XenMobile

Android Enterprise

Android Enterprise é um conjunto de ferramentas e serviços fornecidos pelo Google como uma solução de gerenciamento corporativo para dispositivos Android. Com o Android Enterprise:

  • Você usa o XenMobile para gerenciar dispositivos Android de propriedade da empresa e dispositivos Android BYOD (o seu próprio).

  • Você pode gerenciar todo o dispositivo ou um perfil separado no dispositivo. O perfil separado isola contas, aplicativos e dados comerciais de contas, aplicativos e dados pessoais.

  • Você também pode gerenciar dispositivos dedicados a um único uso, como gerenciamento de inventário. Para obter uma visão geral dos recursos do Android Enterprise do Google, consulte Gerenciamento do Android Enterprise.

Para obter uma lista de termos e definições relacionados ao Android Enterprise, consulte Terminologia Android Enterprise no guia de desenvolvedores do Google Android Enterprise. O Google atualiza estes termos com frequência.

Para os sistemas operacionais Android compatíveis com o XenMobile, consulte Sistemas operacionais compatíveis de dispositivos.

Ao integrar o XenMobile com o Google Play gerenciado para usar o Android Enterprise, você cria uma empresa. O Google define uma empresa como um vínculo entre a organização e sua solução de gerenciamento móvel corporativo (EMM). Todos os usuários e dispositivos que a organização gerencia através de sua solução pertencem à sua empresa.

Uma empresa para Android Enterprise tem três componentes: uma solução EMM, um aplicativo DPC (Device Policy Controller) e uma plataforma de aplicativos empresariais do Google. Quando você integra o XenMobile com o Android Enterprise, a solução completa possui os seguintes componentes:

  • XenMobile: o Citrix EMM. O XenMobile é a solução XenMobile unificada para um espaço de trabalho digital seguro. O XenMobile fornece os meios para que os administradores de TI gerenciem dispositivos e aplicativos para suas organizações.
  • Citrix Secure Hub: o aplicativo Citrix DPC. O Secure Hub é a plataforma de lançamento para XenMobile. O Secure Hub impõe políticas no dispositivo.
  • Google Play gerenciado: uma plataforma de aplicativos empresariais do Google que se integra ao XenMobile. A API EMM do Google Play define políticas de aplicativo e distribui o aplicativo.

Esta ilustração mostra como os administradores interagem com esses componentes e como os componentes interagem entre si:

Imagem

Usar o Google Play gerenciado com o XenMobile

Nota:

Você pode usar o Google Play gerenciado ou o G Suite para registrar o Citrix como seu provedor de EMM. Este artigo aborda o uso do Android Enterprise com o Google Play gerenciado. Se a sua organização usa o G Suite para fornecer acesso a aplicativos, você pode usá-lo com o Android Enterprise. Veja Clientes com “Android Enterprise herdado para G Suite”.

Quando você usa o Google Play gerenciado, você provisiona contas do Google Play gerenciado para dispositivos e usuários finais. As contas do Google Play gerenciado fornecem acesso ao Google Play gerenciado, permitindo que os usuários instalem e usem os aplicativos que você disponibilizar. Se a sua organização usa um serviço de identidade de terceiros, você pode vincular contas do Google Play gerenciado às suas contas de identidade existentes.

Como esse tipo de empresa não está vinculado a um domínio, você pode criar mais de uma empresa para uma única organização. Por exemplo, cada departamento ou região de uma organização pode se registrar como uma empresa diferente para gerenciar conjuntos separados de dispositivos e aplicativos.

Para administradores XenMobile, o Google Play gerenciado combina a experiência do usuário e os recursos da loja de aplicativos do Google Play com um conjunto de recursos de gerenciamento projetados para empresas. Você pode usar o Google Play gerenciado para adicionar, comprar e aprovar aplicativos para implantação no espaço de trabalho do Android Enterprise em um dispositivo. Você pode usar o Google Play para implantar aplicativos públicos, aplicativos privados e aplicativos de terceiros.

Para usuários de dispositivos gerenciados, o Google Play gerenciado é a loja de aplicativos empresariais. Os usuários podem procurar aplicativos, visualizar detalhes do aplicativo e instalá-los. Ao contrário da versão pública do Google Play, os usuários só podem instalar aplicativos do Google Play gerenciado que você disponibilizar para eles.

Cenários de implantação de dispositivos e modos de operação

O cenário de implantação do dispositivo refere-se a quem possui os dispositivos implantados e como você os gerencia. Os perfis de dispositivos referem-se a como o DPC gerencia e impõe políticas aos dispositivos.

Um perfil de trabalho isola contas, aplicativos e dados comerciais de contas, aplicativos e dados pessoais. Para obter mais detalhes sobre perfis de trabalho, consulte o tópico de ajuda do Google Android Enterprise, O que é um perfil de trabalho.

Importante:

Quando os dispositivos Android Enterprise atualizam para o Android 11, o Google migrará os dispositivos gerenciados como “totalmente gerenciados com um perfil de trabalho” para uma nova experiência de perfil de trabalho com segurança aprimorada. Para obter mais informações, consulte Changes ahead for Android Enterprise’s Fully Managed with Work Profile.

Gerenciamento de dispositivos Casos de uso Perfil de trabalho Perfil pessoal Observações
Dispositivos de propriedade da empresa (totalmente gerenciados) Dispositivos de propriedade da empresa destinados apenas ao trabalho Não Sim. O DPC pode executar ações em todo o dispositivo, como configurar conectividade em todo o dispositivo, configurar configurações globais e executar uma redefinição de fábrica. Apenas para dispositivos novos ou com redefinição de fábrica.
Totalmente gerenciado com um perfil de trabalho Dispositivos de propriedade da empresa destinados a uso pessoal e profissional Sim Sim. Duas cópias do DPC são executadas nesses dispositivos: uma gerencia o dispositivo no modo proprietário do dispositivo e a outra gerencia o perfil de trabalho no modo proprietário do perfil. Você pode aplicar políticas separadas ao dispositivo e ao perfil de trabalho. Anteriormente conhecidos como dispositivos corporativos, habilitados pessoalmente (COPE).
Dispositivos dedicados* Dispositivos de propriedade da empresa configurados para um único caso de uso, como sinalização digital ou impressão de tíquetes Não Sim. Você fornece apenas os aplicativos necessários e impede que os usuários adicionem outros aplicativos. Anteriormente conhecidos como dispositivos corporativos para uso único (COSU).
Perfil de trabalho BYOD** Dispositivos pessoais registrados no modo de perfil de trabalho (também conhecido como modo de proprietário do perfil) Sim Sim. O DPC gerencia apenas o perfil de trabalho, não o dispositivo inteiro. Esses dispositivos não precisam ser novos ou com redefinição de fábrica.

* Os usuários podem compartilhar um dispositivo dedicado. Quando um usuário faz logon em um aplicativo em um dispositivo dedicado, o estado do trabalho fico com o aplicativo, não com o dispositivo.

** O XenMobile não suporta dispositivos Zebra como no modo de perfil de trabalho BYOD. O XenMobile suporta dispositivos Zebra como dispositivos totalmente gerenciados e no modo legado do dispositivo (também chamado de modo de administração do dispositivo).

Para obter informações sobre como migrar do modo legado para o modo de proprietário do dispositivo ou de proprietário do perfil, consulte Migrar do Device Administration para o Android Enterprise.

Métodos de autenticação

Os perfis de registro determinam se os dispositivos Android se registram ou não no MAM, MDM ou MDM+MAM, com uma opção para que os usuários optem para não ter MDM.

O modo de segurança de registro Nome de usuário + PIN não está disponível para Android Enterprise. Para obter informações sobre como especificar o nível de segurança e as etapas de registro necessárias, consulte Contas de usuário, funções e registro.

O Endpoint Management oferece suporte aos seguintes métodos de autenticação para dispositivos Android registrados no MDM+MAM. Para obter informações, consulte os artigos em Certificados e autenticação.

  • Domínio
  • Domínio mais token de segurança
  • Certificado de cliente
  • Certificado de cliente mais domínio
  • Provedores de identidade:
    • Azure Active Directory
    • Provedor de identidade Citrix

Outro método de autenticação raramente usado é certificado de cliente mais token de segurança. Para obter informações, consulte https://support.citrix.com/article/CTX215200.

