Samsung

Samsung propose plusieurs solutions compatibles avec Citrix Endpoint Management.

  • Endpoint Management prend en charge et étend les stratégies Knox et Samsung for Enterprise (SAFE) sur les appareils Samsung compatibles.
  • Knox inclut SE pour Android Management Service (SEAMS). SEAMS fournit un contrôle API du moteur de stratégie de sécurité Samsung.
  • Le plug-in Knox Service (KSP) dans une application prenant en charge un sous-ensemble de fonctionnalités Knox Platform for Enterprise.

Pour contrôler quand et comment les appareils Android se connectent au service Endpoint Management, utilisez Firebase Cloud Messaging (FCM). Pour plus d’informations, veuillez consulter la section Firebase Cloud Messaging.

Endpoint Management inscrit les appareils Android en mode MDM+MAM ou MDM, avec la possibilité pour les utilisateurs de s’enregistrer en mode MAM uniquement. Endpoint Management prend en charge les types d’authentification suivants pour les appareils Android en mode MDM+MAM. Pour plus d’informations, consultez les articles sous Certificats et authentification.

  • Domaine
  • Domaine et jeton de sécurité
  • Certificat client
  • Certificat client et domaine
  • Fournisseurs d’identité :
    • Azure Active Directory
    • Fournisseur d’identité Citrix

Une autre méthode d’authentification rarement utilisée est le certificat client et le jeton de sécurité. Pour plus d’informations, veuillez consulter la section https://support.citrix.com/article/CTX215200.

Un workflow général pour le démarrage de la gestion des appareils Android est le suivant :

  1. Effectuez le processus d’intégration. Voir Intégration et configuration des ressources et Préparation à l’inscription d’appareils et à la mise à disposition de ressources.

  2. Choisissez et configurez une méthode d’inscription. Veuillez consulter la section Méthodes d’inscription prises en charge.

  3. Déployer les clés de licence Samsung.

  4. Activer la certification Knox.

  5. Configurer les stratégies d’appareil Samsung.

  6. Configurez les actions de sécurité des appareils et des applications. Veuillez consulter la section Actions de sécurisation.

Pour connaître les systèmes d’exploitation pris en charge, reportez-vous à la section Systèmes d’exploitation d’appareils pris en charge.

Méthodes d’inscription prises en charge

Le tableau suivant indique les méthodes d’inscription prises en charge par Endpoint Management pour les appareils Android :

Méthode Prise en charge
Inscription en bloc Oui (Knox)
Inscription manuelle Oui
Invitations d’inscription Oui

Vous pouvez utiliser Knox Mobile Enrollment pour inscrire plusieurs appareils Knox dans Endpoint Management (ou toute solution de gestion de la flotte mobile) sans avoir à configurer manuellement chaque appareil. Pour plus d’informations, veuillez consulter la section Inscription en bloc Knox.

Pour de plus amples informations sur l’inscription d’appareils, consultez la section Inscrire des appareils Android.

Déployer les clés de licence Samsung

Samsung propose des clés ELM et des clés KLM. Les licences Samsung doivent être achetées auprès de Samsung.

  • Knox : la plate-forme Knox nécessite l’achat d’une licence Knox Workspace. Pour activer les API Knox et déployer les stratégies et restrictions Knox sur les appareils, configurez d’abord la stratégie d’appareil Endpoint Management, Clé de licence MDM Samsung. Pour activer Knox, vous devez envoyer (push) au moins une stratégie Restriction spécifiquement pour Knox avec les clés ELM et KLMS.

    Pour les stratégies HTC, Endpoint Management prend en charge HTC API version 0.5.0. Pour les stratégies spécifiques aux appareils Sony, Endpoint Management prend en charge Sony Enterprise SDK 2.0.

  • SAFE : déployez la clé ELM intégrée de Samsung sur un appareil avant de déployer les stratégies et restrictions SAFE. Pour déployer cette clé, configurez la stratégie d’appareil Endpoint Management, Clé de licence MDM Samsung.

Service E-FOTA (Firmware Over-The-Air) Samsung Enterprise

Endpoint Management prend également en charge le service E-FOTA (Firmware Over-The-Air) Samsung Enterprise. Samsung E-FOTA vous permet de déterminer quand les appareils sont mis à jour, de déterminer la version du firmware à utiliser et de tester les mises à jour avant de les déployer. Pour plus d’informations, veuillez consulter la section Configurer les paramètres pour Samsung E-FOTA.

Activer la certification Knox

Vous pouvez configurer Endpoint Management pour interroger les API REST du serveur d’attestation Knox.

