Android Enterprise 托管配置 “策略

Android Enterprise 托管配置 “设备策略控制各种应用程序配置选项和应用程序限制。App developer 定义应用程序可用的选项和工具提示。如果工具提示提及使用 “模板化值”, 请改为使用相应的 Endpoint Management 宏。有关详细信息,请参阅远程配置概述(在 Apple 开发人员站点上)和

“应用程序配置” 设置可以包括以下各项:

  • 应用程序电子邮件设置
  • Web 浏览器的白名单或黑名单 Url
  • 用于控制应用程序内容同步通过手机网络连接或仅通过 Wi-fi 连接进行的选项

有关为您的应用程序显示的设置的信息, 请联系 app developer。

必备条件

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

Android Enterprise 设置

选择添加 Android Enterprise 托管配置设备策略后,系统将提示选择应用程序。如果没有要添加到 Endpoint Management 中的 Android Enterprise 应用程序,将无法继续操作。

注意: 始终启用 VPN 不可用于 Android Enterprise。

选择应用程序后,配置策略设置。这些设置与每个应用程序特定相关。

“设备策略”配置屏幕图

为 Android Enterprise 配置 VPN 配置文件

使用 Android Enterprise 托管配置设备策略的 Citrix SSO 应用程序, 使 VPN 配置文件可供 Android Enterprise 设备使用。

首先,请将 Citrix SSO 作为 Google Play 应用商店应用程序添加到 Endpoint Management 控制台。请参阅添加公共应用商店应用程序

控制台中的 SSO 应用程序示意图

为 Citrix SSO 创建 Android Enterprise 托管配置

为 Citrix SSO 配置 Android Enterprise 托管配置 “设备策略以创建 VPN 配置文件。安装了 Citrix SSO 应用程序, 并且部署的策略有权访问您创建的 VPN 配置文件的设备。

需要您的 Citrix Gateway FQDN 和端口。

  1. 在 Endpoint Management 控制台中,单击配置 > 设备策略。单击添加

  2. 选择 Android Enterprise。单击 Android Enterprise 托管配置

    Select Android Enterprise 策略示意图

  3. 当显示选择应用程序 ID窗口时, 请从列表中选择Citrix SSO , 然后单击确定

    "选择应用程序 ID" 窗口图

  4. 键入 Citrix SSO VPN 配置的名称和说明。单击下一步

    Android Enterprise 托管配置向导示意图

  5. 配置 VPN 配置文件参数。

    • VPN 配置文件名称。键入 VPN 配置文件的名称。如果要创建多个 VPN 配置文件, 请为每个配置文件使用一个唯一的名称。如果未提供名称, 则将放置在 “服务器地址” 字段中的地址用作 VPN 配置文件的名称。

    • 服务器地址(*)。键入您的 Citrix Gateway FQDN。如果您的 Citrix Gateway 端口不是 443, 还要键入您的端口。使用 URL 格式。例如,https://gateway.mycompany.com:8443

    • 用户名(可选)。提供最终用户向 Citrix Gateway 进行身份验证时使用的用户名。可以对此字段使用 Endpoint Management 宏 {user。 username}。(请参阅。)如果未提供用户名, 系统将在连接 Citrix Gateway 时提示用户提供用户名。

    • 密码(可选)。提供最终用户向 Citrix Gateway 进行身份验证时使用的密码。如果未提供密码, 系统将在连接 Citrix Gateway 时提示用户输入密码。

    • 证书别名(可选)。在 Android 用于客户端证书身份验证的密钥库中提供证书别名。如果您使用的是基于证书的身份验证, 则将为用户预选择此证书。

    • PerApp VPN 类型(可选)。如果要使用为应用单独设置 VPN 来限制使用此 VPN 的应用程序, 您可以配置此设置。如果选择Allow (允许), 则在PerAppVPN 应用程序列表中列出的应用程序软件包名称的网络流量通过 VPN 路由。所有其他应用程序的网络流量在 VPN 外部进行路由。如果选择禁止, 则PerAppVPN 应用程序列表中列出的应用程序软件包名称的网络流量将在 VPN 外部进行路由。所有其他应用程序的网络流量通过 VPN 路由。默认为允许

    • PerApp VPN 应用程序列表。在 VPN 上允许或禁止其流量的应用程序的列表,取决于 Per-App VPN 类型的值。列出以逗号或分号分隔的应用程序软件包名称。应用程序软件包名称区分大小写, 且必须在此列表上显示, 与它们在 Google Play 存储中显示的完全相同。此列表是可选的。将此列表保留为空, 以设置设备范围内的 VPN。

    • 默认 VPN 配置文件。用户轻按 Citrix SSO 应用程序中的连接开关时显示 VPN 配置文件名称, 而不是轻按特定的配置文件。如果此字段留空, 则将使用主配置文件进行连接。如果仅配置了一个配置文件, 则会将其标记为默认配置文件。

    • 禁用用户配置文件。如果此设置为“开”,用户将无法在其设备上创建自己的 VPN。如果此设置为“关”,用户可以在其设备上创建自己的 VPN。默认值为“关”。

    • 阻止不受信任的服务器。使用自签名证书进行 Citrix Gateway 时, 或者当颁发 Citrix Gateway 证书的 CA 的根证书不在系统 CA 列表中时, 此设置为关。如果此设置为开, Android 操作系统将验证 Citrix Gateway 证书。如果验证失败, 将不允许进行连接。默认值为“开”。

    Android Enterprise 托管配置向导示意图

  6. 或者, 可以创建自定义参数。支持自定义参数XenMobileDeviceIdUserAgent 。选择当前 VPN 配置, 然后单击添加

    Android Enterprise 托管配置向导示意图

    1. 创建自定义参数:

      • 参数名称。键入XenMobileDeviceId。此字段为在 Endpoint Management 中基于设备注册进行网络访问检查时要使用的设备 ID。如果 Endpoint Management 注册并管理设备, 则允许 VPN 连接。否则, 在建立 VPN 时身份验证将被拒绝。

      • 参数值为实现 Endpoint Management 以确定设备的注册和管理状态, XenMobileDeviceID 的值设置为DeviceID_${device.id}

    Android Enterprise 托管配置向导示意图

    1. 要创建另一个自定义参数, 请再次单击添加。创建此自定义参数。

      • 参数名称。键入UserAgent。附加到用户代理 HTTP 标头的文本, 用于执行额外的 Citrix Gateway 检查。与 Citrix Gateway 通信时, Citrix SSO 应用程序会将此文本的值附加到用户代理 HTTP 标头。

      • 参数值。键入要附加到用户代理 HTTP 标头的文本。此文本必须符合 HTTP 用户代理规范。

  7. (可选) 创建更多 VPN 配置文件配置。单击配置列表下的Add (添加)。列表中将显示一个新配置。选择新配置, 并重复步骤5和步骤 6 (可选)。

    Android Enterprise 托管配置向导示意图

  8. 创建完所需的所有 VPN 配置文件后, 单击下一步

  9. 为 Citrix SSO 的此托管配置配置部署规则。

  10. 单击保存

此托管配置的 Citrix SSO 现在显示在已配置的设备策略列表中。

从设备访问 VPN 配置文件

要访问您创建的 VPN 配置文件, Android Enterprise 用户从 Google Play store 安装 Citrix SSO。

您配置的 VPN 配置文件或配置文件将显示在应用程序的 “托管连接” 区域中。用户可以轻按 vpn 配置文件以使用该 vpn 配置文件进行连接。

设备上的 SSO 应用程序的托管连接区域图

用户通过身份验证并连接后, VPN 配置文件旁边会显示复选标记。钥匙图标表示 VPN 已连接。

设备上的 SSO 应用程序的托管连接区域图

Android Enterprise 托管配置 “策略