# 设备配置 - Android

# 支持的设备

通常情况下，任何运行 Android 6 及以上版本并安装了 Google Play 服务的设备都与 Cerberus Enterprise 兼容。

为了获得更好的用户体验，我们建议使用符合 [Android Enterprise Recommended](https://androidenterprisepartners.withgoogle.com/devices/) 标准的设备。

<p class="callout info">某些功能仅限于特定的 Android 版本，或者在不同的操作系统版本中表现可能有所不同。有关特定功能的更多信息，请参阅文档中的 [策略](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/android-dH0 "Policies")章节。 </p>

Cerberus Enterprise 支持公司拥有的设备和个人拥有的设备，并提供两种管理模式：设备所有者 (Device Owner) 和资料所有者 (Profile Owner)。

**个人拥有的**设备可以通过 **工作资料**进行管理。这通过将员工的工作数据和应用与个人数据及应用分开，实现了一种 BYOD（自带设备）解决方案，从而提高了安全性和隐私性。此选项适用于员工已拥有、且您希望将其注册到组织中用于工作的设备。

**公司拥有的**设备也可以通过工作资料进行管理，但您也可以选择 **完全管理**选项，从而实现对设备的更严格控制。对于向员工提供公司设备用于工作但仍允许个人使用的场景，使用带有工作资料的公司所有设备是合适的。而完全管理的设备更适合仅限用于工作的设备，或 **专用设备**（COSU，公司拥有的单一用途设备），例如自助终端。

有关设备注册的更多信息，请参阅 [设备注册概览](https://enterprise.cerberusapp.com/docs/books/8efb1/page/f4f6d "Device provisioning overview") 页面。

<div id="bkmrk-"><div><div>  
</div></div></div>

# 注册令牌

 Cerberus Enterprise 使用注册令牌来启动 Android 设备注册（配置）流程。您选择的令牌将定义应用于已注册设备的初始策略，并影响允许哪些配置模式。

<p class="callout info">Android 注册令牌选项卡仅在完成 [**Android 管理设置**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/android-Nwl "Android Management setup")后可用。 </p>

## 在哪里可以找到注册令牌

在控制面板中，打开 **注册令牌**。根据您的账户配置，该页面可能会显示多个选项卡（Android 令牌、Google 登录注册、Apple 手动注册以及 Apple 自动化设备注册）。

<p class="callout info">如果您的 Android 企业由受管 Google 域名 (Google Workspace) 支持，控制面板还可能显示 **使用 Google 注册进行身份验证** 选项卡。有关启用和使用的详细信息，请参阅 [**使用 Google 注册进行身份验证**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/google-tQA "Authenticate Using Google enrollment")》。 </p>

## 注册令牌列表 (Android)

 Android 令牌选项卡显示所有令牌的列表。点击某一行将打开该令牌的详细信息页面。

### 列

- **ID**：内部令牌标识符。
- **状态**：**可用**、**已使用**（一次性令牌已使用）或 **已过期**。
- **有效期**：过期日期/时间，或 **永不过期**。
- **策略**：分配给该令牌的策略（UI 工具提示还会显示策略 ID）。
- **个人使用**：允许 / 不允许 / 专用设备。
- **允许用途**：多次使用或仅限一次。
- **用户**：通过该令牌注册的设备预分配的可选用户。

### 操作

- 每一行都有一个删除操作（**删除注册令牌**）。当许可证过期时，删除功能将被禁用。
- 该表格支持多行选择：您可以启用选择模式，选择多个令牌，并使用 **删除所选令牌** 进行删除。
- 使用刷新操作来重新加载列表。表格采用分页显示（每页 10/25/50 项）。

## 创建新的注册令牌

在 Android 令牌选项卡中，点击 **新建注册令牌** 以打开令牌创建页面。如果您的许可证已过期，创建按钮将被禁用。

### 令牌选项

#### 1. 策略

**必填。** 使用此令牌注册的所有设备都将自动应用该策略。请从您的 [**Android 策略**](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/android-dH0 "Policies") 中选择一个。如果您还没有任何策略，请先创建一个。

