配置管理政策

Managed configurations设备策略控制各种应用程序配置选项和应用程序限制。您可以为每个想要控制的Android Enterprise应用程序创建此策略。

这个策略也适用于Android for Workspace(预览)设备。

应用程序开发者定义应用程序可用的选项和工具提示。如果工具提示提到使用“模板值”，则使用相应的Endpoint Management宏。有关更多信息，请参见远程配置概述（在Android开发者网站上）和宏．

应用程序配置设置可以包括以下项目：

• 电子邮件应用程序设置
• 允许或阻止web浏览器的URL
• 通过手机连接或仅通过Wi-Fi连接控制应用程序内容同步的选项

有关您的应用程序出现的设置的信息，请联系应用程序开发人员。

先决条件

• 在Google上完成Android Enterprise安装任务，并将Android Enterprise连接到托管的Google Play。有关详细信息，请参阅Android的企业．
• 将Android企业应用程序添加到端点管理。有关详细信息，请参阅向端点管理添加应用程序．

如果需要添加或配置该策略，请执行配置>设备策略. 有关详细信息，请参阅设备策略．

每应用VPN的要求

要为AE创建每应用VPN，除了配置托管配置设备策略外，您还需要执行额外的步骤。此外，您必须验证是否满足以下先决条件：

• 本地Citrix网关
• 设备上安装了以下应用程序:
  • Citrix SSO
  • Citrix安全中心

为AE设备配置每个应用的VPN的通用流程如下:

1. 按照本文所述配置VPN配置文件。

2. 配置Citrix ADC以接受来自每个应用程序VPN的流量。有关详细信息,请参见Citrix网关上的完整VPN设置．

Android企业设置

选择添加托管配置设备策略后，会出现选择应用程序的提示。如果没有Android企业应用程序添加到端点管理，您不能继续。

选择应用程序后，再配置策略设置。这些设置是针对每个应用程序的。

为Android Enterprise配置VPN配置文件

通过Citrix单点登录应用和Android企业管理的配置设备策略，使VPN配置文件对Android企业设备可用。

首先将Citrix SSO作为谷歌Play store应用程序添加到端点管理控制台。参见添加一个公共应用程序商店应用程序．

观看此视频了解更多信息：

创建Android企业管理配置Citrix单点登录

配置Citrix单点登录的管理配置设备策略，用于创建VPN模板。安装了Citrix SSO应用程序并部署了策略的设备可以访问您创建的VPN配置文件。

终端管理在以下情况下使用设备密钥库中的用户证书:

• “Citrix Gateway”配置为证书认证。
• 交付用户证书进行认证在端点管理页面中启用设置>Citrix网关．

您需要您的Citrix网关FQDN和端口。

1. 在端点管理控制台中，单击配置>设备策略点击添加．

2. 选择Android的企业点击托管配置．

3. 当选择应用程序ID窗口出现，请选择Citrix SSO从列表中单击好啊．

4. 键入Citrix SSO VPN配置的名称和说明。点击下一个．

5. 配置VPN模板参数。

   • VPN配置文件名称：为VPN配置文件输入名称。如果您正在创建多个VPN配置文件，请为每个配置文件使用唯一的名称。如果您没有提供名称，您输入的地址服务器地址字段用作VPN配置文件名称。

   • 服务器地址（*）：键入Citrix网关FQDN。如果Citrix网关端口不是443，请同时键入端口。使用URL格式。例如https://gateway.mycompany.com:8443．

   • 用户名（可选）：提供最终用户用于向Citrix网关进行身份验证的用户名。您可以在此字段中使用端点管理宏{user.username}。（见宏．)如果不提供用户名，则会提示用户在连接Citrix Gateway时提供用户名。

   • 密码（可选）：提供最终用户用于向Citrix网关进行身份验证的密码。如果您不提供密码，则在连接到Citrix网关时会提示用户提供密码。

   • 证书别名（可选）：输入证书别名。证书别名使应用程序更容易访问证书。当与凭据设备策略使用相同的证书别名时，应用程序将检索证书并对VPN进行认证，用户无需进行任何操作。

   • Per-App VPN类型(可选):如果您使用每应用VPN限制哪些应用使用此VPN，则可以配置此设置。如果选择允许，中列出的应用程序包名称的网络流量PerAppVPN应用程序列表通过VPN路由。所有其他应用的网络流量路由到VPN外部。如果选择不允许，中列出的应用程序包名称的网络流量PerAppVPN应用程序列表路由到VPN外。其他所有应用的网络流量都通过VPN路由。默认是允许．

   • PerAppVPN应用列表:VPN中允许或禁止流量的应用列表，由值决定每应用VPN类型. 列出以逗号或分号分隔的应用程序包名称。应用程序包名称区分大小写，必须与Google Play商店中的名称完全相同。此列表是可选的。将此列表保留为空，以便配置设备范围的VPN。