Requisitos

Antes de começar a usar o Android Enterprise, você precisa:

  • Contas e credenciais:

    • Para configurar o Android Enterprise com o Google Play gerenciado, uma conta corporativa do Google
    • Para baixar os arquivos MDX mais recentes, uma conta de cliente Citrix
    • Para implantar aplicativos privados (opcional), uma conta de desenvolvedor do Google
  • Firebase Cloud Messaging (FCM) configurado para XenMobile. Consulte Firebase Cloud Messaging para obter instruções.

  • Para Samsung Knox Mobile Enrollment (opcional), licenças premium Knox

Conectar o XenMobile ao Google Play

Para configurar o Android Enterprise para a sua organização, registre o Citrix como seu provedor de EMM por meio do Google Play gerenciado. Essa configuração conecta o Google Play gerenciado ao XenMobile e cria uma empresa para Android Enterprise no XenMobile.

Você precisará de uma conta corporativa do Google para entrar no Google Play.

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito. A página Settings é exibida.

  2. Vá para Configurações > Android Enterprise.

Página de configurações com o Android Enterprise destacado

  1. Clique em Conectar. O Google Play é aberto.

O Android Enterprise se conecta ao Google Play

  1. Inicie a sessão no Google Play com as credenciais da sua conta corporativa do Google. Insira o nome da sua organização e confirme que a Citrix é seu provedor de EMM.

  2. Um ID empresarial é adicionado ao Android Enterprise. Para ativar o Android Enterprise, deslize Ativar Android Enterprise para Sim.

    Ativar a opção Android Enterprise

Seu ID corporativo aparece no console XenMobile.

Imagem

Seu ambiente está conectado ao Google e está pronto para gerenciar dispositivos. Agora você pode fornecer aplicativos para usuários.

O XenMobile pode ser usado para fornecer aos usuários aplicativos móveis de produtividade da Citrix, aplicativos MDX, aplicativos da loja de aplicativos pública, aplicativos Web e SaaS, aplicativos empresariais e links da Web. Para obter mais informações sobre esses tipos de aplicativos e fornecê-los aos usuários, consulte Adicionar aplicativos.

A seção a seguir mostra como fornecer aplicativos móveis de produtividade.

Fornecer aplicativos móveis de produtividade da Citrix para usuários do Android Enterprise

Fornecer aplicativos móveis de produtividade da Citrix para usuários do Android Enterprise requer estas etapas.

  1. Publique os aplicativos como aplicativos MDX. Veja Configurar aplicativos como aplicativos MDX.

  2. Configure as regras para o desafio de segurança que seus usuários usam para acessar os perfis de trabalho em seus dispositivos. Veja Configurar política de desafio de segurança.

Os aplicativos que você publica estão disponíveis para dispositivos registrados no seu enterprise do Android Enterprise.

Nota:

Quando você implanta um aplicativo da loja de aplicativos pública do Android Enterprise em um usuário Android, esse usuário é automaticamente registrado no Android Enterprise.

Configurar aplicativos como aplicativos MDX

Para configurar um aplicativo de produtividade Citrix como um aplicativo MDX para Android Enterprise:

  1. No console XenMobile, clique em Configurar > Aplicativos. A página Aplicativos é exibida.

    Tela de configuração de aplicativos

  2. Clique em Adicionar. A caixa de diálogo Adicionar Aplicativo é exibida.

    Tela de configuração de aplicativos

  3. Clique em MDX. A página Informações do Aplicativo é exibida.

  4. No lado esquerdo da página, selecione Android Enterprise como plataforma.

  5. Na página Informações do aplicativo, digite as seguintes informações:

    • Nome: digite um nome descritivo para o aplicativo. Esse nome aparecerá em Nome do aplicativo na tabela Aplicativos.
    • Descrição: digite uma descrição opcional para o aplicativo.
    • Categoria do aplicativo: opcionalmente, na lista, clique na categoria à qual você deseja adicionar o aplicativo. Para obter mais informações sobre categorias de aplicativos, consulte Criar categorias de aplicativos.
  6. Clique em Avançar. A página do Aplicativo MDX Android Enterprise é exibida.

  7. Clique em Carregar e navegue até o local dos arquivos .mdx do aplicativo. Selecione o arquivo e clique em Abrir.

  8. A interface do usuário notificará você se o aplicativo anexado exigir aprovação da loja gerenciada do Google Play. Para aprovar o aplicativo sem sair do console XenMobile, clique em Sim.

    Acrescentar um aplicativo MDX

  9. Quando a página da loja gerenciada do Google Play for aberta, clique em Aprovar.

    Aprovar um aplicativo MDX

  10. Clique em Aprovar novamente.

  11. Selecione Manter aprovado quando o aplicativo solicitar novas permissões. Clique em Salvar.

    Configurações de aprovação do Google Play

  12. Quando o aplicativo é aprovado e salvo, mais configurações aparecem na página. Defina estas configurações:

    • Nome do arquivo: digite o nome de arquivo associado ao aplicativo.
    • Descrição do aplicativo: digite uma descrição para o aplicativo.
    • Rastreamento de produtos: especifique qual rastreamento de produto você deseja enviar para os dispositivos do usuário. Se você tiver um rastreamento projetado para testes, poderá selecioná-lo e atribuí-lo aos seus usuários. O padrão é Produção.
    • Versão do aplicativo: opcionalmente, digite o número da versão do aplicativo.
    • ID de pacote: o URL do aplicativo na loja Google Play.
    • Versão do SO mínima: opcionalmente, digite a versão mais antiga do sistema operacional que o dispositivo pode executar para usar o aplicativo.
    • Versão do SO máxima: opcionalmente, digite a versão mais recente do sistema operacional que o dispositivo deve executar para usar o aplicativo.
    • Dispositivos excluídos: opcionalmente, digite o fabricante ou os modelos de dispositivos que não podem executar o aplicativo.
  13. Configure as Políticas de MDX. Para obter mais informações sobre políticas de aplicativos para aplicativos MDX, consulte Resumo das políticas do MDX e Visão geral do SDK MAM.

  14. Configure as regras de implantação. Para obter informações, consulte Implantar recursos.

  15. Expanda Configuração da loja. Essa configuração não se aplica aos aplicativos Android Enterprise, que aparecem somente no Google Play gerenciado.

    Tela de configuração de aplicativos

    Opcionalmente, você pode adicionar ao aplicativo perguntas frequentes ou capturas de tela que são exibidas na loja de aplicativos. Você também pode definir se os usuários podem classificar ou comentar no aplicativo.

    • Defina estas configurações:
      • Perguntas frequentes sobre o aplicativo: adicione perguntas frequentes e respostas para o aplicativo.
      • Instantâneos do aplicativo: adicione capturas de tela para ajudar a classificar o aplicativo na loja de aplicativos. O gráfico que você carregar deve ser um PNG. Você não pode carregar uma imagem GIF ou JPEG.
      • Permitir classificações do aplicativo: selecione se um usuário tem permissão para classificar o aplicativo. O padrão é I. Permitir comentários do aplicativo: selecione se os usuários têm permissão para comentar sobre o aplicativo selecionado. O padrão é I.
  16. Clique em Avançar. A página Aprovações é exibida.

    Tela de configuração de aplicativos

    Use fluxos de trabalho quando precisar de aprovação ao criar contas de usuário. Se você não quiser configurar fluxos de trabalho de aprovação, pule para a Etapa 15.

