Samsung KME con Android Enterprise

Perché avete bisogno di Samsung Knox Mobile Enrollment (KME)?

Con KME, i dispositivi Samsung possono essere preparati in modo rapido e semplice per la gestione in un Mobile Device Management (MDM) system. L'iscrizione dei dispositivi di proprietà dell'azienda, dell'amministrazione o della scuola può quindi essere effettuata rapidamente senza dover iscrivere manualmente ogni singolo dispositivo. Ciò si traduce in un enorme risparmio di tempo, soprattutto quando si ha a che fare con un numero elevato di dispositivi. La configurazione dei dispositivi viene avviata automaticamente non appena questi vengono messi in funzione e viene stabilita una connessione a Internet. Anche se i dispositivi registrati nel programma KME vengono resettati, si iscrivono automaticamente al sistema MDM utilizzato. Il programma KME offre quindi funzioni simili al Device Enrollment Program (DEP) di Apple.

Quali sono i requisiti per utilizzare KME?

Innanzitutto, Relution deve essere impostato per utilizzare Android Enterprise. Le singole fasi sono descritte in Insight Android Enterprise setup. I dispositivi Samsung possono essere registrati nel programma KME dai rivenditori autorizzati con il numero di serie. Se i dispositivi non sono stati acquistati da un rivenditore autorizzato, Samsung offre anche la possibilità di aggiungere manualmente i dispositivi al programma KME in un secondo momento. A tale scopo, è necessario scansionare uno speciale codice QR durante la configurazione del dispositivo oppure utilizzare la Knox Mobile Deployment App che può essere utilizzata su un altro dispositivo Samsung per configurare un nuovo dispositivo. Il programma KME è offerto gratuitamente da Samsung dopo la registrazione.

Quali possibilità offre la combinazione con Android Enterprise?

L'iscrizione ad Android Enterprise (Device Owner) tramite KME è disponibile per tutti i dispositivi Samsung con Android 8 o superiore. È disponibile la modalità Android Enterprise "Managed Device" (Fully Managed), utilizzata esclusivamente per scopi aziendali o didattici. I vantaggi e le possibilità generali di Android Enterprise con Relution sono descritti in un approfondimento separato Android Enterprise Fully Managed & Work Profile.

Come si effettua la configurazione nel portale KME?

Dopo aver effettuato l'accesso al Samsung Knox Portal è possibile selezionare il modulo Knox Mobile Enrollment:

Il passo successivo consiste nel creare un nuovo profilo MDM nell'area "MDM Profile" tramite il pulsante "Create Profile":

Successivamente, selezionare il tipo di profilo "Android Enterprise":

Nota: Samsung KME supporta ancora il metodo di distribuzione dell'amministratore del dispositivo, che non è più compatibile con i dispositivi Android 11 e successivi. Per ulteriori informazioni, vedere Samsung KME con Android Legacy.

Quali dettagli devono essere specificati nel profilo MDM di KME per l'uso con Relution?

1. Assegnare un nome al profilo. Nel contesto scolastico, deve essere creato un profilo per ogni scuola (analogamente a come viene configurato un server MDM per scuola per Apple DEP).
2. Per l'iscrizione come dispositivo di proprietà dell'azienda, dell'amministrazione o della scuola (Managed Device), selezionare l'opzione "Force Device Owner Enrollment" in MDM Information.
3. Selezionare "Other" come sistema MDM e incollare l'APK predefinito per le iscrizioni ad Android Enterprise da Google in "MDM Agent APK":

https://play.google.com/managed/downloadManagingApp?identifier=setup

Nota: Samsung sta lavorando per garantire che Relution sia disponibile per la selezione nell'elenco dei sistemi MDM in futuro come parte della partnership Samsung New Learning.

Quali impostazioni devono essere effettuate nel profilo MDM di KME per l'uso con Relution?

