Inscription en bloc Samsung Knox

Pour inscrire plusieurs appareils Samsung Knox dans Endpoint Management (ou tout autre gestionnaire d’appareil mobile) sans avoir à configurer manuellement chaque appareil, utilisez Knox Mobile Enrollment. L’inscription se produit lors de la première utilisation ou après réinitialisation des paramètres d’usine. Les administrateurs peuvent également transmettre des noms d’utilisateur et des mots de passe directement à l’appareil, de sorte que les utilisateurs n’ont pas besoin de saisir d’informations lors de leur inscription.

Remarque :

L’installation de Knox Mobile Enrollment n’est pas liée au conteneur Endpoint Management Knox. Pour plus d’informations sur Knox Mobile Enrollment, consultez la page Guide d’administration de Knox Mobile Enrollment.

Conditions préalables pour Knox Mobile Enrollment

  • Endpoint Management doit être configuré (y compris les licences et les certificats) et exécuté.
  • Fichier APK Secure Hub. Vous le chargez lors de la configuration de Knox Mobile Enrollment.
  • Pour obtenir la liste des exigences KME, consultez l’introduction à Knox Mobile Enrollment.

Pour télécharger le fichier APK Secure Hub

  1. Connectez-vous au site de téléchargement de Citrix et accédez aux Téléchargements de Citrix Endpoint Management.

  2. Accédez aux applications de productivité mobiles et à MDX Toolkit et choisissez votre édition.

  3. Téléchargez le fichier Citrix Secure Hub for Android

Configurer des exceptions de pare-feu

Pour accéder à Knox Mobile Enrollment, configurez les exceptions de pare-feu suivantes. Certaines de ces exceptions de pare-feu sont requises pour tous les appareils et certaines sont spécifiques à l’emplacement géographique de l’appareil.

Région de l’appareil URL Port Destination
Toutes https://gslb.secb2b.com 443 Équilibrage de charge global pour initier Knox Mobile Enrollment
Toutes https://gslb.secb2b.com 80 Équilibrage de charge global pour initier Knox Mobile Enrollment sur certains appareils limités d’ancienne génération
Toutes umc-cdn.secb2b.com 443 Serveurs de mise à jour de l’agent Samsung
Toutes bulkenrollment.s3.amazonaws.com 80 EULA des clients Knox Mobile Enrollment
Toutes eula.secb2b.com 443 EULA des clients Knox Mobile Enrollment
Toutes us-be-api-mssl.samsungknox.com 443 Serveurs Samsung pour vérification du numéro IMEI
États-Unis https://us-segd-api.secb2b.com 443 Samsung Enterprise Gateway pour les États-Unis
Europe https://eu-segd-api.secb2b.com 443 Samsung Enterprise Gateway pour l’Europe
Chine https://china-segd-api.secb2b.com 443 Samsung Enterprise Gateway pour la Chine

Remarque :

Vous trouverez une liste complète des exceptions de pare-feu sur la page Guide d’administration de Knox Mobile Enrollment.

Pour accéder à Knox Mobile Enrollment

Consultez la documentation Samsung pour accéder à Knox Mobile Enrollment à partir de la page Prise en main de KME.

Configuration de Knox Mobile Enrollment

Une fois que vous avez accès à Knox Mobile Enrollment, connectez-vous au portail Knox.

Le processus d’inscription suit ces étapes générales.

  1. Créez un profil MDM avec les informations et paramètres de votre console MDM.

    Le profil MDM indique à vos appareils comment se connecter à votre MDM.

  2. Ajoutez des appareils à votre profil MDM.

    Vous pouvez soit télécharger un fichier CSV avec des informations sur l’appareil, soit installer et utiliser l’application de déploiement Knox à partir de Google Play.

  3. Samsung vous informe une fois que le propriétaire de l’appareil a été vérifié.

  4. Donnez aux utilisateurs les informations d’identification de connexion au MDM. Demandez aux utilisateurs de se connecter à Internet en Wi-Fi et d’accepter l’invite pour inscrire les appareils.

Pour créer un profil MDM

Suivez les étapes décrites dans la documentation Samsung à partir de la page Configuration du profil.

Lorsque vous rencontrez les champs suivants, configurez-les comme décrit ci-dessous :

  • Pick your MDM : sélectionnez Citrix dans le menu. Uniquement pour les profils Propriétaire de l’appareil.
  • MDM Agent APK : uniquement pour les profils Propriétaire de l’appareil. Tapez l’adresse URL de téléchargement du fichier APK Secure Hub. Par exemple :

    https://example.com/zdm/securehub.apk

    https://pmdm.mycorp-inc.net/zdm/securehub.apk

    Le fichier APK peut résider sur n’importe quel serveur auquel les appareils peuvent accéder au cours de l’inscription. Au cours de l’inscription, un appareil télécharge Secure Hub à partir de cette adresse URL, installe Secure Hub, puis ouvre Secure Hub avec les données JSON personnalisées décrites ci-après.

