产品文档
XenMobile® Server
查看 PDF

Android Enterprise

April 16, 2026
投稿者: 
C

Android Enterprise 是 Google 提供的一套工具和服务,用作 Android 设备的企业管理解决方案。借助 Android Enterprise:

  • 您可以使用 XenMobile® 管理公司拥有的 Android 设备和自带设备 (BYOD) Android 设备。

  • 您可以管理整个设备或设备上的单独配置文件。单独配置文件将业务帐户、应用程序和数据与个人帐户、应用程序和数据隔离开来。

  • 您还可以管理专用于单一用途的设备,例如库存管理。有关 Google 提供的 Android Enterprise 功能概述,请参阅 Android Enterprise Management

资源:

  • 有关与 Android Enterprise 相关的术语和定义列表,请参阅 Google Android Enterprise 开发者指南中的 Android Enterprise 术语。Google 会频繁更新这些术语。

  • 有关 XenMobile 支持的 Android 操作系统,请参阅支持的设备操作系统

  • 有关设置 Android Enterprise 网络环境时要考虑的出站连接的信息,请参阅 Google 支持文章 Android Enterprise 网络要求

将 XenMobile 与托管 Google Play 集成以使用 Android Enterprise 时,您将创建一个企业。Google 将企业定义为组织与您的企业移动管理 (EMM) 解决方案之间的绑定。组织通过您的解决方案管理的所有用户和设备都属于其企业。

Android Enterprise 的企业具有三个组件:EMM 解决方案、设备策略控制器 (DPC) 应用程序和 Google 企业应用程序平台。将 XenMobile 与 Android Enterprise 集成后,完整的解决方案包含以下组件:

  • XenMobile: Citrix EMM。XenMobile 是用于安全数字工作区的统一 XenMobile 解决方案。XenMobile 为 IT 管理员提供了管理其组织设备和应用程序的方法。
  • Citrix Secure Hub™: Citrix DPC 应用程序。Secure Hub 是 XenMobile 的启动板。Secure Hub 在设备上强制执行策略。
  • 托管 Google Play: 与 XenMobile 集成的 Google 企业应用程序平台。Google Play EMM API 设置应用程序策略并分发应用程序。

此图说明了管理员如何与这些组件交互以及这些组件如何相互交互:

图像

将托管 Google Play 与 XenMobile 结合使用

注意:

您可以使用托管 Google Play 或 Google Workspace 将 Citrix 注册为您的 EMM 提供程序。本文讨论将 Android Enterprise 与托管 Google Play 结合使用。如果您的组织使用 Google Workspace 提供对应用程序的访问权限,则可以将其与 Android Enterprise 结合使用。请参阅适用于 Google Workspace(以前称为 G-Suite)客户的旧版 Android Enterprise

使用托管 Google Play 时,您可以为设备和最终用户预配托管 Google Play 帐户。托管 Google Play 帐户提供对托管 Google Play 的访问权限,允许用户安装和使用您提供的应用程序。如果您的组织使用第三方身份服务,则可以将托管 Google Play 帐户与现有身份帐户关联。

由于此类企业不与域绑定,因此您可以为一个组织创建多个企业。例如,组织内的每个部门或区域都可以注册为不同的企业,以管理单独的设备和应用程序集。

对于 XenMobile 管理员而言,托管 Google Play 将 Google Play 的用户体验和应用程序商店功能与专为企业设计的一组管理功能相结合。您可以使用托管 Google Play 添加、购买和批准应用程序,以部署到设备上的 Android Enterprise 工作区。您可以使用 Google Play 部署公共应用程序、专用应用程序和第三方应用程序。

对于托管设备的用户而言,托管 Google Play 是企业应用程序商店。用户可以浏览应用程序、查看应用程序详细信息并安装它们。与公共版 Google Play 不同,用户只能从托管 Google Play 安装您为他们提供的应用程序。

设备部署方案和操作模式

设备部署方案是指您部署的设备的所有者以及您如何管理这些设备。设备配置文件是指 DPC 如何管理和强制执行设备上的策略。

工作配置文件将业务帐户、应用程序和数据与个人帐户、应用程序和数据隔离开来。有关工作配置文件的更多详细信息,请参阅 Google Android Enterprise 帮助主题 什么是工作配置文件

重要:

当 Android Enterprise 设备更新到 Android 11 时,Google 会将作为“完全托管且带有工作配置文件”管理的设备迁移到新的安全增强型工作配置文件体验。有关详细信息,请参阅 Android Enterprise 的“完全托管且带有工作配置文件”即将发生的变化

设备管理 用例 工作配置文件 个人配置文件 备注
公司拥有的设备(完全托管) 仅用于工作的公司拥有的设备 是。DPC 可以执行设备范围的操作,例如配置设备范围的连接、配置全局设置和执行出厂重置。 仅适用于新设备或恢复出厂设置的设备。
完全托管且带有工作配置文件 用于工作和个人用途的公司拥有的设备 是。DPC 的两个副本在此类设备上运行:一个以设备所有者模式管理设备,另一个以配置文件所有者模式管理工作配置文件。您可以对设备和工作配置文件应用单独的策略。 以前称为公司拥有的个人启用 (COPE) 设备。
专用设备* 配置为单一用例(例如数字标牌或票务打印)的公司拥有的设备 是。您只提供所需的应用程序,并阻止用户添加其他应用程序。 以前称为公司拥有的单一用途 (COSU) 设备。
BYOD 工作配置文件** 以工作配置文件模式(也称为配置文件所有者模式)注册的个人设备 是。DPC 仅管理工作配置文件,而不管理整个设备。 这些设备无需是新设备或恢复出厂设置的设备。

* 用户可以共享专用设备。当用户登录专用设备上的应用程序时,其工作状态与应用程序相关,而不是与设备相关。

** XenMobile 不支持 BYOD 工作配置文件模式下的 Zebra 设备。XenMobile 支持将 Zebra 设备作为完全托管设备和设备旧版模式(也称为设备管理员模式)下的设备。

有关从旧版模式迁移到设备所有者或配置文件所有者模式的信息,请参阅从设备管理迁移到 Android Enterprise

身份验证方法

注册配置文件确定 Android 设备是注册到 MAM、MDM 还是 MDM+MAM,并为用户提供了选择退出 MDM 的选项。

有关指定安全级别和所需注册步骤的信息,请参阅配置注册安全模式

XenMobile 支持以下适用于注册到 MDM+MAM 的 Android 设备的身份验证方法。有关信息,请参阅证书和身份验证下的文章。

  • 域加安全令牌
  • 客户端证书
  • 客户端证书加域
  • 身份提供程序:
    • Azure Active Directory
    • Citrix Identity provider

另一种不常用的身份验证方法是客户端证书加安全令牌。有关信息,请参阅 https://support.citrix.com/article/CTX215200

要求

开始使用 Android Enterprise 之前,您需要:

  • 帐户和凭据:

    • 要使用托管 Google Play 设置 Android Enterprise,需要一个企业 Google 帐户
    • 要下载最新的 MDX 文件,需要一个 Citrix 客户帐户
    • 要部署专用应用程序(可选),需要一个 Google 开发者帐户

  • 为 XenMobile 配置的 Firebase Cloud Messaging (FCM)。有关说明,请参阅 Firebase Cloud Messaging

  • 对于 Samsung Knox Mobile Enrollment(可选),需要 Knox 高级许可证。

将 XenMobile 连接到 Google Play

要为您的组织设置 Android Enterprise,请通过托管 Google Play 将 Citrix 注册为您的 EMM 提供程序。该设置将托管 Google Play 连接到 XenMobile,并在 XenMobile 中为 Android Enterprise 创建一个企业。

您需要一个企业 Google 帐户才能登录 Google Play。

  1. 在 XenMobile 控制台中,单击右上角的齿轮图标。此时将显示“设置”页面。

  2. 转到“设置 > Android Enterprise”。

突出显示 Android Enterprise 的“设置”页面

  1. 单击“连接”。Google Play 将打开。

Android Enterprise 连接到 Google Play

  1. 使用您的企业 Google 帐户凭据登录 Google Play。输入您的组织名称并确认 Citrix 是您的 EMM 提供程序。

  2. 将为 Android Enterprise 添加一个企业 ID。要启用 Android Enterprise,请将“启用 Android Enterprise”滑动到“”。

    启用 Android Enterprise 选项

您的企业 ID 将显示在 XenMobile 控制台中。

图像

您的环境已连接到 Google,并已准备好管理设备。您现在可以为用户提供应用程序。

XenMobile 可用于为用户提供 Citrix 移动生产力应用程序、MDX 应用程序、公共应用程序商店应用程序、Web 和 SaaS 应用程序、企业应用程序以及 Web 链接。有关这些类型的应用程序以及如何将其提供给用户的信息,请参阅添加应用程序

以下部分介绍了如何提供移动生产力应用程序。

为 Android Enterprise 用户提供 Citrix 移动生产力应用程序

为 Android Enterprise 用户提供 Citrix 移动生产力应用程序需要执行以下步骤。

  1. 将应用程序发布为 MDX 应用程序。请参阅将应用程序配置为 MDX 应用程序

  2. 配置用户用于访问其设备上工作配置文件的安全质询规则。请参阅配置安全质询策略

您发布的应用程序可供注册到您的 Android Enterprise 企业的设备使用。

注意:

当您将 Android Enterprise 公共应用程序商店应用程序部署到 Android 用户时,该用户将自动注册到 Android Enterprise。

将应用程序配置为 MDX 应用程序

要将 Citrix 生产力应用程序配置为 Android Enterprise 的 MDX 应用程序:

  1. 在 XenMobile 控制台中,单击“配置 > 应用程序”。将显示“应用程序”页面。

    应用程序配置屏幕

  2. 单击“添加”。将显示“添加应用程序”对话框。

    应用程序配置屏幕

  3. 单击“MDX”。将显示“应用程序信息”页面。

  4. 在页面的左侧,选择 Android Enterprise 作为平台。

  5. 在“应用程序信息”页面上,键入以下信息:

    • 名称: 键入应用程序的描述性名称。此名称将显示在“应用程序”表中的“应用程序名称”下。
    • 描述: 键入应用程序的可选描述。
    • 应用程序类别: (可选)在列表中,单击要添加应用程序的类别。有关应用程序类别的详细信息,请参阅关于应用程序类别

  6. 单击“下一步”。将显示“Android Enterprise MDX 应用程序”页面。

  7. 单击“上载”并导航到应用程序 .mdx 文件的文件位置。选择文件,然后单击“打开”。

  8. 如果附加的应用程序需要托管 Google Play 商店的批准,UI 会通知您。要在不离开 XenMobile 控制台的情况下批准应用程序,请单击“”。

    添加 MDX 应用程序

  9. 托管 Google Play 商店页面打开后,单击“批准”。

    批准 MDX 应用程序

  10. 再次单击“批准”。

  11. 选择“当应用程序请求新权限时保持批准”。单击“保存”。

    Google Play 批准设置

  12. 应用程序获得批准并保存后,页面上将显示更多设置。配置这些设置:

    • 文件名: 键入与应用程序关联的文件名。
    • 应用程序描述: 键入应用程序的描述。
    • 产品跟踪: 指定要推送到用户设备的产品跟踪。如果您有专为测试设计的跟踪,则可以将其选择并分配给用户。默认值为“生产”。
    • 应用程序版本: (可选)键入应用程序版本号。
    • 程序包 ID: Google Play 商店中应用程序的 URL。
    • 最低操作系统版本: (可选)键入设备可运行以使用应用程序的最旧操作系统版本。
    • 最高操作系统版本: (可选)键入设备必须运行才能使用应用程序的最新操作系统。
    • 排除的设备: (可选)键入无法运行应用程序的设备制造商或型号。

  13. 配置 MDX 策略。有关 MDX 应用程序的应用程序策略的详细信息,请参阅MDX 策略概述MAM SDK 概述

  14. 配置部署规则。有关详细信息,请参阅部署资源

  15. 展开“商店配置”。此设置不适用于 Android Enterprise 应用程序,这些应用程序仅显示在托管 Google Play 中。

    应用程序配置屏幕

    (可选)您可以为应用程序添加常见问题解答或在应用程序商店中显示的屏幕截图。您还可以设置用户是否可以对应用程序进行评分或评论。

    • 配置这些设置:
      • 应用程序常见问题解答: 添加应用程序的常见问题和答案。
      • 应用程序屏幕截图: 添加屏幕截图以帮助在应用程序商店中对应用程序进行分类。您上载的图形必须是 PNG。您不能上载 GIF 或 JPEG 图像。
      • 允许应用程序评分: 选择是否允许用户对应用程序进行评分。默认值为“”。 允许应用程序评论: 选择是否允许用户评论所选应用程序。默认值为“”。

  16. 单击“下一步”。将显示“批准”页面。

    应用程序配置屏幕

    在创建用户帐户时需要批准时,可以使用工作流。如果不想设置批准工作流,可以跳到步骤 15。

    配置这些设置以分配或创建工作流:

    • 要使用的工作流: 在列表中,单击现有工作流或单击“创建新工作流”。默认值为“”。
    • 如果选择“创建新工作流”,请配置这些设置。有关详细信息,请参阅应用工作流
    • 名称: 键入工作流的唯一名称。
    • 描述: (可选)键入工作流的描述。
    • 电子邮件批准模板: 在列表中,选择要分配的电子邮件批准模板。单击此字段右侧的眼睛图标时,将显示一个对话框,您可以在其中预览模板。
    • 经理批准级别: 在列表中,选择此工作流所需的经理批准级别数。默认值为 1 级。可能的选项包括:
      • 不需要
      • 1 级
      • 2 级
      • 3 级
    • 选择 Active Directory 域: 在列表中,选择要用于工作流的相应 Active Directory 域。
    • 查找其他必需的审批者: 在搜索字段中键入其他必需人员的姓名,然后单击“搜索”。姓名源自 Active Directory。
    • 当姓名出现在字段中时,选中姓名旁边的复选框。姓名和电子邮件地址将显示在“选定的其他必需审批者”列表中。
      • 要从“选定的其他必需审批者”列表中删除人员,请执行以下操作之一:
        • 单击“搜索”以查看所选域中所有人员的列表。
        • 在搜索框中键入完整或部分姓名,然后单击“搜索”以限制搜索结果。
        • 选定的其他必需审批者”列表中的人员在搜索结果列表中其姓名旁边有复选标记。滚动列表并清除要删除的每个姓名旁边的复选框。

  17. 单击“下一步”。将显示“交付组分配”页面。

    应用程序配置屏幕

  18. 在“选择交付组”旁边,键入以查找交付组或在列表中选择一个或多个组。您选择的组将显示在“接收应用程序分配的交付组”列表中。

  19. 展开“部署计划”,然后配置以下设置:

    • 在“部署”旁边,单击“”以计划部署,或单击“”以阻止部署。默认选项设置为“”。
    • 在“部署计划”旁边,单击“立即”或“稍后”。默认选项设置为“立即”。
    • 如果单击“稍后”,请单击日历图标,然后选择部署的日期和时间。
    • 在“部署条件”旁边,单击“每次连接时”或单击“仅当以前的部署失败时”。默认选项设置为“每次连接时”。

    • 在“部署始终在线连接”旁边,确保选中“”。默认选项设置为“”。如果您从 XenMobile 10.18.19 或更高版本开始使用,则 Android Enterprise 不支持始终在线连接。对于在 10.18.19 版本之前开始使用 XenMobile 的客户,我们不建议使用这些连接。

      当您在“设置 > 服务器属性”中配置了计划后台部署密钥时,此选项适用。

      您配置的部署计划适用于所有平台。您所做的任何更改都将应用于所有平台,但“部署始终在线连接”除外。

  20. 单击“保存”。

重复这些步骤,为每个移动生产力应用程序配置 MDX 应用程序。

配置安全质询策略

XenMobile 密码设备策略配置了用户访问其设备或设备上的 Android Enterprise 工作配置文件所需的安全质询规则集。安全质询可以是密码或生物识别。有关密码策略的详细信息,请参阅密码设备策略

  • 如果您的 Android Enterprise 部署包含 BYOD 设备,请配置工作配置文件的密码策略。
  • 如果您的部署包含公司拥有的完全托管设备,请配置设备本身的密码策略。
  • 如果您的部署包含这两种类型的设备,请配置这两种类型的密码策略。

要配置密码策略:

  1. 在 XenMobile 控制台中,转到“配置 > 设备策略”。

  2. 单击“添加”。

  3. 单击“显示筛选器”以显示“策略平台”窗格。在“策略平台”窗格中,选择“Android Enterprise”。

  4. 在右侧窗格中,单击“密码”。

密码安全选项

  1. 输入“策略名称”。单击“下一步”。

    密码安全名称

  2. 配置密码策略设置。
    • 将“需要设备密码”设置为“”以查看设备本身的安全质询可用设置。
    • 将“工作配置文件安全质询”设置为“”以查看工作配置文件安全质询的可用设置。

  3. 单击“下一步”。

  4. 将策略分配给一个或多个交付组。

  5. 单击“保存”。

创建注册配置文件

如果您的 XenMobile 部署启用了 Android Enterprise,注册配置文件将控制 Android 设备的注册方式。创建注册配置文件以注册 Android Enterprise 设备时,可以将注册配置文件配置为将新设备和恢复出厂设置的设备注册为:

  • 完全托管设备
  • 专用设备(COSU 设备)
  • 具有工作配置文件的完全托管设备(COPE 设备)

您还可以将每个 Android Enterprise 注册配置文件配置为将 BYOD Android 设备注册为工作配置文件设备。

如果您的 XenMobile 部署启用了 Android Enterprise,所有新注册或重新注册的 Android 设备都将注册为 Android Enterprise 设备。默认情况下,全局注册配置文件将新设备和恢复出厂设置的 Android 设备注册为完全托管设备,并将 BYOD Android 设备注册为工作配置文件设备。

创建注册配置文件时,需要为其分配交付组。如果用户属于具有不同注册配置文件的多个交付组,则交付组的名称将决定所使用的注册配置文件。XenMobile 会选择按字母顺序排列的交付组列表中最后出现的交付组。有关详细信息,请参阅注册配置文件

您可以使用注册配置文件组合多个用例,例如仅 MDM、MDM+MAM 和仅 MAM。您的 XenMobile Server 许可证类型(反映在服务器属性 xms.server.mode 中)决定了“配置 > 注册配置文件”中可用的设置。

为完全托管设备添加注册配置文件

全局注册配置文件默认注册完全托管设备,但您可以创建更多注册配置文件来注册完全托管设备。

  1. 在 XenMobile 控制台中,转到“配置 > 注册配置文件”。

  2. 要添加注册配置文件,请单击“添加”。在“注册信息”页面中,键入注册配置文件的名称。

  3. 设置此配置文件成员可以注册的设备数量。

  4. 在“平台”下选择“Android”,或单击“下一步”。此时将显示“注册配置”页面。

  5. 将“管理”设置为“Android Enterprise”。

  6. 将“设备所有者模式”设置为“公司拥有的设备”。

    注册配置文件配置屏幕

  7. BYOD 工作配置文件”允许您配置注册配置文件,以将 BYOD 设备注册为工作配置文件设备。新设备和恢复出厂设置的设备将注册为完全托管设备。

    • 将“BYOD 工作配置文件”设置为“”以允许将 BYOD 设备注册为工作配置文件设备。默认值为“”。
    • 将“BYOD 工作配置文件”设置为“”以限制注册到完全托管设备。

  8. 选择是否在 Citrix MAM 中注册设备。

  9. 如果将“BYOD 工作配置文件”设置为“”,请配置用户同意。要允许 BYOD 工作配置文件设备的用户在注册其设备时拒绝设备管理,请将“允许用户拒绝设备管理”设置为“”。

    如果将“BYOD 工作配置文件”设置为“”,则“允许用户拒绝设备管理”的默认值为“”。如果将“BYOD 工作配置文件”设置为“”,则“允许用户拒绝设备管理”将被禁用。

