Android Enterprise

O Android Enterprise é um conjunto de ferramentas e serviços fornecidos pelo Google como uma solução de gerenciamento empresarial para dispositivos Android. Com o Android Enterprise:

• Você usa o XenMobile® para gerenciar dispositivos Android de propriedade da empresa e dispositivos Android pessoais (BYOD).

• Você pode gerenciar o dispositivo inteiro ou um perfil separado no dispositivo. O perfil separado isola contas, aplicativos e dados corporativos de contas, aplicativos e dados pessoais.

• Você também pode gerenciar dispositivos dedicados a um único uso, como gerenciamento de estoque. Para uma visão geral dos recursos do Android Enterprise do Google, consulte Gerenciamento do Android Enterprise.

Recursos:

• Para obter uma lista de termos e definições relacionados ao Android Enterprise, consulte terminologia do Android Enterprise no guia do desenvolvedor do Google Android Enterprise. O Google atualiza esses termos com frequência.

• Para sistemas operacionais Android compatíveis com o XenMobile, consulte Sistemas operacionais de dispositivos compatíveis.

• Para obter informações sobre as conexões de saída a serem consideradas ao configurar ambientes de rede para o Android Enterprise, consulte o artigo de suporte do Google, Requisitos de Rede do Android Enterprise.

Ao integrar o XenMobile com o Google Play gerenciado para usar o Android Enterprise, você cria uma empresa. O Google define uma empresa como uma vinculação entre a organização e sua solução de gerenciamento de mobilidade empresarial (EMM). Todos os usuários e dispositivos que a organização gerencia por meio de sua solução pertencem à sua empresa.

Uma empresa para o Android Enterprise tem três componentes: uma solução EMM, um aplicativo de controlador de política de dispositivo (DPC) e uma plataforma de aplicativos empresariais do Google. Ao integrar o XenMobile com o Android Enterprise, a solução completa tem estes componentes:

• XenMobile: O EMM da Citrix. O XenMobile é a solução unificada do XenMobile para um espaço de trabalho digital seguro. O XenMobile fornece os meios para que os administradores de TI gerenciem dispositivos e aplicativos para suas organizações.
• Citrix Secure Hub™: O aplicativo DPC da Citrix. O Secure Hub é a plataforma de lançamento do XenMobile. O Secure Hub aplica políticas no dispositivo.
• Google Play gerenciado: Uma plataforma de aplicativos empresariais do Google que se integra ao XenMobile. A API EMM do Google Play define políticas de aplicativos e distribui aplicativos.

Esta ilustração mostra como os administradores interagem com esses componentes e como os componentes interagem entre si:

Usar o Google Play gerenciado com o XenMobile

Nota:

Você pode usar o Google Play gerenciado ou o Google Workspace para registrar a Citrix como seu provedor EMM. Este artigo aborda o uso do Android Enterprise com o Google Play gerenciado. Se sua organização usa o Google Workspace para fornecer acesso a aplicativos, você pode usá-lo com o Android Enterprise. Consulte Android Enterprise herdado para clientes do Google Workspace (anteriormente G-Suite).

Ao usar o Google Play gerenciado, você provisiona Contas do Google Play gerenciadas para dispositivos e usuários finais. As Contas do Google Play gerenciadas fornecem acesso ao Google Play gerenciado, permitindo que os usuários instalem e usem os aplicativos que você disponibiliza. Se sua organização usa um serviço de identidade de terceiros, você pode vincular Contas do Google Play gerenciadas às suas contas de identidade existentes.

Como esse tipo de empresa não está vinculado a um domínio, você pode criar mais de uma empresa para uma única organização. Por exemplo, cada departamento ou região dentro de uma organização pode se registrar como uma empresa diferente para gerenciar conjuntos separados de dispositivos e aplicativos.

Para administradores do XenMobile, o Google Play gerenciado combina a experiência do usuário e os recursos da loja de aplicativos do Google Play com um conjunto de recursos de gerenciamento projetados para empresas. Você usa o Google Play gerenciado para adicionar, comprar e aprovar aplicativos para implantação no espaço de trabalho do Android Enterprise em um dispositivo. Você pode usar o Google Play para implantar aplicativos públicos, privados e de terceiros.

Para usuários de dispositivos gerenciados, o Google Play gerenciado é a loja de aplicativos empresariais. Os usuários podem navegar pelos aplicativos, visualizar detalhes dos aplicativos e instalá-los. Ao contrário da versão pública do Google Play, os usuários só podem instalar aplicativos do Google Play gerenciado que você disponibiliza para eles.

Cenários de implantação de dispositivos e modos de operação

O cenário de implantação de dispositivos refere-se a quem possui os dispositivos que você implanta e como você os gerencia. Os perfis de dispositivo referem-se a como o DPC gerencia e aplica políticas nos dispositivos.

Um perfil de trabalho isola contas, aplicativos e dados corporativos de contas, aplicativos e dados pessoais. Para obter mais detalhes sobre perfis de trabalho, consulte o tópico de ajuda do Google Android Enterprise, O que é um perfil de trabalho.

Importante:

Quando os dispositivos Android Enterprise são atualizados para o Android 11, o Google migra os dispositivos gerenciados como “totalmente gerenciados com um perfil de trabalho” para uma nova experiência de perfil de trabalho com segurança aprimorada. Para obter mais informações, consulte Mudanças futuras para o perfil de trabalho totalmente gerenciado do Android Enterprise.

* Os usuários podem compartilhar um dispositivo dedicado. Quando um usuário faz login em um aplicativo em um dispositivo dedicado, o estado de seu trabalho está com o aplicativo, não com o dispositivo.

** O XenMobile não oferece suporte a dispositivos Zebra no modo de perfil de trabalho BYOD. O XenMobile oferece suporte a dispositivos Zebra como dispositivos totalmente gerenciados e no modo legado de dispositivo (também chamado de modo de administrador de dispositivo).

Para obter informações sobre como migrar do modo legado para o modo proprietário do dispositivo ou proprietário do perfil, consulte Migrar da administração de dispositivos para o Android Enterprise.

Métodos de autenticação

Os perfis de registro determinam se os dispositivos Android se registram em MAM, MDM ou MDM+MAM, com a opção para os usuários optarem por não usar o MDM.

Para obter informações sobre como especificar o nível de segurança e as etapas de registro necessárias, consulte Configurar modos de segurança de registro.

O XenMobile oferece suporte aos seguintes métodos de autenticação para dispositivos Android registrados em MDM+MAM. Para obter informações, consulte os artigos em Certificados e autenticação.

• Domínio
• Domínio mais token de segurança
• Certificado de cliente
• Certificado de cliente mais domínio
• Provedores de identidade:
  • Azure Active Directory
  • Provedor de identidade Citrix

Outro método de autenticação raramente usado é o certificado de cliente mais token de segurança. Para obter informações, consulte https://support.citrix.com/article/CTX215200.

Requisitos

Antes de começar a usar o Android Enterprise, você precisa:

• Contas e credenciais:

  • Para configurar o Android Enterprise com o Google Play gerenciado, uma conta corporativa do Google
  • Para baixar os arquivos MDX mais recentes, uma conta de cliente Citrix
  • Para implantar aplicativos privados (opcional), uma conta de desenvolvedor do Google

• Firebase Cloud Messaging (FCM) configurado para o XenMobile. Consulte Firebase Cloud Messaging para obter instruções.

• Para o Samsung Knox Mobile Enrollment (opcional), licenças Knox premium.

Conectar o XenMobile ao Google Play

Para configurar o Android Enterprise para sua organização, registre a Citrix como seu provedor EMM por meio do Google Play gerenciado. Essa configuração conecta o Google Play gerenciado ao XenMobile e cria uma empresa para o Android Enterprise no XenMobile.

Você precisa de uma conta corporativa do Google para fazer login no Google Play.

1. No console do XenMobile, clique no ícone de engrenagem no canto superior direito. A página “Configurações” é exibida.

2. Vá para “Configurações” > “Android Enterprise”.

1. Clique em “Conectar”. O Google Play é aberto.

1. Faça login no Google Play com suas credenciais de conta corporativa do Google. Insira o nome da sua organização e confirme que a Citrix é seu provedor EMM.

