Pour commencer à gérer les terminaux Android, vous devrez inscrire Workspace ONE UEM comme fournisseur de gestion de la mobilité d'entreprise (EMM, Enterprise Mobility Management) avec Google. La page de démarrage dans Workspace ONE UEM Console fournit une solution détaillée pour configurer les outils de gestion d'entreprise nécessaires pour sécuriser et gérer votre flotte de terminaux.
Il existe deux façons de configurer Android : en utilisant un compte Google Play géré (solution préférée) ou à l'aide d'un domaine Google géré (solution recommandée par Google pour les clients de la suite d'outils G Suite). Un compte Google Play géré est utilisé si votre entreprise n'utilise pas G Suite. Il permet plusieurs configurations d'Android au sein de votre organisation à l'aide d'un compte Google personnel. Workspace ONE UEM permet de gérer ce compte et ne nécessite aucune synchronisation Active Directory ni vérification Google.
La configuration d'Android à l'aide du domaine Google géré (G Suite) nécessite que votre entreprise configure un domaine Google. Elle doit également suivre une procédure de vérification pour prouver que vous possédez le domaine. Ce domaine peut uniquement être lié à un compte EMM vérifié. La configuration consiste notamment à créer un compte de service Google et à configurer Workspace ONE UEM en tant que fournisseur EMM. Pensez à créer un compte Google spécialement pour Android pour votre organisation afin d'éviter tout conflit avec des comptes Google existants.
Important : Lorsque vous créez un compte Google pour le domaine Google géré, il est considéré comme le compte administrateur de votre domaine. Songez à ajouter des utilisateurs supplémentaires (comptes Google) pour vous aider à gérer les tâches dans le Google Play géré. Ajouter des comptes Google est utile dans les cas où le compte Google principal devient inactif. S'il expire, vous pouvez toujours accéder au domaine Google géré et éviter les comportements indésirables. En outre, ne supprimez pas le compte d'administrateur Google ou EnterpriseID associé à votre enregistrement EMM Android. La suppression peut entraîner des erreurs ou un échec d'enregistrement EMM Android.
Vous pouvez créer et attribuer des rôles pour votre domaine Google géré. Reportez-vous à la section Attribuer des rôles dans les entreprises.
Le compte de service Google est un compte Google spécial qui est utilisé par les applications pour accéder aux API Google. Il est obligatoire lors de la configuration d'Android à l'aide de la méthode de domaine Google géré pour votre entreprise. Les identifiants du compte de service Google sont automatiquement renseignés lors de la configuration des comptes Android si l'inscription est effectuée à l'aide d'un compte Google Play géré. Si vous rencontrez une erreur lors de la configuration des comptes Android, effacez vos paramètres dans Workspace ONE UEM Console et réessayez. Vous pouvez également créer le compte manuellement. Pour les comptes Google, pensez à créer votre compte de service Google avant d'utiliser l'une ou l'autre méthode de configuration.
Pour modifier le compte Google ou apporter des modifications à vos paramètres d'administration, vous devez déconnecter le compte de Workspace ONE UEM Console.
Important : La configuration d'Android inclut l'intégration d'outils tiers qui ne sont pas gérés par VMware. Les informations contenues dans ce guide concernant la console d'administration Google et Google Developer Console correspondent à la version disponible en janvier 2018. L'intégration avec un produit tiers n'est pas garantie et dépend du bon fonctionnement des solutions tierces.
Workspace ONE UEM Console vous permet de suivre un processus de configuration simplifié pour relier UEM Console à Google en tant que fournisseur EMM.
Conditions prérequises
Si la page d'enregistrement Android EMM est bloquée, assurez-vous d'avoir activé les URL Google dans votre architecture réseau pour communiquer avec des points de terminaison internes et externes.
Procédure
Accédez à Démarrage > Workspace ONE > Enregistrement EMM Android.
Sélectionnez Configurer. Vous êtes alors redirigé vers la page d'inscription EMM pour Android.
Sélectionnez Inscrire avec Google. Si vous êtes déjà connecté avec vos identifiants Google, vous êtes dirigé vers la page « Démarrer » de Google.
