Android Enterprise

Android Enterprise 是一套由 Google 提供的作为 Android 设备的企业管理解决方案工具和服务。借助 Android Enterprise,您可以使用 XenMobile 管理公司拥有的 Android 设备以及携带自己的 (BYOD) Android 设备。可以管理整个设备或设备上的单独配置文件。这一单独的配置文件将企业帐户、应用程序和数据与个人帐户、应用程序和数据隔离开来。还可以管理专用于单一用途的设备,例如库存管理。

有关 XenMobile 支持的 Android 操作系统,请参阅 支持的设备操作系统

有关与 Android Enterprise 相关的术语和定义的列表,请参阅 Google Android Enterprise 开发人员指南中的Android Enterprise 术语。Google 经常更新这些术语。

将 XenMobile 与托管 Google Play 相集成以使用 Android Enterprise 时,可以创建一个企业。Google 将企业定义为组织与企业移动管理 (EMM) 解决方案之间的绑定。组织通过您的解决方案管理的所有用户和设备都属于其企业。

适用于 Android Enterprise 的企业有三个组件:EMM 解决方案、设备策略控制器 (DPC) 应用程序和 Google 企业应用程序平台。当您将 XenMobile 与 Android Enterprise 相集成时,完整的解决方案包含以下组件:

  • XenMobile: Citrix EMM。XenMobile 是用于安全数字工作区的统一端点管理解决方案。XenMobile 为 IT 管理员提供了为其组织管理设备和应用程序的方法。
  • Citrix Secure Hub: Citrix DPC 应用程序。Secure Hub 是 XenMobile 的启动板。Secure Hub 在设备上强制执行策略。
  • 托管 Google Play: 与 XenMobile 集成的 Google 企业应用程序平台。Google Play EMM API 设置应用程序策略并分发应用程序。

下图显示了管理员如何与这些组件进行交互,以及组件之间如何交互:

图片

将托管 Google Play 与 XenMobile 结合使用

注意:

可以使用托管 Google Play 或 G Suite 将 Citrix 注册为您的 EMM 提供商。本文讨论了使用 Android Enterprise 与托管 Google Play。如果贵组织已使用 G Suite 提供对应用程序的访问权限,并且您希望将其用于 Android Enterprise,请参阅适用于 G Suite 客户的旧版 Android Enterprise

使用托管 Google Play 时,您将为设备和最终用户预配托管 Google Play 帐户。托管 Google Play 帐户提供对托管 Google play 的访问,以允许用户安装和使用您提供的应用程序。如果贵组织使用第三方身份服务,您可以将托管 Google Play 帐户与您的现有身份帐户链接。

由于这种类型的企业未绑定到域,因此,您可以为单个组织创建多个企业。例如,组织中的每个部门或区域都可以注册为不同的企业,以管理不同的设备和应用程序集合。

对于 XenMobile 管理员,托管 Google Play 将 Google Play 的用户体验和应用商店功能与为企业设计的一组管理功能相结合。使用托管 Google Play 可添加、购买和审批应用程序,以便部署到设备上的 Android Enterprise 工作区。可以使用 Google Play 部署您的公共应用程序、专用应用程序和第三方应用程序。

对于托管设备的用户,托管 Google Play 是企业应用商店。用户可以浏览应用程序、查看应用程序详细信息以及安装这些应用程序。与 Google Play 的公共版本不同,用户只能从您为其提供的托管 Google Play 安装应用程序。

设备部署方案和操作模式

设备部署方案是指谁拥有您所部署的设备以及如何管理这些设备。操作模式是指 DPC 如何管理和强制执行设备上的策略。操作模式支持设备部署方案。

工作配置文件:BYOD 设备部署、配置文件所有者模式

BYOD 部署方案允许员工将个人拥有的设备投入工作,并使用这些设备访问公司信息和应用程序。

操作的配置文件所有者模式支持 BYOD 部署。通过 DPC,企业通过将工作配置文件添加到设备上的主用户帐户,使个人设备可供工作使用。该工作配置文件将企业帐户、应用程序和数据与个人帐户、应用程序和数据隔离开来。工作配置文件与主用户关联,但作为单独的配置文件。作为配置文件所有者,DPC 仅管理设备上的工作配置文件,并在工作配置文件外部具有有限控制权限。有关工作配置文件的更多详细信息,请参阅 Google Android Enterprise 帮助 Web 站点上的 工作配置文件是什么?

在 XenMobile 中注册设备时将启用配置文件所有者模式。由于 DPC 仅管理工作配置文件,而不管理整个设备,因此,在配置文件所有者模式下注册的设备不需要是新设备或恢复出厂设置。

处于配置文件所有者模式的设备也称为工作配置文件设备。配置文件所有者模式也称为工作配置文件模式或托管配置文件模式。

注意:

在配置文件所有者模式下,XenMobile 不支持 Zebra 设备。XenMobile 支持 Zebra 设备作为完全托管设备并且处于设备旧模式(也称为设备管理模式)。

完全托管:公司拥有的设备部署,设备所有者模式

公司拥有的部署方案中,企业拥有并完全控制其用途的设备。通常情况下,组织会在需要严格监视和管理整个设备时部署公司拥有的设备。

操作的设备所有者模式支持公司拥有的部署。在设备所有者模式下,DPC 管理整个设备。作为设备所有者,DPC 可以执行设备范围的操作,例如配置设备范围的连接、配置全局设置和执行出厂重置。