2. Um ID de empresa é adicionado para o Android Enterprise. Para habilitar o Android Enterprise, deslize “Habilitar Android Enterprise” para “Sim”.

   

Seu ID de Empresa aparece no console do XenMobile.

Seu ambiente está conectado ao Google e pronto para gerenciar os dispositivos. Agora você pode fornecer aplicativos para os usuários.

O XenMobile pode ser usado para fornecer aos usuários aplicativos de produtividade móvel Citrix, aplicativos MDX, aplicativos de loja de aplicativos públicos, aplicativos web e SaaS, aplicativos empresariais e links da web. Para obter mais informações sobre esses tipos de aplicativos e como fornecê-los aos usuários, consulte Adicionar aplicativos.

A seção a seguir mostra como fornecer aplicativos de produtividade móvel.

Fornecer aplicativos de produtividade móvel Citrix para usuários do Android Enterprise

O fornecimento de aplicativos de produtividade móvel Citrix para usuários do Android Enterprise requer estas etapas.

1. Publique os aplicativos como aplicativos MDX. Consulte Configurar aplicativos como aplicativos MDX.

2. Configure as regras para os desafios de segurança que seus usuários usam para acessar os perfis de trabalho em seus dispositivos. Consulte Configurar política de desafio de segurança.

Os aplicativos que você publica estão disponíveis para dispositivos registrados em sua empresa Android Enterprise.

Nota:

Ao implantar um aplicativo de loja de aplicativos público do Android Enterprise para um usuário Android, esse usuário é automaticamente registrado no Android Enterprise.

Configurar aplicativos como aplicativos MDX

Para configurar um aplicativo de produtividade Citrix como um aplicativo MDX para o Android Enterprise:

1. No console do XenMobile, clique em “Configurar” > “Aplicativos”. A página “Aplicativos” é exibida.

   

2. Clique em “Adicionar”. A caixa de diálogo “Adicionar Aplicativo” é exibida.

   

3. Clique em “MDX”. A página “Informações do Aplicativo” é exibida.

4. No lado esquerdo da página, selecione “Android Enterprise” como a plataforma.

5. Na página “Informações do Aplicativo”, digite as seguintes informações:

   • Nome: Digite um nome descritivo para o aplicativo. Este nome aparece em “Nome do Aplicativo” na tabela “Aplicativos”.
   • Descrição: Digite uma descrição opcional do aplicativo.
   • Categoria do aplicativo: Opcionalmente, na lista, clique na categoria à qual você deseja adicionar o aplicativo. Para obter mais informações sobre categorias de aplicativos, consulte Sobre categorias de aplicativos.

6. Clique em “Avançar”. A página “Aplicativo MDX do Android Enterprise” é exibida.

7. Clique em “Carregar” e navegue até o local do arquivo dos arquivos .mdx para o aplicativo. Selecione o arquivo e clique em “Abrir”.

8. A interface do usuário notifica você se o aplicativo anexado requer aprovação da loja gerenciada do Google Play. Para aprovar o aplicativo sem sair do console do XenMobile, clique em “Sim”.

   

9. Quando a página da loja gerenciada do Google Play for aberta, clique em “Aprovar”.

   

10. Clique em “Aprovar” novamente.

11. Selecione “Manter aprovado quando o aplicativo solicitar novas permissões”. Clique em “Salvar”.

    

12. Quando o aplicativo for aprovado e salvo, mais configurações aparecerão na página. Configure estas configurações:

    • Nome do arquivo: Digite o nome do arquivo associado ao aplicativo.
    • Descrição do aplicativo: Digite uma descrição para o aplicativo.
    • Faixa de produto: Especifique qual faixa de produto você deseja enviar para os dispositivos dos usuários. Se você tiver uma faixa projetada para teste, poderá selecioná-la e atribuí-la aos seus usuários. O padrão é Produção.
    • Versão do aplicativo: Opcionalmente, digite o número da versão do aplicativo.
    • ID do pacote: A URL do aplicativo na Google Play Store.
    • Versão mínima do SO: Opcionalmente, digite a versão mais antiga do sistema operacional que o dispositivo pode executar para usar o aplicativo.
    • Versão máxima do SO: Opcionalmente, digite o sistema operacional mais recente que o dispositivo deve executar para usar o aplicativo.
    • Dispositivos excluídos: Opcionalmente, digite o fabricante ou os modelos de dispositivos que não podem executar o aplicativo.

13. Configure as “Políticas MDX”. Para obter mais informações sobre políticas de aplicativos para aplicativos MDX, consulte Políticas MDX em um Relance e Visão geral do MAM SDK.

14. Configure as regras de implantação. Para obter informações, consulte Implantar recursos.

15. Expanda “Configuração da Loja”. Esta configuração não se aplica a aplicativos do Android Enterprise, que aparecem apenas no Google Play gerenciado.

    

    Opcionalmente, você pode adicionar um FAQ para o aplicativo ou capturas de tela que aparecem na loja de aplicativos. Você também pode definir se os usuários podem avaliar ou comentar sobre o aplicativo.

    • Configure estas configurações:
      • FAQ do aplicativo: Adicione perguntas e respostas de FAQ para o aplicativo.
      • Capturas de tela do aplicativo: Adicione capturas de tela para ajudar a classificar o aplicativo na loja de aplicativos. O gráfico que você carrega deve ser um PNG. Você não pode carregar uma imagem GIF ou JPEG.
      • Permitir classificações de aplicativos: Selecione se deseja permitir que um usuário avalie o aplicativo. O padrão é “ATIVADO”. Permitir comentários de aplicativos: Selecione se deseja permitir que os usuários comentem sobre o aplicativo selecionado. O padrão é “ATIVADO”.

16. Clique em “Avançar”. A página “Aprovações” é exibida.

    

    Você usa fluxos de trabalho quando precisa de aprovação ao criar contas de usuário. Se você não quiser configurar fluxos de trabalho de aprovação, pode pular para a Etapa 15.

    Configure estas configurações para atribuir ou criar um fluxo de trabalho:

    • Fluxo de trabalho a ser usado: Na lista, clique em um fluxo de trabalho existente ou clique em “Criar um novo fluxo de trabalho”. O padrão é “Nenhum”.
    • Se você selecionar “Criar um novo fluxo de trabalho”, configure estas configurações. Para obter mais informações, consulte Aplicar fluxos de trabalho.
    • Nome: Digite um nome exclusivo para o fluxo de trabalho.
    • Descrição: Opcionalmente, digite uma descrição para o fluxo de trabalho.
    • Modelos de aprovação de e-mail: Na lista, selecione o modelo de aprovação de e-mail a ser atribuído. Ao clicar no ícone de olho à direita deste campo, uma caixa de diálogo é exibida onde você pode visualizar o modelo.
    • Níveis de aprovação do gerente: Na lista, selecione o número de níveis de aprovação do gerente necessários para este fluxo de trabalho. O padrão é 1 nível. As opções possíveis são:
      • Não Necessário
      • 1 nível
      • 2 níveis
      • 3 níveis
    • Selecionar domínio do Active Directory: Na lista, selecione o domínio do Active Directory apropriado a ser usado para o fluxo de trabalho.
    • Encontrar aprovadores adicionais necessários: Digite o nome da pessoa adicional necessária no campo de pesquisa e clique em “Pesquisar”. Os nomes são originados no Active Directory.
    • Quando o nome aparecer no campo, selecione a caixa de seleção ao lado do nome. O nome e o endereço de e-mail aparecem na lista “Aprovadores adicionais necessários selecionados”.
      • Para remover uma pessoa da lista “Aprovadores adicionais necessários selecionados”, faça um dos seguintes:
        • Clique em “Pesquisar” para ver uma lista de todas as pessoas no domínio selecionado.
        • Digite um nome completo ou parcial na caixa de pesquisa e clique em “Pesquisar” para limitar os resultados da pesquisa.
        • As pessoas na lista “Aprovadores adicionais necessários selecionados” têm marcas de seleção ao lado de seus nomes na lista de resultados da pesquisa. Role a lista e desmarque a caixa de seleção ao lado de cada nome que você deseja remover.

