使用 Workspace ONE UEM 进行的 Android 设备管理
注册和配置设备后,使用 Workspace ONE UEM console 管理设备。管理工具和功能允许您监控设备和远程执行管理功能。
您可以从 UEM console 管理您的所有设备。仪表板是一个可以用来筛选和查找特定设备的可搜索、可定制化视图。利用此功能,可以更轻松地对一组特定的设备执行管理功能。设备列表视图显示当前在您的 Workspace ONE UEM 环境中注册的所有设备及其状态。您可以筛选特定于 Android 的列表视图,并查看如何快速管理设备。
使用“设备详细信息”页面
设备详细信息页面提供设备的特定信息,例如配置文件、应用、Workspace ONE Intelligent Hub 版本和设备上当前安装的任何适用 OEM 服务的版本。您还可以通过“设备详细信息”页面在设备上执行特定于平台的远程操作。
可以通过两种方式访问“设备详细信息”页面:从“设备搜索”页面或者可用的仪表板之一中选择设备的友好名称,或者将任何可用的搜索工具与 Workspace ONE UEM console 搭配使用。
设备详细信息中的注册状态
在某些情况下,由于在设备本地执行的操作,“设备详细信息”页面未更新注册状态。
以下是一些场景:
- 当用户从其设备上的“设置”应用执行出厂重置时,UEM console 中的注册状态未更新。
- 如果用户从其设备上的“设置”应用中移除工作配置文件,则 UEM console 中的注册状态未更新。
- 达到失败工作配置文件或设备密码限制后,注册状态未更新,这会触发工作配置文件或设备擦除,具体取决于注册模式:
- 在工作配置文件上,将擦除工作配置文件。
- 在 COPE 和完全受管设备上,将擦除整个设备。
如果设备为节能模式
运行 Android M 的 Android 设备会对空闲的应用和设备使用节能选项。如果用户拔出设备,并在关闭其屏幕的情况下让设备保持静止状态一段时间,则设备会进入瞌睡模式(该模式会尝试让设备保持睡眠状态)。在这段时间内不会有任何网络活动。
此外,应用待机模式可让设备确定这一点:如果用户未积极使用某个应用,则表示该应用处于空闲状态。在设备处于上述任一状态时,Workspace ONE UEM Console 均不会收到有关设备详细信息的报告。在用户插入设备以充电或打开应用时,设备会恢复正常操作,而且,在设备上安装的 AirWatch 应用会恢复向 Workspace ONE UEM console 报告信息的工作。
在直接引导中管理 Android 设备**
直接引导模式是当设备已打开电源,但用户尚未解锁设备时。在这种状态下,应用将无法正常运行。当设备处于此状态时,应用(适用于 Android 的 Workspace ONE Intelligent Hub)无法向 UEM console 发送样本或执行支持的功能。
处于直接引导模式的设备上支持两个操作:
- 擦除设备和/或工作配置文件:重新引导受管 Android 设备后,Intelligent Hub 会检查 Workspace ONE UEM 中的设备是否正在等待擦除,并执行此操作。注意:如果您在设备打开电源时在直接引导模式下对设备发出擦除,则需要再次重新引导设备,以便 Intelligent Hub 处理擦除。
- 清除设备或工作配置文件密码:仅当 Intelligent Hub 配置为使用 FCM (Firebase Cloud Messaging) 收来自 Workspace ONE UEM 的推送通知时,才支持在直接引导模式下使用“清除密码 (Clear Passcode)”命令。不支持 AWCM。有关更多信息,请参阅 Workspace ONE Intelligent Hub 的 Android 设置。
按注册模式列出的支持的 Android 设备命令
此列表按注册模式显示可用的设备命令。星号表示当设备处于直接引导模式时支持哪些命令。
注意:适用于 COPE Android 11 或更高版本设备的锁定命令仅锁定工作配置文件,而不会锁定整个设备。
