Configurer KME pour gérer mes appareils mobiles avec TinyMDM

Comment configurer mon compte Samsung KME avec TinyMDM ?

Le “Knox Mobile Enrollment” est un processus d’enrôlement simplifié et sans intervention pour les appareils Samsung: au premier démarrage, les appareils vérifient si une configuration spécifique leur a été attribuée. Si tel est le cas, le processus de configuration de l’appareil entièrement géré est lancé, la bonne application de contrôle des règles relatives aux appareils est téléchargée (ici TinyMDM) et la configuration de l’appareil est finalisée.

Prérequis:

Avoir un compte TinyMDM avec une politique de sécurité créée. Comment créer une politique de sécurité?
Avoir des appareils Samsung sous une version Android 10 ou supérieure. Les versions inférieures ne sont plus compatibles avec KME. Pour en savoir plus.

Pour pouvoir bénéficier de ce type d’enrôlement, vous devez:

créer un compte Samsung KME en utilisant votre adresse mail professionnelle (…@votreentreprise.fr). Vous obtiendrez un identifiant client lié à votre console, que vous devrez communiquer par la suite lors de vos commandes de terminaux.
choisir un revendeur de terminaux agréé et passer commande en communiquant votre identifiant client. Le revendeur dans le processus d’acheminement des terminaux commandés, effectue un chargement de ces terminaux dans votre console: vous les verrez apparaitre dans votre compte KME et pourrez commencer vos paramétrages ci dessous.

Etape 1: Accédez à votre compte KME

Si vous n’avez pas de compte KME, vous pouvez en créer un ici.

Les appareils Samsung seront affectés à votre compte par le revendeur agréé, à qui vous devez communiquer votre numéro client KME.

Note: vous pouvez également utiliser l’application Knox Deployment pour déclarer d’autres appareils via Bluetooth, NFC ou WIFI.

Etape 2: Créez un profil MDM

Dans l’onglet Profiles, cliquez sur Actions puis Create profile.

Saisissez le nom de votre profil MDM ainsi que des informations sur votre entreprise. Cliquez sur Next.

Choisissez TinyMDM dans la liste déroulante puis cliquez sur Next.

Dans la fenêtre suivante, au niveau des Données JSON personnalisées:

1. Si vous souhaitez enrôler vos appareils en mode 100% Managé (ou mode kiosque), entrez le texte suivant en remplaçant XXXXXXXXXXXXXXXX par l’id de la politique de sécurité TinyMDM que vous souhaitez appliquer sur vos appareils (visible dans votre console TinyMDM -> onglet Politiques de sécurité). Veillez à bien respecter la casse.

Si besoin, vous pouvez également relier vos appareils à un groupe d’utilisateurs, lui même relié à une politique de sécurité. Pour cela, vous devez créer un groupe d’utilisateurs dans votre console TinyMDM (suivre ce tutoriel si besoin), le relier à une politique de sécurité puis dans votre console ZTE, remplacer XXXXXXXXXXXXXXXX par l’id du groupe d’utilisateurs créé (visible dans votre console TinyMDM, onglet Utilisateurs et Groupes -> sous-onglet Groupes). Veillez à bien respecter la casse.

{"enrollmentId":"XXXXXXXXXXXXXXXX"}

2. Si vous souhaitez enrôler vos appareils en mode WPCO (compatible uniquement à partir d’Android 11) , entrez le texte suivant en remplaçant XXXXXXXXXXXXXXXX par l’id de la politique de sécurité TinyMDM que vous souhaitez appliquer sur vos appareils (visible dans votre console TinyMDM -> onglet Politiques de sécurité). Veillez à bien respecter la casse.

{"enrollmentId":"XXXXXXXXXX", "provisioningMode":"work_profile_on_fully_managed"}

Dans System apps, cliquez sur Disable system applications (par défaut). Vous pourrez les autoriser une à une via la console TinyMDM par la suite. Cliquez sur Next.

Passez en revue toutes les informations que vous avez saisies et cliquez sur Create.

