Clientes com “Android for Work legado for G Suite”

Os clientes do G Suite devem usar as configurações do Android for Work legado para configurar o Android for Work legado.

Requisitos para o Android for Work legado:

  • Um domínio publicamente acessível
  • Uma conta de administrador do Google
  • Os dispositivos que têm gerenciadas perfis e que executam o Android 5.0 + lollipop compatíveis
  • Uma conta do Google que tenha o Google Play instalado
  • Um perfil de trabalho configurado no dispositivo

Para iniciar a configuração do Android for Work legado, clique em Android for Work legado na página Android for Work nas configurações do XenMobile.

Imagem da opção Android for Work legado

Criar uma conta do Android for Work

Antes de poder configurar uma conta do Android for Work, você deve confirmar seu nome de domínio com o Google.

Se você já tiver verificado o nome do domínio junto ao Google, poderá seguir para esta etapa: Configurar uma conta de serviço do Android for Work e baixar um certificado do Android for Work.

  1. Navegue até https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK.

    A seguinte página é exibida, na qual você pode digitar suas informações de administrador e da empresa.

    Imagem da página de configuração da conta

  2. Insira as informações de usuário administrador.

    Imagem das informações de usuário administrador.

  3. Digite as informações da sua empresa, além de informações da sua conta de administrador.

    Imagem da tela de informações da empresa

    A primeira etapa no processo foi concluída e você vê a página a seguir.

    Imagem da página de verificação.

Verificar a propriedade do domínio

Permitir que o Google Verifique o seu domínio de uma das seguintes maneiras:

  • Adicione um registro TXT ou CNAME no site do host seu domínio.
  • Carrega um arquivo HTML para o servidor web do seu domínio.
  • Adicione uma marca <meta> para a sua página inicial. O Google recomenda o primeiro método. Este artigo não aborda as etapas para verificar a propriedade do seu domínio, mas você pode encontrar as informações de que precisa aqui: https://support.google.com/a/answer/6248925/.
  1. Clique em Start para iniciar a verificação do seu domínio.

    A página Verify domain ownership é exibida. Siga as instruções nessa página para verificar o seu domínio.

  2. Clique em Verify.

    Imagem do botão Verify

    Imagem da confirmação de Verify

  3. O Google verifica a propriedade do domínio.

    Imagem da verificação de propriedade do domínio

  4. Após uma verificação bem-sucedida, a página a seguir é exibida. Clique em Continue.

    Imagem da página de confirmação de sucesso

  5. O Google cria um token de associação de EMM que você fornece para a Citrix e usa ao definir as configurações do Android for Work. Copie e salve o token; você precisará dele mais tarde no processo de instalação.

    Imagem do token de associação

  6. Clique em Finish para concluir a instalação do Android for Work. Uma página será exibida, indicando que com êxito verificar seu domínio.

Depois de criar uma conta de serviço do Android for Work, você poderá fazer logon no console do Google Admin para gerenciar as configurações de gerenciamento de mobilidade.

Configurar uma conta de serviço do Android for Work e baixar um certificado do Android for Work

Para permitir que o XenMobile contate os serviços do Google Play e do Directory, você deverá criar uma conta de serviço usando o portal Google Project para desenvolvedores. Essa conta de serviço é usada para a comunicação servidor-a-servidor entre o XenMobile e os serviços do Google para o Android at Work. Para obter mais informações sobre o protocolo de autenticação usado, vá para https://developers.google.com/identity/protocols/OAuth2ServiceAccount.

  1. Em um navegador da web, acesse https://console.cloud.google.com/project e faça login com suas credenciais de administrador do Google

  2. Na lista Projects, clique em Create Project.

    Imagem da opção de criação de projeto

  3. Em Project name, digite um nome para o projeto.

    Imagem da opção de criação do projeto

  4. Em Dashboard, clique em Use Google APIs.

    Imagem da opção de uso de APIs do Google

  5. Clique em Library, em Search, tipo EMM e, em seguida, clique no resultado da pesquisa.

    Imagem da opção de pesquisa do EMM

  6. Na página Overview, clique em Enable.

    Imagem da opção de ativação

  7. Ao lado de Google Play EMM API, clique em Go to Credentials.

    Imagem da opção Go to Credentials

  8. Na lista Add credentials to our project, na etapa 1, clique em service account.

    Imagem da opção da conta de serviço

  9. Na página Service Accounts, clique em Create Service Account.

    Imagem da opção de criação da conta de serviço

  10. Em Create service account, dê um nome à conta e marque a caixa de seleção Furnish a new private key. Clique em P12, marque a caixa de seleção Enable Google Apps Domain-wide Delegation e, em seguida, clique em Create.

