Android for Work

O Android for Work (Android Enterprise) é um espaço de trabalho seguro disponível em dispositivos Android que executam o Android 5.0 e versões posteriores. O espaço de trabalho isola contas comerciais, aplicativos e dados de contas pessoais, aplicativos e dados. No XenMobile, você gerencia o seu próprio dispositivo (BYOD) e dispositivos Android de propriedade da empresa solicitando aos usuários que criem um perfil de trabalho separado em seus dispositivos. Ao combinar criptografia de hardware com as políticas que você implanta, você separa com segurança as áreas corporativa e pessoal em um dispositivo. Você pode gerenciar ou apagar todos os dados, aplicativos e políticas corporativas remotamente, sem afetar a área pessoal do usuário. Para obter mais informações sobre os dispositivos Android compatíveis, consulte o site Google Android Enterprise.

Você pode usar o Google Play para adicionar, comprar e aprovar aplicativos para implantação no espaço de trabalho para o Android for Work em um dispositivo. Você pode usar o Google Play para implantar os seus aplicativos Android privados, além de aplicativos públicos e de terceiros. Quando você adiciona um aplicativo pago da loja de aplicativos pública ao XenMobile para Android for Work, você pode verificar o status do licenciamento da compra em massa. Esse status é o número total de licenças disponíveis, o número agora em uso e o endereço de email de cada usuário que consome as licenças. Para obter detalhes sobre como adicionar um aplicativo ao XenMobile, consulte Adicionar um aplicativo de loja de aplicativos pública.

Nota:

No XenMobile Server e em nossa documentação, fazemos referência ao Android for Work. A terminologia mais recente é Android Enterprise. Para obter detalhes, consulte a documentação do Android.

Configurar o Android for Work

O XenMobile fornece uma maneira simples de configurar o Android for Work para sua organização. Usando as Ferramentas de Gerenciamento do XenMobile, você vincula o XenMobile como seu provedor de gerenciamento de mobilidade empresarial através do Google Play e cria uma empresa para o Android for Work.

Nota:

Clientes do G Suite, consultem Clientes com Android for Work Legado para G Suite, que inclui uma tabela de informações sobre políticas relacionadas.

Você precisará:

  • Suas credenciais de conta da Citrix para fazer logon no XenMobile Tools
  • Suas credenciais corporativas de ID do Google para fazer login no Google Play
  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida.

  2. Na página Configurações, clique em Android for Work.

    Imagem da página "Configurações" do Android for Work

  3. Na página Android for Work, nas Configurações do XenMobile, clique em Ir ao XenMobile Tools.

    Imagem do link Ir ao XenMobile Tools

  4. Faça logon na sua conta da Citrix, se solicitado.
  5. Na página Android for Work, no XenMobile Tools Management, clique em Ir ao Google Play.

    Imagem da opção Ir para o Google Play

  6. No Google Play, registre a Citrix como o gerenciamento de mobilidade empresarial da sua organização:

    • Digite o nome da sua organização.
    • Verifique se Citrix aparece como o seu gerenciamento de mobilidade empresarial.
    • Aceite os termos e clique em Confirmar.

    Imagem da página de registro do Google Play

    • Na página que é exibida, clique em Concluir registro.

    Essa etapa cria um arquivo para você baixar e, em seguida, fazer o upload para o XenMobile.

  7. Na página Android for Work, no XenMobile Tools Management, clique em Download.
  8. Crie uma senha para a criptografia de arquivo. Anote a senha para referência ao fazer o upload do arquivo e precisar inserir a senha.

    Imagem do prompt de senha

  9. Clique em Voltar ao XenMobile.
  10. Na página Android for Work, nas Configurações do XenMobile, clique em Carregar arquivo.

    Imagem da opção de carregamento de arquivo

  11. Navegue até o arquivo que você baixou e digite a senha criada. Clique em Carregar.

    Imagem da opção Carregar

  12. Um ID empresarial é adicionado ao Android for Work. Para ativar o Android for Work, deslize Ativar Android for Work para Sim.

    Imagem da opção Ativar Android for Work

Publicar aplicativos móveis de produtividade para Android for Work

Para publicar aplicativos móveis de produtividade para Android Enterprise, siga as etapas abaixo.

