适用于 Google Workspace(以前称为 G Suite)客户的传统 Android Enterprise
Google Workspace(以前称为 G Suite)客户必须使用传统 Android Enterprise 设置来配置传统 Android Enterprise。
传统 Android Enterprise 的要求:
- 可公开访问的域
- Google 管理员帐户
- 支持托管配置文件并运行 Android 5.0+ Lollipop 的设备
- 已安装 Google Play 的 Google 帐户
- 在设备上设置的工作配置文件
要开始配置传统 Android Enterprise,请在 XenMobile® 设置的 Android Enterprise 页面中单击传统 Android Enterprise。
创建 Android Enterprise 帐户
在设置 Android Enterprise 帐户之前,您必须使用 Google 验证您的域名。
如果您已使用 Google 验证您的域名,则可以跳到此步骤:设置 Android Enterprise 服务帐户并下载 Android Enterprise 证书。
-
导航到 https://gsuite.google.com/signup/basic/welcome。
将显示以下页面,您可以在其中键入管理员和公司信息。
-
键入管理员用户信息。
-
除了管理员帐户信息之外,还键入公司信息。
该过程的第一步已完成,您将看到以下页面。
验证域所有权
允许 Google 通过以下方式之一验证您的域:
- 将 TXT 或 CNAME 记录添加到您的域主机的网站。
- 将 HTML 文件上传到您的域的 Web 服务器。
- 将
<meta>标记添加到您的主页。Google 建议使用第一种方法。本文不介绍验证域所有权的步骤,但您可以在此处找到所需信息:https://support.google.com/a/answer/6248925。
-
单击开始以开始验证您的域。
将显示验证域所有权页面。按照页面上的说明验证您的域。
-
单击验证。
-
Google 验证您的域所有权。
-
成功验证后,将显示以下页面。单击继续。
-
Google 会创建一个 EMM 绑定令牌,您需要将其提供给 Citrix® 并在配置 Android Enterprise 设置时使用。复制并保存该令牌;您在设置过程中稍后需要它。
-
单击完成以完成 Android Enterprise 设置。将显示一个页面,指示您已成功验证您的域。
创建 Android Enterprise 服务帐户后,您可以登录 Google Admin console 以管理移动性管理设置。
设置 Android Enterprise 服务帐户并下载 Android Enterprise 证书
为了允许 XenMobile 联系 Google Play 和目录服务,您必须使用面向开发人员的 Google Project 门户创建一个服务帐户。此服务帐户用于 XenMobile 与适用于 Android 的 Google 服务之间的服务器到服务器通信。有关所用身份验证协议的更多信息,请访问 https://developers.google.com/identity/protocols/OAuth2ServiceAccount。
-
在 Web 浏览器中,访问 https://console.cloud.google.com/project 并使用 Google 管理员凭据登录。
-
在项目列表中,单击创建项目。
-
在项目名称中,键入项目的名称。
-
在控制面板上,单击使用 Google API。
-
单击库,在搜索中键入 EMM,然后单击搜索结果。
-
在概览页面上,单击启用。
-
在 Google Play EMM API 旁边,单击转到凭据。
-
在将凭据添加到我们的项目列表中,在步骤 1 中,单击服务帐户。
-
在服务帐户页面上,单击创建服务帐户。
-
在创建服务帐户中,命名帐户,然后选中提供新私钥复选框。单击 P12,选中启用 Google Apps 域范围委派复选框,然后单击创建。
证书 (P12 文件) 将下载到您的计算机。务必将证书保存在安全位置。
-
在服务帐户已创建确认页面上,单击关闭。
-
在权限中,单击服务帐户,然后在服务帐户的选项下,单击查看客户端 ID。
-
Google Admin console 上帐户授权所需的详细信息将显示。将客户端 ID 和服务帐户 ID 复制到您以后可以检索信息的位置。您需要此信息以及域名,以便发送给 Citrix 支持以进行允许。
-
在库页面上,搜索 Admin SDK,然后单击搜索结果。
-
在概览页面上,单击启用。
-
打开您的域的 Google Admin console,然后单击安全性。
-
在设置页面上,单击显示更多,然后单击高级设置。
-
单击管理 API 客户端访问。
-
在客户端名称中,键入您之前保存的客户端 ID,在一个或多个 API 范围中,键入
https://www.googleapis.com/auth/admin.directory.user,然后单击授权。
绑定到 EMM
在使用 XenMobile 管理 Android 设备之前,您必须联系 Citrix 技术支持并提供您的域名、服务帐户和绑定令牌。Citrix 将令牌绑定到 XenMobile 作为您的企业移动性管理 (EMM) 提供商。有关 Citrix 技术支持的联系信息,请参阅 Citrix 技术支持。