   • 默认VPN配置文件：输入用户在Citrix SSO应用中点击连接开关时要使用的VPN配置文件名称，而不是具体的配置文件。如果该字段为空，则主概要文件用于连接。如果只配置了一个配置文件，则该配置文件被标记为默认配置文件。对于always-on VPN，该字段必须设置为用于建立always-on VPN的VPN配置文件的名称。

   • 禁用用户配置文件：如果此设置处于启用状态，则用户无法在其设备上创建自己的VPN。如果此设置处于禁用状态，则用户可以在其设备上创建自己的VPN。默认设置为禁用。

   • 阻止不受信任的服务器:在以下任一情况下，此设置处于禁用状态：

     • 当您为Citrix Gateway使用自签名证书时
     • 当颁发Citrix Gateway证书的CA的根证书不在系统CA列表中时。

     如果设置为“开”，则表示Android操作系统验证“Citrix Gateway”证书。如果验证失败，则不允许连接。默认值为“开启”。

6. （可选）创建自定义参数。自定义参数XenMobileDeviceId和UserAgent都受支持。2 .选中当前VPN配置，单击添加．

   1. 创建自定义参数：

      • 参数名称：类型XenMobileDeviceId。此字段是用于基于Endpoint Management中的设备注册进行网络访问检查的设备ID。如果Endpoint Management注册并管理该设备，则允许VPN连接。否则，在VPN建立时拒绝身份验证。

      • 参数值:对于端点管理来说，要确定设备的注册和管理状态，XenMobileDeviceID的值设置为DeviceID_ $ {device.id}．

   1. 要创建另一个自定义参数，请单击添加再次。创建此自定义参数。

      • 参数名称：类型UserAgent．这个文本被附加到User-Agent HTTP报头，用于在Citrix网关上执行额外的检查。此文本的值由Citrix SSO应用程序在与Citrix Gateway通信时附加到User-Agent HTTP报头。

      • 参数值:键入要附加到User-Agent HTTP报头的文本。此文本必须符合HTTP User-Agent规范。

7. （可选）创建更多VPN配置文件配置。点击添加在配置列表下。一个新的配置出现在列表中。选择新的配置并重复步骤5和(可选)步骤6。

8. 创建所需的所有VPN配置文件后，单击下一个．

9. 为此Citrix SSO的托管配置配置部署规则。

10. 点击拯救．

Citrix SSO的托管配置现在出现在已配置的设备策略列表中。

要使所配置的VPN配置文件始终开启，请设置端点管理选项设备策略．

注:

Android Enterprise的始终在线VPN需要Citrix Secure Hub 19.5.5或更高版本。

访问设备上的VPN配置文件

为了访问您创建的VPN配置文件，Android企业用户从Google Play商店安装Citrix SSO。

您配置的一个或多个VPN配置文件将显示在托管连接应用程序的区域。用户点击VPN配置文件以使用该VPN配置文件进行连接。

用户通过认证并连接后，VPN配置文件旁边会出现一个复选框。键图标表示已连接VPN。

管理Zebra Android设备使用Zebra OEMConfig

使用Zebra Technologies OEMConfig管理工具管理Zebra Android设备。有关Zebra OEMConfig应用程序的信息，请参见斑马科技网站．

端点管理支持Zebra OEMConfig 9.2版及更高版本。有关在设备上安装Zebra OEMConfig的系统要求的信息，请参阅OEMConfig设置在Zebra Technologies网站上。

要开始:在端点管理控制台中，添加Zebra OEMConfig应用程序作为谷歌Play store应用程序添加一个公共应用程序商店应用程序．

为Zebra OEMConfig应用程序创建一个Android企业管理配置

配置Zebra OEMConfig应用程序的Managed配置设备策略。该策略适用于安装了Zebra OEMConfig应用程序并部署了策略的Zebra设备。

1. 在端点管理控制台中，单击配置>设备策略点击添加．

2. 选择Android的企业点击托管配置．

3. 当选择应用程序ID窗口出现，请选择由MX供电的ZebraOEMConfig从列表中单击好啊．

4. 键入Zebra OEMConfig配置的名称和说明。点击下一个．

5. 键入Zebra OEMConfig配置的名称。

6. 配置可用参数。例如：

   • 要禁用设备正面的摄像头，请选择相机配置设定前摄像头的使用到关．
   • 要更改设备时间格式，请选择时钟配置设定时间格式到12（12小时）或24（24小时）。

有关所有可用配置的列表和描述，请参见Zebra管理的配置在Zebra Technologies网站上。

1. （可选）创建更多Zebra OEMConfig配置。点击添加在配置列表下。一个新的配置出现在列表中。选择新配置并配置参数。

2. 创建所需的所有Zebra OEMConfig配置后，单击下一个．

3. 为Zebra OEMConfig配置这个托管配置的部署规则。

4. 点击拯救．