    Configure estas definições para atribuir ou criar um fluxo de trabalho:

    • Fluxo de trabalho a ser usado: na lista, clique em um fluxo de trabalho existente ou clique em Criar um novo fluxo de trabalho. O padrão é Nenhum.
    • Se você selecionar Criar um novo fluxo de trabalho, defina essas configurações. Para obter mais informações, consulte Criar e gerenciar fluxos de trabalho.
    • Nome: digite um nome exclusivo para o fluxo de trabalho.
    • Descrição: opcionalmente, digite uma descrição para o fluxo de trabalho.
    • Modelos de aprovação de email: na lista, selecione o modelo de aprovação a ser atribuído. Quando você clica no ícone de olho à direita deste campo, uma caixa de diálogo é exibida na qual você pode visualizar o modelo.
    • Níveis de aprovação do gerente: na lista, selecione o número de níveis de aprovação do gerente necessários para esse fluxo de trabalho. O padrão é 1 nível. As opções possíveis são:
      • Não é Necessário
      • 1 nível
      • 2 níveis
      • 3 níveis
    • Selecionar domínio do Active Directory: na lista, selecione o domínio do Active Directory adequado a ser usado para o fluxo de trabalho.
    • Encontrar aprovadores necessários adicionais: digite o nome adicional da pessoa no campo de pesquisa e clique em Pesquisar. Os nomes são originários do Active Directory.
    • Quando o nome aparece no campo, selecione a caixa de seleção próxima ao nome. O nome e endereço de email da pessoa aparecem na lista Aprovadores necessários adicionais selecionados.
      • Para remover uma pessoa da lista Aprovadores necessários adicionais selecionados, você pode optar por um dos seguintes procedimentos:
        • Clique em Pesquisar para ver uma lista de todas as pessoas do domínio selecionado.
        • Digite um nome parcial ou completo na caixa Pesquisar e clique em Pesquisar para limitar os resultados da pesquisa.
        • As pessoas da lista Aprovadores necessários adicionais selecionados têm marcas de seleção ao lado do respectivo nome na lista de resultados de pesquisa. Percorra a lista e desmarque a caixa de seleção ao lado de cada nome que você desejar remover.
  17. Clique em Avançar. A página Atribuição de grupo de entrega é exibida.

    Tela de configuração de aplicativos

  18. Ao lado de Escolher grupos de entrega, digite para localizar um grupo de entrega ou selecione um ou mais grupos. Os grupos que você selecionar aparecerão na lista Grupos de entrega que receberão a atribuição de aplicativos.

  19. Expanda Cronograma de implantação e defina estas configurações:

    • Ao lado de Implantar, clique em I para agendar a implantação ou em O para impedi-la. A opção padrão é I.
    • Ao lado do Cronograma de implantação, clique em Agora ou em Mais tarde. A opção padrão é Agora.
    • Se você clicar em Mais tarde, clique no ícone de calendário e selecione a data e a hora da implantação.
    • Ao lado de Condição de implantação, clique em Em cada conexão ou em Somente quando a implantação anterior tiver falhado. A opção padrão é Em cada conexão.
    • Ao lado de Implantar para conexões permanentes, verifique se O está selecionado. A opção padrão é O. As conexões sempre ativas AlwaysOn não estão disponíveis para o Android Enterprise se você começou a usar o XenMobile com a versão 10.18.19 ou posterior. Não recomendamos as conexões para clientes que começaram a usar o XenMobile antes da versão 10.18.19.

      Essa opção será aplicável quando você tiver configurado a chave de implantação em segundo plano do cronograma em Configurações > Propriedades do servidor.

      O cronograma de implantação que você configura é o mesmo para todas as plataformas. Todas as alterações feitas se aplicam a todas as plataformas, exceto Implantar para conexões permanentes.

  20. Clique em Salvar.

Repita as etapas para configurar um aplicativo MDX para cada aplicativo móvel de produtividade.

Configurar política de desafio de segurança

A política de dispositivo de código secreto XenMobile configura o conjunto de regras para que os usuários de desafios de segurança acessem seus dispositivos ou os perfis de trabalho Android Enterprise em seus dispositivos. Um desafio de segurança pode ser um código secreto ou reconhecimento biométrico. Para obter mais informações sobre a política de código secreto, consulte Política de dispositivo de código secreto.

  • Se a implantação do Android Enterprise incluir dispositivos BYOD, configure a política de código secreto para o perfil de trabalho.
  • Se sua implantação incluir dispositivos totalmente gerenciados de propriedade da empresa, configure a política de código secreto para o próprio dispositivo.
  • Se a sua implantação incluir ambos os tipos de dispositivos, configure os dois tipos de política de código secreto.

Para configurar a política de código secreto:

  1. No console XenMobile, vá para Configurar > Políticas de dispositivo.

  2. Clique em Adicionar.

  3. Clique em Mostrar filtro para mostrar o painel Plataforma de política. No painel Plataforma de política, selecione Android Enterprise.

  4. Clique em Código secreto no painel direito.

Opção de segurança de senha

  1. Digite o Nome da política. Clique em Avançar.

    Nome de segurança da senha

  2. Defina as configurações de política de código secreto.
    • Defina Código secreto do dispositivo obrigatório para Ativado para ver as definições disponíveis para os desafios de segurança do dispositivo.
    • Defina Desafio de segurança no perfil de trabalho como Ativado para ver as definições disponíveis para os desafios de segurança do perfil de trabalho.
  3. Clique em Avançar.

  4. Atribua a política a um ou mais grupos de entrega.

  5. Clique em Salvar.

Criar perfis de registro

Os perfis de registro controlam como os dispositivos Android são registrados se o Android Enterprise estiver habilitado para a sua implantação XenMobile. Ao criar um perfil de registro para registrar dispositivos Android Enterprise, você pode configurar o perfil de registro para registrar dispositivos novos e com redefinição de fábrica como:

  • Dispositivos totalmente gerenciados
  • Dispositivos dedicados (dispositivos COSU)
  • Dispositivos totalmente gerenciados com um perfil de trabalho (dispositivos COPE)

Você também pode configurar cada um desses perfis de registro do Android Enterprise para registrar dispositivos Android BYOD como dispositivos de perfil de trabalho.

Se o Android Enterprise estiver habilitado para sua implantação do XenMobile, todos os dispositivos Android recém-registrados ou registrados novamente serão registrados como dispositivos Android Enterprise. Por padrão, o perfil de registro Global registra dispositivos Android novos e com redefinição de fábrica como dispositivos totalmente gerenciados e registra dispositivos Android BYOD como dispositivos de perfil de trabalho.

Ao criar perfis de inscrição, você atribui grupos de entrega a eles. Se um usuário pertencer a vários grupos de entrega que têm perfis de registro diferentes, o nome do grupo de entrega determinará o perfil de registro usado. O XenMobile seleciona o grupo de entrega que aparece por último em uma lista alfabética de grupos de entrega, Para obter mais informações, consulte Perfis de registro.

Você pode usar perfis de registro para combinar vários casos de uso, como somente MDM, MDM+MAM e somente MAM. O tipo de licença do XenMobile Server, refletido na propriedade do servidor xms.server.mode, determina as configurações disponíveis em Configurar > Perfis de registro.

Adicionar um perfil de registro para dispositivos totalmente gerenciados

O perfil de registro Global registra dispositivos totalmente gerenciados por padrão, mas você pode criar mais perfis de registro para registrar dispositivos totalmente gerenciados.

  1. No console XenMobile, vá para Configurar > Perfis de registro.

  2. Para adicionar um perfil de registro, clique em Adicionar. Na página de Informações de registro, digite um nome para o perfil de registro.

  3. Defina o número de dispositivos que os membros com este perfil podem registrar.

  4. Selecione Android em Plataformas ou clique em Avançar. A página de configuração de registro é exibida.

  5. Defina Gerenciamento para Android Enterprise.

  6. Defina Modo proprietário do dispositivo como Dispositivo de propriedade da empresa.

    Tela de configuração de perfis de registro

  7. Perfil de trabalho BYOD permite configurar o perfil de registro para registrar dispositivos BYOD como dispositivos de perfil de trabalho. Dispositivos novos e com redefinição de fábrica são registrados como dispositivos totalmente gerenciados.

    • Defina Perfil de trabalho BYOD como On para permitir o registro de dispositivos BYOD como dispositivos de perfil de trabalho. O padrão é On.
    • Defina o perfil de trabalho BYOD como Desativado para restringir o registro a dispositivos totalmente gerenciados.
  8. Escolha se deseja registrar dispositivos no Citrix MAM.

  9. Se você definir Perfil de trabalho BYOD como On, configure o consentimento do usuário. Para permitir que os usuários de dispositivos de perfil de trabalho BYOD recusem o gerenciamento do dispositivo ao registrar seus dispositivos, defina Permitir que os usuários recusem o gerenciamento de dispositivos como On.

    Se o Perfil de trabalho BYOD estiver definido como On, o valor padrão de Permitir que os usuários recusem o gerenciamento de dispositivos será On. Se o Perfil de trabalho BYOD estiver definido como Off, Permitir que os usuários recusem o gerenciamento de dispositivos será desabilitado.

  10. Selecione Atribuição (opções). A tela Atribuição de grupo de entrega é exibida.

  11. Escolha um grupo de entrega ou grupos de entrega contendo os administradores que registram dispositivos totalmente gerenciados. Em seguida, clique em Salvar.

