Citrix Endpoint Management

Android Enterprise

Android Enterprise 是一套由 Google 提供的作为 Android 设备的企业管理解决方案工具和服务。借助 Android Enterprise:

  • 可以使用 Endpoint Management 管理公司拥有的 Android 设备以及携带自己的 (BYOD) Android 设备。
  • 可以管理整个设备或设备上的单独配置文件。这一单独的配置文件将企业帐户、应用程序和数据与个人帐户、应用程序和数据隔离开来。
  • 还可以管理专用于单一用途的设备,例如库存管理。有关 Google 提供的 Android Enterprise 功能的概述,请参阅 Android Enterprise 管理

有关与 Android Enterprise 相关的术语和定义的列表,请参阅 Google Android Enterprise 开发人员指南文章 Android Enterprise 术语。Google 经常更新这些术语。

有关 Endpoint Management 支持的 Android 操作系统列表,请参阅支持的设备操作系统

将 Endpoint Management 与托管 Google Play 相集成以使用 Android Enterprise 时,可以创建一个企业。Google 将企业定义为组织与企业移动管理 (EMM) 解决方案之间的绑定。组织通过您的解决方案管理的所有用户和设备都属于其企业。

适用于 Android Enterprise 的企业有三个组件:EMM 解决方案、设备策略控制器 (DPC) 应用程序和 Google 企业应用程序平台。当您将 Endpoint Management 与 Android Enterprise 相集成时,完整的解决方案包含以下组件:

  • Citrix Endpoint Management: Citrix EMM。Endpoint Management 是用于安全数字工作区的统一端点管理。Endpoint Management 为 IT 管理员提供了为其组织管理设备和应用程序的方法。
  • Citrix Secure Hub:Citrix DPC 应用程序。Secure Hub 是 Endpoint Management 的启动板。Secure Hub 在设备上强制执行策略。
  • 托管 Google Play:与 Endpoint Management 集成的 Google 企业应用程序平台。Google Play EMM API 设置应用程序策略并分发应用程序。

下图显示了管理员如何与这些组件进行交互,以及组件之间如何交互:

Android Enterprise 工作流程

将托管 Google Play 与 Endpoint Management 结合使用

注意:

可以使用托管 Google Play 或 G Suite 将 Citrix 注册为您的 EMM 提供商。本文讨论了使用 Android Enterprise 与托管 Google Play。如果贵组织使用 G Suite 提供对应用程序的访问权限,您可以将其用于 Android Enterprise。请参阅 适用于 G Suite 客户的旧版 Android Enterprise

使用托管 Google Play 时,您将为设备和最终用户预配托管 Google Play 帐户。托管 Google Play 帐户提供对托管 Google play 的访问,以允许用户安装和使用您提供的应用程序。如果贵组织使用第三方身份服务,您可以将托管 Google Play 帐户与您的现有身份帐户链接。

由于这种类型的企业未绑定到域,因此,您可以为单个组织创建多个企业。例如,组织中的每个部门或区域都可以注册为不同的企业。使用不同的企业可以管理单独的设备和应用程序的集合。

对于 Endpoint Management 管理员,托管 Google Play 将 Google Play 的用户体验和应用商店功能与为企业设计的一组管理功能相结合。使用托管 Google Play 可添加、购买和审批应用程序,以便部署到设备上的 Android Enterprise 工作区。可以使用 Google Play 部署您的公共应用程序、专用应用程序和第三方应用程序。

对于托管设备的用户,托管 Google Play 是企业应用商店。用户可以浏览应用程序、查看应用程序详细信息以及安装这些应用程序。与 Google Play 的公共版本不同,用户只能从您为其提供的托管 Google Play 安装应用程序。

设备部署方案和配置文件

设备部署方案是指谁拥有您所部署的设备以及如何管理这些设备。设备配置文件是指 DPC 如何在设备上管理和强制执行策略。

工作配置文件将企业帐户、应用程序和数据与个人帐户、应用程序和数据隔离开来。有关工作配置文件的更多详细信息,请参阅 Google Android Enterprise 帮助主题 工作配置文件是什么

设备管理 用例 工作配置文件 个人资料 备注
公司拥有的设备(完全托管) 仅供工作使用的公司拥有的设备 是。DPC 可以执行设备范围的操作,例如配置设备范围的连接、配置全局设置和执行出厂重置。 仅适用于新设备或恢复出厂设置的设备。
通过工作配置文件完全托管 供工作和个人使用的公司拥有的设备 是。两个 DPC 副本在这些设备上运行:一个在设备所有者模式下管理设备,另一个在配置文件所有者模式下管理工作配置文件。您可以将单独的策略应用到设备和工作配置文件。 以前称为企业拥有但由个人使用 (COPE) 的设备。
专用设备* 为单个用例配置的公司拥有的设备,例如数字标牌或票证打印 是。可以仅提供所需的应用程序,并阻止用户添加其他应用程序。 以前称为公司拥有、单一用途 (COSU) 的设备。
BYOD 工作配置文件** 通过工作配置文件管理注册的个人设备(又称为配置文件所有者模式) 是。DPC 仅管理工作配置文件,不管理整个设备。 这些设备不需要是新设备或恢复出厂设置的设备。

* 用户可以共享专用设备。当用户登录到专用设备上的应用程序时,其工作状态与应用程序一致,而非与设备一致。

** Endpoint Management 不像在 BYOD 工作配置文件模式下一样支持 Zebra 设备。Endpoint Management 支持 Zebra 设备作为完全托管设备并且处于设备旧模式(也称为设备管理模式)。

有关从旧模式迁移到设备所有者或配置文件所有者模式的信息,请参阅从设备管理迁移到 Android Enterprise

身份验证方法

注册配置文件确定 Android 设备在 MAM、MDM 还是 MDM+MAM 中注册,并提供供用户选择退出 MDM 的选项。Endpoint Management 支持对在 MDM+MAM 中注册的 Android 设备使用以下身份验证方法。有关信息,请参阅证书和身份验证下的文章。

  • 域加安全令牌
  • 客户端证书
  • 客户端证书加域
  • 身份提供程序:
    • Azure Active Directory
    • Citrix 身份提供程序

另一种罕见的身份验证方法是客户端证书加安全令牌。有关信息,请参阅 https://support.citrix.com/article/CTX215200

要求

在开始使用 Android Enterprise 之前,您需要:

  • 帐户和凭据:

    • 要通过托管 Google Play 设置 Android Enterprise,则需要企业 Google 帐户
    • 要下载最新的 MDX 文件,则需要 Citrix 客户帐户
    • 要部署专用应用程序(可选),则需要 Google 开发人员帐户
  • 为 Endpoint Management 配置了 Firebase Cloud Messaging (FCM)。有关说明,请参阅Firebase Cloud Messaging

  • 对于 Samsung Knox 移动注册(可选),则需要 Knox 高级许可证。

将 Endpoint Management 连接到 Google Play

要为贵组织设置 Android Enterprise,请通过托管 Google Play 将 Citrix 注册为 EMM 提供商。该设置将托管 Google Play 连接到 Endpoint Management,并在 Endpoint Management 中为 Android Enterprise 创建一个企业。

您需要一个企业 Google 帐户才能登录 Google Play。

  1. 在 Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 设置页面上,单击 Android Enterprise

突出显示包含 Android Enterprise 的设置页面

  1. 在 Endpoint Management“设置”中的 Android Enterprise 页面上,单击连接。Google Play 将打开。

Android Enterprise 连接到 Google Play

  1. 使用您的企业 Google 帐户凭据登录 Google Play。输入贵组织的名称并确认 Citrix 是您的 EMM 提供商。

  2. 将为 Android Enterprise 添加企业 ID。要启用 Android Enterprise,请将启用 Android Enterprise 滑动到

    “启用 Android Enterprise”选项

您的企业 ID 将显示在 Endpoint Management 控制台中。

Android Enterprise ID

您的环境已连接到 Google,并准备好管理设备。您现在可以为用户提供应用程序。

Endpoint Management 可以为用户提供 Citrix 移动生产力应用程序、MDX 应用程序、公共应用商店应用程序、Web 和 SaaS 应用程序、企业应用程序和 Web 链接。有关这些类型的应用程序以及向用户提供这些应用程序的详细信息,请参阅添加应用程序

下面的部分介绍了如何提供移动生产力应用程序。

向 Android Enterprise 用户提供 Citrix 移动生产力应用程序

为 Android Enterprise 用户提供 Citrix 移动生产力应用程序需要执行以下步骤。

  1. 将应用程序发布为 MDX 应用程序。请参阅 将应用程序配置为 MDX 应用程序

  2. 为用户用于访问其设备上的工作配置文件的安全质询配置规则。请参阅 配置安全质询策略

您发布的应用程序可用于在 Android Enterprise 企业中注册的设备。

注意:

将 Android Enterprise 公共应用商店应用程序部署给 Android 用户时,该用户将自动在 Android Enterprise 中注册。

将应用程序配置为 MDX 应用程序

要将 Citrix 生产力应用程序配置为适用于 Android Enterprise 的 MDX 应用程序,请执行以下操作:

  1. 在 Endpoint Management 控制台中,单击配置 > 应用程序。此时将显示应用程序页面。

    “应用程序配置”屏幕

  2. 单击添加。此时将显示添加应用程序对话框。

    “应用程序配置”屏幕

  3. 单击 MDX。此时将显示应用程序信息页面。

  4. 在页面左侧,选择 Android Enterprise 作为平台。

  5. 应用程序信息页面中,键入以下信息:

    • 名称: 键入应用程序的描述性名称。此名称将显示在应用程序表中的应用程序名称下。
    • 说明: 键入应用程序的可选说明。
    • 应用程序类别: (可选)在列表中单击要将应用程序添加到的类别。有关应用程序类别的详细信息,请参阅创建应用程序类别
  6. 单击下一步。此时将显示 Android Enterprise MDX 应用程序页面。

  7. 单击上载并导航到应用程序的 .mdx 文件的文件位置。选择该文件,然后单击打开

  8. UI 会通知您附加的应用程序是否需要从托管 Google Play 应用商店获得批准。要在不离开 Citrix Endpoint Management 控制台的情况下审批应用程序,请单击

    添加 MDX 应用程序

  9. 当托管 Google Play 应用商店页面打开时,单击批准

    审批 MDX 应用程序

  10. 再次单击 Approve(批准)。

  11. 选择 Keep approved when app requests new permissions(在应用程序请求新权限时保持已批准)。单击保存

    Google Play 审批设置

  12. 当应用程序获得批准并保存后,页面上会显示更多设置。配置以下设置:

    • 文件名: 键入与应用程序关联的文件名。
    • 应用程序说明: 键入应用程序的说明。
    • 产品轨迹: 指定要推送到用户设备的产品轨迹。如果您有一个专为测试而设计的轨迹,则可以选择并将其分配给您的用户。默认值为生产。
    • 应用程序版本: (可选)键入应用程序版本号。
    • 软件包 ID: Google Play 应用商店中的应用程序的 URL。
    • 最低操作系统版本: (可选)键入为了使用应用程序,设备可以运行的最低操作系统版本。
    • 最高操作系统版本: (可选)键入为了使用应用程序,设备必须运行的最新操作系统版本。
    • 排除的设备: (可选)键入不能运行应用程序的设备的制造商或型号。
  13. 配置 MDX 策略。有关 MDX 应用程序的应用程序策略的详细信息,请参阅 MDX 策略概览MAM SDK 概述

  14. 配置部署规则。有关信息,请参阅 部署资源

  15. 展开应用商店配置。此设置不适用于仅出现在托管 Google Play 中的 Android Enterprise 应用程序。

    “应用程序配置”屏幕

    (可选)可以添加应用程序的常见问题解答或显示在应用商店中的屏幕截图。还可以设置用户是否可以对应用程序进行评分或评价。

    • 配置以下设置:
      • 应用程序常见问题解答: 添加应用程序的常见问题和答案。
      • 应用程序屏幕截图: 添加屏幕截图以帮助在应用商店中对应用程序进行分类。上载的图形必须为 PNG 格式。不能上载 GIF 或 JPEG 图片。
      • 允许对应用程序评分: 选择是否允许用户对应用程序进行评分。默认值为允许评价应用程序: 选择是否允许用户评价选定的应用程序。默认值为
  16. 单击下一步。此时将显示审批页面。

    “应用程序配置”屏幕

    创建用户帐户时如果需要审批则使用工作流。如果不想设置审批工作流,可以跳至步骤 15。

    要指定或创建工作流,请配置以下设置:

    • 要使用的工作流: 在此列表中,单击现有工作流或单击创建新工作流。默认值为
    • 如果选择创建新工作流,请配置以下设置。有关详细信息,请参阅创建和管理工作流
    • 名称: 键入工作流的唯一名称。
    • 说明: (可选)键入工作流的说明。
    • 电子邮件审批模板: 在列表中,选择要指定的电子邮件审批模板。单击此字段右侧的眼睛图标时,将显示一个对话框,您可以在此处预览模板。
    • 经理审批级别: 在列表中,选择此工作流所需的经理审批级别数。默认值为 1 级。可能的选项包括:
      • 不需要
      • 1 级
      • 2 级
      • 3 级
    • 选择 Active Directory 域: 在列表中,选择用于工作流的合适 Active Directory 域。
    • 查找所需的其他审批者: 在搜索字段中键入其他所需人员的姓名,然后单击搜索。源于 Active Directory 的姓名。
    • 姓名显示在此字段中后,选中姓名旁边的复选框。姓名和电子邮件地址显示在选定的其他所需审批者列表中。
      • 要从选定的其他所需审批者列表中删除人员,请执行以下操作之一:
        • 单击搜索以查找选定域中的所有人员列表。
        • 在搜索框中键入完整姓名或部分姓名,然后单击搜索以限制搜索结果。
        • 在搜索结果列表中,选定的其他所需审批者列表中的人员姓名旁边有一个复选标记。滚动列表,并取消选中要删除的各个姓名旁边的复选框。
  17. 单击下一步。此时将显示交付组分配页面。

    “应用程序配置”屏幕

  18. 选择交付组旁边 ,键入以查找交付组或者在列表中选择一个或多个组。选择的组显示在用于接收应用程序分配的交付组列表中。

  19. 展开部署计划,然后配置以下设置:

    • 部署旁边,单击以计划部署,或单击以阻止部署。默认选项为
    • 在“部署计划”旁边,单击立即以后。默认选项为立即
    • 如果单击以后,请单击日历图标,然后选择部署的日期和时间。
    • 部署条件旁边,单击每次连接时或单击仅当之前的部署失败时。默认选项为每次连接时
    • 为始终启用的连接部署旁边,确保选择了。默认选项为。对于开始使用 10.18.19 或更高版本的 Endpoint Management 的客户,始终启用的连接不适用于 Android Enterprise。我们不建议开始使用 10.18.19 版之前的 Endpoint Management 的客户使用这些连接。

      如果在设置 > 服务器属性中配置了计划后台部署密钥,则适用此选项。

      配置的部署计划对所有平台相同。您所做的更改适用于所有平台,但为始终启用的连接部署除外。

  20. 单击保存

为每个移动生产力应用程序重复上述步骤。

配置安全质询策略

Endpoint Management 通行码设备策略将配置安全质询规则。当用户访问其设备或其设备上的 Android Enterprise 工作配置文件时,会出现这些质询。安全质询可能是通行码或生物特征识别。有关通行码策略的详细信息,请参阅 通行码设备策略

  • 如果您的 Android Enterprise 部署包含 BYOD 设备,请为工作配置文件配置通行码策略。
  • 如果您的部署包括公司拥有的完全托管设备,请为设备本身配置通行码策略。
  • 如果您的部署包括两种类型的设备,请配置两种类型的通行码策略。

要配置通行码策略,请执行以下操作:

  1. 在 Endpoint Management 控制台中,单击配置 > 设备策略

  2. 单击添加

  3. 单击显示过滤器以显示策略平台窗格。在策略平台窗格中,选择 Android Enterprise

  4. 单击右侧窗格上的通行码

密码安全选项

  1. 输入策略名称。单击下一步

    密码安全名称

  2. 配置通行码策略设置。
    • 需要设备通行码设置为,以查看设备本身的安全质询可用的设置。
    • 工作配置文件安全质询设置为,以查看可用于工作配置文件安全质询的设置。
  3. 单击下一步

  4. 将策略分配给一个或多个交付组。

  5. 单击保存

创建注册配置文件

如果为 Endpoint Management 部署启用了 Android Enterprise,注册配置文件可以控制 Android 设备的注册方式。创建注册配置文件以注册 Android Enterprise 设备时,可以配置注册配置文件以将新设备和重置为出厂设置的设备注册为:

  • 完全托管设备
  • 专用设备(COSU 设备)
  • 使用工作配置文件的完全托管设备(COPE 设备)

还可以配置其中每个 Android Enterprise 注册配置文件以将 BYOD Android 设备注册为工作配置文件设备。

如果为您的 Endpoint Management 部署启用了 Android Enterprise,则所有新注册或重新注册的 Android 设备都将注册为 Android Enterprise 设备。默认情况下,全局注册配置文件会将新的和恢复出厂设置的 Android 设备注册为完全托管设备,并将 BYOD Android 设备注册为工作配置文件设备。

创建注册配置文件时,需要为其分配交付组。如果用户属于具有不同注册配置文件的多个交付组,该交付组的名称决定使用的注册配置文件。Endpoint Management 选择按字母顺序排列的交付组列表中最后显示的交付组。有关详细信息,请参阅注册配置文件

为完全托管设备添加注册配置文件

默认情况下,全局注册配置文件将注册完全托管设备,但您可以创建更多注册配置文件以注册完全托管设备。

  1. 在 Endpoint Management 控制台中,转到配置 > 注册配置文件

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。

  3. 设置使用此配置文件的成员可以注册的设备数量。

  4. 平台下选择 Android,或者单击下一步。此时将显示“注册配置”页面。

  5. 管理设置为 Android Enterprise

  6. 设备所有者模式设置为公司拥有的设备

    “注册配置文件”配置屏幕

  7. BYOD 工作配置文件允许您配置注册配置文件以将 BYOD 设备注册为工作配置文件设备。将新设备和重置为出厂设置的设备注册为完全托管设备。将 BYOD 工作配置文件设置为,以允许将 BYOD 设备注册为工作配置文件设备。将 BYOD 工作配置文件设置为,以限制对完全托管设备的注册。默认值为

  8. 选择是否在 Citrix MAM 中注册设备。

  9. 如果将 BYOD 工作配置文件设置为,请配置用户同意书。要允许 BYOD 工作配置文件设备的用户在注册其设备时拒绝设备管理,请将允许用户拒绝设备管理设置为

    如果 BYOD 工作配置文件设置为,则允许用户拒绝设备管理的默认值为。如果 BYOD 工作配置文件设置为,则禁用允许用户拒绝设备管理

  10. 选择分配(选项)。此时将显示交付组分配屏幕。

  11. 请选择包含注册完全托管设备的管理员的一个或多个交付组。然后单击 Save(保存)。

    显示的“注册配置文件”页面中添加了您的配置文件。

    “注册配置文件”配置屏幕

添加专用的注册配置文件

当 Endpoint Management 部署包括专用设备时,单个 Endpoint Management 管理员或一小组管理员会注册多个专用设备。要确保这些管理员能够注册所需的所有设备,请为其创建一个允许每个用户无限制注册设备的注册配置文件。

