Android Enterprise

Android Enterprise 是 Android 设备上提供的一个安全工作区。该工作区将企业帐户、应用程序和数据与个人帐户、应用程序和数据隔离开来。

在 Endpoint Management 中,通过允许用户在其设备上创建单独的工作配置文件来管理自带设备 (BYOD) 以及公司拥有的 Android 设备。通过结合使用硬件加密以及您部署的策略,可以安全地隔离设备上的企业区域和个人区域。您可以在不影响用户个人区域的情况下,远程管理或擦除所有公司策略、应用程序和数据。有关支持的 Android 设备的详细信息,请参阅 Google Android Enterprise Web 站点。

托管 Google Play 将熟悉的 Google Play 用户体验和应用商店功能与专为企业设计的一组管理功能相结合。使用托管 Google Play 可添加、购买和审批应用程序,以便部署到设备上的 Android Enterprise 工作区。可以使用 Google Play 部署您的私有 Android 应用程序,以及公共和第三方应用程序。向 Endpoint Management 中添加面向 Android Enterprise 的付费公共应用商店应用程序时,可以查看批量购买许可状态。该状态显示可用许可证总数、现在正在使用的数量以及占用这些许可证的每个用户的电子邮件地址。有关向 Endpoint Management 中添加应用程序的详细信息,请参阅添加公共应用商店应用程序

在托管设备上,托管 Google Play 是用户的企业应用商店。界面与 Google Play 类似。用户可以浏览应用程序、查看应用程序详细信息以及安装这些应用程序。与 Google Play 的公共版本不同,用户只能从您为其提供的托管 Google Play 安装应用程序。

托管 Google Play 或 G Suite

可以使用托管 Google Play 或 G Suite 将 Citrix 注册为您的企业移动性管理 (EMM) 提供商。

如果贵组织不使用 G Suite,您可以使用托管 Google Play 将 G Suite 注册为 EMM。如果使用托管 Google Play,您将为设备和最终用户预配托管 Google Play 帐户。托管 Google Play 帐户提供对托管 Google play 的访问,以允许用户安装和使用您提供的工作应用程序。如果贵组织使用第三方身份服务,您可以将托管 Google Play 帐户与您的现有身份帐户链接。

由于这种类型的企业未绑定到域,因此,您可以为单个组织创建多个企业。例如,组织中的每个部门或区域都可以注册为不同的企业,以管理不同的设备和应用程序集合。

如果贵组织尚未使用 G Suite 向用户提供对 Google Apps 的访问,您可以使用 G Suite 将 Citrix 注册为 EMM。如果贵组织使用 G Suite,它将具有现有企业 ID 和用户的现有 Google 帐户。要将 Endpoint Management 与 G Suite 配合使用,请使用 Google Directory API 与 LDAP 目录同步并从 Google 检索 Google 帐户信息。由于这种类型的企业绑定到现有域,因此,每个域只能创建一个企业。要在 Endpoint Management 中注册设备,每个用户都必须使用其现有的 Google 帐户手动登录。除了 G Suite 计划提供的任何其他 Google 服务外,该帐户还允许用户访问托管 Google Play。

注册模式、身份验证和连接通知

Endpoint Management 将 Android 设备注册到 MDM + MAM 或 MDM 模式, 用户可以选择在仅 MAM 模式下注册。Endpoint Management 在 MDM + MAM 模式下支持 Android 设备的以下身份验证类型。有关信息,请参阅证书和身份验证下的文章。

  • 域加安全令牌
  • 客户端证书
  • 客户端证书加域
  • 身份提供程序:
    • Azure Active Directory
    • Citrix 身份提供程序

另一个很少使用的身份验证方法为客户端证书和安全令牌。有关信息,请参阅 https://support.citrix.com/article/CTX215200

要控制何时以及何时 Android 设备连接到 Endpoint Management service, 请使用 Firebase Cloud Messaging (FCM)。有关信息,请参阅 Firebase Cloud Messaging

启动 Android Enterprise device management

开始执行 Android Enterprise 设备管理的常规工作流程如下:

  1. 完成加入过程。请参阅载入和资源设置准备注册设备并交付资源

  2. 通过托管 Google Play 设置 Android Enterprise或者使用G Suite

  3. 配置 Android Enterprise 设备策略

  4. 选择用于注册的用户名称类型

  5. 选择预配方法:

  6. 设置设备和应用程序安全操作。请参阅安全操作

有关支持的操作系统,请参阅支持的设备操作系统

通过托管 Google Play 设置 Android Enterprise

注意:

对于 G Suite 客户,请参阅适用于 G Suite 客户的旧版 Android Enterprise,该文档提供了一个包含相关策略信息的表格。

要为贵组织设置 Android Enterprise,您需要通过映射的 Google Play 注册 Citrix 作为您的企业移动管理 (EMM) 提供程序。这将在 Endpoint Management 中创建一个适用于 Android Enterprise 的企业。

您需要用于登录 Google Play 的企业 Google ID 凭据。

  1. 在 Endpoint Management 控制台中, 单击右上角的齿轮图标。此时将显示设置页面。

  2. 设置页面上,单击 Android Enterprise突出显示了 Android Enterprise 的“设置”页面示意图

  3. 在 Endpoint Management 设置的Android Enterprise页面上, 单击连接。这将使您能够 Google Play。 Android Enterprise 连接到 Google Play 示意图

  4. 使用您的企业 Google ID 登录到 Google Play。输入您的组织名称, 并确认 Citrix 是您的 EMM 提供程序。

  5. 将为 Android Enterprise 添加企业 ID。要启用 Android Enterprise,请将启用 Android Enterprise 滑动到

    “启用 Android Enterprise”选项示意图

发布适用于 Android Enterprise 的 Citrix 移动生产力应用程序

要发布适用于 Android Enterprise 的 Citrix 移动生产力应用程序,请按照下面的步骤操作。

  1. 在托管 Google Play 应用商店帐户中,发布您希望您的用户使用的应用程序。您可以在 https://play.google.com/work 上管理您的 Google Play 帐户。
  2. 在 Endpoint Management 控制台中,按如下所示发布相同的应用程序:
    1. 选择公共应用商店应用程序,然后选择“Android Enterprise”。有关发布公共应用商店应用程序的详细信息,请参阅添加公共应用商店应用程序
    2. 将这些应用程序发布为 MDX 应用程序,以便其接收 MDX 策略。有关发布 MDX 应用程序的详细信息,请参阅添加 MDX 应用程序

取消注册 Android Enterprise 企业

可以使用 Endpoint Management 服务器控制台和 Endpoint Management Tools 取消注册 Android Enterprise 企业。

执行此任务时, Endpoint Management 服务器将打开一个面向 Endpoint Management 工具的弹出窗口。开始之前,请确保 Endpoint Management 服务器有权在您使用的浏览器中打开弹出窗口。某些浏览器(例如 Google Chrome)要求禁用弹出窗口阻止功能并将 Endpoint Management 站点的地址添加到弹出窗口阻止白名单中。

警告:

取消注册企业后,通过其注册的设备上的 Android Enterprise 应用程序将重置到其默认状态。Google 不再管理设备。除非进一步进行配置,否则,在 Android Enterprise 企业中重新注册这些设备可能不会恢复以前的功能。

取消注册 Android Enterprise 企业后:

  • 通过企业注册的设备和用户会将 Android Enterprise 应用程序重置到其默认状态。以前应用的“Android Enterprise 应用程序权限”和“Android Enterprise 托管配置”策略不再影响操作。
  • Endpoint Management 负责管理通过企业注册的设备。从 Google 的角度来看, 这些设备处于未托管状态。无法添加新的 Android Enterprise 应用程序。无法应用 Android Enterprise 的应用程序权限或托管配置策略 Android Enterprise。可以将其他策略(例如“计划”、“密码”和“限制”)应用到这些设备。
  • 如果尝试在 Android Enterprise 中注册设备,这些设备将注册为 Android 设备,而非 Android Enterprise 设备。

