Product Documentation

Android for Work

15 mai 2018

Android for Work (Android enterprise) est un espace de travail sécurisé disponible sur les appareils Android exécutant Android 5.0 et versions ultérieures. L’espace de travail isole les comptes, applications et données d’entreprise des comptes, applications et données personnels. Dans XenMobile, vous pouvez gérer les appareils BYOD et les appareils Android appartenant à l’entreprise en permettant aux utilisateurs de créer un profil professionnel séparé sur leurs appareils.

En combinant le cryptage du matériel et les stratégies que vous déployez, vous séparez de manière sécurisée les zones professionnelles et personnelles d’un appareil. Vous pouvez gérer ou effacer à distance toutes les stratégies, applications et données d’entreprise sans affecter la zone personnelle de l’utilisateur. Pour de plus amples informations sur les appareils Android pris en charge, consultez le site Web Google Android Enterprise.

Vous utilisez Google Play pour ajouter, acheter et approuver des applications en vue de les déployer sur l’espace Android for Work d’un appareil. Vous pouvez utiliser Google Play pour déployer vos applications Android privées, en plus d’applications tierces et publiques. Lorsque vous ajoutez une application payante provenant d’un magasin d’applications public pour Android for Work à XenMobile, vous pouvez vérifier l’état de la licence d’achat groupé. Cet état représente le nombre total de licences disponibles, le nombre en cours d’utilisation et l’adresse e-mail de chaque utilisateur qui consomme des licences. Pour de plus amples informations sur l’ajout d’une application à XenMobile, consultez la section Ajouter un magasin d’applications public.

Remarque :

Dans XenMobile Service et dans notre documentation, nous faisons référence à Android for Work. Le nouveau terme est Android Enterprise. Pour plus d’informations, veuillez consulter la documentation Android.

Configurer Android for Work

XenMobile fournit un moyen simple de configurer Android for Work pour votre organisation. À l’aide de XenMobile Management Tools, vous liez XenMobile en tant que fournisseur de gestion de la mobilité d’entreprise via Google Play et créez une entreprise pour Android for Work.

Remarque :

Pour les clients G Suite, voir Ancienne version de Android for Work pour clients G Suite.

Vous aurez besoin des éléments suivants :

  • Vos informations d’identification de compte Citrix pour vous connecter à XenMobile Tools
  • Vos informations d’identification Google ID d’entreprise pour vous connecter à Google Play
  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sur la page Paramètres, cliquez sur Android for Work.

    Image de l'écran des paramètres pour Android for Work

  3. Sur la page Android for Work dans les paramètres de XenMobile, cliquez sur Accédez à XenMobile Tools.

    Image du lien Accéder à XenMobile Tools

  4. Connectez-vous à votre compte Citrix si vous y êtes invité.
  5. Sur la page Android for Work dans XenMobile Tools Management, cliquez sur Go to Google Play.

    Image de l'option Go to Google Play

  6. Dans Google Play, enregistrez Citrix en tant que fournisseur de gestion de la mobilité d’entreprise pour votre organisation :

    • Entrez le nom de votre organisation.
    • Assurez-vous que Citrix est affiché en tant que fournisseur de gestion de la mobilité d’entreprise.
    • Acceptez les termes, puis cliquez sur Confirm.

    Image de la page d'inscription de Google Play

    • Dans la page qui s’affiche, cliquez sur Complete Registration (Terminer l’inscription).

    Cette étape crée un fichier à télécharger, puis à charger sur XenMobile.

  7. Sur la page Android for Work dans XenMobile Tools Management, cliquez sur Download (Télécharger).
  8. Créez un mot de passe pour le cryptage de fichier. Notez le mot de passe à des fins de référence. Vous en aurez besoin pour charger le fichier.

    Image d'invite de saisie du mot de passe

  9. Cliquez sur Go back to XenMobile (Revenir à XenMobile).
  10. Dans la page Android for Work de Paramètres XenMobile, cliquez sur Upload file (Charger le fichier).

    Image de l'option de chargement de fichier

  11. Accédez au fichier que vous avez téléchargé et entrez le mot de passe que vous avez créé. Cliquez sur Upload.

    Image de l'option de chargement

  12. Un ID d’entreprise est ajouté pour Android for Work. Pour activer Android for Work, faites glisser Activer Android for Work sur Yes.

    Image de l'option Android for Work activée

Ancienne version de Android for Work pour clients G Suite

Les clients G Suite doivent utiliser les paramètres de l’ancienne version de Android for Work pour configurer une ancienne version de Android for Work.

Configuration requise pour l’ancienne version de Android for Work :

  • Un domaine publiquement accessible
  • Un compte d’administrateur Google
  • Les appareils qui prennent en charge les profils gérés et qui exécutent Android 5.0+ Lollipop
  • Un compte Google sur lequel Google Play est installé
  • Un profil de travail configuré sur l’appareil.

Pour configurer l’ancienne version de Android for Work, cliquez sur Ancienne version de Android for Work dans la page Android for Work des paramètres XenMobile.

Image de l'option d'ancienne version de Android for Work

Créer un compte Android for Work

Avant de pouvoir configurer un compte Android for Work, vous devez vérifier votre nom de domaine auprès de Google.

Si vous avez déjà vérifié votre nom de domaine auprès de Google, vous pouvez passer à cette étape : Configurer un compte de service Android for Work et télécharger un certificat Android for Work.

  1. Accéder à https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK.

    La page suivante s’affiche où vous entrez vos informations d’administrateur et les informations sur l’entreprise.

    Image de la page de configuration du compte

  2. Entrez vos informations d’utilisateur administrateur.

    Image des informations d'utilisateur administrateur.

  3. Entrez vos informations d’entreprise, en plus de vos informations de compte d’administrateur.

    Image de l'écran d'informations sur la société

    La première étape de ce processus est terminée et la page suivante s’affiche.

    Image de la page de vérification

Pour vérifier l’appartenance au domaine :

Autorisez Google à vérifier votre domaine de l’une des manières suivantes.

  • Ajoutez un enregistrement TXT ou CNAME au site Web de votre hôte de domaine.
  • Chargez un fichier HTML sur le serveur Web de votre domaine.
  • Ajoutez une balise <meta> à votre page d’accueil.

    Google recommande la première méthode. Cet article ne couvre pas les étapes permettant de vérifier que votre domaine vous appartient, mais vous pouvez trouver les informations dont vous avez besoin sur : https://support.google.com/a/answer/6248925/.

