适用于 G Suite 客户的旧版 Android for Work

要配置旧版 Android for Work,G Suite 客户必须使用旧版 Android for Work 设置。

旧版 Android for Work 的要求:

  • 可公开访问的域
  • Google 管理员帐户
  • 支持托管配置文件并且运行 Android 5.0+ Lollipop 的设备
  • 安装了 Google Play 的 Google 帐户
  • 用户设备上设置的工作配置文件

要开始配置旧版 Android for Work,请单击 XenMobile“设置”的 Android for Work 页面中的旧版 Android for Work

“旧版 Android for Work”选项图

创建 Android for Work 帐户

要设置 Android for Work 帐户,必须向 Google 验证您的域名。

如果已向 Google 验证您的域名,可以跳至以下步骤:设置 Android for Work 服务帐户并下载 Android for Work 证书

  1. 导航到 https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK

    此时将显示以下页面,您可以在此页面中键入管理员和公司信息。

    帐户设置页面图

  2. 键入管理员用户信息。

    管理员用户信息图

  3. 键入您的公司信息(管理员帐户信息除外)。

    公司信息屏幕图

    此过程中的第一个步骤已完成,请继续查看下面的页面。

    验证页面图。

验证域所有权

允许 Google 通过以下方式之一验证您的域:

  • 将 TXT 或 CNAME 记录添加到域主机的 Web 站点。
  • 向域的 Web 服务器上载 HTML 文件。
  • 向您的主页添加 <meta> 标记。Google 建议使用第一种方法。本文不包含验证域所有权的步骤,但您可以从以下网址找到所需的信息:https://support.google.com/a/answer/6248925
  1. 单击 Start(开始)开始验证您的域。

    此时将显示 Verify domain ownership(验证域所有权)页面。请按照此页面上显示的说明验证您的域。

  2. 单击 Verify(验证)。

    “Verify”(验证)按钮图

    “Verify”(验证)确认图

  3. Google 验证您的域所有权。

    域所有权验证图

  4. 成功验证后,将显示以下页面。单击 Continue(继续)。

    成功确认页面图

  5. Google 创建一个需要向 Citrix 提供的 EMM 绑定令牌,您在配置 Android for Work 设置时需要使用该令牌。复制并保存该令牌;稍后的设置过程中需要使用该令牌。

    绑定令牌图

  6. 单击 Finish(完成)以完成 Android for Work 设置。此时将显示一个页面,指示您已成功验证您的域。

创建 Android for Work 服务帐户后,可以登录 Google 管理控制台管理您的移动性管理设置。

设置 Android for Work 服务帐户并下载 Android for Work 证书

要允许 XenMobile 联系 Google Play 和 Directory 服务,必须使用面向开发人员的 Google 项目门户创建新服务帐户。此服务帐户用于 XenMobile 与适用于 Android 的 Google 服务之间的服务器至服务器通信。有关使用的身份验证协议的详细信息,请访问 https://developers.google.com/identity/protocols/OAuth2ServiceAccount

  1. 在 Web 浏览器中,访问 https://console.cloud.google.com/project 并使用您的 Google 管理员凭据登录。

  2. Projects(项目)列表中,单击 Create Project(创建项目)。

    “Create Project”(创建项目)选项图

  3. Project name(项目名称)中,键入项目的名称。

    “Project name”(项目名称)选项图

  4. 在“Dashboard”(控制板)上,单击 Use Google APIs(使用 Google API)。

    “Use Google APIs”(使用 Google API)选项图

  5. 单击 Library(库),在 Search(搜索)中,键入 EMM,然后单击搜索结果。

    EMM 搜索选项图

  6. Overview(概览)页面上,单击 Enable(启用)。

    “Enable”(启用)选项图

  7. Google Play EMM API 旁边,单击 Go to Credentials(转至凭据)。

    “Go to Credentials”(转至凭据)选项图

  8. Add credentials to our project(向我们的项目中添加凭据)列表中,在步骤 1 中单击 service account(服务帐户)。

    “service account”(服务帐户)选项图

  9. Service Accounts(服务帐户)页面上,单击 Create Service Account(创建服务帐户)。

    “Create Service Account”(创建服务帐户)选项图

  10. Create service account(创建服务帐户)中,命名该帐户,然后选中 Furnish a new private key(提供新私钥)复选框。单击 P12,选中 Enable Google Apps Domain-wide Delegation(启用 Google Apps 域范围的委派)复选框,然后单击 Create(创建)。

