使用 Workspace ONE UEM 管理 Android 设备
Workspace ONE UEM 提供了一组可靠的移动管理解决方案,用于注册、保护、配置和管理您的 Android 设备部署。通过 Workspace ONE UEM Console,您可以灵活使用多种工具和功能来管理企业和员工拥有的设备的整个生命周期。
本指南介绍了如何将 Workspace ONE UEM 作为企业移动管理程序 (EMM) 与 Android 设备集成。
Android 关键术语
通过这些与 Android 关联的主要术语,您能够了解如何为用户配置和部署设置。
- 工作配置文件 – 工作配置文件模式(也称为配置文件所有者)在设备上创建仅用于业务应用程序和内容的专用容器。工作配置文件模式允许组织管理业务数据和应用程序,但不能访问用户的个人数据和应用程序。Android 应用程序用公文包图标表示,以区分个人应用程序。
- 工作受管 - 工作受管模式(也称为设备所有者或完全受管模式)锁定整个设备。用户将有权访问企业应用,并且无法通过 Google Play 商店访问个人应用。
- 企业拥有、个人启用 – 企业拥有、个人启用 (COPE) 是指公司拥有的设备,类似于工作受管设备,但用户会收到工作配置文件以访问企业应用程序。他们仍然可以访问工作配置文件之外的个人 Google Play 商店。COPE 仅在 Android 8.0 或更高版本的设备上可用。
- 受管 Google 帐户 - 指注册到设备适用于 Android 的 Google 帐户,通过 Google Play 提供 Android 应用程序管理。此帐户由管理 Android 配置的域管理。
- 受管 Google Play 帐户 - 适用于要设置 Android 但没有 G Suite 帐户或受管 Google 帐户的组织。
- Google 服务帐户 - Google 服务帐户是应用程序用于访问向 G Suite 客户建议的 Google API 的特殊 Google 帐户。
- EMM 令牌 - Workspace ONE UEM 用于将 Workspace ONE UEM Console 连接到受管 Google 帐户的唯一 ID。
- 受管 Google 域 - 申请用于启用与企业关联的 Android 的域。
- Google 域设置 - 申请受管 Google 域的 Google 过程。
- AirWatch Relay - 管理员将 Android 设备批量注册到 Workspace ONE UEM 使用的 Workspace ONE UEM 应用程序。
- NFC 触碰 – 一种通过将设备彼此相邻放置来进行信息交换的通信技术,称为“触碰”。可通过使用 AirWatch Relay 应用将信息从父设备传递到子设备来实现。
- AOSP/封闭式网络 – Android 开源项目或封闭式网络指的是没有 Google 移动服务 (GMS) 的 Android 设备以及无法访问 Google 的控制台环境。Google 帐户不是使用此注册模式创建的。
- 基于用户的注册 - 设备注册后,在此员工注册的所有设备上创建的 Google 帐户均相同。当您将员工分配到不涉及注册预备的设备时,此注册方法是理想的选择。
- 基于设备的注册 - 生成的 Google 帐户对于同一用户注册的每台设备都是唯一的。这是注册预备设备或专用设备的理想选择。
- 逐步替换 - 逐步替换允许您在从 Android(旧版)转换到 Android Enterprise 时继续使用当前设备部署。任何新的设备部署都可以注册到 Android Enterprise 中,并使用较旧的设备进行管理。
将 Android 与 Workspace ONE UEM 配合使用的要求
在部署 Android 设备之前,请考虑以下先决条件、注册要求、辅助资料和 Workspace ONE UEM 团队提供的实用建议。
支持的操作系统
Android 7.X.X
Android 8.X.X
Android 9.X.X
注意:在包含 Android(旧版)部署且运行 Android 9 及更高版本的 LG 设备上,不再支持 LG 服务应用程序。如果使用 Android(旧版)注册方法且在 Android 9 或更高版本上使用 LG 设备,请考虑迁移到 Android Enterprise。
Android 10.X.X
Android 11.X.X
Android 12.X.X
Android 13.X.X
Android 14.X.X
注意:当 COPE 注册的设备从 Android 10 升级到 Android 11 时,客户将体验到更新的隐私意识功能集。有关 COPE 设备的关键特性和功能的摘要,请参阅“了解 Android 设备模式”。
注意:如果贵组织需要更多时间来完成测试,有两种方法可推迟将设备升级到 Android 11。请参阅“管理 Android 设备的系统更新”。
如果您的设备不支持 Google Play EMM 集成,请参阅 Android(旧版)部署或使用 AOSP/封闭式网络配置。
