Stratégie Configurations gérées
La stratégie Configurations gérées contrôle de nombreuses options de configuration et de restriction d’applications. Vous créez cette stratégie pour chaque application Android Enterprise que vous souhaitez contrôler.
Le développeur de l’application définit les options disponibles pour une application et les info-bulles. Si une info-bulle mentionne l’utilisation d’une « valeur basée sur un modèle », utilisez plutôt la macro Endpoint Management correspondante. Pour plus d’informations, consultez la page Remote configuration overview (sur le site développeur Android) et la section Macros.
Les paramètres de configuration de l’application peuvent inclure des éléments tels que :
- Paramètres de l’application de messagerie
- Autoriser ou bloquer les URL d’un navigateur Web
- Possibilité de contrôler la synchronisation du contenu de l’application via une connexion cellulaire ou uniquement via une connexion Wi-Fi
Pour plus d’informations sur les paramètres qui apparaissent pour vos applications, contactez le développeur de l’application.
Conditions préalables
- Terminez les tâches de configuration d’Android Entreprise sur Google et connectez Android Entreprise à Google Play d’entreprise. Pour plus d’informations, consultez la section Android Enterprise.
- Ajoutez des applications Android Enterprise à Endpoint Management. Pour plus d’informations, consultez la section Ajout d’applications à Endpoint Management.
Pour ajouter ou configurer cette stratégie, accédez à Configurer > Stratégies d’appareil. Pour de plus amples informations, consultez la section Stratégies d’appareil.
Configuration requise pour les réseaux Per App VPN
Pour créer une stratégie Per App VPN pour AE, vous devez effectuer des étapes supplémentaires, en plus de configurer la stratégie de configurations gérées. En outre, vous devez vérifier que les conditions préalables suivantes sont remplies :
- Passerelle Citrix Gateway locale
- Les applications suivantes sont installées sur l’appareil :
- Citrix SSO
- Citrix Secure Hub
Voici un workflow général pour configurer une stratégie Per App VPN pour les appareils AE :
-
Configurez un profil VPN comme décrit dans cet article.
-
Configurez Citrix ADC pour accepter le trafic provenant du réseau Per App VPN. Pour de plus amples informations, consultez la section Full VPN setup on Citrix Gateway.
Limitations
Les limitations suivantes s’appliquent aux per-app VPN sur les appareils Android 11 ou versions ultérieures exécutant Android Enterprise en raison des restrictions de visibilité des packages introduites dans Android 11 :
-
Si une application figurant sur la liste Autoriser/refuser est déployée sur un appareil après le démarrage de la session VPN, l’utilisateur doit redémarrer la session VPN. L’application peut ensuite router le trafic via la session VPN.
-
Si un per-app VPN est utilisé avec une session VPN Always On : après avoir installé une nouvelle application sur l’appareil, l’utilisateur doit redémarrer son profil professionnel ou redémarrer l’appareil. L’application peut ensuite router le trafic via la session VPN.
Paramètres Android Enterprise
Après avoir choisi d’ajouter une stratégie Configurations gérées, une invite permettant de sélectionner une application s’affiche. Si aucune application Android Enterprise n’a été ajoutée à Endpoint Management, vous ne pouvez pas continuer.
Après avoir sélectionné une application, configurez les paramètres de la stratégie. Les paramètres sont spécifiques à chaque application.
Configurer les profils VPN pour Android Enterprise
Rendez les profils VPN disponibles pour les appareils Android Enterprise à l’aide de l’application Citrix SSO avec la stratégie de configurations gérées.
Commencez par ajouter Citrix SSO à la console Endpoint Management en tant qu’application du magasin Google Play. Consultez la section Ajouter une application de magasin public.
Regardez cette vidéo pour en savoir plus :
Créer une configuration gérée par Android Enterprise pour Citrix SSO
Configurez la stratégie Configurations gérées afin de créer des profils VPN. Les appareils sur lesquels l’application Citrix SSO est installée et la stratégie déployée peuvent accéder aux profils VPN que vous créez.
Endpoint Management utilise le certificat utilisateur dans le magasin de clés de l’appareil si :
- Citrix Gateway est configuré pour l’authentification par certificat.
- L’option Délivrer un certificat utilisateur pour l’authentification est activée dans la page Endpoint Management Paramètres > Citrix Gateway.
Vous avez besoin du nom de domaine complet et du port Citrix Gateway.
-
Dans la console Endpoint Management, cliquez sur Configurer > Stratégies d’appareil. Cliquez sur Ajouter.
-
Sélectionnez Android Enterprise. Cliquez sur Configurations gérées.
-
Lorsque la fenêtre Sélectionner un ID d’application s’affiche, choisissez Citrix SSO dans la liste et cliquez sur OK.
-
Saisissez un nom et une description pour votre configuration VPN Citrix SSO. Cliquez sur Next.
-
Configurez les paramètres de profil VPN.
