Android 平台

VMware Workspace ONE UEM

您可以从 VMware 网站下载 新的技术文档：

https://docs.vmware.com/cn/。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

威睿信息技术（中国）有限公司北京办公室北京市朝阳区新源南路 8 号启皓北京东塔 8 层 801www.vmware.com/cn

上海办公室上海市淮海中路 333 号瑞安大厦 804-809 室www.vmware.com/cn

广州办公室广州市天河路 385 号太古汇一座 3502 室www.vmware.com/cn

版权所有 ©

2020 VMware, Inc. 保留所有权利。 版权和商标信息

Android 平台

VMware, Inc. 2

目录

1 将 Workspace ONE UEM 与 Android 集成 6将 Android 与 Workspace ONE UEM 配合使用的要求 6

Android 的网络要求 8

适用于 Android 的注册限制 9

Android 关键术语 10

了解 Android 设备模式 11

Android（旧版）设备管理员迁移 14

创建智能组以从 Android（旧版）迁移到 Android 工作配置文件 16

使用工作配置文件 Android（旧版）迁移迁移到 Android Enterprise 的必备条件 17

使用 Android 旧版迁移工具迁移到工作受管注册 18

使用迁移工具从 Android（旧版）迁移到工作配置文件 20

使用零接触注册迁移到 Android Enterprise 21

迁移详细信息页面 22

Android（旧版）迁移常见问题 22

2 向 Workspace ONE UEM 注册 Android 24向受管 Google Play 帐户注册 Android EMM 25

向受管 Google 域注册 Android EMM（G-Suite 客户） 25

设置 Google 服务帐户 26

设置 Google Admin Console 27

生成 EMM 令牌 27

上传 EMM 令牌 28

设置用户 29

从 Workspace ONE UEM 解除绑定域 31

3 Android 设备注册概述 32设备与用户/Android/Android EMM 注册 33

适用于 Android 设备的设备保护功能 34

注册自动发现 34

从子级组织组配置自动发现式注册 34

从父级组织组配置自动发现式注册 34

配置工作受管设备注册 35

使用 AirWatch Relay 注册工作受管设备 37

使用 VMware Workspace ONE Intelligent Hub 标识符来注册 Android 设备 42

使用二维码注册工作受管设备 43

使用零接触门户注册 Android 设备 45

配置“企业拥有、个人启用”注册 47

VMware, Inc. 3

Android 注册支持的其他注册标志 49

将 Android 设备注册为工作配置文件模式 51

为 Android 设备启用非受管注册 52

Zebra Stage Now 52

4 Android 配置文件概览 55密码配置文件 (Android) 57

强制使用密码设置(Android) 57

配置锁屏覆盖 (Android) 60

强制执行 Chrome 浏览器设置(Android) 61

Chrome 浏览器设置矩阵 (Android) 62

使用 Workspace ONE UEM 配置 Android 设备的限制 64

配置 Android 设备的限制 64

在 Android 设备上启用 Exchange Active Sync 配置文件 65

公共应用自动更新配置文件 (Android) 66

凭证 (Android) 67

部署凭证 (Android) 67

创建自定义消息 67

应用程序控制 (Android) 68

配置应用程序控制 (Android) 68

配置代理设置 (Android) 69

管理 Android 设备的系统更新 69

Wi-Fi 配置文件 (Android) 70

配置 Wi-Fi 访问 (Android) 70

配置 VPN (Android) 71

配置每应用 VPN 规则 (Android) 73

设置权限 (Android) 73

配置单应用模式 (Android) 74

单应用模式的 佳实践 (Android) 74

设置日期/时间 Android 75

创建 Workspace ONE Launcher 配置文件 (Android) 76

配置 Android 设备的防火墙规则 76

配置 APN 配置文件 (Android) 77

企业出厂重置保护 (Android) 78

为 Android 设备的出厂重置保护配置文件生成 Google 用户 ID 78

为 Android 配置企业出厂重置保护配置文件 79

配置 Zebra MX 配置文件 (Android) 79

使用自定义设置(Android) 81

5 共享设备 83配置 Android 以共享设备使用 84

Android 平台

VMware, Inc. 4

配置共享设备 85

定义共享设备层次结构 87

Android 共享设备的登录与注销 88

6 使用 Workspace ONE UEM 进行的 Android 设备管理 89设备管理命令 (Android) 89

“设备详细信息应用”标签页 90

请求设备日志 90

使用 Workspace ONE UEM 进行 Android 系统更新 91

Samsung Enterprise 无线固件 (EFOTA) 更新 91

SafetyNet Attestation 93

启用 SafetyNet Attestation 93

适用于 Android 的特定配置文件功能 94

适用于 Android 的特定限制 96

Android 平台

VMware, Inc. 5

将 Workspace ONE UEM 与 Android 集成 1Workspace ONE UEM powered by AirWatch 提供了一组可靠的移动管理解决方案，用于注册、保护、

配置和管理您的 Android 设备部署。通过 Workspace ONE UEM Console，您可以灵活使用多种工具和

功能来管理企业和员工拥有的设备的整个生命周期。

本指南介绍了如何将 Workspace ONE UEM 作为企业移动管理程序 (EMM) 与 Android 设备集成。

为推动 Android 设备在企业中的应用，2015 年推出了 Android Enterprise。自 Workspace ONE UEM Console 版本 v9.4 起，Workspace ONE UEM 开始采用更简化的命名规范。Android for Work 现已改

名为 Android，并成为新注册的默认部署方法。本指南介绍的便是这种部署方法。如果您当前是

Workspace ONE UEM 客户，可以继续保持使用 Android（旧版）管理设备库的 Android 部署。有关

Android（旧版）管理的文档，请参阅 VMware AirWatch Android（旧版）平台指南。

本章讨论了以下主题：

n 将 Android 与 Workspace ONE UEM 配合使用的要求

n Android 的网络要求

n 适用于 Android 的注册限制

n Android 关键术语

n 了解 Android 设备模式

n Android（旧版）设备管理员迁移

将 Android 与 Workspace ONE UEM 配合使用的要求

在部署 Android 设备之前，请考虑以下先决条件、注册要求、辅助资料和 Workspace ONE UEM 团队提

供的实用建议。

支持的操作系统

Android 5.X.X (Lollipop)

Android 6.X.X

Android 7.X.X

Android 8.X.X

VMware, Inc. 6

Android 9.X.X

注 在包含 Android（旧版）部署且运行 Android 9 及更高版本的 LG 设备上，不再支持 LG 服务应用程

序。如果使用 Android（旧版）注册方法且在 Android 9 或更高版本上使用 LG 设备，请考虑迁移到

Android Enterprise。

Android 10.X.X

Android 11.X.X

注 当 COPE 注册的设备从 Android 10 升级到 Android 11 时，客户将体验到更新的隐私意识功能集。有

关 COPE 设备的关键特性和功能的摘要，请参阅 了解 Android 设备模式。

注 如果贵组织需要更多时间来完成测试，有两种方法可推迟将设备升级到 Android 11。请参阅 管理

Android 设备的系统更新。

如果您的设备不支持 Google Play EMM 集成，请参阅 Android（旧版）部署或使用 AOSP/封闭式网络配

置。

有关 AOSP/封闭式网络的更多信息，请参阅 了解 Android 设备模式。

Workspace ONE UEM 不支持 Android Go。

注册要求

您的组织部署中的每台 Android 设备都必须先注册，然后才能与 Workspace ONE UEM 通信并访问内部

内容和功能。注册设备之前，您需要提供以下信息。

如果电子邮件域与您的环境关联 - 如果使用自动发现：

n 电子邮件地址 – 这是与您的组织关联的电子邮件地址。例如：JohnDoe@acme.com。

n 凭证 - 此用户名和密码可让您访问 Workspace ONE UEM 环境。这些凭证可能与您的网络目录服务

使用的凭证相同，也可能是在 Workspace ONE UEM console 中定义的唯一凭证。

如果电子邮件域与您的环境不关联 - 如果不使用自动发现：

如果域未与环境关联，系统仍会提示您输入电子邮件地址。由于未启用自动发现，因此系统会提示您输入

以下信息：

n 组 ID - 组 ID 将设备与企业角色关联，它是在 Workspace ONE UEM console 中定义的。

n 凭证 – 此唯一用户名和密码配对可让您访问 AirWatch 环境。这些凭证可能与您的网络目录服务使用

的凭证相同，也可能是在 Workspace ONE UEM Console 中定义的唯一凭证。

要下载 Workspace ONE Intelligent Hub 并随后注册 Android 设备，您需要完成以下操作之一：

n 导航到 https://www.getwsone.com，然后按照提示进行操作。

n 从 Google Play 商店下载 Workspace ONE Intelligent Hub。

Android 平台

VMware, Inc. 7

Android 的网络要求

终用户设备必须能够访问特定端点，以便访问应用和服务。Android 的网络要求是当前和过去的企业管

理 API 版本的已知端点列表。

要成功到达所有端点，需要直接连接。如果设备通过代理进行连接，则无法进行直接通信，并且某些功能

会失败。

表 1-1. 设备防火墙规则

目标主机 端口 用途

play.google.com、android.com、

google-analytics.com、

googleusercontent.com、

*gstatic.com、*gvt1.com*、*ggpht.com、dl.google.com、dl-ssl.google.com、

android.clients.google.com*、gvt2.com、*gvt3.com

TCP/443

TCP、UDP/5228-5230

Google Play 和更新

gstatic.com，

googleusercontent.com - 包含用户生成

的内容（例如，应用商店中的应用图标）

*gvt1.com、*.ggpht, dl.google.com、dl-ssl.google.com、

roid.clients.google.com -下载应用和更

新，PlayStore API、gvt2.com 和

gvt3.com 可用于播放连接监控以进行诊

断。

*.googleapis.com TCP/443 EMM/Google API/PlayStore API

accounts.google.com、

accounts.google.[country]TCP/443 accounts.google.[country] 的身份验

证，对于 [country] 请使用您的本地顶级

域。例如，对于澳大利亚，请使用

accounts.google.com.au，对于英国，请

使用 accounts.google.co.uk。

fcm.googleapis.com、fcm-xmpp.googleapis.com

TCP/443、5228-5230 Firebase Cloud Messaging（例如，查找

我的设备、EMM 控制台 <-> DPC 通信，

如推送配置）

pki.google.com、clients1.google.com TCP/443 Google 颁发的证书的证书吊销列表检查

clients2.google.com、

clients3.google.com。

clients4.google.com、

clients5.google.com、

clients6.google.com

TCP/443 由各种 Google 后端服务共享的域，例如

崩溃报告、Chrome 书签同步、时间同步

(tlsdate) 以及许多其他服务

omahaproxy.appspot.com TCP/443 Chrome 更新

android.clients.google.com TCP/443 在 NFC 置备中使用的 CloudDPC 下载

URL

Android 平台

VMware, Inc. 8

表 1-1. 设备防火墙规则 （续）

目标主机 端口 用途

connectivitycheck.android.com www.google.com

TCP/443 从 N MR1 开始，CloudDPC v470 Android 连接检查之前的连接检查要求能

够访问 https://www.google.com/generate _204，或者给定的 WiFi 网络

指向可访问的 PAC 文件。

对于运行 Android 7.0 或更高版本的

AOSP 设备也是必需的。

www.google.com、www.google.com/generate_204

运行 Android 7.0 或更高版本的 AOSP 设备

控制台防火墙规则

如果 EMM 控制台位于本地，则需从网络访问以下目标，以便创建托管的 Google Play Enterprise 并访问

托管的 Google Play iFrame。

这些要求反映当前 Google Cloud 要求，并且可能会更改。

目标主机 端口 用途

play.google.com、www.google.com TCP/443 Google Play Store Play Enterprise 重新

注册

fonts.googleapis.com*、.gstatic.com TCP/443 iFrame JS、Google 字体、用户生成的内

容（例如，应用商店中的应用图标）

accounts.youtube.com、

accounts.google.com、

accounts.google.com.*

TCP/443 帐户身份验证、特定国家/地区的帐户身份

验证域

apis.google.com、ajax.googleapis.com TCP/443 GCM、其他 Google Web 服务和 iFrame JS

clients1.google.com、

payments.google.com、google.comTCP/443 应用批准

ogs.google.com TCP/443 iFrame UI 元素

notifications.google.com TCP/443 桌面/移动通知

适用于 Android 的注册限制

注册限制允许您预置注册，例如将注册限制为已知用户、用户组和允许的已注册设备数量。

通过导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 注册可访问这些选项，选择限制标签页后，您可以

按组织组和用户组角色自定义注册限制策略。

Android 平台

VMware, Inc. 9

您可以基于以下信息创建注册限制：

n Android 制造商和型号，以确保只有经过批准的设备才能在 Workspace ONE UEM 中注册。

注 某些设备由其他供应商生产。您可以与设备的实际制造商创建策略，以使策略生效。以下是识别设

备制造商的一些方法：

n 导航到设备设置中的关于页面。

n 使用 adb 命令：adb shell getprop | grep "manufacturer"。

n 按 UDID、IMEI 和序列号将设备列入黑名单或白名单。

注 在将 Android 10 或更高版本的设备注册到工作配置文件模式时，设备将保持待定状态，直到

UEM console 能够从设备中检索 IMEI 或序列号，以查看其是否已列入白名单或黑名单。在验证成功

前，设备将不会完全注册，也不会发送任何工作数据，直到注册完成为止。

有关更多信息，请参见创建注册限制策略。

Android 关键术语

通过这些与 Android 关联的主要术语，您能够了解如何为用户配置和部署设置。

n 工作配置文件 – 工作配置文件模式（也称为配置文件所有者）在设备上创建仅用于业务应用程序和内

容的专用容器。工作配置文件模式允许组织管理业务数据和应用程序，但不能访问用户的个人数据和应

用程序。Android 应用程序用公文包图标表示，以区分个人应用程序。有关更多信息，请参阅了解

Android 设备模式。

n 工作受管设备 - 工作受管设备模式（也称为设备所有者或完全受管模式）涵盖整个设备。设备没有个人

属性，从 Workspace ONE Intelligent Hub 推送的策略将应用到整个设备。工作受管设备模式适用的

设备具有如下特点： 初处于未置备状态、经过单独的置备过程、安装并授予 Workspace ONE Intelligent Hub 对整个设备的完全控制权限。有关更多信息，请参阅了解 Android 设备模式。

n 企业拥有、个人启用 –“企业拥有、个人启用 (COPE)”是指公司拥有的设备，与工作受管设备类

似，只是置备了可同时支持个人和企业用途的工作配置文件。有关更多信息，请参阅了解 Android 设备模式

n 受管 Google 帐户 - 指注册到设备适用于 Android 的 Google 帐户，通过 Google Play 提供

Android 应用程序管理。此帐户由管理 Android 配置的域管理。

n 受管 Google Play 帐户 - 适用于要设置 Android 但没有 G Suite 帐户或受管 Google 帐户的组织。

n Google 服务帐户 - Google 服务帐户是应用程序用于访问向 G Suite 客户建议的 Google API 的特殊

Google 帐户。

n EMM 令牌 - Workspace ONE UEM 用于将 Workspace ONE UEM Console 连接到受管 Google 帐户的唯一 ID。

n 受管 Google 域 - 申请用于启用与企业关联的 Android 的域。

n Google 域设置 - 申请受管 Google 域的 Google 过程。

Android 平台

VMware, Inc. 10

n AirWatch Relay - 管理员将 Android 设备批量注册到 Workspace ONE UEM 使用的 Workspace ONE UEM 应用程序。

n NFC 触碰 – 一种通过将设备彼此相邻放置来进行信息交换的通信技术，称为“触碰”。可通过使用

AirWatch Relay 应用将信息从父设备传递到子设备来实现。

n AOSP/封闭式网络 – Android 开源项目或封闭式网络指的是没有 Google 移动服务 (GMS) 的

Android 设备以及无法访问 Google 的控制台环境。

n 基于用户和基于设备的注册 - 选择是否将设备上的 Google 帐户绑定到每个注册会话（基于设备）或每

个注册用户帐户（基于用户）

n 逐步替换 - 逐步替换允许您在从 Android（旧版）转换到 Android Enterprise 时继续使用当前设备部

署。任何新的设备部署都可以注册到 Android Enterprise 中，并使用较旧的设备进行管理。有关更多

信息，请参阅 Android（旧版）设备管理员迁移。

了解 Android 设备模式

使用 Android 的内置管理功能，IT 管理员可全面管理工作专用设备。

根据组织内使用的设备的所有权，Android 提供了许多模式。

n 工作配置文件：在设备上创建仅用于工作应用程序和数据的专用空间。这是自带设备 (BYOD) 应用程

序较为理想的部署样态。

n 工作受管设备：允许 Workspace ONE UEM 和 IT 管理员控制整个设备并强制实施工作配置文件无法

实现的更大范围策略控制，但会限制设备只能用于企业用途

n 企业拥有、个人启用：是指公司拥有的设备（类似于“工作受管设备”），不过这些设备已使用工

作配置文件进行置备，可同时用于个人和企业用途。

n 不含 Google Play 服务的工作受管设备：如果在 Android 开源项目 (AOSP) 设备、非 GMS 设备

上使用 Workspace ONE UEM，或者在您的组织内使用封闭式网络，则可以不使用 Google Play 服务，而通过工作受管设备注册流程注册您的 Android 设备。

工作配置文件模式功能

工作配置文件中的应用程序用红色公文包图标加以区分，这些程序被称为标记应用程序，与用户的个人应

用程序一并显示在统一启动器中。例如，您的设备为 Google Chrome 显示个人图标，为标记表示的

Work Chrome 显示单独的图标。从 终用户的角度来看，似乎存在两个不同的应用程序，但实际上应用

程序仅安装了一次，并将业务数据与个人数据分开存储。

Workspace ONE Intelligent Hub 带有标记，且仅存在于工作配置文件数据空间中。个人应用程序不受控

制，且 Workspace ONE Intelligent Hub 无权访问个人信息。

工作配置文件默认包含一些系统应用程序，例如 Work Chrome、Google Play、Google 设置、

Contacts 和 Camera，可使用限制配置文件隐藏这些应用程序。

某些设置可显示个人和工作配置的区别。用户可查看以下设置的不同配置：

n 凭证 - 查看用于受管设备用户身份验证的企业证书。

Android 平台

VMware, Inc. 11

n 帐户 - 查看与工作配置文件关联的受管 Google 帐户。

n 应用程序 - 列出了设备上安装的所有应用程序。

n 安全 - 显示设备加密状态。

工作受管设备模式功能

将设备注册为工作受管设备模式时，将创建真正的企业所有权模式。Workspace ONE UEM 控制整个设

备，且不区分工作和个人数据。

对于工作受管模式，请注意以下重要事项：

n 与工作配置文件模式不同的是，主屏幕不显示标记应用程序。

n 激活设备后，用户有权访问各种预加载的应用程序。仅可以通过 Workspace ONE UEM console 批准和添加附加应用程序。

n Workspace ONE Intelligent Hub 在安全设置中被设置为设备管理员，且不能被禁用。

n 从工作受管模式取消注册设备会提示恢复设备出厂设置。

不含 Google Play 服务的工作受管设备

如果在 Android 开源项目 (AOSP) 设备、非 GMS 设备上使用 Workspace ONE UEM，或者在您的组织

内使用封闭式网络，则可以不使用 Google Play 服务，而通过工作受管设备注册流程注册您的 Android 设备。您可以在组织的内联网上托管应用，并使用 OEM 特定的注册方法进行部署。

您需要在 UEM console 中指定：您在 Android EMM 注册过程中使用 AOSP/封闭式网络。有关更多信

息，请参阅向受管 Google Play 帐户注册 Android EMM。

对 AOSP/封闭式网络部署使用不含 Google Play 服务的工作受管设备时，需要考虑以下事项：

n 如果您已在顶层组织组中设置了 Android，并且希望仅在特定子组织组中部署 AOSP/封闭式网络，则

UEM console 管理员可以选择指定：子组织组中的开箱即用注册没有受管 Google 帐户。有关详细信

息，请参见“Android EMM 注册”中的设备与用户/Android/Android EMM 注册。

n 如果要使用 Workspace ONE UEM 1907 和更低版本部署设备，则不需要 UEM console 配置。

n 如果要使用 Workspace ONE UEM 1908 和更高版本部署设备，则必须在 第 2 章 向 Workspace ONE UEM 注册 Android 页面中配置设置。

n 支持的注册方法包括：

n 二维码

n 适用于 Zebra 设备的 StageNow

n 适用于 Honeywell 设备的 Honeywell Enterprise Provisioner

n AOSP 设备不支持通过 VMware Workspace ONE Intelligent Hub 标识符进行注册。

n 不支持公共自动更新配置文件。此配置文件专门用于公共应用，对 AOSP 或封闭式网络上的设备不起

作用

n 不支持出厂重置保护配置文件。

Android 平台

VMware, Inc. 12

n 内部应用（在 Workspace ONE UEM console 中托管）将静默部署到 AOSP/封闭式网络设备。

n 不应为未使用受管 Google 帐户注册的工作受管设备分配任何公共应用，也不应在公共应用分配设备

计数中考虑这些设备。

n 不使用 Google Play 服务的工作受管设备的操作系统版本和 OEM 要求：

n AOSP（非 GMS）

n Zebra 和 Honeywell - 必须为支持 StageNow 或 Honeywell Enterprise Provisioner 注册

的操作系统版本。

n 其他 OEM - 不支持，除非 OEM 通过 StageNow 等客户端或允许用户访问二维码注册来开发

对它的支持。

n 封闭式网络

n Zebra 和 Honeywell - Android 7.0 及更高版本必须为支持 StageNow（也是 7.0 或更高版

本）或 Honeywell Enterprise Provisioner 注册的操作系统版本。

n 其他 OEM - Android 7.0 或更高版本，因为二维码注册是唯一受支持的方法。

“企业拥有、个人启用 (COPE)”模式

使用 COPE 模式注册设备时，您仍可以控制整个设备。COPE 模式的独特功能是允许您针对设备和在工作

配置文件内分别强制实施两组独立的策略，例如限制。

COPE 模式仅适用于 Android 8.0+ 设备。如果您注册的是 Android 8.0 以下版本的 Android 设备，则该

设备将自动注册为完全受管设备。

将设备注册为 COPE 模式时，需要考虑如下注意事项：

n 对于新注册，使用 Android 11 时必须使用适用于 Android 的 Workspace ONE Intelligent Hub 20.08 以及 Workspace ONE UEM console 2008。有关具体信息，请参阅 Android 11 中对企业拥

有、个人启用 (COPE) 设备的更改。

n 对于“企业拥有、个人启用”设备，不支持使用 SDK 进行基于 PIN 的加密和 Workspace ONE UEM 单点登录。您可以强制使用工作密码来确保使用工作应用程序需要输入密码。

n COPE 注册不支持单用户注册预备和多用户注册预备。

n 在工作配置文件内，部署到 COPE 设备的内部应用程序（在 Workspace ONE UEM 中托管）和公共

应用程序显示在应用程序目录中。

n 类似于纯工作配置文件注册，“企业拥有、个人启用”设备为用户提供禁用工作配置文件的选项（例如

在用户休假期间）。禁用工作配置文件后，工作应用程序不会再显示通知，也无法启动。管理员可以在

“设备详细信息”页面上查看工作配置文件的状态（“启用”或“禁用”）。禁用工作配置文件后，将

无法从工作配置文件检索 新的应用程序和配置文件信息。

n Workspace ONE Intelligent Hub 存在于“企业拥有、个人启用”设备的“完全受管”和“工作配置

文件”部分中。管理策略同时存在于工作配置文件之内和之外，因此既可在工作配置文件内应用，也可

在整个设备应用。但是，Workspace ONE Intelligent Hub 仅在“工作配置文件”内可见。

Android 平台

VMware, Inc. 13

n 设备收到推送通知时，“工作配置文件”外的 Workspace ONE Intelligent Hub 可临时供用户查看消

息，以确保即使在“工作配置文件”被临时禁用的情况下用户仍可收到关键消息。

n 您可以通过“工作配置文件”中的 Workspace ONE Intelligent Hub 查看分配的配置文件。

n 用于应用程序管理的合规策略（例如屏蔽/移除应用程序）仅对工作配置文件内的应用程序有效。使用

应用程序控制配置文件可以在设备（工作配置文件外）上将应用程序列入黑名单。

n 企业擦除会对“企业拥有、个人启用”设备执行出厂重置。

n COPE 注册不支持产品置备。

n Android 11 具体更改：

n 内部应用程序（由 Workspace ONE UEM 托管）无法再推送到设备的个人端。内部应用（作为专

用应用）和公共应用都必须仅部署到工作配置文件。

n 任何其他功能（如依赖于内部应用程序的合规性规则）也将不再受支持。

n 不再支持注册方法 afw#hub。

n 请考虑使用二维码或零接触式注册。

n 如果贵组织需要更多时间来完成测试，有两种方法可推迟将设备升级到 Android 11。请参阅 管理

Android 设备的系统更新。

有关具体信息，请参阅 Android 11 中对企业拥有、个人启用 (COPE) 设备的更改。

Android（旧版）设备管理员迁移

在 Android 5.0 中引入了 Android 工作受管和工作配置文件模式后，设备管理员是使用 Workspace ONE UEM console 注册 Android 设备的传统方法。使用 Android（旧版）部署注册到 Workspace ONE UEM 的客户可以迁移到 Android Enterprise，以便对企业利用设备功能。

