Activer.

   

7. En regard de Google Play EMM API, cliquez sur Accéder aux identifiants.

   

8. Dans la liste Add credentials to our project, dans l’étape 1, cliquez sur service account.

   

9. Sur la page Comptes de service, cliquez sur Créer un compte de service.

   

10. Dans Créer un compte de service, nommez le compte et sélectionnez la case Indiquer une nouvelle clé privée. Cliquez sur P12, sélectionnez la case à cocher Activer la délégation Google Apps au niveau du domaine, puis cliquez sur Créer.

    

    Le certificat (fichier P12) est téléchargé sur votre ordinateur. Veillez à enregistrer le certificat dans un emplacement sécurisé.

11. Sur l’écran Compte de service créé, cliquez sur Fermer.

    

12. Dans Autorisations, cliquez sur Comptes de service, puis sous Options pour votre compte de service, cliquez sur Afficher l’ID client.

    

13. Les détails requis pour l’autorisation du compte sur la console d’administration Google s’affichent. Copiez les valeurs des champs Client ID et Service account ID sur un emplacement où vous pourrez récupérer les informations ultérieurement. Vous avez besoin de ces informations, ainsi que du nom de domaine à envoyer à l’assistance Citrix pour les ajouter à une liste d’autorisation.

    

14. Sur la page Bibliothèque, recherchez Admin SDK et cliquez sur le résultat de la recherche.

    

15. Sur la page de présentation, cliquez sur Activer.

    

16. Ouvrez la console d’administration Google pour votre domaine et cliquez sur Sécurité.

    

17. Sur la page Paramètres, cliquez sur Afficher plus, puis cliquez sur Paramètres avancés.

    

    

18. Cliquez sur Gérer l’accès au client d’API.

    

19. Dans Nom du client, entrez l’ID de client que vous avez enregistré précédemment, dans Une ou plusieurs étendues d’API, entrez https://www.googleapis.com/auth/admin.directory.user puis cliquez sur Autoriser.

    

Liaison à EMM

Pour pouvoir utiliser Citrix Endpoint Management pour gérer vos appareils Android, vous devez contacter l’assistance technique de Citrix et fournir vos nom de domaine, compte de service et jeton de liaison. Citrix lie le jeton à Citrix Endpoint Management en tant que fournisseur de gestion de la mobilité d’entreprise (EMM). Pour accéder aux coordonnées du support technique Citrix, consultez la section Support technique Citrix.

1. Pour confirmer la liaison, ouvrez une session sur le portail de la console d’administration Google et cliquez sur Sécurité.

2. Cliquez sur Gérer le fournisseur EMM pour Android.

   Votre compte Google Android Entreprise est maintenant lié à Citrix en tant que fournisseur EMM.

   Après avoir confirmé la liaison du jeton, vous pouvez commencer à utiliser la console Citrix Endpoint Management pour gérer vos appareils Android. Importez le certificat P12 que vous avez généré à l’étape 14. Configurez les paramètres du serveur Android Entreprise, activez l’authentification unique SAML et définissez au moins une stratégie d’appareil Android Entreprise.

   

Importer le certificat P12

Suivez ces étapes pour importer votre certificat P12 Android Entreprise :

1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console pour ouvrir la page Paramètres, puis cliquez sur Certificats. La page Certificats s’affiche.

   

2. Cliquez sur Importer. La boîte de dialogue Importer apparaît.

   

   Configurez les paramètres suivants :

   • Importer : dans la liste, cliquez sur Keystore.
   • Type de keystore : dans la liste, cliquez sur PKCS#12.
   • Utiliser en tant que : dans la liste, cliquez sur Serveur.
   • Fichier de keystore : cliquez sur Parcourir et accédez au certificat P12.
   • Mot de passe : entrez le mot de passe du certificat. Il s’agit du mot de passe de clé privée que vous avez créé lors de la configuration de votre compte Android Enterprise.
   • Description : entrez une description pour le certificat.

3. Cliquez sur Importer.

Configurer les paramètres du serveur Android Entreprise

1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

2. Sous Plates-formes, cliquez sur Android Entreprise. La page Android Entreprise s’affiche.

   

   Configurez ces paramètres, puis cliquez sur Enregistrer.

   • Nom de domaine : entrez votre nom de domaine Android Entreprise ; par exemple, domaine.com.
   • Compte d’administrateur de domaine : entrez le nom d’utilisateur de l’administrateur de domaine ; par exemple, le compte de messagerie utilisé pour le portail Google Developer.
   • ID du compte de service : entrez votre ID de compte de service, par exemple, l’adresse e-mail associée au compte de service Google (serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com).
   • ID client : entrez l’ID client numérique de votre compte de service Google.
   • Activer Android Entreprise : activez ou désactivez Android Entreprise.

Activer l’authentification unique SAML

1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

2. Cliquez sur Certificats. La page Certificats s’affiche.

   

3. Dans la liste des certificats, cliquez sur le certificat SAML.

4. Cliquez sur Exporter et enregistrez le certificat sur votre ordinateur.

5. Connectez-vous au portail de la console d’administration Google à l’aide de vos informations d’identification d’administrateur Android Entreprise. Pour accéder au portail, veuillez consulter la section Console d’administration Google.

6. Cliquez sur Sécurité.

   

7. Dans Sécurité, cliquez sur Configurer l’authentification unique (SSO) et configurez les paramètres suivants :

   

   • URL de la page de connexion : entrez l’adresse URL pour les utilisateurs qui se connectent à votre système et Google Apps. Par exemple : https://<Xenmobile-FQDN>/aw/saml/signin.
   • URL de la page de déconnexion : entrez l’adresse URL vers laquelle les utilisateurs sont redirigés lorsqu’ils se déconnectent. Par exemple : https://<Xenmobile-FQDN>/aw/saml/signout.
   • URL de la page de modification du mot de passe : entrez l’adresse URL pour permettre aux utilisateurs de modifier leur mot de passe dans votre système. Par exemple : https://<Xenmobile-FQDN>/aw/saml/changepassword. Si ce champ est défini, cette invite s’affiche même lorsque l’authentification unique (SSO) n’est pas disponible.
   • Certificat de vérification : cliquez sur CHOISIR FICHIER et accédez à l’emplacement du certificat SAML exporté depuis Citrix Endpoint Management.

8. Cliquez sur ENREGISTRER LES MODIFICATIONS.

Configurer une stratégie d’appareil Android Entreprise

Configurez une stratégie de code secret afin d’obliger les utilisateurs à créer un code secret sur leurs appareils la première fois qu’ils s’inscrivent.

Les étapes de base pour configurer une stratégie sont les suivantes.

1. Dans la console Citrix Endpoint Management, cliquez sur Configurer, puis sur Stratégies d’appareil.

2. Cliquez sur Ajouter, puis sélectionnez la stratégie que vous souhaitez ajouter à partir de la boîte de dialogue Ajouter une nouvelle stratégie. Dans cet exemple, vous cliquez sur Code secret.

3. Remplissez la page Informations sur la stratégie.

4. Cliquez sur Android Entreprise et configurez les paramètres pour la stratégie.

5. Attribuez la stratégie à un groupe de mise à disposition.

Configurer les paramètres de compte Android Entreprise

Avant de démarrer la gestion des applications et des stratégies Android sur les appareils, vous devez définir les informations de domaine et de compte Android Entreprise dans Citrix Endpoint Management. Commencez par effectuer les tâches de configuration Android Entreprise sur Google pour configurer un administrateur de domaine et obtenir un ID de compte de service et un jeton de liaison.

1. Dans la console web Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’ouvre.

2. Sous Plates-formes, cliquez sur Android Entreprise. La page de configuration Android Entreprise s’affiche.

1. Sur la page Android Entreprise, configurez les paramètres suivants :

   • Nom de domaine : entrez le nom du domaine.
   • Compte d’administrateur de domaine : entrez le nom d’utilisateur de l’administrateur de domaine.
   • ID du compte de service : entrez votre ID du compte de service Google.
   • ID client : entrez l’ID client de votre compte de service Google.
   • Activer Android Entreprise : activez ou désactivez Android Entreprise.

2. Cliquez sur Save.

Configurer l’accès partenaire Google Workspace pour Citrix Endpoint Management

Certaines fonctionnalités de Citrix Endpoint Management pour Chrome utilisent des API partenaires de Google pour la communication entre Citrix Endpoint Management et votre domaine Google Workspace. Par exemple, Citrix Endpoint Management requiert les API pour les stratégies qui gèrent les fonctionnalités de Chrome, telles que le mode de navigation privée et le mode Invité.

Pour activer les API partenaires, vous devez configurer votre domaine Google Workspace dans la console Citrix Endpoint Management, puis configurer votre compte Google Workspace.

Configurer votre domaine Google Workspace dans Citrix Endpoint Management

Pour permettre à Citrix Endpoint Management de communiquer avec les API de votre domaine Google Workspace, accédez à Paramètres > Configuration de Google Chrome et configurez les paramètres.

• Domaine Google Workspace : domaine Google Workspace hébergeant les API requises par Citrix Endpoint Management.
• Compte d’administrateur Google Workspace : compte administrateur de votre domaine Google Workspace.
• ID client Google Workspace : identifiant client pour Citrix. Utilisez cette valeur pour configurer l’accès partenaire pour le domaine Google Workspace.
• Identifiant d’entreprise Google Workspace : identifiant d’entreprise de votre compte, renseigné à partir de votre compte d’entreprise Google.

Activer l’accès partenaire pour les appareils et les utilisateurs de votre domaine Google Workspace

1. Connectez-vous à la console d’administration Google https://admin.google.com.

2. Cliquez sur Gestion des appareils.

   

3. Cliquez sur Gestion de Chrome.

   

4. Cliquez sur Paramètres utilisateur.

   

5. Recherchez Gestion de Chrome - Accès Partenaire.

   

6. Activez la case à cocher Activer la gestion de Chrome - Accès Partenaire.

7. Confirmez que vous comprenez et que vous souhaitez activer l’accès partenaire. Cliquez sur Save.

8. Sur la page Gestion de Chrome, cliquez sur Paramètres utilisateur.

   

9. Recherchez Gestion de Chrome - Accès Partenaire.

   

10. Activez la case à cocher Activer la gestion de Chrome - Accès Partenaire.

11. Confirmez que vous comprenez et que vous souhaitez activer l’accès partenaire. Cliquez sur Save.

12. Accédez à la page Sécurité, puis cliquez sur Paramètres avancés.

    

13. Cliquez sur Gérer l’accès au client d’API.

14. Dans la console Citrix Endpoint Management, accédez à Paramètres > Configuration de Google Chrome et copiez la valeur de l’ID client G Suite. Retournez ensuite à la page Gérer l’accès au client d’API et collez la valeur copiée dans le champ Nom du client.

15. Dans Un ou plusieurs champs d’application d’API, ajoutez l’URL : https://www.googleapis.com/auth/chromedevicemanagementapi

    

16. Cliquez sur Autoriser.

    Le message « Vos paramètres ont été sauvegardés » apparaît.

Inscription d’appareils Android Entreprise

Si le processus d’inscription de votre appareil nécessite que les utilisateurs saisissent un nom d’utilisateur ou un ID utilisateur, le format accepté dépend de la configuration du serveur Citrix Endpoint Management pour la recherche des utilisateurs par nom principal d’utilisateur (UPN) ou nom de compte SAM.

Si le serveur Citrix Endpoint Management est configuré pour la recherche des utilisateurs par UPN, les utilisateurs doivent entrer un nom UPN au format :

• nom d’utilisateur@domaine

Si le serveur Citrix Endpoint Management est configuré pour la recherche des utilisateurs par SAM, les utilisateurs doivent entrer un nom SAM dans l’un des formats suivants :

• nom d’utilisateur@domaine
• domaine\nom d’utilisateur

Pour déterminer le type de nom d’utilisateur pour lequel votre serveur Citrix Endpoint Management est configuré :

1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.
2. Cliquez sur LDAP pour afficher la configuration de la connexion LDAP.

3. Dans la partie inférieure de la page, affichez le champ Recherche utilisateur par :

   • Si l’option est définie sur userPrincipalName, le serveur Citrix Endpoint Management est défini pour UPN.
   • Si l’option est définie sur sAMAccountName, le serveur Citrix Endpoint Management est défini pour SAM.

Désinscription d’une entreprise Android Enterprise

Vous pouvez désinscrire une entreprise Android Enterprise à l’aide de la console du serveur Citrix Endpoint Management et des outils Citrix Endpoint Management Tools.

Lorsque vous effectuez cette tâche, le serveur Citrix Endpoint Management ouvre une fenêtre contextuelle Citrix Endpoint Management Tools. Avant de commencer, assurez-vous que le serveur Citrix Endpoint Management est autorisé à ouvrir des fenêtres contextuelles dans le navigateur que vous utilisez. Certains navigateurs, tels que Google Chrome, vous obligent à désactiver le blocage des fenêtres contextuelles et à ajouter l’adresse du site Citrix Endpoint Management à la liste d’autorisation des fenêtres contextuelles.

Avertissement :

une fois l’entreprise désinscrite, l’état par défaut des applications Android Entreprise sur les appareils déjà inscrits est rétabli. Les appareils ne sont plus gérés par Google. Leur réinscription dans une entreprise Android Entreprise peut nécessiter une configuration supplémentaire pour restaurer les fonctionnalités précédentes.

Une fois l’entreprise Android Enterprise désinscrite :

• Les applications Android Enterprise des appareils et des utilisateurs inscrits dans l’entreprise sont réinitialisées à leur état par défaut. Les stratégies Autorisations de l’application et Configurations gérées appliquées précédemment n’ont plus d’effet.
• Les appareils inscrits via l’entreprise sont gérés par Citrix Endpoint Management mais ne sont pas gérés du point de vue de Google. Aucune nouvelle application Android Entreprise ne peut être ajoutée. Vous ne pouvez pas appliquer les stratégies Autorisations de l’application ou Configurations gérées. D’autres stratégies, telles que Planification, Mot de passe et Restrictions, peuvent encore être appliquées à ces appareils.
• Si vous tentez d’inscrire des appareils dans Android Enterprise, ils sont inscrits comme appareils Android et non comme appareils Android Enterprise.

Désinscription d’une entreprise Android Enterprise :

1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

2. Sur la page Paramètres, cliquez sur Android Enterprise.

3. Cliquez sur Supprimer l’entreprise.

   

4. Spécifiez un mot de passe. Vous en aurez besoin à l’étape suivante pour terminer la désinscription. Cliquez ensuite sur Désinscrire.

   

5. Lorsque la page Citrix Endpoint Management Tools s’ouvre, entrez le mot de passe que vous avez créé à l’étape précédente.

   

6. Cliquez sur Désinscrire.

   

Provisionnement d’appareils entièrement gérés dans Android Enterprise

Seuls les appareils appartenant à l’entreprise peuvent être des appareils entièrement gérés dans Android Enterprise. Sur les appareils entièrement gérés, l’ensemble de l’appareil, et pas seulement le profil de travail, est contrôlé par l’entreprise ou l’organisation. Les appareils entièrement gérés sont également appelés appareils gérés de travail.

Citrix Endpoint Management prend en charge ces méthodes d’inscription pour les appareils entièrement gérés :

• afw#xenmobile : avec cette méthode d’inscription, l’utilisateur entre les caractères afw#xenmobile lors de la configuration de l’appareil. Ce jeton identifie l’appareil comme étant géré par Citrix Endpoint Management et télécharge Citrix Secure Hub.
• Code QR : le provisioning de code QR est un moyen simple de configurer une flotte distribuée d’appareils qui ne prennent pas en charge la technologie NFC, tels que les tablettes. La méthode d’inscription avec le code QR peut être utilisée sur des appareils de la flotte qui ont été réinitialisés à leurs paramètres d’usine. La méthode d’inscription avec le code QR permet de configurer les appareils entièrement gérés en scannant un code QR depuis l’assistant d’installation.
• Partage de données à l’aide de NFC : la méthode d’inscription avec le partage NFC peut être utilisée sur des appareils de la flotte qui ont été réinitialisés à leurs paramètres d’usine. Un partage NFC permet de transférer des données entre deux appareils en utilisant une communication en champ proche. Bluetooth, Wi-Fi et les autres modes de communication sont désactivés sur un appareil dont les paramètres d’usine ont été réinitialisés. NFC est le seul protocole de communication que l’appareil peut utiliser dans cet état.

afw#xenmobile

La méthode d’inscription est utilisée après la mise sous tension d’un nouvel appareil ou d’un appareil réinitialisé à ses paramètres d’usine lors de la configuration initiale. Les utilisateurs entrent afw#xenmobile lorsqu’ils sont invités à entrer un compte Google. Cette action télécharge et installe Citrix Secure Hub. Les utilisateurs suivent les invites de configuration de Citrix Secure Hub pour terminer l’inscription.

Cette méthode d’inscription est recommandée pour la plupart des clients car la dernière version de Citrix Secure Hub est téléchargée à partir de Google Play Store. Contrairement aux autres méthodes d’inscription, vous ne pouvez pas télécharger Citrix Secure Hub depuis le serveur Citrix Endpoint Management.

Prérequis :

• Pris en charge sur tous les appareils Android exécutant Android OS.

Code QR

Pour inscrire un appareil en mode Propriétaire d’appareil à l’aide d’un code QR, générez un code QR en créant un JSON et en convertissant le JSON en un code QR. Le code QR est scanné par l’appareil photo de l’appareil pour inscrire l’appareil.

Prérequis :

• Pris en charge sur tous les appareils Android exécutant Android 7.0 et supérieur.

Créer un code QR à partir d’un JSON

Créez un JSON avec les champs suivants.

Ces champs sont obligatoires :

Clé : android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valeur : com.zenprise/com.zenprise.configuration.AdminFunction

Clé : android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valeur : qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Clé : android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valeur : https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

Ces champs sont facultatifs :

• android.app.extra.PROVISIONING_LOCALE : entrez un code de langue et de pays.

  Les codes de langue sont des codes ISO de deux lettres minuscules (tels que fr) comme défini dans l’ISO 639-1. Les codes de pays sont des codes ISO de deux lettres majuscules (tels que FR) comme défini dans l’ISO 3166-1. À titre d’exemple, entrez fr_FR pour la langue française parlée en France.

• android.app.extra.PROVISIONING_TIME_ZONE : fuseau horaire dans lequel l’appareil est exécuté.

  Tapez le nom de la base de données de la région/emplacement. Par exemple, tapez Europe/Paris pour l’heure de l’Europe occidentale. Si vous n’entrez rien, le fuseau horaire est automatiquement renseigné.

• android.app.extra.PROVISIONING_LOCAL_TIME : durée en millisecondes depuis l’heure Unix.

  L’heure Unix (également appelée heure POSIX ou Unix timestamp) est le nombre de secondes écoulées depuis le 1er janvier 1970 (minuit UTC/GMT). L’heure n’inclut pas les secondes intercalaires (dans ISO 8601: 1970-01-01T00:00:00Z).

• android.app.extra.PROVISIONING_SKIP_ENCRYPTION : définissez cette option sur true pour ignorer le cryptage lors de la création du profil. Définissez cette option sur false pour forcer le cryptage lors de la création du profil.

Un fichier JSON typique ressemble à ce qui suit :

Validez le fichier JSON créé à l’aide de n’importe quel outil de validation JSON, tel que https://jsonlint.com. Convertissez cette chaîne JSON en un code QR à l’aide de n’importe quel générateur de code QR en ligne.

Ce code QR est scanné par un appareil dont les paramètres d’usine ont été réinitialisés pour inscrire l’appareil en tant qu’appareils entièrement gérés.

Pour inscrire l’appareil

Pour inscrire un appareil en tant qu’appareil entièrement géré, les paramètres d’usine de l’appareil doivent être réinitialisés.

1. Touchez l’écran 6 fois sur l’écran d’accueil pour lancer le flux d’inscription du code QR.

2. Lorsque vous y êtes invité, connectez-vous au Wi-Fi. L’emplacement de téléchargement de Citrix Secure Hub dans le code QR (codé dans le JSON) est accessible sur ce réseau Wi-Fi.

   Une fois que l’appareil se connecte au Wi-Fi, il télécharge un lecteur de code QR à partir de Google et lance l’appareil photo.

3. Pointez l’appareil photo sur le code QR pour scanner le code.

   Android télécharge Citrix Secure Hub à partir de l’emplacement de téléchargement dans le code QR, valide la signature du certificat de signature, installe Citrix Secure Hub et le définit comme propriétaire de l’appareil.

Pour plus d’informations sur le provisionnement des appareils à l’aide de la méthode de code QR, consultez Google API documentation for Android EMM developers.

Partage de données avec NFC

Pour inscrire un appareil en tant qu’appareil entièrement géré à l’aide du partage NFC, deux appareils sont requis : un dont les paramètres d’usine ont été rétablis et un exécutant l’application Citrix Endpoint Management Provisioning Tool.

Prérequis :

• Appareils Android pris en charge
• Citrix Endpoint Management activé pour Android Entreprise.
• Un nouvel appareil ou un appareil dont les paramètres d’usine ont été rétablis, provisionné pour Android Enterprise en tant qu’appareil entièrement géré. Les étapes à suivre pour satisfaire ces conditions préalables sont disponibles plus loin dans cet article.
• Un autre appareil avec capacité NFC, exécutant l’application Provisioning Tool configurée. Provisioning Tool est disponible dans Citrix Secure Hub ou sur la page des téléchargements de Citrix.

Chaque appareil ne peut disposer que d’un profil Android Enterprise, géré par une application de gestion de la mobilité d’entreprise (EMM). Dans Citrix Endpoint Management, Citrix Secure Hub est l’application EMM. Un seul profil est autorisé sur chaque appareil. Si vous essayez d’ajouter une deuxième application EMM, la première application EMM sera supprimée.

Données transférées via le partage NFC

Le provisioning d’un appareil dont les paramètres d’usine ont été rétablis requiert l’envoi des données suivantes via NFC pour initialiser Android Enterprise :

• Nom du package de l’application EMM du fournisseur qui fait office de propriétaire de l’appareil (dans ce cas, Citrix Secure Hub).
• Emplacement intranet/Internet à partir duquel l’appareil peut télécharger l’application EMM du fournisseur.
• Hachage SHA-256 de l’application EMM du fournisseur pour vérifier que le téléchargement a réussi.
• Détails de la connexion Wi-Fi de façon à ce qu’un appareil dont les paramètres d’usine ont été réinitialisés puisse se connecter et télécharger l’application EMM du fournisseur. Remarque : Android ne prend pas charge 802.1x Wi-Fi pour cette étape.
• Fuseau horaire de l’appareil (facultatif).
• Emplacement géographique de l’appareil (facultatif).

Lorsque les deux appareils sont « cognés », les données de Provisioning Tool sont envoyées à l’appareil dont les paramètres d’usine ont été réinitialisés. Ces données sont ensuite utilisées pour télécharger Citrix Secure Hub avec des paramètres d’administrateur. Si vous ne précisez pas le fuseau horaire ni l’emplacement, Android les configure automatiquement sur le nouvel appareil.

Configuration d’Citrix Endpoint Management Provisioning Tool

Avant de partager des données avec NFC, vous devez configurer Provisioning Tool. Cette configuration est ensuite transférée à l’appareil dont les paramètres d’usine ont été réinitialisés durant le partage des données avec NFC.

Vous pouvez entrer des données dans les champs requis ou les renseigner via un fichier texte. Les étapes de la procédure suivante décrivent comment configurer le fichier texte et contiennent des descriptions pour chaque champ. L’application n’enregistre pas les informations après qu’elles soient entrées, il peut donc s’avérer utile de créer un fichier texte afin de conserver les informations pour une utilisation ultérieure.

Pour configurer le Provisioning Tool à l’aide d’un fichier texte

Nommez le fichier nfcprovisioning.txt et placez-le dans le dossier /sdcard/ sur la carte SD de l’appareil. Cela permet à l’application de lire le fichier texte et renseigner les valeurs.

Le fichier texte doit contenir les données suivantes :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Il s’agit de l’emplacement intranet/Internet de l’application EMM du fournisseur. Après que l’appareil dont les paramètres d’usine ont été réinitialisés se soit connecté au Wi-Fi suite au partage NFC, il doit avoir accès à cet emplacement pour le téléchargement. L’adresse URL est une adresse URL standard qui ne requiert aucun formatage spécial.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA-256 hash>

Il s’agit de la somme de contrôle de l’application EMM du fournisseur. Elle est utilisée pour vérifier que le téléchargement a réussi. Les étapes à suivre pour obtenir la somme de contrôle sont abordées plus loin dans cet article.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Cette ligne est le SSID Wi-Fi connecté de l’appareil sur lequel Provisioning Tool est exécuté.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Les valeurs prises en charge sont WEP et WPA2. Si le Wi-Fi n’est pas protégé, ce champ doit être vide.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Si le Wi-Fi n’est pas protégé, ce champ doit être vide.

android.app.extra.PROVISIONING_LOCALE=<locale>

Entrez un code de langue et de pays. Les codes de langue sont des codes ISO de deux lettres minuscules (tels que fr) comme défini dans l’ISO 639-1. Les codes de pays sont des codes ISO de deux lettres majuscules (tels que FR) comme défini dans l’ISO 3166-1. À titre d’exemple, entrez fr_FR pour la langue française parlée en France. Si vous n’entrez aucun code, la langue et le pays sont automatiquement renseignés.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

Fuseau horaire dans lequel l’appareil est exécuté. Tapez le nom de la base de données de la région/emplacement. Par exemple, tapez Europe/Paris pour l’heure de l’Europe occidentale. Si vous n’entrez rien, le fuseau horaire est automatiquement renseigné.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Ces données ne pas requises car la valeur est codée en dur dans l’application Citrix Secure Hub. Il n’est mentionné ici que par souci de complétude.

Si un accès protégé Wi-Fi WPA2 est utilisé, un fichier nfcprovisioning.txt peut ressembler à ce qui suit :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Si un accès non protégé Wi-Fi est utilisé, un fichier nfcprovisioning.txt peut ressembler à ce qui suit :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Pour obtenir la somme de contrôle de Citrix Secure Hub

La somme de contrôle de Citrix Secure Hub est une valeur constante : qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM. Pour télécharger un fichier APK pour Citrix Secure Hub, utilisez le lien suivant de Google Play Store : https://play.google.com/managed/downloadManagingApp?identifier=xenmobile.

Pour obtenir une somme de contrôle d’application

Prérequis :

• L’outil apksigner de l’Android SDK Build Tools
• Ligne de commande OpenSSL

Pour obtenir la somme de contrôle d’une application, procédez comme suit :

1. Téléchargez le fichier APK de l’application depuis le Google Play Store.

2. Dans la ligne de commande OpenSSL, accédez à l’outil apksigner  : android-sdk/build-tools/<version>/apksigner et tapez ce qui suit :

   apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
   <!--NeedCopy-->
   

   La commande renvoie une somme de contrôle valide.

3. Pour générer le code QR, saisissez la somme de contrôle dans le champ PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM. Par exemple :

{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}
<!--NeedCopy-->

Bibliothèques utilisées

Provisioning Tool utilise les bibliothèques suivantes dans son code source :

• Bibliothèque v7 appcompat, bibliothèque Design Support et bibliothèque v7 Palette Support

  Pour de plus amples informations, consultez le Guide des fonctionnalités de la bibliothèque de support dans la documentation pour développeurs Android.

• Butter Knife par Jake Wharton sous licence Apache 2.0

Provisionner des appareils avec profil de travail dans Android Entreprise

Sur les appareils avec profil de travail dans Android Enterprise, vous séparez en toute sécurité les espaces professionnels et personnels de l’appareil. Par exemple, les appareils BYOD peuvent être des appareils avec profil de travail. L’expérience d’inscription des appareils avec profil de travail est similaire à l’inscription Android dans Citrix Endpoint Management. Les utilisateurs téléchargent Citrix Secure Hub depuis Google Play et inscrivent leurs appareils.

Par défaut, les paramètres Débogage USB et Sources inconnues sont désactivés sur un appareil lorsqu’il est inscrit en tant qu’appareil de profil professionnel dans Android Enterprise.

Conseil :

Lors de l’inscription d’appareils dans Android Enterprise en tant qu’appareils avec profil de travail, accédez toujours à Google Play. De là, activez l’affichage de Citrix Secure Hub dans le profil personnel de l’utilisateur.