Página web
Insight19.01.2022

Samsung KME Android Enterprise

¿Por qué necesita Samsung Knox Mobile Enrollment (KME)?

Con KME, los dispositivos Samsung pueden prepararse rápida y fácilmente para su gestión en un Mobile Device Management (MDM) system. Así, la inscripción de los dispositivos propiedad de la empresa, de la administración o de la escuela puede hacerse rápidamente sin necesidad de inscribir manualmente cada dispositivo por separado. Esto supone un gran ahorro de tiempo, especialmente cuando se trata de un gran número de dispositivos. La configuración de los dispositivos se inicia automáticamente en cuanto se ponen en funcionamiento y se establece una conexión a Internet. Incluso si los dispositivos registrados en el programa KME se reinician, vuelven a inscribirse automáticamente en el sistema MDM utilizado. El programa KME ofrece, pues, funciones similares a las del Device Enrollment Program de Apple (DEP).

¿Cuáles son los requisitos para utilizar el KME?

En primer lugar, Relution debe estar configurado para utilizar Android Enterprise. Los pasos individuales se describen con el Insight Android Enterprise setup. Los dispositivos Samsung pueden ser registrados en el programa KME por los distribuidores autorizados con el número de serie. Si los dispositivos no fueron adquiridos por un distribuidor autorizado, Samsung también ofrece la opción de añadir los dispositivos al programa KME manualmente en una fecha posterior. Para ello, hay que escanear un código QR especial durante la configuración del dispositivo o la Knox Mobile Deployment App, que puede utilizarse en un dispositivo Samsung adicional para configurar un nuevo dispositivo. El programa KME es ofrecido por Samsung de forma gratuita tras el registro.

¿Qué posibilidades ofrece la combinación con Android Enterprise?

La inscripción en Android Enterprise (Device Owner) a través de KME está disponible para todos los dispositivos Samsung con Android 8 o superior. Está disponible el modo Android Enterprise “Managed Device” (Fully Managed), que se utiliza exclusivamente para fines empresariales o educativos. Las ventajas y posibilidades generales de Android Enterprise con Relution se describen en un Insight separado Android Enterprise Fully Managed & Work Profile.

¿Cómo se realiza la configuración en el Portal KME?

Después de iniciar sesión en el Samsung Knox Portal se puede seleccionar el módulo Knox Mobile Enrollment:

insight-samsung_kme_android_enterprise-01-en.png

El siguiente paso es crear un nuevo perfil MDM en el área "MDM Profile” mediante el botón “Create Profile”:

insight-samsung_kme_android_enterprise-02-en.png

A continuación, seleccione el tipo de perfil “Android Enterprise”:

insight-samsung_kme_android_enterprise-03-en.png

Nota: Samsung KME aún admite el método de implementación del administrador de dispositivos, que ya no es compatible con los dispositivos Android 11 y posteriores. Para obtener más información, consultee Samsung KME con Android Legacy.

¿Qué detalles hay que especificar en el perfil MDM de KME para utilizarlo con Relution?

  1. Asigne un nombre al perfil. En el contexto escolar, debe crearse un perfil por escuela (de forma similar a como se configura un servidor MDM por escuela para el DEP de Apple).
  2. Para la inscripción como dispositivo propiedad de la empresa, de la administración o de la escuela (Managed Device), seleccione la opción "Force Device Owner Enrollment" en Información de MDM.
  3. Seleccione "Other" como sistema MDM y pegue el APK por defecto para las inscripciones de Android Enterprise desde Google en "MDM Agent APK":
https://play.google.com/managed/downloadManagingApp?identifier=setup

Nota: Samsung está trabajando para garantizar que Relution esté disponible para su selección en la lista de sistemas MDM en el futuro como parte de la asociación Samsung New Learning.

insight-samsung_kme_android_enterprise-04-en.png

¿Qué ajustes hay que hacer en el perfil MDM de KME para utilizarlo con Relution?

