XenMobile Server

Clientes do Android Enterprise herdado para Google Workspace (anteriormente G Suite)

Os clientes do Google Workspace (anteriormente G Suite) devem usar as configurações do Android Enterprise legado para configurar o Android Enterprise legado.

Requisitos para o Android Enterprise herdado:

  • Um domínio publicamente acessível
  • Uma conta de administrador do Google
  • Os dispositivos que têm gerenciadas perfis e que executam o Android 5.0 + lollipop compatíveis
  • Uma conta do Google que tenha o Google Play instalado
  • Um perfil de trabalho configurado no dispositivo

Para iniciar a configuração do Android Enterprise herdado, clique em Android Enterprise herdado na página Android Enterprise nas configurações do XenMobile.

Imagem da opção Android Enterprise herdado

Criar uma conta do Android Enterprise

Antes de poder configurar uma conta do Android Enterprise, você deve confirmar seu nome de domínio com o Google.

Se você já tiver verificado o nome do domínio junto ao Google, poderá seguir para esta etapa: Configurar uma conta de serviço do Android Enterprise e baixar um certificado do Android Enterprise.

  1. Navegue até https://gsuite.google.com/signup/basic/welcome.

    A seguinte página é exibida, na qual você pode digitar suas informações de administrador e da empresa.

    Imagem da página de configuração da conta

  2. Insira as informações de usuário administrador.

    Imagem das informações de usuário administrador.

  3. Digite as informações da sua empresa, além de informações da sua conta de administrador.

    Imagem da tela de informações da empresa

    A primeira etapa no processo foi concluída e você vê a página a seguir.

    Imagem da página de verificação.

Verificar a propriedade do domínio

Permitir que o Google Verifique o seu domínio de uma das seguintes maneiras:

  • Adicione um registro TXT ou CNAME no site do host seu domínio.
  • Carrega um arquivo HTML para o servidor web do seu domínio.
  • Adicione uma marca <meta> para a sua página inicial. O Google recomenda o primeiro método. Este artigo não aborda as etapas para verificar a propriedade do seu domínio, mas você pode encontrar as informações de que precisa aqui: https://support.google.com/a/answer/6248925/.
  1. Clique em Start para iniciar a verificação do seu domínio.

    A página Verify domain ownership é exibida. Siga as instruções nessa página para verificar o seu domínio.

  2. Clique em Verify.

    Imagem do botão Verify

    Imagem da confirmação de Verify

  3. O Google verifica a propriedade do domínio.

    Imagem da verificação de propriedade do domínio

  4. Após uma verificação bem-sucedida, a página a seguir é exibida. Clique em Continue.

    Imagem da página de confirmação de sucesso

  5. O Google cria um token de associação de EMM que você fornece para a Citrix e usa ao definir as configurações do Android Enterprise. Copie e salve o token; você precisará dele mais tarde no processo de instalação.

    Imagem do token de associação

  6. Clique em Finish para concluir a instalação do Android Enterprise. Uma página será exibida, indicando que com êxito verificar seu domínio.

Depois de criar uma conta de serviço do Android Enterprise, você poderá fazer logon no console do Google Admin para gerenciar as configurações de gerenciamento de mobilidade.

Configurar uma conta de serviço do Android Enterprise e baixar um certificado do Android Enterprise

Para permitir que o XenMobile contate os serviços do Google Play e do Directory, você deverá criar uma conta de serviço usando o portal Google Project para desenvolvedores. Essa conta de serviço é usada para a comunicação servidor-a-servidor entre o XenMobile e os serviços do Google para o Android at Work. Para obter mais informações sobre o protocolo de autenticação usado, vá para https://developers.google.com/identity/protocols/OAuth2ServiceAccount.

