Product Documentation

Gerenciamento de dispositivos com Android for Work no XenMobile

Oct 06, 2016

O Android for Work é um espaço de trabalho seguro, disponível nos dispositivos Android que executam o Android 5.0 e versões posteriores, que isola contas, aplicativos e dados comerciais de contas, aplicativos e dados pessoais. No XenMobile, você gerencia dispositivos Android de propriedade da empresa e do tipo “traga seu próprio dispositivo” (BYOD) fazendo com que os usuários criem um perfil de trabalho separado nos dispositivos deles que, combinado com a criptografia de hardware e as políticas que você implanta, separam de forma segura as áreas corporativa e pessoal em um dispositivo. Você pode gerenciar remotamente todas as políticas, os aplicativos e os dados corporativos, e apagar as políticas, os aplicativos e os dados do dispositivo sem afetar a área pessoal do usuário. Para obter mais informações sobre os dispositivos Android compatíveis, consulte a página de dispositivos do Google.

No XenMobile, você também pode gerenciar dispositivos que executam o Android 4.0 a 4.4 fazendo com que os usuários baixem e instalem o aplicativo Android for Work, que oferece a mesma funcionalidade de espaço de trabalho seguro internamente nos dispositivos que executam o Android 5.0 e versões posteriores.

Você usa o Google Play for Work para adicionar, comprar e aprovar aplicativos para implantação no espaço de trabalho do Android for Work de um dispositivo. Você pode usar o Google Play for Work para implantar os seus aplicativos Android privados, bem como aplicativos públicos e de terceiros. Quando você adiciona um aplicativo de loja de aplicativos pública ao XenMobile para um Android for Work, pode analisar o status de licenciamento da Compra em Massa: o número total de licenças disponíveis e o número de licenças em uso no momento, bem como o endereço de email de cada usuário que consome as licenças. Para obter detalhes, consulte Para adicionar um aplicativo de loja de aplicativos pública ao XenMobile.

Requisitos do Android for Work:

  • Um domínio publicamente acessível
  • Uma conta de administrador do Google
  • Dispositivos executando o Android 5.0+ Lollipop compatíveis com perfis gerenciados ou dispositivos executando o Android 4.0 a 4.4 (Ice Cream Sandwich, Jelly Bean e KitKat) com o aplicativo Android for Work
  • Uma conta do Google com o Google Play instalado no perfil pessoal do usuário
  • Um perfil de trabalho configurado no dispositivo

Antes de definir restrições de aplicativo Android for Work, você deve fazer o seguinte:

  • Concluir as tarefas de instalação do Android for Work no Google.
  • Criar um conjunto de Credenciais do Google Play.
  • Definir as configurações de servidor do Android for Work.
  • Criar pelo menos uma política de dispositivo do Android for Work.
  • Adicionar, comprar e aprovar aplicativos do Android for Work na loja de aplicativos do Google Play for Work.

Você pode usar os seguintes links ao gerenciar o Android for Work:

Pré-requisitos do Android for Work

Antes de administrar o Android for Work no XenMobile, você deve

  • Criar uma conta do Android for Work.
  • Configurar uma conta de serviço.
  • Baixar um certificado do Android for Work
  • Ativar e autorizar o Google Admin SDK e as APIs MDM.
  • Autorizar a sua conta de serviço para usar o diretório e o Google Play.
  • Obter um token de associação.

As seções a seguir descrevem como realizar cada uma dessas tarefas. Depois de concluí-las, você poderá criar um conjunto de Credenciais do Google Play, definir as configurações do Google Play e gerenciar os aplicativos do Android for Work no XenMobile.

Aviso

Há um terceiro problema conhecido que impede que você use o console XenMobile para ativar o Android for Work. Para obter detalhes sobre o problema e como configurar uma propriedade de servidor como alternativa, consulte o problema #615118 em Problemas conhecidos do servidor XenMobile 10.3 .  

Criar uma conta do Android for Work

Antes de configurar uma conta do Android for Work, você deve atender aos seguintes pré-requisitos:

  • Você deve possuir um nome de domínio; por exemplo, exemplo.com.
  • Deixar que o Google verifique que você possui o domínio.
  • Você deve ativar e administrar o Android for Work por meio de um provedor de gerenciamento de mobilidade empresarial (EMM) (XenMobile 10.1 ou mais recente).

Se você já tiver verificado o nome do domínio junto ao Google, poderá seguir para esta etapa: Configurar uma conta de serviço do Android for Work e baixar um certificado do Android for Work.

