Workspace ONE UEM con tecnología AirWatch le proporciona un conjunto de soluciones robustas de administración móvil para la inscripción, la protección, la configuración y la administración de su implementación de dispositivos Android. A través de Workspace ONE UEM console, tiene varias herramientas y funciones a su disposición para la administración de todo el ciclo de vida de los dispositivos personales y corporativos.

En la guía se explica cómo integrar Workspace ONE UEM como Administrador de movilidad empresarial (EMM) con los dispositivos Android.

Términos clave para Android

Estos términos clave asociados a Android le ayudarán a comprender cómo configurar e implementar los ajustes para los usuarios.

  • Perfil de trabajo: el modo Perfil de trabajo, también conocido como Propietario del perfil, crea un contenedor dedicado en el dispositivo únicamente para el contenido y las aplicaciones empresariales. El modo Perfil de trabajo permite a las organizaciones administrar los datos y las aplicaciones empresariales, pero no tiene acceso a aplicaciones y datos personales del usuario. Las aplicaciones Android se indican con un icono de maletín para distinguirlas de las aplicaciones personales.
  • Dispositivo administrado de trabajo: el modo Dispositivo administrado de trabajo, también conocido como Propietario del dispositivo o modo Totalmente administrado, abarca el dispositivo completo. No hay ningún apartado personal en el dispositivo y las políticas insertadas desde Workspace ONE Intelligent Hub se aplican a todo el dispositivo. El modo Dispositivo administrado de trabajo se aplica a un dispositivo que se inicia en un estado no aprovisionado y, a través de un proceso independiente de aprovisionamiento, instala y otorga a Workspace ONE Intelligent Hub el control completo de todo el dispositivo.
  • Corporativo habilitado de forma personal (COPE): se refiere a los dispositivos que son propiedad de la empresa, similares al dispositivo administrado de trabajo, pero se aprovisiona con un perfil de trabajo que aprovecha el uso personal y corporativo.
  • Cuenta de Google administrada: se refiere a la cuenta de Google registrada en el dispositivo utilizado para Android y ofrece la administración de aplicaciones de Android a través de Google Play. Esta cuenta está administrada por el dominio que administra su configuración de Android.
  • Cuenta de Google Play administrada: para las organizaciones que desean configurar Android, pero no tienen cuentas de G Suite ni cuentas de Google administradas.
  • Cuenta de servicio de Google: la cuenta de servicio de Google es una cuenta de Google especial que utilizan las aplicaciones para acceder a las API de Google recomendadas para clientes de G Suite.
  • Token de EMM: ID único que utiliza Workspace ONE UEM para conectar Workspace ONE UEM console a la cuenta de Google administrada.
  • Dominio de Google administrado: dominio que se reclama para habilitar el Android asociado a su empresa.
  • Configuración de dominio de Google: proceso de Google para reclamar un dominio de Google administrado.
  • AirWatch Relay: la aplicación de Workspace ONE UEM que utilizan los administradores para inscribir en masa dispositivos Android en Workspace ONE UEM.
  • Bump de NFC: tecnología de comunicación que permite que los dispositivos intercambien información al colocarlos al lado unos de otros, lo que se conoce como un "bump". Se realiza al utilizar la aplicación AirWatch Relay para pasar información del dispositivo primario al dispositivo secundario.
  • AOSP/Red cerrada: el proyecto de código abierto de Android (Android Open Source Project, AOSP) o Red cerrada se refiere a dispositivos Android sin servicios móviles de Google (GMS) y entornos de Console sin acceso a Google.
  • Inscripción basada en el usuario y en el dispositivo: seleccione si la cuenta de Google en el dispositivo estará vinculada a cada sesión de inscripción (basada en el dispositivo) o a cada cuenta de usuario de inscripción (basada en el usuario).
  • Implementación progresiva: la implementación progresiva le permite seguir utilizando la implementación actual del dispositivo a medida que realiza la transición de Android (heredado) a Android Enterprise. Todas las implementaciones de dispositivos nuevas pueden estar inscritas en Android Enterprise y administrarse con dispositivos más antiguos.

Requisitos para usar Android con Workspace ONE UEM

Antes de implementar dispositivos Android, debe tener en cuenta los siguientes requisitos previos, requisitos para la inscripción, materiales complementarios y sugerencias útiles del equipo de Workspace ONE UEM.