-
Nom du profil VPN : saisissez un nom pour le profil VPN. Si vous créez plusieurs profils VPN, utilisez un nom unique pour chaque profil. Si vous ne fournissez pas de nom, l’adresse que vous avez spécifiée dans le champ Adresse du serveur est utilisée comme nom de profil VPN.
-
Adresse du serveur (*) : saisissez votre nom de domaine complet Citrix Gateway. Si le port Citrix Gateway n’est pas 443, saisissez également le port. Utilisez le format URL. Par exemple,
https://gateway.mycompany.com:8443
. -
Nom d’utilisateur (facultatif) : indiquez le nom d’utilisateur que les utilisateurs utilisent pour s’authentifier auprès de Citrix Gateway. Vous pouvez utiliser la macro Endpoint Management {user.username} pour ce champ. (Consultez Macros.) Si vous ne fournissez pas de nom d’utilisateur, les utilisateurs sont invités à fournir un nom d’utilisateur lors de la connexion à Citrix Gateway.
-
Mot de passe (facultatif) : indiquez le mot de passe que les utilisateurs utilisent pour s’authentifier auprès de Citrix Gateway. Si vous ne fournissez pas de mot de passe, les utilisateurs sont invités à fournir un mot de passe lors de la connexion à Citrix Gateway.
-
Alias de certificat (facultatif) : saisissez un alias de certificat. L’alias de certificat permet à l’application d’accéder plus facilement au certificat. Lorsque le même alias de certificat est utilisé avec la stratégie d’informations d’identification, l’application récupère le certificat et authentifie le VPN sans aucune action des utilisateurs.
-
Type de VPN par application (facultatif) : si vous utilisez un VPN par application pour restreindre les applications qui utilisent ce VPN, vous pouvez configurer ce paramètre. Si vous sélectionnez Autoriser, le trafic réseau pour les noms de packages d’applications répertoriés dans la liste des applications Per App VPN est acheminé via le VPN. Le trafic réseau de toutes les autres applications est acheminé en dehors du VPN. Si vous sélectionnez Désactiver, le trafic réseau pour les noms de packages d’applications répertoriés dans la liste des applications Per App VPN est acheminé en dehors du VPN. Le trafic réseau de toutes les autres applications est acheminé via le VPN. La valeur par défaut est Autoriser.
-
Liste des applications Per App VPN : liste des applications dont le trafic est autorisé ou bloqué sur le VPN en fonction de la valeur définie pour Type de VPN par application. Répertoriez les noms de packages d’applications en les séparant par des virgules ou des points-virgules. Les noms de packages d’applications sont sensibles à la casse et doivent apparaître sur cette liste tels qu’ils figurent dans Google Play Store. Cette liste est facultative. Gardez cette liste vide pour le provisioning de VPN à l’échelle de l’appareil.
-
Profil VPN par défaut : saisissez le nom du profil VPN à utiliser lorsque les utilisateurs touchent le bouton de connexion dans l’application Citrix SSO au lieu d’un profil spécifique. Si ce champ est vide, le profil principal est utilisé pour la connexion. Si un seul profil est configuré, il est marqué comme profil par défaut. Pour un VPN Always On, ce champ doit être défini sur le nom du profil VPN à utiliser pour établir un VPN Always On.
-
Désactiver les profils utilisateur : si ce paramètre est activé, les utilisateurs ne peuvent pas créer leurs propres VPN sur leurs appareils. Si ce paramètre est désactivé, les utilisateurs peuvent créer leurs propres VPN sur leurs appareils. La valeur par défaut est Désactivé.
-
Bloquer les serveurs non approuvés : ce paramètre est désactivé dans l’un des scénarios suivants :
- Lorsque vous utilisez un certificat auto-signé pour Citrix Gateway
- Lorsque le certificat racine de l’autorité de certification qui émet le certificat Citrix Gateway ne figure pas dans la liste d’autorité de certification système
Si ce paramètre est activé, le système d’exploitation Android valide le certificat Citrix Gateway. Si la validation échoue, la connexion n’est pas autorisée. La valeur par défaut est Activé.
-
-
Vous pouvez également créer des paramètres personnalisés. Les paramètres personnalisés XenMobileDeviceId et UserAgent sont pris en charge. Sélectionnez la configuration VPN actuelle et cliquez sur Ajouter.
-
Créer un paramètre personnalisé :
-
Nom du paramètre : saisissez XenMobileDeviceId. Il s’agit de l’ID d’appareil à utiliser pour la vérification d’accès au réseau en fonction de l’inscription de l’appareil dans Endpoint Management. Si Endpoint Management s’inscrit et gère l’appareil, la connexion VPN est autorisée. Sinon, l’authentification est refusée au moment de l’établissement du VPN.
-
Valeur du paramètre : pour que Endpoint Management détermine l’état d’inscription et de gestion des appareils, la valeur de XenMobileDeviceId est définie sur
DeviceID_${device.id}
.