17. Clique em “Avançar”. A página “Atribuição de Grupo de Entrega” é exibida.

    

18. Ao lado de “Escolher grupos de entrega”, digite para encontrar um grupo de entrega ou selecione um grupo ou grupos na lista. Os grupos que você seleciona aparecem na lista “Grupos de entrega para receber atribuição de aplicativo”.

19. Expanda “Agendamento de Implantação” e configure as seguintes configurações:

    • Ao lado de “Implantar”, clique em “ATIVADO” para agendar a implantação ou clique em “DESATIVADO” para impedir a implantação. A opção padrão é “ATIVADO”.
    • Ao lado de Agendamento de implantação, clique em “Agora” ou “Mais tarde”. A opção padrão é “Agora”.
    • Se você clicar em “Mais tarde”, clique no ícone de calendário e selecione a data e a hora para a implantação.
    • Ao lado de “Condição de implantação”, clique em “Em cada conexão” ou clique em “Somente quando a implantação anterior falhou”. A opção padrão é “Em cada conexão”.

    • Ao lado de “Implantar para conexão sempre ativa”, certifique-se de que “DESATIVADO” esteja selecionado. A opção padrão é “DESATIVADO”. As conexões sempre ativas não estão disponíveis para o Android Enterprise se você começou a usar o XenMobile com a versão 10.18.19 ou posterior. Não recomendamos as conexões para clientes que começaram a usar o XenMobile antes da versão 10.18.19.

      Esta opção se aplica quando você configurou a chave de agendamento de implantação em segundo plano em “Configurações” > “Propriedades do Servidor”.

      O agendamento de implantação que você configura é o mesmo para todas as plataformas. Quaisquer alterações que você fizer se aplicam a todas as plataformas, exceto para “Implantar para conexão sempre ativa”.

20. Clique em “Salvar”.

Repita as etapas para configurar um aplicativo MDX para cada aplicativo de produtividade móvel.

Configurar política de desafio de segurança

A política de dispositivo de senha do XenMobile configura o conjunto de regras para os desafios de segurança que os usuários enfrentam para acessar seus dispositivos ou os perfis de trabalho do Android Enterprise em seus dispositivos. Um desafio de segurança pode ser uma senha ou reconhecimento biométrico. Para obter mais informações sobre a política de senha, consulte Política de dispositivo de senha.

• Se sua implantação do Android Enterprise incluir dispositivos BYOD, configure a política de senha para o perfil de trabalho.
• Se sua implantação incluir dispositivos de propriedade da empresa e totalmente gerenciados, configure a política de senha para o próprio dispositivo.
• Se sua implantação incluir ambos os tipos de dispositivos, configure ambos os tipos de política de senha.

Para configurar a política de senha:

1. No console do XenMobile, vá para “Configurar” > “Políticas de Dispositivo”.

2. Clique em “Adicionar”.

3. Clique em “Mostrar filtro” para exibir o painel “Plataforma da Política”. No painel “Plataforma da Política”, selecione “Android Enterprise”.

4. Clique em “Senha” no painel direito.

1. Insira um “Nome da Política”. Clique em “Avançar”.

   

2. Configure as configurações da política de senha.
   • Defina “Senha do dispositivo necessária” como “Ativado” para ver as configurações disponíveis para desafios de segurança para o próprio dispositivo.
   • Defina “Desafio de segurança do perfil de trabalho” como “Ativado” para ver as configurações disponíveis para desafios de segurança do perfil de trabalho.

3. Clique em “Avançar”.

4. Atribua a política a um ou mais grupos de entrega.

5. Clique em “Salvar”.

Criando perfis de registro

Os perfis de registro controlam como os dispositivos Android são registrados se o Android Enterprise estiver habilitado para sua implantação do XenMobile. Ao criar um perfil de registro para registrar dispositivos Android Enterprise, você pode configurar o perfil de registro para registrar dispositivos novos e redefinidos de fábrica como:

• Dispositivos totalmente gerenciados
• Dispositivos dedicados (dispositivos COSU)
• Dispositivos totalmente gerenciados com um perfil de trabalho (dispositivos COPE)

Você também pode configurar cada um desses perfis de registro do Android Enterprise para registrar dispositivos Android BYOD como dispositivos de perfil de trabalho.

Se o Android Enterprise estiver habilitado para sua implantação do XenMobile, todos os dispositivos Android recém-registrados ou registrados novamente serão registrados como dispositivos Android Enterprise. Por padrão, o perfil de registro Global registra dispositivos Android novos e redefinidos de fábrica como dispositivos totalmente gerenciados e registra dispositivos Android BYOD como dispositivos de perfil de trabalho.

Ao criar perfis de registro, você atribui grupos de entrega a eles. Se um usuário pertencer a vários grupos de entrega que têm perfis de registro diferentes, o nome do grupo de entrega determinará o perfil de registro usado. O XenMobile seleciona o grupo de entrega que aparece por último em uma lista alfabetizada de grupos de entrega. Para obter mais informações, consulte Perfis de registro.

Você pode usar perfis de registro para combinar vários casos de uso, como somente MDM, MDM+MAM e somente MAM. Seu tipo de licença do XenMobile Server, refletido na propriedade do servidor, xms.server.mode, determina as configurações disponíveis em “Configurar” > “Perfis de Registro”.

Adicionar um perfil de registro para dispositivos totalmente gerenciados

O perfil de registro Global registra dispositivos totalmente gerenciados por padrão, mas você pode criar mais perfis de registro para registrar dispositivos totalmente gerenciados.

1. No console do XenMobile, vá para “Configurar” > “Perfis de Registro”.

2. Para adicionar um perfil de registro, clique em “Adicionar”. Na página “Informações de Registro”, digite um nome para o perfil de registro.

3. Defina o número de dispositivos que os membros com este perfil podem registrar.

4. Selecione “Android” em “Plataformas” ou clique em “Avançar”. A página “Configuração de Registro” é exibida.

5. Defina “Gerenciamento” como “Android Enterprise”.

6. Defina “Modo de proprietário do dispositivo” como “Dispositivo de propriedade da empresa”.

   

7. O “Perfil de trabalho BYOD” permite configurar o perfil de registro para registrar dispositivos BYOD como dispositivos de perfil de trabalho. Dispositivos novos e redefinidos de fábrica são registrados como dispositivos totalmente gerenciados.

   • Defina “Perfil de trabalho BYOD” como “Ativado” para permitir o registro de dispositivos BYOD como dispositivos de perfil de trabalho. O padrão é “Ativado”.
   • Defina “Perfil de trabalho BYOD” como “Desativado” para restringir o registro a dispositivos totalmente gerenciados.

8. Escolha se deseja registrar dispositivos no Citrix MAM.

9. Se você definir “Perfil de trabalho BYOD” como “Ativado”, configure o consentimento do usuário. Para permitir que os usuários de dispositivos de perfil de trabalho BYOD recusem o gerenciamento de dispositivos ao registrar seus dispositivos, defina “Permitir que os usuários recusem o gerenciamento de dispositivos” como “Ativado”.

   Se “Perfil de trabalho BYOD” estiver definido como “Ativado”, o valor padrão de “Permitir que os usuários recusem o gerenciamento de dispositivos” é “Ativado”. Se “Perfil de trabalho BYOD” estiver definido como “Desativado”, então “Permitir que os usuários recusem o gerenciamento de dispositivos” é desativado.

10. Selecione “Atribuição (opções)”. A tela “Atribuição de Grupo de Entrega” é exibida.

11. Escolha o grupo de entrega ou os grupos de entrega que contêm os administradores que registram dispositivos totalmente gerenciados. Em seguida, clique em “Salvar”.

    A página “Perfil de Registro” é exibida com o perfil que você adicionou.

    

Adicionar um perfil de registro de dispositivo dedicado

Quando sua implantação do XenMobile inclui dispositivos dedicados, um único administrador do XenMobile ou um pequeno grupo de administradores registra muitos dispositivos dedicados. Para garantir que esses administradores possam registrar todos os dispositivos necessários, crie um perfil de registro para eles com um número ilimitado de dispositivos permitidos por usuário.

1. No console do XenMobile, vá para “Configurar > Perfis de Registro”.

2. Para adicionar um perfil de registro, clique em “Adicionar”. Na página “Informações de Registro”, digite um nome para o perfil de registro. Certifique-se de que o número de dispositivos que os membros com este perfil podem registrar esteja definido como ilimitado.