    Imagem das opções de criação da conta de serviço

    O certificado (arquivo P12) é baixado para o seu computador. Não se esqueça de salvar o certificado em uma localização segura.

  11. Na tela de confirmação Service account created, clique em Close.

    Imagem da página de confirmação

  12. Em Permissions, clique em Service accounts e depois sob Options da sua conta de serviço, clique em View Client ID.

    Imagem da opção de visualização do ID do cliente

  13. Os detalhes necessários para a autorização da conta no console de administração do Google são exibidos. Copie o Cliente ID e o Service account ID para um local onde você possa recuperar as informações posteriormente. Você precisa dessas informações, juntamente com o nome de domínio, para enviar para o suporte da Citrix para inclusão na lista branca.

    Imagem dos detalhes da autorização da conta

  14. Na página Library, procure Admin SDK e, em seguida, clique no resultado da pesquisa.

    Imagem da pesquisa do Admin SDK

  15. Na página Overview, clique em Enable.

    Imagem da opção de ativação Enable

  16. Abra o console de administração do Google do seu domínio e clique em Security.

    Imagem da opção de segurança

  17. Na página Settings, clique em Show more e, em seguida, clique em Advanced settings.

    Imagem das configurações avançadas

    Imagem de Avanced Settings

  18. Clique em Manage API client access.

    Imagem da opção Manage API client access

  19. Em Client Name, insira o ID de cliente que você salvou anteriormente, em One or More API Scopes, insira https://www.googleapis.com/auth/admin.directory.user e clique em Authorize.

    Imagem das opções do nome do cliente

Vinculando ao EMM

Antes de usar o XenMobile para gerenciar os seus dispositivos do Android, você deve contatar o Suporte Técnico da Citrix e fornecer o seu nome de domínio, conta de serviço e token de associação. A Citrix associa o token ao XenMobile como o seu provedor de gerenciamento de mobilidade empresarial (EMM). Para informações de contato para suporte técnico da Citrix, consulte o Suporte Técnico da Citrix.

  1. Para confirmar a associação, faça login no portal do Google Admin e clique em Security.

  2. Clique em Manage EMM provider for Android.

    Você verá que a conta do Google Android for Work está associada à Citrix como seu provedor de EMM.

    Depois de confirmar o token de associação, você poderá começar a usar o XenMobile para gerenciar dispositivos Android. Importe o certificado P12 gerado na etapa 14. Defina as configurações do servidor do Android for Work, ativar o logon único baseado em SAML e defina pelo menos uma política de dispositivo do Android for Work.

    Imagem das opções do Manage EMM provider for Android

Importe o certificado P12

Siga estas etapas para importar o certificado P12 do Android for Work:

  1. Faça login no console XenMobile.

  2. Clique no ícone de engrenagem no canto superior direito do console para abrir a página Configurações e clique em Certificados. A página Certificados é exibida.

    Imagem da página Certificados

  3. Clique em Importar. A caixa de diálogo Importar é exibida.

    Imagem da caixa de diálogo Importar

    Faça as seguintes configurações:

    • Importar: na lista, clique em Keystore.
    • Tipo de keystore: na lista, clique em PKCS#12.
    • Usar como: na lista, clique em Servidor.
    • Arquivo de keystore: clique em Procurar e navegue até o certificado P12.
    • Senha: digite a senha do keystore.
    • Descrição: opcionalmente, digite uma descrição do certificado.
  4. Clique em Importar.

Definir as configurações de servidor do Android for Work

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é exibida.

  2. Em Servidor, clique em Android for Work. A página Android for Work é exibida.

    Imagem da página do Android for Work

    Defina as configurações a seguir e clique em Salvar.

    • Nome de domínio: digite o nome de domínio do Android for Work; por exemplo, domínio.com.
    • Conta de administrador de domínio: digite o nome de usuário do administrador de domínio, por exemplo, a conta de email utilizada no Google Developer Portal.
    • ID da conta de serviço: digite o ID da sua conta de serviço, por exemplo, o e-mail associado à Conta de serviço do Google (serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com).
    • ID do cliente: digite o ID numérico do cliente da sua conta de serviço do Google.
    • Ativar Android for Work: selecione para ativar ou desativar o Android for Work.

Ativar o logon único baseado em SAML

  1. Faça login no console XenMobile.

  2. Clique no ícone de engrenagem no canto superior direito do console. A página Configurações é exibida.

  3. Clique em Certificados. A página Certificados é exibida.

    Imagem da página Certificados

  4. Na lista de certificados, clique no certificado SAML.

  5. Clique em Exportar e salve o certificado no seu computador.

  6. Faça login no portal do Google Admin usando as credenciais de administrador do Android for Work. Para acessar o portal, consulte Portal do Google Admin.

