适用于 Google Workspace(以前称为 G Suite)客户的旧版 Android Enterprise
要配置旧版 Android Enterprise,Google Workspace (以前称为 G Suite)客户必须使用旧版 Android Enterprise 设置。
旧版 Android Enterprise 的要求:
- 可公开访问的域
- Google 管理员帐户
- 支持托管配置文件并且运行 Android 5.0+ Lollipop 的设备
- 安装了 Google Play 的 Google 帐户
- 用户设备上设置的工作配置文件
要开始配置旧版 Android Enterprise,请单击 XenMobile“设置”的 Android Enterprise 页面中的旧版 Android Enterprise。
创建 Android Enterprise 帐户
要设置 Android Enterprise 帐户,必须向 Google 验证您的域名。
如果已向 Google 验证您的域名,可以跳至此步骤:设置 Android Enterprise 服务帐户并下载 Android Enterprise 证书。
-
导航到 https://gsuite.google.com/signup/basic/welcome。
此时将显示以下页面,您可以在此页面中键入管理员和公司信息。
-
键入管理员用户信息。
-
键入您的公司信息(管理员帐户信息除外)。
此过程中的第一个步骤已完成,请继续查看下面的页面。
验证域所有权
允许 Google 通过以下方式之一验证您的域:
- 将 TXT 或 CNAME 记录添加到域主机的 Web 站点。
- 向域的 Web 服务器上载 HTML 文件。
- 向您的主页添加
<meta>
标记。Google 建议使用第一种方法。本文不包含验证域所有权的步骤,但您可以从以下网址找到所需的信息:https://support.google.com/a/answer/6248925。
-
单击 Start(开始)开始验证您的域。
此时将显示 Verify domain ownership(验证域所有权)页面。请按照此页面上显示的说明验证您的域。
-
单击 Verify(验证)。
-
Google 验证您的域所有权。
-
成功验证后,将显示以下页面。单击继续。
-
Google 创建一个需要向 Citrix 提供的 EMM 绑定令牌,您在配置 Android Enterprise 设置时需要使用该令牌。复制并保存该令牌;稍后的设置过程中需要使用该令牌。
-
单击 Finish(完成)以完成 Android Enterprise 设置。此时将显示一个页面,指示您已成功验证您的域。
创建 Android Enterprise 服务帐户后,可以登录 Google 管理控制台管理您的移动性管理设置。
设置 Android Enterprise 服务帐户并下载 Android Enterprise 证书
要允许 XenMobile 联系 Google Play 和 Directory 服务,必须使用面向开发人员的 Google 项目门户创建新服务帐户。此服务帐户用于 XenMobile 与适用于 Android 的 Google 服务之间的服务器至服务器通信。有关使用的身份验证协议的详细信息,请访问 https://developers.google.com/identity/protocols/OAuth2ServiceAccount。
-
在 Web 浏览器中,访问 https://console.cloud.google.com/project 并使用您的 Google 管理员凭据登录。
-
在 Projects(项目)列表中,单击 Create Project(创建项目)。
-
在 Project name(项目名称)中,键入项目的名称。
-
在“Dashboard”(控制板)上,单击 Use Google APIs(使用 Google API)。
-
单击 Library(库),在 Search(搜索)中,键入 EMM,然后单击搜索结果。
-
在 Overview(概览)页面上,单击 Enable(启用)。
-
在 Google Play EMM API 旁边,单击 Go to Credentials(转至凭据)。
-
在 Add credentials to our project(向我们的项目中添加凭据)列表中,在步骤 1 中单击 service account(服务帐户)。
-
在 Service Accounts(服务帐户)页面上,单击 Create Service Account(创建服务帐户)。
-
在 Create service account(创建服务帐户)中,命名该帐户,然后选中 Furnish a new private key(提供新私钥)复选框。单击 P12,选中 Enable Google Apps Domain-wide Delegation(启用 Google Apps 域范围的委派)复选框,然后单击 Create(创建)。
证书(P12 文件)将下载到您的计算机。请务必将该证书保存到一个安全的位置。
-
在 Service account created(已创建服务帐户)确认屏幕上,单击 Close(关闭)。
-