    A página de Perfil de registro é exibida com o perfil que você adicionou.

    Tela de configuração de perfis de registro

Adicionar um perfil de registro de dispositivo dedicado

Quando a sua implantação do XenMobile inclui dispositivos dedicados, um único administrador XenMobile ou um pequeno grupo de administradores registra vários dispositivos dedicados. Para garantir que esses administradores possam registrar todos os dispositivos necessários, crie um perfil de registro para eles com dispositivos ilimitados permitidos por usuário.

  1. No console XenMobile, vá para Configurar > Perfis de registro.

  2. Para adicionar um perfil de registro, clique em Adicionar. Na página de Informações de registro, digite um nome para o perfil de registro. Certifique-se de que o número de dispositivos que os membros com este perfil podem registrar esteja definido como ilimitado.

  3. Selecione Android em Plataformas ou clique em Avançar. A página de configuração de registro é exibida.

  4. Defina Gerenciamento para Android Enterprise.

  5. Defina Modo de proprietário do dispositivo como Dispositivo dedicado.

    Página Perfis de registro

  6. Perfil de trabalho BYOD permite configurar o perfil de registro para registrar dispositivos BYOD como dispositivos de perfil de trabalho. Dispositivos novos e com redefinição de fábrica são registrados como dispositivos dedicados. Defina Perfil de trabalho BYOD como Ativado para permitir o registro de dispositivos BYOD como dispositivos de perfil de trabalho. Defina Perfil de trabalho BYOD como Desativado para restringir o registro a dispositivos de propriedade da empresa. O padrão é Ativado.

  7. Escolha se deseja registrar dispositivos no Citrix MAM.

  8. Se você definir Perfil de trabalho BYOD como On, configure o consentimento do usuário. Para permitir que os usuários de dispositivos de perfil de trabalho BYOD recusem o gerenciamento do dispositivo ao registrar seus dispositivos, defina Permitir que os usuários recusem o gerenciamento de dispositivos como On.

    Se o Perfil de trabalho BYOD estiver definido como On, o valor padrão de Permitir que os usuários recusem o gerenciamento de dispositivos será On. Se o Perfil de trabalho BYOD estiver definido como Off, Permitir que os usuários recusem o gerenciamento de dispositivos será desabilitado.

  9. Selecione Atribuição (opções). A tela Atribuição de grupo de entrega é exibida.

  10. Escolha um grupo de entrega ou grupos de entrega contendo os administradores que registram dispositivos dedicados. Em seguida, clique em Salvar.

    A página de Perfil de registro é exibida com o perfil que você adicionou.

    Tela de configuração de perfis de registro

Adicionar um perfil de registro para dispositivos totalmente gerenciados com um perfil de trabalho

  1. No console XenMobile, vá para Configurar > Perfis de registro.

  2. Para adicionar um perfil de registro, clique em Adicionar. Na página de Informações de registro, digite um nome para o perfil de registro.

  3. Defina o número de dispositivos que os membros com este perfil podem registrar.

  4. Selecione Android em Plataformas ou clique em Avançar. A página de configuração de registro é exibida.

  5. Defina Gerenciamento para Android Enterprise. Defina Modo proprietário do dispositivo como Totalmente gerenciado com perfil de trabalho.

    Tela de configuração de perfis de registro

  6. Perfil de trabalho BYOD permite configurar o perfil de registro para registrar dispositivos BYOD como dispositivos de perfil de trabalho. Dispositivos novos e com redefinição de fábrica são registrados como dispositivos totalmente gerenciados com um perfil de trabalho. Defina Perfil de trabalho BYOD como Ativado para permitir o registro de dispositivos BYOD como dispositivos de perfil de trabalho. Defina Perfil de trabalho BYOD como Desativado para restringir o registro a dispositivos dedicados. O padrão é Desativado.

  7. Escolha se deseja registrar dispositivos no Citrix MAM.

  8. Se você definir Perfil de trabalho BYOD como Ativado, configure o consentimento do usuário. Para permitir que os usuários de dispositivos de perfil de trabalho BYOD recusem o gerenciamento do dispositivo ao registrar seus dispositivos, defina Permitir que os usuários recusem o gerenciamento de dispositivos como On.

    Se o Perfil de trabalho BYOD estiver definido como On, o valor padrão de Permitir que os usuários recusem o gerenciamento de dispositivos será On. Se o Perfil de trabalho BYOD estiver definido como Off, Permitir que os usuários recusem o gerenciamento de dispositivos será desabilitado.

  9. Selecione Atribuição (opções). A tela Atribuição de grupo de entrega é exibida.

  10. Escolha um grupo de entrega ou grupos de entrega contendo os administradores que registram dispositivos totalmente gerenciados com um perfil de trabalho. Em seguida, clique em Salvar.

    A página de Perfil de registro é exibida com o perfil que você adicionou.

    Página Perfis de registro

Adicionar um perfil de registro para dispositivos legados

Google preteriu o modo de administrador do dispositivo de gerenciamento de dispositivos. O Google incentiva os clientes a gerenciar todos os dispositivos Android no modo de proprietário do dispositivo ou no modo de proprietário do perfil. (Consulte Device admin deprecation nos guias do desenvolvedor do Google Android Enterprise.)

Para dar suporte a essa alteração:

  • A Citrix torna o Android Enterprise a opção de registro padrão para dispositivos Android.
  • Se o Android Enterprise estiver habilitado para sua implantação do XenMobile, todos os dispositivos Android recém-registrados ou registrados novamente serão registrados como dispositivos Android Enterprise.

Sua organização pode não estar pronta para começar a gerenciar dispositivos Android legados usando o Android Enterprise. Nesse caso, você pode continuar gerenciando-os no modo de administrador do dispositivo. Para dispositivos já registrados no modo de administrador de dispositivos, o XenMobile continua a gerenciá-los no modo de administrador de dispositivos.

Crie um perfil de registro para dispositivos legados para permitir que novos registros de dispositivos Android usem o modo de administrador de dispositivos.

Para criar um perfil de registro para dispositivos legados:

  1. No console XenMobile, vá para Configurar > Perfis de registro.

  2. Para adicionar um perfil de registro, clique em Adicionar. Na página de Informações de registro, digite um nome para o perfil de registro.

  3. Defina o número de dispositivos que os membros com este perfil podem registrar.

  4. Selecione Android em Plataformas ou clique em Avançar. A página de configuração de registro é exibida.

  5. Defina Gerenciamento para Administração de dispositivos herdados (não recomendado). Clique em Avançar.

    Tela de configuração de perfis de registro

  6. Escolha se deseja registrar dispositivos no Citrix MAM.

  7. Para permitir que os usuários recusem o gerenciamento do dispositivo ao registrar seus dispositivos, defina Permitir que os usuários recusem o gerenciamento de dispositivos como Ativado. O padrão é Ativado.

  8. Selecione Atribuição (opções). A tela Atribuição de grupo de entrega é exibida.

  9. Escolha um grupo de entrega ou grupos de entrega contendo os administradores que registram dispositivos dedicados. Em seguida, clique em Salvar.

A página de Perfil de registro é exibida com o perfil que você adicionou.

Página de Perfil de registro

Para continuar a gerenciar um dispositivo legado no modo de administrador de dispositivos, registre-o ou registre-o novamente utilizando este perfil. Você registra dispositivos de administrador de dispositivos de modo similar aos dispositivos de perfil de trabalho, fazendo com que os usuários baixem o Secure Hub e fornecendo um URL do servidor de registro.

Provisionar dispositivos de perfil de trabalho Android Enterprise

Os dispositivos de perfil de trabalho Android Enterprise são registrados no modo de proprietário do perfil. Esses dispositivos não precisam ser novos ou redefinidos de fábrica. Os dispositivos BYOD são registrados como dispositivos de perfil de trabalho. A experiência de registro é semelhante ao registro do Android no XenMobile. Os usuários fazem o download do Secure Hub a partir do Google Play e registram seus dispositivos.

Por padrão, as configurações de Depuração de USB e Fontes desconhecidas são desativadas em um dispositivo quando ele é registrado no Android Enterprise como um dispositivo de perfil de trabalho.

Quando for registrar dispositivos no Android Enterprise como dispositivos de perfil de trabalho, sempre vá para o Google Play. A partir dali, habilite o Hub Secure para aparecer no perfil pessoal do usuário.

