Citrix Endpoint Management

Samsung

Samsung 提供了与 Citrix Endpoint Management 兼容的几种解决方案。

  • Endpoint Management 支持并扩展了兼容的 Samsung 设备上的 Samsung for Enterprise (SAFE) 和 Knox 策略。
  • Knox 包括 SE for Android Management Service (SEAMS)。SEAMS 提供 Samsung 安全策略引擎的 API 级控制。
  • Knox 服务插件 (KSP) 是支持一部分适用于企业的 Knox 平台功能的应用程序。

要控制 Android 设备连接到 Endpoint Management 服务的方式和时间,请使用 Firebase Cloud Messaging (FCM)。有关信息,请参阅 Firebase Cloud Messaging

注册配置文件确定 Android 设备在 MAM、MDM 还是 MDM+MAM 中注册,并提供供用户选择退出 MDM 的选项。Endpoint Management 支持对在 MDM+MAM 中注册的 Android 设备使用以下身份验证类型。有关信息,请参阅证书和身份验证下的文章。

  • 域加安全令牌
  • 客户端证书
  • 客户端证书加域
  • 身份提供程序:
    • Azure Active Directory
    • Citrix 身份提供程序

另一种罕见的身份验证方法是客户端证书加安全令牌。有关信息,请参阅 https://support.citrix.com/article/CTX215200

启动 Android 设备管理的一般工作流程如下:

  1. 完成登录流程。请参阅载入和资源设置准备注册设备并交付资源

  2. 选择并配置注册方法。请参阅 支持的注册方法

  3. 部署 Samsung 许可证密钥

  4. 启用 Knox 认证

  5. 配置 Samsung 设备策略

  6. 设置设备和应用程序安全操作。请参阅 安全操作

有关支持的操作系统,请参阅支持的设备操作系统

支持的注册方法

下表列出了 Endpoint Management 支持的 Android 设备的注册方法:

方法 支持
批量注册 是 (Knox)
手动注册
注册邀请

可以使用 Knox Mobile Enrollment 将多个 Knox 设备注册到 Endpoint Management(或任何移动设备管理器)中,但不手动配置每个设备。有关信息,请参阅 Knox 批量注册

有关注册设备的信息,请参阅注册 Android 设备

部署 Samsung 许可证密钥

Samsung 拥有 Enterprise License Management (ELM) 密钥和 Knox License Management (KLM) 密钥。您从 Samsung 购买 Samsung 许可证。

  • Knox:Knox 平台要求您购买 Knox 工作区许可证。要启用 Knox API 并将 Knox 策略和限制部署到设备,请先配置 Endpoint Management 设备策略“Samsung MDM 许可证密钥”。必须至少推送一个专门针对 Knox 的“限制”设备策略以及 ELM 和 KLMS 密钥,才能激活 Knox。

    对于 HTC 特定策略,Endpoint Management 支持 HTC API 版本 0.5.0。对于 Sony 特定的策略,Endpoint Management 支持 Sony Enterprise SDK 2.0。

  • SAFE:在部署 SAFE 策略和限制之前,请将内置的 Samsung ELM 密钥部署到设备。要部署该密钥,请配置 Endpoint Management 设备策略“Samsung MDM 许可证密钥”。

Samsung Enterprise Firmware-Over-The-Air (E-FOTA) 服务

Endpoint Management 还支持 Samsung Enterprise Firmware-Over-The-Air (E-FOTA) 服务。通过 Samsung E-FOTA,您可以确定设备的更新时间,确定要使用的固件版本,以及在部署更新之前测试更新。有关信息,请参阅 配置 Samsung E-FOTA 设置

启用 Knox 认证

可以配置 Endpoint Management 以查询 Knox 认证服务器 REST API。

Knox 应用为操作系统和应用程序提供多级别保护的硬件安全功能。其中一种安全级别驻留在通过认证的平台上。认证服务器提供移动设备的核心系统软件(例如,引导加载程序和内核)验证。该验证基于在可信引导期间收集的数据在运行时进行。

  1. 在 Endpoint Management Web 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 单击 Samsung Knox

    Knox 页面

  3. 启用 Samsung Knox 认证设置为,以启用 Knox 认证。默认值为

  4. Web 服务 URL 列表中,执行以下操作之一:

    • 单击适当的认证服务器。

    • 单击新增,然后输入 Web 服务 URL。

  5. 单击测试连接以验证连接。将显示成功或失败消息。

  6. 单击保存

配置 Samsung 设备策略

面向 Knox 的设备策略:

     
应用程序限制 应用程序卸载 浏览器
将应用程序复制到 Samsung 容器 Exchange 适用于企业的 Knox 平台密钥
通行码 限制 Samsung MDM 许可证密钥
VPN    

Samsung SAFE 的设备策略:

     
应用程序卸载限制 浏览器 Exchange
防火墙 是否需要 Kiosk 适用于企业的 Knox 平台
操作系统更新 限制 Samsung MDM 许可证密钥
存储加密 VPN  

面向 Samsung SEAMS 的设备策略:

     
将应用程序复制到 Samsung 容器    

安全操作

Android 支持以下安全操作。有关每个安全操作的说明,请参阅安全操作

     
应用程序锁定 应用程序擦除 证书续订
完全擦除 查找 锁定
锁定并重置密码 通知 吊销
选择性擦除    

注意:

对于运行 Android 6.0 及更高版本的设备,定位安全操作要求用户在注册过程中授予位置权限。用户可以选择不授予定位权限。如果用户在注册过程中不授予该权限,Endpoint Management 会在发送定位命令时再次申请定位权限。

添加 Knox 服务插件应用程序

如果您计划将 Android Enterprise 与 Knox 结合使用,请将 Knox 服务插件添加到 Endpoint Management。KSP 应用程序使用 AndroidOEMConfig 来支持安全策略、灵活的 VPN 配置和生物特征识别身份验证控制等功能。AndroidOEMConfig 使 OEM 和端点移动性管理器 (EMM) 能够支持涵盖 Android Enterprise 不支持的用例的自定义 OEM API。有关 KSP 的详细信息,请参阅 Knox 服务插件管理指南

  1. 登录您的 Google 帐户并导航到 https://play.google.com/work/apps/details?id=com.samsung.android.knox.kpu。批准 Knox 服务插件应用程序。
  2. 登录到 Endpoint Management 控制台,并将 Knox 服务插件添加为公共应用商店应用程序。有关添加公共应用商店应用程序的详细信息,请参阅添加公共应用商店应用程序KSP 应用程序
  3. 在 Endpoint Management 控制台中,导航到配置 > 设备策略。单击添加
  4. 单击 Android Enterprise 托管配置。在显示的对话框中,从菜单中选择 Knox Service Plugin(Knox 服务插件)。有关 Android Enterprise 托管配置策略的详细信息,请参阅 Android Enterprise 托管配置策略
  5. 键入策略的名称,然后继续进入平台页面。 Android Enterprise 托管配置 Knox 服务插件策略
  6. 在平台页面上,键入 Knox 配置文件的配置文件名称,然后输入 Samsung 提供的 KPE Premium License key(KPE 高级许可证密钥)。这些字段下方显示的策略来自您的 Knox 部署。有关 Knox 策略的详细信息,请参阅本部分前面引用的《Knox 服务管理插件指南》。 策略选取器
  7. 单击下一步并配置策略的部署规则。
  8. 单击保存

Samsung