处于设备所有者模式的设备为完全托管设备。

设备所有者模式在初始设备设置期间启用。在设备所有者模式下,只有新设备或恢复出厂设置的设备才能注册到 XenMobile。

专用设备:公司拥有的设备部署,设备所有者模式

专用设备是一种完全托管的设备。这意味着专用设备是在设备所有者模式下运行的公司拥有的设备。专用设备提供一组有限的应用程序,用于专用目的,例如数字标牌、票据打印或库存管理。配置专用设备时,只提供所需的应用程序,并阻止用户添加其他应用程序。

专用设备又称为公司拥有、单一用途 (COSU) 的设备或展台模式设备。

旧设备部署,旧模式

部署方案适用于运行 5.0 之前的 Android 版本的设备。5.0 之前的 Android 版本不支持设备所有者模式或配置文件所有者模式。Android 版本 5.1 支持设备所有者模式,但不支持配置文件所有者模式。

操作的模式(又称为设备管理模式)支持旧设备部署。在旧模式下,DPC 对设备的控制有限。DPC 能够擦除设备、需要通行码或强制执行某些策略。要在旧设备上提供应用程序管理,请使用 Google Play 并允许用户添加 Google 帐户。也可以让 DPC 向旧设备添加托管 Google Play 帐户。

对于可以实施设备所有者模式或配置文件所有者模式的部署,不建议使用旧模式。在大型船舶公司中,Google 建议使用最高级别的设备管理,而非最小公分母解决方案。有关从旧模式迁移到设备所有者模式或配置文件所有者模式的信息,请参阅从设备管理迁移到 Android Enterprise

注意:

Citrix 还使用术语来指使用 XenMobile 和 G Suite(而非托管 Google Play)来管理 Android Enterprise 设备的客户。

身份验证方法

XenMobile 将 Android 设备注册到 MDM+MAM 或 MDM 模式,用户可以选择在仅 MAMM 模式下注册。XenMobile 支持对处于 MDM+MAM 模式的 Android 设备使用以下身份验证方法。有关信息,请参阅证书和身份验证下的文章。

  • 域加安全令牌
  • 客户端证书
  • 客户端证书加域
  • 身份提供程序:
    • Azure Active Directory
    • Citrix 身份提供程序

另一种罕见的身份验证方法是客户端证书加安全令牌。有关信息,请参阅 https://support.citrix.com/article/CTX215200

要求

在开始使用 Android Enterprise 之前,您需要:

  • 帐户和凭据:

    • 要通过托管 Google Play 设置 Android Enterprise,则需要企业 Google 帐户
    • 要下载最新的 MDX 文件,则需要 Citrix 客户帐户
    • 要部署专用应用程序(可选),则需要 Google 开发人员帐户
  • 对于 Samsung Knox 移动注册(可选),则需要 Knox 高级许可证。

将 XenMobile 连接到 Google Play

要为贵组织设置 Android Enterprise,请通过托管 Google Play 将 Citrix 注册为 EMM 提供商。这将托管 Google Play 连接到 XenMobile,并在 XenMobile 中为 Android Enterprise 创建一个企业。

您需要一个企业 Google 帐户才能登录 Google Play。

  1. 在 XenMobile 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 设置页面上,单击 Android Enterprise突出显示包含 Android Enterprise 的设置页面

  3. 在 XenMobile“设置”中的 Android Enterprise 页面上,单击连接。这将您转至 Google Play。 Android Enterprise 连接到 Google Play

  4. 使用您的企业 Google 帐户凭据登录 Google Play。输入贵组织的名称并确认 Citrix 是您的 EMM 提供商。

  5. 将为 Android Enterprise 添加企业 ID。要启用 Android Enterprise,请将启用 Android Enterprise 滑动到

    “启用 Android Enterprise”选项

您的企业 ID 将显示在 XenMobile 控制台中。

图片

您的环境已连接到 Google,并准备好管理设备。您现在可以为用户提供应用程序。

XenMobile 可用于为用户提供 Citrix 移动生产力应用程序、MDX 应用程序、公共应用商店应用程序、Web 和 SaaS 应用程序、企业应用程序和 Web 链接。有关这些类型的应用程序以及向用户提供这些应用程序的详细信息,请参阅添加应用程序

下面的部分介绍了如何提供移动生产力应用程序。

向 Android Enterprise 用户提供 Citrix 移动生产力应用程序

为 Android Enterprise 用户提供 Citrix 移动生产力应用程序需要执行以下步骤。

  1. 在托管 Google Play 应用商店中,批准您希望用户拥有的应用程序。请参阅批准托管 Google Play 中的应用程序

  2. 在 XenMobile 控制台中,将应用程序发布为公共应用商店应用程序。请参阅将应用程序配置为公共应用商店应用程序

  3. 在 XenMobile 控制台中,再次发布与 MDX 应用程序相同的应用程序,以便该应用程序可以接收 MDX 策略。请参阅将应用程序配置为 MDX 应用程序

  4. 在 XenMobile 控制台中,为用户用于访问其设备上的工作配置文件的安全质询配置规则。请参阅配置安全质询策略

您发布的应用程序可用于在 Android Enterprise 企业中注册的设备。

批准托管 Google Play 中的应用程序

在将应用程序添加到 XenMobile 之前,请先在托管 Google Play 应用商店中批准该应用程序。如果您尚未批准托管 Google Play 应用商店中的应用程序,则当您尝试添加应用程序时,XenMobile 控制台会出现此错误:

图片

转到托管 Google Play 应用商店,以确定哪些应用程序已可用并批准在您的企业中使用。

  1. 使用您的 Google 帐户凭据登录 https://play.google.com/work
  2. 单击我的托管应用程序以显示已为您的用户批准的所有应用程序。 图片

要批准托管 Google Play 应用商店中的应用程序,请执行以下操作:

  1. 登录到托管 Google Play 时,请选择要批准的应用程序。应用程序页面上将显示 Approve(批准)按钮。 图片
  2. 单击 Approve(批准)。 图片
  3. 再次单击 Approve(批准)。
  4. 选择 Keep approved when app requests new permissions(在应用程序请求新权限时保持已批准)。单击保存图片

将应用程序配置为公共应用商店应用程序

要将 Citrix ShareFile 配置为 Android Enterprise 公共应用商店应用程序,请执行以下操作:

  1. 在 XenMobile 控制台中,单击配置 > 应用程序。此时将显示应用程序页面。 “应用程序”配置屏幕示意图

  2. 单击添加。此时将显示添加应用程序对话框。

    “应用程序”配置屏幕示意图

  3. 单击公共应用商店。此时将显示应用程序信息页面。

  4. 应用程序信息页面中,键入以下信息:

    • 名称: 键入应用程序的描述性名称。此名称将显示在应用程序表中的应用程序名称下。
    • 说明: 键入应用程序的可选说明。
    • 应用程序类别: (可选)在列表中单击要将应用程序添加到的类别。有关应用程序类别的详细信息,请参阅创建应用程序类别
  5. 单击下一步。此时将显示应用程序平台页面。

  6. 平台下,选择 Android Enterprise。清除其他平台。

  7. Android Enterprise 下,输入应用程序的捆绑包 ID,然后单击搜索。应用程序标识符可以在 Google Play 应用商店的应用程序 URL 中找到。 图片

  8. 如果控制台显示的应用程序未在 Google Play 应用商店中获得批准,请单击立即批准。 图片

  9. 选择要添加的应用程序。单击下一步图片

  10. 将该应用程序分配给一个或多个交付组。 图片

  11. 单击保存

对 Citrix Secure Mail 和 Citrix Secure Web 重复这些步骤。

将应用程序配置为 MDX 应用程序

移动生产力应用程序不使用本机 Android 清单,因此,您可以先将这些应用程序添加为 MDX 应用程序并配置其 MDX 策略,然后再将这些应用程序提供给用户。

在添加 MPX 应用程序之前,请下载最新的 Android MDX 文件:

  1. 转到 XenMobile 下载页面并使用您的 Citrix 客户凭据登录:https://www.citrix.com/downloads/citrix-endpoint-management/product-software/xenmobile-enterprise-edition-worx-apps-and-mdx-toolkit.html

    图片

  2. 解压缩下载的文件并提取其内容。

要添加和配置 MDX 应用程序,请执行以下操作:

  1. 在 XenMobile 控制台中,单击配置 > 应用程序。此时将显示应用程序页面。

    “应用程序”配置屏幕示意图

  2. 单击添加。此时将显示添加应用程序对话框。

    “应用程序”配置屏幕示意图

  3. 单击 MDX。此时将显示 MDX 应用程序信息页面。

  4. 命名该应用程序,然后单击下一步图片

  5. 单击下一步以进入 Android 平台配置。

  6. 单击上载图片

  7. 导航到 MDX 文件位置,然后选择要安装的 MDX 文件。 图片

  8. 默认情况下,某些应用程序中的网络访问被阻止。启用网络访问。单击菜单并选择通道 - Web SSO图片

  9. 在页面中单击下一步(默认设置除外),直到您到达交付组分配页面。

  10. 将应用程序分配给您在将其发布为公共应用商店应用程序时为其分配的相同交付组。

  11. 单击保存

重复上述步骤,为每个移动生产力应用程序配置 MDX 应用程序。

配置安全质询策略

XenMobile 通行码设备策略为用户访问其设备或其设备上的 Android Enterprise 工作配置文件的安全质询配置一组规则。安全质询可能是通行码或生物特征识别。有关通行码策略的详细信息,请参阅 通行码设备策略

如果您的 Android Enterprise 部署包含 BYOD 设备,请为工作配置文件配置通行码策略。如果您的部署包括公司拥有的完全托管设备,请为设备本身配置通行码策略。如果您的部署包括两种类型的设备,请配置两种类型的通行码策略。

要配置通行码策略,请执行以下操作:

  1. 在 XenMobile 控制台中,转至配置 > 设备策略

  2. 单击添加

  3. 单击显示过滤器以显示策略平台窗格。在策略平台窗格中,选择 Android Enterprise

  4. 单击右侧窗格上的通行码图片

  5. 输入策略名称。单击下一步图片

  6. 配置通行码策略设置。
    • 需要设备通行码设置为,以查看设备本身的安全质询可用的设置。
    • 工作配置文件安全质询设置为,以查看可用于工作配置文件安全质询的设置。
  7. 单击下一步