  1. Cliquez sur Démarrer pour commencer la vérification de votre domaine.

    La page Valider la propriété du domaine s’affiche. Suivez les instructions sur la page pour vérifier votre domaine.

  2. Cliquez sur Vérifier.

    Image du bouton Vérifier

    Image de confirmation de la vérification

  3. Google vérifie que vous êtes le propriétaire du domaine.

    Image de la vérification de l'appartenance au domaine

  4. La page suivante s’affiche si la vérification réussit. Cliquez sur Continuer.

    Image de la page de confirmation du succès

  5. Google crée un jeton de liaison EMM que vous fournissez à Citrix lorsque vous configurez les paramètres d’Android for Work. Copiez et enregistrez le jeton ; vous en aurez besoin plus tard lors de la configuration.

    Image du jeton de liaison

  6. Cliquez sur Terminer pour terminer la configuration Android for Work. Une page s’affiche indiquant que vous avez vérifié avec succès votre domaine.

Une fois que vous avez créé un compte de service Android for Work, vous pouvez ouvrir une session sur la console d’administration Google pour gérer vos paramètres de gestion de la mobilité.

Définissez un compte de service Android for Work et téléchargez un certificat Android for Work

Pour autoriser XenMobile à contacter les services Google Play et Directory, vous devez créer un compte de service à l’aide du portail Project de Google destiné aux développeurs. Ce compte de service est utilisé pour permettre les communications entre serveurs entre XenMobile et les services Google pour Android. Pour plus d’informations sur le protocole d’authentification utilisé, accédez à https://developers.google.com/identity/protocols/OAuth2ServiceAccount.

  1. Dans un navigateur Web, accédez à https://console.cloud.google.com/project et ouvrez une session à l’aide de vos informations d’identification d’administrateur Google.

  2. Dans la liste Projets, cliquez sur Créer un projet.

    Écran de création de projet

  3. Dans Nom du projet, entrez un nom pour le projet.

    Image de l'écran Nom du projet

  4. Sur le tableau de bord, cliquez sur Utiliser les API de Google.

    Image de l'option Utiliser les API de Google

  5. Cliquez sur Bibliothèque et dans Rechercher, entrez EMM, puis cliquez sur le résultat de la recherche.

    Image de l'option de recherche EMM

  6. Sur la page de présentation, cliquez sur Activer.

    Image de l'option Activer

  7. En regard de Google Play EMM API, cliquez sur Accéder aux identifiants.

    Image de l'option Accéder aux identifiants

  8. Dans la liste Add credentials to our project, dans l’étape 1, cliquez sur service account.

    Image de l'option de compte de service

  9. Sur la page Comptes de service, cliquez sur Créer un compte de service.

    Image de l'option Créer un compte de service

  10. Dans Créer un compte de service, nommez le compte et sélectionnez la case Indiquer une nouvelle clé privée. Cliquez sur P12, sélectionnez la case à cocher Activer la délégation G Suite au niveau du domaine, puis cliquez sur Créer.

    Image de l'option Créer un compte de service

    Le certificat (fichier P12) est téléchargé sur votre ordinateur. Veillez à enregistrer le certificat dans un emplacement sécurisé.

  11. Sur l’écran Compte de service créé, cliquez sur Fermer.

    Image de la page de confirmation

  12. Dans Autorisations, cliquez sur Comptes de service, puis sous Options pour votre compte de service, cliquez sur Afficher l’ID client.

    Image de l'option Afficher l'ID client

  13. Les détails requis pour l’autorisation du compte figurent sur la console d’administration Google. Copiez les valeurs des champs Client ID et Service account ID sur un emplacement où vous pourrez récupérer les informations ultérieurement. Vous avez besoin de ces informations, ainsi que du nom de domaine afin de les envoyer à l’assistance Citrix afin qu’ils puissent les placer en liste blanche.

    Image des détails d'autorisation du compte

  14. Sur la page Bibliothèque, recherchez Admin SDK et cliquez sur le résultat de la recherche.

    Image de la recherche de Admin SDK

  15. Sur la page de présentation, cliquez sur Activer.

    Image du bouton Activer

  16. Ouvrez la console d’administration Google pour votre domaine et cliquez sur Sécurité.

    Image de l'option Sécurité

  17. Sur la page Paramètres, cliquez sur Afficher plus, puis cliquez sur Paramètres avancés.

    Image des paramètres avancés

    Image des paramètres avancés

  18. Cliquez sur Gérer l’accès au client d’API.

    Image de l'option Gérer l'accès au client d'API

  19. Dans Nom du client, entrez l’ID de client que vous avez enregistré précédemment, dans Une ou plusieurs étendues d’API, entrez https://www.googleapis.com/auth/admin.directory.user puis cliquez sur Autoriser.

    Image des options du nom du client

Liaison à EMM

Avant de pouvoir utiliser XenMobile pour gérer vos appareils Android, vous devez contacter l’assistance technique de Citrix et fournir votre nom de domaine, compte de service et jeton de liaison. Citrix lie le jeton à XenMobile en tant que fournisseur de gestion de la mobilité d’entreprise (EMM). Pour consulter les informations de contact de l’assistance technique Citrix, consultez la section Assistance technique Citrix.

  1. Pour confirmer la liaison, ouvrez une session sur le portail de la console d’administration Google et cliquez sur Sécurité.

  2. Cliquez sur Gérer le fournisseur EMM pour Android.

    Votre compte Google Android for Work est maintenant lié à Citrix en tant que fournisseur EMM.

    Après avoir confirmé la liaison du jeton, vous pouvez commencer à utiliser la console XenMobile pour gérer vos appareils Android. Importez le certificat P12 que vous avez généré à l’étape 14. Configurez les paramètres du serveur Android for Work, activez l’authentification unique SAML et définissez au moins une stratégie d’appareil Android for Work.

    Image des options Gérer le fournisseur EMM pour Android

Importer le certificat P12

Suivez ces étapes pour importer votre certificat P12 Android for Work :

  1. Connectez-vous à la console XenMobile.

  2. Cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console pour ouvrir la page Paramètres, puis cliquez sur Certificats. La page Certificats s’affiche.