-
要确认绑定,请登录 Google Admin portal,然后单击安全性。
-
单击管理适用于 Android 的 EMM 提供商。
您会看到您的 Google Android Enterprise 帐户已绑定到 Citrix 作为您的 EMM 提供商。
确认令牌绑定后,您可以开始使用 XenMobile console 管理您的 Android 设备。导入您在步骤 14 中生成的 P12 证书。设置 Android Enterprise 服务器设置,启用基于 SAML 的单点登录 (SSO),并定义至少一个 Android Enterprise 设备策略。
导入 P12 证书
按照以下步骤导入您的 Android Enterprise P12 证书:
-
登录 XenMobile console。
-
单击控制台右上角的齿轮图标以打开设置页面,然后单击证书。将显示证书页面。
-
单击导入。将显示导入对话框。
配置以下设置:
- 导入:在列表中,单击密钥库。
- 密钥库类型:在列表中,单击 PKCS#12。
- 用作:在列表中,单击服务器。
- 密钥库文件:单击浏览并导航到 P12 证书。
- 密码:键入密钥库密码。
- 描述:(可选)键入证书的描述。
-
单击导入。
设置 Android Enterprise 服务器设置
-
在 XenMobile console 中,单击控制台右上角的齿轮图标。将显示设置页面。
-
在服务器下,单击Android Enterprise。将显示Android Enterprise页面。
配置以下设置,然后单击保存。
- 域名:键入您的 Android Enterprise 域名;例如,domain.com。
- 域管理员帐户:键入您的域管理员用户名;例如,用于 Google Developer Portal 的电子邮件帐户。
-
服务帐户 ID:键入您的服务帐户 ID;例如,Google 服务帐户中关联的电子邮件 (
serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com)。 - 客户端 ID:键入您的 Google 服务帐户的数字客户端 ID。
- 启用 Android Enterprise:选择启用或禁用 Android Enterprise。
启用基于 SAML 的单点登录
-
登录 XenMobile console。
-
单击控制台右上角的齿轮图标。将显示设置页面。
-
单击证书。将显示证书页面。
-
在证书列表中,单击 SAML 证书。
-
单击导出并将证书保存到您的计算机。
-
使用您的 Android Enterprise 管理员凭据登录 Google 管理门户。有关访问门户的信息,请参阅 Google 管理门户。
-
单击安全。
-
在安全下,单击设置单点登录 (SSO),然后配置以下设置。
-
登录页面 URL:键入用户登录到您的系统和 Google Apps 的 URL。例如:
https://<Xenmobile-FQDN>/aw/saml/signin。 -
注销页面 URL:键入用户注销时重定向到的 URL。例如:
https://<Xenmobile-FQDN>/aw/saml/signout。 -
更改密码 URL:键入允许用户在您的系统中更改其密码的 URL。例如:
https://<Xenmobile-FQDN>/aw/saml/changepassword。如果定义了此字段,即使 SSO 不可用,用户也会看到此提示。 - 验证证书:单击选择文件,然后导航到从 XenMobile 导出的 SAML 证书。
-
登录页面 URL:键入用户登录到您的系统和 Google Apps 的 URL。例如:
-
单击保存更改。
设置 Android Enterprise 设备策略
设置密码策略,以便用户在首次注册时必须在其设备上建立密码。
设置任何设备策略的基本步骤如下。
-
登录 XenMobile 控制台。
-
单击配置,然后单击设备策略。
-
单击添加,然后在添加新策略对话框中,选择要添加的策略。在此示例中,您单击密码。
-
完成策略信息页面。
-
单击 Android Enterprise,然后配置策略的设置。
-
将策略分配给交付组。
配置 Android Enterprise 帐户设置
在开始管理设备上的 Android 应用程序和策略之前,您必须在 XenMobile 中设置 Android Enterprise 域和帐户信息。首先,在 Google 上完成 Android Enterprise 设置任务,以设置域管理员并获取服务帐户 ID 和绑定令牌。
-
在 XenMobile Web 控制台中,单击右上角的齿轮图标。将显示设置页面。
-
在服务器下,单击 Android Enterprise。将显示 Android Enterprise 配置页面。
-
在 Android Enterprise 页面上,配置以下设置:
- 域名:键入您的域名。
- 域管理员帐户:键入您的域管理员用户名。
- 服务帐户 ID:键入您的 Google 服务帐户 ID。
- 客户端 ID:键入您的 Google 服务帐户的客户端 ID。
- 启用 Android Enterprise:选择是否启用 Android Enterprise。
-
单击保存。
为 XenMobile 设置 Google Workspace 合作伙伴访问权限
