Citrix Endpoint Management

适用于 Google Workspace(以前称为 G Suite)客户的旧版 Android Enterprise

Google Workspace 客户必须使用旧版 Android Enterprise 设置来配置旧版 Android Enterprise。Google 最近将 G Suite 重命名为 Google Workspace。

如果您的组织已使用 Google Workspace 向用户提供对 Google 应用的访问权限,则可以使用 Google Workspace 将 Citrix 注册为 EMM。如果您的组织使用 Google Workspace,则该组织拥有现有的企业 ID 和现有的用户 Google 帐户。要将 Citrix Endpoint Management 与 Google Workspace 配合使用,您需要与您的 LDAP 目录同步,并使用 Google Directory API 从 Google 检索 Google 帐户信息。由于这种类型的企业绑定到现有域,因此,每个域只能创建一个企业。要在 Citrix Endpoint Management 中注册设备,每位用户都必须使用其现有 Google 帐户手动登录。除了您的 Google Workspace 套餐提供的任何其他 Google 服务之外,该帐户还允许他们访问托管的 Google Play。

旧版 Android Enterprise 的要求:

  • 可公开访问的域
  • Google 管理员帐户
  • 具有托管配置文件支持的 Android 设备
  • 安装了 Google Play 的 Google 帐户
  • 用户设备上设置的工作配置文件

要开始配置旧版 Android Enterprise,请在 Citrix Endpoint Management 设置的 Android Enterprise 页面中单击旧版 Android Enterprise

“旧版 Android Enterprise”选项

创建 Android Enterprise 帐户

要设置 Android Enterprise 帐户,必须向 Google 验证您的域名。

如果已向 Google 验证您的域名,可以跳至此步骤:设置 Android Enterprise 服务帐户并下载 Android Enterprise 证书

  1. 导航到 https://gsuite.google.com/signup/basic/welcome

    此时将显示以下页面,您可以在此页面中键入管理员和公司信息。

    帐户设置页面

  2. 键入管理员用户信息。

    管理员用户信息

  3. 键入您的公司信息(管理员帐户信息除外)。

    公司信息屏幕

    此过程中的第一个步骤已完成,请继续查看下面的页面。

    验证页面

验证域所有权

允许 Google 通过以下方式之一验证您的域:

  • 将 TXT 或 CNAME 记录添加到域主机的 Web 站点。
  • 向域的 Web 服务器上载 HTML 文件。
  • 向您的主页添加 <meta> 标记。Google 建议使用第一种方法。本文不包含验证域所有权的步骤,但您可以从以下网址找到所需的信息:https://support.google.com/a/answer/6248925
  1. 单击 Start(开始)开始验证您的域。

    此时将显示 Verify domain ownership(验证域所有权)页面。请按照此页面上显示的说明验证您的域。

  2. 单击 Verify(验证)。

    “验证”按钮

    “验证”确认

  3. Google 验证您的域所有权。

    域所有权验证

  4. 成功验证后,将显示以下页面。单击继续

    成功确认页面

  5. Google 创建一个需要向 Citrix 提供的 EMM 绑定令牌,您在配置 Android Enterprise 设置时需要使用该令牌。复制并保存该令牌;稍后的设置过程中需要使用该令牌。

    绑定令牌

  6. 单击 Finish(完成)以完成 Android Enterprise 设置。此时将显示一个页面,指示您已成功验证您的域。

创建 Android Enterprise 服务帐户后,可以登录 Google 管理控制台管理您的移动性管理设置。

设置 Android Enterprise 服务帐户并下载 Android Enterprise 证书

要允许 Citrix Endpoint Management 联系 Google Play 和目录服务,您必须使用面向开发者的 Google 项目门户网站创建一个服务帐户。此服务帐户用于 Citrix Endpoint Management 与适用于 Android 的 Google 服务之间的服务器间通信。有关使用的身份验证协议的详细信息,请访问 https://developers.google.com/identity/protocols/OAuth2ServiceAccount