要取消注册 Android Enterprise 企业,请执行以下操作:

  1. 在 Endpoint Management 控制台中, 单击右上角的齿轮图标。此时将显示“设置”页面。

  2. 在“设置”页面上,单击 Android Enterprise

  3. 单击取消注册

    “取消注册”选项图

配置 Android Enterprise 设备策略

使用这些策略可配置 Endpoint Management 与运行 Android Enterprise 的设备的交互方式。下表列出了适用于 Android Enterprise 设备的所有设备策略。

     
Android Enterprise 应用程序权限 Android Enterprise 托管配置 应用程序卸载
应用程序清单 控制操作系统更新 计划
凭据 自定义 XML Exchange
是否需要 Kiosk 位置 通行码
限制 Samsung MDM 许可证密钥 WiFi
适用于企业的 Knox 平台设备策略 文件设备策略  

Android Enterprise 支持的设备策略和 MDX 策略另请参阅。

选择用于注册的用户名称类型

如果您的设备注册过程要求用户输入用户名或用户 ID:接受的格式取决于 Endpoint Management 配置为按用户主体名称 (UPN) 还是 SAM 帐户名称来搜索用户。

如果 Endpoint Management 配置为按 UPN 搜索用户,用户必须按以下格式输入 UPN:

  • 用户名@

如果 Endpoint Management 配置为按 SAM 搜索用户,用户必须按以下格式之一输入 SAM:

  • 用户名@
  • 域\用户名

要确定 Endpoint Management 使用的用户名类型, 请执行以下操作:

  1. 在 Endpoint Management 控制台中, 单击右上角的齿轮图标。此时将显示设置页面。
  2. 单击 LDAP 以查看 LDAP 连接的配置。
  3. 在靠近页面底部的位置,查看用户搜索依据字段:

    • 如果设置为 userPrincipalName,Endpoint Management 将设置为按 UPN 搜索。
    • 如果设置为 sAMAccountName,Endpoint Management 将设置为按 SAM 搜索。

在 Android Enterprise 中预配完全托管设备

只有公司拥有的设备可以在 Android Enterprise 中注册为完全托管设备。在完全托管设备上,整个设备(而不仅仅是工作配置文件)由公司或组织控制。完全托管设备也称为工作托管设备。

Endpoint Management 支持对完全托管设备使用以下注册方法:

  • afw#xenmobile。如果使用此注册方法,用户在设置设备时将输入字符 afw#xenmobile。此令牌将设备标识为由 Endpoint Management 托管并下载 Secure Hub。
  • QR 代码: QR 代码预配是预配不支持 NFC 的分布式设备队列(例如平板电脑)的简便方式。可以在已恢复出厂设置的队列设备上使用 QR 代码注册方法。QR 代码注册方法通过扫描设置向导中的 QR 代码来设置并配置完全托管设备。
  • 近场通信 (NFC) 碰撞。可以在已重置为出厂设置的队列设备上使用 NFC 碰撞注册方法。NFC 碰撞通过在两个设备之间使用近场通信来传输数据。蓝牙、Wi-Fi 和其他通信模式在恢复出厂设置的设备上处于禁用状态。NFC 是此状态下设备可以使用的唯一通信协议。
  • 零接触。零接触注册允许您将设备配置为在首次启动时自动注册。在运行 Android 8.0 或更高版本的某些 Android 设备上支持零接触注册。
  • Google 帐户用户输入其 Google 帐户凭据以启动预配过程。适用于使用 G Suite 的企业。

afw#xenmobile

此注册方法在打开新设备或恢复出厂设置的设备以便进行初始设置后使用。系统提示输入 Google 帐户时,用户输入 afw#xenmobile。此操作将下载并安装 Secure Hub。用户随后将按照 Secure Hub 设置提示进行操作,完成注册过程。

对于大多数客户,建议使用此注册方法,因为是从 Google Play 应用商店下载最新版本的 Secure Hub。与其他注册方法不同,您不用提供要从 Endpoint Management 服务器下载的 Secure Hub。

