Cómo registrar Android con Workspace ONE UEM

Para empezar a administrar los dispositivos Android, deberá registrar Workspace ONE UEM como su proveedor de administración de movilidad empresarial (EMM) con Google. La página de Primeros pasos de Workspace ONE UEM console proporciona una solución paso a paso para ayudar a configurar las herramientas de administración empresarial necesarias para proteger y administrar su flota de dispositivos.

Existen dos métodos para completar el registro de Android Enterprise. El método recomendado ahora es utilizar una empresa con dominio de Google gestionado. Con una empresa con dominio de Google gestionado, Google enlaza los dispositivos Android Enterprise al dominio de su organización. Debe proporcionar el dominio de su organización en el asistente de configuración del registro de EMM de Android. Si el dominio aún no se registró en Google Workspace, se le pedirá que proporcione información adicional sobre su organización a Google. La verificación de su dominio en la consola de administración de Google después de completar el registro de EMM de Android permite que el dominio se utilice con otros servicios empresariales de Google. Si su organización ya se registró en Google Workspace con este dominio, solo se le pedirá que inicie sesión con su cuenta de Google empresarial. Se pueden vincular varias empresas con dominio de Google gestionado a un solo dominio. Por lo tanto, puede completar el registro de EMM de Android con el mismo dominio en varios entornos de Workspace ONE UEM.

Ahora, Google recomienda completar el registro de EMM de Android con una empresa con Google Play administrado solo en casos perimetrales en los que no se pueda utilizar una empresa con dominio de Google gestionado. Cuando se utiliza una empresa con Google Play administrado, se enlazan los dispositivos de su organización a una empresa administrada por una cuenta de GMail. Las organizaciones que anteriormente completaron el registro de EMM de Android con este método aún podrán volver a establecer el enlace entre Workspace ONE UEM y las empresas con Google Play administrado existentes.

Importante: Después de completar el registro con una empresa con Google Play administrado, se recomienda encarecidamente agregar cuentas de GMail adicionales como administradores. Esto favorece la continuidad de la administración de su empresa en caso de que la cuenta principal se vuelva inactiva. Para obtener más información, consulte Asignar funciones en empresas. Además, no elimine la organización asociada a su empresa con Google Play administrado. Si la elimina, puede perderse la funcionalidad de administración de los dispositivos Android.

La cuenta de servicio de Google es una cuenta de Google especial que Workspace ONE UEM utiliza para acceder a las API de Google y es necesaria al configurar Android mediante el método heredado de creación de empresas con dominio de Google gestionado. De lo contrario, las credenciales de la cuenta de servicio de Google se rellenan automáticamente después de completar el asistente de configuración del registro de EMM de Android.

Importante: La configuración de Android incluye la integración con herramientas de terceros que no están administradas por VMware. La información que aparece en esta guía para la consola de administración de Google y la consola de desarrolladores de Google se ha documentado con la versión disponible a fecha de marzo de 2024. No se garantiza la integración con productos de terceros, y la implementación depende del funcionamiento correcto de dichas soluciones de terceros.

Registro con una empresa con dominio de Google gestionado

Para configurar Android Enterprise con una nueva empresa con dominio de Google gestionado, seleccione Registrar con Google en la página Primeros pasos o Configuración de registro de EMM de Android. Esta acción inicia un asistente de registro de Google y es el método recomendado para nuevas organizaciones. Hay disponible un flujo de registro alternativo que permite a las organizaciones proporcionar manualmente tokens empresariales, cuentas de servicio y otros detalles. Este método no se recomienda para las organizaciones que configuran Android en un nuevo entorno de Workspace ONE UEM.

Requisitos previos

Si la página de registro de EMM de Android está bloqueada, asegúrese de que seleccionó las direcciones URL de Google en su arquitectura de red para la comunicación con endpoints internos y externos.

Uso del Asistente de registro de Google (recomendado)

Workspace ONE UEM console le permite completar un proceso de configuración simplificada para enlazar la consola de UEM a Google como su proveedor de EMM.

