使用 Workspace ONE UEM console 部署 Workspace ONE Boxer。

配置 Workspace ONE Boxer 应用程序包括以下两个步骤:首先将其添加为公共应用程序,然后将其与已设置的电子邮件配置一起分配给最终用户。

基于智能组的分配

创建一个或多个基于智能组的分配,并部署特定于组织中一组用户的不同 Workspace ONE Boxer 电子邮件设置。分配组代表分配了相同电子邮件配置的一个或多个智能组。

将 Workspace ONE Boxer 部署到 iOS 和 Android 设备将分为两部分进行。您必须执行这两个程序。

  1. 将 Workspace ONE Boxer 添加为公共应用程序。
  2. 将 Workspace ONE Boxer 分配给智能组。

有关部署公共应用程序的详细说明,请参阅 Workspace ONE UEM 联机帮助主题公共应用程序概述

**注:**如果您在 PowerShell 部署中将 Workspace ONE Boxer 部署为公共应用,则必须在 Exchange 上配置设备访问规则,以允许 Workspace ONE Boxer 用户访问电子邮件。有关配置设备访问规则的详细信息,请参阅《移动电子邮件管理 (MEM) 指南》的“Workspace ONE Boxer 灵活部署解决办法”一节。

将 Workspace ONE Boxer 添加到“公共应用程序”

将 Workspace ONE Boxer 作为公共应用添加到 UEM console。

通过应用商店添加应用程序可使 Workspace ONE UEM 使用控制台中的设置来管理应用程序。

  1. 导航到应用与图书 > 应用程序 > 本机 > 列表视图 > 公共

  2. 选择添加应用程序

  3. 配置显示的文本框,并选择下一步

    选项 说明
    管理者 查看应用上传时所在的组织组。
    平台 选择合适的平台。目前仅支持 iOS 和 Android 设备。
    来源 选择此设置以在 App Store 或 Play Store 中搜索应用。
    名称 输入“Workspace ONE Boxer”。
  4. 搜索结果屏幕中找到并选择 Workspace ONE Boxer 应用。

  5. 审阅详细信息选项卡中自动填充的信息。

  6. 部署选项卡下,对于应用交付模式,选择“按需随选”或“自动”。

    选项 说明
    设备必须纳入 MDM 管理才能安装此应用 如果设备必须受管才能安装 Workspace ONE Boxer 应用,请启用此选项。

    如果您启用此选项,则只有使用 Hub 和 Workspace ONE 加强注册方法进行注册的设备才能接收电子邮件配置。

    如果您禁用此选项,则使用 Container、Workspace ONE 无加强注册、Workspace ONE 加强注册和 Hub 进行注册的设备可以接收电子邮件配置。
    应用隧道(Apple iOS 7 及更高版本) 此设置不适用于 Workspace ONE Boxer。
    取消注册时移除 (Apple iOS) 选择此选项,以在设备从 AirWatch 取消注册时移除 Workspace ONE Boxer 应用程序。
    禁止应用程序备份 (Apple iOS) 此设置不适用于 Workspace ONE Boxer,因为这样配置应用程序是为了阻止应用程序备份。
    如果用户已安装应用,则将之纳入 MDM 管理(Apple iOS 9 及更高版本) 如果您的最终用户从应用商店下载了 Workspace ONE Boxer,而您希望使用“取消注册时移除”设置,则启用此设置。否则,Workspace ONE Boxer 不必纳入 MDM 管理。
    应用程序使用 AirWatch SDK 启用此设置,以使用 AirWatch SDK 获取更多功能。如果您使用的是单点登录,则必须启用此选项。
  7. 分配使用条款,这将在用户首次从应用目录访问应用时显示。

  8. 选择保存并分配

现在,您可以添加分配,也可以先返回,稍后再添加分配。

使用“应用分配”页面分配和配置 Workspace ONE Boxer

使用“分配”页面中提供的应用策略和自定义 KVP 配置 Workspace ONE Boxer。

将 Boxer 作为公共应用程序或内部应用程序上载到 Workspace ONE UEM console。

您可以按照以下步骤使用 Workspace ONE UEM console 版本 2004 或更高版本来分配 Boxer 版本 5.17 或更高版本。如果使用低于 2004 的控制台版本来分配 Boxer 的旧版本,请参见 Workspace ONE Boxer 的应用程序配置

  1. 导航到应用与图书 > 应用程序 > 本机 > 列表视图 > 公共

  2. 在 Boxer 的安装状态列下,选择分配。或者,也可以选择编辑图标,然后选择保存并分配

  3. 在“分配”窗口中选择添加分配

    a. 在“分发”选项卡中,输入以下信息:

    设置 说明
    名称 输入分配的名称。
    说明 输入分配的说明。
    分配组 输入智能组以接收 Workspace ONE Boxer 灵活部署分配。
    输入智能组名称时,将显示一些选项,您可以从列表中选择相应的智能组。
    如有必要,可以添加更多分配组。
    应用交付方法
    按需 - 将 Boxer 部署到部署代理。设备用户可以决定是否安装应用程序以及何时安装。

    自动 - 注册后,将 Boxer 部署到设备上的部署中心。设备注册后,系统将提示用户在其设备上安装 Boxer。

    b. 在限制选项卡中,输入以下信息:

    设置 说明
    EMM 受管访问 启用自适应管理,可设置 Workspace ONE UEM 来管理设备,以便设备访问应用程序。启用此设置后,只有在 EMM 中注册的设备可以安装应用并接收应用策略。
    取消注册时移除 启用后,当设备使用 Workspace ONE UEM 取消注册时,它会从设备中移除应用程序。默认情况下,Workspace ONE UEM 会启用此设置。
    如果启用此设置,则受监督设备将无法以静默模式安装应用。这是因为设备已锁定,并且置备配置文件安装位于命令队列中,要求解锁设备才能完成安装。
    如果禁用此设置,将不会随安装的应用程序推送置备配置文件。即,如果更新预置配置文件,新的预置配置文件不会自动部署到设备。在这种情况下,需要包含新预置配置文件的应用程序新版本。
    禁止应用程序备份 启用此设置可防止将应用程序数据备份到 iCloud。
    如果用户已安装应用,则将之纳入 MDM 管理 将以前由用户在其设备上安装的应用程序纳入管理,无论应用程序是否受监督都如此。
    启用此功能,以便用户无需删除设备上安装的应用程序版本。Workspace ONE UEM 管理应用程序,而不必在设备上安装 AirWatch Catalog 版本。
    如果控制台的隐私设置设为阻止收集个人应用程序数据,则此设置无效。

    c. 在隧道和其他属性选项卡中,输入以下信息:

    设置 说明
    应用级 VPN 配置文件 选择每应用 VPN 配置文件以在应用程序级别配置 VPN。
    其他属性 应用属性可提供特定于设备的详细信息供 Boxer 使用。
    上载 XML 可以上载一个 XML 文件,其中包含应用程序允许用于应用配置的键值对。

    d. 在应用程序配置选项卡中,输入以下信息

    设置 说明
    发送配置 启用后,它将使用应用开发人员提供的设置来配置 Boxer。
    上载 XML 可以上载 XML 文件,其中包含 Boxer 支持的键值对。
    添加 您也可以手动添加配置键、值类型和查找值。

    e. 在电子邮件设置中,输入以下信息:

    设置 说明
    帐户名称 输入 Exchange 帐户名称。
    Exchange ActiveSync 主机 输入 EAS 服务器 URL。对于 SEG 部署,输入 SEG URL。
    电子邮件管理 如果要将移动电子邮件管理与 Boxer 配置相关联,您必须输入至少一个 MEM 配置。
    域名、用户和电子邮件地址 输入域名、用户名和电子邮件地址。默认情况下,登录信息包括目录服务中定义为查找值的 {EmailDomain}、{EmailUserName} 和 {EmailAddress}。要替代这些值,请使用自定义查找值。
    密码 输入密码。
    :密码字段仅支持查找值,而不是实际的密码值。
    电子邮件签名 输入电子邮件签名。
    身份验证
    现代身份验证 现代身份验证是适用于 Office 365 的基于 OAuth 的令牌身份验证方法。启用后,您将重定向到登录页面进行身份验证。
    身份验证类型 选择以下一种身份验证类型,以便最终用户可以使用用于登录 Workspace ONE 的凭据向 Exchange Server 进行身份验证。

    基本 - 使用用户名和密码进行身份验证。

    证书 - 使用证书进行身份验证。选择所需的证书颁发机构和证书模板。

    两者 - 使用证书对网络设备进行身份验证,使用密码对 Exchange 进行身份验证,两者结合进行身份验证。

    使用现代身份验证进行基于证书的身份验证 (使用现代身份验证进行 CBA) - Workspace ONE Boxer 支持使用现代身份验证进行基于证书的身份验证。Boxer 支持 SCEP。要查看受支持的证书,请参阅“支持的证书颁发机构”部分。



    iOS 不支持使用现代身份验证进行基于证书的身份验证,除非使用 PIV-D。仅 Android 支持此身份验证模式。

    假设您已在不启用 SSO 密码的情况下将证书设置为身份验证类型,并且用户先删除再重新安装 Boxer 应用程序。在重新安装时,用户会自动进行身份验证,因为您已将身份验证类型配置为 CBA。此类方案可为对设备具有物理访问权限的入侵者创造攻击途径。如果未添加身份验证质询,则入侵者可以通过删除并重新安装 Boxer 应用程序来获取电子邮件资源的访问权限。
    为避免此类入侵者,Boxer 必须先使用 Workspace ONE 凭证对用户进行身份验证,然后再允许他们访问电子邮件。需要 Workspace ONE 凭证的替代解决方案是启用 SSO 工作流,以限制入侵者重置独立密码。

    指定身份验证重试次数 - 指定失败时的身份验证重试次数。
    同步 配置 Boxer 以确定如何同步电子邮件和日历。
    通知 配置电子邮件通知服务 (ENS) 及其行为,以提供实时通知。
    垃圾邮件和网络钓鱼报告 配置要对识别为垃圾邮件或网络钓鱼攻击的电子邮件执行的操作。
    Mobile Flows 配置可与 Boxer 集成的 Mobile Flows 服务器信息。
    S/MIME 配置 S/MIME 状态。
    电子邮件分类 配置 S/MIME 状态。

    f. 在“应用策略”中,输入以下信息:

    |设置|说明| |----------|---------------| | 数据丢失防护 | | |复制粘贴 | 如果受限:

    最终用户无法将内容从 Workspace ONE Boxer 复制并粘贴到其他应用程序。

    如果启用了个人帐户,则最终用户可以在个人帐户和工作帐户之间进行复制和粘贴。因此,请考虑禁用个人帐户,以彻底限制复制和粘贴功能。

    在选择文本时,应用程序中的共享和定义选项将不可用。| |本地日历 | 设置为 true,以在 Workspace ONE Boxer 中启用本地日历。 | | 个人联系人| 如果此选项受限,则最终用户只能访问该应用中的电子邮件帐户的联系人。如果不受限,则最终用户可以访问设备上其他应用中的联系人。||[iOS] 允许打印 |允许或禁止打印电子邮件和附件。| |[iOS] 允许自定义键盘| 允许或禁止使用第三方键盘。| |[iOS] 限制不安全的 HTTP 连接 | 禁止从不安全 (HTTP) 连接加载内容。| |共享 | 这些设置决定了用户是否可以在其他应用程序中打开电子邮件或其附件。根据您的要求,您可以使用“允许列表”选项指定允许的应用程序,也可以在任何应用程序中允许共享。| |控制打开方式 | 允许或禁止使用“打开”或“共享”将其他应用中的文件附加到 Workspace ONE Boxer。| |控制来自外部提供商的附件 | 使用 Workspace ONE Boxer 允许或禁止来自外部提供商(例如,iCloud、Dropbox、Google 云端硬盘)的附件。| |个人帐户 |如果受限,最终用户将无法再向应用程序添加任何其他帐户。
    如果最终用户的设备上已安装 Workspace ONE Boxer,并配置了个人帐户,则系统将提示他们是立即还是稍后移除现有个人帐户。最终用户在移除所有个人帐户之前无法通过 Workspace ONE Boxer 接收工作电子邮件。 | |PolicyDisableKeyEscrow 非全球化 |禁止在服务器上托管密钥。禁用此功能将禁用忘记密码功能。| |内部域列表 |定义内部域或允许的域。| |外部收件人警告 | 在用户输入来自外部域的收件人时触发警告。如果配置了域且已启用“外部收件人警告”,则用户无法使用“发送前确认”设置。当显示警告时,用户可以接受并返回到“撰写邮件”菜单,也可以忽略并继续向外部收件人发送电子邮件。| |[iOS] 启用仅 Swift SDK 密钥封装模式 |定义 Swift SDK 密钥封装模式。| |浏览器| 超链接 受限时,所有超链接都只能在 Workspace ONE Web 中打开。| |限制为默认浏览器 | 允许 Boxer 在默认浏览器中打开所有链接。| |浏览器例外| 如果超链接在 Console 中受限制,您可以为域或站点添加例外列表,以便始终在默认浏览器中打开超链接。|
    |可用性 | | |跳过应用内教程 | 启用此选项可跳过在应用程序首次启动时显示的应用内教程。| |来电显示| 启用此设置,以便为所有 Workspace ONE Boxer 联系人提供来电显示功能。
    通过启用此功能,Workspace ONE Boxer 仅将姓名和电话号码导出到本机联系人应用。| |默认来电显示 | 默认情况下,允许导出联系人、姓名和电话号码。此选项要求将“来电显示”选项设置为“无限制”。| |启用头像 |启用或禁用头像。| |存档操作 |允许或禁止将电子邮件存档。| |会话分组 | 使会话视图按会话对电子邮件进行分组。| |企业内容|在 Boxer 中配置企业内容。| |启用 CallKit | 需要用户交互才能启用 CallKit 来电显示的 iOS 设置。| |左短滑默认设置、左长滑默认设置、右短滑默认设置和右长滑默认设置 | 定义默认滑动操作。用户可以使用 Workspace ONE Boxer 应用中提供的选项来自定义滑动操作。| |支持 | | |允许日志记录 |允许用户发送日志。| |支持电子邮件地址 |输入通过支持菜单发送日志时要指定的地址。| |允许崩溃报告 |默认情况下,允许 Boxer 以匿名方式报告崩溃。| | 高级 | | |启用单点登录 (SSO) | 为 Workspace ONE Boxer 启用或禁用 SSO。| |允许附件 |允许用户添加或转发附件。| |允许下载附件 |启用或禁用附件下载。| |允许照片附件 |允许或禁止从图片库和相机附加图像和媒体文件。| |纯文本模式 |启用或禁用 Boxer 的纯文本模式。如果启用,则在同步时,Boxer 只会从 HTML 邮件检索纯文本。无论电子邮件为哪种格式,Workspace ONE Boxer 都仅发送纯文本。撰写视图中的格式设置控件已禁用,并且只能从富文本或 HTML 内容复制和粘贴文本。 | |使用 MIME 重新提取空链接 | 对于包含指向非服务器域的非标准 URL 方案的电子邮件(使用 HTML 提取),Exchange 会将 URL 替换为两个空格。启用或禁用此选项,以便允许或禁止 Boxer 检测此问题并使用 MIME 重新下载受影响的正文,该过程不会受 URL 替换错误的影响。 | |匿名衡量指标 |启用此选项以允许收集匿名使用情况数据,以改善用户的 Workspace ONE Boxer 体验。启用此策略后,当启动 Workspace ONE Boxer 时,系统将向用户显示数据共享声明。设备用户可导航至设置 > 隐私 > 数据共享来启用或禁用数据共享。| |快速加入自定义 URL |这将启用在日历邀请中找到的快速加入按钮。| |应用程序更新源 |选择要从中下载 Boxer 的源。| 4.选择创建

灵活的部署分配与 Workspace ONE Boxer

通过灵活部署实现的分配可将电子邮件设置映射到智能组。

一个分配可包含属于某个组织组的单个或多个智能组。将采用相同电子邮件设置的分配归为一组。您可以选择现有的智能组,也可以按自己的要求从“已分配的智能组”字段创建新的智能组。

如果您有多个已分配给不同分配组的电子邮件设置,则最新创建的设置将获得高优先级。如果设备处于配置了不同电子邮件设置的多个分配组中,则该设备将从优先级最高的分配组接收电子邮件设置。

分配 Workspace ONE Boxer 及电子邮件设置

使用称为灵活部署的分配功能将 Workspace ONE Boxer 分配给设备。在分配过程中配置安全性和电子邮件管理功能,以满足组织的需求。

重要提示:  如果将密码设置为,则不会加密 Workspace ONE Boxer 应用。如果您不强制执行应用级密码,则应考虑使用加密 iOS 设备的设备配置文件强制执行设备级密码。

  • 所有附件安全性、数据丢失防护 (DLP) 和加密都在 Workspace ONE Boxer 应用本身内部进行处理。
  • 如果最终用户删除了其本地通讯录,则启用 DLP > 来电显示设置会导致错误。有关详细信息,请参阅“设备管理”主题中的第三方通讯录解决办法 - iOS
  • 有关可选应用程序配置的信息,请参阅 Workspace ONE Boxer 的应用程序配置