Si votre organisation utilise plus d'un domaine, vous devrez enregistrer des domaines distincts.
Sélectionnez Se connecter si vous ne l'êtes pas déjà et entrez vos identifiants Google, puis sélectionnez Démarrer.
Saisissez le nom de votre organisation. Le champ fournisseur EMM (Enterprise Mobility Manager) se remplit automatiquement avec VMware Workspace ONE UEM.
Sélectionnez Confirmer > Terminer l'inscription. Vous êtes redirigé vers Workspace ONE Console et vos identifiants de connexion du compte de service Google sont automatiquement renseignés.
Sélectionnez Enregistrer > Tester la connexion pour vous assurer que le compte de service est correctement configuré et connecté.
si vos paramètres dans UEM Console ont été effacés et que vous souhaitez procéder à l'inscription auprès de Google, un message s'affiche vous invitant à terminer la configuration. Vous êtes redirigé vers Workspace ONE UEM Console afin de terminer la configuration.
Pour configurer votre compte avec un domaine Google géré, l'organisation doit configurer un domaine Google s'ils n'en utilisent pas déjà un. Vous effectuerez également plusieurs tâches manuelles, comme vérifier la propriété du domaine avec Google, obtenir un jeton EMM et créer un compte de service d'entreprise pour utiliser ce type de configuration.
Accédez à Démarrage > Workspace ONE > Enregistrement EMM Android.
Sélectionnez Inscrire pour être redirigé vers l'assistant de configuration Android afin d'effectuer ces trois étapes :
Générer un jeton : obtenez votre jeton d'entreprise en inscrivant votre domaine d'entreprise auprès de Google.
Importer un jeton : entrez le jeton EMM dans l'assistant de configuration Android.
Configurer les utilisateurs : configurez le mode de création des utilisateurs pour l'ensemble de votre entreprise.
Sélectionnez Accéder à Google. Vous êtes redirigé vers le site G Suite.
Inscrivez votre entreprise et vérifiez votre domaine.
Le compte de service Google est un compte Google spécial utilisé par les applications pour accéder aux API Google. Vous devez créer ce compte après avoir généré votre jeton EMM afin de pouvoir importer toutes les informations en même temps.
Naviguez vers Google Cloud Platform – Google Developers Console.
Connectez-vous avec vos identifiants Google.
les identifiants Google de type Administrateur n'ont pas besoin d'être associés à votre domaine d'activité. Pensez à créer un compte Google spécialement pour Android pour votre organisation afin d'éviter tout conflit avec des comptes Google existants.
Remarque : Envisagez d'ajouter des comptes supplémentaires de sorte que, si un compte devient inactif, vous disposiez de comptes supplémentaires pour vous connecter et accéder à votre compte de service Google.
Utilisez le menu déroulant du menu Sélectionner un projet et sélectionnez Nouveau projet.
Entrez un Nom de projet pour créer votre projet API dans la fenêtre Nouveau projet. Pensez à utiliser Android EMM-NomSociété comme convention de dénomination.
Acceptez les conditions générales et sélectionnez Créer.
Votre projet est généré et Google Developer Console vous redirige vers la page API Manager.
Sélectionnez Activer les API et les services pour Android à partir du Tableau de bord des API et des services.
Recherchez et activez les API suivantes : Google Play EMM API et Admin SDK API.
Après avoir créé votre projet et activé les API, créez votre compte de service dans Google Developer's Console.
Accédez à API et services > Identifiants > Créer des identifiants > Clé de compte de service > Nouveau compte de service.
Définissez le nom du compte de service pour votre compte de service. Pensez à respecter la convention de dénomination Android et assurez-vous de noter le nom que vous choisissez car vous en aurez besoin dans les étapes suivantes.
Dans le menu déroulant, sélectionnez Propriétaire pour l'option Rôle > Projet.
Sélectionnez le Type de clé P12.
Sélectionnez Créer. Le certificat d'identité est automatiquement créé et téléchargé sur votre disque local. assurez-vous d'enregistrer votre certificat d'identité et le mot de passe lorsque vous importez le certificat dans Workspace ONE UEM Console.
