向 Workspace ONE UEM 注册 Android

要开始管理 Android 设备，您需要在 Google 中将 Workspace ONE UEM 注册为您的企业移动化管理 (EMM) 提供程序。Workspace ONE UEM console“开始”页面提供了分步解决方案，帮助您配置保护和管理设备库所需的企业管理工具。

有两种方法可以完成 Android Enterprise 注册。现在建议使用受管 Google Domain Enterprise 方法。通过受管 Google Domain Enterprise，Google 会将您的 Android Enterprise 设备绑定到组织的域。在整个 Android EMM 注册设置向导中，您可以提供组织的域。如果尚未在 Google Workspace 中注册域，系统会提示您提供有关您的组织的其他 Google 信息。完成 Android EMM 注册后，在 Google 管理控制台中验证您的域可允许将域与其他 Google 企业服务一起使用。如果您的组织已使用此域注册 Google Workspace，则系统只会提示您使用企业 Google 帐户登录。可以将多个受管 Google Domain Enterprise 绑定到一个域。因此，您可以在多个 Workspace ONE UEM 环境中使用相同的域完成 Android EMM 注册。

现在，Google 仅建议在无法使用受管 Google Domain Enterprise 的 Edge 情况下使用受管 Google Play Enterprise 完成 Android EMM 注册。使用受管 Google Play Enterprise 时，您可以将您组织的设备绑定到由 GMail 帐户管理的企业。以前使用此方法完成 Android EMM 注册的组织仍能够在 Workspace ONE UEM 与现有受管 Google Play 企业之间重新建立绑定。

重要提示：在使用受管 Google Play Enterprise 完成注册后，强烈建议添加其他 GMail 帐户作为管理员。这有助于在主帐户变为非活动状态时保持对企业的管理。请参见企业中分配角色，以了解更多信息。此外，不会删除与您的受管Google Play Enterprise 关联的组织。删除这些内容可能会导致 Android 设备的管理功能丢失。

Google 服务帐户是 Workspace ONE UEM 用来访问 Google API 的特殊 Google 帐户，在使用旧版创建受管 Google Domain Enterprise 方法设置 Android 时，需要使用该帐户。否则，Google 服务帐户凭据会在完成 Android EMM 注册设置向导后自动填充。

重要提示：Android 设置包括集成非 VMware 管理的第三方工具。在本指南中，有关 Google Admin Console 和 Google Developer Console 的信息采用的是 2024 年 3 月前发布的版本。本指南不对能否与第三方产品集成作任何保证，且此类集成取决于第三方解决方案能否正常运行。

在受管 Google Domain Enterprise 中注册

要使用新的受管 Google Domain Enterprise 设置 Android Enterprise，请在“入门”或“Android EMM 注册”设置页面中选择注册 Google。这会启动 Google 注册向导，并且这是面向新组织的推荐方法。可以使用备用注册流程，该流程允许组织手动提供企业令牌、服务帐户和其他详细信息。对于在新Workspace ONE UEM环境中配置 Android 的组织，不建议使用此方法。

必备条件

如果“Android EMM 注册”页面被屏蔽，请确保已在网络架构中选择 Google URL，以便与内部和外部端点通信。

使用 Google 注册向导（建议）

通过 Workspace ONE UEM Console，您可以使用简化的设置过程将 UEM Console 作为 EMM 提供商绑定到 Google。

过程

1. 导航到开始 > Workspace ONE > Android EMM 注册。

2. 选择配置，然后您会被重定向到“Android EMM 注册”页面。

3. 选择向 Google 注册。您将被重定向到 Google 设置向导。

4. 输入您的工作电子邮件地址。此帐户应属于您组织的域。

5. 完成电子邮件验证。

6. 如果域未在 Google Workspace 中注册，请按照提示创建您的企业 Google 帐户并提供您组织的名称。

7. 允许此组织的 EMM 绑定 Workspace ONE UEM。

您将被重定向到Workspace ONE UEM Console中的 Android EMM 注册设置页面。您组织的详细信息以及用于创建受管 Google Domain Enterprise 的管理员的电子邮件地址将在此处显示。

