Samsung KME con Android Enterprise

Perché avete bisogno di Samsung Knox Mobile Enrollment (KME)?

Con KME, i dispositivi Samsung possono essere preparati rapidamente e facilmente per la gestione in un sistema di gestione dei dispositivi mobili (MDM). L’iscrizione dei dispositivi di proprietà dell’azienda, dell’amministrazione o della scuola può quindi essere fatta rapidamente senza la necessità di iscrivere manualmente ogni dispositivo individualmente. Questo si traduce in un enorme risparmio di tempo soprattutto quando si tratta di un gran numero di dispositivi. La configurazione dei dispositivi viene avviata automaticamente non appena vengono messi in funzione e viene stabilita una connessione Internet. Anche se i dispositivi registrati nel programma KME vengono resettati, essi si reiscrivono automaticamente nel sistema MDM utilizzato. Il programma KME offre quindi funzioni simili al Device Enrollment Program (DEP) di Apple.

Quali sono i requisiti per usare KME?

In primo luogo, Relution deve essere impostato per utilizzare Android Enterprise. I singoli passi sono descritti con Insight Android Enterprise setup.
I dispositivi Samsung possono essere registrati nel programma KME dai rivenditori autorizzati con il numero di serie. Se i dispositivi non sono stati acquistati da un rivenditore autorizzato, Samsung offre anche la possibilità di aggiungere i dispositivi al programma KME manualmente in un secondo momento. Per questo, deve essere scansionato uno speciale codice QR durante la configurazione del dispositivo o il Knox Mobile Deployment App che può essere utilizzato su un ulteriore dispositivo Samsung per impostare un nuovo dispositivo. Il programma KME è offerto da Samsung gratuitamente dopo la registrazione.

Quali possibilità offre la combinazione con Android Enterprise?

L’iscrizione ad Android Enterprise (Device Owner) tramite KME è disponibile per tutti i dispositivi Samsung con Android 8 o superiore. È disponibile la modalità Android Enterprise “Managed Device” (Fully Managed), che viene utilizzata esclusivamente per scopi aziendali o educativi. I vantaggi e le possibilità generali di Android Enterprise con Relution sono descritti in un Insight separato Android Enterprise completamente gestito e profilo di lavoro.

Come si fa la configurazione nel portale KME?

Dopo aver effettuato l’accesso al Samsung Knox Portal il modulo Knox Mobile Enrollment può essere selezionato:

Il passo successivo è quello di creare un nuovo profilo MDM nell’area “MDM Profile” tramite il pulsante “Create Profile”:

In seguito, seleziona il tipo di profilo “Android Enterprise”:

Nota: Samsung KME supporta ancora il metodo di distribuzione Device Administrator, che non è più compatibile con i dispositivi Android 11 e successivi. Per maggiori informazioni, vedi Samsung KME con Android Legacy

Quali dettagli devono essere specificati nel profilo MDM di KME per l’uso con Relution?

1. Assegnare un nome al profilo. Nel contesto scolastico, dovrebbe essere creato un profilo per scuola (simile a come viene configurato un server MDM per scuola per Apple DEP).

2. Per l'iscrizione come dispositivo di proprietà dell'azienda, dell'amministrazione o della scuola (Managed Device), seleziona l'opzione "Force Device Owner Enrollment" in MDM Information.

3. Selezionare "Other" come sistema MDM e incollare l'APK predefinito per le iscrizioni Android Enterprise da Google a "MDM Agent APK": https://play.google.com/managed/downloadManagingApp?identifier=setup)

Nota: Samsung sta lavorando per garantire che Relution sia disponibile per la selezione nella lista dei sistemi MDM in futuro come parte della partnership Samsung New Learning.

Quali impostazioni devono essere fatte nel profilo MDM di KME per l’uso con Relution?

1. In Impostazioni dispositivo, è possibile definire se le applicazioni di sistema sono necessarie. Se le applicazioni di sistema non sono consentite, il dispositivo è fortemente limitato. Per esempio, la condivisione di contenuti come le foto tramite WiFi Direct (simile ad AirDrop) non è possibile. Questa impostazione non può essere modificata successivamente dal server MDM.

