Inscription en bloc Samsung Knox

Pour inscrire plusieurs appareils Samsung Knox dans Endpoint Management (ou tout autre gestionnaire d’appareil mobile) sans avoir à configurer manuellement chaque appareil, utilisez Knox Mobile Enrollment. L’inscription se produit lors de la première utilisation ou après réinitialisation des paramètres d’usine. Les administrateurs peuvent également transmettre des noms d’utilisateur et des mots de passe directement à l’appareil, de sorte que les utilisateurs n’ont pas besoin de saisir d’informations lors de leur inscription.

Remarque :

L’installation de Knox Mobile Enrollment n’est pas liée au conteneur Endpoint Management Knox. Pour plus d’informations sur Knox Mobile Enrollment, reportez-vous au Guide d’administration pour l’inscription à Knox Mobile.

Conditions préalables pour Knox Mobile Enrollment

  • Endpoint Management doit être configuré (y compris les licences et les certificats) et exécuté.
  • Fichier APK Secure Hub. Vous le chargez lors de la configuration de Knox Mobile Enrollment.
  • Pour obtenir la liste des exigences KME, consultez le Guide d’administration pour l’inscription à Knox Mobile.

Pour télécharger le fichier APK Secure Hub

  1. Connectez-vous au site de téléchargement de Citrix et accédez aux Téléchargements de Citrix Endpoint Management.

  2. Accédez aux applications de productivité mobiles et à MDX Toolkit et choisissez votre édition.

  3. Téléchargez le fichier Citrix Secure Hub for Android

Configurer des exceptions de pare-feu

Pour accéder à Knox Mobile Enrollment, configurez les exceptions de pare-feu suivantes. Certaines de ces exceptions de pare-feu sont requises pour tous les appareils et certaines sont spécifiques à l’emplacement géographique de l’appareil.

Région de l’appareil URL Port Destination
Toutes https://gslb.secb2b.com 443 Équilibrage de charge global pour initier Knox Mobile Enrollment
Toutes https://gslb.secb2b.com 80 Équilibrage de charge global pour initier Knox Mobile Enrollment sur certains appareils limités d’ancienne génération
Toutes umc-cdn.secb2b.com 443 Serveurs de mise à jour de l’agent Samsung
Toutes bulkenrollment.s3.amazonaws.com 80 EULA des clients Knox Mobile Enrollment
Toutes eula.secb2b.com 443 EULA des clients Knox Mobile Enrollment
Toutes us-be-api-mssl.samsungknox.com 443 Serveurs Samsung pour vérification du numéro IMEI
États-Unis https://us-segd-api.secb2b.com 443 Samsung Enterprise Gateway pour les États-Unis
Europe https://eu-segd-api.secb2b.com 443 Samsung Enterprise Gateway pour l’Europe
Chine https://china-segd-api.secb2b.com 443 Samsung Enterprise Gateway pour la Chine

Remarque :

Vous trouverez une liste complète des exceptions de pare-feu dans le Guide d’administration pour l’inscription à Knox Mobile.

Pour accéder à Knox Mobile Enrollment

Suivez ces étapes pour accéder à Knox Mobile Enrollment.

Si vous disposez d’un compte de portail Web Knox

  1. Connectez-vous au portail Web Knox et accédez à votre tableau de bord Samsung Knox. Pour accéder à votre portail Web Knox, reportez-vous au site de compte Samsung.

  2. Sous Knox Mobile Enrollment, cliquez sur Get Started (Commencer).

  3. Remplissez les champs appropriés et cliquez sur Apply (Appliquer).

Une fois votre demande approuvée, vous recevrez un e-mail de bienvenue contenant des instructions pour commencer à utiliser l’outil Knox Mobile Enrollment. Pour accélérer le processus d’approbation, veuillez fournir toute information essentielle, notamment les coordonnées de votre revendeur, de votre représentant Samsung ou toute autre information susceptible de faciliter votre approbation.