使用 Workspace ONE UEM 注册向导

在受管 Google 域中设置帐户需要组织设置 Google 域（如果组织尚未使用 Google 域）。您也需要完成几项手动任务（例如使用 Google 验证域所有权、获取 EMM 令牌以及创建企业服务帐户）才能使用此类设置。

1. 导航到开始 > Workspace ONE > Android EMM 注册。

2. 选择注册重定向到 Android 设置向导，以完成下列三个步骤：

   1. 生成令牌：通过使用 Google 注册您的企业域来获取企业令牌。

   2. 上传令牌：在 Android 设置向导中输入 EMM 令牌。

   3. 设置用户：配置如何为整个企业创建用户。

3. 选择转到 Google。随即您会被重定向到 G Suite 站点。

4. 注册您的企业，并验证域。

设置 Google 服务帐户

Google 服务帐户是应用程序用于访问 Google API 的特殊 Google 帐户。您应在生成 EMM 令牌后创建此帐户，以便可以一次上传所有信息。

1. 导航到 Google Cloud Platform- Google Developers Console。

2. 使用 Google 凭证登录。

   Google 管理员凭证不需要与您的业务域关联。请考虑为您所在组织创建 Android 专用 Google 帐户，以免与任何现有的 Google 帐户发生冲突。

   注意：请考虑添加其他帐户，以便在一个帐户变为非活跃状态时，您将有其他帐户登录并访问您的 Google 服务帐户。

3. 使用“选择项目”菜单中的下拉菜单，并选择新建项目。

4. 输入项目名称以在新项目窗口中创建 API 项目。请考虑使用 Android EMM CompanyName 作为命名约定。

5. 同意这些条款和条件，然后选择创建。

   项目随即生成，Google Developer Console 会将您重定向到 API Manager 页面。

6. 从 API 与服务仪表板中为 Android 选择启用 API 和服务。

7. 搜索并激活以下 API：Google Play EMM API 和 Admin SDK。

   创建项目并启用 API 后，请在 Google Developer Console 中创建服务帐户。

8. 导航到 API 与服务 > 凭证 > 创建凭证 > 服务帐户密钥 > 新建服务帐户。

9. 为您的服务帐户定义服务帐户名称。请考虑下面的 Android 命名约定，务必记下所选的名称，因为在后面的步骤中会使用此名称。将自动生成服务帐户 ID。单击创建和继续。

10. 使用下拉菜单选择角色 > 项目作为所有者并选择继续。

11. 您可以跳过显示的步骤 3，以授予其他用户对服务帐户的访问权限。选择“完成”。

12. 选择创建的服务帐户。转到密钥选项卡，然后选择添加密钥 > 创建新密钥。选择 P12，然后选择创建。

    身份证书将自动创建并下载到本地驱动器。请务必要保存您的身份证书和密码，因为将证书上载到 Workspace ONE UEM Console 时需要这些信息。

13. 从“服务帐户”页面中选择管理服务帐户。在“高级设置”下，有一个指向了解有关域范围委派的更多信息的链接。请按照其中的步骤启用域范围的委派。

    要将域范围的权限委派给服务帐户，Google Workspace 域的超级管理员必须完成以下步骤：1.从 Google Workspace 域的管理控制台中，转到主菜单 > 安全 > 访问和数据控制 > API 控制。2.在“域范围委派”窗格中，选择“管理域范围委派”。3.单击“添加新的”。4.在“客户端 ID”字段中，输入服务帐户的客户端 ID。您可以在“服务帐户”页面中找到服务帐户的客户端 ID。5.在 OAuth 范围（逗号分隔）字段中，输入应授予应用程序以下网址访问权限的范围列表：https://www.googleapis.com/auth/admin.directory.user 6。单击“授权”。

