Samsung KME Android Enterprise
Pourquoi avez-vous besoin de Samsung Knox Mobile Enrollment (KME) ?
Avec KME, les appareils Samsung peuvent être préparés rapidement et facilement pour être gérés dans un Mobile Device Management (MDM) System. L'inscription des appareils appartenant à l'entreprise, à l'administration ou à l'école peut donc se faire rapidement sans qu'il soit nécessaire d'inscrire manuellement chaque appareil individuellement. Il en résulte un gain de temps considérable, surtout lorsqu'il s'agit d'un grand nombre de dispositifs. La configuration des dispositifs est lancée automatiquement dès qu'ils sont mis en service et qu'une connexion Internet est établie. Même si les dispositifs enregistrés dans le programme KME sont réinitialisés, ils se réinscrivent automatiquement dans le système MDM utilisé. Le programme KME offre donc des fonctions similaires au Device Enrollment Program (DEP)d' Apple.
Quelles sont les conditions requises pour utiliser KME ?
Tout d'abord, Relution doit être configuré pour utiliser Android Enterprise. Les différentes étapes sont décrites dans l'Insight de la configuration d'Android Enterprise. Les appareils Samsung peuvent être enregistrés dans le programme KME par les revendeurs agréés avec le numéro de série. Si les appareils n'ont pas été achetés auprès d'un revendeur agréé, Samsung offre également la possibilité d'ajouter les appareils au programme KME manuellement à une date ultérieure. Pour cela, il faut soit scanner un code QR spécial lors de la configuration de l'appareil, soit utiliser la Knox Mobile Deployment App qui peut être utilisée sur un autre appareil Samsung pour configurer un nouvel appareil. Le programme KME est proposé gratuitement par Samsung après enregistrement.
Quelles sont les possibilités offertes par la combinaison avec Android Enterprise ?
L'inscription à Android Enterprise (Device Owner) via KME est disponible pour tous les appareils Samsung équipés d'Android 8 ou plus. Le mode Android Enterprise "Managed Device" (Fully Managed) est disponible, qui est utilisé exclusivement à des fins professionnelles ou éducatives. Les avantages généraux et les possibilités d'Android Enterprise avec Relution sont décrits dans un aperçu séparé Android Enterprise Fully Managed & Work Profile.
Comment se fait la configuration dans le portail KME ?
Après s'être connecté au Samsung Knox Portal, le module Knox Mobile Enrollment peut être sélectionné :

L'étape suivante consiste à créer un nouveau profil MDM dans la zone "MDM Profile" via le bouton "Create Profile" :

Ensuite, sélectionnez le type de profil "Android Enterprise" :

Remarque: Samsung KME prend toujours en charge la méthode de déploiement Device Administrator, qui n'est plus compatible avec les appareils Android 11 et ultérieurs. Pour plus d'informations, voir Samsung KME avec Android Legacy.
Quels détails doivent être spécifiés dans le profil MDM de KME pour une utilisation avec Relution ?
- Attribuez un nom au profil. Dans le contexte de l'école, un profil doit être créé par école (de la même manière qu'un serveur MDM est configuré par école pour Apple DEP).
- Pour l'inscription en tant que dispositif appartenant à l'entreprise, à l'administration ou à l'école (Managed Device), sélectionnez l'option "Force Device Owner Enrollment" dans MDM Information.
- Sélectionnez "Other" comme système MDM et collez l'APK par défaut pour les inscriptions Android Enterprise de Google à "MDM Agent APK" :
https://play.google.com/managed/downloadManagingApp?identifier=setup
Remarque : Samsung s'efforce de faire en sorte que Relution puisse être sélectionné dans la liste des systèmes MDM à l'avenir, dans le cadre du partenariat Samsung New Learning.