  • 使用以下任一路径进行导航。

    • 在“分配”窗口中选择添加分配

      此导航反映在将应用添加到控制台的公共选项卡后,立即添加分配。

    • 转至应用与图书 > 公共,在列表视图中选择 Workspace ONE Boxer 应用程序,选择分配,然后选择添加分配

      此导航反映在将应用添加到控制台的公共选项卡后,稍后添加任务。

  • 完成电子邮件设置页面上的设置。

    设置 说明
    已分配的智能组 输入智能组以接收 Workspace ONE Boxer 灵活部署分配。
    是仅限静默安装的应用 (Android) 启用此设置,以将应用分配给仅支持静默安装或静默卸载功能的设备。
    帐户名称 输入邮件帐户的描述。
    Exchange ActiveSync 主机 输入您的 EAS 服务器 URL。对于 SEG 部署,则改为输入 SEG URL。
    域名、用户、电子邮件地址 输入登录信息,包括域名、用户名和电子邮件地址。
    默认情况下,登录信息包括目录服务中定义为查找值的 {EmailDomain}、{EmailUserName} 和 {EmailAddress}。如果您需要覆盖这些值,则可以使用自定义查询值。
    密码(仅限 Android) 输入电子邮件帐户的密码,或输入用于从用户帐户中拉取密码的查询值。
    电邮同步周期 设置 Workspace ONE Boxer 要同步过去多少天的电子邮件。
    日历同步周期 设置要让 Workspace ONE Boxer 同步过去多少天的日历事件。
    电子邮件签名 指定要在通过 Workspace ONE Boxer 发送的电子邮件中使用的电子邮件签名。
    身份验证类型 为最终用户选择以下一种身份验证类型,以使用 AirWatch 凭证来对 Exchange 进行身份验证:

    基本 - 使用用户名和密码进行身份验证。

    证书 – 使用证书进行身份验证。选择所需的“证书颁发机构”和“证书模板”。

    两者 - 使用证书对网络设备进行身份验证,使用密码对 Exchange 进行身份验证,两者结合进行身份验证。

    现代身份验证 - 适用于 Office 365 的基于 OAuth 的令牌身份验证方法。要进行设置,请参阅“现代身份验证”部分。

    基于证书的身份验证与现代身份验证(CBA 与现代身份验证)- Workspace ONE Boxer 支持基于证书的身份验证与现代身份验证。Boxer 支持 SCEP。要查看受支持的证书,请参阅《内部部署证书颁发机构管理员指南》中的“受支持的证书颁发机构”部分。

    注意:iOS 不支持使用现代身份验证进行基于证书的身份验证。只有 Android 才支持该身份验证模式。
    密码 为 Workspace ONE Boxer 设置应用级密码也会加密应用程序。当设备用户首次访问应用时,他们可在应用级为设备设置密码。
    类型
    - 无需密码。

    数字 - 提示用户使用数字键盘设置密码。

    (仅限 iOS)Biometric ID - 启用此选项可使用指纹对应用进行身份验证。当系统首次要求用户提供密码时 (而非用户在首次设置期间创建密码时),用户需要启用设备上的触控 ID 设置。

    最小长度 - 设置用户的密码必须包含的最少数字字符数。

    超时分钟 - 设置闲置期间应用程序锁定之前的分钟数。

    最长使用期限 - 设置允许密码有效的最多天数,之后密码将过期,且必须重置。超过设置的天数后,客户端将要求最终用户创建密码。

    历史记录 - 确定已使用密码的历史记录,以免用户重复使用密码。

    失败尝试次数上限 - 确定擦除应用中的电子邮件数据之前失败的密码尝试次数上限。

    字母数字 – 提示用户使用字母数字键盘设置密码。此列表仅解释与数字设置不同的那些选项。

    最低复杂字符数 - 设置密码所需的最少字符集数。
    字符集包括大写字母、小写字母、数字和符号。
    例如,如果选择 2,则密码必须至少包含两个上述字符集。它们可以是数字和符号:3!$#!$;大写字母和小写字母:RtGfH、小写字母和符号:p!$@! 等。
    数据丢失防护 通过配置以下设置,确定您的最终用户如何访问电子邮件、电子邮件附件和超链接。
    复制粘贴 如果受限:

    最终用户无法将内容从 Workspace ONE Boxer 复制并粘贴到其他应用程序。

    如果启用了个人帐户,则最终用户可以在个人帐户和工作帐户之间进行复制和粘贴。因此,请考虑禁用个人帐户,以彻底限制复制和粘贴功能。

    在选择文本时,应用程序中的共享和定义选项将不可用。

    如果应用于这些应用的 SDK 设置相似,则 Workspace ONE 应用将共享相同的剪贴板,而不是将其作为一个应用的默认配置文件和另一个应用的自定义配置文件应用。
    屏幕截图(仅限 Android) 如果受限,Android 最终用户将无法对 Workspace ONE Boxer 应用程序进行屏幕截图。
    允许电子邮件小组件(仅限 Android) 如果启用,Android 最终用户可以将 Workspace ONE Boxer 电子邮件小组件添加到其主屏幕。
    允许日历小组件(仅限 Android) 如果启用,Android 最终用户可以将 Workspace ONE Boxer 日历小组件添加到其主屏幕。
    超链接 如果受限,则最终用户只能在 Workspace ONE Web 中打开超链接。
    共享 根据最终用户是否可以在其他应用中打开电子邮件及其附件,选择以下任一限制:

    仅预览 - 为最终用户设置此限制,以仅在 Workspace ONE Boxer 应用程序中预览电子邮件和附件。最终用户无法在任何其他应用程序中打开附件。

    允许列表 - 设置此限制,并指定应用程序的包 ID,以在指定的应用程序中打开电子邮件及其附件。系统将预填充 Content Locker 和 Evernote 的捆绑包 ID。

    不受限 - 为最终用户设置此限制,以在任意应用程序中打开电子邮件和附件。
    来电显示 启用此设置,以便为所有 Workspace ONE Boxer 联系人提供来电显示功能。
    通过启用此功能,Workspace ONE Boxer 只会将姓名和电话号码导出到本机联系人应用。
    个人与工作分开 您可以通过在 UEM Console 上配置以下设置,允许最终用户添加多个个人帐户,并使用本地联系人。
    个人帐户 如果受限,最终用户无法再向应用添加任何其他帐户。
    如果最终用户的设备上已安装 Workspace ONE Boxer,并配置了个人帐户,则系统将提示他们是立即还是稍后移除现有个人帐户。最终用户在移除所有个人帐户之前无法通过 Workspace ONE Boxer 接收工作电子邮件。
    个人联系人 如果受限,最终用户只能从应用中的电子邮件帐户访问联系人。如果不受限,最终用户可从设备上的其他应用访问联系人。
    应用程序配置 您可以使用 AirWatch 提供的配置键和配置值对为 Workspace ONE Boxer 部署配置设置。
    应用程序配置为可选。
  • 选择保存