Procedimiento

  1. Desplácese a Introducción > Workspace ONE > Registro de EMM de Android.

  2. Seleccione Configurar y se le redirigirá a la página de registro de EMM de Android.

  3. Seleccione Registrar con Google. Se le redirigirá a un asistente de configuración de Google.

  4. Introduzca su dirección de correo electrónico del trabajo. Esta cuenta debe pertenecer al dominio de su organización.

  5. Complete la verificación por correo electrónico.

  6. Si el dominio no está registrado en Google Workspace, siga las indicaciones para crear su cuenta de Google empresarial y proporcionar el nombre de su organización.

  7. Permita que se establezca el enlace entre el EMM de esta organización y Workspace ONE UEM.

Se le redirigirá a la página Configuración de registro de EMM de Android en Workspace ONE UEM Console. Los detalles de su organización y la dirección de correo electrónico del administrador utilizado para crear la empresa con dominio de Google gestionado se mostrarán aquí.

Uso del Asistente de registro de Workspace ONE UEM

Para configurar su cuenta con el dominio de Google administrado es necesario que la organización configure un dominio de Google si no utiliza uno todavía. Deberá llevar a cabo varias tareas manuales, como comprobar la propiedad del dominio en Google, obtener un token de EMM y crear una cuenta de servicio de empresa para utilizar este tipo de instalación.

  1. Desplácese a Introducción > Workspace ONE > Registro de EMM de Android.

  2. Seleccione Registrar y se le redirigirá al Asistente de instalación de Android para llevar a cabo tres pasos:

    1. Generar token: Para obtener el token empresarial, registre su dominio empresarial en Google.

    2. Cargar token: Introduzca el Token de EMM en el Asistente de configuración de Android.

    3. Configurar usuarios: Configure cómo se van a crear los usuarios para toda la empresa.

  3. Seleccione Ir a Google. Se le redirige al sitio de G Suite.

  4. Registre su empresa y compruebe el dominio.

Configuración de cuenta de servicio de Google

La cuenta de servicio de Google es una cuenta de Google especial que utilizan las aplicaciones para acceder a las API de Google. Debe crear esta cuenta después de generar el token de EMM para poder cargar toda la información de una vez.

  1. Vaya a la Google Cloud Platform - consola de los desarrolladores de Google .

  2. Inicie sesión con sus credenciales de Google.

    Las credenciales de administrador de Google no tienen que estar asociadas a su dominio empresarial. Considere la opción de crear una cuenta de Google específicamente para Android para su organización, de modo que al utilizarla no entre en conflicto con ninguna cuenta de Google existente.

    Aviso: Considere la posibilidad de agregar más cuentas para que, si una cuenta queda inactiva, disponga de cuentas adicionales para iniciar sesión y acceder a su cuenta de servicio de Google.

  3. Utilice el menú desplegable del menú Seleccionar un proyecto y seleccione Nuevo proyecto.

  4. Introduzca un Nombre de proyecto para crear un proyecto de API en la ventana Nuevo proyecto. Considere el uso de EMM Android-NombreCompañía como convención de nomenclatura.

  5. Acepte los términos y condiciones y seleccione Crear.

    El proyecto se genera y la consola de los desarrolladores de Google le redirige a la página Administrador de API.

  6. Seleccione Habilitar API y servicios para Android desde el Panel de control de servicios y API.

  7. Busque y active las siguientes API: API de EMM de Google Play y SDK de administrador.

    Después de crear su proyecto y habilitar las API, cree su cuenta de servicio en la consola de desarrolladores de Google.

  8. Desplácese a API y servicios > Credenciales > Crear credenciales > Clave de cuenta de servicio > Nueva cuenta de servicio.

  9. Defina el Nombre de cuenta de servicio para su cuenta de servicio. Considere la opción de seguir la convención de nomenclatura de Android y asegúrese de anotar el nombre que elija, ya que lo necesitará en pasos siguientes. El identificador de la cuenta de servicio se genera automáticamente. Haga clic en Crear y Continuar.