本节提供了有关如何从 Android（旧版）部署迁移到 Android Enterprise 的信息和 佳做法。

Google 已弃用某些设备管理员 API，改为提供更新的设备功能，因为设备管理员无法很好地满足当前的企

业要求。Workspace ONE UEM 客户可以采用工作受管（适合企业拥有的设备）、工作配置文件（适用于

BYOD 部署）和“企业拥有、个人启用 (COPE)”模式，通过从 Android（旧版）迁移到 Android Enterprise 来管理其 Android 设备。有关设备模式的详细信息，请参见了解 Android 设备模式。

还有更多疑问？请参阅我们的 Android（旧版）迁移常见问题部分以获得帮助。

使用 Zebra Android 设备从 Android（旧版）迁移到 Android Enterprise 工作受管模式

运行 Android 7 及更高版本以及 MXMF 7 及更高版本的 Zebra 设备支持从 Android（旧版）迁移到

Android Enterprise 工作受管模式。此流程中的迁移功能包括：

n 迁移会以静默方式远程执行。

n 在迁移过程中，设备不会关机、重新引导或重置，确保应用数据保持不变。

n 在迁移过程中保持 Wi-Fi 连接。

Android 平台

VMware, Inc. 14

n 不包含配置文件的产品将保持安装状态。

n 完全支持迁移到 AOSP/封闭式网络模式。

要开始操作，请参阅使用 Android 旧版迁移工具迁移到工作受管注册。

使用 BYOD 设备从 Android（旧版）迁移到 Android Enterprise

Workspace ONE UEM console 提供了一个无缝过程，可帮助您将所有设备从 Android（旧版）迁移到

Android Enterprise 工作配置文件。UEM console 中的迁移功能可帮助您确保：

n 在迁移完成之前，您的旧版管理保持不变。

n 未迁移的设备不受影响。

n 监控哪些设备已完成、正在进行中、已分配。

n 创建注册预备或测试智能组，以确保所有用户设备在迁移整个设备库之前成功迁移。

要开始使用，请参阅 使用迁移工具从 Android（旧版）迁移到工作配置文件。

使用企业拥有的设备从 Android（旧版）迁移到 Android Enterprise

您可以使用企业拥有的设备从 Android（旧版）迁移到 Android Enterprise，以进入工作受管模式或“企

业拥有、个人启用 (COPE)”模式。注册和迁移选项因 Android 操作系统、设备类型以及设备是否有权访

问 Google 服务而异。这种情况 适合迁移非 Zebra Android 设备。

迁移和注册选项包括：

n 对 Android 8.0+ 设备使用完全受管注册。要开始使用，请参阅 使用零接触注册迁移到 Android Enterprise

n 对 Samsung Android 8.0+ 设备使用 Knox 移动注册。要开始使用，请参阅 Samsung Knox 移动注

册文档。

n 请遵循逐步替换策略，并继续使用通过 Android（旧版）注册的当前 Android 设备。逐步替换策略意

味着，任何新设备部署都将自动注册到 Android Enterprise 中，并与较旧部署（Android（旧版））

同时进行管理，直到您的组织准备好将所有设备迁移至 Android Enterprise。

从 Android（旧版）迁移到不含 Google 服务的 Android Enterprise

如果您当前正在使用通过 Android（旧版）部署的 Android 设备注册到 Workspace ONE UEM，并且想

要切换到不含 Google 服务的 Android Enterprise，则我们为公司拥有的设备提供封闭式网络支持，并为

BYOD 设备提供非受管注册。

如果您的设备无法联网，或者设备能够联网但没有 Google 服务（非 GMS 认证设备），则您可以将这些

设备注册到 Android Enterprise 中以进入工作受管模式，然后推送内部应用程序并使用 Android 配置文

件应用策略。

如果您的设备能够联网，但在 Google 服务方面存在一些限制（例如，设备位于中国），则您可以对企业

设备使用封闭式网络支持。对于 BYOD 设备，您可以使用仅基于 SDK 的 MAM 模式（称为“登记模

式”）为 Android 设备启用非受管注册。

Android 平台

VMware, Inc. 15

有关企业拥有的设备的封闭式网络支持的更多信息，请参阅设备与用户/Android/Android EMM 注册以配

置这些设置。

要配置不含 Google 服务的 BYOD 设备，请参阅为 Android 设备启用非受管取消注册以了解注册步骤。

对 API 的影响

Google 已弃用某些设备管理员 API，改为提供更新的设备功能，因为设备管理员无法很好地满足当前的企

业要求。在运行 Android 10 及更高版本的设备上，设备管理员可以使用的以下 API 不再正常工作。其余

运行 Android 9.0 及更低版本的设备不受影响：

n USES_POLICY_DISABLE_CAMERA

n USES_POLICY_DISABLE_KEYGUARD_FEATURES

n USES_POLICY_EXPIRE_PASSWORD

n USES_POLICY_LIMIT_PASSWORD

创建智能组以从 Android（旧版）迁移到 Android 工作配置文件

当前在 Android（旧版）下部署的 Workspace ONE UEM 客户可以迁移到 Android 工作配置文件模式来

管理其 Android 设备。此用例可指导您完成创建智能组、创建新迁移以及跟踪迁移状态的步骤。

Workspace ONE UEM console 提供了一个无缝过程，可帮助您创建智能组以将所有设备从 Android（旧版）迁移到 Android 工作配置文件部署。

前提条件

在迁移之前，您需要为正在迁移的所有设备创建智能组。在部署到所有设备之前，您可以创建单独的组来

注册预备少量设备，以用于测试目的。

步骤

1 选择相应的组织组 (OG)，您可以将新智能组应用于这些组织组，也可以从这些组织组来管理智能组。

选择 OG 是可选的。

2 导航到组与设置 > 组 > 分配组，然后选择添加智能组

3 为智能组输入一个名称。

4 配置智能组类型：

n 条件：此选项 适合接收常规更新的大规模设备群组（数量超过 500 台）。这种方法之所以 有

效，是因为这些组群的内在详细信息可以传至移动设备群的所有端点设备。

n 设备或用户：此选项 适合间歇性接收重要更新的小规模设备群组（数量不超过 500 台）。这种

方法之所以 有效，是因为您可以在精细的级别选择组成员。

注 在两种智能组类型之间切换将会清除您可能已输入的任何条目和做出的选择。

至少需要选中一台部署为 Android（旧版）的设备符合迁移条件，否则在设置迁移时将出现错误。

5 选择保存。

Android 平台

VMware, Inc. 16

后续步骤

创建智能组后，您便可以轻松了解开始迁移所需的先决条件。

使用工作配置文件 Android（旧版）迁移迁移到 Android Enterprise 的必备条件

要为迁移提供直观的 终用户体验，此页面将指导您成功完成迁移。未完成这些步骤可能会导致迁移失败

或者用户无法访问所需的所有应用。

设备资格

设备需要符合迁移条件。例如：无法迁移启用了 Knox 容器的 Samsung 设备。

导航到设备详细信息 > 自定义属性并使 sure migration.eligible 属性的值为 True，以检查是否符合迁移

条件。

重新创建 Android 配置文件

Android Enterprise 配置文件与设备管理员或 Android（旧版）配置文件之间是独立的。您必须重新为

Android Enterprise 创建配置文件。完成 Android Enterprise 注册后，这些配置文件可用于配置。

在低于 9.4.0 的 UEM console 上，Android Enterprise 配置文件位于设备 > 配置文件与资源 > 配置文

件 > 添加 > 添加配置文件 > Android > Android for Work 下。

在 UEM console 9.4.0 及更高版本中，Android Enterprise 配置文件位于设备 > 配置文件与资源 > 配

置文件 > 添加 > 添加配置文件 > Android 下。

注 如果已为 Android（旧版）部署配置了 Wi-Fi 配置文件，则必须创建一个 Android Wi-Fi 配置文件并

将其分配给选择进行迁移的设备，然后才能创建迁移。

Android 设备配置文件可确保正确使用设备，以及保护敏感数据和工作区功能。配置文件具有许多不同的

用途，包括允许您强制实施企业规则和程序，以及按照 Android 设备的使用方式来定制和准备这些设备。

配置应用程序管理

将应用程序添加到 Workspace ONE UEM console 后，可以将其分发给设备管理员（也称为 Android（旧版））和 Android Enterprise 注册。如果在 Android Enterprise 登记之前已将公共应用程序添加到

UEM console，本指南的应用程序管理部分将帮助您配置设置，以使现有应用分配不会中断。

Android Enterprise 下的工作配置文件管理模式无法管理内部应用程序。为了确保已迁移到工作配置文件

的设备可以使用内部应用程序，必须在迁移之前，将应用程序作为专用应用程序上载到受管 Google 控制

台。

使用 Workspace ONE UEM 管理 Google Play 商店中向公众开放的移动应用程序的部署和维护。可确保

为您的组织批准所有公共应用以确保无缝迁移。

Android 平台

VMware, Inc. 17

验证网络设置

Android 的网络要求是当前和过去的企业管理 API 版本的已知端点列表。请检查您的网络设置，确保已在

Workspace ONE、Google Play 商店与 Android 设备之间建立连接。有关详细信息，请参见 Android 的网络要求。

管理要进行 Android（旧版）迁移的公共应用

如果在 Android（旧版）迁移和 Android Enterprise 注册之前已将公共应用添加到 UEM console，此任

务将帮助您确保在迁移后导入所有应用。

这些步骤只是确保 UEM console 知道该应用已在受管 Google Play 中获得批准。现在可以在迁移完成后

将此应用分配给 Android Enterprise 注册。

步骤

1 导航到 https://play.google.com/work（使用用于配置 Android Enterprise 的同一 Gmail 帐户登

录），搜索应用并为您的组织批准该应用。

2 在 UEM console 中，导航到应用与图书 > 本机 > 公共 > 添加应用程序 > Android > 从 Play

导入。

3 在批准的应用列表显示后，选择“导入”

迁移后，应用缓存将会清除，用户必须重新输入相关凭证。

使用 Android 旧版迁移工具迁移到工作受管注册

通过 Workspace ONE UEM console，可以使用旧版迁移工具将设备从设备管理员或 Android（旧版）

迁移到具有 Android Enterprise 的工作受管模式。

Android 旧版迁移工具允许您完成所有必备条件、选择智能组、上载迁移证书，并提供一个仪表板可查看

已迁移设备的摘要页面，包括资格状态以及失败或成功原因。

注 在迁移期间不要关闭设备电源。

前提条件

请务必完成必备条件以避免迁移失败或者用户无法访问所需的所有应用。有关必备条件的更多信息，请参

阅：使用旧版迁移工具迁移到工作受管设备的必备条件。

步骤

1 导航到设备 > 生命周期 > 旧版 Android 迁移 > 新建，然后从选择迁移类型窗口中选择工作受管。

选择

2 完成必备条件，然后选择下一步进入详细信息，以选择要迁移的智能组：

设置 说明

名称 为迁移组输入友好名称。

说明 输入迁移组的详细说明。

Android 平台

VMware, Inc. 18

设置 说明

智能组 指定要接收迁移的智能组。智能组必须包含 Android（旧版）部署。

如果智能组不适合包含在迁移中，您将收到一条错误消息。

迁移证书 选择上载按钮，为您的 Zebra 设备上载迁移证书。

请联系 Zebra 支持部门为您的公司检索证书，从安全角度来看，这是确保迁移完整

性所必需的。

3 选择验证以检索符合迁移条件的设备数量。

迁移可能需要几分钟的时间才能完成。

UEM console 将在下一个页面显示合格设备的列表。要继续迁移，请单击创建。

结果

您将看到一个迁移分配列表。您可以单击每个分配以查看其他详细信息，并查看每台设备的迁移状态。

适用于 Android 的 Workspace ONE Intelligent Hub 会在迁移期间在设备上显示并固定到主屏幕，并在

迁移完成后取消固定。

后续步骤

有关其他信息，请参见迁移详细信息页面。

使用旧版迁移工具迁移到工作受管设备的必备条件

要为迁移提供直观的 终用户体验，此页面将指导您成功完成迁移。未完成这些步骤可能会导致迁移失败

或者用户无法访问所需的所有应用。

软件要求

n VMware Workspace ONE UEM 2006 或更高版本

n 适用于 Android 的 Workspace ONE Intelligent Hub 20.05 和适用于 Android 的 Zebra MX Service 4.8。

如果使用 APF 文件进行注册或 Hub 升级，则应使用设备管理员（Android（旧版））（列为 DA）版本的

APF 文件进行注册，并且应使用工作受管 (Android Enterprise)（列为 DO）版本进行升级。

设备要求

运行 Android 7 及更高版本以及 MXMF 7 及更高版本的 Zebra 设备。设备应在 Android 旧版（设备管理

员）模式下注册。

Google 帐户

设备上不能有 Google 帐户，因为它会导致迁移失败。请在迁移之前移除所有 Google 帐户。

迁移证书

请联系 Zebra 支持部门为您的公司检索证书，从安全角度来看，这是确保迁移完整性所必需的。证书的寿

命通常较短（30-90 天）。证书应为 .pem 格式。

Android 平台

VMware, Inc. 19

Zebra 可能会请求以下信息以生成证书：

n 执行迁移的应用：Zebra MX Service

n 正在迁移到工作受管的应用：适用于 Android 的 Workspace ONE Intelligent Hub

n 客户名称

Android EMM 注册

在您的环境中设置 Android EMM 注册，以启用设备注册和迁移到 Android Enterprise。有关更多信息，

请参阅第 2 章 向 Workspace ONE UEM 注册 Android。

配置文件和产品

Android Enterprise 配置文件与设备管理员或 Android（旧版）配置文件之间是独立的。您必须重新为

Android Enterprise 创建配置文件。完成 Android Enterprise 注册后，这些配置文件可用于配置。

需要将配置文件重新创建为 Android，并且必须修改或停用包含旧版配置文件的产品并进行更换。

迁移资格

将向控制台报告两个新的自定义属性 migration.do.eligible 和 migration.do.ineligibilityReason。如

果 migration.do.eligible 的值为“true”，则设备可以进行迁移。控制台将在向设备发送迁移命令之前

自动检查此属性。如果值为“false”，请检查 migration.do.ineligibilityReason 以获得进一步指导。

智能组

迁移已分配给智能组。根据需要为迁移计划创建组。

使用迁移工具从 Android（旧版）迁移到工作配置文件

Workspace ONE UEM console 提供了一个迁移工具，可让您完成所有必备条件、选择智能组、为用户配

置自定义消息，还提供了一个仪表板供您查看已迁移设备的摘要页面，包括资格状态以及失败或成功原

因。

前提条件

请务必完成必备条件以避免迁移失败或者用户无法访问所需的所有应用。有关必备条件的更多信息，请参

阅：使用工作配置文件 Android（旧版）迁移迁移到 Android Enterprise 的必备条件 。

步骤

1 导航到设备 > 生命周期 > 旧版 Android 迁移，然后选择新迁移。

2 完成必备条件，然后选择下一步以进入详细信息选项卡。

详细信息 在“详细信息”选项卡，您可选择要迁移的智能组

名称 为迁移组输入友好名称。

说明 输入迁移组的详细说明。

Android 平台

VMware, Inc. 20

详细信息 在“详细信息”选项卡，您可选择要迁移的智能组

智能组 指定要接收迁移的智能组。智能组必须包含 Android（旧版）部署。

如果智能组不适合包含在迁移中，您将收到一条错误消息。

消息 在用户选择升级到 Android Enterprise 后，此消息将通知他们有关迁移的信息，并

提示他们执行操作以继续。

3 选择验证。选择“验证”可检索符合迁移条件的设备数量。

4 在验证所有设备是否符合迁移条件后，请选择继续。必须选择有效的智能组才能继续操作。

摘要页面会显示详细信息，如设备列表、迁移资格以及设备不合格的原因、应用时间

5 选择创建以创建迁移。

将向所选智能组中的合格设备发送通知，告知用户有关迁移的信息并提示他们执行必要的操作以继续。

您可以在“旧版 Android 迁移”页面上监控进度。在此页面中，您可以从列表视图中选择迁移以显示

“迁移详细信息”页面。

注 在 Android（旧版）迁移到 Android Enterprise 的过程中，根据调度程序中的设置，系统将随即

自动为第一批设备（300 个）发送迁移命令。在前 300 个设备之后，其余设备将在确定的时间间隔内

收到命令。您可以在 UEM console 的管理 > 调度程序下查看设置。

后续步骤

有关更多信息，请参阅 迁移详细信息页面

使用零接触注册迁移到 Android Enterprise

零接触式注册支持开箱即使用 Workspace ONE UEM 作为 EMM 提供程序批量配置 Android 设备，而无

需手动设置每个设备。通过在 Android（旧版）迁移中使用零接触式注册，您可以轻松将设备移动到完全

受管模式，并确保安全完成迁移。

TBD

步骤

1 通过完成 Android（旧版）迁移的必备条件，设置 Workspace ONE UEM console。在使用工作配置

文件 Android（旧版）迁移迁移到 Android Enterprise 的必备条件 查找步骤。

2 完成零接触式注册可将您的设备添加到零接触式门户。要开始操作，请参阅注册 Android 设备零接触

式门户

3 测试并确保迁移流程适用于测试设备。

注 请记住，要成功迁移，必须创建 Wi-Fi 配置文件。

4 将“设备擦除”命令发送到之前在 Android（旧版）下管理的设备。

Android 平台

VMware, Inc. 21

迁移详细信息页面

在迁移详细信息页面，您可按迁移组、详细信息、状态和迁移中包含的设备列表视图来跟踪迁移。

旧版 Android 迁移列表视图

在创建新的迁移页面后，将自动显示旧版 Android 迁移列表视图。列表视图可帮助您查看通过

Workspace ONE UEM console 迁移的 终用户设备的所有实时更新。列表视图允许您执行以下操作：

n 通过选择所需迁移友好名称上的单选按钮来编辑特定迁移。您可以通过选择编辑来更新添加到智能组的

新设备的迁移。

n 通过退出永久通知来删除导致队列中的设备无法从旧版 Android 迁移的迁移组。不会从已迁移的设备

中移除 Android 工作配置文件。

n 使用“搜索”选项搜索设备并缩小范围。

旧版 Android 迁移详细信息页面

通过从 Workspace ONE UEM console 的旧版 Android 迁移列表视图中选择一个迁移友好名称，可以访

问“迁移详细信息”页面以查看迁移的状态。您可以查看图示概览、状态以及迁移失败或成功的原因。

如果迁移失败，请使用“迁移详细信息”页面通过重试按钮将迁移命令推送到设备。

使用通知按钮自定义要向迁移批处理中的设备发送的消息。按如下所示配置字段：

n 消息类型：选择 Workspace ONE UEM 用于此模板的消息类型（电子邮件、短信或推送）。

n 主题：输入消息主题。

n 消息正文：输入每个消息类型中 Workspace ONE UEM 在 终用户设备中显示的消息。

Android（旧版）迁移常见问题

为帮助您更好地了解 Android（旧版）迁移，以下是一些常见问题和 佳做法，可帮助实现成功迁移。

常见问题

n 在组织组中启用 Android Enterprise 后，是否会影响现有设备管理员注册？

n 当前设备管理员注册仍将保持注册状态，并将接收所有分配的配置文件和应用。启用 Android Enterprise 将仅影响新的注册；当新的支持 Android Enterprise 的设备注册后，将会使用

Android Enterprise。如果设备不支持 Android Enterprise，将使用设备管理员进行注册。

n 设备管理员和 Android Enterprise 是否可以在同一 UEM console 中共存？

n 设备管理员注册和 Android Enterprise 注册可以在同一组织组中共存。对于 Android Enterprise 和设备管理员注册，配置文件管理分别划分为 Android 和 Android（旧版）。

此外，通过 UEM console v9.2.0+，可以在特定组织组中替代 Android Enterprise 注册，甚至将

其限制为特定智能组。

n 我能否将产品置备用于 Android Enterprise？

n 产品置备在完全受管设备上受支持。

Android 平台

VMware, Inc. 22

n 在通过 Android Enterprise 注册的设备上能否使用 OEM 特定的管理功能？

n 通过 OEMConfig 可以使用 OEM 特定的管理功能。诸如 Samsung 和 Zebra 等 OEM 已创建了可

添加到 Workspace ONE UEM console 的公共应用。这些应用提供可改变设备功能的应用配置键

值对。

n Workspace ONE Assist 能否与 Android Enterprise 一起使用？

n Workspace ONE Assist 与所有 Android Enterprise 注册选项兼容。

n 新客户能否使用 Android（旧版）？

n 新 Workspace ONE UEM 客户必须设置 Android Enterprise 才能部署 Android 设备。

n 现有客户可以根据需要禁用并重新启用 Android（旧版）。

Android（旧版）迁移的最佳做法

何时迁移到 Android Enterprise 取决于您的业务需求，而实际迁移的时间取决于您所在组织的使用情形。

以下是一些注意事项：

n 如果您的当前设备不太可能接收 Android 10，或者操作系统更新由您的组织控制，则无需迁移这些设

备。您可以为新购买的设备部署 Android Enterprise。

n BYOD 设备 容易受到攻击，因为 终用户可能会将其设备更新到 新的操作系统。可以使用

Workspace ONE UEM console 中的 Android 旧版迁移功能来实现从设备管理员到工作配置文件的

迁移。要开始使用，请参阅 使用迁移工具从 Android（旧版）迁移到工作配置文件。

Android 平台

VMware, Inc. 23

向 Workspace ONE UEM 注册 Android 2开始管理 Android 设备前，您需要在 Google 中将 Workspace ONE UEM 登记为 Enterprise Mobility Management (EMM) 提供程序。Workspace ONE UEM console“开始”页面提供了分步解决方案，帮

助您配置保护和管理设备库所需的企业管理工具。

配置 Android 有两种方法：使用受管 Google Play 帐户（首选）或使用受管 Google 域（Google 向 G Suite 客户推荐的方法）。如果您的业务不使用 G Suite，推荐使用受管 Google Play 帐户，此方法允许使

用个人 Google 帐户对所在组织的 Android 进行多种配置。Workspace ONE UEM 管理此帐户，且不需

要 Active Directory 同步或 Google 验证。

使用受管 Google 域 (G Suite) 设置 Android 需要您的企业设置 Google 域，且必须遵循验证过程来证明

您拥有此域。此域只能链接到一个经过验证的 EMM 帐户。设置过程中，需要创建 Google 服务帐户和配

置 Workspace ONE UEM 作为 EMM 提供程序。请考虑为您所在组织创建 Android 专用 Google 帐户，

以免与任何现有的 Google 帐户发生冲突。

注 当您为受管 Google 域创建 Google 帐户时，该帐户被视为您的域的管理员帐户。请考虑添加其他用

户（Google 帐户）以帮助您管理受管 Google Play 中的任务。在主 Google 帐户过期时，添加更多

Google 帐户非常有用。如果发生这种情况，您仍可以访问受管 Google 域并避免出现不需要的行为。

您可以为受管 Google 域创建和分配角色。请参阅分配企业中的角色。

Google 服务帐户是应用程序用于访问 Google API 的特殊 Google 帐户，使用受管 Google 域方法为企

业设置 Android 时必须提供此帐户。使用受管 Google Play 帐户注册时，配置 Android 帐户过程中将自

动填充 Google 服务帐户凭证。如果设置 Android 帐户时出错，请清除 Workspace ONE UEM Console 中的设置并重试，或手动创建帐户。对于 Google 帐户，请考虑在使用任一设置方法前创建 Google 服务

帐户。

要更改 Google 帐户或更改管理员设置，您必须从 Workspace ONE UEM Console 解除帐户绑定。

重要事项 Android 设置包括集成非 VMware 管理的第三方工具。在本指南中，有关 Google Admin Console 和 Google Developer Console 的信息采用的是 2018 年 1 月前发布的版本。本指南不对能否与