14. 返回到在 Google 管理控制台中创建的服务帐户的“高级设置”，记下/复制服务帐户详细信息中的电子邮件和唯一 ID。稍后将在执行 Android EMM 注册时使用这些设备。

设置 Google Admin Console

管理员使用 Google Admin Console 为组织中的用户管理 Google 服务。Workspace ONE UEM 使用 Google Admin Console 集成 Android 和 Chrome OS。

使用 Manage API 客户端访问页，可控制自定义内部应用程序和第三方应用程序对支持 Google API（范围）的访问权限。

1. 登录 Google 管理控制台并导航到安全 > 高级设置 > 管理 API 客户端访问。

2. 填写以下详细信息：

   设置	说明
   客户端名称	输入在创建 Google 服务帐户时生成的客户端 ID
   一个或多个 API 范围	复制并粘贴以下适用于 Android 的 Google API 范围：https://www.googleapis.com/auth/admin.directory.user

3. 选择授权。

生成 EMM 令牌

您的唯一 EMM 令牌将用于 Android 管理的域绑定到由 AirWatch 提供支持的 Workspace ONE UEM。从之前的任务中选择前往 Google 后，您会被定向到 G Suite 设置站点，之后即可开始操作。

任务中所述的步骤是为新域生成 EMM 令牌。根据您是在新域还是现有域中进行注册，生成 EMM 令牌的任务会有所不同。

如果要为现有域生成令牌，只需导航到安全 > 适用于 Android 的受管 EMM 提供程序，然后选择生成 EMM 令牌，并继续执行步骤 5。

1. 填写以下字段：

   1. 关于您 - 输入您的管理员联系信息。

   2. 关于您的企业 - 填写您的公司信息。

   3. 您的 Google 管理员帐户 - 创建 Google 管理员帐户。

   4. 完成设置 - 输入安全验证数据。

2. 阅读并同意 Google 制定的条款后，选择接受并创建您的帐户。

3. 按照其余的提示验证域所有权和与您的提供商联系。通过验证后，此域将变成受管 Google 域。

   要验证域所有权，可以使用以下选项：将元标记添加至您的主页、添加域主机记录或将 HTML 文件上载到您的域站点。配置可用选项设置。

4. 选择验证以继续。如果此过程成功完成，与您的提供商联系部分将显示 EMM 令牌。此令牌的有效期为 30 天。如果执行此步骤时遇到问题，请使用列出的电话号码和唯一 PIN 码联系 Google 支持部门。

5. 复制生成的 EMM 令牌，然后选择完成。

Workspace ONE UEM 建议先创建 Google 服务帐户，然后返回 Workspace ONE UEM console 上传 EMM 令牌，以便可以一次上传所有凭证。

为现有域生成 EMM 令牌

您的唯一 EMM 令牌将用于 Android 管理的域绑定到由 AirWatch 提供支持的 Workspace ONE UEM。对于现有域，您将被定向到 Google 管理控制台以生成 EMM 令牌。任务中所述的步骤是为现有域生成 EMM 令牌。根据您是在新域还是现有域中进行注册，生成 EMM 令牌的任务会有所不同。有关为新域生成 EMM 令牌的信息，请参阅《生成 EMM 令牌》。使用您的 Google 管理员凭据登录到 Google 管理控制台。导航到“安全”>“适用于 Android 的受管 EMM 提供程序”，然后选择“生成 EMM 令牌”。将令牌复制并粘贴到 Workspace ONE UEM 控制台中。

任务中所述的步骤是为现有域生成 EMM 令牌。根据您是在新域还是现有域中进行注册，生成 EMM 令牌的任务会有所不同。

1. 使用您的 Google 管理员凭据登录到 Google 管理控制台。

2. 导航到安全 > 适用于 Android 的受管 EMM 提供程序，然后选择生成 EMM 令牌。

3. 将令牌复制并粘贴到 Workspace ONE UEM console 中。

上传 EMM 令牌

输入在注册期间从 Google 获取的信息。包括您注册的域、企业令牌以及您创建的 Google 管理员电子邮件地址。

您也可以在安全性 → 管理 Android 版 EMM 提供程序下使用您的 Google 管理员电子邮件地址登录 https://admin.google.com，从而获得企业令牌。