系统要求

  • 在运行 Android OS 的所有 Android 设备上均受支持。

QR 代码

要使用 QR 代码注册完全托管设备,请通过创建一个 JSON 并将该 JSON 转换为 QR 代码来生成 QR 代码。将使用设备相机扫描 QR 代码以注册设备。

系统要求

  • 在运行 Android 7.0 及更高版本的所有 Android 设备上均受支持。

从 JSON 创建 QR 代码

创建包含以下字段的 JSON。

以下字段均为必填项:

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

值:com.zenprise/com.zenprise.configuration.AdminFunction

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

值:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

值: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

以下字段为选填字段:

  • android.app.extra.PROVISIONING_LOCALE: 输入语言和国家/地区代码。

    语言代码为包含两个小写字母的 ISO 语言代码(例如 en),如 ISO 639-1 所定义。国家/地区代码为包含两个大写字母的 ISO 国家/地区代码(例如 US),如 ISO 3166-1 所定义。例如,请输入 en_US 表示在美国所讲的英语。

  • android.app.extra.PROVISIONING_TIME_ZONE: 设备运行时所在的时区。

    输入表单区域/位置的 Olson 名称。例如,America/Los_Angeles 表示太平洋时间。如果未输入,则将自动填充时区。

  • android.app.extra.PROVISIONING_LOCAL_TIME: 从 Epoch 开始经过的时间(毫秒)。

    Unix epoch(或 Unix 时间、POSIX 时间或 Unix 时间戳)是指从 1970 年 1 月 1 日(午夜,UTC/GMT)开始经过的秒数。该时间不包括闰秒(在 ISO 8601 中为:1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: 设置为 true 将在配置文件创建期间跳过加密。设置为 false 将在配置文件创建期间强制加密。

典型的 JSON 如下:

典型的 JSON 图

使用任意 JSON 验证工具(例如 https://jsonlint.com)验证创建的 JSON。然后使用任意联机 QR 代码生成器(例如 https://goqr.me)将该 JSON 字符串转换为 QR 代码。

恢复出厂设置的设备将扫描此 QR 代码以将设备注册为完全托管设备。

注册设备

要将设备注册为完全托管设备,该设备必须处于已恢复出厂设置状态。

  1. 在欢迎屏幕上轻按该屏幕六次以启动 QR 代码注册流程。
  2. 系统提示时,连接到 Wi-Fi。QR 代码(JSON 编码)中 Secure Hub 的下载位置可以通过此 Wi-Fi 网络访问。

    设备成功连接到 Wi-Fi 后,将从 Google 下载一个 QR 代码读取器并启动摄像头。

  3. 将摄像头对准 QR 代码以扫描该代码。

    Android 将从 QR 代码中的下载位置下载 Secure Hub,验证签名证书的签名,安装 Secure Hub 并将其设置为设备所有者。

有关详细信息,请参阅此面向 Android EMM 开发人员的 Google 指南:https://developers.google.com/android/work/prov-devices#qr_code_method

NFC 碰撞

要使用 NFC 碰撞功能将设备注册为完全托管设备,需要两个设备:一个已恢复出厂设置的设备,以及一个运行 Endpoint Management Provisioning Tool 的设备。

系统要求和必备条件

  • 支持的 Android 设备
  • 新的或恢复出厂设置的设备,为 Android Enterprise 预配为完全托管设备。可以在本文中查找完成此必备条件的步骤。
  • 另一个设备具有 NFC 功能,运行已配置的 Provisioning Tool。Provisioning Tool 在 Secure Hub 或 Citrix 下载页面上提供。

每个设备只能配备一个 Android Enterprise 配置文件,通过企业移动性管理 (EMM) 应用程序管理。在 Endpoint Management 中,Secure Hub 为 EMM 应用程序。仅允许在每个设备上配备一个配置文件。尝试添加第二个 EMM 应用程序将删除第一个 EMM 应用程序。