  1. 在 Endpoint Management 控制台中,转到配置 > 注册配置文件

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。请确保使用此配置文件可以注册的设备数量设置为无限制。

  3. 平台下选择 Android,或者单击下一步。此时将显示“注册配置”页面。

  4. 管理设置为 Android Enterprise

  5. 设备所有者模式设置为专用设备

    “注册配置文件”页面

  6. BYOD 工作配置文件允许您配置注册配置文件以将 BYOD 设备注册为工作配置文件设备。将新设备和重置为出厂设置的设备注册为专用设备。将 BYOD 工作配置文件设置为,以允许将 BYOD 设备注册为工作配置文件设备。将 BYOD 工作配置文件设置为,以限制对公司拥有的设备的注册。默认值为

  7. 选择是否在 Citrix MAM 中注册设备。

  8. 如果将 BYOD 工作配置文件设置为,请配置用户同意书。要允许 BYOD 工作配置文件设备的用户在注册其设备时拒绝设备管理,请将允许用户拒绝设备管理设置为

    如果 BYOD 工作配置文件设置为,则允许用户拒绝设备管理的默认值为。如果 BYOD 工作配置文件设置为,则禁用允许用户拒绝设备管理

  9. 选择分配(选项)。此时将显示交付组分配屏幕。

  10. 请选择包含注册专用设备的管理员的一个或多个交付组。然后单击 Save(保存)。

    显示的“注册配置文件”页面中添加了您的配置文件。

    “注册配置文件”配置屏幕

为使用工作配置文件的完全托管设备添加注册配置文件

  1. 在 Endpoint Management 控制台中,转到配置 > 注册配置文件

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。

  3. 设置使用此配置文件的成员可以注册的设备数量。

  4. 平台下选择 Android,或者单击下一步。此时将显示“注册配置”页面。

  5. 管理设置为 Android Enterprise。将设备所有者模式设置为通过工作配置文件完全托管

    “注册配置文件”配置屏幕

  6. BYOD 工作配置文件允许您配置注册配置文件以将 BYOD 设备注册为工作配置文件设备。新设备和重置为出厂设备的设备注册为使用工作配置文件的完全托管设备。将 BYOD 工作配置文件设置为,以允许将 BYOD 设备注册为工作配置文件设备。将 BYOD 工作配置文件设置为,以限制对专用设备的注册。默认值为

  7. 选择是否在 Citrix MAM 中注册设备。

  8. 如果将 BYOD 工作配置文件设置为,请配置用户同意书。要允许 BYOD 工作配置文件设备的用户在注册其设备时拒绝设备管理,请将允许用户拒绝设备管理设置为

    如果 BYOD 工作配置文件设置为,则允许用户拒绝设备管理的默认值为。如果 BYOD 工作配置文件设置为,则禁用允许用户拒绝设备管理

  9. 选择分配(选项)。此时将显示交付组分配屏幕。

  10. 请选择包含注册使用工作配置文件的完全托管设备的管理员的一个或多个交付组。然后单击 Save(保存)。

    显示的“注册配置文件”页面中添加了您的配置文件。

    “注册配置文件”页面

为旧版设备添加注册配置文件

Google 弃用了设备管理的设备管理员模式。Google 鼓励客户在设备所有者模式或配置文件所有者模式下管理所有 Android 设备。(请参阅 Google Android Enterprise 开发人员指南中的 设备管理员弃用。)

要支持此更改,请执行以下操作:

  • Citrix 将 Android Enterprise 设置为 Android 设备的默认注册选项。
  • 如果为您的 Endpoint Management 部署启用了 Android Enterprise,则所有新注册或重新注册的 Android 设备都将注册为 Android Enterprise 设备。

贵组织可能尚未准备好开始使用 Android Enterprise 管理旧版 Android 设备。在这种情况下,您可以继续在设备管理员模式下进行管理。对于已在设备管理员模式下注册的设备,Endpoint Management 将继续以设备管理员模式管理这些设备。

为旧版设备创建注册配置文件,以允许新 Android 设备注册使用设备管理员模式。

要为旧版设备创建注册配置文件:

  1. 在 Endpoint Management 控制台中,转到配置 > 注册配置文件

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。

  3. 设置使用此配置文件的成员可以注册的设备数量。

  4. 平台下选择 Android,或者单击下一步。此时将显示“注册配置”页面。

  5. 管理设置为旧版设备管理(不推荐)。单击下一步

    “注册配置文件”配置屏幕

  6. 选择是否在 Citrix MAM 中注册设备。

  7. 要允许用户在注册其设备时拒绝设备管理,请将允许用户拒绝设备管理设置为。默认值为

  8. 选择分配(选项)。此时将显示交付组分配屏幕。

  9. 请选择包含注册专用设备的管理员的一个或多个交付组。然后单击 Save(保存)。

显示的“注册配置文件”页面中添加了您的配置文件。

“注册配置文件”页面

要在设备管理员模式下继续管理旧版设备,请使用此配置文件注册或重新注册这些设备。可以通过让用户下载 Secure Hub 并提供注册服务器 URL 来注册与工作配置文件设备类似的设备管理员设备。

预配 Android Enterprise 工作配置文件设备

Android Enterprise 工作配置文件设备在配置文件所有者模式下注册。这些设备不需要是新设备或恢复出厂设置的设备。BYOD 设备作为工作配置文件设备注册。注册体验与 Endpoint Management 中的 Android 注册体验相似。用户将从 Google Play 下载 Secure Hub 并注册其设备。

默认情况下,当您在 Android Enterprise 中将设备注册为工作配置文件设备时,设备上的 USB 调试和未知来源设置将被禁用。

在 Android Enterprise 中将设备注册为工作配置文件设备时,将始终转至 Google Play。在该应用商店中,允许 Secure Hub 在用户的个人配置文件中显示。

预配 Android Enterprise 完全托管设备

可以在前面的部分中设置的部署中注册完全托管设备。完全托管设备是公司拥有的设备,在设备所有者模式下注册。在设备所有者模式下,只能注册新设备或恢复出厂设置的设备。

可以使用以下任何注册方法在设备所有者模式下注册设备:

  • DPC 标识符令牌: 如果使用此注册方法,用户在设置设备时将输入字符afw#xenmobileafw#xenmobile 为 Citrix DPC 标识符令牌。此令牌将设备标识为由 Endpoint Management 托管并从 Google Play 应用商店下载 Secure Hub。请参阅 使用 Citrix DPC 标识符令牌注册设备
  • 近场通信 (NFC) 碰撞: NFC 碰撞注册方法通过在两个设备之间使用近场通信来传输数据。蓝牙、Wi-Fi 和其他通信模式在新设备或恢复出厂设置的设备上处于禁用状态。NFC 是此状态下设备可以使用的唯一通信协议。请参阅 通过 NFC 碰撞注册设备
  • QR 代码: QR 代码注册可用于注册不支持 NFC 的分布式设备队列(例如平板电脑)。QR 代码注册方法通过扫描设置向导中的 QR 代码来设置并配置设备配置文件模式。请参阅 使用 QR 代码注册设备
  • 零触摸: 零触摸注册允许您将设备配置为在首次打开电源时自动注册。某些运行 Android 8.0 或更高版本的 Android 设备支持零触摸注册。请参阅 零接触注册
  • Google 帐户: 用户输入其 Google 帐户凭据以启动预配过程。此选项适用于使用 G Suite 的企业。

使用 Citrix DPC 标识符令牌注册设备

用户在打开新设备或恢复出厂重置的设备以进行初始设置后输入 Google 帐户时输入 afw#xenmobile。此操作将下载并安装 Secure Hub。用户随后将按照 Secure Hub 设置提示进行操作,完成注册过程。

对于大多数客户,建议使用此注册方法,因为是从 Google Play 应用商店下载最新版本的 Secure Hub。与其他注册方法不同,您不用提供要从 Endpoint Management 服务器下载的 Secure Hub。

系统要求

  • 在运行 Android OS 的所有 Android 设备上均受支持。

注册设备

  1. 打开新设备或恢复出厂设置的设备的电源。

  2. 初始设备设置加载并提示您输入 Google 帐户。如果设备加载设备的主屏幕,请检查通知栏中是否显示完成设置通知。

    设备设置登录提示

  3. 电子邮件或电话字段中输入 afw#xenmobile

    设备设置文本

  4. 在 Android Enterprise 屏幕上轻按安装,提示安装 Secure Hub。

    Android Enterprise 安装

  5. 在 Secure Hub 安装程序屏幕上轻按安装

    Secure Hub 安装

  6. 对所有应用程序权限申请轻按允许

  7. 轻按接受并继续以安装 Secure Hub 并允许其管理设备。

    Secure Hub 权限

  8. Secure Hub 现在已安装,并位于默认注册屏幕上。在此示例中,未设置自动发现。如果是,用户可以输入其用户名/电子邮件,并为其找到一个服务器。相反,请输入环境的注册 URL,然后轻按下一步

    Secure Hub 凭据

  9. Endpoint Management 的默认配置允许用于选择其使用 MAM 还是 MDM+MAM。如果以这种方式提示,请轻按是,注册以选择 MDM+MAM。

    Secure Hub 注册设备

  10. 输入用户名和密码,然后轻按下一步

    Secure Hub 登录

  11. 系统将提示用户配置设备通行码。轻按设置并输入通行码。

    Secure Hub 通行码

  12. 系统会提示用户配置工作配置文件解锁方法。在此示例中,轻按密码,轻按 PIN,然后输入 PIN。

    通行码选项

  13. 设备现在位于 Secure Hub 我的应用程序登录屏幕上。轻按从应用商店中添加应用程序

    Secure Hub 应用程序屏幕

  14. 要添加 Secure Web,请轻按 Secure Web

    Secure Hub 应用商店

  15. 轻按添加

    Secure Web 应用商店

  16. Secure Hub 引导用户访问 Google Play 应用商店以安装 Secure Web。轻按安装

    Secure 应用程序安装

  17. 安装 Secure Web 后,轻按打开。在地址栏中输入来自内部站点的 URL,并验证页面是否加载。

    Secure Web 测试

  18. 转到设备上的设置 > 帐户。注意无法修改托管帐户。用于共享屏幕或远程调试的开发人员选项也被阻止。

    帐户修改

通过 NFC 碰撞注册设备

要使用 NFC 碰撞功能将设备注册为完全托管设备,需要两个设备:一个已恢复出厂设置的设备,以及一个运行 Endpoint Management Provisioning Tool 的设备。

系统要求和必备条件

  • 支持的 Android 设备。
  • 新的或恢复出厂设置的设备,为 Android Enterprise 预配为完全托管设备。可以在本文中查找完成此必备条件的步骤。
  • 另一个设备具有 NFC 功能,运行已配置的 Provisioning Tool。Provisioning Tool 在 Secure Hub 或 Citrix 下载页面上提供。

每个设备只能有一个 Android Enterprise 配置文件,即托管 Secure Hub。每台设备上只允许一个配置文件。尝试添加第二个 DPC 应用程序将删除已安装的 Secure Hub。

通过 NFC 碰撞传输数据

预配恢复出厂设置的设备需要您通过 NFC 碰撞发送以下数据以初始化 Android Enterprise:

  • 要作为设备所有者(在此示例中为 Secure Hub)的 DPC 应用程序的包名称。
  • 设备可以从中下载 DPC 应用程序的 Intranet/Internet 位置。
  • 用于验证下载是否成功的 DPC 应用程序的 SHA1 哈希。
  • Wi-Fi 连接详细信息,以便恢复出厂设置的设备能够连接和下载 DPC 应用程序。注意:Android 现在不支持在此步骤中使用 802.1x Wi-Fi。
  • 设备的时区(可选)。
  • 设备的地理位置(可选)。

碰撞两个设备时,来自 Provisioning Tool 的数据将发送到恢复出厂设置的设备。该数据随后用于下载使用管理员设置的 Secure Hub。如果未输入时区和位置值,Android 将在新设备上自动配置值。

配置 Endpoint Management Provisioning Tool

执行 NFC 碰撞之前,必须配置 Provisioning Tool。此配置随后在 NFC 碰撞过程中被传输到恢复出厂设置的设备。

Provisioning Tool 配置

可以将数据键入到必填字段中,或者通过文本文件进行填充。下一个过程中的步骤介绍了如何配置文本文件,并且包含每个字段的说明。键入后,该应用程序将不保存信息,因此,您可能希望创建一个文本文件以保留该信息供将来使用。