  1. Em um navegador da web, acesse https://console.cloud.google.com/project e faça login com suas credenciais de administrador do Google

  2. Na lista Projects, clique em Create Project.

    Imagem da opção de criação de projeto

  3. Em Project name, digite um nome para o projeto.

    Imagem da opção de criação do projeto

  4. Em Dashboard, clique em Use Google APIs.

    Imagem da opção de uso de APIs do Google

  5. Clique em Library, em Search, tipo EMM e, em seguida, clique no resultado da pesquisa.

    Imagem da opção de pesquisa do EMM

  6. Na página Overview, clique em Enable.

    Imagem da opção de ativação

  7. Ao lado de Google Play EMM API, clique em Go to Credentials.

    Imagem da opção Go to Credentials

  8. Na lista Add credentials to our project, na etapa 1, clique em service account.

    Imagem da opção da conta de serviço

  9. Na página Service Accounts, clique em Create Service Account.

    Imagem da opção de criação da conta de serviço

  10. Em Create service account, dê um nome à conta e marque a caixa de seleção Furnish a new private key. Clique em P12, marque a caixa de seleção Enable Google Apps Domain-wide Delegation e, em seguida, clique em Create.

    Imagem das opções de criação da conta de serviço

    O certificado (arquivo P12) é baixado para o seu computador. Não se esqueça de salvar o certificado em uma localização segura.

  11. Na tela de confirmação Service account created, clique em Close.

    Imagem da página de confirmação

  12. Em Permissions, clique em Service accounts e depois sob Options da sua conta de serviço, clique em View Client ID.

    Imagem da opção de visualização do ID do cliente

  13. Os detalhes necessários para a autorização da conta no console de administração do Google são exibidos. Copie o Cliente ID e o Service account ID para um local onde você possa recuperar as informações posteriormente. Você precisa dessas informações, juntamente com o nome de domínio, para enviar para o suporte da Citrix para inclusão na lista de permissão.

    Imagem dos detalhes da autorização da conta

  14. Na página Library, procure Admin SDK e, em seguida, clique no resultado da pesquisa.

    Imagem da pesquisa do Admin SDK

  15. Na página Overview, clique em Enable.

    Imagem da opção de ativação Enable

  16. Abra o console de administração do Google do seu domínio e clique em Security.

    Imagem da opção de segurança

  17. Na página Settings, clique em Show more e, em seguida, clique em Advanced settings.

    Imagem das configurações avançadas

    Imagem das configurações avançadas

  18. Clique em Manage API client access.

    Imagem da opção Manage API client access

  19. Em Client Name, insira o ID de cliente que você salvou anteriormente, em One or More API Scopes, insira https://www.googleapis.com/auth/admin.directory.user e clique em Authorize.

    Imagem das opções do nome do cliente

Vinculando ao EMM

Antes de usar o XenMobile para gerenciar os seus dispositivos do Android, você deve contatar o Suporte Técnico da Citrix e fornecer o seu nome de domínio, conta de serviço e token de associação. A Citrix associa o token ao XenMobile como o seu provedor de gerenciamento de mobilidade empresarial (EMM). Para informações de contato para suporte técnico da Citrix, consulte o Suporte Técnico da Citrix.

  1. Para confirmar a associação, faça login no portal do Google Admin e clique em Security.

  2. Clique em Manage EMM provider for Android.

    Você verá que a conta do Google Android Enterprise está associada à Citrix como seu provedor de EMM.

    Depois de confirmar o token de associação, você poderá começar a usar o XenMobile para gerenciar dispositivos Android. Importe o certificado P12 gerado na etapa 14. Defina as configurações do servidor do Android Enterprise, ative o logon único (SSO) baseado em SAML e defina pelo menos uma política de dispositivo do Android Enterprise.

    Imagem das opções do Manage EMM provider for Android

Importe o certificado P12

Siga estas etapas para importar o certificado P12 do Android Enterprise:

  1. Faça login no console XenMobile.

  2. Clique no ícone de engrenagem no canto superior direito do console para abrir a página Configurações e clique em Certificados. A página Certificados é exibida.

    Imagem da página Certificados

  3. Clique em Importar. A caixa de diálogo Importar é exibida.

    Imagem da caixa de diálogo Importar

    Faça as seguintes configurações:

    • Importar: na lista, clique em Keystore.
    • Tipo de keystore: na lista, clique em PKCS#12.
    • Usar como: na lista, clique em Servidor.
    • Arquivo de keystore: clique em Procurar e navegue até o certificado P12.
    • Senha: digite a senha do keystore.
    • Descrição: opcionalmente, digite uma descrição do certificado.
  4. Clique em Importar.