    Image de la page Certificats

  3. Cliquez sur Importer. La boîte de dialogue Importer apparaît.

    Image de la boîte de dialogue Importer

    Configurez les paramètres suivants :

    • Importer : dans la liste, cliquez sur Keystore.
    • Type de keystore : dans la liste, cliquez sur PKCS#12.
    • Utiliser en tant que : dans la liste, cliquez sur Serveur.
    • Fichier de keystore : cliquez sur Parcourir et accédez au certificat P12.
    • Mot de passe : entrez le mot de passe du keystore.
    • Description : entrez une description pour le certificat.
  4. Cliquez sur Importer.

Configurer les paramètres du serveur Android for Work

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sous Serveur, cliquez sur Android for Work. La page Android for Work s’affiche.

    Image de la page Android for Work

    Configurez ces paramètres, puis cliquez sur Enregistrer.

    • Nom de domaine : entrez votre nom de domaine Android for Work ; par exemple, domaine.com.
    • Compte d’administrateur de domaine : entrez le nom d’utilisateur de l’administrateur de domaine ; par exemple, le compte de messagerie utilisé pour le portail Google Developer.
    • ID du compte de service : entrez votre ID de compte de service, par exemple, l’adresse e-mail associée au compte de service Google (serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com).
    • ID client : entrez l’ID client numérique de votre compte de service Google.
    • Activer Android for Work : sélectionnez ou désélectionnez cette option pour activer ou désactiver Android for Work.

Activer l’authentification unique SAML

  1. Connectez-vous à la console XenMobile.

  2. Cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console. La page Paramètres s’affiche.

  3. Cliquez sur Certificats. La page Certificats s’affiche.

    Image de la page Certificats

  4. Dans la liste des certificats, cliquez sur le certificat SAML.

  5. Cliquez sur Exporter et enregistrez le certificat sur votre ordinateur.

  6. Connectez-vous au portail de la console d’administration Google à l’aide de vos informations d’identification d’administrateur Android for Work. Pour accéder au portail, veuillez consulter la section Console d’administration Google.

  7. Cliquez sur Sécurité.

    Image de l'option Sécurité

  8. Dans Sécurité, cliquez sur Configurer l’authentification unique (SSO) et configurez les paramètres suivants :

    Image des paramètres SSO

    • URL de la page de connexion : entrez l’adresse URL pour les utilisateurs qui se connectent à votre système et Google Apps. Par exemple : https://<Xenmobile-FQDN>/aw/saml/signin.
    • URL de la page de déconnexion : entrez l’adresse URL vers laquelle les utilisateurs sont redirigés lorsqu’ils se déconnectent. Par exemple : https://<Xenmobile-FQDN>/aw/saml/signout.
    • URL de la page de modification du mot de passe : entrez l’adresse URL pour permettre aux utilisateurs de modifier leur mot de passe dans votre système. Par exemple : https://<Xenmobile-FQDN>/aw/saml/changepassword. Si ce champ est défini, cette invite s’affiche même lorsque l’authentification unique (SSO) n’est pas disponible.
    • Certificat de vérification : cliquez sur CHOISIR FICHIER et accédez à l’emplacement du certificat SAML exporté depuis XenMobile.
  9. Cliquez sur ENREGISTRER LES MODIFICATIONS.

Configurer une stratégie d’appareil Android for Work

Configurez une stratégie de code secret afin d’obliger les utilisateurs à créer un code secret sur leurs appareils la première fois qu’ils s’inscrivent.

Image de la page de stratégie de code d'accès

Les étapes de base pour configurer une stratégie sont les suivantes.

  1. Connectez-vous à la console XenMobile.

  2. Cliquez sur Configurer et sur Stratégies d’appareil.

  3. Cliquez sur Ajouter, puis sélectionnez la stratégie que vous souhaitez ajouter à partir de la boîte de dialogue Ajouter une nouvelle stratégie. Dans cet exemple, vous cliquez sur Code secret.

  4. Remplissez la page Informations sur la stratégie.

  5. Cliquez sur Android for Work et configurez les paramètres pour la stratégie.

  6. Attribuez la stratégie à un groupe de mise à disposition.

Stratégies d’appareil et stratégies MDX prises en charge

Les tableaux suivants affichent les stratégies d’appareil et les stratégies MDX prises en charge par le conteneur Android for Work. Pour plus d’informations sur les stratégies d’appareil et les stratégies MDX, consultez les sections Stratégies d’appareil et Synopsis des stratégies MDX.

Stratégies d’authentification Prise en charge Valeurs prises en charge Remarques
Code secret d’application X Toutes  
Session en ligne requise   Désactivé uniquement  
Période hors connexion maximale X Toutes  
Passerelle NetScaler Gateway alternative   Vide uniquement  

| Stratégies d’accès au réseau d’entreprise | Prise en charge | Valeurs prises en charge | Remarques | | ——– | ———- | ———- | ———– | | Accès réseau | X | Tout | Étiquette de certificat | | Vide uniquement | | Mode VPN préféré | X | Tout | Autoriser le basculement vers le mode VPN| X | Tout | URL du fichier PAC ou serveur proxy | X | Tout | Sortie de journal par défaut | X | Tout | Niveau de journalisation par défaut| X | Tout | Nombre maximal de fichiers journaux | X | Tout | Taille maximale du fichier journal | X | Tout | Rediriger les journaux des applications | X | Tout | Crypter les journaux | X | Tout | Réseaux Wi-Fi sur liste blanche | | Vide uniquement

Stratégies de sécurité Prise en charge Valeurs prises en charge Remarques
Bloquer les appareils jailbreakés ou rootés X Toutes  
Activer le chiffrement de l’appareil X Toutes  
Exiger verrouillage de l’appareil X Toutes  
Stratégies d’exigences du réseau Prise en charge Valeurs prises en charge Remarques
Exiger Wi-Fi X Désactivé  
Stratégies d’accès diverses Prise en charge Valeurs prises en charge Remarques
Période de grâce de mise à jour des applications (heures) X Toutes  
Effacer les données des applications après verrouillage X Toutes  
Période d’interrogation active (minutes) X Toutes  
Stratégies de chiffrement Prise en charge Valeurs prises en charge Remarques
Clés de cryptage X Accès hors connexion autorisé Pris en charge via la stratégie d’entreprise Android
Cryptage de fichiers privés X Désactivé uniquement Pris en charge via la stratégie d’entreprise Android
Exclusions de cryptage des fichiers privés X SO (vide) Pris en charge via la stratégie d’entreprise Android
Limites d’accès pour les fichiers publics X SO (vide) Pris en charge via la stratégie d’entreprise Android
Cryptage de fichiers publics X Désactivé uniquement Pris en charge via la stratégie d’entreprise Android
Exclusions de cryptage de fichiers publics X SO (vide) Pris en charge via la stratégie d’entreprise Android
Migration de fichiers publics X Désactivé uniquement Pris en charge via la stratégie d’entreprise Android

