# 设备配置 - Android

# 支持的设备

通常，运行 Android 6+ 且安装了 Google Play 服务的设备都与 Cerberus Enterprise 兼容。

为了获得更好的用户体验，我们建议使用符合[Android Enterprise 推荐](https://androidenterprisepartners.withgoogle.com/devices/)的要求的设备。

<p class="callout info">某些功能仅限于特定的 Android 版本，或者在不同的操作系统版本下可能表现不同。有关特定功能的更多信息，请参阅文档中的 [策略](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/android-dH0 "Policies") 章节。</p>

Cerberus Enterprise 支持公司所有设备和个人设备，并提供两种管理模式：设备所有者模式和配置管理模式。

**个人**设备可以通过**工作配置**进行管理。这实现了“自带设备办公”（BYOD）方案，通过将员工的工作数据和应用与个人数据和应用隔离开，从而提高安全性和隐私性。此选项适用于员工已拥有的，希望将其注册到贵组织以供工作使用的设备。

**公司所有**的设备也可以通过工作配置进行管理，但您也可以选择**完全托管**选项，该选项允许对设备进行更严格的控制。 具有工作配置的公司所有设备适用于您向员工提供公司设备以用于工作，同时仍允许个人使用的场景。 完全托管的设备更适合于只能用于工作的设备，或用于**专用设备**（COSU，企业自有单用途设备），例如自助服务终端。

如需了解更多关于设备配置的信息，请参阅[设备配置概览](https://enterprise.cerberusapp.com/docs/books/8efb1/page/f4f6d "Device provisioning overview")页面。

<div id="bkmrk-"><div><div>  
</div></div></div>

# 注册令牌

 Cerberus Enterprise 使用注册令牌来启动 Android 设备的注册（配置）过程。您选择的令牌定义了应用于已注册设备的初始策略，并影响允许的配置模式。

<p class="callout info"> 只有在完成 [**Android Management setup**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/android "Android Management setup") 之后，Android 注册令牌选项才可用。 </p>

## 在哪里可以找到注册令牌。

 在仪表板中，打开 **注册令牌**。根据您的帐户配置，页面可能显示多个选项卡（Android 令牌、Google 登录注册、Apple 手动注册和 Apple 自动设备注册）。

<p class="callout info"> 如果您的 Android 企业版由管理的 Google 域名（Google Workspace）支持，仪表板也可能显示一个 **使用 Google 注册进行身份验证** 选项卡。有关启用和使用的详细信息，请参阅 [**使用 Google 注册进行身份验证**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/google "Authenticate Using Google enrollment")。 </p>

## Android 设备注册令牌列表。

 Android 令牌选项卡显示所有令牌的表格。点击某行可打开令牌详细信息页面。

### 列

- **ID**：内部令牌标识符。
- **状态**：**可用**，**已用**（一次性令牌已使用），或**已过期**。
- **到期时间**：到期日期/时间，或**永久有效**。
- **策略**：分配给此令牌的策略（UI 提示也显示策略 ID）。
- **个人使用**：允许 / 不允许 / 专用设备。
- **允许的使用方式**：可多次使用或仅限一次。
- **用户**：可选的用户，可预先分配给使用令牌注册的设备。

### 操作

- 每行包含一个删除操作（**删除注册令牌**）。当许可证过期时，删除功能将被禁用。
- 表格支持多行选择：您可以启用选择模式，选择多个令牌，然后使用 **删除选定的令牌** 功能进行删除。
- 使用刷新操作重新加载列表。 表格支持分页显示（每页显示 10/25/50 项）。

## 创建新的注册令牌。

 在“Android 令牌”选项卡中，点击 **新建注册令牌** 以打开令牌创建页面。 如果您的许可证已过期，则“创建”按钮将被禁用。

### 令牌选项

#### 1. 策略

**必需。** 该策略将自动应用于所有使用此令牌注册的设备。选择您的一项 [**Android 策略**](https://enterprise.cerberusapp.com/docs/books/8efb1/chapter/android-dH0 "Policies")。 如果您还没有策略，请先创建一个。