  7. Clique em Security.

    Imagem da opção de segurança

  8. Em Security, clique em Set up single sign-on (SSO) e faça as seguintes configurações.

    Imagem das configurações de SSO

    • Sign-in page URL: digite a URL para os usuários que estão fazendo login no seu sistema e no Google Apps. Por exemplo: https://<Xenmobile-FQDN>/aw/saml/signin.
    • Sign out page URL: digite a URL para a qual os usuários são redirecionados quando fazem logoff. Por exemplo: https://<Xenmobile-FQDN>/aw/saml/signout.
    • Change password URL: digite a URL para permitir que os usuários alterem as respectivas senhas no seu sistema. Por exemplo: https://<Xenmobile-FQDN>/aw/saml/changepassword. Se este campo é definido, os usuários veem esse prompt, mesmo quando o SSO não está disponível.
    • Verification certificate: clique em CHOOSE FILE e navegue até o certificado SAML exportado do XenMobile.
  9. Clique em SAVE CHANGES.

Configurar uma política de dispositivo do Android for Work

Configure uma política de código secreto para que os usuários tenham que estabelecer um código secreto em seus dispositivos quando se registrarem pela primeira vez.

Imagem da página da política de código secreto

As etapas básicas para configurar qualquer política de dispositivo são as seguintes.

  1. Faça login no console XenMobile.

  2. Clique Configurar e, em seguida, clique em Políticas de dispositivo.

  3. Clique em Adicionar e, em seguida, na caixa de diálogo Adicionar uma nova política, selecione a política que você deseja adicionar. Nesse exemplo, você clica em Código secreto.

  4. Preencha a página Informações sobre a política.

  5. Clique em Android for Work e defina as configurações da política.

  6. Atribua a política a um Grupo de Entrega.

Políticas MDX e as políticas de dispositivo com suporte

A tabela a seguir exibe as políticas de dispositivo e as políticas de MDX compatíveis com o contêiner do Android for Work. Para obter mais informações sobre políticas de dispositivos e políticas de MDX, consulte Políticas de dispositivos e Resumo de políticas de MDX, respectivamente.

Políticas de autenticação Compatível Valores suportados Observações
Código secreto do aplicativo X Todas  
Sessão online obrigatória   Somente desativado  
Período máximo offline X Todas  
NetScaler Gateway alternativo   Somente em branco  
Políticas de acesso à rede do aplicativo Compatível Valores suportados Observações
Acesso à rede X Todos  
Rótulo de certificado   Somente em branco  
Modo VPN preferido X Todos  
Permitir troca de modo VPN X Todos  
URL do arquivo PAC ou servidor proxy X Todos  
Saída de log padrão X Todos  
Nível de log padrão X Todos  
Arquivos de log máx. X Todos  
Tamanho máximo do arquivo de log X Todos  
Redirecionar logs de aplicativos X Todos  
Criptografar logs X Todos  
Redes Wi-Fi da lista branca   Somente em branco  
Políticas de segurança de dispositivos Compatível Valores suportados Observações
Bloquear dispositivos com jailbreak ou root X Todas  
Exigir criptografia do dispositivo X Todas  
Exigir bloqueio do dispositivo X Todas  
Políticas de Requisitos de Rede Compatível Valores suportados Observações
Exigir WiFi X Desativado  
Outras Políticas de Acesso Compatível Valores suportados Observações
Período de tolerância de atualização de aplicativo (horas) X Todas  
Apagar dados de aplicativo ao bloquear X Todas  
Intervalo ativo de sondagem (minutos) X Todas  
Políticas de criptografia Compatível Valores suportados Observações
Chaves de criptografia X Acesso Offline permitido Suporte por meio da política do Android Enterprise
Criptografia privada de arquivo X Somente desativado Suporte por meio da política do Android Enterprise
Exclusões de criptografia privada de arquivo X NA (vazio) Suporte por meio da política do Android Enterprise
Limites de acesso para arquivos públicos X NA (vazio) Suporte por meio da política do Android Enterprise
Criptografia pública de arquivo X Somente desativado Suporte por meio da política do Android Enterprise
Exclusões de criptografia pública de arquivo X NA (vazio) Suporte por meio da política do Android Enterprise
Migração de arquivo pública X Somente desativado Suporte por meio da política do Android Enterprise
Políticas de interação de aplicativos Compatível Valores suportados Observações        
Grupo de segurança X Vazio Suporte por meio da política do Android Enterprise Cortar e copiar X Somente irrestrito Suporte por meio da política do Android Enterprise
Colar X Somente irrestrito Suporte por meio da política do Android Enterprise        
Troca de documentos (Open In) X Somente irrestrito Suporte por meio da política do Android Enterprise        
Troca de documentos de entrada (Open In) X Todos Suporte por meio da política do Android Enterprise        
Lista branca de troca de documentos de entrada X Vazio Suporte por meio da política do Android Enterprise        
Lista de exceções do Open In restrita X Vazio Suporte por meio da política do Android Enterprise        
Políticas de restrições de aplicativos Compatível Valores suportados Observações
Bloquear câmera X Somente ativado Suporte por meio da política do Android Enterprise
Bloquear galeria X Somente ativado Suporte por meio da política do Android Enterprise
Bloquear conexão localhost X Todas  
Bloquear gravação de microfone X Somente desativado Suporte por meio da política do Android Enterprise
Bloquear serviços de localização X Somente desativado Suporte por meio da política do Android Enterprise
Bloquear composição de SMS X Somente desativado Suporte por meio da política do Android Enterprise
Bloquear captura de tela X Somente desativado Suporte por meio da política do Android Enterprise
Bloquear sensor de dispositivo X Todas  
Bloquear NFC X Somente desativado Suporte por meio da política do Android Enterprise
Bloquear impressão X Todas  
Bloquear logs de aplicativo X Todas  
Políticas de geocerca de aplicativos Compatível Valores suportados Observações
Longitude do ponto central X Todas  
Latitude do ponto central X Todas  
Raio X Todas  