在 Permissions(权限)中,单击 Service accounts(服务帐户),然后在您的服务帐户对应的 Options(选项)下方,单击 View Client ID(查看客户端 ID)。
-
此时将显示 Google 管理控制台上的帐户授权所需的详细信息。将 Client ID(客户端 ID)和 Service account(服务帐户)ID 复制到以后能够从中检索该信息的位置。需要提供此信息以及域名,才能发送给 Citrix 技术支持以便允许运行。
-
在 Library(库)页面上,搜索 Admin SDK(管理 SDK),然后单击搜索结果。
-
在 Overview(概览)页面上,单击 Enable(启用)。
-
打开您的域对应的 Google 管理控制台,然后单击 Security(安全)。
-
在 Settings(设置)页面上,单击 Show more(显示更多),然后单击 Advanced settings(高级设置)。
-
单击 Manage API client Access(管理 API 客户端访问)。
-
在 Client Name(客户端名称)中,输入您之前保存的客户端 ID,在 One or More API Scopes(一个或多个 API 作用域)中,键入
https://www.googleapis.com/auth/admin.directory.user
,然后单击 Authorize(授权)。
绑定到 EMM
必须先联系 Citrix 技术支持并提供您的域名、服务帐户和绑定令牌,才能使用 XenMobile 管理您的 Android 设备。Citrix 会将该令牌绑定到 XenMobile 作为企业移动性管理 (EMM) 提供程序。有关 Citrix 技术支持的联系信息,请参阅 Citrix 技术支持。
-
要确认绑定,请登录 Google 管理门户,然后单击 Security(安全)。
-
单击 Manage EMM provider for Android(管理适用于 Android 的 EMM 提供程序)。
您将看到自己的 Google Android Enterprise 帐户绑定到 Citrix,用作 EMM 提供程序。
确认令牌绑定后,可以开始使用 XenMobile 控制台管理您的 Android 设备。导入在步骤 14 中生成的 P12 证书。设置 Android Enterprise 服务器设置,启用基于 SAML 的单点登录 (SSO),并至少定义一个 Android Enterprise 设备策略。
导入 P12 证书
请按照以下步骤导入 Android Enterprise P12 证书:
-
登录 XenMobile 控制台。
-
单击控制台右上角的齿轮图标以打开设置页面,然后单击证书。此时将显示证书页面。
-
单击导入。此时将显示导入对话框。
配置以下设置:
- 导入: 在列表中,单击密钥库。
- 密钥库类型: 在列表中,单击 PKCS#12。
- 用作: 在列表中,单击服务器。
- 密钥库文件: 单击浏览,然后导航到 P12 证书。
- 密码: 键入密钥库密码。
- 说明: (可选)键入证书的说明。
-
单击导入。
设置 Android Enterprise 服务器设置
-
在 XenMobile 控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。
-
在服务器下方,单击 Android Enterprise。此时将显示 Android Enterprise 页面。
配置以下设置,然后单击保存。
- 域名: 键入您的 Android Enterprise 域名,例如 domain.com。
- 域管理员帐户: 键入您的域管理员的用户名,例如,用于 Google 开发人员门户的电子邮件帐户。
-
服务帐户 ID: 键入您的服务帐户 ID,例如,Google 服务帐户中关联的电子邮件 (
serviceaccountemail@xxxxxxxxx.iam.gserviceaccount.com
)。 - 客户端 ID: 键入您的 Google 服务帐户的数字客户端 ID。
- 启用 Android Enterprise: 选择启用或禁用 Android Enterprise。
启用基于 SAML 的单点登录
-
登录 XenMobile 控制台。
-
单击控制台右上角的齿轮图标。此时将显示设置页面。
-
单击证书。此时将显示证书页面。
-
在证书列表中,单击 SAML 证书。
-
单击导出并将证书保存到您的计算机。
-
使用您的 Android Enterprise 管理员凭据登录 Google 管理门户。有关门户的访问权限,请参阅 Google 管理门户。
-
单击 Security(安全)。
-
在 Security(安全)下方,单击 Set up single sign-on (SSO)(设置单点登录(SSO)),然后配置以下设置。
-
Sign-in page URL(登录页面 URL): 键入用户登录您的系统和 Google Apps 使用的 URL。例如:
https://<Xenmobile-FQDN>/aw/saml/signin
。 -
Sign out page URL(注销页面 URL): 键入用户注销时被定向到的 URL。例如:
https://<Xenmobile-FQDN>/aw/saml/signout
。 -
Change password URL(更改密码 URL): 键入 URL 以允许用户更改其系统中的密码。例如:
https://<Xenmobile-FQDN>/aw/saml/changepassword
。如果定义了此字段,用户将看到此提示,即使 SSO 不可用时也是如此。 - Verification certificate(验证证书): 单击 CHOOSE FILE(选择文件),然后导航到从 XenMobile 导出的 SAML 证书。
-
Sign-in page URL(登录页面 URL): 键入用户登录您的系统和 Google Apps 使用的 URL。例如:
-
单击 SAVE CHANGES(保存更改)。
设置 Android Enterprise 设备策略
设置通行码策略,以便用户在首次注册时必须在其设备上创建通行码。
设置任何设备策略的基本步骤如下。
-
登录 XenMobile 控制台。
-
单击配置,然后单击设备策略。
-
单击添加,然后在添加新策略对话框中选择要添加的策略。在此示例中,请单击通行码。
-
完成策略信息页面。
-
单击 Android Enterprise 并配置策略设置。
-
将策略分配到交付组。
配置 Android Enterprise 帐户设置
必须在 XenMobile 中设置 Android Enterprise 域和帐户信息,才能开始管理设备上的 Android 应用程序和策略。首先,请在 Google 上完成 Android Enterprise 设置任务以设置域管理员,并获取服务帐户 ID 和绑定令牌。
-
在 XenMobile Web 控制台中,单击右上角的齿轮图标。此时将显示设置页面。
-
在服务器下方,单击 Android Enterprise。此时将显示 Android Enterprise 配置页面。
-
在 Android Enterprise 页面上,配置以下设置:
- 域名: 键入域名。
- 域管理员帐户: 键入您的域管理员用户名。
- 服务帐户 ID: 键入您的 Google 服务帐户 ID。
- 客户端 ID: 键入您的 Google 服务帐户的客户端 ID。
- 启用 Android Enterprise: 选择是否启用 Android Enterprise。
-
单击保存。
为 XenMobile 设置 Google Workspace 合作伙伴访问权限
Chrome 的某些端点管理功能使用 Google 合作伙伴 API 在 XenMobile 与您的 Google Workspace 域之间进行通信。例如,XenMobile 要求对管理隐身模式和来宾模式等 Chrome 功能的设备策略使用 API。
要启用合作伙伴 API,请在 XenMobile 控制台中设置您的 Google Workspace 域,然后配置 Google Workspace 帐户。
在 XenMobile 中设置 Google Workspace (以前称为 G Suite)域
要允许 XenMobile 在您的 Google Workspace 域中与 API 进行通信,请转至设置 > Google Chrome 配置并配置设置。
- G Suite 域: 托管 XenMobile 所需的 API 的 Google Workspace 域。
- G Suite 管理员帐户: G Suite 域的管理员帐户。
- G Suite 客户端 ID: Citrix 的客户端 ID。请使用此值为您的 Google Workspace 域配置合作伙伴访问权限。
- G Suite 企业 ID: 您的帐户的客户端 ID,从您的 Google 企业帐户填充。
启用对您的 Google Workspace 域中的设备和用户的合作伙伴访问权限
-
登录 Google 管理控制台: https://admin.google.com
-
单击 Device Management(设备管理)。
-
单击 Chrome management(Chrome 管理)。
-
单击 User settings(用户设置)。
-
搜索 Chrome Management - Partner Access(Chrome 管理 - 合作伙伴访问权限)。
-
选中 Enable Chrome Management - Partner Access(启用 Chrome 管理 - 合作伙伴访问权限)复选框。
-
同意您理解并希望启用合作伙伴访问权限。单击保存。
-
在 Chrome 管理页面中,单击 Device Settings(设备设置)。
-
搜索 Chrome Management - Partner Access(Chrome 管理 - 合作伙伴访问权限)。
-
选中 Enable Chrome Management - Partner Access(启用 Chrome 管理 - 合作伙伴访问权限)复选框。
-
同意您理解并希望启用合作伙伴访问权限。单击保存。
-
转至 Security(安全)页面,然后单击 Advanced Settings(高级设置)。
-
单击 Manage API client Access(管理 API 客户端访问)。
-