  10. 选择“分配(选项)”。此时将显示“交付组分配”屏幕。

  11. 选择包含注册完全托管设备的管理员的交付组或交付组。然后单击“保存”。

    此时将显示“注册配置文件”页面,其中包含您添加的配置文件。

    注册配置文件配置屏幕

添加专用设备注册配置文件

当您的 XenMobile 部署包含专用设备时,单个 XenMobile 管理员或一小组管理员会注册许多专用设备。为确保这些管理员可以注册所有必需的设备,请为他们创建一个注册配置文件,其中每个用户允许的设备数量不受限制。

  1. 在 XenMobile 控制台中,转至“配置 > 注册配置文件”。

  2. 要添加注册配置文件,请单击“添加”。在“注册信息”页面中,键入注册配置文件的名称。确保将此配置文件成员可以注册的设备数量设置为无限制。

  3. 在“平台”下选择“Android”,或单击“下一步”。此时将显示“注册配置”页面。

  4. 将“管理”设置为“Android Enterprise”。

  5. 将“设备所有者模式”设置为“专用设备”。

    注册配置文件页面

  6. BYOD 工作配置文件”允许您配置注册配置文件,以将 BYOD 设备注册为工作配置文件设备。新设备和恢复出厂设置的设备将注册为专用设备。将“BYOD 工作配置文件”设置为“”以允许将 BYOD 设备注册为工作配置文件设备。将“BYOD 工作配置文件”设置为“”以限制注册到公司拥有的设备。默认值为“”。

  7. 选择是否在 Citrix MAM 中注册设备。

  8. 如果将“BYOD 工作配置文件”设置为“”,请配置用户同意。要允许 BYOD 工作配置文件设备的用户在注册其设备时拒绝设备管理,请将“允许用户拒绝设备管理”设置为“”。

    如果将“BYOD 工作配置文件”设置为“”,则“允许用户拒绝设备管理”的默认值为“”。如果将“BYOD 工作配置文件”设置为“”,则“允许用户拒绝设备管理”将被禁用。

  9. 选择“分配(选项)”。此时将显示“交付组分配”屏幕。

  10. 选择包含注册专用设备的管理员的交付组或交付组。然后单击“保存”。

    此时将显示“注册配置文件”页面,其中包含您添加的配置文件。

    注册配置文件配置屏幕

添加用于具有工作配置文件的完全托管设备的注册配置文件

  1. 在 XenMobile 控制台中,转至“配置 > 注册配置文件”。

  2. 要添加注册配置文件,请单击“添加”。在“注册信息”页面中,键入注册配置文件的名称。

  3. 设置此配置文件成员可以注册的设备数量。

  4. 在“平台”下选择“Android”,或单击“下一步”。此时将显示“注册配置”页面。

  5. 将“管理”设置为“Android Enterprise”。将“设备所有者模式”设置为“具有工作配置文件的完全托管”。

    注册配置文件配置屏幕

  6. BYOD 工作配置文件”允许您配置注册配置文件,以将 BYOD 设备注册为工作配置文件设备。新设备和恢复出厂设置的设备将注册为具有工作配置文件的完全托管设备。将“BYOD 工作配置文件”设置为“”以允许将 BYOD 设备注册为工作配置文件设备。将“BYOD 工作配置文件”设置为“”以限制注册到专用设备。默认值为“”。

  7. 选择是否在 Citrix MAM 中注册设备。

  8. 如果将“BYOD 工作配置文件”设置为“”,请配置用户同意。要允许 BYOD 工作配置文件设备的用户在注册其设备时拒绝设备管理,请将“允许用户拒绝设备管理”设置为“”。

    如果将“BYOD 工作配置文件”设置为“”,则“允许用户拒绝设备管理”的默认值为“”。如果将“BYOD 工作配置文件”设置为“”,则“允许用户拒绝设备管理”将被禁用。

  9. 选择“分配(选项)”。此时将显示“交付组分配”屏幕。

  10. 选择包含注册具有工作配置文件的完全托管设备的管理员的交付组或交付组。然后单击“保存”。

    此时将显示“注册配置文件”页面,其中包含您添加的配置文件。

    注册配置文件页面

添加用于旧版设备的注册配置文件

Google 正在弃用设备管理中的设备管理员模式。Google 鼓励客户以设备所有者模式或配置文件所有者模式管理所有 Android 设备。(请参阅 Google Android Enterprise 开发者指南中的设备管理员弃用。)

为支持此更改:

  • Citrix 将 Android Enterprise 作为 Android 设备的默认注册选项。
  • 如果为您的 XenMobile 部署启用了 Android Enterprise,则所有新注册或重新注册的 Android 设备都将注册为 Android Enterprise 设备。

您的组织可能尚未准备好开始使用 Android Enterprise 管理旧版 Android 设备。在这种情况下,您可以继续以设备管理员模式管理它们。对于已以设备管理员模式注册的设备,XenMobile 将继续以设备管理员模式管理它们。

为旧版设备创建注册配置文件,以允许新的 Android 设备注册使用设备管理员模式。

要为旧版设备创建注册配置文件:

  1. 在 XenMobile 控制台中,转至“配置 > 注册配置文件”。

  2. 要添加注册配置文件,请单击“添加”。在“注册信息”页面中,键入注册配置文件的名称。

  3. 设置此配置文件成员可以注册的设备数量。

  4. 在“平台”下选择“Android”,或单击“下一步”。此时将显示“注册配置”页面。

  5. 将“管理”设置为“旧版设备管理(不推荐)”。单击“下一步”。

    注册配置文件配置屏幕

  6. 选择是否在 Citrix MAM 中注册设备。

  7. 要允许用户在注册其设备时拒绝设备管理,请将“允许用户拒绝设备管理”设置为“”。默认值为“”。

  8. 选择“分配(选项)”。此时将显示“交付组分配”屏幕。

  9. 选择包含注册专用设备的管理员的交付组或交付组。然后单击“保存”。

此时将显示“注册配置文件”页面,其中包含您添加的配置文件。

注册配置文件页面

要继续在设备管理员模式下管理旧设备,请使用此配置文件注册或重新注册这些设备。注册设备管理员设备的方式与注册工作配置文件设备类似,即让用户下载 Secure Hub 并提供注册服务器 URL。

预配 Android Enterprise 工作配置文件设备

Android Enterprise 工作配置文件设备以配置文件所有者模式注册。这些设备无需是新设备或已恢复出厂设置的设备。BYOD 设备注册为工作配置文件设备。注册体验类似于 XenMobile 中的 Android 注册。用户从 Google Play 下载 Secure Hub 并注册其设备。

默认情况下,当设备作为工作配置文件设备注册到 Android Enterprise 时,设备上的“USB 调试和未知来源”设置处于禁用状态。

将设备注册为 Android Enterprise 中的工作配置文件设备时,请始终转到 Google Play。在此处,启用 Secure Hub 以显示在用户的个人配置文件中。