Provisionamento de dispositivos Android Enterprise totalmente gerenciados

Você pode registrar dispositivos totalmente gerenciados na implantação configurada nas seções anteriores. Dispositivos totalmente gerenciados são dispositivos de propriedade da empresa e estão registrados no modo proprietário do dispositivo. Somente dispositivos novos ou redefinidos de fábrica podem ser registrados no modo proprietário do dispositivo.

Você pode registrar dispositivos no modo proprietário do dispositivo usando qualquer um destes métodos de registro:

  • Token identificador DPC: com esse método de registro, os usuários inserem os caracteres afw#xenmobile ao configurar o dispositivo. afw#xenmobile é o token identificador Citrix DPC. Esse token identifica o dispositivo como gerenciado pelo XenMobile e baixa o Secure Hub da loja Google Play. Veja Registrar dispositivos usando o token identificador Citrix DPC.
  • Near field communication (NFC) bump: o método de registro de colisão NFC transfere dados entre dois dispositivos usando comunicação a curta distância. Bluetooth, Wi-Fi e outros meios de comunicação estão desativados em um dispositivo que sofreu uma redefinição de fábrica ou novo. O NFC é o único protocolo de comunicação que o dispositivo pode usar nesse estado. Veja Registrar dispositivos com NFC bump.
  • Código QR: o registro de código QR pode ser usado para registrar uma frota distribuída de dispositivos que não suportam NFC, como tablets. O método de registro de código QR instala e configura o modo de perfil de dispositivo digitalizando um código QR no Assistente de instalação. Veja Registrar dispositivos usando um código QR.
  • Sem toque: o registro sem toque permite que você configure dispositivos para se registrarem automaticamente quando eles são ligados pela primeira vez. O registro sem toque é suportado em alguns dispositivos Android que executam o Android 8.0 ou posterior. Veja Registro sem toque.
  • Contas do Google: os usuários inserem suas credenciais da Conta do Google para iniciar o processo de provisionamento. Essa opção é para empresas que usam o G Suite.

Registrar dispositivos usando o token identificador Citrix DPC

Os usuários inserem afw#xenmobile quando solicitados a inserir uma conta do Google depois de ligares dispositivos novos ou redefinidos de fábrica para instalação inicial. Essa ação baixa e instala o Secure Hub. Os usuários seguem os prompts de configuração do Secure Hub para concluir o registro.

Esse método de registro é recomendado para a maioria dos clientes, porque a versão mais recente do Secure Hub é baixada da loja Google Play. Ao contrário de outros métodos de registro, você não fornece o Secure Hub para download no servidor XenMobile Server.

Requisitos do sistema

  • Suportado em todos os dispositivos Android que executam o sistema operacional Android.

Para registrar o dispositivo

  1. Ligue um dispositivo novo ou redefinido de fábrica.

  2. A instalação inicial do dispositivo é carregada e solicita uma conta do Google. Se o dispositivo carregar a tela inicial do dispositivo, verifique se há na barra de notificação uma notificação Concluir instalação .

    Solicitação de login de configuração do dispositivo

  3. Digite afw#xenmobile no campo E-mail ou telefone.

    Texto de configuração do dispositivo

  4. Toque em Instalar na tela do Android Enterprise solicitando a instalação do Secure Hub.

    Instalação do Android Enterprise

  5. Toque em Instalar na tela do instalador do Secure Hub.

    Instalação Secure Hub

  6. Toque em Permitir para todas as solicitações de permissão do aplicativo.

  7. Toque em Aceitar e continuar para instalar o Secure Hub e permitir que ele gerencie o dispositivo.

    Permissões do Secure Hub

  8. O Secure Hub agora está instalado e na tela de registro padrão. Neste exemplo, AutoDiscovery não está configurado. Se estivesse, o usuário poderá inserir seu nome de usuário/e-mail e um servidor será encontrado para ele. Em vez disso, insira a URL de registro do ambiente e toque em Avançar.

    Credenciais do Secure Hub

  9. A configuração padrão do XenMobile permite que os usuários escolham se usarão MAM ou MDM+MAM. Se solicitado dessa forma, toque em Sim, registar para escolher MDM+MAM.

    Dispositivo de registro no Secure Hub

  10. Insira o nome de usuário e a senha e, em seguida, toque em Avançar.

    Login no Secure Hub

  11. O usuário é solicitado a configurar o código secreto do dispositivo. Toque em Definir e insira um código secreto.

    Código secreto do Secure Hub

  12. O usuário é solicitado a configurar um método de desbloqueio do perfil de trabalho. Para este exemplo, toque em Senha, toque em PIN e digite um PIN.

    Opções de código secreto

  13. O dispositivo está agora na tela inicial Meus aplicativos do Secure Hub. Toque em Adicionar aplicações da loja.

    Tela de aplicativos do Secure Hub

  14. Para adicionar o Secure Web, toque em Secure Web.

    Loja do Secure Hub

  15. Toque em Adicionar.

    Loja do Secure Web

  16. O Secure Hub direciona o usuário para o Google Play Store para instalar o Secure Web. Toque em Instalar.

    Instalação do aplicativo Secure

  17. Depois que o Secure Hub for instalado, toque em Abrir. Insira a URL de um site interno na barra de endereços e verifique se a página é carregada.

    Teste do Secure Web

  18. Vá para Configurações > Contas no dispositivo. Observe que a conta gerenciada não pode ser modificada. As opções do desenvolvedor para compartilhamento de tela ou depuração remota também são bloqueadas.

    Alteração da conta

Registrar dispositivos com NFC bump

Registrar um dispositivo dispositivo totalmente gerenciado usando compartilhamentos por NFC requer dois dispositivos: um cujas configurações de fábrica sejam redefinidas e um que esteja executando a XenMobile Provisioning Tool.

Requisitos do sistema e pré-requisito

  • Dispositivos Android com suporte.
  • Um dispositivo novo ou com redefinição de fábrica, provisionado para o Android Enterprise como um dispositivo totalmente gerenciado. Você pode encontrar as etapas para concluir esse pré-requisito neste artigo.
  • Outro dispositivo com recursos NFC executando a Provisioning Tool configurada. A Provisioning Tool está disponível no Secure Hub ou em Página de downloads Citrix.

Cada dispositivo pode ter apenas um perfil Android Enterprise gerenciado do Secure Hub. Somente um perfil é permitido em cada dispositivo. A tentativa de adicionar um segundo aplicativo DPC remove o Secure Hub instalado.

Dados transferidos através do aumento de NFC

Provisionar um dispositivo com redefinição de fábrica requer que você envie os seguintes dados por meio de um NFC bump para inicializar o Android Enterprise:

  • O nome do pacote do aplicativo DPC que atua como o proprietário do dispositivo (neste caso, o Secure Hub).
  • A localização de Intranet/Internet da qual o dispositivo pode baixar o aplicativo DPC.
  • O hash SHA1 do aplicativo DPC para verificar se o download é bem-sucedido.
  • Os detalhes da conexão WiFi para que um dispositivo com redefinição de fábrica possa se conectar e baixar o aplicativo DPC. Nota: no momento, o Android não é compatível com WiFi 802.1x para esta etapa.
  • O fuso horário do dispositivo (opcional).
  • A localização geográfica do dispositivo (opcional).

Quando os dois dispositivos são aumentados, os dados da Provisioning Tool são enviados para o dispositivo com redefinição de fábrica. Esses dados são usados para baixar o Secure Hub com as configurações do administrador. Se você não inserir os valores de localização e fuso horário, o Android os configura automaticamente no novo dispositivo.

Configuração da XenMobile Provisioning Tool

Antes de realizar um aumento de NFC, você deve configurar a Provisioning Tool. Em seguida, essa configuração é transferida para o dispositivo com redefinição de fábrica durante o aumento de NFC.

Configuração da Provisioning Tool

Você pode digitar dados nos campos obrigatórios ou preenchê-los usando um arquivo de texto. As etapas no procedimento a seguir descrevem como configurar o arquivo de texto e contém descrições para cada campo. O aplicativo não salva as informações depois que as digitar, portanto, convém criar um arquivo de texto para manter as informações para uso futuro.

Para configurar a Provisioning Tool usando um arquivo de texto

Dê ao arquivo o nome nfcprovisioning.txt e coloque-o na pasta /sdcard/ no cartão SD do dispositivo. Em seguida, o aplicativo poderá ler o arquivo de texto e preencher os valores.

