Guide de déploiement : Migration de l’administrateur d’appareils Android vers Android Enterprise avec Citrix Endpoint Management

Introduction

Android Enterprise est un ensemble d’outils et de services fournis par Google en tant que solution de gestion d’entreprise pour les appareils Android. Avec Android Enterprise, vous utilisez Citrix Endpoint Management (CEM) pour gérer vos appareils Android appartenant à l’entreprise et apporter vos propres appareils Android (BYOD). Vous pouvez gérer l’ensemble de l’appareil ou un profil distinct sur l’appareil. Le profil distinct permet d’isoler les comptes, applications et données d’entreprise des comptes, applications et données personnels. Vous pouvez également gérer des appareils dédiés à un usage unique, tels que la gestion de l’inventaire.

Pour obtenir un aperçu des fonctionnalités Android Enterprise de Google, voir Android Enterprise Management

Avant Android Enterprise, les entreprises utilisaient Device Administrator (DA) pour gérer et sécuriser les appareils Android. Avec l’évolution des besoins des entreprises, les appareils ont désormais accès à plus de données d’entreprise et confidentielles que jamais. En même temps, les utilisateurs finaux exigent la protection des données personnelles et sont concernés par leur vie privée. Google a annoncé la dépréciation du mode Administrateur de périphériques (DA) en faveur d’Android Enterprise, une plate-forme de gestion moderne qui se concentre sur la sécurité et la confidentialité des utilisateurs. Google recommande aux clients utilisant le mode administrateur de périphérique de migrer vers Android Enterprise en raison de la dépréciation de l’administrateur de périphériques (DA).

Ce guide est destiné à fournir des informations étape par étape sur la façon de passer d’un ancien déploiement Android administrateur d’appareil à Android Enterprise à l’aide d’un compte Google Play géré.

Pour plus d’informations, consultez le Bluebook de migration Android Enterprise.

Conditions préalables à l’utilisation d’Android Enterprise

Lorsque vous intégrez CEM à Google Play géré pour utiliser Android Enterprise, une entreprise est créée. Google définit une entreprise comme une liaison entre l’organisation Android Enterprise et votre solution de gestion mobile d’entreprise (EMM). L’enregistrement de Citrix en tant que fournisseur EMM est requis dans le cadre de ce processus. Tous les utilisateurs et appareils que l’organisation gère via votre solution EMM appartiennent à l’entreprise créée.

Si vous n’utilisez pas de compte G-Suite, un compte Google partagé personnel/entreprise est requis pour terminer l’enregistrement de l’entreprise. Ce compte est alors responsable de cette entreprise et devient le principal compte Google Play géré. Vous trouverez plus d’informations en cliquant sur le liensuivant.

Les comptes partagés personnels/corporatifs et G-Suite sont gratuits. La principale différence entre un compte Google Play géré et un compte Google géré est que le compte Google géré est basé sur un abonnement G-Suite et doit prouver la propriété du domaine. Consultez le liensuivant.

Si vous ne possédez pas de compte Google facilement accessible pour créer cette entreprise, suivez les instructions et les prérequis suivants pour créer votre compte.

Pour les administrateurs Citrix Endpoint Management (CEM), Google Play géré combine l’expérience utilisateur et les fonctionnalités de l’app store de Google Play conçues pour les entreprises.

Google Play géré fournit un magasin pour les utilisateurs finaux géré et contrôlé par l’administrateur.

Activation d’Android Enterprise

Pour configurer Android Enterprise pour votre organisation, enregistrez Citrix en tant que fournisseur de gestion de la mobilité d’entreprise (EMM) via Google Play d’entreprise. La fin de cette configuration entraîne la création de votre entreprise connectant Google Play géré à Citrix Endpoint Management.

L’infrastructure Google Play est utilisée pour offrir des services qui incluent un magasin de distribution d’applications d’entreprise privée et géré. Google Play est également l’endroit où les profils d’appareils résident. La bonne nouvelle est que la configuration est plutôt simple.

Pour activer Android Enterprise, accédez à vos paramètres CEM, sélectionnez Android Enterprise et suivez les instructions.

da-to-ae-migration-Image-01

Remarque : en fonction de votre version de Endpoint Management, un autre type de menu est utilisé pour créer le compte Android Enterprise. Dans toutes les versions, un identifiant d’entreprise est ajouté pour Android Enterprise dans votre console.

da-to-ae-migration-Image-01

Sélectionnez Activer votre Android Enterprise.

