开始管理 Android 设备前,您需要在 Google 中将 Workspace ONE UEM 登记为 Enterprise Mobility Management (EMM) 提供程序。Workspace ONE UEM console“开始”页面提供了分步解决方案,帮助您配置保护和管理设备库所需的企业管理工具。

配置 Android 有两种方法:使用受管 Google Play 帐户(首选)或使用受管 Google 域(Google 向 G Suite 客户推荐的方法)。如果您的业务不使用 G Suite,推荐使用受管 Google Play 帐户,此方法允许使用个人 Google 帐户对所在组织的 Android 进行多种配置。Workspace ONE UEM 管理此帐户,且不需要 Active Directory 同步或 Google 验证。

使用受管 Google 域 (G Suite) 设置 Android 需要您的企业设置 Google 域,且必须遵循验证过程来证明您拥有此域。此域只能链接到一个经过验证的 EMM 帐户。设置过程中,需要创建 Google 服务帐户和配置 Workspace ONE UEM 作为 EMM 提供程序。请考虑为您所在组织创建 Android 专用 Google 帐户,以免与任何现有的 Google 帐户发生冲突。

**注:**当您为受管 Google 域创建 Google 帐户时,该帐户被视为您的域的管理员帐户。请考虑添加其他用户(Google 帐户)以帮助您管理受管 Google Play 中的任务。在主 Google 帐户过期时,添加更多 Google 帐户非常有用。如果发生这种情况,您仍可以访问受管 Google 域并避免出现不需要的行为。

您可以为受管 Google 域创建和分配角色。请参阅分配企业中的角色

Google 服务帐户是应用程序用于访问 Google API 的特殊 Google 帐户,使用受管 Google 域方法为企业设置 Android 时必须提供此帐户。使用受管 Google Play 帐户注册时,配置 Android 帐户过程中将自动填充 Google 服务帐户凭证。如果设置 Android 帐户时出错,请清除 Workspace ONE UEM Console 中的设置并重试,或手动创建帐户。对于 Google 帐户,请考虑在使用任一设置方法前创建 Google 服务帐户。

要更改 Google 帐户或更改管理员设置,您必须从 Workspace ONE UEM Console 解除帐户绑定。

**重要提示:**Android 设置包括集成非 VMware 管理的第三方工具。在本指南中,有关 Google Admin Console 和 Google Developer Console 的信息采用的是 2018 年 1 月前发布的版本。本指南不对能否与第三方产品集成作任何保证,且此类集成取决于第三方解决方案能否正常运行。

向受管 Google Play 帐户注册 Android EMM

通过 Workspace ONE UEM Console,您可以使用简化的设置过程将 UEM Console 作为 EMM 提供商绑定到 Google。

必备条件

如果“Android EMM 注册”页面被屏蔽,请确保已在网络架构中启用 Google URL,以便与内部和外部端点通信。

过程

  1. 导航到开始 > Workspace ONE > Android EMM 注册

  2. 选择配置,然后您会被重定向到“Android EMM 注册”页面。

  3. 选择向 Google 注册。如果您已使用 Google 凭证登录,您将被定向到 Google“入门”页面。

    如果您的组织使用多个域,则需要注册单独的域。

  4. 选择登录(如果尚未登录),并输入您的 Google 凭证,然后选择入门

  5. 输入您的组织名称。Enterprise Mobility Manager (EMM) 提供商字段将自动填充为 VMware Workspace ONE UEM。

  6. 选择确认 > 完成注册。您会被重定向到 Workspace ONE Console,并自动填充您的 Google 服务帐户凭证。

  7. 选择保存 > 测试连接以确保服务帐户已设置并且连接成功。

如已清除 UEM Console 中的设置,则在导航以使用 Google 进行注册时,系统将显示一条消息,提示您完成设置。您会被重新重定向到 Workspace ONE UEM console 以完成设置。

向受管 Google 域注册 Android EMM(G-Suite 客户)

在受管 Google 域中设置帐户需要组织设置 Google 域(如果组织尚未使用 Google 域)。您也需要完成几项手动任务(例如使用 Google 验证域所有权、获取 EMM 令牌以及创建企业服务帐户)才能使用此类设置。

  1. 导航到开始 > Workspace ONE > Android EMM 注册

  2. 选择注册重定向到 Android 设置向导,以完成下列三个步骤:

    1. 生成令牌:通过使用 Google 注册您的企业域来获取企业令牌。

    2. 上传令牌:在 Android 设置向导中输入 EMM 令牌。

    3. 设置用户:配置如何为整个企业创建用户。

  3. 选择转到 Google。随即您会被重定向到 G Suite 站点。

  4. 注册您的企业,并验证域。

设置 Google 服务帐户

Google 服务帐户是应用程序用于访问 Google API 的特殊 Google 帐户。您应在生成 EMM 令牌后创建此帐户,以便可以一次上传所有信息。

  1. 导航到 Google Cloud Platform- Google Developers Console

  2. 使用 Google 凭证登录。

    Google 管理员凭证不需要与您的业务域关联。请考虑为您所在组织创建 Android 专用 Google 帐户,以免与任何现有的 Google 帐户发生冲突。

    **注:**请考虑添加其他帐户,以便在一个帐户由于处于非活跃状态而过期时,您将有其他帐户登录并访问您的 Google 服务帐户。

  3. 使用“选择项目”菜单中的下拉菜单,并选择新建项目

  4. 输入项目名称以在新项目窗口中创建 API 项目。请考虑使用 Android EMM CompanyName 作为命名约定。

  5. 同意这些条款和条件,然后选择创建

    项目随即生成,Google Developer Console 会将您重定向到 API Manager 页面。

  6. API 与服务仪表板中为 Android 选择启用 API 和服务

  7. 搜索并启用以下 API:Google Play EMM APIAdmin SDK

    创建项目并启用 API 后,请在 Google Developer Console 中创建服务帐户。

  8. 导航到 API 与服务 > 凭证 > 创建凭证 > 服务帐户密钥 > 新建服务帐户

  9. 为您的服务帐户定义服务帐户名称。请考虑下面的 Android 命名约定,务必记下所选的名称,因为在后面的步骤中会使用此名称。

  10. 使用下拉菜单选择角色 > 项目作为所有者

  11. 选择 P12 作为密钥类型

  12. 选择创建。身份证书将自动创建并下载到本地驱动器。请务必要保存您的身份证书和密码,因为将证书上载到 Workspace ONE UEM Console 时需要这些信息。

  13. 服务帐户密钥列表中选择管理服务帐户,以打开“服务帐户”页面。

  14. 选择服务帐户旁边的菜单按钮(三个垂直点),然后选择编辑

  15. 选择启用 G Suite 全域委派

  16. 输入产品名称以更改 G Suite 域设置。请考虑使用 AndroidEMM CompanyName 作为命名约定。

  17. 选择保存

  18. 域范围委派字段下选择 View Client ID。服务帐户的详细信息随即显示。从此操作开始,您将退出 Developer Console,并将您的凭证输入到 Google 管理控制台。

    请务必在退出 Developer Console 之前保存您的客户端 ID。上传 EMM 令牌时,Workspace ONE UEM Console 中也需要使用这些凭证。

设置 Google Admin Console

管理员使用 Google Admin Console 为组织中的用户管理 Google 服务。Workspace ONE UEM 使用 Google Admin Console 集成 Android 和 Chrome OS。

使用 Manage API 客户端访问页,可控制自定义内部应用程序和第三方应用程序对支持 Google API(范围)的访问权限。

  1. 登录 Google 管理控制台并导航到安全 > 高级设置 > 管理 API 客户端访问

  2. 填写以下详细信息:

    设置 说明
    客户端名称 输入在创建 Google 服务帐户时生成的客户端 ID
    一个或多个 API 范围 复制并粘贴以下适用于 Android 的 Google API 范围:https://www.googleapis.com/auth/admin.directory.user
  3. 选择授权

生成 EMM 令牌

您的唯一 EMM 令牌将用于 Android 管理的域绑定到由 AirWatch 提供支持的 Workspace ONE UEM。从之前的任务中选择前往 Google 后,您会被定向到 G Suite 设置站点,之后即可开始操作。

任务中所述的步骤是为新域生成 EMM 令牌。根据您是在新域还是现有域中进行注册,生成 EMM 令牌的任务会有所不同。

如果要为现有域生成令牌,只需导航到安全 > 适用于 Android 的受管 EMM 提供程序,然后选择生成 EMM 令牌,并继续执行步骤 5。

  1. 填写以下字段:

    1. 关于您 - 输入您的管理员联系信息。

    2. 关于您的企业 - 填写您的公司信息。

    3. 您的 Google 管理员帐户 - 创建 Google 管理员帐户。

    4. 完成设置 - 输入安全验证数据。

  2. 阅读并同意 Google 制定的条款后,选择接受并创建您的帐户

  3. 按照其余的提示验证域所有权与您的提供商联系。通过验证后,此域将变成受管 Google 域。

    要验证域所有权,可以使用以下选项:将元标记添加至您的主页添加域主机记录将 HTML 文件上载到您的域站点。配置可用选项设置。

  4. 选择验证以继续。如果此过程成功完成,与您的提供商联系部分将显示 EMM 令牌。此令牌的有效期为 30 天。如果执行此步骤时遇到问题,请使用列出的电话号码和唯一 PIN 码联系 Google 支持部门。

  5. 复制生成的 EMM 令牌,然后选择完成

Workspace ONE UEM 建议先创建 Google 服务帐户,然后返回 Workspace ONE UEM console 上传 EMM 令牌,以便可以一次上传所有凭证。

为现有域生成 EMM 令牌

您的唯一 EMM 令牌将用于 Android 管理的域绑定到由 AirWatch 提供支持的 Workspace ONE UEM。对于现有域,您将被定向到 Google 管理控制台以生成 EMM 令牌。任务中所述的步骤是为现有域生成 EMM 令牌。根据您是在新域还是现有域中进行注册,生成 EMM 令牌的任务会有所不同。有关为新域生成 EMM 令牌的信息,请参阅《生成 EMM 令牌》。使用您的 Google 管理员凭据登录到 Google 管理控制台。导航到“安全”>“适用于 Android 的受管 EMM 提供程序”,然后选择“生成 EMM 令牌”。将令牌复制并粘贴到 Workspace ONE UEM 控制台中。

任务中所述的步骤是为现有域生成 EMM 令牌。根据您是在新域还是现有域中进行注册,生成 EMM 令牌的任务会有所不同。

  1. 使用您的 Google 管理员凭据登录到 Google 管理控制台。

  2. 导航到安全 > 适用于 Android 的受管 EMM 提供程序,然后选择生成 EMM 令牌

  3. 将令牌复制并粘贴到 Workspace ONE UEM console 中。

上传 EMM 令牌

输入在注册期间从 Google 获取的信息。包括您注册的域、企业令牌以及您创建的 Google 管理员电子邮件地址。

您也可以在安全性 → 管理 Android 版 EMM 提供程序下使用您的 Google 管理员电子邮件地址登录 https://admin.google.com,从而获得企业令牌。

  1. 导航到开始 > Workspace ONE > Android EMM 注册。如果您关闭了窗口或未自动重定向到 Workspace ONE UEM。

  2. 选择注册以重定向到 Android 设置向导。

  3. 从 Android 安装向导中选择上传令牌

    这也称为企业令牌。

  4. 填写以下字段:

    设置 说明
    申请用于启用与企业关联的 Android 的域。**重要信息:**如果您已使用其他 EMM 提供程序登记域,将无法上传新的 EMM 令牌。
    企业 EMM 令牌 在 Google Admin Console 中生成的令牌。
    Google 管理员的电子邮件地址 这是用于域注册、Google Developers Console 和 Google Admin Console 的管理员帐户。
    客户端 ID 创建 Google 服务帐户时生成的客户端 ID。将从 Google Developer Console 设置中检索此 ID。
    Google 服务账户的电子邮件地址 创建 Google 服务帐户时生成的电子邮件。将从 Google Developer Console 设置中检索此 ID。
    证书 ID 上载在生成 Google 服务帐户时创建的 P12 证书。需要密码。将从 Google Developer Console 设置中检索此 ID。
  5. 选择下一步以设置用户。

设置用户

公司中所有使用 Android 的用户都需要创建与其设备关联的 Google 帐户。这是 Android EMM 注册向导中的最后一步,可确定创建用户的首选设置方法。

您可以通过以下两种选项在 Android 下创建用户:

  • 允许 Workspace ONE UEM 在注册过程中自动创建 Google 帐户。
  • 通过登录 Google 管理控制台或使用 Google Active Directory Sync 工具手动创建用户。