Quels sont les réglages à effectuer dans le profil MDM de KME pour l'utiliser avec Relution ?
- Sous Device Settings, vous pouvez définir si les applications système sont requises. Si les applications système ne sont pas autorisées, l'appareil est fortement restreint. Par exemple, le partage de contenu comme des photos via WiFi Direct (similaire à AirDrop) n'est pas possible. Ce paramètre ne peut pas être modifié ultérieurement par le serveur MDM. Recommandation : Les applications système devraient donc être autorisées initialement. Les applications inutiles peuvent être autorisées ultérieurement via le Samsung Knox Service Plugin.
- Indication du nom de l'entreprise ou de l'école.

Peut-on utiliser un code d'inscription multiple de Relution comme JSON personnalisé avec Samsung KME ?
Relution 5 permet la création d'un code d'inscription multiple. Cela signifie qu'un nombre quelconque d'appareils peut être inscrit avec un seul code. Cette optimisation simplifie les inscriptions massives d'entreprises Android, par exemple pour les ensembles de classes ou les appareils de prêt dans les écoles, mais aussi pour les inscriptions d'appareils Bring Your Own Device (BYOD) avec iOS.
Lors de la création d'une inscription, le bouton "Multiple Enrollment" doit être activé à cette fin dans l'étape de configuration "Expiration Date and notification".

Le code d'inscription multiple pour une inscription multiple peut être obtenu dans Relution dans la vue en liste des inscriptions créées en cliquant sur l'icône du code QR par élément de ligne et dans la boîte de dialogue suivante sous "Means DPC Identifier" -> "KME Custom JSON". Ou sur la page de détail de l'inscription sous "Enrollment Information" -> "KME Custom JSON". Le JSON personnalisé peut être copié ici de manière pratique pour une utilisation ultérieure dans le portail Samsung Knox aux deux endroits.


L'inscription automatique des appareils Samsung Knox Mobile Enrollment (KME) fonctionnant sous Android Enterprise est également simplifiée par le transfert du code d'inscription multiple de Relution via Custom JSON vers le profil MDM de Samsung KME.
À cette fin, le JSON personnalisé est saisi dans le champ de saisie "Custom JSON data" (selon la définition MDM) au format suivant :
{"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"ECWSXBLUOGEHGVQVRHXL"}

La numérisation manuelle du Android Enterprise Enrollment Code à partir du portail Relution n'est donc plus nécessaire et l'inscription peut être davantage automatisée.
Quels sont les avantages d'un code QR avec configuration WiFi pour l'enrôlement dans le profil KME MDM et comment l'ajouter au profil ?
En maintenant une configuration WiFi dans le profil MDM de KME, la configuration des appareils peut être optimisée. En scannant ce code QR au cours de la configuration du dispositif, une connexion au WiFi est ainsi automatiquement établie. Il n'est donc plus nécessaire de saisir manuellement le mot de passe WIFI sur chaque appareil. En particulier lors de l'inscription de plus de 10 appareils, cela permet un gain de temps considérable.
Une boîte de dialogue distincte apparaît via le bouton "Add QR Code". Un SSID WiFi peut être spécifié ici. En outre, le cryptage (sécurité) et le mot de passe WiFi peuvent être enregistrés. Ce paramètre n'est disponible que pour les appareils équipés du système d'exploitation Android 10 et plus.

Remarque : lors de la gestion de la configuration WLAN dans le profil KME MDM, il est possible d'activer une case à cocher supplémentaire afin que les appareils soient ajoutés ultérieurement dans le programme KME au cours de l'installation et qu'ils soient automatiquement affectés au profil MDM. Ceci n'est nécessaire que si les appareils n'ont pas été achetés auprès d'un revendeur agréé ou n'ont pas été ajoutés automatiquement dans KME.
Une fois les paramètres enregistrés et la création du profil MDM terminée, un code QR est automatiquement créé dans le portail KME pour le profil MDM. Celui-ci contient également les informations relatives à la configuration WLAN.
COMMENT ATTRIBUER UN PROFIL MDM À UN APPAREIL DANS LE PORTAIL KME ?
Les profils MDM peuvent également être attribués manuellement aux appareils dans le portail KME. Cela est par exemple nécessaire si aucun code QR n'a été créé dans les paramètres du profil Android Enterprise pour la configuration de l'appareil ou si le système d'exploitation des appareils est antérieur à Android 10 et n'est donc pas compatible avec les codes QR.