Configuration de Knox Mobile Enrollment

Une fois que vous avez accès à Knox Mobile Enrollment, accédez au portail Knox et cliquez sur Lancer Mobile Enrollment.

Image de l'écran Lancer Mobile Enrollment

Si Samsung ne peut pas autoriser le compte pour utiliser l’inscription en bloc, un écran d’erreur s’affiche :

Le processus d’inscription suit ces étapes générales, décrites en détail dans les sous-sections suivantes.

  1. Créez un profil MDM avec les informations et paramètres de votre console MDM.

    Le profil MDM indique à vos appareils comment se connecter à votre MDM.

  2. Ajoutez des appareils à votre profil MDM.

    Vous pouvez soit télécharger un fichier CSV avec des informations sur l’appareil, soit installer et utiliser l’application de déploiement Knox à partir de Google Play.

  3. Samsung vous informe une fois que le propriétaire de l’appareil a été vérifié.

  4. Donnez aux utilisateurs les informations d’identification de connexion au MDM. Demandez aux utilisateurs de se connecter à Internet en Wi-Fi et d’accepter l’invite pour inscrire les appareils.

Pour créer un profil MDM

Créez un profil MDM qui définit l’instance de Endpoint Management Server à utiliser. Créez un profil par serveur.

  1. Ouvrez une session sur le site Web Knox Mobile Enrollment.

  2. Cliquez sur MDM Profiles dans le panneau gauche. Cliquez sur CREATE PROFILE, puis choisissez parmi les deux options disponibles.
    • DEVICE OWNER : pour les appareils entièrement gérés ou dédiés. Permet aux applications d’appliquer des stratégies et des restrictions pendant la configuration.
    • DEVICE ADMIN : ancienne option qui possède différents paramètres de propriétaire de l’appareil, y compris l’option d’ignorer la configuration de l’appareil.

    Image de l'option de connexion au serveur MDM

  3. Une fois que vous avez sélectionné une option, entrez les informations suivantes :
    • Profile Name : nom descriptif du profil
    • Description : brève description pour identifier le profil
    • Pick your MDM : sélectionnez Citrix dans le menu. Uniquement pour les profils Propriétaire de l’appareil.
    • MDM Agent APK : uniquement pour les profils Propriétaire de l’appareil. Tapez l’adresse URL de téléchargement du fichier APK Secure Hub. Par exemple :

      https://example.com/zdm/securehub.apk

      https://pmdm.mycorp-inc.net/zdm/securehub.apk

      Le fichier APK peut résider sur n’importe quel serveur auquel les appareils peuvent accéder au cours de l’inscription. Au cours de l’inscription, un appareil télécharge Secure Hub à partir de cette adresse URL, installe Secure Hub, puis ouvre Secure Hub avec les données JSON personnalisées décrites ci-après.

      Remarque :

      La casse du nom de fichier .apk doit correspondre à l’adresse URL que vous entrez. Par exemple, si le nom de fichier est en minuscules, il doit également être en minuscules dans l’URL.

    • MDM Server URI : ne spécifiez pas l’URI d’un serveur MDM. Endpoint Management n’utilise pas le protocole Samsung MDM.
  4. Cliquez sur Continue, puis configurez les éléments suivants :
    • MDM Agent APK : uniquement pour les profils Administrateur de l’appareil. Ajoutez un nombre quelconque d’applications MDM à télécharger automatiquement lors de l’inscription de l’appareil.
    • Pour les données JSON personnalisées Custom JSON Data, entrez l’adresse de Endpoint Management Server, le nom d’utilisateur et l’adresse au format : {"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}

      Exemples :

      {"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"james.cork", "xm_password":"aDin20_1fa"}

      Vous pouvez également entrer des données JSON personnalisées pour l’inscription zero-touch Android Enterprise.