3. Selecione “Android” em “Plataformas” ou clique em “Avançar”. A página “Configuração de Registro” é exibida.

4. Defina “Gerenciamento” como “Android Enterprise”.

5. Defina “Modo de proprietário do dispositivo” como “Dispositivo dedicado”.

   

6. O “Perfil de trabalho BYOD” permite configurar o perfil de registro para registrar dispositivos BYOD como dispositivos de perfil de trabalho. Dispositivos novos e redefinidos de fábrica são registrados como dispositivos dedicados. Defina “Perfil de trabalho BYOD” como “Ativado” para permitir o registro de dispositivos BYOD como dispositivos de perfil de trabalho. Defina “Perfil de trabalho BYOD” como “Desativado” para restringir o registro a dispositivos de propriedade da empresa. O padrão é “Ativado”.

7. Escolha se deseja registrar dispositivos no Citrix MAM.

8. Se você definir “Perfil de trabalho BYOD” como “Ativado”, configure o consentimento do usuário. Para permitir que os usuários de dispositivos de perfil de trabalho BYOD recusem o gerenciamento de dispositivos ao registrar seus dispositivos, defina “Permitir que os usuários recusem o gerenciamento de dispositivos” como “Ativado”.

   Se “Perfil de trabalho BYOD” estiver definido como “Ativado”, o valor padrão de “Permitir que os usuários recusem o gerenciamento de dispositivos” é “Ativado”. Se “Perfil de trabalho BYOD” estiver definido como “Desativado”, então “Permitir que os usuários recusem o gerenciamento de dispositivos” é desativado.

9. Selecione “Atribuição (opções)”. A tela “Atribuição de Grupo de Entrega” é exibida.

10. Escolha o grupo de entrega ou os grupos de entrega que contêm os administradores que registram os dispositivos dedicados. Em seguida, clique em “Salvar”.

    A página “Perfil de Registro” é exibida com o perfil que você adicionou.

    

Adicionar um perfil de registro para dispositivos totalmente gerenciados com um perfil de trabalho

1. No console do XenMobile, vá para “Configurar > Perfis de Registro”.

2. Para adicionar um perfil de registro, clique em “Adicionar”. Na página “Informações de Registro”, digite um nome para o perfil de registro.

3. Defina o número de dispositivos que os membros com este perfil podem registrar.

4. Selecione “Android” em “Plataformas” ou clique em “Avançar”. A página “Configuração de Registro” é exibida.

5. Defina “Gerenciamento” como “Android Enterprise”. Defina “Modo de proprietário do dispositivo” como “Totalmente gerenciado com perfil de trabalho”.

   

6. O “Perfil de trabalho BYOD” permite configurar o perfil de registro para registrar dispositivos BYOD como dispositivos de perfil de trabalho. Dispositivos novos e redefinidos de fábrica são registrados como dispositivos totalmente gerenciados com um perfil de trabalho. Defina “Perfil de trabalho BYOD” como “Ativado” para permitir o registro de dispositivos BYOD como dispositivos de perfil de trabalho. Defina “Perfil de trabalho BYOD” como “Desativado” para restringir o registro a dispositivos dedicados. O padrão é “Desativado”.

7. Escolha se deseja registrar dispositivos no Citrix MAM.

8. Se você definir “Perfil de trabalho BYOD” como “Ativado”, configure o consentimento do usuário. Para permitir que os usuários de dispositivos de perfil de trabalho BYOD recusem o gerenciamento de dispositivos ao registrar seus dispositivos, defina “Permitir que os usuários recusem o gerenciamento de dispositivos” como “Ativado”.

   Se “Perfil de trabalho BYOD” estiver definido como “Ativado”, o valor padrão de “Permitir que os usuários recusem o gerenciamento de dispositivos” é “Ativado”. Se “Perfil de trabalho BYOD” estiver definido como “Desativado”, então “Permitir que os usuários recusem o gerenciamento de dispositivos” é desativado.

9. Selecione “Atribuição (opções)”. A tela “Atribuição de Grupo de Entrega” é exibida.

10. Escolha o grupo de entrega ou os grupos de entrega que contêm os administradores que registram dispositivos totalmente gerenciados com um perfil de trabalho. Em seguida, clique em “Salvar”.

    A página “Perfil de Registro” é exibida com o perfil que você adicionou.

    

Adicionar um perfil de registro para dispositivos legados

O Google está descontinuando o modo de administrador de dispositivo de gerenciamento de dispositivos. O Google incentiva os clientes a gerenciar todos os dispositivos Android no modo de proprietário do dispositivo ou no modo de proprietário do perfil. (Consulte Descontinuação do administrador de dispositivo nos guias do desenvolvedor do Google Android Enterprise.)

Para dar suporte a essa alteração:

• A Citrix torna o Android Enterprise a opção de registro padrão para dispositivos Android.
• Se o Android Enterprise estiver habilitado para sua implantação do XenMobile, todos os dispositivos Android recém-registrados ou registrados novamente são registrados como dispositivos Android Enterprise.

Sua organização pode não estar pronta para começar a gerenciar dispositivos Android legados usando o Android Enterprise. Nesse caso, você pode continuar a gerenciá-los no modo de administrador de dispositivo. Para dispositivos já registrados no modo de administrador de dispositivo, o XenMobile continua a gerenciá-los no modo de administrador de dispositivo.

Crie um perfil de registro para dispositivos legados para permitir que novos registros de dispositivos Android usem o modo de administrador de dispositivo.

Para criar um perfil de registro para dispositivos legados:

1. No console do XenMobile, vá para “Configurar > Perfis de Registro”.

2. Para adicionar um perfil de registro, clique em “Adicionar”. Na página “Informações de Registro”, digite um nome para o perfil de registro.

3. Defina o número de dispositivos que os membros com este perfil podem registrar.

4. Selecione “Android” em “Plataformas” ou clique em “Avançar”. A página “Configuração de Registro” é exibida.

5. Defina “Gerenciamento” como “Administração de dispositivo legado (não recomendado)”. Clique em “Avançar”.

   

6. Escolha se deseja registrar dispositivos no Citrix MAM.

7. Para permitir que os usuários recusem o gerenciamento de dispositivos ao registrar seus dispositivos, defina “Permitir que os usuários recusem o gerenciamento de dispositivos” como “Ativado”. O padrão é “Ativado”.

8. Selecione “Atribuição (opções)”. A tela “Atribuição de Grupo de Entrega” é exibida.

9. Escolha o grupo de entrega ou os grupos de entrega que contêm os administradores que registram os dispositivos dedicados. Em seguida, clique em “Salvar”.

A página “Perfil de Registro” é exibida com o perfil que você adicionou.

Para continuar gerenciando um dispositivo herdado no modo de administrador do dispositivo, registre-o ou registre-o novamente usando este perfil. Você registra dispositivos de administrador de dispositivo de forma semelhante aos dispositivos de perfil de trabalho, fazendo com que os usuários baixem o Secure Hub e forneçam um URL de servidor de registro.

Provisionamento de dispositivos de perfil de trabalho do Android Enterprise

Dispositivos de perfil de trabalho do Android Enterprise são registrados no modo de proprietário do perfil. Esses dispositivos não precisam ser novos ou redefinidos de fábrica. Dispositivos BYOD são registrados como dispositivos de perfil de trabalho. A experiência de registro é semelhante ao registro Android no XenMobile. Os usuários baixam o Secure Hub do Google Play e registram seus dispositivos.

Por padrão, as configurações de Depuração USB e Fontes Desconhecidas são desabilitadas em um dispositivo quando ele é registrado no Android Enterprise como um dispositivo de perfil de trabalho.

Ao registrar dispositivos no Android Enterprise como dispositivos de perfil de trabalho, sempre acesse o Google Play. A partir daí, habilite o Secure Hub para aparecer no perfil pessoal do usuário.

Provisionamento de dispositivos totalmente gerenciados do Android Enterprise

Você pode registrar dispositivos totalmente gerenciados na implantação que configurou nas seções anteriores. Dispositivos totalmente gerenciados são dispositivos de propriedade da empresa e são registrados no modo de proprietário do dispositivo. Somente dispositivos novos ou redefinidos de fábrica podem ser registrados no modo de proprietário do dispositivo.