| 设备命令 | 工作受管设备模式 | 工作配置文件 | COPE (Android 8.0-Android 10) | COPE Android 11+ |
|---|---|---|---|---|
| 设备查询 | ✓ | ✓ | ✓ | ✓ |
| 发送 | ✓ | ✓ | ✓ | ✓ |
| 锁定 | ✓ | ✓ | ✓ | ✓ |
| 清除密码 | ||||
| 清除设备密码 | ✓* | ✓ | ||
| 清除工作配置文件密码 | ✓ | ✓* | ✓* | |
| 生成应用令牌 | ✓ | ✓ | ✓ | ✓ |
| 管理 | ||||
| 更改设备密码 | ✓ | ✓ | ||
| 更改工作密码 | ✓ | ✓ | ✓ | |
| 锁定 SSO | ✓ | ✓ | ✓ | ✓ |
| 重启设备 | ✓ | |||
| 企业擦除 | ✓* | ✓ | ||
| 设备擦除(请确保在发出此命令之前移除任何 OEM 特定策略以阻止出厂重置,否则可能会失败。) | ✓* | ✓* | ✓* | |
| 支持 | ||||
| 查找设备 | ✓ | ✓ | ✓ | ✓ |
| 同步设备 | ✓ | ✓ | ✓ | ✓ |
| 管理员 | ||||
| 更改组织组 | ✓ | ✓ | ✓ | ✓ |
| 管理标记 | ✓ | ✓ | ✓ | ✓ |
| 编辑设备 | ✓ | ✓ | ✓ | ✓ |
| 删除设备 | ✓* | ✓ | ✓* | ✓* |
| 请求设备日志 | ✓ | ✓ | ✓ | ✓ |
| 覆盖作业日志级别 | ✓ | |||
| 高级 | ||||
| 启动/停止 AWCM | ✓ | ✓ | ✓ | ✓ |
| 同步设备 | ✓ | ✓ | ✓ | ✓ |
使用设备详细信息菜单标签页来访问特定设备信息,包括:
- 摘要 - 查看常规统计信息,如注册状态、合规性、最后上线时间、平台/型号/操作系统、组织组、联系信息、序列号、电源状态(包括电池运行状况)、存储容量、物理内存和虚拟内存等。Zebra 设备具有一个面板,可显示详细的电池信息。还可以查看 Workspace ONE Intelligent Hub,以及当前在设备上安装了任何适用 OEM 的哪个版本。注意:如果 Android 设备报告根据 Android 标准确定为无效的制造商和型号,则设备摘要的“型号/操作系统”字段在控制台中显示为“未知”。
- 合规性 – 显示状态、策略名称、以往和即将进行的合规检查日期以及已对设备执行的操作。
- 配置文件 - 查看设备上当前安装的所有 MDM 配置文件。
- 应用 – 查看设备上当前已安装或待安装的所有应用。对于内部应用,我们将对所有应用的安装状态进行采样。对于公共应用,我们仅对设备上具有可启动图标的应用进行采样。不会对没有可启动图标的非受管应用进行采样。
- 内容 – 查看状态、类型、名称、优先级、部署、上次更新时间以及查看日期和时间,并为管理操作提供一个工具栏(安装或删除内容)。Android(旧版)平台 VMware, Inc. 77
- 位置 – 查看设备当前的位置或位置历史记录。如果您的设备目前处于节能模式,则定位数据在瞌睡模式下可能不会更新。系统将提示用户在以下情况的任何设备上启用 Google 定位精度:在设备的组织组处的 Intelligent Hub 设置中启用位置数据收集或在设备的隐私设置中启用位置数据收集(基于组织组和所有权类型)。系统将提示用户在 Android 12 及更高版本上的工作配置文件和 COPE 设备中授予 Hub 位置权限。有关更多信息,请参阅 Workspace ONE Intelligent Hub 的 Android 设置。
- 用户 – 访问关于设备用户的详细信息以及该用户注册的其他设备的状态。选择“设备详细信息”主选项卡上的“更多”来访问以下菜单选项卡。
- 网络 – 查看设备的当前网络(蜂窝、Wi-Fi、蓝牙)状态。注意:如果设备上未启用定位服务,则可能无法收集和报告活动的 SSID。在这些情况下,SSID 作为“未知 SSID”报告
- 电信 – 查看设备所有通话、数据和收发消息的数量。
- 注释 – 查看和添加有关设备的注释。例如,注明递送状态或者设备是否已送修并已损坏。