Definir as configurações de servidor do Android Enterprise

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é exibida.

  2. Em Servidor, clique em Android Enterprise. A página Android Enterprise é exibida.

    Imagem da página do Android Enterprise

    Defina as configurações a seguir e clique em Salvar.

    • Nome de domínio: digite o nome de domínio do Android Enterprise, por exemplo, domínio.com.
    • Conta de administrador de domínio: digite o nome de usuário do administrador de domínio, por exemplo, a conta de email utilizada no Google Developer Portal.
    • ID da conta de serviço: digite o ID da sua conta de serviço, por exemplo, o e-mail associado à Conta de serviço do Google (serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com).
    • ID do cliente: digite o ID numérico do cliente da sua conta de serviço do Google.
    • Ativar o Android Enterprise: selecione para ativar ou desativar o Android Enterprise.

Ativar o logon único baseado em SAML

  1. Faça login no console XenMobile.

  2. Clique no ícone de engrenagem no canto superior direito do console. A página Configurações é exibida.

  3. Clique em Certificados. A página Certificados é exibida.

    Imagem da página Certificados

  4. Na lista de certificados, clique no certificado SAML.

  5. Clique em Exportar e salve o certificado no seu computador.

  6. Faça login no portal do Google Admin usando as credenciais de administrador do Android Enterprise. Para acessar o portal, consulte Portal do Google Admin.

  7. Clique em Security.

    Imagem da opção de segurança

  8. Em Security, clique em Set up single sign-on (SSO) e faça as seguintes configurações.

    Imagem das configurações de SSO

    • Sign-in page URL: digite a URL para os usuários que estão fazendo login no seu sistema e no Google Apps. Por exemplo: https://<Xenmobile-FQDN>/aw/saml/signin.
    • Sign out page URL: digite a URL para a qual os usuários são redirecionados quando fazem logoff. Por exemplo: https://<Xenmobile-FQDN>/aw/saml/signout.
    • Change password URL: digite a URL para permitir que os usuários alterem as respectivas senhas no seu sistema. Por exemplo: https://<Xenmobile-FQDN>/aw/saml/changepassword. Se este campo é definido, os usuários veem esse prompt, mesmo quando o SSO não está disponível.
    • Verification certificate: clique em CHOOSE FILE e navegue até o certificado SAML exportado do XenMobile.
  9. Clique em SAVE CHANGES.

Configurar uma política de dispositivo do Android Enterprise

Configure uma política de código secreto para que os usuários tenham que estabelecer um código secreto em seus dispositivos quando se registrarem pela primeira vez.

Imagem da página da política de código secreto

As etapas básicas para configurar qualquer política de dispositivo são as seguintes.

  1. Faça login no console XenMobile.

  2. Clique Configurar e, em seguida, clique em Políticas de dispositivo.

  3. Clique em Adicionar e, em seguida, na caixa de diálogo Adicionar uma nova política, selecione a política que você deseja adicionar. Nesse exemplo, você clica em Código secreto.

  4. Preencha a página Informações sobre a política.

  5. Clique em Android Enterprise e defina as configurações da política.

  6. Atribua a política a um Grupo de Entrega.

Defina as configurações da conta do Android Enterprise

Antes de começar a gerenciar aplicativos Android e políticas em dispositivos, você deverá configurar as informações de domínio e conta do Android Enterprise no XenMobile. Primeiro, conclua as tarefas de instalação do Android Enterprise no Google para configurar um administrador de domínio e obter um ID de conta de serviço e um token de associação.

  1. No console da Web XenMobile, clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida.

  2. Em Servidor, clique em Android Enterprise. A página de configuração do Android Enterprise é exibida.

Imagem da página de configuração do Android Enterprise

  1. Na página Android Enterprise, faça as seguintes configurações:

    • Nome de domínio: digite seu nome de domínio.
    • Conta de administrador de domínio: digite o nome do usuário do seu administrador de domínio.
    • ID de conta de serviço: digite o seu ID de Conta de Serviço do Google.
    • ID do cliente: digite o ID do cliente da sua conta de serviço do Google.
    • Ativar o Android Enterprise: selecione se deseja ativar ou não o Android Enterprise.
  2. Clique em Salvar.