第三方产品集成作任何保证，且此类集成取决于第三方解决方案能否正常运行。

本章讨论了以下主题：

n 向受管 Google Play 帐户注册 Android EMM

n 向受管 Google 域注册 Android EMM（G-Suite 客户）

n 从 Workspace ONE UEM 解除绑定域

VMware, Inc. 24

向受管 Google Play 帐户注册 Android EMM

通过 Workspace ONE UEM console，您可以使用简化的设置过程将 UEM console 作为 EMM 提供商绑

定到 Google。

前提条件

如果“Android EMM 注册”页面被屏蔽，请确保已在网络架构中启用 Google URL，以便与内部和外部端

点通信。有关更多信息，请参阅 Android 的网络要求。

步骤

1 导航到开始 > Workspace ONE > Android EMM 注册。

2 选择配置，然后您会被重定向到“Android EMM 注册”页面。

3 选择向 Google 注册。如果您已使用 Google 凭证登录，您将被定向到 Google“入门”页面。

如果您的组织使用多个域，则需要注册单独的域。

有关 AOSP 或在封闭式网络上运行的详细信息，请参见 了解 Android 设备模式

4 选择登录（如果尚未登录），并输入您的 Google 凭证，然后选择入门。

5 输入您的组织名称。Enterprise Mobility Manager (EMM) 提供商字段将自动填充为 VMware Workspace ONE UEM。

6 选择确认 > 完成注册。您会被重定向到 Workspace ONE Console，并自动填充您的 Google 服务帐

户凭证。

7 选择保存 > 测试连接以确保服务帐户已设置并连接成功。

后续步骤

如已清除 UEM Console 中的设置，则在导航以使用 Google 进行注册时，系统将显示一条消息，提示您

完成设置。您会被重新重定向到 Workspace ONE UEM console 以完成设置。

向受管 Google 域注册 Android EMM（G-Suite 客户）

您需要完成几项手动任务（例如使用 Google 验证所有权、获取 EMM 令牌以及创建企业服务帐户）才能

使用此类设置。

前提条件

在受管 Google 域中设置帐户需要组织设置 Google 域（如果组织尚未使用 Google 域）。

步骤

1 导航到入门 > Workspace ONE > Android EMM 注册。

Android 平台

VMware, Inc. 25

2 选择注册重定向到 Android 设置向导，以完成下列三个步骤：

a 生成令牌：通过向 Google 注册您的企业域来获取企业令牌。

b 上载令牌：在 Android 设置向导中输入 EMM 令牌。

c 设置用户：配置如何为整个企业创建用户。

3 选择转到 Google。随即您会被重定向到 G Suite 站点。

4 注册您的企业，并验证域。

设置 Google 服务帐户

Google 服务帐户是应用程序用于访问 Google API 的特殊 Google 帐户。您应在生成 EMM 令牌后创建此

帐户，以便可以一次上传所有信息。

步骤

1 导航到 Google Cloud Platform- Google Developers Console。

2 使用 Google 凭证登录。

Google 管理员凭证不需要与您的业务域关联。请考虑为您所在组织创建 Android 专用 Google 帐户，以免与任何现有的 Google 帐户发生冲突。

注 请考虑添加其他帐户，以便在一个帐户由于处于非活跃状态而过期时，您将有其他帐户登录并访问

您的 Google 服务帐户。

3 使用“选择项目”菜单中的下拉菜单，并选择新建项目。

4 输入项目名称以在新项目窗口中创建 API 项目。请考虑使用 Android EMM CompanyName 作为命

名约定。

5 同意这些条款和条件，然后选择创建。

项目随即生成，Google Developer Console 会将您重定向到 API Manager 页面。

6 从 API 与服务仪表板中为 Android 选择启用 API 和服务。

7 搜索并启用以下 API：Google Play EMM API 和 Admin SDK。

创建项目并启用 API 后，请在 Google Developer Console 中创建服务帐户。

8 导航到 API 与服务 > 凭证 > 创建凭证 > 服务帐户密钥 > 新建服务帐户。

9 为您的服务帐户定义服务帐户名称。请考虑下面的 Android 命名约定，务必记下所选的名称，因为在

后面的步骤中会使用此名称。

10 使用下拉菜单选择角色 > 项目作为所有者。

11 选择 P12 作为密钥类型。

12 选择创建。身份证书将自动创建并下载到本地驱动器。请务必要保存您的身份证书和密码，因为将证书

上载到 Workspace ONE UEM Console 时需要这些信息。

13 从服务帐户密钥列表中选择管理服务帐户，以打开“服务帐户”页面。

Android 平台

VMware, Inc. 26

14 选择服务帐户旁边的菜单按钮（三个垂直点），然后选择编辑。

15 选择启用 G Suite 全域委派。

16 输入产品名称以更改 G Suite 域设置。请考虑使用 AndroidEMM CompanyName 作为命名约定。

17 选择保存。

18 在域范围委派字段下选择 View Client ID。服务帐户的详细信息随即显示。从此操作开始，您将退出

Developer Console，并将您的凭证输入到 Google 管理控制台。

请务必在退出 Developer Console 之前保存您的客户端 ID。上传 EMM 令牌时，Workspace ONE UEM Console 中也需要使用这些凭证。有关更多信息，请参阅上传 EMM 令牌

后续步骤

有关配置 Google 管理控制台的步骤，请参阅设置 Google Admin Console。

设置 Google Admin Console

管理员使用 Google Admin Console 为组织中的用户管理 Google 服务。Workspace ONE UEM 使用

Google Admin Console 集成 Android 和 Chrome OS。

使用 Manage API 客户端访问页，可控制自定义内部应用程序和第三方应用程序对支持 Google API（范

围）的访问权限。

步骤

1 登录 Google Admin Console 并导航到安全 > 高级设置 > Manage API 客户端访问。

2 填写以下详细信息：

设置 说明

客户端名称 输入在创建 Google 服务帐户时生成的客户端 ID

一个或多个 API 范围 复制并粘贴以下适用于 Android 的 Google API 范围：

Android：

https://www.googleapis.com/auth/admin.directory.user

3 选择授权。

生成 EMM 令牌

唯一 EMM 令牌会将用于 Android 管理的域与 Workspace ONE UEM powered by AirWatch 绑定。从

之前的任务中选择前往 Google 后，您会被定向到 G Suite 设置站点，之后即可开始操作。

任务中所述的步骤是为新域生成 EMM 令牌。根据您是在新域还是现有域中进行注册，生成 EMM 令牌的

任务会有所不同。

Android 平台

VMware, Inc. 27

步骤

1 填写以下字段：

a 关于您 - 输入您的管理员联系信息。

b 关于您的企业 - 填写您的公司信息。

c 您的 Google 管理员帐户 - 创建 Google 管理员帐户。

d 完成设置 - 输入安全验证数据。

2 阅读并同意 Google 制定的条款后，选择接受并创建您的帐户。

3 按照其余的提示验证域所有权和与您的提供商联系。通过验证后，此域将变成受管 Google 域。

要验证域所有权，可以使用以下选项：将元标记添加至您的主页、添加域主机记录或将 HTML 文件上

载到您的域站点。配置可用选项设置。

4 选择验证以继续。如果此过程成功完成，与您的提供商联系部分将显示 EMM 令牌。此令牌的有效期为

30 天。如果执行此步骤时遇到问题，请使用列出的电话号码和唯一 PIN 码联系 Google 支持部门。

5 复制生成的 EMM 令牌，然后选择完成。

后续步骤

Workspace ONE UEM 建议先创建 Google 服务帐户，然后再返回 Workspace ONE UEM console 上载 EMM 令牌，以便可以一次上载所有凭证。

为现有域生成 EMM 令牌

唯一 EMM 令牌会将用于 Android 管理的域与 Workspace ONE UEM powered by AirWatch 绑定。对

于现有域，您将被定向到 Google 管理控制台以生成 EMM 令牌。

任务中所述的步骤是为现有域生成 EMM 令牌。根据您是在新域还是现有域中进行注册，生成 EMM 令牌

的任务会有所不同。有关为新域生成 EMM 令牌的信息，请参阅 生成 EMM 令牌。

步骤

1 使用您的 Google 管理员凭据登录到 Google 管理控制台。

2 导航到安全 > 适用于 Android 的受管 EMM 提供程序，然后选择生成 EMM 令牌。

3 将令牌复制并粘贴到 Workspace ONE UEM console 中。

后续步骤

返回 Workspace ONE UEM console 完成注册。

上传 EMM 令牌

输入在注册期间从 Google 获取的信息。包括您注册的域、企业令牌以及您创建的 Google 管理员电子邮

件地址。

您也可以在安全性 → 管理 Android 版 EMM 提供程序下使用您的 Google 管理员电子邮件地址登录

https://admin.google.com，从而获得企业令牌。

Android 平台

VMware, Inc. 28

步骤

1 导航到入门 > Workspace ONE > Android EMM 注册。如果您关闭了窗口或未自动重定向到

Workspace ONE UEM。

2 选择注册以重定向到 Android 设置向导。

3 从 Android 安装向导中选择上传令牌。

这也称为企业令牌。

4 填写以下字段：

设置 说明

域 申请用于启用与企业关联的 Android 的域。

重要事项 如果您已使用其他 EMM 提供程序登记域，将无法上传新的 EMM 令牌。

企业 EMM 令牌 在 Google Admin Console 中生成的令牌。

Google 管理员的电子邮件地址 这是用于域注册、Google Developers Console 和 Google Admin Console 的管

理员帐户。

客户端 ID 创建 Google 服务帐户时生成的客户端 ID。将从 Google Developer Console 设置中检索此 ID。

Google 服务账户的电子邮件地址 创建 Google 服务帐户时生成的电子邮件。将从 Google Developer Console 设置

中检索此 ID。

证书 ID 上载在生成 Google 服务帐户时创建的 P12 证书。需要密码。将从 Google Developer Console 设置中检索此 ID。

5 选择下一步以设置用户。

设置用户

公司中所有使用 Android 的用户都需要创建与其设备关联的 Google 帐户。这是 Android EMM 注册向导

中的 后一步，可确定创建用户的首选设置方法。

您可以通过以下两种选项在 Android 下创建用户：

n 允许 Workspace ONE UEM 在注册过程中自动创建 Google 帐户。

n 通过登录 Google 管理控制台或使用 Google Active Directory Sync 工具手动创建用户。

该用户名的格式为“username@<your_enterprise_domain>.com”。

步骤

1 启用以下选项之一来确定如何设置用户：

n 根据注册用户的电子邮件地址在注册过程中创建 Google 帐户。

n 使用 SAML 进行身份验证 - 为注册过程启用 SAML。

n 使用 SAML 进行 Google 帐户身份验证 - 要使用此方法，请通过在 Google 管理控制台中导航到

安全 > 单点登录配置单点登录。

Android 平台

VMware, Inc. 29

如果未使用上述方法之一启用自动创建用户，则 Workspace ONE UEM console 将指导您使用替代

方法，即通过 Google Active Directory Sync 工具或 Google 管理控制台创建 Google 帐户。

2 使用测试连接选项检查与 Google 的通信是否正确。

n Play API 访问：验证 Google EMM API 是否已启用并且是否可以安装应用程序。

n 目录 API 访问：验证管理 SDK API 是否已启用，并且是否在 Google 管理控制台上授权了

https://www.googleapis.com/auth/admin.directory.user 范围。

3 选择保存。

自动创建 Android 注册用户

VMware 建议您在注册过程中自动创建用于 Android 的用户。您可以在 Android 设置向导中，指定是否

要在注册过程中自动创建用户帐户，如果自动创建，则使用 SAML 进行帐户身份验证。如果您之前没有设

置 SAML，向导将显示引导您配置设置的链接。

步骤

1 对在注册过程中根据注册用户的电子邮件创建 Google 帐户选择是。

2 对使用 SAML 终端进行帐户身份验证选择是。

如未设置 SAML，向导将提示您配置 SAML 身份验证设置。

3 对使用 SAML 进行 Google 帐户身份验证选择是，这要求您在 Google Admin Console 中配置单点

登录。

4 选择保存以完成 Android 设置。

手动创建 Android 注册用户

通过使用 Google Cloud Directory Sync (GCDS) 工具或 Google Admin Console，可以在 Workspace ONE UEM Console 外部为整个公司手动创建用户帐户。要访问 Google Admin Console，您可以单击设

置向导中提供的链接。有关如何使用控制台的详细说明，您需要与 Google 联系。

GCDS 方法需要您使用与 AirWatch 目录服务相似的设置。通过导航到组与设置 ► 所有设置 ► 系统 ► 企业集成 ► 目录服务，访问目录服务设置。

您可以单击设置向导中包含的链接访问 GCDS 工具，也可以从 Google Support 页面将工具直接下载到个

人电脑上。

使用 GDCS 工具，可以通过一个批量创建操作为公司的每位员工手动创建 Google 帐户。这些帐户通过与

存储在 VMware Workspace ONE 目录服务中的信息同步而创建。

注 本节所述的信息截至到 2017 年 3 月发布的 GCDS v4.4.0 新版。

步骤

1 选择设置向导中的链接，或从 Google 直接下载 GDCS 工具。

2 从桌面打开此工具，然后选择用户帐户和组进行同步。

Android 平台

VMware, Inc. 30

3 选择 Google 应用配置标签页，并输入以下内容：

a 输入主域名。

b 选择将(用户和组) LDAP 电子邮件地址中的域名替换为此域名。这样可确保所有用户电子邮件地址

均与域名匹配。

4 选择立即授权按钮。

5 显示授权 Google Apps 目录同步对话框后，请按照步骤继续完成授权过程。

a 登录 Android 管理员帐户。

b 输入电子邮件中收到的验证信息。

c 选择验证，确认这些设置。

6 选择 LDAP 配置标签页，输入连接设置，将 AirWatch Directory Services 与 Google 同步。在这

里，您可以输入保存在 AirWatch Directory Services 中的相同设置，以与该工具同步。要访问这些

设置，导航到组与设置 ► 所有设置 ► 系统 ► 企业集成 ► 目录服务。

7 选择连接测试。如果同步成功，此操作将自动在 Google 中创建链接的 Active Directory 帐户和公司

Google 帐户。

随后，您将返回到设置向导以完成设置。

从 Workspace ONE UEM 解除绑定域

如果您需要进行更改或更改 Google 帐户，可以解除绑定 Workspace ONE UEM console 中的 Android 管理员帐户。

步骤

1 导航到设备 > 设备设置 > 设备与用户 > Android > Android EMM 注册

2 从“Android EMM 注册”页面选择清除设置。

Android 平台

VMware, Inc. 31

Android 设备注册概述 3组织部署中的每台 Android 设备都必须先注册，然后才能与 Workspace ONE UEM Console 通信并访问

内部内容和功能。

Workspace ONE Intelligent Hub 可提供单一资源来注册设备，并提供设备和连接详细信息。通过基于

Hub 的注册，您可以：

n 使用基本服务或目录服务（例如 AD/LDAP/Domino、SAML、令牌或代理）验证用户身份。

n 批量登记设备或允许用户自行登记。

n 定义批准的 OS 版本、型号和每个用户的 大设备数。

n 在自动注册期间使用 Workspace ONE Access 对注册进行身份验证。

如果您已选择退出 Google 注册，则 Android（旧版）部署允许您以设备管理员的身份使用 Workspace ONE Intelligent Hub 注册 Android 设备。有关使用 Android（旧版）部署注册设备的信息，请参阅

Workspace ONE Android（旧版）文档中的 Android（旧版）注册概览。

本章讨论了以下主题：

n 设备与用户/Android/Android EMM 注册

n 适用于 Android 设备的设备保护功能

n 注册自动发现

n 配置工作受管设备注册

n 配置“企业拥有、个人启用”注册

n Android 注册支持的其他注册标志

n 将 Android 设备注册为工作配置文件模式

n 为 Android 设备启用非受管注册

n Zebra Stage Now

VMware, Inc. 32

设备与用户/Android/Android EMM 注册

在“Android EMM 注册”页面上，可以配置用于与 Android 集成的各种选项。您可以在此页面上借助向

导设置设备集成。先启用这些设置，然后开始注册。

配置

Android EMM 注册成功后，配置页面显示 Google Admin Console 设置和 Google API 设置。

注册设置

设置 说明

工作受管注册类型（仅限

非 G Suite）选择设备是否应与注册用户或设备关联。

如使用付费应用，大多数 BYOD 用例应首选基于用户，且可实现 佳许可证分配。如果是单个用户不与

设备关联的情况（如 Kiosk），首选基于设备。

如果您在封闭式网络上运行，或无法与 Google Play 进行通信，请选择 AOSP/封闭式网络。不会在这些

设备上创建 Google 帐户。使用 AOSP/封闭式网络注册时，无法通过受管 Google Play 管理公共应用。

此设置将仅应用于向该组织组注册的设备。父组织仍可让设备使用 Google 帐户进行工作受管注册。

在某些情况下，您可能希望在同一组织组中注册 GMS 和非 GMS 设备，而不必为设备管理创建多个组织

组。如果对这些设备使用二维码注册，则无论在此字段中设置的注册类型如何，您都可以将注册配置向导

配置为强制执行 AOSP/封闭式网络注册。

完全受管设备注册 选择已注册设备将使用工作受管设备模式还是企业拥有、个人启用模式。

n 工作受管设备是一种完全受管设备，被锁定为仅允许员工访问企业应用，而不能通过 Google Play 商店访问个人应用。

n 企业拥有、个人启用可提供全面设备管理的所有优势，但员工会收到工作配置文件以访问企业应用，

并且仍有权访问工作配置文件之外的个人 Google Play 商店。此注册类型仅在 Android 8.0+ 上可

用。

工作配置文件企业擦除用

户消息

自定义在从 UEM console 执行企业擦除后在用户设备上显示的 toast 消息。从“设备详细信息”页面执

行企业擦除时，也会生成此消息。

用户无需在其设备上执行任何操作。企业擦除完成后，将显示此消息。

有关 Android 设备模式的详细信息，请参见 docs.vmware.com 上的《Workspace ONE UEM Android 平台指南》中的了解 Android 设备模式主题。

注册限制

设置 说明

定义此组织组的注册方法 选择是否始终使用 Android，或始终使用 Android（旧版）、定义使用 Android 的分配组。

如果您选择定义使用 Android 的分配组，所有未分配的设备默认使用 Android（旧版）。

分配组 从下拉菜单中选择一个智能组。

选择智能组后，不属于该组的设备或用户会通过 Android 旧版注册（设备管理员）。属于智能组的设备

将注册为工作配置文件或工作受管设备模式（假定它们支持这些注册模式）。

允许工作配置文件注册 使用此字段可阻止在 COPE 注册下管理的设备的工作配置文件注册。启用后，会禁止用户将员工拥有的

设备添加到此组织组。

Android 平台

VMware, Inc. 33

适用于 Android 设备的设备保护功能

Android OS 5.1 及更高版本具有“设备保护”功能，在设备重置之前和之后都需要输入 Google 凭证。设

备可以注册为适用于 Android 的工作受管设备之后，必须重置为出厂设置。

必须从设备中移除任何现有的 Google 帐户并禁用安全锁定屏幕，避免触发设备保护，以便可以在注册过

程中安装 Workspace ONE Intelligent Hub。从出厂重置状态使用设备还可以防止新用户被锁定在设备外

面。

如果原所有者更改了 Google 帐户密码，您必须等待三天才能对任何要注册的 Android 5.1+ 设备进行出厂

重置，除非已明确在这些设备上禁用了 Android 设备保护。如果您在未满三天期限的条件下出厂重置其中

一台 Android 设备，并尝试使用 Google 帐户登录该设备，您可能会收到错误消息，且被禁止使用任何帐

户登录设备，直至密码重置 72 小时后才可以尝试。

注册自动发现

Workspace ONE UEM powered by AirWatch 会利用基于电子邮件的自动发现系统将设备注册到环境和

组织组 (OG)，使注册流程尽可能简单。 终用户也可以通过自动发现系统验证身份后进入自助门户

(SSP)。

注 要为本地部署环境启用自动发现功能，请确保您的环境能够与 Workspace ONE UEM 自动发现服务

器建立通信。

注册自动发现的登记

服务器检查电子邮件域名的唯一性，仅允许在一个环境的一个组织组内登记域名。鉴于此服务器检查，请

在 高级别的组织组登记您的域。

会为软件即服务 (SaaS) 新客户自动配置自动发现。

从子级组织组配置自动发现式注册

您可以从注册组织组下的子级组织组配置自动发现式注册。为了以这种方式禁用自动发现式注册，您必须

要求用户在注册期间选择一个组 ID。

强制用户在注册过程中选择组 ID。

步骤

1 导航到设备 > 设备设置 > 常规 > 注册，然后选择分组标签页。

2 选择提示用户选择组 ID。

3 选择保存。

从父级组织组配置自动发现式注册

“自动发现式注册”使用 终用户的电子邮件地址将设备注册到预期环境和组织组 (OG)，从而简化了注册

流程。

采取以下步骤，从父级组织组配置自动发现式注册。

Android 平台

VMware, Inc. 34

步骤

1 导航到组与设置 > 所有设置 > 管理员 > 云服务，并启用自动发现设置。在自动发现 AirWatch ID 中输

入您的登录电子邮件地址并选择设置身份。

a 如果需要，可以导航到 https://my.workspaceone.com/set-discovery-password 为自动发现

服务设置密码。在您登记和选择设置标识后，HMAC 令牌会自动填充。单击测试连接以确认连接

是否正常。

2 启用自动发现证书绑定选项，上传您的证书并将证书与自动发现功能绑定。您可以查看现有证书的有效

日期和其他信息，还可以替换和清除这些现有的证书。

3 选择添加证书，会显示名称和证书设置。输入您要上传的证书的名称，然后选择上传按钮，并选择您设

备上的证书。

4 选择保存以完成自动发现设置。

后续步骤

指示自行注册的 终用户选择电子邮件地址选项进行身份验证，而不要输入环境 URL 和组 ID。当用户使

用电子邮件地址注册设备时，这些设备将注册到相关用户帐户在注册组织组中所列的同一个组。

配置工作受管设备注册

在 Android 工作受管设备模式下，Workspace ONE UEM 可控制整个设备。使用出厂重置设备可确保设

备未设置用于个人用途。

注册工作受管设备有多种方法：

n 使用 AirWatch Relay 执行 NFC 触碰

n 使用唯一标识符或令牌代码

n 扫描二维码

n 使用零接触注册

您的业务需求决定了需要使用哪种注册方法。必须在 Android EMM 注册完成后，注册设备。请参见第 2 章 向 Workspace ONE UEM 注册 Android 以完成注册。

如果您使用的 Android 设备位于封闭式网络上，无法与 Google Play 通信，或设备运行 Android 5.0 或更低版本，则可以使用工作受管设备的注册功能进行注册，以便支持 AOSP/封闭式网络。将不能通过受管

Google Play 管理公共应用。

向 AirWatch Relay 注册

AirWatch Relay 是一款将信息从要注册 Workspace ONE UEM、且包含 Android 的父项设备传送到所

有子设备的应用程序。

注 Android 10 中不支持 AirWatch Relay。

Android 平台

VMware, Inc. 35

此过程通过 NFC 触碰完成，且子设备被置备为：

n 复制父设备 Wi-Fi 网络及区域设置，包括设备日期、时间和位置。

n 下载适用于 Android 的 新 Workspace ONE Intelligent Hub 产品版本。

n 以设备管理员身份静默设置 Workspace ONE Intelligent Hub。

n 自动注册 Workspace ONE UEM。

AirWatch Relay 支持在向 终用户部署子设备之前批量注册所有子设备，省去了 终用户注册个人设备的

麻烦。所有子设备均必须处于出厂重置模式且默认启用 NFC，以便注册为适用于 Android 的工作受管设

备。

NFC 触碰过程因 Android OS 而异。运行 Android 6.0+ 的设备执行一次触碰即可在一步操作中连接并注

册子设备。运行 Android v5.0 和 v6.0 之间 OS 版本的设备需执行两次 NFC 触碰。第一个触碰操作将子

设备连接到 Wi-Fi 网络和区域设置（包括设备日期、时间和位置）并下载 Workspace ONE Intelligent Hub。第二个 NFC 触碰操作在向 终用户部署子设备之前注册所有子设备。

有关 AirWatch Relay 注册，请参阅使用 AirWatch Relay 注册工作受管设备。

使用 VMware Workspace ONE Intelligent Hub 标识符进行注册

Workspace ONE Intelligent Hub 标识符注册方法是为 Android 6.0+ 设备注册工作受管设备的简化方

法。在出厂重置设备上输入简单标识符或哈希值。输入标识符后，Workspace ONE Intelligent Hub 将自

动开始注册。用户只需输入服务器详细信息、用户名和密码。有关 Workspace ONE Intelligent Hub 标识

符注册的信息，请参见使用 VMware Workspace ONE Intelligent Hub 标识符来注册 Android 设备。

使用标识符，您还可以通过执行单用户设备注册预备代表 终用户注册。这种方法对那些需要为整个团队

或团队中某个成员设置多台设备的管理员很有用。因为这种方法可以让 终用户在注册自己的设备时省时

省力。

有关单用户设备注册预备的更多信息，请参阅“移动设备管理 (MDM)”文档中的“注册预备单用户设

备”。

使用二维码进行注册

二维码预置是注册不支持 NFC 和 NFC 触碰设备库的简单方法。二维码包含键值对负载，其中包含注册设

备所需的所有信息。开始注册前请先创建二维码。可以使用任何在线二维码生成器创建唯一二维码，如

Web Toolkit Online。二维码包含服务器 URL 和组 ID 信息。您还可以包含用户名和密码，否则用户必须

输入凭证。

下文是粘贴到生成器的文本格式：

{"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":

