Product Documentation

Samsung KNOX 批量注册

要将多个 Samsung KNOX 设备注册到 XenMobile(或任何移动设备管理器)中,但不手动配置每个设备,请使用 KNOX Mobile Enrollment。首次使用时或恢复出厂设置后会进行注册。

注意:

KNOX Mobile Enrollment 的设置与 XenMobile KNOX 容器无关。

KNOX Mobile Enrollment 的先决条件

  • 运行 KNOX 2.4 或更高版本的 Samsung 设备
  • 缺少设备根密钥 (Device Root Key, DRK) 的某些设备支持使用 KNOX 2.4.1 二进制文件的 Mobile Enrollment。有关支持的设备列表,请参阅 KNOX Mobile Enrollment。Samsung 必须将要注册的设备列入白名单。
  • 向 KNOX 门户中添加设备时,请输入设备 IMEI 或序列号。批量注册的唯一方式为:
    • 从列表中的核准 Samsung 经销商处购买设备,或者;
    • 从愿意直接与 Samsung 共享 IMEI 的经销商处购买设备。可以从 KNOX 客户支持部门获取您所在国家/地区的经销商列表。

有关设备验证要求的详细信息,请与 KNOX 技术支持联系。

  • KNOX 合作伙伴帐户
  • XenMobile Server 必须已配置(包括许可证和证书)且正在运行。
  • Secure Hub APK 文件。设置 KNOX Mobile Enrollment 时,您将上载此文件。

下载 Secure Hub APK 文件

  1. 登录到 Citrix 下载站点并转至 XenMobile downloads(XenMobile 下载)。

  2. 转至“XenMobile Apps and MDX Toolkit”(XenMobile Apps 和 MDX Toolkit),然后选择您的版本。

  3. 下载 Citrix Secure Hub for Android 文件。

配置防火墙例外

要访问 Knox Mobile Enrollment,请配置以下防火墙例外。其中有些防火墙例外是所有设备必需的,而有些例外则特定于设备的地理区域。

设备的地区 URL 端口 目标
全部 https://gslb.secb2b.com 443 适用于 Knox Mobile Enrollment 启动的全局负载平衡器
全部 http://gslb.secb2b.com 80 适用于某些受限旧设备上的 Knox Mobile Enrollment 启动的全局负载平衡器
全部 umc-cdn.secb2b.com 443 Samsung 代理更新服务器
全部 bulkenrollment.s3.amazonaws.com 80 Knox Mobile Enrollment 客户 EULA
全部 eula.secb2b.com 443 Knox Mobile Enrollment 客户 EULA
全部 us-be-api-mssl.samsungknox.com 443 用于 IMEI 验证的 Samsung 服务器
美国 https://us-segd-api.secb2b.com 443 适用于美国的 Samsung 企业网关
欧洲 https://eu-segd-api.secb2b.com 443 适用于欧洲地区的 Samsung 企业网关
中华人民共和国 https://china-segd-api.secb2b.com 443 适用于中国的 Samsung 企业网关

获取对 KNOX Mobile Enrollment 的访问权限

请按照以下过程进行操作,获取对 KNOX Mobile Enrollment 的访问权限。

如果有 KNOX Web 门户帐户

  1. 登录到 KNOX Web 门户并转至 Samsung KNOX Dashboard(Samsung KNOX 控制板)。

  2. 在“KNOX Mobile Enrollment”中,单击 Get Started(开始)。

  3. 填写相应的字段,然后单击 Apply(应用)。

Samsung 审批您的应用程序后,您将收到一封欢迎电子邮件,其中包含如何开始使用 KNOX Mobile Enrollment 工具的说明。为了加快审批流程,请提供所有必要的信息,包括经销商的联系人详细信息、Samsung 销售代表或有助于您获得审批的任何其他信息。

如果没有 KNOX Web 门户帐户

  1. KNOX Mobile Enrollment 页面上,单击 Get Started(开始)。

  2. 填写必填字段。

  3. 您将收到一封电子邮件,用于确认您在 KNOX 门户的注册。单击 Complete Registration(完成注册)以继续。

  4. 输入并确认您的 KNOX Web 门户密码。

  5. 在“Samsung KNOX Dashboard”(Samsung KNOX 控制板)中的“KNOX Bulk Enrollment Program”(KNOX 批量注册计划)下,单击 Launch KNOX Mobile Enrollment(启动 KNOX Mobile Enrollment)。

  6. 为实现更加快速的审批过程,请提供所有必要的信息,包括经销商的联系人详细信息、Samsung 销售代表或有助于您获得批准的任何其他信息。

设置 KNOX Mobile Enrollment

获取对 KNOX Mobile Enrollment 的访问权限后,转至 KNOX 门户,然后单击 Launch Mobile Enrollment(启动 Mobile Enrollment)。

Launch Mobile Enrollment 屏幕示意图

如果 Samsung 无法授权帐户使用批量注册,则将显示以下屏幕:

“返回”按钮示意图

注册过程随后将按照以下常规步骤进行操作,这些步骤将在以下各子节中详细介绍。

  1. 使用您的 MDM 控制台信息和设置创建一个 MDM 配置文件。

    MDM 配置文件指示您的设备如何连接到 MDM。

  2. 将设备添加到您的 MDM 配置文件。

    可以上载包含设备信息的 CSV 文件,也可以通过 Mobile Enrollment app from Google Play(Google Play 中的 Mobile Enrollment 应用程序)扫描设备。

  3. Samsung 在验证设备所有权时向您发出警报。

  4. 向用户提供 MDM 凭据。指导用户使用 Wi-Fi 连接到 Internet 以及接受注册其设备的提示。

创建 MDM 配置文件

必须创建一个用于定义要使用的 XenMobile Server 的 MDM 配置文件。请为每个 XenMobile Server 创建一个配置文件。

  1. 登录到 KNOX Mobile Enrollment Web 站点。

  2. 单击 MDM Profiles(MDM 配置文件)选项卡,单击 Add(添加),然后单击 Server URI not required for my MDM(我的 MDM 不需要服务器 URI)。

    “MDM 配置文件”选项卡示意图

    “MDM 服务器连接”选项示意图

    注意:

    请记得指定 MDM 服务器 URI。XenMobile 不使用 Samsung MDM 协议。

  3. Create an MDM Profile(创建 MDM 配置文件)屏幕中,提供以下信息:

    • 配置文件的名称。
    • 对于 MDM 代理 APK,请提供 Secure Hub APK 下载 URL。例如:

    http://example.com/zdm/worxhome.apk

    https://pmdm.mycorp-inc.net/zdm/worxhome.apk

APK 文件可以驻留在设备在注册过程中能够访问的任何服务器上。注册过程中,设备将从该 URL 下载 Secure Hub、安装 Secure Hub,然后通过自定义 JSON 数据打开 Secure Hub(如下文所述)。

注意:

.apk 文件名的大写必须与您输入的 URL 一致。例如,如果文件名全部小写,则在 URL 中也必须全部小写。

  • 对于自定义 JSON 数据,XenMobile Server 地址的格式如下: {"serverURL":"URL"}

    示例:

    {"serverURL":"https://example.com/zdm"} {"serverURL":"https://pmdm.mycorp-inc.net/zdm"}

注意:

必须在“Apps”(应用程序)部分下方的指定服务器(示例:https://pmdm.mycorp-inc.net:4443)上上载 Secure Hub APK 文件。这与上载企业应用程序的过程类似。

“MDM 配置文件”页面示意图

当设备开始批量注册时,设备将使用配置文件数据:首先,设备从给定的 URL 下载 Secure Hub、安装 Secure Hub,并将自定义 JSON 数据作为参数打开 Secure Hub。Secure Hub 随后将打开凭据页面。Secure Hub 已有 XenMobile Server 地址,因此 Secure Hub 不需要提示输入。

使用 CSV 文件添加设备

要添加设备,请上载设备 ID 并将其与以前创建的其中一个 MDM 配置文件相关联。上载 .csv 文件。构建该文件的各种不同的方式在 KNOX Web 站点上有记录。最简单的方法是每行输入一个 IMEI,如下所示。

注意:

此外,也可以通过扫描来添加设备,如下一部分中所述。

  1. 转至 Devices(设备)> All Devices(所有设备),然后单击 Upload devices(上载设备)。

    “上载设备”选项示意图

  2. CSV File Format(CSV 文件格式)下,单击 Download file template(下载文件模板)。

  3. 在模板的相应列中输入信息:

    • 设备信息:IMEI、MEID 或序列号。
    • Username(用户名)(可选):如果为用户配置了用户名以便设置贵公司的 MDM
    • Password(密码)(可选):如果为用户配置了密码以便设置贵公司的 MDM
    • Other info(其他信息)(可选):要包括的与设备有关的任何其他信息。
  4. 突出显示电子表格中的所有单元格。

  5. 右键单击突出显示的单元格并选择设置单元格格式

  6. 数字选项卡的分类下,单击文本,然后单击确定

  7. 将电子表格另存为 .csv 文件。

使用 .csv 文件注册设备

  1. 单击设备选项卡。

  2. 单击 Upload Devices(上载设备)。

    “上载设备”屏幕示意图

  3. Add Devices(添加设备)对话框中,单击 Browse(浏览),选择您的 .csv 文件,然后单击 Upload(上载)。

  4. 输入您的购买详情。KNOX Mobile Enrollment 工具将验证您的购买详情以确保每个设备都在正确的企业中注册。

  5. Assign to Profile(分配给配置文件)下,选择已添加的 MDM 配置文件。

  6. 单击 Submit(提交)。

All Devices(所有设备)列表将显示您已尝试注册的所有设备的注册状态和配置文件。

Samsung KNOX Mobile Enrollment 工具仅支持即时可用的启用了 TIMA 的 Samsung 2.4 设备。此外,设备必须连接到 WiFi,并且用户必须同意下载并安装 Secure Hub,才能成功地在企业中注册设备。

