由 AirWatch 提供支持的 Workspace ONE UEM 提供了一组可靠的移动管理解决方案,用于注册、保护、配置和管理您的 Android 设备部署。通过 Workspace ONE UEM Console,您可以灵活使用多种工具和功能来管理企业和员工拥有的设备的整个生命周期。
本指南介绍了如何将 Workspace ONE UEM 作为企业移动管理程序 (EMM) 与 Android 设备集成。
通过这些与 Android 关联的主要术语,您能够了解如何为用户配置和部署设置。
在部署 Android 设备之前,请考虑以下先决条件、注册要求、辅助资料和 Workspace ONE UEM 团队提供的实用建议。
Android 5.X.X (Lollipop)
Android 6.X.X
Android 7.X.X
Android 8.X.X
Android 9.X.X
**注意:**在包含 Android(旧版)部署且运行 Android 9 及更高版本的 LG 设备上,不再支持 LG 服务应用程序。如果使用 Android(旧版)注册方法且在 Android 9 或更高版本上使用 LG 设备,请考虑迁移到 Android Enterprise。
Android 10.X.X
Android 11.X.X
Android 12.X.X
Android 13.X.X
**注意:**当 COPE 注册的设备从 Android 10 升级到 Android 11 时,客户将体验到更新的隐私意识功能集。有关 COPE 设备的关键特性和功能的摘要,请参阅“了解 Android 设备模式”。
**注意:**如果贵组织需要更多时间来完成测试,有两种方法可推迟将设备升级到 Android 11。请参阅“管理 Android 设备的系统更新”。
如果您的设备不支持 Google Play EMM 集成,请参阅 Android(旧版)部署或使用 AOSP/封闭式网络配置。
有关 AOSP/封闭式网络的更多信息,请参阅“了解 Android 设备模式”。
Workspace ONE UEM 仅支持在工作受管模式下运行 AndroidGO 的设备。为此,支持工作受管模式的所有设备管理功能,但以下功能除外:
最终用户设备必须能够访问特定端点,以便访问应用和服务。Android 的网络要求是当前和过去的企业管理 API 版本的已知端点列表。
要成功到达所有端点,需要直接连接。如果设备通过代理进行连接,则无法进行直接通信,并且某些功能会失败。
目标主机 | 端口 | 用途 |
---|---|---|
play.google.com,android.com,google-analytics.com、*.googleusercontent.com、*gstatic.com,*gvt1.com*、*ggpht.com,dl.google.com、dl-ssl.google.com、android.clients.google.com、*gvt2.com、gvt3.comTCP/443TCP、UDP/5228-5230Google Play 和 updatesgstatic.com、 googleusercontent.com - 包含用户生成的内容(例如,应用商店中的应用图标)*gvt1.com、*.ggpht、dl.google.com、dl-ssl.google.com、android.clients.google.com - 下载应用和更新、PlayStore API、gvt2.com 和 gvt3.com 用于 Play 连接监控和诊断。 | ||
*.googleapis.com | TCP/443 | EMM/Google API/PlayStore API |
accounts.google.com、accounts.google.[country] | TCP/443 | 身份验证 对于 accounts.google.[country],请对 [country] 使用您的本地顶级域。例如,对于澳大利亚,请使用 accounts.google.com.au,对于英国,请使用 accounts.google.co.uk。 |
fcm.googleapis.com、fcm-xmpp.googleapis.com | TCP/443、5228-5230 | Firebase Cloud Messaging(例如,查找我的设备、EMM 控制台 <-> DPC 通信,如推送配置)。这不适用于代理(请参见此处)。 |
pki.google.com、clients1.google.com | TCP/443 | Google 颁发的证书的证书吊销列表检查 |
clients2.google.com、clients3.google.com、clients4.google.com、clients5.google.com、clients6.google.com | TCP/443 | 由各种 Google 后端服务共享的域,例如崩溃报告、Chrome 书签同步、时间同步 (tlsdate) 以及许多其他服务 |
