借助 Google 端点管理 (GEM),您可以在管理 Google Workspace 安全性、服务和账号的同一 Google 管理控制台中轻松管理贵组织的设备。您可以为 Android 设备设置的管理选项取决于以下因素:
- 设备的设置方式
- 设备用户使用的是基本还是高级移动设备管理
- 您是否将设备添加到公司自有资产清单
- 分配给设备用户的 Google Workspace 许可
我们将在本文中介绍许多设备管理术语。如果感到困惑, 请查看本页末尾的字词表。
Google 端点管理与 Android Enterprise
Android Enterprise 是一套 API、开发者工具和管理员功能,可让企业移动管理 (EMM) 提供商管理 Android 设备。详细了解 Android Enterprise。
GEM 是一种 EMM 提供商,可提供 Android Enterprise 中的许多功能。不过,这两者是分开的。Android Enterprise 可能具有更多可供 EMM 实现的功能,而 GEM 中提供的功能较少。如需及时了解 GEM 的新功能,请参阅 Google 端点管理的新变化。
Android 管理权限
您在 EMM 提供商中用于管理 Android 设备的选项以及您获取的有关这些设备的信息取决于设备的设置方式。该设置方式决定了您的“管理权限”。 您的组织可以对设备拥有以下某项权限:
设备所有者–设备设置为仅用于工作,您可以完全控制 设备。此模式可让您对设备上的数据和应用拥有最大程度的控制权,最适合具有高安全要求的组织。
关于“设备所有权”的注意事项:您拥有设备所有者权限的设备可能是由您的组织购买并提供给用户的设备,例如通过零触摸注册设置为仅用于工作的设备。或者,它可能是用户设置为仅用于工作的个人设备。在 GEM 中,“公司自有设备”并非由您的管理权限决定。公司自有设备是指您将序列号添加到公司自有资产清单中的任何设备。通常,这些设备是您的组织购买的,并且您拥有设备所有者权限。
资料所有者 \- 设备上除 用户个人空间外,也存在受管理的工作资料(有关工作资料的详细信息,请参阅下一部分)。您可以控制工作资料中的应用和数据,但无法控制个人空间中的应用和数据。如果您的组织需要自带设备 (BYOD) 环境,请使用此模式。
设备 管理员–(已弃用, 不适用于 Android 10 及更高版本,不支持采用 GEM 高级移动设备管理的设备)用户在其设备上的个人 空间中拥有受管理的账号。
某些 GEM 工具和设置取决于您对设备拥有的权限。例如,如果您对设备拥有“资料所有者”权限,则可以从设备中擦除工作账号,但无法擦除整个设备。
要查看您对设备拥有的管理权限,请在管理控制台中打开该设备的详细信息页面。有关详情,请参阅查看移动设备 详细信息。
Android 工作资料
如果用户的个人设备也用于工作,那么借助 Android 工作资料,就可以确保设备上的个人数据和应用的隐私性。设置工作资料后,用户的受管理账号和应用会存放在单独的空间中,而设备管理服务无权访问这些空间。贵组织拥有“资料所有者”管理权限。
在 GEM 中启用高级移动设备管理后,当用户将其受管理账号添加到个人 (BYOD) Android 设备时,系统会提示他们设置工作资料。如需详细了解用户如何设置工作资料,请参阅在 Android 设备上设置 Google Workspace 和什么是工作 资料?。
一台设备上只允许设置一个工作资料。
- 如果您不希望要求用户设置工作资料,请为用户所在的组织部门设置基本移动设备 管理。如果您已启用 高级移动设备管理,则可以改用基本移动设备 管理。基本移动设备管理不提供某些管理功能。如需详细了解两者之间的差异,请参阅下一部分。
- 如果某位用户需要在一台设备上添加多个受管理的账号(例如,用户拥有“常规”工作账号和管理员账号),请将他们添加到为基本移动设备管理设置的组织部门。
注意 :GEM 不支持具有“设备所有者”权限的设备,尽管 Android Enterprise 目前提供了此设置选项。
Android 设备的基本移动设备管理与高级移动设备管理
Google 端点管理提供 3 个级别的移动设备管理:基本、高级或非受管。您可以按组织部门为用户设置移动设备管理级别。您还可以使用自定义 选项,将该设置仅应用于组织部门中的用户使用的特定类型的设备。 例如,您可以让用户的 Android 设备使用高级移动设备管理,让 iPhone 和 iPad (iOS) 使用基本移动设备管理,让所有使用 Google 同步 的 iOS 设备使用基本移动设备管理。