O arquivo de texto deve conter os seguintes dados:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Essa linha é o local da intranet/internet do aplicativo do provedor EMM. Depois que o dispositivo com redefinição de fábrica se conectar a Wi-Fi em seguida ao aumento de NFC, o dispositivo deve ter acesso a esse local para fazer o download. A URL é uma URL regular, sem necessidade de formatação especial.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Essa linha é a soma de verificação do aplicativo do provedor EMM. Essa soma de verificação é usada para verificar se o download foi bem-sucedido. As etapas para obter a soma de verificação são discutidas neste artigo.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Esse é o SSID de Wi-Fi conectado do dispositivo no qual a Provisioning Tool está em execução.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Os valores suportados são WEP e WPA2. Se o Wi-Fi for desprotegido, esse campo deverá estar vazio.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Se o Wi-Fi for desprotegido, esse campo deverá estar vazio.

android.app.extra.PROVISIONING_LOCALE=<locale>

Insira os códigos de idioma e país. Os códigos de idioma são códigos de idioma ISO com duas letras minúsculas (por exemplo, en), conforme definido pela ISO 639-1. Os códigos de país são códigos de país ISO com duas letras maiúsculas (por exemplo, US), conforme definido pela ISO 3166-1. Por exemplo, digite en_US para o inglês falado nos Estados Unidos. Se você não digitar nenhum código, o país e o idioma serão preenchidos automaticamente.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

O fuso horário no qual o dispositivo está em execução. Insira um nome Olson da área/localização do formulário. Por exemplo, America/Los_Angeles para o horário do Pacífico. Se você não inserir nenhum nome, o fuso horário será preenchido automaticamente.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Isso não é necessário, pois o valor é inserido em código fixo no aplicativo, como o Secure Hub. Ele é mencionado aqui somente por uma questão de conclusão.

Se houver um Wi-Fi protegido por WPA2, um arquivo nfcprovisioning.txt preenchido terá a seguinte aparência:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Se houver uma Wi-Fi desprotegida, um arquivo nfcprovisioning.txt preenchido terá a seguinte aparência:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Para obter a soma de verificação do Citrix Secure Hub

A soma de verificação do Secure Hub é um valor constante: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM. Para baixar um arquivo APK para o Secure Hub, use o seguinte link da loja do Google Play: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile.

Para obter uma soma de verificação de aplicativo

Pré-requisitos:

  • A ferramenta apksigner do Android SDK Build Tools
  • Linha de comando OpenSSL

Para obter a soma de verificação de qualquer aplicativo, siga estas etapas:

  1. Baixe o arquivo APK do aplicativo na loja do Google Play.
  2. Na linha de comando OpenSSL, navegue até a ferramenta apksigner: android-sdk/build-tools/<version>/apksigner e digite o seguinte:

    apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
    

    O comando retorna uma soma de verificação válida.

  3. Para gerar o código QR, insira a soma de verificação no campo PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM. Por exemplo:
{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}

Bibliotecas usadas

A Provisioning Tool usa as seguintes bibliotecas no seu código-fonte:

Registrar dispositivos usando um código QR

Para registrar um dispositivo totalmente gerenciado usando um código QR, você pode gerar um código QR criando um JSON e convertendo o JSON em um código QR. A câmera do dispositivo escaneia o código QR para registrar o dispositivo.

Requisitos do sistema

  • Suportado em todos os dispositivos Android com Android 8.0 e superior.

Criar um código QR de um JSON

Crie um JSON com os seguintes campos.

Estes campos são obrigatórios:

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valor: com.zenprise/com.zenprise.configuration.AdminFunction

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valor: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valor: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

Estes campos são opcionais:

  • android.app.extra.PROVISIONING_LOCALE: insira os códigos de idioma e país.

    Os códigos de idioma são códigos de idioma ISO com duas letras minúsculas (por exemplo, en), conforme definido pela ISO 639-1. Os códigos de país são códigos de país ISO com duas letras maiúsculas (por exemplo, US), conforme definido pela ISO 3166-1. Por exemplo, insira en_US para o inglês falado nos Estados Unidos.

  • android.app.extra.PROVISIONING_TIME_ZONE: o fuso horário em que o dispositivo é executado.

    Insira um nome Olson da área/localização do formulário. Por exemplo, America/Los_Angeles para o horário do Pacífico. Se você não inserir um, o fuso horário será preenchido automaticamente.

  • android.app.extra.PROVISIONING_LOCAL_TIME: tempo em milissegundos desde a época (Epoch).

    A época do Unix (ou hora do Unix, hora do POSIX ou carimbo de data/hora do Unix) é o número de segundos decorridos desde 1º de janeiro de 1970 (meia-noite UTC/GMT). O tempo não inclui segundos bissextos (in ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: definido como true para ignorar a criptografia durante a criação do perfil. Defina como false para forçar a criptografia durante a criação do perfil.

Um JSON típico tem esta aparência:

Um JSON típico

Valide o JSON que é criado usando qualquer ferramenta de validação JSON, como https://jsonlint.com. Converta essa sequência JSON em um código QR usando qualquer gerador de código QR on-line, como https://www.qr-code-generator.com.

Este código QR é escaneado por um dispositivo redefinido de fábrica para registrar o dispositivo como um dispositivo totalmente gerenciado.

Para registrar o dispositivo

Depois de ligar um dispositivo novo ou redefinido de fábrica:

  1. Toque seis vezes na tela de boas-vindas para iniciar o fluxo de registro do código QR.
  2. Quando solicitado, conecte-se ao Wi-Fi. O local de download do Secure Hub no código QR (codificado no JSON) é acessível através desta rede Wi-Fi.

    Depois que o dispositivo se conecta com êxito a Wi-Fi, ele baixa um leitor de código QR do Google e inicia a câmera.

  3. Aponte a câmera para o código QR para escanear o código.

    O Android baixa o Secure Hub do local de download no código QR, valida a assinatura do certificado de assinatura, instala o Secure Hub e o define como o proprietário do dispositivo.

Para mais informações, consulte este Guia do Google para desenvolvedores de EMM para Android: https://developers.google.com/android/work/prov-devices#qr_code_method.

Registro sem toque

O registro sem toque permite que você configure dispositivos para se provisionarem como dispositivos totalmente gerenciados quando eles são ligados pela primeira vez.

Seu revendedor de dispositivos cria uma conta para você no portal de registro sem toque do Android, uma ferramenta online que permite aplicar configurações a dispositivos. Usando o portal de registro sem toque do Android, você cria uma ou mais configurações de registro sem toque e aplica as configurações aos dispositivos atribuídos à sua conta. Quando os usuários ligam esses dispositivos, os dispositivos são automaticamente registrados no XenMobile. A configuração atribuída ao dispositivo define seu processo de registro automático.

Requisitos do sistema

  • Suporte a registro sem toque começa com o Android 8.0.

Dispositivos e informações da conta fornecidas pelo seu revendedor

  • Os dispositivos elegíveis para registro sem toque são comprados de um revendedor corporativo ou parceiro Google. Para obter uma lista de parceiros do Android Enterprise zero-touch, consulte o Site Android.

  • Uma conta do portal de registro sem toque do Android Enterprise, criada pelo seu revendedor.

  • Informações de login da conta do portal de registro sem toque do Android Enterprise, fornecidas pelo seu revendedor.

Criar uma configuração sem toque

Quando você criar uma configuração toque zero, inclua um JSON personalizado para especificar detalhes da configuração.

Use este JSON para configurar o dispositivo para se registrar no XenMobile Server especificado. Substitua a URL do seu servidor por ‘URL’ neste exemplo.

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }

Você pode usar um JSON opcional com mais parâmetros para personalizar ainda mais a sua configuração. Este exemplo especifica o XenMobile Server e o nome de usuário e senha que os dispositivos que usam essa configuração usam para fazer logon no servidor.

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  1. Vá para o portal de registro sem toque do Android em https://partner.android.com/zerotouch. Inicie uma sessão com as informações da conta fornecidas pelo seu revendedor de dispositivos sem toque.