Configurar o acesso de parceiro do Google Workspace para o XenMobile

Alguns recursos de gerenciamento de ponto de extremidade do Chrome usam APIs de parceiros do Google para se comunicar entre o XenMobile e seu domínio do Google Workspace. Por exemplo, o XenMobile exige as APIs para políticas de dispositivos que gerenciam recursos do Chrome, como o modo de navegação Anônima e o modo Visitante.

Para ativar as APIs de parceiros, você configura seu domínio do Google Workspace no console XenMobile e configura sua conta do Google Workspace.

Configurar seu domínio do Google Workspace (anteriormente G Suite) no XenMobile

Para permitir que o XenMobile se comunique com as APIs no seu domínio do Google Workspace, acesse Configurações > Configuração do Google Chrome e defina as configurações.

  • Domínio do G Suite: o domínio do Google Workspace que hospeda as APIs necessárias ao XenMobile.
  • Conta de administrador do G Suite: a conta de administrador do seu domínio do G Suite.
  • ID de cliente do G Suite: o ID de cliente para a Citrix. Use esse valor para configurar o acesso de parceiros para seu domínio do Google Workspace.
  • ID empresarial do G Suite: o ID empresarial da sua conta, preenchido a partir da sua conta corporativa do Google.

Ativar o acesso de parceiros para dispositivos e usuários no seu domínio do Google Workspace

  1. Faça login no Admin Console do Google: https://admin.google.com

  2. Clique em Gerenciamento de dispositivos.

    Imagem do console do administrador do Google

  3. Clique em Gerenciamento do Chrome.

    Imagem do console do administrador do Google

  4. Clique em Configurações do usuário.

    Imagem do console do administrador do Google

  5. Pesquise pelo Gerenciamento do Chrome - Acesso para parceiros.

    Imagem do console do administrador do Google

  6. Marque a caixa de seleção Ativar o gerenciamento do Chrome - Acesso para parceiros.

  7. Aceite que você entende e deseja ativar o acesso para parceiros. Clique em Salvar.

  8. Na página de gerenciamento do Chrome, clique em Configurações do dispositivo.

    Imagem do console do administrador do Google

  9. Pesquise pelo Gerenciamento do Chrome - Acesso para parceiros.

    Imagem do console do administrador do Google

  10. Marque a caixa de seleção Ativar o gerenciamento do Chrome - Acesso para parceiros.

  11. Aceite que você entende e deseja ativar o acesso para parceiros. Clique em Salvar.

  12. Vá para a página Segurança e clique em Configurações avançadas.

    Imagem do console do administrador do Google

  13. Clique em Gerenciar acesso de cliente de API.

  14. No console XenMobile, acesse Configurações > Configuração do Google Chrome e copie o valor do ID do cliente do Google Workspace. Em seguida, retorne à página Gerenciar acesso de cliente de API e cole o valor copiado no campo Nome do cliente.

  15. Em Um ou mais escopos de API, adicione a URL: https://www.googleapis.com/auth/chromedevicemanagementapi

    Imagem do console do administrador do Google

  16. Clique em Autorizar.

    A mensagem “Suas configurações foram salva” é exibida.

Imagem da tela de configuração de políticas de dispositivos

Registrar dispositivos Android Enterprise

Se o processo de inscrição de seu dispositivo exigir que os usuários digitem um nome de usuário ou ID do usuário, o formato aceito depende da forma como o XenMobile Server está configurado para procurar usuários pelo nome UPN ou pelo nome da conta SAM.

Se o XenMobile Server estiver configurado para procurar usuários por UPN, os usuários devem inserir um UPN no formato:

  • nome de usuário@domínio

Se o XenMobile Server estiver configurado para procurar usuários por SAM, os usuários devem inserir um SAM em um destes formatos:

  • nome de usuário@domínio
  • domínio\nome de usuário

Para determinar para qual tipo de nome de usuário o XenMobile Server está configurado:

  1. No console XenMobile Server, clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida.
  2. Clique em LDAP para visualizar a configuração da conexão LDAP.
  3. Perto da parte inferior da página, verifique o campo Pesquisa de usuário por:

    • Se estiver definido como userPrincipalName, o XenMobile Server está definido para UPN.
    • Se estiver definido como sAMAccountName, o XenMobile Server está definido para SAM.