| Stratégies d’interaction des applications | Prise en charge | Valeurs prises en charge | Remarques | | ——– | ———- | ———- | ———– | | Groupe de sécurité | X | Vide | Pris en charge via la stratégie d’entreprise Android | Couper et copier | X | Non restreint uniquement | Pris en charge via la stratégie d’entreprise Android | | Coller | X | Non restreint uniquement | Pris en charge via la stratégie d’entreprise Android | | Échange de documents (Ouvrir dans) | X | Non restreint uniquement | Pris en charge via la stratégie d’entreprise Android | | Échange de documents entrants (Ouvrir dans) | X | Non restreint | Pris en charge via la stratégie d’entreprise Android | | Liste blanche d’échange de documents entrants | X | Vide | Pris en charge via la stratégie d’entreprise Android | | Liste d’exceptions d’ouverture restreinte | X | Vide | Pris en charge via la stratégie d’entreprise Android |

Stratégies de restrictions applicatives Prise en charge Valeurs prises en charge Remarques
Bloquer la caméra X Activé uniquement Pris en charge via la stratégie d’entreprise Android
Bloquer la galerie X Désactivé uniquement Pris en charge via la stratégie d’entreprise Android
Bloquer la connexion localhost X Toutes  
Bloquer les enregistrements du micro X Désactivé uniquement Pris en charge via la stratégie d’entreprise Android
Bloquer les services de localisation X Désactivé uniquement Pris en charge via la stratégie d’entreprise Android
Bloquer la composition de SMS X Désactivé uniquement Pris en charge via la stratégie d’entreprise Android
Bloquer la capture d’écran X Désactivé uniquement Pris en charge via la stratégie d’entreprise Android
Bloquer le capteur de l’appareil X Toutes  
Bloquer NFC X Désactivé uniquement Pris en charge via la stratégie d’entreprise Android
Bloquer l’impression X Toutes  
Bloquer les journaux d’applications X Toutes  
Stratégies de géofencing Prise en charge Valeurs prises en charge Remarques
Longitude du point central X Toutes  
Latitude du point central X Toutes  
Rayon X Toutes  

Configurer les paramètres de compte Android for Work

Avant de démarrer la gestion des applications et des stratégies Android sur les appareils, vous devez définir les informations de domaine et de compte Android for Work dans XenMobile. Commencez par effectuer les tâches de configuration Android for Work sur Google pour configurer un administrateur de domaine et obtenir un ID de compte de service et un jeton de liaison.

  1. Dans la console Web de XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’ouvre.

  2. Sous Serveur, cliquez sur Android for Work. La page de configuration Android for Work s’affiche.

Image de la page de configuration de Android for Work

  1. Sur la page Android for Work, configurez les paramètres suivants :

    • Nom de domaine : entrez le nom du domaine.
    • Compte d’administrateur de domaine : entrez le nom d’utilisateur de l’administrateur de domaine.
    • ID du compte de service : entrez votre ID du compte de service Google.
    • ID client : entrez l’ID client de votre compte de service Google.
    • Activer Android for Work : sélectionnez cette option pour activer Android for Work.
  2. Cliquez sur Enregistrer.

Désinscription d’une entreprise Android for Work

Vous pouvez désinscrire une entreprise Android for Work à l’aide de la console XenMobile Server et des outils XenMobile Tools.

Lorsque vous effectuez cette tâche, XenMobile Server ouvre une fenêtre contextuelle XenMobile Tools. Avant de commencer, assurez-vous que XenMobile Server est autorisé à ouvrir des fenêtres contextuelles dans le navigateur que vous utilisez. Certains navigateurs, tels que Google Chrome, vous obligent à désactiver le blocage des fenêtres contextuelles et à ajouter l’adresse du site XenMobile à la liste blanche des fenêtres contextuelles bloquées.

Avertissement :

une fois l’entreprise désinscrite, les applications Android for Work sur les appareils déjà inscrits sont réinitialisées à leurs états par défaut. Google ne gère plus les appareils. Les réinscrire dans une entreprise Android for Work peut nécessiter une configuration supplémentaire pour restaurer les fonctionnalités précédentes.

Une fois l’entreprise Android for Work désinscrite :

  • Les applications Android for Work des appareils et des utilisateurs inscrits dans l’entreprise sont réinitialisées à leur état par défaut. Les autorisations d’applications Android for Work et les restrictions d’applications Android for Work appliquées précédemment ne s’appliquent plus aux opérations.
  • XenMobile gère les appareils inscrits dans l’entreprise. Du point de vue de Google, ces appareils ne sont pas gérés. Vous ne pouvez pas ajouter de nouvelles applications Android for Work. Vous ne pouvez pas appliquer les autorisations d’applications Android for Work ou les stratégies de restrictions d’applications Android for Work. Vous pouvez appliquer d’autres stratégies, telles que Planification, Mot de passe et Restrictions, à ces appareils.
  • Si vous tentez d’inscrire des appareils dans Android for Work, ils sont inscrits comme appareils Android et non comme appareils Android for Work.

Pour désinscrire une entreprise Android for Work :

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sur la page Paramètres, cliquez sur Android for Work.

  3. Cliquez sur Supprimer l’entreprise.

    Image de l'option Supprimer l'entreprise

  4. Spécifiez un mot de passe. Vous aurez besoin du mot de passe à l’étape suivante pour terminer la désinscription. Cliquez ensuite sur Désinscrire.

    Image de l'option Désinscrire

  5. Lorsque la page XenMobile Tools s’ouvre, entrez le mot de passe que vous avez créé à l’étape précédente.

    Image du champ de mot de passe

  6. Cliquez sur Désinscrire.

    Image de l'option Désinscrire

Inscrire des appareils Android for Work

Si le processus d’inscription de votre appareil nécessite que les utilisateurs saisissent un nom d’utilisateur ou un ID utilisateur : le format accepté dépend de la configuration de XenMobile pour la recherche des utilisateurs par nom principal d’utilisateur (UPN) ou nom de compte SAM.