           {
               "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
               {
                   "serverURL":"URL","xm_username":"username","xm_password":"password"
               }
           }
      

      Remarque :

      Le fichier APK Secure Hub doit être chargé sur le serveur spécifié (exemple : https://pmdm.mycorp-inc.net:4443) sous la section Applications. Ce processus est similaire au chargement d’applications d’entreprise.

      Image de la page Profil MDM

    • Dual DAR : vous pouvez éventuellement activer Dual DAR pour appliquer des couches supplémentaires de cryptage sur les profils Propriétaire de l’appareil. Vous pouvez également utiliser une application de cryptographie tierce.
    • System apps : pour les profils Propriétaire de l’appareil uniquement. Sélectionnez Disable system apps pour désactiver toutes les applications à l’exception d’un nombre limité. Sélectionnez Leave all system apps enabled pour vous assurer que le profil Propriétaire de l’appareil peut accéder à toutes les applications.
    • Enrollment settings : uniquement pour les profils Administration de l’appareil. Cochez les cases en regard de Skip Setup Wizard ou Allow end user to cancel enrollment si vous souhaitez autoriser ces options.
    • Privacy Policy, EULAs and Terms of Service : cliquez sur ADD LEGAL AGREEMENT pour entrer un titre et un texte pour tout type de politique que vous souhaitez afficher lors de l’inscription.
    • Company Name : pour les profils Propriétaire de l’appareil uniquement. Tapez le nom de l’organisation à afficher lors de l’inscription.
    • Support contact details : sur les profils Administration de l’appareil, modifiez les informations suivantes affichées lors de l’inscription réussie :
      • Company Name
      • Company Address
      • Support Phone Number
      • Support Email Address . Vous pouvez également sélectionner Save as default support contact details pour utiliser les mêmes informations pour d’autres profils.
    • Associate a Knox license with this profile : sur les profils Administration de l’appareil, sélectionnez cette option pour transmettre la clé de licence Knox directement à l’appareil. Cela facilite la configuration du profil Knox. Image de la page Profil MDM
  5. Cliquez sur CREATE pour finaliser le profil.

Lorsqu’un appareil démarre l’inscription en bloc, il utilise les données du profil. Il télécharge d’abord Secure Hub à partir de l’adresse URL spécifiée, installe et démarre Secure Hub avec les données JSON personnalisées en tant que paramètre. Secure Hub dispose déjà de l’adresse de l’instance de Endpoint Management, donc Secure Hub n’affiche pas d’invite à ce sujet. L’inscription se produit automatiquement, car le fichier JSON fournit également des informations d’identification.

Pour plus d’informations sur la création de profils, consultez la documentation de Samsung à l’adresse https://docs.samsungknox.com/KME-Getting-Started/Content/create-profiles.htm.

Pour ajouter des appareils à l’aide d’un fichier .csv

Pour ajouter des appareils, chargez les ID d’appareils et associez-les à l’un des profils MDM créés précédemment. Téléchargez un fichier .csv. Les différentes manières de construire le fichier sont documentées sur le site Web Knox. Le moyen le plus simple consiste à entrer un IMEI par ligne, comme suit.

Remarque :

Vous pouvez également ajouter des appareils en les numérisant, comme décrit dans la section suivante.

  1. Sur le site Knox Mobile Enrollment, accédez à Devices > All Devices et cliquez sur Upload Devices.

  2. Sous CSV File Format, cliquez sur Download file template.

  3. Saisissez les informations dans les colonnes correspondantes du modèle :

    • Device info : IMEI, MEID ou numéro de série.
    • Other info : (facultatif) toute autre information que vous souhaitez inclure à propos de cet appareil.

    Remarque :

    Le modèle comprend les colonnes Username et Password. Si vous utilisez une ancienne version de Android Entreprise et que les appareils Samsung des utilisateurs exécutent des versions antérieures à Knox 3.0, les utilisateurs ne peuvent pas se connecter avec leur nom d’utilisateur et leur mot de passe dans Secure Hub. Par conséquent, vous pouvez laisser ces colonnes vides.

