Paramétrer KME pour gérer sa flotte mobile aveTinyMDM

Comment paramétrer mon compte Samsung KME avec TinyMDM ?

Le “Knox Mobile Enrollment” est un processus d’enrôlement simplifié et sans intervention pour les appareils Samsung: au premier démarrage, les appareils vérifient si une configuration spécifique leur a été attribuée. Si tel est le cas, le processus de configuration de l’appareil entièrement géré est lancé, la bonne application de contrôle des règles relatives aux appareils est téléchargée (ici TinyMDM) et la configuration de l’appareil est finalisée.

Prérequis:

Pour pouvoir bénéficier de ce type d’enrôlement, vous devez:

  • créer un compte Samsung KME en utilisant votre adresse mail professionnelle (…@votreentreprise.fr). Vous obtiendrez un identifiant client lié à votre console, que vous devrez communiquer par la suite lors de vos commandes de terminaux.
  • choisir un revendeur de terminaux agréé et passer commande en communiquant votre identifiant client. Le revendeur dans le processus d’acheminement des terminaux commandés, effectue un chargement de ces terminaux dans votre console: vous les verrez apparaitre dans votre compte KME et pourrez commencer vos paramétrages ci dessous.

Etape 1: Accédez à votre compte KME

paramétrer kme tinymdm

Si vous n’avez pas de compte KME, vous pouvez en créer un ici.

Les appareils Samsung seront affectés à votre compte par le revendeur agréé, à qui vous devez communiquer votre numéro client KME.

Note: vous pouvez également utiliser l’application Knox Deployment pour déclarer d’autres appareils via Bluetooth, NFC ou WIFI.

Etape 2: Créez un profil MDM

  • Dans l’onglet Profils, cliquez sur Créer un profil:
creation profil kme tinymdm etape 1
  • Saisissez le nom de votre profil MDM ainsi que des informations sur votre entreprise dans la description. Ensuite, sous Sélectionner les solutions et les services à installer (obligatoire), cochez EMM puis cliquez sur le bouton Suivant: Infos EMM.
creation profil kme tinymdm etape 2
  • Dans le champ Nom de l’entreprise (obligatoire), renseignez le nom de votre entreprise. Puis dans la liste déroulante Sélectionner votre EMM (obligatoire), sélectionnez TinyMDM. Un chargement de quelques secondes va apparaître sur la page. Une fois le chargement terminé, cliquez sur le bouton Suivant: Configuration.
creation profil kme tinymdm etape 3
  • Dans la fenêtre suivante, au niveau des Données JSON personnalisées:

1. Si vous souhaitez enrôler vos appareils en mode 100% Managé (ou mode kiosque), entrez le texte suivant en remplaçant XXXXXXXXXXXXXXXX par l’id de la politique de sécurité TinyMDM que vous souhaitez appliquer sur vos appareils (visible dans votre console TinyMDM -> onglet Politiques de sécurité). Veillez à bien respecter la casse.

Si besoin, vous pouvez également relier vos appareils à un groupe d’utilisateurs, lui même relié à une politique de sécurité. Pour cela, vous devez créer un groupe d’utilisateurs dans votre console TinyMDM (suivre ce tutoriel si besoin), le relier à une politique de sécurité puis dans votre console KME, remplacer XXXXXXXXXXXXXXXX par l’id du groupe d’utilisateurs créé (visible dans votre console TinyMDM, onglet Utilisateurs et Groupes -> sous-onglet Groupes). Veillez à bien respecter la casse.

{"enrollmentId":"XXXXXXXXXXXXXXXX"}

2. Si vous souhaitez enrôler vos appareils en mode WPCO (compatible uniquement à partir d’Android 11) , entrez le texte suivant en remplaçant XXXXXXXXXXXXXXXX par l’id de la politique de sécurité TinyMDM que vous souhaitez appliquer sur vos appareils (visible dans votre console TinyMDM -> onglet Politiques de sécurité). Veillez à bien respecter la casse.

Si besoin, vous pouvez également relier vos appareils à un groupe d’utilisateurs, lui même relié à une politique de sécurité. Pour cela, vous devez créer un groupe d’utilisateurs dans votre console TinyMDM (suivre ce tutoriel si besoin), le relier à une politique de sécurité puis dans votre console KME, remplacer XXXXXXXXXXXXXXXX par l’id du groupe d’utilisateurs créé (visible dans votre console TinyMDM, onglet Utilisateurs et Groupes -> sous-onglet Groupes). Veillez à bien respecter la casse.