Si XenMobile est configuré pour la recherche des utilisateurs par UPN, les utilisateurs doivent entrer un nom UPN au format :

  • nom d’utilisateur@domaine

Si XenMobile est configuré pour la recherche des utilisateurs par SAM, les utilisateurs doivent entrer un nom SAM à l’un des formats suivants :

  • nom d’utilisateur@domaine
  • domaine\nom d’utilisateur

Pour déterminer le type de nom d’utilisateur utilisé par XenMobile :

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.
  2. Cliquez sur LDAP pour afficher la configuration de la connexion LDAP.
  3. Dans la partie inférieure de la page, affichez le champ Recherche utilisateur par :

    • Si l’option est définie sur userPrincipalName, XenMobile est défini pour UPN.
    • Si l’option est définie sur sAMAccountName, XenMobile est défini pour SAM.

Provisionner le mode Appareil géré de travail dans Android for Work

Le mode Appareil géré de travail pour Android for Work est uniquement disponible pour les appareils appartenant à l’entreprise. XenMobile prend en charge ces méthodes d’inscription dans le mode Appareil géré de travail :

  • afw#xenmobile : avec cette méthode d’inscription, l’utilisateur entre les caractères « afw#xenmobile » lors de la configuration de l’appareil. Ce jeton identifie l’appareil comme étant géré par XenMobile et télécharge Secure Hub.
  • Partage de données à l’aide de NFC : la méthode d’inscription avec le partage NFC peut être utilisée sur des appareils de la flotte qui ont été réinitialisés à leurs paramètres d’usine. Un partage NFC permet de transférer des données entre deux appareils en utilisant une communication en champ proche. Bluetooth, Wi-Fi et les autres modes de communication sont désactivés sur un appareil dont les paramètres d’usine ont été réinitialisés. NFC est le seul protocole de communication que l’appareil peut utiliser dans cet état.
  • Code QR : le provisioning de code QR est un moyen simple de configurer une flotte distribuée d’appareils qui ne prennent pas en charge la technologie NFC, tels que les tablettes. La méthode d’inscription avec le code QR peut être utilisée sur des appareils de la flotte qui ont été réinitialisés à leurs paramètres d’usine. La méthode d’inscription avec le code QR permet de configurer le mode Appareil géré de travail en scannant un code QR depuis l’assistant d’installation.

afw#xenmobile

La méthode d’inscription est utilisée après la mise sous tension d’un nouvel appareil ou d’un appareil réinitialisé à ses paramètres d’usine lors de la configuration initiale. Les utilisateurs entrent « afw#xenmobile » lorsqu’ils sont invités à entrer un compte Google. Cette action télécharge et installe Secure Hub. Les utilisateurs suivent les invites de configuration de Secure Hub pour terminer l’inscription.

Partage de données avec NFC

Pour inscrire un appareil en mode d’appareil à l’aide du partage NFC, deux appareils sont requis : un qui a été réinitialisé à ses paramètres d’usine et un exécutant l’application XenMobile Provisioning Tool.

Conditions préalables :

  • Version 10.4 du serveur XenMobile activée pour Android for Work.
  • Un appareil dont les paramètres d’usine ont été réinitialisés, provisionné pour Android for Work en mode Appareil géré de travail. Les étapes à suivre pour satisfaire ces conditions préalables sont disponibles plus loin dans cet article.
  • Un autre appareil avec capacité NFC, exécutant l’application Provisioning Tool configurée. Provisioning Tool est disponible dans Secure Hub 10.4 où sur la page des téléchargements de Citrix.

Chaque appareil ne peut disposer que d’un profil Android for Work, géré par une application de gestion de la mobilité d’entreprise (EMM). Dans XenMobile, Secure Hub est l’application EMM. Un seul profil est autorisé sur chaque appareil. Si vous essayez d’ajouter une deuxième application EMM, la première application EMM sera supprimée.

Vous pouvez démarrer le mode Appareil géré de travail sur des nouveaux appareils ou sur des appareils dont les paramètres d’usine ont été réinitialisés. La gestion de l’appareil est effectuée entièrement sur XenMobile.

Données transférées via le partage NFC

Le provisioning d’un appareil dont les paramètres d’usine ont été réinitialisés requiert que vous envoyiez les données suivantes via NFC pour initialiser Android for Work :

  • Nom du package de l’application EMM du fournisseur qui fait office de propriétaire de l’appareil (dans ce cas, Secure Hub).
  • Emplacement intranet/Internet à partir duquel l’appareil peut télécharger l’application EMM du fournisseur.
  • Hachage SHA1 de l’application EMM du fournisseur pour vérifier que le téléchargement a réussi.
  • Détails de la connexion Wi-Fi de façon à ce qu’un appareil dont les paramètres d’usine ont été réinitialisés puisse se connecter et télécharger l’application EMM du fournisseur. Remarque : Android ne prend pas charge 802.1x Wi-Fi pour cette étape.
  • Fuseau horaire de l’appareil (facultatif).
  • Emplacement géographique de l’appareil (facultatif).

Lorsque les deux appareils sont « cognés », les données de Provisioning Tool sont envoyées à l’appareil dont les paramètres d’usine ont été réinitialisés. Ces données sont ensuite utilisées pour télécharger Secure Hub avec des paramètres d’administrateur. Si vous ne précisez pas le fuseau horaire ni l’emplacement, Android les configure automatiquement sur le nouvel appareil.

Configuration de XenMobile Provisioning Tool

Avant de partager des données avec NFC, vous devez configurer Provisioning Tool. Cette configuration est ensuite transférée à l’appareil dont les paramètres d’usine ont été réinitialisés durant le partage des données avec NFC.

Image de la configuration de Provisioning Tool

Vous pouvez entrer des données dans les champs requis ou les renseigner via un fichier texte. Les étapes de la procédure suivante décrivent comment configurer le fichier texte et contiennent des descriptions pour chaque champ. L’application n’enregistre pas les informations après qu’elles soient entrées, il peut donc s’avérer utile de créer un fichier texte afin de conserver les informations pour une utilisation ultérieure.

Pour configurer le Provisioning Tool à l’aide d’un fichier texte

Appelez le fichier nfcprovisioning.txt et placez-le dans le dossier /sdcard/ sur la carte SD de l’appareil. Cela permet à l’application de lire le fichier texte et renseigner les valeurs.