    La casse du nom de fichier .apk doit correspondre à l’adresse URL que vous entrez. Par exemple, si le nom de fichier est en minuscules, il doit également être en minuscules dans l’URL.

  • MDM Server URI : ne spécifiez pas l’URI d’un serveur MDM. Endpoint Management n’utilise pas le protocole Samsung MDM.
  • Custom JSON Data : entrez l’adresse de Endpoint Management Server, le nom d’utilisateur et l’adresse au format : {"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}

    Exemples :

    {"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"james.cork", "xm_password":"aDin20_1fa"}

    Vous pouvez également entrer des données JSON personnalisées pour l’inscription zero-touch Android Enterprise.

         {
             "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
             {
                 "serverURL":"URL","xm_username":"username","xm_password":"password"
             }
         }
    

Lorsqu’un appareil démarre l’inscription en bloc, il utilise les données du profil. Il télécharge d’abord Secure Hub à partir de l’adresse URL spécifiée, installe et démarre Secure Hub avec les données JSON personnalisées en tant que paramètre. Secure Hub dispose déjà de l’adresse de l’instance de Endpoint Management, donc Secure Hub n’affiche pas d’invite à ce sujet. L’inscription se produit automatiquement, car le fichier JSON fournit également des informations d’identification.

Configuration supplémentaire

Consultez les pages de documentation Samsung suivantes pour plus d’informations sur la configuration :

Pour inscrire des appareils exécutant un API Knox antérieur à la version 2.4

Sur les appareils dotés de l’API Knox antérieure à la version 2.4, l’inscription en bloc ne fonctionne pas immédiatement. Par conséquent les utilisateurs doivent l’initier en se rendant sur un site Samsung pour télécharger le nouveau client Mobile Enrollment et démarrer l’inscription.

Le client d’inscription téléchargé utilise le même profil MDM et les mêmes APK que ceux configurés dans le portail Knox Bulk Enrollment pour les appareils Knox 2.4/2.4.1.

Les utilisateurs doivent généralement suivre ces étapes :

  1. Allumez l’appareil et connectez-vous au Wi-Fi. Si Mobile Enrollment ne démarre pas ou que le Wi-Fi n’est pas disponible, procédez comme suit :

    1. Allez à Samsung Knox Mobile Enrollment.

    2. Touchez le bouton Next pour inscrire des appareils avec des données mobiles.

  2. Lorsque l’invite Enroll with Knox s’affiche, touchez Continue.

  3. Prenez connaissance des EULA (le cas échéant). Touchez Next.

  4. Si vous y êtes invité, entrez l’ID utilisateur (User ID) et le mot de passe (Password) fournis par l’administrateur informatique.

À ce stade, les informations d’identification de l’utilisateur sont validées et son appareil est inscrit dans l’environnement informatique de votre entreprise.

Activation et désactivation de l’authentification biométrique pour les appareils Samsung

Endpoint Management vous permet désormais d’activer et de désactiver l’authentification biométrique (authentification par empreinte digitale et analyse de l’iris) sur les appareils Samsung sans nécessiter l’intervention des utilisateurs. Si vous désactivez l’authentification biométrique dans Endpoint Management, les utilisateurs et les applications tierces ne peuvent pas activer la fonctionnalité.

  1. Dans la console Endpoint Management, cliquez sur Configurer > Stratégies d’appareil. La page Stratégies d’appareil s’affiche.

  2. Cliquez sur Ajouter. La page Ajouter une nouvelle stratégie apparaît.

  3. Cliquez sur Code secret. La page d’informations Stratégie de code secret s’affiche.

  4. Dans la section Informations sur la stratégie, entrez les informations suivantes :

    • Nom de la stratégie : entrez un nom descriptif pour la stratégie.
    • Description : entrez une description pour la stratégie (facultatif).
  5. Cliquez sur Suivant. La page Plates-formes s’affiche.

  6. Sous Plates-formes, sélectionnez Android ou Samsung Knox.

  7. Définissez l’option Configurer l’authentification biométrique sur Activé.

  8. Si vous avez sélectionné Android, sous Samsung SAFE, sélectionnez Autoriser empreinte digitale ou Autoriser iris ou les deux.

    Option Configurer l'authentification biométrique