Samsung Knox 批量注册

要将多个 Samsung Knox 设备注册到 Endpoint Management(或任何移动设备管理器)中,但不手动配置每个设备,请使用 Knox Mobile Enrollment。首次使用时或恢复出厂设置后会进行注册。管理员还可以将用户名和密码直接传递到设备,以便用户不需要在注册时输入任何信息。

注意:

Knox Mobile Enrollment 的设置与 Endpoint Management Knox 容器无关。有关 Knox Mobile 注册的更多信息,请参阅Knox Mobile 注册管理指南

Knox Mobile Enrollment 的先决条件

  • Endpoint Management 必须已配置(包括许可证和证书)且正在运行。
  • Secure Hub APK 文件。设置 Knox Mobile Enrollment 时,您将上载此文件。
  • 有关 KME 要求的列表,请参阅Knox Mobile 注册配置文件
  • Samsung Knox Platform for Enterprise (PKE) 许可证,需要应用设备策略。在 Endpoint Management 设备策略“面向企业的 Knox 平台”中提供许可证密钥。

下载 Secure Hub APK 文件

转到 Google Play 商店下载 Citrix Secure Hub for Android 文件。

配置防火墙例外

要访问 Knox Mobile Enrollment,请配置以下防火墙例外。其中有些防火墙例外是所有设备必需的,而有些例外则特定于设备的地理区域。

设备区域 URL 端口 目标
全部 https://gslb.secb2b.com 443 适用于 Knox Mobile Enrollment 启动的全局负载平衡器
全部 https://gslb.secb2b.com 80 适用于某些受限旧设备上的 Knox Mobile Enrollment 启动的全局负载平衡器
全部 umc-cdn.secb2b.com 443 Samsung 代理更新服务器
全部 bulkenrollment.s3.amazonaws.com 80 Knox Mobile Enrollment 客户 EULA
全部 eula.secb2b.com 443 Knox Mobile Enrollment 客户 EULA
全部 us-be-api-mssl.samsungknox.com 443 用于 IMEI 验证的 Samsung 服务器
美国 https://us-segd-api.secb2b.com 443 适用于美国的 Samsung Enterprise Gateway
欧洲 https://eu-segd-api.secb2b.com 443 适用于欧洲地区的 Samsung Enterprise Gateway
中华人民共和国 https://china-segd-api.secb2b.com 443 适用于中国的 Samsung Enterprise Gateway

注意:

您可以在Knox Mobile 注册管理指南中找到防火墙例外的完整列表。

获取对 Knox Mobile Enrollment 的访问权限

按照 Samsung 文档获取Knox Mobile 注册的访问权限,网址为 开始使用 KME

设置 Knox Mobile Enrollment

访问 Knox Mobile 注册后,请登录到 Knox 门户。

注册过程遵循这些常规步骤。

  1. 使用您的 MDM 控制台信息和设置创建一个 MDM 配置文件。

    MDM 配置文件指示您的设备如何连接到 MDM。

  2. 将设备添加到您的 MDM 配置文件。

    您可以上载带有设备信息的 CSV 文件,也可以从 Google Play 安装和使用 Knox 部署应用程序。

  3. Samsung 在验证设备所有权时向您发出警报。

  4. 向用户提供 MDM 凭据。指导用户使用 Wi-Fi 连接到 Internet 以及接受注册其设备的提示。

创建 MDM 配置文件

请按照配置文件配置上的 Samsung文档中概述的步骤操作。

遇到以下字段或步骤时,请按照所述配置其:

  • 选择您的 MDM: 从菜单中选择 Citrix。仅适用于设备所有者配置文件。
  • MDM 代理 APK: 仅适用于设备所有者配置文件。键入 Secure Hub APK 下载 URL。例如:

    https://example.com/zdm/securehub.apk

    https://pmdm.mycorp-inc.net/zdm/securehub.apk

    APK 文件可以驻留在设备在注册过程中能够访问的任何服务器上。注册期间,设备:

    • 从 APK 下载网址下载 Secure Hub
    • 安装安 Secure Hub
    • 然后打开 Secure Hub,其中包含下面描述的自定义 JSON 数据。

    .apk 文件名的大写必须与您输入的 URL 一致。例如,如果文件名全部小写,则在 URL 中也必须全部小写。

  • MDM 服务器 URI: 不指定 MDM 服务器 URI。Endpoint Management 不使用 Samsung MDM 协议。
  • 自定义 JSON 数据: 以下格式输入 Endpoint Management 服务器地址、用户名和密码: {"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}

    示例:

    {"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"james.cork", "xm_password":"aDin20_1fa"}

    还可以为适用于 Android Enterprise 的零接触注册输入自定义 JSON。

         {
             "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
             {
                 "serverURL":"URL","xm_username":"username","xm_password":"password"
             }
         }
    

当某个设备开始批量注册时,该设备将使用配置文件数据。首先,设备从给定的 URL 下载 Secure Hub、安装 Secure Hub,并将自定义 JSON 数据作为参数打开 Secure Hub。Secure Hub 已有 Endpoint Management 地址,因此 Secure Hub 不需要提示输入。注册自动发生,因为 JSON 文件也提供凭据。

进一步配置

有关配置的详细信息,请参阅以下 Samsung 文档页面:

注册正在运行版本 2.4 之前的 Knox API 的设备

在具有早于 2.4 版的 Knox API 的设备上,在初始设备设置期间不会启动批量注册。相反,用户必须启动注册。为此,用户转到 Samsung 站点下载新的移动注册客户端并开始注册。

下载的注册客户端使用的 MDM 配置文件和 APK 与在 Knox 批量注册门户中为 Knox 2.4/2.4.1 设备配置的 MDM 配置文件和 APK 相同。

用户通常按照以下步骤进行操作:

  1. 打开设备并连接到 Wi-Fi。如果 Mobile Enrollment 未启动或者 Wi-Fi 不可用,请执行下列操作:

    1. 转至 Samsung Knox Mobile 注册

    2. 单击“下一步”按钮以使用移动数据注册设备。

  2. 出现提示 Enroll with Knox(通过 Knox 注册)时,轻按 Continue(继续)。

  3. 阅读 EULA(如果有)。轻按下一步

  4. 如果出现提示,请输入 IT 管理员提供的 User ID(用户 ID)和 Password(密码)。

此时将验证用户凭据并在贵组织的企业 IT 环境中注册其设备。

对 Samsung 设备启用和禁用生物特征身份验证

Endpoint Management 支持指纹和虹膜扫描身份验证,也称为生物识别身份验证。您可以为 Samsung 设备启用和禁用生物识别身份验证,而无需用户采取任何操作。如果在 Endpoint Management 中禁用了生物特征身份验证,用户和第三方应用程序将无法启用此功能。

  1. 在 Endpoint Management 控制台中,单击配置 > 设备策略。此时将显示“设备策略”页面。

  2. 单击添加。此时将显示添加新策略页面。

  3. 单击通行码。此时将显示通行码策略信息页面。

  4. 在“策略信息”窗格中,输入以下信息:

    • 策略名称: 键入策略的描述性名称。
    • 说明: (可选)键入策略的说明。
  5. 单击下一步。此时将显示平台页面。

  6. 平台下,选择 AndroidSamsung Knox

  7. 配置生物特征身份验证设置为

  8. 如果选择 Android,请在 Samsung SAFE 下选择允许指纹允许虹膜,或者两者。

    配置生物识别身份验证选项