Chrome 的某些端点管理功能使用 Google 合作伙伴 API 在 XenMobile 和您的 Google Workspace 域之间进行通信。例如,XenMobile 需要 API 来实现管理 Chrome 功能(如隐身模式和访客模式)的设备策略。
要启用合作伙伴 API,您需要在 XenMobile 控制台中设置您的 Google Workspace 域,然后配置您的 Google Workspace 帐户。
在 XenMobile 中设置您的 Google Workspace(以前称为 G Suite)域
要使 XenMobile 能够与您的 Google Workspace 域中的 API 进行通信,请转至设置 > Google Chrome 配置并配置设置。
- G Suite 域:托管 XenMobile 所需 API 的 Google Workspace 域。
- G Suite 管理员帐户:您的 G Suite 域的管理员帐户。
- G Suite 客户端 ID:Citrix 的客户端 ID。使用此值配置您的 Google Workspace 域的合作伙伴访问权限。
- G Suite 企业 ID:您的帐户的企业 ID,从您的 Google 企业帐户中填写。
为您的 Google Workspace 域中的设备和用户启用合作伙伴访问权限
-
登录 Google 管理控制台:https://admin.google.com
-
单击设备管理。
-
单击 Chrome 管理。
-
单击用户设置。
-
搜索 Chrome 管理 - 合作伙伴访问。
-
选中启用 Chrome 管理 - 合作伙伴访问复选框。
-
同意您理解并希望启用合作伙伴访问。单击保存。
-
在 Chrome 管理页面中,单击设备设置。
-
搜索 Chrome 管理 - 合作伙伴访问。
-
选中启用 Chrome 管理 - 合作伙伴访问复选框。
-
同意您理解并希望启用合作伙伴访问。单击保存。
-
转到安全页面,然后单击高级设置。
-
单击管理 API 客户端访问。
-
在 XenMobile 控制台中,转到设置 > Google Chrome 配置并复制 Google Workspace 客户端 ID 的值。然后,返回到管理 API 客户端访问页面并将复制的值粘贴到客户端名称字段。
-
在一个或多个 API 范围中,添加 URL:
https://www.googleapis.com/auth/chromedevicemanagementapi
-
单击授权。
将显示消息“您的设置已保存”。
注册 Android Enterprise 设备
如果您的设备注册过程要求用户输入用户名或用户 ID,则接受的格式取决于 XenMobile Server 配置为按用户主体名称 (UPN) 还是 SAM 帐户名称搜索用户。
如果 XenMobile Server 配置为按 UPN 搜索用户,则用户必须按以下格式输入 UPN:
- 用户名@域
如果 XenMobile Server 配置为按 SAM 搜索用户,则用户必须按以下格式之一输入 SAM:
- 用户名@域
- 域\用户名
要确定您的 XenMobile Server 配置为哪种类型的用户名:
- 在 XenMobile Server 控制台中,单击右上角的齿轮图标。将显示设置页面。
- 单击 LDAP 以查看 LDAP 连接的配置。
-
在页面底部附近,查看用户搜索依据字段:
- 如果设置为 userPrincipalName,则 XenMobile Server 设置为 UPN。
- 如果设置为 sAMAccountName,则 XenMobile Server 设置为 SAM。
取消注册 Android Enterprise 企业
您可以使用 XenMobile Server 控制台和 XenMobile Tools 取消注册 Android Enterprise 企业。
执行此任务时,XenMobile Server 会为 XenMobile Tools 打开一个弹出窗口。开始之前,请确保 XenMobile Server 具有在您正在使用的浏览器中打开弹出窗口的权限。某些浏览器(例如 Google Chrome)要求您禁用弹出窗口阻止并将 XenMobile 站点的地址添加到弹出窗口阻止允许列表。
警告:
取消注册企业后,通过该企业注册的设备上的 Android Enterprise 应用程序将重置为其默认状态。这些设备将不再由 Google 管理。在没有进一步配置的情况下,将它们重新注册到 Android Enterprise 企业可能无法恢复以前的功能。
取消注册 Android Enterprise 企业后:
- 通过该企业注册的设备和用户,其 Android Enterprise 应用程序将重置为默认状态。以前应用的 Android Enterprise 应用程序权限和 Android Enterprise 应用程序限制策略将不再生效。
- 通过该企业注册的设备由 XenMobile 管理,但从 Google 的角度来看是未管理的。无法添加新的 Android Enterprise 应用程序。无法应用 Android Enterprise 应用程序权限或 Android Enterprise 应用程序限制策略。其他策略(例如计划、密码和限制)仍可应用于这些设备。
- 如果您尝试在 Android Enterprise 中注册设备,它们将注册为 Android 设备,而不是 Android Enterprise 设备。
要取消注册 Android Enterprise 企业:
-