    “Create service account”(创建服务帐户)选项图

    证书(P12 文件)将下载到您的计算机。请务必将该证书保存到一个安全的位置。

  11. Service account created(已创建服务帐户)确认屏幕上,单击 Close(关闭)。

    确认页面图

  12. Permissions(权限)中,单击 Service accounts(服务帐户),然后在您的服务帐户对应的 Options(选项)下方,单击 View Client ID(查看客户端 ID)。

    “View Client ID”(查看客户端 ID)选项图

  13. 此时将显示 Google 管理控制台上的帐户授权所需的详细信息。将 Client ID(客户端 ID)和 Service account(服务帐户)ID 复制到以后能够从中检索该信息的位置。需要提供此信息以及域名,才能发送给 Citrix 技术支持用于添加到白名单。

    帐户授权详细信息图

  14. Library(库)页面上,搜索 Admin SDK(管理 SDK),然后单击搜索结果。

    “Admin SDK”(管理 SDK)搜索图

  15. Overview(概览)页面上,单击 Enable(启用)。

    “Enable”(启用)按钮图

  16. 打开您的域对应的 Google 管理控制台,然后单击 Security(安全)。

    “Security”(安全)选项图

  17. Settings(设置)页面上,单击 Show more(显示更多),然后单击 Advanced settings(高级设置)。

    “Advanced settings”(高级设置)图

    “Advanced settings”(高级设置)图

  18. 单击 Manage API client Access(管理 API 客户端访问)。

    “Manage API client access”(管理 API 客户端访问)选项图

  19. Client Name(客户端名称)中,输入您之前保存的客户端 ID,在 One or More API Scopes(一个或多个 API 作用域)中,键入 https://www.googleapis.com/auth/admin.directory.user,然后单击 Authorize(授权)。

    “Client Name”(客户端名称)选项图

绑定到 EMM

必须先联系 Citrix 技术支持并提供您的域名、服务帐户和绑定令牌,才能使用 XenMobile 管理您的 Android 设备。Citrix 会将该令牌绑定到 XenMobile 作为企业移动性管理 (EMM) 提供程序。有关 Citrix 技术支持的联系信息,请参阅 Citrix 技术支持

  1. 要确认绑定,请登录 Google 管理门户,然后单击 Security(安全)。

  2. 单击 Manage EMM provider for Android(管理适用于 Android 的 EMM 提供程序)。

    您将看到自己的 Google Android for Work 帐户绑定到 Citrix,用作 EMM 提供程序。

    确认令牌绑定后,可以开始使用 XenMobile 控制台管理您的 Android 设备。导入在步骤 14 中生成的 P12 证书。设置 Android for Work 服务器设置,启用基于 SAML 的单点登录 (SSO),并至少定义一个 Android for Work 设备策略。

    “Manage EMM provider for Android”(管理适用于 Android 的 EMM 提供程序)选项图

导入 P12 证书

请按照以下步骤导入 Android for Work P12 证书:

  1. 登录 XenMobile 控制台。

  2. 单击控制台右上角的齿轮图标以打开设置页面,然后单击证书。此时将显示证书页面。

    “证书”页面图

  3. 单击导入。此时将显示导入对话框。

    “导入”对话框图

    配置以下设置:

    • 导入: 在列表中,单击密钥库
    • 密钥库类型: 在列表中,单击 PKCS#12
    • 用作: 在列表中,单击服务器
    • 密钥库文件: 单击浏览,然后导航到 P12 证书。
    • 密码: 键入密钥库密码。
    • 说明: (可选)键入证书的说明。
  4. 单击导入

