Citrix Endpoint Management

Android Enterprise

Android Enterprise 是一套由 Google 提供的作为 Android 设备的企业管理解决方案工具和服务。借助 Android Enterprise:

  • 您可以使用 Citrix Endpoint Management 来管理公司拥有和自带的设备 (BYOD) Android 设备。
  • 可以管理整个设备或设备上的单独配置文件。这一单独的配置文件将企业帐户、应用程序和数据与个人帐户、应用程序和数据隔离开来。
  • 还可以管理专用于单一用途的设备,例如库存管理。有关 Google 对 Android Enterprise 的功能的概述,请参阅 Android Enterprise 管理

资源:

  • 有关与 Android Enterprise 相关的术语和定义的列表,请参阅 Google Android Enterprise 开发人员指南文章 Android Enterprise terminology(Android Enterprise 术语)。Google 经常更新这些术语。

  • 有关 Citrix Endpoint Management 支持的 Android 操作系统列表,请参阅支持的设备操作系统

  • 有关为 Android Enterprise 设置网络环境时要考虑的出站连接的信息,请参阅 Google 支持文章 Android Enterprise Network Requirements(Android Enterprise 网络要求)。

  • 有关部署 Android Enterprise 的信息,请参阅部署资源)。

Android Enterprise 入门

重要:

设备管理模式不再受支持。如果您的用户的设备采用设备管理模式,则请参阅从设备管理迁移到 Android Enterprise。将设备迁移到 Android Enterprise 后,请按照以下步骤设置 Android Enterprise 设备。

入门路径

一次性设置

  1. 创建托管 Google Play 帐户。

    请参阅将托管的 Google Play 与 Citrix Endpoint Management 配合使用要求

  2. 将您的 Google Play 帐户绑定到 Citrix Endpoint Management。

    参见 将 Citrix Endpoint Management 连接到 Google Play

  3. 规划您希望管理设备的方式。

    请参阅设备部署方案和配置文件

  4. 规划用户设备的注册安全性。

    请参阅注册安全性

  5. 准备交付启用了 MDX 的应用程序。

    使用 MAM SDK 开发应用程序。或者,如果您尚未准备好过渡到新 SDK,请使用基于命令行的 MDX Toolkit 来封装应用程序。

    请参阅 MAM SDK 概述

此时,您已准备好使用应用程序和设备策略、注册配置文件以及应用程序来配置 Android Enterprise 设备。有关指导,请参阅以下部分。

配置设备

  1. 创建交付组。

    控制哪些用户获得哪些资源以及何时获得资源。请参阅部署资源

    我们停止向注册了Android Enterprise的设备交付针对旧版DA平台发布的应用程序。对于 Android Enterprise 设备,请发布适用于 Android Enterprise 平台的应用程序。要继续将旧版 DA 应用程序发布到 DA 模式下的设备,请为这些应用程序创建单独的交付组。请参阅弃用

  2. 添加应用程序。您可以直接从 Citrix Endpoint Management 控制台批准 Google Play 中的应用程序。

    请参阅 Google 支持文章 Manage apps in your organization(管理贵组织中的应用程序)。

  3. 创建注册配置文件。

    指定设备和应用程序管理注册选项。请参阅设备部署方案和配置文件创建注册配置文件

    • 将 Android Enterprise 公共应用商店应用程序部署给 Android 设备用户时,该用户将自动在 Android Enterprise 中注册。
    • 零接触注册允许您将设备配置为在首次开机时自动注册。请参阅零接触注册
  4. 配置设备和应用程序策略。

    在企业安全性与用户隐私和用户体验之间取得平衡。请参阅配置 Android Enterprise 设备和应用程序策略

  5. 分发 Apple 应用程序。

    使用托管 Google Play 可添加、购买和审批应用程序,以便部署到设备上的 Android Enterprise 工作区。用户只能安装您为其提供的托管 Google Play 中的应用。

    请参阅:

  6. 配置安全操作以监视和提供合规性。

    请参阅安全操作

使用托管的 Google Play 和 Citrix Endpoint Management

当您将 Citrix Endpoint Management 与托管 Google Play 集成以使用 Android Enterprise 时,您就创建了一个企业。Google 将企业定义为组织与企业移动管理 (EMM) 解决方案之间的绑定。组织通过您的解决方案管理的所有用户和设备都属于其企业。

适用于 Android Enterprise 的企业有三个组件:EMM 解决方案、设备策略控制器 (DPC) 应用程序和 Google 企业应用程序平台。当您将 Citrix Endpoint Management 与 Android Enterprise 集成时,完整的解决方案包含以下组件:

  • Citrix Endpoint Management: Citrix EMM。Citrix Endpoint Management 是用于安全数字工作区的统一的 Citrix Endpoint Management。Citrix Endpoint Management 为 IT 管理员提供了管理其组织设备和应用程序的方法。
  • Citrix Secure Hub: Citrix DPC 应用程序。Citrix Secure Hub 是 Citrix Endpoint Management 的启动板。Citrix Secure Hub 在设备上强制执行策略。
  • 托管 Google Play: 集成 Citrix Endpoint Management 的 Google 企业应用平台。Google Play EMM API 设置应用程序策略并分发应用程序。

下图显示了管理员如何与这些组件进行交互,以及组件之间如何交互:

Android Enterprise 工作流程

注意:

您可以使用托管 Google Play 或 Google Workspace(以前为 G Suite)将 Citrix 注册为 EMM 提供商。本文讨论了使用 Android Enterprise 与托管 Google Play。如果贵组织使用 Google Workspace 提供对应用程序的访问权限,您可以将其用于 Android Enterprise。请参阅适用于 Google Workspace 客户的旧版 Android Enterprise

当您使用托管 Google Play 时,请为设备和最终用户预配托管 Google Play 帐户。托管 Google Play 帐户提供对托管 Google play 的访问,以允许用户安装和使用您提供的应用程序。如果贵组织使用第三方身份服务,您可以将托管 Google Play 帐户与您的现有身份帐户链接。

由于这种类型的企业未绑定到域,因此,您可以为单个组织创建多个企业。例如,组织中的每个部门或区域都可以注册为不同的企业。使用不同的企业可以管理单独的设备和应用程序的集合。

对于 Citrix Endpoint Management 管理员来说,托管 Google Play 将 Google Play 的用户体验和应用商店功能与一组专为企业设计的管理功能相结合。使用托管 Google Play 可添加、购买和审批应用程序,以便部署到设备上的 Android Enterprise 工作区。可以使用 Google Play 部署您的公共应用程序、专用应用程序和第三方应用程序。

对于托管设备的用户,托管 Google Play 是企业应用商店。用户可以浏览应用程序、查看应用程序详细信息以及安装这些应用程序。与 Google Play 的公共版本不同,用户只能从您为其提供的托管 Google Play 安装应用程序。