Você pode registrar dispositivos no modo de proprietário do dispositivo usando qualquer um destes métodos de registro:

• Token de identificador DPC: Com este método de registro, os usuários inserem os caracteres afw#xenmobile ao configurar o dispositivo. afw#xenmobile é o token de identificador DPC da Citrix. Este token identifica o dispositivo como gerenciado pelo XenMobile e baixa o Secure Hub da loja Google Play. Consulte Registrar dispositivos usando o token de identificador DPC da Citrix.
• Toque NFC (Near Field Communication): O método de registro por toque NFC transfere dados entre dois dispositivos usando comunicação de campo próximo. Bluetooth, Wi-Fi e outros modos de comunicação são desabilitados em um dispositivo novo ou redefinido de fábrica. NFC é o único protocolo de comunicação que o dispositivo pode usar neste estado. Consulte Registrar dispositivos com toque NFC.
• Código QR: O registro por código QR pode ser usado para registrar uma frota distribuída de dispositivos que não suportam NFC, como tablets. O método de registro por código QR configura o modo de perfil do dispositivo escaneando um código QR do assistente de configuração. Consulte Registrar dispositivos usando um código QR.
• Zero touch: O registro zero touch permite configurar dispositivos para registrar automaticamente quando são ligados pela primeira vez. O registro zero touch é suportado em alguns dispositivos Android executando Android 9.0 ou posterior. Consulte Registro zero touch.
• Contas Google: Os usuários inserem suas credenciais de Conta Google para iniciar o processo de provisionamento. Esta opção é para empresas que usam o Google Workspace.

Registrar dispositivos usando o token de identificador DPC da Citrix

Os usuários inserem afw#xenmobile quando solicitados a inserir uma conta Google após ligar dispositivos novos ou redefinidos de fábrica para a configuração inicial. Esta ação baixa e instala o Secure Hub. Os usuários então seguem os prompts de configuração do Secure Hub para concluir o registro.

Este método de registro é recomendado para a maioria dos clientes porque a versão mais recente do Secure Hub é baixada da loja Google Play. Ao contrário de outros métodos de registro, você não fornece o Secure Hub para download do XenMobile Server.

Requisitos do sistema

• Suportado em todos os dispositivos Android executando o sistema operacional Android.

Para registrar o dispositivo

1. Ligue um dispositivo novo ou redefinido de fábrica.

2. A configuração inicial do dispositivo é carregada e solicita uma conta Google. Se o dispositivo carregar a tela inicial, verifique a barra de notificações para uma notificação de “Concluir Configuração”.

3. Insira afw#xenmobile no campo “E-mail ou telefone”.

   

4. Toque em “Instalar” na tela do Android Enterprise que solicita a instalação do Secure Hub.

5. Toque em “Instalar” na tela do instalador do Secure Hub.

6. Toque em “Permitir” para todas as solicitações de permissão do aplicativo.

7. Toque em “Aceitar e Continuar” para instalar o Secure Hub e permitir que ele gerencie o dispositivo.

8. O Secure Hub está agora instalado e na tela de registro padrão. Neste exemplo, o AutoDiscovery não está configurado. Se estivesse, o usuário poderia inserir seu nome de usuário/e-mail e um servidor seria encontrado para ele. Em vez disso, insira o URL de registro para o ambiente e toque em “Avançar”.

   

9. A configuração padrão do XenMobile permite que os usuários escolham se usam MAM ou MDM+MAM. Se solicitado dessa forma, toque em “Sim, Registrar” para escolher MDM+MAM.

10. Insira o nome de usuário e a senha e toque em “Avançar”.

11. O usuário é solicitado a configurar uma senha do dispositivo. Toque em “Definir” e insira uma senha.

12. O usuário é solicitado a configurar um método de desbloqueio de perfil de trabalho. Para este exemplo, toque em “Senha”, toque em “PIN” e insira um PIN.

    

13. O dispositivo está agora na tela inicial “Meus Aplicativos” do Secure Hub. Toque em “Adicionar aplicativos da Loja”.

14. Para adicionar o Secure Web, toque em “Secure Web”.

    

15. Toque em “Adicionar”.

16. O Secure Hub direciona o usuário para a loja Google Play para instalar o Secure Web. Toque em “Instalar”.

17. Após a instalação do Secure Web, toque em “Abrir”. Insira um URL de um site interno na barra de endereços e verifique se a página é carregada.

18. Vá para “Configurações” > “Contas” no dispositivo. Observe que a “Conta Gerenciada” não pode ser modificada. As opções de desenvolvedor para compartilhamento de tela ou depuração remota também são bloqueadas.

    

Registrar dispositivos com toque NFC

Para registrar um dispositivo como totalmente gerenciado usando toques NFC, são necessários dois dispositivos: um que foi redefinido para as configurações de fábrica e outro executando a Ferramenta de Provisionamento do XenMobile.

Requisitos e pré-requisitos do sistema

• Dispositivos Android suportados.
• Um dispositivo novo ou redefinido de fábrica, provisionado para Android Enterprise como um dispositivo totalmente gerenciado. Você pode encontrar as etapas para concluir este pré-requisito mais adiante neste artigo.
• Outro dispositivo com capacidade NFC, executando a Ferramenta de Provisionamento configurada. A Ferramenta de Provisionamento está disponível no Secure Hub ou na página de downloads da Citrix.

Cada dispositivo pode ter apenas um perfil do Android Enterprise, gerenciado pelo Secure Hub. Apenas um perfil é permitido em cada dispositivo. Tentar adicionar um segundo aplicativo DPC remove o Secure Hub instalado.

Dados transferidos através do toque NFC

O provisionamento de um dispositivo redefinido de fábrica exige que você envie os seguintes dados por meio de um toque NFC para inicializar o Android Enterprise:

• Nome do pacote do aplicativo DPC que atua como proprietário do dispositivo (neste caso, Secure Hub).
• Localização na intranet/internet de onde o dispositivo pode baixar o aplicativo DPC.
• Hash SHA1 do aplicativo DPC para verificar se o download foi bem-sucedido.
• Detalhes da conexão Wi-Fi para que um dispositivo redefinido de fábrica possa se conectar e baixar o aplicativo DPC. Observação: o Android agora não suporta Wi-Fi 802.1x para esta etapa.
• Fuso horário para o dispositivo (opcional).
• Localização geográfica para o dispositivo (opcional).

Quando os dois dispositivos são tocados, os dados da Ferramenta de Provisionamento são enviados para o dispositivo redefinido de fábrica. Esses dados são então usados para baixar o Secure Hub com as configurações de administrador. Se você não inserir os valores de fuso horário e localização, o Android configurará automaticamente os valores no novo dispositivo.

Configurando a Ferramenta de Provisionamento do XenMobile

Antes de fazer um toque NFC, você deve configurar a Ferramenta de Provisionamento. Esta configuração é então transferida para o dispositivo redefinido de fábrica durante o toque NFC.

Você pode digitar dados nos campos obrigatórios ou preenchê-los usando um arquivo de texto. As etapas no próximo procedimento descrevem como configurar o arquivo de texto e contêm descrições para cada campo. O aplicativo não salva as informações depois que você as digita, então você pode querer criar um arquivo de texto para manter as informações para uso futuro.

Para configurar a Ferramenta de Provisionamento usando um arquivo de texto

Nomeie o arquivo como nfcprovisioning.txt e coloque-o na pasta /sdcard/ no cartão SD do dispositivo. O aplicativo poderá então ler o arquivo de texto e preencher os valores.