#### 2. 用户

 可选。如果设置，新注册的设备将自动与此用户关联。

#### 3. 个人使用

 控制是否允许在通过此注册令牌配置的设备上进行个人使用：

- **允许**：适用于个人拥有的设备（工作资料）以及用于工作和个人使用的公司所有设备。
- **不允许**：适用于仅供工作使用的公司所有设备（全管理）。
- **专用设备**：适用于自助终端/专用设备（设备不与单个用户关联）。

#### 4. 允许用途

选择该令牌可以多次使用（**多次使用**）还是仅限一次使用（**仅限一次**）。

#### 5. 有效期

选择有效期单位（**分钟**、**小时**、**天**或 **永不过期**）。如果不设置为“永不过期”，请输入有效期数值。允许的范围取决于所选单位，最高可达 10,000 天。

### 配置选项（仅限二维码）

 这些附加选项将嵌入到二维码中，并在通过扫描二维码注册全管理设备的过程中生效。它们不适用于工作资料或使用注册 URL 或令牌注册的设备。

#### Wi-Fi 配置

使用此选项可让设备在配置过程中自动连接到 Wi-Fi，以便下载并初始化管理应用。可用字段包括 **SSID**、**隐藏 SSID**、**安全性**，以及（需要时）**密码**。

您还可以配置 HTTP 代理（**代理**），并根据模式设置 **主机**/**端口**、**PAC URI** 以及 **代理绕过主机**。

#### 其他选项

其他选项包括 **语言区域**、**时区**，以及 **跳过加密**。

## 注册令牌详细信息

 当您打开一个令牌时，详细信息页面将显示该令牌的配置和使用信息：

- **状态**、**有效期**、**使用情况**、**个人使用**，以及 **允许用途**。
- **令牌**：原始注册令牌值（可复制）。
- **注册 URL**：Google Android Enterprise 注册 URL（可复制并可通过电子邮件发送）。
- **二维码**：显示在页面右侧，用于注册全管理设备。

<p class="callout info">有关逐步配置流程，请参考 Android 注册指南：[**个人拥有的设备**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/65ded "Personally-owned devices")&gt;, [**用于工作和个人使用的公司所有设备**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/8f532 "Company-owned devices for work and personal use")&gt;, [**仅供工作使用的公司所有设备**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/42a0e "Company-owned devices for work use only")&gt;, 以及 [**Zero-touch**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/zero-touch "Zero-touch")&gt;。 </p>

# 个人拥有的设备

<div id="bkmrk-devices-owned-by-emp">员工拥有的设备可以通过 **工作资料** 进行设置。工作资料为工作应用和数据提供了一个独立的存储空间，与个人应用及数据相分离。大多数应用、数据和其他管理策略仅适用于工作资料，而员工的个人应用和数据将保持私密。 </div><div id="bkmrk-"><div></div></div><div id="bkmrk-to-set-up-a-work-pro">要在个人拥有的设备上设置工作资料，请使用以下配置方法之一（确保 [注册令牌](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens") 的 ***个人使用*** 已设置为 **允许**）： </div><div id="bkmrk--0"></div>#### 注册令牌链接

<table id="bkmrk-android-version-work" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Android 版本</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>6.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-you-can-provide-the-">您可以将注册 URL 提供给最终用户。当最终用户在他们的设备上打开该链接时，系统将引导他们完成工作资料设置。</div><div id="bkmrk--1"></div>#### 从 *“设置”*中添加工作资料 

<table id="bkmrk-android-version-5.1%2B" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Android 版本</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>6.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-to-set-up-a-work-pro-0"><div>若要在设备上设置工作资料，用户可以打开设备的 ***设置*** 应用，然后使用搜索栏找到并点击 ***设置您的工作资料*** 选项。 </div>  
<div>如果搜索未成功，该选项的位置可能会有所不同。以下是几种可能的情况：</div>- *设置* -&gt; *Google 服务和偏好设置* -&gt; *所有服务* -&gt; *设置您的工作资料*.
- *设置* -&gt; *Google* -&gt; *设置与恢复* -&gt; *设置您的工作资料*.