Definir as configurações de conta do Android for Work

Antes de começar a gerenciar aplicativos e políticas do Android nos dispositivos, você deverá configurar as informações de domínio e conta do Android for Work no XenMobile. Primeiro, conclua as tarefas de instalação do Android for Work no Google para configurar um administrador de domínio e obter um ID de conta de serviço e um token de associação.

  1. No console da Web XenMobile, clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida.

  2. Em Servidor, clique em Android for Work. A página de configuração do Android for Work é exibida.

Imagem da página de configuração do Android for Work

  1. Na página Android for Work, faça as seguintes configurações:

    • Nome de domínio: digite seu nome de domínio.
    • Conta de administrador de domínio: digite o nome do usuário do seu administrador de domínio.
    • ID de conta de serviço: digite o seu ID de Conta de Serviço do Google.
    • ID do cliente: digite o ID do cliente da sua conta de serviço do Google.
    • Ativar Android for Work: selecione se deseja ativar Android for Work ou não.
  2. Clique em Salvar.

Configurar o acesso do parceiro do G Suite para o XenMobile

Alguns recursos de gerenciamento de ponto de extremidade do Chrome usam APIs de parceiros do Google para se comunicar entre o XenMobile e seu domínio do G Suite. Por exemplo, o XenMobile exige as APIs para políticas de dispositivos que gerenciam recursos do Chrome, como o modo de navegação Anônima e o modo Visitante.

Para ativar as APIs de parceiros, você configura seu domínio do G Suite no console XenMobile e configura sua conta do G Suite.

Configurar seu domínio do G Suite no XenMobile

Para permitir que o XenMobile se comunique com as APIs no seu domínio do G Suite, acesse Configurações > Configuração do Google Chrome e defina as configurações.

Imagem da tela de configurações do Google Chrome

  • Domínio do G Suite: o domínio do G Suite que hospeda as APIs necessárias ao XenMobile.
  • Conta de administrador do G Suite: a conta de administrador do seu domínio do G Suite.
  • ID de cliente do G Suite: o ID de cliente para a Citrix. Use esse valor para configurar o acesso de parceiros para seu domínio do G Suite.
  • ID empresarial do G Suite: o ID empresarial da sua conta, preenchido a partir da sua conta corporativa do Google.

Ativar o acesso de parceiros para dispositivos e usuários no seu domínio do G Suite

