Samsung KNOX, SEAMS et SAFE

Endpoint Management prend en charge et étend les stratégies Samsung KNOX et Samsung for Enterprise (SAFE) sur les appareils Samsung compatibles. Samsung KNOX inclut SE pour Android Management Service (SEAMS). SEAMS fournit un contrôle API du moteur de stratégie de sécurité Samsung.

Pour contrôler quand et comment les appareils Android se connectent au service Endpoint Management, utilisez Firebase Cloud Messaging (FCM). Pour plus d’informations, voir Firebase Cloud Messaging.

Endpoint Management inscrit les appareils Android en mode MDM+MAM ou MDM, avec la possibilité pour les utilisateurs de s’enregistrer en mode MAM uniquement. Endpoint Management prend en charge les types d’authentification suivants pour les appareils Android en mode MDM+MAM. Pour de plus amples informations, consultez la section Certificats et authentification.

  • Domaine
  • Domaine et jeton de sécurité
  • Certificat client
  • Certificat client et domaine
  • Fournisseurs d’identité :
    • Azure Active Directory
    • Fournisseur d’identité Citrix

Une autre méthode d’authentification rarement utilisée est le certificat client et le jeton de sécurité. Pour plus d’informations, veuillez consulter la section https://support.citrix.com/article/CTX215200.

Un workflow général pour le démarrage de la gestion des appareils Android est le suivant :

  1. Effectuez le processus d’intégration. Consultez les sections Intégration et configuration des ressources et Préparation à l’inscription d’appareils et à la mise à disposition de ressources.

  2. Choisissez et configurez une méthode d’inscription. Consultez la section Méthodes d’inscription prises en charge.

  3. Déployez les clés de licence Samsung.

  4. Activez la certification Samsung KNOX.

  5. Configurez les stratégies d’appareil Samsung.

  6. Configurez les actions de sécurité des appareils et des applications. Consultez la section Actions de sécurisation.

Pour obtenir une liste des appareils Android pris en charge, consultez la section Systèmes d’exploitation d’appareils pris en charge.

Méthodes d’inscription prises en charge

Le tableau suivant indique les méthodes d’inscription prises en charge par Endpoint Management pour les appareils Android :

Méthode Prise en charge
Inscription en bloc Oui (KNOX)
Inscription manuelle Oui
Invitations d’inscription Oui

Vous pouvez utiliser Samsung KNOX Mobile Enrollment pour inscrire plusieurs appareils Samsung KNOX dans Endpoint Management (ou toute solution de gestion de la flotte mobile) sans avoir à configurer manuellement chaque appareil. Pour de plus amples informations, consultez la section Inscription en bloc Samsung KNOX.

Pour de plus amples informations sur l’inscription d’appareils, consultez la section Inscription d’appareils Android.

Déployer les clés de licence Samsung

Samsung propose des clés ELM et des clés KLM. Les licences Samsung doivent être achetées auprès de Samsung.

  • KNOX : la plate-forme KNOX nécessite l’achat d’une licence Samsung KNOX Workspace. Pour activer les API KNOX et déployer les stratégies et restrictions KNOX sur les appareils, configurez d’abord la stratégie d’appareil Endpoint Management, Clé de licence MDM Samsung. Pour activer KNOX, vous devez envoyer (push) au moins une stratégie Restriction spécifiquement pour KNOX avec les clés ELM et KLMS.

    Pour les stratégies HTC, Endpoint Management prend en charge HTC API version 0.5.0. Pour les stratégies spécifiques aux appareils Sony, Endpoint Management prend en charge Sony Enterprise SDK 2.0.

  • SAFE : déployez la clé ELM intégrée de Samsung sur un appareil avant de déployer les stratégies et restrictions SAFE. Pour déployer cette clé, configurez la stratégie d’appareil Endpoint Management, Clé de licence MDM Samsung.

Service E-FOTA (Firmware Over-The-Air) Samsung Enterprise

Endpoint Management prend également en charge le service E-FOTA (Firmware Over-The-Air) Samsung Enterprise. Samsung E-FOTA vous permet de déterminer quand les appareils sont mis à jour, de déterminer la version du firmware à utiliser et de tester les mises à jour avant de les déployer. Pour plus d’informations, consultez Configurer les paramètres pour Samsung E-FOTA.

Activer la certification Samsung KNOX

Vous pouvez configurer Endpoint Management pour interroger les API REST du serveur d’attestation Samsung KNOX.

Samsung KNOX applique des capacités de sécurité du matériel qui fournissent différents niveaux de protection pour le système d’exploitation et les applications. L’un des niveaux de cette sécurité réside sur la plate-forme via l’attestation. Un serveur d’attestation permet de vérifier les logiciels du système de base de l’appareil mobile (par exemple, les chargeurs de démarrage et le noyau). La vérification s’effectue au moment de l’exécution en fonction des données collectées au cours du démarrage sécurisé.

  1. Dans la console web Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Cliquez sur Samsung KNOX.

    Page Samsung KNOX

  3. Définissez Activer la certification Samsung KNOX sur Oui pour activer cette certification. La valeur par défaut est Non.

  4. Dans la liste URL du service Web, effectuez l’une des opérations suivantes :

    • Cliquez sur le serveur d’attestation approprié.

    • Cliquez sur Ajouter et entrez l’URL du service Web.

  5. Cliquez sur Tester la connexion pour vérifier la connexion. Un message de réussite ou d’échec s’affiche.

  6. Cliquez sur Enregistrer.

Configurer les stratégies d’appareil Samsung

Stratégies pour appareils Samsung KNOX :

     
Restrictions applicatives Désinstallation des applications Navigateur
Copier les applications sur le conteneur Samsung Exchange Code secret
Restrictions Clé de licence MDM Samsung VPN

Stratégies pour appareils Samsung SAFE :

     
Restrictions applicatives Restrictions de désinstallation d’applications Navigateur
Pare-feu Kiosque Mise à jour d’OS
Restrictions Clé de licence MDM Samsung Chiffrement du stockage
VPN    

Stratégies d’appareil pour Samsung SEAMS :

     
Copier les applications sur le conteneur Samsung    

Actions de sécurisation

Android prend en charge les actions de sécurisation suivantes. Pour obtenir une description de chaque action, consultez la section Actions de sécurisation.

     
Mode kiosque Effacement des applications Renouvellement de certificat
Effacement complet Localiser Verrouiller
Verrouiller et réinitialiser un mot de passe Notifier Révoquer
Effacer les données d’entreprise    

Remarque :

Pour les appareils exécutant Android 6.0 ou version ultérieure, la fonction Localiser requiert que l’utilisateur donne accès à la localisation lors de l’inscription. L’utilisateur peut choisir de ne pas accorder l’autorisation de localisation. Si l’utilisateur n’accorde pas l’autorisation lors de l’inscription, Endpoint Management demande à nouveau l’autorisation de localisation lors de l’envoi de la commande Localiser.