借助 Google 端点管理 (GEM),您可以在管理 Google Workspace 安全性、服务和帐号的同一 Google 管理控制台中轻松管理贵组织的设备。您可以使用哪些 Android 设备管理选项,取决于以下因素:
- 设备的设置方式
- 设备用户使用的是基本还是高级移动设备管理
- 您是否将设备添加到公司自有资产清单
- 分配给设备用户的 Google Workspace 许可
我们将在本文中介绍许多设备管理术语。如果感到困惑,请查看本页末尾的字词表。
Google 端点管理与 Android Enterprise
Android Enterprise 是 API、开发者工具和管理员功能套件,可让企业移动管理 (EMM) 服务提供商管理 Android 设备。详细了解 Android Enterprise。
GEM 是 EMM 提供服务,提供 Android Enterprise 的许多功能。不过,二者是分开的。与 GEM 相比,Android Enterprise 可能拥有更多可供 EMM 实现的功能。要及时了解 GEM 中的新功能,请参阅 Google 端点管理的新变化。
Android 管理权限
EMM 提供服务可提供哪些 Android 设备的管理选项,以及您能获取有关这些设备的哪些信息,取决于设备的设置方式。该设置方式决定了您的“管理权限”。您的组织可以对设备拥有以下某项权限:
- 设备所有者 - 设备设为工作专用,您对设备拥有完全控制权。使用此模式,您可以最大限度地控制设备上的数据和应用,最适合对安全性要求较高的组织。
关于“设备所有权”的说明:例如,您拥有设备所有者权限的设备可能是由您的组织购买并提供给用户的设备,例如通过零触摸注册设为“工作专用”的设备。或者,也有可能是用户设为工作专用的用户个人设备。在 GEM 中,“公司自有设备”并非由您的管理员权限定义。公司自有设备是指您将序列号添加到公司自有资产清单的设备。通常来说,这些都是贵组织购买且拥有设备所有者权限的设备。
- 资料所有者 - 设备上除用户个人空间外,也存在受管理的工作资料(请参阅下一部分,详细了解工作资料)。您可以控制工作资料中的应用和数据,但不能控制个人空间中的应用和数据。如果贵组织想要构建自带设备 (BYOD) 环境,请使用此模式。
注意:Android Enterprise 现在支持公司自有设备上的工作资料,但 GEM 不支持此配置。
- 设备管理员 -(已弃用,不适用于 Android 10 及更高版本,不支持采用 GEM 高级移动设备管理的设备)用户在其设备上的个人空间中拥有受管理的帐号。
部分 GEM 工具和设置取决于您在设备上拥有的权限。例如,如果您拥有设备的“资料所有者”权限,您就可以擦除设备中的工作帐号,但无法擦除整个设备。
要查看您对设备拥有的管理权限,请在管理控制台中打开该设备的详细信息页面。有关详情,请参阅查看移动设备详细信息。
Android 工作资料
如果用户的个人设备也用于工作,那么借助 Android 工作资料,就可以确保设备上的个人数据和应用的隐私性。设置工作资料后,用户的受管理帐号和应用会存放在单独的空间中,而设备管理服务无权访问这些空间。贵组织拥有“资料所有者”管理权限
您在 GEM 中启用高级移动设备管理后,如果用户将受管理的帐号添加到个人 Android 设备(自带设备),系统就会提示用户设置工作资料。有关用户如何设置工作资料的详细信息,请参阅在 Android 设备上设置 Google Workspace 和什么是工作资料?。
一台设备上只允许设置一个工作资料。
- 如果您不希望要求用户设置工作资料,请为用户所在的组织部门设置基本移动设备管理。如果您已启用高级移动设备管理,则可以改用基本移动设备管理。基本移动设备管理不提供某些管理功能。如需详细了解二者的差别,请参阅下一部分。
- 如果某位用户需要在一台设备上添加多个受管理的帐号(例如,用户拥有“常规”工作帐号和管理员帐号),请将他们添加到为基本移动设备管理设置的组织部门。
注意:GEM 不支持具有“设备所有者”权限和工作资料的设备,尽管 Android Enterprise 目前提供了此设置选项。
适用于 Android 设备的基本移动设备管理与高级移动设备管理
Google 端点管理提供 3 个级别的移动设备管理:基本、高级或非受管。您可以按组织部门为用户设置移动设备管理级别。您还可以使用自定义选项,将该设置仅应用于组织部门中的用户使用的特定类型的设备。例如,您可以让用户的 Android 设备使用高级移动设备管理,让 iPhone 和 iPad (iOS) 使用基本移动设备管理,让所有使用 Google Sync 的 iOS 设备使用基本移动设备管理。