Cancelar o registro de um enterprise do Android Enterprise

O XenMobile agora permite cancelar o registro de um enterprise do Android Enterprise usando o console XenMobile Server e o XenMobile Tools.

Quando você executa essa tarefa, o XenMobile Server abre uma janela pop-up para o XenMobile Tools. Antes de começar, verifique se o XenMobile Server tem permissão para abrir janelas pop-up no navegador que você está usando. Alguns navegadores, como o Google Chrome, exigem que você desabilite o bloqueio de pop-ups e acrescente o endereço do site do XenMobile à lista de permissão de bloqueio de pop-up.

Aviso:

Depois de o registro de um enterprise ser cancelado, os aplicativos Android Enterprise nos dispositivos já registrados por meio dele são redefinidos para os estados padrão. Os dispositivos não serão mais gerenciados pelo Google. Registrá-los novamente em um enterprise do Android Enterprise pode não restaurar a funcionalidade anterior sem configuração adicional.

Depois que o registro do enterprise do Android Enterprise for cancelado:

  • Dispositivos e usuários registrados pelo Enterprise têm os aplicativos do Android Enterprise redefinidos para o estado padrão. As políticas de Permissões do aplicativo Android Enterprise e de Restrições de aplicativo Android Enterprise aplicadas anteriormente não afetam mais.
  • Os dispositivos registrados por meio do Enterprise são gerenciados pelo XenMobile, mas são não gerenciados pela perspectiva do Google. Não é possível adicionar novos aplicativos do Android Enterprise. Não se aplica nenhuma política de Permissões do aplicativo Android Enterprise ou de Restrições de aplicativo Android Enterprise. Outras políticas, como Agendamento, Senha e Restrições, ainda podem ser aplicadas a esses dispositivos.
  • Se você tentar registrar dispositivos no Android Enterprise, eles serão registrados como dispositivos Android, não como dispositivos Android Enterprise.

Para cancelar o registro de um enterprise do Android Enterprise:

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida.

  2. Na página Settings, clique em Android Enterprise.

  3. Clique em Remover Enterprise.

    Imagem da opção de remoção do Enterprise

  4. Especifique uma senha. Você precisará da senha na próxima etapa para concluir o cancelamento do registro. Em seguida, clique em Cancelar registro.

    Imagem da opção Cancelar registro

  5. Quando a página do XenMobile Tools for aberta, insira a senha que você criou na etapa anterior.

    Imagem do campo de senha

  6. Clique em Cancelar registro.

    Imagem da opção Cancelar registro

Provisionamento de dispositivos totalmente gerenciados no Android Enterprise

Somente os dispositivos da empresa podem ser totalmente gerenciados para Android Enterprise. Em dispositivos totalmente gerenciados, todo o dispositivo, não apenas o perfil de trabalho, é controlado pela empresa ou organização. Dispositivos totalmente gerenciados também são conhecidos como dispositivos de trabalho gerenciados.

O XenMobile é compatível com estes métodos de registro para dispositivos totalmente gerenciados:

  • afw#xenmobile: com esse método de registro, o usuário insere os caracteres “afw#xenmobile” ao configurar o dispositivo. Esse token identifica o dispositivo como gerenciado pelo XenMobile e baixa o Secure Hub.
  • Código QR: o provisionamento de código QR é uma maneira fácil de provisionar uma frota distribuída de dispositivos que não são compatíveis com NFC, como tablets. O método de registro de código QR pode ser usado em dispositivos de frota que tenham sido redefinidos às suas configurações de fábrica. O método de registro de código QR instala e configura dispositivos totalmente gerenciados digitalizando um código QR no Assistente de instalação.
  • Aumento da comunicação a curta distância (NFC): o método de registro de aumento de NFC pode ser usado em dispositivos de frota que tenham sido redefinidos às suas configurações de fábrica. Um aumento de NFC transfere dados entre dois dispositivos usando comunicação a curta distância. Bluetooth, Wi-Fi e outros meios de comunicação estão desativados em um dispositivo que sofreu uma redefinição de fábrica. O NFC é o único protocolo de comunicação que o dispositivo pode usar nesse estado.

afw#xenmobile

O método de registro é usado após ligar um novo dispositivo ou dispositivos com a configuração inicial de fábrica redefinida. Os usuários digitam “afw#xenmobile” quando solicitados a inserir uma conta do Google. Essa ação baixa e instala o Secure Hub. Os usuários seguem os prompts de configuração do Secure Hub para concluir o registro.