  2. Clique em Configuration. o portal de registro sem toque

  3. Clique em + acima da tabela de configuração. o portal de registro sem toque

  4. Insira suas informações de configuração na janela de configuração que aparece. o portal de registro sem toque
    • Configuration name: digite o nome escolhido para esta configuração.
    • EMM DPC: Escolha Citrix Secure Hub.
    • DPC extras: Cole seu texto JSON personalizado neste campo.
    • Company name: digite o nome que deseja que apareça nos dispositivos Android Enterprise sem toque durante o provisionamento do dispositivo.
    • Support email address: digite um endereço de e-mail para que seus usuários possam entrar em contato para obter ajuda. Esse endereço aparece nos seus dispositivos Android Enterprise sem toque antes do provisionamento do dispositivo.
    • Support phone number: digite um número de telefone para que seus usuários possam entrar em contato para obter ajuda. Esse número de telefone aparece nos seus dispositivos Android Enterprise sem toque antes do provisionamento do dispositivo.
    • Custom Message: opcionalmente, adicione uma ou duas frases para ajudar os usuários a entrar em contato com você ou fornecer mais detalhes sobre o que está acontecendo com o dispositivo deles. Essa mensagem personalizada aparece nos seus dispositivos Android Enterprise sem toque antes do provisionamento do dispositivo.
  5. Clique em Adicionar.

  6. Para criar mais configurações, repita as etapas 2 a 4.

  7. Para aplicar uma configuração a um dispositivo:

    1. No portal de registro sem toque do Android, clique em Devices.

    2. Localize o dispositivo na lista de dispositivos e escolha a configuração que deseja atribuir a ele. o portal de registro sem toque

    3. Clique em Update.

Você pode aplicar uma configuração a vários dispositivos usando um arquivo CSV.

Para obter informações sobre como aplicar uma configuração a vários dispositivos, consulte o tópico da ajuda do Android Enterprise Registro sem toque para administradores de TI. Esse tópico de ajuda do Android Enterprise contém mais informações sobre como gerenciar configurações e aplicá-las a dispositivos.

Provisionamento de dispositivos Android Enterprise dedicados

Os dispositivos Android Enterprise dedicados são dispositivos totalmente gerenciados e dedicados a atender a um único caso de uso. Dispositivos dedicados também são conhecidos como dispositivos corporativos para uso único (COSU). Você restringe esses dispositivos a um aplicativo ou a um pequeno conjunto de aplicativos necessários para executar as tarefas necessárias para o caso de uso. Você também impede que os usuários habilitem outros aplicativos ou executem outras ações no dispositivo.

Registre os dispositivos dedicados usando qualquer um dos métodos de registro usados para outros dispositivos totalmente gerenciados, conforme descrito em Provisionamento de dispositivos Android Enterprise totalmente gerenciados. O provisionamento de dispositivos dedicados requer mais configuração antes do registro.

Para provisionar dispositivos dedicados:

  • Adicione um perfil de registro para administradores do XenMobile os quais você permite que registrem dispositivos dedicados na sua implantação do XenMobile. Veja Criar perfis de registro.
  • Acrescente à lista de permissão os aplicativos que você deseja que o dispositivo dedicado acesse.
  • Opcionalmente, coloque o aplicativo na lista de permissão para permitir o modo de bloqueio de tarefa. Quando um aplicativo está no modo de bloqueio de tarefa, ele é fixado na tela do dispositivo quando o usuário o abre. O botão Início não aparece e o botão Voltar fica desativado. O usuário sai do aplicativo usando uma ação programada no aplicativo, como logoff.
  • Registre cada dispositivo no perfil de registro que você adicionou.

Requisitos do sistema

  • Suporte para registrar dispositivos dedicados começa com o Android 6.0.

Acrescentar aplicativos à lista de permissão e definir o modo de bloqueio de tarefa

A política de dispositivo de quiosque permite que você acrescente aplicativos à lista de permissão e defina o modo de bloqueio de tarefa. Por padrão, os serviços Secure Hub e Google Play são pemitidos.

Para adicionar a política de quiosque:

  1. No console XenMobile, clique em Configurar > Políticas de dispositivo. A página Políticas de dispositivo é exibida.

  2. Clique em Adicionar. É exibida a caixa de diálogo Adicionar uma nova política.

  3. Expanda Mais e, em Segurança, clique em Quiosque. A página Política de quiosque é exibida.

  4. Em Plataformas, selecione Android Enterprise. Limpe as outras plataformas.

  5. No painel de Informações da Política, digite o Nome da Política e uma Descrição opcional.

  6. Clique em Avançar e, em seguida, clique em Adicionar.

  7. Para acrescentar um aplicativo à lista de permissão e permitir ou negar o modo de bloqueio de tarefa do aplicativo:

    Selecione o aplicativo que você deseja permitir na lista.

    Escolha Permitir para que o aplicativo seja fixado na tela do dispositivo quando o usuário iniciar o aplicativo. Escolha Negar para que o aplicativo não seja fixado. O padrão é Permitir.

    Tela de configuração de políticas de dispositivos

  8. Clique em Salvar.

  9. Para acrescentar outro aplicativo à lista de permissão e permitir ou negar o modo de bloqueio de tarefa do aplicativo, clique em Adicionar.

  10. Configure regras de implantação e escolha grupos de entrega. Para obter mais informações, consulte Políticas de dispositivo.

Para registrar o dispositivo

  1. Clique em Avançar ou selecione Android em Plataformas. A página de configuração de registro é exibida.

  2. Defina Gerenciamento para Android Enterprise.

  3. Defina Modo proprietário do dispositivo como Dispositivo de propriedade da empresa.

    Tela de configuração de perfis de registro

  4. Selecione Atribuição (opções). A tela Atribuição de grupo de entrega é exibida.

  5. Escolha um grupo de entrega ou grupos de entrega contendo os administradores que registram dispositivos dedicados. Em seguida, clique em Salvar.

Se você habilitou o Perfil de trabalho BYOD no perfil de registro, os dispositivos que não são novos ou com redefinição de fábrica serão registrados como dispositivos de perfil de trabalho. Veja Provisionar dispositivos de perfil de trabalho Android Enterprise.

Provisionar dispositivos Android Enterprise totalmente gerenciados com um perfil de trabalho (dispositivos COPE)

Dispositivos totalmente gerenciados com um perfil de trabalho, anteriormente chamados de dispositivos COPE, são dispositivos de propriedade da empresa que são usados para fins pessoais e profissionais. Sua organização gerencia os dispositivos por completo. Você pode aplicar um conjunto de políticas ao dispositivo e um conjunto separado de políticas ao perfil de trabalho.

No console XenMobile, os dispositivos totalmente gerenciados com um perfil de trabalho aparecem com estes termos:

  • A propriedade do dispositivo é “Corporativo”.

  • O tipo de instalação do dispositivo Android Enterprise é “Propriedade da empresa, habilitado pessoalmente”.

Requisitos do sistema

  • O suporte para registrar dispositivos totalmente gerenciados com perfis de trabalho começa com o Android 8.0.

Adicionar um perfil de registro para dispositivos totalmente gerenciados com perfis de trabalho

Crie um perfil de registro para registrar dispositivos totalmente gerenciados com perfis de trabalho. Os administradores nos grupos de entrega atribuídos a esse perfil de registro podem registrar dispositivos totalmente gerenciados com perfis de trabalho. Para garantir que esses administradores possam registrar todos os dispositivos necessários, crie um perfil de registro para eles com dispositivos ilimitados permitidos por usuário. Atribua esse perfil a um grupo de entrega contendo os administradores que registram os dispositivos totalmente gerenciados com perfis de trabalho.

  1. No console XenMobile, vá para Configurar > Perfis de registro.

  2. Para adicionar um perfil de registro, clique em Adicionar. Na página de Informações de registro, digite um nome para o perfil de registro. Certifique-se de que o número de dispositivos que os membros com este perfil podem registrar esteja definido como ilimitado.

  3. Clique em Avançar ou selecione Android Enterprise em Plataformas. A página de configuração de registro é exibida.

  4. Defina o Tipo de inscrição/registro como um dos seguintes:
    • Totalmente gerenciado/Perfil de trabalho: novos dispositivos ou dispositivos com reconfiguração de fábrica se registram totalmente gerenciados. Os dispositivos BYOD se regsitram com apenas um perfil de trabalho gerenciado por você.
    • COPE/Perfil de trabalho: novos dispositivos ou dispositivos com reconfiguração de fábrica se registram totalmente gerenciados com um perfil de trabalho. Os dispositivos BYOD se regsitram com apenas um perfil de trabalho gerenciado por você.

