Android SafetyNet

您可以使用 Android SafetyNet 功能来评估安装了 Secure Hub 的 Android 设备的兼容性和安全性。Android SafetyNet 不适用于 MAM 部署。

启用此功能后,SafetyNet Attestation API 会检查设备上的软件和硬件信息, 以创建该设备的配置文件。然后, 该 API 在已通过 Android 兼容性测试的设备模型列表中查找相同的配置文件。此 API 还会使用此信息确定未知来源是否修改了 Secure Hub。

启用 Android SafetyNet 功能时, Secure Hub 会向 Google Play services 发送 SafetyNet Attestation API 请求, 并将结果报告回 Endpoint Management。Endpoint Management 随后将使用证明结果更新设备信息。您可以设置自动化操作, 使用证明结果来触发设备上的操作。

有关 SafetyNet Attestation API 的工作原理的详细信息, 请SafetyNet Attestation API参阅 Google Android 开发人员指南。

估计需要多少 SafetyNet Attestation API 请求

发送 SafetyNet Attestation API 请求:

  • 在 Endpoint Management 中注册设备时。

  • Secure Hub 在线身份验证发生时。当服务器会话过期或用户注销服务器, 然后重新登录时, 将发生联机身份验证。Secure Hub 会提示用户提供凭据以对服务器进行身份验证。

  • 设备重新启动时。

  • 在您配置的重复时间间隔 (介于24到1000小时)。

如果您的 Endpoint Management 部署每天需要10000个请求, 请填写此 quota request 表单执行此操作。

获取 SafetyNet API 密钥

要在 Endpoint Management 中启用 Android SafetyNet, 需要 SafetyNet API 密钥。

  1. 使用您的 Google 管理员帐户凭据登录 Google API 控制台。

  2. 转到 “库” 页面。

  3. 搜索 “Android Device 验证 API”。 "Google API" 页面图

  4. 单击Android 设备验证 API"Google API" 页面图

  5. 如果尚未启用 API, 请单击Enable (启用)。 "Google API" 页面图

  6. 单击管理

  7. 单击创建凭据以生成 API 密钥。 "Google API" 页面图

  8. 选择Android 设备验证单击所需的凭据。然后单击完成"Google API" 页面图

  9. 在 “凭据” 页面中, 单击密钥旁边的复制图标以复制密钥。 "Google API" 页面图

  10. 保存密钥以便在启用 Android SafetyNet 时, 可以将其粘贴到 Endpoint Management 控制台。

启用 Android SafetyNet

  1. 在 Endpoint Management 控制台中, 单击右上角的齿轮图标。此时将显示设置页面。

  2. 设置页面上,单击 Android SafetyNet突出显示了 Android SafetyNet "设置" 页面图

  3. 配置以下设置:

    • API 密钥。粘贴到从 Google API 控制台获取的 SafetyNet API 密钥中。

    • 证明计划 (小时)。SafetyNet Attestation API 评估 Android 设备的时间间隔 (以小时为单位)。最小值为24小时。最大值为1000小时。默认值为24小时。 配置 Android SafetyNet 图

  4. 单击保存

查看 Android SafetyNet 结果

要查看设备的 SafetyNet Attestation API 评估的结果, 请执行以下操作:

  1. 在 Endpoint Management 控制台中, 单击管理 > 设备

  2. 选择 Android 设备以查看 SafetyNet Attestation API 结果。然后单击显示更多

  3. 在 “设备详细信息” 页面上, 选择属性

  4. 结果将显示在Security (安全) 部分中。 突出显示了 Android SafetyNet 的 "设备详细信息" 页面图

对于每个设备, SafetyNet Attestation API 返回以下状态:

  • SafetyNet CTS 配置文件匹配: 如果此值设置为 True,则设备的配置文件将与通过 Android 兼容性测试套件 (CTS) 的配置文件相匹配。如果此值为False, 则设备没有与已通过 Android CTS 相匹配的配置文件。

  • SafetyNet 基本完整性:如果此值为True, SafetyNet Attestation API 将找不到设备上的 Secure Hub 已被未知来源修改的证据。如果此值为False, 则设备上的 Secure Hub 已被未知来源修改。

  • SafetyNet 上次已知状态:此值显示设备的最后一个已知 SafetyNet 状态:

    • 成功:SafetyNet Attestation API 未发现任何证据表明设备上的 Secure Hub 已被未知来源修改。

    • LOCK_BOOTLOADER:用户应锁定设备的引导程序。设备上的 Secure Hub 已被未知来源修改。

    • RESTORE_TO_FACTORY_ROM:用户应将设备还原为干净出厂的 ROM。设备上的 Secure Hub 已被未知来源修改。