  10. Utilice el menú desplegable para seleccionar Función > Proyecto como Propietario y seleccione Continuar.

  11. Puede omitir el paso 3 que se muestra para conceder acceso a la cuenta de servicio a otros usuarios. Seleccione Listo.

  12. Seleccione la cuenta de servicio creada. Vaya a la pestaña Claves y seleccione Agregar clave > Crear nueva clave. Seleccione P12 y, a continuación, Crear.

    El certificado de identidad se genera automáticamente y se descarga en la unidad local. Asegúrese de guardar el certificado de identidad y la contraseña para cuando se cargue el certificado en Workspace ONE UEM console.

  13. Seleccione Gestionar cuentas de servicio en la página Cuenta de servicio. En Configuración avanzada, se encuentra el vínculo Obtener más información sobre la delegación en todo el dominio. Siga los pasos que se indican ahí para activar la delegación en todo el dominio.

    Para delegar la autoridad en todo el dominio a una cuenta de servicio, un superadministrador del dominio de Google Workspace debe completar los siguientes pasos: 1. En la consola de administración del dominio de Google Workspace, vaya a Menú principal > Seguridad > Control de acceso y datos > Controles de API. 2. En el panel Delegación en todo el dominio, seleccione Gestionar delegación en todo el dominio. 3. Haga clic en Agregar nuevo. 4. En el campo ID de cliente, introduzca el identificador de cliente de la cuenta de servicio. Puede encontrar el identificador de cliente de la cuenta de servicio en la página Cuentas de servicio. 5. En el campo Ámbitos de OAuth (delimitado por comas), introduzca la lista de ámbitos a los que se debe conceder acceso a la aplicación: https://www.googleapis.com/auth/admin.directory.user 6. Haga clic en Autorizar.

  14. Vuelva a Configuración avanzada de la cuenta de servicio creada en la consola de administración de Google y tome nota o copie el correo electrónico y el identificador único que se muestran en los detalles de la cuenta de servicio. Los utilizará más adelante al realizar el registro de EMM de Android.

Configuración de la consola de administración de Google

La consola de administración de Google es la herramienta que utilizan los administradores para administrar los servicios de Google para los usuarios de una organización. Workspace ONE UEM utiliza la consola de administración de Google para la integración con Android y Chrome OS.

La página de Administrar el acceso del cliente de API le permite controlar el acceso de la aplicación interna personalizada y la aplicación de terceros a las API de Google compatibles (ámbitos).

  1. Inicie sesión en la consola de administración de Google y desplácese hasta Seguridad > Ajustes avanzados > Administrar el acceso de cliente de API.

  2. Rellene los siguientes datos:

    Ajustes Descripción
    Nombre del cliente Introduzca el ID de cliente generado al crear la cuenta de servicio de Google
    Uno o más ámbitos de API Copie y pegue los siguientes ámbitos de API de Google para Android: https://www.googleapis.com/auth/admin.directory.user

  3. Seleccione Autorizar.

Generar Token de EMM

El token único de EMM vincula su dominio para la administración de Android al Workspace ONE UEM activado mediante AirWatch. Se le dirige al sitio de configuración de G Suite después de seleccionar Ir a Google desde la tarea anterior para comenzar.

Los pasos que se describen en la tarea son para generar un token de EMM para un dominio nuevo. La tarea para generar el token de EMM es diferente en función de si se registra con un dominio nuevo o existente.

Si va a generar un token para un dominio existente, simplemente desplácese a Seguridad > Proveedor de EMM administrado para Androidy seleccione Generar token de EMM, continúe después con el paso 5.

  1. Rellene los siguientes campos:

    1. Acerca de usted: introduzca la información de contacto del administrador.

    2. Acerca de su empresa: rellene la información de su compañía.

    3. Su cuenta de administrador de Google: cree una cuenta de administrador de Google.

    4. Finalizar: introduzca los datos de comprobación de seguridad.

  2. Seleccione Aceptar y crear su cuenta después de leer y aceptar los términos establecidos por Google.

  3. Siga las indicaciones restantes para Comprobar la propiedad del dominio y Conectar con su proveedor. Una vez comprobado, esto se convierte en su dominio de Google administrado.