• Raccomandazione: Le applicazioni di sistema dovrebbero quindi essere permesse inizialmente. Le applicazioni non necessarie possono essere permesse in seguito tramite il Samsung Knox Service Plugin.

2. Indicazione del nome dell'azienda o della scuola.

Un codice di multi-iscrizione Relution può essere utilizzato come JSON personalizzato con Samsung KME?

La Relution 5 permette la creazione di un codice multi-iscrizione. Questo significa che qualsiasi numero di dispositivi può essere iscritto con un solo codice. L’ottimizzazione semplifica le iscrizioni di massa di Android Enterprise, ad esempio per set di classi o dispositivi in prestito nelle scuole, ma anche per le iscrizioni di dispositivi Bring Your Own Device (BYOD) con iOS.

Quando si crea un’iscrizione, il pulsante “Iscrizione multipla” deve essere attivato nel passo di configurazione “Data di scadenza e notifica”.

Il codice multi-iscrizione per un’iscrizione multipla può essere ottenuto in Relution nella vista elenco delle iscrizioni create cliccando sull’icona del codice QR per elemento di riga e nella successiva finestra di dialogo sotto “Means DPC Identifier” -> “KME Custom JSON”. Oppure nella pagina di dettaglio dell’iscrizione sotto “Informazioni sull’iscrizione” -> “KME Custom JSON”. Il JSON personalizzato può essere convenientemente copiato qui per un ulteriore utilizzo nel Samsung Knox Portal.

L’iscrizione automatica dei dispositivi Samsung Knox Mobile Enrollment (KME) che eseguono Android Enterprise è anche semplificata trasferendo il codice di multi-iscrizione da Relution tramite Custom JSON nel profilo MDM di Samsung KME.

A questo scopo, il JSON personalizzato viene inserito nel campo di input “Custom JSON data (according to MDM definition” nel seguente formato:

{"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"ECWSXBLUOGEHGVQVRHXL"}

Questo elimina la necessità di scansionare manualmente il codice di iscrizione di Android Enterprise dal portale Relution, automatizzando ulteriormente il processo di iscrizione.

Quali sono i vantaggi di un codice QR con configurazione WIFI per l’iscrizione al profilo KME MDM e come si può aggiungere al profilo?

Mantenendo una configurazione WIFI nel profilo MDM KME, il setup dei dispositivi può essere ottimizzato. Scannerizzando questo codice QR nel corso della configurazione dei dispositivi, la connessione al WIFI viene così stabilita automaticamente. Questo elimina la necessità di inserire manualmente la password WIFI su ogni dispositivo. Soprattutto quando si iscrivono più di 10 dispositivi, questo porta a un notevole risparmio di tempo.

Una finestra di dialogo separata appare tramite il pulsante “Add QR code”. Qui si può specificare un SSID WIFI. Inoltre, è possibile memorizzare la crittografia (sicurezza) e la password WIFI. Questa impostazione è disponibile solo per i dispositivi con il sistema operativo Android 10 e superiore.

Nota: quando si mantiene la configurazione WIFI nel profilo MDM KME, è possibile attivare un’ulteriore casella di controllo in modo che i dispositivi vengano successivamente aggiunti nel programma KME durante la configurazione e assegnati automaticamente al profilo MDM. Questo è necessario solo se i dispositivi non sono stati acquistati da un rivenditore autorizzato o non sono stati aggiunti automaticamente nel KME.

Dopo che le impostazioni sono state salvate e il profilo MDM è stato creato, un codice QR viene creato automaticamente nel portale KME per il profilo MDM. Questo contiene anche le informazioni di configurazione WIFI.

Come si può assegnare un profilo MDM a un dispositivo nel portale KME?

I profili MDM possono anche essere assegnati manualmente ai dispositivi nel portale KME. Questo è necessario, per esempio, se non è stato creato un codice QR per la configurazione del dispositivo nelle impostazioni del profilo Android Enterprise o se il sistema operativo dei dispositivi è più vecchio di Android 10 e quindi non è compatibile con il codice QR.

Quali sono i presupposti per l’iscrizione automatica dei dispositivi Samsung Knox con Android Enterprise in Relution?

