注册和配置设备后,使用 Workspace ONE UEM console 管理设备。管理工具和功能允许您监控设备和远程执行管理功能。

您可以从 UEM Console 管理您的所有设备。仪表板是一个可以用来筛选和查找特定设备的可搜索、可定制化视图。利用此功能,可以更轻松地对一组特定的设备执行管理功能。设备列表视图显示当前在您的 Workspace ONE UEM 环境中注册的所有设备及其状态。您可以筛选特定于 Android 的列表视图,并查看如何快速管理设备。

设备详细信息页面提供设备的特定信息,例如配置文件、应用、Workspace ONE Intelligent Hub 版本和设备上当前安装的任何适用 OEM 服务的版本。您还可以通过“设备详细信息”页面在设备上执行特定于平台的远程操作。

使用“设备详细信息”页面

利用设备详细信息页面,您可以跟踪详细的设备信息以及快速访问用户和设备管理操作。

可以通过两种方式访问“设备详细信息”页面:从“设备搜索”页面或者可用的仪表板之一中选择设备的友好名称,或者将任何可用的搜索工具与 Workspace ONE UEM console 搭配使用。

如果设备为节能模式

运行 Android M 的 Android 设备会对空闲的应用和设备使用节能选项。如果用户拔出设备,并在关闭其屏幕的情况下让设备保持静止状态一段时间,则设备会进入瞌睡模式(该模式会尝试让设备保持睡眠状态)。在这段时间内不会有任何网络活动。

此外,应用待机模式可让设备确定这一点:如果用户未积极使用某个应用,则表示该应用处于空闲状态。在设备处于上述任一状态时,Workspace ONE UEM Console 均不会收到有关设备详细信息的报告。在用户插入设备以充电或打开应用时,设备会恢复正常操作,而且,在设备上安装的 AirWatch 应用会恢复向 Workspace ONE UEM console 报告信息的工作。

Android 设备的直接引导

直接引导模式是当设备已打开电源,但用户尚未解锁设备时。在这种状态下,应用将无法正常运行。当设备处于此状态时,应用(适用于 Android 的 Workspace One Intelligent Hub)无法向 UEM console 发送样本或执行支持的功能。

直接引导对在工作配置文件模式下注册的设备有不同的影响。工作配置文件仍以直接引导模式锁定,直到输入工作配置文件密码(如果存在)解锁工作配置文件。这样,如果设备已解锁,则工作配置文件之外的应用可能能够正常运行,但工作配置文件中的应用可能仍在直接引导模式下锁定,直到用户解锁工作配置文件。

按注册模式列出的支持的 Android 设备命令

此列表按注册模式显示可用的设备命令。

星号表示当设备处于直接引导状态时支持哪些命令。

:处于直接引导状态时,仅 FCM (Firebase Cloud Messaging) 支持“清除密码”命令。不支持 AWCM。

设备命令 工作受管设备模式 工作配置文件 COPE (Android 8.0-Android 10) COPE Android 11+
设备查询
发送
锁定
清除密码
清除设备密码 ✓* ✓*
清除工作配置文件密码
生成应用令牌
管理
更改设备密码
更改工作密码
锁定 SSO
重启设备
企业擦除 ✓*
设备擦除 ✓* ✓* ✓*
支持
查找设备
同步设备
管理员
更改组织组
管理标记
编辑设备
删除设备 ✓* ✓* ✓*
请求设备日志
覆盖作业日志级别
高级
启动/停止 AWCM
同步设备

使用设备详细信息菜单标签页来访问特定设备信息,包括:

  • 摘要 - 查看常规统计信息,如注册状态、合规性、最后上线时间、平台/型号/操作系统、组织组、联系信息、序列号、电源状态(包括电池运行状况)、存储容量、物理内存和虚拟内存等。Zebra 设备具有一个面板,可显示详细的电池信息。还可以查看 Workspace ONE Intelligent Hub,以及当前在设备上安装了任何适用 OEM 的哪个版本。
  • 合规性 – 显示状态、策略名称、以往和即将进行的合规检查日期以及已对设备执行的操作。
  • 配置文件 - 查看设备上当前安装的所有 MDM 配置文件。
  • 应用 – 查看设备上当前已安装或待安装的所有应用。对于内部应用,我们将对所有应用的安装状态进行采样。 对于公共应用,我们仅对设备上具有可启动图标的应用进行采样。不会对没有可启动图标的非受管应用进行采样。
  • 内容 – 查看状态、类型、名称、优先级、部署、上次更新时间以及查看日期和时间,并为管理操作提供一个工具栏(安装或删除内容)。Android(旧版)平台 VMware, Inc. 77
  • 位置 – 查看设备当前的位置或位置历史记录。如果您的设备目前处于节能模式,则定位数据在瞌睡模式下可能不会更新。您需要在 UEM console 中使用限制配置文件,并将允许定位服务配置添加到允许列表中,或使用 OEM 配置完全禁用瞌睡模式。
  • 用户 – 访问关于设备用户的详细信息以及该用户注册的其他设备的状态。选择“设备详细信息”主选项卡上的“更多”来访问以下菜单选项卡。
  • 网络 – 查看设备的当前网络(蜂窝、Wi-Fi、蓝牙)状态。
  • 电信 – 查看设备所有通话、数据和收发消息的数量。
  • 注释 – 查看和添加有关设备的注释。例如,注明递送状态或者设备是否已送修并已损坏。
  • 证书 – 按名称和颁发者标识设备证书。此标签页还提供关于证书过期方面的信息。
  • 产品 - 查看置备到设备的所有软件包的完整历史记录和状态,以及任何置备错误。
  • 自定义属性 - 使您能够使用高级产品置备功能。
  • 文件/操作 - 查看与设备相关的文件和其他操作。
  • 事件操作 - 允许您在满足预定的条件时在设备上进行操作
  • 共享设备日志 - 查看共享设备的设备历史记录,包括以往签入、签出和当前状态的记录。
  • 故障排除 - 查看事件日志和命令日志记录信息。此页提供了导出和搜索功能,使您能够执行目标搜索和分析。
  • 事件日志 - 查看详细的调试信息和服务器的签入次数,包括按事件组类型、日期范围、严重程度、模块和类别进行筛选的筛选器。在“事件日志”列表中,“事件数据”列可能显示超文本链接,单击这些链接可打开一个单独的屏幕,其中会显示有关特定事件的更多详细信息。通过这些信息,您可以执行高级故障排查,例如确定配置文件安装失败的原因。
  • 命令 – 查看待定、排队和已向设备发送命令等详细列表。包括一个筛选器,使用该筛选器可以按类别、状态和特定命令来筛选命令。
  • 破解检测 - 查看有关设备的破解状态的详细信息,包括状态的特定原因以及状态的严重程度。
  • 状态历史记录 – 查看与注册状态有关的设备历史记录。
  • 针对性日志记录 - 查看控制台、目录、设备服务、设备管理和自助服务门户的日志。必须在设置中启用目标日志记录并提供链接,以实现此目的。然后,必须选择“创建新日志”按钮并选择收集日志的时间长度。
  • 附件 – 使用服务器上的这一存储空间来存储屏幕截图、文档和故障排查以及其他用途的链接,以节省设备本身的存储空间。

适用于 Android 设备的设备管理命令

借助“设备详细信息”页面上的更多下拉菜单,您可以隔空对所选设备执行远程操作。下面列出的操作会因各种因素(如设备平台、Workspace ONE UEM console 设置和注册状态)而有所不同。

清除密码

  • 清除密码(设备)– 清除设备密码。用于用户忘记了设备密码的情形。
  • 生成应用令牌 - 为忘记了 Workspace ONE SDK 构建的应用程序的登录信息的用户生成应用令牌。
  • 清除工作密码 - 清除工作或容器密码。用于用户忘记了设备密码的情形。