通过 NFC 碰撞传输数据

预配恢复出厂设置的设备需要您通过 NFC 碰撞发送以下数据以初始化 Android Enterprise:

  • 要作为设备所有者(在此示例中为 Secure Hub)的 EMM 提供程序应用程序的包名称。
  • 设备可以从中下载 EMM 提供程序应用程序的 Intranet/Internet 位置。
  • 用于验证下载是否成功的 EMM 提供程序应用程序的 SHA1 哈希。
  • Wi-Fi 连接详细信息,以便恢复出厂设置的设备能够连接和下载 EMM 提供程序应用程序。注意:Android 现在不支持在此步骤中使用 802.1x Wi-Fi。
  • 设备的时区(可选)。
  • 设备的地理位置(可选)。

碰撞两个设备时,来自 Provisioning Tool 的数据将发送到恢复出厂设置的设备。该数据随后用于下载使用管理员设置的 Secure Hub。如果未输入时区和位置值,Android 将在新设备上自动配置值。

配置 Endpoint Management 预配工具

执行 NFC 碰撞之前,必须配置 Provisioning Tool。此配置随后在 NFC 碰撞过程中被传输到恢复出厂设置的设备。

Provisioning Tool 配置图

可以将数据键入到必填字段中,或者通过文本文件进行填充。下一个过程中的步骤介绍了如何配置文本文件,并且包含每个字段的说明。键入后,该应用程序将不保存信息,因此,您可能希望创建一个文本文件以保留该信息供将来使用。

使用文本文件配置 Provisioning Tool

将文件命名为 nfcprovisioning.txt 并将其放置在设备的 SD 卡中的 /sdcard/ 文件夹下。该应用程序随后可以读取文本文件并填充值。

文本文件必须包含以下数据:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

此行为 EMM 提供程序应用程序的 Intranet/Internet 位置。恢复出厂设置的设备在进行 NFC 碰撞后连接到 Wi-Fi 之后,该设备必须有权访问此位置才能进行下载。该 URL 为常规 URL,不需要特殊格式。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

此行是 EMM 提供程序应用程序的校验和。此校验和用于验证下载是否成功。本文中后面的内容介绍了获取校验和的步骤。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

此行是运行 Provisioning Tool 的设备的已连接 Wi-Fi SSID。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

支持的值为 WEP 和 WPA2。如果 Wi-Fi 未受保护,此字段必须留空。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

如果 Wi-Fi 未受保护,此字段必须留空。

android.app.extra.PROVISIONING_LOCALE=<locale>

输入语言和国家/地区代码。语言代码为包含两个小写字母的 ISO 语言代码(例如 en),如 ISO 639-1 所定义。国家/地区代码为包含两个大写字母的 ISO 国家/地区代码(例如 US),如 ISO 3166-1 所定义。例如,请键入 en_US 表示在美国所讲的英语。如果未输入任何代码,则会自动填充国家/地区和语言。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

设备运行时所在的时区。键入表单区域/位置的 Olson 名称。例如,America/Los_Angeles 表示太平洋时间。如果未输入名称,则将自动填充时区。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

不需要此数据,因为值 Secure Hub 被硬编码到应用程序中。在本文中提及的目的只是为了保持完整性。

如果存在通过使用 WPA2 保护的 Wi-Fi,完整的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

如果存在不受保护的 Wi-Fi,完整的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

获取 Secure Hub 校验和

要获取任何应用程序的校验和,请添加该应用程序作为企业应用程序。

  1. 在 Endpoint Management 控制台中,转至配置 > 应用程序,然后单击添加

    此时将显示添加应用程序窗口。

  2. 单击企业

    此时将显示应用程序信息页面。

    “应用程序信息”页面图

  3. 选择以下配置并单击下一步

    此时将显示 Android Enterprise 企业应用程序页面。

    “Android for Work Enterprise App”(Android for Work 企业应用程序)图

  4. 提供 .apk 的路径,然后单击下一步以上载文件。

    上载完成后,系统将显示上载的软件包的详细信息。

    文件上载页面示意图

  5. 单击下一步。单击下载 JSON 以下载随后将用于上载到 Google Play 的 JSON 文件。对于 Secure Hub,不需要上载到 Google Play,但需要 JSON 文件才能从中读取 SHA1 值。