  1. Faça login no Admin Console do Google: https://admin.google.com

  2. Clique em Gerenciamento de dispositivos.

    Imagem do console do administrador do Google

  3. Clique em Gerenciamento do Chrome.

    Imagem do console do administrador do Google

  4. Clique em Configurações do usuário.

    Imagem do console do administrador do Google

  5. Pesquise pelo Gerenciamento do Chrome - Acesso para parceiros.

    Imagem do console do administrador do Google

  6. Marque a caixa de seleção Ativar o gerenciamento do Chrome - Acesso para parceiros.

  7. Aceite que você entende e deseja ativar o acesso para parceiros. Clique em Salvar.

  8. Na página de gerenciamento do Chrome, clique em Configurações do dispositivo.

    Imagem do console do administrador do Google

  9. Pesquise pelo Gerenciamento do Chrome - Acesso para parceiros.

    Imagem do console do administrador do Google

  10. Marque a caixa de seleção Ativar o gerenciamento do Chrome - Acesso para parceiros.

  11. Aceite que você entende e deseja ativar o acesso para parceiros. Clique em Salvar.

  12. Vá para a página Segurança e clique em Configurações avançadas.

    Imagem do console do administrador do Google

  13. Clique em Gerenciar acesso de cliente de API.

  14. No console XenMobile, acesse Configurações > Configuração do Google Chrome e copie o valor do ID do cliente do G Suite. Em seguida, retorne à página Gerenciar acesso de cliente de API e cole o valor copiado no campo Nome do cliente.

  15. Em Um ou mais escopos de API, adicione a URL: https://www.googleapis.com/auth/chromedevicemanagementapi

    Imagem do console do administrador do Google

  16. Clique em Autorizar.

    A mensagem “Suas configurações foram salva” é exibida.

Imagem da tela de configuração de Políticas de dispositivo

Inscrição de dispositivos Android for Work

Se o processo de inscrição de seu dispositivo exigir que os usuários digitem um nome de usuário ou ID do usuário, o formato aceito depende da forma como o servidor XenMobile está configurado para procurar usuários pelo nome UPN ou pelo nome da conta SAM.

Se o XenMobile Server estiver configurado para procurar usuários por UPN, os usuários devem inserir um UPN no formato:

  • nome de usuário@domínio

Se o XenMobile Server estiver configurado para procurar usuários por SAM, os usuários devem inserir um SAM em um destes formatos:

  • nome de usuário@domínio
  • domínio\nome de usuário

Para determinar para qual tipo de nome de usuário o XenMobile Server está configurado:

  1. No console XenMobile Server, clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida.
  2. Clique em LDAP para visualizar a configuração da conexão LDAP.
  3. Perto da parte inferior da página, verifique o campo Pesquisa de usuário por:

    • Se estiver definido como userPrincipalName, o servidor XenMobile estará definido para UPN.
    • Se estiver definido como sAMAccountName, o servidor XenMobile estará definido para SAM.

Cancelar o registro de um Android for Work Enterprise

Você pode cancelar o registro de uma empresa do Android for Work usando o console do XenMobile Server e o XenMobile Tools.

Quando você executa essa tarefa, o XenMobile Server abre uma janela pop-up para o XenMobile Tools. Antes de começar, verifique se o XenMobile Server tem permissão para abrir janelas pop-up no navegador que você está usando. Alguns navegadores, como o Google Chrome, exigem que você desabilite o bloqueio de pop-ups e acrescente o endereço do site do XenMobile à lista branca de bloqueio de pop-up.

Aviso:

Depois de o registro de um enterprise ser cancelado, os aplicativos Android for Work nos dispositivos já registrados por meio dele são redefinidos para os estados padrão. Os dispositivos não serão mais gerenciados pelo Google. Registrá-los novamente em um enterprise do Android for Workfor pode não restaurar a funcionalidade anterior sem configuração adicional.

Depois que o registro do enterprise do Android for Work for cancelado:

  • Dispositivos e usuários registrados pelo Enterprise têm os aplicativos do Android for Work redefinidos para o estado padrão. As políticas de Permissões de aplicativos do Android for Work e de Rrestrições de aplicativos do Android for Work aplicadas anteriormente não afetam mais.
  • Os dispositivos registrados por meio do Enterprise são gerenciados pelo XenMobile, mas são não gerenciados pela perspectiva do Google. Nenhum novo aplicativo do Android for Work pode ser adicionado. Não se aplica nenhuma política de Permissões de aplicativos do Android for Work ou de Rrestrições de aplicativos do Android for Work. Outras políticas, como Agendamento, Senha e Restrições, ainda podem ser aplicadas a esses dispositivos.
  • Se você tentar registrar dispositivos no Android for Work, eles serão registrados como dispositivos Android, não como dispositivos Android for Work.

Para cancelar o registro de um Android for Work Enterprise:

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida.

  2. Na página Configurações, clique em Android for Work.

  3. Clique em Remover Enterprise.

    Imagem da opção de remoção do Enterprise

  4. Especifique uma senha. Você precisará dela na próxima etapa para concluir o cancelamento do registro. Em seguida, clique em Cancelar registro.

