Citrix Endpoint Management

Android SafetyNet

您可以配置 Android SafetyNet 功能来评估安装了 Secure Hub 的 Android 设备的兼容性和安全性。Android SafetyNet 不适用于 MAM 部署。

启用此功能后,SafetyNet Attestation API 会检查设备上的软件和硬件信息,以创建该设备的配置文件。然后,API 在已通过 Android 兼容性测试的设备型号列表中查找相同的配置文件。API 还使用此信息确定 Secure Hub 是否已由未知来源修改。

启用 Android SafetyNet 功能后,Secure Hub 会向 Google Play 服务发送 SafetyNet Attestation API 请求,并将结果报告回 Endpoint Management。然后,Endpoint Management 将使用证明结果更新设备信息。可以设置使用证明结果触发设备上的操作的自动操作。

有关 SafetyNet Attestation API 的工作原理的详细信息,请参阅 Android 开发人员文档

预估您需要多少个 SafetyNet Attestation API 请求

发送 SafetyNet Attestation API 请求:

  • 在 Endpoint Management 中注册设备时。

  • 发生 Secure Hub 联机身份验证时。服务器会话过期时或用户注销服务器然后重新登录时会发生联机身份验证。Secure Hub 将提示用户提供凭据以通过服务器进行身份验证。

  • 重新启动设备时。

  • 按定期循环时间间隔配置,介于 24 到 1000 小时之间。

如果您的 Endpoint Management 部署每天发出 10000 多个请求,请 填写此配额申请表

获取 SafetyNet API 密钥

要在 Endpoint Management 中启用 Android SafetyNet,您需要 SafetyNet API 密钥。

  1. 使用您的 Google 管理员帐户凭据登录到 Google API 控制台。

  2. 转到“Library”(库)页面。

  3. 搜索“Android Device Verification API”(Android 设备验证 API)。 Google API 页面

  4. 单击 Android Device Verification API(Android 设备验证 API)。 Google API 页面

  5. 如果 API 尚未启用,请单击 Enable(启用)。 Google API 页面

  6. 单击管理

  7. 单击 Create Credentials(创建凭据)以生成 API 密钥。 Google API 页面

  8. 选择 Android Device Verification(Android 设备验证)单击 What credentials to I need(我需要什么凭据)。然后单击 Done(完成)。 Google API 页面

  9. Credentials(凭据)页面中,单击密钥旁边的复制图标以复制密钥。 Google API 页面

  10. 保存密钥,以便您能够在启用 Android SafetyNet 时将其粘贴到 Endpoint Management 控制台中。

启用 Android SafetyNet

  1. 在 Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 设置页面上,单击 Android SafetyNet突出显示包含 Android SafetyNet 的设置页面

  3. 配置以下设置:

    • API 密钥。粘贴从 Google API 控制台获取的 SafetyNet API 密钥。

    • Attestation schedule in hours(证明时间表(小时))。键入 SafetyNet Attestation API 评估您的 Android 设备的时间间隔(以小时为单位)。最小值为 24 小时。最大值为 1000 小时。默认值为 24 小时。 配置 Android SafetyNet

  4. 单击保存

查看 Android SafetyNet 结果

要查看设备的 SafetyNet Attestation API 评估结果,请执行以下操作:

  1. 在 Endpoint Management 控制台中,单击管理 > 设备

  2. 选择 Android 设备以查看 SafetyNet Attestation API 结果。然后单击显示更多

  3. 设备详细信息页面中,选择属性

  4. 结果将显示在安全性部分中。 高亮显示了 Android SafetyNet 的“设备详细信息”页面

SafetyNet Attestation API 为每个设备返回以下状态:

  • SafetyNet CTS profile match(SafetyNet CTS 配置文件匹配):如果此值设置为 True,则设备具有与已通过 Android 兼容性测试套件 (CTS) 的测试的配置文件匹配。如果此值设置为 False,则设备没有与已通过 Android CTS 测试的配置文件匹配的配置文件。

  • SafetyNet basic integrity(SafetyNet 基本完整性):如果此值设置为 True,则 SafetyNet Attestation API 未发现设备上的 Secure Hub 已被未知来源修改的证据。如果此值设置为 False,则设备上的 Secure Hub 已被未知来源修改。

  • SafetyNet last known status(SafetyNet 上次已知状态):此值显示设备的上次已知 SafetyNet 状态:

    • Success(成功):SafetyNet Attestation API 未发现设备上的 Secure Hub 已被未知来源修改的证据。

    • LOCK_BOOTLOADER: 用户应锁定设备的引导装载程序。设备上的 Secure Hub 已被未知来源修改。

    • RESTORE_TO_FACTORY_ROM: 用户应将设备恢复到干净的出厂 ROM。设备上的 Secure Hub 已被未知来源修改。

Android SafetyNet