    下载 JSON 文件页面图

    典型的 JSON 文件格式如下:

    典型的 JSON 文件图

  6. 复制 file_sha1_base64 值并在 Provisioning Tool 中的 Hash(哈希)字段中使用。

    注意: 该哈希必须是 URL 安全哈希。

    • 将任何 + 符号转换为 -
    • 将任何 / 符号转换为 _
    • 将尾随 \u003d 替换为 =

    如果您将哈希值存储在设备的 SD 卡上的 nfcprovisioning.txt 文件中,该应用程序将执行安全转换。但是,如果选择手动键入哈希值,您将负责确保其 URL 的安全性。

使用的库

Provisioning Tool 在其源代码中使用以下库:

  • Google 遵循 Apache License 2.0 提供的 v7 appcompat 库、Design Support Library 以及 v7 Palette 库

    有关信息,请参阅 支持库功能指南

  • Jake Wharton 遵循 Apache License 2.0 提供的 Butter Knife

零接触注册

零接触注册允许您设置设备, 使其在首次启动时预配为完全管理的设备。

您的设备零售商在 Android 零接触门户上为您创建一个帐户, 这是一个联机工具, 允许您对设备应用配置。使用 Android 零接触门户创建一个或多个零接触注册配置, 并将配置应用于分配给您的帐户的设备。当您的用户开启这些设备的电源时, 这些设备将自动在 Endpoint Management 中注册。分配给设备的配置定义其自动注册过程。

系统要求

  • 支持零接触注册, 开头为 Android 8.0。

  • 设备必须是新的或出厂的重置。

您的经销商提供的设备和帐户信息

  • 符合零接触注册条件的设备从企业转销商或 Google 合作伙伴购买。有关 Android Enterprise 零接触合作伙伴的列表, 请参阅Android web 站点

  • 由经销商创建 Android Enterprise 零接触门户帐户。

  • Android Enterprise 您的经销商提供的零接触门户帐户登录信息。

创建零接触配置

创建零接触配置时, 请包括一个自定义 JSON 以指定配置的详细信息。

使用此 JSON 可将设备配置为在您指定的 Endpoint Management 服务器上注册。在此示例中用服务器的 URL 替换 “URL”。

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }

可以使用带有更多参数的可选 JSON 以进一步自定义配置。此示例指定 Endpoint Management 服务器以及使用此配置的设备登录服务器时使用的用户名和密码。

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  1. 请转至的 Android 零接触门户https://partner.android.com/zerotouch。使用您的零触设备经销商提供的帐户信息登录。

  2. 单击配置零接触门户图

  3. 在配置表上方, 单击+零接触门户图

  4. 在显示的配置窗口中输入您的配置信息。 零接触门户图
    • 配置名称:键入为此配置选择的名称。
    • EMM DPC:选择Citrix Secure Hub
    • DPC 额外内容:在此字段中粘贴您的自定义 JSON 文本。
    • 公司名称:键入要在设备预配过程中在 Android Enterprise 零接触设备上显示的名称。
    • 支持电子邮件地址:键入用户可以联系以获得帮助的电子邮件地址。此地址将显示在设备预配之前 Android Enterprise 零接触设备上。
    • 支持电话号码:键入用户可以联系以获得帮助的电话号码。此电话号码将显示在设备预配之前 Android Enterprise 零触设备上。
    • 自定义消息:(可选) 添加一两个句子以帮助您的用户与您联系, 或者为其提供更多有关其设备发生的情况的详细信息。此自定义消息将显示在设备预配之前的 Android Enterprise 零接触设备上。
  5. 单击添加

  6. 要创建更多配置, 请重复步骤2到4。

  7. 要对设备应用配置, 请执行以下操作:

    1. 在 Android 零接触门户中, 单击设备

    2. 在设备列表中找到该设备, 然后选择要为其分配的配置。 零接触门户图

    3. 单击更新

可以使用 CSV 文件将配置应用于多个设备。

有关如何将配置应用于多个设备的信息, 请参阅 Android Enterprise 帮助主题面向 IT 管理员的零接触注册。此 Android Enterprise 帮助主题包含有关如何管理配置并将其应用到设备的详细信息。

在 Android Enterprise 中预配工作配置文件设备

在 Android Enterprise 中的工作配置文件设备上,您安全地分隔了设备上的企业区域与个人区域。例如,BYOD 设备可以是工作配置文件设备。工作配置文件设备的注册体验与 Endpoint Management 中的 Android 注册体验相似。用户将从 Google Play 下载 Secure Hub 并注册其设备。

默认情况下,如果某个设备在 Android Enterprise 中注册为工作配置文件设备,“USB 调试”和“未知来源”设置在该设备上将处于禁用状态。

在 Android Enterprise 中将设备注册为工作配置文件设备时,将始终转至 Google Play。在该应用商店中,允许 Secure Hub 在用户的个人配置文件中显示。

注意:

Endpoint Management 不支持将 Zebra 设备用作工作配置文件设备。Endpoint Management 支持 Zebra 设备作为完全托管设备和设备管理员模式。

预配专用 Android Enterprise 设备

Endpoint Management 支持对专用 Android Enterprise 设备进行管理, 这些设备又称为企业所拥有的单点使用 (COSU) 设备。专用设备执行单个用例,例如数字标识、票证打印或清单管理。管理员将这些设备限制到一个应用程序或一小组应用程序。管理员还将阻止用户启用其他应用程序或在设备上执行其他操作。

要预配专用设备, 请执行以下操作:

  • 添加允许 Endpoint Management 管理员在您的 Endpoint Management 部署中注册专用设备的基于角色的昂问控制 (RBAC) 角色。将此角色分配给要注册专用设备的用户。
  • 为 Endpoint Management 管理员添加注册配置文件, 以允许您将专用设备注册到 Endpoint Management 部署。
  • 将希望专用设备访问的一个或多个应用程序列入白名单。
  • 或者,将列入白名单的应用程序设置为允许锁定任务模式。当某个应用程序处于锁定任务模式时,用户打开时该应用程序将固定到设备屏幕。此时将不显示任何主页按钮,并且“返回”按钮处于禁用状态。用户使用编程到该应用程序中的一项操作退出该应用程序,例如注销。
  • 在恢复出厂设置后首次启动设备时, 请使用 xfw # mobile、NFC 凸块或 QR 代码方法预配每个设备。请afw#xenmobile参阅NFC 碰撞、 [QR 代码]或(#qr-code)。

系统要求

  • 对注册专用设备的支持自 Android 6.0 起启用。
  • 设备必须是新的或出厂的重置。

添加专用 (COSU) 角色

通过注册专用设备的 RBAC 角色, Endpoint Management 可以在设备上无提示预配和激活托管 Google Play 帐户。与托管 Google Play 用户帐户不同,这些设备帐户标识未绑定到某个用户的设备。

您将此 RBAC 角色分配给 Endpoint Management 管理员以使其能够注册专用设备。

要添加用于注册专用设备的 RBAC 角色,请执行以下操作:

  1. 在 Endpoint Management 控制台中, 单击控制台右上角的齿轮图标。此时将显示设置页面。

  2. 单击基于角色的访问控制。此时将显示基于角色的访问控制页面,其中显示了四种默认用户角色以及您之前添加的所有角色。

  3. 单击添加。此时将显示添加角色页面。

  4. 输入以下信息。

    • RBAC 名称: 输入 COSU 或角色的描述性名称。不能更改角色的名称。
    • RBAC 模板: 选择 ADMIN 模板。
    • 授权访问: 选择管理控制台访问COSU 设备注册器
    • 控制台功能: 选择设备
    • 应用权限: 选择要向其应用 COSU 角色的组。如果单击至特定用户组,将显示组列表,您可以从中选择一个或多个组。
  5. 单击下一步。此时将显示分配页面。