  1. 在 Web 浏览器中,访问 https://console.cloud.google.com/project 并使用您的 Google 管理员凭据登录

  2. 在“项目”列表中,单击“创建项目”。

    “Create Project”(创建项目)选项

  3. Project name(项目名称)中,键入项目的名称。

    “Project name”(项目名称)选项

  4. 在“Dashboard”(控制板)上,单击 Use Google APIs(使用 Google API)。

    “Use Google APIs”(使用 Google API)选项

  5. 单击 Library(库),在 Search(搜索)中,键入 EMM,然后单击搜索结果。

    EMM 搜索选项

  6. Overview(概览)页面上,单击 Enable(启用)。

    “启用”选项

  7. Google Play EMM API 旁边,单击 Go to Credentials(转至凭据)。

    “Go to Credentials”(转至凭据)选项

  8. Add credentials to our project(向我们的项目中添加凭据)列表中,在步骤 1 中单击 service account(服务帐户)。

    服务帐户选项

  9. Service Accounts(服务帐户)页面上,单击 Create Service Account(创建服务帐户)。

    “Create Service Account”(创建服务帐户)选项

  10. Create service account(创建服务帐户)中,命名该帐户,然后选中 Furnish a new private key(提供新私钥)复选框。单击 P12,选中“启用 Google Apps 全域委托”复选框,然后单击“创建”。

    “Create service account”(创建服务帐户)选项

    证书(P12 文件)将下载到您的计算机。请务必将该证书保存到一个安全的位置。

  11. Service account created(已创建服务帐户)确认屏幕上,单击 Close(关闭)。

    确认页面

  12. Permissions(权限)中,单击 Service accounts(服务帐户),然后在您的服务帐户对应的 Options(选项)下方,单击 View Client ID(查看客户端 ID)。

    “View Client ID”(查看客户端 ID)选项

  13. 此时将显示 Google 管理控制台上的帐户授权所需的详细信息。将 Client ID(客户端 ID)和 Service account(服务帐户)ID 复制到以后能够从中检索该信息的位置。需要提供此信息以及域名,才能发送给 Citrix 技术支持以添加到允许列表。

    帐户授权详细信息

  14. Library(库)页面上,搜索 Admin SDK(管理 SDK),然后单击搜索结果。

    “Admin SDK”(管理 SDK)搜索

  15. Overview(概览)页面上,单击 Enable(启用)。

    “Enable”(启用)按钮

  16. 打开您的域对应的 Google 管理控制台,然后单击 Security(安全)。

    “安全”选项

  17. Settings(设置)页面上,单击 Show more(显示更多),然后单击 Advanced settings(高级设置)。

    高级设置

    高级设置

  18. 单击 Manage API client Access(管理 API 客户端访问)。

    “Manage API client access”(管理 API 客户端访问)选项

  19. Client Name(客户端名称)中,输入您之前保存的客户端 ID,在 One or More API Scopes(一个或多个 API 作用域)中,键入 https://www.googleapis.com/auth/admin.directory.user,然后单击 Authorize(授权)。

    “Client Name”(客户端名称)选项

绑定到 EMM

在使用 Citrix Endpoint Management 管理您的 Android 设备之前,您必须联系 Citrix 技术支持并提供您的域名、服务帐户和绑定令牌。Citrix 将令牌绑定到作为您的企业移动管理 (EMM) 提供商的 Citrix Endpoint Management。有关 Citrix 技术支持的联系信息,请参阅 Citrix 技术支持

  1. 要确认绑定,请登录 Google 管理门户,然后单击 Security(安全)。

  2. 单击 Manage EMM provider for Android(管理适用于 Android 的 EMM 提供程序)。

    您将看到自己的 Google Android Enterprise 帐户绑定到 Citrix,用作 EMM 提供程序。

    确认令牌绑定后,您可以开始使用 Citrix Endpoint Management 控制台来管理您的 Android 设备。导入在步骤 14 中生成的 P12 证书。设置 Android Enterprise 服务器设置,启用基于 SAML 的单点登录 (SSO),并至少定义一个 Android Enterprise 设备策略。