- 证书 – 按名称和颁发者标识设备证书。此标签页还提供关于证书过期方面的信息。
- 产品 - 查看置备到设备的所有软件包的完整历史记录和状态,以及任何置备错误。
- 自定义属性 - 使您能够使用高级产品置备功能。
- 文件/操作 - 查看与设备相关的文件和其他操作。
- 事件操作 - 允许您在满足预定的条件时在设备上进行操作
- 共享设备日志 - 查看共享设备的设备历史记录,包括以往签入、签出和当前状态的记录。
- 故障排除 - 查看事件日志和命令日志记录信息。此页提供了导出和搜索功能,使您能够执行目标搜索和分析。
- 事件日志 - 查看详细的调试信息和服务器的签入次数,包括按事件组类型、日期范围、严重程度、模块和类别进行筛选的筛选器。在“事件日志”列表中,“事件数据”列可能显示超文本链接,单击这些链接可打开一个单独的屏幕,其中会显示有关特定事件的更多详细信息。通过这些信息,您可以执行高级故障排查,例如确定配置文件安装失败的原因。
- 命令 – 查看待定、排队和已向设备发送命令等详细列表。包括一个筛选器,使用该筛选器可以按类别、状态和特定命令来筛选命令。
- 破解检测 - 查看有关设备的破解状态的详细信息,包括状态的特定原因以及状态的严重程度。
- 状态历史记录 – 查看与注册状态有关的设备历史记录。
- 针对性日志记录 - 查看控制台、目录、设备服务、设备管理和自助服务门户的日志。必须在设置中启用目标日志记录并提供链接,以实现此目的。然后,必须选择“创建新日志”按钮并选择收集日志的时间长度。
- 附件 – 使用服务器上的这一存储空间来存储屏幕截图、文档和故障排查以及其他用途的链接,以节省设备本身的存储空间。
Android 的 MAC 地址行为
在运行 Android 10 或更高版本的设备上,系统默认传输随机 MAC 地址。这与以前版本的 Android 不同。
Android 操作系统版本和注册类型决定了我们收集 Wi-Fi MAC 地址的方式:
- 完全受管的设备可以收集所有操作系统版本上的实际硬件 WiFi MAC 地址。
- COPE 设备可以收集所有操作系统上的实际硬件 WiFi MAC 地址。
- 工作配置文件设备可以收集 Android 9 及更低版本上的实际硬件 Wi-Fi MAC 地址。
- 工作配置文件设备可以收集 Android 10 或更高版本上的活动 SSID 的随机 WiFi MAC 地址。
您可以在设备详细信息的网络选项卡中找到所列的 MAC 地址。
适用于 Android 设备的设备管理命令
借助“设备详细信息”页面上的更多下拉菜单,您可以隔空对所选设备执行远程操作。下面列出的操作会因各种因素(如设备平台、Workspace ONE UEM console 设置和注册状态)而有所不同。
清除密码
- 清除密码(设备)– 清除设备密码。用于用户忘记了设备密码的情形。
- 生成应用令牌 - 为忘记了 Workspace ONE SDK 构建的应用程序的登录信息的用户生成应用令牌。
- 清除工作密码 - 清除工作或容器密码。用于用户忘记了设备密码的情形。
管理
- 更改设备密码 – 使用新密码来替换用来访问选定设备的任何现有设备密码。
- 更改工作密码 - 选择此选项可移除设备上的工作安全质询。适用于 Android 8.0 或更高版本。
- 锁定 SSO – 锁定设备用户,使其无法访问 Workspace ONE UEM Container 和所有参与 SSO 的应用程序。
- 重启设备 – 远程重启设备,再现开关设备电源的影响。
- 设备擦除 – 发出 MDM 命令以擦除设备上的所有数据和操作系统。此操作无法撤销。注意:在 Zebra 设备上,仅当设备电池电量达到 5% 或更高时,Workspace ONE UEM 才会执行“设备擦除”命令。
- 锁定 SSO – 锁定设备用户,使其无法访问 Workspace ONE UEM Container 和所有参与 SSO 的应用程序。
- 企业擦除 – 从设备中移除企业数据,而不会影响任何个人数据。在 COPE 注册的 Android 11 + 设备上,企业擦除会取消设备注册,移除工作配置文件,并使个人配置文件保持完整。