设置 Android for Work 服务器设置

  1. 在 XenMobile 控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。

  2. 服务器下方,单击 Android for Work。此时将显示 Android for Work 页面。

    “Android for Work”页面图

    配置以下设置,然后单击保存

    • 域名: 键入您的 Android for Work 域名,例如 domain.com。
    • 域管理员帐户: 键入您的域管理员的用户名,例如,用于 Google 开发人员门户的电子邮件帐户。
    • 服务帐户 ID: 键入您的服务帐户 ID,例如,Google 服务帐户中关联的电子邮件 (serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com)。
    • 客户端 ID: 键入您的 Google 服务帐户的数字客户端 ID。
    • 启用 Android for Work: 选择启用或禁用 Android for Work。

启用基于 SAML 的单点登录

  1. 登录 XenMobile 控制台。

  2. 单击控制台右上角的齿轮图标。此时将显示设置页面。

  3. 单击证书。此时将显示证书页面。

    “证书”页面图

  4. 在证书列表中,单击 SAML 证书。

  5. 单击导出并将证书保存到您的计算机。

  6. 使用您的 Android for Work 管理员凭据登录 Google 管理门户。有关门户的访问权限,请参阅 Google 管理门户

  7. 单击 Security(安全)。

    “Security”(安全)选项图

  8. Security(安全)下方,单击 Set up single sign-on (SSO)(设置单点登录(SSO)),然后配置以下设置。

    SSO 设置图

    • Sign-in page URL(登录页面 URL): 键入用户登录您的系统和 Google Apps 使用的 URL。例如:https://<Xenmobile-FQDN>/aw/saml/signin
    • Sign out page URL(注销页面 URL): 键入用户注销时被定向到的 URL。例如:https://<Xenmobile-FQDN>/aw/saml/signout
    • Change password URL(更改密码 URL): 键入 URL 以允许用户更改其系统中的密码。例如:https://<Xenmobile-FQDN>/aw/saml/changepassword。如果定义了此字段,用户将看到此提示,即使 SSO 不可用时也是如此。
    • Verification certificate(验证证书): 单击 CHOOSE FILE(选择文件),然后导航到从 XenMobile 导出的 SAML 证书。
  9. 单击 SAVE CHANGES(保存更改)。