  • 如果要限制在 Workspace ONE Boxer 与其他受支持的应用之间复制和粘贴数据,请在应用 > 设置和策略 > 安全策略 > 数据丢失防护下配置这些设置。

    必须启用“身份验证类型”和“单点登录”,才能在最终用户设备上应用这些设置。这些限制将应用于所有受支持的 VMware 应用程序。

    设置 说明
    启用复制与贴出 (仅限 iOS)禁用后,最终用户无法将 Workspace ONE Boxer 中的内容复制并粘贴到除 Workspace ONE 生产力应用之外的其他应用程序中。
    启用复制与贴入 禁用后,最终用户无法将除了 Workspace ONE 生产力应用之外的其他应用程序中的内容复制并粘贴到 Workspace ONE Boxer 中。

    最终用户可以在共享 SDK 设置的 Workspace ONE 应用程序之间复制或粘贴内容。这些 SDK 设置可作为一个应用程序的默认配置文件以及其他应用程序的自定义配置文件应用。

注:

  • 在 iOS 上,默认签名链接到 Workspace ONE® 用户区页面,该页面提供了有关 Workspace ONE Boxer 的详细信息。
  • Boxer 不支持 SDK 的集成身份验证功能。

Workspace ONE Boxer 中的多个受管帐户

在 Workspace ONE Boxer 中添加并配置多个受管帐户 (MMA)。

根据用户的业务要求,用户可以在不同的域中具有多个电子邮件帐户。例如,一个员工在母公司中可能有一个电子邮件帐户,在子公司中有另一个电子邮件帐户。这两个帐户可能具有符合其相应组织的要求的不同策略和限制。Workspace ONE Boxer 使您能够在同一 UEM console 中管理具有不同设置的两个附加电子邮件帐户。

多个受管帐户的要求

  • MMA 仅在 Workspace ONE Boxer 5.21 或更高版本中可用。
  • 要在 Boxer 中启用 MMA,您必须使用 Workspace ONE UEM console 2008 或更高版本。
  • 您必须在 SDK 配置文件和 Boxer 的应用策略中启用并配置单点登录 (SSO)。启用 SSO 后,无法将其禁用。要了解如何为 SDK 配置文件设置 SSO,请参阅 Android(旧版)平台指南中的“强制使用应用级单点登录密码”主题。

多个受管帐户在 Workspace ONE Boxer 中支持以下功能。

  • 邮件日历联系人的所有功能。
  • S/MIME、Azure 信息保护 (AIP)、基于证书的身份验证 (CBA)、垃圾邮件和网络钓鱼报告。
  • 配置 ENS2 后,MMA 支持辅助帐户通知和第三帐户通知。
  • 电子邮件签名和同步周期。
  • 在 iOS 上,运行状况检查将显示所有帐户的组合状态;而在 Android 上,只会显示主帐户的状态。
  • 在源为托管网关时用于对电子邮件进行签名和加密的 S/MIME 证书。

常规信息

  • 除了您的主要电子邮件帐户外,您还可以添加两个附加受管帐户。
  • 派生的凭据仅支持主帐户。Workspace ONE Boxer 不支持使用派生的凭据作为辅助帐户和第三帐户的证书源。
  • 确保添加并配置 PolicyDerivedCredentials 键,以在低于 5.21 的 Boxer 版本中使用 PIV-D。
  • 如果您在 UEM 中选择了适用于 S/MIME 证书的托管网关,还添加了 PolicyDerivedCredentialsSMIME 键并将值设置为 1 或 2,则在迁移 S/MIME 证书源后,将显示派生的凭据。
  • 您的其他受管帐户不支持 VMware Workspace ONE Mobile Flows。
  • 属于同一个域的两个 CBA 配置帐户不能包含生成具有相同 UPN(用户主体名称)详细信息的证书的相同或不同模板。
  • 如果对多个帐户使用相同的 S/MIME 证书,则这些帐户必须具有相同的吊销策略。
  • 在 iOS Boxer 中:
    • MMA 支持不适用于独立注册。
    • 如果与特定于帐户的键(例如 PolicySMIMETrustStorePolicySMIMERevocationCheckUrl)相冲突,Boxer 将使用主要电子邮件帐户的值。

使用 Workspace ONE UEM 在 Workspace ONE Boxer 中配置多个受管帐户

配置 Workspace ONE Boxer 以支持两个附加受管帐户。

**注:**在开始配置受管帐户之前,您必须使用 Workspace ONE UEM console 版本 2008 或更高版本,将 Workspace ONE Boxer 版本 5.21 或更高版本作为公共应用程序进行上载。

  1. 导航到应用与图书 > 应用程序 > 本机 > 列表视图 > 公共

  2. 在 Boxer 应用程序的安装状态列下,选择分配链接。或者,也可以选择编辑图标,然后选择保存并分配

  3. 在“分配”屏幕上,选择添加分配,然后输入所需的信息。

    a. 在“分发”选项卡中,输入以下信息:

    设置 说明
    名称 输入分配名称。
    说明 输入分配的说明。
    分配组 输入要将应用程序分配到的智能组的名称。输入智能组名称时,将显示一些选项,您可以从列表中选择相应的智能组。
    如有必要,可以添加更多分配组。
    应用交付方法

    按需 - 将应用程序部署到部署代理。设备用户可以决定是否安装应用程序以及何时安装。

    自动 - 注册后,将应用程序部署到设备上的部署中心。设备注册后,系统将提示用户在其设备上安装 Boxer 应用程序。

    b. 在限制选项卡中,输入以下信息:

    设置 说明
    EMM 受管访问 启用此选项以管理访问权限。只有在 EMM 中注册的设备可以安装应用并接收管理员设置的策略。

    c. 在隧道选项卡中,输入以下信息:

    设置 说明
    Android 或 iOS 旧版 选择要用于应用程序的 VPN 配置文件。用户使用 VPN 访问应用程序,从而有助于确保对应用程序的访问和使用是受信任且安全的。

    d. 在应用程序配置选项卡中,输入以下信息:

    设置 说明
    添加 您也可以手动添加配置键、值类型和查找值。

    注:这些 KVP 是应用程序级别设置,并应用于整个应用程序。如果要将任何配置应用于特定电子邮件帐户,您必须在电子邮件设置中将键添加到自定义帐户配置,以避免任何中断。

    e. 要将更多配置添加到应用程序,请选择添加

    注:确保此 KVP 应用于整个应用。仅应用于特定电子邮件帐户的任何配置都必须移至电子邮件设置中的“自定义帐户配置”,以避免任何中断。

    f. 在“电子邮件设置”中,点击 + 添加以添加其他帐户。如果您没有“+ 添加”选项,请确保您使用的是 Workspace ONE UEM console 2008 或更高版本。
    Boxer 支持已注册用户的“高级”选项卡中的自定义属性。它会将这些自定义属性映射到用户的辅助帐户。您必须在 Active Directory 中进行配置,以避免用户手动插入输入。

    在帐户级别输入以下信息:

    设置 说明
    帐户名称 输入 Exchange 帐户名称。
    Exchange ActiveSync 主机 输入您的 EAS 服务器 URL。对于 SEG 部署,输入 SEG URL。
    EWS URL 输入 EWS 端点或 SEG 端点的地址。
    电子邮件管理 如果要将移动电子邮件管理与此 Boxer 配置相关联,请至少输入一个 MEM 配置。
    域名、用户和电子邮件地址 输入域名、用户名和电子邮件地址。默认情况下,登录信息包括目录服务中定义为查找值的 {EmailDomain}、{EmailUserName} 和 {EmailAddress}。要替代这些值,请使用自定义查找值。
    密码 输入密码。**注:**密码字段仅支持查找值,而不是实际的密码值。
    电子邮件签名 输入电子邮件签名。
    身份验证 选择以下一种身份验证类型,以便最终用户可以使用 Workspace ONE 凭据对 Exchange 进行身份验证:

    基本 - 使用用户名和密码进行身份验证。

    证书 – 使用证书进行身份验证。选择所需的证书颁发机构和证书模板。

    两者 - 使用证书对网络设备进行身份验证,使用密码对 Exchange 进行身份验证,两者结合进行身份验证。

    现代身份验证 - 适用于 Office 365 的基于 OAuth 的令牌身份验证方法。要进行设置,请参阅“现代身份验证”部分。

    使用现代身份验证进行基于证书的身份验证 (使用现代身份验证进行 CBA) - Workspace ONE Boxer 支持使用现代身份验证进行基于证书的身份验证。Boxer 支持 SCEP。要查看受支持的证书,请参阅“支持的证书颁发机构”部分。

    **注:**假设您已在不启用 SSO 密码的情况下将证书设置为身份验证类型,并且用户先删除再重新安装 Boxer 应用程序。在重新安装时,用户会自动进行身份验证,因为您已将身份验证类型配置为 CBA。此类方案可为对设备具有物理访问权限的入侵者创造攻击途径。如果未添加身份验证质询,则入侵者可以通过先删除再重新安装 Boxer 应用程序来获取电子邮件资源的访问权限。
    为避免此类入侵者,Boxer 必须先使用 Workspace ONE 凭据对用户进行身份验证,然后才能允许他们访问电子邮件。需要 Workspace ONE 凭证的替代解决方案是启用 SSO 工作流,以限制入侵者重置独立密码。

    指定身份验证重试次数 - 指定失败时的身份验证重试次数。
    同步 配置如何配置电子邮件和日历的同步方式。
    通知 启用或禁用电子邮件通知服务 (ENS) 及其行为以提供实时通知。

    ENS2 - 启用或禁用 ENS2 选项。

    通知内容 - 配置每个通知警示中信息的公开方式。
    垃圾邮件和网络钓鱼报告 启用或禁用要对识别为垃圾邮件或网络钓鱼攻击的电子邮件执行的操作。
    Mobile flows 启用或禁用 Boxer 可与之集成的 Mobile Flows 服务器信息。
    **注:**Workspace ONE mobile flows 在 Boxer 中不支持多个受管帐户。
    S/MIME 启用或禁用 S/MIME 状态。
    电子邮件分类 启用或禁用电子邮件分类选项。

    AIP 敏感度标签 - 如果启用,用户可以与 AIP 标签进行交互。

    电子邮件分类 - 启用或禁用分类标记。

    g. 要应用任何帐户级别配置,请在自定义帐户配置中添加键值对。

    h. 在“应用策略”中,您必须启用并配置单点登录 (SSO),才能在 Boxer 中使用 MMA 功能。启用 SSO 后,无法将其禁用。

    i. 启用或禁用以下应用策略:

    设置 说明
    数据丢失防护  
    复制粘贴 如果受限:

    最终用户无法将内容从 Workspace ONE Boxer 复制并粘贴到其他应用程序。

    如果启用了个人帐户,则最终用户可以在个人帐户和工作帐户之间进行复制和粘贴。因此,请考虑禁用个人帐户,以彻底限制复制和粘贴功能。

    在选择文本时,应用程序中的共享和定义选项将不可用。
    屏幕截图 (仅限 Android)禁止用户从应用中截取屏幕截图。
    本地日历 设置为 true,以在 Workspace ONE Boxer 中启用本地日历。
    个人联系人 如果该选项受限,则最终用户只能从应用中的电子邮件帐户访问联系人。如果不受限,最终用户可从设备上的其他应用访问联系人。
    允许添加日历和电子邮件小组件 控制用户是否可以向主屏幕中添加 Boxer 日历或电子邮件小组件。
    共享 这些设置决定了用户是否可以在其他应用程序中打开电子邮件或其附件。根据您的要求,您可以使用“允许列表”选项指定允许的应用程序,也可以在任何应用程序中允许共享。
    控制打开方式 允许或禁止使用“打开”或“共享”将其他应用中的文件附加到 Workspace ONE Boxer。
    控制来自外部提供商的附件 启用或禁用来自外部提供程序的附件。
    水印文本、不透明度、颜色 定义水印文本。
    内部域列表 定义允许的内部域
    外部收件人警告 向外部用户发送邮件时通知用户。
    附件下载 允许或禁止用户下载附件。
    个人帐户 如果受限,最终用户无法再向应用添加任何其他帐户。
    如果最终用户的设备上已安装 Workspace ONE Boxer,并配置了个人帐户,则系统将提示他们是立即还是稍后移除现有个人帐户。最终用户在移除所有个人帐户之前不能通过 Workspace ONE Boxer 接收工作电子邮件。
    Browser (浏览器)  
    超链接 受限时,将在 Workspace ONE Web 中打开所有超链接。
    可用性  
    来电显示 启用此设置,以便为所有 Workspace ONE Boxer 联系人提供来电显示功能。
    通过启用此功能,Workspace ONE Boxer 只会将姓名和电话号码导出到本机联系人应用。
    默认来电显示 默认情况下,允许导出联系人、姓名和电话号码。此选项要求将“来电显示”选项设置为“无限制”。
    头像 为 Exchange 联系人启用或禁用头像。
    允许归档电子邮件 这会允许或禁止将电子邮件存档。
    对话线程 启用或禁用对话线程。
    企业内容 启用或禁用企业内容
    允许最终用户报告垃圾邮件 允许用户启用垃圾邮件选项。
    支持  
    崩溃报告 允许或禁止报告崩溃。默认情况下,Boxer 可以报告崩溃。
    高级  
    纯文本模式 启用或禁用 Workspace ONE Boxer 纯文本模式。设置此选项后,在同步时,Workspace ONE Boxer 仅从 HTML 邮件检索纯文本。无论电子邮件为哪种格式,Workspace ONE Boxer 都仅发送纯文本。撰写视图中的格式设置控件已禁用,并且只能从富文本或 HTML 内容复制和粘贴文本。
    使用 Mime 重新提取空链接 对于包含指向非服务器域的非标准 URL 方案的电子邮件(使用 HTML 获取),Exchange 会将 URL 替换为两个空格。启用或禁用此策略,以检测此问题并使用 MIME 重新下载受影响的正文,该过程不会受 URL 替换错误的影响。
    匿名衡量指标 启用此选项以允许收集匿名使用情况数据,以改善用户的 Workspace ONE Boxer 体验。启用此策略后,当启动 Workspace ONE Boxer 时,系统将向用户显示数据共享声明。设备用户可导航至设置 > 隐私 > 数据共享来启用或禁用数据共享。
    QuickJoin 自定义 URL 启用或禁用在具有联机会议邀请的日历邀请中找到的快速加入按钮。
    1. 选择创建

配置指纹身份验证

Android 版和 iOS 版 Workspace ONE Boxer 支持指纹身份验证。请在常规部署和分配过程中配置身份验证方法。

  • Android 版 Workspace ONE Boxer 4.5 和 iOS 版 Workspace ONE Boxer 4.2
  • Workspace ONE UEM Console v9.0.5+

  • 导航到组与设置 > 所有设置 > 应用 > 设置和策略 > 安全策略

  • 选择覆盖以覆盖任何继承的设置。

  • 身份验证类型设置为密码用户名和密码

    必须启用“密码”和“生物特征识别”才能在 Workspace ONE Boxer 中使用指纹功能。

  • 展开“身份验证类型”设置。

  • 为身份验证超时输入一个大于 0 的值。

  • 生物特征识别模式设置为指纹

  • 选择屏幕底部的保存

  • 将 Workspace ONE Boxer 应用配置为使用 AirWatch SDK。使用 AirWatch SDK 自定义部署,使其具有最高的安全性和稳定性。

    • 如果您未将 Workspace ONE Boxer 作为公共应用添加到 UEM console,请导航到应用与图书 > 列表视图 > 公共 > 添加应用程序。请按照以下步骤添加应用。启用应用程序使用 AirWatch SDK。您可以使用默认配置文件。

      有关更多信息,请参阅将 VMware Boxer 添加到“公共应用程序”

    • 如果您已将 Workspace ONE Boxer 添加到 UEM console,请导航到应用与图书 > 列表视图 > 公共,然后选择该应用。选择编辑。选择“部署”选项卡,然后启用应用程序使用 AirWatch SDK。您可以使用默认配置文件。

  • 导航到应用与图书 > 公共应用程序。选择 Workspace ONE Boxer 应用,然后选择分配。选择添加分配。配置电子邮件设置。

    有关更多信息,请参阅分配 VMware Boxer 及电子邮件设置

  • 为 Android 设备和 iOS 设备配置以下指纹身份验证设置:

    设置 说明
    配置密钥 输入设置的配置键。对于指纹身份验证,
    请输入 AppForceActivateSSO
    值类型 选择与配置密钥关联的值类型。
    对于指纹身份验证,请选择布尔
    配置值 输入配置值。
    对于指纹身份验证,请输入 true
  • 选择保存

  • 选择查看设备分配,然后选择保存并发布

在分配的设备收到新的设置后,最终用户便可在设备设置中启用指纹身份验证。配置指纹身份验证包括在设备上添加指纹。如果启用了指纹身份验证,最终用户必须输入备用的密码或用户名和密码。

配置自定义 SDK 配置文件

每次客户部署自己的证书颁发机构 (CA) 并将 Workspace ONE Boxer 与基于证书的身份验证结合使用时,都应配置自定义 SDK 配置文件。

  1. 配置自定义 SDK 配置文件。

    a. 导航到组与设置 > 所有设置 > 应用 > 设置和策略 > 配置文件,然后选择添加配置文件

    b. 选择 SDK 配置文件

    c. 选择平台。

    d. 配置常规设置

    e. 配置凭证

    f. 选择证书颁发机构。

    g. 保存配置文件。

  2. 使用基于证书的身份验证分配 Workspace ONE Boxer。

    a. 导航到应用与图书 > 公共

    b. 在列表视图页面上,从公用应用列表中选择 iOS Workspace ONE Boxer。

    c. 选择编辑

    e. 导航到 SDK 选项卡。

    e. 选择自定义 SDK 配置文件。

    f. 选择保存分配

使用派生凭证 (PIV-D) 配置 Workspace ONE Boxer

使用派生凭证创建并配置 SDK 配置文件,并将配置文件分配给 Boxer。SDK 配置文件允许 Boxer 从 VMware PIV-D Manager 应用程序提取派生凭证证书,以便设备可以使用这些证书安全地访问资源。