Esse método de registro é recomendado para a maioria dos clientes, porque a versão mais recente do Secure Hub é baixada da loja Google Play. Ao contrário de outros métodos de registro, você não fornece o Secure Hub para download no XenMobile Server.

Pré-requisitos:

  • Compatível com todos os dispositivos Android com Android 5.0 e posterior.

Código QR

Para registrar um dispositivo no modo de dispositivo usando um código QR, você pode gerar um código QR criando um JSON e convertendo o JSON em um código QR. A câmera do dispositivo escaneia o código QR para registrar o dispositivo.

Pré-requisitos:

  • Suportado em todos os dispositivos Android com Android 7.0 e superior.

Criar um código QR de um JSON

Crie um JSON com os seguintes campos.

Estes campos são obrigatórios:

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Valor: com.zenprise/com.zenprise.configuration.AdminFunction

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Valor: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Chave: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Valor: https://path/to/securehub.apk

Nota:

Se o Secure Hub for carregado para o Citrix XenMobile Server como um aplicativo empresarial, ele pode ser baixado dehttps://<fqdn>:4443/*instanceName*/worxhome.apk. O caminho para o Secure Hub APK deve ser acessível através da conexão Wi-Fi em que o dispositivo se conecta durante o provisionamento.

Estes campos são opcionais:

  • android.app.extra.PROVISIONING_LOCALE: insira os códigos de idioma e país.

    Os códigos de idioma são códigos de idioma ISO com duas letras minúsculas (por exemplo, en), conforme definido pela ISO 639-1. Os códigos de país são códigos de país ISO com duas letras maiúsculas (por exemplo, US), conforme definido pela ISO 3166-1. Por exemplo, insira en_US para o inglês falado nos Estados Unidos.

  • android.app.extra.PROVISIONING_TIME_ZONE: o fuso horário em que o dispositivo é executado.

    Insira um nome Olson da área/localização do formulário. Por exemplo, America/Los_Angeles para o horário do Pacífico. Se você não inserir um, o fuso horário será preenchido automaticamente.

  • android.app.extra.PROVISIONING_LOCAL_TIME: tempo em milissegundos desde a época (Epoch).

    A época do Unix (ou hora do Unix, hora do POSIX ou carimbo de data/hora do Unix) é o número de segundos decorridos desde 1º de janeiro de 1970 (meia-noite UTC/GMT). O tempo não inclui segundos bissextos (in ISO 8601: 1970-01-01T00:00:00Z).

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: definido como true para ignorar a criptografia durante a criação do perfil. Defina como false para forçar a criptografia durante a criação do perfil.

Um JSON típico tem esta aparência:

Imagem de um JSON típico

Valide o JSON que é criado usando qualquer ferramenta de validação JSON, como https://jsonlint.com. Converta essa sequência JSON em um código QR usando qualquer gerador de código QR on-line, como https://goqr.me.

Este código QR é escaneado por um dispositivo com redefinição de fábrica para registrar o dispositivo no modo de dispositivo de trabalho gerenciado.

Para registrar o dispositivo

Para registrar um dispositivo como um dispositivo totalmente gerenciado, o dispositivo deve estar no estado de redefinição de fábrica.

  1. Toque seis vezes na tela de boas-vindas para iniciar o fluxo de registro do código QR.
  2. Quando solicitado, conecte-se ao Wi-Fi. O local de download do Secure Hub no código QR (codificado no JSON) é acessível através desta rede Wi-Fi.

    Depois que o dispositivo se conecta com êxito a Wi-Fi, ele baixa um leitor de código QR do Google e inicia a câmera.

  3. Aponte a câmera para o código QR para escanear o código.

    O Android baixa o Secure Hub do local de download no código QR, valida a assinatura do certificado de assinatura, instala o Secure Hub e o define como o proprietário do dispositivo.