Sistemas operativos compatibles

Android 5.X.X (Lollipop)

Android 6.X.X

Android 7.X.X

Android 8.X.X

Android 9.X.X

Aviso: LG Service Application ya no es compatible con los dispositivos LG que ejecutan Android 9 y versiones posteriores con implementaciones de Android (heredado). Si utiliza dispositivos LG con Android 9 o posterior mediante el método de inscripción de Android (heredado), debería considerar la posibilidad de migrar a Android Enterprise.

Android 10.X.X

Android 11.X.X

Aviso: Los clientes podrán acceder a un conjunto de funciones de privacidad actualizadas cuando se actualice un dispositivo de inscripción COPE de Android 10 a Android 11. En Descripción de los modos de dispositivos Android encontrará un resumen de las funciones clave y la funcionalidad de los dispositivos COPE.

Aviso: Si su organización requiere más tiempo para completar las pruebas, existen dos opciones para retrasar la actualización de los dispositivos a Android 11. Consulte Administrar actualizaciones de sistema para dispositivos Android.

Si los dispositivos no admiten la integración de Google Play EMM, consulte la implementación de Android (heredado) o use una configuración de AOSP/Red cerrada.

Para obtener más información sobre AOSP/Red cerrada, consulte Descripción de los modos de dispositivos Android.

Android Go no es compatible con Workspace ONE UEM.

Requisitos de red para Android

Los dispositivos de los usuarios finales deben poder comunicarse con ciertos endpoints para acceder a las aplicaciones y los servicios. Los requisitos de red para Android son una lista de endpoints conocidos para las versiones actuales y anteriores de las API de administración empresarial.

A fin de alcanzar correctamente todos los endpoints, se necesita una conexión directa. Si los dispositivos están conectados detrás de un proxy, no se puede establecer comunicación directa y se produce un error en ciertas funciones.

Host de destino Puertos Fin
play.google.com,android.com,google-analytics.com, *.googleusercontent.com,*gstatic.com,*gvt1.com*, *ggpht.com,dl.google.com,dl-ssl.google.com, android.clients.google.com,*gvt2.com,*gvt3.com TCP/443TCP, UDP/5228-5230 Google Play y updatesgstatic.com,* googleusercontent.com: contiene contenido generado por el usuario (por ejemplo, iconos de aplicaciones en la tienda)*gvt1.com, *.ggpht, dl.google.com,dl-ssl.google.com,android.clients.google.com: descarga de aplicaciones y actualizaciones, API de PlayStore, gvt2.com y gvt3.com se usan para reproducción, conectividad, supervisión y diagnóstico.
*.googleapis.com TCP/443 EMM/API de Google/API de PlayStore
accounts.google.com, accounts.google.[country] TCP/443 Autenticación para accounts.google.[country]. Use el dominio local de nivel superior para [country]. Por ejemplo, para Australia, utilice accounts.google.com.au y, para Reino Unido, use accounts.google.co.uk.
fcm.googleapis.com, fcm-xmpp.googleapis.com TCP/443, 5228-5230 Firebase Cloud Messaging (por ejemplo, Buscar mi dispositivo, EMM Console <-> comunicación DPC, como la inserción de configuraciones)
pki.google.com, clients1.google.com TCP/443 Búsqueda en la lista de revocación de certificados de certificados emitidos por Google
clients2.google.com, clients3.google.com. clients4.google.com, clients5.google.com, clients6.google.com TCP/443 Dominios compartidos por varios servicios de back-end de Google, como informes de bloqueo, sincronización de marcadores de Chrome, sincronización de hora (tlsdate) y muchos otros.
omahaproxy.appspot.com TCP/443 Actualizaciones de Chrome
android.clients.google.com TCP/443 URL de descarga de CloudDPC utilizada en el aprovisionamiento de NFC
connectivitycheck.android.com, www.google.com TCP/443 La prueba de conectividad anterior a la prueba de conectividad de Android CloudDPC v470 que empieza con N MR1 requiere que el acceso a https://www.google.com/generate _204 esté disponible o que la red Wi-Fi proporcionada apunte a un archivo PAC al que se pueda acceder. También se requiere para dispositivos AOSP que ejecuten Android 7.0 o una versión posterior.

| |www.google.com, www.google.com/generate_204| |Dispositivos AOSP que ejecutan Android 7.0 o versiones posteriores|

Reglas del firewall para las consolas

Si la consola de EMM se encuentra ubicada a nivel local, será necesario que se pueda acceder a los destinos que aparecen a continuación desde la red para crear una empresa de Google Play administrada y para acceder al iFrame de Google Play administrado.

Estos requisitos reflejan los requisitos actuales de Google Cloud y están sujetos a cambios.

Host de destino Puertos Fin
play.google.com, www.google.com TCP/443 Nueva inscripción en Play Enterprise, Google Play Store
fonts.googleapis.com*, .gstatic.com TCP/443 iFrame JS, fuentes de Google, contenido generado por el usuario (por ejemplo, iconos de aplicaciones en la tienda)
accounts.youtube.com, accounts.google.com, accounts.google.com.* TCP/443 Autenticación de cuenta, authdomains de cuenta específicos del país
apis.google.com, ajax.googleapis.com TCP/443 GCM, otros servicios web de Google e iFrame JS
clients1.google.com, payments.google.com, google.com TCP/443 Aprobación de aplicaciones
ogs.google.com TCP/443 elementos de interfaz de usuario de iFrame
notifications.google.com TCP/443 Notificaciones de escritorio/móvil

Requisitos de inscripción

En la implementación de dispositivos Android en su organización, cada dispositivo tiene que estar inscrito para poder comunicarse con Workspace ONE UEM y tener acceso al contenido y las funciones internas. La siguiente información es necesaria para poder inscribir un dispositivo Android.

Si hay un dominio de correo electrónico asociado al entorno. Si utiliza la detección automática:

  • Dirección de correo electrónico: este es el correo electrónico asociado a la organización. Por ejemplo, JohnDoe@acme.com.
  • Credenciales: esta combinación de nombre de usuario y contraseña le permite tener acceso a su entorno de Workspace ONE UEM. Estas credenciales pueden ser las mismas que las de sus servicios de directorio de red o pueden definirse en exclusiva en Workspace ONE UEM console.

Si hay un dominio de correo electrónico no asociado al entorno. Si no utiliza la detección automática:

Si un dominio no está asociado con su entorno, se le pedirá igualmente que introduzca su dirección de correo electrónico. Dado que la detección automática no está habilitada, se le pedirá la siguiente información:

  • ID de grupo: el ID de grupo asocia su dispositivo a su rol corporativo, y está definido en Workspace ONE UEM console.
  • Credenciales: la combinación única del nombre de usuario y la contraseña le permite acceder a su entorno de AirWatch. Estas credenciales pueden ser las mismas que las de sus servicios de directorio de red o pueden definirse en exclusiva en Workspace ONE UEM console.

Para descargar Workspace ONE Intelligent Hub y, posteriormente, inscribir un dispositivo Android, debe completar uno de los siguientes pasos:

  • Vaya a https://www.getwsone.com y siga las indicaciones.
  • Descargue Workspace ONE Intelligent Hub desde la tienda Google Play.

Restricciones de inscripción para Android

Las restricciones de inscripción le permiten aprovisionar la inscripción, por ejemplo, al restringir las inscripciones a usuarios conocidos, grupos de usuarios y varios dispositivos inscritos permitidos.

Estas opciones están disponibles si accede a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > General > Inscripción. Además, seleccionando la pestaña Restricciones podrá personalizar las políticas de restricción de inscripción por grupo organizativo y funciones de grupo de usuarios.

Puede crear restricciones de inscripción basadas en:

  • El fabricante y el modelo de Android para garantizar que solo los dispositivos aprobados se inscriban en Workspace ONE UEM. Cuando se inscribe un dispositivo Android, los criterios de restricción de inscripción y grupo inteligente se actualizan para incluir la nueva marca y el modelo del dispositivo.

    Aviso: Algunos dispositivos están fabricados por otros proveedores. Puede crear una política con el fabricante real del dispositivo para que las políticas surtan efecto. A continuación, se enumeran algunas maneras de identificar la fabricación del dispositivo:

    • Desplácese hasta la página Acerca de en los ajustes del dispositivo.
    • Con un comando adb: adb shell getprop | grep "manufacturer".
  • Dispositivos incluidos en listas de admitidos y bloqueados por UDID, IMEI y número de serie.

    Aviso: Al inscribir dispositivos con Android 10 o versiones posteriores en el modo de Perfil de trabajo, los dispositivos se mantienen en un estado pendiente hasta que UEM Console pueda recuperar el IMEI o número de serie de los dispositivos para ver si están en la lista de admitidos o de bloqueados. Hasta que esto se compruebe, el dispositivo no se inscribirá totalmente ni se enviará ningún dato de trabajo hasta que se complete la inscripción.

Descripción de los modos de dispositivo Android

Las características de administración integradas de Android permiten a los administradores de TI administrar los dispositivos que se utilizan exclusivamente para trabajo.

Android ofrece varios modos según el tipo de propiedad del dispositivo que se utilice dentro de su organización:

  • Perfil de trabajo: Crea un espacio dedicado en el dispositivo únicamente para aplicaciones y datos de trabajo. Se trata de la implementación ideal para aplicaciones del "programa de uso de dispositivos personales" (BYOD).
  • Dispositivo administrado de trabajo: Permite a Workspace ONE UEM y a los administradores de TI controlar todo el dispositivo y aplicar un amplio rango de controles de directivas no disponibles para los perfiles de trabajo, pero restringe el dispositivo a un uso corporativo únicamente
    • Dispositivo corporativo habilitado de forma personal: Se refiere a los dispositivos que son propiedad de la empresa. Se trata de algo similar al dispositivo administrado de trabajo, pero se aprovisiona con un perfil de trabajo para uso personal y corporativo.
    • Dispositivo administrado de trabajo sin servicios de Google Play: Si utiliza Workspace ONE UEM en dispositivos del proyecto de código abierto de Android (Android Open Source Project, AOSP), dispositivos que no sean de GMS o con redes cerradas dentro de su organización, puede inscribir sus dispositivos con Android mediante el flujo de inscripción de dispositivos administrados de trabajo sin servicios de Google Play

Funcionalidad del modo Perfil de trabajo

Las aplicaciones del Perfil de trabajo diferenciadas por un icono de maletín rojo se denominan aplicaciones distintivas, y se muestran en un iniciador unificado con las aplicaciones personales del usuario. Por ejemplo, el dispositivo muestra un icono personal para Google Chrome y un icono independiente para Chrome de trabajo, que se indican con el distintivo. Desde la perspectiva del usuario final, parece que son dos aplicaciones diferentes, pero la aplicación solo se instala una vez con los datos empresariales almacenados independientemente de los datos personales.

Workspace ONE Intelligent Hub se encuentra identificado y existe solo dentro del espacio de los datos del perfil de trabajo. No hay ningún tipo de control sobre las aplicaciones personales y Workspace ONE Intelligent Hub no tiene acceso a la información personal.

Hay una serie de aplicaciones del sistema que se incluyen con el Perfil de trabajo de forma predeterminada como Chrome de trabajo, Google Play, ajustes de Google, Contactos y Cámara, que se pueden ocultar utilizando un perfil de restricciones.

Ciertos ajustes muestran la separación entre las configuraciones personal y de trabajo. Los usuarios ven configuraciones independientes para los siguientes ajustes:

  • Credenciales: ver certificados corporativos para la autenticación del usuario en los dispositivos administrados.
  • Cuentas: ver la cuenta de Google administrada unida al Perfil de trabajo.
  • Aplicaciones: enumera todas las aplicaciones instaladas en el dispositivo.
  • Seguridad: muestra el estado de cifrado del dispositivo.

Funcionalidad del modo Dispositivo administrado de trabajo

Cuando se inscriben los dispositivos en el modo Dispositivo administrado de trabajo, se crea un modo integral de propiedad corporativa. Workspace ONE UEM controla todo el dispositivo y no hay separación de datos personales y de trabajo.

Hay ciertos factores importantes que cabe tener en cuenta para el modo administrado de trabajo:

  • La pantalla principal no muestra aplicaciones distintivas como el modo Perfil de trabajo.
  • Los usuarios tienen acceso a diferentes aplicaciones previamente cargadas al realizar la activación del dispositivo. Las aplicaciones adicionales solo se pueden aprobar y agregar a través de Workspace ONE UEM console.
  • Workspace ONE Intelligent Hub está establecido como el administrador del dispositivo en los ajustes de seguridad y no se puede deshabilitar.
  • Si se cancela la inscripción del dispositivo desde el modo de tareas administradas de trabajo, se iniciará el restablecimiento de fábrica del dispositivo.

Dispositivo administrado de trabajo sin servicios de Google Play

Si utiliza Workspace ONE UEM en dispositivos del proyecto de código abierto de Android (Android Open Source Project, AOSP), dispositivos que no sean de GMS o con redes cerradas dentro de su organización, puede inscribir sus dispositivos con Android mediante el flujo de inscripción de dispositivos administrados de trabajo sin servicios de Google Play. Puede alojar aplicaciones en la intranet de su organización y utilizar métodos de inscripción específicos de OEM para la implementación.

Deberá especificar en la consola de UEM que está utilizando AOSP/Red cerrada durante el registro de EMM para Android.

Aspectos que se deben tener en cuenta al utilizar un dispositivo administrado de trabajo sin servicios de Google Play en implementaciones de AOSP/Red cerrada:

  • Si ya configuró Android en un grupo organizativo superior y desea implementar AOSP/Red cerrada solo en un grupo organizativo secundario específico, el administrador de la consola de UEM tiene una opción para especificar que las inscripciones listas para usar en el grupo organizativo secundario no tengan una cuenta gestionada de Google. Para obtener más información, consulte Ajustes de inscripción en el registro de EMM para Android.
  • Si va a implementar dispositivos mediante Workspace ONE UEM 1907 y versiones anteriores, no es necesario llevar a cabo la configuración de UEM Console.
  • Si va a implementar dispositivos mediante Workspace ONE UEM 1908 y versiones posteriores, debe configurar los ajustes en la página de registro de EMM para Android.
  • Los métodos de inscripción admitidos son los siguientes:
    • Código QR
    • StageNow para dispositivos Zebra
    • Honeywell Enterprise Provisioner para dispositivos Honeywell
  • La inscripción a través del identificador de Workspace ONE Intelligent Hub no es compatible con los dispositivos del AOSP.
  • No se admite el perfil de actualización automática pública. Este perfil se aplica específicamente a las aplicaciones públicas y no funciona en los dispositivos del AOSP o redes cerradas.
  • No se admite el perfil de protección de restablecimiento de fábrica.
  • Las aplicaciones internas (alojadas en Workspace ONE UEM Console) se implementarán silenciosamente en los dispositivos del AOSP/Red cerrada.
  • Los dispositivos administrados para el trabajo inscritos sin una cuenta gestionada de Google no deben asignarse a ninguna aplicación pública y no deben tenerse en cuenta en el recuento de dispositivos de asignación de aplicaciones públicas.
  • Versión de SO y requisitos de OEM para el Dispositivo administrado de trabajo sin servicios de Google Play:
    • AOSP (no GMS)
    • Zebra y Honeywell: debe ser una versión de SO que admita la inscripción de StageNow o de Honeywell Enterprise Provisioner.
    • Otros OEM: no son compatibles a menos que el OEM desarrolle compatibilidad para el mismo a través de un cliente como StageNow o permitiendo que los usuarios accedan a la inscripción del código QR.
    • Red cerrada
    • Zebra y Honeywell: Android 7.0 y versiones posteriores, o deben ejecutarse en una versión de sistema operativo que admita la inscripción de StageNow (también 7.0 o posterior) o Honeywell Enterprise Provisioner.
    • Otros OEM: Android 7.0 o versiones posteriores, ya que la inscripción del código QR es el único método admitido.
  • Cuando se configura un dispositivo administrado de trabajo sin servicios de Google Play, Workspace ONE Intelligent Hub debe configurarse para utilizar AWCM en lugar de Firebase Cloud Messaging. Sin esta actualización, los dispositivos no recibirán notificaciones mediante push desde Console.

Modo Dispositivo corporativo habilitado de forma personal (COPE)

Cuando los dispositivos se inscriben utilizando el modo COPE el usuario sigue teniendo control sobre todo el dispositivo. La capacidad única del modo COPE es que permite aplicar dos conjuntos de directivas distintos, como las restricciones, para el dispositivo y dentro de un perfil de trabajo.

El modo COPE solo está disponible en dispositivos Android 8.0 +. Si inscribe dispositivos Android de una versión anterior a Android 8.0, el dispositivo se inscribe automáticamente como Dispositivo completamente administrado.

Existen algunas advertencias a tener en cuenta al inscribir los dispositivos en modo COPE:

  • Para las nuevas inscripciones con Android 11 se debe utilizar Workspace ONE Intelligent Hub 20.08 para Android y Workspace ONE UEM Console 2008. Para obtener información específica, consulte Cambios en el dispositivo corporativo habilitado personalmente (COPE) en Android 11.

  • El cifrado con PIN y el inicio de sesión único de Workspace ONE UEM mediante SDK no son compatibles con los dispositivos corporativos habilitados de forma personal. Se puede aplicar un código de acceso de trabajo para garantizar que el uso de aplicaciones de trabajo requiere el uso de un código de acceso.

  • La inscripción preparada para dispositivos de un usuario único y la inscripción preparada para dispositivos de múltiples usuarios no se admiten para las inscripciones COPE.

  • Las aplicaciones internas (alojadas en Workspace ONE UEM) y las aplicaciones públicas implementadas en los dispositivos COPE se muestran en el catálogo de la aplicación en el perfil de trabajo.

  • De forma similar a las inscripciones que son solo de perfil de trabajo, los dispositivos corporativos habilitados de forma personal proporcionan a los usuarios la opción para inhabilitar el perfil de trabajo (por ejemplo, si el usuario está de vacaciones). Cuando se inhabilita el perfil de trabajo, las aplicaciones de trabajo ya no presentan notificaciones y no se pueden iniciar. El estado (habilitado o inhabilitado) del perfil de trabajo se presenta al administrador en la página de detalles del dispositivo. Cuando el perfil de trabajo está inhabilitado, la información más reciente de la aplicación y del perfil no puede recuperarse desde el perfil de trabajo.

  • Workspace ONE Intelligent Hub ya existe en las secciones del perfil totalmente administrado y de trabajo del dispositivo corporativo habilitado de forma personal. Al existir tanto dentro como fuera del perfil de trabajo, las políticas de administración se pueden aplicar al perfil de trabajo y a todo el dispositivo. Sin embargo, Workspace ONE Intelligent Hub solo está visible en el perfil de trabajo.

  • Cuando se envían notificaciones mediante push al dispositivo, el Workspace ONE Intelligent Hub que se encuentra fuera del perfil de trabajo está disponible temporalmente para que el usuario vea los mensajes, garantizando que los mensajes importantes lleguen al usuario, incluso si el perfil de trabajo está inhabilitado temporalmente.

  • Los perfiles asignados pueden verse a través de Workspace ONE Intelligent Hub en el perfil de trabajo.

  • Las políticas de conformidad para la administración de aplicaciones (como bloquear/eliminar aplicaciones) solo se admiten para las aplicaciones que están dentro del perfil de trabajo. Las aplicaciones pueden estar en la lista negra en el dispositivo (fuera del perfil de trabajo) utilizando perfiles de control de aplicaciones.

  • Una eliminación empresarial realizará un restablecimiento de fábrica a los dispositivos corporativos habilitados de forma personal.

  • No se admite el aprovisionamiento de productos en las inscripciones COPE.

  • Cambios específicos en Android 11:

    • Las aplicaciones internas (alojadas en Workspace ONE UEM) ya no se pueden insertar en la parte personal del dispositivo. Las aplicaciones internas (tales como aplicaciones privadas) y las aplicaciones públicas deben implementarse solo en el perfil de trabajo.
    • Cualquier otra funcionalidad, como las reglas de conformidad que dependen de las aplicaciones internas, también dejará de ser compatible.
    • Ya no se admite el método de inscripción afw#hub.
    • Considere la posibilidad de usar el código QR o la inscripción automatizada en su lugar.
    • Si su organización requiere más tiempo para completar las pruebas, existen dos opciones para retrasar la actualización de los dispositivos a Android 11. Para obtener información específica, consulte Cambios en el dispositivo corporativo habilitado personalmente (COPE) en Android 11.
check-circle-line exclamation-circle-line close-line
Scroll to top icon