#### 2. 用户

 可选。如果已设置，新注册的设备将自动与此用户关联。

#### 3. 个人使用。

 是否允许在通过此注册令牌配置的设备上进行个人使用。

- **允许**：适用于个人拥有的设备（工作模式）以及用于工作和个人使用的公司拥有的设备。
- **不允许**：适用于仅用于工作用途的公司拥有的设备（完全托管）。
- **专用设备**：适用于自助服务终端/专用设备（设备不与单个用户关联）。

#### 4. 允许的使用方式。

选择是否允许令牌多次使用（**多次**）或仅使用一次（**仅限一次**）。

#### 5. 过期时间

 选择到期单位（**分钟**，**小时**，**天**，或**永不过期**）。如果未设置为“永不过期”，请输入到期值。允许的范围取决于所选单位，最高可达10,000天。

### 配置选项（仅限二维码）。

 这些额外的选项已嵌入到二维码中，并在扫描二维码注册设备时生效。这些选项不适用于工作配置或通过注册 URL 或 Token 注册的设备。

#### Wi-Fi 配置

 使用此功能，可以让设备在配置过程中自动连接到 Wi-Fi，以便下载和初始化管理应用。 可用的字段包括 **SSID**、**隐藏的 SSID**、**安全模式**，以及（如果需要）**密码**。

 您还可以配置 HTTP 代理（**代理**），并且，根据模式的不同，可以设置 **主机**/ **端口**、**PAC URI** 和 **代理绕过主机**。

#### 其他选项

 其他选项包括 **本地设置**、**时区**以及 **跳过加密**。

## 注册令牌的详细信息

 当您打开令牌时，详细信息页面会显示令牌的配置和使用信息：

- **状态**，**到期时间**，**使用情况**，**个人使用**，以及**允许的使用**。
- **令牌**：原始注册令牌的值（可复制）。
- **注册 URL**：一个 Google Android Enterprise 注册 URL（可复制并可通过电子邮件发送）。
- **二维码**：显示在页面右侧，用于注册完全管理的设备。

<p class="callout info"> 如需了解分步配置步骤，请参考 Android 注册指南：[**个人设备**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/65ded "Personally-owned devices")，[**公司拥有的用于工作和个人用途的设备**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/eb163 "Company-owned devices for work and personal use")，[**公司拥有的仅用于工作用途的设备**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/17000 "Company-owned devices for work use only")，以及[**零配置**](https://enterprise.cerberusapp.com/docs/books/8efb1/page/01386 "Zero-touch")。 </p>

# 个人拥有的设备

<div id="bkmrk-devices-owned-by-emp">员工拥有的设备可以配置为使用**工作配置**。工作配置提供一个独立的区域，用于存储工作应用程序和数据，与个人应用程序和数据分开。大多数应用程序、数据和其他管理策略仅适用于工作配置，而员工的个人应用程序和数据保持私密。</div><div id="bkmrk-"><div></div></div><div id="bkmrk-to-set-up-a-work-pro">要在个人设备上设置工作配置，请使用以下配置方法之一（确保[注册令牌](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens")的***允许个人使用***设置为**允许**）：</div><div id="bkmrk--0"></div>#### 注册令牌链接

<table id="bkmrk-android-version-work" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Android版本</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>6.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-you-can-provide-the-">您可以将注册链接提供给最终用户。当最终用户从其设备上打开该链接时，他们将按照提示完成工作配置设置。</div><div id="bkmrk--1"></div>#### 从“设置”中添加工作配置。*“设置”*

<table id="bkmrk-android-version-5.1%2B" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Android版本</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>6.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-to-set-up-a-work-pro-0"><div>要为用户设备设置工作配置，用户可以：</div>  
<div>1. 前往 *设置* &gt; *Google* &gt; *设置与恢复*。</div><div>2. 点击 *“设置您的工作资料”*。</div>  
这些步骤将启动一个配置向导，用于下载*Android 设备策略*到设备上。 接下来，用户将被提示扫描二维码或手动输入注册令牌以完成工作资料的设置。</div><div id="bkmrk--2"></div>#### 下载 Android 设备策略