  1. Na sua conta gerenciada da Google Play Store, publique os aplicativos que você deseja que seus usuários tenham. Você pode gerenciar sua conta do Google Play em https://play.google.com/work.
  2. No console XenMobile, publique os mesmos aplicativos como a seguir:

    1. Selecione aplicativos da loja pública e escolha Android for Work. Para mais informações sobre como publicar aplicativos da loja pública, consulte Acrescentar um aplicativo da loja de aplicativos pública.
    2. Publique os aplicativos como aplicativos MDX, para que eles recebam políticas MDX. Para obter mais informações sobre como publicar aplicativos MDX, consulte Acrescentar um aplicativo MDX.

Inscrição de dispositivos Android for Work

Se o processo de inscrição de seu dispositivo exigir que os usuários digitem um nome de usuário ou ID do usuário, o formato aceito depende da forma como o servidor XenMobile está configurado para procurar usuários pelo nome UPN ou pelo nome da conta SAM.

Se o XenMobile Server estiver configurado para procurar usuários por UPN, os usuários devem inserir um UPN no formato:

  • nome de usuário@domínio

Se o XenMobile Server estiver configurado para procurar usuários por SAM, os usuários devem inserir um SAM em um destes formatos:

  • nome de usuário@domínio
  • domínio\nome de usuário

Para determinar para qual tipo de nome de usuário o XenMobile Server está configurado:

  1. No console XenMobile Server, clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida.
  2. Clique em LDAP para visualizar a configuração da conexão LDAP.
  3. Perto da parte inferior da página, verifique o campo Pesquisa de usuário por:

    • Se estiver definido como userPrincipalName, o servidor XenMobile estará definido para UPN.
    • Se estiver definido como sAMAccountName, o servidor XenMobile estará definido para SAM.

Cancelar o registro de um Android for Work Enterprise

Você pode cancelar o registro de uma empresa do Android for Work usando o console do XenMobile Server e o XenMobile Tools.

Quando você executa essa tarefa, o XenMobile Server abre uma janela pop-up para o XenMobile Tools. Antes de começar, verifique se o XenMobile Server tem permissão para abrir janelas pop-up no navegador que você está usando. Alguns navegadores, como o Google Chrome, exigem que você desabilite o bloqueio de pop-ups e acrescente o endereço do site do XenMobile à lista branca de bloqueio de pop-up.

Aviso:

Depois de o registro de um enterprise ser cancelado, os aplicativos Android for Work nos dispositivos já registrados por meio dele são redefinidos para os estados padrão. Os dispositivos não serão mais gerenciados pelo Google. Registrá-los novamente em um enterprise do Android for Workfor pode não restaurar a funcionalidade anterior sem configuração adicional.

Depois que o registro do enterprise do Android for Work for cancelado:

  • Dispositivos e usuários registrados pelo Enterprise têm os aplicativos do Android for Work redefinidos para o estado padrão. As políticas de Permissões de aplicativos do Android for Work e de Rrestrições de aplicativos do Android for Work aplicadas anteriormente não afetam mais.
  • Os dispositivos registrados por meio do Enterprise são gerenciados pelo XenMobile, mas são não gerenciados pela perspectiva do Google. Nenhum novo aplicativo do Android for Work pode ser adicionado. Não se aplica nenhuma política de Permissões de aplicativos do Android for Work ou de Rrestrições de aplicativos do Android for Work. Outras políticas, como Agendamento, Senha e Restrições, ainda podem ser aplicadas a esses dispositivos.
  • Se você tentar registrar dispositivos no Android for Work, eles serão registrados como dispositivos Android, não como dispositivos Android for Work.

Para cancelar o registro de um Android for Work Enterprise:

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida.

  2. Na página Configurações, clique em Android for Work.

  3. Clique em Remover Enterprise.

    Imagem da opção de remoção do Enterprise

  4. Especifique uma senha. Você precisará dela na próxima etapa para concluir o cancelamento do registro. Em seguida, clique em Cancelar registro.

    Imagem da opção Cancelar registro

  5. Quando a página do XenMobile Tools for aberta, insira a senha que você criou na etapa anterior.

    Imagem do campo de senha

  6. Clique em Cancelar registro.

    Imagem da opção Cancelar inscrição

Provisionar modo de dispositivo de trabalho gerenciado para Android for Work

O modo de dispositivo de trabalho gerenciado para o Android for Work está disponível somente para dispositivos de propriedade da empresa. O XenMobile é compatível com estes métodos de registro no modo de dispositivo de trabalho gerenciado:

