Samsung

Samsung 提供了几种与 Citrix Endpoint Management 兼容的解决方案。

  • 在兼容的 Samsung 设备上,Endpoint Management 支持并扩展 Samsung for Enterprise (SAFE) 和 Knox policies 策略。
  • Knox 包括适用于 Android Management Service 的 SE (SEAMS)。SEAMS 提供 Samsung 安全策略引擎的 API 级控制。
  • 应用程序中的 Knox 服务插件 (KSP),该应用程序支持针对企业功能的 Knox 平台子集。

要控制 Android 设备连接到 Endpoint Management 服务的方式和时间,请使用 Firebase Cloud Messaging (FCM)。有关信息,请参阅 Firebase Cloud Messaging

注册配置文件确定 Android 设备是否注册 MAM、MDM 还是 MDM + MAM,用户可以选择退出 MDM。Endpoint Management 支持在 MDM+MAM 中注册的 Android 设备的以下身份验证类型。有关信息,请参阅证书和身份验证下的文章。

  • 域加安全令牌
  • 客户端证书
  • 客户端证书加域
  • 身份提供程序:
    • Azure Active Directory
    • Citrix 身份提供程序

另一种罕见的身份验证方法是客户端证书加安全令牌。有关信息,请参阅 https://support.citrix.com/article/CTX215200

启动 Android 设备管理的一般工作流程如下:

  1. 完成入门流程。请参阅载入和资源设置准备注册设备并交付资源

  2. 选择并配置注册方法。请参阅支持的注册方法

  3. 部署 Samsung 许可证密钥

  4. 启用 Knox 认证

  5. 配置 Samsung 设备策略

  6. 设置设备和应用程序的安全操作。请参阅 安全操作

有关支持的操作系统,请参阅支持的设备操作系统

支持的注册方法

下表列出了 Endpoint Management 支持 Android 设备的注册方法:

方法 支持
批量注册 是 (Knox)
手动注册
注册邀请

可以使用 Knox Mobile Enrollment 将多个 Knox 设备注册到 Endpoint Management(或任何移动设备管理器)中,无需手动配置每个设备。有关信息,请参阅 Knox 批量注册

有关注册设备的信息,请参阅注册 Android 设备

部署 Samsung 许可证密钥

Samsung 拥有企业许可证管理 (ELM) 密钥和 Knox 许可证管理 (KLM) 密钥。您从 Samsung 购买 Samsung 许可证。

  • Knox:Knox 平台要求您购买 Knox 工作区许可证。要启用 Knox API 并将 Knox 策略和限制部署到设备,请首先配置 Endpoint Management 设备策略,即 Samsung MDM 许可证密钥。要激活 Knox,您必须至少推送一个专门针对 Knox 的限制设备策略以及 ELM 和 KLMS 密钥。

    对于 HTC 特定策略,Endpoint Management 支持 HTC API 版本 0.5.0。对于 Sony 特定的策略,Endpoint Management 支持 Sony Enterprise SDK 2.0。

  • SAFE:在部署 SAFE 策略和限制之前,将内置的 Samsung ELM 密钥部署到设备。要部署该密钥,请配置 Endpoint Management 设备策略,即 Samsung MDM 许可证密钥。

Samsung Enterprise Firmware-Over-The-Air (E-FOTA) 服务

Endpoint Management 还支持 Samsung Enterprise Firmware-Over-The-Air (E-FOTA) 服务。Samsung E-FOTA 允许您确定设备何时更新,确定要使用的固件版本,并在部署其之前测试更新。有关信息,请参阅 配置 Samsung E-FOTA 设置

启用 Knox 认证

可以配置 Endpoint Management 以查询 Knox 认证服务器 REST API。

Knox 利用为操作系统和应用程序提供多级别保护的硬件安全功能。其中一种安全级别驻留在通过认证的平台上。认证服务器提供移动设备的核心系统软件(例如,引导加载程序和内核)验证。该验证基于在可信引导期间收集的数据在运行时进行。

  1. 在 Endpoint Management Web 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 单击 Samsung Knox

    Knox 页面

  3. 启用 Samsung Knox 认证设置为以启用 Knox 认证。默认值为

  4. Web 服务 URL 列表中,执行以下操作之一:

    • 单击适当的认证服务器。

    • 单击新增,然后输入 Web 服务 URL。

  5. 单击测试连接以验证连接。将显示成功或失败消息。

  6. 单击保存

配置 Samsung 设备策略

Knox 的设备策略:

     
应用程序限制 应用程序卸载 浏览器
将应用程序复制到 Samsung 容器 Exchange 适用于企业的 Knox 平台密钥
通行码 限制 Samsung MDM 许可证密钥
VPN    

适用于 Samsung SAFE 的设备策略:

     
应用程序卸载限制 浏览器 Exchange
防火墙 是否需要 Kiosk 适用于企业的 Knox 平台
操作系统更新 限制 Samsung MDM 许可证密钥
存储加密 VPN  

适用于 Samsung SEAMS 的设备策略:

     
将应用程序复制到 Samsung 容器    

安全操作

Android 支持以下安全操作。有关每个安全操作的说明,请参阅安全操作

     
应用程序锁定 应用程序擦除 证书续订
完全擦除 查找 锁定
锁定并重置密码 通知 吊销
选择性擦除    

注意:

对于运行 Android 6.0 及更高版本的设备,“定位”安全操作要求用户在注册过程中授予定位权限。用户可以选择不授予定位权限。如果用户在注册过程中不授予该权限,Endpoint Management 会在发送定位命令时再次申请定位权限。

添加 Knox 服务插件应用程序

如果您计划在 Knox 中使用 Android Enterprise,请将 Knox 服务插件添加到 Endpoint Management 中。KSP 应用程序使用 AndroidOEMConfig 来支持安全策略、灵活的 VPN 配置和生物识别身份验证控制等功能。AndroidOEMConfig 使原始设备制造商和终端移动性管理器 (EMM) 能够支持涵盖 Android Enterprise 不支持的使用案例的自定义 OEM API。有关 KSP 的更多信息,请参阅Knox 服务插件管理指南

  1. 登录到您的 Google 帐户并导航到https://play.google.com/work/apps/details?id=com.samsung.android.knox.kpu。审批 Knox 服务插件应用程序。
  2. 登录到 Endpoint Management 控制台,并将 Knox 服务插件添加为公共应用商店应用程序。 有关添加公共应用商店应用的更多信息,请参阅添加公共应用商店应用程序KSP 应用程序
  3. 在 Endpoint Management 控制台中,导航到配置 > 设备策略。单击添加
  4. 单击 Android Enterprise 托管配置。在出现的对话框中,从菜单中选择 Knox 服务插件 。有关 Android Enterprise 管理配置策略的更多信息,请参阅Android Enterprise 托管配置策略
  5. 键入策略的名称,然后继续到平台页面。 Android Enterprise 托管配置 Knox 服务插件策略
  6. 在平台页面上,键入您的 Knox 配置文件的配置文件名称,然后输入 Samsung 的 KPE 高级许可证密钥。这些字段下面显示的策略来自您的 Knox 部署。有关 Knox 策略的更多信息,请参阅本节前面引用的 Knox 服务管理插件指南。 策略选择器
  7. 单击下一步并为策略配置部署规则。
  8. 单击保存