设置 Android for Work 设备策略

设置通行码策略,以便用户在首次注册时必须在其设备上创建通行码。

“Passcode policy”(通行码策略)页面图

设置任何设备策略的基本步骤如下。

  1. 登录 XenMobile 控制台。

  2. 单击配置,然后单击设备策略

  3. 单击添加,然后在添加新策略对话框中选择要添加的策略。在此示例中,请单击通行码

  4. 完成策略信息页面。

  5. 单击 Android for Work 并配置策略设置。

  6. 将策略分配到交付组。

支持的设备策略和 MDX 策略

下表显示了 Android for Work 容器支持的设备策略和 MDX 策略。有关设备策略和 MDX 策略的详细信息,请分别参阅设备策略和 MDX 策略概览

身份验证策略 支持 支持的值 注意
应用程序通行码 X 全部  
要求联机会话   仅设置为“关”  
最长脱机期限 X 全部  
备用 NetScaler Gateway   仅设置为空  
应用程序网络访问策略 支持 支持的值 注意
网络访问 X 全部  
证书标签   仅设置为空  
首选 VPN 模式下 X 全部  
允许 VPN 模式切换 X 全部  
PAC 文件 URL 或代理服务器 X 全部  
默认日志输出 X 全部  
默认日志级别 X 全部  
日志文件数上限 X 全部  
日志文件大小上限 X 全部  
重定向应用程序日志 X 全部  
加密日志 X 全部  
白名单 WiFi 网络   仅设置为空  
设备安全策略 支持 支持的值 注意
阻止越狱或获得 Root 权限 X 全部  
要求设备加密 X 全部  
需要设备锁定 X 全部  
网络要求策略 支持 支持的值 注意
需要 WiFi X  
其他访问策略 支持 支持的值 注意
应用程序更新宽限期(小时) X 全部  
锁定时擦除应用程序数据 X 全部  
活动轮询期限(分钟) X 全部  
加密策略 支持 支持的值 注意
加密密钥 X 允许脱机访问 通过 Android 企业策略受支持
私密文件加密 X 仅设置为“已禁用” 通过 Android 企业策略受支持
私密文件加密排除项 X 不适用(空) 通过 Android 企业策略受支持
公用文件的访问限制 X 不适用(空) 通过 Android 企业策略受支持
公用文件加密 X 仅设置为“已禁用” 通过 Android 企业策略受支持
公用文件加密排除项 X 不适用(空) 通过 Android 企业策略受支持
公用文件迁移 X 仅设置为“已禁用” 通过 Android 企业策略受支持
应用程序交互策略 支持 支持的值 注意        
安全组 X 通过 Android 企业策略受支持 剪切和复制 X 仅设置为“不限制” 通过 Android 企业策略受支持
粘贴 X 仅设置为“不限制” 通过 Android 企业策略受支持        
文档交换(打开方式) X 仅设置为“不限制” 通过 Android 企业策略受支持        
入站文档交换(打开方式) X 全部 通过 Android 企业策略受支持        
入站文档交换白名单 X 通过 Android 企业策略受支持        
受限制的打开方式例外列表 X 通过 Android 企业策略受支持        
应用程序限制策略 支持 支持的值 注意
阻止相机 X 仅设置为“开” 通过 Android 企业策略受支持
阻止库 X 仅设置为“开” 通过 Android 企业策略受支持
阻止建立 localhost 连接 X 全部  
阻止麦克风录音 X 仅设置为“关” 通过 Android 企业策略受支持
阻止定位服务 X 仅设置为“关” 通过 Android 企业策略受支持
阻止 SMS 撰写 X 仅设置为“关” 通过 Android 企业策略受支持
阻止屏幕捕获 X 仅设置为“关” 通过 Android 企业策略受支持
阻止设备传感器 X 全部  
阻止 NFC X 仅设置为“关” 通过 Android 企业策略受支持
阻止打印 X 全部  
阻止应用程序日志 X 全部  
应用程序地理围栏策略 支持 支持的值 注意
中心点经度 X 全部  
中心点纬度 X 全部  
半径 X 全部  

配置 Android for Work 帐户设置

您必须在 XenMobile 中设置 Android for Work 域和帐户信息,才能开始管理设备上的 Android 应用程序和策略。首先,请在 Google 上完成 Android for Work 设置任务以设置域管理员,并获取服务帐户 ID 和绑定令牌。

  1. 在 XenMobile Web 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 服务器下方,单击 Android for Work。此时将显示 Android for Work 配置页面。

“Android for Work”配置页面图

  1. Android for Work 页面上,配置以下设置:

    • 域名: 键入域名。
    • 域管理员帐户: 键入您的域管理员用户名。
    • 服务帐户 ID: 键入您的 Google 服务帐户 ID。
    • 客户端 ID: 键入您的 Google 服务帐户的客户端 ID。
    • 启用 Android for Work: 选择是否启用 Android for Work。
  2. 单击保存

为 XenMobile 设置 G Suite 合作伙伴访问权限

Chrome 的某些端点管理功能使用 Google 合作伙伴 API 在 XenMobile 与您的 G Suite 域之间进行通信。例如,XenMobile 要求对管理隐身模式和来宾模式等 Chrome 功能的设备策略使用 API。

要启用合作伙伴 API,请在 XenMobile 控制台中设置您的 G Suite 域,然后配置 G Suite 帐户。

在 XenMobile 中设置 G Suite 域

要允许 XenMobile 在您的 G Suite 域中与 API 进行通信,请转至设置 > Google Chrome 配置并配置设置。

Google Chrome 设置屏幕图

  • G Suite 域: 托管 XenMobile 所需的 API 的 G Suite 域。
  • G Suite 管理员帐户: G Suite 域的管理员帐户。
  • G Suite 客户端 ID: Citrix 的客户端 ID。请使用此值为您的 G Suite 域配置合作伙伴访问权限。
  • G Suite 企业 ID: 您的帐户的客户端 ID,从您的 Google 企业帐户填充。