omahaproxy.appspot.com | TCP/443 | Chrome 更新 |
android.clients.google.com | TCP/443 | 在 NFC 置备中使用的 CloudDPC 下载 URL |
connectivitycheck.android.com www.google.com | TCP/443 | 从 N MR1 开始,CloudDPC v470 Android 连接检查之前的连接检查要求能够访问 https://www.google.com/generate _204,或者给定的 WiFi 网络指向可访问的 PAC 文件。对于运行 Android 7.0 或更高版本的 AOSP 设备也是必需的。 |
www.google.com、www.google.com/generate_204 | 运行 Android 7.0 或更高版本的 AOSP 设备 | |
android-safebrowsing.google.com、safebrowsing.google.com | TCP/443 | Android 应用程序验证。 |
Workspace ONE UEM 设备服务应用程序使用 Google 的 SafetyNet Attestation API 来验证 Android 设备的完整性并确保它们不会受到影响。为此,它会对 Google 服务器进行出站 API 调用。在内部部署环境中,组织可以选择仅允许设备服务应用程序通过代理建立出站连接。在这些情况下,除了通过 Workspace ONE UEM Console 在应用程序级别配置代理设置外,客户还必须在系统级别为托管设备服务应用程序的 Windows 服务器配置此出站代理。如果 Windows 服务器无法建立到所需 Google 端点的出站连接,SafetyNet 运行状况证明将失败。
如果 EMM 控制台位于本地,则需从网络访问以下目标,以便创建托管的 Google Play Enterprise 并访问托管的 Google Play iFrame。
这些要求反映当前 Google Cloud 要求,并且可能会更改。
目标主机 | 端口 | 用途 |
---|---|---|
play.google.com、www.google.com | TCP/443 | Google Play Store Play Enterprise 重新注册 |
fonts.googleapis.com*、.gstatic.com | TCP/443 | iFrame JS、Google 字体、用户生成的内容(例如,应用商店中的应用图标) |
accounts.youtube.com、accounts.google.com、accounts.google.com。* | TCP/443 | 帐户身份验证、特定国家/地区的帐户身份验证域 |
apis.google.com、ajax.googleapis.com | TCP/443 | GCM、其他 Google Web 服务和 iFrame JS |
clients1.google.com、payments.google.com、google.com | TCP/443 | 应用批准 |
ogs.google.com | TCP/443 | iFrame UI 元素 |
notifications.google.com | TCP/443 | 桌面/移动通知 |
您的组织部署中的每台 Android 设备都必须先注册,然后才能与 Workspace ONE UEM 通信并访问内部内容和功能。注册设备之前,您需要提供以下信息。
如果电子邮件域与您的环境关联 - 如果使用自动发现:
如果电子邮件域与您的环境不关联 - 如果不使用自动发现:
如果域未与环境关联,系统仍会提示您输入电子邮件地址。由于未启用自动发现,因此系统会提示您输入以下信息:
要下载 VMware Workspace ONE Intelligent Hub 并随后注册 Android 设备,您需要完成以下操作之一:
注册限制允许您预置注册,例如将注册限制为已知用户、用户组和允许的已注册设备数量。
通过导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 注册访问这些选项。选择限制标签页,可以按组织组和用户组角色自定义注册限制策略。
您可以基于以下信息创建注册限制:
Android 制造商和型号,以确保只有经过批准的设备才能在 Workspace ONE UEM 中注册。Android 设备注册后,智能组和注册限制条件会更新,以包含设备的新制造商和型号。
**注意:**某些设备由其他供应商生产。您可以与设备的实际制造商创建策略,以使策略生效。以下是识别设备制造商的一些方法:
adb shell getprop | grep "manufacturer"
。按 UDID、IMEI 和序列号将设备列入黑名单或白名单。
