Android SafetyNet

您可以使用 Android SafetyNet 功能来评估安装了 Secure Hub 的 Android 设备的兼容性和安全性。Android SafetyNet 不适用于 MAM 部署。

启用此功能后,SafetyNet Attestation API 会检查设备上的软件和硬件信息, 以创建该设备的配置文件。然后,API 在已通过 Android 兼容性测试的设备型号列表中查找相同的配置文件。API 还使用此信息来确定 Secure Hub 是否已被未知来源修改。

启用 Android SafetyNet 功能后,Secure Hub 会将 SafetyNet Attestation API 请求发送到 Google Play 服务,并将结果报告回 Endpoint Management。Endpoint Management 然后使用认证结果更新设备信息。您可以设置使用认证结果在设备上触发操作的自动操作。

有关 SafetyNet Attestation API 如何运行的更多信息,请参阅Android 开发人员文档

估计您需要多少个 SafetyNet Attestation API 请求

发送 SafetyNet Attestation API 请求:

  • 在 Endpoint Management 中注册设备时。

  • 发生 Secure Hub 在线身份验证时。当服务器会话过期或用户注销服务器然后重新登录时,会发生联机身份验证。Secure Hub 会提示用户提供凭据以通过服务器进行身份验证。

  • 设备重新启动时。

  • 在您配置的重复时间间隔,介于 24 到 1000 小时之间。

如果您的 Endpoint Management 部署每天将发出超过 10,000 个请求,则填写此配额申请表

获取 SafetyNet API 密钥

要在 Endpoint Management 中启用 Android SafetyNet,您需要 SafetyNet API 密钥。

  1. 使用您的 Google 管理员帐户凭据登录 Google API 控制台。

  2. 转到图书馆页面。

  3. 搜索“Android 设备验证 API”。 Google API 页面

  4. 单击 Android 设备验证 APIGoogle API 页面

  5. 如果 API 尚未启用,请单击启用Google API 页面

  6. 单击管理

  7. 单击创建凭据以生成 API 密钥。 Google API 页面

  8. 选择 Android 设备验证,单击我需要什么凭据。然后单击完成Google API 页面

  9. 在“凭据”页面中,单击密钥旁边的复制图标以复制密钥。 Google API 页面

  10. 保存密钥,以便在启用 Android SafetyNet 时将其粘贴到 Endpoint Management 控制台中。

启用 Android SafetyNet

  1. 在 Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 设置页面上,单击 Android SafetyNetAndroid SafetyNet 的设置页面突出显示

  3. 配置以下设置:

    • API 密钥。粘贴您从 Google API 控制台获得的 SafetyNet API 密钥。

    • 以小时为单位的证明时间表。键入 SafetyNet Attestation API 评估您的 Android 设备的时间间隔(以小时为单位)。最小值为 24 小时。最大值为 1000 小时。默认值为 24 小时。 配置 Android SafetyNet

  4. 单击保存

查看Android SafetyNet 结果

要查看设备的 SafetyNet Attestation API 评估结果,请执行以下操作:

  1. 在 Endpoint Management 控制台中,单击管理 > 设备

  2. 选择 Android 设备以查看 SafetyNet Attestation API 结果。然后单击“显示更多”。

  3. 在“设备详细信息”页面中,选择“属性”。

  4. 结果将显示在“安 ”部分。 带有 Android SafetyNet 的设备详细信息页面突出显示

安 SafetyNet Attestation API 为每个设备返回这些状态:

  • SafetyNet CTS 配置文件匹配: 如果此值设置为 True,则设备的配置文件将与通过 Android 兼容性测试套件 (CTS) 的配置文件相匹配。如果此值为 False,则设备没有与已通过 Android CTS 的配置文件匹配的配置文件。

  • SafetyNet 基本完整性: 如果此值为 True ,则 SafetyNet Attestation API 未发现设备上的 Secure Hub 已被未知来源修改的证据。如果此值为 False,则设备上的 Secure Hub 已被未知来源修改。

  • SafetyNet 最后已知状态: 此值显示设备的最后知道 SafetyNet 状态:

    • 成功: SafetyNet Attestation API 未发现设备上的 Secure Hub 已被未知来源修改的证据。

    • LOCK_BOOTLOADER: 用户应该锁定设备的引导加载程序。设备上的 Secure Hub 器已被未知来源修改。

    • RESTORE_TO_FACTORY_ROM: 用户应该将设备恢复到干净的工厂 ROM。设备上的 Secure Hub 器已被未知来源修改。