Le fichier texte doit contenir les données suivantes :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Il s’agit de l’emplacement intranet/Internet de l’application EMM du fournisseur. Après que l’appareil dont les paramètres d’usine ont été réinitialisés se soit connecté au Wi-Fi suite au partage NFC, il doit avoir accès à cet emplacement pour le téléchargement. L’adresse URL est une adresse URL standard qui ne requiert aucun formatage spécial.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Il s’agit de la somme de contrôle de l’application EMM du fournisseur. Elle est utilisée pour vérifier que le téléchargement a réussi. Les étapes à suivre pour obtenir la somme de contrôle sont abordées plus loin dans cet article.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Cette ligne est le SSID Wi-Fi connecté de l’appareil sur lequel Provisioning Tool est exécuté.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Les valeurs prises en charge sont WEP et WPA2. Si le Wi-Fi n’est pas protégé, ce champ doit être vide.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Si le Wi-Fi n’est pas protégé, ce champ doit être vide.

android.app.extra.PROVISIONING_LOCALE=<locale>

Entrez un code de langue et de pays. Les codes de langue sont des codes ISO de deux lettres minuscules (tels que fr) comme défini dans l’ISO 639-1. Les codes de pays sont des codes ISO de deux lettres majuscules (tels que FR) comme défini dans l’ISO 3166-1. À titre d’exemple, entrez fr_FR pour la langue française parlée en France. Si vous n’entrez aucun code, la langue et le pays sont automatiquement renseignés.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

Fuseau horaire dans lequel l’appareil est exécuté. Entrez un nom basé sur la base de données Olson au format zone/emplacement. Par exemple, Europe/Paris pour l’heure de l’Europe occidentale. Si vous n’entrez rien, le fuseau horaire est automatiquement renseigné.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Ces données ne pas requises car la valeur est codée en dur dans l’application Secure Hub. Il n’est mentionné ici que par souci de complétude.

Si un accès protégé Wi-Fi WPA2 est utilisé, un fichier nfcprovisioning.txt peut ressembler à ce qui suit :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=http://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Si un accès non protégé Wi-Fi est utilisé, un fichier nfcprovisioning.txt peut ressembler à ce qui suit :

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=http://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Pour obtenir la somme de contrôle de Secure Hub

Pour obtenir la somme de contrôle d’une application, ajoutez l’application en tant qu’application d’entreprise.

  1. Dans la console XenMobile, accédez à Configurer > Applications et sur Ajouter.

    La fenêtre Ajouter une application s’affiche.

  2. Cliquez sur Entreprise.

    La page Informations sur l’application s’affiche.

    Image de la page Informations sur l'application

  3. Sélectionnez la configuration suivante et cliquez sur Suivant.

    L’écran Application Android for Work d’entreprise s’affiche.

    Image de la page Application Android for Work d'entreprise

  4. Fournissez le chemin d’accès au fichier .apk et cliquez sur Suivant pour charger le fichier.

    Une fois le chargement terminé, vous verrez les détails du package chargé.

    Image de la page de chargement de fichier

  5. Cliquez sur Suivant pour ouvrir une page permettant de télécharger le fichier JSON, que vous pouvez ensuite utiliser pour le chargement sur Google Play. Pour Secure Hub, le chargement sur Google Play n’est pas requis, mais vous avez besoin du fichier JSON pour lire la valeur SHA1.

    Image de la page de téléchargement de fichier JSON

    Un fichier JSON typique ressemble à ce qui suit :

    Image d'un fichier JSON typique

  6. Copiez la valeur de file_sha1_base64 et utilisez-la dans le champ Hash de Provisioning Tool.

    Remarque : l’URL du hachage doit être sécurisée.

    • Convertissez tous les symboles + en -
    • Convertissez tous les symboles / en _
    • Remplacez \u003d à la fin de la valeur par =

    Si vous stockez le hachage dans le fichier nfcprovisioning.txt de la carte SD de l’appareil, l’application procède à la conversion de sécurité. Toutefois, si vous décidez d’entrer le hachage manuellement, il est de votre responsabilité de vous assurer que l’URL est sécurisée.

Bibliothèques utilisées

Provisioning Tool utilise les bibliothèques suivantes dans son code source :

Code QR

Pour inscrire un appareil en mode Propriétaire d’appareil à l’aide d’un code QR, générez un code QR en créant un JSON et en convertissant le JSON en un code QR. Le code QR est scanné par l’appareil photo de l’appareil pour inscrire l’appareil.

Prérequis pour l’utilisation du code QR :

  • Le provisioning du mode Appareil géré de travail à l’aide du code QR est pris en charge sur tous les appareils Android exécutant Android 7.0 et versions ultérieures.
Créer un code QR à partir d’un JSON

Créez un JSON avec les champs suivants.

Ces champs sont obligatoires :

Clé : android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valeur : com.zenprise/com.zenprise.configuration.AdminFunction

Clé : android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valeur : qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Clé : android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valeur: https://path/to/securehub.apk

Remarque :

si Secure Hub est chargé sur le serveur Citrix XenMobile en tant qu’une application d’entreprise, il peut être téléchargé à partir de https://<fqdn>:4443/*instanceName*/worxhome.apk. Le chemin d’accès à Secure Hub APK doit être accessible via la connexion Wi-Fi à laquelle l’appareil se connecte lors du provisioning.

Ces champs sont facultatifs :

  • android.app.extra.PROVISIONING_LOCALE : entrez un code de langue et de pays.

    Les codes de langue sont des codes ISO de deux lettres minuscules (tels que fr) comme défini dans l’ISO 639-1. Les codes de pays sont des codes ISO de deux lettres majuscules (tels que FR) comme défini dans l’ISO 3166-1. À titre d’exemple, entrez fr_FR pour la langue française parlée en France.

  • android.app.extra.PROVISIONING_TIME_ZONE : fuseau horaire dans lequel l’appareil est exécuté.

    Entrez un nom basé sur la base de données Olson au format zone/emplacement. Par exemple, Europe/Paris pour l’heure de l’Europe occidentale. Si vous n’entrez rien, le fuseau horaire est automatiquement renseigné.

  • android.app.extra.PROVISIONING_LOCAL_TIME : durée en millisecondes depuis l’heure Unix.

    L’heure Unix (également appelée heure POSIX ou Unix timestamp) est le nombre de secondes écoulées depuis le 1er janvier 1970 (minuit UTC/GMT). L’heure n’inclut pas les secondes intercalaires (dans ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION : définissez cette option sur true pour ignorer le cryptage lors de la création du profil. Définissez cette option sur false pour forcer le cryptage lors de la création du profil.

