常见问题

本地

通用

    1. Mobile Device Manager Plus的云版本和本地版本有什么区别?

      MDM云是MDM本地的SaaS版本。使用MDM云,您只需使用Zoho账户登录并开始管理您的设备。数据和服务器配置由Zoho管理。然而,在本地版本的情况下,您必须安装应用程序并配置网络设置来设置MDM并管理设备。

    2. ManageEngine MDM和Apple Profile Manager有什么区别?
      • ManageEngine MDM在本地和云上都可以使用。
      • ManageEngine MDM可用于管理多个平台,这与Apple Profile Manager不同,后者仅适用于Apple。
      • Profile Manager更适合于小型仅Apple设备的环境,而MDM不限环境。
      • 专用MDM服务器,性能卓越。
      • MDM提供灵活的组/部门管理。
    3. MDM应用程序使用哪些端口?

      确保代理/防火墙中的下列端口已打开。

      端口号 类型 目的 连接 流量
      9020 HTTP ME MDM应用和服务器通信。 入站到服务器
      9383 HTTPS ME MDM应用和服务器通信。 入站到服务器
      443 HTTPS 应在Mobile Device Manager Plus服务器上打开,以访问APN、FCM、WNS服务器。

      对于安卓设备:

      android.googleapis.com; www.google.com; android.clients.google.com; *.googleapis.com; play.google.com; google-analytics.com; googleusercontent.com; gstatic.com; *.gvt1.com; *ggpht.com; dl.google.com; accounts.google.com; gcm-http.googleapis.com; fcm.googleapis.com; fcm-xmpp.googleapis.com; pki.google.com; clients1.google.com; clients[2...6].google.com

      必须根据服务器所在的国家/地区打开以下域:

      美国:gslb.secb2b.com; us-elm.secb2b.com; us-knox.secb2b.com;
      中国china-gslb.secb2b.com.cn ;china-elm.secb2b.com.cn; china-knox.secb2b.com.cn
      亚洲、非洲、欧洲或其他地区gslb.secb2b.com; eu-elm.secb2b.com; eu-knox.secb2b.com;

       

      对于Apple设备:

      albert.apple.com; captive.apple.com; gs.apple.com; humb.apple.com; static.ips.apple.com; tbsc.apple.com; *.push.apple.com; gdmf.apple.com; deviceenrollment.apple.com; deviceservices-external.apple.com; identity.apple.com; iprofiles.apple.com; mdmenrollment.apple.com; setup.icloud.com; vpp.itunes.apple.com; gg.apple.com; gnf-mdn.apple.com; gnf-mr.apple.com; gs.apple.com; ig.apple.com; mesu.apple.com; ns.itunes.apple.com; oscdn.apple.com; osrecovery.apple.com; skl.apple.com; swdist.apple.com; swdownload.apple.com; swscan.apple.com; updates.cdn-apple.com; xp.apple.com; *.itunes.apple.com; *.apps.apple.com; *.mzstatic.com; ppq.apple.com

      对于Windows设备:

      https://login.live.com; https://*.notify.windows.com

       

      需要打开这些端口才能使用Zoho Assist启用远程控制/查看。

      出站到服务器
      2195 HTTPS 应在Mobile Device Manager Plus服务器上打开,以访问APNs。
      主机地址:gateway.push.apple.com
      出站到服务器
      5223 HTTPS 应该是开放的,如果移动设备通过公司Wi-Fi连接到互联网,建议将IP配置在17.0.0.0/8的范围内。 从公司网络防火墙出站
      5228、5229、5230 HTTPS 用于FCM到达被管移动设备。
      主机地址:https://android.com; play.google.com; android.clients.google.com; www.google.com; googleapis.com; android.googleapis.com; gstatic.com; google-analytics.com; googleusercontent.com; *.gvt1.com; *ggpht.com; dl.google.com; fcm.googleapis.com; fcm-xmpp.googleapis.com; gcm-http.googleapis.com; gcm-xmpp.googleapis.com

      由于FCM不提供特定的IP,您应该允许防火墙接受到Google的ASN(15169)列出的IP阻止中包含的所有IP地址的传出连接。
      了解更多。

      从公司网络防火墙出站
      5235、5236 HTTPS 用于Firebase云消息传递(例如EMM-DPC通信)。主机地址:https://gcm-xmpp.googleapis.com; gcm-http.googleapis.com; android.googleapis.com 从公司网络防火墙出站

      此外,请确保Mobile Device Manager Plus服务器具有足够的权限来联系此处列出的域。

      TLSTCP协议用于在MDM中登记设备。

    4. MDM访问哪些域来登记和管理设备?

      MDM服务器和要在MDM中登记的设备都必须能够访问以下域,这些域将在防火墙和(或)任何第三方过滤器中被排除/允许。

      对于所有平台

      仅在服务器中允许
      • https://creator.zoho.com

      对于iOS

      在服务器和设备中都允许
      • https://gateway.push.apple.com
      • https://api.push.apple.com
      • https://itunes.apple.com:443
      • http://itunes.apple.com:80
      • https://deploy.apple.com
      • https://vpp.itunes.apple.com
      • albert.apple.com
      • iprofiles.apple.com 
      • crl3.digicert.com
      • crl4.digicert.com
      • ocsp.digicert.com
      • setup.icloud.com
      • gateway.icloud.com
      仅在设备中允许
      • https://ax.init.itunes.apple.com
      • https://ppq.apple.com
      • http://is2.mzstatic.com
      • ocsp.apple.com
      • https://buy.itunes.apple.com/
      仅在服务器中允许
      • https://uclient-api.itunes.apple.com
      • *.zohoassist.com:443

      对于Windows

      仅在服务器中允许
      • https://login.live.com
      • https://*.notify.windows.com
      • https://*.wns.windows.com
      • https://*notify.live.net

      对于安卓

      非三星设备

      仅在设备中允许
      • https://www.google.com
      • mtalk.google.com:5228
      • mtalk.google.com:5229
      • mtalk.google.com:5230
      • android.clients.google.com:443
      仅在服务器中允许
      • *.googleapis.com
      • *.zoho.com:443
      • *.zohoassist.com:443
      • googleapis.com:443
      • accounts.google.com:443
      在公司网络防火墙中允许
      • *.googleapis.com
      • play.google.com
      • android.com
      • google-analytics.com
      • googleusercontent.com
      • gstatic.com
      • *.gvt1.com
      • *.ggpht.com
      • dl.google.com
      • androidclients.google.com
      • gcm-http.googleapis.com
      • gcm-xmpp.googleapis.com
      • android.googleapis.com
      • fcm.googleapis.com
      • fcm-xmpp.googleapis.com
      • pki.google.com
      • clients1.google.com
      • clients[2...6].google.com
      • *.zoho.com:443
      • *.zohoassist.com:443
      • googleapis.com:443
      • accounts.google.com:443
      • https://mdmdatabase.manageengine.com

      三星设备

      仅在设备中允许
      仅限中国
      • https://china-gslb.secb2b.com.cn:443
      • https://china-elm.secb2b.com.cn:443
      • https://china-knox.secb2b.com.cn:443
      仅限美国
      • https://gslb.secb2b.com:443
      • https://us-elm.secb2b.com:443
      • https://us-knox.secb2b.com:443
      所有其他国家
      • https://gslb.secb2b.com:443
      • https://eu-elm.secb2b.com:443
      • https://eu-knox.secb2b.com:443

      对于三星Knox登记

      在防火墙上允许
      • *.samsungknox.com:443
      • *.samsungknox.com:80
      • *.secb2b.com:443
      • *.secb2b.com:80
      • https://dir-apis.samsungdm.com:443
      • https://account.samsung.com:443
      • https://mdmdatabase.manageengine.com

      要识别MDM服务器无法访问的域,点击此处

    5. 如何验证MDM服务器是否可以访问所需的域?