<table id="bkmrk-android-version-5.1%2B-0" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Android版本</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>6.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-to-set-up-a-work-pro-1">要在设备上设置工作资料，用户可以从 Google Play 商店下载 Android 设备策略。安装应用程序后，系统将提示用户扫描二维码或手动输入注册令牌以完成工作资料的设置。</div>

# 公司所有设备，用于工作和个人用途。

<div id="bkmrk-setting-up-a-company">配置公司拥有的设备并启用工作资料，**这使设备既可用于工作，也可用于个人用途。**在配置了工作资料的公司拥有的设备上：</div><div id="bkmrk-"></div>- 大多数应用、数据和其他管理策略仅适用于工作资料。
- 员工的个人资料保持私密。但是，企业可以强制执行某些设备级别的策略和个人使用策略。
- 企业可以使用*阻止范围*来对整个设备或仅其工作资料执行合规性操作。
- 设备注销和设备命令适用于整个设备。

<div id="bkmrk-to-set-up-a-company-">要设置具有工作配置文件的公司拥有的设备，请使用以下注册方法（确保 [注册令牌](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens") 的 **个人使用** 设置为 **允许**）：</div><div id="bkmrk--0"></div>#### 二维码方式

<table id="bkmrk-android-version-work" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Android版本</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>8.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-on-a-new-or-factory-">在全新设备或已重置为出厂设置的设备上，用户（通常是 IT 管理员）需要连续点击屏幕六次，以触发设备提示用户扫描二维码。</div>

# 仅限公司所有设备，仅用于工作用途。

<div id="bkmrk-full-device-manageme">**全面设备管理**适用于仅供工作用途的公司拥有的设备。企业可以管理设备上的所有应用程序，并可以强制执行 Android 管理 API 的所有策略和命令。</div><div id="bkmrk-"></div><div id="bkmrk-it%27s-also-possible-t">您还可以通过策略将设备锁定到单个应用程序或一组应用程序，以实现特定的用途或用例。这部分完全管理的设备被称为**专用设备**。</div><div id="bkmrk--0"></div><div id="bkmrk-to-set-up-full-manag">要对公司拥有的设备进行完整管理，请使用以下注册方法之一（确保[注册令牌](https://enterprise.cerberusapp.com/docs/books/8efb1/page/69cb3 "Enrollment tokens")的**个人使用**设置为**禁止**）：</div><div id="bkmrk--1"></div>#### 二维码方式

<table id="bkmrk-android-version-work" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Android版本</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>7.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-on-a-new-or-factory-">在全新设备或已重置为出厂设置的设备上，用户（通常是 IT 管理员）需要连续点击屏幕六次，以触发设备提示用户扫描二维码。</div><div id="bkmrk--2"></div>#### DPC 标识方法

<table id="bkmrk-android-version-5.1%2B" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Android版本</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>5.1+</small></span></td></tr></tbody></table>

<div id="bkmrk-if-android-device-po"><div>如果无法通过二维码添加 Android 设备策略，用户或 IT 管理员可以按照以下步骤配置一个完全管理的设备或专用设备：</div>  
<div>1. 请按照新设备或恢复出厂设置后的设备上的设置向导进行操作。</div><div>2. 请输入Wi-Fi登录信息，以连接设备到互联网。</div><div>3. 当提示您登录时，请输入**afw#setup**，它将下载 Android 设备策略。</div><div>4. 扫描二维码或手动输入注册令牌，即可为设备配置。</div></div>

# 零配置

IT 管理员可以使用零配置注册方法配置公司拥有的设备，具体方法请参见 [IT 管理员的零配置注册](https://support.google.com/work/android/answer/7514005)。当设备首次开机时，设备将自动强制进入 IT 管理员定义的设置。

IT 管理员可以预配置从 [授权的经销商](https://www.android.com/enterprise/management/zero-touch/) 处购买的设备，并使用 Cerberus Enterprise 控制面板进行管理。要连接您的零配置帐户，请转到控制面板中的 **零配置** 部分，然后按照说明进行操作。