设备部署方案和配置文件

设备部署方案是指谁拥有您所部署的设备以及如何管理这些设备。设备配置文件是指 DPC 如何在设备上管理和强制执行策略。

工作配置文件将企业帐户、应用程序和数据与个人帐户、应用程序和数据隔离开来。工作配置文件和个人配置文件在操作系统级别分隔。有关工作配置文件的更多详细信息,请参阅 什么是工作配置文件

重要:

当 Android Enterprise 设备更新到 Android 11 时,Google 将作为“使用工作配置文件的完全托管”进行托管的设备迁移到新的安全性增强的工作配置文件体验。新注册模式称为“企业拥有的设备上的工作配置文件”。有关详细信息,请参阅使用工作配置文件进行完全托管的 Android Enterprise 的未来更改。 有关 Android 12 设备的信息,请参阅工作配置文件的安全性和隐私增强功能

设备管理 用例 工作配置文件 个人资料 备注
公司拥有的设备(完全托管) 仅供工作使用的公司拥有的设备 仅适用于新设备或恢复出厂设置的设备。请参阅预配 Android Enterprise 完全托管设备
具有工作配置文件/企业拥有的设备上的工作配置文件的完全托管设备 供工作和个人使用的公司拥有的设备 是。两个 DPC 副本在这些设备上运行:一个在设备所有者模式下管理设备,另一个在配置文件所有者模式下管理工作配置文件。您可以将单独的策略应用到设备和工作配置文件。 请参阅预配具有工作配置文件或企业拥有的设备上的工作配置文件的 Android Enterprise 完全托管设备
专用设备* 为单个用例配置的公司拥有的设备,例如数字标牌或票证打印 请参阅预配专用 Android Enterprise 设备
BYOD 工作配置文件** 通过工作配置文件管理注册的个人设备(又称为配置文件所有者模式) 是。DPC 仅管理工作配置文件,不管理整个设备。 这些设备不需要是新设备或恢复出厂设置的设备。请参阅预配 Android Enterprise 工作配置文件设备

* 用户可以共享专用设备。当用户登录到专用设备上的应用程序时,其工作状态与应用程序一致,而非与设备一致。

** Citrix Endpoint Management 不像在 BYOD 工作配置模式下那样支持 Zebra 设备。Citrix Endpoint Management 支持 Zebra 设备作为使用 Android Enterprise 的完全托管设备。

注册安全性

注册配置文件确定 Android 设备在 MAM、MDM 还是 MDM+MAM 中注册,并提供供用户选择退出 MDM 的选项。

有关指定安全级别和所需注册步骤的信息,请参阅用户帐户、角色和注册

Citrix Endpoint Management 支持注册到 MDM 或 MDM+MAM 的 Android 设备使用以下身份验证方法。有关信息,请参阅以下文章:

一种很少使用的身份验证方法是客户端证书加上安全令牌。有关信息,请参阅 https://support.citrix.com/article/CTX215200

要求

在开始使用 Android Enterprise 之前,您需要:

  • 帐户和凭据:

    • 要通过托管 Google Play 设置 Android Enterprise,则需要企业 Google 帐户
    • 要下载最新的 MDX 文件,则需要 Citrix 客户帐户
  • Firebase Cloud Messaging (FCM) 和为 Citrix Endpoint Management 配置的连接调度设备策略。请参阅 Firebase Cloud Messaging连接计划设备策略

将 Citrix Endpoint Management 连接到 Google Play

要为贵组织设置 Android Enterprise,请通过托管 Google Play 将 Citrix 注册为 EMM 提供商。该设置将托管的 Google Play 连接到 Citrix Endpoint Management,并在 Citrix Endpoint Management 中为 Android Enterprise 创建了一个企业。

您需要一个企业 Google 帐户才能登录 Google Play。

  1. 在 Citrix Endpoint Management 控制台中,前往“设置”>“Android Enterprise”

  2. 单击连接。Google Play 将打开。

Android Enterprise 连接到 Google Play

  1. 使用您的企业 Google 帐户凭据登录 Google Play。输入贵组织的名称并确认 Citrix 是您的 EMM 提供商。

  2. 将为 Android Enterprise 添加企业 ID。要启用 Android Enterprise,请将启用 Android Enterprise 滑动到

    “启用 Android Enterprise”选项

您的企业 ID 显示在 Citrix Endpoint Management 控制台中。

Android Enterprise ID

您的环境已连接到 Google,可以管理设备。您现在可以为用户提供应用程序。

Citrix Endpoint Management 可以为用户提供 Citrix 移动生产力应用程序、MDX 应用程序、公共应用商店应用程序、网络和 SaaS 应用程序、企业应用程序和网络链接。有关向用户提供这些类型的应用程序的更多信息,请参阅 分发 Android Enterprise 应用程序

下面的部分介绍了如何提供移动生产力应用程序。

向 Android Enterprise 用户提供 Citrix 移动生产力应用程序

向 Android Enterprise 用户提供 Citrix 移动生产力应用程序需要以下步骤。

  1. 将应用程序发布为 MDX 应用程序。请参阅将应用程序配置为 MDX 应用程序

  2. 针对用户在设备上访问工作配置文件时使用的安全挑战配置规则。请参阅配置安全质询策略

您发布的应用程序可用于在 Android Enterprise 企业中注册的设备。

注意:

将 Android Enterprise 公共应用商店应用程序部署给 Android 用户时,该用户将自动在 Android Enterprise 中注册。

将应用程序配置为 MDX 应用程序

要将 Citrix 生产力应用程序配置为适用于 Android Enterprise 的 MDX 应用程序,请执行以下操作:

  1. 在 Citrix Endpoint Management 控制台中, 单击“配置”>“应用程序”。此时将显示应用程序页面。

    “应用程序配置”屏幕

  2. 单击添加。此时将显示添加应用程序对话框。

    “应用程序配置”屏幕

  3. 单击 MDX。此时将显示应用程序信息页面。

  4. 在页面左侧,选择 Android Enterprise 作为平台。

  5. 应用程序信息页面中,键入以下信息:

    • 名称: 键入应用程序的描述性名称。此名称将显示在应用程序表中的应用程序名称下。
    • 说明: 键入应用程序的可选说明。
    • 应用程序类别: (可选)在列表中单击要将应用程序添加到的类别。有关应用程序类别的详细信息,请参阅关于应用程序类别
  6. 单击下一步。此时将显示 Android Enterprise MDX 应用程序页面。

  7. 单击上载并导航到应用程序的 .mdx 文件的文件位置。选择该文件,然后单击打开

  8. UI 会通知您附加的应用程序是否需要从托管 Google Play 应用商店获得批准。要在不离开 Citrix Endpoint Management 控制台的情况下审批应用程序,请单击

    添加 MDX 应用程序

  9. 当托管 Google Play 应用商店页面打开时,单击批准

    审批 MDX 应用程序

  10. 再次单击 Approve(批准)。

  11. 选择 Keep approved when app requests new permissions(在应用程序请求新权限时保持已批准)。单击保存

    Google Play 审批设置

  12. 当应用程序获得批准并保存后,页面上会显示更多设置。配置以下设置:

    • 文件名: 键入与应用程序关联的文件名。
    • 应用程序说明: 键入应用程序的说明。
    • 产品轨迹: 指定要推送到用户设备的产品轨迹。如果您有一个专为测试而设计的轨迹,则可以选择并将其分配给您的用户。默认值为“生产”。
    • 应用程序版本: (可选)键入应用程序版本号。
    • 软件包 ID: Google Play 应用商店中的应用程序的 URL。
    • 最低操作系统版本: (可选)键入为了使用应用程序,设备可以运行的最低操作系统版本。
    • 最高操作系统版本: (可选)键入为了使用应用程序,设备必须运行的最新操作系统版本。
    • 排除的设备: (可选)键入不能运行应用程序的设备的制造商或型号。
  13. 配置 MDX 策略。有关 MDX 应用程序的应用程序策略的详细信息,请参阅 MDX 策略概览MAM SDK 概览

  14. 配置部署规则。有关信息,请参阅部署资源

  15. 展开应用商店配置。此设置不适用于仅出现在托管 Google Play 中的 Android Enterprise 应用程序。

    “应用程序配置”屏幕

    (可选)可以添加应用程序的常见问题解答或显示在应用商店中的屏幕截图。还可以设置用户是否可以对应用程序进行评分或评价。

    • 配置以下设置:
      • 应用程序常见问题解答: 添加应用程序的常见问题和答案。
      • 应用程序屏幕截图: 添加屏幕截图以帮助在应用商店中对应用程序进行分类。上载的图形必须为 PNG 格式。您无法上载 GIF 或 JPEG 图像。
      • 允许应用程序评级: 选择是否允许用户对应用程序进行评级。默认为“开”允许应用程序评论: 选择是否允许用户对所选应用程序发表评论。默认为“开”
  16. 单击下一步。此时将显示审批页面。

    “应用程序配置”屏幕

    创建用户帐户时如果需要审批则使用工作流。如果不想设置审批工作流,可以跳至步骤 15。

    要指定或创建工作流,请配置以下设置:

    • 要使用的工作流程: 单击下拉列表中的现有工作流程或单击创建新工作流程。默认值为
    • 如果选择创建新工作流,请配置以下设置。有关详细信息,请参阅创建和管理工作流
    • 名称: 键入工作流的唯一名称。
    • 说明: (可选)键入工作流的说明。
    • 电子邮件审批模板: 在列表中,选择要指定的电子邮件审批模板。单击此字段右侧的眼睛图标时,将显示一个对话框,您可以在此处预览模板。
    • 经理审批级别: 在列表中,选择此工作流所需的经理审批级别数。默认值为 1 级。可能的选项包括:
      • 不需要
      • 1 级
      • 2 级
      • 3 级
    • 选择 Active Directory 域: 在列表中,选择用于工作流的合适 Active Directory 域。
    • 查找所需的其他审批者: 在搜索字段中键入其他所需人员的姓名,然后单击搜索。名称源于 Active Directory。
    • 姓名显示在此字段中后,选中姓名旁边的复选框。姓名和电子邮件地址显示在选定的其他所需审批者列表中。
      • 要从选定的其他所需审批者列表中删除人员,请执行以下操作之一:
        • 单击搜索以查找选定域中的所有人员列表。
        • 在搜索框中键入完整姓名或部分姓名,然后单击搜索以限制搜索结果。
        • 在搜索结果列表中,选定的其他所需审批者列表中的人员姓名旁边有一个复选标记。滚动列表,并取消选中要删除的各个姓名旁边的复选框。
  17. 单击下一步。此时将显示交付组分配页面。

    “应用程序配置”屏幕

  18. 选择交付组旁边 ,键入以查找交付组或者在列表中选择一个或多个组。选择的组显示在用于接收应用程序分配的交付组列表中。

  19. 展开部署计划,然后配置以下设置:

    • 部署旁边,单击以计划部署,或单击以阻止部署。默认选项设置为
    • 在“部署计划”旁边,单击“现在”或“稍后”。默认选项设置为“现在”。
    • 如果单击以后,请单击日历图标,然后选择部署的日期和时间。
    • 在“部署条件”旁边,单击“打开每个连接”,或单击“仅在上一次部署失败时使用”。默认选项设置为每次连接时
    • 在“部署以实现始终开启的连接”旁边,确保选中“关闭”。默认选项设置为。对于开始使用版本 10.18.19 或更高版本的 Citrix Endpoint Management 的客户,Android Enterprise 不提供永远在线的连接。对于在 10.18.19 版本之前开始使用 Citrix Endpoint Management 的客户,我们不建议使用这些连接。

      当您在“设置”>“服务器属性”中配置了计划后台部署密钥时,此选项适用。

      配置的部署计划对所有平台相同。您所做的更改适用于所有平台,但为始终启用的连接部署除外。

  20. 单击保存

为每个移动生产力应用程序重复上述步骤。

配置安全质询策略

Citrix Endpoint Management Passcode 设备策略配置安全质询规则。当用户访问其设备或其设备上的 Android Enterprise 工作配置文件时,会出现这些质询。安全质询可能是通行码或生物特征识别。有关通行码策略的详细信息,请参阅通行码设备策略

  • 如果您的 Android Enterprise 部署包含 BYOD 设备,请为工作配置文件配置通行码策略。
  • 如果您的部署包括公司拥有的完全托管设备,请为设备本身配置通行码策略。
  • 如果您的部署包括两种类型的设备,请配置两种类型的通行码策略。

要配置通行码策略,请执行以下操作:

  1. 在 Citrix Endpoint Management 控制台中,转 到配置 > 设备策略

  2. 单击添加

  3. 单击显示过滤器以显示策略平台窗格。在策略平台窗格中,选择 Android Enterprise

  4. 单击右侧窗格上的通行码

密码安全选项

  1. 输入策略名称。单击下一步

    密码安全名称

  2. 配置通行码策略设置。
    • 需要设备通行码设置为,以查看设备本身的安全质询可用的设置。
    • 工作配置文件安全质询设置为,以查看可用于工作配置文件安全质询的设置。
  3. 单击下一步

  4. 将策略分配给一个或多个交付组。

  5. 单击保存

创建注册配置文件

注册配置文件控制您的 Citrix Endpoint Management 部署启用 Android Enterprise 时如何注册 Android 设备。创建注册配置文件以注册 Android Enterprise 设备时,可以配置注册配置文件以将新设备和重置为出厂设置的设备注册为:

  • 完全托管设备
  • 专用设备
  • 具有工作配置文件的完全托管设备/企业拥有的设备上的工作配置文件

还可以配置其中每个 Android Enterprise 注册配置文件以将 BYOD Android 设备注册为工作配置文件设备。

如果您的 Citrix Endpoint Management 部署启用了 Android Enterprise,则所有新注册或重新注册的 Android 设备都将注册为 Android Enterprise 设备。默认情况下,全局注册配置文件会将新的和恢复出厂设置的 Android 设备注册为完全托管设备,并将 BYOD Android 设备注册为企业拥有的设备上的工作配置文件。

