Citrix Endpoint Management

Samsung Knox 批量注册

要将多个 Samsung Knox 设备注册到 Endpoint Management(或任何移动设备管理器)中,但不手动配置每个设备,请使用 Knox Mobile Enrollment。首次使用时或恢复出厂设置后会进行注册。管理员还可以将用户名和密码直接传递到设备,以便用户不需要在注册时输入任何信息。

注意:

Knox Mobile Enrollment 的设置与 Endpoint Management Knox 容器无关。有关 Knox Mobile Enrollment 的详细信息,请参阅 Knox 移动注册管理指南

Knox Mobile Enrollment 的先决条件

  • Endpoint Management 必须已配置(包括许可证和证书)且正在运行。
  • Secure Hub APK 文件。设置 Knox Mobile Enrollment 时,您将上载此文件。
  • 有关 KME 要求的列表,请参阅 Knox Mobile Enrollment 简介
  • 适用于企业的 Samsung Knox 平台 (PKE) 许可证,需要应用设备策略。在 Endpoint Management 设备策略“适用于企业的 Knox 平台”中提供许可证密钥。

下载 Secure Hub APK 文件

转到 Google Play 应用商店下载 Citrix Secure Hub for Android 文件。

配置防火墙例外

要访问 Knox Mobile Enrollment,请配置以下防火墙例外。其中有些防火墙例外是所有设备必需的,而有些例外则特定于设备的地理区域。

设备区域 URL 端口 目标
全部 https://gslb.secb2b.com 443 适用于 Knox Mobile Enrollment 启动的全局负载平衡器
全部 https://gslb.secb2b.com 80 适用于某些受限旧设备上的 Knox Mobile Enrollment 启动的全局负载平衡器
全部 umc-cdn.secb2b.com 443 Samsung 代理更新服务器
全部 bulkenrollment.s3.amazonaws.com 80 Knox Mobile Enrollment 客户 EULA
全部 eula.secb2b.com 443 Knox Mobile Enrollment 客户 EULA
全部 us-be-api-mssl.samsungknox.com 443 用于 IMEI 验证的 Samsung 服务器
美国 https://us-segd-api.secb2b.com 443 适用于美国的 Samsung 企业网关
欧洲 https://eu-segd-api.secb2b.com 443 适用于欧洲地区的 Samsung 企业网关
中华人民共和国 https://china-segd-api.secb2b.com 443 适用于中国的 Samsung 企业网关

注意:

可以在 Knox 移动注册管理指南 中找到防火墙例外的完整列表。

获取对 Knox Mobile Enrollment 的访问权限

按照 Samsung 文档获取 Knox Mobile Enrollment 的访问权限,网址为 开始使用 KME

设置 Knox Mobile Enrollment

访问 Knox Mobile Enrollment 后,请登录 Knox 门户。

注册过程遵循以下常规步骤。

  1. 使用您的 MDM 控制台信息和设置创建一个 MDM 配置文件。

    MDM 配置文件指示您的设备如何连接到 MDM。

  2. 将设备添加到您的 MDM 配置文件。

    可以上载包含设备信息的 CSV 文件,也可以从 Google Play 安装和使用 Knox 部署应用程序。

  3. Samsung 在验证设备所有权时向您发出警报。

  4. 向用户提供 MDM 凭据。指导用户使用 Wi-Fi 连接到 Internet 以及接受注册其设备的提示。

创建 MDM 配置文件

请按照 配置文件配置 上的 Samsung 文档中概述的步骤进行操作。

遇到以下字段或步骤时,请按照说明进行配置:

  • Pick your MDM(选择您的 MDM):从菜单中选择 Citrix。仅适用于设备所有者配置文件。
  • MDM Agent APK(MDM 代理 APK):仅适用于设备所有者配置文件。键入 Secure Hub APK 下载 URL:https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

    APK 文件可以驻留在设备在注册过程中能够访问的任何服务器上。在注册过程中,设备:

    • 从 APK 下载 URL 下载 Secure Hub
    • 安装 Secure Hub
    • 然后打开 Secure Hub,其中包含下面描述的自定义 JSON 数据。

    .apk 文件名的大写必须与您输入的 URL 一致。例如,如果文件名全部小写,则在 URL 中也必须全部小写。

  • MDM 服务器 URI: 请勿指定 MDM 服务器 URI。Endpoint Management 不使用 Samsung MDM 协议。
  • 自定义 JSON 数据: Secure Hub 需要 Endpoint Management 服务器地址以及用户名和密码才能进行注册。可以在 JSON 中提供该数据,以便 Secure Hub 不提示用户输入该数据。仅当 JSON 忽略该字段时,Secure Hub 才会提示用户输入服务器地址、用户名或密码。

    自定义 JSON 数据的格式为: {"serverURL": "URL", "xm_username":"Username", "xm_password":"Password"}

    在此示例中,通常对于批量注册而言,Secure Hub 不会在注册期间提示用户输入服务器地址或其凭据:

    {"serverURL":"https://example.com/zdm", "xm_username":"userN", "xm_password":"password1234"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm", "xm_username":"userN2", "xm_password":"password7890"}

    在此示例中,通常对于基于展台的设备而言,Secure Hub 会提示用户输入其凭据:

    {"serverURL":"https://example.com/zdm"}

    还可以为 Android Enterprise 的零接触注册输入自定义 JSON。

         {
             "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
             {
                 "serverURL":"URL","xm_username":"username","xm_password":"password"
             }
         }
    

设备开始注册时,设备将从给定的 URL 下载 Secure Hub,安装 Secure Hub,然后打开 Secure Hub。

进一步配置

有关配置的详细信息,请参阅以下 Samsung 文档页面:

注册正在运行版本 2.4 之前的 Knox API 的设备

在 Knox API 的版本低于 2.4 的设备上,在初始设备设置期间不会开始执行批量注册。相反,用户必须启动注册过程。为此,用户将转到 Samsung 站点以下载新的 Mobile Enrollment 客户端并开始注册。

下载的注册客户端使用的 MDM 配置文件和 APK 与在 Knox 批量注册门户中为 Knox 2.4/2.4.1 设备配置的 MDM 配置文件和 APK 相同。

用户通常按照以下步骤进行操作:

  1. 打开设备并连接到 Wi-Fi。如果 Mobile Enrollment 未启动或者 Wi-Fi 不可用,请执行下列操作:

    1. 转到 Samsung Knox Mobile Enrollment

    2. 轻按 Next(下一步按钮使用移动数据注册设备。

  2. 出现提示 Enroll with Knox(通过 Knox 注册)时,轻按 Continue(继续)。

  3. 阅读 EULA(如果有)。轻按下一步

  4. 如果出现提示,请输入 IT 管理员提供的 User ID(用户 ID)和 Password(密码)。

此时将验证用户凭据并在贵组织的企业 IT 环境中注册其设备。

对 Samsung 设备启用和禁用生物特征身份验证

Endpoint Management 支持指纹和虹膜扫描身份验证,又称为生物特征识别身份验证。可以对 Samsung 设备启用和禁用生物特征识别身份验证,而无需用户执行任何操作。如果在 Endpoint Management 中禁用了生物特征身份验证,用户和第三方应用程序将无法启用此功能。

  1. 在 Endpoint Management 控制台中,单击配置 > 设备策略。此时将显示设备策略页面。

  2. 单击添加。此时将显示添加新策略页面。

  3. 单击通行码。此时将显示通行码策略信息页面。

  4. 策略信息窗格中,输入以下信息:

    • 策略名称: 键入策略的描述性名称。
    • 说明: (可选)键入策略的说明。
  5. 单击下一步。此时将显示平台页面。

  6. 平台下,选择 AndroidSamsung Knox

  7. 配置生物特征身份验证设置为

  8. 如果选择 Android,请在 Samsung SAFE 下选择允许指纹允许虹膜,或者两者。

    配置生物特征身份验证选项

Samsung Knox 批量注册