使用 Android 的内置管理功能,IT 管理员可全面管理工作专用设备。

根据组织内使用的设备的所有权,Android 提供了许多模式。

  • 工作配置文件:在设备上创建仅用于工作应用程序和数据的专用空间。这是自带设备 (BYOD) 应用程序较为理想的部署样态。
  • 工作受管设备:允许 Workspace ONE UEM 和 IT 管理员控制整个设备并强制实施工作配置文件无法实现的更大范围策略控制,但会限制设备只能用于企业用途
    • 企业拥有、个人启用:是指公司拥有的设备(类似于“工作受管设备”),不过这些设备已使用工作配置文件进行置备,可同时用于个人和企业用途。
    • 不含 Google Play 服务的工作受管设备:如果在 Android 开源项目 (AOSP) 设备、非 GMS 设备上使用 Workspace ONE UEM,或者在您的组织内使用封闭式网络,则可以不使用 Google Play 服务,而通过工作受管设备注册流程注册您的 Android 设备。

工作配置文件模式功能

工作配置文件中的应用程序用红色公文包图标加以区分,这些程序被称为标记应用程序,与用户的个人应用程序一并显示在统一启动器中。例如,您的设备为 Google Chrome 显示个人图标,为标记表示的 Work Chrome 显示单独的图标。从最终用户的角度来看,似乎存在两个不同的应用程序,但实际上应用程序仅安装了一次,并将业务数据与个人数据分开存储。

Workspace ONE Intelligent Hub带有标记,且仅存在于工作配置文件数据空间中。个人应用程序不受控制,且 Workspace ONE Intelligent Hub无权访问个人信息。

工作配置文件默认包含一些系统应用程序,例如 Work Chrome、Google Play、Google 设置、Contacts 和 Camera,可使用限制配置文件隐藏这些应用程序。

某些设置可显示个人和工作配置的区别。用户可查看以下设置的不同配置:

  • 凭证 - 查看用于受管设备用户身份验证的企业证书。
  • 帐户 - 查看与工作配置文件关联的受管 Google 帐户。
  • 应用程序 - 列出了设备上安装的所有应用程序。
  • 安全 - 显示设备加密状态。

工作受管设备模式功能

将设备注册为工作受管设备模式时,将创建真正的企业所有权模式。Workspace ONE UEM 控制整个设备,且不区分工作和个人数据。

对于工作受管模式,请注意以下重要事项:

  • 与工作配置文件模式不同的是,主屏幕不显示标记应用程序。
  • 激活设备后,用户有权访问各种预加载的应用程序。仅可以通过 Workspace ONE UEM console 批准和添加附加应用程序。
  • Workspace ONE Intelligent Hub在安全设置中被设置为设备管理员,且不能被禁用。
  • 从工作受管模式取消注册设备会提示恢复设备出厂设置。

不含 Google Play 服务的工作受管设备

如果在 Android 开源项目 (AOSP) 设备、非 GMS 设备上使用 Workspace ONE UEM,或者在您的组织内使用封闭式网络,则可以不使用 Google Play 服务,而通过工作受管设备注册流程注册您的 Android 设备。您可以在组织的内联网上托管应用,并使用 OEM 特定的注册方法进行部署。

您需要在 UEM console 中指定:您在 Android EMM 注册过程中使用 AOSP/封闭式网络。有关更多信息,请参阅向受管 Google Play 帐户注册 Android EMM