    Tela de configuração de perfis de registro

  5. Selecione Atribuição (opcional) ou clique em Avançar. A tela Atribuição de grupo de entrega é exibida.

  6. Escolha um grupo de entrega ou grupos de entrega contendo os administradores que registram dispositivos dedicados. Em seguida, clique em Salvar.

    A página de Perfil de registro é exibida com o perfil que você adicionou.

    Tela de configuração de perfis de registro

Se um usuário pertencer a vários grupos de entrega que têm perfis de registro diferentes, o nome do grupo de entrega determinará o perfil de registro usado. O XenMobile seleciona o grupo de entrega que aparece por último em uma lista alfabética de grupos de entrega,

Para registrar o dispositivo

Dispositivos novos e com reconfiguração de fábrica se registram como dispositivos totalmente gerenciados com um perfil de trabalho usando o token do identificador DPC, o compartilhamento de comunicação a curta distância (NFC) ou métodos de código QC. Consulte Registrar dispositivos usando o token identificador Citrix DPC, Registrar dispositivos com NFC bump ou Registrar dispositivos usando um código QR.

Dispositivos que não são novos nem com reconfiguração de fábrica se registram como dispositivos de perfil de trabalho conforme descrito em Provisionar dispositivos de perfil de trabalho Android Enterprise.

Exibir dispositivos Android Enterprise no console XenMobile

  1. No console XenMobile, vá para Gerenciar > Dispositivos.

  2. Adicione a coluna Dispositivo Android Enterprise ativado? clicando no menu à direita da tabela na página. Lista de dispositivos Android Enterprise

  3. Para exibir as ações de segurança disponíveis, selecione um dispositivo totalmente gerenciado e clique em Segurança. Quando o dispositivo é totalmente gerenciado, a ação Apagamento completo fica disponível, mas Apagamento seletivo não. Essa diferença se dá porque o dispositivo só permite aplicativos da loja Google Play gerenciada. Não há nenhuma opção para o usuário instalar aplicativos da loja pública. Sua organização gerenciou todo o conteúdo no dispositivo.

    Ações de segurança

Configurar políticas de dispositivo Android Enterprise

Use essas políticas para configurar como o XenMobile interage com dispositivos que executam o Android Enterprise. Esta tabela lista todas as políticas de dispositivo disponíveis para dispositivos Android Enterprise.

Importante:

para dispositivos que se registram no Android Enterprise e usam aplicativos MDX: você pode controlar algumas configurações por meio do MDX e do Android Enterprise. Use as configurações de política menos restritivas para MDX e controle a política por meio do Android Enterprise.

     
Configurações gerenciadas do Android Enterprise Inventário de aplicativos Desinstalação de aplicativo
Controlar atualização de SO Credenciais XML personalizado
Exchange Política de dispositivo de arquivo Quiosque
Quiosque Localização Código secreto
Restrições Chave de licença MDM Samsung Programação
Wi-Fi    

Políticas de dispositivo para dispositivos totalmente gerenciados com perfil de trabalho (dispositivos COPE)

Para dispositivos totalmente gerenciados com perfis de trabalho (dispositivos COPE), algumas políticas de dispositivo podem ser usadas para aplicar configurações separadas a todo o dispositivo e ao perfil de trabalho. Você pode usar outras políticas de dispositivo para aplicar configurações apenas para o dispositivo todo ou apenas para o perfil de trabalho de dispositivos totalmente gerenciados com perfis de trabalho.

Política Aplica-se a
Permissões do aplicativo Enterprise Android Perfil de trabalho
Configurações gerenciadas do Android Enterprise Perfil de trabalho
Inventário de aplicativos Perfil de trabalho
Desinstalação de aplicativo Perfil de trabalho
Controlar atualização de SO N/D
Credenciais Perfil de trabalho
XML personalizado N/D
Opções do XenMobile Perfil de trabalho
Exchange N/D
Arquivos Perfil de trabalho
Quiosque N/D
Gerenciamento de proteção do teclado Dispositivo e perfil de trabalho
Localização Dispositivo (somente modo de localização)
Código secreto Dispositivo e perfil de trabalho
Restrições Dispositivo e perfil de trabalho (crie políticas separadas para o dispositivo e o perfil de trabalho)
Chave de licença MDM Samsung N/D
Programação Perfil de trabalho
Wi-Fi Dispositivo

Veja também, Políticas MDX e políticas de dispositivo com suporte e Visão geral do SDK MAM.

Ações de segurança

O Android Enterprise suporta as seguintes ações de segurança. Para obter uma descrição de cada ação de segurança, consulte Ações de segurança.

Ação de segurança Perfil de trabalho Totalmente gerenciado
Renovação de certificado Sim Sim
Apagamento completo Não Sim
Localizar Sim Sim
Bloquear Sim Sim
Bloquear e redefinir senha Não Sim
Notificar (Tocar) Sim Sim
Revogar Sim Sim
Apagamento seletivo Sim Não

Observações sobre a Ação de segurança

  • A ação de segurança Localizar falha a menos que a política de dispositivo de Localizar defina o modo de localização do dispositivo como Alta precisão ou Economia de bateria. Veja Política de dispositivo de localização.

  • Em dispositivos de perfil de trabalho que executam versões do Android anteriores ao Android 8.0:

    • A ação de bloqueio e redefinição de senha não é suportada.
  • Em dispositivos de perfil de trabalho com Android 8.0 ou superior:

    • O código secreto enviado bloqueia o perfil de trabalho. O dispositivo em si não é bloqueado.
    • Se nenhum código secreto estiver definido no perfil de trabalho:
      • Se não for enviado um código secreto, ou se o código secreto enviado não atender aos requisitos de código secreto, o dispositivo será bloqueado.
    • Se um código secreto estiver definido no perfil de trabalho:
      • Se não for enviado um código secreto, ou se o código secreto enviado não atender aos requisitos de código secreto: o perfil de trabalho será bloqueado, mas o dispositivo em si não será bloqueado.
  • Em dispositivos totalmente gerenciados com perfis de trabalho (dispositivos COPE):

    • Você pode aplicar a ação de segurança Bloquear separadamente ao dispositivo ou ao perfil de trabalho

Cancelar o registro de um enterprise do Android Enterprise

Se você não quiser mais usar o seu enterprise do Android Enterprise, poderá cancelar o registro do enterprise.

Aviso:

Depois de cancelar o registro de um enterprise, os aplicativos Android Enterprise nos dispositivos já registrados por meio dele são redefinidos para os estados padrão. O Google não gerencia mais os dispositivos. Se você se registar em um novo enterprise do Android Enterprise, deverá aprovar aplicativos para a nova organização a partir do Google Play gerenciado. Depois, você pode atualizar os aplicativos a partir do console XenMobile.

Depois que o registro do enterprise do Android Enterprise for cancelado:

  • Dispositivos e usuários registrados pelo Enterprise têm os aplicativos do Android Enterprise redefinidos para o estado padrão. As políticas de Configurações Gerenciadas do Android Enterprise aplicadas anteriormente não afetam mais as operações.
  • O XenMobile gerencia dispositivos registrados por meio do enterprise. Do ponto de vista do Google, esses dispositivos não são gerenciados. Você não pode adicionar novos aplicativos Android Enterprise. Não é possível aplicar políticas de Configurações Gerenciadas do Android Enterprise. Você pode aplicar outras políticas, como Agendamento, Senha e Restrições a esses dispositivos.
  • Se você tentar registrar dispositivos no Android Enterprise, eles serão registrados como dispositivos Android, não como dispositivos Android Enterprise.

Cancele o registro de um enterprise do Android Enterprise usando o console do XenMobile Server e o XenMobile Tools.

Quando você executa essa tarefa, o XenMobile abre uma janela pop-up para o XenMobile Tools. Antes de começar, verifique se o XenMobile tem permissão para abrir janelas pop-up no navegador que você está usando. Alguns navegadores, como o Google Chrome, exigem que você desabilite o bloqueio de pop-ups e acrescente o endereço do site do XenMobile à lista de permissão de bloqueio de pop-up.

Para cancelar o registro de um enterprise do Android Enterprise:

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito. A página Settings é exibida.

  2. Na página Settings, clique em Android Enterprise.

  3. Clique em Cancelar registro.

    Opção Cancelar registro