Knox applique des capacités de sécurité du matériel qui fournissent différents niveaux de protection pour le système d’exploitation et les applications. L’un des niveaux de cette sécurité réside sur la plate-forme via l’attestation. Un serveur d’attestation permet de vérifier les logiciels du système de base de l’appareil mobile (par exemple, les chargeurs de démarrage et le noyau). La vérification s’effectue au moment de l’exécution en fonction des données collectées au cours du démarrage sécurisé.

  1. Dans la console web Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Cliquez sur Samsung Knox.

    Image de la page Knox

  3. Définissez Activer la certification Samsung Knox sur Oui pour activer cette certification. La valeur par défaut est Non.

  4. Dans la liste URL du service Web, effectuez l’une des opérations suivantes :

    • Cliquez sur le serveur d’attestation approprié.

    • Cliquez sur Ajouter et entrez l’URL du service Web.

  5. Cliquez sur Tester la connexion pour vérifier la connexion. Un message de réussite ou d’échec s’affiche.

  6. Cliquez sur Enregistrer.

Configurer les stratégies d’appareil Samsung

Stratégies pour appareils Knox :

     
Restrictions applicatives Désinstallation des applications Navigateur
Copier les applications sur le conteneur Samsung Exchange Clé de Knox Platform for Enterprise
Code secret Restrictions Clé de licence MDM Samsung
VPN    

Stratégies pour appareils Samsung SAFE :

     
Restrictions de désinstallation d’applications Navigateur Exchange
Pare-feu Kiosque Knox Platform for Enterprise
Mise à jour d’OS Restrictions Clé de licence MDM Samsung
Chiffrement du stockage VPN  

Stratégies d’appareil pour Samsung SEAMS :

     
Copier les applications sur le conteneur Samsung    

Actions de sécurisation

Android prend en charge les actions de sécurisation suivantes. Pour obtenir une description de chaque action de sécurité, reportez-vous à la sectionActions de sécurisation.

     
Mode kiosque Effacement des applications Renouvellement de certificat
Effacement complet Localiser Verrouiller
Verrouiller et réinitialiser un mot de passe Notifier Révoquer
Effacer les données d’entreprise    

Remarque :

Pour les appareils exécutant Android 6.0 ou version ultérieure, la fonction Localiser requiert que l’utilisateur donne accès à la localisation lors de l’inscription. L’utilisateur peut choisir de ne pas accorder les autorisations de localisation. Si l’utilisateur n’accorde pas l’autorisation lors de l’inscription, Endpoint Management demande à nouveau les autorisations de localisation lors de l’envoi de la commande Localiser.

Ajouter l’application de plug-in de service Knox

Si vous envisagez d’utiliser Android Enterprise avec Knox, ajoutez le plug-in de service Knox (KSP) à Endpoint Management. L’application KSP utilise AndroidOemConfig pour prendre en charge des fonctionnalités telles que des stratégies de sécurité, une configuration VPN flexible et des contrôles d’authentification biométrique. AndroidOemConfig permet aux OEM et aux gestionnaires de mobilité de terminaux (EMM) de prendre en charge les API OEM personnalisées qui couvrent les cas d’utilisation non pris en charge par Android Enterprise. Pour plus d’informations sur KSP, reportez-vous à Documentation Samsung.

  1. Connectez-vous à votre compte Google et accédez à https://play.google.com/work/apps/details?id=com.samsung.android.knox.kpu. Approuvez l’application.
  2. Connectez-vous à votre console Endpoint Management et ajoutez le plug-in du service Knox en tant qu’application de magasin d’applications public. Pour plus d’informations sur l’ajout d’applications de magasin d’applications public, reportez-vous à Ajouter une application d’un magasin d’applications public. Image de l'application KSP
  3. Dans la console Endpoint Management, accédez à Configurer > Stratégies d’appareil. Cliquez sur Ajouter.
  4. Cliquez sur Configurations gérées par Android Entreprise. Dans la boîte de dialogue qui apparaît, sélectionnez Knox Service Plugin dans le menu. Pour plus d’informations sur la stratégie de configuration gérée par Android Enterprise, reportez-vous à Stratégie Configurations gérées par Android Entreprise.
  5. Tapez un nom pour la stratégie, puis passez à la page de la plate-forme. Image de la stratégie de plug-in de service Knox de configurations gérées par Android Enterprise
  6. Sur la page de la plate-forme, tapez un nom de profil pour votre profil Knox et saisissez la clé de licence KPE Premium de Samsung. Les stratégies qui apparaissent sous ces champs proviennent de votre déploiement Knox. Pour plus d’informations sur les stratégies Knox, reportez-vous à https://docs.samsungknox.com/knox-platform-for-enterprise/admin-guide/about-knox-workspace.htm. Image des sélecteurs de stratégie
  7. Cliquez sur Suivant et configurez les règles de déploiement pour la stratégie.
  8. Cliquez sur Enregistrer.