    Si vous utilisez Android Enterprise et que les appareils Samsung des utilisateurs exécutent Knox version 3.0 ou ultérieure, vous pouvez éventuellement entrer un nom d’utilisateur et un mot de passe. Le nom d’utilisateur et le mot de passe sont fournis aux utilisateurs lors de la configuration du mode Enterprise/MDM.

  4. Mettez en surbrillance toutes les cellules de la feuille de calcul.

  5. Cliquez avec le bouton droit sur les cellules en surbrillance et sélectionnez Format cells.

  6. Dans l’onglet Number, sous Category, cliquez sur Text, puis sur OK.

  7. Enregistrez la feuille de calcul en tant que fichier .csv.

Pour inscrire des appareils en utilisant un fichier .csv

  1. Cliquez sur l’onglet Devices.

  2. Cliquez sur Upload Devices.

    Écran Upload Devices

  3. Dans la boîte de dialogue Add Devices, cliquez sur Browse, sélectionnez votre fichier .csv et cliquez sur Upload.

  4. Saisissez vos informations d’achat. L’outil Knox Mobile Enrollment vérifie vos informations d’achat pour s’assurer que chaque appareil est inscrit dans la bonne entreprise.

  5. Sous Assign to Profile, sélectionnez le profil MDM que vous avez ajouté.

  6. Cliquez sur Submit.

La liste All Devices affiche l’état d’inscription et le profil de tous les appareils que vous avez tenté d’inscrire.

Les appareils doivent également être connectés en Wi-Fi, et les utilisateurs finaux doivent accepter de télécharger et d’installer Secure Hub afin que l’appareil soit bien inscrit dans l’entreprise.

Pour ajouter des appareils avec l’application de numérisation

  1. Téléchargez et installez l’application Knox Mobile Enrollment depuis Google Play.

  2. Entrez vos informations d’identification au portail Samsung et appuyez sur SIGN IN.

  3. Appuyez sur Scan Devices.

  4. Appuyez sur Scan new devices.

  5. Alignez le code-barres de votre appareil avec la ligne rouge pour effectuer la numérisation.

  6. Si la numérisation réussit, l’IMEI de l’appareil s’affiche. Touchez Save.

  7. Vos appareils numérisés sont affichés dans la file d’attente de numérisation. Touchez Upload.

Pour inscrire des appareils numérisés

  1. Connectez-vous à votre compte sur le portail Web Knox et cliquez sur Launch Mobile Enrollment.

  2. Appuyez sur Scanned pour afficher tous les appareils ajoutés.

  3. Sélectionnez les appareils que vous souhaitez inscrire et appuyez sur Submit selected. Pour soumettre tous les appareils numérisés, appuyez sur Submit all.

  4. Dans la page Submit scanned devices, saisissez vos détails d’achat (Purchase details) pour confirmer que vous êtes bien le propriétaire des appareils.

  5. Dans le menu déroulant Assign MDM profile, sélectionnez le profil sous lequel vous souhaitez que les appareils soient inscrits et cliquez sur Submit.

Vous recevez un e-mail de confirmation une fois que les informations de l’appareil ont été vérifiées.

Pour des raisons de sécurité, les appareils ne sont pas immédiatement inscrits auprès de ce compte d’inscription en bloc. Samsung doit d’abord vérifier que les appareils appartiennent à l’entité qui configure le compte d’inscription en bloc.

C’est la raison pour laquelle l’écran suivant demande l’identité du revendeur et les factures correspondantes.

Demande d'identification du revendeur

Important :

Pour des raisons juridiques, Samsung gère deux groupes de serveurs distincts : États-Unis et UE. Les appareils situés aux États-Unis doivent s’inscrire avec un compte Knox compte pour la région des États-Unis. Les appareils situés dans l’Union Européenne, ainsi que les appareils d’autres régions, à l’exception de la Chine qui n’est pas prise en charge, doivent s’inscrire avec un compte Knox pour la région UE.