  1. En Ajustes del dispositivo, puede definir si las apps del sistema son necesarias. Si las apps del sistema no están permitidas, el dispositivo está muy restringido. Por ejemplo, no es posible compartir contenidos como fotos a través de WiFi Direct (similar a AirDrop). Esta configuración no puede ser modificada posteriormente por el servidor MDM. Recomendación: Por lo tanto, las apps del sistema deberían permitirse inicialmente. Las apps no necesarias se pueden permitir más tarde a través del Samsung Knox Service Plugin.
  2. Indicación del nombre de la empresa o de la escuela.
insight-samsung_kme_android_enterprise-05-en.png

¿Se puede utilizar un código de inscripción múltiple de Relution como JSON personalizado con Samsung KME?

La Relution 5 permite la creación de un código de multiinscripción. De este modo, se puede inscribir cualquier número de dispositivos con un solo código. La optimización simplifica las inscripciones masivas de Android Enterprise, por ejemplo, para conjuntos de clases o dispositivos de préstamo en las escuelas, pero también para las inscripciones de dispositivos Bring Your Own Device (BYOD) con iOS.

Al crear una inscripción, debe activarse el botón “Multiple Enrollment” en el paso de configuración “Expiration Date and Notification”.

insight-samsung_kme_android_enterprise-06-en.png

El código de multimatrícula para una matrícula múltiple puede obtenerse en Relution en la vista de lista de las matrículas creadas haciendo clic en el icono de código QR por elemento de fila y en la ventana de diálogo posterior en “Means DPC Identifier” -> “KME Custom JSON”. O en la página de detalles de la matrícula en “Información de la matrícula” -> “KME Custom JSON”. El JSON personalizado puede copiarse convenientemente aquí para su posterior uso en el Portal Knox de Samsung.

insight-samsung_kme_android_enterprise-07-en.png
insight-samsung_kme_android_enterprise-08-en.png

La inscripción automática de los dispositivos Samsung Knox Mobile Enrollment (KME) con Android Enterprise también se simplifica transfiriendo el código de inscripción múltiple de Relution a través de Custom JSON al perfil MDM en Samsung KME.

Para ello, el JSON personalizado se introduce en el campo de entrada “Custom JSON data (según la definición de MDM)” en el siguiente formato:

{"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"ECWSXBLUOGEHGVQVRHXL"}
insight-samsung_kme_android_enterprise-23-en.png

Esto elimina la necesidad de escanear manualmente el código de inscripción de la empresa Android desde el Portal Relution, automatizando aún más el proceso de inscripción.

¿Cuáles son las ventajas de un código QR con configuración WiFi para la inscripción en el perfil MDM de KME y cómo se puede añadir al perfil?

Al mantener una configuración WiFi en el perfil KME MDM, se puede optimizar la configuración de los dispositivos. Al escanear este código QR en el curso de la configuración del dispositivo, se establece automáticamente una conexión a la WiFi. Esto elimina la necesidad de introducir manualmente la contraseña WiFi en cada dispositivo. Especialmente cuando se inscriben más de 10 dispositivos, esto supone un importante ahorro de tiempo.

El botón “Add QR Code” hace que aparezca un diálogo independiente. Aquí se puede especificar un SSID WiFi. Además, se puede almacenar la codificación (seguridad) y la contraseña WiFi. Esta configuración sólo está disponible para dispositivos con el sistema operativo Android 10 y superior.

insight-samsung_kme_android_enterprise-10-en.png

Nota: Al mantener la configuración WiFi en el perfil MDM de KME, se puede activar una casilla de verificación adicional para que los dispositivos se añadan posteriormente en el programa KME durante la configuración y se asignen automáticamente al perfil MDM. Esto sólo es necesario si los dispositivos no han sido adquiridos en un distribuidor autorizado o no se han añadido automáticamente en el KME.

Una vez guardada la configuración y creado el perfil MDM, se crea automáticamente un código QR en el Portal KME para el perfil MDM. Este también contiene la información de configuración de WiFi.

¿Cómo se puede asignar un perfil MDM a un dispositivo en el Portal KME?

Los perfiles MDM también se pueden asignar manualmente a los dispositivos en el Portal KME. Esto es necesario, por ejemplo, si no se ha creado ningún código QR para la configuración del dispositivo en los ajustes del perfil Android Enterprise o si el sistema operativo de los dispositivos es anterior a Android 10 y, por tanto, no es compatible con el código QR.

insight-samsung_kme_android_enterprise-11-en.png
insight-samsung_kme_android_enterprise-12-en.png

¿Cuáles son las condiciones previas para la inscripción automática de los dispositivos Samsung Knox con Android Enterprise en Relution?