在 XenMobile 控制台中,转至设置 > Google Chrome 配置并复制 Google Workspace 客户端 ID 的值。然后,返回到 Manage API client Access(管理 API 客户端访问)页面并将复制的值粘贴到 Client Name(客户端名称)字段中。
-
在 One or More API Scopes(一个或多个 API 范围)中,添加 URL:
https://www.googleapis.com/auth/chromedevicemanagementapi
-
单击 Authorize(授权)。
此时将显示消息“Your settings have been saved”(已保存您的设置)。
注册 Android Enterprise 设备
如果您的设备注册过程要求用户输入用户名或用户 ID,接受的格式取决于将 XenMobile Server 配置为按用户主体名称 (UPN) 还是 SAM 帐户名称来搜索用户。
如果 XenMobile Server 配置为按 UPN 搜索用户,用户必须按以下格式输入 UPN:
- 用户名@域
如果 XenMobile Server 配置为按 SAM 搜索用户,用户必须按以下格式之一输入 SAM:
- 用户名@域
- 域\\用户名
要确定为您的 XenMobile Server 配置的用户名类型,请执行以下操作:
- 在 XenMobile Server 控制台中,单击右上角的齿轮图标。此时将显示设置页面。
- 单击 LDAP 以查看 LDAP 连接的配置。
-
在靠近页面底部的位置,查看用户搜索依据字段:
- 如果设置为 userPrincipalName,XenMobile Server 将设置为按 UPN 搜索。
- 如果设置为 sAMAccountName,XenMobile Server 将设置为按 SAM 搜索。
取消注册 Android Enterprise 企业
可以使用 XenMobile Server 控制台和 XenMobile Tools 取消注册 Android Enterprise 企业。
执行此任务时,XenMobile Server 将打开 XenMobile Tools 的弹出窗口。开始之前,请确保 XenMobile Server 有权在您使用的浏览器中打开弹出窗口。某些浏览器(例如 Google Chrome)要求禁用弹出窗口阻止功能并将 XenMobile 站点的地址添加到弹出窗口阻止允许列表中。
警告:
取消注册企业后,通过其注册的设备上的 Android Enterprise 应用程序将重置到其默认状态。这些设备将不再由 Google 托管。如果未进一步进行配置,在 Android Enterprise 企业中重新注册这些设备可能不会恢复以前的功能。
取消注册 Android Enterprise 企业后:
- 通过企业注册的设备和用户会将 Android Enterprise 应用程序重置到其默认状态。以前应用的“Android Enterprise 应用程序权限”和“Android Enterprise 应用程序限制”策略不再有效。
- 通过企业注册的设备由 XenMobile 托管,但在 Google 看来未托管。无法添加任何新的 Android Enterprise 应用程序。无法应用任何“Android Enterprise 应用程序权限”或“Android Enterprise 应用程序限制”策略。仍然可以将其他策略(例如“计划”、“密码”和“限制”)应用于这些设备。
- 如果尝试在 Android Enterprise 中注册设备,这些设备将注册为 Android 设备,而非 Android Enterprise 设备。
要取消注册 Android Enterprise 企业,请执行以下操作:
-
在 XenMobile 控制台中,单击右上角的齿轮图标。此时将显示设置页面。
-
在“设置”页面上,单击 Android Enterprise。
-
单击删除企业。
-
指定一个密码。您在执行下一步骤时需要此密码才能完成取消注册操作。然后单击取消注册。
-
“XenMobile Tools”页面打开时,请输入您在上一步骤中创建的密码。
-
单击取消注册。
在 Android Enterprise 中预配完全托管设备
只有公司拥有的设备可以是适用于 Android Enterprise 的完全托管设备。在完全托管设备上,整个设备(而不仅仅是工作配置文件)由公司或组织控制。完全托管设备也称为工作托管设备。
XenMobile 支持对完全托管设备使用以下注册方法:
- afw#xenmobile: 如果使用此注册方法,用户在设置设备时将输入字符 afw#xenmobile。此令牌将设备标识为由 XenMobile 托管并下载 Secure Hub。
- QR 代码: QR 代码预配是预配不支持 NFC 的分布式设备队列(例如平板电脑)的简便方式。可以在已恢复出厂设置的队列设备上使用 QR 代码注册方法。QR 代码注册方法通过扫描设置向导中的 QR 代码来设置并配置完全托管设备。
- 近场通信 (NFC) 碰撞: 可以在已重置为出厂设置的队列设备上使用 NFC 碰撞注册方法。NFC 碰撞通过在两个设备之间使用近场通信来传输数据。蓝牙、Wi-Fi 和其他通信模式在恢复出厂设置的设备上处于禁用状态。NFC 是此状态下设备可以使用的唯一通信协议。