重要提示:您可以按“用户”(添加到设备的帐号)和设备类型(可选)配置移动设备管理设置。您无法为特定一组设备设置某个级别的移动设备管理,无论用户帐号如何。
基本移动设备管理
默认启用的是基本移动设备管理。借助该服务,您可以设置基本密码要求、管理应用(仅限 Android 设备)以及获取设有工作帐号的设备的详细信息。用户无需在设备上安装管理应用或设置工作资料,该服务还能与某些第三方 EMM 提供服务共存。如果您希望将 GEM 用作 EMM 提供服务,则基本移动设备管理只能提供有限的安全选项。有关详情,请参阅移动设备管理功能比较。
高级移动设备管理
您需要启用高级移动设备管理,才能使用高级端点功能和企业端点功能的所有功能。要强制执行安全政策,用户必须在其设备上设置管理客户端,并为个人设备安装工作资料。
注意:高级移动设备管理无法与其他 EMM 搭配使用,只能与 GEM 搭配使用。
无移动设备管理(非受管)
为 Android 设备停用移动设备管理后,您仍然可以允许用户将工作帐号添加到设备并访问其工作数据。但是,您无法使用任何管理选项。如果设备丢失或被盗,您无法擦除设备上的工作帐号,无法要求输入密码,并且您的设备也不会在管理控制台中的设备列表中显示。
设备所有权
某些 GEM 功能仅适用于您在管理控制台中设为公司自有的设备。要将设备设为公司自有设备,您需要将设备添加到公司自有资产清单。例如,要让 GEM 和相关安全功能(如情境感知访问权限)能够将设备识别为公司自有,您必须将其添加到公司自有资产清单中。
此公司所有权与“设备所有者”管理权限以及设备是否由贵组织购买(实际拥有)无关。
零触摸注册
零触摸注册 (ZTE) 是一项 Android Enterprise 功能,可让组织为用户自动设置全代管式设备。此功能与 Google 端点管理是相互独立的,但您可以使用 Google 端点管理来管理以这种方式设置的设备。
借助 ZTE,您的组织可以从支持的转销商处购买设备,并设置在用户将其帐号添加到设备时自动应用的配置。
要使用 GEM 管理 ZTE 设备,这些设备的用户所在的组织部门必须已启用高级移动设备管理(至少需要为 Android 设备启用)。您的组织将拥有“设备所有者”管理权限,但 GEM 不会将设备视为公司自有设备,除非您将设备添加到公司自有资产清单。有关详情,请参阅通过零触摸注册部署 Android 设备。
如需大致了解 ZTE,请参阅适用于 IT 管理员的零触摸注册。
字词表
Google 端点管理术语
- 高级移动设备管理 - 这项移动设备管理设置可让您更好地控制用户的设备,例如控制对网络和应用的访问权限、安全设置以及获取关于这些设备的详细信息。
- 基本移动设备管理 - 这项移动设备管理设置可让您获得对用户设备的最基本控制权限。
- 公司自有 - 您在管理控制台中添加到公司自有资产清单的设备。
- Google 端点管理 (GEM) - Google Workspace 和 Cloud Identity 中包含的企业移动管理提供服务,可在 Google 管理控制台中使用。
Android 术语
- Android Enterprise - 企业移动管理 (EMM) 开发者用来支持通过 EMM 管理 Android 设备的功能和工具。
- 自带设备 (BYOD) - 用户添加了工作帐号的个人设备。
- 设备所有者 - 该管理权限可授予企业移动管理提供服务对设备的完整控制权。用户无法添加个人帐号。
- 企业移动管理 (EMM) 提供服务 - 此产品可让您的组织设置安全政策、控制数据访问权限和管理设备上的应用。
- 全代管式设备 - 您的组织拥有设备所有者权限的 Android 设备。
- 管理权限 - 企业移动管理提供服务对设备的控制范围,可以是整个设备(设备所有者)或工作资料(资料所有者)。
- 资料所有者 - 此管理权限可让企业移动管理提供服务仅控制设备上的工作资料。
- 工作资料 - 用户个人 Android 设备上用于存放工作应用和数据的独立空间。贵组织对设备拥有“资料所有者”权限。用户的个人应用和数据与工作应用和数据是分开的,且贵组织无法访问个人应用和数据。
- 零触摸注册 - Android Enterprise 功能,可让组织为用户自动设置全代管式设备。
另请参阅 Android Enterprise 术语。