Un fichier JSON typique ressemble à ce qui suit :

Image d'un fichier JSON typique

Validez le fichier JSON créé à l’aide de n’importe quel outil de validation JSON, tel que https://jsonlint.com. Convertissez cette chaîne JSON en un code QR à l’aide de n’importe quel générateur de code QR en ligne, tel que http://goqr.me.

Ce code QR est scanné par un appareil dont les paramètres d’usine ont été réinitialisés pour inscrire l’appareil dans le mode Appareil géré de travail.

Pour inscrire l’appareil

Pour inscrire un appareil en mode Appareil géré de travail, les paramètres d’usine de l’appareil doivent être réinitialisés.

  1. Touchez l’écran 6 fois sur l’écran d’accueil pour lancer le flux d’inscription du code QR.
  2. Lorsque vous y êtes invité, connectez-vous au Wi-Fi. L’emplacement de téléchargement de Secure Hub dans le code QR (codé dans le JSON) est accessible sur ce réseau Wi-Fi.

    Une fois que l’appareil se connecte au Wi-Fi, il télécharge un lecteur de code QR à partir de Google et lance l’appareil photo.

  3. Pointez l’appareil photo sur le code QR pour scanner le code.

    Android télécharge Secure Hub à partir de l’emplacement de téléchargement dans le code QR, valide la signature du certificat de signature, installe Secure Hub et le définit comme propriétaire de l’appareil.

Pour plus d’informations, consultez ce guide Google pour les développeurs Android EMM : https://developers.google.com/android/work/prov-devices#qr_code_method.

Provisionner le mode Profil de travail dans Android for Work

Le mode Profil de travail pour Android for Work est disponible pour les appareils sur lesquels vous séparez de manière sécurisée les zones professionnelles et personnelles d’un appareil. Par exemple, le mode de profil de travail est disponible pour les périphériques BYOD. L’expérience d’inscription du mode Profil de travail est similaire à l’inscription Android dans XenMobile. Les utilisateurs téléchargent Secure Hub depuis Google Play et inscrivent leurs appareils.

Par défaut, les paramètres Débogage USB et Sources inconnues sont désactivés sur un appareil lorsqu’il est inscrit en mode de profil professionnel dans Android for Work.

Conseil :

Lors de l’inscription d’appareils Android for Work en mode Profil de travail, accédez toujours à Google Play. De là, activez l’affichage de Secure Hub dans le profil personnel de l’utilisateur.

Prise en charge des appareils COSU Android for Work

XenMobile prend en charge la gestion des appareils d’entreprise à usage unique (COSU) Android for Work. Les appareils COSU remplissent une seule fonction, comme la signalisation numérique, l’impression de tickets ou la gestion des stocks. Les administrateurs limitent ces appareils à une application ou à un ensemble restreint d’applications. Les administrateurs empêchent également les utilisateurs d’activer d’autres applications ou d’effectuer d’autres actions sur l’appareil.

Pour provisionner des appareils COSU :

  • Ajoutez un rôle RBAC (contrôle d’accès basé sur un rôle) pour permettre aux administrateurs XenMobile d’inscrire des appareils COSU à votre déploiement XenMobile. Ce rôle est nouveau dans cette version de XenMobile Server. Attribuez ce rôle aux utilisateurs auxquels vous souhaitez donner la possibilité d’inscrire des appareils COSU.
  • Ajoutez un profil d’inscription pour les administrateurs XenMobile que vous autorisez à inscrire des appareils COSU dans votre déploiement XenMobile.
  • Ajoutez à la liste blanche les applications auxquelles vous souhaitez que l’appareil COSU accède.
  • (Facultatif) Activez le mode de verrouillage des tâches pour l’application en liste blanche. Lorsqu’une application est en mode de verrouillage des tâches, elle est épinglée sur l’écran de l’appareil lorsque l’utilisateur l’ouvre. Aucun bouton d’accueil n’apparaît et le bouton Retour est désactivé. L’utilisateur quitte l’application à l’aide d’une action programmée dans l’application, comme la déconnexion.

Configuration système requise

La prise en charge de l’inscription des appareils COSU Android commence avec Android 6.0.

Ajouter le rôle COSU

Le rôle RBAC pour l’inscription d’appareils COSU permet à XenMobile de provisionner et d’activer en mode silencieux un compte Google Play géré sur l’appareil. Contrairement aux comptes d’utilisateurs Google Play gérés, ces comptes d’appareils identifient un appareil qui n’est pas lié à un utilisateur.

Vous affectez ce rôle RBAC aux administrateurs XenMobile pour leur permettre d’inscrire des appareils COSU.

Pour ajouter le rôle RBAC pour inscrire les appareils COSU :

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Cliquez sur Contrôle d’accès basé sur rôle. La page Contrôle d’accès basé sur rôle qui apparaît affiche les quatre rôles utilisateur par défaut, ainsi que tout rôle que vous avez déjà ajouté.

  3. Cliquez sur Ajouter. La page Ajouter un rôle s’affiche.

  4. Entrez les informations suivantes.

    • Nom RBAC : entrez COSU ou un nom descriptif pour le rôle. Vous ne pouvez pas modifier le nom d’un rôle.
    • Modèle RBAC : choisissez le modèle ADMIN.
    • Accès autorisé : sélectionnez Accès à la console d’admin et Inscription d’appareils COSU.
    • Fonctionnalités de la console : sélectionnez Appareils.
    • Appliquer les autorisations : sélectionnez les groupes auxquels vous voulez appliquer le rôle COSU. Si vous cliquez sur À des groupes d’utilisateurs spécifiques, une liste des groupes s’affiche à partir de laquelle vous pouvez sélectionner un ou plusieurs groupes.
  5. Cliquez sur Suivant. La page Attribution s’affiche.

  6. Entrez les informations suivantes pour attribuer le rôle à des groupes d’utilisateurs.

    • Sélectionner un domaine : cliquez sur un domaine dans la liste.
    • Inclure des groupes d’utilisateurs : cliquez sur Rechercher pour afficher la liste de tous les groupes disponibles. Ou, tapez un nom de groupe complet ou partiel pour limiter la liste aux seuls groupes portant ce nom.
    • Dans la liste qui s’affiche, sélectionnez les groupes d’utilisateurs auxquels vous souhaitez attribuer le rôle. Lorsque vous sélectionnez un groupe d’utilisateurs, le groupe apparaît dans la liste Groupes d’utilisateurs sélectionnés.
  7. Cliquez sur Enregistrer.

