Inscription en bloc Samsung Knox
Pour inscrire plusieurs appareils Samsung Knox dans XenMobile (ou tout autre gestionnaire d’appareil mobile) sans avoir à configurer manuellement chaque appareil, utilisez Knox Mobile Enrollment. L’inscription se produit lors de la première utilisation ou après réinitialisation des paramètres d’usine. Les administrateurs peuvent également transmettre des noms d’utilisateur et des mots de passe directement à l’appareil, de sorte que les utilisateurs n’ont pas besoin de saisir d’informations lors de leur inscription.
Remarque :
L’installation de Knox Mobile Enrollment n’est pas liée au conteneur XenMobile Knox. Pour plus d’informations sur Knox Mobile Enrollment, consultez le guide d’administration de Knox Mobile Enrollment.
Conditions préalables pour Knox Mobile Enrollment
- XenMobile doit être configuré (y compris les licences et les certificats) et exécuté.
- Fichier APK Secure Hub. Vous le chargez lors de la configuration de Knox Mobile Enrollment.
- Pour obtenir une liste des exigences KME, consultez la présentation de Knox Mobile Enrollment.
- Licence Samsung Knox Platform for Enterprise (PKE), requise pour appliquer les stratégies d’appareil. Fournissez la clé de licence dans la stratégie d’appareil XenMobile, Knox Platform for Enterprise.
Pour télécharger le fichier APK Secure Hub
Accédez au Google Play Store pour télécharger le fichier Citrix Secure Hub pour Android.
Configurer des exceptions de pare-feu
Pour accéder à Knox Mobile Enrollment, configurez les exceptions de pare-feu suivantes. Certaines de ces exceptions de pare-feu sont requises pour tous les appareils et certaines sont spécifiques à l’emplacement géographique de l’appareil.
Région de l’appareil | Adresse URL | Port | Destination |
---|---|---|---|
Tous | https://gslb.secb2b.com |
443 | Équilibrage de charge global pour initier Knox Mobile Enrollment |
Tous | https://gslb.secb2b.com |
80 | Équilibrage de charge global pour initier Knox Mobile Enrollment sur certains appareils limités d’ancienne génération |
Tous | umc-cdn.secb2b.com |
443 | Serveurs de mise à jour de l’agent Samsung |
Tous | bulkenrollment.s3.amazonaws.com |
80 | EULA des clients Knox Mobile Enrollment |
Tous | eula.secb2b.com |
443 | EULA des clients Knox Mobile Enrollment |
Tous | us-be-api-mssl.samsungknox.com |
443 | Serveurs Samsung pour vérification du numéro IMEI |
États-Unis | https://us-segd-api.secb2b.com |
443 | Samsung Enterprise Gateway pour les États-Unis |
Europe | https://eu-segd-api.secb2b.com |
443 | Samsung Enterprise Gateway pour l’Europe |
Chine | https://china-segd-api.secb2b.com |
443 | Samsung Enterprise Gateway pour la Chine |
Remarque :
Vous trouverez une liste complète des exceptions de pare-feu dans le guide d’administration de Knox Mobile Enrollment.
Pour accéder à Knox Mobile Enrollment
Consultez la documentation Samsung pour accéder à Knox Mobile Enrollment sur Prise en main de KME.
Configuration de Knox Mobile Enrollment
Une fois que vous avez accès à Knox Mobile Enrollment, connectez-vous au portail Knox.
Le processus d’inscription suit ces étapes générales.
-
Créez un profil MDM avec les informations et paramètres de votre console MDM.
Le profil MDM indique à vos appareils comment se connecter à votre MDM.
-
Ajoutez les appareils à votre profil MDM.
Vous pouvez soit télécharger un fichier CSV avec des informations sur l’appareil, soit installer et utiliser l’application de déploiement Knox à partir de Google Play.
-
Samsung vous informe une fois que le propriétaire de l’appareil a été vérifié.
-
Donnez aux utilisateurs les informations d’identification de connexion au MDM. Demandez aux utilisateurs de se connecter à Internet en Wi-Fi et d’accepter l’invite pour inscrire les appareils.
Pour créer un profil MDM
Suivez les étapes décrites dans la documentation Samsung sur Configuration du profil.
Lorsque vous rencontrez les champs suivants, configurez-les comme décrit ci-dessous :
- Pick your MDM : sélectionnez Citrix dans le menu. Uniquement pour les profils Propriétaire de l’appareil.
-
MDM Agent APK : uniquement pour les profils Propriétaire de l’appareil. Tapez l’adresse URL de téléchargement du fichier APK Secure Hub :
https://play.google.com/managed/downloadManagingApp?identifier=xenmobile
.Le fichier APK peut résider sur n’importe quel serveur auquel l’appareil peut accéder au cours de l’inscription. Lors de l’inscription, un appareil :
- Télécharge Secure Hub depuis l’adresse URL de téléchargement du fichier APK ;
- Installe Secure Hub ;
- Ouvre ensuite Secure Hub avec les données JSON personnalisées décrites ci-après.