"com.airwatch.androidagent/

com.airwatch.agent.DeviceAdministratorReceiver","android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE

_CHECKSUM":

"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i_o8=

\n","android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":"https://getwsone.com/

mobileenrollment/airwatchagent.apk",

"android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,"android.app.extra.PROVISIONING_WIFI_SSID":

"Your_SSID","android.app.extra.PROVISIONING_WIFI_PASSWORD": "Password",

Android 平台

VMware, Inc. 36

"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":

{"serverurl": "Server URL",

"gid": "Group ID",

"un":"Username",

"pw":"Password"}

有关二维码注册，请参阅使用二维码注册工作受管设备。

使用零接触门户进行注册

利用零接触注册，可使用作为开箱企业移动管理提供程序的 Workspace ONE UEM 配置 Android 8.0+ 设备。

在设备设置过程中，当设备连接到 Internet 时，系统将自动下载 Workspace ONE Intelligent Hub 并自

动传递注册详细信息，无需用户交互即可注册设备。您可以在 Web 浏览器中从联机门户管理组织的零接

触式注册。我们称之为零接触式注册门户

有少量移动运营商和 OEM 支持零接触注册。客户将与运营商合作，以确保支持零接触预置。访问 Google 网站，了解有关受支持的运营商和设备的更多信息。

有关零接触式注册的其他信息，请参阅 Android 支持文章。

有关零接触门户注册步骤，请参阅使用零接触门户注册 Android 设备

注 仅 Android 8.0 (Oreo) 设备支持零接触注册。

使用 Workspace ONE Access 注册设备

Workspace ONE Access 提供对 SaaS、Web 和本机移动应用的多因素身份验证、条件访问和单点登

录。您可以使用 Workspace ONE Access 对设备进行身份验证，而不是 Workspace ONE Intelligent Hub。如果您启用了 Workspace ONE Access 作为身份验证方法，则可以使用自动注册方法，如 NFC、

二维码、零接触和 Samsung Knox 移动注册。

使用 AirWatch Relay 注册工作受管设备

使用 AirWatch Relay 注册工作受管设备模式因 Android OS 版本而异。

注 Android 10 中不支持 AirWatch Relay。

如果您使用的是 Android 6.0+，AirWatch Relay 应用提供单个 NFC 触碰选项，用于配置 Wi-Fi、预置和

注册设置。有关在 Android 6.0+ 设备上使用 AirWatch Relay 预置工作受管设备，请参阅使用 AirWatch Relay 为 Android 6.0 及更高版本注册 Android 设备

通过两个 NFC 触碰操作，为运行 Android OS v5.0 和 v6.0 之间版本的设备注册工作受管设备模式。第

一个触碰操作配置应用于设备库中的所有设备的区域、Wi-Fi 网络和任何适用的高级设置。第二个触碰操

作配置注册设置并自动执行注册流程。请参阅使用 AirWatch Relay 为 Android 5.0 和 Android 6.0 注册

工作受管设备。

Android 平台

VMware, Inc. 37

使用 AirWatch Relay 为 Android 6.0 及更高版本注册 Android 设备

对于 Android 6.0 +，AirWatch Relay 应用提供触碰 1 次选项，通过触碰 1 次配置区域、Wi-Fi、预置设

置和注册设置

步骤

1 将 AirWatch Relay 应用从 Google Play 商店下载到父设备，并在下载完成后启动该应用。

2 查看“面向 AirWatch 管理员”屏幕，然后选择下一步继续执行向导。

从此屏幕可查看或跳到设置向导，向导中提供了对该应用用途的说明和 NFC 触碰教程。

3 在单个触碰操作中 (Android 6.0+)，在预置设备上轻击设置。

4 在父设备上，定义以下设置：

设置 说明

本地时间 启用此字段，使设备自动配置本地时间。

时区 选择时区。

区域设置 选择将要启用设备的位置。

Wi-Fi 网络 指定设备要连接到的 Wi-Fi 网络。

安全类型 确定连接的加密类型。

Wi-Fi 密码 输入 Wi-Fi 密码。

加密设备 禁用后，可在工作受管设备置备过程中跳过设备加密。

禁用系统应用 启用后，Workspace ONE Intelligent Hub 在设置期间将禁用系统应用。

服务器 输入服务器 URL 或主机名。

组 ID 输入组织组的标识符，供 终用户在登录设备时使用。

用户名 输入要注册子设备的用户的凭证。

密码 输入要注册子设备的用户的凭证。

5 在父设备上，轻击就绪。

6 通过背对背触碰父设备与子设备，执行 NFC 触碰。子设备应处于出厂重置模式，这样可以确保设备未

用于个人目的。

在子设备上执行出厂重置之前（如果设备不是刚刚拆封），请禁用锁屏并移除设备上配置的任何现有

Google 帐户。设备保护是一项适用于 Android 5.1 和更高版本的功能，要求用户在执行出厂重置之前

输入 Google 帐户凭证。如果您禁用锁屏，并移除现有 Google 帐户，则不会收到输入凭证的提示，

注册也不会受到影响。

7 在设备仍处于背对背状态时，在父设备上轻击 Touch to Beam。

8 在设备仍处于背对背状态时，在子设备上轻击加密。

仅当未启用加密设备时，此步骤才适用。否则，它将自动被接受。

Android 平台

VMware, Inc. 38

子设备将自动执行以下操作：

a 连接到 AirWatch Relay 应用中定义的 Wi-Fi 网络。

b 下载并以静默方式安装 Workspace ONE Intelligent Hub。

c 以设备管理员身份设置 Workspace ONE Intelligent Hub。

d 重置设备。

子设备重置后，可针对工作受管模式预置设备。子设备上将显示欢迎屏幕。要从子设备对此进行验证，

请导航到设备设置 > 安全 > 设备管理员，查看 Workspace ONE Intelligent Hub 是否作为设备管理

员列出。 终用户无法停用此设置。

Android 平台

VMware, Inc. 39

此外，设备主屏幕上还将显示允许的预下载应用。其他任何应用程序都需要管理员从 Workspace ONE UEM Console 批准。

如果设备库中有多个设备需要注册，请在每个子设备上重复第一个 NFC 触碰操作，以在工作受管设备

模式下预置这些设备。

结果

如果注册成功，我的设备页面将显示在子设备上。所有配置文件和应用程序都将开始自动推送到设备。您

需要为设备库中每个需要注册的设备重复上述注册步骤。

Workspace ONE UEM console 报告用户设备上的 Android 状态。您可以查看详细信息视图页面以验证

是否已成功在工作受管模式下注册设备。

使用 AirWatch Relay 为 Android 5.0 和 Android 6.0 注册工作受管设备

对于 Android v5.0 和 Android v6.0，AirWatch Relay 应用提供了一个 NFC 触碰选项，用于自动配置区

域、Wi-Fi、置备设置和注册设置。

步骤

1 将 AirWatch Relay 应用从 Google Play 商店下载到父设备，并在下载完成后启动该应用。

2 查看“面向 AirWatch 管理员”屏幕，然后选择下一步继续执行向导。

从此屏幕可查看或跳到设置向导，向导中提供了对该应用用途的说明和 NFC 触碰教程。

Android 平台

VMware, Inc. 40

3 点击所需选项对应的设置，以触碰 2 次置备设备（可在 Android 5.0 到 Android 6.0 设备上执

行）。

如果使用 Android 6.0 或更高版本，请选择触碰 1 次置备设备（Android 6.0 或更高版本）。有关

Android 6.0 及更高版本设备的说明，请参阅使用 AirWatch Relay 为 Android 6.0 及更高版本注册

Android 设备。

4 在父设备上，定义以下设置：

设置 说明

本地时间 启用此字段，使设备自动配置本地时间。

时区 选择时区。

区域设置 选择将要启用设备的位置。

Wi-Fi 网络 指定设备要连接到的 Wi-Fi 网络。

安全类型 确定连接的加密类型。

Wi-Fi 密码 输入 Wi-Fi 密码。

加密设备 启用此字段，以表明在工作受管设备预置过程中可以跳过设备加密。

禁用系统应用 如果启用此字段，Workspace ONE Intelligent Hub 将在设置过程中禁用系统应

用。

5 从父设备轻击就绪以执行一个触碰操作。

6 通过背对背触碰父设备与子设备，执行第一个 NFC 触碰操作。子设备应处于出厂重置模式，这样可以

确保设备未用于个人目的。

在子设备上执行出厂重置之前（如果设备不是刚刚拆封），请禁用锁屏并移除设备上配置的任何现有

Google 帐户。设备保护是一项适用于 Android 5.1 的功能，要求用户在执行出厂重置之前输入

Google 帐户凭证。如果您禁用锁屏，并移除现有 Google 帐户，则不会收到输入凭证的提示，注册也

不会受到影响。

7 在设备仍处于背对背状态时，在父设备上轻击 Touch to Beam。

8 在设备仍处于背对背状态时，在子设备上轻击加密。

此步骤仅在未启用加密设备时才适用，否则将自动接受该设备。

子设备将自动执行以下操作：

n 连接到 AirWatch Relay 应用中定义的 Wi-Fi 网络。

n 下载并以静默方式安装 Workspace ONE Intelligent Hub。

n 以设备管理员身份设置 Workspace ONE Intelligent Hub。

n 重置设备。

子设备重置后，将为工作受管模式预置设备，并完成第一个触碰操作。子设备上将显示欢迎屏幕。要从

子设备对此进行验证，请导航到设备设置 > 安全 > 设备管理员，查看 Workspace ONE Intelligent Hub 是否作为设备管理员列出。 终用户无法停用此设置。

Android 平台

VMware, Inc. 41

此外，设备主屏幕上还将显示允许的预下载应用。其他任何应用程序都需要管理员从 Workspace ONE UEM Console 批准。

如果设备库中有多个设备需要注册，请在每个子设备上重复第一个 NFC 触碰操作，以在工作受管设备

模式下预置这些设备。如果没有，请继续注册。

或者，您也可以选择手动注册子设备，并跳过下面列出的第二个 NFC 触碰步骤。您需要在每个设备上

手动输入详细的注册信息。有关其他注册流程，请参阅“移动设备管理 (MDM)”文档中的“其他注册

工作流”。

9 从父设备返回 AirWatch Relay 应用，然后轻击注册。

10 定义注册设置。这些设置将用来自动执行子设备的注册。

设置 说明

服务器 输入服务器 URL 或主机名。

组 ID 输入组织组的标识符，供 终用户在登录设备时使用。

11 轻击就绪。

12 将父设备和子设备背对背放置以执行第二个 NFC 触碰操作，然后在子设备上轻击 Touch to Beam 开始注册。完成设置向导后，必须执行第二个 NFC 触碰操作。等到设置向导完成并将您定向至设备主页

后，执行第二个 NFC 触碰操作以配置 Workspace ONE Intelligent Hub。

13 输入与用户绑定的企业 Google 帐户的凭证。此时将显示 Google 帐户密码屏幕。如果您已注册为受

管 Google Play 帐户，则此屏幕不会显示。

14 轻击下一步进入我的设备页面（如上图所示）。

后续步骤

如果注册成功，我的设备页面将显示在子设备上（如上图所示）。所有配置文件和应用程序都将开始自动

推送到设备。您需要为设备库中每个需要注册的设备重复上述注册步骤。

使用 VMware Workspace ONE Intelligent Hub 标识符来注册 Android 设备

在工作受管设备和企业拥有、个人启用 (COPE) 注册期间，当系统提示用户添加帐户时，用户会输入 DPC 特定的标识符令牌。Workspace ONE UEM 的令牌是“afw#hub”，该令牌会将 Workspace ONE UEM 自动识别为 EMM 提供商。

重要事项 仅 Android 6.0 Marshmallow 或更高版本的设备支持此注册流程。

步骤

1 在出厂重置设备上轻击开始。

2 选择 Wi-Fi 网络并使用您的凭证登录以连接设备。

Android 平台

VMware, Inc. 42

3 提示添加 Google 帐户时，输入标识符“afw#hub”。设置向导会向设备添加临时 Google 帐户。此

帐户仅用于从 Google Play 下载 DPC，并在下载完成后删除。

如果输错标识符，系统会提示您重新输入。

4 轻击安装开始在设备上配置 Workspace ONE Intelligent Hub。安装完成后，Hub 将自动打开。

5 选择身份验证方法继续注册：

a 如果您已配置自动发现，请输入电子邮件地址。此外，系统还可能会提示您从列表中选择组 ID，

或选择服务器详细信息并输入服务器、组 ID 和用户凭据。

b 如果您已在 UEM console 中创建二维码，请选择二维码。

6 按照其余提示完成注册。

注 您可以查看详细信息视图页面以验证是否已成功在工作受管模式下注册设备。

使用二维码注册工作受管设备

二维码注册方法通过扫描由注册配置向导或从任何二维码生成器（如 Web Toolkit Online）生成的二维码

来设置和配置工作受管设备和“企业拥有、个人启用 (COPE)”模式。

前提条件

要使用 UEM console 创建二维码，请参见“注册配置向导”（设备 > 生命周期 > 注册预备 > 列表视图 > 配置注册）。有关注册配置向导的更多信息，请参见使用注册配置向导生成二维码。

重要事项 此注册流程适用于受管 Google Play 和受管 Google 域用户。Android 7.0+ 设备上支持此注册

流程。

步骤

1 打开出厂重置或开箱即用设备。设置向导会提示用户轻击欢迎屏幕六次。必须轻击屏幕的同一位置。

a 对于 Android 8.0+ 设备，请继续执行到步骤 2 以下载二维码读取器。

b 对于 Android 9.0+ 设备，完成六次轻击之后，相机将会自动打开。

2 连接到 Wi-Fi，设置向导会自动下载一个二维码读取器。下载完成后，二维码读取器应用将自动启动。

Android 平台

VMware, Inc. 43

3 扫描二维码。对于 Android 9.0+ 设备，请使用相机上的二维码选项进行扫描。可以使用任何在线二维

码生成器（如 Web Toolkit Online）创建唯一二维码。有关更多信息，请参阅配置工作受管设备注

册。

二维码文本格式 {"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver","android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i_o8=\n","android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":"https://getwsone.com/mobileenrollment/airwatchagent.apk","android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,"android.app.extra.PROVISIONING_WIFI_SSID": "Your_SSID","android.app.extra.PROVISIONING_WIFI_PASSWORD": "Password","android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {"serverurl": "Server URL","gid": "Group ID","un":"Username","pw":"Password"}}

4 设置向导会自动下载 Workspace ONE Intelligent Hub，并自动配置生成的二维码中指定的服务器

URL、组 ID、用户名和密码。

注意：当服务器、组 ID、用户名和密码都包含在配置中时，Hub 会跳过任何其他注册提示

5 输入先前未在二维码中配置的用户凭证。

如果注册成功，设备将显示我的设备页面。所有配置文件和应用程序将开始自动推送到设备。

Workspace ONE UEM Console 报告用户设备上的 Android 状态。您可以查看详细信息视图页面以

验证是否已成功在工作受管模式下注册设备。

使用注册配置向导生成二维码

创建二维码以使用 Android 7.0 或更高版本的设备进行扫描，便可快速注册预备相关设备。此向导简化了

注册预备配置过程。

步骤

1 在 Workspace ONE UEM console 中导航到设备 > 生命周期 > 注册预备 > 列表视图 > 配置注册 > Android > 二维码。

2 启用 Wi-Fi 切换，可在注册设备前将设备连接到 Wi-Fi。将显示以下选项：

设置 说明

SSID 输入服务集标识符，更常称为 Wi-Fi 网络的名称。

密码 输入已输入的 SSID 的 Wi-Fi 密码。

3 选择下一步。

Android 平台

VMware, Inc. 44

4 选择要在注册预备期间推送至设备的 Workspace ONE Intelligent Hub。默认选项为“使用 新的

Workspace ONE Intelligent Hub”。

如果您未添加 Workspace ONE Intelligent Hub，请选择托管在外部 URL 上，并在 URL 文本框中输

入指向外部托管的 Workspace ONE Intelligent Hub 软件包的地址。

5 选择下一步。

6 设置注册详细信息设置。若要使用基于令牌的身份验证，请禁用这两个选项。

设置 说明

组织组 启用并选择二维码注册预备软件包所使用的组织组。

用户名 配置登录凭证。输入 Workspace ONE UEM 帐户用户名。

密码 输入相应的密码。

系统应用 仅适用于工作受管设备。您可以选择启用以保留在工作受管设备上安装的非关键系

统应用程序。选择禁用可移除这些应用程序。

强制执行 AOSP/封闭式网络注册 启用此字段后，无论在 Android EMM 注册期间设置的工作受管设备注册类型如

何，都可以在同一组织组中注册 GMS 和非 GMS 设备。

n 如果将标记设置为使用 GMS，并且 UEM console 在 Android EMM 注册页面

中设置为 AOSP，则设备将使用 UEM console 标记并在不使用 Google 帐户的

情况下注册。

n 如果将标记设置为使用 GMS，并且 UEM console 设置为基于用户或基于设备

的帐户，则 Intelligent Hub 将尝试执行 GMS 注册流程。如果设备是非 GMS 设备，则注册将失败。

7 选择下一步。

8 通过摘要页面可以下载 PDF 文件。选择查看 PDF，预览您选择的二维码格式。

使用零接触门户注册 Android 设备

在零接触门户中，添加下载 Workspace ONE Intelligent Hub 后应在设备上立即应用的注册配置。

注 仅 Android 8.0 (Oreo) 设备支持零接触注册。对于 Sarmsung 设备，请使用 Knox 移动注册。

Android 平台

VMware, Inc. 45

步骤

1 导航到配置标签页，然后单击 +。

2 输入以下注册详细信息：

设置 说明

配置名称 输入此配置的名称。

EMM DPC 选择“Workspace ONE Intelligent Hub”。

这将确保在出厂设置过程中下载 Workspace ONE Intelligent Hub。

DPC Extras 输入将在 Workspace ONE Intelligent Hub 中配置的注册凭证。可以包括

Workspace ONE UEM Console 服务器 URL、组 ID、注册用户名和密码。

终用户预置设备：

在这种情况下，排除用户名和密码，用户在设置设备的过程中收到提示后输入这些

信息。

{ "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "serverurl": "https://airwatch.console.com", "gid": "groupID"} }

对于零接触注册：

如果所有设备都注册预备给单个用户或注册用户名和密码已知，则建议采用这种方

案。

{ "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "serverurl": "https://airwatch.console.com", "gid": "groupID", "un":"username", "pw":"password" } }

公司名称 输入您的组织名称。

联系人电子邮件 输入 终用户在遇到问题后应联系的电子邮件。

Android 平台

VMware, Inc. 46

设置 说明

联系人电话 输入 终用户在遇到问题后应拨打的电话号码。

自定义消息 输入在下载 Workspace ONE Intelligent Hub 前向 终用户显示的自定义消息。

3 选择应用。

4 通过选择应用于设备的注册配置，分配设备标签页下的配置。

您需要与运营商/设备经销商合作来检索设备的 IMEI 和序列号。

配置“企业拥有、个人启用”注册

在 Android“企业拥有、个人启用 (COPE)”模式下，Workspace ONE UEM 可以控制整个设备，同时仍

可部署工作配置文件，以便用户可以将设备用作个人设备。COPE 是介于“工作配置文件”模式和“工作

受管设备”模式之间的一种混合模式。

注 要想在设备库中使用 COPE 部署，需要使用 Android 8.0+。如果您尝试注册的设备未运行 Android 8.0，该设备将自动注册为工作受管设备。有关工作受管设备注册的信息，请参阅配置工作受管设备注册。

注册 COPE 设备有多种方法：

n 使用 AirWatch Relay 执行 NFC 触碰

n 使用唯一标识符或令牌代码

n 扫描二维码

n 使用零接触注册

n 对 Samsung 设备使用 Knox 移动注册。您可以在“Knox 移动注册”文档中找到相关信息。

Android 平台

VMware, Inc. 47

您的业务需求决定了需要使用哪种注册方法。必须在 Android EMM 注册完成后，注册设备。请参见第 2 章 向 Workspace ONE UEM 注册 Android 以完成注册。

向 AirWatch Relay 注册

AirWatch Relay 是一款将信息从要注册 Workspace ONE UEM、且包含 Android 的父项设备传送到所

有子设备的应用程序。传送通过 NFC 触碰完成，且子设备被预置为：

n 连接到父设备以复制 Wi-Fi 网络及区域设置，包括设备日期、时间和位置。

n 下载适用于 Android 的 新 Workspace ONE Intelligent Hub 产品版本。

n 以设备管理员身份静默设置 Workspace ONE Intelligent Hub。

n 自动注册 Workspace ONE UEM。

AirWatch Relay 支持在向 终用户部署子设备之前批量注册所有子设备，省去了 终用户注册个人设备的

麻烦。所有子设备均必须处于出厂重置模式且默认启用 NFC，以便注册为 COPE 设备。

NFC 触碰过程因 Android OS 版本而异。由于 COPE 仅在 Android 8.0+ 上受支持，因此采用 AirWatch Relay 的注册仅执行一次触碰，即可在一步操作中连接并注册子设备。

有关 AirWatch Relay 注册，请参见使用 AirWatch Relay 为 Android 6.0 及更高版本注册 Android 设备

使用 Workspace ONE Intelligent Hub 标识符进行注册

Workspace ONE Intelligent Hub 标识符注册方法是注册支持 COPE 的设备的一种简化方法。在出厂重

置设备上输入简单标识符或哈希值。输入标识符后，Workspace ONE Intelligent Hub 将自动开始注册。

用户只需输入服务器详细信息、用户名和密码。有关 Workspace ONE Intelligent Hub 标识符注册的信

息，请参见使用 VMware Workspace ONE Intelligent Hub 标识符来注册 Android 设备。

使用二维码进行注册

二维码预置是注册不支持 NFC 和 NFC 触碰设备库的简单方法。二维码包含键值对负载，其中包含注册设

备所需的所有信息。开始注册前请先创建二维码。您可以使用 Workspace ONE UEM Console 中的注册

配置向导生成二维码。有关更多信息，请参阅使用注册配置向导生成二维码。

二维码包含服务器 URL 和组 ID 信息。您还可以包含用户名和密码，否则用户必须输入凭证。

下文是粘贴到二维码生成器的文本格式：

{

"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":

"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":

"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i_o8=\n",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":

"https://getwsone.com/mobileenrollment/airwatchagent.apk",

"android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,

"android.app.extra.PROVISIONING_WIFI_SSID": "ssid",

"android.app.extra.PROVISIONING_WIFI_PASSWORD": "password",

Android 平台

VMware, Inc. 48

"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {

"serverurl": "deviceservices.myserver.com",

"gid": "group_id",

"un":"username",

"pw":"password"

}

}

有关二维码注册，请参阅使用二维码注册工作受管设备。

使用零接触进行注册

利用零接触注册，可使用作为开箱企业移动管理提供程序的 Workspace ONE UEM 配置 Android 8.0+ 设备。

在设备设置过程中，当设备连接到 Internet 时，系统将自动下载 Workspace ONE Intelligent Hub 并自

动传递注册详细信息，无需用户交互即可注册设备。

下面是需要考虑的一些必备条件：

仅有少量移动运营商和 OEM 支持零接触注册。客户需与运营商联系，以确保支持零接触预置。访问

Google 网站，了解有关受支持的运营商和设备的更多信息。

有关零接触注册步骤，请参阅使用零接触门户注册 Android 设备。

Android 注册支持的其他注册标志

本主题介绍了如何使用二维码或零接触门户注册来实施其他注册标志。

格式

在下面的示例中，粗体信息表示实施二维码或 JSON 注册时必需的信息。

对于可选值，从 "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": 开始，输入将在

Workspace ONE Intelligent Hub 中配置的注册凭据。可以包括 Workspace ONE UEM Console 服务器

URL、组 ID、注册用户名和密码。

如果显示 "VMwareSpecificflags":"EnterValue"，请参阅下方的可用标志，并根据需要使用正确的值。

{

"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.airwatch.androidagent/

com.airwatch.agent.DeviceAdministratorReceiver",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7v

tW7i_o8=", "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":"",

"android.app.extra.PROVISIONING_SKIP_ENCRYPTION":"false",

"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{

"serverurl":"",

"gid":"",

"un":"",

"pw":"",

"VMwareSpecificflags":"Value"

}

}

Android 平台

VMware, Inc. 49

使用 UEM 身份验证

如果用户想要使用 UEM 身份验证（即使他们在 Workspace One Access 上），他们应该通过新的二维

码通知相同信息，该二维码也由自定义 JSON 在 KME 门户中使用。通过将“Boolean”值替换为

“true”或“false”来设置布尔值。

"useUEMAuthentication":"Boolean"