  • afw#xenmobile: com esse método de registro, o usuário insere os caracteres “afw#xenmobile” ao configurar o dispositivo. Esse token identifica o dispositivo como gerenciado pelo XenMobile e baixa o Secure Hub.
  • Código QR: o provisionamento de código QR é uma maneira fácil de provisionar uma frota distribuída de dispositivos que não são compatíveis com NFC, como tablets. O método de registro de código QR pode ser usado em dispositivos de frota que tenham sido redefinidos às suas configurações de fábrica. O método de registro de código QR instala e configura o modo de dispositivo de trabalho gerenciado digitalizando um código QR no Assistente de instalação.
  • Aumento da comunicação a curta distância (NFC): o método de registro de aumento de NFC pode ser usado em dispositivos de frota que tenham sido redefinidos às suas configurações de fábrica. Um aumento de NFC transfere dados entre dois dispositivos usando comunicação a curta distância. Bluetooth, Wi-Fi e outros meios de comunicação estão desativados em um dispositivo que sofreu uma redefinição de fábrica. O NFC é o único protocolo de comunicação que o dispositivo pode usar nesse estado.

afw#xenmobile

O método de registro é usado após ligar um novo dispositivo ou dispositivos com a configuração inicial de fábrica redefinida. Os usuários digitam “afw#xenmobile” quando solicitados a inserir uma conta do Google. Essa ação baixa e instala o Secure Hub. Os usuários seguem os prompts de configuração do Secure Hub para concluir o registro.

Esse método de registro é recomendado para a maioria dos clientes, porque a versão mais recente do Secure Hub é baixada da loja Google Play. Ao contrário de outros métodos de registro, você não fornece o Secure Hub para download no servidor XenMobile.

Pré-requisitos:

  • Suportado em todos os dispositivos Android com Android 5.0 e superior.

Código QR

Para registrar um dispositivo no modo de dispositivo usando um código QR, você pode gerar um código QR criando um JSON e convertendo o JSON em um código QR. A câmera do dispositivo escaneia o código QR para registrar o dispositivo.

Pré-requisitos:

  • Suportado em todos os dispositivos Android com Android 7.0 e superior.

Criar um código QR de um JSON

Crie um JSON com os seguintes campos.

Estes campos são obrigatórios:

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valor: com.zenprise/com.zenprise.configuration.AdminFunction

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valor: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valor: https://path/to/securehub.apk

Nota:

Se o Secure Hub for carregado para o Citrix XenMobile Server como um aplicativo empresarial, ele pode ser baixado dehttps://<fqdn>:4443/*instanceName*/worxhome.apk. O caminho para o Secure Hub APK deve ser acessível através da conexão Wi-Fi em que o dispositivo se conecta durante o provisionamento.

Estes campos são opcionais:

  • android.app.extra.PROVISIONING_LOCALE: insira os códigos de idioma e país.

    Os códigos de idioma são códigos de idioma ISO com duas letras minúsculas (por exemplo, en), conforme definido pela ISO 639-1. Os códigos de país são códigos de país ISO com duas letras maiúsculas (por exemplo, US), conforme definido pela ISO 3166-1. Por exemplo, insira en_US para o inglês falado nos Estados Unidos.

  • android.app.extra.PROVISIONING_TIME_ZONE: o fuso horário em que o dispositivo é executado.

    Insira um nome Olson da área/localização do formulário. Por exemplo, America/Los_Angeles para o horário do Pacífico. Se você não inserir um, o fuso horário será preenchido automaticamente.

  • android.app.extra.PROVISIONING_LOCAL_TIME: tempo em milissegundos desde a época (Epoch).

    A época do Unix (ou hora do Unix, hora do POSIX ou carimbo de data/hora do Unix) é o número de segundos decorridos desde 1º de janeiro de 1970 (meia-noite UTC/GMT). O tempo não inclui segundos bissextos (in ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: definido como true para ignorar a criptografia durante a criação do perfil. Defina como false para forçar a criptografia durante a criação do perfil.

Um JSON típico tem esta aparência:

Imagem de um JSON típico

Valide o JSON que é criado usando qualquer ferramenta de validação JSON, como https://jsonlint.com. Converta essa sequência JSON em um código QR usando qualquer gerador de código QR on-line, como https://goqr.me.

Este código QR é escaneado por um dispositivo com redefinição de fábrica para registrar o dispositivo no modo de dispositivo de trabalho gerenciado.

Para registrar o dispositivo

Para registrar um dispositivo no modo de dispositivo de trabalho gerenciado, o dispositivo deve estar no estado de redefinição de fábrica.