1. In Impostazioni dispositivo, è possibile definire se le applicazioni di sistema sono necessarie. Se le applicazioni di sistema non sono consentite, il dispositivo è fortemente limitato. Ad esempio, non è possibile condividere contenuti come foto tramite WiFi Direct (simile ad AirDrop). Questa impostazione non può essere modificata successivamente dal server MDM. Raccomandazione: Le applicazioni di sistema dovrebbero quindi essere consentite inizialmente. Le applicazioni non necessarie possono essere autorizzate successivamente tramite il Samsung Knox Service Plugin.
2. Indicazione del nome dell'azienda o della scuola.

Un codice di iscrizione multipla Relution può essere utilizzato come JSON personalizzato con Samsung KME?

Relution 5 consente di creare un codice di iscrizione multipla. Ciò significa che un numero qualsiasi di dispositivi può essere iscritto con un unico codice. L'ottimizzazione semplifica le iscrizioni aziendali Android di massa, ad esempio per le classi o i dispositivi in prestito nelle scuole, ma anche per le iscrizioni di dispositivi Bring Your Own Device (BYOD) con iOS.

Quando si crea un'iscrizione, è necessario attivare il pulsante "Multiple enrollment" nella fase di configurazione "Expiration date & notification".

Il codice multi-iscrizione per un'iscrizione multipla può essere ottenuto in Relution nella vista elenco delle iscrizioni create facendo clic sull'icona del codice QR per ogni elemento di riga e nella successiva finestra di dialogo in "Means DPC Identifier" -> "KME Custom JSON". Oppure nella pagina di dettaglio dell'iscrizione alla voce "Informazioni sull'iscrizione" -> "KME Custom JSON". Il JSON personalizzato può essere comodamente copiato qui per un ulteriore utilizzo nel portale Samsung Knox in entrambi i luoghi.

L'iscrizione automatica dei dispositivi Samsung Knox Mobile Enrollment (KME) con Android Enterprise è semplificata anche dal trasferimento del codice di iscrizione multipla da Relution tramite Custom JSON al profilo MDM di Samsung KME.

A tal fine, il JSON personalizzato viene inserito nel campo di input "Custom JSON data" (secondo la definizione MDM) nel formato seguente:

{"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"ECWSXBLUOGEHGVQVRHXL"}

La scansione manuale del codice di iscrizione Android Enterprise dal Relution Portal non è più necessaria e l'iscrizione può essere ulteriormente automatizzata.

Quali sono i vantaggi di un codice QR con configurazione WiFi per l'iscrizione nel profilo KME MDM e come può essere aggiunto al profilo?

Mantenendo una configurazione WiFi nel profilo KME MDM, è possibile ottimizzare la configurazione dei dispositivi. La scansione del codice QR durante la configurazione del dispositivo consente di stabilire automaticamente la connessione al WiFi. In questo modo si elimina la necessità di inserire manualmente la password WiFi su ogni dispositivo. Soprattutto quando si registrano più di 10 dispositivi, questo comporta un notevole risparmio di tempo.

Tramite il pulsante "Add QR Code" viene visualizzata una finestra di dialogo separata. Qui è possibile specificare un SSID WiFi. Inoltre, è possibile memorizzare la crittografia (sicurezza) e la password WiFi. Questa impostazione è disponibile solo per i dispositivi con sistema operativo Android 10 o superiore.

Nota: quando si mantiene la configurazione WLAN nel profilo MDM di KME, è possibile attivare un'ulteriore casella di controllo in modo che i dispositivi vengano aggiunti successivamente nel programma KME nel corso della configurazione e assegnati automaticamente al profilo MDM. Questa operazione è necessaria solo se i dispositivi non sono stati acquistati da un rivenditore autorizzato o non sono stati aggiunti automaticamente nel KME.

Dopo il salvataggio delle impostazioni e la creazione del profilo MDM, nel portale KME viene automaticamente creato un codice QR per il profilo MDM. Contiene anche le informazioni sulla configurazione della WLAN.

COME SI PUÒ ASSEGNARE UN PROFILO MDM A UN DISPOSITIVO NEL PORTALE KME?