  
这些步骤将启动设置向导，并在设备上下载 *Android Device Policy*。接下来，系统将提示用户扫描二维码或手动输入注册令牌以完成工作资料设置。 </div><div id="bkmrk--2"></div>#### 下载 Android Device Policy

<table id="bkmrk-android-version-5.1%2B-0" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Android 版本</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>6.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-to-set-up-a-work-pro-1">若要在设备上设置工作资料，用户可以从 Google Play 商店下载 Android Device Policy。安装该应用后，系统将提示用户扫描二维码或手动输入注册令牌以完成工作资料设置。</div>

# 用于工作和个人用途的公司拥有的设备

<div id="bkmrk-setting-up-a-company">通过 **工作资料** 设置公司拥有的设备，可以使该设备同时适用于工作和个人用途。对于具有工作资料的公司拥有的设备： </div><div id="bkmrk-"></div>- 大多数应用、数据和其他管理策略仅适用于工作资料。
- 员工的个人资料将保持私密。但是，企业可以实施某些设备级策略和个人使用策略。
- 企业可以使用 *阻止范围* 对整个设备或仅对其工作资料执行合规操作。
- 设备注销和设备命令适用于整个设备。

<div id="bkmrk-to-set-up-a-company-">要为带有工作资料的公司所有设备进行设置，请使用以下配置方法之一（确保 [注册令牌](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens") 的 **个人使用** 已设置为 **允许**）： </div><div id="bkmrk--0"></div>#### 二维码方法

<table id="bkmrk-android-version-work" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Android 版本</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>8.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-on-a-new-or-factory-">在全新或已恢复出厂设置的设备上，用户（通常是 IT 管理员）在屏幕同一位置连续点击六次。这将触发设备提示用户扫描二维码。</div>

# 仅供工作使用的公司所有设备

<div id="bkmrk-full-device-manageme">**全设备管理** 适用于仅用于工作目的且由公司拥有的设备。企业可以管理设备上的所有应用，并可以实施 Android Management API 的全方位策略和命令。 </div><div id="bkmrk-"></div><div id="bkmrk-it%27s-also-possible-t">也可以通过策略将设备锁定为单个应用或一小组应用，以用于特定目的或用例。这类全管理设备子集被称为 **专用设备**。 </div><div id="bkmrk--0"></div><div id="bkmrk-to-set-up-full-manag">要为公司所有设备设置全管理，请使用以下配置方法之一（确保 [注册令牌](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens") 的 **个人使用** 已设置为 **不允许**）： </div><div id="bkmrk--1"></div>#### 二维码方法

<table id="bkmrk-android-version-work" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Android 版本</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>7.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-on-a-new-or-factory-">在全新或已恢复出厂设置的设备上，用户（通常是 IT 管理员）在屏幕同一位置连续点击六次。这将触发设备提示用户扫描二维码。</div><div id="bkmrk--2"></div>#### DPC 标识符方法

<table id="bkmrk-android-version-5.1%2B" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Android 版本</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>5.1+</small></span></td></tr></tbody></table>

<div id="bkmrk-if-android-device-po"><div>如果无法通过二维码添加 Android Device Policy，用户或 IT 管理员可以按照以下步骤配置全管理设备或专用设备：</div>  
<div>1. 在全新或已恢复出厂设置的设备上，按照设置向导进行操作。</div><div>2. 输入 Wi-Fi 登录详情以将设备连接到互联网。</div><div>3. 当提示登录时，输入 **afw#setup**，这将下载 Android Device Policy。 </div><div>4. 扫描二维码或手动输入注册令牌以配置设备。</div></div>

# Zero-touch

IT 管理员可以使用 [针对 IT 管理员的 Zero-touch 注册](https://support.google.com/work/android/answer/7514005)中所概述的 Zero-touch 注册方法来配置公司拥有的设备。当设备首次开机时，设备会自动强制进入由 IT 管理员定义的设置中。

IT 管理员可以预配置从 [授权经销商](https://www.android.com/enterprise/management/zero-touch/)处购买的设备，并使用 Cerberus Enterprise 控制面板进行管理。要关联您的 Zero-touch 账户，请前往控制面板中的 **Zero-touch** 章节，然后按照说明操作。