Você chega à seguinte página, na qual deve inserir as informações de administrador e da empresa.

localized image

2. Insira as informações de usuário administrador.

localized image

3. Insira as informações da empresa, bem como as informações da conta de administrador.

localized image

A primeira etapa no processo foi concluída e você vê a página a seguir.

localized image

Verificar a propriedade do domínio

Agora, você deve permitir que o Google verifique o seu domínio. Existem três formas de verificar o seu domínio: adicionando um registro TXT ou CNAME ao site do host do seu domínio, carregando um arquivo HTML para o servidor Web do seu domínio ou adicionando uma marca à sua página inicial. O Google recomenda o primeiro método. As etapas para verificar a propriedade do seu domínio não são abrangidas neste artigo, mas você pode encontrar as informações de que precisa aqui: https://support.google.com/a/answer/6095407/.

1. Clique em Start para iniciar a verificação do seu domínio. A página Verify domain ownership é exibida. Siga as instruções para verificar o seu domínio.

2. Quando tiver terminado, clique em Verify.

localized image
localized image

3. O Google verifica a propriedade do domínio.

localized image

4. Você vê a página a seguir após uma verificação bem-sucedida. Clique em Continue.

localized image

5. O Google cria um token de associação de EMM que você fornece para a Citrix e usa ao definir as configurações do Android for Work. Copie e salve o token; você precisará dele mais tarde no processo de instalação.

localized image

6. Clique em Finish para concluir a instalação do Android for Work.

localized image

Depois de criar uma conta de serviço do Android for Work, você poderá fazer login no console do Google Admin para gerenciar as configurações de gerenciamento de mobilidade do Android for Work.

Configurar uma conta de serviço do Android for Work e baixar um certificado do Android for Work

Para permitir que o XenMobile contate os serviços do Google Play e do Directory, você deverá criar uma nova conta de serviço usando o portal do projeto do Google para desenvolvedores. Essa conta de serviço é usada para a comunicação servidor-a-servidor entre o XenMobile e os serviços do Google para o Android for Work. Para obter mais informações sobre o protocolo de autenticação usado, acesse https://developers.google.com/identity/protocols/OAuth2ServiceAccount.

1. Em um navegador da Web, acesse https://console.cloud.google.com/project e faça login com as suas credenciais de administrador do Google. 

2. Na lista Projects, clique em Create Project.  

localized image

3. Em Project name, insira um nome para o projeto.

localized image

4. Em Dashboard, clique em Use Google APIs.

localized image

5. Na página de APIs do Google, em Search, insira EMM e, em seguida, clique no resultado da pesquisa.

localized image

6. Na página Overview, clique em Enable.

localized image

7. Ao lado de Google Play EMM API, clique em Go to Credentials.

localized image

8. Na lista Add credentials to our project, na etapa 1, clique em service account.

localized image

9. Na página Contas de Serviço, clique em Criar Conta de Serviço.

localized image

10. Em Create service account key, dê um nome à conta, marque a caixa de seleção Furnish a new private key, clique em P12, marque a caixa de seleção Enable Google Apps Domain-wide Delegation e clique em Create.

localized image

O certificado (arquivo P12) é baixado para o seu computador. Não se esqueça de salvar o certificado em uma localização segura.

11. Na tela de confirmação Service account created, clique em Close.

localized image

12. Em Permissions, clique em Service accounts e, nas Options da sua conta de serviço, clique em View Client ID.

localized image

13. Os detalhes necessários para a autorização da conta no console de administração do Google são exibidos. Copie o Client ID e o Service account ID para uma localização de onde você possa recuperar as informações mais tarde. Você vai precisar delas, juntamente com o nome de domínio, para enviar para o suporte da Citrix para inclusão na lista branca.

localized image

14. Abra o console de administração do Google do seu domínio e clique em Security.

localized image

15. Clique nas configurações do Android for Work.

localized image

16. Em Client Name, insira a ID de cliente que você salvou anteriormente. Em One or More API Scopes, insira https://www.googleapis.com/auth/admin.directory.user e clique em Authorize.

localized image

Vinculando ao EMM

Antes de usar o XenMobile para gerenciar os seus dispositivos do Android for Work, você deve contatar o Suporte Técnico da Citrix (https://www.citrix.com/contact/technical-support.html) e fornecer o seu nome de domínio, conta de serviço e token de associação. A Citrix associará o token ao XenMobile como o seu provedor de gerenciamento de mobilidade empresarial (EMM).

