前面我们已经搭建好了一台 Mobileiron 服务器,并且简单说明了一下界面菜单的配置,接下来是对客户端的管控策略进行测试
本次测试客户端平台为 Android , 下面简单说一下测试环境
# 测试环境
| Portal | Role | Version | Address | Note |
|---|---|---|---|---|
| Mobileiron | MDM Server | 11.2 | mc.keeponline.cn | 配置公网证书 |
| Android | Android Clinet | Android 9 | 192.168.1.6 | 安装 Mobile@Work 客户端 |
| Windows | ADB Master | Windows 11 | 192.168.1.2 | 安装 ABD 调试程序 |
# 测试前配置
由于目前国内的网络和设备无法正常访问 Google服务 ,测试前需要先在服务器上进行简单的配置,并在客户端上安装 Mobile@Work 应用和使用 ADB 命令将 Mobile@Work 设置为设备所有者,这样 Mobileiron Server 才能在国内的环境中管理 Android 设备
# Core Server
登录 Core Admin Portal , 开启 AOSP/Closed Network Devices 功能
创建 Andriod enterprise 配置,启用 Enable Closed Network/AOSP deployment
并将 Andriod enterprise 配置应用到 Android 标签
最后创建一个用户用于注册设备,这里以本地用户为例
# Android Client
在手机浏览器中通过访问 https://support.mobileiron.com/MIClient-latest.apk 下载安装 Mobile@Work 应用,也可以在电脑上下载好安装包,通过 USB 连接或其它方式拷贝到安卓设备上进行安装,安装完允许所有权限,然后点击完成
在手机设置中启用开发者模式,通常在关于手机界面,连续点击 5 次版本号开启,由于不同厂商型号的手机开启方式有些不太一样,具体开启方式可能还需要自行在搜索引擎中查找
开启后进入开发者模式,开启 USB 调试功能,弹出权限窗口请点击确定
# Windows
在 Windows 上下载 Android Debug Bridge(ADB) , 用于将 Mobile@Work 设置为设备所有者
Android Debug Bridge(ADB)官方下载地址:
-
Windows: https://dl.google.com/android/repository/platform-tools-latest-windows.zip
-
MacOS : https://dl.google.com/android/repository/platform-tools-latest-darwin.zip
-
Linux: https://dl.google.com/android/repository/platform-tools-latest-linux.zip
下载后解压,然后进入解压目录,在地址栏上输入 cmd 回车打开命令提示符
手机通过 USB 数据线连接到计算机,弹出允许 USB 调试窗口请点击确定
回到命令提示符,输入 adb devices 查看已连接设备,出现 设备ID 和 device 信息表示连接成功
连接成功后,输入 adb shell dpm set-device-owner com.mobileiron/.receiver.MIDeviceAdmin 将 Mobile@Work 设置为设备所有者,出现 Success: Device owner set to package ComponentInfo{com.mobileiron/com.mobileiron.receiver.MIDeviceAdmin} 表示设置成功
# 注意事项
如果使用 adb devices 命令返回 设备ID 和 unauthorized ,则表示用户在手机上没有允许 USB 调试权限,此时请查看手机是否弹出 USB 调试请求,需要在手机上允许 USB 调试后再使用 adb devices 查看已连接设备
如果执行 adb shell dpm set-device-owner com.mobileiron/.receiver.MIDeviceAdmin 报 java.lang.IllegalStateException: Trying to set the device owner, but device owner is already set. 错误,表示该设备已经有一个设备所有者了
在系统设置中找到账号相关的地方,退出所有已登录的账号再尝试,如果还是不行的话,自己又没有能力找到原因,在设备没有重要数据的情况下,个人建议是将手机恢复出厂再尝试
# 正式测试
经过前面的操作,我们可以正式进入功能测试阶段
# 客户端注册
在设备中运行 Mobile@Work ,点击或者使用服务器的 URL 注册
输入服务器地址,点击下一步
如果弹出 不受信任的证书 点击接受
输入之前创建的用户名和密码点击登录
点击继续
选择启用此设备管理应用
注册完成
# MDM 策略
客户端注册完成后,登录 MDM 服务器,下面针对安卓设备的一些常用策略进行测试
下面所有策略创建后都需要通过 Actions --> Apply To Label --> Android 才生效
# WIFI Config
创建 WIFI 配置,让设备在 WIFI 信号范围内自动连接
# Kiosk Policy
创建自助终端策略,用户只能使用指定的应用程序,无法对设备做其它任何操作
策略生效后打开 Mobile@Work ,点击进入自助服务终端即可
# Security Policy
创建安全策略,可以配置密码强度、数据加密和访问控制策略
应用策略后设备上会弹出提示需要配置新的屏幕锁定设置
# Lockdown Policy
创建限制策略,该策略可以限制设备大部分功能,如网络连接、摄像头、USB 存储、SD 存储、屏幕截图、应用程序、恢复出厂等等
策略生效后部分功能截图
由于当前环境比较单一,还有很多其它配置需要搭配其它服务使用,如 Email、数据加密等服务,以后如果有机会的话再更新吧
# wipe
擦除设备手机将自动进入恢复出厂设置
