Samsung

Samsung 提供了多个与 Citrix Endpoint Management 兼容的解决方案。

  • 在兼容的 Samsung 设备上,Endpoint Management 支持并扩展 Samsung for Enterprise (SAFE) 和 Knox policies 策略。
  • Knox 包含用于 Android 管理服务的 SE (接缝)。接缝可提供对 Samsung 安全策略引擎的 API 级别控制。
  • 在支持用于企业功能的 Knox 平台子集的应用程序中使用 Knox Service 插件 (KSP)。

要控制何时以及何时 Android 设备连接到 Endpoint Management service, 请使用 Firebase Cloud Messaging (FCM)。有关信息,请参阅 Firebase Cloud Messaging

Endpoint Management 将 Android 设备注册到 MDM + MAM 或 MDM 模式, 用户可以选择在仅 MAM 模式下注册。Endpoint Management 在 MDM + MAM 模式下支持 Android 设备的以下身份验证类型。有关信息, 请参阅证书和身份验证中的文章。

  • 域加安全令牌
  • 客户端证书
  • 客户端证书加域
  • 身份提供程序:
    • Azure Active Directory
    • Citrix 身份提供程序

另一个很少使用的身份验证方法为客户端证书和安全令牌。有关信息,请参阅 https://support.citrix.com/article/CTX215200

开始执行 Android 设备管理的常规工作流程如下:

  1. 完成加入过程。请参阅载入和资源设置准备注册设备并交付资源

  2. 选择并配置注册方法。请参阅支持的注册方法

  3. 部署 Samsung 许可证密钥

  4. 启用 Knox 认证

  5. 配置 Samsung 设备策略

  6. 设置设备和应用程序安全操作。请参阅安全操作

有关支持的操作系统, 请支持的设备操作系统参阅。

支持的注册方法

下表列出了 Endpoint Management 支持 Android 设备的注册方法:

方法 支持
批量注册 是 (Knox)
手动注册
注册邀请

可以使用 Knox Mobile Enrollment 将多个 Knox 设备注册到 Endpoint Management(或任何移动设备管理器)中,无需手动配置每个设备。有关信息,请参阅 Knox 批量注册

有关注册设备的信息,请参阅注册 Android 设备

部署 Samsung 许可证密钥

Samsung 具有企业版许可证管理 (榆树) 键和 Knox 许可证管理 (KLM) 密钥。您从 Samsung 购买 Samsung 许可证。

  • Knox: Knox 平台需要您购买 Knox Workspace 许可证。要启用 Knox Api 并向设备部署 Knox 策略和限制, 请先配置 Endpoint Management 设备策略 (Samsung MDM 许可证密钥)。要激活 Knox, 必须至少推送一个专用于 Knox 的限制设备策略以及榆树和 KLMS 键。

    对于 HTC 特定策略,Endpoint Management 支持 HTC API 版本 0.5.0。对于 Sony 特定的策略,Endpoint Management 支持 Sony Enterprise SDK 2.0。

  • SAFE: 在部署安全策略和限制之前, 将内置 Samsung 榆树键部署到设备。要部署该密钥, 请配置 Endpoint Management 设备策略 (Samsung MDM 许可证密钥)。

Samsung Enterprise Firmware-Over-The-Air (E-FOTA) 服务

Endpoint Management 还支持 Samsung Enterprise Firmware-Over-The-Air (E-FOTA) 服务。Samsung E-FOTA 允许您确定设备更新的时间, 确定要使用的固件版本, 并在部署更新之前对其进行测试。有关信息,请参阅 配置 Samsung E-FOTA 设置

启用 Knox 认证

可以配置 Endpoint Management 以查询 Knox 认证服务器 REST API。

Knox 利用为操作系统和应用程序提供多级别保护的硬件安全功能。其中一种安全级别驻留在通过认证的平台上。认证服务器提供移动设备的核心系统软件(例如,引导加载程序和内核)验证。该验证基于在可信引导期间收集的数据在运行时进行。

  1. 在 Endpoint Management web 控制台中, 单击右上角的齿轮图标。此时将显示设置页面。

  2. 单击Samsung Knox

    Knox 页面示意图

  3. 启用 Samsung Knox 认证设置为以启用 Knox 认证。默认值为

  4. Web 服务 URL列表中, 执行以下操作之一:

    • 单击适当的认证服务器。

    • 单击新增,然后输入 Web 服务 URL。

  5. 单击测试连接以验证连接。将显示成功或失败消息。

  6. 单击保存

配置 Samsung 设备策略

Knox 设备策略:

     
应用程序限制 应用程序卸载 浏览器
将应用程序复制到 Samsung 容器 Exchange 适用于企业的 Knox 平台密钥
通行码 限制 Samsung MDM 许可证密钥
VPN    

适用于 Samsung SAFE 的设备策略:

     
应用程序卸载限制 浏览器 Exchange
防火墙 展台 适用于企业的 Knox 平台
操作系统更新 限制 Samsung MDM 许可证密钥
存储加密 VPN  

Samsung 接缝的设备策略:

     
将应用程序复制到 Samsung 容器    

安全操作

Android 支持以下安全操作。有关每个安全操作的说明, 请安全操作参阅。

     
应用程序锁定 应用程序擦除 证书续订
完全擦除 查找 锁定
锁定并重置密码 通知 吊销
选择性擦除    

注意:

对于运行 Android 6.0 及更高版本的设备, 定位安全操作要求用户在注册过程中授予定位权限。用户可以选择不授予定位权限。如果用户在注册过程中不授予该权限,Endpoint Management 会在发送定位命令时再次申请定位权限。

添加 Knox service 插件应用程序

如果您计划在 Knox 中使用 Android Enterprise, 请将 Knox service 插件添加到 Endpoint Management。KSP 应用程序使用 AndroidOEMConfig 来支持安全策略、灵活 VPN 配置以及生物特征验证控件等功能。AndroidOEMConfig 允许 Oem 和端点移动管理器 (EMM) 支持自定义 OEM Api, 这些 Api 覆盖了不受 Android Enterprise 支持的用例。有关 KSP 的详细信息,请参阅 Samsung 文档

  1. 登录您的 Google 帐户并导航到https://play.google.com/work/apps/details?id=com.samsung.android.knox.kpu。批准应用程序。
  2. 登录到 Endpoint Management 控制台并将 Knox service 插件添加为公共应用商店应用程序。有关添加公共应用商店应用程序的详细信息, 添加公共应用商店应用程序请参阅。 KSP 应用程序示意图
  3. 在 Endpoint Management 控制台中,导航到配置 > 设备策略。单击添加
  4. 单击 Android Enterprise 托管配置。在出现的对话框中, 从菜单中选择Knox 服务插件。有关 Android Enterprise 托管配置策略的详细信息, 请参阅Android Enterprise 托管配置 “策略
  5. 键入策略的名称, 然后继续执行 “平台” 页面。 “Android Enterprise 托管配置 Knox 服务插件”策略示意图
  6. 在平台页面上, 键入 Knox 配置文件的配置文件名称, 并输入 Samsung 提供的KPE Premium 许可证密钥。在这些字段下方显示的策略来自 Knox 部署。有关 Knox 策略的详细信息,请参阅https://docs.samsungknox.com/knox-platform-for-enterprise/admin-guide/about-knox-workspace.htm策略选取器图
  7. 单击下一步并为策略配置部署规则。
  8. 单击保存