Remarque : Si vous utilisez déjà les profils d’inscription avec le mode hérité Android, le message suivant s’affiche :

da-to-ae-migration-Image-01

Profils d’inscription de configuration pour Android Enterprise

Dans Citrix Endpoint Management et dans XenMobile version 10.12+, nous avons plusieurs profils d’inscription. Les profils d’inscription contrôlent le mode d’inscription des appareils Android si Android Enterprise est activé pour votre déploiement Endpoint Management. Les profils d’inscription déterminent si les appareils Android sont inscrits en tant qu’appareils Android Enterprise ou anciens appareils (administrateur d’appareil).

Ces profils permettent aux administrateurs de commencer la migration facile vers Android Enterprise. Une prise en charge complète de tous les profils de gestion Android Enterprise est disponible.

  • Appareils entièrement gérés
  • Périphériques dédiés (Appareils COSU)
  • Périphériques entièrement gérés avec un profil professionnel (Cope Devices)

Remarque : Avec les déploiements cloud, plus d’options sont disponibles pour différencier le profil professionnel des autres modes. RBAC n’est pas non plus nécessaire pour la configuration des périphériques dédiés

Les déploiements sur site ne disposent pas de cette option et doivent utiliser RBAC pour la configuration des périphériques dédiés. Les déploiements sur site ne fournissent pas non plus d’option dans les profils d’inscription pour les appareils dédiés. Pour plus d’informations, voir ce qui suit.

Pour plus d’informations sur les profils d’inscription, consultez le lien.

Remarque : Avec Android 11, tout cela est sur le point de changer. Lisez le blog Changes ahead for Android Enterprise’s Fully Managed with Work Profile pour plus de détails.

da-to-ae-migration-Image-01

Lorsque vous créez des profils d’inscription, vous devez leur affecter des groupes de mise à disposition. Si un utilisateur appartient à plusieurs groupes de mise à disposition qui ont des profils d’inscription différents, le nom du groupe de mise à disposition détermine le profil d’inscription utilisé.

Dans un conflit de groupe de mise à disposition, sélectionnez le groupe de mise à disposition qui apparaît en dernier dans une liste alphabétique de groupes de mise à disposition. Pour plus d’informations, consultez la section Profils d’inscription.

IMPORTANT : n’affectez pas le nouveau profil d’inscription à un groupe de mise à disposition pour le moment si un utilisateur appartient à plusieurs groupes de mise à disposition.

Création du groupe de mise à disposition pour une utilisation dans Android Enterprise

La meilleure façon de commencer consiste à copier un groupe de mise à disposition existant à associer à un profil d’inscription Android Enterprise :

  • Étape 1 : Nommez le nouveau groupe de mise à disposition
    • Assurez-vous de faire le nom en dernier ordre alphabétique. Exemple zTestUserGroup
  • Étape 2 : Affecter le nouveau groupe de mise à disposition au nouveau profil d’inscription
    • NE PAS affecter un groupe d’annonces au groupe de mise à disposition tant que vos paramètres ne sont pas terminés

Applications de migration

Applications de productivité mobiles pour les utilisateurs d’Android Enterprise

Bien que CEM prend en charge de nombreux types d’applications différents, pour ce scénario de migration, nous montrons comment migrer Secure Mail.

  • Étape 1 : Créer une catégorie d’application pour les applications existantes iOS et Android héritées

    da-to-ae-migration-Image-01

  • Étape 2 : Déplacez Citrix Secure Mail configuré pour Android (DA hérité) dans cette nouvelle catégorie pour avoir une séparation claire des applications Android (DA héritées). REMARQUE : Cette action doit être effectuée pour toutes les applications Android (DA héritées) de votre environnement

  • Étape 3 : Modifier Secure Mail Android (DA hérité) avec la règle de déploiement suivante pour éviter d’afficher l’application deux fois dans Secure Hub (One : Android (DA hérité) Deux : Android Enterprise)

da-to-ae-migration-Image-01

Limiter par le nom de propriété de périphérique connu Android Enterprise Enabled ID n’est pas égal à true

Remarque : cette valeur n’est disponible que si vous avez déjà inscrit un appareil Android Enterprise

  • Étape 4 : Créer une deuxième catégorie pour Secure Mail pour Android Enterprise REMARQUE : Cette action doit être effectuée pour toutes les applications Android Enterprise de votre environnement.