afw#xenmobile
此注册方法在打开新设备或恢复出厂设置的设备以便进行初始设置后使用。系统提示输入 Google 帐户时,用户输入 afw#xenmobile。此操作将下载并安装 Secure Hub。用户随后将按照 Secure Hub 设置提示进行操作,完成注册过程。
对于大多数客户,建议使用此注册方法,因为是从 Google Play 应用商店下载最新版本的 Secure Hub。与其他注册方法不同,您不用提供要从 XenMobile Server 下载的 Secure Hub。
必备条件:
- 在运行 Android 5.0 及更高版本的所有 Android 设备上均受支持。
QR 代码
要使用 QR 代码在设备模式注册设备,请通过创建一个 JSON 并将该 JSON 转换为 QR 代码来生成 QR 代码。将使用设备相机扫描 QR 代码以注册设备。
必备条件:
- 在运行 Android 7.0 及更高版本的所有 Android 设备上均受支持。
从 JSON 创建 QR 代码
创建包含以下字段的 JSON。
以下字段均为必填项:
键:android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME
值:com.zenprise/com.zenprise.configuration.AdminFunction
键:android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM
值:qn7oZUtheu3JBAinzZRrrjCQv6LOO6Ll1OjcxT3-yKM
键:android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION
值:https://path/to/securehub.apk
注意:
如果将 Secure Hub 上载到 Citrix XenMobile Server 作为企业应用程序,则可以从
https://<fqdn>:4443/*instanceName*/worxhome.apk
下载该应用程序。Secure Hub APK 路径应该能够通过设备在预配期间连接到的 Wi-Fi 连接进行访问。
以下字段为选填字段:
-
android.app.extra.PROVISIONING_LOCALE: 输入语言和国家/地区代码。
语言代码为包含两个小写字母的 ISO 语言代码(例如 en),如 ISO 639-1 所定义。国家/地区代码为包含两个大写字母的 ISO 国家/地区代码(例如 US),如 ISO 3166-1 所定义。例如,请输入 en_US 表示在美国所讲的英语。
-
android.app.extra.PROVISIONING_TIME_ZONE: 设备运行时所在的时区。
请输入区域/位置形式的 Olson 名称。例如,America/Los_Angeles 表示太平洋时间。如果未输入,则将自动填充时区。
-
android.app.extra.PROVISIONING_LOCAL_TIME: 从 Epoch 开始经过的时间(毫秒)。
Unix epoch(或 Unix 时间、POSIX 时间或 Unix 时间戳)是指从 1970 年 1 月 1 日(午夜,UTC/GMT)开始经过的秒数。该时间不包括闰秒(在 ISO 8601 中为:1970-01-01T00:00:00Z)。
-
android.app.extra.PROVISIONING_SKIP_ENCRYPTION: 设置为 true 将在配置文件创建期间跳过加密。设置为 false 将在配置文件创建期间强制加密。
典型的 JSON 如下:
使用任意 JSON 验证工具(例如 https://jsonlint.com)验证创建的 JSON。然后使用任意联机 QR 代码生成器(例如 https://goqr.me)将该 JSON 字符串转换为 QR 代码。
恢复出厂设置的设备将扫描此 QR 代码以在工作托管设备模式下注册设备。
注册设备
要将设备注册为完全托管设备,该设备必须处于已恢复出厂设置状态。
- 在欢迎屏幕上轻按该屏幕六次以启动 QR 代码注册流程。
-
系统提示时,连接到 Wi-Fi。QR 代码(JSON 编码)中 Secure Hub 的下载位置可以通过此 Wi-Fi 网络访问。
设备成功连接到 Wi-Fi 后,将从 Google 下载一个 QR 代码读取器并启动摄像头。
-
将摄像头对准 QR 代码以扫描该代码。
Android 将从 QR 代码中的下载位置下载 Secure Hub,验证签名证书的签名,安装 Secure Hub 并将其设置为设备所有者。
有关详细信息,请参阅此面向 Android EMM 开发人员的 Google 指南:https://developers.google.com/android/work/prov-devices#qr_code_method。
NFC 碰撞
要使用 NFC 碰撞功能将设备注册为完全托管设备,需要两个设备:一个已恢复出厂设置的设备,以及一个运行 XenMobile Provisioning Tool 的设备。
必备条件:
- 在运行 Android 5.0、Android 5.1、Android 6.0 及更高版本的所有 Android 设备上均受支持。