对 AOSP/封闭式网络部署使用不含 Google Play 服务的工作受管设备时,需要考虑以下事项:
  • 如果您已在顶层组织组中设置了 Android,并且希望仅在特定子组织组中部署 AOSP/封闭式网络,则 UEM console 管理员可以选择指定:子组织组中的开箱即用注册没有受管 Google 帐户。有关详细信息,请参见“Android EMM 注册”中的注册设置
  • 如果要使用 Workspace ONE UEM 1907 和更低版本部署设备,则不需要 UEM console 配置。
  • 如果要使用 Workspace ONE UEM 1908 和更高版本部署设备,则必须在 Android EMM 注册页面中配置设置。
  • 支持的注册方法包括:
    • 二维码
    • 适用于 Zebra 设备的 StageNow
    • 适用于 Honeywell 设备的 Honeywell Enterprise Provisioner
  • AOSP 设备不支持通过 VMware Workspace ONE Intelligent Hub 标识符进行注册。
  • 不支持公共自动更新配置文件。此配置文件专门用于公共应用,对 AOSP 或封闭式网络上的设备不起作用
  • 不支持出厂重置保护配置文件。
  • 内部应用(在 Workspace ONE UEM console 中托管)将静默部署到 AOSP/封闭式网络设备。
  • 不应为未使用受管 Google 帐户注册的工作受管设备分配任何公共应用,也不应在公共应用分配设备计数中考虑这些设备。
  • 不使用 Google Play 服务的工作受管设备的操作系统版本和 OEM 要求:
    • AOSP(非 GMS)
      • Zebra 和 Honeywell - 必须为支持 StageNow 或 Honeywell Enterprise Provisioner 注册的操作系统版本。
      • 其他 OEM - 不支持,除非 OEM 通过 StageNow 等客户端或允许用户访问二维码注册来开发对它的支持。
    • 封闭式网络
      • Zebra 和 Honeywell - Android 7.0 及更高版本必须为支持 StageNow(也是 7.0 或更高版本)或 Honeywell Enterprise Provisioner 注册的操作系统版本。
      • 其他 OEM - Android 7.0 或更高版本,因为二维码注册是唯一受支持的方法。

“企业拥有、个人启用 (COPE)”模式

使用 COPE 模式注册设备时,您仍可以控制整个设备。COPE 模式的独特功能是允许您针对设备和在工作配置文件内分别强制实施两组独立的策略,例如限制。

COPE 模式仅适用于 Android 8.0+ 设备。如果您注册的是 Android 8.0 以下版本的 Android 设备,则该设备将自动注册为完全受管设备。

将设备注册为 COPE 模式时,需要考虑如下注意事项:

  • 对于“企业拥有、个人启用”设备,不支持使用 SDK 进行基于 PIN 的加密和 Workspace ONE UEM 单点登录。您可以强制使用工作密码来确保使用工作应用程序需要输入密码。
  • COPE 注册不支持单用户注册预备和多用户注册预备。
  • 在工作配置文件内,部署到 COPE 设备的内部应用程序(在 Workspace ONE UEM 中托管)和公共应用程序显示在应用程序目录中。
  • 类似于纯工作配置文件注册,“企业拥有、个人启用”设备为用户提供禁用工作配置文件的选项(例如在用户休假期间)。禁用工作配置文件后,工作应用程序不会再显示通知,也无法启动。管理员可以在“设备详细信息”页面上查看工作配置文件的状态(“启用”或“禁用”)。禁用工作配置文件后,将无法从工作配置文件检索最新的应用程序和配置文件信息。
  • Workspace ONE Intelligent Hub 存在于“企业拥有、个人启用”设备的“完全受管”和“工作配置文件”部分中。管理策略同时存在于工作配置文件之内和之外,因此既可在工作配置文件内应用,也可在整个设备应用。但是,Workspace ONE Intelligent Hub 仅在“工作配置文件”内可见。
  • 设备收到推送通知时,“工作配置文件”外的 Workspace ONE Intelligent Hub 可临时供用户查看消息,以确保即使在“工作配置文件”被临时禁用的情况下用户仍可收到关键消息。
  • 您可以通过“工作配置文件”中的 Workspace ONE Intelligent Hub 查看分配的配置文件。
  • 用于应用程序管理的合规策略(例如屏蔽/移除应用程序)仅对工作配置文件内的应用程序有效。使用应用程序控制配置文件可以在设备(工作配置文件外)上将应用程序列入黑名单。
  • 企业擦除会对“企业拥有、个人启用”设备执行出厂重置。
  • COPE 注册不支持产品置备。
  • Android 11 具体更改
    • 内部应用程序(由 Workspace ONE UEM 托管)无法再推送到设备的个人端。内部应用(作为专用应用)和公共应用都必须仅部署到工作配置文件。
      • 任何其他功能(如依赖于内部应用程序的合规性规则)也将不再受支持。
    • 不再支持注册方法 afw#hub。
      • 请考虑使用二维码或零接触式注册。