Para mais informações, consulte este Guia do Google para desenvolvedores de EMM para Android: https://developers.google.com/android/work/prov-devices#qr_code_method.

Compartilhamento por NFC

Registrar um dispositivo como um dispositivo totalmente gerenciado usando compartilhamentos por NFC requer dois dispositivos: um cujas configurações de fábrica sejam redefinidas e um que esteja executando a XenMobile Provisioning Tool.

Pré-requisitos:

  • Suportado em todos os dispositivos Android com Android 5.0, Android 5.1, Android 6.0 e superior.
  • Um XenMobile Server versão 10.4 que está ativado para o Android Enterprise.
  • Um dispositivo novo ou com redefinição de fábrica, provisionado para o Android Enterprise como um dispositivo totalmente gerenciado. Você pode encontrar as etapas para concluir esse pré-requisito neste artigo.
  • Outro dispositivo com recursos NFC executando a Provisioning Tool configurada. A Provisioning Tool está disponível no Secure Hub 10.4 ou na página de downloads da Citrix.

Cada dispositivo pode ter somente um perfil do Android Enterprise, gerenciado por um aplicativo de gerenciamento de mobilidade empresarial (EMM). No XenMobile, o Secure Hub é o aplicativo EMM. Somente um perfil é permitido em cada dispositivo. A tentativa de adicionar um segundo aplicativo EMM remove o primeiro aplicativo EMM.

Dados transferidos através do aumento de NFC

Provisionar um dispositivo com redefinição de fábrica requer que você envie os seguintes dados por meio de um NFC bump para inicializar o Android Enterprise:

  • O nome do pacote do aplicativo do provedor EMM que atua como o proprietário do dispositivo (neste caso, o Secure Hub).
  • A localização de Intranet/Internet do qual o dispositivo pode baixar o aplicativo do provedor EMM.
  • O hash SHA1 do aplicativo do provedor EMM para verificar se o download é bem-sucedido.
  • Os detalhes da conexão WiFi para que um dispositivo com redefinição de fábrica possa se conectar e baixar o aplicativo do provedor EMM. Nota: No momento, o Android não é compatível com WiFi 802.1x para esta etapa.
  • O fuso horário do dispositivo (opcional).
  • A localização geográfica do dispositivo (opcional).

Quando os dois dispositivos são aumentados, os dados da Provisioning Tool são enviados para o dispositivo com redefinição de fábrica. Esses dados são usados para baixar o Secure Hub com as configurações do administrador. Se você não inserir os valores de localização e fuso horário, o Android os configura automaticamente no novo dispositivo.

Configuração da XenMobile Provisioning Tool

Antes de realizar um aumento de NFC, você deve configurar a Provisioning Tool. Em seguida, essa configuração é transferida para o dispositivo com redefinição de fábrica durante o aumento de NFC.

Imagem da configuração da Provisioning Tool

Você pode digitar dados nos campos obrigatórios ou preenchê-los usando um arquivo de texto. As etapas no procedimento a seguir descrevem como configurar o arquivo de texto e contém descrições para cada campo. O aplicativo não salva as informações depois que as digitar, portanto, convém criar um arquivo de texto para manter as informações para uso futuro.

Para configurar a Provisioning Tool usando um arquivo de texto

Dê ao arquivo o nome nfcprovisioning.txt e coloque-o na pasta /sdcard/ no cartão SD do dispositivo. Em seguida, o aplicativo poderá ler o arquivo de texto e preencher os valores.

O arquivo de texto deve conter os seguintes dados:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

Essa linha é o local da intranet/internet do aplicativo do provedor EMM. Depois que o dispositivo com redefinição de fábrica se conectar a Wi-Fi em seguida ao aumento de NFC, o dispositivo deve ter acesso a esse local para fazer o download. A URL é uma URL regular, sem necessidade de formatação especial.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

Essa linha é a soma de verificação do aplicativo do provedor EMM. Essa soma de verificação é usada para verificar se o download foi bem-sucedido. As etapas para obter a soma de verificação são discutidas neste artigo.

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

Esse é o SSID de Wi-Fi conectado do dispositivo no qual a Provisioning Tool está em execução.