在 XenMobile 控制台中,单击右上角的齿轮图标。将显示“设置”页面。
-
在“设置”页面上,单击 Android Enterprise。
-
单击删除企业。
-
指定密码。您需要此密码才能在下一步中完成取消注册。然后单击取消注册。
-
当 XenMobile Tools 页面打开时,输入您在上一步中创建的密码。
-
单击取消注册。
在 Android Enterprise 中预配完全托管的设备
只有公司拥有的设备才能成为 Android Enterprise 的完全托管设备。在完全托管的设备上,整个设备(而不仅仅是工作配置文件)由公司或组织控制。完全托管的设备也称为工作托管设备。
XenMobile 支持以下完全托管设备的注册方法:
- afw#xenmobile:使用此注册方法,用户在设置设备时输入字符“afw#xenmobile”。此令牌将设备标识为由 XenMobile 管理并下载 Secure Hub。
- QR 码:QR 码预配是一种简单的方法,用于预配不支持 NFC 的分布式设备群,例如平板电脑。QR 码注册方法可用于已重置为出厂设置的设备群。QR 码注册方法通过从设置向导扫描 QR 码来设置和配置完全托管的设备。
- 近场通信 (NFC) 碰撞:NFC 碰撞注册方法可用于已重置为出厂设置的设备群。NFC 碰撞通过使用近场通信在两台设备之间传输数据。在恢复出厂设置的设备上,蓝牙、Wi-Fi 和其他通信模式均已禁用。NFC 是设备在此状态下可以使用的唯一通信协议。
afw#xenmobile
此注册方法用于在新设备或恢复出厂设置的设备开机后进行初始设置。当系统提示用户输入 Google 帐户时,用户输入“afw#xenmobile”。此操作会下载并安装 Secure Hub。然后,用户按照 Secure Hub 设置提示完成注册。
此注册方法推荐给大多数客户,因为最新版本的 Secure Hub 是从 Google Play 商店下载的。与其他注册方法不同,您无需从 XenMobile Server 提供 Secure Hub 进行下载。
先决条件:
- 支持所有运行 Android 5.0 及更高版本的 Android 设备。
QR 码
要使用 QR 码在设备模式下注册设备,您需要通过创建 JSON 并将 JSON 转换为 QR 码来生成 QR 码。设备摄像头扫描 QR 码以注册设备。
先决条件:
- 支持所有运行 Android 7.0 及更高版本的 Android 设备。
从 JSON 创建 QR 码
创建包含以下字段的 JSON。
这些字段是必需的:
键:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME
Value: com.zenprise/com.zenprise.configuration.AdminFunction
Key: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM
Value: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM
Key: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION
Value: https://path/to/securehub.apk
注意:
如果 Secure Hub 作为企业应用上传到 Citrix XenMobile Server,则可以从
https://<fqdn>:4443/*instanceName*/worxhome.apk下载。设备在预配期间连接到的 Wi-Fi 连接必须能够访问 Secure Hub APK 的路径。
这些字段是可选的:
-
android.app.extra.PROVISIONING_LOCALE: 输入语言和国家/地区代码。
语言代码是 ISO 639-1 中定义的两位小写 ISO 语言代码(例如 en)。国家/地区代码是 ISO 3166-1 中定义的两位大写 ISO 国家/地区代码(例如 US)。例如,输入 en_US 表示在美国使用的英语。
-
android.app.extra.PROVISIONING_TIME_ZONE: 设备运行所在的时区。
输入 Olson 区域/位置形式的名称。例如,America/Los_Angeles 表示太平洋时间。如果您不输入,时区将自动填充。
-
android.app.extra.PROVISIONING_LOCAL_TIME: 自 Epoch 以来的毫秒数。
Unix 纪元(或 Unix 时间、POSIX 时间或 Unix 时间戳)是自 1970 年 1 月 1 日(UTC/GMT 午夜)以来经过的秒数。该时间不包括闰秒(在 ISO 8601 中:1970-01-01T00:00:00Z)。
-
android.app.extra.PROVISIONING_SKIP_ENCRYPTION: 设置为 true 可在配置文件创建期间跳过加密。设置为 false 可在配置文件创建期间强制加密。
典型的 JSON 如下所示:
使用任何 JSON 验证工具(例如 https://jsonlint.com)验证创建的 JSON。使用任何在线 QR 码生成器(例如 https://goqr.me)将该 JSON 字符串转换为 QR 码。
此 QR 码由恢复出厂设置的设备扫描,以将设备注册到工作管理设备模式。
注册设备
要将设备注册为完全托管设备,设备必须处于恢复出厂设置状态。
- 在欢迎屏幕上轻触屏幕六次,以启动 QR 码注册流程。
