Product Documentation

Gestion des appareils avec Android for Work dans XenMobile

Jul 25, 2016

Android for Work est un espace de travail disponible sur les appareils Android exécutant Android 5.0 et version ultérieure qui isole les comptes, applications et données d'entreprise des comptes, applications et données personnels. Dans XenMobile 10.1, vous pouvez gérer les appareils BYOD et les appareils Android appartenant à l'entreprise en demandant aux utilisateurs de créer un profil professionnel séparé sur leurs appareils qui, combiné avec le cryptage du matériel et les stratégies que vous déployez, sépare de manière sécurisée les zones professionnelles et personnelles d'un appareil. Vous pouvez gérer toutes les stratégies, applications et données d'entreprise à distance et vous pouvez effacer les stratégies, applications et données de l'appareil sans affecter la zone personnelle de l'utilisateur. Pour de plus amples informations sur la prise en charge des appareils Android, consultez la page appareils de Google.

Dans XenMobile 10.1, vous pouvez également gérer les appareils exécutant Android 4.0 - 4.4 en demandant aux utilisateurs de télécharger et d'installer l'application Android for Work, qui fournit les fonctionnalités d'espace de travail sécurisé intégrées dans les appareils exécutant Android 5.0 et version ultérieure.

Vous utilisez Google Play for Work pour ajouter, acheter et approuver les applications pour le déploiement vers l'espace de travail d'un appareil Android for Work. Vous pouvez utiliser la console Google Play for Work pour déployer vos applications Android privées, ainsi que des applications tierces et publiques.

Configuration requise pour Android for Work :

  • Un domaine publiquement accessible
  • Un compte d'administrateur Google
  • Des appareils exécutant Android 5.0+ Lollipop avec prise en charge de profils gérés ou des appareils exécutant Android 4.0 - 4.4 (Ice Cream Sandwich, Jelly Bean et KitKat) avec l'application Android for Work
  • Un compte Google avec Google Play installé dans le profil personnel de l'utilisateur
  • Un profil de travail configuré sur l'appareil.

Avant de pouvoir définir des restrictions applicatives Android for Work, vous devez effectuer les opérations suivantes :

  • Effectuer les tâches de configuration d'Android for Work sur Google.
  • Créer des informations d'identification Google Play.
  • Configurer les paramètres de serveur Android for Work.
  • Créer au moins une stratégie Android for Work.
  • Ajouter, acheter et approuver des applications Android for Work dans le magasin d'applications Google Play for Work.

Vous pouvez utiliser les liens suivants lorsque vous gérez Android for Work :

Conditions préalables pour Android for Work

Avant de pouvoir administrer Android for Work dans XenMobile, vous devez effectuer les opérations suivantes :

  • Créer un compte Android for Work
  • Configurer un compte de service
  • Télécharger un certificat Android for Work
    Activer et autoriser les API SDK et MDM d'administrateur Google
  • Autoriser votre compte de service à utiliser Directory et Google Play
  • Obtenir un jeton de liaison.

Les sections suivantes expliquent comment effectuer chacune de ces tâches. Après avoir effectué ces tâches, vous pouvez créer des informations d'identification Google Play, configurer les paramètres Android for Work et gérer les applications Android for Work dans XenMobile.

Créer un compte Android for Work

Vous devez remplir les conditions préalables suivantes avant de pouvoir configurer un compte Android for Work :

  • Vous devez disposer d'un nom de domaine ; par exemple, exemple.com.
  • Vous devez autoriser Google à vérifier que le domaine vous appartient.
  • Vous devez activer et administrer Android for Work par le biais d'un fournisseur de gestion de la mobilité d'entreprise (EMM) (XenMobile 10.0 ou version ultérieure).

Si vous avez déjà vérifié votre nom de domaine auprès de Google, vous pouvez passer à la section Configurer un compte de service Android for Work et télécharger un certificat Android for Work.

1. Accédez au portail Google Android for Work (https://www.google.com/work/android/partners/) et accédez à la page Partners.

localized image

2. Cliquez sur Begin Setup.

localized image

Vous serez redirigé vers la page suivante où vous entrez vos informations d'administrateur et les informations sur l'entreprise.

localized image

2. Entrez vos informations d'utilisateur administrateur.

localized image

3. Entrez les informations de votre entreprise, ainsi que les informations sur votre compte d'administrateur.

localized image

La première étape de ce processus est terminée et la page suivante s'affiche. 

localized image

Vérifier le propriétaire du domaine

Vous devez maintenant autoriser Google à vérifier votre domaine. Il existe trois méthodes différentes pour vérifier votre domaine : ajouter un enregistrement TXT ou CNAME au site Web de l'hôte de votre domaine, charger un fichier HTML sur le serveur Web de votre domaine, ou ajouter une balise à votre page d'accueil. Google recommande la première méthode. Les étapes permettant de vérifier que votre domaine vous appartient ne sont pas couvertes dans cet article, mais vous pouvez trouver les informations dont vous avez besoin sur : https://support.google.com/a/answer/6095407/.