预配 Android Enterprise 全面管理设备

您可以将全面管理设备注册到您在上一节中设置的部署中。全面管理设备是公司拥有的设备,以设备所有者模式注册。只有新设备或已恢复出厂设置的设备才能以设备所有者模式注册。

您可以使用以下任一注册方法以设备所有者模式注册设备:

  • DPC 标识符令牌: 使用此注册方法时,用户在设置设备时输入字符 afw#xenmobileafw#xenmobile 是 Citrix DPC 标识符令牌。此令牌将设备标识为由 XenMobile 管理,并从 Google Play 商店下载 Secure Hub。请参阅使用 Citrix DPC 标识符令牌注册设备
  • 近场通信 (NFC) 碰撞: NFC 碰撞注册方法通过近场通信在两台设备之间传输数据。在新设备或已恢复出厂设置的设备上,蓝牙、Wi-Fi 和其他通信模式处于禁用状态。NFC 是设备在此状态下可以使用的唯一通信协议。请参阅使用 NFC 碰撞注册设备
  • QR 码: QR 码注册可用于注册不支持 NFC 的分布式设备群(例如平板电脑)。QR 码注册方法通过从设置向导扫描 QR 码来设置和配置设备配置文件模式。请参阅使用 QR 码注册设备
  • 零接触: 零接触注册允许您配置设备,使其在首次开机时自动注册。零接触注册在运行 Android 9.0 或更高版本的一些 Android 设备上受支持。请参阅零接触注册
  • Google 帐户: 用户输入其 Google 帐户凭据以启动预配过程。此选项适用于使用 Google Workspace 的企业。

使用 Citrix DPC 标识符令牌注册设备

用户在首次设置时开机新设备或已恢复出厂设置的设备后,当系统提示输入 Google 帐户时,输入 afw#xenmobile。此操作会下载并安装 Secure Hub。然后,用户按照 Secure Hub 设置提示完成注册。

此注册方法建议用于大多数客户,因为最新版本的 Secure Hub 是从 Google Play 商店下载的。与其他注册方法不同,您无需从 XenMobile Server 提供 Secure Hub 供下载。

系统要求

  • 在运行 Android 操作系统的所有 Android 设备上受支持。

注册设备

  1. 开机新设备或已恢复出厂设置的设备。

  2. 初始设备设置加载并提示输入 Google 帐户。如果设备加载设备主屏幕,请检查通知栏中是否有“完成设置”通知。

  3. 在“电子邮件或电话”字段中输入 afw#xenmobile

    设备设置文本

  4. 在提示安装 Secure Hub 的 Android Enterprise 屏幕上,轻按“安装”。

  5. 在 Secure Hub 安装程序屏幕上,轻按“安装”。

  6. 对于所有应用程序权限请求,轻按“允许”。

  7. 轻按“接受并继续”以安装 Secure Hub 并允许其管理设备。

  8. Secure Hub 现已安装并显示在默认注册屏幕上。在此示例中,未设置 AutoDiscovery。如果已设置,用户可以输入其用户名/电子邮件,系统会为其找到服务器。相反,请输入环境的注册 URL,然后轻按“下一步”。

    Secure Hub 凭据

  9. XenMobile 的默认配置允许用户选择是使用 MAM 还是 MDM+MAM。如果以这种方式提示,请轻按“是,注册”以选择 MDM+MAM。

  10. 输入用户名和密码,然后轻按“下一步”。

  11. 系统提示用户配置设备密码。轻按“设置”并输入密码。

  12. 系统提示用户配置工作配置文件解锁方法。在此示例中,轻按“密码”,轻按“PIN”,然后输入 PIN。

    密码选项

  13. 设备现在位于 Secure Hub 的“我的应用程序”登录屏幕上。轻按“从商店添加应用程序”。

  14. 要添加 Secure Web,请轻按“Secure Web”。

    Secure Hub 商店

  15. 轻按“添加”。

  16. Secure Hub 会将用户定向到 Google Play 商店以安装 Secure Web。轻按“安装”。

  17. 安装 Secure Web 后,轻按“打开”。在地址栏中输入内部站点的 URL,并验证页面是否加载。

  18. 在设备上转到“设置 > 帐户”。观察到“托管帐户”无法修改。用于共享屏幕或远程调试的开发人员选项也已阻止。

    帐户修改

使用 NFC 碰撞注册设备

要使用 NFC 碰撞将设备注册为全面管理设备,需要两台设备:一台已恢复出厂设置的设备和一台运行 XenMobile Provisioning Tool 的设备。

系统要求和先决条件

  • 受支持的 Android 设备。
  • 已预配为 Android Enterprise 全面管理设备的新设备或已恢复出厂设置的设备。您可以在本文后面找到完成此先决条件的步骤。
  • 另一台具有 NFC 功能的设备,运行已配置的 Provisioning Tool。Provisioning Tool 在 Secure Hub 中或在 Citrix 下载页面上提供。

每台设备只能有一个 Android Enterprise 配置文件,由 Secure Hub 管理。每台设备只允许一个配置文件。尝试添加第二个 DPC 应用程序会删除已安装的 Secure Hub。

通过 NFC 碰撞传输的数据

预配已恢复出厂设置的设备需要通过 NFC 碰撞发送以下数据以初始化 Android Enterprise:

  • 充当设备所有者的 DPC 应用程序的包名称(在本例中为 Secure Hub)。
  • 设备可以从中下载 DPC 应用程序的内网/互联网位置。
  • DPC 应用程序的 SHA1 哈希,用于验证下载是否成功。
  • Wi-Fi 连接详细信息,以便已恢复出厂设置的设备可以连接并下载 DPC 应用程序。注意:Android 现在不支持此步骤的 802.1x Wi-Fi。
  • 设备的时区(可选)。
  • 设备的地理位置(可选)。

当两台设备碰撞时,Provisioning Tool 中的数据将发送到已恢复出厂设置的设备。然后,该数据用于下载具有管理员设置的 Secure Hub。如果不输入时区和位置值,Android 会自动在新设备上配置这些值。

配置 XenMobile Provisioning Tool

在执行 NFC 碰撞之前,必须配置 Provisioning Tool。此配置随后在 NFC 碰撞期间传输到已恢复出厂设置的设备。

Provisioning Tool 配置

您可以将数据键入到必填字段中,或使用文本文件填充这些字段。下一过程中的步骤介绍了如何配置文本文件,并包含每个字段的说明。应用程序在您键入信息后不会保存信息,因此您可能需要创建一个文本文件以保留信息供将来使用。

