设置 Managed Google Play
要利用 Managed Google Play 的功能和配置,您必须在 MDM 中设置 Managed Google Play。Managed Google Play 可以通过 Google Workspace(G Suite)账户或 Google 账户进行配置。以下说明了这两种方法的区别:
| 参数 | 使用 G Suite(也称为 Google Workspace) | 无需 G Suite |
|---|---|---|
| 用于配置 Managed Google Play 的管理员账户 | 组织使用的 G Suite 账户。 | 任何 Google 账户 |
| 用户账户创建 | 由 IT 管理员作为 G Suite 的一部分创建 | 账户自动创建 |
| 用户账户添加 | 需要手动将账户添加到设备 | 账户自动添加到设备 |
| 用户账户绑定 | 绑定特定用户,可在其他设备中重复使用 | 绑定特定设备,不能重复使用 |
| 配置关联 | 关联到账户 | 关联到设备 |
| 理想使用场景 | 广泛使用 G Suite 的组织,员工使用多台设备。 | 不使用 G Suite 的组织,员工使用企业设备。 |
| 示例场景 | 用户已添加带有其 G Suite 账户的设备。 | 组织向员工分配企业设备,想要自动向设备添加 Google 账户,并阻止用户添加个人 Google 账户。 |
Managed Google Play 支持的设备
| 版本 | Samsung | 非 Samsung |
|---|---|---|
| 小于 5.0 |  |
传统入网设备。 |
| 小于 7.0 | 设备拥有者和配置文件拥有者及传统(如果设备能作为设备拥有者或配置文件拥有者管理,则不支持传统)。 | 设备拥有者和配置文件拥有者。 |
| 小于 10.0 | 设备拥有者、配置文件拥有者及传统。 | 设备拥有者和配置文件拥有者。 |
| 大于 10.0 | 仅设备拥有者和配置文件拥有者。 | 设备拥有者和配置文件拥有者。 |
使用 Google Workspace(G Suite)
要在 MDM 中配置 Android for Work,您需要以下内容:
- 域名:您注册 Google Workspace(G Suite)时使用的域名。
- 域管理员账户:具有管理员权限的账户,用于集成。 点击此处识别您的域管理员账户.
- ESA JSON 文件:由 Google 生成的 JSON 文件,包含 MDM 服务详情,需上传此处以完成集成。 点击此处了解获取 JSON 文件的步骤.
- 令牌:集成第三方 EMM 提供商与 Android for Work 时所需的 EMM 令牌。 点击此处了解获取 EMM 令牌的步骤.
- Google Workspace(G Suite)教育版无法与 MDM 集成。
- 建议为设备分配不同的 G Suite 账户以提升应用管理,但单个 G Suite 账户最多可用于 10 台设备。如果一个 G Suite 账户分配给超过 10 台设备,应用将无法分发给设备。
- 在 G Suite 中添加不同域可能导致设备激活失败。
- Google Workspace 账户将用于向托管设备提供所有基于 Managed Google Play 的功能和配置。
识别域管理员账户
要完成与 MDM 的 Managed Google Play 集成,您需要提供一些详细信息,其中之一是您的域管理员账户。请按照以下步骤确定:
- 登录到 Google Admin Console 并选择 管理员角色 菜单中的选项。
- 将鼠标悬停于 超级管理员 并点击 查看管理员。此处列出的任何账户都可作为 MDM 中的域管理员账户。
获取 JSON 文件
- 登录到 Google Developers Console 并点击 创建项目
- 提供 项目名称 并点击 创建.
- 项目创建完成后,点击通知图标并点击项目创建通知消息。
- 点击左上角汉堡图标,选择 云端概览->仪表盘.
- 在 仪表盘中,点击 入门下的 浏览并启用 API
- 点击左侧的 凭据(钥匙图标),然后点击 创建凭据 并选择 服务账户密钥 下拉菜单。
- 点击 服务账户 并选择 新服务账户。输入服务账户名称,点击 保存并继续 ,接着在 选择角色下拉菜单中选择 服务账户 服务账户管理 。.
- 进入服务账户,点击“操作”下方的省略号图标,选择 管理密钥 。 点击.
