Citrix Endpoint Management

Android for Workspace

Android for Workspace 使用 Google 提供的 Android Management API (AMAPI) 来管理 Android 设备。使用 Android for Workspace 时,用户不再需要通过 Secure Hub 注册其设备。用户通过 Citrix Workspace 应用程序进行注册,并通过 Workspace 访问所有应用程序和内容。

Android for Workspace 仅适用于启用了 Citrix Workspace 的云部署。Android for Workspace 的初始版本仅支持工作配置文件注册方法。通过此注册方法,设备将具有一个工作配置文件和一个个人配置文件,用于将公司数据与个人数据分隔开来。工作配置文件和个人配置文件在操作系统级别分隔。有关工作配置文件的更多详细信息,请参阅 Google 帮助主题 What is a work profile(工作配置文件是什么)。

此平台独立于 Android Enterprise 平台。Android Enterprise 的现有配置与 Android for Workspace 不兼容。如果您已配置 Android Enterprise,则必须创建以下对象的新版本:

  • Google 帐户
  • 交付组
  • 注册配置文件
  • 设备和应用程序策略

此外,在 Endpoint Management 中注册的 Android Enterprise 用户必须使用 Citrix Workspace 应用程序进行重新注册。

如果要使用不具有 AMAPI 功能的 Android Enterprise,请参阅 Android Enterprise

要求

开始使用 Android for Workspace 之前,您需要:

  • Citrix Gateway 服务

  • 帐户和凭据:

    • 要通过托管 Google Play 设置 Android for Workspace,则需要企业 Google 帐户
    • 要下载最新的 MDX 文件,则需要 Citrix 客户帐户
  • 要使用 Android for Workspace,设备必须配备以下各项:

    • Android 7 或更高版本
    • Citrix Workspace 应用程序版本

Android for Workspace 入门

入门路径

一次性设置

请按照以下步骤进行操作以执行 Android for Workspace 平台的初始设置。

  1. 创建一个 Google 帐户。如果已设置 Android Enterprise,则必须使用具有不同电子邮件地址的 Google 帐户。

    请参阅将托管 Google Play 与 Endpoint Management 结合使用要求

  2. 将您的 Google 帐户绑定到 Endpoint Management。

    请参阅将 Endpoint Management 连接到 Google Play

  3. 创建和配置注册配置文件。

    请参阅创建注册配置文件

  4. 准备交付启用了 MDX 的应用程序。

    使用 MAM SDK 开发应用程序。

    请参阅 MAM SDK 概述

配置设备

  1. 创建交付组。Android Enterprise 的现有交付组不会向 Android for Workspace 设备交付资源。

    控制哪些用户获得哪些资源以及何时获得资源。请参阅部署资源

  2. 添加应用程序。可以直接从 Endpoint Management 控制台审批 Google Play 中的应用程序。

  3. 创建注册配置文件。

    指定设备和应用程序管理注册选项。请参阅创建注册配置文件

  4. 配置设备和应用程序策略。

    在企业安全性与用户隐私和用户体验之间取得平衡。请参阅配置 Android for Workspace 设备和应用程序策略

  5. 分发 Apple 应用程序。

    请参阅:

    为 Android for Workspace 发布的应用程序没有部署规则。Endpoint Management 每 30 分钟向 Android for Workspace 设备推送一次新应用程序和策略。

  6. 配置安全操作以监视和确保合规性。

    请参阅安全操作

将托管 Google Play 与 Endpoint Management 结合使用

将 Endpoint Management 与托管 Google Play 相集成以使用 Android for Workspace 时,可以创建一个企业。Google 将企业定义为组织与企业移动管理 (EMM) 解决方案之间的绑定。组织通过您的解决方案管理的所有用户和设备都属于其企业。

Android for Workspace 的企业版包含两个组件:EMM 解决方案和 Google 企业应用程序平台。当您将 Endpoint Management 与 Android for Workspace 相集成时,完整的解决方案包含以下组件:

  • Citrix Endpoint Management: Citrix EMM。Endpoint Management 是用于安全数字工作区的统一端点管理。Endpoint Management 为 IT 管理员提供了为其组织管理设备和应用程序的方法。
  • 托管 Google Play:与 Endpoint Management 集成的 Google 企业应用程序平台。Google Play EMM API 设置应用程序策略并分发应用程序。

使用托管 Google Play 时,您将为设备和最终用户预配托管 Google Play 帐户。托管 Google Play 帐户提供对托管 Google play 的访问,以允许用户安装和使用您提供的应用程序。如果贵组织使用第三方身份服务,您可以将托管 Google Play 帐户与您的现有身份帐户链接。