有关 AOSP/封闭式网络的更多信息,请参阅“了解 Android 设备模式”。
Android GO 支持
Workspace ONE UEM 仅支持在工作受管模式下运行 AndroidGO 的设备。为此,支持工作受管模式的所有设备管理功能,但以下功能除外:
- Workspace ONE Launcher
- 需要访问或修改设备上的文件或目录的产品预置功能
- 文件/操作 - 仅支持重新引导和运行意向操作
- 条件 - 支持除 Launcher 以外的所有条件
- 事件/操作 - 支持除应用自定义设置以外的所有操作
Android 的网络要求
最终用户设备必须能够访问特定端点,以便访问应用和服务。Android 的网络要求是当前和过去的企业管理 API 版本的已知端点列表。
要成功到达所有端点,需要直接连接。如果设备通过代理进行连接,则无法进行直接通信,并且某些功能会失败。
| 目标主机 | 端口 | 用途 |
|---|---|---|
| play.google.com,android.com,google-analytics.com、*.googleusercontent.com、*gstatic.com,*gvt1.com*、*ggpht.com,dl.google.com、dl-ssl.google.com、android.clients.google.com、*gvt2.com、*gvt3.com | TCP/443TCP、UDP/5228-5230 | Google Play 和 updatesgstatic.com、* googleusercontent.com - 包含用户生成的内容(例如,应用商店中的应用图标)*gvt1.com、*.ggpht、dl.google.com、dl-ssl.google.com、android.clients.google.com - 下载应用和更新、PlayStore API、gvt2.com 和 gvt3.com 用于 Play 连接监控和诊断。 |
| *.googleapis.com | TCP/443 | EMM/Google API/PlayStore API |
| accounts.google.com、accounts.google.[country] | TCP/443 | 身份验证 对于 accounts.google.[country],请对 [country] 使用您的本地顶级域。例如,对于澳大利亚,请使用 accounts.google.com.au,对于英国,请使用 accounts.google.co.uk。 |
| fcm.googleapis.com、fcm-xmpp.googleapis.com | TCP/443、5228-5230 | Firebase Cloud Messaging(例如,查找我的设备、EMM 控制台 <-> DPC 通信,如推送配置)。这不适用于代理(请参见此处)。 |
| pki.google.com、clients1.google.com | TCP/443 | Google 颁发的证书的证书吊销列表检查 |
| clients2.google.com、clients3.google.com、clients4.google.com、clients5.google.com、clients6.google.com | TCP/443 | 由各种 Google 后端服务共享的域,例如崩溃报告、Chrome 书签同步、时间同步 (tlsdate) 以及许多其他服务 |
| omahaproxy.appspot.com | TCP/443 | Chrome 更新 |
| android.clients.google.com | TCP/443 | 在 NFC 置备中使用的 CloudDPC 下载 URL |
| connectivitycheck.android.com www.google.com | TCP/443 | 从 N MR1 开始,CloudDPC v470 Android 连接检查之前的连接检查要求能够访问 https://www.google.com/generate _204,或者给定的 WiFi 网络指向可访问的 PAC 文件。对于运行 Android 7.0 或更高版本的 AOSP 设备也是必需的。 |
| www.google.com、www.google.com/generate_204 | 运行 Android 7.0 或更高版本的 AOSP 设备 | |
| android-safebrowsing.google.com、safebrowsing.google.com | TCP/443 | Android 应用程序验证。 |
设备服务代理服务器要求