管理

  • 更改设备密码 – 使用新密码来替换用来访问选定设备的任何现有设备密码。
  • 更改工作密码 - 选择此选项可移除设备上的工作安全质询。适用于 Android 8.0 或更高版本。
  • 锁定 SSO – 锁定设备用户,使其无法访问 Workspace ONE UEM Container 和所有参与 SSO 的应用程序。
  • 重启设备 – 远程重启设备,再现开关设备电源的影响。
  • 设备擦除 – 发出 MDM 命令以擦除设备上的所有数据和操作系统。此操作无法撤销。
  • 锁定 SSO – 锁定设备用户,使其无法访问 Workspace ONE UEM Container 和所有参与 SSO 的应用程序。
  • 企业擦除 – 从设备中移除企业数据,而不会影响任何个人数据。

支持

  • 查找设备 – 向适用的 Workspace ONE UEM 应用程序发送短信和可听见的声音(旨在帮助用户寻找放错地方的设备)。可听见的声音选项让用户能配置声音的重放次数和重放间隔秒数。
  • 同步设备 – 调整“最后上线时间”状态,让所选设备与 UEM console 同步。

管理员

  • 更改组织组 – 将设备的主组织组变更为另一个现有组织组。此操作包括一个选择静态或动态组织组的选项。如果要一次更改多个设备的组织组,则必须使用块选择方法(使用 shift 键)而不是“全局”复选框(在设备列表视图中的“最后上线时间”列标题旁边)选择要进行批量操作的设备。

  • 管理标记 -

  • 编辑设备 – 编辑诸如友好名称、资产编号、设备所有权、设备组以及设备类别等设备信息。

  • 删除设备 – 删除设备,并从控制台取消设备注册。将企业擦除命令发送到在下一次签入过程中擦除的设备,并在控制台上将该设备标记为“正在删除”。如果设备上的擦除保护处于关闭状态,则发出的命令会立即执行企业擦除,并移除控制台中的设备表示形式。

  • 请求设备日志 – 请求所选设备的调试日志,然后通过选择“更多”标签页并选择“附件”>“文档”来查看日志。您无法在 Workspace ONE UEM console 中查看日志。日志记录将以 ZIP 文件形式提供,可用于故障排查并提供支持。请求日志时,您可以选择从系统或 Hub 接收日志。系统提供系统级日志。Hub 从设备上运行的多个代理提供日志。

    仅限 Android:您可以从企业拥有的 Android 设备检索详细日志,并在控制台上查看日志,以快速解决设备上存在的问题。

  • 覆盖作业日志级别 – 覆盖当前在所选设备上指定的作业事件日志记录级别。此操作可设置通过“产品预置”推送的作业的日志记录详细程度,并且覆盖“Android Hub 设置”中配置的当前日志级别。可以通过选择操作屏幕上的下拉菜单项“重置为默认”来清除“作业日志级别覆盖”。您还可以在 Android Hub 设置中的“产品置备”类别下更改作业日志级别。

高级

  • 启动/停止 AWCM – 启动/停止所选设备的云消息服务。VMware AirWatch Cloud Messaging (AWCM) 简化了从管理控制台发送消息和命令的工作。AWCM 使最终用户无需访问公共互联网,也无需使用 Google ID 等使用者帐户。
  • 同步设备 – 调整“最后上线时间”状态,让所选设备与 UEM console 同步。

“详细信息应用”标签页

Workspace ONE UEM console 中的设备详细信息应用标签页包含按设备控制公共应用程序的选项。您可以根据注册类型和隐私配置查看已在 UEM console 和个人应用中分配的应用。

管理员可以查看应用程序的相关信息,包括安装状态、应用程序类型、应用程序版本和应用程序标识符。

通过“操作”菜单中的安装选项,您可以从列表视图中选择分配的应用并直接推送到设备。操作菜单中的移除选项能够以静默方式卸载应用程序。

工作配置文件注册仅显示由管理员分配的应用,不会显示用户安装的个人应用程序。工作受管注册会显示所有应用程序,因为 Workspace ONE UEM 可以完全控制设备,并且没有个人应用程序的概念。对于 COPE 注册,“设备详细信息应用”标签页显示受管应用程序,其中包括默认情况下在个人端安装的内部应用程序。

Workspace ONE UEM console 不会显示用户无法启动的应用。UEM console 将报告具有用户可以单击并打开的 Launcher 图标的应用的状态。因此,“设备详细信息”中不会显示后台应用或服务应用程序。