      在产品中指定MDM服务器无法访问的域。要查看这些域的名称,请按照以下说明进行操作:

      • 在MDM服务器上,点击管理页签。在设置MDMP下,打开代理设置
      • 配置代理服务器后,可以访问MDM服务器下的所需域列表。点击它查看相同的内容。
      • 此处只列出MDM未能访问的域以及相应的厂商详细信息。

      注意:在浏览器地址栏中输入域URL并不能提供相同的可达性。

      如果移动设备通过公司Wi-Fi连接到internet,则5223、5228、5229和5230等端口应打开。如果被管设备通过蜂窝数据网络连接,则不需要此要求(HTTPS端口)。

    6. 设备是否必须进行工厂重置才能由MDM登记和管理?

      不需要,设备不需要进行工厂重置(除非另有规定)即可由MDM登记和管理。

    7. Mobile Device Manager Plus支持哪些操作系统/平台?

      目前,MDM管理的软件平台有:

      • iOS版本4.0及以上
      • iPadOS版本13.0及以上
      • 安卓4.0及以上
      • Windows Phone 8.0及以上
      • 运行Windows 10的笔记本电脑和Surface pro
      • 运行10.7或更高版本的Mac计算机
      • 运行7.0或更高版本的Apple TV
    8. Mobile Device Manager Plus(MDMP)支持哪些数据库?

      MDMP目前支持pgSQL和MS-SQL。

    9. MDM支持从云迁移到本地吗?

      MDM不支持从云迁移到本地。从上传APN、登记设备到分发应用和(或)配置文件,所有这些都必须在MDM本地完成。

    10. 我是否需要Apple企业/开发人员账户来管理iOS设备?

      不需要,使用Mobile Device Manager Plus管理iOS设备不需要Apple开发人员账户。

    11. 我没有域,如何在不使用域或域电子邮件或不连接Play Store的情况下将ME MDM应用添加到平板电脑?

      您可以使用本地身份验证并指定用户名和电子邮件地址。如果您想登记公司设备,那么您可以使用“管理员登记”选项,例如安卓设备的NFC二维码、iOS的ABMApple Configurator以及Windows的Windows ICD

    12. ME MDM应用占用多少存储空间?

      根据平台类型,应用的大小会因设备而异,但平均而言,安装后的应用大小约为25-30 MB。但是,应用大小将根据分发到设备的配置文件/文档而增加,因为这些文档和配置文件存储在应用中。

    13. ME MDM应用消耗多少网络数据和电池?

      ME MDM应用仅在下载推送到设备上时使用网络数据和电池,使用的数据取决于应用的大小。其他操作消耗的网络数据可以忽略不计。此外,在地理跟踪的情况下,消耗根据指定的精度水平而变化。

    14. 为什么我的设备IMEI包含14位而不是15位?

      如果设备是CDMA激活的,则IMEI仅包含14位数字,称为MEID。您可以通过拨打*#06#检查设备的IMEI。

    15. 为什么我的安卓设备不支持Android For Work,尽管它运行在安卓5.0或更高版本上?

      对于使用基于Android For Work(AfW)的功能和配置的设备,OEM(原始设备制造商)必须在设备上提供相同的支持。如果原始设备制造商没有为特定的设备型号提供AfW支持,则无法支持Android For Work工作,因此,要求设备为配置文件所有者/设备所有者提供的功能就不能推送到设备上。这些链接中列出了一些支持Android For Work的设备 - link #1link #2link #3

    16. 如何升级安装在安卓设备上的ME MDM应用?

      如果有可用的应用更新,则会在运行6.0或更高版本的非三星设备(作为设备所有者和所有三星设备)中静默更新ME MDM应用。对于其他设备,在被管设备中会显示一个相同内容的通知,用户必须手动更新应用。应用更新通常在本地MDM构建版本更新时提供,对于MDM云,约每月提供。

    17. 为什么我无法通过邀请登记设备?
      • 确保OTP未过期(72小时后过期)。
      • 确保您不使用OTP代替Zoho账户密码,反之亦然。如下所示,在第一种情况下,将指定Zoho账户,在第二种情况下,将提供通过邮件发送的OTP。

    18. 我不想为MDM云中登记的每台设备创建一个新账户。是否有其他类型的登记?

      为了避免使用邀请,您可以选择自助登记(即用户自己登记设备)和管理员登记。管理员登记,顾名思义,是一种由管理员执行登记过程的登记类型。管理员登记的另一个优点是,该过程是自动化的,需要最少的用户干预和(或)管理操作。MDM支持以下类型的安卓管理员登记:

      iOS支持以下类型的管理员登记:

    19. 如何将安卓设备日志发送到MDM云支持团队?

      您可以使用MDM应用或不使用MDM应用从设备编译安卓日志,并将其发送给MDM云支持团队(support@manageengine.cn)。

      不使用MDM应用

      使用MDM应用

      不使用MDM应用

      • 导航至代理日志目录<Device storage location>/memdm/agent/logs
      • mdm*.txt文件包含代理日志。
      • 将这些文件压缩并发送到support@manageengine.cn

      使用MDM应用

      另一个选项是直接从MDM应用发送日志。打开MDM应用,点击顶部的水平蓝色条5次。

      提供logs@memdm作为密码,然后指定问题详细信息。点击确定发送日志。

    20. 如何将iOS设备日志发送到MDM云支持团队?

      您可以使用MDM应用从设备编译iOS日志,并将其发送给MDM云支持团队(support@manageengine.cn)。

      • 在被管设备中打开ME MDM应用。
      • 导航至支持页签。
      • 选择收集日志。当日志编译成功时,会显示一条通知。这些日志会自动发送到云支持团队。
    21. 当我的试用版到期或从试用版转到免费版时会发生什么?

      MDM为您提供30天的专业版试用,您可以管理无限的设备并添加无限的技术人员。30天试用期满后,您可以延长试用期、购买产品或转到免费版。试用期满后,如果您使用免费版,您可以选择要管理的设备(最多25台)。所有分发到这些设备的应用和配置文件以及与所选设备相关的其他配置将被保留。免费版与试用版类似,只是免费版最多允许管理25台设备,且不能添加其他技术人员。

    22. 为什么我不能登记MDM云服务?

      尝试登记时,遇到一个错误,称您是另一个组织的一部分,例如“拒绝访问此服务,请联系您的组织(<org_name>)管理员[admin@org.com]”,这意味着您已经是登记用户,因为您的组织已经登记了Zoho服务。Zoho服务有一个超级管理员,他是唯一可以登记任何其他Zoho服务的人,包括MDM云。如果超级管理员已经登记了Zoho服务,您可以请求超级管理员将自己添加为技术人员以使用MDM云。如果您想尝试MDM云,可以使用备用电子邮件地址登记并使用该服务。如果您被重定向到https://mdm.manageengine.com/enroll.do,则您可以请求超级管理员将自己添加为技术人员以使用MDM云。

    23. 在MDM云中登记设备的先决条件有哪些?
      • 在MDM云中登记设备时,URL mdm.manageengine.comtransmail.net 必须在允许列表中。 如果使用部署在中国区的云服务,要保证mdm.manageengine.cntransmail.net 在允许列表中。
      • 如果您是通过邀请登记设备的,请确保以下电子邮件地址:noreply@notifications.mobiledevicemanagerplus.comnoreply@zohoaccounts.comnoreply-mdmcloud@manageengine.com也必须在允许列表中。如果用户没有Zoho账户,他会收到两封邮件。前者用于发送加入组织邮件(用于创建Zoho账户),后者用于发送登记请求。修改垃圾邮件过滤器以确保这些邮件不属于垃圾邮件。如果用户已有Zoho账户,则只发送登记请求。
      • 使用电子邮件创建Zoho账户,然后按照登记请求中提供的说明将设备登记到MDM云。
    24. Apple ID在iOS设备管理中的作用是什么?