- 添加密钥 创建新密钥 并选择 。确保密钥类型为JSON 。此时会下载 JSON 令牌,需将其上传至 MDM 服务器。下载令牌后点击 并点击 创建关闭。 点击时会自动下载 JSON 文件。
- 获取 EMM 令牌 创建.
下载 JSON 文件后,返回
- 页面,点击 凭据 管理服务账户 。然后点击服务账户名称旁的省略号图标,选择管理详细信息 。.
- 复制 唯一 ID 并点击 下的 21 位数字序列,即域范围委托客户端 ID。.
- 点击汉堡图标,选择 API 和服务 菜单中的项,再选择 启用的 API 和服务.
- 添加密钥 。 启用使用 Managed Google Play 进行设备管理的 API。
- 在搜索框中输入 Google Play EMM API 并点击搜索图标。
- 选择搜索结果中的该项并启用该 API。 Google Play EMM API 同样,在搜索栏输入
- Admin SDK 并启用搜索结果中的 Admin SDK。 现在登录到
- 安全性 Google Admin Console 并点击 向下滚动选择.
- API 控制 -> 管理域范围委托 -> 添加新项 粘贴您之前复制的.
- 客户端 ID 唯一 ID 。 Client ID 并提供此 URL, https://www.googleapis.com/auth/admin.directory.user 用于参数 OAuth 作用域.
- 现在,返回主页,并点击 Devices.
- 添加密钥 Mobile & Endpoints -> Settings -> Universal Settings位于页面左侧。
- 添加密钥 General -> Mobile management.
- 选择 关闭移动管理(Unmanaged) 选项。
- 如果您有偏好需要由 MDM 管理的设备平台,请导航到 Custom下拉菜单中选择 Android 然后选择 Basic 从下拉菜单中。
- 在 Universal Settings 选项卡,点击 Data Access -> Android Sync -> 允许在 Android 设备上同步工作数据 -> ON -> 保存.
- 添加密钥 Mobile & Endpoints -> Settings -> Third Party Integrations.
- 添加密钥 Android EMM -> 编辑图标。确保对话框 启用第三方 Android 移动管理 未被选中,然后点击 添加 EMM 提供商.
- 选择 生成令牌,并复制显示的令牌。
- 既然您已获得 EMM 令牌和 JSON 文件,前往 MDM web 控制台,点击管理员选项卡 。选择 配置托管的 Google Play ,位于托管的 Google Play 设置下。现在,选择选项 使用 Google Workspace 注册 并提供所需的详细信息以配置 Android for Work。
创建用户帐户
在开始使用 Android for Work 之前的下一步是创建用户帐户。 该步骤是将基于托管的 Google Play 的配置推送到设备所必需的。用户必须使用已创建的用户帐户登录 Google Play Store ,以便在托管设备上应用所有通过 Android for Work 推送的应用和配置。 对于注册为 Profile Owner 的设备,用户必须使用已创建的用户帐户登录位于工作配置文件中的 Google Play Store。.
- 对于 Google 应用用户,可以通过 手动添加用户 或通过 导入 CSV. (推荐小型组织)来创建用户帐户。.
- 创建无 Google 应用帐户的用户可以使用 Google Active Directory Sync(GADS). (推荐大型组织)完成。
使用 Google Workspace (G Suite) 注册设备(可选):
- 设备可以 被强制管理 通过 Google Workspace (G Suite) 按如下步骤注册。
- 如果设备已经通过其他注册方式注册到 MDM,并且需要添加 G Suite,可以通过导航到设置中的账户并添加 G Suite 账户来完成。这将启用该账户相关的所有 G Suite 功能的访问和同步。
设置设备为设备所有者:
- 恢复设备出厂设置。
- 设置过程中,设备提示输入用户账户时,输入 G Suite 账户凭据。
- 设备会提示安装 ManageEngine MDM 应用,点击 安装.
- 接下来,设置设备为工作管理设备,MDM 即可使用设备所有者权限。
注册设备为配置文件所有者:
- 在设备中,导航到 Settings > Accounts & Backup.
- 接着选择 Accounts > Google.
- 添加已注册的 G Suite 账户。设备将提示安装 ManageEngine MDM 应用,点击 安装.