Sélectionnez Gérer les comptes de service dans la liste Clés de compte de service pour ouvrir la page Comptes de service.
Sélectionnez le bouton de menu (trois points verticaux) à côté de votre compte de service et sélectionnez Modifier.
Sélectionnez Activer la délégation pour le domaine G Suite.
Entrez un nom de produit afin de modifier les paramètres du domaine G Suite. Pensez à utiliser AndroidEMM-NomSociété comme convention de dénomination.
Cliquez sur Enregistrer.
Sélectionnez ID View Client dans le champ Délégation pour le domaine. Les détails de votre compte de service s'affichent. Vous devez alors quitter Developer Console et entrer vos identifiants de connexion dans la console d'administration Google.
Assurez-vous d'enregistrer votre ID client avant de quitter Developer's Console. Vous utiliserez également ces informations d'identification dans Workspace ONE UEM Console lorsque vous importez votre jeton EMM.
La console d'administration Google permet aux administrateurs de gérer les services Google pour les utilisateurs d'une organisation. Workspace ONE UEM utilise la console d'administration Google pour l'intégration avec les systèmes d'exploitation Android et Chrome.
La page Gérer l'accès client des API vous permet de contrôler l'accès des applications internes personnalisées et des applications tierces aux API Google prises en charge (portées).
Connectez-vous à la console d'administration Google et accédez à Sécurité > Paramètres avancés > Gérer l'accès client des API.
Remplissez les informations suivantes :
| Paramètre | Description |
|---|---|
| Nom du client | Entrer l'ID client généré lors de la création de votre compte de service Google |
| Un ou plusieurs champs d'application de l'API | Copiez et collez les champs d'application de l'API Google suivants pour Android : https://www.googleapis.com/auth/admin.directory.user |
Sélectionnez Autoriser.
Votre jeton EMM unique lie votre domaine pour la gestion d'Android au Workspace ONE UEM optimisé par AirWatch. Vous êtes dirigé vers le site de configuration de G Suite après avoir sélectionné Accéder à Google à partir de la tâche précédente.
La procédure décrite dans la tâche consiste à générer un jeton EMM pour un nouveau domaine. La tâche de génération du jeton EMM est différente selon que vous vous enregistrez avec un nouveau domaine ou un domaine existant.
Si vous générez un jeton pour un domaine existant, vous pouvez simplement accéder à Sécurité > Fournisseur EMM géré pour Android et sélectionner Générer le jeton EMM, puis passer à l'étape 5.
Remplissez les champs suivants :
À propos de vous – Entrez vos coordonnées administratives.
À propos de votre entreprise – Remplissez les informations sur votre entreprise.
Votre compte administrateur Google – Créez un compte administrateur Google.
Finalisation – Entrez les données de vérification de la sécurité.
Sélectionnez Accepter et créer votre compte après avoir lu et accepté les conditions définies par Google.
Suivez les invites suivantes pour vérifier la propriété du domaine et vous connecter avec votre fournisseur. Une fois les vérifications effectuées, celui-ci devient votre domaine Google géré.
Pour vérifier la propriété du domaine, les options suivantes sont disponibles : ajouter une balise meta à votre page d'accueil, ajouter un enregistrement d'hôte de domaine ou télécharger un fichier HTML sur votre site de domaine. Configurez les paramètres des options disponibles.
Sélectionnez Vérifier pour continuer. Si ce processus réussit, la section Connexion avec votre fournisseur affiche votre jeton EMM. Ce jeton est valable 30 jours. si vous rencontrez des problèmes au cours de cette étape, reportez-vous au service d'assistance Google en utilisant le numéro et le code PIN unique figurant sur la liste.
Copiez le jeton EMM généré et sélectionnez Terminer.
Workspace ONE UEM vous recommande de créer votre compte de service Google avant de retourner à Workspace ONE UEM Console pour télécharger le jeton EMM, afin que vous puissiez importer tous les identifiants de connexion en une seule fois.