Workspace ONE UEM 设备服务应用程序使用 Google 的 SafetyNet Attestation API 来验证 Android 设备的完整性并确保它们不会受到影响。为此,它会对 Google 服务器进行出站 API 调用。在内部部署环境中,组织可以选择仅允许设备服务应用程序通过代理建立出站连接。在这些情况下,除了通过 Workspace ONE UEM Console 在应用程序级别配置代理设置外,客户还必须在系统级别为托管设备服务应用程序的 Windows 服务器配置此出站代理。如果 Windows 服务器无法建立到所需 Google 端点的出站连接,SafetyNet 运行状况证明将失败。
控制台防火墙规则
如果 EMM 控制台位于本地,则需从网络访问以下目标,以便创建托管的 Google Play Enterprise 并访问托管的 Google Play iFrame。
这些要求反映当前 Google Cloud 要求,并且可能会更改。
| 目标主机 | 端口 | 用途 |
|---|---|---|
| play.google.com、www.google.com | TCP/443 | Google Play Store Play Enterprise 重新注册 |
| fonts.googleapis.com*、.gstatic.com | TCP/443 | iFrame JS、Google 字体、用户生成的内容(例如,应用商店中的应用图标) |
| accounts.youtube.com、accounts.google.com、accounts.google.com。* | TCP/443 | 帐户身份验证、特定国家/地区的帐户身份验证域 |
| apis.google.com、ajax.googleapis.com | TCP/443 | GCM、其他 Google Web 服务和 iFrame JS |
| clients1.google.com、payments.google.com、google.com | TCP/443 | 应用批准 |
| ogs.google.com | TCP/443 | iFrame UI 元素 |
| notifications.google.com | TCP/443 | 桌面/移动通知 |
注册要求
您的组织部署中的每台 Android 设备都必须先注册,然后才能与 Workspace ONE UEM 通信并访问内部内容和功能。注册设备之前,您需要提供以下信息。
如果电子邮件域与您的环境关联 - 如果使用自动发现:
- 电子邮件地址 – 这是与您的组织关联的电子邮件地址。例如:[email protected]。
- 凭证 - 此用户名和密码可让您访问 Workspace ONE UEM 环境。这些凭证可能与您的网络目录服务使用的凭证相同,也可能是在 Workspace ONE UEM console 中定义的唯一凭证。
如果电子邮件域与您的环境不关联 - 如果不使用自动发现:
如果域未与环境关联,系统仍会提示您输入电子邮件地址。由于未启用自动发现,因此系统会提示您输入以下信息:
- 组 ID - 组 ID 将设备与企业角色关联,它是在 Workspace ONE UEM console 中定义的。
- 凭证 – 此唯一用户名和密码配对可让您访问 AirWatch 环境。这些凭证可能与您的网络目录服务使用的凭证相同,也可能是在 Workspace ONE UEM Console 中定义的唯一凭证。
要下载 VMware Workspace ONE Intelligent Hub 并随后注册 Android 设备,您需要完成以下操作之一:
- 导航到 https://www.getwsone.com,然后按照提示进行操作。
- 从 Google Play 商店下载 VMware Workspace ONE Intelligent Hub。
适用于 Android 的注册限制
注册限制允许您预置注册,例如将注册限制为已知用户、用户组和允许的已注册设备数量。
通过导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 注册访问这些选项。选择限制标签页,可以按组织组和用户组角色自定义注册限制策略。
您可以基于以下信息创建注册限制:
-
Android 制造商和型号,以确保只有经过批准的设备才能在 Workspace ONE UEM 中注册。Android 设备注册后,智能组和注册限制条件会更新,以包含设备的新制造商和型号。
注意:某些设备由其他供应商生产。您可以与设备的实际制造商创建策略,以使策略生效。以下是识别设备制造商的一些方法:
- 导航到设备设置中的关于页面。
- 使用 adb 命令:
adb shell getprop | grep "manufacturer"。
-
按 UDID、IMEI 和序列号将设备列入黑名单或白名单。
注意:在将 Android 10 或更高版本的设备注册到工作配置文件模式时,设备将保持待定状态,直到 UEM console 能够从设备中检索 IMEI 或序列号,以查看其是否已列入白名单或黑名单。在验证成功前,设备将不会完全注册,也不会发送任何工作数据,直到注册完成为止。
了解 Android 设备模式