    “Manage EMM provider for Android”(管理适用于 Android 的 EMM 提供程序)选项

导入 P12 证书

请按照以下步骤导入 Android Enterprise P12 证书:

  1. 在 Citrix Endpoint Management 控制台中,单击主机右上角的齿轮图标打开“设置”页面,然后单击“证书”。此时将显示证书页面。

    “证书”页面

  2. 单击导入。此时将显示导入对话框。

    “导入”对话框

    配置以下设置:

    • 导入: 在下拉列表中单击密钥库
    • 密钥库类型: 在下拉列表中单击 PKCS #12
    • 用作: 在下拉列表中单击“服务器”。
    • 密钥库文件: 单击浏览,然后导航到 P12 证书。
    • 密码: 键入证书密码。此密码是您在设置 Android Enterprise 帐户时创建的私钥密码。
    • 说明: (可选)键入证书的说明。
  3. 单击导入

设置 Android Enterprise 服务器设置

  1. 在 Citrix Endpoint Management 控制台中,单击主机右上角的齿轮图标。此时将显示设置页面。

  2. 平台下,单击 Android Enterprise。此时将显示 Android Enterprise 页面。

    Android Enterprise 页面

    配置以下设置,然后单击 保存

    • 域名: 键入您的 Android Enterprise 域名,例如 domain.com。
    • 域管理员帐户: 键入您的域管理员的用户名,例如,用于 Google 开发人员门户的电子邮件帐户。
    • 服务帐户 ID: 键入您的服务帐户 ID,例如,Google 服务帐户中关联的电子邮件 (serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com)。
    • 客户端 ID: 键入您的 Google 服务帐户的数字客户端 ID。
    • 启用 Android Enterprise: 选择启用或禁用 Android Enterprise。

启用基于 SAML 的单点登录

  1. 在 Citrix Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 单击证书。此时将显示证书页面。

    “证书”页面

  3. 在证书列表中,单击 SAML 证书。

  4. 单击导出并将证书保存到您的计算机。

  5. 使用您的 Android Enterprise 管理员凭据登录 Google 管理门户。有关门户的访问权限,请参阅 Google 管理门户

  6. 单击 Security(安全)。

    “安全”选项

  7. Security(安全)下方,单击 Set up single sign-on (SSO)(设置单点登录(SSO)),然后配置以下设置。

    SSO 设置

    • Sign-in page URL(登录页面 URL): 键入用户登录您的系统和 Google Apps 使用的 URL。例如:https://<Xenmobile-FQDN>/aw/saml/signin
    • Sign out page URL(注销页面 URL): 键入用户注销时被定向到的 URL。例如:https://<Xenmobile-FQDN>/aw/saml/signout
    • Change password URL(更改密码 URL): 键入 URL 以允许用户更改其系统中的密码。例如:https://<Xenmobile-FQDN>/aw/saml/changepassword。如果定义了此字段,则即使 SSO 不可用,用户也会看到此提示。
    • 验证证书: 单击“选择文件”,然后导航到从 Citrix Endpoint Management 导出的 SAML 证书。
  8. 单击 SAVE CHANGES(保存更改)。

设置 Android Enterprise 设备策略

设置通行码策略,以便用户在首次注册时必须在其设备上创建通行码。

“Passcode policy”(通行码策略)页面

设置任何设备策略的基本步骤如下。

  1. 在 Citrix Endpoint Management 控制台中,单击“配置”,然后单击“设备策略”。

  2. 单击添加

  3. 在“添加新策略”对话框中,选择要添加的策略。在此示例中,请单击通行码

  4. 完成策略信息页面。

  5. 单击 Android Enterprise 并配置策略设置。

  6. 将策略分配到交付组。

配置 Android Enterprise 帐户设置

在开始在设备上管理 Android 应用程序和策略之前,必须在 Citrix Endpoint Management 中设置 Android Enterprise 域和帐户信息。首先,请在 Google 上完成 Android Enterprise 设置任务以设置域管理员,并获取服务帐户 ID 和绑定令牌。