启用对您的 G Suite 域中的设备和用户的合作伙伴访问权限

  1. 登录 Google 管理员控制台: https://admin.google.com

  2. 单击 Device Management(设备管理)。

    Google 管理员控制台示意图

  3. 单击 Chrome management(Chrome 管理)。

    Google 管理员控制台示意图

  4. 单击 User settings(用户设置)。

    Google 管理员控制台示意图

  5. 搜索 Chrome Management - Partner Access(Chrome 管理 - 合作伙伴访问权限)。

    Google 管理员控制台示意图

  6. 选中 Enable Chrome Management - Partner Access(启用 Chrome 管理 - 合作伙伴访问权限)复选框。

  7. 同意您理解并希望启用合作伙伴访问权限。单击保存

  8. 在 Chrome 管理页面中,单击 Device Settings(设备设置)。

    Google 管理员控制台示意图

  9. 搜索 Chrome Management - Partner Access(Chrome 管理 - 合作伙伴访问权限)。

    Google 管理员控制台示意图

  10. 选中 Enable Chrome Management - Partner Access(启用 Chrome 管理 - 合作伙伴访问权限)复选框。

  11. 同意您理解并希望启用合作伙伴访问权限。单击保存

  12. 转至 Security(安全)页面,然后单击 Advanced Settings(高级设置)。

    Google 管理员控制台示意图

  13. 单击 Manage API client Access(管理 API 客户端访问)。

  14. 在 XenMobile 控制台中,转至设置 > Google Chrome 配置并复制 G Suite 客户端 ID 的值。然后,返回到 Manage API client Access(管理 API 客户端访问)页面并将复制的值粘贴到 Client Name(客户端名称)字段中。

  15. One or More API Scopes(一个或多个 API 范围)中,添加 URL:https://www.googleapis.com/auth/chromedevicemanagementapi

    Google 管理员控制台示意图

  16. 单击 Authorize(授权)。

    此时将显示消息“Your settings have been saved”(已保存您的设置)。

“设备策略”配置屏幕图

注册 Android for Work 设备

如果您的设备注册过程要求用户输入用户名或用户 ID,接受的格式取决于将 XenMobile Server 配置为按用户主体名称 (UPN) 还是 SAM 帐户名称来搜索用户。

如果 XenMobile Server 配置为按 UPN 搜索用户,用户必须按以下格式输入 UPN:

  • 用户名@

如果 XenMobile Server 配置为按 SAM 搜索用户,用户必须按以下格式之一输入 SAM:

  • 用户名@
  • 域\用户名

要确定为您的 XenMobile Server 配置的用户名类型,请执行以下操作:

  1. 在 XenMobile Server 控制台中,单击右上角的齿轮图标。此时将显示设置页面。
  2. 单击 LDAP 以查看 LDAP 连接的配置。
  3. 在靠近页面底部的位置,查看用户搜索依据字段:

    • 如果设置为 userPrincipalName,XenMobile Server 将设置为按 UPN 搜索。
    • 如果设置为 sAMAccountName,XenMobile Server 将设置为按 SAM 搜索。

取消注册 Android for Work 企业

可以使用 XenMobile Server 控制台和 XenMobile Tools 取消注册 Android for Work 企业。

执行此任务时,XenMobile Server 将打开 XenMobile Tools 的弹出窗口。开始之前,请确保 XenMobile Server 有权在您使用的浏览器中打开弹出窗口。某些浏览器(例如 Google Chrome)要求禁用弹出窗口阻止功能并将 XenMobile 站点的地址添加到弹出窗口阻止白名单中。

警告:

取消注册企业后,通过其注册的设备上的 Android for Work 应用程序将重置到其默认状态。这些设备将不再由 Google 托管。如果未进一步进行配置,在 Android for Work 企业中重新注册这些设备可能不会恢复以前的功能。

取消注册 Android for Work 企业后:

  • 通过企业注册的设备和用户会将 Android for Work 应用程序重置到其默认状态。以前应用的“Android for Work 应用程序权限”和“Android for Work 应用程序限制”策略不再有效。
  • 通过企业注册的设备由 XenMobile 托管,但在 Google 看来未托管。无法添加任何新的 Android for Work 应用程序。无法应用任何“Android for Work 应用程序权限”或“Android for Work 应用程序限制”策略。仍然可以将其他策略(例如“计划”、“密码”和“限制”)应用于这些设备。
  • 如果尝试在 Android for Work 中注册设备,这些设备将注册为 Android 设备,而非 Android for Work 设备。

要取消注册 Android for Work 企业,请执行以下操作:

  1. 在 XenMobile 控制台中,单击右上角的齿轮图标。此时将显示“设置”页面。

  2. 在“设置”页面上,单击 Android for Work

  3. 单击删除企业

    “删除企业”选项图

  4. 指定一个密码。您在执行下一步骤时需要此密码才能完成取消注册操作。然后单击取消注册

    “取消注册”选项图

  5. “XenMobile Tools”页面打开时,请输入您在上一步骤中创建的密码。

    密码字段图

  6. 单击取消注册

    “取消注册”选项图

在 Android for Work 中预配工作托管设备模式

Android for Work 的工作托管设备模式仅适用于公司拥有的设备。XenMobile 在工作托管设备模式下支持这些注册方法:

  • afw#xenmobile: 如果使用此注册方法,用户在设置设备时将输入字符 afw#xenmobile。此令牌将设备标识为由 XenMobile 托管并下载 Secure Hub。
  • QR 代码: QR 代码预配是预配不支持 NFC 的分布式设备队列(例如平板电脑)的简便方式。可以在已恢复出厂设置的队列设备上使用 QR 代码注册方法。QR 代码注册方法通过扫描设置向导中的 QR 代码来设置并配置工作托管设备模式。
  • 近场通信 (NFC) 碰撞: 可以在已重置为出厂设置的队列设备上使用 NFC 碰撞注册方法。NFC 碰撞通过在两个设备之间使用近场通信来传输数据。蓝牙、Wi-Fi 和其他通信模式在恢复出厂设置的设备上处于禁用状态。NFC 是此状态下设备可以使用的唯一通信协议。

afw#xenmobile

此注册方法在打开新设备或恢复出厂设置的设备以便进行初始设置后使用。系统提示输入 Google 帐户时,用户输入 afw#xenmobile。此操作将下载并安装 Secure Hub。用户随后将按照 Secure Hub 设置提示进行操作,完成注册过程。

对于大多数客户,建议使用此注册方法,因为是从 Google Play 应用商店下载最新版本的 Secure Hub。与其他注册方法不同,您不用提供要从 XenMobile Server 下载的 Secure Hub。

必备条件:

  • 在运行 Android 5.0 及更高版本的所有 Android 设备上均受支持。

QR 代码

要使用 QR 代码在设备模式注册设备,请通过创建一个 JSON 并将该 JSON 转换为 QR 代码来生成 QR 代码。将使用设备相机扫描 QR 代码以注册设备。

必备条件:

  • 在运行 Android 7.0 及更高版本的所有 Android 设备上均受支持。

从 JSON 创建 QR 代码

创建包含以下字段的 JSON。

以下字段均为必填项:

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

值:com.zenprise/com.zenprise.configuration.AdminFunction

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

值:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

值:https://path/to/securehub.apk

注意:

如果将 Secure Hub 上载到 Citrix XenMobile Server 作为企业应用程序,则可以从 https://<fqdn>:4443/*instanceName*/worxhome.apk 下载该应用程序。Secure Hub APK 路径应该能够通过设备在预配期间连接到的 Wi-Fi 连接进行访问。

以下字段为选填字段:

  • android.app.extra.PROVISIONING_LOCALE: 输入语言和国家/地区代码。

    语言代码为包含两个小写字母的 ISO 语言代码(例如 en),如 ISO 639-1 所定义。国家/地区代码为包含两个大写字母的 ISO 国家/地区代码(例如 US),如 ISO 3166-1 所定义。例如,请输入 en_US 表示在美国所讲的英语。

  • android.app.extra.PROVISIONING_TIME_ZONE: 设备运行时所在的时区。

    请输入区域/位置形式的 Olson 名称。例如,America/Los_Angeles 表示太平洋时间。如果未输入,则将自动填充时区。

  • android.app.extra.PROVISIONING_LOCAL_TIME: 从 Epoch 开始经过的时间(毫秒)。

    Unix epoch(或 Unix 时间、POSIX 时间或 Unix 时间戳)是指从 1970 年 1 月 1 日(午夜,UTC/GMT)开始经过的秒数。该时间不包括闰秒(在 ISO 8601 中为:1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: 设置为 true 将在配置文件创建期间跳过加密。设置为 false 将在配置文件创建期间强制加密。

典型的 JSON 如下:

典型的 JSON 图

使用任意 JSON 验证工具(例如 https://jsonlint.com)验证创建的 JSON。然后使用任意联机 QR 代码生成器(例如 https://goqr.me)将该 JSON 字符串转换为 QR 代码。

恢复出厂设置的设备将扫描此 QR 代码以在工作托管设备模式下注册设备。

注册设备

要在工作托管设备模式下注册设备,该设备必须处于已恢复出厂设备状态。

  1. 在欢迎屏幕上轻按该屏幕六次以启动 QR 代码注册流程。
  2. 系统提示时,连接到 Wi-Fi。QR 代码(JSON 编码)中 Secure Hub 的下载位置可以通过此 Wi-Fi 网络访问。

    设备成功连接到 Wi-Fi 后,将从 Google 下载一个 QR 代码读取器并启动摄像头。

  3. 将摄像头对准 QR 代码以扫描该代码。

    Android 将从 QR 代码中的下载位置下载 Secure Hub,验证签名证书的签名,安装 Secure Hub 并将其设置为设备所有者。

有关详细信息,请参阅此面向 Android EMM 开发人员的 Google 指南:https://developers.google.com/android/work/prov-devices#qr_code_method

NFC 碰撞

要使用 NFC 碰撞在设备模式下注册设备,需要两个设备:一个已恢复出厂设置的设备,以及一个运行 XenMobile Provisioning Tool 的设备。

必备条件:

  • 在运行 Android 5.0、Android 5.1、Android 6.0 及更高版本的所有 Android 设备上均受支持。
  • 为 Android for Work 启用的 XenMobile Server 10.4。
  • 恢复出厂设置的设备,在工作托管设备模式下针对 Android for Work 预配。可以在本文中查找完成此必备条件的步骤。
  • 另一个设备具有 NFC 功能,运行已配置的 Provisioning Tool。Provisioning Tool 在 Secure Hub 10.4 或 Citrix 下载页面上提供。

每个设备只能配备一个 Android for Work 配置文件,通过企业移动性管理 (EMM) 应用程序管理。在 XenMobile 中,Secure Hub 为 EMM 应用程序。仅允许在每个设备上配备一个配置文件。尝试添加第二个 EMM 应用程序将删除第一个 EMM 应用程序。

可以在新设备上或还原为出厂设置的设备上启动工作托管设备模式。您将通过 XenMobile 管理整个设备。

通过 NFC 碰撞传输数据

预配恢复出厂设置的设备需要您通过 NFC 碰撞发送以下数据以初始化 Android for Work:

  • 要作为设备所有者(在此示例中为 Secure Hub)的 EMM 提供程序应用程序的包名称。
  • 设备可以从中下载 EMM 提供程序应用程序的 Intranet/Internet 位置。
  • 用于验证下载是否成功的 EMM 提供程序应用程序的 SHA1 哈希。
  • Wi-Fi 连接详细信息,以便恢复出厂设置的设备能够连接和下载 EMM 提供程序应用程序。注意:Android 现在不支持在此步骤中使用 802.1x Wi-Fi。
  • 设备的时区(可选)。
  • 设备的地理位置(可选)。

碰撞两个设备时,来自 Provisioning Tool 的数据将发送到恢复出厂设置的设备。该数据随后用于下载使用管理员设置的 Secure Hub。如果未输入时区和位置值,Android 将在新设备上自动配置值。

配置 XenMobile Provisioning Tool

执行 NFC 碰撞之前,必须配置 Provisioning Tool。此配置随后在 NFC 碰撞过程中被传输到恢复出厂设置的设备。

Provisioning Tool 配置图

可以将数据键入到必填字段中,或者通过文本文件进行填充。下一个过程中的步骤介绍了如何配置文本文件,并且包含每个字段的说明。键入后,该应用程序将不保存信息,因此,您可能希望创建一个文本文件以保留该信息供将来使用。

使用文本文件配置 Provisioning Tool

将文件命名为 nfcprovisioning.txt 并将其放置在设备的 SD 卡中的 /sdcard/ 文件夹下。该应用程序随后可以读取文本文件并填充值。

文本文件必须包含以下数据:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

此行为 EMM 提供程序应用程序的 Intranet/Internet 位置。恢复出厂设置的设备在进行 NFC 碰撞后连接到 Wi-Fi 之后,该设备必须有权访问此位置才能进行下载。该 URL 为常规 URL,不需要特殊格式。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>