使用文本文件配置 Provisioning Tool

将文件命名为 nfcprovisioning.txt,并将文件放置在设备 SD 卡上的 /sdcard/ 文件夹中。然后,应用程序可以读取文本文件并填充值。

文本文件必须包含以下数据:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

此行是 EMM 提供程序应用程序的内网/互联网位置。已恢复出厂设置的设备在 NFC 碰撞后连接到 Wi-Fi 后,设备必须能够访问此位置才能进行下载。URL 是一个常规 URL,无需特殊格式。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

此行是 EMM 提供程序应用程序的校验和。此校验和用于验证下载是否成功。获取校验和的步骤将在本文后面讨论。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

此行是运行 Provisioning Tool 的设备的已连接 Wi-Fi SSID。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

支持的值为 WEP 和 WPA2。如果 Wi-Fi 未受保护,则此字段必须为空。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

如果 Wi-Fi 未受保护,则此字段必须为空。

android.app.extra.PROVISIONING_LOCALE=<locale>

输入语言和国家/地区代码。语言代码是 ISO 639-1 定义的两位小写 ISO 语言代码(例如 en)。国家/地区代码是 ISO 3166-1 定义的两位大写 ISO 国家/地区代码(例如 US)。例如,键入 en_US 表示在美国使用的英语。如果您不键入任何代码,则国家/地区和语言将自动填充。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

设备运行所在的时区。键入 Olson 格式的区域/位置名称。例如,America/Los_Angeles 表示太平洋时间。如果您不输入名称,则时区将自动填充。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

此数据不是必需的,因为该值已硬编码到 Secure Hub 应用程序中。此处提及仅为完整性考虑。

如果 Wi-Fi 受 WPA2 保护,则已完成的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

如果 Wi-Fi 未受保护,则已完成的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

获取 Citrix Secure Hub 的校验和

Secure Hub 的校验和是一个常量值:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM。要下载 Secure Hub 的 APK 文件,请使用以下 Google Play 商店链接:https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

获取应用程序校验和

先决条件:

  • 来自 Android SDK Build Tools 的 apksigner 工具
  • OpenSSL 命令行

要获取任何应用程序的校验和,请按照以下步骤操作:

  1. 从 Google Play 商店下载应用程序的 APK 文件。

  2. 在 OpenSSL 命令行中,导航到 apksigner 工具:android-sdk/build-tools/<version>/apksigner,然后键入以下内容:

    apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
<!--NeedCopy-->

    该命令返回一个有效的校验和。

  3. 要生成 QR 码,请在 PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM 字段中输入校验和。例如:
{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}
<!--NeedCopy-->

使用的库

预配工具在其源代码中使用了以下库:

  • Google 根据 Apache 2.0 许可证提供的 v7 appcompat 库、Design 支持库和 v7 Palette 库

    有关信息,请参阅 Support Library Features Guide

  • Jake Wharton 根据 Apache 2.0 许可证提供的 Butter Knife

使用 QR 码注册设备

要使用 QR 码注册完全托管的设备,您需要通过创建 JSON 并将 JSON 转换为 QR 码来生成 QR 码。设备摄像头扫描 QR 码以注册设备。

系统要求

  • 支持所有运行 Android 9.0 及更高版本的 Android 设备。

从 JSON 创建 QR 码

使用以下字段创建 JSON。

这些字段是必需的:

Key: android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Value: com.zenprise/com.zenprise.configuration.AdminFunction

Key: android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

Value: qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

Key: android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

Value: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

这些字段是可选的:

  • android.app.extra.PROVISIONING_LOCALE: 输入语言和国家/地区代码。

    语言代码是 ISO 639-1 定义的两位小写 ISO 语言代码(例如 en)。国家/地区代码是 ISO 3166-1 定义的两位大写 ISO 国家/地区代码(例如 US)。例如,输入 en_US 表示在美国使用的英语。

  • android.app.extra.PROVISIONING_TIME_ZONE: 设备运行所在的时区。

    键入 Olson 格式的区域/位置名称。例如,America/Los_Angeles 表示太平洋时间。如果您不输入名称,则时区将自动填充。

  • android.app.extra.PROVISIONING_LOCAL_TIME: 自 Epoch 以来的毫秒时间。

    Unix 纪元(或 Unix 时间、POSIX 时间或 Unix 时间戳)是自 1970 年 1 月 1 日(UTC/GMT 午夜)以来经过的秒数。该时间不包括闰秒(在 ISO 8601 中:1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: 设置为 true 可在创建配置文件期间跳过加密。设置为 false 可在创建配置文件期间强制加密。

典型的 JSON 如下所示:

典型的 JSON

使用任何 JSON 验证工具(例如 https://jsonlint.com)验证创建的 JSON。使用任何在线 QR 码生成器(例如 https://www.qr-code-generator.com)将该 JSON 字符串转换为 QR 码。

此 QR 码由恢复出厂设置的设备扫描,以将设备注册为完全托管设备。

注册设备

启动新设备或恢复出厂设置的设备后:

  1. 在欢迎屏幕上轻触屏幕六次,以启动 QR 码注册流程。

  2. 出现提示时,连接到 Wi-Fi。QR 码中(编码在 JSON 中)Secure Hub 的下载位置可通过此 Wi-Fi 网络访问。

    设备成功连接到 Wi-Fi 后,它会从 Google 下载 QR 码读取器并启动摄像头。

  3. 将摄像头对准 QR 码以扫描代码。

    Android 会从 QR 码中的下载位置下载 Secure Hub,验证签名证书签名,安装 Secure Hub 并将其设置为设备所有者。

有关详细信息,请参阅此适用于 Android EMM 开发人员的 Google 指南:https://developers.google.com/android/work/prov-devices#qr_code_method

零接触注册

零接触注册允许您在设备首次开机时将其设置为完全托管设备。

您的设备经销商会在 Android 零接触门户(一个允许您将配置应用于设备的在线工具)上为您创建一个帐户。使用 Android 零接触门户,您可以创建一个或多个零接触注册配置,并将这些配置应用于分配给您帐户的设备。当您的用户启动这些设备时,设备将自动注册到 XenMobile。分配给设备的配置定义了其自动注册过程。

系统要求

  • 零接触注册支持从 Android 9.0 开始。

您的经销商提供的设备和帐户信息

  • 符合零接触注册条件的设备是从企业经销商或 Google 合作伙伴处购买的。有关 Android Enterprise 零接触合作伙伴的列表,请参阅 Android 网站