本地自动发现 URL

通过将下方示例中的“String”替换为“www.myautodiscoveryurl.com”类似的 URL 来设置本地自动

发现 URL。

"localAutoDiscoveryUrl":"String"

发现重试计数

使用整数值设置发现重试计数。请考虑小于 10 的数字。以下示例说明了如何正确输入此值，并将

“Integer”替换为您选择的数字。

"discoveryRetryCount":"Integer"

发现间隔（秒）

设置发现重试间隔（以秒为单位）。以下示例说明了如何正确输入此值，并将“Integer”替换为您选择的

数字。

"discoveryIntervalInSeconds":"Integer"

AOSP 注册

允许设备跳过添加工作帐户的操作。通过将“Boolean”值替换为“true”或“false”来设置布尔值。

"aospenrollment":"Boolean"

重试计数

设置失败时重试自动注册的次数。请考虑使用小于 10 的值。以下示例说明了如何正确输入此值，并将

“Integer”替换为您选择的数字。

"retrycount":"Integer"

允许取消固定

允许用户在注册期间离开 Hub。通过将“Boolean”值替换为“true”或“false”来设置布尔值。

"allowUnpinning":"Boolean"

Android 平台

VMware, Inc. 50

将 Android 设备注册为工作配置文件模式

注册过程会保护 Android 设备与 AirWatch 环境之间的连接。Workspace ONE Intelligent Hub 可加快

注册，并允许实时管理和访问相关设备信息。

请按照以下说明安装 Workspace ONE Intelligent Hub，并基于注册流程验证用户身份。

步骤

1 从 Google Play 商店下载和安装 Workspace ONE Intelligent Hub。

2 启动 Workspace ONE Intelligent Hub。

a 如配置了电子邮件自动发现，Workspace ONE Intelligent Hub 会提示您输入电子邮件地址。此

外，还可能会提示您从列表中选择组 ID。

b 如果没有配置电子邮件自动发现，请选择所需的注册方法。

3 输入电子邮件地址或注册 URL。

4 输入用户名和密码，然后轻击继续。

5 接受使用条款。

6 轻击加密按钮，然后按照剩下的提示接受这些设置。Workspace ONE Intelligent Hub 将在您接受加

密设置后关闭。轻击加密完成通知以返回 Workspace ONE Intelligent Hub 继续注册。

加密设备的选项取决于设备正在运行的 Android 版本。默认对运行 Android Marshmallow 的设备进

行加密，因此在注册期间将不显示此选项。

7 轻击设置以配置与设备关联的工作配置文件。

8 轻击隐私策略上的确定。根据用户创建方式的不同，注册的剩余页面也会有所不同。Workspace ONE UEM Console 中的企业设置将会推送到设备。针对受管 Google Play 帐户的设备注册流程到此结

束。

9 轻击开始创建工作配置文件并将受管 Google 帐户连接到设备，此操作仅适用于 Google 帐户。根据

身份验证方法的不同，这些步骤也会有所变化：要继续进行用户定义的注册，请执行以下操作：

a 使用用户凭证创建密码，然后轻击下一步。

b 输入受管 Google 帐户密码，然后轻击下一步。

10 要继续进行目录服务同步，请执行以下操作：

a 输入您的密码，然后轻击下一步。

b 选择继续。

c 选择退出。

11 要执行 SAML 注册流程，请执行以下操作：

a 输入用户名和密码，然后轻击登录。用户会被重定向到 Workspace ONE Intelligent Hub。

Android 平台

VMware, Inc. 51

结果

如果成功，系统将为设备配置工作配置文件，并显示 Workspace ONE Intelligent Hub 设置页面。现在，

可参照适用于工作配置文件的 Android 设置使用设备。

为 Android 设备启用非受管注册

要允许某些 Android 设备在不使用 Google 服务的情况下注册到 Workspace ONE UEM，您必须启用

“登记模式”

通过 Intelligent Hub 应用注册的设备默认受 MDM 管理。要允许某些 Android 设备在不使用 MDM 管理

的情况下进行注册，您必须为智能组启用非受管模式。

可用的选择条件是操作系统版本、所有权类型和用户组。

在非受管注册中，用户可以访问需要基本安全级别的应用程序。当用户尝试访问需要管理的应用时，将通

过 MDM 注册过程引导用户。您可以使用自适应管理应用策略来控制进行非受管注册的 Android 设备的设

备管理级别。

步骤

1 在 Workspace ONE UEM console 中，选择要启用非受管注册的组织组，然后导航到设备 > 设备设

置 > 设备与用户 > 常规 > 注册 > 管理模式页面。

2 在“当前设置”中，单击覆盖。

3 对于 Android，选择启用。

4 在智能组中，添加启用了非受管注册的智能组。

5 单击保存。

结果

在配置的智能组中具有 Android 设备的用户有权对应用进行非受管访问。用户可以使用 Workspace ONE Intelligent Hub 应用访问需要基本安全级别的应用程序，而无需将设备注册到 Workspace ONE UEM 移动设备管理中。

Zebra Stage Now

Stage Now 调试客户端是 Zebra 的下一代 Android 解决方案，用于调试 Zebra 设备并为生产使用做好

准备。

Workspace ONE UEM 支持 Stage Now，但存在以下条件和限制。

有关 Zebra 移动性的详细信息，请参阅 Zebra Mobility Extensions (MX) 和完整的 MX 功能矩阵。

如果您计划使用 Stage Now 条形码在工作受管设备模式下注册 Zebra 设备，请执行以下步骤。

前提条件

n Zebra 设备必须运行 Android 7.0 以及 MX 版本 7.1 或更高版本。

Android 平台

VMware, Inc. 52

n 如果要使用 Stage Now 条形码注册 Zebra 设备，您必须将适用于 Android 的 Intelligent Hub 8.2 或更高版本作为 Workspace ONE Intelligent Hub 软件包上载到控制台。

n 运行 Android 6.0 及更低版本的 Zebra 设备必须继续使用“快速部署”作为默认转储客户端。

n 仅支持设置为被动模式的中继服务器。处于主动模式的中继服务器不受支持，并且不能与 Stage Now 客户端一起使用。

n 确保在组和设置 > 所有设置 > 系统 > 高级 > 站点 URL 中找到的 Stage Now URL 设置设定为合适的

URL。

n 如果您的本地环境正在配置您自己的 Stage Now 服务器，请在此字段中输入您的自定义 URL。

n 如果您的本地环境未配置您自己的 Stage Now 服务器，则只需打开您的网络以允许访问此处列出

的 URL。

n SaaS 环境不需要更改此文本框。

n 尝试在工作受管模式下注册 Stage Now 时，设备上不能存在 Google 帐户。

步骤

1 使用组织组选择器选择要为您的 Android 设备配置的 OG。

2 导航到组和设置 > 所有设置 > 设备和用户 > Android > Android EMM 注册，然后选择注册限制标签

页。

3 完成以下设置。

设置 说明

当前设置 选择覆盖以影响对您在步骤 1 中选择的 OG 所做的更改。

定义此组织组的注册方法 此设置确定此 OG 如何处理 Android 设备。从以下设置中进行选择：

始终使用 Android – 此设置将启用“生成 Stage Now 条形码”屏幕上的“设备所

有者模式”滑块，并使其不可编辑。这会强制在此 OG 中注册的所有 Android 设备

处于设备所有者模式（或工作受管设备模式）。

始终使用 Android (旧版) – 此设置将禁用“生成 Stage Now 条形码”屏幕上的

“设备所有者模式”滑块，并使其不可编辑。这会强制在此 OG 中注册的所有

Android 设备处于设备管理员模式。

定义使用 Android 的分配组 – 此设置将启用“生成 Stage Now 条形码”屏幕上

的“设备所有者模式”滑块，并使其可编辑，允许您根据所选分配组选择在设备所

有者模式（工作受管设备模式）下注册 Android 设备或在设备管理员模式下注册设

备。

4 指导您的 终用户执行以下步骤以注册其设备：

a 从“出厂设置”状态启动设备。

b 确保设备上没有 Google 帐户。

c 继续完成设置向导或扫描 Zebra 提供的“跳过设置向导”条形码。

Android 平台

VMware, Inc. 53

d 打开 Stage Now 应用。

e 扫描条形码。

该设备将自动注册到工作受管模式。

Android 平台

VMware, Inc. 54

Android 配置文件概览 4Android 配置文件可确保设备的正确使用和敏感数据保护。配置文件具有许多不同的用途，包括允许您强

制实施企业规则和程序，以及按照 Android 设备的使用方式来定制和准备这些设备。

Android 与 Android（旧版）配置文件

部署配置文件时，有两种 Android 配置文件类型：Android 和 Android（旧版）。如果您已完成

Android EMM 注册，请选择 Android 配置文件选项。如果已选择退出 EMM 注册，可以使用 Android（旧版）配置文件。当您选择 Android 但未逐步完成 Android EMM 注册时，系统将显示错误消息，提示

您转到设置页面完成 EMM 注册也，或继续进行 Android（旧版）配置文件部署。

要浏览 Android EMM 注册，请参见第 2 章 向 Workspace ONE UEM 注册 Android

工作配置文件与工作受管设备模式

工作配置文件是一种特殊类型的管理员，主要针对 BYOD 用例量身定制。如果用户已使用自己的 Google 帐户配置了个人设备，则 Workspace ONE UEM 注册会创建一个工作配置文件，并在其中安装

Workspace ONE Intelligent Hub。Workspace ONE UEM 仅控制工作配置文件。受管应用在工作配置

文件中安装，并显示橙色公文包标志来将其与个人应用区分开来。

工作受管设备适用于从未置备状态（出厂重置）注册的设备，建议用于企业拥有的设备。Workspace ONE Intelligent Hub 在设置过程中安装并设置为设备所有者，这意味着 Workspace ONE UEM 将完全控

制整个设备。

Android 配置文件将显示以下标记：工作配置文件和工作受管设备。

带有“工作配置文件”标记的配置文件选项仅适用于工作配置文件设置和应用，不会影响用户的个人应用

或设置。例如，某些限制禁止访问摄像头或捕获屏幕截图。这些限制仅影响工作配置文件中带有 Android 标志的应用，不会影响个人应用。为工作受管设备配置的配置文件选项适用于整个设备。本节讨论的每个

配置文件指明了配置文件影响的设备类型。

设备访问权限

一些设备配置文件会配置用于访问 Android 设备的设置。只有授权用户才能使用这些配置文件来确保对设

备的访问。

VMware, Inc. 55

设备访问配置文件的一些示例包括：

n 将密码配置文件配置为整个设备需要密码（设备密码）或仅需要工作配置文件的密码（工作密码）。有

关更多信息，请参阅密码配置文件 (Android)。

n 指定并控制员工如何、何时以及在何处使用其设备。有关更多信息，请参阅 使用 Workspace ONE UEM 配置 Android 设备的限制。

设备安全性

通过设备配置文件确保 Android 设备始终安全。这些配置文件可配置本机 Android 安全功能，或通过

Workspace ONE UEM 在设备上配置公司安全设置。

n 访问电子邮件、文件和内容等内部资源。有关详细信息，请参阅配置 VPN (Android)。

n 在用户安装或卸载特定应用程序时采取管理操作。有关更多信息，请参阅应用程序控制 (Android)。

设备配置

通过配置文件配置 Android 设备的各种设置。这些配置文件可配置设备设置以满足您的业务要求。

n 将设备自动连接到内部 WiFi。有关更多信息，请参阅 Wi-Fi 配置文件 (Android)。

n 管理如何控制 Android OS 更新通知和实际更新。有关详细信息，请参阅管理 Android 设备的系统更

新。

本章讨论了以下主题：

n 密码配置文件 (Android)

n 强制执行 Chrome 浏览器设置(Android)

n 使用 Workspace ONE UEM 配置 Android 设备的限制

n 在 Android 设备上启用 Exchange Active Sync 配置文件

n 公共应用自动更新配置文件 (Android)

n 凭证 (Android)

n 创建自定义消息

n 应用程序控制 (Android)

n 配置代理设置 (Android)

n 管理 Android 设备的系统更新

n Wi-Fi 配置文件 (Android)

n 配置 VPN (Android)

n 设置权限 (Android)

n 配置单应用模式 (Android)

n 设置日期/时间 Android

Android 平台

VMware, Inc. 56

n 创建 Workspace ONE Launcher 配置文件 (Android)

n 配置 Android 设备的防火墙规则

n 配置 APN 配置文件 (Android)

n 企业出厂重置保护 (Android)

n 配置 Zebra MX 配置文件 (Android)

n 使用自定义设置(Android)

密码配置文件 (Android)

密码配置文件让您可以配置设备级别密码或仅适用于 Android 设备上的工作配置文件的密码。

工作配置文件密码策略仅应用于工作应用，以便用户在每次解锁其使用工作配置文件注册的设备时，不必

输入复杂的密码。该工作使企业应用数据受到保护，并允许 终用户以自己喜欢的方式访问个人应用和数

据。至于工作受管设备模式，此密码策略适用于设备。对于使用工作配置文件注册的设备，工作密码在

Android 7.0 (Nougat) 及以上版本上可用。

设备密码策略适用于整个设备（使用工作配置文件注册或作为工作受管设备注册）。每次解锁设备时都需

要输入此密码，且可以和工作密码搭配使用。

默认情况下，创建新配置文件时仅启用工作密码（禁用设备密码）。管理员必须手动启用设备密码。

注 如果设备上有密码配置文件且用户未设置密码，则在设备合规之前，不会将应用或配置文件推送到设

备。

强制使用密码设置(Android)

设置密码策略需要 终用户输入密码，这为设备上的敏感数据提供了第一层保护。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 如果合适，配置常规配置文件设置。

3 从负载列表中选择密码，然后配置密码设置：

设置 说明

启用工作密码策略 启用此选项以将密码策略仅应用于带有 Android 标记的应用程序。

密码长度下限 设置 小字符数，确保密码具有合适的复杂度。

Android 平台

VMware, Inc. 57

设置 说明

密码内容 从下拉菜单中选择以下选项之一：

从下拉菜单中选择任意、数字、字母数字、字母、复杂、复杂数字或弱生物识别。

使用简单值以便快速访问，或使用字母数字密码来增强安全性。您还可以要求在密

码中使用 低数量的复杂字符（@、#、&、!、?）。

弱效生物识别通行码内容可使用安全性较低的生物识别解除锁定方法，如面部识

别。

重要事项 如果密码包含的复杂字符数必须大于 4，则至少需要包含一个小写字符和

一个大写字符（仅限 SAFE v5.2 设备）。

失败尝试次数上限 指定在设备被擦除之前允许的尝试次数。

长密码期限 (天) 指定密码的 长有效天数。

密码更改提醒 设置在密码过期前通知用户更改密码的时间长度。设备密码策略中也会提供此选

项。

系统会在用户的设备上通过提示来提示其更改密码，但不会阻止用户在设备上执行

任何其他功能。您可以配置合规策略或使用适用于 Android 的 Workspace ONE Intelligent Hub 中的设置来创建并强制将密码重新添加到设备。

密码历史记录 设置在可以重复使用旧密码之前必须更改密码的次数。

设备锁定超时范围（以分钟计） 设置在设备屏幕自动锁定之前处于非活跃状态的期限

密码需要更改（以分钟为单位） 设置使用非强身份验证方法（如指纹或人脸识别）解锁设备之后需要密码之前的时

间长度。设备密码策略中也会提供此选项。

允许一个锁 禁用以强制为工作配置文件和设备使用单独的密码

注 仅适用于 Android 9.0+ 工作配置文件设备和 COPE 设备。

允许生物识别选项 启用以允许生物识别解锁方法，如人脸识别。

允许指纹传感器 启用后可让用户使用指纹解锁设备。禁用后可防止将指纹用作主要的身份验证方

法，而是应当要求 终用户输入配置文件中指定类型的密码。

允许面部扫描 禁用此选项将禁止配置或选择人脸解锁方法。

注 仅适用于 Android 9.0+ 工作受管设备。

允许虹膜扫描 禁用此选项将禁止配置或选择虹膜扫描仪方法。

注 仅适用于 Android 9.0+ 工作受管设备。

启用设备密码策略 对使用工作配置文件注册的设备应用密码策略。需要输入此密码解锁设备，并且可

以与工作密码结合使用。对于工作受管设备，此密码策略将应用到设备。

密码长度下限 设置 小字符数，确保密码具有合适的复杂度。

设置初始密码 启用以在所有已部署设备上的设备级别设置初始密码。部署后，可以在设备级别重

置密码。

注 仅适用于 Android 7.0+ 工作受管设备。

密码内容 从下拉菜单中选择任意、数字、字母数字、字母、复杂或复杂数字，确保密码内容

符合安全要求。

失败尝试次数上限 指定在设备被擦除之前允许的尝试次数。

长密码期限 (天) 指定密码的 长有效天数。

Android 平台

VMware, Inc. 58

设置 说明

密码更改提醒 设置在密码过期前通知用户更改密码的时间长度。

密码历史记录 设置在可以重复使用旧密码之前必须更改密码的次数。

设备锁定超时范围（以分钟计） 设置在设备屏幕自动锁定之前处于非活跃状态的期限。

允许生物识别选项 启用以允许生物识别解锁方法，如人脸识别。

允许指纹解锁 启用后可让用户使用指纹解锁设备。另外，防止将指纹用作主要的身份验证方法，

而是应当要求 终用户输入在配置文件中指定类型的密码。

允许面部扫描 禁用此选项将禁止在 Samsung 设备上配置或选择人脸解锁方法。

注 仅适用于 Android 9.0+ 工作受管设备。

允许虹膜扫描 禁用此选项将禁止在 Samsung 设备上配置或选择虹膜扫描仪方法。

注 仅适用于 Android 9.0+ 工作受管设备。

密码可视 启用该选项后，在输入密码时，密码会显示在屏幕上。适用于 Samsung 设备。

要求您在常规配置文件中启用 OEM 设置并从选择 OEM 下拉列表选择 Samsung。

要求 SD 卡加密 指示 SD 卡是否要求加密。适用于 Samsung 设备。

要求您在常规配置文件中启用 OEM 设置并从选择 OEM 下拉列表选择 Samsung。

重复字符数上限 通过设置重复字符数上限，防止 终用户输入易于破解的重复性密码（如

“1111”）。适用于 Samsung 设备。

如果从密码内容文本框中选择“复杂”，则适用以下设置。

设置 说明

低字母数目 指定可以在密码中包含的字母个数。

低小写字母数目 指定密码中必需的小写字母个数。

低大写字母数目 指定密码中必需的大写字母个数。

低非字母数目 指定密码中必需的特殊字符个数。

低数字数目 指定密码中必需的数字个数。

低符号数目 指定密码中必需的符号个数。

以下设置适用于在 Samsung 设备上设置密码。

只有在常规配置文件中选择了 OEM 设置，并从选择 OEM 下拉列表中选择了 Samsung 时，

这些设置才可用。

设置 说明

密码可视 启用该选项后，在输入密码时，密码会显示在屏幕上。

允许指纹解锁 启用后可让用户使用指纹解锁设备。另外，防止将指纹用作主要的身份验证方法，

而是应当要求 终用户输入在配置文件中指定类型的密码。

要求 SD 卡加密 指示 SD 卡是否要求加密。

需要密码 要求用户输入用于加密 SD 卡的密码。如果未选中，则某些设备允许在不进行用户

交互的情况下加密 SD 卡。

Android 平台

VMware, Inc. 59

设置 说明

重复字符数上限 通过设置重复字符数上限，防止 终用户输入易于破解的重复性密码（如

“1111”）。

数字序列长度上限 防止 终用户输入易于破解的数字序列（如 1234）作为密码。适用于 Samsung 设备。

允许使用虹膜扫描仪 禁用此选项将禁止在 Samsung 设备上配置或选择虹膜扫描仪方法。

允许人脸解锁 禁用此选项将禁止在 Samsung 设备上配置或选择人脸解锁方法。

锁屏覆盖 启用后可将信息推送到 终用户设备，并在锁定屏幕上覆盖显示此信息。

n 图像覆盖 – 上传要在锁定屏幕上覆盖显示的图像。可以上传主要和次要图像，

并确定这些图像的位置和透明度。

n 公司信息 – 输入要在锁定屏幕上覆盖显示的公司信息。在此设置中，可以输入

要在设备丢失或失窃时显示的紧急信息。

“锁屏覆盖”设置仅适用于 Safe 5.0 和更高版本的设备。“锁屏覆盖”设置在启用

后将在设备上保持已配置状态，而且无法由 终用户更改。

有关锁屏覆盖设置的详细信息，请参阅配置锁屏覆盖 (Android)

4 选择保存并发布，将配置文件指定给关联的设备。

配置锁屏覆盖 (Android)

密码配置文件中的锁屏覆盖选项能让您在屏幕锁定图像上叠加显示信息，以便向 终用户或可能发现锁定

的设备的任何人提供信息。锁屏覆盖是密码配置文件的一部分。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 根据您的注册配置选择 Android 或 Android (旧版)。

3 如果合适，配置常规配置文件设置。

锁屏覆盖是 Android 的一种本机功能，可跨多个 OEM 使用。

只有当 OEM 设置字段切换为启用且从选择 OEM 字段中选择了“Samsung”时，适用于 Android 配置文件的锁屏覆盖设置才会显示。“常规”配置文件中的“OEM 设置”字段仅适用于 Android 的配

置文件，不适用于 Android（旧版）配置。

4 从列表中选择密码配置文件。

5 启用锁屏覆盖字段。

6 选择所需的锁屏覆盖类型：图像覆盖或公司信息。

7 根据需要配置“图像覆盖”的设置。

设置 说明

图像覆盖类型 选择单图像或多图像，以确定所需的覆盖图像数量。

主要图像 上载图像文件。

主要图像顶部位置所占百分比 确定顶部图像的位置（从 0 到 90%）。

Android 平台

VMware, Inc. 60

设置 说明

主要图像底部位置所占百分比 确定底部图像的位置（从 0 到 90%）。

次要图像 根据需要上传另一个图像。仅在从图像覆盖类型字段中选择了“多图像”时，才会

显示此字段。

次要图像位置比例 确定顶部图像的位置（从 0 到 90%）。仅在从“图像覆盖类型”字段中选择了“多

图像”时才适用。

次要图像底部位置所占百分比 确定底部图像的位置（从 0 到 90%）。仅在从“图像覆盖类型”字段中选择了“多

图像”时才适用。

覆盖图像 确定图像的透明度是透明还是不透明。

8 根据需要配置公司信息的设置。

设置 说明

公司名称 输入要显示的公司名称。

公司徽标 上传带有图像文件的公司徽标。

公司地址 输入公司办公地址。

公司电话号码 输入公司电话号码。

覆盖图像 确定图像的透明度是透明还是不透明。

9 保存并发布。

强制执行 Chrome 浏览器设置(Android)

Chrome 浏览器设置配置文件可帮助您管理 Work Chrome 应用的设置。

Chrome 是 Google 的 Web 浏览器。Chrome 提供许多功能，如搜索、omnibox（一个用于搜索和导航

的框）、自动填充、保存的密码以及 Google 帐户登录，以便可以跨所有设备即时访问 近使用的标签页

和搜索内容。Chrome 应用的工作版本在功能上与 Chrome 个人版本相同。配置此配置文件不会影响用户

的个人 Chrome 应用。您可以将此配置文件与单独的 VPN 一起部署，也可以将其与凭证和 Wi-Fi 负载一

起部署，以确保 终用户可以进行身份验证和登录内部站点及系统。这样可保证用户必须将 Work Chrome 应用用于商业用途。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 根据需要配置该配置文件的常规设置。

3 选择 Chrome 浏览器设置负载并根据需要配置设置。

4 选择保存并发布。

Android 平台

VMware, Inc. 61

Chrome 浏览器设置矩阵 (Android)