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

Os valores suportados são WEP e WPA2. Se o Wi-Fi for desprotegido, esse campo deverá estar vazio.

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

Se o Wi-Fi for desprotegido, esse campo deverá estar vazio.

android.app.extra.PROVISIONING_LOCALE=<locale>

Insira os códigos de idioma e país. Os códigos de idioma são códigos de idioma ISO com duas letras minúsculas (por exemplo, en), conforme definido pela ISO 639-1. Os códigos de país são códigos de país ISO com duas letras maiúsculas (por exemplo, US), conforme definido pela ISO 3166-1. Por exemplo, digite en_US para o inglês falado nos Estados Unidos. Se você não digitar nenhum código, o país e o idioma serão preenchidos automaticamente.

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

O fuso horário no qual o dispositivo está em execução. Insira um nome Olson da área/localização do formulário. Por exemplo, America/Los_Angeles para o horário do Pacífico. Se você não inserir nenhum nome, o fuso horário será preenchido automaticamente.

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

Isso não é necessário, pois o valor é inserido em código fixo no aplicativo, como o Secure Hub. Ele é mencionado aqui somente por uma questão de conclusão.

Se houver um Wi-Fi protegido por WPA2, um arquivo nfcprovisioning.txt preenchido terá a seguinte aparência:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Se houver uma Wi-Fi desprotegida, um arquivo nfcprovisioning.txt preenchido terá a seguinte aparência:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

Para obter a soma de verificação do Secure Hub

Para obter a soma de verificação de qualquer aplicativo, adicione o aplicativo como um aplicativo empresarial.

  1. No console XenMobile, clique em Configurar > Aplicativos e em Adicionar.

    A janela Adicionar aplicativos é exibida.

  2. Clique em Empresarial.

    A página Informações do Aplicativo é exibida.

    Imagem da página de informações do aplicativo

  3. Selecione a configuração a seguir e clique em Avançar.

    A página Aplicativo enterprise do Android Enterprise é exibida.

    Imagem do aplicativo Android Enterprise

  4. Forneça o caminho até o arquivo .apk e clique em Avançar para carregá-lo.

    Depois que a instalação for concluída, serão exibidos os detalhes do pacote carregado.

    Imagem da página de carregamento de arquivos

  5. Clique em Avançar para abrir uma página para baixar o arquivo JSON, que você usará para carregar no Google Play. Para o Secure Hub, não é necessário carregar para Google Play, mas você precisa do arquivo JSON para ler o valor SHA1 dele.

    Imagem da página de download do arquivo JSON

    Um arquivo JSON típico tem esta aparência:

    Imagem de um arquivo JSON típico

  6. Copie o valor file_sha1_base64 e use-o no campo Hash na Provisioning Tool.

    Nota:

    O hash deve ser seguro para URLs.

    • Converta os símbolos + para -
    • Converta os símbolos / para _
    • Substitua o trailing \u003d por =

    Se você armazenar o hash no arquivo nfcprovisioning.txt no cartão SD do dispositivo, o aplicativo faz a conversão de segurança. No entanto, se você optar por digitar o hash manualmente, será sua responsabilidade garantir a segurança da URL.

Bibliotecas usadas

A Provisioning Tool usa as seguintes bibliotecas no seu código-fonte:

Provisionar dispositivo de perfil de trabalho no Android Enterprise

Em dispositivos de perfil de trabalho no Android Enterprise, você separa com segurança as áreas corporativa e pessoal em um dispositivo. Por exemplo, dispositivos BYOD podem ser dispositivos de perfil de trabalho. A experiência de registro de dispositivos de perfil de trabalho é semelhante ao registro do Android no XenMobile. Os usuários fazem o download do Secure Hub a partir do Google Play e registram seus dispositivos.

Por padrão, as configurações de Depuração de USB e Fontes desconhecidas são desativadas em um dispositivo quando ele é registrado no Android Enterprise como um dispositivo de perfil de trabalho.

Dica:

Quando for registrar dispositivos no Android Enterprise como dispositivos de perfil de trabalho, sempre vá para o Google Play. A partir dali, habilite o Secure Hub para aparecer no perfil pessoal do usuário.