常见问题解答

MDM云版本是MDM本地版本的SaaS版本。使用MDM云版本，只需使用您的Zoho账户登录系统即可开始管理设备。数据和服务器配置由Zoho管理。而在本地版本的情况下，您需要安装应用、配置网络、设置MDM并管理设备。

• ManageEngine卓豪MDM可以在本地和云端使用。
• ManageEngine卓豪MDM可以用于管理多个平台，而Apple Profile Manager仅限于Apple。
• Profile Manager更适合小型Apple专用环境，而MDM则没有环境限制。
• 专用的MDM服务器提供卓越的性能。
• MDM提供灵活的组/部门管理。

目前，MDM管理以下软件平台：

• iOS版本4.0及以上
• iPadOS版本13.0及以上
• 安卓版本4.0及以上
• Windows Phone版本8.0及以上
• 运行Windows 10的笔记本电脑和Surface Pro
• 运行10.7或更高版本的Mac机器
• 运行7.0或更高版本的Apple TV

MDMP当前支持pgSQL和 MS-SQL。

是的，MDM支持使用我们的内部迁移工具从云迁移到本地。

是的，我们支持在云的情况下将独立版本迁移到MSP版本。请联系MDM云支持团队 (support@manageengine.cn) 获取更多详细信息。

MDM为您提供30天的专业版试用期，您可以管理无限数量的设备并添加无限的额外技术人员。一旦30天的试用期到期，您可以选择延长试用、购买产品或升级到免费版。在试用期到期后，如果您转到免费版，您可以选择要管理的设备（最多25个）。所有分发到这些设备的应用和配置文件，以及与选定设备相关的其他配置都将保留。免费版类似于试用版，免费版最多允许管理25个设备，并且不能添加额外的技术人员。

当您尝试注册时，您会遇到一个错误，提示您是另一个组织的一部分，如 “对该服务的访问被拒绝。 请联系您的组织（<org_name>）管理员 [admin@org.com]，这意味着您已经是注册用户，因为您的组织已注册Zoho服务。 被分配有超级管理员负责Zoho服务，只有该管理员可以注册任何其他Zoho服务，包括MDM云。如果超级管理员已经注册了Zoho服务，您可以请求超级管理员将您添加为技术人员以使用MDM云。如果您想尝试MDM云，您可以使用另一个电子邮件地址注册并使用该服务。 如果您被重定向到https://mdm.manageengine.cn/enroll.do，那么您可以请求超级管理员将您添加为技术人员以使用MDM云。

在MDM云中，默认存储为5GB。您可以通过附加功能申请额外存储。联系支持以获取更多信息。

要删除您的MDM账户，请访问MDM网页控制台，并在顶部菜单中点击管理选项卡。现在，选择公司详情，然后点击删除账户。按照屏幕上的说明删除您的MDM账户。

确保在代理/防火墙中打开以下端口。除了端口外，确保这些域名在任何代理/防火墙/第三方过滤器中被允许。

端口号	类型	目的	连接	流量
9020	HTTP	ME MDM应用与服务器的通信。	服务器入站
9383	HTTPS	ME MDM应用与服务器的通信。	服务器入站
443	HTTPS	应该在Mobile Device Manager Plus服务器上打开，以访问APN、FCM、WNS服务器。 对于安卓设备： android.googleapis.com；www.google.com；android.clients.google.com；*.googleapis.com；play.google.com；google-analytics.com；googleusercontent.com；gstatic.com；*.gvt1.com；*ggpht.com；dl.google.com；accounts.google.com；gcm-http.googleapis.com；fcm.googleapis.com；fcm-xmpp.googleapis.com；pki.google.com；clients1.google.com；clients[2...6].google.com 根据服务器所在的国家/地区，以下域必须开放： 全球：analytics.samsungknox.com；prod-knoxlog.secb2b.com；account.samsung.com；gslb.secb2b.com；gsl.samsunggsl.com 美国：us-elm.secb2b.com；us-prod-klm-b2c.secb2b.com；us-prod-klm.secb2b.com；usprod-knoxlog.secb2b.com 中国：china-gslb.secb2b.com.cn；china-elm.secb2b.com.cn；china-b2c-klm.secb2b.com.cn；china-prod-klm.secb2b.com.cn；china-klm.secb2b.com.cn；china-segd-api.secb2b.com.cn；myknoxapk.blob.core.chinacloudapi.cn 亚洲、非洲、欧洲或其他地区：eu-elm.secb2b.com；eu-prod-klm-b2c.secb2b.com；eu-prod-klm.secb2b.com；euprod-knoxlog.secb2b.com 对于苹果设备： albert.apple.com; captive.apple.com; gs.apple.com; humb.apple.com; static.ips.apple.com; tbsc.apple.com; *.push.apple.com; gdmf.apple.com; deviceenrollment.apple.com; deviceservices-external.com; identity.apple.com; identity.apple.com; iprofiles.apple.com; mdmenrollment.apple.com; setup.icloud.apple.com; vpp.com; vpp.itunes.apple.com; gg.apple.com; gnf-m-mr.apple.com; gs.apple.apple.com; ig.apple.com; mesu.apple.com; ns.itunes.apple.com; oscdn.apple.com; os 有关详细列表，请参阅Apple的此文档。 对于Windows设备： https://login.live.com；https://*.notify.windows.com 需要打开这些端口才能使用Zoho Assist启用远程控制/查看。	出站到服务器
5223	HTTPS	如果移动设备通过公司Wi-Fi连接到互联网，建议配置IP范围为17.0.0.0/8。	从企业网络防火墙出站
5228, 5229, 5230	HTTPS	为了让FCM能够到达受管理的移动设备。 主机地址： https://android.com; play.google.com; android.clients.google.com; www.google.com; googleapis.com; android.googleapis.com; gstatic.com; google-analytics.com; googleusercontent.com; *.gvt1.com; *ggpht.com; dl.google.com; fcm.googleapis.com; fcm-xmpp.googleapis.com; gcm-http.googleapis.com; gcm-xmpp.googleapis.com 由于FCM不提供特定的IP，您应该允许您的防火墙接受到所有包含在Google的ASN 15169.中列出的IP块的所有IP地址的外发连接。 了解更多。	来自企业网络防火墙的外发
5235,5236	HTTPS	用于Firebase云消息传递（例如EMM-DPC通信）。主机地址： https://gcm-xmpp.googleapis.com; gcm-http.googleapis.com; android.googleapis.com	来自企业网络防火墙的外发

此外，确保Mobile Device Manager Plus服务器具有充分的权限以联系列出的域这里.

TLS和TCP 协议用于在MDM中注册设备.

安卓企业网络要求

MDM服务器和将要注册到MDM的设备必须能够访问以下域，这些域应在防火墙和/或任何第三方过滤器中被排除/允许。

平台	域	目的	在服务器中允许	在设备中允许
所有平台 (安卓, iOS, Windows)	https://patchdb.manageengine.com	用于访问补丁数据库以进行补丁管理和部署。
	https://creator.zoho.com	用于使用Zoho Creator创建自定义业务应用的访问。
	https://mdm.manageengine.com:443	启用ManageEngine移动设备管理 (MDM) 功能。
iOS	https://api.push.apple.com	促进Apple推送通知服务 (APNs) 进行设备通信。
	https://itunes.apple.com:443	提供对Apple iTunes Store的访问以下载和更新应用。
	https://vpp.itunes.apple.com	管理批量购买计划 (VPP) 许可证。
	albert.apple.com iprofiles.apple.com	用于设备激活和配置文件设置。
	crl3.digicert.com crl4.digicert.com ocsp.digicert.com	在线证书状态协议 (OCSP) 用于验证Apple证书。
	setup.icloud.com gateway.icloud.com	用于设备的初始设置和访问iCloud服务。
	https://ax.init.itunes.apple.com	在设备设置过程中与Apple的激活服务器进行通信。
	https://ppq.apple.com	用于Apple ID和购买验证过程。
	http://is2.mzstatic.com	Apple服务用于传递静态资源，如图像、图标和其他多媒体资产，这些资产是Apple Store内容或相关应用所需的
	ocsp.apple.com	在线证书状态协议 (OCSP) 用于验证Apple证书。
	https://buy.itunes.apple.com/	促进iTunes Store上的购买和交易相关服务，包括应用购买、订阅和应用内购买。
	https://uclient-api.itunes.apple.com	Apple用于管理用户与iTunes Store API的交互，包括应用安装、更新和与商店相关的其他客户端操作。
	*.zohoassist.com:443	启用访问Zoho服务，包括用于远程故障排除的Zoho Assist。 注意：要配置防火墙以与Zoho Assist兼容，请参阅我们的Zoho Assist 指南。
	https://mesu.apple.com	Apple设备用于检查和下载软件更新，包括iOS、iPadOS、macOS和其他Apple固件更新。
	https://bag.itunes.apple.com	该域用于Apple服务以获取配置文件、元数据和iTunes Store、App Store及相关Apple服务所需的其他资源。
	https://mdmenrollment.apple.com	用于将Apple设备加入移动设备管理 (MDM) 注意：如果使用负载均衡器，请确保为一致性使用相同的外发 IP，以避免任何连接问题。这有助于维持设备注册的稳定通信通道。
Windows	https://login.live.com	Microsoft服务的身份验证。
	https://*.notify.windows.com https://*.wns.windows.com https://*notify.live.net	Windows推送通知服务 (WNS) 用于管理通知。
	login.microsoftonline.com	用于身份验证和Microsoft服务（包括 Microsoft 365、Azure 和其他Microsoft在线平台）的访问管理。
Android (非三星设备)	*.googleapis.com	Google API 和帐户身份验证访问。
	*.zoho.com:443 *.zohoassist.com:443	启用对Zoho服务的访问，包括用于远程故障排除的 Zoho Assist。 注意：有关如何配置防火墙以与Zoho Assist兼容，请参考我们的Zoho Assist 指南。
	googleapis.com:443 accounts.google.com:443	Google API 和帐户身份验证访问。
	在公司网络防火墙中允许
	*.googleapis.com	Google API和帐户身份验证访问。
	play.google.com android.com	启用对Google Play商店和安卓服务的访问。
	google-analytics.com	由Google Analytics用于跟踪和报告网站流量、用户互动和行为分析。
	googleusercontent.com	由Google托管和交付用户生成的内容，例如图片、文档和存储在Google服务（例如Google Drive和Google Photos）中的其他资产。
	gstatic.com	用于为Google的服务和应用提供静态内容，例如脚本、样式表、字体和其他资产。
	*.gvt1.com *.gvt2.com *.gvt3.com	Google服务的内容交付和更新。
	*.ggpht.com	由Google托管和交付高分辨率图像、缩略图和其他多媒体内容，用于Google Photos和Google Maps等服务。
	dl.google.com	用于下载Google软件，包括浏览器更新（例如 Chrome）和其他Google应用。
	dl-ssl.google.com	提供Google软件和应用更新的安全HTTPS下载，确保加密和安全的传输。
	androidclients.google.com	促进安卓设备与Google服务之间的通信，包括应用和系统更新。
	gcm-http.googleapis.com	由Google Cloud Messaging (GCM)用于向安卓设备发送基于HTTP的推送通知。
	gcm-xmpp.googleapis.com	支持Google Cloud Messaging (GCM)在安卓设备上进行实时XMPP基于的通信和通知。
	android.googleapis.com	处理安卓专用API服务，包括设备更新、应用安装和身份验证过程。
	fcm.googleapis.com	由 Firebase Cloud Messaging (FCM) 用于向安卓和iOS设备发送通知和数据消息。
	fcm-xmpp.googleapis.com	为 Firebase Cloud Messaging (FCM) 提供实时通信，使用XMPP协议将消息传送到设备。
	pki.google.com	用于公共密钥基础设施 (PKI) 服务，以验证和管理Google的SSL证书，确保安全通信。
	clients1.google.com clients[2...6].google.com	促进特定于客户端的操作和请求，包括来自Google的应用更新和服务。
	*.zoho.com:443 *.zohoassist.com:443	启用对Zoho服务的访问，包括用于远程故障排除的 Zoho Assist。 注意：有关如何配置防火墙以与Zoho Assist兼容，请参考我们的Zoho Assist 指南。
	googleapis.com:443	用于通过安全的HTTPS连接访问Google的 API。
	accounts.google.com:443	Google API 和帐户身份验证访问。
	notifications.google.com:443	用于管理和交付来自Google服务和应用的通知。这包括系统更新、应用通知和安卓设备及Google服务的警报。
	https://mdmdatabase.manageengine.com	ManageEngine卓豪MDM的集中数据库，存储设备详细信息和配置。
Android (三星设备)	仅限中国
	https://china-gslb.secb2b.com.cn:443	用于中国的全球服务负载均衡 (GSLB)，管理流量并确保三星Knox服务及相关基础设施的最佳路由。
	https://china-elm.secb2b.com.cn:443	在中国促进对Samsung企业许可证管理 (ELM) 系统的访问，管理三星Knox的企业许可证的分发和激活。
	https://china-knox.secb2b.com.cn:443	在中国支持三星Knox服务，包括通过三星的Knox平台进行设备管理和安全企业部署。
	https://china-b2c-klm.secb2b.com.cn:443	处理与三星Knox相关的 B2C（企业对消费者）服务，提供管理工具和资源以供面向消费者的应用使用。
	https://china-prod-klm.secb2b.com.cn:443	在中国支持Samsung Knox的生产级服务，为企业级设备管理和应用安全提供必要的基础设施。
	仅限美国
	https://gslb.secb2b.com:443	用于全球服务负载均衡 (GSLB)，以高效管理和分配网络流量，确保在多个数据中心之间的分配。
	https://gsl.samsunggsl.com:443	用于三星Knox集成的全球服务。
	https://us-prod-klm-b2c.secb2b.com:443	支持与美国相关的 B2C（企业对消费者）服务，为面向消费者的应用和安全设备管理提供工具和资源。
	https://us-prod-klm.secb2b.com:443	在美国促进Samsung Knox的生产级服务，提供企业级设备管理和安全解决方案。
	https://usprod-knoxlog.secb2b.com	在美国处理Samsung Knox设备的日志记录和跟踪服务，确保企业设备上的安全性和管理活动的详细日志。
	https://us-elm.secb2b.com:443	支持在美国访问Samsung的企业许可证管理 (ELM) 系统，促进三星Knox服务的许可证分发、激活和管理。
	https://us-knox.secb2b.com:443	提供与美国Samsung Knox平台相关的服务，提供安全的设备管理、配置和企业部署的安全特性。
	https://us-b2c-klm.secb2b.com:443	支持与美国Samsung Knox相关的B2C服务，允许访问设备的消费者级管理和安全解决方案。
	其他所有国家
	https://gslb.secb2b.com:443	用于全球服务负载均衡 (GSLB)，高效管理流量并确保三星Knox服务及基础设施在各地区的高可用性。
	https://gsl.samsunggsl.com:443	用于三星Knox集成的全球服务。
	https://eu-elm.secb2b.com:443	支持三星在欧洲的企业许可证管理 (ELM) 系统，为分发、激活和管理三星Knox服务的企业许可证提供工具。
	https://eu-knox.secb2b.com:443	促进对欧洲的三星Knox服务的访问，包括针对使用三星设备的组织的安全设备管理和企业部署功能。
	https://eu-prod-klm-b2c.secb2b.com:443	处理与欧洲的三星Knox相关的 B2C（企业对消费者）服务，为面向消费者的应用和设备管理工具提供访问。
	https://eu-prod-klm.secb2b.com:443	支持欧洲三星Knox的生产级服务，为在组织内管理设备、配置和安全提供企业级解决方案。
	用于三星Knox注册（在防火墙上允许）
	*.samsungknox.com:443 *.samsungknox.com:80	支持三星Knox移动注册 (KME) 和Knox服务。
	*.secb2b.com:443 *.secb2b.com:80	三星Knox安全的B2B服务，用于设备管理。
	https://eula.secb2b.com:80 https://eula.secb2b.com:443	托管三星Knox服务的最终用户许可协议 (EULA)。
	https://umc-cdn.secb2b.com:80 https://umc-cdn.secb2b.com:443	用于通过三星Knox的 UMC（统一移动控制）系统进行内容交付，为受管理的设备提供更新、配置和媒体。
	https://dir-apis.samsungdm.com:443	通过安全的API调用与三星的设备管理 (DM) 系统通信，使三星设备的配置、管理和安全成为可能。
	https://account.samsung.com:443	支持三星帐户管理服务，允许用户管理其三星帐户、同步数据以及访问与三星设备相关的其他服务。
	https://us-kme.samsungknox.com	促进在美国访问三星Knox移动注册 (KME) 服务，这允许企业简化在企业环境中注册和配置三星设备。
	https://us-kme.api.samsungknox.com	为美国的Knox移动注册 (KME) 服务提供API接口，支持第三方集成并自动化设备注册和管理流程。
	https://us-kme.api.mssl.samsungknox.com	用于安全API访问三星Knox移动注册服务，确保顺利注册和配置美国的三星设备。
	https://us-kme-reseller.samsungknox.com	支持美国Knox移动注册的经销商接口，允许授权的经销商管理客户的设备注册和配置。
	https://mdmdatabase.manageengine.com	ManageEngine卓豪MDM的集中数据库，存储设备详细信息和配置。

要识别MDM服务器无法访问的域名，请点击这里

MDM服务器无法访问的域名在产品中提示。要查看这些域名，请按照以下说明操作

• 在MDM服务器上，点击管理员选项卡。在设置MDMP下，打开代理设置。
• 配置代理服务器后，您可以在MDM服务器部分访问所需域名列表。点击它以查看相同内容。
• 在此处仅列出MDM无法访问的域名及其对应的供应商详细信息。

注意：在浏览器地址栏中输入域名URL不能提供其可达性。

如果移动设备通过公司Wi-Fi连接到互联网，则必须打开5223、5228、5229和5230等端口。如果管理的设备通过蜂窝数据网络连接，则此要求不是必需的（HTTPS端口）。

如果有管理员的帐户凭证，请登录MDM云版本并按照此处提供的步骤将管理员权限转移给新用户。如果没有凭证，请通过support@manageengine.cn 联系MDM支持，并提供以下任一项：

• 如果离开组织的用户仍然可以访问用于登录MDM云版本的帐户，则必须从提到的电子邮件向MDM云版本支持发送同意电子邮件
• 如果用户无法访问电子邮件帐户，则必须将用户的终止或辞职信的副本发送给MDM云版本支持

如果管理员更换工作或组织只购买了一个技术人员许可证，可以直接通过MDM服务器转移管理员权限。请参阅此文档，了解将MDM管理员角色转移给其他用户的步骤。

该用户的帐户可能配置为不同的组织的一部分，或者该用户正在使用其他Zoho服务。可以通过从Zoho应用中删除帐户，邀请用户到正确的组织来解决此问题。

• 登录到所使用的应用。
• 删除组织并删除其他应用中创建的任何用户MDM帐户。
• 帐户被删除后，注销Zoho帐户并关闭浏览器窗口。
• 按照说明操作，邀请用户加入MDM并继续分配管理员权限。

注意： 删除该组织会删除与该帐户配置的所有Zoho服务，供个人使用的Zoho服务也会被删除。如果用户不确定与Zoho帐户一起使用的服务，或者如果组织需要合并为一个组织，请联系MDM云版本支持（support@manageengine.cn）。

请联系MDM云版本支持（support@manageengine.cn）。

• 确保提供的用户名具有以发件人电子邮件地址的名义发送邮件的权限。
• 需要在Office 365中启用SMTP客户端身份验证，以成功发送邮件，并且必须在Office 365管理员门户中启用相同内容。有关详细信息和步骤，请参见这里。
• 如果在完成上述步骤后问题仍然存在，请按照Microsoft提供的步骤操作。

• 打开此链接并在需要时使用Zoho帐户登录。
• 指定新的电子邮件地址。
• 一封验证电子邮件将发送到新电子邮件地址。
• 一旦验证成功，MDM将自动更新新电子邮件地址。

如果您需要将备用电子邮件地址设置为主要电子邮件地址，请单击电子邮件地址旁边的邮件图标。这将使所选的电子邮件地址成为主要地址。

确保SCEP模板反映与Exchange服务器中配置的相同身份验证值。此外，为了使身份验证正常工作，客户端证书的主题或主题备用名称字段中必须包含用户主体名称（UPN）。有关更多详细信息，请参见此链接。

如果您的组织的AD中启用了基于客户端的身份验证，您可以配置SCEP策略，以确保取决于AD的应用和服务（如VPN、Wi-Fi等）的一次性登录。

• mdm.manageengine.cn和transmail.net的URL必须被列入白名单，以便在MDM云版本中注册设备。
• 如果您通过邀请注册设备，请确保这两个电子邮件地址：noreply@notifications.mobiledevicemanagerplus.com、noreply@zohoaccounts.com和noreply-mdmcloud@manageengine.com也必须列入白名单。如果用户没有Zoho帐户，则会收到两封邮件。前者用于发送加入组织的邮件（用于创建Zoho帐户），后者用于发送注册请求。修改邮件垃圾邮件过滤器，以确保这些邮件不落入垃圾邮件。如果用户已经拥有Zoho帐户，则只发送注册请求。
• 使用电子邮件创建Zoho帐户，然后按照注册请求中提供的说明将设备注册到MDM云版本。

要将设备从工作配置模式转换为完全管理模式，用户必须重新启动注册过程。如果该设备之前已以工作配置模式注册，则需要进行出厂重置。之后，用户可以使用完全管理注册方法再次注册该设备。

用户可以在注册选项卡的设备部分以及在库存选项卡和管理选项卡中查看或对已注册的设备执行操作。

是的，您可以应用Kiosk或将设备锁定到选定的完全管理设备的应用。 如果设备注册为工作配置，则无法应用Kiosk或阻止用户安装个人应用。

 

要了解更多有关Kiosk的信息，请参考Kiosk帮助页面。

远程清除设备仅适用于完全管理的设备，而在工作配置中注册的设备只能删除工作配置，这意味着在此类设备上无法完全清除数据。

用户可以从注册选项卡中的设备部分查看已注册设备的注册类型。

用户可以通过从库存选项卡中的设备部分打开设备详细信息来查看已注册设备的管理方法。

应用的大小因设备平台类型而异，但通常情况下，在安装时应用的大小约为25MB-30MB。但是，应用的大小将根据分发到设备的配置文件/文档增加，因为这些文档和配置文件存储在应用中。

ME MDM应用仅在下载推送到设备的应用时消耗网络数据，消耗的数据取决于应用的大小。其他操作大约每月消耗2MB的网络数据。此外，基于指定的准确性级别，消费在地理跟踪的情况下有所不同。

如果设备为CDMA激活，则IMEI仅包含14位，并称为MEID。您可以通过拨打*#06#来检查设备的IMEI。

• 确保OTP尚未过期（在72小时后过期）。
• 确保您没有使用OTP来替代Zoho帐户密码，反之亦然。如下面所示，在第一种情况下，指定了Zoho帐户，在第二种情况下，发送的OTP通过邮件提供。

为了避免使用邀请，您可以选择自助注册，用户自行注册设备和管理员注册。顾名思义，管理员注册是一种由管理员进行的注册类型。管理员注册的另一个优势是，该过程是自动化的，要求用户干预和/或管理员操作的最小化。MDM支持以下类型的安卓管理员注册：

• Knox注册（仅适用于三星设备）
• NFC注册
• 基于Android for Work的注册

以下类型的管理员注册在iOS中受支持：

• Apple注册（ABM/ASM）
• Apple配置器

• 确保这里列出的所有前提条件已被配置。
• 邮件可能已经落入垃圾邮件/垃圾邮件文件夹。请确认，如果是，请更改电子邮件垃圾邮件/垃圾邮件过滤器标准。
• 检查您的反病毒配置，确保它没有阻止注册请求的发送。
• 检查路由器Web界面中设置的POP/IMAP配置，如果配置了。确保它未阻止注册请求的发送。

即使您没有启用两因素身份验证，也请检查用户设备上的OneAuth应用是否禁用了受限登录。如果问题仍然存在，请联系MDM云版本支持（support@manageengine.cn）。

• 打开此链接并在需要时使用Zoho帐户登录。
• 点击位于仪表板下的删除组织
• 点击删除以删除用户创建的MDM帐户。请注意，这也会删除与该帐户配置的所有Zoho服务。如果用户正在为个人使用Zoho服务，这也会被删除。如果用户不确定与Zoho帐户一起使用的服务，请联系支持（support@manageengine.cn）
• 在帐户被删除后，注销Zoho帐户并关闭浏览器窗口。
• 按照注册邮件中指定的说明进行注册。

如果企业中的多个团队（以下称为组织）使用任何Zoho服务，请遵循特定于您的场景的说明。

• 如果用户没有现有的MDM帐户，则用户可以访问邀请中的链接以加入组织。
• 如果用户已经是另一个组织的一部分，用户必须要求该组织的超级管理员删除用户。然后用户可以访问邀请中的链接以加入组织。
• 如果用户是另一个组织的超级管理员，则用户必须将另一个用户指定为超级管理员。新的超级管理员必须删除用户。现在用户可以访问邀请中的链接以加入组织。
• 如果用户是其他组织中的唯一激活用户，用户必须删除组织帐户，如此处所示。现在用户可以访问邀请中的链接以加入组织。

如果在尝试注册设备时显示此页面，请确保您从要注册的设备访问相应的注册URL。
如果在尝试访问MDM云版本时显示此页面，请确保您的MDM云版本管理员已将您添加为用户。

Mobile Device Manager Plus允许管理员在不重新注册设备的情况下修改与已注册设备相关联的用户名和电子邮件地址。要修改相关凭证，请按照以下步骤操作：

• 导航到注册并找到需要修改用户详细信息的设备
• 在操作下选择重新分配用户选项
• 输入新的用户名和电子邮件地址并保存。

修改用户详细信息将把与新电子邮件地址相关联的帐户基本配置文件重新分配。

如果要将管理设备重新分配给新用户，可以在保持相关应用和配置文件完整的情况下擦除所有内容。要重新分配管理设备，建议先去除设备的配置，这将擦除设备数据并移除所有与设备关联的应用和策略。去除配置后，必须重新注册设备，然后才能将其发放给员工，以确保设备预先配置了所有所需的应用和策略。

您可以利用像Apple Business Manager (ABM)针对iOS设备、零接触注册针对安卓设备，或Knox移动注册 针对支持Knox的三星设备，这些方法确保设备在完全交由用户使用的同时进行了远程注册，用户分配后，配置文件和应用就会自动分配。

如果您是现有的Zoho客户，可以使用您组织的Zoho帐户注册MDM云版本。要注册设备，请按照以下步骤操作。

对于安卓设备，用户可以从Play商店下载ME MDM应用。

• 安装完成后，打开应用并单击云选项卡。
• 指定Zoho帐户登录凭据和拥有者详细信息
• 通过单击继续接受条款和条件。
• 启用设备管理器，然后单击激活以完成注册。

对于iOS设备，您需要启用自助注册并使用Zoho账户凭据进行注册。

您还可以通过MDM启用Zoho邮件的条件访问，如在此文档中所述。

按照以下步骤启用Chrome设备管理API：

• 要启用Chrome设备管理API，请使用您的管理员帐户登录Google Cloud控制台。
• 转到API和服务>库。
• 在搜索栏中，输入Chrome设备管理API以检查其是否已启用。

要启用Chrome策略API，请使用您的管理员帐户登录Google管理员控制台。

• 转到API和服务>库。
• 在搜索栏中，输入Chrome策略API。
• 单击启用。

要启用Admin SDK API，请使用您的管理员帐户登录Google管理员控制台。

• 转到API和服务>库。
• 在搜索栏中，输入Admin SDK API。
• 单击启用。

Chrome设备管理功能中添加了新的策略、限制和库存操作。与MDM集成Google Workspace (G Suite)需要特定的权限和作用域。为此，请转到MDM控制台>注册>Chrome注册>集成详细信息>重新集成。

如果APNs证书已过期，Apple推送通知服务将无法联系已管理的移动设备。到期后续订APNs和创建新APNs是一样的，这意味着所有设备需要重新注册才能被管理。假设APNs在6月30日到期，您需要确保在到期日期之前及时续订APNs，并将其更新到Mobile Device Manager Plus服务器。所有已管理的移动设备应在6月30日之前至少与Mobile Device Manager Plus服务器进行一次联系。如果任何已管理的移动设备未能联系Mobile Device Manager Plus服务器，则这些设备必须重新注册。因此，我们建议在到期前一个月续订APNs。

设备在与MDM服务器接触时会收到APNs证书。该过程可能会有轻微延迟，但不会影响服务器和设备之间的通信。密码保护的设备需要解锁才能与服务器联系。

设备无需重新注册。续订APNs证书就足够了。建议尽早续订该证书。

不，您无需Apple开发者帐户来使用Mobile Device Manager Plus管理iOS设备。

您可以使用本地身份验证并指定用户名和电子邮件地址。如果要注册企业设备，则可以使用管理员注册选项，如NFC和QR码，iOS设备使用ABM 和Apple配置器，Windows使用Windows ICD。

在使用Apple配置器注册设备之前，请确保以下内容：

• 如果要注册的设备来自授权经销商并且在您所在的国家/地区提供ABM，则建议使用ABM进行注册。
• 如果要注册的设备已经在使用，检查一下是否在设置-> iCloud中的激活锁已禁用，并关闭查找我的iPhone。

iOS 11及以上设备可在ABM中使用Apple配置器进行注册，即使它们不是直接从Apple或授权经销商购买的。请按照此文档中介绍的步骤注册这些设备。

当您使用Apple配置器之前注册iPhone时，通常会遇到此错误。在iPhone的情况下，Apple配置器提取IMEI，因此在iPad的情况下，它会尝试提取IMEI（但iPad是不提供的），并会显示错误。在这种情况下，您可以通过Apple配置器工厂重置设备并重试该过程。

通过使用ABM注册设备，您可以利用附加功能，例如：

• 即插即用注册
• 强制设备管理 - 即使在设备重置后，注册也无法撤销
• 一次性设置
• 自动用户分配
• 监控（也可通过Apple配置器使用）

点击这里以了解更多关于Apple业务管理的信息。要使用ABM进行设备注册，必须在您的国家/地区提供该服务。点击这里查找支持ABM的国家/地区列表。为了有效使用MDM，建议您使用通过ABM注册公司拥有的设备或Apple配Configurator，并邀请员工自身设备使用邀请或自助注册。

当从服务器移除ABM令牌时，将退回用于分发应用的许可证回到您的帐户。当您在另一台服务器上使用此令牌时，许可证可以用于将应用分发到设备。

不能在多个MDM服务器上使用同一ABM令牌，因为每个MDM服务器管理与该令牌一起购买的许可证的完整集合。这将导致MDM服务器撤销分发给设备的应用的许可证，并且会从设备中删除这些应用。

企业需要安卓设备管理软件的原因有很多。安卓设备管理工具或解决方案可以：

• 通过强制实施安卓设备管理策略和协议来增强设备安全性，从而保护数据免受泄漏和未经授权的访问。
• 简化IT团队的设备配置，使其更容易在整个组织中设置和部署安卓设备。
• 简化应用管理，实现对应用部署和更新的集中控制。
• 启用远程监控和支持，减少停机时间，提高生产力。

总体而言，安卓设备管理软件确保在企业环境中高效安全地管理安卓设备。

安卓MDM软件为寻求高效和安全管理其安卓设备队列的企业提供了一系列好处。通过利用此软件，组织可以享受以下优势：

• 增强安卓设备安全性
• 集中管理来自不同OEM（原始设备制造商）的各种设备类型
• 精简企业开发和商店应用的部署
• 遵守组织和行业标准
• 远程故障排除和支持
• 地理位置跟踪
• 可自定义的策略
• 高效的资产管理

Mobile Device Manager Plus (MDM)提供了一系列功能来管理您组织的安卓设备。访问我们的帮助页面，了解MDM支持的功能的详细列表及其与设备和配置类型的兼容性。

ManageEngine卓豪MDM应用是在设备上安装的伴生应用，用于注册ManageEngineMobile Device Manager Plus。它充当代理应用，促进进行设备管理所需的代理-服务器通信。访问我们的帮助页面，了解有关移动设备管理应用的更多信息。

• 零接触或Knox注册：您可以选择配置零接触注册或KNOX注册（仅适用于三星Knox支持的设备）用于企业拥有的安卓设备。这些方法确保在工厂重置后，安卓设备在连接到Wi-Fi时自动注册。
• 对于BYOD设备：您可以发送批量电子邮件邀请注册，最终用户可以使用电子邮件邀请进行注册。

为了使设备能够利用Android for Work（AfW）功能和配置，OEM（原始设备制造商）必须提供对设备的支持。如果OEM没有为特定设备型号提供AfW支持，则无法支持Android for Work，因此无法向设备推送需要将设备配置为配置所有者/设备所有者的功能。部分支持Android for Work的设备可以在以下链接中找到 - 链接#1，链接#2和链接#3。

在这种情况下，在MDM控制台中，导航到注册-> ME MDM应用（在安卓下），并将通信类型设置为定期。然后单击保存更改。您可以使用EMM令牌注册、ADB注册或NFC注册等方法注册设备。

工作配置是在安卓设备被配置为使用Android for Work配置的配置所有者时安装的。要验证工作配置是否已安装在设备上，请转到设置，并选择帐户。工作配置列在工作部分下。

在运行5.0或更高版本的安卓设备上，转到设置，单击帐户并选择删除工作配置。单击删除以确认移除工作配置中的所有应用和数据。

我们可以通过单击名称旁边的删除图标来删除现有的Web快捷方式。删除Web快捷方式将重新发布配置文件到设备，而不会包含Web快捷方式。

不，强制在移动设备上的密码策略无法被用户撤销。尽管用户可以在其设备上禁用密码设置，但在设备解锁时，用户仍须设置密码。然而，如果从设备中删除MDM配置文件，则该设备将不再可由Mobile Device Manager Plus进行管理。

成功应用于管理移动设备的策略和限制称为强制策略。

管理员指示用户接受推送到设备的策略和限制。当用户无视这些策略和限制时，这些策略和限制被称为违规策略。

当用户覆盖管理员推送的策略和限制时，这些策略将被标记为违规策略，并将在ME MDM应用的违规策略选项卡中列出。违规策略的后果取决于被违反的策略

• 密码：如果设备所有者的设备违反密码策略，设备将被禁用，直到用户设置合规密码。在配置所有者设备中，工作配置中的应用将被禁用，直到用户设置合规密码。容器外的应用或个人应用将保持功能。
• 添加管理帐户：必须在设备上添加管理帐户以使用MDM分发应用。管理帐户的添加可能会失败，当Play商店或Play服务未更新时。一旦Play商店或Play服务更新，请按照屏幕上的说明将管理帐户添加到设备。
• 位置或NFC始终开启：在配置所有者设备中，如果位置/NFC在限制策略下启用为始终开启，而用户将其关闭，策略将被标记为违规。用户将被提示开启位置/NFC，策略将保持违规状态，直到用户开启位置/NFC。

设备锁定之前的空闲超时指定了设备在屏幕关闭之前允许的时间。这与可以在设备中配置的设置相似(设置>常规>自动锁定)。设备锁定的宽限期是指在提示输入密码之前允许用户的时间。设备的屏幕关闭，当用户滑动解锁屏幕的箭头时将被提示输入密码。这与可以在设备中配置的设置相似(设置>常规>密码锁)。

在iOS设备中，可以通过在配置文件的限制下禁用单个设置来限制设置。对于安卓设备，可以通过在配置文件的限制下禁用“修改默认设备设置”选项来禁用设置应用。

除了这些方法外，可以通过将设备放在单应用Kiosk中，来防止用户更改任何设置。

是的，您可以通过在MDM服务器上配置电子邮件、Wi-Fi和其他基本设置，然后将其关联到组来配置这些设置。在注册时，添加到该组的设备会自动分发配置文件，从而在设备上进行预配置。有关MDM支持的所有策略的更多信息，请访问iOS、安卓和Windows。

管理员可以通过在安卓和iOS设备配置文件的Web内容过滤器下启用自动限制恶意内容或自动限制不当内容复选框来自动阻止不当或恶意内容。

不，配置文件处理特定设备功能并且是平台依赖的。因此，它们无法应用于不同的平台。

是的，可以将多个配置文件应用于设备。我们建议将所有基于帐户的策略作为一个配置文件，限制作为单独的配置文件进行应用，因为每次重新分发包含所有这些策略的配置文件的修改版本时，会重置与帐户相关策略中指定的基于帐户的服务（如Exchange）和配置（如Wi-Fi首选项、之前同步的邮件等）的密码，用户必须手动重新输入。

对于iOS设备，将会关联安全性最高的配置文件；而对于安卓设备，则会应用最近应用的配置文件。例如，如果您分发的A配置文件禁用了相机，B配置文件启用了相机，那么在安卓设备上，B配置文件将被应用，因为它是最近的。而在Apple中，由于A配置文件是最安全的，因此将关联A配置文件。

限制用户安装第三方VPN应用，因为用户可以绕过VPN限制。您可以通过导航至库存->应用（选择要列入黑名单的VPN应用）->列入黑名单来列入VPN应用的黑名单。

在激活设备时，应该始终选择“管理员”选项，以确保设备的迁移程序成功。

如果启用屏幕时间，该设备的iCloud注销将被禁用。在这种情况下，请从设备设置中关闭屏幕时间以启用iCloud注销。

可以通过对设备应用一些限制来防止设备安装和卸载应用。

• 在设备管理下，选择配置文件。
• 选择要应用的设备操作系统。
• 在限制下，单击应用。
• 限制安装应用和卸载应用选项。
• 发布并分发配置文件到设备。

可以通过应用配置文件或分发所需的应用，通过MDM配置电子邮件、Exchange和VPN。可以将具有所需配置的配置文件推送到设备，并使用动态变量将用户详细信息映射到各自的设备。然而，可以通过应用配置提供用于电子邮件、Exchange和VPN所需的应用，并分发到设备。这确保如果应用获得新功能，用户将能够获得它。有关应用配置的更多详细信息，请参考此链接。

Mobile Device Manager Plus通过限制策略确保高度安全性。每当为同一原因应用多个策略时，提供更多安全性的策略将自动应用。例如，假设分配给设备的两个限制策略中，有一个是为验证相机使用而应用，另一个是限制相机使用，提供更高安全性的策略将自动应用。因此，相机的使用在设备中将受到限制。

不，Apple不允许MDM解决方案限制操作系统更新。然而，MDM提供了防止操作系统更新的变通方法，如此处所述。

不允许限制用户更改设备上的日期和时间设置。Mobile Device Manager Plus可以通过运行设备在Kiosk中限制用户访问任何设置，在该模式下，设备仅可以访问一个应用。另一种可以使用的方法是，通过确保所需应用仅依赖于网络日期和时间，而不是设备日期和时间。

您可以利用CardDAV配置文件将联系人分发到已管理的设备上。您可以使用Google联系人或任何其他支持CardDAV的第三方服务。

您可以通过导航到设备管理 -> 配置文件 -> 限制 -> 高级安全性并限制修改帐户设置选项来限制用户修改设备上的帐户。

用户将无法修改如邮件帐户、iCloud和iMessage设置等帐户。如果您想完全限制iCloud，则导航到配置文件 -> iCloud并限制它。这将完全限制应用与iCloud同步及设备在iCloud上的备份。

在iOS 11发布时，Apple推出了一项功能，允许用户通过将正在运行iOS 11的两台设备彼此靠近来共享Wi-Fi凭据。尽管此功能很有用，可以便捷访问个人Wi-Fi，但在企业场景中可能会造成问题。因此，Apple确保通过移动设备管理解决方案分发的任何Wi-Fi都无法通过Wi-Fi共享与他人共享。因此，通过Mobile Device Manager Plus预配置的任何Wi-Fi都无法通过Wi-Fi共享功能与其他用户共享。

案例1：

• 管理员配置了基于电子邮件的配置文件，以及另一配置文件，通过MDM限制添加/修改iCloud、邮件和其他帐户。在将这些配置文件关联时，用户将在初始设置过程中被提示提供电子邮件密码。如果用户在提供密码之前关闭此提示，则不能进行配置，除非电子邮件配置文件再次与设备关联。
• 如果限制未启用OAuth，并且使用多重身份验证，则用户需要设置特定于应用的密码。
• 在iOS 16之前：如果设备上启用了OAuth，则在设备上将不会显示输入Exchange密码的提示，并且除非禁用添加/修改iCloud、邮件和其他帐户限制，否则无法进行配置。
• 在iOS 16之后：您可以执行OAuth，即使添加/修改iCloud、邮件和其他帐户的限制已开启。

案例2：

同样，如果是否两者均为iOS设备，则电子邮件和Exchange配置文件同时关联，邮件帐户将在初始 设置过程中成功配置。当密码到期时，设备不会提示/允许用户更改密码。解决方法是在与设备重新关联电子邮件配置文件，因为Apple未提供该解决方案。

 

如果管理员忘记或不知道密码，唯一解决方案是从MDM服务器中清除密码。如果多次输入错误的密码，则设备将被禁用。设备被Apple禁用后，如果设备关闭或重启，则将与MDM服务器失去连接，并且从MDM服务器发出的远程命令（如删除密码）将无法在设备上执行。

引导式访问可以通过以下方法被覆盖：

• 单应用模式配置文件：
  通过将单应用模式-Kiosk配置文件与设备关联，可以超越引导式访问。一旦完成，取消关联配置文件，将使设备恢复到其原始状态。
• 丢失模式：
  在设备上激活丢失模式也会移除引导式访问。一旦禁用丢失模式，设备将恢复正常。

注意：上述步骤仅适用于受监督的设备。要手动移除引导式访问，可以强制重新启动设备 iPhone/iPad，将使设备恢复正常。

 

安卓在作为设备所有者默认情况下限制了设备的备份和恢复数据功能。如果你想允许备份和恢复，可以使用限制配置文件启用它。若设备作为设备所有者的三星设备，默认情况也限制了通过三星云和智能切换备份功能。

用户可以通过将相应的应用添加到Kiosk配置文件，允许在Kiosk的安卓设备上拨打电话和访问联系人。三星和其他安卓设备使用不同的包名称，因此建议使用以下捆绑标识符搜索应用。

• 三星 : com.samsung.android.contacts
• 核心安卓 : com.android.contacts和com.google.android.dialer

为了使策略和限制能够立即应用于设备，设备需要连接到互联网。对于安卓和Windows设备，默认情况下MDM服务器通过FCM和WNS与设备通信。这可以在注册 > ME MDM应用> 配置通信模式 > 周期性 中进行更改。然而，要管理iOS设备，设备必须具有互联网连接。

应用商店应用是可以在应用商店中找到的应用。它们可以是付费应用或免费应用。企业应用，也称为内部应用，是为企业专门开发和设计的。这是独特的，并且完全由企业自身拥有和分发。

批量购买计划（VPP）用于批量购买应用许可，并通过托管分发或兑换码将它们分发给用户。更多关于批量购买计划的信息，请访问这里。

移动设备管理器加的应用分发设计方式是，您只能将iOS应用分发到iOS设备，安卓应用分发到安卓设备，Windows应用分发到Windows设备。

对于运行Windows 8和8.1的移动设备，执行应用分发的步骤如下：

• 您需要在Windows Phone Dev Center注册公司帐户，并从Symantec获得企业证书
• 您应该生成一个应用注册令牌（AET）
• 将生成的AET文件上传到服务器（MDM -> 应用仓库 -> Windows应用设置 -> 应用分发证书 -> 配置）
• 在将企业应用添加到应用仓库之前，您需要使用AET对应用进行签名。更多详情请访问帮助。

AET是指应用注册令牌。Windows Phone 8操作系统要求用户在安装公司应用之前，先将每个设备注册到企业中。实现这一点的唯一方式是使用应用注册令牌，它使您能够在Windows Phone 8设备上分发企业应用。更多信息请访问帮助。

一旦设备被设置为单应用模式，将不会生成任何权限提示。这意味着应用无法访问使用摄像头、联系人或位置服务的任何其他功能。管理员应在将设备设置为单应用模式之前允许这些设置。

按照以下方法之一使用移动设备管理器加分发企业应用：

• 企业分发：如果您有一个熟悉开发应用的开发团队，您可以选择此方法。在应用开发过程中，确保启用设置"保存为企业分发"。
• B2B应用分发：如果您没有资源内部开发应用，您可以利用B2B应用分发。按照此处的步骤进行B2B应用分发。

是的，您可以通过将应用列入黑名单来卸载设备上的应用，具体方法请参考这里。

是的。管理员使用移动设备管理器加分发的应用将出现在容器中。用户安装的应用将出现在容器外。例如，您可以在容器中安装一个Gmail应用用于企业邮箱账户，而在容器外安装一个Gmail应用用于个人邮箱账户。

目前我们仅支持APK文件。在上传XML文件时，请遵循正确的语法，以避免在上传企业应用时出现错误。

应用包是一种发布格式，允许开发者以更小的应用体积提供可定制功能。由于MDM不支持分发应用包，请将应用包私下托管，以便通过MDM进行分发。

您可以通过创建一个配置文件，并导航到限制 -> 应用，限制用户可以从应用商店安装应用来限制管理设备上的应用商店。这确保只有通过MDM分发的应用可以安装在设备上（设备必须运行iOS 9.0或更高版本）。如果此限制应用于运行其他操作系统版本的设备，即使是通过MDM分发的应用也无法安装在设备上。

应用商店应用可以在不输入Apple ID的情况下安装，具体方法请参考此处。

是的，借助ABM中的iOS应用许可管理功能，Mobile Device Manager Plus允许您撤销并将应用许可重新分配给所需的用户设备。

是的，用户需要输入Apple ID来安装应用。若要静默安装或无需Apple ID即可安装应用，请参考此文档。

是的，强制安装在iOS设备上是支持的，具体方法请参考此处。如果设备以设备所有者身份注册，则在安卓设备上也支持强制安装，具体方法请参考此处。在三星设备上，无需额外配置即可强制安装企业应用。

是的，如果iOS设备是受监督的，则可以静默安装企业应用。首先，将企业应用的源文件添加到应用仓库。然后，将其分发到设备和/或组，确保在分发设置中启用了强制安装选项。

是的，如果应用是通过ABM分发并安装到设备上的，则可以停止和/或控制应用更新。此外，在初始ABM设置中，请确保选择了无需Apple ID。这允许应用无需Apple ID即可安装，并且应用与设备关联，而不是与Apple ID关联，通常情况下应用是与Apple ID关联的。由于应用未与设备上的Apple ID关联，因此当通过MDM分发时，应用商店不会通知用户可能的应用更新。您可以选择强制设备上的应用更新，具体方法请参考此处。

是的，您可以选择完全锁定设备，防止用户安装/卸载应用，并确保只有通过MDM分发的应用才能安装在设备上。若要将设备锁定到特定应用/设置，可以使用单应用模式。

系统应用，也称为预装应用，可以通过以下步骤使用移动设备管理（MDM）进行屏蔽：

• 在MDM控制台中，导航到设备清单 -> 应用。
• 默认情况下，仅显示已安装的应用复选框将被勾选。取消勾选此复选框以显示设备上的所有应用，包括预装应用。
• 搜索并选择要屏蔽的应用。点击屏蔽应用，并指定该应用应针对所有设备还是特定组/设备进行屏蔽。

 

苹果限制用户通过移动数据更新大小超过200MB的应用，因此默认情况下，这些应用会通过Wi-Fi进行更新。可以在应用商店 -> 应用下载 -> 始终允许下更改此设置。

 

要启用开发者模式：

• 转到设置 -> 隐私与安全选项卡。
• 向下滚动到“开发者模式”列表项，并切换开发者模式开关。
• 点击开关以启用开发者模式。
• 您将收到一条警报。点击警报中的重启按钮。
• 设备重启并解锁后，设备会显示一条警报，确认您要启用开发者模式。点击启用，开发者模式将被启用。

显示的不同应用版本是与每个平台兼容的版本。每个应用版本都是该平台所支持的版本。

注意：应用开发者决定每个设备（iOS、TVOS、macOS）的应用版本是否相同或不同。

例如，在这种情况下，版本9.34.8与iPhone、iPod和iPad兼容。版本2.3支持Apple TV。

未列出的应用是指在应用商店中发布的应用，可以通过其直接链接访问。这些应用是隐藏的，无法通过搜索找到。

您可以通过移动设备管理（MDM），经由苹果商务管理（ABM）将未列出的应用分发给设备。

• 在ABM门户上，点击应用和图书。
• 使用应用商店URL搜索未列出的应用。

• 购买该应用并在MDM中分配令牌。
• 在设备管理 -> 应用存储库 -> 应用中执行同步。点击同步应用，并从下拉菜单中选择同步苹果应用。
• 同步完成后，该应用将在应用存储库中可用。
• 然后，您可以将该应用分发给设备。

要升级安装在安卓设备上的ManageEngine卓豪MDM应用，请访问我们的指南：在安卓设备上自动更新ManageEngine卓豪MDM应用。

这是小米设备特定型号存在的问题。如果您无法将企业应用分发给小米设备，请按照以下步骤操作：

• 在小米设备上，导航到设置，然后点击关于手机。现在点击MIUI版本七次。
• 您将看到一条弹出消息，提示您现在已成为开发者。
• 返回设置，然后点击更多设置。现在点击开发者选项，向下滚动到选项启用MIUI优化，并将其禁用。
• 设备将重启。重启后，您将能够将企业应用分发给该设备。

如果客户的网络是封闭网络，他们可以将应用的.apk文件上传到应用存储库，并按照我们的《向设备分发应用》指南中所述，将其分发给设备。

这是由于谷歌应用商店上应用更新的分阶段发布。应用开发者可以只向一定比例的设备发布更新，这些设备是随机选择的。点击此处了解有关分阶段发布的更多信息。

只有完全发布（100%）的应用版本才会添加到MDM中。例如，假设一个应用的分阶段发布是针对20%的设备。如果在通过MDM分发应用时，设备属于这一类别，就会出现应用版本不同的问题。设备上安装的应用将是最新版本（最新的发布版本），而MDM服务器上的版本将是之前已完全发布的版本。

对于使用谷歌应用商店的多个APK支持（列为“因设备而异”）开发的应用，不同的APK针对不同的设备配置。应用的每个APK都是一个独立的版本，但它们在谷歌应用商店上共享相同的应用列表。这可能会再次根据设备类型在服务器和设备上显示不同的应用版本。

安卓企业版（AfW）已停止支持付费应用。您仍然可以使用MDM分发付费应用，方法是将它们作为谷歌应用商店应用（非AfW）添加到应用存储库中。一旦这些应用分发给设备，用户需要使用个人谷歌账户访问谷歌应用商店，在那里可以购买和下载这些应用。进行应用内购买也需要个人谷歌账户。如果在此处使用托管账户，则只能下载应用的免费版本，并且无法进行应用内购买。为确保用户能够添加个人账户，请在MDM服务器上导航到设备管理 -> 配置文件 -> 安卓 -> 限制 -> 设备功能，并确保“添加账户”设置为“允许”。有关更多信息，请访问我们的《管理谷歌应用商店应用指南》。
注意：如果设备上有多个账户，用户需要切换到个人账户才能进行购买。

这可以通过三种不同的方式实现。

• 安卓限制：如果您想完全阻止用户在设备上安装任何应用，您可以在MDM控制台中导航到设备管理 -> 配置文件 -> 安卓 -> 限制 -> 应用，禁用限制项用户可以安装未经批准的应用。这将确保设备上仅存在由MDM分发的应用。
• 屏蔽应用：如果您想阻止用户在设备上安装特定的一组应用，您可以在MDM控制台中导航到设备清单 -> 应用，并选择要屏蔽的应用。在某些情况下，这些应用将立即从设备中删除，并且无法再次安装在设备上。
• kiosk模式（信息Kiosk）：如果您希望用户仅访问单个应用或特定的一组应用，并限制其他应用，您可以在MDM控制台中导航到设备管理 -> 配置文件 -> 安卓 -> kiosk模式，将设备设置为kiosk模式。kiosk模式配置可防止用户导航到设备上除kiosk应用之外的其他应用。此外，还可以限制特定的设备设置和功能。

在三星设备上，MDM限制用户关闭ManageEngine卓豪MDM应用。一旦设备开机，该应用将自动开始运行。这是为了确保设备与MDM服务器保持连接，并且任何策略或限制都能立即应用到设备上。

 

我们建议始终开启ManageEngine卓豪MDM应用的通知，因为这些通知会让用户了解已实施的策略或违反的策略。可以在设备的设置中关闭通知，但对于运行安卓8.0及更高版本的设备，通知默认会显示给用户。这是安卓启用的一项隐私功能。

 

MDM会根据以下条件在配置为设备所有者的设备上启用应用：

• 所有不可启动的系统应用。
• 使用系统签名配置的可启动系统应用。

如果一个应用满足上述条件，但在设备上仍未启用，这可以通过MDM分发该应用来解决。导航到应用存储库 -> 添加应用 -> 谷歌应用商店应用 -> 输入应用的包标识符并保存。然后可以将该应用分发给设备。

此问题是由于MDM使用了谷歌推荐的名为aapt的工具来分析APK文件的详细信息。最近，aapt已升级到最新版本——aapt2，它需要某些在旧版本Windows Server 2012 R2系统中缺失的动态链接库（dll）。因此，在执行aapt2.exe时会抛出错误。这可以通过以下两种方式解决：

• 升级托管服务器机器，以使用最新的工具——aapt2。
• 如果上述选项不起作用，可以使用向后兼容功能手动输入应用详细信息，上传并分发给设备。如需了解更多信息，请联系技术支持。

对于iOS和Windows设备，ManageEngine Mobile Device Manager Plus（移动设备管理增强版）利用所有设备中已有的原生MDM客户端。仅在执行以下操作时才需要安装代理程序：

• 追踪设备的位置
• 在ManageEngine卓豪MDM应用上安全地查看和保存文档
• 远程查看或控制设备
• 更新设备的日志
• 检测越狱或root过的设备

而对于安卓设备，需要安装ManageEngine卓豪MDM应用来管理移动设备。在注册过程中会自动处理该应用的安装。

如果设备已通过MDM注册，在从服务器中移除之前，必须先取消配置。在MDM控制台中，打开注册选项卡，点击要从管理中移除的设备对应的操作列下的省略号按钮。现在，点击取消配置。该设备将被移至暂存选项卡，在那里可以使用移除设备选项将其删除。如果设备处于离线状态，或者已经是不受管理的状态，则可以直接从MDM服务器中移除。

管理员可以选择使用以下选项取消配置设备以撤销MDM管理：

• 修复设备
• 员工离职
• 停用设备
• 其他

修复设备、员工离职和停用设备会将设备恢复出厂设置，而在其他选项下，管理员可以选择完全擦除或企业擦除。

当在取消配置期间选择完全擦除选项时，设备将恢复出厂设置，导致所有内容和设置被移除。当在企业擦除选项在取消配置期间被选择时，结果如下：

平台	配置类型	描述
安卓	设备所有者、核心安卓设备和三星设备	在设备取消配置时，所有相关的配置文件会自动移除，而不会卸载之前分发的应用。
	配置文件所有者	完整的工作配置文件将被移除，导致通过MDM分发的每一项策略、应用和内容都被移除。
苹果		在取消配置时，所有相关的配置文件、应用和分发的内容都将从设备中移除。如果在将其添加到应用存储库时勾选了移除MDM配置文件时移除应用选项，ManageEngine卓豪MDM应用也将被移除。
Windows		在取消配置时，所有相关的配置文件、应用和分发的内容都将从设备中移除。对于运行Windows 8.1及更高版本的设备，公司/工作区中的所有配置将被清除。

注意：如果设备关联了密码策略，在取消配置时，只有该策略会被移除，而密码会保留在设备上。

要更改设备名称，导航到设备清单，然后点击设备名称旁边的编辑按钮。要更改用户详细信息，在设备清单选项卡中选择设备，在操作下选择编辑用户详细信息。

如果设备有SIM卡槽，那么MDM可以显示IMEI。如果您注册的iPad没有SIM卡槽，则无法获取IMEI，因此MDM不会显示它。

当设备与服务器失去联系的时间超过管理员指定的时长时，设备状态将被标记为非活动。以下是设备可能与服务器失去联系的情况。如果设备：

• 已关机。
• 未连接到互联网。
• 已恢复出厂设置且不受管理。
• 在没有互联网连接的情况下被用户从管理中移除。要防止用户撤销管理，请参阅此文档。
• 连接到任何内部或其他网络，该网络阻止了某些URL，从而阻止设备与MDM服务器联系。要验证这一点，请尝试从设备浏览器访问mdm.manageengine.com。

 

监督模式以及设备所有者配置都使管理员能够对被管理设备进行更多控制。可以通过将设备恢复出厂设置来取消这些设置。

“自带设备”（BYOD）是ManageEngine Mobile Device Manager Plus的重要组成部分，您可以确保企业数据的安全。每当任何用户的个人设备丢失，或者员工离职时，管理员可以执行企业擦除或完全擦除等安全命令，以确保数据安全。因此，ManageEngine Mobile Device Manager Plus MDM是每个企业管理BYOD的明智选择。

企业擦除是一种用于擦除设备上数据的安全命令。当设备丢失时，此安全命令主要用于保护设备上的企业数据。企业擦除仅用于移除使用ManageEngine Mobile Device Manager Plus推送的配置和应用，此命令不会擦除用户的任何个人数据。

只有当Exchange服务器或电子邮件是通过ManageEngine Mobile Device Manager Plus配置时，企业擦除才会移除它们。这包括使用企业电子邮件共享的文件和文档。

完全擦除命令用于擦除设备中的所有数据，使设备恢复到全新状态。

可以，您可以擦除设备外部存储中的数据。

您可以通过应用以下限制来保护移动设备上的企业数据：

• 禁用屏幕截图
• 禁用备份（iCloud）
• 禁用文档同步
• 禁用照片流
• 禁用共享流
• 禁用用户接受不受信任的TLS证书
• 强制进行加密备份
• 配置电子邮件设置以限制数据转发

这些限制将帮助您保护移动设备上的企业数据。

ManageEngine Mobile Device Manager Plus允许管理员远程控制运行安卓5.0及更高版本的三星、索尼和联想设备。对于其他运行安卓5.0以上版本的设备以及iOS设备，支持远程查看功能。

由于用户隐私问题，大多数组织倾向于禁用地理跟踪功能。虽然管理员可以通过配置地理跟踪设置，选择仅在设备丢失时跟踪设备，但有些管理员希望完全禁用设备上的位置跟踪。这可以通过导航到管理 -> 设备隐私来实现。点击修改，在地理位置下选择不收集。在适用设备下，选择此设置是仅应用于个人设备、企业设备还是所有设备。点击保存，MDM将不会从被管理设备收集任何位置详细信息。

您可以将用户关联到预定义的角色，或者创建角色并将用户与之关联。此外，您可以修改用户及其角色，甚至删除它们。点击此处了解更多关于用户管理的信息。

• 在MDM服务器上，导航到管理选项卡，然后选择用户管理，它位于全局设置下。
• 点击添加用户。提供所需的详细信息，并将角色指定为访客。这确保了创建的用户具有只读访问权限。

• 使用Zoho账户在此处登录。列出了该Zoho账户正在使用的所有服务。
• 点击超级管理员名称旁边的铅笔图标，以更改超级管理员，如下图所示。

• 列出了在MDM云平台上添加的所有用户管理员。选择新的超级管理员。超级管理员的电子邮件地址将自动修改。

需要注意的是，当这样做时，所有Zoho服务的超级管理员都会被更改。

在iOS设备管理中，苹果ID供组织和用户双方使用。组织的苹果ID最好映射到组织本身，而不是组织中的任何个人。而用户的苹果ID则映射到具体的设备用户。

以下是使用组织苹果ID的一些服务：

• 用于创建设备注册计划（DEP）/苹果学校管理（ASM）账户，以便注册移动设备。
• 用于创建批量购买计划（VPP）账户，以便在设备上分发和管理应用。
• 用于创建苹果推送通知服务（APNs）证书，以实现服务器和APNs之间的通信。

注意：建议仅使用组织的企业苹果ID来进行上述服务，因为在续费这些服务时，都需要使用相同的苹果ID。

用户的苹果ID可用于以下方面：

• 在设备上购买个人应用。通过苹果商务管理（ABM）从MDM服务器分发的应用不需要用户的苹果ID。
• 访问iCloud以及其他相关服务，如iMessage、FaceTime和iCloud Drive。
• 对于不受管理的设备，可关闭设备上的激活锁。如果设备受MDM管理，激活锁会由MDM服务自动关闭。

如果iPadOS设备是作为共享iPad设备注册的，那么这个选项就会缺失。管理员可以在MDM控制台的设备清单中使用完全擦除选项将设备恢复出厂设置。

当苹果返回错误代码12069时，禁用丢失模式的命令偶尔会失败。要恢复正常，可以使用苹果配置器或iTunes将设备恢复出厂设置。
注意：但是对于像iPad这样没有SIM卡的设备，当设备处于丢失模式并重新启动时，Wi-Fi连接会丢失，设备也会被锁定。为避免这种情况，建议在设备上成功启用丢失模式后但在重新启动设备之前清除设备密码。

清除密码操作偶尔会失败，原因可能是解锁令牌不匹配（解锁令牌用于在用户忘记设备密码时解锁设备。在设备初始配置时，应为设备保存这些令牌）。如果操作系统更新挂起或由于其他一些原因，可能会发生解锁令牌不匹配的情况。因此，这个问题可以通过更新操作系统或恢复设备来解决。

声明式设备管理通过使设备能够自动更新状态并即时报告变化，简化了应用的跟踪和报告流程。这确保了设备清单能够实时保持准确，而无需频繁地与服务器进行检查，从而使设备管理更加快速和高效。了解更多信息，请点击此处。

MDM需要这些权限来执行某些功能。需要位置权限来识别已经连接的Wi-Fi（从安卓8开始）。所以，我们在应用限制有效载荷或Wi-Fi有效载荷中的Wi-Fi设置时会用到这个权限。我们使用蓝牙连接权限（从安卓12开始）来获取蓝牙MAC地址，并且在应用蓝牙始终开启/关闭限制时也会用到该权限。

作为隐私策略的一部分，从安卓12设备开始，安卓系统限制在配置文件所有者设备中收集设备标识符详细信息，如序列号、IMEI码、MEID等。欲了解更多信息，请参阅此处。

安全文件夹选项在三星框架中本身就受到限制，当设备作为设备所有者注册时，像安全文件夹、双工作空间这样的应用默认会受到限制，因为它们会使用一个单独的用户，而这个用户无法被MDM管理。

对于非三星设备：在将设备恢复出厂设置时，账户将被移除，并且会跳过FRP（出厂重置保护）。
对于三星设备：在擦除设备之前，需要手动移除设备上存在的谷歌账户。只有当谷歌应用商店服务支持高于指定版本时，账户移除才会成功。

通过ABM/ASM注册的设备不能简单地通过恢复出厂设置来取消管理。要取消对该设备的管理，我们首先需要将设备从ABM服务器中移除，然后在恢复模式下重置设备。

对于运行安卓5.0或更高版本以及6.0或更高版本的设备，谷歌要求在配置设备时进行数据加密。只有对于运行7.0或更高版本的设备，在将其配置为配置文件所有者/设备所有者时才不需要加密。

当在MDM服务器上集成托管谷歌应用商店（Managed Google Play）而不集成G Suite时，会在设备上创建一个托管账户。默认情况下，用户无法移除这个托管账户。然而：

• 如果从MDM服务器上移除了托管谷歌应用商店的集成，设备上的托管账户将被视为无效，用户可以将其移除。
• 如果托管账户已过期，用户可以将其移除。
• 如果移除了过期账户，设备上会自动添加一个新的托管账户。