Etape 3: Reliez les appareils à leur utilisateur à l’aide d’un fichier CSV

Dans l’onglet Appareils, sélectionnez les appareils que vous souhaitez configurer et cliquez sur Télécharger tous les appareils au format .csv pour créer la liste d’appareils.

Ouvrez et modifiez ce fichier dans un programme de type Microsoft Excel ou Google Sheets:
- dans la première colonne doivent apparaître les IDs des appareils (IMEI ou numéro de série), avec une ligne par appareil
- dans la deuxième colonne doivent apparaître les ID utilisateurs (email)

Supprimez le reste du contenu des autres colonnes et veillez à ne pas ajouter de lignes pour les en-têtes, ne laissez aucune ligne vide. Le contenu du fichier CSV doit se présenter comme suit :

Enregistrez-le au format CSV (Fichier > Enregistrer sous…), puis dans la liste Type, remplacez Classeur Excel par CSV (séparateur: virgule).

Attention: Si dans le fichier CSV créé, un des emails renseignés est déjà lié à un utilisateur présent sur la console d’administration TinyMDM, alors l’enrôlement de l’appareil en question sera bloqué. Il faudra alors recréer un fichier CSV et resuivre les étapes du tutoriel à partir de l’étape 3 pour cet appareil.

Etape 4: Appliquez le profil MDM aux appareils Samsung

Pour appliquer votre configuration TinyMDM aux appareils, dans l’onglet Devices, cliquez sur Bulk Actions sur la ligne du haut.
Choisissez Assign Users Credentials and Same Profile.

Chargez le fichier CSV créé (tous les appareils doivent préexister dans l’inventaire).
Sélectionnez le profil MDM souhaité et ajoutez des tags (facultatif). Cliquez sur Envoyer.

Etape 5: les appareils sont managés dès leur premier démarrage

Attention : L’enrôlement d’appareils par le biais de Knox Mobile Enrollment se fait sans scanner de QR code. Si des appareils enregistrés dans une console KME sont enrôlés en scannant un QR code, ce sera comme s’ils étaient enrôlés deux fois. L’appareil sera alors dans un état instable avant d’être automatiquement réinitialisé.

Les terminaux sont gérés dès la sortie de leur boite: au premier démarrage, ils vérifient si une configuration spécifique leur a été attribuée, téléchargent l’application de MDM (TinyMDM), qui complète ensuite la configuration du périphérique géré. Voir les étapes ci-dessous.

Etape 6: les appareils et leur utilisateur apparaissent dans votre console TinyMDM

Bonus : Appliquer plusieurs profils MDM via un même fichier CSV

Avec la nouvelle option disponible dans Knox Mobile Enrollment (KME), il est désormais possible d’associer plusieurs profils MDM à un même fichier CSV. Cette fonctionnalité est particulièrement utile pour les clients qui enrôlent des appareils en différents modes de gestion (en mode WPCO et en mode 100% managé par exemple) via KME. En centralisant la gestion dans un seul fichier CSV, vous évitez la création de plusieurs fichiers par profil, ce qui simplifie le processus.

Pour y parvenir, au niveau de l’étape 2, il est essentiel de créer deux types de profils distincts. Le premier sera par exemple destiné aux appareils que vous souhaitez enrôler en mode WPCO, tandis que le second sera dédié aux appareils que vous enrôlerez en mode 100 % managé. Cette distinction est importante pour garantir une configuration adaptée à chaque type d’appareil.

Ensuite, au niveau de l’étape 3, vous devrez enrichir le contenu de votre fichier CSV en ajoutant une troisième colonne. Ce fichier doit inclure les informations suivantes : IMEI ou numéro de série, User ID, ainsi que le profil correspondant.

Enfin, au niveau de l’étape 4, il vous faudra confirmer cette configuration en sélectionnant Assign User Credentials and Different Profile. Cette étape permet de finaliser l’attribution des identifiants et des profils aux appareils concernés.

Assurez-vous de choisir le bon profil dès le départ, car il ne sera pas possible de modifier ce choix directement une fois l’enregistrement effectué. Par exemple, il est impossible de passer un appareil d’un mode 100 % managé à un mode WPCO, et inversement, sans procéder à une réinitialisation complète de l’appareil.