1. Cliquez sur Démarrer pour commencer la vérification de votre domaine. La page Valider la propriété du domaine s'affiche. Suivez les instructions pour vérifier votre domaine.

2. Lorsque vous avez terminé, cliquez sur Vérifier.

localized image
localized image

7. Google vérifie que vous êtes le propriétaire du domaine.

localized image

8. La page suivante s'affiche si la vérification réussit. Cliquez sur Continuer.

localized image

9. Google crée un jeton de liaison EMM que vous fournissez à Citrix lorsque vous configurez les paramètres d'Android for Work. Copiez et enregistrez le jeton ; vous en aurez besoin plus tard lors de la configuration.

localized image

10. Cliquez sur Finish pour terminer la configuration Android for Work.

localized image

11. Une fois que vous avez créé un compte de service Android for Work, vous pouvez ouvrir une session sur la console d'administration Google pour gérer vos paramètres de gestion de la mobilité Android for Work.

Définissez un compte de service Android for Work et téléchargez un certificat Android for Work

Pour autoriser XenMobile à contacter les services Google Play et Directory, vous devez créer un nouveau compte de service à l'aide du portail Project de Google destiné aux développeurs. Ce compte de service est utilisé pour permettre les communications entre serveurs entre XenMobile et les services Google pour Android for Work. Pour de plus amples informations sur le protocole d'authentification utilisé, accédez à https://developers.google.com/identity/protocols/OAuth2ServiceAccount.

1. Dans un navigateur Web, accédez à https://console.developers.google.com/project et ouvrez une session à l'aide de vos informations d'identification d'administrateur Google. 

localized image

3. Dans la liste Sélectionnez un projet, cliquez sur Créer un projet.

4. Entrez un nom de projet, cliquez sur la case à cocher pour accepter les conditions d'utilisation du service, et cliquez sur Créer

localized image

5. Dans le panneau de gauche, cliquez sur API et authentification, puis cliquez sur API.

localized image
localized image

6. Dans API Google Apps, cliquez sur Admin SDK. Vous pouvez également taper « Admin SDK » dans le champ de recherche, puis cliquer sur Admin SDK sur la page des résultats de la recherche.

7. Cliquez sur Activer l'API.

8. Sous Bibliothèque API, recherchez EMM et sélectionnez Google Play EMM API.

localized image

9. Cliquez sur Activer l'API.

10. Sur la même page, dans le panneau de gauche, sous API et authentification, cliquez sur Certificats.

localized image

11. Dans le panneau de droite, cliquez sur Créer un nouvel identifiant client. La boîte de dialogue Créer un identifiant client s'affiche.

localized image

12. Sélectionnez Compte de service et cliquez sur Créer un identifiant client.

13. Cliquez sur OK, j'ai compris. Après avoir cliqué sur OK, j'ai compris, un fichier json est téléchargé sur votre ordinateur. Veillez à enregistrer le fichier dans un emplacement sécurisé.

Sous Compte de service, prenez note de l'adresse e-mail et des empreintes digitales du certificat (mot de passe). Vous en aurez besoin dans les prochaines étapes.

L'adresse e-mail est le compte de service que vous utilisez lors de la liaison de XenMobile en tant que fournisseur EMM et pour activer l'accès au client API.

14.  Sous Compte de service, cliquez sur Générer nouvelle clé P12. Le certificat (fichier P12) est téléchargé sur votre ordinateur. Veillez à enregistrer le certificat dans un emplacement sécurisé.

localized image

15. Cliquez sur OK, j'ai compris.

localized image

16. Ouvrez une session sur le portail de la console d'administration Google à l'adresse https://admin.google.com avec vos identifiants d'administrateur Google Android for Work.

17. Cliquez sur Sécurité.

localized image

18. Cliquez sur Paramètres avancés et cliquez sur Gérer l'accès au client d'API.

localized image

19. Cliquez sur Clients API autorisés. La page Gérer l'accès au client d'API s'affiche.

20. Dans le champ Nom du client, entrez l'ID client généré à l'étape 14.

21. Dans Une ou plusieurs étendues d'API, entrez « https://www.googleapis.com/auth/admin.directory.user » (sans les guillemets).

22. Cliquez sur Autoriser

localized image

Liaison à EMM

Avant de pouvoir utiliser XenMobile pour gérer vos appareils Android for Work, vous devez contacter l'assistance technique de Citrix (https://www.citrix.com/contact/technical-support.html) et fournir votre nom de domaine, compte de service et jeton de liaison. Citrix liera le jeton à XenMobile en tant que fournisseur de gestion de la mobilité d'entreprise (EMM).

1. Pour confirmer la liaison, ouvrez une session sur le portail de la console d'administration Google et cliquez sur Sécurité.