该用户名的格式为“username@<your_enterprise_domain>.com”。

  1. 启用以下选项之一来确定如何设置用户:

    • 根据注册用户的电子邮件地址在注册过程中创建 Google 帐户。
    • 使用 SAML 进行身份验证 - 为注册过程启用 SAML。
    • 使用 SAML 进行 Google 帐户身份验证 - 要使用此方法,请通过在 Google 管理控制台中导航到安全 > 单点登录配置单点登录。如果未使用上述方法之一启用自动创建用户,则 Workspace ONE UEM console 将指导您使用替代方法,即通过 Google Active Directory Sync 工具或 Google 管理控制台创建 Google 帐户。
  2. 使用测试连接选项检查与 Google 的通信是否正确。

    • Play API 访问:验证 Google EMM API 是否已启用并且是否可以安装应用程序。
    • 目录 API 访问:验证管理 SDK API 是否已启用,并且是否在 Google 管理控制台上授权了 https://www.googleapis.com/auth/admin.directory.user 范围。
  3. 选择保存

创建 Android 注册用户

VMware 建议您在注册过程中自动创建用于 Android 的用户。您可以在 Android 设置向导中,指定是否要在注册过程中自动创建用户帐户,如果自动创建,则使用 SAML 进行帐户身份验证。如果您之前没有设置 SAML,向导将显示引导您配置设置的链接。

自动创建用户

  1. 在注册过程中根据注册用户的电子邮件创建 Google 帐户选择

  2. 使用 SAML 终端进行帐户身份验证选择

    如未设置 SAML,向导将提示您配置 SAML 身份验证设置。

  3. 使用 SAML 进行 Google 帐户身份验证选择,这要求您在 Google Admin Console 中配置单点登录。

  4. 选择保存以完成 Android 设置。

手动创建用户

通过使用 Google Cloud Directory Sync (GCDS) 工具或 Google Admin Console,可以在 Workspace ONE UEM Console 外部为整个公司手动创建用户帐户。要访问 Google Admin Console,您可以单击设置向导中提供的链接。有关如何使用控制台的详细说明,您需要与 Google 联系。

GCDS 方法需要您使用与 AirWatch 目录服务相似的设置。通过导航到组与设置 ► 所有设置 ► 系统 ► 企业集成 ► 目录服务,访问目录服务设置。

您可以单击设置向导中包含的链接访问 GCDS 工具,也可以从 Google Support 页面将工具直接下载到个人电脑上。

使用 GDCS 工具,可以通过一个批量创建操作为公司的每位员工手动创建 Google 帐户。这些帐户通过与存储在 VMware Workspace ONE 目录服务中的信息同步而创建。

**注:**本节所述的信息截至到 2017 年 3 月发布的 GCDS v4.4.0 最新版。

  1. 选择设置向导中的链接,或从 Google 直接下载 GDCS 工具。

  2. 从桌面打开此工具,然后选择用户帐户进行同步。

  3. 选择 Google 应用配置标签页,并输入以下内容:

    1. 输入主域名

    2. 选择将(用户和组) LDAP 电子邮件地址中的域名替换为此域名。这样可确保所有用户电子邮件地址均与域名匹配。

  4. 选择立即授权按钮。

  5. 显示授权 Google Apps 目录同步对话框后,请按照步骤继续完成授权过程。

    1. 登录 Android 管理员帐户。

    2. 输入电子邮件中收到的验证信息。

    3. 选择验证,确认这些设置。

  6. 选择 LDAP 配置标签页,输入连接设置,将 AirWatch Directory Services 与 Google 同步。在这里,您可以输入保存在 AirWatch Directory Services 中的相同设置,以与该工具同步。要访问这些设置,导航到组与设置 ► 所有设置 ► 系统 ► 企业集成 ► 目录服务

  7. 选择测试连接。如果同步成功,此操作将自动在 Google 中创建链接的 Active Directory 帐户和公司 Google 帐户。

    随后,您将返回到设置向导以完成设置。

从 Workspace ONE UEM 解除绑定域

如果您需要进行更改或更改 Google 帐户,可以解除绑定 Workspace ONE UEM console 中的 Android 管理员帐户。

  1. 导航到设备 > 设备设置 > 设备与用户 > Android > Android EMM 注册

  2. 从“Android EMM 注册”页面选择清除设置

check-circle-line exclamation-circle-line close-line
Scroll to top icon