  8. 将策略分配给一个或多个交付组。

  9. 单击保存

预配 Android Enterprise 工作配置文件设备

Android Enterprise 工作配置文件设备在配置文件所有者模式下注册。这些设备不需要是新设备或恢复出厂设置。BYOD 设备作为工作配置文件设备注册。注册体验与 XenMobile 中的 Android 注册体验相似。用户将从 Google Play 下载 Secure Hub 并注册其设备。

默认情况下,如果某个设备在 Android Enterprise 中注册为工作配置文件设备,“USB 调试”和“未知来源”设置在该设备上将处于禁用状态。

在 Android Enterprise 中将设备注册为工作配置文件设备时,将始终转至 Google Play。在该应用商店中,允许 Secure Hub 在用户的个人配置文件中显示。

预配 Android Enterprise 完全托管设备

可以在前面的部分中设置的部署中注册完全托管设备。完全托管设备是公司拥有的设备,在设备所有者模式下注册。在设备所有者模式下,只能注册新设备或恢复出厂设置的设备。

可以使用以下任何注册方法在设备所有者模式下注册设备:

  • DPC 标识符令牌 afw#xenmobile: 如果使用此注册方法,用户在设置设备时将输入字符 afw#xenmobile。afw#xenmobile 为 Citrix DPC 标识符令牌。此令牌将设备标识为由 XenMobile 托管并从 Google Play 应用商店下载 Secure Hub。请参阅使用 afw#xenmobile 注册设备
  • 近场通信 (NFC) 碰撞: NFC 碰撞注册方法通过在两个设备之间使用近场通信来传输数据。蓝牙、Wi-Fi 和其他通信模式在新设备或恢复出厂设置的设备上处于禁用状态。NFC 是此状态下设备可以使用的唯一通信协议。请参阅通过 NFC 碰撞注册设备
  • QR 代码: QR 代码注册可用于注册不支持 NFC 的分布式设备队列(例如平板电脑)。QR 代码注册方法通过扫描设置向导中的 QR 代码来设置并配置设备配置文件模式。请参阅使用 QR 代码注册设备
  • 零触摸: 零触摸注册允许您将设备配置为在首次打开电源时自动注册。某些运行 Android 8.0 或更高版本的 Android 设备支持零触摸注册。请参阅零接触注册
  • Google 帐户: 用户输入其 Google 帐户凭据以启动预配过程。此选项适用于使用 G Suite 的企业。

使用 afw#xenmobile 注册设备

用户在打开新设备或恢复出厂重置的设备以进行初始设置后输入 Google 帐户时输入“afw#xenmobile”。此操作将下载并安装 Secure Hub。用户随后将按照 Secure Hub 设置提示进行操作,完成注册过程。

对于大多数客户,建议使用此注册方法,因为是从 Google Play 应用商店下载最新版本的 Secure Hub。与其他注册方法不同,您不用提供要从 XenMobile Server 下载的 Secure Hub。

系统要求

  • 在运行 Android OS 的所有 Android 设备上均受支持。

注册设备

  1. 打开新设备或恢复出厂设置的设备的电源。

  2. 初始设备设置加载并提示您输入 Google 帐户。如果设备加载设备的主屏幕,请检查通知栏中是否显示完成设置通知。

    图片

  3. 电子邮件或电话字段中输入 afw#xenmobile

    图片

  4. 在 Android Enterprise 屏幕上轻按安装,提示安装 Secure Hub。

    图片

  5. 在 Secure Hub 安装程序屏幕上轻按安装

    图片

  6. 对所有应用程序权限申请轻按允许

  7. 轻按接受并继续以安装 Secure Hub 并允许其管理设备。

    图片

  8. Secure Hub 现在已安装,并位于默认注册屏幕上。在此示例中,未设置自动发现。如果是,用户可以输入其用户名/电子邮件,并为其找到一个服务器。相反,请输入环境的注册 URL,然后轻按下一步

    图片

  9. XenMobile 的默认配置允许用来选择其使用 MAM 还是 MDM+MAM。如果以这种方式提示,请轻按是,注册以选择 MDM+MAM。

    图片

  10. 输入用户名和密码,然后轻按下一步

    图片

  11. 系统将提示用户配置设备通行码。轻按设置并输入通行码。

    图片

  12. 系统会提示用户配置工作配置文件解锁方法。在此示例中,轻按密码,轻按 PIN,然后输入 PIN。

    图片

  13. 设备现在位于 Secure Hub 我的应用程序登录屏幕上。轻按从应用商店中添加应用程序

    图片

  14. 要添加 Secure Web,请轻按 Secure Web

    图片

  15. 轻按添加

    图片

  16. Secure Hub 引导用户访问 Google Play 应用商店以安装 Secure Web。轻按安装

    图片

  17. 安装 Secure Web 后,轻按打开。在地址栏中输入来自内部站点的 URL,并验证页面是否加载。

    图片

  18. 转到设备上的设置 > 帐户。注意无法修改托管帐户。用于共享屏幕或远程调试的开发人员选项也被阻止。

    图片

通过 NFC 碰撞注册设备

要使用 NFC 碰撞功能将设备注册为完全托管设备,需要两个设备:一个已恢复出厂设置的设备,以及一个运行 XenMobile Provisioning Tool 的设备。