2. Cliquez sur Paramètres Android for Work. Vous verrez que votre compte Google Android for Work est lié à Citrix en tant que fournisseur EMM.

localized image

Après avoir confirmé la liaison du jeton, vous pouvez commencer à utiliser XenMobile pour gérer vos appareils Android for Work. Vous devez importer le certificat P12 que vous avez généré à l'étape 14, configurer les paramètres du serveur Android for Work, activer l'authentification unique SAML et définir au moins une stratégie d'appareil Android for Work. 

Importer le certificat P12

Suivez ces étapes pour importer votre certificat P12 Android for Work :

Ouvrez une session sur la console XenMobile 10.1.

2. Cliquez sur Configurer -> Paramètres -> Certificat. La page Certificats s'affiche.

localized image
localized image

3. Cliquez sur Importer. La boîte de dialogue Importer apparaît. Configurez les paramètres suivants :

localized image
  • Importer : dans la liste, cliquez sur Keystore.
  • Type de keystore : dans la liste, cliquez sur PKCS#12.
  • Utiliser en tant que : dans la liste, cliquez sur Serveur.
  • Fichier de keystore : cliquez sur Parcourir et accédez au certificat P12.
  • Mot de passe : entrez le mot de passe du keystore.
  • Description : entrez une description pour le certificat.

4. Cliquez sur Importer.

Configurer les paramètres du serveur Android for Work

1. Cliquez sur Configurer -> Paramètres et développez Plus.

localized image

2. Sous Serveur, cliquez sur Android for Work. La page Android for Work s'affiche. Configurez les paramètres suivants :

localized image
  • Nom de domaine : entrez votre nom de domaine Android for Work.
  • Compte d'administrateur de domaine : entrez le nom d'utilisateur de votre administrateur de domaine.
  • ID du compte de service : entrez l'ID de votre compte de service.
  • Jeton de liaison : entrez, ou copiez et collez le jeton de liaison.
  • Activer Android for Work : cliquez pour activer ou désactiver Android for Work.

3. Cliquez sur Enregistrer.

Activer l'authentification unique SAML

Ouvrez une session sur la console XenMobile 10.1.

2. Cliquez sur Configurer -> Paramètres -> Certificat. La page Certificats s'affiche. 

localized image

3. Sur la page Certificats, dans la liste des certificats, cliquez sur le certificat SAML.

localized image

Cliquez sur Exporter et enregistrez le certificat sur votre ordinateur.

5. Ouvrez une session sur le portail de la console d'administration Google (https://admin.google.com) avec vos identifiants d'administrateur Android for Work.

6. Cliquez sur Sécurité.

localized image

7. Dans Sécurité, cliquez sur Configurer l'authentification unique (SSO) et configurez les paramètres suivants :

localized image
  • URL de la page de connexion : entrez l'adresse URL des utilisateurs qui se connectent à votre système et Google Apps. Par exemple : https:///aw/saml/signin.
  • URL de la page de déconnexion : entrez l'adresse URL vers laquelle les utilisateurs sont redirigés lorsqu''ils se déconnectent. Par exemple : https:///aw/saml/signout.
  • URL de la page de modification du mot de passe : entrez l'adresse URL pour permettre aux utilisateurs de modifier leur mot de passe dans votre système. Par exemple : https:///aw/saml/changepassword. Lorsque cette option est définie ici, les utilisateurs voient cette fonctionnalité même si SSO n'est pas disponible.
  • Certificat de vérification : cliquez sur CHOISIR FICHIER et accédez à l'emplacement du certificat SAML exporté depuis XenMobile.

8. Cliquez sur ENREGISTRER LES MODIFICATIONS.

Configurer une stratégie d'appareil Android for Work

Vous pouvez configurer n'importe quelle stratégie, mais il est recommandé de configurer une stratégie de code secret afin d'obliger les utilisateurs à créer un code secret sur leurs appareils la première fois qu'ils s'inscrivent. 

localized image

Les étapes de base pour configurer une stratégie sont les suivantes :

1. Ouvrez une session sur la console XenMobile 10.1.

2. Cliquez sur Configurer -> Stratégies d'appareil.

3. Cliquez sur Ajouter, puis sélectionnez la stratégie que vous souhaitez ajouter à partir de la boîte de dialogue Ajouter une nouvelle stratégie (dans cet exemple, vous cliquez sur Code secret).

4. Remplissez la page Informations sur la stratégie.

5. Cliquez sur Android for Work et configurez les paramètres pour la stratégie.

6. Attribuez la stratégie à un groupe de mise à disposition.

Pour de plus amples informations sur la configuration de stratégies d'appareil, consultez la section Stratégies d'appareil.

Vos utilisateurs peuvent désormais télécharger l'application Worx Home à partir du magasin Google Play et inscrire leurs appareils dans XenMobile (veillez à utiliser le nom d'utilisateur principal (UPN) pour l'inscription). Une fois les appareils inscrits avec succès, Worx Home va installer le profil Android for Work de façon à ce que les utilisateurs puissent accéder à leurs applications Android for Work. Les utilisateurs peuvent être invités à crypter leurs appareils lors de ce processus avant de pouvoir continuer.