使用文本文件配置 Provisioning Tool

将文件命名为 nfcprovisioning.txt 并将其放置在设备的 SD 卡中的 /sdcard/ 文件夹下。该应用程序随后可以读取文本文件并填充值。

文本文件必须包含以下数据:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

此行为 EMM 提供程序应用程序的 Intranet/Internet 位置。恢复出厂设置的设备在进行 NFC 碰撞后连接到 Wi-Fi 之后,该设备必须有权访问此位置才能进行下载。该 URL 为常规 URL,不需要特殊格式。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

此行是 EMM 提供程序应用程序的校验和。此校验和用于验证下载是否成功。本文中后面的内容介绍了获取校验和的步骤。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

此行是运行 Provisioning Tool 的设备的已连接 Wi-Fi SSID。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

支持的值为 WEP 和 WPA2。如果 Wi-Fi 未受保护,此字段必须留空。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

如果 Wi-Fi 未受保护,此字段必须留空。

android.app.extra.PROVISIONING_LOCALE=<locale>

输入语言和国家/地区代码。语言代码为包含两个小写字母的 ISO 语言代码(例如 en),如 ISO 639-1 所定义。国家/地区代码为包含两个大写字母的 ISO 国家/地区代码(例如 US),如 ISO 3166-1 所定义。例如,请键入 en_US 表示在美国所讲的英语。如果未输入任何代码,则会自动填充国家/地区和语言。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

设备运行时所在的时区。键入 区域/位置的数据库名称。例如,键入 America/Los_Angeles 表示太平洋时间。如果未键入名称,时区将自动填充。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

不需要此数据,因为值 Secure Hub 被硬编码到应用程序中。在本文中提及的目的只是为了保持完整性。

如果存在通过使用 WPA2 保护的 Wi-Fi,完整的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

如果存在不受保护的 Wi-Fi,完整的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

获取 Citrix Secure Hub 的校验和

Secure Hub 的校验和是一个常数值:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM。要下载适用于 Secure Hub 的 APK 文件,请使用以下 Google Play 应用商店链接:https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

获取应用程序校验和

必备条件:

  • 来自 Android SDK Build Tools 的 apksigner 工具
  • OpenSSL 命令行

要获取任何应用程序的校验和,请按照下列步骤进行操作:

  1. 从 Google Play 应用商店下载应用程序的 APK 文件。
  2. 在 OpenSSL 命令行中,导航到 apksigner 工具:android-sdk/build-tools/<version>/apksigner 并键入以下内容:

    apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
    

    该命令返回有效的校验和。

  3. 要生成 QR 码,请在 PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM 字段中输入校验和。例如:
{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}

使用的库

Provisioning Tool 在其源代码中使用以下库:

  • Google 遵循 Apache License 2.0 提供的 v7 appcompat 库、Design Support 库以及 v7 Palette Support 库

    有关信息,请参阅 支持库功能指南

  • Jake Wharton 遵循 Apache License 2.0 提供的 Butter Knife

使用 QR 代码注册设备

要使用 QR 代码注册完全托管设备,请通过创建一个 JSON 并将该 JSON 转换为 QR 代码来生成 QR 代码。将使用设备相机扫描 QR 代码以注册设备。

系统要求

  • 在运行 Android 7.0 及更高版本的所有 Android 设备上均受支持。

从 JSON 创建 QR 代码

创建包含以下字段的 JSON。

以下字段均为必填项:

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

值:com.zenprise/com.zenprise.configuration.AdminFunction

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

值:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

值:https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

以下字段为选填字段:

  • android.app.extra.PROVISIONING_LOCALE: 输入语言和国家/地区代码。

    语言代码为包含两个小写字母的 ISO 语言代码(例如 en),如 ISO 639-1 所定义。国家/地区代码为包含两个大写字母的 ISO 国家/地区代码(例如 US),如 ISO 3166-1 所定义。例如,请输入 en_US 表示在美国所讲的英语。

  • android.app.extra.PROVISIONING_TIME_ZONE: 设备运行时所在的时区。

    键入 区域/位置的数据库名称。例如,键入 America/Los_Angeles 表示太平洋时间。如果未键入名称,时区将自动填充。

  • android.app.extra.PROVISIONING_LOCAL_TIME: 从 Epoch 开始经过的时间(毫秒)。

    Unix epoch(或 Unix 时间、POSIX 时间或 Unix 时间戳)是指从 1970 年 1 月 1 日(午夜,UTC/GMT)开始经过的秒数。该时间不包括闰秒(在 ISO 8601 中为:1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: 设置为 true 将在配置文件创建期间跳过加密。设置为 false 将在配置文件创建期间强制加密。

典型的 JSON 如下:

典型的 JSON 文件

使用任意 JSON 验证工具(例如 https://jsonlint.com)验证创建的 JSON。然后使用任意联机 QR 代码生成器(例如 https://goqr.me)将该 JSON 字符串转换为 QR 代码。

恢复出厂设置的设备将扫描此 QR 代码以将设备注册为完全托管设备。

注册设备

打开新设备或恢复出厂设置的设备的电源后:

  1. 在欢迎屏幕上轻按该屏幕六次以启动 QR 代码注册流程。
  2. 系统提示时,连接到 Wi-Fi。QR 代码(JSON 编码)中 Secure Hub 的下载位置可以通过此 Wi-Fi 网络访问。

    设备成功连接到 Wi-Fi 后,将从 Google 下载一个 QR 代码读取器并启动摄像头。

  3. 将摄像头对准 QR 代码以扫描该代码。

    Android 将从 QR 代码中的下载位置下载 Secure Hub,验证签名证书的签名,安装 Secure Hub 并将其设置为设备所有者。

有关详细信息,请参阅此面向 Android EMM 开发人员的 Google 指南:https://developers.google.com/android/work/prov-devices#qr_code_method

零接触注册

零触摸注册允许您将设备设置为首次打开电源时将自身预配为完全托管设备。

您的设备经销商在 Android 零触摸门户网站上为您创建一个帐户,这是一个可让您将配置应用到设备的联机工具。使用 Android 零触摸门户,您可以创建一个或多个零触摸注册配置,并将这些配置应用到分配给您的帐户的设备。当用户为这些设备打开电源时,这些设备将自动注册到 Endpoint Management 中。分配给设备的配置定义了其自动注册过程。

系统要求

  • 对零触摸注册的支持自 Android 8.0 开始。

您的经销商提供的设备和帐户信息

  • 符合零触摸注册条件的设备可从企业经销商或 Google 合作伙伴处购买。有关 Android Enterprise 零触摸合作伙伴的列表,请参阅Android Web 站点