系统要求和必备条件

  • 支持的 Android 设备。
  • 新的或恢复出厂设置的设备,为 Android Enterprise 预配为完全托管设备。可以在本文中查找完成此必备条件的步骤。
  • 另一个设备具有 NFC 功能,运行已配置的 Provisioning Tool。Provisioning Tool 在 Secure Hub 或 Citrix 下载页面上提供。

每个设备只能有一个 Android Enterprise 配置文件,即托管 Secure Hub。每台设备上只允许一个配置文件。尝试添加第二个 DPC 应用程序将删除已安装的 Secure Hub。

通过 NFC 碰撞传输数据

预配恢复出厂设置的设备需要您通过 NFC 碰撞发送以下数据以初始化 Android Enterprise:

  • 要作为设备所有者(在此示例中为 Secure Hub)的 DPC 应用程序的包名称。
  • 设备可以从中下载 DPC 应用程序的 Intranet/Internet 位置。
  • 用于验证下载是否成功的 DPC 应用程序的 SHA1 哈希。
  • Wi-Fi 连接详细信息,以便恢复出厂设置的设备能够连接和下载 DPC 应用程序。注意:Android 现在不支持在此步骤中使用 802.1x Wi-Fi。
  • 设备的时区(可选)。
  • 设备的地理位置(可选)。

碰撞两个设备时,来自 Provisioning Tool 的数据将发送到恢复出厂设置的设备。该数据随后用于下载使用管理员设置的 Secure Hub。如果未输入时区和位置值,Android 将在新设备上自动配置值。

配置 XenMobile Provisioning Tool

执行 NFC 碰撞之前,必须配置 Provisioning Tool。此配置随后在 NFC 碰撞过程中被传输到恢复出厂设置的设备。

Provisioning Tool 配置图

可以将数据键入到必填字段中,或者通过文本文件进行填充。下一个过程中的步骤介绍了如何配置文本文件,并且包含每个字段的说明。键入后,该应用程序将不保存信息,因此,您可能希望创建一个文本文件以保留该信息供将来使用。

使用文本文件配置 Provisioning Tool

将文件命名为 nfcprovisioning.txt 并将其放置在设备的 SD 卡中的 /sdcard/ 文件夹下。该应用程序随后可以读取文本文件并填充值。

文本文件必须包含以下数据:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

此行为 EMM 提供程序应用程序的 Intranet/Internet 位置。恢复出厂设置的设备在进行 NFC 碰撞后连接到 Wi-Fi 之后,该设备必须有权访问此位置才能进行下载。该 URL 为常规 URL,不需要特殊格式。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

此行是 EMM 提供程序应用程序的校验和。此校验和用于验证下载是否成功。本文中后面的内容介绍了获取校验和的步骤。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

此行是运行 Provisioning Tool 的设备的已连接 Wi-Fi SSID。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

支持的值为 WEP 和 WPA2。如果 Wi-Fi 未受保护,此字段必须留空。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

如果 Wi-Fi 未受保护,此字段必须留空。

android.app.extra.PROVISIONING_LOCALE=<locale>

输入语言和国家/地区代码。语言代码为包含两个小写字母的 ISO 语言代码(例如 en),如 ISO 639-1 所定义。国家/地区代码为包含两个大写字母的 ISO 国家/地区代码(例如 US),如 ISO 3166-1 所定义。例如,请键入 en_US 表示在美国所讲的英语。如果未输入任何代码,则会自动填充国家/地区和语言。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

设备运行时所在的时区。键入表单区域/位置的 Olson 名称。例如,America/Los_Angeles 表示太平洋时间。如果未输入名称,则将自动填充时区。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

不需要此数据,因为值 Secure Hub 被硬编码到应用程序中。在本文中提及的目的只是为了保持完整性。

如果存在通过使用 WPA2 保护的 Wi-Fi,完整的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

如果存在不受保护的 Wi-Fi,完整的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

获取 Secure Hub 校验和

要获取任何应用程序的校验和,请添加该应用程序作为企业应用程序。

  1. 在 XenMobile 控制台中,转至配置 > 应用程序,然后单击添加

    此时将显示添加应用程序窗口。

  2. 单击企业

    此时将显示应用程序信息页面。

    “应用程序信息”页面图

  3. 选择以下配置并单击下一步

    此时将显示 Android Enterprise 企业应用程序页面。

    “Android for Work Enterprise App”(Android for Work 企业应用程序)图

  4. 提供 .apk 的路径,然后单击下一步以上载文件。

    上载完成后,系统将显示上载的软件包的详细信息。

    文件上载页面示意图

  5. 单击下一步。单击下载 JSON 以下载 JSON 文件,随后可以将其上载到 Google Play。对于 Secure Hub,不需要上载到 Google Play,但需要 JSON 文件才能从中读取 SHA1 值。

    下载 JSON 文件页面图

    典型的 JSON 文件格式如下:

    典型的 JSON 文件图

  6. 复制 file_sha1_base64 值并在 Provisioning Tool 中的 Hash(哈希)字段中使用。

    注意: 该哈希必须是 URL 安全哈希。

    • 将任何 + 符号转换为 -
    • 将任何 / 符号转换为 _
    • 将尾随 \u003d 替换为 =

    如果您将哈希值存储在设备的 SD 卡上的 nfcprovisioning.txt 文件中,该应用程序将执行安全转换。但是,如果选择手动键入哈希值,您将负责确保其 URL 的安全性。

使用的库

Provisioning Tool 在其源代码中使用以下库:

  • Google 遵循 Apache License 2.0 提供的 v7 appcompat 库、Design Support Library 以及 v7 Palette 库

    有关信息,请参阅 支持库功能指南

  • Jake Wharton 遵循 Apache License 2.0 提供的 Butter Knife

使用 QR 代码注册设备

要使用 QR 代码注册完全托管设备,请通过创建一个 JSON 并将该 JSON 转换为 QR 代码来生成 QR 代码。将使用设备相机扫描 QR 代码以注册设备。

系统要求

  • 在运行 Android 8.0 及更高版本的所有 Android 设备上均受支持。

从 JSON 创建 QR 代码

创建包含以下字段的 JSON。

以下字段均为必填项:

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

值:com.zenprise/com.zenprise.configuration.AdminFunction

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

值:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

值: https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

以下字段为选填字段:

  • android.app.extra.PROVISIONING_LOCALE: 输入语言和国家/地区代码。

    语言代码为包含两个小写字母的 ISO 语言代码(例如 en),如 ISO 639-1 所定义。国家/地区代码为包含两个大写字母的 ISO 国家/地区代码(例如 US),如 ISO 3166-1 所定义。例如,请输入 en_US 表示在美国所讲的英语。

  • android.app.extra.PROVISIONING_TIME_ZONE: 设备运行时所在的时区。

    输入表单区域/位置的 Olson 名称。例如,America/Los_Angeles 表示太平洋时间。如果未输入,则将自动填充时区。

  • android.app.extra.PROVISIONING_LOCAL_TIME: 从 Epoch 开始经过的时间(毫秒)。

    Unix epoch(或 Unix 时间、POSIX 时间或 Unix 时间戳)是指从 1970 年 1 月 1 日(午夜,UTC/GMT)开始经过的秒数。该时间不包括闰秒(在 ISO 8601 中为:1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: 设置为 true 将在配置文件创建期间跳过加密。设置为 false 将在配置文件创建期间强制加密。

典型的 JSON 如下:

典型的 JSON 图

使用任意 JSON 验证工具(例如 https://jsonlint.com)验证创建的 JSON。然后使用任意联机 QR 代码生成器(例如 https://goqr.me)将该 JSON 字符串转换为 QR 代码。

恢复出厂设置的设备将扫描此 QR 代码以将设备注册为完全托管设备。

注册设备

打开新设备或恢复出厂设置的设备的电源后:

  1. 在欢迎屏幕上轻按该屏幕六次以启动 QR 代码注册流程。
  2. 系统提示时,连接到 Wi-Fi。QR 代码(JSON 编码)中 Secure Hub 的下载位置可以通过此 Wi-Fi 网络访问。

    设备成功连接到 Wi-Fi 后,将从 Google 下载一个 QR 代码读取器并启动摄像头。

  3. 将摄像头对准 QR 代码以扫描该代码。

    Android 将从 QR 代码中的下载位置下载 Secure Hub,验证签名证书的签名,安装 Secure Hub 并将其设置为设备所有者。

有关详细信息,请参阅此面向 Android EMM 开发人员的 Google 指南:https://developers.google.com/android/work/prov-devices#qr_code_method

零接触注册

零触摸注册允许您将设备设置为首次打开电源时将自身预配为完全托管设备。

您的设备经销商在 Android 零触摸门户网站上为您创建一个帐户,这是一个可让您将配置应用到设备的联机工具。使用 Android 零触摸门户,您可以创建一个或多个零触摸注册配置,并将这些配置应用到分配给您的帐户的设备。当用户为这些设备打开电源时,这些设备将自动注册到 XenMobile 中。分配给设备的配置定义了其自动注册过程。

系统要求

  • 对零触摸注册的支持自 Android 8.0 开始。

您的经销商提供的设备和帐户信息

  • 符合零触摸注册条件的设备可从企业经销商或 Google 合作伙伴处购买。有关 Android Enterprise 零触摸合作伙伴的列表,请参阅Android Web 站点

  • 由您的经销商创建的 Android Enterprise 零触摸门户帐户。

  • Android Enterprise 零触摸门户帐户登录信息,由您的经销商提供。

创建零触摸配置

创建零触摸配置时,请包含一个自定义 JSON 以指定配置的详细信息。

使用此 JSON 可配置要在指定的 XenMobile Server 上注册的设备。在此示例中,将服务器的 URL 替换为“URL”。

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL",
         }
      }

可以使用具有更多参数的可选 JSON 来进一步自定义您的配置。此示例指定 XenMobile Server 以及使用此配置的设备用于登录服务器的用户名和密码。

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  1. 转到 Android 零触摸门户网站,网址为 https://partner.android.com/zerotouch。使用您的零触摸设备经销商提供的帐户信息登录。

  2. 单击配置零触摸门户示意图

  3. 单击配置表上方的 +零触摸门户示意图

  4. 在显示的配置窗口中输入您的配置信息。 零触摸门户示意图
    • 配置名称: 键入您为此配置选择的名称。
    • EMM DPC: 选择 Citrix Secure Hub
    • DPC 附加程序: 在此字段中粘贴您的自定义 JSON 文本。
    • 公司名称: 键入您希望在设备预配过程中在 Android Enterprise 零触摸设备上显示的名称。
    • 支持电子邮件地址: 键入用户可以联系以寻求帮助的电子邮件地址。此地址会在设备预配之前显示在 Android Enterprise 零触摸设备上。
    • 支持电话号码: 键入您的用户可以联系以寻求帮助的电话号码。设备预配之前,此电话号码会显示在 Android Enterprise 零触摸设备上。
    • 自定义消息: (可选)添加一个或两个句子,以帮助您的用户与您联系,或者为其提供有关其设备发生的情况的更多详细信息。此自定义消息会在设备预配之前显示在 Android Enterprise 零触摸设备上。
  5. 单击添加