O arquivo de texto deve conter os seguintes dados:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Esta linha é o local na intranet/internet do aplicativo do provedor EMM. Depois que o dispositivo redefinido de fábrica se conecta ao Wi-Fi após o toque NFC, o dispositivo deve ter acesso a este local para download. O URL é um URL regular, sem formatação especial necessária.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Esta linha é o checksum do aplicativo do provedor EMM. Este checksum é usado para verificar se o download foi bem-sucedido. As etapas para obter o checksum são discutidas mais adiante neste artigo.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Esta linha é o SSID Wi-Fi conectado do dispositivo no qual a Ferramenta de Provisionamento está sendo executada.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Os valores suportados são WEP e WPA2. Se o Wi-Fi não estiver protegido, este campo deve estar vazio.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Se o Wi-Fi não estiver protegido, este campo deve estar vazio.

android.app.extra.PROVISIONING_LOCALE=<locale>

Insira os códigos de idioma e país. Os códigos de idioma são códigos ISO de duas letras minúsculas (como en), conforme definido pela ISO 639-1. Os códigos de país são códigos ISO de duas letras maiúsculas (como US), conforme definido pela ISO 3166-1. Por exemplo, digite en_US para inglês falado nos Estados Unidos. Se você não digitar nenhum código, o país e o idioma serão preenchidos automaticamente.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

O fuso horário em que o dispositivo está sendo executado. Digite um nome Olson no formato área/localização. Por exemplo, America/Los_Angeles para o horário do Pacífico. Se você não inserir um nome, o fuso horário será preenchido automaticamente.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Esses dados não são necessários, pois o valor é codificado no aplicativo como Secure Hub. Ele é mencionado aqui apenas para fins de completude.

Se houver uma rede Wi-Fi protegida por WPA2, um arquivo nfcprovisioning.txt preenchido pode ser semelhante ao seguinte:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles
<!--NeedCopy-->

Se houver uma rede Wi-Fi desprotegida, um arquivo nfcprovisioning.txt preenchido pode ser semelhante ao seguinte:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles
<!--NeedCopy-->

Para obter o checksum do Citrix Secure Hub

O checksum do Secure Hub é um valor constante: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM. Para baixar um arquivo APK para o Secure Hub, use o seguinte link da Google Play Store: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile.

Para obter o checksum de um aplicativo

Pré-requisitos:

• A ferramenta apksigner do Android SDK Build Tools
• Linha de comando OpenSSL

Para obter o checksum de qualquer aplicativo, siga estas etapas:

1. Baixe o arquivo APK do aplicativo na Google Play Store.

2. Na linha de comando OpenSSL, navegue até a ferramenta apksigner: android-sdk/build-tools/<version>/apksigner e digite o seguinte:

   apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
   <!--NeedCopy-->
   

   O comando retorna um checksum válido.

3. Para gerar o código QR, insira o checksum no campo PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM. Por exemplo:

{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}
<!--NeedCopy-->

Bibliotecas usadas

A Ferramenta de Provisionamento usa as seguintes bibliotecas em seu código-fonte:

• Biblioteca appcompat v7, biblioteca de suporte de Design e biblioteca Palette v7 do Google sob licença Apache 2.0

  Para obter informações, consulte o Guia de Recursos da Biblioteca de Suporte.

• Butter Knife por Jake Wharton sob licença Apache 2.0

Registrando dispositivos usando um código QR

Para registrar um dispositivo totalmente gerenciado usando um código QR, você gera um código QR criando um JSON e convertendo o JSON em um código QR. As câmeras dos dispositivos escaneiam o código QR para registrar o dispositivo.

Requisitos do sistema

• Compatível com todos os dispositivos Android que executam o Android 9.0 ou superior.

Criar um código QR a partir de um JSON

Crie um JSON com os seguintes campos.

Estes campos são obrigatórios:

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valor: com.zenprise/com.zenprise.configuration.AdminFunction

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valor: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valor: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

Estes campos são opcionais:

• android.app.extra.PROVISIONING_LOCALE: Insira os códigos de idioma e país.

  Os códigos de idioma são códigos ISO de duas letras minúsculas (como en), conforme definido pela ISO 639-1. Os códigos de país são códigos ISO de duas letras maiúsculas (como US), conforme definido pela ISO 3166-1. Por exemplo, insira en_US para inglês falado nos Estados Unidos.

• android.app.extra.PROVISIONING_TIME_ZONE: O fuso horário em que o dispositivo está sendo executado.

  Digite um nome Olson no formato área/localização. Por exemplo, America/Los_Angeles para o horário do Pacífico. Se você não inserir um, o fuso horário será preenchido automaticamente.

• android.app.extra.PROVISIONING_LOCAL_TIME: Tempo em milissegundos desde a Época.

  A época Unix (ou tempo Unix, tempo POSIX ou timestamp Unix) é o número de segundos que decorreram desde 1º de janeiro de 1970 (meia-noite UTC/GMT). O tempo não inclui segundos bissextos (em ISO 8601: 1970-01-01T00:00:00Z).

• android.app.extra.PROVISIONING_SKIP_ENCRYPTION: Defina como true para ignorar a criptografia durante a criação do perfil. Defina como false para forçar a criptografia durante a criação do perfil.

Um JSON típico é semelhante ao seguinte:

Valide o JSON criado usando qualquer ferramenta de validação de JSON, como https://jsonlint.com. Converta essa string JSON em um código QR usando qualquer gerador de código QR online, como https://www.qr-code-generator.com.

Este código QR é escaneado por um dispositivo redefinido de fábrica para registrar o dispositivo como um dispositivo totalmente gerenciado.

Para registrar o dispositivo

Após ligar um dispositivo novo ou redefinido de fábrica:

1. Toque na tela seis vezes na tela de boas-vindas para iniciar o fluxo de registro do código QR.

2. Quando solicitado, conecte-se ao Wi-Fi. O local de download do Secure Hub no código QR (codificado no JSON) é acessível por esta rede Wi-Fi.

   Assim que o dispositivo se conecta com sucesso ao Wi-Fi, ele baixa um leitor de código QR do Google e inicia a câmera.

3. Aponte a câmera para o código QR para digitalizá-lo.

   O Android baixa o Secure Hub do local de download no código QR, valida a assinatura do certificado de autenticação, instala o Secure Hub e o define como o proprietário do dispositivo.

Para obter mais informações, consulte este guia do Google para desenvolvedores Android EMM: https://developers.google.com/android/work/prov-devices#qr_code_method.

Registro Zero-touch

O registro zero-touch permite configurar dispositivos para que se provisionem como dispositivos totalmente gerenciados quando são ligados pela primeira vez.

Seu revendedor de dispositivos cria uma conta para você no portal zero-touch do Android, uma ferramenta online que permite aplicar configurações a dispositivos. Usando o portal zero-touch do Android, você cria uma ou mais configurações de registro zero-touch e as aplica aos dispositivos atribuídos à sua conta. Quando seus usuários ligam esses dispositivos, eles são automaticamente registrados no XenMobile. A configuração atribuída ao dispositivo define seu processo de registro automático.

Requisitos do sistema

• O suporte para registro zero-touch começa com o Android 9.0.

Dispositivos e informações da conta do seu revendedor

• Dispositivos elegíveis para registro zero-touch são comprados de um revendedor empresarial ou parceiro do Google. Para obter uma lista de parceiros zero-touch do Android Enterprise, consulte o site do Android.

• Uma conta do portal zero-touch do Android Enterprise, criada pelo seu revendedor.

• Informações de login da conta do portal zero-touch do Android Enterprise, fornecidas pelo seu revendedor.

Criar uma configuração zero-touch

Ao criar uma configuração zero-touch, inclua um JSON personalizado para especificar os detalhes da configuração.

Use este JSON para configurar o dispositivo para registrar no XenMobile Server que você especificar. Substitua o URL do seu servidor por ‘URL’ neste exemplo.

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }
<!--NeedCopy-->

Você pode usar um JSON opcional com mais parâmetros para personalizar ainda mais sua configuração. Este exemplo especifica o XenMobile Server e o nome de usuário e senha que os dispositivos que usam esta configuração utilizam para fazer login no servidor.

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  <!--NeedCopy-->

1. Acesse o portal zero-touch do Android em https://partner.android.com/zerotouch. Faça login com as informações da conta do seu revendedor de dispositivos zero-touch.