创建注册配置文件时,需要为其分配交付组。如果用户属于具有不同注册配置文件的多个交付组,则交付组的名称决定所使用的注册配置文件。Citrix Endpoint Management 选择按字母顺序排列的交付组列表中最后出现的交付组。有关详细信息,请参阅注册配置文件

为完全托管设备添加注册配置文件

默认情况下,全局注册配置文件将注册完全托管设备,但您可以创建更多注册配置文件以注册完全托管设备。

  1. 在 Citrix Endpoint Management 控制台中,转 到配置 > 注册配置文件

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。

  3. 设置使用此配置文件的成员可以注册的设备数量。

  4. 平台下选择 Android,或者单击下一步。此时将显示“注册配置”页面。

  5. 管理设置为 Android Enterprise

  6. 设备所有者模式设置为公司拥有的设备

    “注册配置文件”配置屏幕

  7. BYOD 工作配置文件允许您配置注册配置文件以将 BYOD 设备注册为工作配置文件设备。将新设备和重置为出厂设置的设备注册为完全托管设备。将 BYOD 工作配置文件设置为,以允许将 BYOD 设备注册为工作配置文件设备。将 BYOD 工作配置文件设置为,以限制对完全托管设备的注册。默认值为

  8. 选择是否在 Citrix MAM 中注册设备。

  9. 如果将 BYOD 工作配置文件设置为,请配置用户同意书。要允许 BYOD 工作配置文件设备的用户在注册其设备时拒绝设备管理,请将允许用户拒绝设备管理设置为

    如果 BYOD 工作配置文件设置为,则允许用户拒绝设备管理的默认值为。如果 BYOD 工作配置文件设置为,则禁用允许用户拒绝设备管理

  10. 选择分配(选项)。此时将显示交付组分配屏幕。

  11. 选择由管理员注册完全托管设备的交付组。然后单击 Save(保存)。

    此时将显示“注册配置文件”页面,其中包含您添加的配置文件。

添加专用的注册配置文件

如果您的 Citrix Endpoint Management 部署包括专用设备,则单个 Citrix Endpoint Management 管理员或一小部分管理员会注册许多专用设备。为确保这些管理员可以注册所需的所有设备,请为他们创建注册配置文件,允许每个用户使用无限制的设备。

  1. 在 Citrix Endpoint Management 控制台中,转 到配置 > 注册配置文件

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。设置为无限制(使用此配置文件的成员可以注册的设备数量)。

  3. 平台下选择 Android,或者单击下一步。此时将显示“注册配置”页面。

  4. 管理设置为 Android Enterprise

  5. 设备所有者模式设置为专用设备

    “注册配置文件”页面

  6. BYOD 工作配置文件允许您配置注册配置文件以将 BYOD 设备注册为工作配置文件设备。将新设备和重置为出厂设置的设备注册为专用设备。将 BYOD 工作配置文件设置为,以允许将 BYOD 设备注册为工作配置文件设备。将 BYOD 工作配置文件设置为,以限制对公司拥有的设备的注册。默认值为

  7. 选择是否在 Citrix MAM 中注册设备。

  8. 如果将 BYOD 工作配置文件设置为,请配置用户同意书。要允许 BYOD 工作配置文件设备的用户在注册其设备时拒绝设备管理,请将允许用户拒绝设备管理设置为

    如果 BYOD 工作配置文件设置为,则允许用户拒绝设备管理的默认值为。如果 BYOD 工作配置文件设置为,则禁用允许用户拒绝设备管理

  9. 选择分配(选项)。此时将显示交付组分配屏幕。

  10. 选择一个或多个由管理员注册专用设备的交付组。然后单击 Save(保存)。

    此时将显示“注册配置文件”页面,其中包含您添加的配置文件。

为具有工作配置文件/企业拥有的设备上的工作配置文件的完全托管设备添加注册配置文件

  1. 在 Citrix Endpoint Management 控制台中,转 到配置 > 注册配置文件

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。

  3. 设置使用此配置文件的成员可以注册的设备数量。

  4. 平台下选择 Android,或者单击下一步。此时将显示“注册配置”页面。

  5. 管理设置为 Android Enterprise。将设备所有者模式设置为具有个人配置文件/企业拥有的设备上的工作配置文件的完全托管

    “注册配置文件”配置屏幕

  6. BYOD 工作配置文件允许您配置注册配置文件以将 BYOD 设备注册为工作配置文件设备。新设备和重置为出厂设备的设备注册为使用工作配置文件的完全托管设备。将 BYOD 工作配置文件设置为,以允许将 BYOD 设备注册为工作配置文件设备。将 BYOD 工作配置文件设置为,以限制对专用设备的注册。默认设置为

  7. 选择是否在 Citrix MAM 中注册设备。

  8. 如果将 BYOD 工作配置文件设置为,请配置用户同意书。要允许 BYOD 工作配置文件设备的用户在注册其设备时拒绝设备管理,请将允许用户拒绝设备管理设置为

    如果 BYOD 工作配置文件设置为,则允许用户拒绝设备管理的默认值为。如果 BYOD 工作配置文件设置为,则禁用允许用户拒绝设备管理

  9. 选择分配(选项)。此时将显示交付组分配屏幕。

  10. 选择一个或多个交付组,其管理员使用工作配置文件注册完全托管的设备。然后单击 Save(保存)。

    此时将显示“注册配置文件”页面,其中包含您添加的配置文件。

为旧版设备添加注册配置文件

Google 弃用了设备管理的设备管理员模式。Google 鼓励客户在设备所有者模式或配置文件所有者模式下管理所有 Android 设备。【请参阅 Google Android Enterprise 开发人员指南中的 Device admin deprecation(设备管理员弃用) 。】

要支持此更改,请执行以下操作:

  • Citrix 将 Android Enterprise 设置为 Android 设备的默认注册选项。
  • 如果您的 Citrix Endpoint Management 部署启用了 Android Enterprise,则所有新注册或重新注册的 Android 设备都将注册为 Android Enterprise 设备。

贵组织可能尚未准备好开始使用 Android Enterprise 管理旧版 Android 设备。在这种情况下,您可以继续在设备管理员模式下进行管理。对于已经在设备管理员模式下注册的设备,Citrix Endpoint Management 将继续以设备管理员模式对其进行管理。

为旧版设备创建注册配置文件,以允许新 Android 设备注册使用设备管理员模式。

要为旧版设备创建注册配置文件:

  1. 在 Citrix Endpoint Management 控制台中,转 到配置 > 注册配置文件

  2. 要添加注册配置文件,请单击添加。在“注册信息”页面中,键入注册配置文件的名称。

  3. 设置使用此配置文件的成员可以注册的设备数量。

  4. 平台下选择 Android,或者单击下一步。此时将显示“注册配置”页面。

  5. 管理设置为旧版设备管理(不推荐)。单击下一步

    “注册配置文件”配置屏幕

  6. 选择是否在 Citrix MAM 中注册设备。

  7. 要允许用户在注册其设备时拒绝设备管理,请将允许用户拒绝设备管理设置为。默认值为

  8. 选择分配(选项)。此时将显示交付组分配屏幕。

  9. 选择一个或多个由管理员注册专用设备的交付组。然后单击 Save(保存)。

此时将显示“注册配置文件”页面,其中包含您添加的配置文件。

要在设备管理员模式下继续管理旧版设备,请使用此配置文件注册或重新注册这些设备。您可以通过让用户下载 Citrix Secure Hub 并提供注册服务器 URL 来注册与工作资料设备相似的设备管理员设备。

预配 Android Enterprise 工作配置文件设备

Android Enterprise 工作配置文件设备在配置文件所有者模式下注册。这些设备不需要是新设备或恢复出厂设置的设备。BYOD 设备作为工作配置文件设备注册。注册体验与 Citrix Endpoint Management 中的 Android 注册体验类似。用户从 Google Play 下载 Citrix Secure Hub 并注册他们的设备。

默认情况下,当您在 Android Enterprise 中将设备注册为工作配置文件设备时,设备上的 USB 调试和未知来源设置将被禁用。

在 Android Enterprise 中将设备注册为工作配置文件设备时,将始终转至 Google Play。从那里,启用 Citrix Secure Hub 出现在用户的个人资料中。

预配 Android Enterprise 完全托管设备

可以在前面的部分中设置的部署中注册完全托管设备。完全托管设备是公司拥有的设备,在设备所有者模式下注册。在设备所有者模式下,只能注册新设备或恢复出厂设置的设备。

可以使用以下任何注册方法在设备所有者模式下注册设备:

  • DPC 标识符令牌: 如果使用此注册方法,用户在设置设备时将输入字符 afw#xenmobileafw#xenmobile 为 Citrix DPC 标识符令牌。此令牌将设备标识为由 Citrix Endpoint Management 管理,并从 Google Play 商店下载 Citrix Secure Hub。请参阅使用 Citrix DPC 标识符令牌注册设备
  • 近场通信 (NFC) 碰撞: NFC 碰撞注册方法通过在两个设备之间使用近场通信来传输数据。蓝牙、Wi-Fi 和其他通信模式在新设备或恢复出厂设置的设备上处于禁用状态。NFC 是此状态下设备可以使用的唯一通信协议。请参阅通过 NFC 碰撞注册设备
  • QR 代码: QR 代码注册可用于注册不支持 NFC 的分布式设备队列(例如平板电脑)。QR 代码注册方法通过扫描设置向导中的 QR 代码来设置并配置设备配置文件模式。请参阅使用 QR 代码注册设备
  • 零接触: 零接触注册允许您将设备配置为在首次开机时自动注册。某些运行 Android 9.0 或更高版本的 Android 设备支持零触摸注册。请参阅零接触注册
  • Google 帐户: 用户输入其 Google 帐户凭据以启动预配过程。此选项适用于使用 Google Workspace 的企业。

使用 Citrix DPC 标识符令牌注册设备

用户在打开新设备或恢复出厂重置的设备以进行初始设置后输入 Google 帐户时输入 afw#xenmobile。此操作会下载并安装 Citrix Secure Hub。然后,用户按照 Citrix Secure Hub 的设置提示完成注册。

系统要求

  • 在运行 Android OS 的所有 Android 设备上均受支持。

注册设备

  1. 打开新设备或恢复出厂设置的设备的电源。

  2. 初始设备设置加载并提示您输入 Google 帐户。如果设备加载设备的主屏幕,请检查通知栏中是否显示完成设置通知。

    设备设置登录提示

  3. 电子邮件或电话字段中输入 afw#xenmobile

    设备设置文本

  4. 在 Android Enterprise 屏幕上点击“安装”,提示安装 Citrix Secure Hub。

  5. 在 Citrix Secure Hub 安装程序 屏幕上点击“安装”。

  6. 对所有应用程序权限申请轻按允许

  7. 点击“接受并继续”以安装 Citrix Secure Hub 并允许其管理设备。

  8. Citrix Secure Hub 现已安装并显示在默认注册屏幕上。在此示例中,未设置自动发现。如果是,用户可以输入他们的用户名/电子邮件,然后可以为他们找到服务器。相反,请输入环境的注册 URL,然后轻按下一步

    Citrix Secure Hub 证书

  9. Citrix Endpoint Management 的默认配置允许用户选择使用 MAM 还是 MDM+MAM。如果以这种方式提示,请轻按是,注册以选择 MDM+MAM。

  10. 输入用户电子邮件地址和密码,然后轻按下一步

  11. 系统将提示用户配置设备通行码。轻按设置并输入通行码。

  12. 系统会提示用户配置工作配置文件解锁方法。在此示例中,轻按密码,轻按 PIN,然后输入 PIN。

  13. 该设备现在位于 Citrix Secure Hub 我的应用程序登录屏幕上。轻按从应用商店中添加应用程序

  14. 要添加 Citrix Secure Web,请点击 Citrix Secure Web

    Citrix Secure Hub 应用商店

  15. 轻按添加

    Citrix Secure Web 商店

  16. Citrix Secure Hub 引导用户前往 Google Play 应用商店安装 Citrix Secure Web。点按 安装

    Secure 应用程序安装

  17. 安装 Citrix Secure Web 后,点击“打开”。在地址栏中输入来自内部站点的 URL,并验证页面是否加载。

    Citrix Secure Web 测试

  18. 转到设备上的设置 > 帐户。注意无法修改托管帐户。用于共享屏幕或远程调试的开发人员选项也被阻止。

    帐户修改

通过 NFC 碰撞注册设备

要使用 NFC bumps 将设备注册为完全托管的设备,需要两台设备:一台重置为出厂设置,另一台运行 Citrix Endpoint Management Provisioning Tool。

系统要求和必备条件

  • 支持的 Android 设备。
  • 具有 NFC 功能的新设备或恢复出厂设置的设备,作为完全托管设备配置为 Android Enterprise。请参阅预配 Android Enterprise 完全托管设备中的相应部分。
  • 另一台具有 NFC 功能、运行配置的 Provisioning Tool 的设备。Provisioning Tool 可在 Citrix Secure Hub 或 Citrix 下载页面上找到。

每台设备只能有一个 Android Enterprise 配置文件。在这种情况下,该配置文件适用于托管的 Citrix Secure Hub。尝试添加第二个 DPC 应用程序会删除已安装的 Citrix Secure Hub。

通过 NFC 碰撞传输数据

配置恢复出厂设置的设备需要您通过 NFC bump 发送以下数据才能启动 Android Enterprise:

  • 充当设备所有者的 DPC 应用的软件包名称(在本例中为 Citrix Secure Hub)。
  • 设备可以从中下载 DPC 应用程序的 Intranet/Internet 位置。
  • 用于验证下载是否成功的 DPC 应用程序的 SHA-256 哈希值。
  • Wi-Fi 连接详细信息,以便恢复出厂设置的设备能够连接和下载 DPC 应用程序。注意:Android 现在不支持在此步骤中使用 802.1x Wi-Fi。
  • 设备的时区(可选)。
  • 设备的地理位置(可选)。

碰撞两个设备时,来自 Provisioning Tool 的数据将发送到恢复出厂设置的设备。然后,使用该数据下载具有管理员设置的 Citrix Secure Hub。如果未输入时区和位置值,Android 将在新设备上自动配置值。

配置 Citrix Endpoint Management Provisioning Tool

执行 NFC 碰撞之前,必须配置 Provisioning Tool。此配置随后在 NFC 碰撞过程中被传输到恢复出厂设置的设备。

Provisioning Tool 配置

可以将数据键入到必填字段中,或者使用文本文件进行填充。下一个过程中的步骤介绍了如何配置文本文件,并包含每个字段的说明。键入后,该应用程序将不保存信息,因此,您可能希望创建一个文本文件以保留该信息供将来使用。

使用文本文件配置 Provisioning Tool

将文件命名为 nfcprovisioning.txt 并将其放置在设备的 SD 卡中的 /sdcard/ 文件夹下。该应用程序随后可以读取文本文件并填充值。

文本文件必须包含以下数据:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

此行为 EMM 提供程序应用程序的 Intranet/Internet 位置。恢复出厂设置的设备在进行 NFC 碰撞后连接到 Wi-Fi 之后,该设备必须有权访问此位置才能进行下载。该 URL 为常规 URL,不需要特殊格式。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA-256 hash>

此行是 EMM 提供程序应用程序的校验和。此校验和用于验证下载是否成功。本文中后面的内容介绍了获取校验和的步骤。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

此行是运行 Provisioning Tool 的设备的已连接 Wi-Fi SSID。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

支持的值为 WEP 和 WPA2。如果 Wi-Fi 未受保护,此字段必须留空。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

如果 Wi-Fi 未受保护,此字段必须留空。

android.app.extra.PROVISIONING_LOCALE=<locale>

输入语言和国家/地区代码。语言代码为包含两个小写字母的 ISO 语言代码(例如 en),如 ISO 639-1 所定义。国家/地区代码为包含两个大写字母的 ISO 国家/地区代码(例如 US),如 ISO 3166-1 所定义。例如,请键入 en_US 表示在美国所讲的英语。如果未输入任何代码,则会自动填充国家/地区和语言。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

设备运行时所在的时区。键入区域/位置的数据库名称。例如,键入 America/Los_Angeles 表示太平洋时间。如果未键入名称,时区将自动填充。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

这些数据不是必需的,因为该值以 Citrix Secure Hub 的形式硬编码到应用程序中。在本文中提及的目的只是为了保持完整性。

如果使用 WPA2 保护 Wi-Fi,则完整的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

如果有未受保护的 Wi-Fi,则已完成的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

获取 Citrix Secure Hub 的校验和

Citrix Secure Hub 的校验和是一个常量值:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM。要下载 Citrix Secure Hub 的 APK 文件,请使用以下 Google Play 商店链接:https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

获取应用程序校验和

必备条件:

  • 来自 Android SDK Build Tools 的 apksigner 工具
  • OpenSSL 命令行

要获取任何应用程序的校验和,请按照下列步骤进行操作:

  1. 从 Google Play 应用商店下载应用程序的 APK 文件。
  2. 在 OpenSSL 命令行中,导航到 apksigner 工具:android-sdk/build-tools/<version>/apksigner 并键入以下内容:

    apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
    <!--NeedCopy-->
    

    该命令返回有效的校验和。

  3. 要生成 QR 码,请在 PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM 字段中输入校验和。例如:
{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}
<!--NeedCopy-->

使用的库

Provisioning Tool 在其源代码中使用以下库:

  • Google 遵循 Apache License 2.0 提供的 v7 appcompat 库、Design Support 库以及 v7 Palette Support 库

    有关信息,请参阅 Support Library Features Guide(支持库功能指南)。

  • Jake Wharton 遵循 Apache License 2.0 提供的 Butter Knife

使用 QR 代码注册设备

用户可以使用您为完全托管设备生成的 QR 代码注册这些设备。

系统要求

运行 Android 7.0 或更高版本的 Android 设备。

创建 QR 代码

您根据需要通过指定注册信息生成 QR 代码。生成 QR 代码后,请在本地保存 QR 代码。Citrix Endpoint Management 不存储它。

Android Enterprise QR 代码生成器

  1. 导航到 Settings(设置)> Android Enterprise QR Code(Android Enterprise QR 代码)
  2. 如果需要,请指定以下注册信息:
    • 服务器 FQDN: 键入 Citrix Endpoint Management 服务器的 FQDN(例如 example.cem.cloud.com)。此字段为可选字段。如果将其留空,用户必须在注册时填写此信息。
    • 用户名: 键入用于注册的用户名。如果您计划将 QR 代码分发给多个用户,我们建议将此字段留空。使用用户名和密码配置 QR 代码对注册 Kiosk 设备非常有用。如果将该字段留空,用户必须在注册时填充此信息。
    • 密码: 键入与键入的用户名关联的密码。如果将该字段留空,用户必须在注册时填充此信息。
    • 跳过加密: 如果 启,则在注册期间设备未加密。默认值为
    • 启用所有系统应用程序: 如果 启,则允许访问设备上的所有系统应用程序。默认值为
    • 跳过用户同意: 如果 关闭,用户可以选择退出设备管理。默认值为

    JSON output(JSON 输出)框显示与指定的信息对应的 JSON 内容。

  3. 要添加更多注册信息,请编辑 JSON output(JSON 输出)框中的 JSON 内容。
  4. 点击 生成 QR 码。QR 码出现在 JSON 输出的右侧。
  5. 右键单击 QR 代码图像并保存。
  6. 将该图像发送给用户以便进行设备注册。

恢复出厂设置的设备会扫描此 QR 码以注册为完全托管的设备。

注册设备

打开新设备或恢复出厂设置的设备的电源后:

  1. 在欢迎屏幕上轻按该屏幕六次以启动 QR 代码注册流程。
  2. 系统提示时,连接到 Wi-Fi。QR 代码中 Citrix Secure Hub 的下载位置可通过此 Wi-Fi 网络进行访问。

    设备成功连接到 Wi-Fi 后,将从 Google 下载一个 QR 代码读取器并启动摄像头。

  3. 将摄像头对准 QR 代码以扫描该代码。

    Android 系统从 QR 代码中的下载位置下载 Citrix Secure Hub,验证签名证书签名,安装 Citrix Secure Hub,并将其设置为设备所有者。