**注意:**在将 Android 10 或更高版本的设备注册到工作配置文件模式时,设备将保持待定状态,直到 UEM console 能够从设备中检索 IMEI 或序列号,以查看其是否已列入白名单或黑名单。在验证成功前,设备将不会完全注册,也不会发送任何工作数据,直到注册完成为止。
使用 Android 的内置管理功能,IT 管理员可全面管理工作专用设备。
根据组织内使用的设备的所有权,Android 提供了许多模式。
工作配置文件中的应用程序用红色公文包图标加以区分,这些程序被称为标记应用程序,与用户的个人应用程序一并显示在统一启动器中。例如,您的设备为 Google Chrome 显示个人图标,为标记表示的 Work Chrome 显示单独的图标。从最终用户的角度来看,似乎存在两个不同的应用程序,但实际上应用程序仅安装了一次,并将业务数据与个人数据分开存储。
VMware Workspace ONE Intelligent Hub 带有标记,且仅存在于工作配置文件数据空间中。个人应用程序不受控制,且 VMware Workspace ONE Intelligent Hub 无权访问个人信息。
工作配置文件默认包含一些系统应用程序,例如 Work Chrome、Google Play、Google 设置、Contacts 和 Camera,可使用限制配置文件隐藏这些应用程序。
某些设置可显示个人和工作配置的区别。用户可查看以下设置的不同配置:
将设备注册为工作受管设备模式时,将创建真正的企业所有权模式。Workspace ONE UEM 控制整个设备,且不区分工作和个人数据。
对于工作受管模式,请注意以下重要事项:
如果在 Android 开源项目 (AOSP) 设备、非 GMS 设备上使用 Workspace ONE UEM,或者在您的组织内使用封闭式网络,则可以不使用 Google Play 服务,而通过工作受管设备注册流程注册您的 Android 设备。您可以在组织的内联网上托管应用,并使用 OEM 特定的注册方法进行部署。
您需要在 UEM console 中指定:您在 Android EMM 注册过程中使用 AOSP/封闭式网络。
对 AOSP/封闭式网络部署使用不含 Google Play 服务的工作受管设备时,需要考虑以下事项:
使用 COPE 模式注册设备时,您仍可以控制整个设备。COPE 模式的独特功能是允许您针对设备和在工作配置文件内分别强制实施两组独立的策略,例如限制。
COPE 模式仅适用于 Android 8.0+ 设备。如果您注册的是 Android 8.0 以下版本的 Android 设备,则该设备将自动注册为完全受管设备。
将设备注册为 COPE 模式时,需要考虑如下注意事项:
对于新注册,使用 Android 11 时必须使用适用于 Android 的 VMware Workspace ONE Intelligent Hub 20.08 以及 Workspace ONE UEM console 2008。有关具体信息,请参阅 Android 11 中对企业拥有、个人启用 (COPE) 设备的更改。
对于“企业拥有、个人启用”设备,不支持使用 SDK 进行基于 PIN 的加密和 Workspace ONE UEM 单点登录。您可以强制使用工作密码来确保使用工作应用程序需要输入密码。
COPE 注册不支持单用户注册预备和多用户注册预备。
在工作配置文件内,部署到 COPE 设备的内部应用程序(在 Workspace ONE UEM 中托管)和公共应用程序显示在应用程序目录中。
类似于纯工作配置文件注册,“企业拥有、个人启用”设备为用户提供禁用工作配置文件的选项(例如在用户休假期间)。禁用工作配置文件后,工作应用程序不会再显示通知,也无法启动。管理员可以在“设备详细信息”页面上查看工作配置文件的状态(“启用”或“禁用”)。禁用工作配置文件后,将无法从工作配置文件检索最新的应用程序和配置文件信息。
VMware Workspace ONE Intelligent Hub 存在于“企业拥有、个人启用”设备的“完全受管”和“工作配置文件”部分中。管理策略同时存在于工作配置文件之内和之外,因此既可在工作配置文件内应用,也可在整个设备应用。但是,VMware Workspace ONE Intelligent Hub 仅在工作配置文件内可见。
设备收到推送通知时,工作配置文件外的 VMware Workspace ONE Intelligent Hub 可临时供用户查看消息,以确保即使在工作配置文件被临时禁用的情况下用户仍可收到关键消息。
您可以通过工作配置文件中的 VMware Workspace ONE Intelligent Hub 查看分配的配置文件。
用于应用程序管理的合规策略(例如屏蔽/移除应用程序)仅对工作配置文件内的应用程序有效。使用应用程序控制配置文件可以在设备(工作配置文件外)上将应用程序列入黑名单。
在 Android 11+ COPE 设备上,可以选择对设备执行企业擦除,而不是执行完全设备擦除。仍然可以使用设备擦除命令执行设备完全擦除。执行企业擦除时,设备会删除工作配置文件并将设备的所有权返回给用户。用户个人数据不受影响。
COPE 注册不支持产品置备。
Android 11 具体更改: