Citrix Endpoint Management

Inscription en bloc Samsung Knox

Pour inscrire plusieurs appareils Samsung Knox dans Endpoint Management (ou tout autre gestionnaire d’appareil mobile) sans avoir à configurer manuellement chaque appareil, utilisez Knox Mobile Enrollment. L’inscription se produit lors de la première utilisation ou après réinitialisation des paramètres d’usine. Les administrateurs peuvent également transmettre des noms d’utilisateur et des mots de passe directement à l’appareil, de sorte que les utilisateurs n’ont pas besoin de saisir d’informations lors de leur inscription.

Remarque :

L’installation de Knox Mobile Enrollment n’est pas liée au conteneur Endpoint Management Knox. Pour plus d’informations sur Knox Mobile Enrollment, consultez la page Guide d’administration de Knox Mobile Enrollment.

Conditions préalables pour Knox Mobile Enrollment

  • Endpoint Management doit être configuré (y compris les licences et les certificats) et exécuté.
  • Fichier APK Secure Hub. Vous le chargez lors de la configuration de Knox Mobile Enrollment.
  • Pour obtenir la liste des exigences KME, consultez l’introduction à Knox Mobile Enrollment.
  • Licence Samsung Knox Platform for Enterprise (PKE), requise pour appliquer les stratégies d’appareil. Fournissez la clé de licence dans la stratégie d’appareil Endpoint Management, Knox Platform for Enterprise.

Pour télécharger le fichier APK Secure Hub

Accédez au Google Play Store pour télécharger le fichier Citrix Secure Hub pour Android.

Configurer des exceptions de pare-feu

Pour accéder à Knox Mobile Enrollment, configurez les exceptions de pare-feu suivantes. Certaines de ces exceptions de pare-feu sont requises pour tous les appareils et certaines sont spécifiques à l’emplacement géographique de l’appareil.

Région de l’appareil URL Port Destination
Toutes https://gslb.secb2b.com 443 Équilibrage de charge global pour initier Knox Mobile Enrollment
Toutes https://gslb.secb2b.com 80 Équilibrage de charge global pour initier Knox Mobile Enrollment sur certains appareils limités d’ancienne génération
Toutes umc-cdn.secb2b.com 443 Serveurs de mise à jour de l’agent Samsung
Toutes bulkenrollment.s3.amazonaws.com 80 EULA des clients Knox Mobile Enrollment
Toutes eula.secb2b.com 443 EULA des clients Knox Mobile Enrollment
Toutes us-be-api-mssl.samsungknox.com 443 Serveurs Samsung pour vérification du numéro IMEI
États-Unis https://us-segd-api.secb2b.com 443 Samsung Enterprise Gateway pour les États-Unis
Europe https://eu-segd-api.secb2b.com 443 Samsung Enterprise Gateway pour l’Europe
Chine https://china-segd-api.secb2b.com 443 Samsung Enterprise Gateway pour la Chine

Remarque :

Vous trouverez une liste complète des exceptions de pare-feu sur la page Guide d’administration de Knox Mobile Enrollment.

Pour accéder à Knox Mobile Enrollment

Consultez la documentation Samsung pour accéder à Knox Mobile Enrollment à partir de la page Prise en main de KME.

Configuration de Knox Mobile Enrollment

Une fois que vous avez accès à Knox Mobile Enrollment, connectez-vous au portail Knox.

Le processus d’inscription suit ces étapes générales.

  1. Créez un profil MDM avec les informations et paramètres de votre console MDM.

    Le profil MDM indique à vos appareils comment se connecter à votre MDM.

  2. Ajoutez des appareils à votre profil MDM.

    Vous pouvez soit télécharger un fichier CSV avec des informations sur l’appareil, soit installer et utiliser l’application de déploiement Knox à partir de Google Play.

  3. Samsung vous informe une fois que le propriétaire de l’appareil a été vérifié.

  4. Donnez aux utilisateurs les informations d’identification de connexion au MDM. Demandez aux utilisateurs de se connecter à Internet en Wi-Fi et d’accepter l’invite pour inscrire les appareils.

Pour créer un profil MDM

Suivez les étapes décrites dans la documentation Samsung à partir de la page Configuration du profil.

Lorsque vous rencontrez les champs suivants, configurez-les comme décrit ci-dessous :

  • Pick your MDM : sélectionnez Citrix dans le menu. Uniquement pour les profils Propriétaire de l’appareil.
  • MDM Agent APK : uniquement pour les profils Propriétaire de l’appareil. Tapez l’adresse URL de téléchargement du fichier APK Secure Hub : https://play.google.com/managed/downloadManagingApp?identifier=xenmobile.

    Le fichier APK peut résider sur n’importe quel serveur auquel les appareils peuvent accéder au cours de l’inscription. Lors de l’inscription, un appareil :

    • Télécharge Secure Hub depuis l’adresse URL de téléchargement du fichier APK ;
    • Installe Secure Hub ;
    • Ouvre ensuite Secure Hub avec les données JSON personnalisées décrites ci-après.

    La casse du nom de fichier .apk doit correspondre à l’adresse URL que vous entrez. Par exemple, si le nom de fichier est en minuscules, il doit également être en minuscules dans l’URL.

  • MDM Server URI : ne spécifiez pas l’URI d’un serveur MDM. Endpoint Management n’utilise pas le protocole Samsung MDM.
  • Custom JSON Data : Secure Hub a besoin de l’adresse du serveur Endpoint Management ainsi que du nom d’utilisateur et du mot de passe pour l’inscription. Vous pouvez fournir ces données dans JSON afin que Secure Hub ne les demande pas aux utilisateurs. Secure Hub invite les utilisateurs à saisir l’adresse du serveur, le nom d’utilisateur ou le mot de passe uniquement si le champ est omis de JSON.

    Le format des données JSON personnalisées est le suivant : {"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}

    Dans cet exemple, typique de l’inscription en bloc, Secure Hub n’invite pas les utilisateurs à fournir l’adresse du serveur ou leurs informations d’identification lors de l’inscription :

    {"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"userN2", "xm_password":"password7890"}

    Dans cet exemple, typique des appareils basés sur un kiosque, Secure Hub invite les utilisateurs à fournir leurs informations d’identification :

    {"serverURL":"https://example.com/zdm"}

    Vous pouvez également entrer des données JSON personnalisées pour l’inscription zero-touch Android Enterprise.

         {
             "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
             {
                 "serverURL":"URL","xm_username":"username","xm_password":"password"
             }
         }
    

Lorsqu’un appareil démarre l’inscription, il télécharge Secure Hub à partir de l’URL donnée, installe Secure Hub et ouvre Secure Hub.

Configuration supplémentaire

Consultez les pages de documentation Samsung suivantes pour plus d’informations sur la configuration :

Pour inscrire des appareils exécutant un API Knox antérieur à la version 2.4

Sur les appareils dont l’API Knox est antérieure à la version 2.4, l’inscription en bloc ne démarre pas lors de la configuration initiale de l’appareil. Au lieu de cela, les utilisateurs doivent lancer l’inscription. Pour ce faire, les utilisateurs accèdent à un site Samsung pour télécharger le nouveau client Mobile Enrollment et démarrer l’inscription.

Le client d’inscription téléchargé utilise le même profil MDM et les mêmes APK que ceux configurés dans le portail Knox Bulk Enrollment pour les appareils Knox 2.4/2.4.1.

Les utilisateurs doivent généralement suivre ces étapes :

  1. Allumez l’appareil et connectez-vous au Wi-Fi. Si Mobile Enrollment ne démarre pas ou que le Wi-Fi n’est pas disponible, procédez comme suit :

    1. Accédez à Inscription Samsung Knox Mobile.

    2. Touchez le bouton Next pour inscrire des appareils avec des données mobiles.

  2. Lorsque l’invite Enroll with Knox s’affiche, touchez Continue.

  3. Prenez connaissance des EULA (le cas échéant). Appuyez sur Suivant.

  4. Si vous y êtes invité, entrez l’ID utilisateur (User ID) et le mot de passe (Password) fournis par l’administrateur informatique.

À ce stade, les informations d’identification de l’utilisateur sont validées et son appareil est inscrit dans l’environnement informatique de votre entreprise.

Activation et désactivation de l’authentification biométrique pour les appareils Samsung

Endpoint Management prend en charge l’authentification par empreinte digitale et par analyse de l’iris, également appelée authentification biométrique. Vous pouvez activer et désactiver l’authentification biométrique pour les appareils Samsung sans nécessiter l’intervention des utilisateurs. Si vous désactivez l’authentification biométrique dans Endpoint Management, les utilisateurs et les applications tierces ne peuvent pas activer la fonctionnalité.

  1. Dans la console Endpoint Management, cliquez sur Configurer > Stratégies d’appareil. La page Stratégies d’appareil s’affiche.

  2. Cliquez sur Ajouter. La page Ajouter une nouvelle stratégie apparaît.

  3. Cliquez sur Code secret. La page d’informations Stratégie de code secret s’affiche.

  4. Dans la section Informations sur la stratégie, entrez les informations suivantes :

    • Nom de la stratégie : entrez un nom descriptif pour la stratégie.
    • Description : entrez une description pour la stratégie (facultatif).
  5. Cliquez sur Suivant. La page Plates-formes s’affiche.

  6. Sous Plates-formes, sélectionnez Android ou Samsung Knox.

  7. Définissez l’option Configurer l’authentification biométrique sur Activé.

  8. Si vous avez sélectionné Android, sous Samsung SAFE, sélectionnez Autoriser empreinte digitale ou Autoriser iris ou les deux.

    Option Configurer l'authentification biométrique