  1. Toque seis vezes na tela de boas-vindas para iniciar o fluxo de registro do código QR.
  2. Quando solicitado, conecte-se ao Wi-Fi. O local de download do Secure Hub no código QR (codificado no JSON) é acessível através desta rede Wi-Fi.

    Depois que o dispositivo se conecta com êxito a Wi-Fi, ele baixa um leitor de código QR do Google e inicia a câmera.

  3. Aponte a câmera para o código QR para escanear o código.

    O Android baixa o Secure Hub do local de download no código QR, valida a assinatura do certificado de assinatura, instala o Secure Hub e o define como o proprietário do dispositivo.

Para mais informações, consulte este Guia do Google para desenvolvedores de EMM para Android: https://developers.google.com/android/work/prov-devices#qr_code_method.

Compartilhamento por NFC

Registrar um dispositivo no modo de dispositivo usando compartilhamentos por NFC requer dois dispositivos: um cujas configurações de fábrica sejam redefinidas e um que esteja executando a XenMobile Provisioning Tool.

Pré-requisitos:

  • Suportado em todos os dispositivos Android com Android 5.0, Android 5.1, Android 6.0 e superior.
  • Um XenMobile Server versão 10.4 que está ativado para o Android For Work.
  • Um dispositivo com redefinição de fábrica, provisionado para o Android for Work no modo de dispositivo de trabalho gerenciado. Você pode encontrar as etapas para concluir esse pré-requisito neste artigo.
  • Outro dispositivo com recursos NFC executando a Provisioning Tool configurada. A Provisioning Tool está disponível no Secure Hub 10.4 ou na página de downloads da Citrix.

Cada dispositivo pode ter somente um perfil do Android for Work, gerenciado por um aplicativo de gerenciamento de mobilidade empresarial (EMM). No XenMobile, o Secure Hub é o aplicativo EMM. Somente um perfil é permitido em cada dispositivo. A tentativa de adicionar um segundo aplicativo EMM remove o primeiro aplicativo EMM.

Você pode iniciar o modo de dispositivo e trabalho gerenciado em dispositivos novos ou restaurados para as configurações de fábrica. Você administra o dispositivo inteiro usando o XenMobile.

Dados transferidos através do aumento de NFC

Provisionar um dispositivo com redefinição de fábrica requer que você envie os seguintes dados por meio de um aumento de NFC para inicializar o Android for Work:

  • O nome do pacote do aplicativo do provedor EMM que atua como o proprietário do dispositivo (neste caso, o Secure Hub).
  • A localização de Intranet/Internet do qual o dispositivo pode baixar o aplicativo do provedor EMM.
  • O hash SHA1 do aplicativo do provedor EMM para verificar se o download é bem-sucedido.
  • Os detalhes da conexão WiFi para que um dispositivo com redefinição de fábrica possa se conectar e baixar o aplicativo do provedor EMM. Nota: No momento, o Android não é compatível com WiFi 802.1x para esta etapa.
  • O fuso horário do dispositivo (opcional).
  • A localização geográfica do dispositivo (opcional).

Quando os dois dispositivos são aumentados, os dados da Provisioning Tool são enviados para o dispositivo com redefinição de fábrica. Esses dados são usados para baixar o Secure Hub com as configurações do administrador. Se você não inserir os valores de localização e fuso horário, o Android os configura automaticamente no novo dispositivo.

Configuração da XenMobile Provisioning Tool

Antes de realizar um aumento de NFC, você deve configurar a Provisioning Tool. Em seguida, essa configuração é transferida para o dispositivo com redefinição de fábrica durante o aumento de NFC.

Imagem da configuração da Provisioning Tool

Você pode digitar dados nos campos obrigatórios ou preenchê-los usando um arquivo de texto. As etapas no procedimento a seguir descrevem como configurar o arquivo de texto e contém descrições para cada campo. O aplicativo não salva as informações depois que as digitar, portanto, convém criar um arquivo de texto para manter as informações para uso futuro.

Para configurar a Provisioning Tool usando um arquivo de texto

Dê ao arquivo o nome nfcprovisioning.txt e coloque-o na pasta /sdcard/ no cartão SD do dispositivo. Em seguida, o aplicativo poderá ler o arquivo de texto e preencher os valores.