1. 导航到开始 > Workspace ONE > Android EMM 注册。如果您关闭了窗口或未自动重定向到 Workspace ONE UEM。

2. 选择注册以重定向到 Android 设置向导。

3. 从 Android 安装向导中选择上传令牌。

   这也称为企业令牌。

4. 填写以下字段：

   设置	说明
   域	申请用于启用与企业关联的 Android 的域。重要信息：如果您已使用其他 EMM 提供程序登记域，将无法上传新的 EMM 令牌。
   企业 EMM 令牌	在 Google Admin Console 中生成的令牌。
   Google 管理员的电子邮件地址	这是用于域注册、Google Developers Console 和 Google Admin Console 的管理员帐户。
   客户端 ID	创建 Google 服务帐户时生成的客户端 ID。将从 Google Developer Console 设置中检索此 ID。
   Google 服务帐户的电子邮件地址	创建 Google 服务帐户时生成的电子邮件。将从 Google Developer Console 设置中检索此 ID。
   证书 ID	上载在生成 Google 服务帐户时创建的 P12 证书。需要密码。将从 Google Developer Console 设置中检索此 ID。

5. 选择下一步以设置用户。

设置用户

公司中所有使用 Android 的用户都需要创建与其设备关联的 Google 帐户。这是 Android EMM 注册向导中的最后一步，可确定创建用户的首选设置方法。

您可以通过以下两种选项在 Android 下创建用户：

• 允许 Workspace ONE UEM 在注册过程中自动创建 Google 帐户。
• 通过登录 Google 管理控制台或使用 Google Active Directory Sync 工具手动创建用户。

该用户名的格式为“username@<your_enterprise_domain>.com”。

1. 启用以下选项之一来确定如何设置用户：

   • 根据注册用户的电子邮件地址在注册过程中创建 Google 帐户。
   • 使用 SAML 进行身份验证 - 为注册过程启用 SAML。
   • 使用 SAML 进行 Google 帐户身份验证 - 要使用此方法，请通过在 Google 管理控制台中导航到安全 > 单点登录配置单点登录。如果未使用上述方法之一开启自动创建用户，则 Workspace ONE UEM Console 将指导您使用替代方法，即通过 Google Active Directory Sync 工具或 Google 管理控制台创建 Google 帐户。

2. 使用测试连接选项检查与 Google 的通信是否正确。

   • Play API 访问：验证 Google EMM API 是否已启用并且是否可以安装应用程序。
   • 目录 API 访问：验证管理 SDK API 是否已设置为启用，并且是否在 Google 管理控制台上授权了 https://www.googleapis.com/auth/admin.directory.user 范围。
3. 选择保存。

在受管 Google Play 企业中注册

如果您的组织需要在 Workspace ONE UEM 与受管 Google Play Enterprise 之间重新建立绑定，或者无法使用受管 Google Domain Enterprise，则组织可以将 Android 配置为使用受管 Google Play Enterprise。对于新 Workspace ONE UEM 环境，不建议执行此操作。

过程

1. 导航到开始 > Workspace ONE > Android EMM 注册。

2. 选择配置，然后您会被重定向到“Android EMM 注册”页面。

3. 选择向 Google 注册。您将被重定向到 Google 设置向导。

4. 如果系统提示您输入工作电子邮件地址，请输入应管理受管 Google Play Enterprise 的 GMail 帐户的电子邮件地址。如果创建新的企业，请选择仅为 Android 注册。