  • 由您的经销商创建的 Android Enterprise 零触摸门户帐户。

  • Android Enterprise 零触摸门户帐户登录信息,由您的经销商提供。

创建零触摸配置

创建零触摸配置时,请包含一个自定义 JSON 以指定配置的详细信息。

使用此 JSON 可配置要在指定的 Endpoint Management 服务器上注册的设备。在此示例中,将服务器的 URL 替换为“URL”。

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }

可以使用具有更多参数的可选 JSON 来进一步自定义您的配置。此示例指定 Endpoint Management 服务器以及使用此配置的设备用于登录服务器的用户名和密码。

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  1. 转到 Android 零触摸门户网站,网址为 https://partner.android.com/zerotouch。使用您的零触摸设备经销商提供的帐户信息登录。

  2. 单击配置零触摸门户

  3. 单击配置表上方的 +零触摸门户

  4. 在显示的配置窗口中输入您的配置信息。 零触摸门户
    • 配置名称: 键入您为此配置选择的名称。
    • EMM DPC: 选择 Citrix Secure Hub
    • DPC 附加程序: 在此字段中粘贴您的自定义 JSON 文本。
    • 公司名称: 键入您希望在设备预配过程中在 Android Enterprise 零触摸设备上显示的名称。
    • 支持电子邮件地址: 键入用户可以联系以寻求帮助的电子邮件地址。此地址会在设备预配之前显示在 Android Enterprise 零触摸设备上。
    • 支持电话号码: 键入您的用户可以联系以寻求帮助的电话号码。设备预配之前,此电话号码会显示在 Android Enterprise 零触摸设备上。
    • 自定义消息: (可选)添加一个或两个句子,以帮助您的用户与您联系,或者为其提供有关其设备发生的情况的更多详细信息。此自定义消息会在设备预配之前显示在 Android Enterprise 零触摸设备上。
  5. 单击添加

  6. 要创建更多配置,请重复步骤 2 到 4。

  7. 要将配置应用到设备,请执行以下操作:

    1. 在 Android 零触摸门户中,单击设备

    2. 在设备列表中找到设备,然后选择要向其分配的配置。 零触摸门户

    3. 单击更新

可以使用 CSV 文件将配置应用到许多设备。

有关如何将配置应用到许多设备的信息,请参阅 Android Enterprise 帮助主题 IT 管理员的零触摸注册。此 Android Enterprise 帮助主题包含有关如何管理配置并将其应用到设备的详细信息。

预配专用 Android Enterprise 设备

专用 Android Enterprise 设备属于完全托管设备,专门用于满足单个用例。专用设备又称为公司拥有、单一用途 (COSU) 的设备。您将这些设备限制为执行此用例需要执行的任务所需的一个应用程序或一小组应用程序。您还将阻止用户启用其他应用程序或在设备上执行其他操作。

使用用于其他完全托管设备的任何注册方法注册专用设备,如预配 Android Enterprise 完全托管设备中所述。预配专用设备需要在注册之前进行更多设置。

要预配专用设备,请执行以下操作:

  • 为允许在您的 Endpoint Management 部署中注册专用设备的 Endpoint Management 管理员创建注册配置文件。请参阅 创建注册配置文件
  • 要使专用设备能够访问应用程序,请将其添加到允许列表中。
  • 或者,将允许运行的应用程序设置为允许锁定任务模式。当某个应用程序处于锁定任务模式时,用户打开时该应用程序将固定到设备屏幕。此时将不显示任何主页按钮,并且返回按钮处于禁用状态。用户使用编程到该应用程序中的一项操作退出该应用程序,例如注销。
  • 在您添加的注册配置文件中注册每个设备。

系统要求

  • 对注册专用设备的支持自 Android 6.0 起启用。

允许运行应用程序并设置锁定任务模式

展台设备策略允许您允许运行应用程序以及设置锁定任务模式。默认情况下,Secure Hub 和 Google Play 服务都在允许列表中。

要添加展台策略,请执行以下操作:

  1. 在 Endpoint Management 控制台中,单击配置 > 设备策略。此时将显示设备策略页面。

  2. 单击添加。此时将显示添加新策略对话框。

  3. 展开更多,然后在“安全性”下,单击展台。此时将显示展台策略页面。

  4. 在“平台”下,选择 Android Enterprise。清除其他平台。

  5. 在“策略信息”窗格中,键入策略名称和可选说明

  6. 单击下一步,然后单击添加

  7. 要允许运行某个应用程序并允许或拒绝该应用程序的锁定任务模式,请执行以下操作:

    从列表中选择要允许运行的应用程序。

    选择允许可设置要在用户启动应用程序时固定到设备屏幕的应用程序。选择拒绝可设置不固定的应用程序。默认设置为允许

    “设备策略”配置屏幕

  8. 单击保存

  9. 要允许运行另一个应用程序并允许或拒绝该应用程序的锁定任务模式,请单击添加

  10. 配置部署规则并选择交付组。有关详细信息,请参阅设备策略

注册设备

  1. 单击下一步或在平台下选择 Android 。此时将显示“注册配置”页面。

  2. 管理设置为 Android Enterprise

  3. 设备所有者模式设置为专用设备

    “注册配置文件”配置屏幕

  4. 选择分配(选项)。此时将显示交付组分配屏幕。

  5. 请选择包含注册专用设备的管理员的一个或多个交付组。然后单击 Save(保存)。

如果在注册配置文件中启用了 BYOD 工作配置文件,则非新设备或重置为出厂重置的设备将注册为工作配置文件设备。请参阅 预配 Android Enterprise 工作配置文件设备

使用工作配置文件预配 Android Enterprise 完全托管设备(COPE 设备)

使用工作配置文件的完全托管设备(以前称为 COPE 设备)是公司拥有的设备,既用于工作目的,也用于个人目的。贵组织负责管理整个设备。可以将一组策略应用到设备,另一组策略应用到工作配置文件。

在 Endpoint Management 控制台中,使用工作配置文件的完全托管设备将显示以下术语:

  • 设备所有权为“企业”。

  • 设备 Android Enterprise 安装类型为“企业所有者但由个人使用”。

系统要求

  • 支持注册具有工作配置文件的完全托管设备从 Android 8.0 开始。

为具有工作配置文件的完全托管设备添加注册配置文件

  1. 在 Endpoint Management 控制台中,转到配置 > 注册配置文件

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。请确保使用此配置文件可以注册的设备数量设置为无限制。

  3. 单击下一步或在平台下选择 Android 。此时将显示“注册配置”页面。

  4. 管理设置为 Android Enterprise

  5. 设备所有者模式设置为通过工作配置文件完全托管

    “注册配置文件”配置屏幕

  6. 选择分配(选项)。此时将显示交付组分配屏幕。

  7. 请选择包含注册专用设备的管理员的一个或多个交付组。然后单击 Save(保存)。

    显示的“注册配置文件”页面中添加了您的配置文件。

    “注册配置文件”配置屏幕

如果用户属于具有不同注册配置文件的多个交付组,该交付组的名称决定使用的注册配置文件。Endpoint Management 选择按字母顺序排列的交付组列表中最后显示的交付组。

注册设备

新设备和重置为出厂设备的设备注册为使用工作配置文件的完全托管设备。这些设备使用用于其他完全托管设备的任何注册方法,如预配 Android Enterprise 完全托管设备中所述。

非新设备或重置为出厂设置的设备注册为工作配置文件设备,如预配 Android Enterprise 工作配置文件设备中所述。

在 Endpoint Management 控制台中查看 Android Enterprise 设备

要查看 Android Enterprise 完全托管设备、专用设备和使用工作配置文件的完全托管设备,请执行以下操作:

  1. 在 Endpoint Management 控制台中,转到管理 > 设备

  2. 通过单击此页面上的表格右侧的菜单添加 启用了 Android Enterprise 的设备?Android Enterprise 设备列表

  3. 要查看可用的安全操作,请选择完全托管设备,然后单击安全。设备完全托管时,完全擦除操作可用,但选择性擦除不可用。该差别是因为设备仅允许来自托管 Google Play 应用商店的应用程序。用户没有从公共应用商店安装应用程序的选项。贵组织负责管理设备上的所有内容。

    安全操作

配置 Android Enterprise 设备策略

使用这些策略可配置 Endpoint Management 与运行 Android Enterprise 的设备的交互方式。下表列出了适用于 Android Enterprise 设备的所有设备策略。

重要:

对于在 Android Enterprise 中注册并使用 MDX 应用程序的设备:可以通过 MDX 和 Android Enterprise 控制某些设置。对 MDX 使用限制性最低的策略设置,并通过 Android Enterprise 控制策略。

     
Android Enterprise 应用程序权限 Android Enterprise 托管配置 应用程序清单
应用程序卸载 控制操作系统更新 凭据
自定义 XML Endpoint Management 选项 Exchange
文件 键盘锁管理 是否需要 Kiosk
适用于企业的 Knox 平台 位置 通行码
限制 Samsung MDM 许可证密钥 计划
Wi-Fi    

适用于具有工作配置文件的完全托管设备的设备策略(COPE 设备)

对于具有工作配置文件的完全托管设备,可以使用某些设备策略将单独的设置应用到整个设备和工作配置文件。可以使用其他设备策略将设置仅应用到整个设备或仅应用到具有工作配置文件的完全托管设备的工作配置文件。

策略 适用对象
Android Enterprise 应用程序权限 工作配置文件
Android Enterprise 托管配置 工作配置文件
应用程序清单 工作配置文件
应用程序卸载 工作配置文件
控制操作系统更新 不适用
凭据 工作配置文件
自定义 XML 不适用
Endpoint Management 选项 工作配置文件
Exchange 不适用
文件 工作配置文件
键盘锁管理 设备和工作配置文件
是否需要 Kiosk 不适用
适用于企业的 Knox 平台 工作配置文件
位置 设备(仅限定位模式)
通行码 设备和工作配置文件
限制 设备和工作配置文件(为设备和工作配置文件创建单独的策略)
Samsung MDM 许可证密钥 不适用
计划 工作配置文件
Wi-Fi 设备

另请参阅 Android Enterprise 支持的设备策略和 MDX 策略MAM SDK 概述

安全操作

Android Enterprise 支持以下安全操作。有关每个安全操作的说明,请参阅安全操作

安全操作 工作配置文件 完全托管
证书续订
完全擦除 是(选择性擦除后)
查找
锁定
锁定并重置密码
通知(响铃)
吊销
选择性擦除

安全操作说明

  • 除非“位置”设备策略将设备的位置模式设置为高精度电池节能,否则定位安全操作将失败。请参阅 位置设备策略

  • 在运行 Android 8.0 之前版本的 Android 的工作配置文件设备上:

    • 不支持锁定和重置密码操作。
  • 在 Android 8.0 或更高版本的工作配置文件设备上:

    • 发送的密码将锁定工作配置文件。设备本身不锁定。
    • 如果未在工作配置文件上设置通行码:
      • 如果未发送通行码或发送的通行码不符合通行码要求:设备处于锁定状态。
    • 如果在工作配置文件上设置了通行码:
      • 如果未发送通行码,或者发送的通行码不符合通行码要求:工作配置文件将锁定,但设备本身不锁定。

取消注册 Android Enterprise 企业

如果您不想再使用 Android Enterprise 企业,则可以取消注册该企业。

警告:

取消注册企业后,通过其注册的设备上的 Android Enterprise 应用程序将重置到其默认状态。Google 不再管理设备。在进一步进行配置之前,在 Android Enterprise 企业中重新注册这些设备可能不会恢复以前的功能。

取消注册 Android Enterprise 企业后:

  • 通过企业注册的设备和用户会将 Android Enterprise 应用程序重置到其默认状态。以前应用的 Android Enterprise 托管配置策略不再影响操作。
  • Endpoint Management 负责管理通过企业注册的设备。从 Google 角度来看,这些设备是非托管设备。您不能添加新的 Android Enterprise 应用程序。您无法应用 Android Enterprise 托管配置策略。可以将其他策略(例如“计划”、“密码”和“限制”)应用到这些设备。
  • 如果尝试在 Android Enterprise 中注册设备,这些设备将注册为 Android 设备,而非 Android Enterprise 设备。

使用 Endpoint Management 服务器控制台和 Endpoint Management Tools 取消注册 Android Enterprise 企业。

执行此任务时,Endpoint Management 将打开“工具”弹出窗口。在开始之前,请确保您的浏览器具有打开弹出窗口的权限。某些浏览器(例如 Google Chrome)要求禁用弹出窗口阻止功能并将 Endpoint Management 站点的地址添加到弹出窗口允许列表中。

要取消注册 Android Enterprise 企业,请执行以下操作:

  1. 在 Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 在“设置”页面上,单击 Android Enterprise

  3. 单击取消注册

    取消注册选项