  • 由您的经销商创建的 Android Enterprise 零接触门户帐户。

  • 由您的经销商提供的 Android Enterprise 零接触门户帐户登录信息。

创建零接触配置

创建零接触配置时,请包含自定义 JSON 以指定配置的详细信息。

使用此 JSON 配置设备以注册到您指定的 XenMobile Server。在此示例中,将“URL”替换为您的服务器 URL。

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }
<!--NeedCopy-->

您可以使用包含更多参数的可选 JSON 来进一步自定义配置。此示例指定了 XenMobile Server 以及使用此配置的设备用于登录服务器的用户名和密码。

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  <!--NeedCopy-->

  1. 转到 Android 零接触门户:https://partner.android.com/zerotouch。使用您的零接触设备经销商提供的帐户信息登录。

  2. 单击“配置”。 零接触门户

  3. 单击配置表上方的“+”。 零接触门户

  4. 在出现的配置窗口中输入您的配置信息。 零接触门户
    • 配置名称:键入您为此配置选择的名称。
    • EMM DPC:选择 Citrix Secure Hub
    • DPC 额外项:在此字段中粘贴您的自定义 JSON 文本。
    • 公司名称:键入您希望在设备预配期间显示在 Android Enterprise 零接触设备上的名称。
    • 支持电子邮件地址:键入您的用户可以联系以获取帮助的电子邮件地址。此地址在设备预配之前显示在您的 Android Enterprise 零接触设备上。
    • 支持电话号码:键入您的用户可以联系以获取帮助的电话号码。此电话号码在设备预配之前显示在您的 Android Enterprise 零接触设备上。
    • 自定义消息:(可选)添加一两句话以帮助您的用户联系您或向他们提供有关其设备状态的更多详细信息。此自定义消息在设备预配之前显示在您的 Android Enterprise 零接触设备上。

  5. 单击“添加”。

  6. 要创建更多配置,请重复步骤 2 到 4。

  7. 要将配置应用于设备:

    1. 在 Android 零接触门户中,单击“设备”。

    2. 在设备列表中找到设备,然后选择要分配给它的配置。 零接触门户

    3. 单击“更新”。

您可以使用 CSV 文件将配置应用于许多设备。

有关如何将配置应用于许多设备的信息,请参阅 Android Enterprise 帮助主题“面向 IT 管理员的零接触注册”。此 Android Enterprise 帮助主题包含有关如何管理配置并将其应用于设备的更多信息。

预配专用 Android Enterprise 设备

专用 Android Enterprise 设备是完全托管的设备,专门用于满足单一用例。专用设备也称为企业自有单一用途 (COSU) 设备。您将这些设备限制为执行此用例所需任务的一个或一小组应用程序。您还可以阻止用户启用其他应用程序或在设备上执行其他操作。

使用用于其他完全托管设备的任何注册方法注册专用设备,如“预配 Android Enterprise 完全托管设备”中所述。预配专用设备在注册前需要更多设置。

要预配专用设备:

  • 为允许注册专用设备的 XenMobile 管理员添加注册配置文件到您的 XenMobile 部署。请参阅“创建注册配置文件”。
  • 允许专用设备访问您想要的应用程序。
  • (可选)将允许的应用程序设置为允许锁定任务模式。当应用程序处于锁定任务模式时,用户打开应用程序时,该应用程序会固定在设备屏幕上。不显示主页按钮,并且禁用返回按钮。用户通过应用程序中编程的操作(例如注销)退出应用程序。
  • 将每个设备注册到您添加的注册配置文件中。

系统要求

  • 专用设备注册支持从 Android 6.0 开始。

允许应用程序并设置锁定任务模式

信息亭设备策略允许您允许应用程序并设置锁定任务模式。默认情况下,Secure Hub 和 Google Play 服务是允许的。

要添加信息亭策略:

  1. 在 XenMobile 控制台中,单击“配置 > 设备策略”。此时将显示“设备策略”页面。

  2. 单击“添加”。此时将显示“添加新策略”对话框。

  3. 展开“更多”,然后在“安全”下,单击“信息亭”。此时将显示“信息亭策略”页面。

  4. 在“平台”下,选择“Android Enterprise”。清除其他平台。

  5. 在“策略信息”窗格中,键入“策略名称”和可选的“描述”。

  6. 单击“下一步”,然后单击“添加”。

  7. 要允许应用程序并允许或拒绝该应用程序的锁定任务模式:

    从列表中选择要允许的应用程序。

    选择“允许”以将应用程序设置为在用户启动应用程序时固定到设备屏幕。选择“拒绝”以将应用程序设置为不固定。默认值为“允许”。

    设备策略配置屏幕

  8. 单击“保存”。

  9. 要允许另一个应用程序并允许或拒绝该应用程序的锁定任务模式,请单击“添加”。

  10. 配置部署规则并选择交付组。有关详细信息,请参阅“设备策略”。

注册设备

  1. 单击“下一步”或在“平台”下选择“Android”。此时将显示“注册配置”页面。

  2. 将“管理”设置为“Android Enterprise”。

  3. 将“设备所有者模式”设置为“公司拥有的设备”。

    注册配置文件配置屏幕

  4. 选择“分配(选项)”。此时将显示“交付组分配”屏幕。

  5. 选择包含注册专用设备的管理员的交付组。然后单击“保存”。

如果您在注册配置文件中启用了“BYOD 工作配置文件”,则未重置或恢复出厂设置的设备将注册为工作配置文件设备。请参阅“预配 Android Enterprise 工作配置文件设备”。

预配具有工作配置文件的 Android Enterprise 完全托管设备(COPE 设备)

具有工作配置文件的完全托管设备(以前称为 COPE 设备)是公司拥有的设备,用于工作和个人目的。您的组织管理整个设备。您可以将一组策略应用于设备,并将另一组策略应用于工作配置文件。

在 XenMobile 控制台中,具有工作配置文件的完全托管设备显示以下术语:

  • 设备所有权为“企业”。

  • 设备的 Android Enterprise 安装类型为“企业所有者个人启用”。

系统要求

  • 支持注册具有工作资料的完全托管设备,从 Android 9.0 到 Android 10.x。

添加具有工作资料的完全托管设备的注册配置文件

创建用于注册具有工作资料的完全托管设备的注册配置文件。分配给此注册配置文件的交付组中的管理员可以注册具有工作资料的完全托管设备。为确保这些管理员可以注册所有必需的设备,请为他们创建一个注册配置文件,其中每个用户允许的设备数量不受限制。将此配置文件分配给包含注册具有工作资料的完全托管设备的管理员的交付组。

  1. 在 XenMobile 控制台中,转至配置 > 注册配置文件

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。确保此配置文件成员可以注册的设备数量设置为无限制。

  3. 单击下一步或在平台下选择 Android Enterprise。“注册配置”页面随即显示。

  4. 注册类型设置为以下选项之一:
    • 完全托管/工作资料: 新设备或恢复出厂设置的设备将完全托管注册。BYOD 设备仅注册由您管理的工作资料。
    • COPE/工作资料: 新设备或恢复出厂设置的设备将完全托管注册并带有工作资料。BYOD 设备仅注册由您管理的工作资料。