派生凭证是最终用户在注册过程中使用现有智能卡(CAC 或 PIV)证明其身份后,在移动设备上生成(或颁发)的客户端证书。

当您在凭证负载上将“凭证来源”设置为“派生凭证”时,Boxer 会从 PIV-D 应用程序导入身份验证、签名和加密证书。然后,将使用 PIV-D 证书向 Exchange Server 验证用户身份,或者提取 SMIME 证书以对电子邮件进行签名和加密。PIV-D 允许进行证书身份验证,即使配置了现代身份验证也是如此。

  1. 配置 SDK 配置文件。

    a. 导航到组与设置 > 所有设置 > 应用 > 设置和策略 > 配置文件,然后选择添加配置文件

    b. 选择 SDK 配置文件

    c. 选择所需的平台

    d. 为配置文件配置常规设置

    e. 选择凭证负载,然后选择配置

    f. 将凭证来源设置为派生凭证

    g. 根据证书的使用方式,选择密钥用法。选择身份验证签名加密
    要添加其他证书,请使用配置文件窗口底部的加号。

    h. 选择保存并发布

  2. 将 SDK 配置文件分配给 Boxer。

    a. 导航到应用与图书 > 本机 > 公共 > 添加应用程序,然后添加 Boxer。
    如果已添加 Boxer 应用程序,则可以跳过上述步骤。

    b. 选择编辑

    c. 导航到 SDK 选项卡,然后将 SDK 配置文件设置为配置了派生凭证来源和密钥用法的 SDK 配置文件。

    d. 选择保存分配

    e. 创建一个智能组(如果没有)并修改分配。

    f. 在更多电子邮件设置下,将身份验证类型设置为证书两者
    如果使用 AccountUseOauth 键配置采用现代身份验证的 iOS Boxer,则必须确保将身份验证类型设置为“基本”,而不是“证书”或“两者”。您还必须使用凭证负载配置设备配置文件,其中“凭证来源”设置为“派生凭证”,密钥用法类型设置为“身份验证”。如果您未在 iOS 上配置现代身份验证,则可以跳至下一步。

    g. 添加虚拟证书颁发机构。

    h. 在“应用程序配置”下,添加 AppForceActivateSSO 和 PolicyDerivedCredentials 键。有关这些配置键的更多信息,请参阅 Workspace ONE Boxer 的应用程序配置

    i. 选择添加

配置 Workspace ONE Boxer 的隐私设置

使用 UEM Console 中的配置密钥,执行隐私披露和数据收集的其他做法。对于升级至或使用最新版本的 Workspace ONE Boxer 的最终用户,Workspace ONE Boxer 启动时会显示隐私声明。

隐私对话框屏幕将向用户显示以下信息:

  • 应用收集的数据 – 提供应用程序收集和处理的数据的摘要。Workspace ONE UEM 管理控制台管理员可以看到这些数据中的部分数据。
  • 设备权限 – 提供应用启用产品功能特性(例如向设备推送通知)所需设备权限的摘要。
  • 公司隐私权政策 – 默认情况下,系统将向用户显示一条消息,通知用户联系所在公司以获取更多信息。您可以在 UEM Console 中配置隐私权政策 URL。配置后,用户可以从 Workspace ONE Boxer 访问所在公司的隐私权政策。

使用 SDK 默认设置配置隐私设置

使用 SDK 默认设置配置隐私设置。

  1. 导航至组与设置 > 所有设置

  2. 从“所有设置”导航至应用 > 设置和策略 > 设置

  3. 选择启用自定义设置,然后按照您的要求粘贴配置密钥。

    例如,要启用崩溃报告,请使用 {"PolicyAllowCrashReporting": true}

  4. 选择保存

使用自定义 SDK 配置文件配置隐私设置

使用自定义 SDK 配置文件配置隐私设置。

  1. 导航至组与设置 > 所有设置

  2. 如果您有现有的自定义设置文件,请导航至应用 > 设置和策略 > 配置文件 > 自定义配置文件 > 自定义设置

  3. 如果要添加自定义配置文件,请导航到应用 > 设置和策略 > 配置文件 > 添加配置文件 > SDK 配置文件 > iOS 或 Android > 自定义设置

  4. 在“自定义设置”中选择配置,然后按照您的要求粘贴以下配置键。

    配置密钥 值类型 支持的值 说明
    { "DisplayPrivacyDialog" } 整数 0 = 禁用
    1 = 启用(默认)
    设置为“1”(已启用)时,Workspace ONE Boxer 将向用户显示有关所收集数据的隐私声明,以及为实现应用的最佳功能在设备上所需的权限。
    { "PolicyAllowFeatureAnalytics" } 整数 0 = 禁用
    1 = 启用(默认)
    当设置为“1”(已启用)时,Workspace ONE Boxer 将向用户显示选项声明,询问用户是否要加入匿名功能使用分析计划,以帮助 VMware 改进产品功能和开发新的产品功能。当设置为“0”时,系统不会显示数据共享声明,也不会从设备收集数据以优化应用体验。设备用户可导航至设置 > 隐私 > 数据共享来启用或禁用数据共享。
    { "PolicyAllowCrashReporting" } 布尔 True = 启用
    False = 禁用
    设置为“True”时,应用崩溃都会报告给 VMware。
    { "PrivacyPolicyLink" } 字符串 https://www.acme.com 请提供您希望用户从隐私声明中选择公司隐私权政策后访问的隐私权政策 URL。
    SDK 配置示例:{"PolicyAllowFeatureAnalytics":1, "PrivacyPolicyLink":https://www.acme.com/privacypolicy, "PolicyAllowCrashReporting":true}
  5. 选择保存

check-circle-line exclamation-circle-line close-line
Scroll to top icon