-
出现提示时,连接到 Wi-Fi。QR 码中(编码在 JSON 中)Secure Hub 的下载位置可通过此 Wi-Fi 网络访问。
设备成功连接到 Wi-Fi 后,它会从 Google 下载一个 QR 码读取器并启动相机。
-
将相机对准 QR 码以扫描代码。
Android 会从 QR 码中的下载位置下载 Secure Hub,验证签名证书签名,安装 Secure Hub 并将其设置为设备所有者。
有关详细信息,请参阅此适用于 Android EMM 开发人员的 Google 指南:https://developers.google.com/android/work/prov-devices#qr_code_method。
NFC 碰触
要使用 NFC 碰触将设备注册为完全托管设备,需要两台设备:一台已恢复出厂设置,另一台运行 XenMobile Provisioning Tool。
先决条件:
- 支持运行 Android 5.0、Android 5.1、Android 6.0 及更高版本的所有 Android 设备。
- 已启用 Android Enterprise 的 XenMobile Server 10.4 版。
- 已预配为 Android Enterprise 完全托管设备的新设备或恢复出厂设置的设备。您可以在本文后面找到完成此先决条件的步骤。
- 另一台具有 NFC 功能的设备,运行已配置的 Provisioning Tool。Provisioning Tool 可在 Secure Hub 10.4 中或 Citrix 下载页面上获取。
每台设备只能有一个 Android Enterprise 配置文件,由企业移动管理 (EMM) 应用管理。在 XenMobile 中,Secure Hub 是 EMM 应用。每台设备只允许一个配置文件。尝试添加第二个 EMM 应用会删除第一个 EMM 应用。
通过 NFC 碰触传输的数据
预配恢复出厂设置的设备需要您通过 NFC 碰触发送以下数据以初始化 Android Enterprise:
- 充当设备所有者的 EMM 提供程序应用的包名称(在本例中为 Secure Hub)。
- 设备可以下载 EMM 提供程序应用的内网/互联网位置。
- EMM 提供程序应用的 SHA1 哈希值,用于验证下载是否成功。
- Wi-Fi 连接详细信息,以便恢复出厂设置的设备可以连接并下载 EMM 提供程序应用。注意:Android 现在不支持此步骤的 802.1x Wi-Fi。
- 设备的时区(可选)。
- 设备的地理位置(可选)。
当两台设备碰触时,Provisioning Tool 中的数据将发送到恢复出厂设置的设备。然后,该数据用于下载具有管理员设置的 Secure Hub。如果您不输入时区和位置值,Android 会自动在新设备上配置这些值。
配置 XenMobile Provisioning Tool
在进行 NFC 碰触之前,您必须配置 Provisioning Tool。此配置随后会在 NFC 碰触期间传输到恢复出厂设置的设备。
您可以将数据键入到必填字段中,或通过文本文件填充这些字段。下一个过程中的步骤描述了如何配置文本文件,并包含每个字段的说明。应用在您键入信息后不会保存信息,因此您可能需要创建一个文本文件以保留信息供将来使用。
使用文本文件配置 Provisioning Tool
将文件命名为 nfcprovisioning.txt,并将其放置在设备 SD 卡的 /sdcard/ 文件夹中。然后,应用可以读取文本文件并填充值。
文本文件必须包含以下数据:
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>
此行是 EMM 提供程序应用的内网/互联网位置。在恢复出厂设置的设备通过 NFC 碰触连接到 Wi-Fi 后,设备必须能够访问此位置才能下载。URL 是一个常规 URL,无需特殊格式。
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>
此行是 EMM 提供程序应用的校验和。此校验和用于验证下载是否成功。获取校验和的步骤将在本文后面讨论。
android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>
此行是运行 Provisioning Tool 的设备所连接的 Wi-Fi SSID。
android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>
支持的值为 WEP 和 WPA2。如果 Wi-Fi 未受保护,则此字段必须为空。
android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>
如果 Wi-Fi 未受保护,则此字段必须为空。
android.app.extra.PROVISIONING_LOCALE=<locale>
输入语言和国家/地区代码。语言代码是 ISO 639-1 中定义的两位小写 ISO 语言代码(例如 en)。国家/地区代码是 ISO 3166-1 中定义的两位大写 ISO 国家/地区代码(例如 US)。例如,键入 en_US 表示在美国使用的英语。如果您不键入任何代码,国家/地区和语言将自动填充。
android.app.extra.PROVISIONING_TIME_ZONE=<timezone>