使用扫描添加设备

  1. 从 Google Play 中下载并安装 KNOX Mobile Enrollment 应用程序。

  2. 输入您的 Samsung 门户凭据,然后轻按 SIGN IN(登录)。

  3. 轻按 Scan Devices(扫描设备)。

  4. 轻按 Scan new devices(扫描新设备)。

  5. 将设备的条形码与红色直线对齐以进行扫描。

  6. 如果扫描成功,则将显示设备 IMEI。轻按保存

  7. 扫描的设备将在扫描队列中显示。轻按 Upload(上载)。

注册扫描的设备

  1. 登录到您的 KNOX Web 门户帐户并单击 Launch Mobile Enrollment(启动 Mobile Enrollment)。

  2. 轻按 Scanned(已扫描)查看已添加的所有设备。

  3. 选择要注册的设备,然后轻按 Submit selected(提交选定设备)。要提交扫描的所有设备,请轻按 Submit all(提交所有设备)。

  4. Submit scanned devices(提交扫描的设备)弹出菜单中,输入您的 Purchase details(购买详情)以确认设备所有权。

  5. Assign MDM profile(分配 MDM 配置文件)菜单中,选择设备注册时要使用的配置文件,然后单击 Submit(提交)。

验证设备信息时,您将收到一封确认电子邮件。

由于安全原因,设备不会立即分配给此批量注册帐户。Samsung 首先必须验证这些设备是否属于正在设置批量注册帐户的实体。

为此,下一个屏幕将提示您提供经销商的身份以及对应的发票。

经销商身份证明提示示意图

重要:

由于法律原因,Samsung 将维护两个确切的服务器组:美洲服务器组和欧洲服务器组。美国的设备必须在美国区域内的 KNOX 帐户中注册。欧洲的设备以及除中国以外的任何其他区域的设备(不支持位于中国的设备)必须在欧洲区域内的 KNOX 帐户中注册。

实际上会接受将错误区域内的设备添加到帐户中,但在出现加密错误的设备上批量注册失败。要检查设备国家/地区代码或来源是否属于美国以外的国家/地区,请从 Google Play 下载简易版 Phone Info Samsung 应用程序。

面向用户的注册体验

完成上述配置后,用户首次启动设备并使用 Wi-Fi 连接到 Internet 时,将依次显示以下屏幕。注册过程自动开始,用户需要下载并安装 Secure Hub,然后在 Secure Hub 屏幕上输入有效凭据,即可完成注册。

注意:

注册不使用手机网络连接以免用户需要支付任何网络费用。

“正在下载”屏幕示意图

“正在注册”屏幕示意图

注册正在运行版本 2.4 之前的 KNOX API 的设备

在运行低于 2.4 的 KNOX API 版本的设备上,批量注册不能立即使用,因此,用户必须通过转至 Samsung 站点下载新的 Mobile Enrollment 客户端进行启动,然后开始注册。

下载的注册客户端使用的 MDM 配置文件和 APK 与在 KNOX 批量注册门户中为 KNOX 2.4/2.4.1 设备配置的 MDM 配置文件和 APK 相同。

用户通常按照以下步骤进行操作:

  1. 打开设备并连接到 Wi-Fi。如果 Mobile Enrollment 未启动或者 Wi-Fi 不可用,请执行下列操作:

  2. 出现提示 Enroll with KNOX(通过 KNOX 注册)时,轻按 Continue(继续)。

  3. 阅读 EULA(如果有)。轻按 Next(下一步)。

  4. 如果出现提示,请输入 IT 管理员提供的 User ID(用户 ID)和 Password(密码)。

此时将验证用户凭据并在贵组织的企业 IT 环境中注册其设备。

对 Samsung 设备启用和禁用生物特征身份验证

XenMobile 允许您对 Samsung 设备启用和禁用生物特征身份验证(指纹和虹膜扫描身份验证),而不需要用户执行任何操作。 如果在 XenMobile 中禁用了生物特征身份验证,用户和第三方应用程序将无法启用此功能。

  1. 在 XenMobile 控制台中,单击配置 > 设备策略。此时将显示设备策略页面。

  2. 单击添加。此时将显示添加新策略页面。

  3. 单击通行码。此时将显示通行码策略信息页面。

  4. 策略信息窗格中,输入以下信息:

    • 策略名称: 键入策略的描述性名称。
    • 说明: (可选)键入策略的说明。
  5. 单击下一步。此时将显示平台页面。

  6. 平台下,选择 AndroidSamsung KNOX

  7. 配置生物特征身份验证设置为

  8. 如果选择 Android,请在 Samsung SAFE 下选择允许指纹允许虹膜,或者两者。

    配置生物特征身份验证选项示意图