    注册配置文件配置屏幕

  5. 选择分配(可选)或单击下一步。“交付组分配”屏幕随即显示。

  6. 选择包含注册专用设备的管理员的交付组。然后单击保存

    “注册配置文件”页面随即显示您添加的配置文件。

    注册配置文件配置屏幕

如果用户属于具有不同注册配置文件的多个交付组,则交付组的名称将决定所使用的注册配置文件。XenMobile 会选择按字母顺序排列的交付组列表中最后出现的交付组。

注册设备

新设备和恢复出厂设置的设备使用 DPC 标识符令牌、近场通信 (NFC) 碰撞或 QR 码方法注册为具有工作资料的完全托管设备。请参阅使用 Citrix DPC 标识符令牌注册设备使用 NFC 碰撞注册设备使用 QR 码注册设备

未恢复出厂设置的设备将注册为工作资料设备,如预配 Android Enterprise 工作资料设备中所述。

在 XenMobile 控制台中查看 Android Enterprise 设备

  1. 在 XenMobile 控制台中,转至管理 > 设备

  2. 通过单击此页面上表格右侧的菜单,添加 Android Enterprise 已启用设备? 列。 Android Enterprise 设备列表

  3. 要查看可用的安全操作,请选择一个完全托管设备,然后单击保护。当设备完全托管时,完全擦除操作可用,但选择性擦除不可用。这种差异是因为设备只允许来自托管 Google Play 商店的应用程序。用户无法从公共商店安装应用程序。您的组织管理设备上的所有内容。

    安全操作

配置 Android Enterprise 设备和应用程序策略

有关在设备和应用程序级别控制的策略概述,请参阅适用于 Android Enterprise 的受支持设备策略和 MDX 策略

有关策略的注意事项:

  • 数据丢失防护: XenMobile MAM 容器技术通过加密和其他移动数据丢失防护 (DLP) 技术保护应用程序。使用 Citrix MAM SDK 或 MDX Toolkit 启用 MDX 应用程序。

  • 设备限制: 数十种设备限制可让您控制以下功能:

    • 使用设备摄像头
    • 在工作资料和个人资料之间使用复制和粘贴

  • 每应用程序 VPN: 使用“托管配置”设备策略为 Android Enterprise 配置 VPN 配置文件。

  • 电子邮件策略: 我们建议使用“托管配置”设备策略来配置应用程序。

此表列出了适用于 Android Enterprise 设备的所有设备策略。

重要:

对于注册到 Android Enterprise 并使用 MDX 应用程序的设备:您可以通过 MDX 和 Android Enterprise 控制某些设置。对 MDX 使用限制最少的策略设置,并通过 Android Enterprise 控制策略。

     
Android Enterprise 应用程序权限 托管配置 应用程序清单
应用程序卸载 自动更新托管应用程序 控制操作系统更新
凭据 自定义 XML Exchange
文件 键盘锁管理 自助服务终端
位置 密码 限制
Samsung MDM 许可证密钥 计划 Wi-Fi
XenMobile 选项    

具有工作资料的完全托管设备 (COPE 设备) 的设备策略

对于具有工作资料的完全托管设备 (COPE 设备),某些设备策略可用于对整个设备和工作资料应用单独的设置。您可以使用其他设备策略仅对整个设备或仅对具有工作资料的完全托管设备的工作资料应用设置。

策略 适用于
Android Enterprise 应用程序权限 工作资料
托管配置 工作资料
应用程序清单 工作资料
应用程序卸载 工作资料
自动更新托管应用程序 工作资料
控制操作系统更新 不适用
凭据 工作资料
自定义 XML 不适用
Exchange 不适用
文件 工作资料
键盘锁管理 设备和工作资料
自助服务终端 不适用
位置 设备(仅限位置模式)
密码 设备和工作资料
限制 设备和工作资料(为设备和工作资料创建单独的策略)
Samsung MDM 许可证密钥 不适用
计划 工作资料
Wi-Fi 设备
XenMobile 选项 工作资料

另请参阅适用于 Android Enterprise 的受支持设备策略和 MDX 策略MAM SDK 概述

安全操作

Android Enterprise 支持以下安全操作。有关每个安全操作的说明,请参阅安全操作

安全操作 工作资料 完全托管
证书续订
完全擦除
定位
锁定
锁定并重置密码
通知(响铃)
吊销
选择性擦除

安全操作注意事项

  • 除非“位置”设备策略将设备的位置模式设置为高精度省电,否则定位安全操作将失败。请参阅位置设备策略

  • 在运行 Android 9.0 之前版本的 Android 工作资料设备上:

    • 不支持锁定和重置密码操作。

  • 在运行 Android 9.0 或更高版本的工作资料设备上:

    • 发送的密码会锁定工作资料。设备本身不会被锁定。
    • 如果工作资料上未设置密码:
      • 如果未发送密码,或者发送的密码不符合密码要求:设备将被锁定。
    • 如果工作资料上设置了密码:
      • 如果未发送密码,或者发送的密码不符合密码要求:工作资料将被锁定,但设备本身不会被锁定。

  • 在具有工作资料的完全托管设备 (COPE 设备) 上:

    • 您可以将“锁定”安全操作分别应用于设备或工作资料

取消注册 Android Enterprise 企业

如果您不再希望使用 Android Enterprise 企业,可以取消注册该企业。

警告:

取消注册企业后,通过该企业注册的设备上的 Android Enterprise 应用程序将重置为默认状态。Google 不再管理这些设备。如果您注册新的 Android Enterprise 企业,则必须从托管 Google Play 批准新组织的应用程序。然后,您可以从 XenMobile 控制台更新应用程序。

Android Enterprise 企业取消注册后:

  • 通过该企业注册的设备和用户,其 Android Enterprise 应用程序将重置为默认状态。以前应用的托管配置策略不再影响操作。
  • XenMobile 管理通过该企业注册的设备。从 Google 的角度来看,这些设备是未托管的。您无法添加新的 Android Enterprise 应用程序。您无法应用托管配置策略。您可以将其他策略(例如“计划”、“密码”和“限制”)应用于这些设备。
  • 如果您尝试在 Android Enterprise 中注册设备,它们将注册为 Android 设备,而不是 Android Enterprise 设备。

使用 XenMobile Server 控制台和 XenMobile Tools 取消注册 Android Enterprise 企业。

执行此任务时,XenMobile 会为 XenMobile Tools 打开一个弹出窗口。开始之前,请确保 XenMobile 具有在您使用的浏览器中打开弹出窗口的权限。某些浏览器(例如 Google Chrome)要求您禁用弹出窗口阻止并向弹出窗口阻止允许列表添加 XenMobile 站点的地址。

要取消注册 Android Enterprise 企业:

  1. 在 XenMobile 控制台中,单击右上角的齿轮图标。“设置”页面随即显示。

  2. 在“设置”页面上,单击 Android Enterprise

  3. 单击取消注册

    取消注册选项

Android Enterprise
April 16, 2026
投稿者: 
C
April 16, 2026
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.