Quelles sont les conditions préalables à l'inscription automatique des appareils Samsung Knox avec Android Enterprise dans Relution ?
Il faut s'assurer que l'organisation respective dans Relution, dans laquelle le dispositif Samsung Knox est inscrit, est liée à une organisation Google. Les instructions relatives à la liaison sont décrites dans le Insight Configuration d'Android Enterprise dans Relution.
Ensuite, une inscription à Android Enterprise "Managed Device" avec les paramètres suivants doit être créée dans Relution sous "Devices -> Enrollments" pour chaque appareil Samsung Knox :
- Plate-forme : Android Enterprise
- Type : Dispositif géré
- Propriété : Dispositif de l'entreprise (COD).

Comment les appareils Samsung Knox sont-ils automatiquement inscrits via KME ?
Les étapes suivantes sont nécessaires pour le démarrage initial des appareils Samsung Knox :
- Dès le début, vous pouvez passer à l'assistant de configuration KME sur l'appareil. Pour ce faire, un signe "+" doit être physiquement "drawn" avec le doigt sur l'écran initial "Let's go" de l'appareil.
- L'assistant offre diverses options. D'une part, la configuration peut être effectuée via Bluetooth et WiFi Direct avec un autre appareil sur lequel l'application Samsung Knox Deployment a été configurée. D'autre part, la configuration pratique recommandée via un code QR peut être effectuée pour les appareils sous Android 10 ou supérieur.
Remarque : le code QR généré dans le portail KME pour le profil MDM (voir ci-dessus) est scanné et non le code QR d'inscription de Relution. Il est important de noter que le code QR du profil MDM peut être utilisé pour un nombre quelconque de dispositifs. Seulement si plusieurs profils MDM, par exemple avec différentes configurations WiFi, ont été créés, il faut s'assurer que le bon code QR est utilisé lors du scan.
- Après l'initiation, plusieurs configurations sont effectuées sur l'appareil, dont certaines doivent être confirmées manuellement. Par exemple, la connexion WiFi est établie, le profil MDM du portail KME est chargé sur l'appareil, puis l'inscription pour Android Enterprise est préparée. Si l'assistant de configuration Android standard est utilisé au lieu de l'assistant de configuration KME, l'assistant de configuration KME est automatiquement activé après l'établissement d'une connexion WIFI dans la boîte de dialogue de configuration Android standard. Le profil MDM attribué à l'appareil dans le portail KME est alors chargé et les autres étapes de configuration sont déclenchées automatiquement.





- Dans la suite du processus d'inscription, le dispositif est ensuite apparié avec le système MDM. À cette fin, le code QR de l'inscription dans Relution est nécessaire pour compléter l'inscription. Il est important de noter qu'un code QR individuel provenant d'une inscription créée séparément dans Relution doit être utilisé pour chaque dispositif individuel.



Note: Si un code d'inscription multiple a été créé dans Relution, il peut être utilisé pour plusieurs appareils. En outre, cette étape est automatiquement ignorée si un JSON personnalisé avec le code de multi-inscription a été géré dans le profil MDM de KME.
- Selon la configuration de l'inscription dans Relution, un code de passe ou un motif doit être défini. Si aucune protection distincte de l'appareil n'est souhaitée dans l'inscription, cette étape de configuration est ignorée.
- Si une politique (par défaut) a été attribuée à l'appareil pendant l'inscription, dans laquelle des apps gérées pour l'installation automatique ou d'autres configurations sont également attribuées, celles-ci sont automatiquement appliquées à l'appareil.