由于这种类型的企业未绑定到域,因此,您可以为单个组织创建多个企业。例如,组织中的每个部门或区域都可以注册为不同的企业。使用不同的企业可以管理单独的设备和应用程序的集合。

对于 Endpoint Management 管理员,托管 Google Play 将 Google Play 的用户体验和应用商店功能与为企业设计的一组管理功能相结合。使用托管 Google Play 可添加、购买和审批应用程序,以便部署到设备上的 Android for Workspace 工作区。可以使用 Google Play 部署您的公共应用程序、专用应用程序和第三方应用程序。

对于托管设备的用户,托管 Google Play 是企业应用商店。用户可以浏览应用程序、查看应用程序详细信息以及安装这些应用程序。与 Google Play 的公共版本不同,用户只能从您为其提供的托管 Google Play 安装应用程序。

将 Endpoint Management 连接到 Google Play

要为贵组织设置 Android for Workspace,请通过托管 Google Play 将 Citrix 注册为 EMM 提供商。该设置将托管 Google Play 连接到 Endpoint Management,并在 Endpoint Management 中为 Android for Workspace 创建一个企业。

您需要一个企业 Google 帐户才能登录 Google Play。

  1. 在 Endpoint Management 控制台中,转到设置 > Android for Workspace

  2. 单击连接。Google Play 将打开。

    Android for Workspace 连接到 Google Play

  3. 使用您的企业 Google 帐户凭据登录 Google Play。输入贵组织的名称并确认 Citrix 是您的 EMM 提供商。

  4. 将为 Android for Workspace 添加企业 ID。您的企业 ID 将显示在 Endpoint Management 控制台中。

    Android Workspace 企业 ID

您的环境已连接到 Google,并准备好管理设备。您现在可以为用户提供应用程序。

Endpoint Management 可以为用户提供 Citrix 移动生产力应用程序、MDX 应用程序、公共应用商店应用程序、Web 和 SaaS 应用程序、企业应用程序和 Web 链接。有关这些类型的应用程序以及向用户提供这些应用程序的详细信息,请参阅添加应用程序

创建注册配置文件

如果为 Endpoint Management 部署启用了 Android for Workspace,注册配置文件将控制 Android 设备的注册方式。配置注册配置文件,以将新设备和恢复出厂设置的设备注册为 Android for Workspace 工作配置文件设备。还可以配置其中每个注册配置文件以将 BYOD Android 设备注册为工作配置文件设备。

Citrix Workspace 仅作为 MDM+MAM 解决方案。用户通过 Workspace 应用程序在 Endpoint Management 中注册时,必须同意设备管理和应用程序管理。

Android for Workspace 设备的身份验证方法默认为为 Citrix Workspace 应用程序设置的身份验证方法。在 Endpoint Management 控制台中配置身份验证方法对这些设备不起作用。请参阅更改身份验证方法

创建注册配置文件时,需要为其分配交付组。如果用户属于具有不同注册配置文件的多个交付组,该交付组的名称决定使用的注册配置文件。Endpoint Management 选择按字母顺序排列的交付组列表中最后显示的交付组。有关详细信息,请参阅注册配置文件

添加工作配置文件设备的注册配置文件

  1. 在 Endpoint Management 控制台中,转到配置 > 注册配置文件

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。

  3. 设置使用此配置文件的成员可以注册的设备数量。

  4. 平台下选择 Android,或者单击下一步。此时将显示“注册配置”页面。

  5. 启用通过 Workspace 应用程序注册。Endpoint Management 自动启用 BYOD 工作配置文件Citrix MAM

    “注册配置文件”配置屏幕

  6. 选择分配(可选)。此时将显示交付组分配屏幕。

  7. 请选择包含注册使用工作配置文件的完全托管设备的管理员的一个或多个交付组。然后单击 Save(保存)。

    显示的“注册配置文件”页面中添加了您的配置文件。

    “注册配置文件”页面

预配 Android for Workspace BYOD 工作配置文件设备

Android for Workspace BYOD 工作配置文件设备注在配置文件所有者模式下注册。这些设备不需要是新设备或恢复出厂设置的设备。用户将从 Google Play 下载 Citrix Workspace 并注册其设备。

默认情况下,当您在 Android for Workspace 中将设备注册为工作配置文件设备时,Endpoint Management 将禁用设备上的 USB 调试未知来源设置。