2. Clique em “Configuration” (Configuração).

3. Clique em + acima da tabela de configuração.

4. Insira as informações da sua configuração na janela de configuração que aparece.
   • Configuration name (Nome da configuração): Digite o nome que você escolher para esta configuração.
   • EMM DPC: Escolha Citrix Secure Hub.
   • DPC extras: Cole seu texto JSON personalizado neste campo.
   • Company name (Nome da empresa): Digite o nome que você deseja que apareça em seus dispositivos zero-touch do Android Enterprise durante o provisionamento do dispositivo.
   • Support email address (Endereço de e-mail de suporte): Digite um endereço de e-mail que seus usuários podem contatar para obter ajuda. Este endereço aparece em seus dispositivos zero-touch do Android Enterprise antes do provisionamento do dispositivo.
   • Support phone number (Número de telefone de suporte): Digite um número de telefone que seus usuários podem contatar para obter ajuda. Este número de telefone aparece em seus dispositivos zero-touch do Android Enterprise antes do provisionamento do dispositivo.
   • Custom Message (Mensagem personalizada): Opcionalmente, adicione uma ou duas frases para ajudar seus usuários a contatá-lo ou fornecer mais detalhes sobre o que está acontecendo com o dispositivo deles. Esta mensagem personalizada aparece em seus dispositivos zero-touch do Android Enterprise antes do provisionamento do dispositivo.

5. Clique em “Add” (Adicionar).

6. Para criar mais configurações, repita as etapas 2 a 4.

7. Para aplicar uma configuração a um dispositivo:

   1. No portal zero-touch do Android, clique em “Devices” (Dispositivos).

   2. Encontre o dispositivo na lista de dispositivos e escolha a configuração que deseja atribuir a ele.

   3. Clique em “Update” (Atualizar).

Você pode aplicar uma configuração a muitos dispositivos usando um arquivo CSV.

Para obter informações sobre como aplicar uma configuração a muitos dispositivos, consulte o tópico de ajuda do Android Enterprise Zero-touch enrollment for IT admins (Registro zero-touch para administradores de TI). Este tópico de ajuda do Android Enterprise tem mais informações sobre como gerenciar configurações e aplicá-las a dispositivos.

Provisionamento de dispositivos Android Enterprise dedicados

Dispositivos Android Enterprise dedicados são dispositivos totalmente gerenciados que são dedicados a cumprir um único caso de uso. Dispositivos dedicados também são conhecidos como dispositivos de uso único de propriedade corporativa (COSU). Você restringe esses dispositivos a um aplicativo ou a um pequeno conjunto de aplicativos necessários para realizar as tarefas exigidas para este caso de uso. Você também impede que os usuários ativem outros aplicativos ou realizem outras ações no dispositivo.

Registre dispositivos dedicados usando qualquer um dos métodos de registro usados para outros dispositivos totalmente gerenciados, conforme descrito em Provisioning Android Enterprise fully managed devices (Provisionamento de dispositivos Android Enterprise totalmente gerenciados). O provisionamento de dispositivos dedicados requer mais configuração antes do registro.

Para provisionar dispositivos dedicados:

• Adicione um perfil de registro para administradores do XenMobile que você permite registrar dispositivos dedicados em sua implantação do XenMobile. Consulte Creating enrollment profiles (Criação de perfis de registro).
• Permita os aplicativos que você deseja que o dispositivo dedicado acesse.
• Opcionalmente, defina o aplicativo permitido para permitir o modo de tarefa bloqueada. Quando um aplicativo está no modo de tarefa bloqueada, ele fica fixado na tela do dispositivo quando o usuário o abre. Nenhum botão Início aparece e o botão Voltar é desativado. O usuário sai do aplicativo usando uma ação programada no aplicativo, como sair.
• Registre cada dispositivo no perfil de registro que você adicionou.

Requisitos do sistema

• O suporte para registro de dispositivos dedicados começa com o Android 6.0.

Permitir aplicativos e definir o modo de tarefa bloqueada

A política de dispositivo Kiosk permite que você permita aplicativos e defina o modo de tarefa bloqueada. Por padrão, o Secure Hub e os serviços do Google Play são permitidos.

Para adicionar a política Kiosk:

1. No console do XenMobile, clique em “Configure” (Configurar) > “Device Policies” (Políticas de Dispositivo). A página “Device Policies” (Políticas de Dispositivo) é exibida.

2. Clique em “Add” (Adicionar). A caixa de diálogo “Add a New Policy” (Adicionar Nova Política) é exibida.

3. Expanda “More” (Mais) e, em seguida, em “Security” (Segurança), clique em “Kiosk”. A página “Kiosk Policy” (Política Kiosk) é exibida.

4. Em “Platforms” (Plataformas), selecione “Android Enterprise”. Desmarque outras plataformas.

5. No painel “Policy Information” (Informações da Política), digite o “Policy Name” (Nome da Política) e uma “Description” (Descrição) opcional.

6. Clique em “Next” (Avançar) e, em seguida, clique em “Add” (Adicionar).

7. Para permitir um aplicativo e permitir ou negar o modo de tarefa bloqueada para esse aplicativo:

   Selecione o aplicativo que você deseja permitir na lista.

   Escolha “Allow” (Permitir) para definir o aplicativo para ser fixado na tela do dispositivo quando o usuário o iniciar. Escolha “Deny” (Negar) para definir o aplicativo para não ser fixado. O padrão é “Allow” (Permitir).

   

8. Clique em “Save” (Salvar).

9. Para permitir outro aplicativo e permitir ou negar o modo de tarefa bloqueada para esse aplicativo, clique em “Add” (Adicionar).

10. Configure as regras de implantação e escolha os grupos de entrega. Para obter mais informações, consulte Device policies (Políticas de dispositivo).

Para registrar o dispositivo

1. Clique em “Next” (Avançar) ou selecione “Android” em “Platforms” (Plataformas). A página “Enrollment Configuration” (Configuração de Registro) é exibida.

2. Defina “Management” (Gerenciamento) como “Android Enterprise”.

3. Defina “Device owner mode” (Modo de proprietário do dispositivo) como “Company-owned device” (Dispositivo de propriedade da empresa).

   

4. Selecione “Assignment (options)” (Atribuição (opções)). A tela “Delivery Group Assignment” (Atribuição de Grupo de Entrega) é exibida.

5. Escolha o grupo de entrega ou os grupos de entrega que contêm os administradores que registram os dispositivos dedicados. Em seguida, clique em “Save” (Salvar).

Se você ativou o “BYOD work profile” (Perfil de trabalho BYOD) no perfil de registro, os dispositivos que não são novos ou que não foram redefinidos de fábrica são registrados como dispositivos de perfil de trabalho. Consulte Provisioning Android Enterprise work profile devices (Provisionamento de dispositivos de perfil de trabalho do Android Enterprise).

Provisionar dispositivos Android Enterprise totalmente gerenciados com um perfil de trabalho (dispositivos COPE)

Dispositivos totalmente gerenciados com um perfil de trabalho, anteriormente chamados de dispositivos COPE, são dispositivos de propriedade da empresa que são usados para fins de trabalho e pessoais. Sua organização gerencia todos os dispositivos. Você pode aplicar um conjunto de políticas ao dispositivo e um conjunto separado de políticas ao perfil de trabalho.

No console do XenMobile, os dispositivos totalmente gerenciados com um perfil de trabalho aparecem com estes termos:

• A propriedade do dispositivo é “Corporativa”.

• O tipo de instalação do Android Enterprise do dispositivo é “Proprietário Corporativo Pessoalmente Habilitado”.

Requisitos do sistema

• O suporte para registrar dispositivos totalmente gerenciados com perfis de trabalho começa do Android 9.0 ao Android 10.x.

Adicionar um perfil de registro para dispositivos totalmente gerenciados com perfis de trabalho

Crie um perfil de registro para registrar dispositivos totalmente gerenciados com perfis de trabalho. Os administradores nos grupos de entrega atribuídos a este perfil de registro podem registrar dispositivos totalmente gerenciados com perfis de trabalho. Para garantir que esses administradores possam registrar todos os dispositivos necessários, crie um perfil de registro para eles com um número ilimitado de dispositivos permitidos por usuário. Atribua este perfil a um grupo de entrega que tenha os administradores que registram dispositivos totalmente gerenciados com perfis de trabalho.

1. Na console do XenMobile, vá para “Configurar” > “Perfis de Registro”.

2. Para adicionar um perfil de registro, clique em “Adicionar”. Na página “Informações de Registro”, digite um nome para o perfil de registro. Certifique-se de que o número de dispositivos que os membros com este perfil podem registrar esteja definido como ilimitado.