1. Para confirmar a associação, faça login no portal do Google Admin e clique em Security.

2. Clique em Android for Work settings. Você verá que a conta do Google Android for Work está associada à Citrix como seu provedor de EMM.

localized image

Depois de confirmar o token de associação, você poderá começar a usar o XenMobile para gerenciar dispositivos Android for Work. Você precisa importar o certificado P12 gerado na etapa 14, definir as configurações do servidor do Android for Work, ativar o logon único baseado em SAML e definir pelo menos uma política de dispositivo do Android for Work.

Importar o certificado P12

Siga estas etapas para importar o certificado P12 do Android for Work:

1. Faça login no console XenMobile.

2. Clique no ícone de engrenagem no canto superior direito do console para abrir a página Configurações e clique em Certificados. A página Certificados é exibida.

localized image

3. Clique em Importar. A caixa de diálogo Importar é exibida.

localized image

Defina as seguintes configurações:

  • Importar: na lista, clique em Keystore.
  • Tipo de keystore: na lista, clique em PKCS#12.
  • Usar como: na lista, clique em Servidor.
  • Arquivo de keystore: clique em Procurar e navegue até o certificado P12.
  • Senha: digite a senha do keystore.
  • Descrição: opcionalmente, digite uma descrição do certificado.

4. Clique em Importar.

Definir as configurações de servidor do Android for Work

1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é aberta.

2. Em Servidor, clique em Android for Work. A página Android for Work é exibida.

localized image

Defina as seguintes configurações:

  • Nome de domínio: digite o nome de domínio do Android for Work; por exemplo, domínio.com.
  • Conta de Administrador de Domínio: digite o nome de usuário do administrador de domínio; por exemplo, a conta de email utilizada no Google Developer Portal.
  • ID de conta de serviço: digite seu ID de conta de serviço; por exemplo, o email associado na Conta de Serviço do Google (emaildacontadeserviço@xxxxxxxxx.iam.contadeserviçog.com).
  • Ativar Android for Work: clique para ativar ou desativar o Android for Work.

3. Clique em Salvar.

Ativar o logon único baseado em SAML

1. Faça login no console XenMobile.

2. Clique no ícone de engrenagem no canto superior direito do console. A página Configurações é exibida.

3. Clique em Certificados. A página Certificados é aberta.

localized image

3. Na lista de certificados, clique no certificado SAML.

4. Clique em Exportar e salve o certificado no seu computador.

5. Faça login no portal do Google Admin, em https://admin.google.com, com as credenciais de administrador do Android for Work.

6. Clique em Security.

localized image

7. Em Security, clique em Set up single sign-on (SSO) e defina as seguintes configurações:

localized image
  • Sign-in page URL: digite a URL dos usuários que estão fazendo login no seu sistema e no Google Apps. Por exemplo: https:///aw/saml/signin.
  • Sign-out page URL: digite a URL para a qual os usuários são redirecionados quando fazem logoff. Por exemplo: https:///aw/saml/signout.
  • Change password URL: digite a URL para permitir que os usuários alterem as respectivas senhas no seu sistema. Por exemplo: https:///aw/saml/changepassword. Quando essa opção está definida aqui, os usuários veem isso mesmo que o SSO não esteja disponível.
  • Verification certificate: clique em CHOOSE FILE e navegue até o certificado SAML exportado do XenMobile.

8. Clique em SAVE CHANGES.

Configurar uma política de dispositivo do Android for Work

Você pode configurar qualquer política de dispositivo que desejar, mas é aconselhável configurar uma política de código secreto para que os usuários sejam obrigados a estabelecer um código secreto nos dispositivos deles quando se registrarem pela primeira vez.

localized image

As etapas básicas para configurar qualquer política de dispositivo são:

1. Faça login no console XenMobile.

2. Clique em Configurar > Políticas de dispositivo.

3. Clique em Adicionar e selecione a política que você desejar adicionar na caixa de diálogo Adicionar uma nova política (nesse exemplo, você clica em Código Secreto).

4. Conclua a página Informações Sobre a Política.

5. Clique em Android for Work e defina as configurações da política.

6. Atribua a política a um grupo de entrega.

Para obter mais informações sobre como configurar outras políticas de dispositivo que estão disponíveis para o Android for Work, consulte Políticas de dispositivo do XenMobile por plataforma.