  6. 输入下列信息,以将角色分配给用户组。

    • 选择域: 在列表中,单击某个域。
    • 包括用户组: 单击搜索可查看所有可用组的列表。或者,键入完整或部分组名称以将列表限制到仅使用该名称的组。
    • 在显示的列表中,选择要向其分配角色的用户组。选择某个用户组后,此组将显示在选定用户组列表中。

    注意:

    仅可以将角色分配给用户组, 而不能仅为 Active Directory 用户 (在 Endpoint Management 中创建的本地用户) 分配。

  7. 单击保存

添加专用 (COSU) 注册配置文件

当您的 Endpoint Management 部署包含专用设备时, 一个 Endpoint Management 管理员或一小组管理员会注册多个专用设备。要确保这些管理员能够注册所需的所有设备,请为其创建一个允许每个用户无限制注册设备的注册配置文件。请将此配置文件分配给包含注册专用设备的管理员的交付组。这样,即使默认全局配置文件允许每个用户注册有限数量的设备,管理员也能够注册数量不受限制的设备。这些管理员必须在专用 (COSU) 注册配置文件中。

  1. 转至配置 > 注册配置文件。此时将显示默认的 Global 配置文件。

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。请确保使用此配置文件可以注册的设备数量设置为无限制。

    “注册配置文件”配置屏幕图

  3. 单击下一步。此时将显示交付组分配屏幕。

  4. 请选择包含注册专用设备的管理员的一个或多个交付组。然后单击 Save(保存)。

    显示的“注册配置文件”页面中添加了您的配置文件。

    “注册配置文件”配置屏幕图

将应用程序列入白名单以及设置锁定任务模式

展台设备策略允许您将应用程序列入白名单以及设置锁定任务模式。默认情况下,Secure Hub 和 Google Play 服务都列入白名单。

要添加展台策略,请执行以下操作:

  1. 在 Endpoint Management 控制台中,单击配置 > 设备策略。此时将显示设备策略页面。

  2. 单击添加。此时将显示添加新策略对话框。

  3. 展开更多,然后在“安全性”下,单击展台。此时将显示 Kiosk 策略页面。

  4. 在“平台”下,选择 Android Enterprise

  5. 在“策略信息”窗格中,键入策略名称和可选说明

  6. 单击下一步,然后单击添加

  7. 要将某个应用程序列入白名单并允许或拒绝该应用程序的锁定任务模式,请执行以下操作:

    从列表中选择要列入白名单的应用程序。

    选择允许可设置要在用户启动应用程序时固定到设备屏幕的应用程序。选择拒绝可设置不固定的应用程序。默认为允许

    “设备策略”配置屏幕图

  8. 单击保存

  9. 要将另一个应用程序列入白名单并允许或拒绝该应用程序的锁定任务模式,请单击添加

  10. 配置部署规则并选择交付组。有关详细信息,请参阅设备策略

安全操作

Android Enterprise 支持以下安全操作。有关每个安全操作的说明, 请安全操作参阅。

安全操作 Android Enterprise (BYOD) Android Enterprise (公司所有)
证书续订
完全擦除
查找
锁定
锁定并重置密码
通知(响铃)
吊销
选择性擦除

注意:

除非位置设备策略已将设备的位置模式设置为 “高精度” 或节电模式, 否则 “查找安全” 操作将失败。

在 Android 7.0 之前运行 Android 版本的工作配置文件设备不支持 Lock 和 Reset Password 命令。在设备上运行的 Android 7.0 或更高版本的设备工作配置文件设备: 已发送通行码锁定工作配置文件, 但设备未锁定。如果未发送通行码, 或者发送的通行码未满足通行码要求, 并且未在工作配置文件中设置通行码, 则设备将被锁定。如果未发送通行码, 或者发送的通行码未满足通行码要求, 但已在工作配置文件中设置了通行码, 则工作配置文件将被锁定, 但设备未锁定。