<table id="bkmrk-android-version-work"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td><span style="text-align: center; display: block;">Android 版本</span></td><td><span style="text-align: center; display: block;">工作资料</span></td><td><span style="text-align: center; display: block;">完全管理的设备</span></td><td><span style="text-align: center; display: block;">专用设备</span></td></tr><tr><td><span style="text-align: center; display: block;"><small>8.0+ (Pixel 7.1+)</small></span></td><td><span style="text-align: center; display: block;">✓</span></td><td><span style="text-align: center; display: block;">✓</span></td><td><span style="text-align: center; display: block;">✓</span></td></tr></tbody></table>

# 使用 Google 注册进行身份验证

使用 Google 注册进行身份验证（也称为 **通过 Google 身份验证进行注册**）允许用户在 Android 设备注册期间使用其 Google Workspace 账号进行身份验证。

<p class="callout info"> 此功能仅适用于由受管 Google 域名 (Google Workspace) 支持的 Android 企业。 </p>

## 在哪里可以找到它

在控制面板中，打开 **注册令牌** 并选择 **使用 Google 注册进行身份验证** 选项卡。仅当已配置 Android 管理且您的企业可以使用 Google Workspace 集成时，才会显示该选项卡。

## 启用（或禁用）Google 身份验证

Google 身份验证是在 **Google 管理控制台** 中启用的。更改设置后，请返回 Cerberus Enterprise 并使用 **刷新状态** 来重新加载当前配置。

1. 使用管理员账号登录您的 [**Google 管理控制台**](https://admin.google.com/)》。
2. 打开 **设备**。
3. 前往 **移动设备与终端** → **设置** → **第三方集成**。
4. 找到 Cerberus Enterprise 的 **Android EMM 集成** 并打开它。
5. 点击 **管理 EMM 提供商**。
6. 切换 **使用 Google 进行身份验证** 以启用或禁用 Google 注册身份验证。
7. 点击 **保存**。
8. 返回 Cerberus Enterprise 控制面板，并在 **使用 Google 注册进行身份验证** 选项卡上点击 **刷新状态**。

## Google 身份验证注册令牌

启用 Google 身份验证后，控制面板将显示用于此注册模式的专用注册令牌。该页面可能会显示 **二维码**、**注册令牌** 值以及 **注册 URL**（可复制并可通过电子邮件发送）。

### 关键选项

- **允许个人使用**：控制该令牌是否可以注册用于工作和个人使用的设备（工作资料场景），或仅用于工作的设备（全管理/专用场景）。
- **备用默认策略**：当注册用户未分配特定的 Google 身份验证默认策略时应用的策略。

### 策略交互

策略设置 **工作账号设置身份验证** (workAccountSetupConfig.authenticationType) 控制用户在设置工作账号期间如何进行身份验证，但 Google 管理控制台的 **使用 Google 进行身份验证** 设置以及注册令牌类型仍可能需要身份验证。

对于已注册的设备，此策略仅在设备由受管 Google Play 账号管理时（即未通过 **使用 Google 注册进行身份验证** 进行注册）生效。

<p class="callout info"> 当许可证过期时，某些操作（例如更改令牌选项）可能会被禁用。 </p>

## 注册设备

 在注册过程中，系统会提示用户使用其 Google Workspace 账号进行身份验证。注册成功后，设备将与已通过身份验证的用户关联。

### 工作资料（个人拥有的设备）

- 将 **注册 URL** 分享给用户。当用户在 Android 设备上打开该链接时，将引导其完成工作资料设置和 Google 身份验证。
- 或者，用户可以从 Android 设置开始，选择工作资料设置流程，然后在提示时扫描二维码或输入注册令牌。

### 公司所有设备

- **二维码方法**：在全新或已恢复出厂设置的设备上，在屏幕同一位置连续点击多次，直到出现二维码提示，然后扫描控制面板中显示的二维码。
- **DPC 标识符方法**（无法使用二维码扫描时）：按照设置向导进行操作，连接 Wi-Fi，然后在提示登录时输入 **afw#setup**，接着通过扫描二维码或输入注册令牌继续操作。在提示时，使用 Google Workspace 账号进行身份验证。

 有关常规 Android 配置流程（工作资料与全管理设备），请参阅本手册中的标准 Android 注册页面。