3. Clique em “Avançar” ou selecione “Android Enterprise” em “Plataformas”. A página “Configuração de Registro” é exibida.

4. Defina o “Tipo de Registro” como uma das seguintes opções:
   • Totalmente gerenciado/Perfil de trabalho: Dispositivos novos ou redefinidos de fábrica são registrados como totalmente gerenciados. Dispositivos BYOD são registrados apenas com um perfil de trabalho gerenciado por você.
   • COPE/Perfil de trabalho: Dispositivos novos ou redefinidos de fábrica são registrados como totalmente gerenciados com um perfil de trabalho. Dispositivos BYOD são registrados apenas com um perfil de trabalho gerenciado por você.

   

5. Selecione “Atribuição (opcional)” ou clique em “Avançar”. A tela “Atribuição de Grupo de Entrega” é exibida.

6. Escolha o grupo de entrega ou os grupos de entrega que contêm os administradores que registram os dispositivos dedicados. Em seguida, clique em “Salvar”.

   A página “Perfil de Registro” é exibida com o perfil que você adicionou.

   

Se um usuário pertencer a vários grupos de entrega com perfis de registro diferentes, o nome do grupo de entrega determinará o perfil de registro usado. O XenMobile seleciona o grupo de entrega que aparece por último em uma lista alfabetizada de grupos de entrega.

Para registrar o dispositivo

Dispositivos novos e redefinidos de fábrica são registrados como dispositivos totalmente gerenciados com um perfil de trabalho usando o token de identificador DPC, o toque de comunicação de campo próximo (NFC) ou os métodos de código QR. Consulte Registrar dispositivos usando o token de identificador DPC do Citrix, Registrar dispositivos com toque NFC ou Registrar dispositivos usando um código QR.

Dispositivos que não são novos ou redefinidos de fábrica são registrados como dispositivos de perfil de trabalho, conforme descrito em Provisionar dispositivos de perfil de trabalho do Android Enterprise.

Visualizar dispositivos Android Enterprise na console do XenMobile

1. Na console do XenMobile, vá para “Gerenciar” > “Dispositivos”.

2. Adicione a coluna “Dispositivo habilitado para Android Enterprise?” clicando no menu à direita da tabela nesta página.

3. Para visualizar as ações de segurança disponíveis, selecione um dispositivo totalmente gerenciado e clique em “Proteger”. Quando o dispositivo é totalmente gerenciado, a ação “Limpeza Completa” está disponível, mas a “Limpeza Seletiva” não. Essa diferença ocorre porque o dispositivo permite apenas aplicativos da loja “Google Play” gerenciada. Não há opção para o usuário instalar aplicativos da loja pública. Sua organização gerencia todo o conteúdo do dispositivo.

   

Configurar políticas de dispositivo e aplicativo do Android Enterprise

Para uma visão geral das políticas controladas nos níveis de dispositivo e aplicativo, consulte Políticas de dispositivo e políticas MDX compatíveis com Android Enterprise.

O que saber sobre as políticas:

• Proteção contra perda de dados: A tecnologia de contêiner MAM do XenMobile protege aplicativos com criptografia e outras tecnologias de Prevenção de Perda de Dados (DLP) móveis. Use o SDK MAM do Citrix ou o MDX Toolkit para habilitar aplicativos com MDX.

• Restrições de dispositivo: Dezenas de restrições de dispositivo permitem controlar recursos como:

  • Uso da câmera do dispositivo
  • Uso de copiar e colar entre perfis de trabalho e pessoais

• VPN por aplicativo: Use a política de dispositivo “Configurações gerenciadas” para configurar perfis de VPN para o Android Enterprise.

• Política de e-mail: Recomendamos usar a política de dispositivo “Configurações gerenciadas” para configurar aplicativos.

Esta tabela lista todas as políticas de dispositivo disponíveis para dispositivos Android Enterprise.

Importante:

Para dispositivos que se registram no Android Enterprise e usam aplicativos MDX: Você pode controlar algumas configurações através do MDX e do Android Enterprise. Use as configurações de política menos restritivas para MDX e controle a política através do Android Enterprise.

Políticas de dispositivo para dispositivos totalmente gerenciados com perfil de trabalho (dispositivos COPE)

Para dispositivos totalmente gerenciados com perfis de trabalho (dispositivos COPE), algumas políticas de dispositivo podem ser usadas para aplicar configurações separadas ao dispositivo inteiro e ao perfil de trabalho. Você pode usar outras políticas de dispositivo para aplicar configurações apenas ao dispositivo inteiro ou apenas ao perfil de trabalho de dispositivos totalmente gerenciados com perfis de trabalho.

Consulte também Políticas de dispositivo e políticas MDX compatíveis com Android Enterprise e Visão geral do SDK MAM.

Ações de segurança

O Android Enterprise oferece suporte às seguintes ações de segurança. Para uma descrição de cada ação de segurança, consulte Ações de segurança.

Observações sobre ações de segurança

• A ação de segurança “Localizar” falha a menos que a política de dispositivo “Localização” defina o modo de localização para o dispositivo como “Alta Precisão” ou “Economia de Bateria”. Consulte Política de dispositivo Localização.

• Em dispositivos com perfil de trabalho que executam versões do Android anteriores ao Android 9.0:

  • A ação de bloquear e redefinir senha não é compatível.

• Em dispositivos com perfil de trabalho com Android 9.0 ou superior:

  • A senha enviada bloqueia o perfil de trabalho. O dispositivo em si não é bloqueado.
  • Se nenhuma senha for definida no perfil de trabalho:
    • Se nenhuma senha for enviada, ou se a senha enviada não atender aos requisitos de senha: O dispositivo é bloqueado.
  • Se uma senha for definida no perfil de trabalho:
    • Se nenhuma senha for enviada, ou se a senha enviada não atender aos requisitos de senha: O perfil de trabalho é bloqueado, mas o dispositivo em si não é bloqueado.

• Em dispositivos totalmente gerenciados com perfis de trabalho (dispositivos COPE):

  • Você pode aplicar a ação de segurança “Bloquear” separadamente ao dispositivo ou ao perfil de trabalho.

Cancelar o registro de uma empresa Android Enterprise

Se você não quiser mais usar sua empresa Android Enterprise, pode cancelar o registro da empresa.

Aviso:

Depois de cancelar o registro de uma empresa, os aplicativos do Android Enterprise em dispositivos já registrados por meio dela são redefinidos para seus estados padrão. O Google não gerencia mais os dispositivos. Se você se registrar em uma nova empresa Android Enterprise, deverá aprovar os aplicativos para a nova organização no “Google Play” gerenciado. Você pode então atualizar os aplicativos da console do XenMobile.

Depois que o registro da empresa Android Enterprise é cancelado:

• Dispositivos e usuários registrados através da empresa têm os aplicativos do Android Enterprise redefinidos para seu estado padrão. As políticas de “Configurações Gerenciadas” aplicadas anteriormente não afetam mais as operações.
• O XenMobile gerencia os dispositivos registrados através da empresa. Da perspectiva do Google, esses dispositivos não são gerenciados. Você não pode adicionar novos aplicativos do Android Enterprise. Você não pode aplicar políticas de “Configurações Gerenciadas”. Você pode aplicar outras políticas, como “Agendamento”, “Senha” e “Restrições”, a esses dispositivos.
• Se você tentar registrar dispositivos no Android Enterprise, eles serão registrados como dispositivos Android, não como dispositivos Android Enterprise.

Cancele o registro de uma empresa Android Enterprise usando a console do XenMobile Server e as “Ferramentas do XenMobile”.

Ao realizar esta tarefa, o XenMobile abre uma janela pop-up para as “Ferramentas do XenMobile”. Antes de começar, certifique-se de que o XenMobile tenha permissão para abrir janelas pop-up no navegador que você está usando. Alguns navegadores, como o “Google Chrome”, exigem que você desative o bloqueio de pop-ups e adicione o endereço do site do XenMobile à lista de permissões de bloqueio de pop-ups.

Para cancelar o registro de uma empresa Android Enterprise:

1. Na console do XenMobile, clique no ícone de engrenagem no canto superior direito. A página “Configurações” é exibida.

2. Na página “Configurações”, clique em “Android Enterprise”.

3. Clique em “Cancelar registro”.