<table id="bkmrk-android-version-work"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td><span style="text-align: center; display: block;">Android版本</span></td><td><span style="text-align: center; display: block;">工作资料</span></td><td><span style="text-align: center; display: block;">完全托管设备</span></td><td><span style="text-align: center; display: block;">专用的设备</span></td></tr><tr><td><span style="text-align: center; display: block;"><small>8.0+ (Pixel 7.1+)</small></span></td><td><span style="text-align: center; display: block;">✓</span></td><td><span style="text-align: center; display: block;">✓</span></td><td><span style="text-align: center; display: block;">✓</span></td></tr></tbody></table>

# 使用 Google 注册进行身份验证。

 使用 Google 注册进行身份验证（也称为 **Google 注册身份验证**），允许用户在 Android 设备注册过程中使用其 Google Workspace 帐户进行身份验证。

<p class="callout info"> 此功能仅适用于使用托管 Google 域（Google Workspace）的企业 Android 设备。 </p>

## 在哪里可以找到它？

 在仪表板中，打开 **注册令牌**，然后选择 **使用 Google 注册进行身份验证** 选项卡。 只有当配置了 Android 管理并且您的企业可用 Google Workspace 集成时，才会显示该选项卡。

## 启用（或禁用）Google 身份验证

Google 身份验证已在 **Google 管理控制台** 中启用。修改设置后，请返回 Cerberus Enterprise，并使用 **刷新状态** 重新加载当前配置。

1. 使用管理员帐户登录到您的 [**Google 管理控制台**](https://admin.google.com/)。
2. 打开 **设备**。
3. 转到 **移动设备与终端** → **设置** → **第三方集成**。
4. 找到 **Android EMM 集成**，并打开它，以使用 Cerberus Enterprise。
5. 点击 **管理移动设备管理服务提供商**。
6. 切换 **使用 Google 身份验证** 以启用或禁用 Google 身份验证功能。
7. 点击 **保存**。
8. 返回 Cerberus Enterprise 仪表盘，然后点击 **刷新状态**，位于 **使用 Google 注册进行身份验证** 选项卡。

## Google 身份验证注册令牌

当启用 Google 身份验证时，仪表板会显示一个专用于此注册模式的注册令牌。该页面可以显示一个**二维码**，一个**注册令牌**值，以及一个**注册 URL**（可复制并可通过电子邮件发送）。

### 主要选项

- **允许个人使用**：控制令牌是否可以为工作和个人用途注册设备（工作资料场景），或仅用于工作用途（完全管理/专用场景）。
- **备用默认策略**：当注册用户未分配特定的 Google 身份验证默认策略时，将应用此策略。

### 策略交互

 策略设置 **工作帐户设置身份验证** (workAccountSetupConfig.authenticationType) 控制用户在工作帐户设置期间如何进行身份验证，但 Google 管理控制台上的设置 **使用 Google 身份验证** 以及注册令牌类型仍然可能需要身份验证。

对于已注册的设备，此策略仅在设备由受管的 Google Play 帐户管理时才生效（即，未通过**使用 Google 注册**进行注册）。

<p class="callout info"> 当许可证过期时，某些操作（例如修改令牌选项）可能会被禁用。 </p>

## 注册设备

 注册期间，用户需要使用其 Google Workspace 帐户进行身份验证。 注册成功后，该设备将与已验证的用户关联。

### 工作资料 (个人设备)

- 分享 **注册链接** 给用户。当用户在他们的 Android 设备上打开该链接时，他们将逐步完成工作资料的设置和 Google 身份验证。
- 或者，用户也可以从 Android 设置开始，选择工作资料设置流程，然后在提示时扫描二维码或输入注册令牌。

### 公司所有设备

- **二维码方法**：在新的或已重置出厂设置的设备上，多次在同一位置点击屏幕，直到出现二维码提示，然后扫描仪表板中显示的二维码。
- **DPC 标识方法**（当无法使用二维码扫描时）：按照设置向导进行操作，连接到 Wi-Fi，然后在提示输入登录信息时，输入 **afw#setup**，然后继续扫描二维码或输入注册令牌。在提示时，使用 Google Workspace 帐户进行身份验证。

 关于Android设备的通用配置方法（工作资料与完全管理），请参阅本手册中的标准Android注册页面。