La casse du nom de fichier .apk doit correspondre à l’adresse URL que vous entrez. Par exemple, si le nom de fichier est en minuscules, il doit également être en minuscules dans l’URL.
- MDM Server URI : ne spécifiez pas l’URI d’un serveur MDM. XenMobile n’utilise pas le protocole MDM de Samsung.
-
Custom JSON Data : Secure Hub a besoin de l’adresse du serveur XenMobile ainsi que du nom d’utilisateur et du mot de passe pour l’inscription. Vous pouvez fournir ces données dans JSON afin que Secure Hub ne les demande pas aux utilisateurs. Secure Hub invite les utilisateurs à saisir l’adresse du serveur, le nom d’utilisateur ou le mot de passe uniquement si le champ est omis de JSON.
Le format des données JSON personnalisées est le suivant :
{"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}
Dans cet exemple, typique de l’inscription en bloc, Secure Hub n’invite pas les utilisateurs à fournir l’adresse du serveur ou leurs informations d’identification lors de l’inscription :
{"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"}
{"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"userN2", "xm_password":"password7890"}
Dans cet exemple, typique des appareils basés sur un kiosque, Secure Hub invite les utilisateurs à fournir leurs informations d’identification :
{"serverURL":"https://example.com/zdm"}
Vous pouvez également entrer des données JSON personnalisées pour l’inscription zero-touch Android Enterprise.
{ "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "serverURL":"URL","xm_username":"username","xm_password":"password" } } <!--NeedCopy-->
Lorsqu’un appareil démarre l’inscription, il télécharge Secure Hub à partir de l’URL donnée, installe Secure Hub et ouvre Secure Hub.
Configuration supplémentaire
Consultez les pages de documentation Samsung suivantes pour plus d’informations sur la configuration :
- Configuration de l’appareil : pour ajouter des appareils en bloc.
- Application de déploiement Samsung Knox : pour inscrire des appareils via l’inscription Bluetooth, NFC ou Wi-Fi Direct.
- Knox Mobile Enrollment : pour consulter la documentation Samsung pour plus d’informations sur Samsung Knox.
Pour inscrire des appareils exécutant un API Knox antérieur à la version 2.4
Sur les appareils dont l’API Knox est antérieure à la version 2.4, l’inscription en bloc ne démarre pas lors de la configuration initiale de l’appareil. Les utilisateurs doivent plutôt commencer à s’inscrire. Pour ce faire, les utilisateurs accèdent à un site Samsung pour télécharger le nouveau client Mobile Enrollment et démarrer l’inscription.
Le client d’inscription téléchargé utilise le même profil MDM et les mêmes APK que ceux configurés dans le portail Knox Bulk Enrollment pour les appareils Knox 2.4/2.4.1.
Les utilisateurs doivent généralement suivre ces étapes :
-
Allumez l’appareil et connectez-vous au Wi-Fi. Si Mobile Enrollment ne démarre pas ou que le Wi-Fi n’est pas disponible, procédez comme suit :
-
Accédez à Samsung Knox Mobile Enrollment.
-
Touchez le bouton Next pour inscrire des appareils avec des données mobiles.
-
-
Lorsque l’invite Enroll with Knox s’affiche, touchez Continue.
-
Prenez connaissance des EULA (le cas échéant). Appuyez sur Suivant.
-
Si vous y êtes invité, entrez l’ID utilisateur (User ID) et le mot de passe (Password) fournis par l’administrateur informatique.
À ce stade, les informations d’identification de l’utilisateur sont validées et son appareil est inscrit dans l’environnement informatique de votre entreprise.
Activation et désactivation de l’authentification biométrique pour les appareils Samsung
XenMobile prend en charge l’authentification par empreinte digitale et par analyse de l’iris, également appelée authentification biométrique. Vous pouvez activer et désactiver l’authentification biométrique pour les appareils Samsung sans nécessiter l’intervention des utilisateurs. Si vous désactivez l’authentification biométrique dans XenMobile, les utilisateurs et les applications tierces ne peuvent pas activer la fonctionnalité.
-
Dans la console XenMobile, cliquez sur Configurer > Stratégies d’appareil. La page Stratégies d’appareil s’affiche.
-
Cliquez sur Ajouter. La page Ajouter une nouvelle stratégie apparaît.
-
Cliquez sur Code secret. La page d’informations Stratégie de code secret s’affiche.
-
Dans la section Informations sur la stratégie, entrez les informations suivantes :
- Nom de la stratégie : entrez un nom descriptif pour la stratégie.
- Description : entrez une description pour la stratégie (facultatif).
-
Cliquez sur Suivant. La page Plates-formes s’affiche.
-
Sous Plates-formes, sélectionnez Android ou Samsung Knox.
-
Définissez l’option Configurer l’authentification biométrique sur Activé.
-
Si vous avez sélectionné Android, sous Samsung SAFE, sélectionnez Autoriser empreinte digitale ou Autoriser iris ou les deux.