I profili MDM possono anche essere assegnati manualmente ai dispositivi nel portale KME. Ciò è necessario, ad esempio, se non è stato creato alcun codice QR per l'impostazione del dispositivo nelle impostazioni del profilo Android Enterprise o se il sistema operativo dei dispositivi è più vecchio di Android 10 e quindi non compatibile con i codici QR.

Quali sono i prerequisiti per l'iscrizione automatica dei dispositivi Samsung Knox con Android Enterprise in Relution?

È necessario assicurarsi che la rispettiva organizzazione in Relution, in cui è iscritto il dispositivo Samsung Knox, sia collegata a un'organizzazione Google. Le istruzioni per il collegamento sono descritte nella Insight Configurazione di Android Enterprise in Relution.

Successivamente, per ogni dispositivo Samsung Knox è necessario creare un'iscrizione ad Android Enterprise "Managed device" con le seguenti impostazioni in Relution alla voce "Devices -> Enrollments":

1. Piattaforma: Android Enterprise
2. Tipo: Dispositivo gestito
3. Proprietà: Dispositivo aziendale (COD).

Come vengono registrati automaticamente i dispositivi Samsung Knox tramite KME?

Per l'avvio iniziale dei dispositivi Samsung Knox sono necessari i seguenti passaggi:

1. All'inizio, è possibile passare alla configurazione guidata KME sul dispositivo. A tal fine, è necessario "drawn" fisicamente con il dito un segno "+" sulla schermata iniziale "Let's go" del dispositivo.
2. La procedura guidata offre diverse opzioni. Da un lato, la configurazione può essere effettuata tramite Bluetooth e WiFi Direct con un altro dispositivo su cui è stata impostata l'app Samsung Knox Deployment. In alternativa, per i dispositivi con Android 10 o superiore è possibile eseguire la comoda configurazione tramite codice QR.

Nota: Viene scansionato il codice QR generato nel portale KME per il profilo MDM (vedi sopra) e non viene utilizzato il codice QR di iscrizione di Relution. È importante notare che il codice QR del profilo MDM può essere utilizzato per qualsiasi numero di dispositivi. Solo se sono stati creati più profili MDM, ad esempio con diverse configurazioni WIFI, è necessario assicurarsi che durante la scansione venga utilizzato il codice QR corretto.

3. Dopo l'avvio, sul dispositivo vengono eseguite diverse configurazioni, alcune delle quali devono essere confermate manualmente. Ad esempio, si stabilisce la connessione WiFi, si carica sul dispositivo il profilo MDM dal portale KME e si prepara l'iscrizione ad Android Enterprise. Se si utilizza l'assistente di configurazione Android standard invece dell'assistente di configurazione KME, l'assistente di configurazione KME viene attivato automaticamente dopo che è stata stabilita una connessione WiFi nella finestra di configurazione Android standard. Il profilo MDM assegnato al dispositivo nel portale KME viene quindi caricato e le altre fasi di configurazione vengono attivate automaticamente.

4. Nel corso del processo di iscrizione, il dispositivo viene associato al sistema MDM. A questo scopo, per completare l'iscrizione è necessario il codice QR di iscrizione di Relution. È importante notare che per ogni singolo dispositivo deve essere utilizzato un codice QR individuale proveniente da un'iscrizione creata separatamente in Relution.

Nota: Se in Relution è stato creato un codice di iscrizione multipla, questo può essere utilizzato per più dispositivi. Inoltre, questo passaggio viene saltato automaticamente se nel profilo MDM di KME è stato mantenuto un JSON personalizzato con il codice di iscrizione multipla.

5. A seconda della configurazione dell'iscrizione in Relution, è necessario definire un codice di accesso o un modello. Se nell'iscrizione non si desidera una protezione separata del dispositivo, questa fase di impostazione viene saltata.
6. Se al dispositivo è stato assegnato un criterio (predefinito) durante l'iscrizione, in cui sono state assegnate anche app gestite per l'installazione automatica o altre configurazioni, queste vengono applicate automaticamente al dispositivo.

Link correlati

• Iscrizione a Knox Mobile
• App di distribuzione Samsung Knox
• Configurazione del profilo
• Iscrizione con codice QR (per dispositivi Android 10).