    Imagem da opção Cancelar registro

  5. Quando a página do XenMobile Tools for aberta, insira a senha que você criou na etapa anterior.

    Imagem do campo de senha

  6. Clique em Cancelar registro.

    Imagem da opção Cancelar inscrição

Provisionamento do modo de dispositivo de trabalho gerenciado no Android for Work

O modo de dispositivo de trabalho gerenciado para o Android for Work está disponível somente para dispositivos de propriedade da empresa. O XenMobile é compatível com estes métodos de registro no modo de dispositivo de trabalho gerenciado:

  • afw#xenmobile: com esse método de registro, o usuário insere os caracteres “afw#xenmobile” ao configurar o dispositivo. Esse token identifica o dispositivo como gerenciado pelo XenMobile e baixa o Secure Hub.
  • Código QR: o provisionamento de código QR é uma maneira fácil de provisionar uma frota distribuída de dispositivos que não são compatíveis com NFC, como tablets. O método de registro de código QR pode ser usado em dispositivos de frota que tenham sido redefinidos às suas configurações de fábrica. O método de registro de código QR instala e configura o modo de dispositivo de trabalho gerenciado digitalizando um código QR no Assistente de instalação.
  • Aumento da comunicação a curta distância (NFC): o método de registro de aumento de NFC pode ser usado em dispositivos de frota que tenham sido redefinidos às suas configurações de fábrica. Um aumento de NFC transfere dados entre dois dispositivos usando comunicação a curta distância. Bluetooth, Wi-Fi e outros meios de comunicação estão desativados em um dispositivo que sofreu uma redefinição de fábrica. O NFC é o único protocolo de comunicação que o dispositivo pode usar nesse estado.

afw#xenmobile

O método de registro é usado após ligar um novo dispositivo ou dispositivos com a configuração inicial de fábrica redefinida. Os usuários digitam “afw#xenmobile” quando solicitados a inserir uma conta do Google. Essa ação baixa e instala o Secure Hub. Os usuários seguem os prompts de configuração do Secure Hub para concluir o registro.

Esse método de registro é recomendado para a maioria dos clientes, porque a versão mais recente do Secure Hub é baixada da loja Google Play. Ao contrário de outros métodos de registro, você não fornece o Secure Hub para download no servidor XenMobile.

Pré-requisitos:

  • Suportado em todos os dispositivos Android com Android 5.0 e superior.

Código QR

Para registrar um dispositivo no modo de dispositivo usando um código QR, você pode gerar um código QR criando um JSON e convertendo o JSON em um código QR. A câmera do dispositivo escaneia o código QR para registrar o dispositivo.

Pré-requisitos:

  • Suportado em todos os dispositivos Android com Android 7.0 e superior.

Criar um código QR de um JSON

Crie um JSON com os seguintes campos.

Estes campos são obrigatórios:

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valor: com.zenprise/com.zenprise.configuration.AdminFunction

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valor: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valor: https://path/to/securehub.apk

Nota:

Se o Secure Hub for carregado para o Citrix XenMobile Server como um aplicativo empresarial, ele pode ser baixado dehttps://<fqdn>:4443/*instanceName*/worxhome.apk. O caminho para o Secure Hub APK deve ser acessível através da conexão Wi-Fi em que o dispositivo se conecta durante o provisionamento.

Estes campos são opcionais:

  • android.app.extra.PROVISIONING_LOCALE: insira os códigos de idioma e país.

    Os códigos de idioma são códigos de idioma ISO com duas letras minúsculas (por exemplo, en), conforme definido pela ISO 639-1. Os códigos de país são códigos de país ISO com duas letras maiúsculas (por exemplo, US), conforme definido pela ISO 3166-1. Por exemplo, insira en_US para o inglês falado nos Estados Unidos.

  • android.app.extra.PROVISIONING_TIME_ZONE: o fuso horário em que o dispositivo é executado.

    Insira um nome Olson da área/localização do formulário. Por exemplo, America/Los_Angeles para o horário do Pacífico. Se você não inserir um, o fuso horário será preenchido automaticamente.

  • android.app.extra.PROVISIONING_LOCAL_TIME: tempo em milissegundos desde a época (Epoch).

    A época do Unix (ou hora do Unix, hora do POSIX ou carimbo de data/hora do Unix) é o número de segundos decorridos desde 1º de janeiro de 1970 (meia-noite UTC/GMT). O tempo não inclui segundos bissextos (in ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: definido como true para ignorar a criptografia durante a criação do perfil. Defina como false para forçar a criptografia durante a criação do perfil.

Um JSON típico tem esta aparência:

Imagem de um JSON típico

Valide o JSON que é criado usando qualquer ferramenta de validação JSON, como https://jsonlint.com. Converta essa sequência JSON em um código QR usando qualquer gerador de código QR on-line, como https://goqr.me.