  • Étape 5 : Configurer Secure pour Android Enterprise
  • Exemple : SecureMail_AE
    • Attribuez l’application à la catégorie Android Enterprise.
    • Configurez l’application pour une utilisation dans Android Enterprise uniquement.
    • Approuver l’application dans Google Play for Work Store dans la console CEM.
    • Affectez l’application au groupe de mise à disposition pour une utilisation dans le profil d’inscription Android Enterprise.
  • Étape 6 : Modifiez les stratégies et actions de l’application pour qu’elles correspondent à votre version précédente de Secure Mail Android (DA hérité) dans la section Android Enterprise.

Publication d’applications d’entreprise (MDX et non-MDX)

Si vous n’utilisez pas d’applications encapsulées ou d’entreprise développées en privé, vous pouvez ignorer cette section. Cliquez ici pour accéder à la section suivante.

TOUTES les applications Enterprise doivent être téléchargées sur Google Play pour les utiliser avec Android Enterprise. Pour simplifier le flux de travail de gestion des applications des administrateurs informatiques, nous avons intégré l’ iframe Google Play géré dans Citrix Endpoint Management (CEM). Cela permet aux administrateurs informatiques d’approuver et de publier des applications publiques ou privées à partir de la console CEM. Les administrateurs n’ont plus besoin d’aller en dehors de la console vers les portails Managed Play ou Developer pour approuver ou publier des applications. Cet iFrame vous permet de télécharger sur Google Play sans créer de compte de développeur google (économisez 25$). Une fois que les applications d’entreprise sont téléchargées par les administrateurs informatiques, elles ne sont disponibles que dans votre déploiement d’entreprise.

Ajouter une application Entreprise privée en tant qu’application Android Enterprise (non-mdx)

Dans Endpoint Management Console, cliquez sur Configurer > Applications et sélectionnez Enterprise Apps et téléchargez le fichier apk. Le bouton de téléchargement ouvre le magasin Google Play géré.

da-to-ae-migration-Image-01

Ajouter des applications Android Enterprise privées en tant qu’application Entreprise enveloppée MDX

Utilisez la boîte à outils en ligne de commande pour envelopper une application AE privée avec MDX Toolkit. Votre sortie est :

a. .apk encapsulé (taille supérieure à apk original)

b. fichier .mdx

  • Chargez le fichier .apk sur Google Play (similaire aux applications non-mdx ci-dessus)
  • Accédez à publier l’application MDX et charger le fichier mdx

Pour plus de détails et un exemple d’emballage, visitez

Modification des stratégies existantes pour le type de périphérique correct Android (DA hérité) et Android Enterprise (AE

Pour différencier les appareils activés pour Android Enterprise et Android (DA hérité), une règle de déploiement peut être utilisée pour s’assurer que les stratégies correctes sont fournies avec l’application sur le bon appareil. Pour Android (DA hérité) : Limiter par le nom de propriété de périphérique connu Android Enterprise Enabled Device ? N’est pas égal à true

Cette règle de déploiement vérifie si l’appareil Android n’est PAS activé pour Android Enterprise et fournit les stratégies avec l’application.

da-to-ae-migration-Image-01

Cette règle de déploiement vérifie si l’appareil Android est activé pour Android Enterprise et fournit les stratégies avec l’application.

da-to-ae-migration-Image-01

Test et vérification

Pour tester, affectez un groupe Active Directory au groupe de mise à disposition récemment créé utilisé pour Android Enterprise. Utilisez le même groupe AD que celui utilisé précédemment sur le groupe de mise à disposition existant.

Inscrire à nouveau l’appareil de l’utilisateur pour commencer le processus d’inscription Android Enterprise. Notez le nouveau look et la nouvelle expérience d’Android Enterprise

Désinscrire et réinscrire l’appareil

Les utilisateurs peuvent se désinscrire depuis Secure Hub. Suivez les instructionsdétaillées

Dans ce guide, nous utilisons le mode propriétaire du profil de travail, de sorte que l’appareil n’a pas besoin d’être nouveau ou réinitialisé d’usine.

da-to-ae-migration-Image-01

Votre appareil est désormais compatible avec Android Enterprise.

Depuis votre console CEM, accédez à Gérer, suivi de Périphériques pour obtenir une vue d’ensemble des appareils compatibles avec Android Enterprise.

da-to-ae-migration-Image-01

Après la réinscription réussie, vous pouvez voir deux appareils, un Android (DA hérité) et l’autre Android Enterprise. Le précédent périphérique Android (DA hérité) répertorié peut être supprimé pour garantir la liste des périphériques la plus mise à jour.