支持
- 查找设备 – 向适用的 Workspace ONE UEM 应用程序发送短信和可听见的声音(旨在帮助用户寻找放错地方的设备)。可听见的声音选项让用户能配置声音的重放次数和重放间隔秒数。
- 同步设备 – 调整“最后上线时间”状态,让所选设备与 UEM console 同步。
管理员
- 更改组织组 – 将设备的主组织组变更为另一个现有组织组。此操作包括一个选择静态或动态组织组的选项。如果要一次更改多个设备的组织组,则必须使用块选择方法(使用 shift 键)而不是“全局”复选框(在设备列表视图中的“最后上线时间”列标题旁边)选择要进行批量操作的设备。
- 管理标记 -
- 编辑设备 – 编辑诸如友好名称、资产编号、设备所有权、设备组以及设备类别等设备信息。
- 删除设备 – 删除设备,并从控制台取消设备注册。将企业擦除命令发送到在下一次签入过程中擦除的设备,并在控制台上将该设备标记为“正在删除”。如果设备上的擦除保护处于关闭状态,则发出的命令会立即执行企业擦除,并移除控制台中的设备表示形式。
-
请求设备日志 - 请求所选设备的调试日志,然后通过选择“更多”标签页并选择“附件”>“文档”来查看日志。您无法在 Workspace ONE UEM console 中查看日志。日志记录将以 ZIP 文件形式提供,可用于故障排查并提供支持。请求日志时,您可以选择从系统或 Hub 接收日志。系统提供系统级日志。Hub 从设备上运行的多个代理提供日志。
仅限 Android:您可以从企业拥有的 Android 设备检索详细日志,并在控制台上查看日志,以快速解决设备上存在的问题。
- 覆盖作业日志级别 – 覆盖当前在所选设备上指定的作业事件日志记录级别。此操作可设置通过“产品预置”推送的作业的日志记录详细程度,并且覆盖“Android Hub 设置”中配置的当前日志级别。可以通过选择操作屏幕上的下拉菜单项“重置为默认”来清除“作业日志级别覆盖”。您还可以在 Android Hub 设置中的“产品置备”类别下更改作业日志级别。
高级
- 启动/停止 AWCM – 启动/停止所选设备的云消息服务。VMware AirWatch Cloud Messaging (AWCM) 简化了从管理控制台发送消息和命令的工作。AWCM 使最终用户无需访问公共互联网,也无需使用 Google ID 等使用者帐户。
- 同步设备 – 调整“最后上线时间”状态,让所选设备与 UEM console 同步。
“详细信息应用”标签页
Workspace ONE UEM console 中的设备详细信息应用标签页包含按设备控制公共应用程序的选项。您可以根据注册类型和隐私配置查看已在 UEM console 和个人应用中分配的应用。
管理员可以查看应用程序的相关信息,包括安装状态、应用程序类型、应用程序版本和应用程序标识符。
通过“操作”菜单中的安装选项,您可以从列表视图中选择分配的应用并直接推送到设备。操作菜单中的移除选项能够以静默方式卸载应用程序。
工作配置文件注册仅显示由管理员分配的应用,不会显示用户安装的个人应用程序。工作受管注册会显示所有应用程序,因为 Workspace ONE UEM 可以完全控制设备,并且没有个人应用程序的概念。对于 COPE 注册,“设备详细信息应用”标签页显示受管应用程序,其中包括默认情况下在个人端安装的内部应用程序。
Workspace ONE UEM console 不会显示用户无法启动的应用。UEM console 将报告具有用户可以单击并打开的 Launcher 图标的应用的状态。因此,“设备详细信息”中不会显示后台应用或服务应用程序。
通过“请求设备日志”命令,您可以从企业拥有的设备中检索 VMware Workspace ONE Intelligent Hub 或详细的系统日志,并在控制台中查看这些日志,以快速解决设备上出现的任何问题。在“请求设备日志”对话框中,您可以为 Android 设备自定义日志记录请求。请参阅下方更多详细信息。
请求设备日志