Votre jeton EMM unique lie votre domaine pour la gestion d'Android au Workspace ONE UEM optimisé par AirWatch. Pour le domaine existant, vous êtes dirigé vers la console d'administration Google pour générer le jeton EMM. La procédure décrite dans la tâche consiste à générer un jeton EMM pour un domaine existant. La tâche de génération du jeton EMM est différente selon que vous vous enregistrez avec un nouveau domaine ou un domaine existant. Pour plus d'informations sur la génération d'un jeton EMM pour un nouveau domaine, voir Générer un jeton EMM. Connectez-vous à la console d'administration Google à l'aide de vos informations d'identification de l'administrateur Google. Accédez à Sécurité > Fournisseur EMM géré pour Android et sélectionnez Générer le jeton EMM. Copiez et collez le jeton dans Workspace ONE UEM Console.
La procédure décrite dans la tâche consiste à générer un jeton EMM pour un domaine existant. La tâche de génération du jeton EMM est différente selon que vous vous enregistrez avec un nouveau domaine ou un domaine existant.
Connectez-vous à la console d'administration Google à l'aide de vos informations d'identification Google admin.
Accédez à Sécurité > Fournisseur EMM géré pour Android et sélectionnez Générer le jeton EMM.
Copiez et collez le jeton dans la console Workspace ONE UEM.
Entrez les informations que vous avez obtenues de Google lors de l'enregistrement. Cela inclut le domaine enregistré, le jeton d'entreprise et l'adresse e-mail de l'administrateur Google que vous avez créés.
Vous pouvez également obtenir votre jeton d'entreprise en vous connectant à https://admin.google.com avec votre adresse e-mail d'administrateur Google dans Sécurité→Gérer le fournisseur EMM pour Android.
Accédez à Démarrage > Workspace ONE > Enregistrement EMM Android. Si vous avez fermé la fenêtre ou si vous n'êtes pas automatiquement redirigé vers Workspace ONE UEM.
Sélectionnez Enregistrer pour être redirigé vers l'assistant de configuration Android.
Sélectionnez Importer un jeton à partir de l'assistant de configuration Android.
Cela est également appelé jeton d'entreprise.
Remplissez les champs suivants :
| Paramètre | Description |
|---|---|
| Domaine | Domaine demandé pour l'activation d'Android, associé à votre entreprise.Important : si votre domaine a déjà été inscrit auprès d'un autre fournisseur EMM, vous ne serez pas autorisé à télécharger un nouveau jeton EMM. |
| Jeton EMM d'entreprise | Jeton généré dans la console d'administration Google. |
| Adresse e-mail de l'administrateur Google | Il s'agit du compte d'administrateur utilisé pour l'enregistrement de domaine, la console de développeur Google et la console d'administration Google. |
| ID client | ID client généré lors de la création de votre compte de service Google. Cet ID est récupéré à partir des Paramètres de la console de développeur Google. |
| Adresse de messagerie de compte de service Google | E-mail généré à partir de la création du compte de service Google. Cet ID est récupéré à partir des Paramètres de la console de développeur Google. |
| ID de certificat | Téléchargez le certificat P12 créé lors de la génération du compte de service Google. Nécessite un mot de passe. Cet ID est récupéré à partir des Paramètres de la console de développeur Google. |
Sélectionnez Suivant pour définir les utilisateurs.
Les utilisateurs de votre entreprise utilisant Android ont tous besoin de disposer d'un compte Google pour se connecter à leurs terminaux. Cette dernière étape dans l'assistant d'inscription EMM Android vous permet de déterminer la méthode d'installation que vous préférez pour la création d'utilisateurs.
Vous avez deux options pour créer des utilisateurs sous Android :
Le format du nom d'utilisateur est nom_utilisateur@<votre_domaine_professionnel>.com.
Activez l'une des options suivantes pour déterminer la manière dont les utilisateurs sont configurés :
Utilisez l'option Tester la connexion pour vérifier l'établissement de la communication avec Google.
Cliquez sur Enregistrer.
VMware vous suggère de créer automatiquement des utilisateurs pour Android lors de l'inscription. L'assistant de configuration Android vous permet d'indiquer si vous voulez créer automatiquement des comptes d'utilisateur pendant l'enrôlement, et si oui, si vous souhaitez utiliser SAML pour authentifier les comptes. Si vous n'avez pas configuré SAML auparavant, l'assistant affichera un lien qui vous dirigera vers la configuration de vos paramètres.