Este código QR é escaneado por um dispositivo com redefinição de fábrica para registrar o dispositivo no modo de dispositivo de trabalho gerenciado.

Para registrar o dispositivo

Para registrar um dispositivo no modo de dispositivo de trabalho gerenciado, o dispositivo deve estar no estado de redefinição de fábrica.

  1. Toque seis vezes na tela de boas-vindas para iniciar o fluxo de registro do código QR.
  2. Quando solicitado, conecte-se ao Wi-Fi. O local de download do Secure Hub no código QR (codificado no JSON) é acessível através desta rede Wi-Fi.

    Depois que o dispositivo se conecta com êxito a Wi-Fi, ele baixa um leitor de código QR do Google e inicia a câmera.

  3. Aponte a câmera para o código QR para escanear o código.

    O Android baixa o Secure Hub do local de download no código QR, valida a assinatura do certificado de assinatura, instala o Secure Hub e o define como o proprietário do dispositivo.

Para mais informações, consulte este Guia do Google para desenvolvedores de EMM para Android: https://developers.google.com/android/work/prov-devices#qr_code_method.

Compartilhamento por NFC

Registrar um dispositivo no modo de dispositivo usando compartilhamentos por NFC requer dois dispositivos: um cujas configurações de fábrica sejam redefinidas e um que esteja executando a XenMobile Provisioning Tool.

Pré-requisitos:

  • Suportado em todos os dispositivos Android com Android 5.0, Android 5.1, Android 6.0 e superior.
  • Um XenMobile Server versão 10.4 que está ativado para o Android For Work.
  • Um dispositivo com redefinição de fábrica, provisionado para o Android for Work no modo de dispositivo de trabalho gerenciado. Você pode encontrar as etapas para concluir esse pré-requisito neste artigo.
  • Outro dispositivo com recursos NFC executando a Provisioning Tool configurada. A Provisioning Tool está disponível no Secure Hub 10.4 ou na página de downloads da Citrix.

Cada dispositivo pode ter somente um perfil do Android for Work, gerenciado por um aplicativo de gerenciamento de mobilidade empresarial (EMM). No XenMobile, o Secure Hub é o aplicativo EMM. Somente um perfil é permitido em cada dispositivo. A tentativa de adicionar um segundo aplicativo EMM remove o primeiro aplicativo EMM.

Você pode iniciar o modo de dispositivo e trabalho gerenciado em dispositivos novos ou restaurados para as configurações de fábrica. Você administra o dispositivo inteiro usando o XenMobile.

Dados transferidos através do aumento de NFC

Provisionar um dispositivo com redefinição de fábrica requer que você envie os seguintes dados por meio de um aumento de NFC para inicializar o Android for Work:

  • O nome do pacote do aplicativo do provedor EMM que atua como o proprietário do dispositivo (neste caso, o Secure Hub).
  • A localização de Intranet/Internet do qual o dispositivo pode baixar o aplicativo do provedor EMM.
  • O hash SHA1 do aplicativo do provedor EMM para verificar se o download é bem-sucedido.
  • Os detalhes da conexão WiFi para que um dispositivo com redefinição de fábrica possa se conectar e baixar o aplicativo do provedor EMM. Nota: No momento, o Android não é compatível com WiFi 802.1x para esta etapa.
  • O fuso horário do dispositivo (opcional).
  • A localização geográfica do dispositivo (opcional).

Quando os dois dispositivos são aumentados, os dados da Provisioning Tool são enviados para o dispositivo com redefinição de fábrica. Esses dados são usados para baixar o Secure Hub com as configurações do administrador. Se você não inserir os valores de localização e fuso horário, o Android os configura automaticamente no novo dispositivo.

Configuração da XenMobile Provisioning Tool

Antes de realizar um aumento de NFC, você deve configurar a Provisioning Tool. Em seguida, essa configuração é transferida para o dispositivo com redefinição de fábrica durante o aumento de NFC.

Imagem da configuração da Provisioning Tool

Você pode digitar dados nos campos obrigatórios ou preenchê-los usando um arquivo de texto. As etapas no procedimento a seguir descrevem como configurar o arquivo de texto e contém descrições para cada campo. O aplicativo não salva as informações depois que as digitar, portanto, convém criar um arquivo de texto para manter as informações para uso futuro.

Para configurar a Provisioning Tool usando um arquivo de texto

Dê ao arquivo o nome nfcprovisioning.txt e coloque-o na pasta /sdcard/ no cartão SD do dispositivo. Em seguida, o aplicativo poderá ler o arquivo de texto e preencher os valores.