通过“请求设备日志”命令,您可以从企业拥有的设备中检索 VMware Workspace ONE Intelligent Hub 或详细的系统日志,并在控制台中查看这些日志,以快速解决设备上出现的任何问题。在“请求设备日志”对话框中,您可以为 Android 设备自定义日志记录请求。请参阅下方更多详细信息。

请求设备日志

通过“请求设备日志”命令,您可以从企业拥有的设备中检索 VMware Workspace ONE Intelligent Hub 或详细的系统日志,并在控制台中查看这些日志,以快速解决设备上出现的任何问题。在“请求设备日志”对话框中,您可以为 Android 设备自定义日志记录请求。

  1. 导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 隐私,并在隐私设置中启用“请求设备日志”。

    由于隐私问题,不允许选择员工拥有的设备

  2. 导航到设备 > 列表视图 > 从列表中选择设备 > 更多操作 > 请求设备日志

  3. 自定义日志设置:

    设置 说明
    来源 选择 Hub 以收集 VMware Workspace ONE Intelligent Hub 生成的日志。
    选择系统以包含设备上的所有应用程序和事件。基于您的隐私设置提供系统服务,并且仅限于具有特定平台服务应用程序的设备制造商。**注:**在运行 Platform OEM Service v3.3+、MSI Service v1.3+ 和 Honewell Service v3.0+ 的设备上可用。
    选择网络可在指定的持续时间内将来自应用的 DNS 请求和网络连接记录到日志文件。**注:**在运行 Android 8 或更高版本的工作受管设备上可用。**注:**必须在“隐私设置”中启用“收集公共 IP 地址”。
    选择安全以收集安全日志,其中详细记录了可能的安全漏洞,如引导前和引导后的活动、身份验证尝试、凭据存储修改、尝试的 adb 连接等等。:需要使用工作受管 Android 7.0 或更高版本的设备以及适用于 Android 的 Workspace ONE Intelligent Hub 21.05。如果设备未满足这些要求,安全选项将呈灰色显示。
    类型 选择快照可检索设备中可用的最新日志记录。选择计时可收集指定时间段内的连续日志。多个日志文件可能会发送到 UEM console。选择“网络”时,“级别”选项将不可用
    持续时间 指定设备收集日志并将其报告给控制台的持续时间。
    级别 确定日志中包含的详细信息级别(错误、警告、信息、调试、详细)。
  4. 选择保存

  5. 要查看日志文件,请导航到设备详细信息 > 更多 > 附件 > 文档

  6. 在收到日志后取消设备日志请求,并且不再需要收集日志。导航到设备 > 列表视图 > 从列表中选择设备 > 更多操作 > 取消设备日志以取消设备日志请求。

SafetyNet Attestation

SafetyNet Attestation 是一种 Google API,用于验证设备的完整性,确保设备未被破解。

SafetyNet 可验证设备上的软件和硬件信息,并创建该设备的配置文件。此认证有助于确定特定设备是否遭到篡改或修改。当 Workspace ONE UEM Console 运行 SafetyNet Attestation API 并报告设备已被破解时,UEM Console“设备详细信息”页面会将设备报告为被破解。如果 SafetyNet Attestation 检测到设备遭到破坏,则恢复设备被破坏状态的唯一方法是重新注册受影响的设备。

请务必注意,SafetyNet Attestation 在最初报告后不会重新评估破解状态。

仅 VMware Workspace ONE Intelligent Hub 支持 SafetyNet Attestation。

启用 SafetyNet Attestation 在 UEM console 中启用 SafetyNet Attestation API,以验证设备的完整性并确定设备是否已被破解。

  1. 导航到“组与设置”>“所有设置”>“应用”>“设置和策略”>“设置”>“自定义设置”

  2. 将以下自定义 XML 粘贴到“自定义设置”字段中:{ "SafetyNetEnabled":true }

  3. 保存自定义 XML。

  4. 在 UEM console“设备详细信息”页面的“摘要”选项卡中验证 SafetyNet。如果看不到 SafetyNet Attestation 的状态,则可以发送远程命令以重新启动设备。

check-circle-line exclamation-circle-line close-line
Scroll to top icon