      对于iOS设备管理,组织和用户都使用Apple ID。组织Apple ID最好映射到组织,而不是组织中的任何个人。而用户的Apple ID映射到单个设备用户。

      以下是使用组织的Apple ID的服务:

      • 用于创建设备登记计划(DEP)/Apple School Manager(ASM)账户以登记移动设备。
      • 用于创建批量购买计划(VPP)账户以分发和管理设备上的应用。
      • 用于创建Apple推送通知服务(APNs)证书,用于服务器和APNs之间的通信。

      注意:建议仅将组织的公司Apple ID用于上述服务,因为这些服务在续费时都需要使用相同的Apple ID。

      用户的Apple ID可用于:

      • 在设备上购买个人应用。使用ABM从MDM服务器分发的应用不需要用户的Apple ID。
      • 访问iCloud和其他相关服务,如iMessage、Facetime和iCloud Drive。
      • 关闭非被管设备上的激活锁。如果MDM服务被管理,则激活锁将自动关闭。
    25. MDM是否要求在所有被管设备中安装代理?

      对于iOS和Windows设备,Mobile Device Manager Plus利用所有设备中已有的本机MDM客户端。代理只需要执行以下操作:

      1. 跟踪设备的位置
      2. 在ME MDM应用上安全地查看和保存文档
      3. 远程查看或控制设备
      4. 从设备更新日志
      5. 检测越狱设备或根设备

      然而,对于安卓设备,需要一个ME MDM应用来管理移动设备。该应用的安装在登记过程中进行。

    26. Mobile Device Manager Plus的标准版和专业版有什么区别?

      Mobile Device Manager Plus有两个版本,可以帮助用户选择组织所需的功能。对于希望获得基本MDM功能(如应用管理、设备管理和资产管理)的组织,建议使用标准版。专业版为组织提供了移动设备的高级管理功能。专业版提供的一些附加功能包括地理位置跟踪、条件Exchange访问和内容管理。有关两个版本之间的完整比较,请参阅此版本对比矩阵

    27. 如何从Mobile device Manager Plus服务器中删除设备?

      如果设备已向MDM登记,则必须先取消配置,然后才能从服务器中删除。在MDM控制台上,打开登记页签,点击操作列下的省略号按钮(对应于要从管理中删除的设备)。现在,点击取消配置。设备将被移动到暂存页签,从中可以使用删除设备选项将其删除。如果设备处于脱机状态或已处于非被管状态,则可以直接将其从MDM服务器中删除。

    28. 当设备从MDM中删除时会发生什么?

      管理员可以使用以下选项取消配置设备以撤销MDM管理:

      1. 维修设备
      2. 员工已离开组织
      3. 停用设备
      4. 其他

      对于维修设备员工已离开组织停用设备,要工厂重置设备,对于其他,管理员可以在完全擦除和公司擦除之间进行选择。

      在取消配置时选择完全擦除选项时,设备将进行工厂重置,从而删除所有内容和设置。在取消配置时选择公司擦除选项时,结果如下:

      平台 供应类型 描述
      安卓 设备所有者、核心安卓和三星设备 在取消配置设备时,将自动删除所有关联的配置文件,而无需卸载以前分发的应用。
      配置文件所有者 将删除完整的工作配置文件,通过MDM分发的每个策略、应用和内容都将被删除。
      Apple 在取消配置时,将从设备中删除所有关联的配置文件、应用和分发的内容。如果在将ME MDM应用添加到应用库时选中了删除MDM配置文件时删除应用选项,则ME MDM应用也将被删除。
      Windows 在取消配置时,将从设备中删除所有关联的配置文件、应用和分发的内容。对于运行Windows 8.1及更高版本的设备,公司/工作区中的所有配置都被清除。

      注意:如果密码策略与设备关联,则在取消配置时仅删除该策略,密码仍保留在设备上。

    29. 当被管设备与MDM服务器失去联系时,如何取消其配置?

      按后退按钮轻触主屏幕顶部四次,当出现提示时,在提供的空间中输入“撤销管理密码”,以临时撤销管理。如果设备在Kiosk中,则需要输入两次密码,即一次退出Kiosk,另一次撤销对设备的管理。

    30. 当通过web浏览器访问MDM服务器时,为什么会遇到警告您的连接不是私有的?(ERR_CERT_AUTHORITY_INVALID)

      MDM使用SSL证书保护被管设备和服务器之间的通信。导入由有效证书颁发机构签名的第三方SSL证书可以通过加密来保护通信。导入有效证书后,用户在访问MDM服务器时不需要手动信任它们。因此,用户可以在没有警告消息的情况下安全地访问服务器。

    31. 如何在控制台上更改用户或设备详细信息?

      要更改设备名称,导航至资产清单,然后点击设备名称旁边的编辑按钮。要更改用户详细信息,在资产清单页签中选择设备,然后在操作下选择编辑用户详细信息。

    32. 如果创建账户的管理员已离开组织,如何访问MDM云实例?

      如果管理员的账户凭证可用,登录MDM云并按照此处给出的步骤将管理员权限移交给新用户。如果凭证不可用,请与MDM支持人员联系(support@manageengine.cn):

      • 如果离开组织的用户仍然可以访问用于登录MDM云的账户,则必须从所述电子邮件账户向MDM云支持团队发送同意电子邮件。
      • 如果用户没有访问电子邮件账户的权限,则必须将用户离职或辞职信的副本以邮件形式发送给MDM云支持团队。
    33. 如何将MDM管理权限分配给其他用户?

      管理员可以直接从MDM服务器转移管理员权限,以防他们换工作或组织只购买了一个技术人员许可。有关将MDM管理员角色转移给其他用户的步骤,请参阅此文档

    34. 为什么在资产清单中查看设备信息时我的iPad的IMEI不显示?

      如果设备有SIM卡插槽,则MDM可以显示IMEI。如果您登记了没有SIM卡插槽的iPad,则无法获取IMEI,因此MDM不会显示IMEI。

    35. 为什么我不能将MDM云上的管理员权限分配给组织中另一个Zoho应用程序的管理员?

      该用户的账户可能被配置为其他组织的一部分,或者该用户正在使用其他Zoho服务。这个问题可以通过从Zoho应用程序中删除账户并邀请用户加入正确的组织来解决。

      • 登录到使用的应用程序。
      • 删除组织,并删除其他应用程序中用户创建的MDM账户。
      • 删除账户后,注销Zoho Accounts并关闭浏览器窗口。
      • 按照说明邀请用户访问MDM并继续分配管理权限。

      注意:删除组织将删除所有使用此账户配置的Zoho服务。Zoho服务被用于个人用途,也会被删除。如果用户不确定Zoho账户使用的服务,或者组织需要合并,请联系MDM云支持团队(support@manageengine.cn)。

    36. 如何将目录服务与MDM云同步?

      Zoho Directory的同步工具可用于将目录服务(如活动目录/Azure目录)与MDM同步,以实现诸如自助登记、自动用户分配和其他涉及目录服务的功能。

    37. MDM如何保护MDM服务器和移动设备之间的通信?

      MDM和移动设备之间的所有通信都使用TLS 1.2协议和SHA 256颁发的证书进行加密,从而确保数据安全。

    38. MDM的公司擦除命令是否影响设备上的G Suite账户?

      如果G Suite账户是通过在G Suite管理控制台->设置->安全->管理安卓的EMM提供商下启用强制EMM策略配置的,则该账户将添加到设备上的工作配置文件中。公司擦除命令,擦除工作配置文件和G Suite账户。

    39. 在MDM服务器上设备何时被标记为非活动设备?

      当设备与服务器失去联系的时间超过管理员指定的时间时,设备状态将被标记为非活动。以下是设备可能与服务器失去联系的情况。如果设备,

        • 已关闭。
        • 未连接到Internet。
        • 恢复出厂设置,不受管理。
        • 在没有internet连接时,用户将其从管理中删除。要防止用户撤销管理,请参阅此文档
        • 连接到任何内部或其他网络,这些网络阻止某些URL从而阻止设备与MDM服务器联系。要进行验证,请尝试从设备浏览器访问mdm.manageengine.com。

       

    40. 我的国家/地区/设备不支持Google Play Services。如何管理安卓设备?

      在这种情况下,在MDM控制台上,导航至登记->ME MDM应用安卓下),将通信类型设置为定期。点击保存更改。那么您可以使用EMM令牌登记ADB登记NFC登记方式登记设备。

    41. 我需要管理内部网络中的设备。如何配置MDM服务器来管理这些设备?

      要立即对设备应用策略和限制,设备必须连接到Internet。对于安卓和Windows设备,默认情况下MDM服务器通过FCM和WNS与设备通信。这可以通过登记 > ME MDM应用> 配置通信模式 > 定期进行更改。但是,要管理iOS设备,这些设备必须具有Internet连接。

登记

      1. 设备登记的先决条件有哪些?

        登记移动设备的先决条件有:

        • 创建APNs(仅适用于iOS)
        • 配置代理设置(仅限本地)
        • 配置邮件服务器设置(仅限本地)
        • 设置用户身份验证类型
        • 需要登记的设备应该可以通过internet访问,以接收带有登记设置的电子邮件。
      2. 自助登记的先决条件有哪些?

        终端用户应具备以下条件以自助登记设备:

        • 连接到Internet
        • 自助登记URL
        • 活动目录身份验证
      3. 更改NAT设置的公共IP地址后,是否需要重新登记移动设备?(本地)

        不需要,您不需要重新登记被管移动设备,因为移动设备将使用外部IP访问Mobile Device Manager Plus服务器。

      4. 为什么在尝试使用NFC登记登记设备时我的安卓设备显示错误“设备已配置”?
        运行5.0或更高版本的安卓设备,默认情况下在将Google账户与设备关联时启用隐式激活锁。当设备被公司/完全擦除时,设备将保留Google账户的详细信息,并且激活锁仍处于启用状态。因此,在擦除后尝试使用NFC登记登记此设备时,会显示错误“设备已配置”,因为该设备已与Google账户关联。隐式激活锁只能通过提供以前与设备关联的Google账户详细信息来禁用。
      5. 为什么用户还没有收到加入组织的邮件,尽管已经发送了登记请求?
        • 确保此处列出的所有先决条件都已配置。
        • 邮件可能已收入垃圾邮件文件夹。请验证,如果是,请更改电子邮件垃圾邮件筛选条件。
        • 请验证您的防病毒配置,以确保它没有阻止发送登记请求。
        • 验证路由器web界面中的POP/IMAP配置设置(如果已配置)。确保它没有阻止登记请求的发送。

        验证是否在用户设备上的OneAuth应用上禁用了限制登录,即使您尚未启用双因素身份验证。如果问题仍然存在,请联系MDM云支持团队(support@manageengine.cn)。

      6. 我想更改我在MDM云上登记时使用的电子邮件地址,如何操作?
        • 打开此链接并使用Zoho账户登录(如果需要)。
        • 指定新的电子邮件地址。
        • 将验证邮件发送到新的电子邮件地址。
        • 验证后,MDM会自动更新新的电子邮件地址。

        如果您需要将辅助电子邮件地址设为主地址,请点击邮件地址旁的邮件图标,这使选定的电子邮件地址成为主地址。

        如果您想更改任何技术人员的电子邮件地址,请按照上述相同的步骤操作。
         
      7. 我的一个组织用户登记了MDM云,而不是登记设备。如何登记设备?
        • 打开此链接并使用Zoho账户登录(如果需要)。
        • 点击仪表板下的删除组织
        • 点击删除以删除用户创建的MDM账户。请注意,这也会删除所有使用此账户配置的Zoho服务。如果用户将Zoho服务用于个人用途,也会将其删除。如果用户不确定Zoho账户使用的服务,请联系支持团队(support@manageengine.cn)。
        • 账户删除后,注销删除账号后,请注销Zoho账号并关闭浏览器窗口。
        • 请按照登记邮件中的说明继续登记。
      8. 添加用户或登记设备的先决条件有哪些?

        如果您的企业中有多个团队(以下简称组织)使用Zoho服务,请按照特定于您的场景的说明执行操作。

        • 如果用户没有现有的MDM账户,则用户可以访问邀请中的链接加入组织。
        • 如果用户已经是另一个组织的成员,则用户必须请求该组织的超级管理员删除该用户,然后访问邀请中的链接加入组织。
        • 如果用户是其他组织的超级管理员,则用户必须指派另一个用户作为超级管理员。新的超级管理员必须删除该用户。现在,用户可以访问邀请中的链接加入组织。
        • 如果用户是另一个组织中唯一的活动用户,则必须按照此处的说明删除该组织账户。现在,用户可以访问邀请中的链接加入组织。
      9. 当我尝试访问MDM云或登记设备时,为什么会出现标题为“欢迎使用设备登记”的页面?

        如果尝试登记设备时显示此页面,请确保从要登记的设备访问相应的登记URL。
        如果在尝试访问MDM云时显示此页面,请确保MDM云管理员已将您添加为用户

      10. 如何取消管理使用ABM/ASM登记的设备?

        使用ABM/ASM登记的设备不能仅通过工厂重置设备来取消管理。要取消对该设备的管理,首先需要从ABM服务器中删除该设备,然后在恢复模式下重置该设备。

      11. 在使用Apple Configurator登记iOS设备前,需要满足哪些先决条件?

        在使用Apple Configurator登记设备前,请确保:

        • 如果要登记的设备是从授权经销商处购买的,并且ABM在您的国家可用,建议使用ABM登记这些设备。
        • 如果要登记的设备已在使用中,请检查激活锁是否已禁用,进入设置 -> iCloud,然后关闭查找我的iPhone
      12. 如何撤销iOS设备中的监管和安卓中的设备所有者配置?

        监管和设备所有者配置都允许管理员利用对被管设备的额外控制。可以通过工厂重置来撤销。

      13. 如何修改登记设备的用户名和电子邮件地址?

        Mobile Device Manager Plus允许管理员修改与已登记设备关联的用户名和电子邮件地址,而无需重新登记设备。要修改关联的凭证,请执行以下步骤:

        1. 导航至登记,找到需要修改用户详细信息的设备。
        2. 操作下选择重新分配用户选项。
        3. 输入新的用户名和电子邮件地址并保存。

        修改用户详细信息会将基于账户的配置文件重新分配到新的电子邮件地址。

      14. 不是从授权经销商处购买的设备可以通过Apple登记计划进行登记吗?

        iOS 11及以上的设备可以使用Apple Configurator登记到ABM中,即使它们不是直接从Apple或授权经销商处购买的。请按照此文档中给出的步骤登记这些设备。

      15. 为什么在尝试使用Apple Configurator登记iPad时会出现意外错误?

        当您以前使用Apple Configurator登记iPhone时,通常会遇到此错误。对于iPhone,Apple Configurator获取IMEI,对于ipad,它尝试获取IMEI(不适用于iPad),并显示错误。在这种情况下,您可以使用Apple Configurator工厂重置设备,然后重试该过程。

      16. 为什么我需要加密设备以将设备配置为设备所有者/配置文件所有者?

        数据加密被Google强制用于配置运行5.0或更高版本和6.0或更高版本的安卓设备。仅对于运行7.0或更高版本的设备,将设备设置为配置文件所有者/设备所有者时不需要加密

      17. 在登记过程中,为什么MDM配置文件虽然由ManageEngine签名,但显示未验证

        当第三方SSL(安全套层)证书未导入服务器时,MDM服务器和ME MDM应用之间的通信不安全。要建立安全连接,用户必须在MDM配置文件安装期间手动信任证书。为了实现自动化,需要将由有效的证书颁发机构签名的SSL证书导入MDM服务器。这将在登记期间验证MDM配置文件的安装。

        注意:错误未验证不会影响Mobile Device Manager Plus提供的任何功能。

      18. 使用Apple Business Manager(ABM)登记iOS/Apple设备而不是使用Apple Configurator、自助登记或邀请有什么好处?

        使用ABM登记设备,您还可以利用其他功能,例如:

        • 开箱即用的登记
        • 强制设备管理 - 即使在设备重置时也不能撤销登记
        • 一次性设置
        • 自动用户分配
        • 监管(也在Apple Configurator中可用)

        但是,ABM必须在您的国家可用,以登记设备。点击此处查找支持ABM的国家列表。为了有效使用MDM,建议使用ABMApple Configurator登记公司拥有的设备,使用邀请自助登记登记员工拥有的设备。

      19. 在将设备移交给新用户前,需要遵循哪些最佳实践?

        如果要向新用户重新发布被管设备,则可能需要删除所有内容,同时保持关联的应用和配置文件完好无损。要重新发布被管设备,建议取消配置该设备,这将擦除设备数据,从而删除与该设备关联的所有应用和策略。取消配置后,您必须在向员工发布设备之前重新登记设备,以确保设备已预先配置了所有必需的应用和策略。

        您可以使用管理登记方法,如iOS设备的Apple Business Manager(ABM)、安卓设备的Zero Touch登记或支持Knox的三星设备的Knox移动登记来远程登记设备。这些方法确保设备自动登记,用户分配到设备后,配置文件和应用立即分发。

      20. 如果我是现有Zoho客户,如何简化设备安装?

        如果您是现有的Zoho客户,您可以使用组织的Zoho账户登记MDM云。要登记设备,请执行以下步骤。

        对于Andorid设备,用户可以从Play store下载ME MDM应用。

        1. 安装完成后,打开应用并点击页签。
        2. 指定Zoho账户登录凭证和所有者详细信息。
        3. 点击继续接受条款和条件。
        4. 启用设备管理员,然后点击激活以完成登记。

        对于iOS设备,您需要启用自助登记并使用Zoho账户凭证进行登记。

        您还可以使用MDM对Zoho Mail启用条件访问,如此文档所述。

配置文件管理

      1. iOS设备的限制策略行为有哪些?

        Mobile Device Manager Plus通过限制策略确保高安全性。每当出于同一原因应用多个策略时,将自动应用提供更多安全性的策略。例如,假设为一台设备分配了两个限制策略,其中一个用于验证摄像头的使用,另一个用于限制摄像头的使用,则确保高安全性的策略将自动应用。因此,摄像机在设备中的使用将受到限制。

      2. 用户是否可以撤销在移动设备上强制执行的密码策略?

        不可以,用户不能撤销移动设备上强制执行的密码策略。虽然用户可以禁用设备上的密码设置,但当设备解锁时,用户将被迫设置密码。但是,如果从设备中删除MDM配置文件,则Mobile Device Manager Plus将无法再管理该设备。

      3. 您所说的强制政策是什么意思?

        成功应用于被管移动设备的策略和限制称为强制策略。

      4. 什么是违反政策?

        管理员指导用户接受推送到设备的策略和限制。当用户违反策略和限制时,这些策略和限制称为违反策略。

      5. 如果我的设备违反了策略,会发生什么?

        当用户覆盖管理员推送的策略和限制时,这些策略将被标记为违反策略,并将列在ME MDM应用的“违反策略”页签下。违反策略的后果因违反的策略而异。

        • 密码:如果在设备所有者设备中违反了密码策略,则设备将被禁用,直到用户设置了兼容的密码。在配置文件所有者设备中,工作配置文件中的应用将被禁用,直到用户设置符合要求的密码。容器外的应用或个人应用将正常工作。
        • 添加被管账户:使用MDM部署应用时,需要在设备上添加被管账户。当Play Store或Play Service未更新时,被管账户添加可能会失败。Play Store或Play Service更新后,按照屏幕上的说明将被管账户添加到设备。
        • 位置或NFC总是打开:在配置文件所有者设备中,如果位置/NFC在限制策略下始终启用,而用户将其关闭,则该策略将被标记为违反。系统将提示用户打开位置/NFC,并且在用户打开位置/NFC之前,该策略将一直是违反状态。
      6. 锁定前的“空闲超时”和设备锁定的“宽限期”有什么区别?

        设备锁定前的空闲超时是指屏幕关闭前设备允许使用的时间。这与可在设备中配置的设置类似(设置 > 通用 > 自动锁定)。设备锁定的宽限期是指用户在提示输入密码之前所允许使用的时间。设备的屏幕关闭,当用户滑动箭头解锁屏幕时,系统会提示用户输入密码。这类似于可以在设备中配置的设置(设置 > 通用 > 密码锁定)

      7. 为什么我不能备份和恢复安卓设备上的数据?

        安卓默认限制了作为设备所有者配置的设备中的备份和恢复数据功能。如果要允许备份和恢复,可以使用“限制”配置文件启用它。对于配置为设备所有者的三星设备,通过Samsung Cloud和Smart Switch备份功能的备份在默认情况下受到限制,无法启用。

      8. 在被管iOS设备上是否可以限制操作系统更新?

        不可以,Apple不允许MDM解决方案限制操作系统更新。但是,MDM提供了一种解决方法来防止OS更新,如此处所述。

      9. 是否可以限制用户更改iOS设备上的日期和时间设置?

        Apple不允许限制用户更改设备上的日期和时间设置。Mobile Device Manager Plus可以通过在Kiosk模式下运行设备来限制用户访问任何设置,在Kiosk模式下,设备只能访问一个应用。另一种可以使用的方法是,确保所需的应用仅依赖于网络日期和时间,而非设备日期和时间

      10. 如何防止用户访问设备上的“设置”?

        对于iOS设备,可以通过禁用“配置文件”中“限制”下的单个设置来限制设置。对于安卓设备,可以通过禁用“配置文件”中“限制”下的“修改默认设备设置”选项来禁用“设置”应用。

        除这些方法外,用户可以通过在“单应用Kiosk模式”下运行设备来阻止更改任何设置。

      11. 是否可以使用Mobile Device Manager Plus将联系人分发到iOS设备?

        您可以使用CardDAV配置文件将联系人分发到被管设备。在这里,您可以使用Google联系人或任何其他支持CardDAV的第三方服务。

      12. 是否可以阻止用户向被管设备添加iCloud账户?

        通过导航至设备管理 -> 配置文件 -> 限制 -> 高级安全并限制修改账户设置选项,可以限制用户修改设备上的账户。

        用户将无法修改邮件账户、iCloud和iMessage设置等账户。如果您想完全限制iCloud,那么导航至配置文件 -> iCloud并限制它。这将限制应用与iCloud同步,并限制iCloud上的设备备份。

      13. MDM是否可以在没有任何用户干预的情况下预配置Wi-Fi和无线电子邮件等基本设置?

        可以,您可以在MDM服务器上跨平台配置电子邮件、Wi-Fi和其他基本设置(如VPN、Exchange等),然后将其与组关联。登记时添加到此组的设备将自动分发配置好的策略,从而在设备上进行预配置。了解有关MDM中iOS安卓Windows支持的所有策略的更多信息。

      14. MDM能阻止Apple设备上的Wi-fi共享吗?

        在iOS 11上,Apple发布了一项功能,通过让两台运行iOS 11的设备彼此靠近,用户可以将wi-fi凭证共享到新设备上。虽然这项功能很有用,可以方便地访问个人wi-fi,但它可能会在公司场景中造成问题,这就是为什么Apple确保通过移动设备管理解决方案分发的任何wi-fi都不能通过wi-fi共享共享给其他人。因此,使用Mobile Device Manager Plus预配置的任何wi-fi都不能共享给使用wi-fi共享功能的其他用户。

      15. 如何在kiosk模式下将电话呼叫应用添加到安卓设备?

        通过在kiosk配置文件中添加相应的应用,用户可以在kiosk模式下通过安卓设备拨打电话和访问联系人。三星和其他安卓设备对此应用使用不同的包名,因此建议使用以下包标识符搜索应用。

        • 三星com.samsung.android.contacts
        • 核心安卓com.android.contactscom.google.android.dialer
      16. 如何自动屏蔽内容不适当的网站?

        管理员可以分别在安卓和iOS设备配置文件的Web内容过滤下启用复选框自动限制恶意内容自动限制不适当的内容,自动屏蔽不适当或恶意内容。

      17. 在限制iOS设备的添加/修改iCloud、邮件和其他账户时,我遇到了与电子邮件Exchange ActiveSync策略(通过MDM配置)的密码相关的问题,该如何解决?

        案例 01:管理员使用MDM配置一个基于电子邮件的配置文件和另一个限制添加/修改iCloud、邮件和其他账户的配置文件。在关联这些配置文件时,将提示用户在执行初始设置时提供电子邮件密码。如果用户在提供密码前关闭此提示,则除非电子邮件配置文件与设备重新关联,否则无法对其进行配置。

        案例 02:类似地,这两个配置文件都与iOS设备关联,并且在初始设置期间成功配置了邮件账户。当密码过期时,设备不会提示/允许用户更改密码。解决方法是将电子邮件配置文件与设备重新关联,因为Apple没有提供任何解决方案。

      18. 如果管理员或用户忘记了iOS设备的密码怎么办?

        如果管理员忘记或不知道密码,唯一的解决办法是清除MDM服务器中的密码。如果多次输入错误的密码,设备将被禁用。在设备被Apple禁用或锁定后,如果设备关闭或重启,设备将失去与MDM服务器的连接,并且从MDM服务器发出的删除密码等远程命令将不会在设备上执行。

应用管理

      1. App Store应用和企业/内部应用之间有什么区别?

        App Store应用是那些可以在App Store中找到的应用。它们可以是付费应用或免费应用。企业应用,也称为内部应用,是专门为每个企业开发和设计的,这是独有的,完全由企业自己拥有和分发。

      2. 如何在被管设备上禁用App Store,而不影响通过MDM分发的应用的安装?

        您可以通过创建配置文件并导航至限制 ->应用程序并限制用户可以从App Store安装应用来限制被管设备上的App Store。这确保了仅通过MDM发布的应用才能安装在设备上(必须运行iOS 9.0或更高版本)。这对于运行其他操作系统版本的设备是有限制的,即使是MDM分发的应用也不能安装在设备上

      3. 什么是批量购买计划(VPP)?

        批量购买计划(VPP)用于批量购买应用许可,并通过被管分发或兑换代码将许可分发给用户。点击此处了解更多关于批量购买计划。

      4. 什么是.apk文件?

        “APK”是指应用程序包文件。安卓程序文件编译在一个包中作为.apk文件,用于分发应用。当您需要将安卓应用添加到应用库时,您需要确保安卓应用采用.apk格式。

      5. 如果我将iOS应用分发到安卓和Windows设备,会发生什么?

        Mobile Device Manager Plus应用分发的设计方式是,您只能将iOS应用分发到iOS设备,将安卓应用分发到安卓设备,将Windows应用分发到Windows设备。

      6. 为什么要在安卓移动设备中启用“设备管理器”?

        应在安卓移动设备中启用“设备管理器”来验证Mobile Device Manager Plus移动设备管理,以便在设备中执行远程管理活动。

      7. 是否可以在不输入Apple ID的情况下安装App Store应用?

        App Store应用可以在不输入Apple ID的情况下安装,如此处所述。

      8. 是否可以在安装应用后撤销许可代码?

        可以,借助ABM中的iOS应用许可管理功能,Mobile Device Manager Plus将允许您撤销应用许可并将其重新分配给所需的用户设备。

      9. 为什么要在APNs到期前一个月续费?

        如果APNs证书已过期,Apple推送通知服务将无法联系被管移动设备。过期后续订APN与创建新的APN相同,这意味着需要重新登记所有设备才能进行管理。假设APNs将于6月30日到期,您需要确保在到期日之前续订APNs,并在Mobile Device Manager Plus服务器中进行更新。所有被管移动设备应在6月30日前与Mobile Device Manager Plus服务器至少联系一次。如果任何被管移动设备未能联系Mobile Device Manager Plus服务器,则应再次登记这些设备。因此,我们建议在APN过期一个月前进行续订。

      10. 为什么更新的APNs证书在设备中不可用?

        设备一旦与MDM服务器联系,就会收到APNs证书。过程中可能会有轻微的延迟,但这不会影响服务器和设备之间的通信。受密码保护的设备需要解锁才能与服务器联系。

      11. 如果APNs在过期后续订,设备是否需要重新登记?

        这些设备不需要重新登记。更新APNs证书就足够了。建议尽早更新证书。

      12. 在安装应用目录中的应用时,用户是否必须使用Apple ID密码?

        是的,用户必须输入Apple ID才能安装应用。要静默安装应用或不使用Apple ID,请参阅此处

      13. 可以使用Mobile Device Manager Plus在被管设备上强制安装应用吗?

        可以,如此处所述,iOS设备支持强制安装;如此处所述,如果安卓设备登记为设备所有者,则支持强制安装。安卓企业应用可以强制安装在三星设备上,无需任何额外配置。

      14. Windows Phone企业应用分发的先决条件有哪些?

        对于运行Windows 8和8.1的移动设备,执行应用分发的步骤如下:

        • 您必须在Windows Phone开发中心登记公司账户,并从Symantec获得企业证书。
        • 应生成应用程序登记令牌(AET)。
        • 将生成的AET文件上传到服务器(MDM -> 应用库 -> Windows应用设置 -> 应用分发证书 -> 配置)。
        • 在应用库中添加企业应用前,必须使用AET对应用进行签名。有关详细信息,请访问“帮助”。
      15. 什么是AET?其目的是什么?

        AET是指应用程序登记令牌。Windows Phone 8操作系统要求用户先向企业登记每台设备,然后才能在设备上安装公司应用程序。实现这一点的唯一方法是使用应用程序登记令牌,它使您能够在Windows Phone 8设备上分发企业应用程序。有关更多信息,请访问“帮助”。

      16. 如何验证被管安卓设备中是否已装有工作配置文件?

        使用Android For Work将安卓设备设置为配置文件所有者时,将安装工作配置文件。要验证设备中是否已装有工作配置文件,进入设置,然后选择账户。工作配置文件列在“工作”部分下。

      17. 如何从被管安卓设备卸载工作配置文件?

        在运行5.0或更高版本的安卓设备中,进入设置,点击账户并选择删除工作配置文件。点击删除以确认删除工作配置文件中的所有应用和数据。

      18. 当设备进入Kiosk模式时,应用权限的行为是什么?

        设备进入单应用模式后,将不会生成任何权限提示。这意味着该应用无法访问任何其他使用摄像头、联系人或位置服务的功能。管理员应在将设备放入单应用kiosk前允许这些设置

      19. 使用Mobile Device Manager Plus分发企业应用的先决条件有哪些?

        使用Mobile Device Manager Plus来分发企业应用的方法有:

        • 企业分发:如果您有一个熟悉应用开发的开发团队,您可以选择这种方法。确保在开发应用时启用了“保存以供企业分发”设置。
        • B2B应用分发:如果您没有内部开发应用的资源,您可以使用B2B应用分发。对于B2B应用,请执行此处给出的步骤。
      20. 如果我们将一个ABM令牌从一个服务器移动到另一个服务器,或者在两个不同的MDM服务器中使用相同的ABM令牌,会发生什么?

        当从服务器中删除ABM令牌时,用于分发应用的许可将恢复到您的账户。当您在另一台服务器上使用此令牌时,许可可用于将应用分发到设备。

        不可能在多个MDM服务器上使用相同的ABM令牌,因为每个MDM服务器都管理使用该令牌购买的一整套许可。这将导致MDM服务器撤销分发到设备的应用的许可,并从设备中删除应用。

      21. 如何确保用户不从被管设备安装/卸载应用?

        我们可以通过对设备应用一些限制来防止从设备安装和卸载应用。

        1. 设备管理下,选择配置文件
        2. 选择要应用配置文件的设备的操作系统。
        3. 限制下,点击应用程序
        4. 限制选项安装应用卸载应用
        5. 将配置文件发布并分发到设备。
      22. MDM是否允许企业iOS应用在没有用户干预的情况下静默安装?

        是的,您可以在iOS设备上静默安装企业应用(如果它们受监管的话)。首先,将添加企业应用源.ipa文件添加到应用库中。在“分发设置”中确保启用强制安装选项后,将其分发到设备和(或)

      23. MDM是否允许企业安卓应用在没有用户干预的情况下静默安装?

        是的,您可以在安卓设备上静默安装企业应用,如此处所述。

      24. MDM是否可以停止和(或)控制被管iOS设备上的应用更新?

        是的,如果应用是通过ABM分发并安装到被管iOS设备上的,则可以停止和(或)控制设备上的应用更新。此外,确保在初始ABM设置期间选择了不使用Apple ID。这样就可以在不需要Apple ID的情况下安装应用,并且应用可以与设备相关联,而不是Apple ID(这是它通常的关联方式)。由于该应用与设备上的Apple ID没有关联,因此当通过MDM分发时,App Store不会通知用户可能的应用更新。您可以选择在设备上强制应用更新,如此处所述。

      25. 为什么我无法将企业应用分发到小米设备?

        这是小米设备的特定型号的问题。如果无法将企业应用分发到小米设备,请执行以下步骤:

        • 在小米设备上,导航至设置并点击关于本机。现在点击MIUI版本7次
        • 您会看到一个弹出消息,说您现在是一名开发人员。
        • 导航回设置,然后点击其他设置。现在点击开发人员选项,向下滚动到打开MIUI优化选项并禁用它。
        • 设备已重启。重启后,您将能够将企业应用分发到此设备。
      26. 可以使用MDM删除用户安装的应用吗?

        可以,您通过屏蔽它们来删除设备上的应用,如此处所述。

      27. 如何防止在安卓设备上创建多个应用快捷方式?

        安卓设备(运行8.0以下的安卓版本)上的ME MDM应用,在安装到设备后会创建应用快捷方式。在大多数情况下,用户在Google Play Store中启用了添加图标到主屏幕选项。这将在设备上创建另一个快捷方式。有时,即使更新了应用,也不会用新的快捷方式替换现有的快捷方式,从而导致存在多个应用快捷方式。当使用特定的设备启动器时,也会发生这种情况。

        为避免创建多个快捷方式,用户应导航至Play Store->设置->添加图标到主屏幕,禁用添加图标到主屏幕选项。

      28. 当设备上的所有Google服务都被阻止时,如何分发应用?

        将应用的.apk文件上传到应用库并将其分发到设备上,如此处所述。

      29. MDM可用于完全锁定iOS设备吗?

        可以,您可以选择通过阻止用户安装/卸载应用来完全锁定设备,并确保设备上仅安装通过MDM分发的应用。要将设备锁定到特定的应用/设置,可以使用Kiosk模式

      30. 同一个应用可以既安装在容器内也安装在容器外吗?

        可以。由管理员使用Mobile Device Manager Plus分发的应用将在容器内可用。用户安装的应用将在容器外可用。例如,您可以把Gmail应用放在公司电子邮件账户的容器内,而把个人电子邮件账户放在容器外。

      31. 通过MDM分发的应用版本与设备上安装的应用版本不同,这怎么可能?

        这是由于Google Play Store分阶段推广应用更新。应用开发人员只能向一定比例的设备发布更新,这些设备是随机选择的。点击此处获取有关分阶段推广的详细信息。

        只有已经完全推出(100%)的应用版本才会添加到MDM中。例如,假设一款应用分阶段推广,在20%的设备上发布。如果设备在被MDM分发应用时属于此类别,则会出现应用版本不同的问题。安装在设备上的应用将是最新版本(最新推出),而MDM服务器上则是完全推出的先前的版本。

        对于使用Google Play的多APK支持(列为“随设备而异”)开发的应用,不同的APK针对不同的设备配置。每个应用的APK都是一个独立的版本,但它们在Google Play上共享同一个应用列表。这可能会再次根据设备类型在服务器和设备上显示不同的应用版本。

      32. 如何在iOS设备上阻止列出系统应用?

        MDM可以阻止列出系统应用(也称为预装应用),步骤如下:

          • 在MDM控制台上,导航至资产清单 -> 应用
          • 默认情况下,复选框仅显示已安装的应用将被选中。取消该选项将显示设备上的所有应用,包括预装应用。
          • 搜索并选择要阻止列出的应用。点击阻止列出应用,并指定该应用是针对所有设备还是特定组/设备阻止列出。

         

      33. 如何使用Android For Work购买付费应用或进行应用内购买?

        Android For Work(AfW)已经停止支持付费应用。您仍然可以使用MDM分发付费应用,方法是将它们作为Play Store应用(非AfW)添加到应用库中。一旦这些应用被分发到设备上,用户需要使用个人Google账户访问Play Store,在那里可以购买和下载这些应用。个人Google账户也是进行应用内购买所必需的。如果在这里使用被管账户,则只能下载该应用的免费版本,并且不能进行应用内购买。要确保用户能够添加个人账户,在MDM服务器上导航至设备管理->配置文件->安卓->限制->设备功能,并确保“添加账户”设置为“允许”。
        注意:如果设备上有多个账户,用户需要切换到个人账户进行购买。

      34. 如何限制用户在安卓设备上安装未经批准的应用?

        这可以通过三种不同的方式实现。

          • 安卓限制:如果您想完全阻止用户在设备上安装任何应用,您可以在MDM控制台上导航至设备管理->配置文件->安卓->限制->应用程序,禁用限制用户可以安装未经批准的应用。这将确保设备上只存在由MDM分发的应用。
          • 阻止列出应用:如果您想阻止用户在设备上安装一组特定的应用,您可以在MDM控制台上导航至资产清单->应用,选择要阻止列出的应用。在某些情况下,这些应用将立即从设备中删除,且无法再次安装到设备上。
          • Kiosk:果您希望用户只访问一个应用或一组特定的应用并限制其他应用,您可以在MDM控制台上导航至设备管理->配置文件->安卓->Kiosk。Kiosk设置阻止用户导航至设备上的其他应用,Kiosk应用除外。此外,还可以限制特定的设备设置和功能。

         

    1. 为什么即使在MDM服务器上显示“应用更新可用”通知,我也无法将应用更新分发到设备?

      这是由于Google Play Store分阶段推广应用更新。应用开发人员只能向一定比例的设备发布更新,这些设备是随机选择的。点击此处获取有关分阶段推广的详细信息。

      只有已经完全推出(100%)的应用版本才会添加到MDM中。如果设备在被MDM分发应用时属于此类别,则会出现应用版本不同的问题。安装在设备上的应用将是最新版本(最新推出),而MDM服务器上则是完全推出的先前的版本。

      对于使用Google Play的多APK支持(列为“随设备而异”)开发的应用,不同的APK针对不同的设备配置。每个应用的APK都是一个独立的版本,但它们在Google Play上共享同一个应用列表。这可能会再次根据设备类型在服务器和设备上显示不同的应用版本。

       

    2. 为什么我无法通过移动数据更新iOS设备上的企业应用?

      Apple限制用户通过移动数据更新大小超过200MB的应用,因此,默认情况下,用户可以通过Wifi进行更新。这可以进行更改,App Store-> 应用下载 -> 总是允许

       

    3. 为什么用户能够删除设备上的被管账户?

      在MDM服务器上集成被管Google Play而不使用G Suite时,将在设备上创建被管账户。默认情况下,用户无法删除此被管账户。然而,

      • 如果从MDM服务器中删除被管Google Play集成,则设备上的被管账户将被视为无效,用户可以删除该账户。
      • 如果被管账户已过期,则用户可以将其删除。
      • 如果删除了过期的账户,则设备会自动添加一个新的被管账户。
    4. 为什么我不能从最近使用的应用中清除ME MDM应用历史记录?

      在三星设备中,MDM限制用户关闭ME MDM应用。一旦设备打开,应用将自动开始运行。这是为了确保设备保持与MDM服务器的连接,并且任何策略或限制都会立即应用于设备。

       

    5. 如何隐藏来自ME MDM应用的通知?

      我们建议来自ME MDM应用的通知始终处于打开状态,因为这样可以让用户了解强制实施的策略或违反的策略。通知可以在设备设置上关闭,但是对于运行安卓8.0及更高版本的设备,将默认向用户显示通知。这是安卓支持的隐私功能。

       

安全管理

      1. 如何管理BYOD?

        “自带设备”(BYOD)是Mobile Device Manager Plus的重要组成部分,可以确保企业数据的安全。每当出现用户的个人设备丢失,或员工退出组织时,管理员都可以执行安全命令,如公司擦除或完全擦除,以确保数据安全。因此,Mobile Device Manager Plus MDM是企业管理BYOD的明智选择。

      2. “完全擦除”和“公司擦除”有什么区别?

        公司擦除是用来擦除设备上数据的安全命令,此安全命令主要用于在设备丢失时保护企业数据。公司擦除仅用于删除使用Mobile Device Manager Plus推送的配置和应用,此命令不会擦除用户的个人数据。

        公司擦除将仅删除Exchange Server或电子邮件(如果它们是通过Mobile Device Manager Plus配置的),这包括使用公司电子邮件共享的文件和文档。

        完全擦除命令用于擦除设备中的所有数据,这使设备与新设备一样。

      3. 可以从设备的外部存储器中删除数据吗?

        可以,您可以擦除设备外部存储器上的数据。

      4. 如何保护移动设备上的公司数据?

        您可以通过应用以下限制来保护移动设备上的公司数据:

        • 禁用屏幕捕获
        • 禁用备份(iCloud)
        • 禁用文档同步
        • 禁用照片流
        • 禁用共享流
        • 禁用用户接受不受信任的TLS证书
        • 强制加密备份
        • 配置电子邮件设置以限制数据转发

        这些限制将帮助您保护移动设备上的公司数据。

      5. 哪些设备支持远程控制功能?

        Mobile Device Manager Plus允许管理员远程控制运行安卓5.0及以上版本的三星、索尼和联想设备。远程查看功能在其他运行5.0以上版本的安卓设备和iOS设备上可用。

      6. 如何在MDM中完全禁用位置跟踪?

        出于对用户隐私的考虑,大多数组织倾向于禁用地理跟踪。虽然管理员可以通过配置地理位置跟踪设置来选择仅在设备丢失时跟踪设备,但有些管理员更喜欢完全禁用设备上的位置跟踪。这可以通过导航至管理 -> 设备隐私来实现。点击修改,在地理位置下选择不收集。在应用设备下,选择此设置是仅应用于个人、公司还是所有设备。点击“保存”,MDM将不会从被管设备收集任何位置详细信息。

      7. 如何使用活动目录证书服务(ADCS)或任何其他证书颁发机构(CA)进行基于客户端的身份验证?

        如果在组织的AD中启用了基于客户端的身份验证,您可以配置SCEP策略以确保依赖于AD的应用程序和服务(如VPN、Wi-Fi等)的一次性登录。

      8. 为什么Outlook不支持条件Exchange访问?

        由于以下原因,Outlook不能提供条件Exchange访问

        • Outlook提供通过internet访问Exchange的功能。由于Exchange邮件的凭证和服务器URL存储在Exchange服务器中,Outlook依靠internet将远程客户端的请求转发到Exchange服务器,这涉及到将服务器直接暴露在internet上的风险。
        • 当设备尝试访问Exchange邮箱时,将向该设备发出EAS标识符以进行设备标识。使用MDM登记的设备的EAS标识符存储在服务器中,任何具有未知EAS标识符的新连接都将被阻止到达服务器。在Outlook应用中,每次用户使用相同的Exchange凭证从不同的设备登录时,都会向该设备发出相同的EAS标识符。这将允许任何非被管设备访问Exchange邮箱,从而带来安全风险。
        iOS和Windows设备中的本机电子邮件应用支持条件Exchange访问,安卓设备中的Gmail应用也支持条件Exchange访问。

用户管理

      1. 如何添加用户(技术人员)来管理设备?

        您可以将用户关联到预定义的角色,也可以创建角色并将其关联。此外,您还可以修改用户及其角色,甚至删除它们。点击此处了解更多有关用户管理的信息。

      2. 如何添加用户并授予用户只读权限?
        • 在MDM服务器上,导航至管理页签并选择全局设置下的用户管理
        • 点击添加用户。提供所需的详细信息并将角色指定为访客,这将确保创建的用户具有只读访问权限
      3. 如何将超级管理员权限从一个用户更改为另一个用户?
          • 使用Zoho账户登录此处,将列出该Zoho账户使用的所有服务。
          • 点击“超级管理员”名称旁边的铅笔图标,更改超级管理员,如下图所示。
        • 将列出所有在MDM云中添加管理员的用户。选择新的超级管理员,超级管理员电子邮件地址会自动修改。

        需要注意的是,所有Zoho服务的超级管理员都会发生更改。

      4. 如何删除我的MDM账户?

        要删除MDM账户,请进入MDM web控制台,点击顶部菜单中的管理页签。现在,选择公司详细信息并点击删除账户。根据屏幕上的说明删除您的MDM账户。

价格

      1. 如何购买MDM云?
        • 在MDM服务器上,导航至管理页签,选择全局设置下的订购
        • 填写您想要管理的设备数量和其他所需的详细信息。点击立即购买
        • 点击后,Zoho Store页面打开。检查并确认您的订单。
        • 继续并提供您的支付方式。成功完成后,您的MDM云许可将立即激活。

        这是一项即付即用的服务,您需要时可以随时修改。此外,您还可以通过发送邮件至sales@manageengine.cn进行线下购买。

      2. 如何重新激活我的许可,如果它已过期?
        • 在MDM服务器上,导航至管理页签,选择全局设置下的订购
        • 点击管理计划
        • 点击后,Zoho Store页面打开。在此处更新您的许可。
        • 成功完成后,您的MDM云许可将立即激活。
        如果您被拒绝访问MDM服务器,请点击立即购买继续重新激活。
      3. MDM云支持哪些支付方式?

        支持线上、线下多种支付方式,详情请发送邮件至sales@manageengine.cn。

      4. 如何修改MDM云许可?
        • 导航至此链接修改您的许可(如果需要,请使用Zoho账户登记)。点击管理计划,它会将您重新引导到Zoho Store。
        • 将鼠标悬停在计划上,可以添加/删除要管理的设备数量。类似地,将鼠标悬停在技术人员多语言支持上,可以分别添加/删除技术人员以及取消订阅多语言支持,如下图所示:
        • 假设您要添加更多设备进行管理。点击计划并指定要管理的设备数量。
        • 在指定附加的设备时,将显示需要支付的成本。然后您可以继续付款并完成购买。
      5. 如何将支付方式从线下更改为线上?

        要更改支付方式,请发送邮件至sales@manageengine.cn。

        • 在MDM服务器上,导航至管理页签,选择全局设置下的订购。点击管理计划,它会将您重新引导到Zoho Store。现在点击如下图所示的支付方式链接。
        • 提供信用卡详细信息,然后点击更新以修改您的支付方式。