Ajouter un profil d’inscription COSU

Lorsque votre déploiement XenMobile inclut des appareils COSU, un seul administrateur ou un groupe restreint d’administrateurs XenMobile peut inscrire de nombreux appareils COSU. Pour vous assurer que ces administrateurs peuvent inscrire tous les appareils requis, créez un profil d’inscription pour eux avec un nombre illimité d’appareils autorisés par utilisateur. Attribuez ce profil à un groupe de mise à disposition contenant les administrateurs qui inscrivent les appareils COSU. De cette façon, même si le profil Global par défaut a un nombre limité d’appareils autorisés par utilisateur, les administrateurs peuvent inscrire un nombre illimité d’appareils. Ces administrateurs doivent figurer dans le profil d’inscription COSU.

  1. Accédez à Configurer > Profils d’inscription. Le profil Global par défaut s’affiche.

  2. Pour ajouter un profil d’inscription, cliquez sur Ajouter. Dans la page Infos d’inscription, entrez un nom pour le profil d’inscription. Assurez-vous que le nombre d’appareils que les membres avec ce profil peuvent inscrire est défini sur illimité.

    Image de l'écran de configuration Profils d'inscription

  3. Cliquez sur Suivant. L’écran Attribution de groupes de mise à disposition s’affiche.

  4. Choisissez le(s) groupe(s) de mise à disposition contenant les administrateurs qui inscrivent les appareils COSU. Cliquez ensuite sur Enregistrer.

    La page Profil d’inscription apparaît avec le profil que vous avez ajouté.

    Image de l'écran de configuration Profils d'inscription

Mettre des applications sur liste blanche et définir le mode de verrouillage des tâches

La stratégie Kiosque vous permet d’ajouter des applications à la liste blanche et de définir le mode de verrouillage des tâches. Par défaut, les services Secure Hub et Google Play sont ajoutés à la liste blanche.

Pour ajouter la stratégie Kiosque :

  1. Dans la console XenMobile, cliquez sur Configurer > Stratégies d’appareil. La page Stratégies d’appareil s’affiche.

  2. Cliquez sur Ajouter. La boîte de dialogue Ajouter une nouvelle stratégie apparaît.

  3. Développez Plus puis, sous Sécurité, cliquez sur Kiosque. La page Stratégie kiosque s’affiche.

  4. Sous Plates-formes, sélectionnez Android for Work.

  5. Dans le volet Informations sur la stratégie, tapez le nom de la stratégie et une description facultative.

  6. Cliquez sur Suivant, puis sur Ajouter.

  7. Pour ajouter une application à la liste blanche et autoriser ou refuser le mode de verrouillage des tâches pour cette application :

    Sélectionnez dans la liste l’application que vous souhaitez ajouter à la liste blanche.

    Choisissez Autoriser pour que l’application soit épinglée sur l’écran de l’appareil lorsque l’utilisateur démarre l’application. Choisissez Refuser pour que l’application ne soit pas épinglée. La valeur par défaut est Autoriser.

    Image de l'écran de configuration Stratégies d'appareil

  8. Cliquez sur Enregistrer.

  9. Pour ajouter une autre application à la liste blanche et autoriser ou refuser le mode de verrouillage des tâches, cliquez sur Ajouter.

  10. Configurez les règles de déploiement et choisissez des groupes de mise à disposition. Pour de plus amples informations, consultez la section Stratégies d’appareil.

Configurer l’accès partenaire G Suite pour XenMobile

Certaines fonctionnalités de gestion des points de terminaison pour Chrome utilisent des API partenaires de Google pour la communication entre XenMobile et votre domaine G Suite. Par exemple, XenMobile requiert les API pour les stratégies qui gèrent les fonctionnalités de Chrome, telles que le mode de navigation privée et le mode Invité.

Pour activer les API partenaires, vous devez configurer votre domaine G Suite dans la console XenMobile, puis configurer votre compte G Suite.

Configurer votre domaine G Suite dans XenMobile

Pour permettre à XenMobile de communiquer avec les API de votre domaine G Suite, accédez à Paramètres > Configuration de Google Chrome et configurez les paramètres.

Image de l'écran des paramètres Google Chrome

  • Domaine G Suite : domaine G Suite hébergeant les API requises par XenMobile.
  • Compte d’administrateur G Suite : compte administrateur de votre domaine G Suite.
  • ID client G Suite : identifiant client pour Citrix. Utilisez cette valeur pour configurer l’accès partenaire pour le domaine G Suite.
  • Identifiant d’entreprise G Suite : identifiant d’entreprise de votre compte, renseigné à partir de votre compte d’entreprise Google.

Activer l’accès partenaire pour les appareils et les utilisateurs de votre domaine G Suite

  1. Connectez-vous à la console d’administration Google : https://admin.google.com

  2. Cliquez sur Gestion des appareils.

    Écran de la console d'administration Google

  3. Cliquez sur Gestion de Chrome.

    Écran de la console d'administration Google

  4. Cliquez sur Paramètres utilisateur.

    Écran de la console d'administration Google

  5. Recherchez Gestion de Chrome - Accès Partenaire.

    Écran de la console d'administration Google

  6. Activez la case à cocher Activer la gestion de Chrome - Accès Partenaire.

  7. Confirmez que vous comprenez et que vous souhaitez activer l’accès partenaire. Cliquez sur Enregistrer.

  8. Sur la page Gestion de Chrome, cliquez sur Paramètres utilisateur.

    Écran de la console d'administration Google

  9. Recherchez Gestion de Chrome - Accès Partenaire.

    Écran de la console d'administration Google

  10. Activez la case à cocher Activer la gestion de Chrome - Accès Partenaire.

  11. Confirmez que vous comprenez et que vous souhaitez activer l’accès partenaire. Cliquez sur Enregistrer.

  12. Accédez à la page Sécurité, puis cliquez sur Paramètres avancés.

    Écran de la console d'administration Google

  13. Cliquez sur Gérer l’accès au client d’API.

  14. Dans la console XenMobile, accédez à Paramètres > Configuration de Google Chrome et copiez la valeur de l’ID client G Suite. Retournez ensuite à la page Gérer l’accès au client d’API et collez la valeur copiée dans le champ Nom du client.

  15. Dans Un ou plusieurs champs d’application d’API, ajoutez l’URL : https://www.googleapis.com/auth/chromedevicemanagementapi

    Écran de la console d'administration Google

  16. Cliquez sur Autoriser.

    Le message « Vos paramètres ont été sauvegardés » apparaît.

Image de l'écran de configuration Stratégies d'appareil

Android for Work