Citrix Endpoint Management

Play Integrity API

Play Integrity API 有助于保护您的应用程序和游戏免受潜在风险和欺诈性互动(例如作弊和未经授权的访问)的侵害,使您能够采取适当的措施来防止攻击并减少滥用。有关更多信息,请参阅 Play Integrity API

启用 Play Integrity API

请按照以下步骤切换到 Play Integrity API。

  1. 打开 afw.safetynet.attestation.api。 指定 Citrix Endpoint Management 服务器的弃用功能标志。
  2. 在 Citrix Endpoint Management 控制台上,从“设置”页面选择 Android PlayIntegrity

    启用 Play Integrity

  3. 在身份验证时间表的工时字段中输入一个值。这是 PlayIntegrity Attestation API 评估您的设备的间隔时间。最小值为 24 小时,最大值为 1000 小时。默认值为 24 小时。单击保存
  4. 升级到 Citrix Secure Hub Android 版 23.7.0。从您的设备注销,然后登录 Citrix Secure Hub,以通过 Play Integrity API 触发身份验证。

查看和分析 Play Integrity API 身份验证结果

  1. 在 Citrix Endpoint Management 控制台上,转 管理 > 设备。
  2. 选择要查看 Play Integrity API 身份验证结果的设备。单击显示更多
  3. 设备选项卡中,选择属性。结果显示在安全信息部分中。

    分析 Play Integrity

  4. Play Integrity API 身份验证返回以下状态:
    • 如果 PlayIntegrity 设备识别判定字段的值为“MEETS_BASIC_INTEGRITY”,则表示在设备上运行的 Citrix Secure Hub 至少通过了基本的系统完整性。
    • 如果 PlayIntegrity 设备识别判定字段没有“MEETS_BASIC_INTEGRITY”,则表示该设备上的 Citrix Secure Hub 可能在无法识别的 Android 版本上运行,可能有已解锁的引导加载程序,或者可能没有经过制造商的认证。
    • 如果 PlayIntegrity 的最后已知状态成功,则表示 PlayIntegrity API 身份验证已成功运行。
    • 如果 PlayIntegrity 的最后已知状态失败,则表示 PlayIntegrity API 身份验证无法运行。

注意:

在 SafetyNet Attestation 的最后一次关闭之前(2023 年 11 月底),管理员可以清除允许您使用 SafetyNet 的功能标志。

限制

  1. 新注册的 COSU 设备和 DO 设备会被标记为不合规,即使这些设备符合要求也是如此。

    Play Integrity API 在 DO 注册期间首次身份验证时返回空白,这会使设备看起来不合规。这个限制是 Google 的已知问题。已发布 DPC 支持库 20230418 以修复此问题。

    该修复程序可从 23.9.0 版本获得。在此之前,请使用以下步骤作为解决方法:

    • 清除功能标志,继续使用 SafetyNet API 以继续使用 SafetyNet Attestation API。
    • 注册后注销并重新登录即可触发身份验证。您也可以等待下一次定期身份验证,默认时间为 24 小时。

    此问题仅在注册期间出现。Play Integrity API 注册后运行良好。

  2. 即使设备符合要求,新注册的 WPCOD 设备也会被标记为不合规。Google 正在审查这个问题。

Play Integrity API