Knox 管理

Samsung Knox 是一套旨在解决当前开源 Android 平台安全问题的增强功能。Samsung Knox 提供比 SAFE 设备更高级的安全性，非常适合需要高安全级别的企业使用。它通过在个人设备上为企业数据创建独立容器，实现对用户的个人和企业数据的保护和隔离。不能在以 设备所有者身份注册的设备上创建容器，因为整个设备由组织管理。它还通过允许个人和企业应用的隔离来提供应用安全性。支持 Knox 的设备及 Knox 设备管理的前提条件有详细描述。 已root的 Samsung 设备无法注册为 Knox。

Knox 支持的设备

请参阅 本文以获取支持 Knox 的设备完整列表。

注意： Knox 容器无法在运行 Android 10.0 或更高版本的设备上创建，因为 Samsung 与 Google 合作，从运行 Android 10.0 及以上版本的 Samsung Galaxy S8 设备开始，部署了统一的 Harmonized Container。

Knox 设备管理

Knox 设备管理从在设备内创建 Knox 容器 开始。激活设备上的 Knox 容器的基本要求是 Knox 许可证。Knox 许可证管理包括以下内容：

• 创建 Knox 门户账户
• 将许可证上传到 Mobile Device Manager Plus
• 向设备/组分发许可证
• 撤销 Knox 许可证
• 添加更多 Knox 许可证

创建 Knox 门户账户

管理 Knox 设备需要 Knox Workspace 许可证，该许可证可直接从 Knox Marketplace 购买。购买 Knox 许可证需要创建 Knox 门户账户。有关创建账户和购买许可证，请参阅 本文。

将许可证上传到 Mobile Device Manager Plus

购买所需许可证后，必须将许可证密钥上传到 Mobile Device Manager Plus 服务器，以便分发许可证和管理设备。请按照以下步骤将许可证上传至 Mobile Device Manager Plus：

1. 在 Web 控制台，导航至
2. Knox -> 上传许可证 复制并粘贴 许可证密钥 到指定空间，并在
3. 设备数量 中指定要管理的设备数。 输入 Samsung 提供的
4. 到期日期 以接收许可证到期通知。

1. 点击
2. 保存

如果设备被配置为设备所有者，则无法在 Samsung 设备上创建 Knox 容器。设备必须配置为配置文件所有者。每台设备只能创建一个 Knox 容器。

Mobile Device Manager Plus 不会验证许可证密钥详情或到期日期。若输入数据有误，只有在创建 Knox 容器时才会体现，且过程将失败。如有需要，可登录 Knox 门户账户后使用“检查许可证密钥”选项验证 Knox Workspace 许可证密钥的有效性。

1. 向组/设备分发许可证按以下步骤分发 Knox 许可证：
2. 在 Web 控制台，转到 Knox -> 分发许可证 选择许可证分发方式为 自动.
   或 Knox -> 分发许可证手动 选择自动
3. 将允许您在注册时自动将 Knox 许可证应用于所有 Knox 设备或组。如选择组，请指定须自动应用许可证的组。选择 自动分发仅对之后注册的设备分发许可证。选择手动后，可在注册后手动向 Knox 设备标签中列出的设备分发许可证，通过选择设备并点击创建容器按钮实现。
   如有需要，勾选复选框以
4. 到期日期 以接收许可证到期通知。

覆盖用户创建的现有 Knox 容器。

该选项仅适用于 Knox v1.0 设备，因为其他 Knox 设备支持多个容器。如果在分发许可证给 Knox v1.0 设备时未启用该复选框，则设备上不会创建 Knox 容器，但 Knox 许可证会分发到设备。覆盖设备中现有 Knox 容器时，容器内的所有数据将丢失，且不会向用户发出数据备份通知。

许可证应用于设备后，设备内会创建 Knox 容器。用户通过进入 Knox 容器访问所有企业数据和分发的应用。

若注册的 Knox 设备数量超过可用许可证数，超出的设备将无法应用许可证。此时需购买新许可证并上传到 Mobile Device Manager Plus 以分发给设备。

1. 撤销 Knox 许可证 当某用户设备不再需要管理时，可从该设备撤销 Knox 许可证并在其他设备上重复使用。撤销 Knox 许可证步骤如下：
2. 在 Web 控制台，转到
3. Knox -> Knox 设备 选择要撤销许可证的设备。

选择

移除容器。 许可证将从选中设备中撤销。撤销许可证时，设备上的 Knox 容器将被移除。若需重新分发撤销的许可证，请选择相应设备，然后点击

创建容器

，许可证将重新分发至选中设备。

1. 添加更多 Knox 许可证 购买更多许可证管理额外设备时，须修改之前上传的许可证详情。请按照以下步骤操作：
2. Knox -> Knox 设备 在 Web 控制台，导航至 Knox -> 上传许可证
3. 到期日期 以接收许可证到期通知。

修改

并进行必要的更改。 修改后，许可证将自动重新应用于设备，无论分发设置如何。 购买额外许可证管理更多设备时，仅需修改

设备数量

，不会更改上传到 Mobile Device Manager Plus 的许可证密钥。 中指定要管理的设备数。Knox 许可证到期与续订 本文。Mobile Device Manager Plus 会在许可证到期前30天开始显示到期通知。

许可证到期后，Knox 容器将被锁定，用户将无法访问容器。因此，Knox 许可证到期时，必须购买新许可证或从 Knox 门户账户续订现有许可证。详见 中指定要管理的设备数。 本文 购买更多许可证管理额外设备时，须修改之前上传的许可证详情。请按照以下步骤操作： 。 在 Web 控制台，导航至 如仅延长现有许可证有效期，请在修改许可证详情时填写正确的

了解如何使用 MDM 在5分钟内完成开箱即用的 Samsung Knox 移动注册，

通过

本演示视频

。

Knox 最佳实践

禁用设备管理员

若用户在设备上禁用设备管理员，则容器将从设备中移除，许可证从服务器解除关联。为了更好地管理移动设备，建议限制用户禁用设备上的设备管理员，从而限制用户卸载 ME MDM 应用。

创建专用 Knox 组

建议在 Mobile Device Manager Plus 中创建专门的 Knox 设备组，这样在配置文件和应用管理时可节省时间，方便管理 Knox 设备。

限制设备与容器之间的联系

限制设备与容器之间的数据传输，确保更高安全性，防止企业数据泄露。可以配置企业邮件仅允许从容器访问，禁用在配置 Knox 容器限制时将“联系人”共享至设备等方式实现。

容器密码策略

建议选择复杂类型的密码以保护容器。同时，为了更好安全，应将最大失败尝试次数设为最低值，并将容器空闲等待时间设为最短，超过时间限制后自动锁定，以确保容器受到保护。