  1. 在 Citrix Endpoint Management Web 控制台中,单击右上角的齿轮图标。此时将显示设置页面。

  2. 平台下,单击 Android Enterprise。此时将显示 Android Enterprise 配置页面。

“Android Enterprise 配置”页面

  1. Android Enterprise 页面上,配置以下设置:

    • 域名: 键入域名。
    • 域管理员帐户: 键入您的域管理员用户名。
    • 服务帐户 ID: 键入您的 Google 服务帐户 ID。
    • 客户端 ID: 键入您的 Google 服务帐户的客户端 ID。
    • 启用 Android Enterprise: 选择是否启用 Android Enterprise。
  2. 单击保存

为 Citrix Endpoint Management 设置 Google Workspace 合作伙伴访问权限

Chrome 的某些 Citrix Endpoint Management 功能使用 Google 合作伙伴 API 在 Citrix Endpoint Management 与您的 Google Workspace 域之间进行通信。例如,Citrix Endpoint Management 需要设备策略的 API 来管理隐身模式和访客模式等 Chrome 功能。

要启用合作伙伴 API,您需要在 Citrix Endpoint Management 控制台中设置您的 Google Workspace 域名,然后配置您的 Google Workspace 帐户。

在 Citrix Endpoint Management 中设置您的 Google Workspace 域名

要启用 Citrix Endpoint Management 与您的 Google Workspace 域中的 API 通信,请转至设置 > Google Chrome 配置并配置设置。

  • Google Workspace 域名: 托管 Citrix Endpoint Management 所需的 API 的 Google Workspace 域。
  • Google Workspace 管理员帐户: 您的 Google Workspace 域的管理员帐户。
  • Google Workspace 客户端 ID: Citrix 的客户端 ID。请使用此值为您的 Google Workspace 域配置合作伙伴访问权限。
  • Google Workspace 企业 ID: 您帐户的企业 ID,由您的 Google Enterprise 帐户填写。

启用对您的 Google Workspace 域中的设备和用户的合作伙伴访问权限

  1. 登录 Google 管理控制台: https://admin.google.com

  2. 单击 Device Management(设备管理)。

    Google 管理员控制台

  3. 单击 Chrome management(Chrome 管理)。

    Google 管理员控制台

  4. 单击 User settings(用户设置)。

    Google 管理员控制台

  5. 搜索 Chrome Management - Partner Access(Chrome 管理 - 合作伙伴访问权限)。

    Google 管理员控制台

  6. 选中 Enable Chrome Management - Partner Access(启用 Chrome 管理 - 合作伙伴访问权限)复选框。

  7. 同意您理解并希望启用合作伙伴访问权限。单击保存

  8. 在 Chrome 管理页面中,单击 Device Settings(设备设置)。

    Google 管理员控制台

  9. 搜索 Chrome Management - Partner Access(Chrome 管理 - 合作伙伴访问权限)。

    Google 管理员控制台

  10. 选中 Enable Chrome Management - Partner Access(启用 Chrome 管理 - 合作伙伴访问权限)复选框。

  11. 同意您理解并希望启用合作伙伴访问权限。单击保存

  12. 转至 Security(安全)页面,然后单击 Advanced Settings(高级设置)。

    Google 管理员控制台

  13. 单击 Manage API client Access(管理 API 客户端访问)。

  14. 在 Citrix Endpoint Management 控制台中,转至设置 > Google Chrome 配置并复制 G Suite 客户端 ID 的值。然后,返回到 Manage API client Access(管理 API 客户端访问)页面并将复制的值粘贴到 Client Name(客户端名称)字段中。

  15. One or More API Scopes(一个或多个 API 范围)中,添加 URL:https://www.googleapis.com/auth/chromedevicemanagementapi

    Google 管理员控制台

  16. 单击 Authorize(授权)。

    此时将显示消息“Your settings have been saved”(已保存您的设置)。

注册 Android Enterprise 设备

如果您的设备注册流程要求用户输入用户名或用户 ID,则接受的格式将取决于 Citrix Endpoint Management 服务器如何配置为按用户主体名称 (UPN) 或 SAM 帐户名搜索用户。

如果将 Citrix Endpoint Management 服务器配置为通过 UPN 搜索用户,则用户必须按以下格式输入 UPN:

  • 用户名@

如果将 Citrix Endpoint Management 服务器配置为按 SAM 搜索用户,则用户必须输入以下格式之一的 SAM:

  • 用户名@
  • 域\用户名

要确定您的 Citrix Endpoint Management 服务器配置为哪种类型的用户名,请执行以下操作:

  1. 在 Citrix Endpoint Management 服务器控制台中,单击右上角的齿轮图标。此时将显示设置页面。
  2. 单击 LDAP 以查看 LDAP 连接的配置。
  3. 在靠近页面底部的位置,查看用户搜索依据字段:

    • 如果将其设置为 userPrincipalName,则 Citrix Endpoint Management 服务器将设置为 UPN。
    • 如果将其设置为 sAMAccountName,则 Citrix Endpoint Management 服务器将设置为 SAM。

取消注册 Android Enterprise 企业

您可以使用 Citrix Endpoint Management 服务器控制台和 Citrix Endpoint Management 工具取消 Android Enterprise 企业版的注册。

当您执行此任务时,Citrix Endpoint Management 服务器会为 Citrix Endpoint Management Tools 打开一个弹出窗口。在开始之前,请确保 Citrix Endpoint Management 服务器有权在您使用的浏览器中打开弹出窗口。某些浏览器,例如 Google Chrome,要求您禁用弹出窗口拦截功能,并将 Citrix Endpoint Management 站点的地址添加到弹出式允许列表中。

警告:

取消注册企业后,通过其注册的设备上的 Android Enterprise 应用程序将重置到其默认状态。这些设备不再由 Google 管理。如果没有进一步配置,将它们重新注册到 Android Enterprise 企业中可能无法恢复以前的功能。

取消注册 Android Enterprise 企业后:

  • 通过企业注册的设备和用户会将 Android Enterprise 应用程序重置到其默认状态。之前应用的应用程序权限和托管配置策略不再有效果。
  • 通过企业注册的设备由 Citrix Endpoint Management 管理,但从 Google 的角度来看,这些设备不受管理。无法添加任何新的 Android Enterprise 应用程序。不能应用应用程序权限或托管配置策略。仍然可以将其他策略(例如“计划”、“密码”和“限制”)应用于这些设备。
  • 如果您尝试在 Android Enterprise 中注册设备,则这些设备将注册为 Android 设备,而不是 Android Enterprise 设备。

要取消注册 Android Enterprise 企业,请执行以下操作:

  1. 在 Citrix Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示“设置”页面。

  2. 在“设置”页面上,单击 Android Enterprise

  3. 单击删除企业

    “删除企业”选项

  4. 指定一个密码。您在执行下一步骤时需要此密码才能完成取消注册操作。然后单击取消注册

    “取消注册”选项

  5. 当 Citrix Endpoint Management Tools 页面打开时,输入您在上一步中创建的密码。

    密码字段

  6. 单击取消注册

    “取消注册”选项

在 Android Enterprise 中预配完全托管设备

只有公司拥有的设备可以是 Android Enterprise 中的完全托管设备。在完全托管设备上,整个设备(而不仅仅是工作配置文件)由公司或组织控制。完全托管设备也称为工作托管设备。

Citrix Endpoint Management 支持以下完全托管设备的注册方法:

  • afw#xenmobile: 如果使用此注册方法,用户在设置设备时将输入字符 afw#xenmobile。此令牌将设备标识为由 Citrix Endpoint Management 管理并下载 Citrix Secure Hub。
  • QR 代码: QR 代码预配是预配不支持 NFC 的分布式设备队列(例如平板电脑)的简便方式。可以在已恢复出厂设置的队列设备上使用 QR 代码注册方法。QR 代码注册方法通过扫描设置向导中的 QR 代码来设置并配置完全托管设备。
  • 近场通信 (NFC) 碰撞: 可以在已重置为出厂设置的队列设备上使用 NFC 碰撞注册方法。NFC 碰撞通过在两个设备之间使用近场通信来传输数据。蓝牙、Wi-Fi 和其他通信模式在恢复出厂设置的设备上处于禁用状态。NFC 是此状态下设备可以使用的唯一通信协议。

afw#xenmobile

此注册方法在打开新设备或恢复出厂设置的设备以便进行初始设置后使用。系统提示输入 Google 帐户时,用户输入 afw#xenmobile。此操作会下载并安装 Citrix Secure Hub。然后,用户按照 Citrix Secure Hub 的设置提示完成注册。

建议大多数客户使用这种注册方法,因为最新版本的 Citrix Secure Hub 是从 Google Play 商店下载的。与其他注册方法不同,您不提供 Citrix Secure Hub 供从 Citrix Endpoint Management 服务器下载。

必备条件:

  • 在运行 Android OS 的所有 Android 设备上均受支持。

QR 代码

要使用 QR 代码在设备模式注册设备,请通过创建一个 JSON 并将该 JSON 转换为 QR 代码来生成 QR 代码。将使用设备相机扫描 QR 代码以注册设备。

必备条件:

  • 在运行 Android 7.0 及更高版本的所有 Android 设备上均受支持。

从 JSON 创建 QR 代码

创建包含以下字段的 JSON。

以下字段均为必填项:

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

值:com.zenprise/com.zenprise.configuration.AdminFunction

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM

值:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM

键:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION

值:https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

以下字段为选填字段:

  • android.app.extra.PROVISIONING_LOCALE: 输入语言和国家/地区代码。

    语言代码为包含两个小写字母的 ISO 语言代码(例如 en),如 ISO 639-1 所定义。国家/地区代码为包含两个大写字母的 ISO 国家/地区代码(例如 US),如 ISO 3166-1 所定义。例如,请输入 en_US 表示在美国所讲的英语。

  • android.app.extra.PROVISIONING_TIME_ZONE: 设备运行时所在的时区。

    键入区域/位置的数据库名称。例如,键入 America/Los_Angeles 表示太平洋时间。如果未键入名称,时区将自动填充。

  • android.app.extra.PROVISIONING_LOCAL_TIME: 从 Epoch 开始经过的时间(毫秒)。

    Unix epoch(或 Unix 时间、POSIX 时间或 Unix 时间戳)是指从 1970 年 1 月 1 日(午夜,UTC/GMT)开始经过的秒数。该时间不包括闰秒(在 ISO 8601 中为:1970-01-01T00:00:00Z)。

  • android.app.extra.PROVISIONING_SKIP_ENCRYPTION: 设置为 true 将在配置文件创建期间跳过加密。设置为 false 将在配置文件创建期间强制加密。

典型的 JSON 如下:

典型的 JSON 文件

使用任意 JSON 验证工具(例如 https://jsonlint.com)验证创建的 JSON。然后使用任意联机 QR 代码生成器将该 JSON 字符串转换为 QR 代码。

恢复出厂设置的设备将扫描此 QR 代码以将设备注册为完全托管设备。

注册设备

要将设备注册为完全托管设备,该设备必须处于已恢复出厂设置状态。

  1. 在欢迎屏幕上轻按该屏幕六次以启动 QR 代码注册流程。
  2. 系统提示时,连接到 Wi-Fi。可以通过此 Wi-Fi 网络访问二维码(以 JSON 编码)中的 Citrix Secure Hub 的下载位置。

    设备成功连接到 Wi-Fi 后,将从 Google 下载一个 QR 代码读取器并启动摄像头。

  3. 将摄像头对准 QR 代码以扫描该代码。

    Android 从 QR 代码中的下载位置下载 Citrix Secure Hub,验证签名证书签名,安装 Citrix Secure Hub 并将其设置为设备所有者。

有关使用 QR 码方法预配设备的更多信息,请参阅面向 Android EMM 开发人员的 Google API 文档

NFC 碰撞

要使用 NFC bumps 将设备注册为完全托管的设备,需要两台设备:一台重置为出厂设置,另一台运行 Citrix Endpoint Management Provisioning Tool。

必备条件:

  • 支持的 Android 设备
  • 已为 Android Enterprise 启用 Citrix Endpoint Management
  • 新的或恢复出厂设置的设备,为 Android Enterprise 预配为完全托管设备。可以在本文中查找完成此必备条件的步骤。
  • 另一个设备具有 NFC 功能,运行已配置的 Provisioning Tool。Provisioning Tool 可在 Citrix Secure Hub 或 Citrix 下载页面上找到。

每台设备只能有一个 Android Enterprise 配置文件,由企业移动管理 (EMM) 应用管理。在 Citrix Endpoint Management 中,Citrix Secure Hub 是 EMM 应用程序。每台设备上只允许使用一个配置文件。尝试添加第二个 EMM 应用程序会删除第一个 EMM 应用程序。

通过 NFC 碰撞传输数据

预配恢复出厂设置的设备需要您通过 NFC 碰撞发送以下数据以初始化 Android Enterprise:

  • 充当设备所有者的 EMM 提供商应用的软件包名称(在本例中为 Citrix Secure Hub)。
  • 设备可以从中下载 EMM 提供程序应用程序的 Intranet/Internet 位置。
  • EMM 提供商应用程序的 SHA-256 哈希值,以验证下载是否成功。
  • Wi-Fi 连接详细信息,以便恢复出厂设置的设备能够连接和下载 EMM 提供程序应用程序。注意:Android 现在不支持在此步骤中使用 802.1x Wi-Fi。
  • 设备的时区(可选)。
  • 设备的地理位置(可选)。

碰撞两个设备时,来自 Provisioning Tool 的数据将发送到恢复出厂设置的设备。然后,使用该数据下载具有管理员设置的 Citrix Secure Hub。如果未输入时区和位置值,Android 将在新设备上自动配置值。

配置 Citrix Endpoint Management Provisioning Tool

执行 NFC 碰撞之前,必须配置 Provisioning Tool。此配置随后在 NFC 碰撞过程中被传输到恢复出厂设置的设备。

Provisioning Tool 配置

您可以在必填字段中键入数据,也可以通过文本文件填充数据。下一个过程中的步骤描述了如何配置文本文件并对每个字段进行了描述。键入后,该应用程序将不保存信息,因此,您可能希望创建一个文本文件以保留该信息供将来使用。

使用文本文件配置 Provisioning Tool

将文件命名为 nfcprovisioning.txt,然后将该文件放在设备 SD 卡上的 /sdcard/ 文件夹中。该应用程序随后可以读取文本文件并填充值。

文本文件必须包含以下数据:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>

此行为 EMM 提供程序应用程序的 Intranet/Internet 位置。恢复出厂设置的设备在进行 NFC 碰撞后连接到 Wi-Fi 之后,该设备必须有权访问此位置才能进行下载。该 URL 为常规 URL,不需要特殊格式。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA-256 hash>

此行是 EMM 提供程序应用程序的校验和。此校验和用于验证下载是否成功。本文中后面的内容介绍了获取校验和的步骤。

android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>

此行是运行 Provisioning Tool 的设备的已连接 Wi-Fi SSID。

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>

支持的值为 WEP 和 WPA2。如果 Wi-Fi 未受保护,此字段必须留空。

android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>

如果 Wi-Fi 未受保护,此字段必须留空。

android.app.extra.PROVISIONING_LOCALE=<locale>

输入语言和国家/地区代码。语言代码为包含两个小写字母的 ISO 语言代码(例如 en),如 ISO 639-1 所定义。国家/地区代码为包含两个大写字母的 ISO 国家/地区代码(例如 US),如 ISO 3166-1 所定义。例如,请键入 en_US 表示在美国所讲的英语。如果未输入任何代码,则会自动填充国家/地区和语言。

android.app.extra.PROVISIONING_TIME_ZONE=<timezone>

设备运行时所在的时区。键入区域/位置的数据库名称。例如,键入 America/Los_Angeles 表示太平洋时间。如果未键入名称,时区将自动填充。

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>

这些数据不是必需的,因为该值以 Citrix Secure Hub 的形式硬编码到应用程序中。在本文中提及的目的只是为了保持完整性。

如果存在通过使用 WPA2 保护的 Wi-Fi,完整的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name

android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2

android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

如果存在不受保护的 Wi-Fi,完整的 nfcprovisioning.txt 文件可能如下所示:

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk

android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d

android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name

android.app.extra.PROVISIONING_LOCALE=en_US

android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles

获取 Citrix Secure Hub 的校验和

Citrix Secure Hub 的校验和是一个常量值:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM。要下载 Citrix Secure Hub 的 APK 文件,请使用以下 Google Play 商店链接:https://play.google.com/managed/downloadManagingApp?identifier=xenmobile

获取应用程序校验和

必备条件:

  • 来自 Android SDK Build Tools 的 apksigner 工具
  • OpenSSL 命令行

要获取任何应用程序的校验和,请按照下列步骤进行操作:

  1. 从 Google Play 应用商店下载应用程序的 APK 文件。
  2. 在 OpenSSL 命令行中,导航到 apksigner 工具:android-sdk/build-tools/<version>/apksigner 并键入以下内容:

    apksigner verify -print-certs <apk_path> | perl -nle 'print $& if m{(?<=SHA-256 digest:) .*}'  | xxd -r -p | openssl base64 | tr -d '=' | tr -- '+/=' '-_'
    <!--NeedCopy-->
    

    该命令返回有效的校验和。

  3. 要生成 QR 码,请在 PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM 字段中输入校验和。例如:
{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.zenprise/com.zenprise.configuration.AdminFunction",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=xenmobile",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
      "serverURL": "https://supportablility.xm.cloud.com"
   }
}
<!--NeedCopy-->

使用的库

Provisioning Tool 在其源代码中使用以下库:

  • v7 appcompat 库、Design Support 库以及 v7 Palette Support 库

    有关信息,请查看 Android 开发人员文档中的支持库功能指南。

  • Jake Wharton 遵循 Apache License 2.0 提供的 Butter Knife

在 Android Enterprise 中预配工作配置文件设备

在 Android Enterprise 中的工作配置文件设备上,您安全地分隔了设备上的企业区域与个人区域。例如,BYOD 设备可以是工作配置文件设备。工作配置文件设备的注册体验与 Citrix Endpoint Management 中的 Android 注册体验类似。用户从 Google Play 下载 Citrix Secure Hub 并注册他们的设备。

默认情况下,如果某个设备在 Android Enterprise 中注册为工作配置文件设备,USB 调试和未知来源设置在该设备上将处于禁用状态。

提示:

在 Android Enterprise 中将设备注册为工作配置文件设备时,将始终转至 Google Play。从那里,启用 Citrix Secure Hub 出现在用户的个人资料中。