使用 Android 的内置管理功能,IT 管理员可全面管理工作专用设备。
根据组织内使用的设备的所有权,Android 提供了许多模式。
- 工作配置文件:在设备上创建仅用于工作应用程序和数据的专用空间。这是自带设备 (BYOD) 应用程序较为理想的部署样态。
- 工作受管设备:允许 Workspace ONE UEM 和 IT 管理员控制整个设备并强制实施工作配置文件无法实现的更大范围策略控制,但会限制设备只能用于企业用途
- 企业拥有、个人启用:是指公司拥有的设备(类似于“工作受管设备”),不过这些设备已使用工作配置文件进行置备,可同时用于个人和企业用途。
- 不含 Google Play 服务的工作受管设备:如果在 Android 开源项目 (AOSP) 设备、非 GMS 设备上使用 Workspace ONE UEM,或者在您的组织内使用封闭式网络,则可以不使用 Google Play 服务,而通过工作受管设备注册流程注册您的 Android 设备。
工作配置文件模式功能
工作配置文件中的应用程序用红色公文包图标加以区分,这些程序被称为标记应用程序,与用户的个人应用程序一并显示在统一启动器中。例如,您的设备为 Google Chrome 显示个人图标,为标记表示的 Work Chrome 显示单独的图标。从最终用户的角度来看,似乎存在两个不同的应用程序,但实际上应用程序仅安装了一次,并将业务数据与个人数据分开存储。
VMware Workspace ONE Intelligent Hub 带有标记,且仅存在于工作配置文件数据空间中。个人应用程序不受控制,且 VMware Workspace ONE Intelligent Hub 无权访问个人信息。
工作配置文件默认包含一些系统应用程序,例如 Work Chrome、Google Play、Google 设置、Contacts 和 Camera,可使用限制配置文件隐藏这些应用程序。
某些设置可显示个人和工作配置的区别。用户可查看以下设置的不同配置:
- 凭证 - 查看用于受管设备用户身份验证的企业证书。
- 帐户 - 查看与工作配置文件关联的受管 Google 帐户。
- 应用程序 - 列出了设备上安装的所有应用程序。
- 安全 - 显示设备加密状态。
工作受管设备模式功能
将设备注册为工作受管设备模式时,将创建真正的企业所有权模式。Workspace ONE UEM 控制整个设备,且不区分工作和个人数据。
对于工作受管模式,请注意以下重要事项:
- 与工作配置文件模式不同的是,主屏幕不显示标记应用程序。
- 激活设备后,用户有权访问各种预加载的应用程序。仅可以通过 Workspace ONE UEM console 批准和添加附加应用程序。
- VMware Workspace ONE Intelligent Hub 在安全设置中被设置为设备管理员,且不能被禁用。
- 从工作受管模式取消注册设备会提示恢复设备出厂设置。
不含 Google Play 服务的工作受管设备
如果在 Android 开源项目 (AOSP) 设备、非 GMS 设备上使用 Workspace ONE UEM,或者在您的组织内使用封闭式网络,则可以不使用 Google Play 服务,而通过工作受管设备注册流程注册您的 Android 设备。您可以在组织的内联网上托管应用,并使用 OEM 特定的注册方法进行部署。
您需要在 UEM console 中指定:您在 Android EMM 注册过程中使用 AOSP/封闭式网络。
对 AOSP/封闭式网络部署使用不含 Google Play 服务的工作受管设备时,需要考虑以下事项:
- 如果您已在顶层组织组中设置了 Android,并且希望仅在特定子组织组中部署 AOSP/封闭式网络,则 UEM console 管理员可以选择指定:子组织组中的开箱即用注册没有受管 Google 帐户。有关更多信息,请参阅“Android EMM 注册”中的“注册设置”。
- 如果要使用 Workspace ONE UEM 1907 和更低版本部署设备,则不需要 UEM console 配置。
- 如果要使用 Workspace ONE UEM 1908 和更高版本部署设备,则必须在“Android EMM 注册”页面中配置设置。
- 支持的注册方法包括:
- 二维码
- 适用于 Zebra 设备的 StageNow
- 适用于 Honeywell 设备的 Honeywell Enterprise Provisioner
- AOSP 设备不支持通过 VMware Workspace ONE Intelligent Hub 标识符进行注册。
- 不支持公共自动更新配置文件。此配置文件专门用于公共应用,对 AOSP 或封闭式网络上的设备不起作用
- 不支持出厂重置保护配置文件。
- 内部应用(在 Workspace ONE UEM console 中托管)将静默部署到 AOSP/封闭式网络设备。
- 不应为未使用受管 Google 帐户注册的工作受管设备分配任何公共应用,也不应在公共应用分配设备计数中考虑这些设备。