设备运行所在的时区。键入 Olson 区域/位置形式的名称。例如,America/Los_Angeles 表示太平洋时间。如果您不输入名称,时区将自动填充。
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>
此数据不是必需的,因为该值已作为 Secure Hub 硬编码到应用中。此处提及仅为完整性考虑。
如果 Wi-Fi 使用 WPA2 保护,则完成的 nfcprovisioning.txt 文件可能如下所示:
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d
android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name
android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2
android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere
android.app.extra.PROVISIONING_LOCALE=en_US
android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles
<!--NeedCopy-->
如果 Wi-Fi 未受保护,则完成的 nfcprovisioning.txt 文件可能如下所示:
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d
android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name
android.app.extra.PROVISIONING_LOCALE=en_US
android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles
<!--NeedCopy-->
获取 Secure Hub 校验和
要获取任何应用的校验和,请将该应用添加为企业应用。
-
在 XenMobile 控制台中,转到“配置 > 应用”,然后单击“添加”。
“添加应用”窗口随即显示。
-
单击“企业”。
“应用信息”页面随即显示。
-
选择以下配置,然后单击“下一步”。
“Android Enterprise 企业应用”页面随即显示。
-
提供 .apk 的路径,然后单击“下一步”以上传文件。
上传完成后,将显示上传包的详细信息。
- 单击“下一步”以打开下载 JSON 文件的页面,然后您可以使用该文件上传到 Google Play。对于 Secure Hub,不需要上传到 Google Play,但您需要 JSON 文件才能从中读取 SHA1 值。
典型的 JSON 文件如下所示:
-
复制 file_sha1_base64 值,并在 Provisioning Tool 的“哈希”字段中使用它。
注意:
哈希值必须是 URL 安全的。
- 将所有 + 符号转换为 -
- 将所有 / 符号转换为 _
- 将尾随的 \u003d 替换为 =
如果您将哈希值存储在设备 SD 卡上的 nfcprovisioning.txt 文件中,应用会执行安全转换。但是,如果您选择手动键入哈希值,则您有责任确保其 URL 安全性。
使用的库
Provisioning Tool 在其源代码中使用了以下库:
-
Google 在 Apache 2.0 许可下提供的 v7 appcompat 库、Design support 库和 v7 Palette 库
有关信息,请参阅 Support Library Features Guide。
-
Jake Wharton 在 Apache 2.0 许可下提供的 Butter Knife
在 Android Enterprise 中预配工作配置文件设备
在 Android Enterprise 中的工作配置文件设备上,您可以安全地分离设备上的公司区域和个人区域。例如,BYOD 设备可以是工作配置文件设备。工作配置文件设备的注册体验类似于 XenMobile 中的 Android 注册。用户从 Google Play 下载 Secure Hub 并注册其设备。
默认情况下,当设备作为工作配置文件设备注册到 Android Enterprise 时,设备上的 USB 调试和未知来源设置处于禁用状态。
提示:
将设备注册到 Android Enterprise 作为工作配置文件设备时,请始终转到 Google Play。从那里,启用 Secure Hub 以显示在用户的个人配置文件中。
在本文中
- 创建 Android Enterprise 帐户
- 设置 Android Enterprise 服务帐户并下载 Android Enterprise 证书
- 绑定到 EMM
- 导入 P12 证书
- 设置 Android Enterprise 服务器设置
- 启用基于 SAML 的单点登录
- 设置 Android Enterprise 设备策略
- 配置 Android Enterprise 帐户设置
- 为 XenMobile 设置 Google Workspace 合作伙伴访问权限
- 注册 Android Enterprise 设备
- 取消注册 Android Enterprise 企业
- 在 Android Enterprise 中预配完全托管的设备
- 在 Android Enterprise 中预配工作配置文件设备