Android Enterprise 托管配置策略

Android Enterprise 托管配置设备策略控制各种应用程序配置选项和应用程序限制。应用开发人员定义了可用于应用的选项和工具提示。 如果工具提示提到使用“模板化值”,请改用相应的 Endpoint Management 宏。有关详细信息,请参阅远程配置概述(在 Android 开发人员站点上)和

应用程序配置设置可以包含以下项目:

  • 应用程序电子邮件设置
  • 将 Web 浏览器的 URL 列入白名单或黑名单
  • 通过手机网络连接或仅通过 Wi-Fi 连接控制应用程序内容同步的选项

有关为您的应用程序显示的设置的信息,请联系应用程序开发人员。

必备条件

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

Android Enterprise 设置

选择添加 Android Enterprise 托管配置设备策略后,系统将提示选择应用程序。如果没有要添加到 Endpoint Management 中的 Android Enterprise 应用程序,将无法继续操作。

选择应用程序后,配置策略设置。这些设置与每个应用程序特定相关。

“设备策略”配置屏幕

为 Android Enterprise 配置 VPN 配置文件

使用 Citrix SSO 应用程序和 Android Enterprise 托管配置设备策略,使 VPN 配置文件可供 Android Enterprise 设备使用。

首先,请将 Citrix SSO 作为 Google Play 应用商店应用程序添加到 Endpoint Management 控制台。请参阅添加公共应用商店应用程序

控制台中的 SSO 应用程序

为 Citrix SSO 创建 Android Enterprise 托管配置

为 Citrix SSO 配置 Android Enterprise 托管配置设备策略以创建 VPN 配置文件。安装了 Citrix SSO 应用程序并部署了策略的设备可以访问您创建的 VPN 配置文件。

您需要您的 Citrix Gateway FQDN 和端口。

  1. 在 Endpoint Management 控制台中,单击配置 > 设备策略。单击添加

  2. 选择 Android Enterprise。单击 Android Enterprise 托管配置

    选择 Android Enterprise 策略

  3. 显示选择应用程序 ID 窗口时,从列表中选择 Citrix SSO,然后单击确定

    选择应用程序 ID 窗口

  4. 键入 Citrix SSO VPN 配置的名称和说明。单击下一步

    Android Enterprise 管理配置向导

  5. 配置 VPN 配置文件参数。

    • VPN 配置文件名称: 键入 VPN 配置文件的名称。如果要创建多个 VPN 配置文件,请为每个配置文件使用唯一的名称。如果不提供名称,则会将您在服务器地址字段中放置的地址用作 VPN 配置文件名称。

    • 服务器地址 (*): 键入您的 Citrix Gateway FQDN。如果 Citrix Gateway 端口不是 443,请键入您的端口。使用 URL 格式。例如,https://gateway.mycompany.com:8443

    • 用户名(可选): 提供最终用户用于对 Citrix Gateway 进行身份验证的用户名。您可以使用 Endpoint Management 宏 {user.username} 作为此字段。(请参阅。)如果不提供用户名,系统会在连接到 Citrix Gateway 时提示用户提供用户名。

    • 密码(可选): 提供最终用户用于对 Citrix Gateway 进行身份验证的密码。如果不提供密码,系统会在连接到 Citrix Gateway 时提示用户提供密码。

    • 证书别名(可选): 提供客户端证书身份验证所需的证书别名。如果您使用基于证书的身份验证,则会为用户预先选择此证书。

      要查找证书别名,请使用下列方法之一:

      • 将客户端证书部署到测试设备。请注意 Secure Hub 要求安装客户端证书时的别名。提供该名称作为证书别名。
      • 在设备上的 Citrix SSO 日志屏幕中,通过电子邮件将 Citrix SSO 应用日志发送给您自己。然后,在CtxLog_com.citrix.CitrixVPN*.csv 文件中查找以下日志消息。

        忽略选定的证书别名,XXX 因为它与所需的别名不匹配YYY

        在该消息中,别名XXX 是用户在安装过程中选择的别名。将该别名指定为证书别名。别名YYY 是当前在 VPN 配置文件中预配置的别名。

    • 每个应用程序 VPN 类型(可选): 如果您使用每个应用程序 VPN 来限制哪些应用程序使用此 VPN,则可以配置此设置。如果选择允许PerAppVPN 应用程序列表中列出的应用程序包名称的网络流量将通过 VPN 路由。所有其他应用程序的网络流量都会在 VPN 外部进行路由。如果选择不允许PerAppVPN 应用程序列表中列出的应用程序包名称的网络流量将在 VPN 外部路由。所有其他应用程序的网络流量都通过 VPN 路由。默认设置为允许

    • PerappVPN 应用程序列表: VPN 上允许或禁止流量的应用程序列表,具体取决于 每个应用程序 VPN 类型 的值。列出以逗号或分号分隔的应用程序包的名称。应用程序包名称区分大小写,并且必须以与 Google Play 应用商店中完全一致的显示方式显示在此列表中。此列表是可选的。将此列表保留为空,以便预配设备范围的 VPN。

    • 默认 VPN 配置文件: 键入用户单击 Citrix SSO 应用程序中的连接交换机而不是特定配置文件时要使用的 VPN 配置文件的名称。如果此字段留空,则主配置文件将用于连接。如果只配置了一个配置文件,则将其标记为默认配置文件。对于始终可用的 VPN,必须将此字段设置为用于建立始终可用的 VPN 的 VPN 配置文件名称。

    • 禁用用户配置文件: 如果此设置为开,则用户无法在其设备上创建自己的 VPN。如果此设置设为“关”,用户可以在其设备上创建自己的 VPN。默认设置为“关”。

    • 阻止不受信任的服务器: 此设置为 OFF 是下列情况之一:

      • 使用 Citrix Gateway 的自签名证书时
      • 颁发 Citrix Gateway 关证书的 CA 的根证书不在系统 CA 列表中时。

      如果此设置设为“开”,Android 操作系统将验证 Citrix Gateway 证书。如果验证失败,则不允许连接。默认值为开。

    Android Enterprise 管理配置向导

  6. 也可以创建自定义参数。支持自定义参数 XenMobileDeviceIdUserAgent。选择当前 VPN 配置,然后单击添加

    Android Enterprise 管理配置向导

    1. 创建自定义参数:

      • 参数名称: 键入 XenMobileDeviceId。此字段是基于 Endpoint Management 中的设备注册,用于网络访问检查的设备 ID。如果 Endpoint Management 注册并管理设备,则允许 VPN 连接。否则,在 VPN 建立时将拒绝身份验证。

      • 参数值: 为了使 Endpoint Management 确定设备的注册和管理状态,XenMobileDeviceID 的值设置为 DeviceID_${device.id}

    Android Enterprise 管理配置向导

    1. 要创建另一个自定义参数,请再次单击添加。创建此自定义参数。

      • 参数名称: 键入 UserAgent。此文本附加到用户代理 HTTP 标头,用于在 Citrix Gateway 上执行额外的检查。与 Citrix Gateway 通信时,Citrix SSO 应用程序将此文本的值附加到用户代理 HTTP 标头。

      • 参数值: 键入要追加到用户代理 HTTP 标头的文本。此文本必须符合 HTTP 用户代理规范。

  7. 或者,创建更多 VPN 配置文件配置。单击配置列表下的添加。列表中将显示一个新配置。选择新配置并重复步骤 5 以及(可选)步骤 6。

    Android Enterprise 管理配置向导

  8. 创建所有所需 VPN 配置文件后,单击下一步

  9. 为 Citrix SSO 的此托管配置配置部署规则。

  10. 单击保存

Citrix SSO 的此托管配置现在显示在已配置的设备策略列表中。

要为您配置的 VPN 配置文件启用始终启用功能,请设置Endpoint Management 选项设备策略

注意: 适用于 Android Enterprise 的始终可用的 VPN 需要 Citrix Secure Hub 19.5.5 或更高版本。

从设备访问 VPN 配置文件

要访问您创建的 VPN 配置文件,Android Enterprise 用户将从 Google Play 应用商店安装 Citrix SSO。

您配置的一个或多个 VPN 配置文件将显示在应用程序的托管连接区域中。用户轻按 VPN 配置文件将使用该 VPN 配置文件进行连接。

设备上 SSO 应用程序的托管连接区域

用户进行身份验证并连接后,VPN 配置文件旁边会显示一个复选标记。键图标指示 VPN 已连接。

使用 Zebra OEMConfig 管理 Zebra Android 设备

使用 Zebra Technologies OEMConfig 管理工具管理 Zebra Android 设备。有关 Zebra OEMConfig 应用程序的信息,请参阅 Zebra Technologies Web 站点

Endpoint Management 支持 Zebra OEMConfig 9.2 及更高版本。有关在设备上安装 Zebra OEMConfig 的系统要求的信息,请参阅 Zebra Technologies Web 站点上的 OEMConfig 设置

首先:在 Endpoint Management 控制台中,将 Zebra OEMConfig 应用添加为 Google Play 商店应用。 看到添加公共应用商店应用程序了。

为 Zebra OEMConfig 应用程序创建 Android Enterprise 托管配置

为 Zebra OEMConfig 应用程序配置 Android Enterprise 托管配置设备策略。该策略适用于安装了 Zebra OEMConfig 应用程序并部署了该策略的 Zebra 设备。

  1. 在 Endpoint Management 控制台中,单击 配置 > 设备策略。单击添加

  2. 选择 Android Enterprise。单击 Android Enterprise 托管配置

    选择 Android Enterprise 策略

  3. 显示选择应用程序 ID 窗口时,从列表中选择 ZebraOEMConfig powered by MX(ZebraOEMConfig,由 MX 提供技术支持),然后单击确定

  4. 键入 Zebra OEMConfig 配置的名称和说明。单击下一步

  5. 键入 Zebra OEMConfig 配置的名称。

  6. 配置可用参数。例如:

    • 要禁用设备前面的摄像头,请选择 Camera Configuration(摄像头配置)并将 Use of Front Camera(使用前置摄像头)设置为 Off(关)。
    • 要更改设备时间格式,请选择时 钟配置 并将 时间格式 设置为 12(12 小时)或 24(24 小时)。

有关所有可用配置的列表和说明,请参阅 Zebra Technologies Web 站点上的 Zebra 托管配置

  1. 或者,创建更多 Zebra OEMConfig 配置。单击配置列表下的添加。列表中将显示一个新配置。选择新配置并配置参数。

  2. 创建需要的所有 Zebra OEMConfig 配置后,请单击 Next(下一步)。

  3. 为 Zebra OEMConfig 的这一托管配置配置部署规则。

  4. 单击保存