- 不使用 Google Play 服务的工作受管设备的操作系统版本和 OEM 要求:
- AOSP(非 GMS)
- Zebra 和 Honeywell - 必须为支持 StageNow 或 Honeywell Enterprise Provisioner 注册的操作系统版本。
- 其他 OEM - 不支持,除非 OEM 通过 StageNow 等客户端或允许用户访问二维码注册来开发对它的支持。
- 封闭式网络
- Zebra 和 Honeywell - Android 7.0 及更高版本必须为支持 StageNow(也是 7.0 或更高版本)或 Honeywell Enterprise Provisioner 注册的操作系统版本。
- 其他 OEM - Android 7.0 或更高版本,因为二维码注册是唯一受支持的方法。
- AOSP(非 GMS)
- 如果配置工作受管设备时没有使用 Google Play 服务,VMware Workspace ONE Intelligent Hub 需要配置为使用 AWCM 而不是 Firebase Cloud Messaging。如果没有此更新,设备将不会收到来自控制台的推送通知。
“企业拥有、个人启用 (COPE)”模式
使用 COPE 模式注册设备时,您仍可以控制整个设备。COPE 模式的独特功能是允许您针对设备和在工作配置文件内分别强制实施两组独立的策略,例如限制。
COPE 模式仅适用于 Android 8.0+ 设备。如果您注册的是 Android 8.0 以下版本的 Android 设备,则该设备将自动注册为完全受管设备。
将设备注册为 COPE 模式时,需要考虑如下注意事项:
-
对于新注册,使用 Android 11 时必须使用适用于 Android 的 VMware Workspace ONE Intelligent Hub 20.08 以及 Workspace ONE UEM console 2008。有关具体信息,请参阅 Android 11 中对企业拥有、个人启用 (COPE) 设备的更改。
-
对于“企业拥有、个人启用”设备,不支持使用 SDK 进行基于 PIN 的加密和 Workspace ONE UEM 单点登录。您可以强制使用工作密码来确保使用工作应用程序需要输入密码。
- COPE 注册不支持单用户注册预备和多用户注册预备。
- 在工作配置文件内,部署到 COPE 设备的内部应用程序(在 Workspace ONE UEM 中托管)和公共应用程序显示在应用程序目录中。
- 类似于纯工作配置文件注册,“企业拥有、个人启用”设备为用户提供禁用工作配置文件的选项(例如在用户休假期间)。禁用工作配置文件后,工作应用程序不会再显示通知,也无法启动。管理员可以在“设备详细信息”页面上查看工作配置文件的状态(“启用”或“禁用”)。禁用工作配置文件后,将无法从工作配置文件检索最新的应用程序和配置文件信息。
- VMware Workspace ONE Intelligent Hub 存在于“企业拥有、个人启用”设备的“完全受管”和“工作配置文件”部分中。管理策略同时存在于工作配置文件之内和之外,因此既可在工作配置文件内应用,也可在整个设备应用。但是,VMware Workspace ONE Intelligent Hub 仅在工作配置文件内可见。
- 设备收到推送通知时,工作配置文件外的 VMware Workspace ONE Intelligent Hub 可临时供用户查看消息,以确保即使在工作配置文件被临时禁用的情况下用户仍可收到关键消息。
- 您可以通过工作配置文件中的 VMware Workspace ONE Intelligent Hub 查看分配的配置文件。
- 用于应用程序管理的合规策略(例如屏蔽/移除应用程序)仅对工作配置文件内的应用程序有效。使用应用程序控制配置文件可以在设备(工作配置文件外)上将应用程序列入黑名单。
- 在 Android 11+ COPE 设备上,可以选择对设备执行企业擦除,而不是执行完全设备擦除。仍然可以使用设备擦除命令执行设备完全擦除。执行企业擦除时,设备会删除工作配置文件并将设备的所有权返回给用户。用户个人数据不受影响。
- COPE 注册不支持产品置备。
- Android 11 具体更改:
- 内部应用程序(由 Workspace ONE UEM 托管)无法再推送到设备的个人端。内部应用(作为专用应用)和公共应用都必须仅部署到工作配置文件。
- 任何其他功能(如依赖于内部应用程序的合规性规则)也将不再受支持。
- 不再支持注册方法 afw#hub。
- 请考虑使用二维码或零接触注册。
- 如果贵组织需要更多时间来完成测试,有两种方法可推迟将设备升级到 Android 11。有关具体信息,请参阅 Android 11 中对企业拥有、个人启用 (COPE) 设备的更改。
- 内部应用程序(由 Workspace ONE UEM 托管)无法再推送到设备的个人端。内部应用(作为专用应用)和公共应用都必须仅部署到工作配置文件。