    Para comprobar la propiedad del dominio, están disponibles las siguientes opciones: agregar una etiqueta meta a la página de inicio, agregar un registro de host del dominio, o bien cargar un archivo HTML al sitio del dominio. Configure los ajustes para las opciones disponibles.

  4. Seleccione Comprobar para continuar. Si este proceso se realiza correctamente, en la sección Conectar con su proveedor aparece su token de EMM. Este token tiene una validez de 30 días. Si tiene problemas durante este paso, consulte con el soporte de Google a través del número de soporte y el PIN único que se indica.

  5. Copie el token de EMM generado y seleccione Finalizar.

Workspace ONE UEM recomienda crear la cuenta de servicio de Google antes de volver a Workspace ONE UEM Console para cargar el token de EMM, de modo que pueda cargar todas las credenciales al mismo tiempo.

Generar token de EMM para el dominio existente

El token único de EMM vincula su dominio para la administración de Android al Workspace ONE UEM activado mediante AirWatch. En el caso del dominio existente, se le dirige a la consola de administración de Google para generar el token de EMM. Los pasos que se describen en la tarea son para generar un token de EMM para un dominio existente. La tarea para generar el token de EMM es diferente en función de si se registra con un dominio nuevo o existente. Para obtener información sobre la generación de un token de EMM para un nuevo dominio, consulte Generar token de EMM. Inicie sesión en la consola de administración de Google con las credenciales de administrador de Google. Desplácese a Seguridad > Proveedor de EMM administrado para Android y seleccione Generar token de EMM. Copie y pegue el token en Workspace ONE UEM Console.

Los pasos que se describen en la tarea son para generar un token de EMM para un dominio existente. La tarea para generar el token de EMM es diferente en función de si se registra con un dominio nuevo o existente.

  1. Inicie sesión en la consola de administración de Google con las credenciales de administrador de Google.

  2. Navegue a Seguridad > Administrar proveedor de EMM de Android y seleccione Generar token de EMM.

  3. Copie y pegue el token en Workspace ONE UEM Console.

Cargar el Token de EMM

Introduzca la información que ha obtenido de Google durante el registro. Esto incluye el dominio registrado, el token de empresa y la dirección de correo electrónico de administrador de Google que haya creado.

También puede obtener el token de empresa si inicia sesión en https://admin.google.com con su dirección de correo electrónico de administrador de Google en Seguridad→Administrar proveedor de EMM de Android.

  1. Desplácese a Introducción > Workspace ONE > Registro de EMM de Android. Si ha cerrado la ventana o no se le redirecciona automáticamente a Workspace ONE UEM.

  2. Seleccione Registrar y se le redirigirá al asistente de configuración de Android.

  3. Seleccione Cargar Token en el asistente de configuración de Android.

    Esto también se conoce como el token de empresa.

  4. Rellene los siguientes campos:

    Ajustes Descripción
    Dominio Dominio reclamado para habilitar Android asociado con su empresa.Importante: Si su dominio ya se ha registrado con otro proveedor de EMM, no podrá cargar un nuevo token de EMM.
    Token de empresa de EMM Token generado en la consola de administración de Google.
    Correo electrónico del administrador de Google Se trata de la cuenta de administrador que se usa para el registro de dominios, la consola para desarrolladores de Google y la consola de administración de Google.
    ID de cliente ID de cliente generado al crear la cuenta de servicio de Google. Este ID se recupera a partir de los Ajustes de la consola para desarrolladores de Google.
    Dirección de correo electrónico de la cuenta de Google Service Correo electrónico generado a partir de la creación de la cuenta de servicio de Google. Este ID se recupera a partir de los Ajustes de la consola para desarrolladores de Google.
    ID de certificado Cargue el certificado P12 creado al generar la cuenta de servicio de Google. Requiere una contraseña. Este ID se recupera a partir de los Ajustes de la consola para desarrolladores de Google.