重要提示:您需要按用户(即添加到设备中的账号 )以及(可选)设备类型配置移动设备管理设置。您无法为特定一组设备设置某个级别的移动设备管理,无论用户账号如何。
基本移动设备管理
默认启用的是基本移动设备管理。借助该服务,您可以设置基本密码要求、管理应用(仅限 Android 设备)以及获取设有工作账号的设备的详细信息。用户无需在设备上安装管理应用 或设置工作资料,该服务还能与某些 第三方 EMM 提供服务共存。如果您希望将 Gem 用作 EMM 提供方,则基本移动设备管理只能提供有限的安全选项。有关详情,请参阅移动设备管理 功能比较。
高级移动设备管理
如需使用高级端点功能和企业级端点功能中的所有功能,您必须使用高级移动设备管理。如需强制执行安全政策,用户必须在其设备上设置管理客户端,并且对于个人设备,还必须安装工作资料。
注意 :高级移动设备管理无法与其他 EMM 搭配使用,只能与 GEM 搭配使用。
无移动设备管理(非受管)
为 Android 设备关闭移动设备管理后,您仍然可以允许用户将其工作账号添加到设备并访问其工作数据。 不过,您没有任何管理选项。如果设备丢失或被盗,您无法从设备中擦除工作账号,也无法要求设置密码,并且在管理控制台的设备列表中看不到设备。
设备所有权
某些 GEM 功能仅适用于您在管理控制台中设为公司自有的设备。要将设备设为公司自有设备,您需要将设备添加到 公司自有资产清单。例如,要让 GEM 和相关安全功能(如情境感知访问权限)能够将设备识别为公司自有,您必须将其添加到公司自有资产清单中。
此公司所有权与“设备所有者”管理权限以及设备是否由贵组织购买(实际拥有)无关。
零触摸注册
零触摸注册 (ZTE) 是一项 Android Enterprise 功能,可让组织为用户自动设置全代管式设备。它与 Google 端点管理是分开的,但您可以使用 Google 端点管理来管理以这种方式设置的设备。
借助 ZTE,您的组织可以从支持的转销商处购买设备,并设置在用户将其账号添加到设备时自动应用的配置。
如需使用 GEM 管理 ZTE 设备,这些设备的用户必须位于启用了高级移动设备管理的组织部门中(至少对于 Android 设备)。 您的组织将拥有“设备所有者”管理权限,但除非您将设备添加到公司自有资产清单中,否则 GEM 不会将这些设备视为公司自有设备。 有关详情,请参阅通过零触摸 注册部署 Android 设备。
如需大致了解 ZTE,请参阅适用于 IT 管理员的零触摸注册。
字词表
Google 端点管理术语
- 高级移动设备管理–这项移动设备管理设置可让您 更好地控制用户的设备,例如控制对网络和 应用的访问权限、安全设置以及获取关于这些设备的详细信息。
- 基本移动设备管理–这项移动设备管理设置可让您获得对用户设备的最 基本控制权限。
- 公司自有 \- 您在公司自有资产清单中添加到 管理控制台中的设备。
- Google 端点管理 (GEM)–Google Workspace 和 Cloud Identity 中包含的企业移动管理提供商,可在您的 Google 管理控制台中使用。
Android 术语
- Android Enterprise–企业移动管理 (EMM) 开发者用来支持通过 EMM 管理 Android 设备的功能和工具。
- 自带设备 (BYOD)–用户添加了其 工作账号的个人设备。
- 设备所有者–此管理权限可让企业移动管理提供方完全控制设备。用户无法添加个人账号。
- 企业移动管理 (EMM) 提供服务 \- 此产品可让您的 组织设置安全政策、控制数据访问权限和管理设备上的 应用。
- 全代管式设备–您的组织拥有设备 所有者权限的 Android 设备。
- 管理权限–企业移动管理 提供服务对设备的控制范围,可以是整个设备(设备所有者)或 工作资料(资料所有者)。
- 资料所有者 \- 此管理权限可让企业 移动管理提供服务仅控制设备上的工作资料。
- 工作资料–用户个人 Android 设备上用于存放 工作应用和数据的单独空间。贵组织对设备拥有“资料所有者”权限。 用户的个人应用和数据是分开的,贵组织无法访问。
- 零触摸注册– Android Enterprise 功能,可让 组织为用户自动设置全代管式设备。
另请参阅 Android Enterprise 术语。