- 为 Android Enterprise 启用的 XenMobile Server 10.4。
- 新的或恢复出厂设置的设备,为 Android Enterprise 预配为完全托管设备。可以在本文中查找完成此必备条件的步骤。
- 另一个设备具有 NFC 功能,运行已配置的 Provisioning Tool。Provisioning Tool 在 Secure Hub 10.4 或 Citrix 下载页面上提供。
每个设备只能配备一个 Android Enterprise 配置文件,通过企业移动性管理 (EMM) 应用程序管理。在 XenMobile 中,Secure Hub 为 EMM 应用程序。仅允许在每个设备上配备一个配置文件。尝试添加第二个 EMM 应用程序将删除第一个 EMM 应用程序。
通过 NFC 碰撞传输数据
预配恢复出厂设置的设备需要您通过 NFC 碰撞发送以下数据以初始化 Android Enterprise:
- 要作为设备所有者(在此示例中为 Secure Hub)的 EMM 提供程序应用程序的包名称。
- 设备可以从中下载 EMM 提供程序应用程序的 Intranet/Internet 位置。
- 用于验证下载是否成功的 EMM 提供程序应用程序的 SHA1 哈希。
- Wi-Fi 连接详细信息,以便恢复出厂设置的设备能够连接和下载 EMM 提供程序应用程序。注意:Android 现在不支持在此步骤中使用 802.1x Wi-Fi。
- 设备的时区(可选)。
- 设备的地理位置(可选)。
碰撞两个设备时,来自 Provisioning Tool 的数据将发送到恢复出厂设置的设备。该数据随后用于下载使用管理员设置的 Secure Hub。如果未输入时区和位置值,Android 将在新设备上自动配置值。
配置 XenMobile Provisioning Tool
执行 NFC 碰撞之前,必须配置 Provisioning Tool。此配置随后在 NFC 碰撞过程中被传输到恢复出厂设置的设备。
可以将数据键入到必填字段中,或者通过文本文件进行填充。下一个过程中的步骤介绍了如何配置文本文件,并且包含每个字段的说明。键入后,该应用程序将不保存信息,因此,您可能希望创建一个文本文件以保留该信息供将来使用。
使用文本文件配置 Provisioning Tool
将文件命名为 nfcprovisioning.txt 并将其放置在设备的 SD 卡中的 /sdcard/ 文件夹下。该应用程序随后可以读取文本文件并填充值。
文本文件必须包含以下数据:
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=<download_location>
此行为 EMM 提供程序应用程序的 Intranet/Internet 位置。恢复出厂设置的设备在进行 NFC 碰撞后连接到 Wi-Fi 之后,该设备必须有权访问此位置才能进行下载。该 URL 为常规 URL,不需要特殊格式。
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=<SHA1 hash>
此行是 EMM 提供程序应用程序的校验和。此校验和用于验证下载是否成功。本文中后面的内容介绍了获取校验和的步骤。
android.app.extra.PROVISIONING_WIFI_SSID=<wifi ssid>
此行是运行 Provisioning Tool 的设备的已连接 Wi-Fi SSID。
android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=<wifi security type>
支持的值为 WEP 和 WPA2。如果 Wi-Fi 未受保护,此字段必须留空。
android.app.extra.PROVISIONING_WIFI_PASSWORD=<wifi password>
如果 Wi-Fi 未受保护,此字段必须留空。
android.app.extra.PROVISIONING_LOCALE=<locale>
输入语言和国家/地区代码。语言代码为包含两个小写字母的 ISO 语言代码(例如 en),如 ISO 639-1 所定义。国家/地区代码为包含两个大写字母的 ISO 国家/地区代码(例如 US),如 ISO 3166-1 所定义。例如,请键入 en_US 表示在美国所讲的英语。如果未输入任何代码,则会自动填充国家/地区和语言。
android.app.extra.PROVISIONING_TIME_ZONE=<timezone>
设备运行时所在的时区。请键入区域/位置形式的 Olson 名称。例如,America/Los_Angeles 表示太平洋时间。如果未输入名称,则将自动填充时区。
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME=<package name>
不需要此数据,因为值 Secure Hub 被硬编码到应用程序中。在本文中提及的目的只是为了保持完整性。
如果存在通过使用 WPA2 保护的 Wi-Fi,完整的 nfcprovisioning.txt 文件可能如下所示:
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d
android.app.extra.PROVISIONING_WIFI_SSID=Protected_WiFi_Name
android.app.extra.PROVISIONING_WIFI_SECURITY_TYPE=WPA2
android.app.extra.PROVISIONING_WIFI_PASSWORD=wifiPasswordHere
android.app.extra.PROVISIONING_LOCALE=en_US
android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles
如果存在不受保护的 Wi-Fi,完整的 nfcprovisioning.txt 文件可能如下所示:
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION=https://www.somepublicurlhere.com/path/to/securehub.apk
android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM=ga50TwdCmfdJ72LGRFkke4CrbAk\u003d
android.app.extra.PROVISIONING_WIFI_SSID=Unprotected_WiFi_Name
android.app.extra.PROVISIONING_LOCALE=en_US
android.app.extra.PROVISIONING_TIME_ZONE=America/Los_Angeles
获取 Secure Hub 校验和
要获取任何应用程序的校验和,请添加该应用程序作为企业应用程序。
-
在 XenMobile 控制台中,转至配置 > 应用程序,然后单击添加。
此时将显示添加应用程序窗口。
-
单击企业。
此时将显示应用程序信息页面。
-
选择以下配置并单击下一步。
此时将显示 Android Enterprise 企业应用程序页面。
-
提供 .apk 的路径,然后单击下一步以上载文件。
上载完成后,系统将显示上载的软件包的详细信息。
-
单击下一步以打开下载 JSON 文件的页面,随后可以在该页面中上载到 Google Play。对于 Secure Hub,不需要上载到 Google Play,但需要 JSON 文件才能从中读取 SHA1 值。
典型的 JSON 文件格式如下:
-
复制 file_sha1_base64 值并在 Provisioning Tool 中的 Hash(哈希)字段中使用。
注意:
该哈希必须是 URL 安全哈希。
- 将任何 + 符号转换为 -
- 将任何 / 符号转换为 _
- 将尾随 \u003d 替换为 =
如果您将哈希值存储在设备的 SD 卡上的 nfcprovisioning.txt 文件中,该应用程序将执行安全转换。但是,如果选择手动键入哈希值,您将负责确保其 URL 的安全性。
使用的库
Provisioning Tool 在其源代码中使用以下库:
-
Google 遵循 Apache License 2.0 提供的 v7 appcompat 库、Design Support Library 以及 v7 Palette 库
有关信息,请参阅 Support Library Features Guide(支持库功能指南)。
-
Jake Wharton 遵循 Apache License 2.0 提供的 Butter Knife
在 Android Enterprise 中预配工作配置文件设备
在 Android Enterprise 中的工作配置文件设备上,您安全地分隔了设备上的企业区域与个人区域。例如,BYOD 设备可以是工作配置文件设备。工作配置文件设备的注册体验与 XenMobile 中的 Android 注册体验相似。用户将从 Google Play 下载 Secure Hub 并注册其设备。
默认情况下,如果某个设备在 Android Enterprise 中注册为工作配置文件设备,USB 调试和未知来源设置在该设备上将处于禁用状态。
提示:
在 Android Enterprise 中将设备注册为工作配置文件设备时,将始终转至 Google Play。在该应用商店中,允许 Secure Hub 在用户的个人配置文件中显示。
在本文中
- 创建 Android Enterprise 帐户
- 设置 Android Enterprise 服务帐户并下载 Android Enterprise 证书
- 绑定到 EMM
- 导入 P12 证书
- 设置 Android Enterprise 服务器设置
- 启用基于 SAML 的单点登录
- 设置 Android Enterprise 设备策略
- 配置 Android Enterprise 帐户设置
- 为 XenMobile 设置 Google Workspace 合作伙伴访问权限
- 注册 Android Enterprise 设备
- 取消注册 Android Enterprise 企业
- 在 Android Enterprise 中预配完全托管设备
- 在 Android Enterprise 中预配工作配置文件设备