  6. 要创建更多配置,请重复步骤 2 到 4。

  7. 要将配置应用到设备,请执行以下操作:

    1. 在 Android 零触摸门户中,单击设备

    2. 在设备列表中找到设备,然后选择要向其分配的配置。 零触摸门户示意图

    3. 单击更新

可以使用 CSV 文件将配置应用到许多设备。

有关如何将配置应用到许多设备的信息,请参阅 Android Enterprise 帮助主题 IT 管理员的零触摸注册。此 Android Enterprise 帮助主题包含有关如何管理配置并将其应用到设备的详细信息。

在 XenMobile 控制台中查看完全托管设备

  1. 在 XenMobile 控制台中,转至管理 > 设备

  2. 通过单击此页面上的表格右侧的菜单添加 启用了 Android Enterprise 的设备?图片

  3. 要查看可用的安全操作,请选择完全托管设备,然后单击安全。设备完全托管时,完全擦除操作可用,但选择性擦除不可用。这是因为该设备仅允许来自托管 Google Play 应用商店的应用程序。用户没有从公共应用商店安装应用程序的选项。设备上的所有内容均由您的组织管理。

    图片

预配专用 Android Enterprise 设备

专用 Android Enterprise 设备属于完全托管设备,专门用于满足单个用例。您将这些设备限制为执行此用例需要执行的任务所需的一个应用程序或一小组应用程序。您还将阻止用户启用其他应用程序或在设备上执行其他操作。

使用用于其他完全托管设备的任何注册方法注册专用设备,如预配 Android Enterprise 完全托管设备中所述。预配专用设备需要在注册之前进行额外的设置。

专用设备又称为公司拥有、单一用途 (COSU) 的设备。

注意:

与其他完全托管设备不同,专用设备只能由具有 Active Directory 帐户的用户注册。本地用户无法注册专用设备。

要预配专用设备,请执行以下操作:

  • 添加允许 XenMobile 管理员在您的 XenMobile 部署中注册专用设备的基于角色的昂问控制 (RBAC) 角色。将此角色分配给要注册专用设备的用户。
  • 为允许在您的 XenMobile 部署中注册专用设备的 XenMobile 管理员创建注册配置文件。
  • 将希望专用设备访问的一个或多个应用程序列入白名单。
  • 或者,将列入白名单的应用程序设置为允许锁定任务模式。当某个应用程序处于锁定任务模式时,用户打开时该应用程序将固定到设备屏幕。此时将不显示任何主页按钮,并且“返回”按钮处于禁用状态。用户使用编程到该应用程序中的一项操作退出该应用程序,例如注销。
  • 将每个设备注册为完全托管设备。

系统要求

  • 对注册专用设备的支持自 Android 6.0 起启用。

为专用设备添加 RBAC 角色

用于注册专用设备的 RBAC 角色使 XenMobile 能够在设备上无提示置备和激活托管 Google Play 帐户。与托管 Google Play 用户帐户不同,这些设备帐户标识未绑定到某个用户的设备。

您将此 RBAC 角色分配给 XenMobile 管理员以使其能够注册专用设备。

要添加用于注册专用设备的 RBAC 角色,请执行以下操作:

  1. 在 XenMobile 控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。

  2. 单击基于角色的访问控制。此时将显示基于角色的访问控制页面,其中显示了四种默认用户角色以及您之前添加的所有角色。

  3. 单击添加。此时将显示添加角色页面。

  4. 输入以下信息。

    • RBAC 名称: 输入“COSU”或角色的描述性名称。不能更改角色的名称。
    • RBAC 模板: 选择 ADMIN 模板。
    • 授权访问: 选择管理控制台访问COSU 设备注册器
    • 控制台功能: 选择设备
    • 应用权限: 选择要向其应用 COSU 角色的组。如果单击至特定用户组,将显示组列表,您可以从中选择一个或多个组。
  5. 单击下一步。此时将显示分配页面。

  6. 输入下列信息,以将角色分配给 Active Director 组。

    • 选择域: 在列表中,单击某个域。
    • 包括用户组: 单击搜索可查看所有可用组的列表。或者,键入完整或部分组名称以将列表限制到仅使用该名称的组。
    • 在显示的列表中,选择要向其分配角色的用户组。选择某个用户组后,此组将显示在选定用户组列表中。 图片
  7. 单击保存

添加专用的 (COSU) 注册配置文件

当您的 XenMobile 部署包括专用设备时,单个 XenMobile 管理员或一小组管理员将注册多个专用设备。要确保这些管理员能够注册所需的所有设备,请为其创建一个允许每个用户无限制注册设备的注册配置文件。请将此配置文件分配给包含注册专用设备的管理员的交付组。这样,即使默认全局配置文件允许每个用户注册有限数量的设备,管理员也能够注册数量不受限制的设备。这些管理员必须在专用 (COSU) 注册配置文件中。