通过“请求设备日志”命令,您可以从企业拥有的设备中检索 VMware Workspace ONE Intelligent Hub 或详细的系统日志,并在控制台中查看这些日志,以快速解决设备上出现的任何问题。在“请求设备日志”对话框中,您可以为 Android 设备自定义日志记录请求。
-
导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 隐私,并在隐私设置中启用“请求设备日志”。
由于隐私问题,不允许选择员工拥有的设备
-
导航到设备 > 列表视图 > 从列表中选择设备 > 更多操作 > 请求设备日志。
-
自定义日志设置:
设置 说明 来源 选择 Hub 以收集 VMware Workspace ONE Intelligent Hub 生成的日志。 选择系统以包含设备上的所有应用程序和事件。基于您的隐私设置提供系统服务,并且仅限于具有特定平台服务应用程序的设备制造商。注意:在运行 Platform OEM Service v3.3+、MSI Service v1.3+ 和 Honewell Service v3.0+ 的设备上可用。 选择网络可在指定的持续时间内将来自应用的 DNS 请求和网络连接记录到日志文件。注意:在运行 Android 8 或更高版本的工作受管设备上可用。注意:必须在“隐私设置”中启用“收集公共 IP 地址”。 选择安全以收集安全日志,其中详细记录了可能的安全漏洞,如引导前和引导后的活动、身份验证尝试、凭据存储修改、尝试的 adb 连接等等。注意:需要使用工作受管 Android 7.0 或更高版本的设备以及适用于 Android 的 Workspace ONE Intelligent Hub 21.05。如果设备未满足这些要求,安全选项将呈灰色显示。 类型 选择快照可检索设备中可用的最新日志记录。选择计时可收集指定时间段内的连续日志。多个日志文件可能会发送到 UEM console。选择“网络”时,“级别”选项将不可用 持续时间 指定设备收集日志并将其报告给控制台的持续时间。 级别 确定日志中包含的详细信息级别(错误、警告、信息、调试、详细)。 -
选择保存。
-
要查看日志文件,请导航到设备详细信息 > 更多 > 附件 > 文档。
-
在收到日志后取消设备日志请求,并且不再需要收集日志。导航到设备 > 列表视图 > 从列表中选择设备 > 更多操作 > 取消设备日志以取消设备日志请求。
SafetyNet Attestation
SafetyNet Attestation 是一种 Google API,用于验证设备的完整性,确保设备未被破解。
SafetyNet 可验证设备上的软件和硬件信息,并创建该设备的配置文件。此认证有助于确定特定设备是否遭到篡改或修改。当 Workspace ONE UEM Console 运行 SafetyNet Attestation API 并报告设备已被破解时,UEM Console“设备详细信息”页面会将设备报告为被破解。如果 SafetyNet Attestation 检测到设备遭到破坏,则恢复设备被破坏状态的唯一方法是重新注册受影响的设备。
请务必注意,SafetyNet Attestation 在最初报告后不会重新评估破解状态。
仅 VMware Workspace ONE Intelligent Hub 支持 SafetyNet Attestation。
启用 SafetyNet Attestation 在 UEM console 中启用 SafetyNet Attestation API,以验证设备的完整性并确定设备是否已被破解。
-
导航到“组与设置”>“所有设置”>“应用”>“设置和策略”>“设置”>“自定义设置”
-
将以下自定义 XML 粘贴到“自定义设置”字段中://xml {“SafetyNetEnabled”:true }
{"SafetyNetEnabled":true}
-
保存自定义 XML。
-
在 UEM console“设备详细信息”页面的“摘要”选项卡中验证 SafetyNet。如果看不到 SafetyNet Attestation 的状态,则可以发送远程命令以重新启动设备。
