部署指南:使用 Citrix Endpoint Management 从Android 设备管理员迁移到Android Enterprise

简介

Android Enterprise 是一套由 Google 提供的作为 Android 设备的企业管理解决方案工具和服务。借助 Android Enterprise,您可以使用 Citrix Endpoint Management (CEM) 来管理企业拥有的和自带 (BYOD) Android 设备。 可以管理整个设备或设备上的单独配置文件。这一单独的配置文件将企业帐户、应用程序和数据与个人帐户、应用程序和数据隔离开来。还可以管理专用于单一用途的设备,例如库存管理。

有关谷歌提供的Android Enterprise 功能的概述,请参阅 Android Enterprise 管理

在使用 Android Enterprise 之前,各公司使用设备管理员 (DA) 来管理和保护 Android 设备。随着组织需求的变化,设备现在越来越多的公司和机密数据。同时,最终用户需要保护个人数据,并担心他们的隐私。谷歌宣布弃用设备管理员 (DA) 模式,以支持 Android Enterprise,这是一个专注于安全和用户隐私的现代化管理平台。由于设备管理员 (DA) 弃用,谷歌建议使用设备管理员模式的客户迁移到 Android Enterprise 版。

本指南旨在逐步提供有关如何使用托管的 Google Play 帐户从旧设备管理员 Android 部署迁移到 Android Enterprise 的信息。

有关更多信息,请参阅 Android Enterprise 迁移蓝皮书

使用 Android Enterprise 版的先决条件

当您将 CEM 与托管的 Google Play 集成以使用 Android Enterprise 时,就会创建一个企业。Google 将企业定义为 Android Enterprise 组织和企业移动管理 (EMM) 解决方案之间的绑定。作为此过程的一部分,必须将 Citrix 注册为 EMM 提供程序。组织通过 EMM 解决方案管理的所有用户和设备都属于创建的企业。

如果您未使用 G-Suite 帐户,则需要个人/企业共享的 Google 帐户才能完成企业注册。然后,该帐户将负责该企业,并成为主要托管的 Google Play 帐号。更多信息可以通过访问以下 链接找到。

G-Suite 和个人/企业共享帐户是免费的。托管的 Google Play 帐号和托管的 Google 帐号之间的主要区别在于,托管谷歌帐号基于 G-Suite 订阅,需要证明域名所有权。请参阅以下 链接

如果您没有可随时创建此企业的 Google 帐户,请按照以下 说明 和先决条件创建您的帐户。

对于 Citrix Endpoint Management (CEM) 管理员,托管的 Google Play 将用户体验和专为企业设计的 Google Play 的应用商店功能相结合。

Google Play 托管为最终用户提供了一个由管理员管理和控制的商店。

激活 Android Enterprise

要为贵组织设置 Android Enterprise,请通过托管 Google Play 将 Citrix 注册为 EMM 提供商。完成此设置后,您的企业将创建将托管 Google Play 连接到 Citrix Endpoint Management。

Google Play 基础设施用于提供包括托管的私有企业应用交付商店在内的服务。Google Play 也是设备配置文件的存放地。好消息是,设置相当简单。

要激活 Android Enterprise,请导航至您的 CEM 设置,然后选择 Android Enterprise 并按照说明进行操作。

da-to-ae-migration-Image-01

注意: 根据您的 Endpoint Management 版本,您会看到用于创建 Android Enterprise 帐户的不同类型的菜单。在所有版本中,都会在控制台中为 Android Enterprise 添加企业 ID。

da-to-ae-migration-Image-01

选择 启用 Android Enterprise。

注意: 如果您已将注册配置文件与 Android 旧版模式结合使用,则可以看到以下消息:

da-to-ae-migration-Image-01

Android Enterprise 的配置注册配置文件

在 Citrix Endpoint Management 和 XenMobile 版本 10.12+ 中,我们有多个注册配置文件。如果为 Endpoint Management 部署启用了 Android Enterprise,注册配置文件可以控制 Android 设备的注册方式。 注册配置文件确定 Android 设备是注册为 Android Enterprise 设备还是旧式(设备管理员)设备。

这些配置文件允许管理员开始轻松迁移到 Android Enterprise。提供对所有 Android Enterprise 管理配置文件的全面支持。

  • 完全托管的设备
  • 专用设备(COSU 设备)
  • 具有工作配置文件的完全托管设备(COPE 设备)

注意: 使用云部署,可以使用更多选项来区分工作配置文件和其他模式。设置专用设备也不需要 RBAC

本地部署没有此选项,必须使用 RBAC 来设置专用设备。本地部署也不会在注册配置文件中为专用设备提供选项。有关 更多信息,请参阅以下内容。

有关注册配置文件的更多信息,请访问 链接

注意: 使用 Android 11,所有这些都将改变。有关更多详细信息,请阅读博客 Changes ahead for Android Enterprise’s Fully Managed with Work Profile

da-to-ae-migration-Image-01

创建注册配置文件时,必须将交付组分配给它们。如果用户属于具有不同注册配置文件的多个交付组,该交付组的名称决定使用的注册配置文件。

在交付组冲突中,选择在按字母顺序排列的交付组列表中最后显示的交付组。有关更多信息,请参阅 注册配置文件

重要提示: 如果您的用户属于多个交付组,请勿将新的注册配置文件分配给任何交付组。

创建交付组以便在 Android Enterprise 中使用

开始的最佳方法是复制现有交付组以关联到 Android Enterprise 注册配置文件:

  • 步骤 1:命名新的交付组
    • 确保按字母顺序排名。示例 zTestUserGroup
  • 步骤 2:将新交付组分配给新的注册配置文件
    • 在设置完成之前,请勿将广告组分配给交付组

迁移应用

Android Enterprise 用户的移动生产力应用

尽管 CEM 支持许多不同的应用程序类型,但对于此迁移方案,我们将展示如何迁移 Secure Mail。

  • 步骤 1:为现有 iOS 和 Android 旧版应用创建应用程序类别

    da-to-ae-migration-Image-01

  • 步骤 2:将为 Android(旧版 DA)配置的 Citrix Secure Mail 移动到此新类别中,以明确分离 Android(旧版 DA)应用程序。注意:必须对环境中的所有 Android(旧版 DA)应用程序执行此操作

  • 步骤 3:使用以下部署规则编辑 Secure Mail Android(旧版 DA),以防止在 Secure Hub 中显示两次应用程序(一:Android(旧版 DA)二:Android Enterprise 版)

da-to-ae-migration-Image-01

按已知设备属性名称限制 Android Enterprise 启用的设备 ID 不等于 true

注意: 仅当您已经注册了 Android Enterprise 设备时,此值才可用

  • 步骤 4:为 Android Enterprise Secure Mail 创建第二个类别 注意: 必须对环境中的所有 Android Enterprise 应用程序执行此操作。

  • 步骤 5:为 Android Enterprise 配置安全
  • 示例:Securemail_AE
    • 将应用程序分配给 Android Enterprise 类别。
    • 将应用程序配置为仅在 Android Enterprise 中使用。
    • 在 CEM 控制台的 Google Play Work Store 中批准该应用。
    • 将应用程序分配给交付组,以便在 Android Enterprise 注册配置文件中使用。
  • 步骤 6:在 Android Enterprise 部分中编辑应用的策略和操作,以匹配先前版本的 Secure Mail Android(旧版 DA)。

发布企业应用程序(MDX 和非 MDX)

如果您不使用私人开发的封装应用程序或企业应用程序,则可以跳过此部分。单击 此处 转到下一部分。

所有企业应用都需要上载到 Google Play 以便与 Android Enterprise 一起使用。 为了简化 IT 管理员的应用管理工作流程,我们已将 托管 Google Play iframe 集成到 Citrix Endpoint Management (CEM) 中。这使 IT 管理员能够从 CEM 控制台中批准和发布公共或私有应用程序。管理员不再需要在控制台外进入托管播放或开发者门户即可批准或发布应用程序。 此 iFrame 允许您上载到 Google Play,而无需创建谷歌开发者帐户(节省 25 美元)。IT 管理员上载企业应用程序后,它们只能在企业部署中使用。

将私人企业应用添加为 Android Enterprise 应用程序(非 mdx)

Endpoint Management 控制台中,单击配置 > 应用程序,然后选择企业应用程序并上载 apk。上载按钮可打开托管的 Google Play 商店。

da-to-ae-migration-Image-01

将私有 Android Enterprise 应用添加为 MDX 打包的企业应用程序

使用命令行工具包使用 MDX Toolkit 打包私有 AE 应用程序。 您的输出是:

a. 包装的 .apk(大小大于原始 apk)

b. .mdx 文件

  • 将 .apk 上载到 Google Play(类似于上面的非 mdx 应用程序)
  • 转到 发布 MDX 应用程序 并上载 mdx 文件

欲了解更多详情和包装示例, 请访问

为正确的设备类型 Android(旧版 DA)和 Android Enterprise 版(AE)编辑现有策略

要区分为 Android Enterprise 和 Android(旧版 DA)启用的设备,可以使用部署规则来确保将正确的策略随应用程序一起传送到正确的设备。对于 Android(旧版 DA):按已知设备属性名称限制启用 Android Enterprise 版设备?不等于真的

此部署规则检查 Android 设备是否 为 Android Enterprise 启用,并将策略与应用程序一起提供。

da-to-ae-migration-Image-01

此部署规则检查 Android 设备是否为 Android Enterprise 启用,并将策略与应用程序一起提供。

da-to-ae-migration-Image-01

测试和审查

要进行测试,请将 Active Directory 组分配给最近创建的用于 Android Enterprise 的交付组。使用与之前在现有交付组上使用的相同广告组。

重新注册用户的设备以开始 Android Enterprise 注册流程。注意 Android Enterprise 的新外观和感觉

取消注册并重新注册设备

用户可以从 Secure Hub 内部取消注册。按照详细 说明进行操作

在本指南中,我们使用的是工作配置文件所有者模式,这样设备就不需要是新设备或恢复出厂设置。

da-to-ae-migration-Image-01

您的设备现在已启用 Android Enterprise。

CEM 控制台中,导航到 “管理后跟设备”,以了解哪些设备已启用 Android Enterprise。

da-to-ae-migration-Image-01

成功重新注册后,您可以看到两台设备,一台 Android(旧版 DA)和另一台 Android Enterprise 版。 可以删除之前列出的 Android(旧版 DA)设备,以确保最新的设备列表。

部署指南:使用 Citrix Endpoint Management 从Android 设备管理员迁移到Android Enterprise