-
-
Pour créer un autre paramètre personnalisé, cliquez à nouveau sur Ajouter. Créez ce paramètre personnalisé.
-
Nom du paramètre : saisissez UserAgent. Ce texte a été ajouté à l’en-tête HTTP de l’agent utilisateur pour effectuer une vérification supplémentaire sur Citrix Gateway. La valeur de ce texte est ajoutée à l’en-tête HTTP de l’agent utilisateur par l’application Citrix SSO lors de la communication avec Citrix Gateway.
-
Valeur du paramètre : saisissez le texte à ajouter à l’en-tête HTTP de l’agent utilisateur. Ce texte doit être conforme aux spécifications HTTP de l’agent utilisateur.
-
-
-
Vous pouvez également créer des configurations de profil VPN supplémentaires. Cliquez sur Ajouter dans la liste des configurations. Une nouvelle configuration apparaît dans la liste. Sélectionnez la nouvelle configuration et répétez l’étape 5 et, éventuellement, l’étape 6.
-
Lorsque vous avez créé tous les profils VPN de votre choix, cliquez sur Suivant.
-
Configurez les règles de déploiement associées à cette configuration gérée pour Citrix SSO.
-
Cliquez sur Enregistrer.
Cette configuration gérée pour Citrix SSO apparaît désormais dans la liste des stratégies d’appareil configurées.
Pour activer Always On pour les profils VPN que vous avez configurés, définissez la stratégie Options de Endpoint Management.
Remarque :
Citrix Secure Hub 19.5.5 ou supérieur est requis pour VPN Always-On pour Android Entreprise.
Accéder aux profils VPN à partir de l’appareil
Pour accéder aux profils VPN que vous avez créés, les utilisateurs Android Enterprise installent Citrix SSO à partir de Google Play Store.
Le ou les profils VPN que vous avez configurés apparaissent dans la zone Connexions gérées de l’application. Les utilisateurs touchent le profil VPN pour se connecter à l’aide de ce profil.
Une fois les utilisateurs authentifiés et connectés, une coche apparaît en regard du profil VPN. L’icône de clé indique que le VPN est connecté.
Gérer les appareils Zebra Android à l’aide de Zebra OEMConfig
Gérez les appareils Zebra Android à l’aide de l’outil d’administration OEMConfig de Zebra Technologies. Pour plus d’informations sur l’application Zebra OEMConfig, consultez le site Web Zebra Technologies.
Endpoint Management prend en charge Zebra OEMConfig version 9.2 et supérieure. Pour plus d’informations sur la configuration système requise pour installer Zebra OEMConfig sur les appareils, consultez Configuration d’OEMConfig sur le site Web de Zebra Technologies.
Nous prenons actuellement en charge les appareils Zebra suivants :
-
EC50, EC55, ET56
-
TC52x, TC52x-HC
-
TC52ax, TC52ax-HC
-
TC57x
Pour démarrer : dans la console Endpoint Management, ajoutez l’application Zebra OEMConfig en tant qu’application Google Play Store. Voir Ajouter une application de magasin public.
Créer une configuration gérée par Android Enterprise pour l’application Zebra OEMConfig
Configurez la stratégie Configurations gérées pour l’application Zebra OEMConfig. La stratégie s’applique aux appareils Zebra sur lesquels l’application Zebra OEMConfig est installée et la stratégie est déployée.
-
Dans la console Endpoint Management, cliquez sur Configurer > Stratégies d’appareil. Cliquez sur Ajouter.
-
Sélectionnez Android Enterprise. Cliquez sur Configurations gérées.
-
Lorsque la fenêtre Sélectionner l’ID d’application apparaît, choisissez ZebraOEMConfig powered by MX dans la liste et cliquez sur OK .
-
Saisissez un nom et une description pour votre configuration Zebra OEMConfig. Cliquez sur Next.
-
Saisissez un nom pour la configuration de Zebra OEMConfig.
-
Configurez les paramètres disponibles. Par exemple :
- Pour désactiver l’appareil photo situé à l’avant de l’appareil, sélectionnez Camera Configuration et définissez Use of Front Camera sur Off.
- Pour modifier le format de l’heure des appareils, sélectionnez Clock Configuration et définissez Time Format sur 12 (12 heures) ou 24 (24 heures).
Pour obtenir une liste et une description de toutes les configurations disponibles, consultez Zebra Managed Configurations sur le site Web de Zebra Technologies.
-
Vous pouvez également créer des configurations Zebra OEMConfig supplémentaires. Cliquez sur Ajouter dans la liste des configurations. Une nouvelle configuration apparaît dans la liste. Sélectionnez la nouvelle configuration et configurez les paramètres.
-
Lorsque vous avez créé toutes les configurations Zebra OEMConfig souhaitées, cliquez sur Suivant.
-
Configurez les règles de déploiement associées à cette configuration gérée pour Zebra OEMConfig.
-
Cliquez sur Enregistrer.