Chrome 浏览器设置配置文件可帮助您管理 Work Chrome 应用的设置。配置此配置文件不会影响用户的

个人 Chrome 应用。您可以将此配置文件与单独的 VPN 一起部署，也可以将其与凭证和 Wi-Fi 负载一起

部署，以确保 终用户可以进行身份验证和登录内部站点及系统。

该矩阵详细介绍了 Chrome 浏览器配置文件中的可用设置：

表 4-1. Chrome 浏览器设置配置文件设置

设置 说明

允许 Cookie 选择此选项以确定浏览器的 Cookie 设置。

允许这些网站的 Cookie 指定允许设置 Cookie 的 URL。

屏蔽这些网站的 Cookie 指定不允许设置 Cookie 的 URL。

允许这些网站的会话 Cookie 指定允许设置会话 Cookie 的网站。

允许图像 选择此选项以确定允许图像的网站。

允许这些网站的图像 指定允许显示图像的 URL 列表。

屏蔽这些网站的图像 指定不允许显示图像的 URL 列表。

允许 JavaScript 选择 JavaScript 浏览器设置。

允许这些网站的 JavaScript 指定允许运行 JavaScript 的网站。

屏蔽这些网站的 JavaScript 指定不允许运行 JavaScript 的网站。

允许弹出窗口 选择弹出窗口浏览器设置。

允许这些网站的弹出窗口 选择此选项以确定允许打开弹出窗口的网站。

屏蔽这些网站的弹出窗口 指定不允许打开弹出窗口的网站。

允许跟踪位置 设置是否允许网站跟踪用户的物理位置。

代理模式 指定 Google Chrome 使用的代理服务器并阻止用户更改代理设

置。

代理服务器 URL 指定代理服务器的 URL。

代理 PAC 文件 URL 指定代理 .pac 文件的 URL。

不使用代理的规则 指定要绕过的代理设置。仅当选择了手动代理设置时，此策略才

会生效。

强制使用 Google SafeSearch 启用此选项以强制使用 SafeSearch 完成 Google Web 搜索中

的搜索查询。

强制使用 Youtube 安全模式 启用此选项可让用户有机会访问成人内容。

启用触碰式搜索 在 Google Chrome 的内容视图中启用触碰式搜索。

启用默认搜索提供商 指定默认搜索提供商。

默认搜索提供商名称 指定默认搜索提供商的名称。

默认搜索提供商关键词 指定默认搜索提供商的关键字搜索。

默认搜索提供商搜索 URL 指定执行默认搜索时使用的搜索引擎的 URL。

Android 平台

VMware, Inc. 62

表 4-1. Chrome 浏览器设置配置文件设置 （续）

设置 说明

默认搜索提供商建议 URL 指定用于提供搜索建议的搜索引擎的 URL。

默认搜索提供商即时 URL 指定用户输入搜索查询时的默认搜索提供商。

默认搜索提供商图标 指定默认搜索提供商的收藏图标 URL。

默认搜索提供商编码 指定搜索提供商支持的字符编码。编码是指 UTF-8、GB2312 和

ISO-8859-1 等代码页名称。如果未设置，默认将使用 UTF-8。

默认搜索提供程序的备用 URL 列表 指定可用于从搜索引擎提取搜索条件的备用 URL 列表。

搜索条件替换密钥 输入所有搜索条件替换密钥。

搜索提供商图像 URL 指定用于提供图像搜索的搜索引擎的 URL。

新标签页 URL 指定搜索引擎提供新标签页页面所用的 URL。

POST URL 搜索参数 指定使用 POST 搜索 URL 时使用的参数。

POST 建议搜索参数 指定使用 POST 执行图像搜索时使用的参数。

POST 图像搜索参数 指定使用 POST 执行图像搜索时使用的参数。

启用密码管理器 启用将密码保存至密码管理器。

启用备用错误页面 启用此选项以使用 Google Chrome 中内置的备用错误页面（例

如“页面未找到”）。

启用自动填充 启用此选项以允许用户使用以前存储的信息（如地址或信用卡信

息）自动填写 Web 表单。

启用打印 启用此选项以允许在 Google Chrome 中进行打印。

启用数据压缩代理功能 为数据压缩代理指定以下选项之一：始终启用、始终禁用。数据

压缩代理可以使用在 Google 托管的代理服务器来优化网站内

容，从而减少蜂窝数据使用量并加快移动 Web 浏览速度。

启用安全浏览 启用此选项以激活 Google Chrome 的安全浏览。

禁用保存浏览器历史记录 启用此选项以禁止在 Google Chrome 中保存浏览器历史记录。

出现安全浏览警告后禁止继续进行 启用此选项以在显示警告页面后阻止用户继续访问恶意站点。

禁用 SPDY 协议 禁止在 Google Chrome 中使用 SPDY 协议

启用网络预测 在 Google Chrome 中选择网络预测。

在有限时间内启用已被弃用的 Web 平台功能 指定要临时重新启用的已弃用 Web 平台功能列表。

强制安全搜索 启用此选项可在使用 Web 浏览器时激活安全搜索。

隐身模式可用性 指定用户是否可以使用隐身模式在 Google Chrome 中打开页

面。

允许登录 Chromium 启用此选项可强制 Chrome 用户在通过 Web 登录 Gmail 时登录

浏览器。

启用搜索建议 在 Google Chrome 的 omnibox 中启用搜索建议。

启用翻译功能 在 Google Chrome 上启用集成的 Google 翻译服务。

Android 平台

VMware, Inc. 63

表 4-1. Chrome 浏览器设置配置文件设置 （续）

设置 说明

启用或禁用书签编辑 启用此选项以允许添加、移除或修改书签。

纳管书签 指定纳管书签的列表。

屏蔽对 URL 列表的访问 输入 URL 以禁止用户从黑名单 URL 加载网页。

已屏蔽 URL 列表的例外 输入黑名单例外 URL。

启用 低 SSL 版本 从下拉列表中选择 低 SSL 版本。

要回退到的 低 SSL 版本 从下拉列表中选择要回退到的 低 SSL 版本。

使用 Workspace ONE UEM 配置 Android 设备的限制

UEM console 中的限制配置文件会锁定 Android 设备的本机功能。可用的限制和行为因设备注册而异。

限制配置文件显示指示是否将选定限制应用到工作配置文件、工作受管设备，还是这两类设备的标签，但

适用于工作配置文件设备的限制仅影响带有 Android 标记的应用。例如，为工作配置文件配置限制时，可

以禁止访问工作相机。此设置只影响带有 Android 标记的相机，不影响用户个人相机。

请注意，工作配置文件默认包含一些系统应用程序，如 Work Chrome、Google Play、Google 设置、

Contacts 以及 Camera，可以使用限制配置文件隐藏这些应用程序，且不会影响用户的个人相机。

对使用非受管 Google 帐户的限制

您可能希望允许用户添加非受管或个人 Google 帐户（例如，用于阅读个人电子邮件），但您仍希望限制

个人帐户在设备上安装应用。您可以在 Workspace ONE UEM console 中设置用户可在 Google Play 中使用的帐户列表。

配置 Android 设备的限制

部署限制负载以增强 Android 设备的安全性。限制负载设备可以禁止 终用户访问设备功能，从而确保设

备不被篡改。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 根据需要配置该配置文件的常规设置。

3 选择限制配置文件并配置相应设置：

设置 说明

设备功能 设备级限制可以禁用摄像头、屏幕捕获和出厂重置等设备核心功能，从而有助于提

高工作效率和安全性。例如，禁用摄像头可防止敏感资料被拍摄和传播到组织外

面。禁止使用设备的屏幕捕获功能有助于保护设备上企业内容的机密性。

应用程序 应用程序级限制可以禁用某些应用程序（例如 YouTube 和本机浏览器），从而能

强制用户遵守企业的设备使用政策。

Android 平台

VMware, Inc. 64

设置 说明

同步和存储 控制信息在设备上的存储方式，并能让您在工作效率和安全性之间保持 佳平衡。

例如，禁用 Google 或 USB 备份能让企业移动数据始终存放在每个受管设备上，不

会落入坏人手中。

网络 防止设备访问 Wi-Fi 和数据连接，以确保 终用户并未通过不安全的连接来查看敏

感信息。

工作与个人 确定如何访问个人容器和工作容器的信息或如何在两者之间共享信息。这些设置仅

适用于工作配置文件模式。

定位服务 仅为工作受管设备配置定位服务。

Samsung Knox 专门为运行 Samsung Knox 的 Android 设备配置限制。仅当常规配置文件中的

OEM 设置处于启用状态且从选择 OEM 字段中选择了“Samsung”时，这部分设

置才可用。

4 选择保存并发布，将配置文件指定给关联的设备。

在 Android 设备上启用 Exchange Active Sync 配置文件

Workspace ONE UEM 在 Android 设备上使用 Exchange ActiveSync (EAS) 配置文件来确保与内部电

子邮件、日历以及使用邮件客户端的联系人建立安全连接。例如，为工作配置文件配置的 EAS 电子邮件设

置将影响从 Workspace ONE UEM Catalog 下载的带有标志图标的所有电子邮件应用，但不影响用户的

个人电子邮件。

前提条件

为每个用户设置电子邮件地址和用户名后，您可以创建 Exchange Active Sync 配置文件。

注 Exchange Active Sync 配置文件适用于工作配置文件和工作受管设备模式类型。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 如果合适，配置常规配置文件设置。

3 选择 Exchange Active Sync 配置文件并配置以下设置。

设置 说明

邮件客户端类型 使用下拉菜单选择要推送到用户设备的邮件客户端。

姓名 指定公司 Active Sync 服务器的外部 URL。

服务器类型 选择 Exchange 或 Lotus。

使用 SSL 启用此选项以加密 EAS 数据。

禁用对 SSL 证书的验证检查 启用此选项以允许安全套接字层证书。

Android 平台

VMware, Inc. 65

设置 说明

S/MIME 启用此选项以选择在凭证负载上作为用户证书关联的 S/MIME 证书。

n S/MIME 签名证书 - 选择允许在客户端上预置用于邮件签名的 S/MIME 证书的

证书。

n S/MIME 加密证书 - 选择允许在客户端上预置用于邮件加密的 S/MIME 证书的

证书。

域 使用查找值以使用特定于设备的值。

用户名 使用查找值以使用特定于设备的值。

电子邮件地址 使用查找值以使用特定于设备的值。

密码 留空将允许 终用户设置自己的密码。

登录证书 从下拉菜单中选择可用证书。

默认签名 指定在新邮件上显示的默认电子邮件签名。

附件大小的上限 (MB) 输入允许用户发送的 大附件大小。

允许联系人和日历同步 启用此选项以允许联系人和日历与设备同步。

4 选择保存并发布，将配置文件指定给关联的设备。

公共应用自动更新配置文件 (Android)

利用公共应用自动更新配置文件，您能够为公共 Android 应用程序配置自动更新和计划维护窗口。

公共应用自动更新配置文件使用 Google API 将配置文件数据直接发送到设备。此配置文件不会显示在

Workspace ONE Intelligent Hub 中。

要配置公共应用自动更新配置文件：

注 如果配置文件包含公共应用更新负载，则它不能包含任何其他负载。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 如果合适，配置常规配置文件设置。这些设置决定配置文件的部署方式和接收对象。

3 从负载列表中选择“公共应用自动更新”并配置更新设置：

n 公共应用自动更新策略：指定 Google Play 允许自动更新的时间。选择“允许用户配置”、“始

终自动更新”、“仅在使用 Wi-Fi 时更新”或“从不自动更新”。

默认选择为“允许用户配置”。

n 开始时间：配置应允许前台中的应用程序每天自动更新的本地时间。选择介于 00:30 到 23:30 之间的时间。

注 仅当选择了仅在使用 Wi-Fi 时更新和始终自动更新时才适用。

Android 平台

VMware, Inc. 66

n 结束时间：配置应允许前台中的应用程序每天自动更新的本地时间。选择介于 30 分钟到 24 小时

之间的时间。

注 仅当选择了“仅在使用 Wi-Fi 时更新”和“始终自动更新”时才适用。

4 选择“保存并发布”，将配置文件分配给关联的设备。

结果

根据设定的时间，应用程序仅在指定的开始和结束时间期间自动更新。例如，您可以将 kiosk 设备设置为

仅在非营业时间更新，这样做不会中断 kiosk 使用。

凭证 (Android)

为了提高安全性，您可以实施数字证书来保护企业资产。为此，您必须首先定义一个证书颁发机构，然后

配置一个凭证负载，以及 Exchange ActiveSync (EAS)、Wi-Fi 或 VPN 负载。

每个负载中都含有用于关联凭证负载中定义的证书颁发机构的设置。凭证配置文件将用于用户身份验证的

企业证书部署到受管设备。根据设备所有权类型，此配置文件中的设置会有所不同。凭证配置文件将应用

于工作配置文件和工作受管设备模式类型。

您必须先为设备配置设备 PIN 码，Workspace ONE UEM 才能安装含专用密钥的身份证书。

部署凭证 (Android)

凭证配置文件将用于用户身份验证的企业证书部署到受管设备。此配置文件中的设置会因设备所有权类型

而异。凭证配置文件将应用于工作配置文件和工作受管设备模式类型。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 根据需要配置该配置文件的常规设置。

3 选择凭证配置文件，然后选择配置。

4 从下拉菜单中选择上传或选择定义的证书颁发机构作为凭证来源。其余配置文件选项取决于来源。如果

您选择上传，必须输入凭证名称，然后上传新证书。如果选择定义的证书颁发机构，则必须选择一个预

定义的证书颁发机构和模板。

5 选择保存并发布。

创建自定义消息

通过自定义消息配置文件，您可以配置当需要将重要信息中继给用户时在设备主屏幕上显示的消息。

通过自定义消息配置文件，您可以设置锁屏消息、用户尝试执行阻止的设置时显示的消息或设备用户设

置。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

Android 平台

VMware, Inc. 67

2 选择 Android。

3 如果合适，配置常规配置文件设置。

4 选择自定义消息配置文件并配置消息设置：

选项 描述

设置锁屏消息 输入设备锁定时要在设备主屏幕上显示的消息。对于丢失或被盗时要显示用户的联

系信息的设备，此功能非常有用。

编辑阻止设置的提示消息 输入当用户尝试对被阻止设备执行操作时要显示的消息。使用自定义消息解释功能

被阻止的原因。

设置用户在设置中看到的消息 用户可以在“设置”>“安全”>“设备”中检查此设置。

5 选择“保存并发布”，将配置文件分配给关联的设备

应用程序控制 (Android)

应用程序控制配置文件允许您将应用程序列入黑名单，并防止卸载重要的应用程序。合规引擎可在用户安

装或卸载某些应用程序时发送警示并执行管理操作，而应用程序控制甚至会禁止用户试图作出这些更改。

Android 应用程序控制配置文件中没有白名单选项，因为默认情况下，仅由管理员批准的应用程序将会显

示在 Play 商店中。例如，您可以自动将所选浏览器作为受管应用推送到设备，并将其添加到必要应用“应

用程序组”。此设置与在应用程序控制配置文件中启用“禁止卸载必要应用”选项相结合，可防止卸载浏

览器和在“应用程序组”中配置的任何其他必要应用。

有关应用程序组的更多信息，请参阅“移动应用管理”文档。

配置应用程序控制 (Android)

要控制应用程序对 Android 设备的访问权限，请创建一个配置文件，以使用应用程序控制配置文件将系统

应用程序列入黑名单以及阻止、卸载或启用系统应用程序。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 如果合适，配置常规配置文件设置。

3 选择应用程序控制负载。

4 配置以下设置来设置您应用程序部署的控制级别：

设置 说明

禁用对黑名单应用的访问 选择此选项可禁止访问应用程序组中定义的、被视为黑名单应用的应用程序。

如果启用，此选项不会从设备中卸载应用程序。

禁止必要应用的卸载 启用此选项以禁止卸载应用程序组中定义的必备应用程序。

启用系统应用 启用此选项以按照应用程序组中的白名单应用程序定义取消隐藏预安装的应用程

序。

对于 COPE，“工作受管”复选框适用于个人，“工作配置文件”适用于企业。

Android 平台

VMware, Inc. 68

5 选择保存并发布。

配置代理设置 (Android)

配置代理设置，确保所有 HTTP 和 HTTPS 网络流量都只流经代理。这确保了数据安全，因为所有个人数

据和企业数据都将通过“代理设置”配置文件进行筛选。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 根据需要配置该配置文件的常规设置。

3 选择代理设置配置文件。

4 配置如下代理设置：

设置 说明

代理模式 选择所需的代理类型。

代理 PAC URL 指定代理 .pac 文件的 URL。

代理服务器 输入代理服务器的主机名或 IP 地址。

排除列表 添加主机名，以防止这些主机通过代理进行路由。

5 选择保存并发布。

管理 Android 设备的系统更新

使用此配置文件可管理在将设备注册到 Workspace ONE UEM 时如何处理 Android 设备更新。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 根据需要，配置常规配置文件设置。

3 选择系统更新配置文件。

Android 平台

VMware, Inc. 69

4 从自动更新字段的下拉菜单中选择更新策略。

设置 说明

自动更新（Android 6.0 和更高版本的

工作受管设备）

n 自动安装更新：在更新可用时自动安装更新。

n 推迟更新通知：推迟所有更新。发送 长 30 天阻止 OS 更新的策略。

n 设置更新窗口：设置更新设备的每天时间窗口。

每年系统更新冻结期（Android 9.0 和更高版本的工作受管设备）

设备所有者可以将设备的 OTA 系统更新推迟 90 天，以便在关键时间段（如节假

日）冻结这些设备上运行的操作系统版本。系统会在定义的任何冻结时间段后强制

实施强制 60 天的缓冲，以防止设备无限期冻结。

在冻结期内：

n 设备不会收到任何有关待定 OTA 更新的通知。

n 设备不会将任何 OTA 更新安装到操作系统。

n 设备用户无法手动检查 OTA 更新。

冻结期 使用此字段可设置无法安装更新时的冻结期（以月和日为单位）。

当设备的时间处于任何冻结期内时，所有传入的系统更新（包括安全修补程序）都

将被阻止，并且无法安装。每个单独冻结期 多允许为 90 天，相邻冻结期必须至

少相隔 60 天。

5 选择保存并发布。

Wi-Fi 配置文件 (Android)

配置 Wi-Fi 配置文件允许设备连接到企业网络，即使这些网络已隐藏、加密或受保护。

对出差到多个使用独特无线网络的办公网点的 终用户而言，或者对于在办公室自动配置设备以连接正确

无线网络，Wi-Fi 配置文件都是非常实用的。

将 Wi-Fi 配置文件推送到运行 Android 6.0+ 的设备时，如果用户已通过手动设置将设备连接到 Wi-Fi 网络，无法通过 Workspace ONE UEM 更改 Wi-Fi 配置。例如，如果更改了 Wi-Fi 密码，并向注册设备推

送更新后的配置文件，某些用户必须使用新密码手动更新设备。

配置 Wi-Fi 访问 (Android)

配置 Wi-Fi 配置文件允许设备连接到企业网络，即使这些网络已隐藏、加密或受密码保护。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 根据需要配置该配置文件的常规设置。

3 选择 Wi-Fi 负载。

4 配置 Wi-Fi 设置，其中包括：

设置 > 说明

服务集标识符 提供设备连接到的网络的名称。

隐藏网络 指示是否隐藏 Wi-Fi 网络。

Android 平台

VMware, Inc. 70

设置 > 说明

设置为活跃网络 指示设备在无 终用户交互的情况下是否会连接到网络。

安全类型 指定使用的访问协议和是否需要证书。

根据选定的安全类型，此操作将更改必填字段。如果选择 WEP、WPA/WPA2、任

何（个人），则会显示密码字段。如果选择 WPA/WPA2 企业，则会显示“协议”

和“身份验证”字段。

n 协议

n 使用双重身份验证

n SFA 类型

n 身份验证

n 身份标识

n 匿名标识

n 用户名

n 密码

n 标识证书

n 根证书

密码 提供设备连接到网络所需的凭证。在从安全类型字段中选择 WEP、WPA/WPA2、

任何（个人）、WPA/WPA2 企业时，会显示密码字段。

包括 Fusion 设置 启用后可扩展 Fusion 选项，以应用到适用于 Motorola 设备的 Fusion 适配器。

Fusion 设置仅适用于 Motorola 强固型设备。如需详细了解 VMware 对 Android 强固型设备的支持，请参阅《Rugged Android Platform Guide》。

设置 Fusion 802.11d 启用后可使用 Fusion 802.11d 来配置 Fusion 802.11d 设置。

启用 802.11d 启用后可将 802.11d 无线规范用于其他管理域中的操作。

设置国家/地区代码 启用后可设置在 802.11d 规范中使用的国家/地区代码。

设置 RF 频段 启用后可选择 2.4 Ghz 和/或 5 Ghz 频段，以及任何适用的通道掩码。

代理服务器类型 启用此选项以配置 Wi-Fi 代理设置。

注 不支持使用每应用 VPN 自动配置 Wi-Fi 代理。

代理服务器 输入代理服务器的主机名或 IP 地址。

代理服务器端口 输入代理服务器的端口。

排除列表 输入要从代理排除的主机名。

此处输入的主机名不会通过代理路由。

可使用 * 作为域名通配符。例如：*.air-watch.com 或 *air-watch.com。

5 选择保存并发布。

配置 VPN (Android)

虚拟专用网络 (VPN) 为设备提供访问内部资源（例如电子邮件、文件和内容）的安全加密隧道。VPN 配置文件能让每台设备像接通现场网络一样工作。

根据连接类型和身份验证方法，使用查找值自动填写用户名信息，以简化登录过程。

注 VPN 配置文件适用于工作配置文件和工作受管设备模式类型。

Android 平台

VMware, Inc. 71

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 如果合适，配置常规配置文件设置。

3 选择 VPN 以编辑配置文件。

4 配置 VPN 设置。下表解释了可以根据 VPN 客户端配置的所有设置。

设置 说明

连接类型 选择用于协助 VPN 会话的协议。

每种连接类型都需要在设备上安装相应的 VPN 客户端，才能部署 VPN 配置文件。

这些应用程序应分配给用户并发布为公共应用。

连接名称 为配置文件创建的连接输入分配的名称。

服务器 输入用于 VPN 连接的服务器的名称或地址。

帐户 输入用于验证连接的用户帐户。

始终使用 VPN 启用此选项以强制所有来自工作应用程序的流量通过 VPN 传递。

设为活跃 启用此选项，以在配置文件应用到设备后打开 VPN。

每应用 VPN 规则 启用每应用 VPN，可根据特定的应用程序配置 VPN 流量规则。系统仅为支持的

VPN 供应商显示此文本框。

注 不支持使用每应用 VPN 自动配置 Wi-Fi 代理。

协议 选择 VPN 的身份验证协议。在“连接类型”中选择 Cisco AnyConnect 时可用。

用户名 输入用户名。在“连接类型”中选择 Cisco AnyConnect 时可用。

用户身份验证 选择进行 VPN 会话身份验证的方法。

密码 提供 终用户 VPN 访问所需的凭证。

客户端证书 从下拉菜单中选择客户端证书。这些证书在部署凭证 (Android)配置文件中配置。

证书吊销 启用此选项以启用证书吊销。

AnyConnect 配置文件 输入 AnyConnect 配置文件名称。

FIPS 模式 启用此选项以启用 FIPS 模式。

严格模式 启用此选项以启用严格模式。

供应商密钥 创建进入到供应商配置字典中的自定义密钥。

键 输入供应商提供的特定密钥。

值 输入每个密钥的 VPN 值。

标识证书 选择要用于 VPN 连接的身份证书。在“连接类型”中选择 Workspace ONE Tunnel 时可用。

5 选择保存并发布。

Android 平台

VMware, Inc. 72

配置每应用 VPN 规则 (Android)

您可以强制选定应用程序通过企业 VPN 进行连接。VPN 供应商必须支持该功能，同时您必须将应用发布

为纳管应用程序。

注 不支持使用每应用 VPN 自动配置 Wi-Fi 代理。

步骤

1 导航到设备 > 配置文件与资源 > 配置文件 > 添加 > 添加配置文件 > Android。

2 选择 Android 配置设置。

3 从列表中选择 VPN 负载。

4 从连接类型字段中选择您的 VPN 供应商。

5 配置 VPN 配置文件。

6 选择每应用 VPN 规则以启用将 VPN 配置文件关联到所需应用程序的功能。对于 Workspace ONE Tunnel 客户端，默认情况下启用此选项。启用该复选框后，可在应用程序分配页面的“应用隧道”配

置文件下拉列表中选择此配置文件。

7 选择保存并发布。

如果启用了每应用 VPN 规则作为现有 VPN 配置文件的更新，则以前使用 VPN 连接的设备/应用程序

将受到影响。以前路由所有应用流量的 VPN 连接将断开连接，并且 VPN 仅适用于与更新的配置文件

关联的应用程序。

后续步骤

要将公共应用配置为使用每应用 VPN 配置文件，请参阅“Android 应用程序管理”出版物中的“为

Android 添加公共应用程序”。

设置权限 (Android)

使用 Workspace ONE UEM console，管理员能够查看应用程序正在使用的所有权限的列表，并设置应用

运行时的默认操作。权限配置文件在使用工作受管设备和工作配置文件模式的 Android 6.0+ 设备上可

用。

您可以为每个 Android 应用设置运行时权限策略。在单个应用程序级别配置应用程序时检索 新权限。

注 从“例外”列表中选择应用时，该应用使用的所有权限都将列出，但是来自 Workspace ONE UEM console 的权限策略仅适用于被 Google 视为危险的权限。危险权限涵盖应用程序请求包括用户个人信息

的数据，或可能会影响用户存储数据的情况。有关详细信息，请参见 Android Developer 网站。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 如果合适，配置常规配置文件设置。

Android 平台

VMware, Inc. 73

3 配置权限设置，包括：

设置 说明

权限策略 为所有工作应用程序，选择是否提示用户获取权限、授予所有权限，或拒绝所有权

限。

例外 搜索已添加到 AirWatch 的应用程序（仅应包括获批的 Android 应用），并对应用

设置权限策略例外。

4 选择保存并发布，将配置文件指定给关联的设备。

配置单应用模式 (Android)