Un appareil situé dans une région incorrecte est accepté dans le compte, mais l’inscription en bloc échoue sur l’appareil avec un message d’erreur obscur. Pour vérifier que le code de pays ou l’origine de l’appareil est un pays autre que les États-Unis, téléchargez l’application Phone Info de Samsung sur Google Play.

Expérience d’inscription pour les utilisateurs

Une fois la configuration précédente terminée, la première fois qu’un utilisateur démarre un appareil et se connecte à Internet en Wi-Fi, la séquence d’écrans suivante s’affiche. Le processus d’inscription démarre automatiquement et les utilisateurs doivent télécharger et installer Secure Hub, puis entrer des informations d’identification valides sur l’écran de Secure Hub pour terminer l’inscription.

Remarque :

L’inscription n’utilise pas de connexion cellulaire afin d’éviter à l’utilisateur de payer des coûts liés à l’utilisation du réseau.

Pour inscrire des appareils exécutant un API Knox antérieur à la version 2.4

Sur les appareils dotés de l’API Knox antérieure à la version 2.4, l’inscription en bloc ne fonctionne pas immédiatement. Par conséquent les utilisateurs doivent l’initier en se rendant sur un site Samsung pour télécharger le nouveau client Mobile Enrollment et démarrer l’inscription.

Le client d’inscription téléchargé utilise le même profil MDM et les mêmes APK que ceux configurés dans le portail Knox Bulk Enrollment pour les appareils Knox 2.4/2.4.1.

Les utilisateurs doivent généralement suivre ces étapes :

  1. Allumez l’appareil et connectez-vous au Wi-Fi. Si Mobile Enrollment ne démarre pas ou que le Wi-Fi n’est pas disponible, procédez comme suit :

    1. Allez à Inscription Samsung Knox Mobile.

    2. Appuyer sur le bouton Enroll pour inscrire des appareils avec des données mobiles.

  2. Lorsque l’invite Enroll with Knox s’affiche, touchez Continue.

  3. Prenez connaissance des EULA (le cas échéant). Touchez Next.

  4. Si vous y êtes invité, entrez l’ID utilisateur (User ID) et le mot de passe (Password) fournis par l’administrateur informatique.

À ce stade, les informations d’identification de l’utilisateur sont validées et son appareil est inscrit dans l’environnement informatique de votre entreprise.

Activation et désactivation de l’authentification biométrique pour les appareils Samsung

Endpoint Management vous permet désormais d’activer et de désactiver l’authentification biométrique (authentification par empreinte digitale et analyse de l’iris) sur les appareils Samsung sans nécessiter l’intervention des utilisateurs. Si vous désactivez l’authentification biométrique dans Endpoint Management, les utilisateurs et les applications tierces ne peuvent pas activer la fonctionnalité.

  1. Dans la console Endpoint Management, cliquez sur Configurer > Stratégies d’appareil. La page Stratégies d’appareil s’affiche.

  2. Cliquez sur Ajouter. La page Ajouter une nouvelle stratégie apparaît.

  3. Cliquez sur Code secret. La page d’informations Stratégie de code secret s’affiche.

  4. Dans la section Informations sur la stratégie, entrez les informations suivantes :

    • Nom de la stratégie : entrez un nom descriptif pour la stratégie.
    • Description : entrez une description pour la stratégie (facultatif).
  5. Cliquez sur Suivant. La page Plates-formes s’affiche.

  6. Sous Plates-formes, sélectionnez Android ou Samsung Knox.

  7. Définissez l’option Configurer l’authentification biométrique sur Activé.

  8. Si vous avez sélectionné Android, sous Samsung SAFE, sélectionnez Autoriser empreinte digitale ou Autoriser iris ou les deux.

    Option Configurer l'authentification biométrique