  1. 在 XenMobile 控制台中,转到配置 > 注册配置文件。此时将显示默认的 Global 配置文件。

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。请确保使用此配置文件可以注册的设备数量设置为无限制。

    “注册配置文件”配置屏幕图

  3. 单击下一步。此时将显示交付组分配屏幕。

  4. 请选择包含注册专用设备的管理员的一个或多个交付组。然后单击 Save(保存)。

    显示的“注册配置文件”页面中添加了您的配置文件。

    “注册配置文件”配置屏幕图

将应用程序列入白名单以及设置锁定任务模式

展台设备策略允许您将应用程序列入白名单以及设置锁定任务模式。默认情况下,Secure Hub 和 Google Play 服务都列入白名单。

要添加展台策略,请执行以下操作:

  1. 在 XenMobile 控制台中,单击配置 > 设备策略。此时将显示设备策略页面。

  2. 单击添加。此时将显示添加新策略对话框。

  3. 展开更多,然后在“安全性”下,单击展台。此时将显示展台策略页面。

  4. 在“平台”下,选择 Android Enterprise。清除其他平台。

  5. 在“策略信息”窗格中,键入策略名称和可选说明

  6. 单击下一步,然后单击添加

  7. 要将某个应用程序列入白名单并允许或拒绝该应用程序的锁定任务模式,请执行以下操作:

    从列表中选择要列入白名单的应用程序。

    选择允许可设置要在用户启动应用程序时固定到设备屏幕的应用程序。选择拒绝可设置不固定的应用程序。默认设置为允许

    “设备策略”配置屏幕图

  8. 单击保存

  9. 要将另一个应用程序列入白名单并允许或拒绝该应用程序的锁定任务模式,请单击添加

  10. 配置部署规则并选择交付组。有关详细信息,请参阅设备策略

注册设备

  1. 打开新设备或恢复出厂设置的设备的电源。

  2. 将设备注册为完全托管设备,并将其分配给具有专用设备 RBAC 角色的用户。

注册设备后,它会显示用户可以运行并锁定到此屏幕的应用程序列表。

图片

此示例显示,虽然 Gmail 位于设备上,但它无法运行。

配置 Android Enterprise 设备策略

使用这些策略可配置 XenMobile 与运行 Android Enterprise 的设备的交互方式。下表列出了适用于 Android Enterprise 设备的所有设备策略。

     
Android Enterprise 托管配置 应用程序清单 应用程序卸载
控制操作系统更新 凭据 自定义 XML
Exchange 文件设备策略 是否需要 Kiosk
位置 通行码 限制
Samsung MDM 许可证密钥 计划 Wi-Fi

另请参阅 Android Enterprise 支持的设备策略和 MDX 策略

安全操作

Android Enterprise 支持以下安全操作。有关每个安全操作的说明,请参阅安全操作

安全操作 Android Enterprise (BYOD) Android Enterprise(公司拥有)
证书续订
完全擦除
查找
锁定
锁定并重置密码
通知(响铃)
吊销
选择性擦除

注意:

除非 位置设备策略已将设备的位置模式设置为高精度电池节能,否则定位安全操作将失败。

在运行 Android 8.0 之前版本的 Android 的工作配置文件设备上不支持锁定和重置密码命令。在运行 Android 8.0 或更高版本的设备工作配置文件设备上:发送的通行码锁定工作配置文件,但设备未锁定。如果未发送密码,或者发送的密码不符合密码要求,并且尚未对工作配置文件设置任何密码:设备将被锁定。如果未发送密码,或者发送的密码不符合密码要求,但已对工作配置文件设置密码:工作配置文件将被锁定,但设备不会被锁定。

取消注册 Android Enterprise 企业

如果您不想再使用 Android Enterprise 企业,则可以取消注册该企业。

警告:

取消注册企业后,通过其注册的设备上的 Android Enterprise 应用程序将重置到其默认状态。Google 不再管理设备。除非进一步进行配置,否则在 Android Enterprise 企业中重新注册这些设备可能不会恢复以前的功能。

取消注册 Android Enterprise 企业后:

  • 通过企业注册的设备和用户会将 Android Enterprise 应用程序重置到其默认状态。以前应用的 Android Enterprise 托管配置策略不再影响操作。
  • XenMobile 负责管理通过企业注册的设备。从 Google 角度来看,这些设备是非托管设备。您不能添加新的 Android Enterprise 应用程序。您无法应用 Android Enterprise 托管配置策略。可以将其他策略(例如“计划”、“密码”和“限制”)应用到这些设备。
  • 如果尝试在 Android Enterprise 中注册设备,这些设备将注册为 Android 设备,而非 Android Enterprise 设备。

使用 XenMobile Server 控制台和 XenMobile Tools 取消注册 Android Enterprise 企业。

执行此任务时,XenMobile Server 将打开 XenMobile Tools 的弹出窗口。开始之前,请确保 XenMobile Server 有权在您使用的浏览器中打开弹出窗口。某些浏览器(例如 Google Chrome)要求禁用弹出窗口阻止功能并将 XenMobile 站点的地址添加到弹出窗口阻止白名单中。

要取消注册 Android Enterprise 企业,请执行以下操作:

  1. 在 XenMobile 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 在“设置”页面上,单击 Android Enterprise

  3. 单击取消注册

    取消注册选项