Répondez Oui à l'invite Créer des comptes Google lors de l'enrôlement à partir des e-mails des utilisateurs enrôlés.
Sélectionnez Oui pour utiliser le point de terminaison SAML pour l'authentification des comptes.
Si vous n'avez pas configuré SAML, l'assistant vous demandera de configurer les paramètres d'authentification SAML.
Répondez Oui à l'invite Utiliser SAML pour l'authentification du compte Google, ce qui vous oblige à configurer l'authentification Single Sign-On dans la console d'administration Google.
Sélectionnez Enregistrer pour terminer la configuration d'Android.
Vous pouvez créer manuellement des comptes utilisateurs pour l'ensemble de votre entreprise en dehors de Workspace ONE UEM Console en utilisant l'outil Google Cloud Directory Sync (GCDS) ou la console d'administration Google. Pour accéder à la console d'administration Google, vous pouvez cliquer sur le lien fourni dans l'assistant de configuration. Vous devrez contacter Google pour en savoir plus sur l'utilisation de la console.
La méthode GCDS exige que vous utilisiez des paramètres similaires à ceux des services d'annuaire AirWatch. Accédez aux paramètres des services d'annuaire en naviguant vers Groupes et paramètres ► Tous les paramètres ► Système ► Intégration d'entreprise ► Services d'annuaire.
Vous pouvez accéder à l'outil GCDS en cliquant sur le lien affiché dans l'assistant de configuration ou en téléchargeant l'outil directement sur votre ordinateur à partir de la page d'assistance Google.
L'outil GDCS vous permet de créer manuellement en une seule fois des comptes Google pour tous les employés de votre entreprise. Les comptes sont créés en se synchronisant avec les informations stockées de vos services d'annuaire VMware Workspace ONE Directory.
Remarque : les informations présentées ici sont à jour par rapport à la dernière version de GCDS v4.4.0 pour mars 2017.
Sélectionnez le lien à partir de l'assistant de configuration ou téléchargez l'outil GDCS directement depuis Google.
Ouvrez l'outil à partir de votre bureau et sélectionnez les Comptes utilisateur et les Groupes à synchroniser.
Sélectionnez l'onglet Configuration du domaine Google et entrez les informations suivantes :
Entrez le nom du domaine principal.
Sélectionnez cette option pour remplacer les noms de domaine dans l'adresse e-mail LDAP (des utilisateurs et des groupes) par ce nom de domaine. Cela permettra de s'assurer que toutes les adresses e-mail des utilisateurs correspondent au nom de domaine.
Sélectionnez le bouton Autoriser maintenant.
Suivez les étapes pour poursuivre le processus d'autorisation lorsque la boîte de dialogue Autoriser la synchronisation de l'annuaire des applications Google s'affiche.
Connectez-vous à votre compte administrateur Android.
Entrez le code de vérification reçu par e-mail.
Sélectionnez Valider pour confirmer ces paramètres.
Sélectionnez l'onglet Configuration LDAP pour entrer les paramètres de connexion afin de synchroniser les services d'annuaire AirWatch avec Google. Vous pouvez alors entrer les mêmes paramètres que ceux enregistrés dans les services d'annuaire AirWatch pour les synchroniser avec cet outil. Pour accéder à ces paramètres, naviguant vers Groupes et paramètres ► Tous les paramètres ► Système ► Intégration d'entreprise ► Services d'annuaire.
Sélectionnez Test de la connexion. Si la synchronisation a réussi, les comptes Active Directory liés et les comptes Google d'entreprise sont automatiquement créés dans Google.
Vous serez redirigé vers l'assistant de configuration pour terminer la configuration.
Vous pouvez déconnecter le compte administrateur Android dans Workspace ONE UEM Console si vous avez besoin de modifier des comptes Google.
Accédez à Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Android > Enregistrement EMM Android.
Sélectionnez Effacer les paramètres sur la page d'inscription EMM pour Android.