此行是 EMM 提供程序应用程序的校验和。此校验和用于验证下载是否成功。本文中后面的内容介绍了获取校验和的步骤。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

此行是运行 Provisioning Tool 的设备的已连接 Wi-Fi SSID。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

支持的值为 WEP 和 WPA2。如果 Wi-Fi 未受保护,此字段必须留空。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

如果 Wi-Fi 未受保护,此字段必须留空。

android.app.extra.PROVISIONING_LOCALE=<locale>

输入语言和国家/地区代码。语言代码为包含两个小写字母的 ISO 语言代码(例如 en),如 ISO 639-1 所定义。国家/地区代码为包含两个大写字母的 ISO 国家/地区代码(例如 US),如 ISO 3166-1 所定义。例如,请键入 en_US 表示在美国所讲的英语。如果未输入任何代码,则会自动填充国家/地区和语言。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

设备运行时所在的时区。请键入区域/位置形式的 Olson 名称。例如,America/Los_Angeles 表示太平洋时间。如果未输入名称,则将自动填充时区。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

不需要此数据,因为值 Secure Hub 被硬编码到应用程序中。在本文中提及的目的只是为了保持完整性。

如果存在通过使用 WPA2 保护的 Wi-Fi,完整的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

如果存在不受保护的 Wi-Fi,完整的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

获取 Secure Hub 校验和

要获取任何应用程序的校验和,请添加该应用程序作为企业应用程序。

  1. 在 XenMobile 控制台中,转至配置 > 应用程序,然后单击添加

    此时将显示添加应用程序窗口。

  2. 单击企业

    此时将显示应用程序信息页面。

    “应用程序信息”页面图

  3. 选择以下配置并单击下一步

    此时将显示 Android for Work Enterprise App(Android for Work 企业应用程序)页面。

    “Android for Work Enterprise App”(Android for Work 企业应用程序)图

  4. 提供 .apk 的路径,然后单击下一步以上载文件。

    上载完成后,系统将显示上载的软件包的详细信息。

    文件上载页面图

  5. 单击下一步以打开下载 JSON 文件的页面,随后可以在该页面中上载到 Google Play。对于 Secure Hub,不需要上载到 Google Play,但需要 JSON 文件才能从中读取 SHA1 值。

    下载 JSON 文件页面图

    典型的 JSON 文件格式如下:

    典型的 JSON 文件图

  6. 复制 file_sha1_base64 值并在 Provisioning Tool 中的 Hash(哈希)字段中使用。

    注意: 该哈希必须是 URL 安全哈希。

    • 将任何 + 符号转换为 -
    • 将任何 / 符号转换为 _
    • 将尾随 \u003d 替换为 =

    如果您将哈希值存储在设备的 SD 卡上的 nfcprovisioning.txt 文件中,该应用程序将执行安全转换。但是,如果选择手动键入哈希值,您将负责确保其 URL 的安全性。

使用的库

Provisioning Tool 在其源代码中使用以下库:

  • Google 遵循 Apache License 2.0 提供的 v7 appcompat 库、Design Support Library 以及 v7 Palette 库

    有关信息,请参阅 Support Library Features Guide(支持库功能指南)。

  • Jake Wharton 遵循 Apache License 2.0 提供的 Butter Knife

在 Android for Work 中预配工作配置文件模式

Android for Work 的工作配置文件模式适用于安全地分隔了设备上的企业区域与个人区域的设备。例如,工作配置文件模式适用于 BYOD 设备。工作配置文件模式的注册体验与 XenMobile 中的 Android 注册体验相似。用户将从 Google Play 下载 Secure Hub 并注册其设备。

默认情况下,如果某个设备是在工作配置文件模式下在 Android for Work 中注册的,“USB 调试”和“未知来源”设置在该设备上将处于禁用状态。

提示:

在工作配置文件模式下在 Android for Work 中注册设备时,将始终转至 Google Play。在该应用商店中,允许 Secure Hub 在用户的个人配置文件中显示。