È necessario assicurarsi che la rispettiva organizzazione in Relution, in cui è iscritto il dispositivo Samsung Knox, sia collegata a un’organizzazione Google. Le istruzioni per il collegamento sono descritte in Insight Impostazione Android Enterprise in Relution.

Successivamente, è necessario creare un’iscrizione Android Enterprise “Managed device” con le seguenti impostazioni in Relution sotto “Devices -> Enrollments” per ogni dispositivo Samsung Knox:

1. Piattaforma: Android

2. Tipo: Dispositivo gestito

3. Proprietà: Dispositivo aziendale (COD).

4. Opzionalmente, può essere definito nell'iscrizione se un codice di accesso o un modello deve essere definito sul dispositivo nel corso della messa in funzione.

Come vengono iscritti automaticamente i dispositivi Samsung Knox tramite KME?

I seguenti passi sono necessari per l’avvio iniziale dei dispositivi Samsung Knox:

1. Proprio all'inizio, puoi passare alla procedura guidata di configurazione di KME sul dispositivo. Per fare questo, un segno "+" deve essere fisicamente "disegnato" con il dito sulla schermata iniziale "Let's go" sul dispositivo.

2. La procedura guidata offre varie opzioni. Da un lato, il setup può essere fatto via Bluetooth e WiFi Direct con un altro dispositivo su cui è stata impostata l'applicazione Samsung Knox Deployment. Oppure, il comodo setup consigliato tramite codice QR può essere eseguito per i dispositivi con Android 10 o superiore.

Nota: viene scansionato il codice QR generato nel portale KME per il profilo MDM (vedi sopra) e non viene utilizzato il codice QR di iscrizione di Relution. È importante notare che il codice QR del profilo MDM può essere utilizzato per qualsiasi numero di dispositivi. Solo se sono stati creati diversi profili MDM, ad esempio con diverse configurazioni WIFI, è necessario assicurarsi che durante la scansione venga utilizzato il codice QR corretto.

3. Dopo l'avvio, vengono eseguite diverse configurazioni sul dispositivo, alcune delle quali devono essere confermate manualmente. Per esempio, viene stabilita la connessione WIFI, il profilo MDM dal portale KME viene caricato sul dispositivo, e poi viene preparata l'iscrizione per Android Enterprise. Se si utilizza la procedura guidata standard di configurazione di Android invece della procedura guidata di configurazione di KME, la procedura guidata di configurazione di KME viene attivata automaticamente dopo aver stabilito una connessione WIFI nella finestra di dialogo di configurazione standard di Android. Il profilo MDM assegnato al dispositivo nel portale KME viene quindi caricato e le altre fasi di configurazione vengono attivate automaticamente.

4. Nel corso dell'ulteriore processo di iscrizione, il dispositivo viene quindi associato al sistema MDM. A questo scopo, il codice QR di iscrizione di Relution è necessario per completare l'iscrizione. È importante notare che per ogni singolo dispositivo deve essere utilizzato un codice QR individuale da un'iscrizione creata separatamente in Relution.

Nota: se un codice multi-iscrizione è stato creato in Relution, può essere utilizzato per più dispositivi. Inoltre, questo passo viene saltato automaticamente se nel profilo MDM di KME è stato mantenuto un JSON personalizzato con il codice di multi-iscrizione.

5. A seconda della configurazione dell'iscrizione in Relution, è necessario definire un codice di accesso o un modello. Se non si desidera una protezione separata del dispositivo nell'iscrizione, questo passo di configurazione viene saltato.

6. Se durante l'iscrizione è stata assegnata una policy (predefinita) al dispositivo, in cui sono assegnate anche app gestite per l'installazione automatica o altre configurazioni, queste vengono applicate automaticamente al dispositivo.

Altri link

» https://docs.samsungknox.com/admin/knox-mobile-enrollment/welcome.htm
» https://docs.samsungknox.com/admin/knox-configure/about-kda.htm
» https://docs.samsungknox.com/admin/knox-mobile-enrollment/create-profiles.htm
» https://www.samsungknox.com/de/blog/qr-code-enrollment-for-android-10-devices