在 Android for Workspace 中将设备注册为工作配置文件设备时,将始终转至 Google Play。在该应用商店中,允许 Citrix Workspace 在用户的个人配置文件中显示。

配置 Android for Workspace 设备和应用程序策略

有关在设备和应用程序级别控制的策略的概述,请参阅 Android Enterprise 支持的设备策略和 MDX 策略

关于策略需要了解以下内容:

  • 设备限制: 数十种设备限制允许您控制以下功能:

    • 使用设备摄像头
    • 在工作配置文件与个人配置文件之间使用复制和粘贴
  • PerApp VPN: 使用“托管配置”设备策略为 Android for Workspace 配置 VPN 配置文件。

设备策略

下表列出了适用于 Android for Workspace 的设备策略。

安全操作

Android for Workspace 支持以下安全操作。有关每个安全操作的说明,请参阅安全操作

  • 完全擦除
  • 查找
  • 锁定
  • 通知(响铃)
  • 选择性擦除

除非“位置”设备策略将设备的位置模式设置为高精度电池节能,否则定位安全操作将失败。请参阅位置设备策略

取消注册 Android for Workspace 企业

如果您不想再使用 Android for Workspace 企业,则可以取消注册该企业。

警告:

取消注册企业后,已通过企业注册的设备上的应用程序将重置为其默认状态。Google 不再管理设备。如果您注册到新的 Android for Workspace 企业,则必须从托管 Google Play 审批新组织的应用程序。然后,您可以从 Endpoint Management 控制台更新应用程序。

取消注册 Android for Workspace 企业版后:

  • 通过企业注册的设备和用户会将应用程序重置到其默认状态。以前应用的托管配置策略不再影响操作。
  • Endpoint Management 负责管理通过企业注册的设备。从 Google 角度来看,这些设备是非托管设备。无法添加新应用程序。无法应用托管配置策略。可以将其他策略(例如“计划”、“密码”和“限制”)应用到这些设备。
  • 如果尝试在 Android for Workspace 中注册设备,这些设备将注册为 Android 设备,而非 Android for Workspace 设备。

使用 Endpoint Management 服务器控制台和 Endpoint Management Tools 取消注册 Android for Workspace 企业。

执行此任务时,Endpoint Management 将打开“工具”弹出窗口。在开始之前,请确保您的浏览器具有打开弹出窗口的权限。某些浏览器(例如 Google Chrome)要求禁用弹出窗口阻止功能并将 Endpoint Management 站点的地址添加到弹出窗口允许列表中。

要取消注册 Android for Workspace 企业,请执行以下操作:

  1. 在 Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 设置页面上,单击 Android for Workspace

  3. 单击取消注册

    取消注册选项

用户体验

Android for Workspace 平台上的用户通过 Citrix Workspace 应用程序注册其设备。用户注册后,可以通过 Workspace 应用程序访问应用程序和公司数据。

有关设置 Citrix Workspace 应用程序的信息,请参阅适用于 Android 的 Citrix Workspace 应用程序

有关在用户设备上注册和设置应用程序的信息,请参阅用户帮助文档中的关于适用于 Android 的 Citrix Workspace 应用程序

已知限制

  • Google 不支持对 Android for Workspace 使用以下功能。影响这些功能的任何策略都不适用于这些设备,并且移动生产力应用程序不允许用户访问该功能。
    • 日历小组件
    • 使用个人配置文件进行日历同步
    • 跨配置文件联系人
  • 最终用户需要手动导入证书颁发机构 (CA) 证书。Endpoint Management 不会将 CA 证书推送到设备。
  • Secure Mail 中的 URL 不会自动在 Secure Web 中打开。用户需要选择 Open-In App(在应用程序中打开)并选择 Secure Web。
  • 在 Citrix Gateway 连接器中配置的所有 DNS 服务器都必须能够解析所有完全限定的域名 (FQDN)。如果 DNS 服务器无法解析所有 FQDN,URL 可能无法在 Secure Web 中加载。
  • Secure Web 在启动时可能会显示空白屏幕。如果出现这种情况,请打开 Citrix Workspace 应用程序,进行身份验证,然后重新启动 Secure Web。
  • Intranet Web 站点可能无法在 Secure Web 中加载。如果发生这种情况,请在该 URL 对应的 Citrix Cloud 应用程序库中配置 Web SaaS 应用程序。
  • 使用 MAM SDK 准备的应用程序可能不会显示为托管。如果发生这种情况,请启动 Citrix Workspace 应用程序,然后从该应用程序中打开应用程序。