在单应用模式下，可以通过将支持的内部和公共应用程序加入白名单，将 Android 设备用于一次性用途，

例如自助终端模式。

注 有关支持的应用程序的详细信息，请参阅 Workspace ONE UEM console 中单应用模式配置文件中

的链接，以访问 Google 开发者站点了解具体内容。

有关单应用模式的 佳用法和 佳实践，请参阅单应用模式的 佳实践 (Android)。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 如果合适，配置常规配置文件设置。

3 配置单应用模式设置：

设置 说明

白名单应用 选择所需的应用程序以将设备锁定到单应用模式。

单应用模式的最佳实践 (Android)

出于一种目的实施单应用模式策略时，考虑应用这些策略和限制，可以获得 佳体验和维护。在 终用户

不与设备关联的情况下，如果您要为这些用于自助终端和数字标牌用例中的设备部署单应用模式配置文

件，可采纳这些建议。

创建“限制”配置文件并在文件中配置以下选项：

n 禁用设备功能下面的以下选项：

n 允许状态栏 - 当设备锁定为单一应用模式时，此操作可以确保身临其境的体验。

n 允许键盘锁 - 此操作可以确保设备不被锁定。

n 启用设备功能下面的以下选项：

n 使用 AC 充电器时，强制开启屏幕

n 使用 USB 充电时，强制开启屏幕

Android 平台

VMware, Inc. 74

n 使用无线充电器时，强制开启屏幕

这些选项可确保设备屏幕始终打开，方便用户进行交互。

部署系统更新策略配置文件，以保证设备在几乎不需要人工干预的情况下也能够收到 新修补程序。

设置日期/时间 Android

设置日期、时间和显示格式，以便向设备库提供合适的地区格式。

在启用 OEM 设置，并且在“常规”配置文件设置中将选择 OEM 字段设置为 Samsung 后，此配置文件

可用。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 选择设备，将您的配置文件部署到设备。

3 为配置文件配置常规设置。

注 仅在 OEM 设置字段切换到已启用时，才会显示日期/时间配置文件

4 选择日期/时间负载。

5 配置日期/时间设置，包括：

设置 说明

日期格式 更改月、日和年的显示顺序。

时间格式 选择 12 或 24 小时格式。

日期/时间 设置设备从哪个数据源获取日期和时间设置：

n 自动根据本机设备设置来设置日期和时间。

n 服务器时间 – 根据 Workspace ONE UEM console 的服务器时间来设置时

间。

n 设置时区 – 选择时区。

n HTTP URL – 根据 URL 设置时间。此 URL 可以是任何 URL。例如，可以使用

www.google.com 作为 URL。

n URL – 输入日期/时间表的网址。

n 启用定期同步 – 将设备设置为在多天内定期检查日期/时间。

n 设置时区 – 设置时区。

n SNTP 服务器

n URL – 输入日期/时间表的网址。例如，可以输入 time.nist.gov。

n 启用定期同步 – 将设备设置为在多天内定期检查日期/时间。

6 选择保存并发布。

Android 平台

VMware, Inc. 75

创建 Workspace ONE Launcher 配置文件 (Android)

Workspace ONE Launcher 是一款应用程序启动程序，让您能够针对个别用例锁定 Android 设备，并自

定义受管 Android 设备的外观和行为。Workspace ONE Launcher 应用程序会将设备界面替换为满足您

业务需求的自定义界面。

您可以将 Android 6.0 Marshmallow 和更高版本设备配置为企业所有一次使用 (COSU) 模式。在 COSU 模式下，可以通过将支持的内部和公共应用程序加入白名单，将设备配置用于一次性用途，例如自助终端

模式。单应用模式、多应用模式以及模板模式下均支持 COSU 模式。有关在 COSU 模式下部署

Workspace ONE Launcher 配置文件的详细信息，请参阅 Workspace ONE Launcher 出版物。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 为配置文件配置常规设置。

这些设置决定配置文件的部署方式和接收对象。

3 选择启动程序配置文件。

4 选择应用模式：

设置 说明

单应用 选择此模式后，设备只能在适用于单应用的移动 Kiosk 视图下运行。

多应用 选择此模式后，设备只能运行有限的一组应用程序

模板 选择此设置后，可以用图像、文本和应用程序自定义设备主屏幕。

5 配置所选的应用模式。

6 单击保存将配置文件添加到 Workspace ONE UEM Console 或单击保存并发布添加配置文件，并将

其立即部署到适用的 Android 设备。

配置 Android 设备的防火墙规则

防火墙负载允许管理员为 Android 设备配置防火墙规则。每种防火墙规则类型都允许您添加多个规则。

在启用 OEM 设置，并且在“常规”配置文件设置中将选择 OEM 字段设置为 Samsung 后，此配置文件可

用。

注 防火墙负载仅适用于 SAFE 2.0+ 设备。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

仅当启用了 OEM 设置字段且从选择 OEM 字段中选择了“Samsung”时，防火墙配置文件才会面向

Android 配置文件显示。“常规”配置文件中的 OEM 设置字段仅适用于 Android 的配置文件，不适

用于 Android（旧版）配置。

2 选择设备以部署配置文件。

Android 平台

VMware, Inc. 76

3 配置常规配置文件设置。

“常规”设置决定配置文件的部署方式和接收对象。

4 选择防火墙配置文件。

5 选择所需规则下方的添加按钮，以配置设置：

设置 说明

允许规则 允许设备从特定网络位置发送和接收流量。

拒绝规则 阻止设备从特定网络位置发送和接收流量。

重新路由规则 将来自特定网络位置的流量重定向到备用网络。如果允许的网站重定向到其他

URL，请将所有已重定向的 URL 添加到“允许规则”部分，以便能访问该网站。

重定向例外规则 避免将流量重定向。

6 选择保存并发布。

配置 APN 配置文件 (Android)

配置 Android 设备的接入点名称 (APN) 设置，以统一设备群运营商设置和纠正错误的配置。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 选择设备，将您的配置文件部署到设备。

3 为配置文件配置常规设置。仅在 OEM 设置字段切换为已启用且从选择 OEM 字段中选择了

“Samsung”时，才会显示 APN 配置文件。

“常规”配置文件设置决定配置文件的部署方式和接收对象。

4 选择 APN 负载。

5 配置 APN 设置，包括：

设置 说明

显示名称 提供用户友好的接入名称。

访问点名称 （APN） 输入运营商提供的 APN（例如：come.moto.cellular）。

接入点类型 指定哪些类型的数据通信应使用此 APN 配置。

移动国家代码 (MCC) 输入 3 位数的国家代码。此值用于检查设备漫游时所属的运营商是否不同于在此处

输入的运营商。

它与移动网络代码 (MNC) 组合使用，能独一无二地标识使用 GSM（包括 GSM-R）、UMTS 和 LTE 移动网络的移动网络运营商。

移动网络代码 (MNC) 输入 3 位数的网络代码。此值用于检查设备漫游时所属的运营商是否不同于在此处

输入的运营商。它与移动国家代码 (MCC) 组合使用，能独一无二地标识使用 GSM（包括 GSM-R）、UMTS 和 LTE 移动网络的移动网络运营商。

MMS 服务器 (MMSC) 指定服务器地址。

Android 平台

VMware, Inc. 77

设置 说明

MMS 代理服务器 输入 MMS 端口号。

MMS 代理服务器端口 输入代理服务器的目标端口。

服务器 输入用于连接的名称或地址。

代理服务器 输入代理服务器详细信息。

代理服务器端口 输入所有流量的代理服务器端口。

接入点用户名 指定连接到接入点的用户名。

接入点密码 指定用于验证接入点的密码。

身份验证类型 选择身份验证协议。

设为首选 APN 启用后可确保所有 终用户设备都具有相同的 APN 设置，并可防止通过设备或运营

商进行任何更改。

6 选择保存并发布。

企业出厂重置保护 (Android)

出厂重置保护 (FRP) 是一种 Android 安全方法，可防止在未授权的出厂数据重置后使用设备。

启用后，在出厂重置后无法使用受保护的设备，直至您使用之前设置的相同 Google 帐户登录。

如果用户启用了 FRP，设备返还给组织后（例如，用户离开了公司），由于此设备功能，您可能无法再次

设置该设备。

企业出厂重置保护配置文件使用 Google 用户 ID，通过该 ID，您可以在出厂重置后覆盖 Google 帐户，以

将设备分配给其他用户。要获取此 Google 用户 ID，请访问 People:get。

为 Android 设备的出厂重置保护配置文件生成 Google 用户 ID

通过此 Google 用户 ID，您无需原始 Google 帐户即可重置设备。使用 People:get API 获取 Google 用户 ID 以配置配置文件。

此外，通过设备管理命令在设备上执行设备擦除时也可移除 FRP。有关设备管理的详细信息，请参阅设备

管理命令 (Android)。

步骤

1 导航到 People:get。

2 在尝试此 API 窗口中，配置以下设置。

设置 说明

resourceName 输入 people/me。

personFields 输入 metadata,emailAddresses

requestMask.includefield 将此字段留空。

凭证 同时启用 Google OAuth 2.0 和 API 密钥字段。

Android 平台

VMware, Inc. 78

3 选择执行。

4 如果出现提示，请登录您的 Google 帐户。这是在启用 FRP 时用于解锁设备的帐户。

5 选择允许以授予权限。

6 在 id 字段的 application/json 选项卡中查找 21 位数字。

7 返回 Workspace ONE UEM console，然后配置企业出厂重置保护配置文件。

后续步骤

在企业出厂重置保护配置文件中输入 Google 用户 ID。请参阅 为 Android 配置企业出厂重置保护配置文

件。

为 Android 配置企业出厂重置保护配置文件

您可以利用企业出厂重置保护配置文件，创建用于设置设备或完成重置的 Google 用户 ID。

此外，通过设备管理命令在设备上执行设备擦除时也可移除 FRP。有关设备管理的详细信息，请参阅设备

管理命令 (Android)。

开始之前，请从 People:get 网站获取您的 Google 用户 ID。请参阅 为 Android 设备的出厂重置保护配

置文件生成 Google 用户 ID。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 如果合适，配置常规配置文件设置。

3 选择企业出厂重置保护负载。

4 配置以下设置来设置您应用程序部署的控制级别：

设置 说明

Google 用户 ID 输入从 Google People:get 获取的 Google 用户 ID。

5 选择保存并发布。

配置 Zebra MX 配置文件 (Android)

通过 Zebra MX 配置文件，您可以在 Android 设备上使用 Zebra MX 服务应用程序提供的其他功能。

Zebra MX Service 应用可以从 Google Play 推送，也可以结合此配置文件从 Workspace ONE UEM console 中作为内部应用分发的 My Workspace ONE 进行推送。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 如果合适，配置常规配置文件设置。启用 OEM 设置字段，然后从选择 OEM 字段选择 Zebra 以启用

Zebra MX 配置文件。

Android 平台

VMware, Inc. 79

3 配置 Zebra MX 配置文件设置：

设置 说明

包括 Fusion 设置 启用后可扩展 Fusion 选项，以应用到适用于 Motorola 设备的 Fusion 适配器。

设置 Fusion 802.11d 启用后可使用 Fusion 802.11d 来配置 Fusion 802.11d 设置。

启用 802.11d 启用后可将 802.11d 无线规范用于其他管理域中的操作。

设置国家/地区代码 启用后可设置在 802.11d 规范中使用的国家/地区代码。

设置 RF 频段 启用后可选择 2.4 GHz 和/或 5 Ghz 频段，以及任何适用的通道掩码。

允许飞行模式 启用此选项以允许访问飞行模式设置屏幕。

允许模拟位置 启用或禁用模拟位置（在设置 > 开发者选项中）。

允许后台数据 启用或禁用后台数据。

睡眠期间保持 Wi-Fi 开启 永远开启 - 当设备进入睡眠状态时，Wi-Fi 保持连接。

仅当接通电源时 - 只有当设备正在充电时，Wi-Fi 才在设备进入睡眠状态时保持连

接。

从不开启 - 当设备进入睡眠状态时，Wi-Fi 断开连接。

漫游时使用数据流量 启用此选项以允许在漫游时使用数据连接。

强制 Wi-Fi 开启 启用此选项以强制开启 Wi-fi 网络，使用户无法将其关闭。

允许蓝牙 启用此选项以允许使用蓝牙。

允许剪贴板 启用此选项以允许复制/粘贴。

允许网络监控通知 启用此选项以允许网络监控报警通知，通常在安装证书后显示。

启用日期/时间设置 启用此选项以设置日期/时间设置：

n 日期格式：确定年、月和日的显示顺序。

n 时间格式：选择 12 小时或 24 小时。

n 日期/时间：设置设备从哪个数据源获取日期和时间设置：

n 自动根据本机设备设置来设置日期和时间。

n 服务器时间 – 根据 Workspace ONE UEM console 的服务器时间来设置

时间。

n 设置时区 – 指定时区。

n HTTP URL – Workspace ONE UEM Intelligent Hub 会访问 URL 并从

HTTP 标头中获取时间戳。然后，将该时间应用到设备。它不会处理重定向

的站点

n URL – 输入日期/时间表的网址。

n 必须包含 http://。示例：http://www.google.com

n 不支持 HTTPS

n 启用定期同步 – 启用后可将设备设置为在多天内定期检查日期/时间。

n 设置时区 – 指定时区。

n SNTP 服务器：- NTP 设置会直接应用于设备。

n URL –输入 NTP/SNTP 服务器的网址。例如，可以输入

time.nist.gov。

n 启用定期同步 – 启用后可将设备设置为在多天内定期检查日期/时间。

Android 平台

VMware, Inc. 80

设置 说明

启用声音设置 “启用声音设置”可在设备上配置音频设置。

n 音乐、视频、游戏及其他媒体：将滑块设置为您要在设备上锁定的音量大小。

n 铃声和通知：将滑块设置为您要在设备上锁定的音量。

n 语音通话：将滑块设置为您要在设备上锁定的音量。

n 启用默认通知：允许设备上的默认通知发出声音。

n 启用拨号盘按键音：允许设备上的拨号盘按键发出声音。

n 启用按键音：允许设备上的按键发出声音。

n 启用屏幕锁定声音：允许设备在被锁定时播放声音。

n 启用“触摸时振动”：允许激活振动设置。

n

启用显示设置 启用此选项以设置显示设置。

n 显示屏亮度：将滑块设置为您要在设备上锁定的亮度水平。

n 启用自动旋转屏幕：将滑块设置为您要在设备上锁定的亮度水平。

n 设置睡眠时间：选择在屏幕设置为睡眠模式之前经过的时间长度。

4 选择保存并发布。

使用自定义设置(Android)

在发布 Workspace ONE UEM console 当前无法通过其本机负载支持的新 Android 功能时，可以使用自

定义设置负载。使用自定义设置负载和 XML 代码手动启用或禁用某些设置。

请确保您的配置文件类型使用的是正确的特性类型：

n 对于 Android 配置文件，请使用特性类型 =“com.airwatch.android.androidwork.launcher”。

n 对于 Android（旧版）配置文件，请使用特性类型 =“com.airwatch.android.kiosk.settings”。

步骤

1 导航到资源 > 配置文件和基准 > 配置文件 > 添加 > 添加配置文件 > Android。

2 为配置文件配置常规设置。

3 配置适用的负载 (如“限制”或“密码”) 。

在准备“保存并发布”之前，您可以对某一“测试”组织组下保存的配置文件副本进行设置，以免影响

其他用户。

4 保存，但不发布配置文件。

5 为您要自定义的配置文件所在的行选择配置文件列表视图中的单选按钮。

6 选择顶部的 XML 按钮，查看配置文件 XML。

7 查找之前配置的以 <characteristic> ... <characteristic> 开头的文本部分，例如，限制或通行码。该

部分包含标识其用途 (例如“限制”) 的配置类型。

8 复制此文本部分，然后关闭 XML 视图。打开您的配置文件。

Android 平台

VMware, Inc. 81

9 选择自定义设置负载并单击配置。将您复制的 XML 粘贴到文本框内。粘贴的 XML 代码应包含从

<characteristic> 到 <characteristic> 的完整代码块。

n 此 XML 应包含为每个自定义 XML 列出的完整代码块。

n 管理员应根据需要配置从 <true /> 到 <false /> 的每个设置。

n 如果需要证书，请在配置文件中配置证书负载，并在“自定义设置”负载中引用 PayloadUUID。

10 选择基本负载部分，然后选择减号 [-] 按钮，来删除您配置的原始负载。您现在可以通过添加自定义

XML 代码来增强配置文件，从而增加新功能。

凡未升级到 新版本的设备均会忽略您所创建的增强功能。既然现在使用了自定义代码，仍应在使用旧

版的设备上测试该配置文件以验证预期行为。

11 选择保存并发布。

Android 平台

VMware, Inc. 82

共享设备 5Workspace ONE UEM powered by AirWatch 中的共享设备/多用户设备功能可确保为每个独特的 终

用户提供安全和身份验证。共享设备也可以仅允许特定的 终用户访问敏感信息。

在某些组织中，向每位员工发放设备可能会导致高昂的费用。Workspace ONE UEM powered by AirWatch 允许您以两种方式在多名 终用户之间共享一台移动设备：使用针对所有 终用户的单一固定配

置，或者使用针对单独 终用户的独特配置设置。

在管理共享设备的时候，您必须在将其部署给 终用户之前，先使用适用的设置和限制对设备进行预置。

部署之后，Workspace ONE UEM 将对共享设备应用简单的登录或注销流程，在此期间， 终用户只需输

入其目录服务或专用凭证即可登录。 终用户的角色决定其对企业资源（例如内容、功能和应用程序）的

访问权限级别。此角色可以确保用户登录后能够自动配置可用的功能和资源。

这种登录或注销功能属于 Workspace ONE Intelligent Hub 的自带功能。自带功能可确保注册状态永远不

受影响，并且无论设备是否正在使用，都在管理设备。

也可以在与 Apple 商务管理集成的 Apple iPad 上本地使用共享设备功能。此名为商用共享 iPad 功能利

用用户的受管 Apple ID 进行登录，而不会在 Workspace ONE Intelligent Hub 中进行登录和注销。要了

解有关使用 Apple 商务管理配置商用共享 iPad 的更多信息以及实现此功能的步骤，请参阅

docs.vmware.com 上提供的 Apple 商务管理指南简介中的商用共享 iPad 。

共享设备功能

围绕设备的功能性和安全性有一些跨多用户之间共享的基本功能。这些功能为共享设备作为一种经济高效

的解决方案使企业移动化发挥其 大作用提供了具有说服力的原因。

功能性

n 在无失企业设置的情况下，对每一位 终用户的体验进行个性化处理。

n 通过登录设备，可采用企业访问权限以及特定的设置、应用程序和基于 终用户角色和组织组 (OG) 的内容对设备进行配置。

n 允许登录/注销流程，这是 Workspace ONE Intelligent Hub 或 Workspace ONE Access 中的自带

功能。

n 终用户注销设备后，系统将擦除此会话的配置设置。然后，设备将可以由另一位 终用户进行登录。

VMware, Inc. 83

安全性

n 在向 终用户提供设备前使用共享设备设置对设备进行预置。

n 在不影响 Workspace ONE UEM 注册的条件下，登录和注销设备。

n 在登录期间使用目录服务或专用的 Workspace ONE UEM 凭证对 终用户进行身份验证。

n 使用 Workspace ONE Access 对 终用户进行身份验证。

n 即使设备尚未登录，也能够对设备进行管理。

支持共享设备的平台

以下设备支持共享设备/多用户设备功能。

n Android 4.3 或更高版本

n 具有 Workspace ONE Intelligent Hub 4.2 或更高版本的 iOS 设备。

n 有关 iOS 共享设备的登录与注销的详细信息，请参阅 docs.vmware.com 上提供的《iOS 平台指

南》中的主题 iOS 共享设备的登录与注销。

n 具有 Workspace ONE Intelligent Hub 2.1 或更高版本的 MacOS 设备。

本章讨论了以下主题：

n 配置 Android 以共享设备使用

n 配置共享设备

n 定义共享设备层次结构

n Android 共享设备的登录与注销

配置 Android 以共享设备使用

要在 Android 设备上使用共享设备功能，请使用 Workspace ONE Intelligent Hub 注册设备，并将

Workspace ONE Launcher 应用程序设置为默认的主屏幕，然后创建并分配 Launcher 配置文件。系统

会在注册期间自动下载 Workspace ONE Launcher，但您需要确定将哪个 Launcher 版本推送至设备。

步骤

1 导航到设备 > 设备设置 > Android > 服务应用程序。

2 配置适用设置：

设置 说明

始终使用 新版本的 Launcher 如果启用此设置，则在该应用的 新版本可用时，系统会自动将其推送到设备。

Launcher 版本 从下拉菜单中手动选择要部署的版本。

3 选择保存。

Android 平台

VMware, Inc. 84

4 导航到设备 > 配置文件与资源 > 配置文件 > 添加 > 添加配置文件 > Android > Launcher，然后在每

个子组织组配置 Launcher 配置文件。此配置文件应该包含该组织组通用的所有必要设置。

重要事项 确保在从设备设置中删除 Launcher 配置文件时启用持久管理密码，因为这将确保预备用户

和共享设备用户无法在未输入管理密码的情况下退出 Launcher。

不要将 Launcher 配置文件分配给注册预备用户。

5 使用预备用户将设备注册到注册组织组。默认情况下，Launcher .apk 将安装并显示登录屏幕。

注 在将 Launcher 配置文件作为“共享设备”设置的一部分推送之前，需要安装 Launcher .apk。

6 输入共享设备用户组 ID、名称和密码进行登录，将设备分配给共享设备用户和适当的子组织组。

Launcher 配置文件将应用至设备，控制台将反映登录到设备的用户。

重要事项 如果您在共享设备设置的“组组织组”分配模式中选择提示输入组织组，则仅输入组织组

ID。

7 注销设备上的 Launcher 配置文件。这会将设备重新分配给预备用户，将设备移回原始注册组织组，

并删除 Launcher 配置文件。

配置共享设备

与单用户设备注册预备一样，多用户注册预备（“共享设备”）允许 IT 管理员对旨在供多个用户使用的设

备进行预置。

步骤

1 导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 共享设备。

Android 平台

VMware, Inc. 85

2 选择覆盖，完成分组部分。

设置 说明

组分配模式 使用三种方式中的一种方式对设备进行配置：

n 选择提示用户输入组织组以使用户登录时输入一个组织组的组 ID。

使用这种方法之后，您就掌握了访问输入的组织组的设置、应用程序和内容的灵活性。通过使用

这种方式， 终用户将不会被限制于仅可以访问属于其注册组织组的设置、应用程序和内容。

n 选择固定组织组，将受管设备限定在适用于单一组织组的设置和内容。

登录设备的每一位 终用户都可以访问相同的设置、应用程序和内容。例如，这种方法会让员工

为核查库存等类似目的而使用共享设备的零售用例受益匪浅。

n 选择用户组组织组以启用基于用户组和组织组跨层级的功能。

当 终用户登录设备后，他们可以根据其在该层次结构中所分配的角色，访问特定的设置、应用

程序和内容。例如， 终用户是“销售”用户组的成员，而该用户组被映射到“标准访问”组织

组。在该 终用户登录设备时，会使用“标准访问”组织组可用的设置、应用程序和内容来配置

设备。

您可以在 UEM Console 上将用户组映射到组织组。导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 注册。选择 分组 标签页，填写要求的详细信息。

始终提示接受“使用条

款”