5. 按照提示完成受管 Google Play Enterprise 注册。如果需要，请提供有关您的组织的其他信息。

您将被重定向到Workspace ONE UEM Console中的 Android EMM 注册设置页面。您组织的详细信息以及用于创建受管 Google Domain Enterprise 的管理员的电子邮件地址将在此处显示。

创建 Android 注册用户（仅限旧版受管 Google Domain Enterprise）

VMware 建议您在注册过程中自动创建用于 Android 的用户。您可以在 Android 设置向导中，指定是否要在注册过程中自动创建用户帐户，如果自动创建，则使用 SAML 进行帐户身份验证。如果您之前没有设置 SAML，向导将显示引导您配置设置的链接。

自动创建用户

1. 对在注册过程中根据注册用户的电子邮件创建 Google 帐户选择是。

2. 对使用 SAML 终端进行帐户身份验证选择是。

   如未设置 SAML，向导将提示您配置 SAML 身份验证设置。

3. 对使用 SAML 进行 Google 帐户身份验证选择是，这要求您在 Google Admin Console 中配置单点登录。

4. 选择保存以完成 Android 设置。

手动创建用户

通过使用 Google Cloud Directory Sync (GCDS) 工具或 Google Admin Console，可以在 Workspace ONE UEM Console 外部为整个公司手动创建用户帐户。要访问 Google Admin Console，您可以单击设置向导中提供的链接。有关如何使用控制台的详细说明，您需要与 Google 联系。

GCDS 方法需要您使用与 AirWatch 目录服务相似的设置。通过导航到组与设置 ► 所有设置 ► 系统 ► 企业集成 ► 目录服务，访问目录服务设置。

您可以单击设置向导中包含的链接访问 GCDS 工具，也可以从 Google Support 页面将工具直接下载到个人电脑上。

使用 GDCS 工具，可以通过一个批量创建操作为公司的每位员工手动创建 Google 帐户。这些帐户通过与存储在 VMware Workspace ONE 目录服务中的信息同步而创建。

注意：本节所述的信息截至到 2017 年 3 月发布的 GCDS v4.4.0 最新版。

1. 选择设置向导中的链接，或从 Google 直接下载 GDCS 工具。

2. 从桌面打开此工具，然后选择用户帐户和组进行同步。

3. 选择 Google 域配置选项卡，并输入以下内容：

   1. 输入主域名。

   2. 选择将(用户和组) LDAP 电子邮件地址中的域名替换为此域名。这样可确保所有用户电子邮件地址均与域名匹配。

4. 选择立即授权按钮。

5. 显示授权 Google Apps 目录同步对话框后，请按照步骤继续完成授权过程。

   1. 登录 Android 管理员帐户。

   2. 输入电子邮件中收到的验证信息。

   3. 选择验证，确认这些设置。

6. 选择 LDAP 配置标签页，输入连接设置，将 AirWatch Directory Services 与 Google 同步。在这里，您可以输入保存在 AirWatch Directory Services 中的相同设置，以与该工具同步。要访问这些设置，导航到组与设置 ► 所有设置 ► 系统 ► 企业集成 ► 目录服务。

7. 选择测试连接。如果同步成功，此操作将自动在 Google 中创建链接的 Active Directory 帐户和公司 Google 帐户。

   随后，您将返回到设置向导以完成设置。

清除 Android Enterprise 与Workspace ONE UEM绑定

您可以从受管 Google Domain Enterprise 或受管 Google Play Enterprise 解除绑定 Workspace ONE UEM 环境。

警告：关键 Android 设备管理功能需要 Android Enterprise 绑定。为以前在 Workspace ONE UEM 环境中注册的设备还原此管理功能的唯一方法是重新绑定到同一 Android Enterprise。Google 会自动删除 30 天内未绑定到 Workspace ONE UEM 的企业，此时这些企业将无法恢复。

1. 导航到设备 > 设备设置 > 设备与用户 > Android > Android EMM 注册

2. 从“Android EMM 注册”页面选择清除设置。