  5. Seleccione Siguiente para configurar usuarios.

Configurar usuarios

Todos los usuarios en su empresa que utilicen Android necesitarán cuentas de Google creadas para conectarse con sus dispositivos. Este último paso en el asistente de registro de EMM de Android le permite determinar qué método de instalación prefiere para crear usuarios.

Los administradores tienen dos opciones para crear usuarios en Android:

  • Permitir que Workspace ONE UEM cree automáticamente las cuentas de Google durante la inscripción.
  • Crear usuarios de forma manual iniciando sesión en la consola de administración de Google, o bien utilizando la herramienta de sincronización de directorio activo de Google (GADS).

El formato para el nombre de usuario es nombredeusuario@ <su_dominiode_empresa>.com.

  1. Habilite una de las siguientes opciones para determinar cómo se configuran los usuarios:

    • Crear una cuenta de Google durante la inscripción basada en la dirección de correo electrónico del usuario inscrito.
    • Usar SAML para habilitar la autenticación SAML en el proceso de inscripción.
    • Usar SAML para la autenticación de la cuenta de Google. Para utilizar este método, configure el inicio de sesión único navegando hasta Seguridad > Inicio de sesión único en la consola de administración de Google. Si no se habilita la creación automática de usuarios con uno de los métodos anteriores, Workspace ONE UEM Console le dirigirá al método alternativo de creación de cuentas de Google mediante la herramienta Google Active Directory Sync o la consola de administración de Google.

  2. Utilice la opción Probar conexión, que comprueba si la comunicación es correcta con Google.

    • Acceso a la API de Play: valida que la API de EMM de Google está activada y que se pueden instalar las aplicaciones.
    • Acceso a la API de directorio: valida que la API del SDK de administración está activada y que el ámbito de https://www.googleapis.com/auth/admin.directory.user está autorizado en la consola de administración de Google.
  3. Seleccione Guardar.

Registro con una empresa con Google Play administrado

Si su organización necesita volver a establecer el enlace entre Workspace ONE UEM y una empresa con Google Play administrado, o si no se puede utilizar una empresa con dominio de Google gestionado, las organizaciones pueden configurar Android para que utilice una empresa con Google Play administrado. Esta opción no se recomienda para entornos de Workspace ONE UEM nuevos.

Procedimiento

  1. Desplácese a Introducción > Workspace ONE > Registro de EMM de Android.

  2. Seleccione Configurar y se le redirigirá a la página de registro de EMM de Android.

  3. Seleccione Registrar con Google. Se le redirigirá a un asistente de configuración de Google.

  4. Cuando se le solicite introducir su dirección de correo electrónico de trabajo, introduzca la dirección de correo electrónico de la cuenta de GMail que debería administrar la empresa con Google Play administrado. Si crea una nueva empresa, seleccione Registrarse solo para Android.

  5. Siga las indicaciones para completar el registro de la empresa con Google Play administrado. Si es necesario, proporcione información adicional sobre su organización.

Se le redirigirá a la página Configuración de registro de EMM de Android en Workspace ONE UEM Console. Los detalles de su organización y la dirección de correo electrónico del administrador utilizado para crear la empresa con dominio de Google gestionado se mostrarán aquí.

Creación de usuarios de inscripción de Android (solo para empresa con dominio de Google gestionado heredadas)

VMware le sugiere que cree usuarios para Android automáticamente durante la inscripción. El asistente de configuración de Android le permite especificar si desea crear automáticamente las cuentas de usuario durante la inscripción y, si es así, utilizar SAML para autenticar las cuentas. Si no ha configurado SAML anteriormente, el asistente mostrará un vínculo que le dirige para configurar sus ajustes.

Creación de usuarios de forma automática

  1. Seleccione para Crear cuentas de Google durante la inscripción basadas en los correos electrónicos de los usuarios inscritos.

  2. Seleccione para Usar extremo de SAML para autenticar cuentas.

    Si no ha configurado SAML, el asistente le pedirá que configure la autenticación de SAML.

  3. Seleccione para Usar SAML para la autenticación de la cuenta de Google que requiere que configure el inicio de sesión único en la consola de administración de Google.