在 终用户登录设备前提示他们接受 使用条款 协议。

3 视情况完成安全性部分。

设置 说明

需要共享设备密码 （仅限 iOS 设备）需要用户在自助门户中创建共享设备密码，以签出设备。此密码应与单点登录密码

或设备级密码有所区别。

需要使用特殊字符 要求在共享设备密码中使用特殊字符，其中包括 @、%、& 等字符。

共享设备密码长度上限 设置共享密码的 低字符长度。

共享设备密码过期时间

（天数）

设置共享密码过期的时间长度（天数）。

保留共享设备密码的时

间下限（天数）

设置 短多少天后必须更改共享设备密码。

密码历史记录 设置系统记住的密码数，这可以防止用户重复使用旧密码，从而提供更安全的环境。

自动注销 配置在特定时间段后自动注销。

多长时间后自动注销 设置自动注销功能激活前必须经过的时间长度，以分钟、小时或天为单位。

iOS 单应用模式 选中此复选框可配置单应用模式，该模式会在 终用户登录设备时限制设备只能运行一个应用程序。

若要在单应用模式中签出 iOS 设备， 终用户要使用他们的凭证登录。当设备再次签入时，它会返回

至单应用模式。

启用单应用模式也会禁用设备上的 Home 键。

注 “单应用模式”仅适用于受监督的 iOS 设备。

Android 平台

VMware, Inc. 86

4 配置注销设置（如果适用）。

设置 说明

清除 Android 应用数据 在用户注销共享设备（签入该设备）时清除应用数据。

重新安装 Android 应用 使用下拉菜单选择是始终在用户之间重新安装应用，还是从不在用户之间重新安装应用。对于

Android（旧版））部署，如果 Hub 无法清除用户之间的应用数据，您可以选择重新安装应用。

清除 Android 设备密码 此设置用来控制用户注销（签入）多用户共享设备时是否要清除当前 Android 设备密码。

启动时允许 PIN 启用或禁用 Android 安全启动，其需要使用初始 PIN 条目引导设备。如果禁用，则用户无法在密码

设置过程中启用“安全启动”。如果设备上已禁用“安全启动”，则设备必须进行出厂重置才能将其

启用。此功能仅适用于不具有基于文件的加密的 Android 设备。

清除 iOS 设备密码 此设置用来控制用户注销（签入）多用户共享设备时是否要清除当前 iOS 设备密码。

5 选择保存。

后续步骤

如需了解为单用户和多用户设备注册预备置备设备的详细信息，请参阅主题单用户设备注册预备和多用户

设备注册预备。

定义共享设备层次结构

虽然完全是可选的，但由于多租户和继承的设备设置，通过使组织组 (OG) 特定于共享设备可提供许多优

势。

如果您的设备库中有大量共享设备，并且您希望除单个用户设备之外还管理这些设备，则可以创建特定于

共享设备的 OG。可根据需要在 OG 结构中创建共享设备层次结构。智能组和用户组等功能意味着您不必

严格依赖 OG 层次结构设计来简化设备管理。

但是，具有共享设备 OG（或嵌套 OG）后，您可以通过配置文件、策略和设备继承来标准化设备功能，而

无需应对智能组或用户组所需的处理开销，从而简化了设备管理。

步骤

1 导航到组与设置 > 组 > 组织组 > 组织组详细信息。

在这里，可以看到代表您公司的 OG。

2 确保所显示的组织组详细信息准确无误，然后使用所提供的设置进行必要的修改。如果您作了更改，请

选择保存。

3 选择添加子组织组。

Android 平台

VMware, Inc. 87

4 为顶级 OG 下面的第一个 OG 输入以下信息。

设置 说明

名称 输入要显示的子组织组 (OG) 的名称。仅使用字母数字字符。请勿使用奇数个字符。

组 ID 输入组织组的识别符，供 终用户在设备登录期间使用。组 ID 用于在注册时将设备划归到相应的组

织组。

确保共享设备的用户收到组 ID，因为根据“共享设备”配置，设备可能需要此 ID 才能登录。

如果您不是在内部部署环境内，组 ID 可用于在整个共享 SaaS 环境中识别您的组织组。因此，所有

组 Id 的名称都必须是唯一的。

类型 选择预先配置的组织组类型，该类型要反映子组织组的类别。

国家/地区 选择组织组所在的国家/地区。

区域设置 选择所选国家/地区的语言分类。

客户行业 此设置仅在类型为“客户”时才可用。从“客户行业”列表中选择行业。

时区 选择组织组所在位置的时区。

5 通过以相同方式创建更多组群和子组来构建您所在企业的分级结构。

a 如果您要配置一个固定的组织组，则确保您将创建单一组织组，以便 终用户用来登录或注销。

b 如果您配置了提示用户输入组织组，则确保您已创建了多个组织组，以便 终用户用来登录或注销

角色。详情请参阅配置共享设备。

6 选择保存。

Android 共享设备的登录与注销

要在 Android 设备上使用共享设备功能，请使用 Workspace ONE Intelligent Hub 注册设备，并将

VMware Workspace ONE Launcher 设置为默认主屏幕。在注册过程中，将自动下载 Workspace ONE Launcher。

应用程序安装完毕并设置为默认主屏幕后，设备将处于已签入状态。在此状态下， 终用户无法离开此页

面，而且设备会提示用户签出。要移除配置文件并使整个设备重新变得可访问，请通过 Workspace ONE UEM console 在注册预备用户设备上执行企业擦除。

步骤

1 在 Workspace ONE Launcher 登录页面中，用户必须输入其组 ID、用户名和密码。如果在控制台上

启用了提示用户输入组织组，则 终用户需要输入组 ID 才能登录设备。

2 选择登录并接受使用条款（如果适用）。

设备即被配置。登录后，用户配置文件将根据智能组和用户组关联进行推送。

后续步骤

要注销 Android 设备，请选择 Launcher 设置，然后选择注销（门图标）。

Android 平台

VMware, Inc. 88

使用 Workspace ONE UEM 进行的 Android 设备管理 6注册和配置设备后，使用 Workspace ONE UEM console 管理设备。管理工具和功能允许您监控设备和

远程执行管理功能。

您可以从 UEM Console 管理您的所有设备。仪表板是一个可以用来筛选和查找特定设备的可搜索、可定

制化视图。利用此功能，可以更轻松地对一组特定的设备执行管理功能。设备列表视图显示当前在您的

Workspace ONE UEM 环境中注册的所有设备及其状态。您可以筛选特定于 Android 的列表视图，并查

看如何快速管理设备。

有关筛选列表视图的信息，请参阅“管理设备”出版物中的在列表视图中筛选设备。

设备详细信息页面提供设备的特定信息，例如配置文件、应用、Workspace ONE Intelligent Hub 版本和

设备上当前安装的任何适用 OEM 服务的版本。您还可以通过“设备详细信息”页面在设备上执行特定于

平台的远程操作。

本章讨论了以下主题：

n 设备管理命令 (Android)

n “设备详细信息应用”标签页

n 使用 Workspace ONE UEM 进行 Android 系统更新

n SafetyNet Attestation

n 适用于 Android 的特定配置文件功能

n 适用于 Android 的特定限制

设备管理命令 (Android)

您可以执行一次命令设备，包括锁定和擦除设备，以及从 Workspace ONE UEM console 更改密码。这

些命令的应用取决于设备的注册类型。

此视图中可用的命令如下：

n 锁定设备 - 锁定所有选定设备并强制用户重新输入设备安全 PIN 码。此选项适用于工作配置文件和工

作受管设备。

n 设备擦除 - 从选定设备擦除所有数据（包括所有数据、电子邮件、配置文件和 MDM 功能），并恢复

设备出厂默认设置。此设置仅适用于工作受管设备类型。如果启用了“企业出厂重置保护”，您会看到

一个提示，允许您在进行擦除之前禁用“企业出厂重置保护”。

VMware, Inc. 89

n 清除密码 -

n 选择设备以清除设备密码。此命令不可用于工作配置文件。

n 选择清除工作密码以移除设备上的工作安全质询。适用于 Android 8.0 或更高版本。

n 用户将多次收到提示输入密码的警示，但不会阻止其在设备上执行任何其他功能。您可以配置合规

策略或使用适用于 Android 的 Workspace ONE Intelligent Hub 中的设置来创建并强制将密码重

新添加到设备。

n 管理

n 选择更改设备密码以更改设备的密码。此命令不可用于工作配置文件。

n 选择重新引导设备以远程重新启动设备。此命令在工作配置文件模式下不受支持。

n 选择重置工作密码以更改工作配置文件的密码。

“设备详细信息应用”标签页

Workspace ONE UEM console 中的设备详细信息应用标签页包含按设备控制公共应用程序的选项。您可

以根据注册类型和隐私配置查看已在 UEM console 和个人应用中分配的应用。

管理员可以查看应用程序的相关信息，包括安装状态、应用程序类型、应用程序版本和应用程序标识符。

通过“操作”菜单中的安装选项，您可以从列表视图中选择分配的应用并直接推送到设备。操作菜单中的

移除选项能够以静默方式卸载应用程序。

工作配置文件注册仅显示由管理员分配的应用，不会显示用户安装的个人应用程序。工作受管注册会显示

所有应用程序，因为 Workspace ONE UEM 可以完全控制设备，并且没有个人应用程序的概念。对于

COPE 注册，“设备详细信息应用”标签页显示受管应用程序，其中包括默认情况下在个人端安装的内部

应用程序。

Workspace ONE UEM console 不会显示用户无法启动的应用。UEM console 将报告具有用户可以单击

并打开的 Launcher 图标的应用的状态。因此，“设备详细信息”中不会显示后台应用或服务应用程序。

请求设备日志

通过“请求设备日志”命令，您可以从企业拥有的设备中检索 Workspace ONE Intelligent Hub 或详细的

系统日志，并在控制台中查看这些日志，以快速解决设备上出现的任何问题。在“请求设备日志”对话框

中，您可以为 Android 设备自定义日志记录请求。

步骤

1 导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 隐私，并在隐私设置中启用“请求设备日志”。

由于隐私问题，不允许选择员工拥有的设备

2 导航到设备 > 列表视图 > 从列表中选择设备 > 更多操作 > 请求设备日志。

Android 平台

VMware, Inc. 90

3 自定义日志设置：

设置 说明

源 选择 Hub 以收集 Workspace ONE Intelligent Hub 生成的日志。

选择系统以包含设备上的所有应用程序和事件。基于您的隐私设置提供系统服务，

并且仅限于具有特定平台服务应用程序的设备制造商。

注 在运行 Platform OEM Service v3.3+、MSI Service v1.3+ 和 Honewell Service v3.0+ 的设备上可用。

选择网络可在指定的持续时间内将来自应用的 DNS 请求和网络连接记录到日志文

件。

注 在运行 Android 8 或更高版本的工作受管设备上可用。

注 必须在“隐私设置”中启用“收集公共 IP 地址”。

类型 选择快照可检索设备中可用的 新日志记录。

选择计时可收集指定时间段内的连续日志。多个日志文件可能会发送到 UEM console。

选择“网络”时，“级别”选项将不可用

持续时间 指定设备收集日志并将其报告给控制台的持续时间。

级别 确定日志中包含的详细信息级别（错误、警告、信息、调试、详细）。

4 选择保存。

5 要查看日志文件，请导航到设备详细信息 > 更多 > 附件 > 文档。

6 您可在收到日志后取消设备日志请求，并且不再需要收集日志。导航到设备 > 列表视图 > 从列表中选

择设备 > 更多操作 > 取消设备日志以取消设备日志请求。

使用 Workspace ONE UEM 进行 Android 系统更新

您可以使用 Workspace ONE UEM 查看和推送适用于 Android 设备的更新。这有助于您在将固件更新推

送到设备库之前执行测试，以解决任何兼容性问题并监控设备的可用更新。“Android 更新”控制台页面

列出了适用于 Android 设备的所有固件更新。

这些更新按发布日期和详细信息列出，其中包括有关特定 OEM、型号和运营商的信息。每个型号/运营商

组合是不同的固件更新。例如，对于 T-Mobile 版 Samsung Galaxy S7 以及 Sprint 版 Samsung Galaxy S7，您可能会看到相应的单独更新。该列表可按 OEM 和运营商进行排序。

对于 Samsung 设备，您必须注册 Samsung E-FOTA 许可证才能获取更新。功能在注册后才可用。

Samsung Enterprise 无线固件 (EFOTA) 更新

利用 Samsung Enterprise 无线固件 (EFOTA)，您可以在运行 Android 7.0 Nougat 或更高版本的

Samsung 设备上管理和限制固件更新。

Samsung EFOTA 流程涉及注册您的许可经销商提供的 EFOTA 设置，在 Android 限制配置文件中启用

“注册 Enterprise FOTA”，查看并选择要推送到设备的适用更新。

Android 平台

VMware, Inc. 91

Samsung EFOTA 只能在客户级组织组进行配置，因此在该组织组下注册的所有设备都会收到更新。在将

更新推送到所有设备之前，请考虑创建一个单独的组织组对更新进行测试。

注册 Samsung Enterprise 无线固件更新

使用“设备和用户系统设置”页面输入 Samsung 或您的许可经销商提供的 EFOTA 设置。

步骤

1 导航到设备 > 设备设置 > 设备与用户 > Android > Samsung Enterprise FOTA

2 输入以下设置：

设置 说明

客户 ID 输入您的许可经销商提供的 ID。

许可证 输入您的许可经销商提供的许可证。

客户端 ID 输入您的许可经销商提供的客户端 ID。

客户端密钥 输入您的许可经销商提供的客户端密钥。

3 选择保存。

配置限制配置文件 (Samsung EFOTA)

限制配置文件会锁定 Android 设备的本机功能，并且因 OEM 而异。启用“注册 Enterprise FOTA”限制

会将分配的设备锁定为其当前固件版本。

只有从“OEM 设置”字段中选择 Samsung 时，“限制”配置文件中的此字段才可用。

步骤

1 导航到设备 > 配置文件与资源 > 配置文件 > 添加 > 添加配置文件 > Android > 限制。

2 选择配置

3 启用注册 Enterprise FOTA。

必须启用允许 OTA 升级，否则无法进行固件更新。

4 选择保存并发布。

发布固件更新 (Android)

“Android 更新”控制台页面列出了适用于 Android 设备的所有固件更新，还能让您查看特定固件版本并

选择提示用户安装更新。

步骤

1 导航到设备设备更新。

2 查看并选择所需更新旁边的单选按钮。

3 选择管理更新。

Android 平台

VMware, Inc. 92

4 配置设置：

设置 说明

安装方法 选择自动安装以选择计划更新的时间范围。选择按需安装，系统会提示用户在其设

备上安装固件更新之前接受固件更新。

部署开始 计划更新的开始日期和时间。

可以提前不超过 30 天计划更新， 长更新时间范围为 7 天。在此时间范围内，更

新将按服务器时区每 4 小时发布到设备。

部署结束 计划更新的结束日期和时间。

服务器时区 此字段为只读字段，是从服务器生成的。

网络 选择是在设备连接到仅限 Wi-Fi 还是任何网络连接时部署更新。

5 选择发布。“管理更新”窗口将关闭，UEM Console 将返回到“更新”页面。

a 如果出于某种原因需要取消或更改更新，请选择所需的更新，然后从“管理更新”窗口中选择取消

计划。

由于更新已批量分配到设备组，因此无法撤消以前更新的设备。

SafetyNet Attestation

SafetyNet Attestation 是一种 Google API，用于验证设备的完整性，确保设备未被破解。

SafetyNet 可验证设备上的软件和硬件信息，并创建该设备的配置文件。此认证有助于确定特定设备是否

遭到篡改或修改。当 Workspace ONE UEM Console 运行 SafetyNet Attestation API 并报告设备已被

破解时，UEM Console“设备详细信息”页面会将设备报告为被破解。如果 SafetyNet Attestation 检测

到设备遭到破坏，则恢复设备被破坏状态的唯一方法是重新注册受影响的设备。

请务必注意，SafetyNet Attestation 在 初报告后不会重新评估破解状态。

仅 Workspace ONE Intelligent Hub 支持 SafetyNet Attestation。

有关更多信息，请参阅启用 SafetyNet Attestation。

启用 SafetyNet Attestation

在 UEM Console 中启用 SafetyNet Attestation API，以验证设备的完整性并确定设备是否已被破解。

步骤

1 导航到组与设置 > 所有设置 > 应用 > 设置和策略 > 设置 > 自定义设置。

2 将以下自定义 XML 粘贴到“自定义设置”字段中：{ "SafetyNetEnabled":true }

3 保存自定义 XML。

4 在 UEM Console 设备详细信息页面的“摘要”标签页中验证 SafetyNet。如果看不到 SafetyNet Attestation 的状态，则可以发送远程命令以重新启动设备。

有关设备命令的详细信息，请参阅 第 6 章 使用 Workspace ONE UEM 进行的 Android 设备管理

Android 平台

VMware, Inc. 93

适用于 Android 的特定配置文件功能

这些功能矩阵有代表性地概述了 OS 特定的关键功能，其中重点介绍了适用于 Android 设备管理的 重要

功能。

功能 工作配置文件

工作受管

设备

应用程序控制

禁用对黑名单应用的访问 ✓ ✓

禁止卸载必要应用程序 ✓ ✓

启用系统更新策略 ✓

运行时权限管理 ✓ ✓

浏览器

允许 Cookie ✓ ✓

允许图像 ✓ ✓

启用 JavaScript ✓ ✓

允许弹出窗口 ✓ ✓

允许跟踪位置 ✓ ✓

配置代理设置 ✓ ✓

强制使用 Google SafeSearch ✓ ✓

强制使用 Youtube 安全模式 ✓ ✓

启用触碰式搜索 ✓ ✓

启用默认搜索提供商 ✓ ✓

启用密码管理器 ✓ ✓

启用备用错误页面 ✓ ✓

启用自动填充 ✓ ✓

启用打印 ✓ ✓

启用数据压缩代理功能 ✓ ✓

启用安全浏览 ✓ ✓

禁用保存浏览器历史记录 ✓ ✓

出现安全浏览警告后禁止继续进行 ✓ ✓

禁用 SPDY 协议 ✓ ✓

启用网络预测 ✓ ✓

在有限时间内启用已被弃用的 Web 平台功能 ✓ ✓

强制安全搜索 ✓ ✓

隐身模式可用性 ✓ ✓

允许登录 Chromium ✓ ✓

启用搜索建议 ✓ ✓

Android 平台

VMware, Inc. 94

功能 工作配置文件

工作受管

设备

启用翻译功能 ✓ ✓

允许使用书签 ✓ ✓

允许访问某些 URL ✓ ✓

阻止访问某些 URL ✓ ✓

设置 低 SSL 版本 ✓ ✓

密码策略

允许用户设置新密码 ✓ ✓

密码失败尝试次数上限 ✓ ✓

允许简单密码 ✓ ✓

允许字母数字密码 ✓ ✓

设置设备锁定超时 (分钟) ✓ ✓

设置 长密码使用期限 ✓ ✓

密码历史记录长度 ✓ ✓

密码历史记录长度 ✓ ✓

设置密码长度下限 ✓ ✓

设置数字位数下限 ✓ ✓

设置小写字母数下限 ✓ ✓

设置大写字母数下限 ✓ ✓

设置大写字母数下限 ✓ ✓

设置特殊字符数下限 ✓ ✓

设置符号数下限 ✓ ✓

命令

允许企业擦除 ✓ ✓

允许设备擦除 ✓

允许容器或配置文件擦除 ✓

允许 SD 卡擦除 ✓

锁定设备 ✓ ✓

允许锁定容器或配置文件

电子邮件

本机电子邮件配置 ✓ ✓

允许联系人和日历同步 ✓ ✓

网络

配置 VPN 类型 ✓ ✓

启用每应用 VPN（仅适用于特定的 VPN 客户端） ✓ ✓

Android 平台

VMware, Inc. 95

功能 工作配置文件

工作受管

设备

使用 Web 登录进行身份验证（仅适用于特定的 VPN 客户端） ✓ ✓

设置 HTTP 全局代理 ✓ ✓

允许 Wi-Fi 数据连接 ✓ ✓

始终使用 VPN ✓ ✓

加密

要求设备完全加密 ✓ ✓

报告加密状态

适用于 Android 的特定限制

此矩阵有代表性地概述了各种设备所有权类型的限制配置文件配置。

功能 工作受管设备模式 工作配置文件模式

设备功能

允许恢复出厂设置 ✓ ✓

允许屏幕捕获 ✓ ✓

允许添加 Google 帐户 ✓ ✓

允许删除 Android 工作帐户 ✓

允许拨出电话 ✓

允许发送/接收短信 ✓

允许凭证变更 ✓

允许所有键盘锁功能 ✓

允许键盘锁相机 ✓

允许键盘锁通知 ✓

允许键盘锁指纹传感器 ✓ ✓

允许键盘锁信任 Hub 状态 ✓ ✓

允许键盘锁未编辑的通知 ✓

使用 AC 充电器时，强制开启屏幕 (Android 6.0+) ✓

使用 USB 充电器时，强制开启屏幕 (Android 6.0+) ✓

使用无线充电器时，强制开启屏幕 (Android 6.0+) ✓

允许更换墙纸 (Android 7.0+) ✓

允许状态栏 ✓

允许键盘锁 (Android 6.0+) ✓

允许添加用户

允许移除用户

Android 平台

VMware, Inc. 96

功能 工作受管设备模式 工作配置文件模式

允许安全启动 (Android 6.0+) ✓

允许更换墙纸 (Android 7.0+)

允许更换用户图标 (Android 7.0+) ✓ ✓

允许添加/删除帐户 ✓ ✓

防止系统 UI (Toast、活动、警示、错误、叠加) ✓

应用程序

允许摄像头 ✓ ✓

允许 Google Play ✓ ✓

允许 Chrome 浏览器 ✓

允许安装非市场应用 ✓ ✓

允许在设置中修改应用程序 ✓

允许安装应用程序 ✓ ✓

允许卸载应用程序 ✓ ✓

允许禁用应用程序验证 ✓ ✓

跳过用户教程和介绍性提示 ✓ ✓

允许白名单可访问性服务 ✓

同步和存储

允许 USB 调试 ✓

允许 USB 大容量存储**** ✓

允许装载物理存储媒体 ✓

允许 USB 文件传输 ✓

允许备份服务 (Android 8.0+)****

网络

允许更改 Wi-Fi ✓

允许蓝牙配对 ✓

允许蓝牙 (Android 8.0+) ✓

允许蓝牙联系人共享 (Android 8.0+)***** ✓

允许传出蓝牙连接***** ✓ ✓

允许所有数据共享 ✓

允许 VPN 变更 ✓

允许移动网络变更 ✓

允许近场通信 (NFC) ✓

允许管理式 Wi-Fi 配置文件变更 (Android 6.0+) ✓

工作与个人

允许在工作和个人应用之间粘贴剪贴板 ✓

Android 平台

VMware, Inc. 97

功能 工作受管设备模式 工作配置文件模式

允许工作应用访问来自个人应用的文档 ✓

允许个人应用访问来自工作应用的文档 ✓

允许个人应用与工作应用共享文档 西

允许工作应用与个人应用共享文档

允许工作联系人的来电显示信息在电话拨号程序中显示 ✓

允许将工作小组件添加到个人主屏 ✓

允许在个人联系人应用中保存工作联系人 (Android 7.0+)

定位服务

仅适用于受管设备。

不允许位置访问 ✓ ✓

允许位置访问 ✓ ✓

仅允许 GPS 定位 ✓ ✓

仅允许电池节能位置更新 ✓ ✓

仅允许高精度定位 ✓ ✓

Samsung Knox

仅在 OEM 设置字段切换为启用且从选择 OEM 字段中选择了“Samsung”时，Samsung Knox 设置才会显示。

设备功能

允许飞行模式 ✓

允许麦克风 ✓

允许模拟位置 ✓

允许剪贴板 ✓

允许关闭电源 ✓

允许 HOME 键 ✓

如允许麦克风，则允许音频录音 ✓

如允许照相机，则允许视频录像 ✓

允许移除电子邮件账户 ✓

当处于空闲状态时允许终止活动 ✓

允许用户设置后台进程限制 ✓

允许耳机 ✓

同步和存储

允许 SD 卡移动 ✓

允许通过空中下载升级 ✓

允许 Google 帐户自动同步 ✓

允许 SD 卡写入 ✓

允许 USB 托管存储 ✓

Android 平台

VMware, Inc. 98

功能 工作受管设备模式 工作配置文件模式

应用程序

允许设置更改 ✓

允许开发者选项 ✓

允许后台数据 ✓

允许语音拨号程序 ✓

允许 Google 故障报告 ✓

允许 S Beam ✓

允许提示凭证 ✓

允许 S Voice ✓

允许用户停止系统签名的应用程序 ✓

蓝牙

允许通过蓝牙建立桌面连接 ✓

允许蓝牙数据传输 ✓

允许通过蓝牙拨出电话 ✓

允许蓝牙可发现模式 ✓

启用蓝牙安全模式 ✓

网络

允许 Wi-Fi ✓

允许 Wi-Fi 配置文件 ✓

允许不安全 Wi-Fi ✓

仅允许使用安全 VPN 连接 ✓

允许 VPN ✓

允许自动连接 Wi-Fi ✓

允许蜂窝数据 ✓

允许 Wi-Fi Direct ✓

正在漫游

允许漫游时自动同步 ✓

漫游被禁用时允许自动同步 ✓

允许语音通话漫游 ✓

漫游时使用数据流量 ✓

允许漫游时推送消息 ✓

手机和数据

允许非紧急呼叫 ✓

允许用户设置移动数据限额 ✓

允许 WAP 推送 ✓

Android 平台

VMware, Inc. 99

功能 工作受管设备模式 工作配置文件模式

硬件限制

允许菜单键 ✓

允许后退键 ✓

允许搜索键 ✓

允许任务管理器 ✓

允许系统栏 ✓

允许音量键 ✓

安全性

允许锁屏设置 ✓

允许固件恢复 ✓

数据共享

允许 USB 数据共享 ✓

MMS 限制

允许入站 MMS ✓

允许出站 MMS ✓

其他

设置设备字体 ✓

设置设备字号 ✓

允许用户停止系统签名的应用程序 ✓

仅允许使用安全 VPN 连接 ✓

Android 平台

VMware, Inc. 100