有关详细信息,请参阅此面向 Android EMM 开发人员的 Google 指南:https://developers.google.com/android/work/prov-devices#qr_code_method

零接触注册

零接触注册允许您将设备设置为在首次开机时将其自身配置为完全托管的设备。

您的设备经销商在 Android 零触摸门户网站上为您创建一个帐户,这是一个可让您将配置应用到设备的联机工具。使用 Android 零接触门户,创建一个或多个零接触注册配置,并将配置应用于分配给您帐户的设备。当您的用户启动这些设备时,这些设备会自动注册到 Citrix Endpoint Management 中。分配给设备的配置定义了其自动注册过程。

系统要求

  • 对零触摸注册的支持自 Android 9.0 开始。

您的经销商提供的设备和帐户信息

  • 符合零触摸注册条件的设备可从企业经销商或 Google 合作伙伴处购买。有关 Android Enterprise 零触摸合作伙伴的列表,请参阅 Android website(Android Web 站点)。

  • 由您的经销商创建的 Android Enterprise 零触摸门户帐户。

  • Android Enterprise 零触摸门户帐户登录信息,由您的经销商提供。

创建零触摸配置

创建零触摸配置时,请包含一个自定义 JSON 以指定配置的详细信息。

使用此 JSON 将设备配置为在您指定的 Citrix Endpoint Management 服务器上注册。在本示例中,将服务器的 URL 替换为“URL”。

      {
          "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
        {
              "serverURL":"URL"
         }
      }
<!--NeedCopy-->

可以使用具有更多参数的可选 JSON 来进一步自定义您的配置。此示例指定了 Citrix Endpoint Management 服务器以及使用此配置的设备用于登录服务器的用户名和密码。

     {
        "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
          {
              "serverURL":"URL",
              "xm_username":"username",
              "xm_password":"password"
          }
            }
  <!--NeedCopy-->

重要:

要在企业拥有的设备上的工作配置文件模式下注册设备,请将 {"desiredProvisioningMode": "managedProfile"} 添加到 PROVISIONING_ADMIN_EXTRAS_BUNDLE 下的自定义 JSON。

  1. 转至 Android 零触摸门户,网址为 https://partner.android.com/zerotouch。使用您的零触摸设备经销商提供的帐户信息登录。

  2. 单击 配置零触摸门户

  3. 单击配置表上方的 +零触摸门户

  4. 在显示的配置窗口中输入您的配置信息。 零触摸门户
    • 配置名称: 键入您为此配置选择的名称。
    • EMM DPC: 选择 Citrix Secure Hub
    • DPC 附加程序: 在此字段中粘贴您的自定义 JSON 文本。
    • 公司名称: 键入您希望在设备预配过程中在 Android Enterprise 零触摸设备上显示的名称。
    • 支持电子邮件地址: 键入用户可以联系以寻求帮助的电子邮件地址。此地址会在设备预配之前显示在 Android Enterprise 零触摸设备上。
    • 支持电话号码: 键入您的用户可以联系以寻求帮助的电话号码。设备预配之前,此电话号码会显示在 Android Enterprise 零触摸设备上。
    • 自定义消息: (可选)添加一个或两个句子,以帮助您的用户与您联系,或者为其提供有关其设备发生的情况的更多详细信息。此自定义消息会在设备预配之前显示在 Android Enterprise 零触摸设备上。
  5. 单击添加

  6. 要创建更多配置,请重复步骤 2 到 4。

  7. 要将配置应用到设备,请执行以下操作:

    1. 在 Android 零触摸门户中,单击设备

    2. 在设备列表中找到设备,然后选择要向其分配的配置。 零触摸门户

    3. 单击更新

可以使用 CSV 文件将配置应用到许多设备。

有关如何将配置应用于多台设备的信息,请参阅 IT 管理员零接触注册。此 Android Enterprise 主题提供了有关如何管理配置并将其应用于设备的更多信息。

预配专用 Android Enterprise 设备

专用 Android Enterprise 设备属于完全托管设备,专门用于满足单个用例。您将这些设备限制为执行此用例所需任务所需的一个应用程序或一小部分应用程序。您还可以阻止用户启用其他应用程序或在设备上执行其他操作。

使用用于其他完全托管设备的任何注册方法注册专用设备,如预配 Android Enterprise 完全托管设备。预配专用设备需要在注册之前进行更多设置。

要预配专用设备,请执行以下操作:

  • 为 Citrix Endpoint Management 管理员添加注册配置文件,允许您在 Citrix Endpoint Management 部署中注册专用设备。请参阅创建注册配置文件
  • 要使专用设备能够访问应用程序,请将其添加到允许列表中。
  • 或者,将允许运行的应用程序设置为允许锁定任务模式。当某个应用程序处于锁定任务模式时,用户打开时该应用程序将固定到设备屏幕。此时将不显示任何主页按钮,并且返回按钮处于禁用状态。用户使用编程到该应用程序中的一项操作退出该应用程序,例如注销。
  • 在您添加的注册配置文件中注册每个设备。

系统要求

  • 对注册专用设备的支持自 Android 6.0 起启用。

允许运行应用程序并设置锁定任务模式

展台设备策略允许您允许运行应用程序以及设置锁定任务模式。默认情况下,Citrix Secure Hub 和 Google Play 服务在允许列表中。

要添加展台策略,请执行以下操作:

  1. 在 Citrix Endpoint Management 控制台中, 单击“配置”>“设备策略”。此时将显示设备策略页面。

  2. 单击添加。此时将显示添加新策略对话框。

  3. 展开更多,然后在“安全性”下,单击展台。此时将显示展台策略页面。

  4. 在“平台”下,选择 Android Enterprise。清除其他平台。

  5. 在“策略信息”窗格中,键入策略名称和可选说明

  6. 单击下一步,然后单击添加

  7. 要允许运行某个应用程序并允许或拒绝该应用程序的锁定任务模式,请执行以下操作:

    从列表中选择要允许运行的应用程序。

    选择允许可设置要在用户启动应用程序时固定到设备屏幕的应用程序。选择拒绝可设置不固定的应用程序。默认设置为允许

    “设备策略”配置屏幕

  8. 单击保存

  9. 要允许运行另一个应用程序并允许或拒绝该应用程序的锁定任务模式,请单击添加

  10. 配置部署规则并选择交付组。有关详细信息,请参阅设备策略

预配具有工作配置文件或企业拥有的设备上的工作配置文件的 Android Enterprise 完全托管设备

运行 Android 9.0-10.x 的设备注册为“具有工作配置文件的完全托管”。自 Android 11+ 起,设备注册为“企业拥有的设备上的工作配置文件”。所有这些设备都是公司拥有的设备,用于工作和个人目的。贵组织负责管理整个设备。可以将一组策略应用到设备,另一组策略应用到工作配置文件。

在 Citrix Endpoint Management 控制台中,带有工作资料的完全托管设备会显示以下术语:

  • 设备所有权为“企业”。

  • 设备 Android Enterprise 安装类型为“企业所有者但由个人使用”。

系统要求

  • 支持注册具有工作配置文件的完全托管设备从 Android 9.0 开始。

注册设备

新设备和重置为出厂设备的设备注册为使用工作配置文件的完全托管设备。这些设备使用用于其他完全托管设备的任何注册方法,如预配 Android Enterprise 完全托管设备中所述。运行 Android 11 的设备可以使用 QR 代码或该部分中所述的零触摸注册注册方法在企业拥有的设备上的工作配置文件模式下注册。

重要:

使用 QR 代码方法在企业拥有的设备上的工作配置文件模式下注册设备时,请将以下内容添加到 serverURL 字段上方的 JSON 输出中: "desiredProvisioningMode": "managedProfile",

示例 QR 代码

非新设备或恢复出厂设置的设备将注册为工作配置文件设备,如预配 Android Enterprise 工作配置文件设备中所述。

在 Citrix Endpoint Management 控制台中查看 Android Enterprise 设备

要查看 Android Enterprise 完全托管设备、专用设备和使用工作配置文件的完全托管设备,请执行以下操作:

  1. 在 Citrix Endpoint Management 控制台中,转 管理 > 设备。

  2. 添加 启用Android Enterprise 的设备? 列,方法是单击表格右边缘的菜单。 Android Enterprise 设备列表

  3. 要查看可用的安全操作,请选择完全托管设备,然后单击安全。当设备处于完全托管状态时,“完全擦除”操作可用,但 选择性擦除 不可用。该差别是因为设备仅允许来自托管 Google Play 应用商店的应用程序。用户无法选择从公共商店安装应用程序。贵组织负责管理设备上的所有内容。

    安全操作

配置 Android Enterprise 设备和应用程序策略

有关在设备和应用程序级别控制的策略的概述,请参阅 Android Enterprise 支持的设备策略和 MDX 策略

关于策略需要了解以下内容:

  • 设备限制: 数十种设备限制允许您控制以下功能:

    • 使用设备摄像头
    • 在工作配置文件与个人配置文件之间使用复制和粘贴
  • PerApp VPN: 使用“托管配置”设备策略为 Android Enterprise 配置 VPN 配置文件。

  • 电子邮件策略: 我们建议使用“托管配置”设备策略来配置应用程序。

设备策略

下表列出了适用于 Android Enterprise 设备的所有设备策略。

重要:

对于在 Android Enterprise 中注册并使用 MDX 应用程序的设备:可以通过 MDX 和 Android Enterprise 控制某些设置。对 MDX 使用限制性最低的策略设置,并通过 Android Enterprise 控制策略。

  应用程序权限 应用程序清单 应用程序卸载
  自动更新托管应用程序 连接计划 凭据
  自定义 XML Citrix Endpoint Management 选项 文件
  键盘锁管理 Kiosk Launcher 配置
  位置 托管配置 网络
  操作系统更新 通行码 限制

适用于具有工作配置文件的完全托管设备的设备策略(COPE 设备)

对于具有工作配置文件的完全托管设备,可以使用某些设备策略将单独的设置应用到整个设备和工作配置文件。可以使用其他设备策略将设置仅应用到整个设备或仅应用到具有工作配置文件的完全托管设备的工作配置文件。对于在企业拥有的设备上的工作配置文件模式下注册的设备,策略仅适用于工作配置文件,不适用于整个设备。

策略 适用对象
应用程序权限 工作配置文件
应用程序清单 工作配置文件
应用程序卸载 工作配置文件
自动更新托管应用程序 工作配置文件
连接计划 工作配置文件
凭据 工作配置文件
自定义 XML 不适用
Citrix Endpoint Management 选项 工作配置文件
文件 工作配置文件
键盘锁管理 设备和工作配置文件
Kiosk 不适用
Launcher 配置 设备和工作配置文件
位置 设备(仅限定位模式)
托管配置 工作配置文件
网络 设备
操作系统更新 不适用
通行码 设备和工作配置文件
限制 设备和工作配置文件(为设备和工作配置文件创建单独的策略)
VPN 不适用

另请参阅 Android Enterprise 支持的设备策略和 MDX 策略MAM SDK 概述

安全操作

Android Enterprise 支持以下安全操作。有关每个安全操作的说明,请参阅安全操作

安全操作 工作配置文件 完全托管
证书续订
完全擦除 是(选择性擦除后)
查找
锁定
锁定并重置密码
通知(响铃)
吊销
选择性擦除

安全操作说明

  • 除非“位置”设备策略将设备的位置模式设置为高精度电池节能,否则定位安全操作将失败。请参阅位置设备策略

  • 在运行 Android 9.0 之前版本的 Android 的工作配置文件设备上:

    • 不支持锁定和重置密码操作。
  • 在 Android 9.0 或更高版本的工作配置文件设备上:

    • 发送的密码将锁定工作配置文件。设备本身不锁定。
    • 如果未在工作配置文件上设置通行码:
      • 如果未发送通行码或发送的通行码不符合通行码要求:设备处于锁定状态。
    • 如果在工作配置文件上设置了通行码:
      • 如果未发送通行码,或者发送的通行码不符合通行码要求:工作配置文件将锁定,但设备本身不锁定。

取消注册 Android Enterprise 企业

如果您不想再使用 Android Enterprise 企业,则可以取消注册该企业。

警告:

取消注册企业后,通过其注册的设备上的 Android Enterprise 应用程序将重置为其默认状态。Google 不再管理设备。如果您注册到新的 Android Enterprise 企业,则必须从托管 Google Play 审批新组织的应用程序。然后,您可以从 Citrix Endpoint Management 控制台更新应用程序。

取消注册 Android Enterprise 企业后:

  • 通过企业注册的设备和用户会将 Android Enterprise 应用程序重置到其默认状态。之前应用的托管配置策略不再影响操作。
  • Citrix Endpoint Management 管理通过企业注册的设备。从 Google 角度来看,这些设备是非托管设备。您不能添加新的 Android Enterprise 应用程序。您无法应用托管配置策略。可以将其他策略(例如“计划”、“密码”和“限制”)应用到这些设备。
  • 如果您尝试在 Android Enterprise 中注册设备,则这些设备将注册为 Android 设备,而不是 Android Enterprise 设备。

使用 Citrix Endpoint Management 服务器控制台和 Citrix Endpoint Management 工具取消 Android Enterprise 企业的注册。

当您执行此任务时,Citrix Endpoint Management 会打开一个工具弹出窗口。在开始之前,请确保您的浏览器有权打开弹出窗口。某些浏览器,例如 Google Chrome,要求您禁用弹出窗口拦截功能,并将 Citrix Endpoint Management 站点的地址添加到弹出式允许列表中。

要取消注册 Android Enterprise 企业,请执行以下操作:

  1. 在 Citrix Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示“设置”页面。

  2. 在“设置”页面上,单击 Android Enterprise

  3. 单击取消注册

    取消注册选项