O arquivo de texto deve conter os seguintes dados:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Essa linha é o local da intranet/internet do aplicativo do provedor EMM. Depois que o dispositivo com redefinição de fábrica se conectar a Wi-Fi em seguida ao aumento de NFC, o dispositivo deve ter acesso a esse local para fazer o download. A URL é uma URL regular, sem necessidade de formatação especial.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Essa linha é a soma de verificação do aplicativo do provedor EMM. Essa soma de verificação é usada para verificar se o download foi bem-sucedido. As etapas para obter a soma de verificação são discutidas neste artigo.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Esse é o SSID de Wi-Fi conectado do dispositivo no qual a Provisioning Tool está em execução.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Os valores suportados são WEP e WPA2. Se o Wi-Fi for desprotegido, esse campo deverá estar vazio.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Se o Wi-Fi for desprotegido, esse campo deverá estar vazio.

android.app.extra.PROVISIONING_LOCALE=<locale>

Insira os códigos de idioma e país. Os códigos de idioma são códigos de idioma ISO com duas letras minúsculas (por exemplo, en), conforme definido pela ISO 639-1. Os códigos de país são códigos de país ISO com duas letras maiúsculas (por exemplo, US), conforme definido pela ISO 3166-1. Por exemplo, digite en_US para o inglês falado nos Estados Unidos. Se você não digitar nenhum código, o país e o idioma serão preenchidos automaticamente.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

O fuso horário no qual o dispositivo está em execução. Insira um nome Olson da área/localização do formulário. Por exemplo, America/Los_Angeles para o horário do Pacífico. Se você não inserir nenhum nome, o fuso horário será preenchido automaticamente.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Isso não é necessário, pois o valor é inserido em código fixo no aplicativo, como o Secure Hub. Ele é mencionado aqui somente por uma questão de conclusão.

Se houver um Wi-Fi protegido por WPA2, um arquivo nfcprovisioning.txt preenchido terá a seguinte aparência:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Se houver uma Wi-Fi desprotegida, um arquivo nfcprovisioning.txt preenchido terá a seguinte aparência:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Para obter a soma de verificação do Secure Hub

Para obter a soma de verificação de qualquer aplicativo, adicione o aplicativo como um aplicativo empresarial.

  1. No console XenMobile, clique em Configurar > Aplicativos e em Adicionar.

    A janela Adicionar aplicativos é exibida.

  2. Clique em Empresarial.

    A página Informações do Aplicativo é exibida.

    Imagem da página de informações do aplicativo

  3. Selecione a configuração a seguir e clique em Avançar.

    A tela do aplicativo Android for Work Enterprise é exibida.

    Imagem do aplicativo do Android for Work Enterprise

  4. Forneça o caminho até o arquivo .apk e clique em Avançar para carregá-lo.

    Depois que a instalação for concluída, serão exibidos os detalhes do pacote carregado.

    Imagem da página de carregamento de arquivos

  5. Clique em Avançar para abrir uma página para baixar o arquivo JSON, que você usará para carregar no Google Play. Para o Secure Hub, não é necessário carregar para Google Play, mas você precisa do arquivo JSON para ler o valor SHA1 dele.

    Imagem da página de download do arquivo JSON

    Um arquivo JSON típico tem esta aparência:

    Imagem de um arquivo JSON típico

  6. Copie o valor file_sha1_base64 e use-o no campo Hash na Provisioning Tool.

    Nota: o hash deve ser seguro para URLs.

    • Converta os símbolos + para -
    • Converta os símbolos / para _
    • Substitua o trailing \u003d por =

    Se você armazenar o hash no arquivo nfcprovisioning.txt no cartão SD do dispositivo, o aplicativo faz a conversão de segurança. No entanto, se você optar por digitar o hash manualmente, será sua responsabilidade garantir a segurança da URL.

Bibliotecas usadas

A Provisioning Tool usa as seguintes bibliotecas no seu código-fonte:

Provisionar o modo de perfil de trabalho no Android for Work

O modo de perfil de trabalho do Android for Work está disponível para dispositivos nos quais você separa as áreas corporativa e pessoal de um dispositivo. Por exemplo, o modo de perfil de trabalho está disponível para dispositivos BYOD. A experiência de registro do modo de perfil de trabalho é semelhante ao registro do Android no XenMobile. Os usuários fazem o download do Secure Hub a partir do Google Play e registram seus dispositivos.

Por padrão, as configurações de Depuração de USB e Fontes desconhecidas são desativadas em um dispositivo quando ele é registrado no Android for Work no modo de perfil de trabalho.

Dica:

Quando for registrar dispositivos no Android for Work no modo de perfil de trabalho, sempre vá para o Google Play. A partir dali, habilite o Hub Secure para aparecer no perfil pessoal do usuário.