Hay que asegurarse de que la organización respectiva en Relution, en la que está inscrito el dispositivo Samsung Knox, está vinculada a una organización de Google. Las instrucciones para la vinculación se describen en Insight Configurar Android Enterprise en Relution.

A continuación, debe crearse una inscripción de “Managed Device” de Android Enterprise con la siguiente configuración en Relution, en “Devices -> Enrollments” , para cada dispositivo Samsung Knox:

  1. Plataforma: Android Enterprise
  2. Tipo: Dispositivo gestionado
  3. Propiedad: Dispositivo de la empresa (COD).
insight-samsung_kme_android_enterprise-13-en.png

¿Cómo se inscriben automáticamente los dispositivos Samsung Knox a través de KME?

Los siguientes pasos son necesarios para el arranque inicial de los dispositivos Samsung Knox:

  1. Justo al principio, puedes pasar al asistente de configuración de KME en el dispositivo. Para ello, hay que "drawn" físicamente un signo "+" con el dedo en la pantalla inicial de "Let's Go" del dispositivo.
  2. TEl asistente ofrece varias opciones. Por un lado, la configuración puede realizarse mediante Bluetooth y WiFi Direct con otro dispositivo en el que se haya configurado la app Samsung Knox Deployment. O bien, se puede realizar la cómoda configuración recomendada a través de un código QR para los dispositivos con Android 10 o superior.

Nota: Se escanea el código QR generado en el portal KME para el perfil MDM (ver arriba) y no se utiliza el código QR de inscripción de Relution. Es importante tener en cuenta que el código QR del perfil MDM puede utilizarse para cualquier número de dispositivos. Sólo si se han creado varios perfiles MDM, por ejemplo, con diferentes configuraciones WiFi, hay que asegurarse de que se utiliza el código QR correcto al escanearlo.

  1. Tras la iniciación, se realizan varias configuraciones en el dispositivo, algunas de las cuales deben confirmarse manualmente. Por ejemplo, se establece la conexión WIFI, se carga el perfil MDM del portal KME en el dispositivo y, a continuación, se prepara la inscripción para Android Enterprise. Si se utiliza el asistente de configuración estándar de Android en lugar del asistente de configuración de KME, el asistente de configuración de KME se activa automáticamente después de establecer una conexión WIFI en el diálogo de configuración estándar de Android. A continuación, se carga el perfil MDM asignado al dispositivo en el portal de KME y se activan automáticamente los demás pasos de configuración.
insight-samsung_kme_android_enterprise-14-en.png
insight-samsung_kme_android_enterprise-15-en.png
insight-samsung_kme_android_enterprise-16-en.png
insight-samsung_kme_android_enterprise-17-en.png
insight-samsung_kme_android_enterprise-18-en.png
  1. En el transcurso del proceso de inscripción, el dispositivo se empareja con el sistema MDM. Para ello, se necesita el código QR de inscripción de Relution para completar la inscripción. Es importante tener en cuenta que se debe utilizar un código QR individual de una inscripción creada por separado en Relution para cada dispositivo individual.
insight-samsung_kme_android_enterprise-19-en.png
insight-samsung_kme_android_enterprise-20-en.png
insight-samsung_kme_android_enterprise-21-en.png

Nota: Si se ha creado un código de multiinscripción en Relution, puede utilizarse para varios dispositivos. Además, este paso se omite automáticamente si se ha mantenido un JSON personalizado con el código de inscripción múltiple en el perfil de KME MDM.

  1. Dependiendo de la configuración de la inscripción en Relution, se debe definir un código de acceso o un patrón. Si no se desea una protección independiente del dispositivo en la inscripción, se omite este paso de configuración.

  2. Si se asignó una política (por defecto) al dispositivo durante la inscripción, en la que también se asignan apps gestionadas para la instalación automática u otras configuraciones, éstas se aplican automáticamente al dispositivo.

insight-samsung_kme_android_enterprise-22-en.png