  4. Seleccione Guardar para completar la instalación de Android.

Creación de usuarios de forma manual

Puede crear manualmente cuentas de usuario para toda la empresa fuera de Workspace ONE UEM console mediante la herramienta de sincronización de directorio de nube de Google (GCDS) o la consola de administración de Google. Para acceder a la consola de administración de Google, puede hacer clic en el vínculo incluido en el asistente de configuración. Deberá ponerse en contacto con Google para obtener más instrucciones para el uso de la consola.

El método GCDS requiere que use una configuración similar a la de los servicios de directorio de AirWatch. Acceda a la configuración de los servicios de directorio navegando hasta Grupos y ajustes ► Todos los ajustes ► Sistema ► Integración empresarial ► Servicios de directorio.

Puede acceder a la herramienta GCDS haciendo clic en el vínculo publicado en el asistente de configuración o bien descargando la herramienta directamente en el equipo desde la página de Soporte de Google .

La herramienta GDCS le permite crear manualmente cuentas de Google para cada empleado de su empresa mediante una sola tarea de creación en masa. Las cuentas se crean mediante la sincronización con la información almacenada desde VMware Workspace ONE Directory Services.

Aviso: La información que se proporciona en el presente documento está actualizada a fecha de la versión más reciente de GCDS v.4.4.0, de marzo de 2017.

  1. Seleccione el vínculo en el asistente de configuración o descargue la herramienta GDCS directamente desde Google.

  2. Abra la herramienta desde su escritorio y seleccione las Cuentas de usuario y los Grupos que desea sincronizar.

  3. Seleccione la pestaña Configuración de dominio de Google e introduzca lo siguiente:

    1. Introduzca el Nombre de dominio principal.

    2. Seleccione esta opción para Reemplazar los nombres de dominio en la dirección de correo electrónico LDAP (de usuarios y grupos) por este nombre de dominio. Así se asegurará de que todas las direcciones de correo electrónico del usuario coincidan con el nombre de dominio.

  4. Seleccione el botón Autorizar ahora.

  5. Siga los pasos para continuar el proceso de autorización cuando aparezca el cuadro de diálogo Autorizar sincronización del directorio de aplicaciones de Google.

    1. Inicie sesión en su cuenta de administrador de Android.

    2. Introduzca la verificación recibida por correo electrónico.

    3. Seleccione Validar para confirmar estos ajustes.

  6. Seleccione la pestaña Configuración de LDAP para especificar la configuración de conexión para sincronizar los servicios de directorio de AirWatch con Google. Desde aquí, puede introducir la misma configuración guardada en los servicios de directorio de AirWatch para sincronizarla con esta herramienta. Para acceder a estos ajustes, navegue a Grupos y ajustes ► Todos los ajustes ► Sistema ► Integración empresarial ► Servicios de directorio.

  7. Seleccione Probar conexión. Si la sincronización se realiza correctamente, se crearán automáticamente las cuentas de directorio activo vinculadas y las cuentas de Google corporativas en Google.

    Se le dirigirá de nuevo al asistente de configuración para finalizar la instalación.

Borrar el enlace de Android Enterprise con Workspace ONE UEM

Puede desenlazar su entorno de Workspace ONE UEM de una empresa con dominio de Google gestionado o con Google Play administrado.

Warning: El enlace con Android Enterprise es necesario para la funcionalidad crítica de administración de dispositivos Android. La única forma de restaurar esta funcionalidad de administración para los dispositivos inscritos previamente en el entorno de Workspace ONE UEM es volver a establecer el enlace a la misma instancia de Android Enterprise. Google elimina automáticamente las empresas que no se enlazaron a Workspace ONE UEM durante 30 días; cuando esto sucede, no se pueden recuperar.

  1. Desplácese a Dispositivos > Ajustes del dispositivo > Dispositivos y usuarios > Android > Registro de EMM de Android

  2. Seleccione Borrar configuración de la página de registro de EMM de Android.

check-circle-line exclamation-circle-line close-line
Scroll to top icon