{"enrollmentId":"XXXXXXXXXX", "provisioningMode":"work_profile_on_fully_managed"}
creation profil kme tinymdm etape 4
  • Dans Applications système, cliquez sur Désactiver les applications système (par défaut). Vous pourrez les autoriser une à une via la console TinyMDM par la suite. Cliquez sur Suivant: Vérification:
  • Passez en revue toutes les informations que vous avez saisies et cliquez sur Créer un profil.
creation profil kme tinymdm etape 6

Etape 3: Reliez les appareils à leur utilisateur à l’aide d’un fichier CSV

  • Dans l’onglet Appareils, sélectionnez les appareils que vous souhaitez configurer et cliquez sur Télécharger les appareils au format CSV pour créer la liste d’appareils.
  • Ouvrez et modifiez ce fichier dans un programme de type Microsoft Excel ou Google Sheets, avec une ligne par appareil:
    • Première colonne: renseigner l’ID de l’appareil (son IMEI ou numéro de série)
    • Deuxième colonne: renseigner le profil KME que vous souhaitez associer à l’appareil. Par exemple, celui que vous venez de créer lors de l’Etape 2 du tutoriel.
    • Troisième colonne: renseigner l’email ou le nom d’utilisateur de l’appareil. Cette information apparaîtra dans l’onglet Utilisateurs et Groupes de la console d’administration TinyMDM.
  • Supprimez le reste du contenu des autres colonnes, veillez à ne pas ajouter de lignes pour les en-têtes et ne laissez aucune ligne vide.
  • Le contenu du fichier CSV doit se présenter comme suit :
  • Enregistrez-le au format CSV (Fichier > Enregistrer sous…), puis dans la liste Type, remplacez Classeur Excel par CSV (séparateur: virgule).

Attention:

  • Si dans le fichier CSV créé, un des emails renseignés est le même que celui d’un utilisateur déjà présent sur la console d’administration TinyMDM, alors l’enrôlement de l’appareil en question sera bloqué.
  • Si dans le fichier CSV créé, un des noms d’utilisateur renseignés est le même que celui d’un utilisateur anonyme déjà présent sur la console d’administration TinyMDM, alors l’enrôlement de l’appareil en question sera bloqué.

Il faudra alors recréer un fichier CSV et resuivre les étapes du tutoriel à partir de l’étape 3 pour cet appareil.

Etape 4: Appliquez le profil MDM aux appareils Samsung

  • Pour appliquer votre configuration TinyMDM aux appareils, dans l’onglet Appareils, cliquez sur Actions en masse sur la ligne du haut.
  • Choisissez Attribution d’un profil d’inscription:
  • Chargez le fichier CSV créé (tous les appareils doivent préexister dans l’inventaire) puis valider votre action:

Etape 5: les appareils sont managés dès leur premier démarrage

Attention : L’enrôlement d’appareils par le biais de Knox Mobile Enrollment se fait sans scanner de QR code. Si des appareils enregistrés dans une console KME sont enrôlés en scannant un QR code, ce sera comme s’ils étaient enrôlés deux fois. L’appareil sera alors dans un état instable avant d’être automatiquement réinitialisé.

Les terminaux sont gérés dès la sortie de leur boite: au premier démarrage, ils vérifient si une configuration spécifique leur a été attribuée, téléchargent l’application de MDM (TinyMDM), qui complète ensuite la configuration du périphérique géré. Voir les étapes ci-dessous.

kme
Choisissez la langue
kme
Acceptez les Conditions d’utilisation
kme
Insérez une carte SIM (si applicable)
kme
Connectez-vous à un réseau Wi-Fi
kme
L’appareil détecte automatiquement qu’il est géré par TinyMDM
kme
Suivez les étapes d’installation
kme
Acceptez les Conditions
kme
L’appareil est directement géré

Etape 6: les appareils et leur utilisateur apparaissent dans TinyMDM

Bonus : Appliquer plusieurs profils MDM via un même fichier CSV

Avec la nouvelle option disponible dans Knox Mobile Enrollment (KME), il est désormais possible d’associer plusieurs profils MDM à un même fichier CSV. Cette fonctionnalité est particulièrement utile pour les clients qui enrôlent des appareils en différents modes de gestion (en mode WPCO et en mode 100% managé par exemple) via KME. En centralisant la gestion dans un seul fichier CSV, vous évitez la création de plusieurs fichiers par profil, ce qui simplifie le processus.

Pour y parvenir, au niveau de l’étape 2, il est essentiel de créer deux types de profils distincts. Le premier sera par exemple destiné aux appareils que vous souhaitez enrôler en mode WPCO, tandis que le second sera dédié aux appareils que vous enrôlerez en mode 100 % managé. Cette distinction est importante pour garantir une configuration adaptée à chaque type d’appareil.

Ensuite, au niveau de l’étape 3, vous devrez enrichir le contenu de votre fichier CSV en ajoutant une troisième colonne. Ce fichier doit inclure les informations suivantes : IMEI ou numéro de série, User ID, ainsi que le profil correspondant.

Enfin, au niveau de l’étape 4, il vous faudra confirmer cette configuration en sélectionnant Assign User Credentials and Different Profile. Cette étape permet de finaliser l’attribution des identifiants et des profils aux appareils concernés.

Assurez-vous de choisir le bon profil dès le départ, car il ne sera pas possible de modifier ce choix directement une fois l’enregistrement effectué. Par exemple, il est impossible de passer un appareil d’un mode 100 % managé à un mode WPCO, et inversement, sans procéder à une réinitialisation complète de l’appareil.