- 安装完成后,打开 ManageEngine MDM 应用,通过自助注册或邀请注册登记设备。
- 注册完成后,将创建工作配置文件,且所添加的 G Suite 账户将成功应用到工作配置文件。
无 G Suite(使用 Google 账户)
对于没有 G Suite 的组织,可以使用任何与 G Suite 服务或 EMM 服务无关的 Google 账户配置托管的 Google Play。建议使用组织的 Google 账户,因为该账户将用于向托管设备提供所有基于托管的 Google Play 的功能和配置。仅当 MDM 运行于 HTTPS 上时,才可配置无 G Suite 的托管 Google Play,否则浏览器会显示错误信息,应忽略。此方法的主要优点是自动创建和关联用户账户与设备。
- 在 MDM 服务器上,点击 设备管理选项卡 > 应用仓库,并选择 配置托管的 Google Play 位于 托管的 Google Play 设置下。点击 无 G Suite 注册 ,并按照屏幕提示操作。
- 被重定向到 Google for Play | Work后,使用一个未关联任何 EMM 服务的 Google 账户登录, 输入您的组织名称,不超过 50 个字符。验证 EMM 供应商是否正确指定,并点击.
- 确认 以继续注册。 完成注册
- 添加密钥 ,完成注册后您将被重定向回 MDM 服务器。重定向后,服务器上的托管 Google Play 已使用指定信息设置完成。 点击
- 此处 了解如何在设备上静默安装应用,而无需在 Play Store 中手动添加账户。 如果您希望用户在添加任意托管账户之外,还能添加个人账户,需创建带有
- 启用“添加账户”限制的配置文件 。这确保用户可添加账户。如果无法配置托管 Google Play,可能是因为指定的域已被其他 EMM 供应商使用。对此,请访问 Google 管理控制台,导航至 Devices -> Mobile & endpoints -> Third-party integrations -> Android EMM -> Manage EMM providers。在下一步,点击编辑图标,移除该 EMM 供应商,并按照前述说明继续生成令牌。
- 移除托管 Play
当在 MDM 控制台中移除托管账户时,
通过 MDM 分发的应用不会从设备中卸载。
- 托管账户不会从设备中移除,但账户将在 24 小时内失效。
- 管理员将无法继续向设备分发或更新应用。
- 您无法执行
- Zero-touch Enrollment 故障排除提示
输入的详细信息无效!请按此处说明的正确值重新指定并重试
- 当指定的域已被其他 EMM 提供商使用(包括 Google Mobile Management)时,会显示此错误。为验证,请访问.
Google 管理控制台 并导航至 Devices -> Mobile & endpoints -> Third-party integrations -> Android EMM 。如果 EMM 供应商不是ManageEngine EMM ,点击编辑图标,移除该 EMM 供应商,并按照前述说明继续生成令牌。配置托管 Google Play 时,显示消息 - 您已注册此企业 。 该帐户可能绑定到另一个 EMM 供应商。在您的
Play For Work 门户 中,导航至管理设置 ,点击 组织信息 旁的省略号图标。选择删除组织 并在下一步点击 删除 以确认。在 MDM 控制台中,重新尝试配置无 G Suite 的托管 Google Play。 注意 :删除 Play For Work 上的组织将删除与 MDM 相关的所有账户、应用和数据。.
设备激活进行中ME MDM 应用中显示的屏幕。 - 在设备中添加 Google Workspace(G Suite) 用户账户时, 账户激活所需
通知会在设备上显示。点击通知后,页面跳转至 ME MDM 应用中的设备激活进行中页面,并循环加载。 1. 在 G Suite 中关闭“移动管理” 导航至 位于 - 下,展开 Devices.
- Settings 选择Universal settings General.
- 并更改 Mobile management.
- 添加密钥 General and change the Mobile management 至 关闭 并保存。
- 进入 密码要求 然后取消勾选 要求用户设置密码.
- 下,展开 Devices.
- Settings 选择Universal settings General.
- 并更改 第三方集成.
- 此处 Android EMM,取消勾选 启用第三方 Android 移动管理 并保存。
Mobile and Endpoints
2. 禁用第三方Android移动管理
跳转到