O arquivo de texto deve conter os seguintes dados:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Essa linha é o local da intranet/internet do aplicativo do provedor EMM. Depois que o dispositivo com redefinição de fábrica se conectar a Wi-Fi em seguida ao aumento de NFC, o dispositivo deve ter acesso a esse local para fazer o download. A URL é uma URL regular, sem necessidade de formatação especial.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Essa linha é a soma de verificação do aplicativo do provedor EMM. Essa soma de verificação é usada para verificar se o download foi bem-sucedido. As etapas para obter a soma de verificação são discutidas neste artigo.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Esse é o SSID de Wi-Fi conectado do dispositivo no qual a Provisioning Tool está em execução.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Os valores suportados são WEP e WPA2. Se o Wi-Fi for desprotegido, esse campo deverá estar vazio.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Se o Wi-Fi for desprotegido, esse campo deverá estar vazio.

android.app.extra.PROVISIONING_LOCALE=<locale>

Insira os códigos de idioma e país. Os códigos de idioma são códigos de idioma ISO com duas letras minúsculas (por exemplo, en), conforme definido pela ISO 639-1. Os códigos de país são códigos de país ISO com duas letras maiúsculas (por exemplo, US), conforme definido pela ISO 3166-1. Por exemplo, digite en_US para o inglês falado nos Estados Unidos. Se você não digitar nenhum código, o país e o idioma serão preenchidos automaticamente.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

O fuso horário no qual o dispositivo está em execução. Insira um nome Olson da área/localização do formulário. Por exemplo, America/Los_Angeles para o horário do Pacífico. Se você não inserir nenhum nome, o fuso horário será preenchido automaticamente.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Isso não é necessário, pois o valor é inserido em código fixo no aplicativo, como o Secure Hub. Ele é mencionado aqui somente por uma questão de conclusão.

Se houver um Wi-Fi protegido por WPA2, um arquivo nfcprovisioning.txt preenchido terá a seguinte aparência:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=http://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Se houver uma Wi-Fi desprotegida, um arquivo nfcprovisioning.txt preenchido terá a seguinte aparência:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=http://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Para obter a soma de verificação do Secure Hub

Para obter a soma de verificação de qualquer aplicativo, adicione o aplicativo como um aplicativo empresarial.

  1. No console XenMobile, clique em Configurar > Aplicativos e em Adicionar.

    A janela Adicionar aplicativos é exibida.

  2. Clique em Empresarial.

    A página Informações do Aplicativo é exibida.

    Imagem da página de informações do aplicativo

  3. Selecione a configuração a seguir e clique em Avançar.

    A tela do aplicativo Android for Work Enterprise é exibida.

    Imagem do aplicativo do Android for Work Enterprise

  4. Forneça o caminho até o arquivo .apk e clique em Avançar para carregá-lo.

    Depois que a instalação for concluída, serão exibidos os detalhes do pacote carregado.

    Imagem da página de carregamento de arquivos

  5. Clique em Avançar para abrir uma página para baixar o arquivo JSON, que você usará para carregar no Google Play. Para o Secure Hub, não é necessário carregar para Google Play, mas você precisa do arquivo JSON para ler o valor SHA1 dele.

    Imagem da página de download do arquivo JSON

    Um arquivo JSON típico tem esta aparência:

    Imagem de um arquivo JSON típico

  6. Copie o valor file_sha1_base64 e use-o no campo Hash na Provisioning Tool.

    Nota: o hash deve ser seguro para URLs.

    • Converta os símbolos + para -
    • Converta os símbolos / para _
    • Substitua o trailing \u003d por =

    Se você armazenar o hash no arquivo nfcprovisioning.txt no cartão SD do dispositivo, o aplicativo faz a conversão de segurança. No entanto, se você optar por digitar o hash manualmente, será sua responsabilidade garantir a segurança da URL.

Bibliotecas usadas

A Provisioning Tool usa as seguintes bibliotecas no seu código-fonte:

Provisionar o modo de perfil de trabalho no Android for Work

O modo de perfil de trabalho do Android for Work está disponível para dispositivos nos quais você separa as áreas corporativa e pessoal de um dispositivo. Por exemplo, o modo de perfil de trabalho está disponível para dispositivos BYOD. A experiência de registro do modo de perfil de trabalho é semelhante ao registro do Android no XenMobile. Os usuários fazem o download do Secure Hub a partir do Google Play e registram seus dispositivos.

Por padrão, as configurações de Depuração de USB e Fontes desconhecidas são desativadas em um dispositivo quando ele é registrado no Android for Work no modo de perfil de trabalho.

Dica:

Quando for registrar dispositivos no Android for Work no modo de perfil de trabalho, sempre vá para o Google Play. A partir dali, habilite o Hub Secure para aparecer no perfil pessoal do usuário.