03-anyoffice功能特性與配置v200r005典型案例

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEV2R5V2R51.0開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）聞亮/900064942015-08-15新開發(fā)本頁不打印AnyOffice V200R005產(chǎn)品典型配置案例分析 前言華為AnyOffice產(chǎn)品是華為公司推出的移動辦公安全解決方案，產(chǎn)品的配置是產(chǎn)品使用的基礎(chǔ)。本課程介紹華為AnyOffice產(chǎn)品的典型配置案例。 目標(biāo)學(xué)完本課程后，您將能夠:了解華為AnyOffice產(chǎn)品的典型配置過程了解華為AnyOffice產(chǎn)品在配置過程中的注意事項(xiàng)完成華為AnyOffice產(chǎn)品的典型配置 案例案例背景部署規(guī)劃證書配置認(rèn)證配置業(yè)務(wù)策略配置案

2、例背景背景介紹：某企業(yè)使用華為AnyOffice移動辦公系統(tǒng)，主要使用MDM、MAM、安全SDK、安全瀏覽器、分級管理等功能。用戶使用終端涉及Android和IOS。分級管理功能：該企業(yè)使用用戶類型較多，非常關(guān)注分級管理功能，例如：應(yīng)用商店要分級管理，可針對不同部門或不同用戶下發(fā)不同的MDM策略、工作臺策略等。MAM：非常關(guān)注應(yīng)用商店的應(yīng)用管理，對不同部門和用戶需要下發(fā)不同的應(yīng)用。MDM：關(guān)注Wi-Fi開關(guān)控制，管控、消息推送等。 案例案例背景部署規(guī)劃證書配置認(rèn)證配置業(yè)務(wù)策略配置部署規(guī)劃移動安全客戶端AnyOffice3G/4GPublic Wi-FiFirewall/UTMSSL終端側(cè)接入側(cè)

3、后臺接入服務(wù)器局域網(wǎng)EnterpriseWiFiOffice basedOfficebased移動安全客戶端AnyOfficeSMSCAE接入服務(wù)器SSLOracle選擇集中式組網(wǎng)規(guī)劃，示意圖如下：部署規(guī)劃選擇AE服務(wù)器單網(wǎng)卡旁掛防火墻，示意圖如下：部署規(guī)劃數(shù)據(jù)規(guī)劃： 項(xiàng)目示例說明AE服務(wù)器一個網(wǎng)口的兩個IP地址分別為： IP地址1：172.16.253.1 IP地址2：172.16.254.1AE服務(wù)器使用IP地址1與Trust區(qū)的內(nèi)網(wǎng)服務(wù)器通信。AE服務(wù)器使用IP地址2與外網(wǎng)通信。該IP地址需與防火墻做NAT。IP地址1：下一跳IP地址為172.16.253.20，目的IP地址為172.1

4、6.252.0/24。 IP地址2：下一跳IP地址為172.16.254.20，目的IP地址為0.0.0.0/24。IP地址1 AE服務(wù)器到內(nèi)網(wǎng)的靜態(tài)路由，實(shí)現(xiàn)AE服務(wù)器到內(nèi)網(wǎng)路由可達(dá)。下一跳為Firewall_A的GigabitEthernet 0/0/1接口IP地址，目的IP地址為企業(yè)內(nèi)網(wǎng)的網(wǎng)段。IP地址2 AE服務(wù)器到外網(wǎng)的靜態(tài)路由，實(shí)現(xiàn)AE服務(wù)器到外網(wǎng)路由可達(dá)。下一跳為Firewall_A的GigabitEthernet 0/0/1接口IP地址。Firewall_AGigabitEthernet 0/0/1接口IP地址： IP地址1：172.16.253.20/24 IP地址2：172

5、.16.254.20/24分別與AE服務(wù)器的兩個IP地址通信。Firewall_BGigabitEthernet 0/0/1接口IP地址：172.16.252.20/24與SC服務(wù)器通信。部署規(guī)劃服務(wù)器規(guī)劃：需要4臺suse服務(wù)器，分別用于部署SM、SC、oracle服務(wù)器和AE，以及1臺用于運(yùn)行部署工具的windows服務(wù)器。SMSCAEOracle數(shù)據(jù)庫部署工具 案例案例背景部署規(guī)劃證書配置認(rèn)證配置業(yè)務(wù)策略配置證書配置本案例企業(yè)涉及Android和IOS兩種終端設(shè)備，Anyoffice需要上傳以下證書。關(guān)于以下證書的制作方法請參考AnyOffice V200R005 證書及申請方法介紹。證

6、書名稱應(yīng)用場景設(shè)備證書AE服務(wù)器身份證書，需要根據(jù)AE對外提供的URL生成。設(shè)備CA證書用于校驗(yàn)AE服務(wù)器的根CA。iOS消息推送證書通過蘋果APNs服務(wù)器群發(fā)消息的證書，如果AnyOffice重簽名，需要更換。iOS移動設(shè)備控制證書通過蘋果APNs服務(wù)器控制終端的證書，正式使用時需要更換為該企業(yè)自己申請的證書。證書配置移動辦公相關(guān)證書上傳示例：1.打開“系統(tǒng)”-“系統(tǒng)管理”-“移動辦公相關(guān)證書”，點(diǎn)擊上傳圖標(biāo)進(jìn)行證書的上傳。證書配置移動辦公相關(guān)證書上傳示例：2.點(diǎn)擊“瀏覽”選擇相應(yīng)PKCS#12類型的證書，輸入證書文件密碼。證書配置配置驗(yàn)證：移動辦公相關(guān)證書上傳示例：1.打開“系統(tǒng)”-“系統(tǒng)

7、管理”-“移動辦公相關(guān)證書”。 查看移動辦公相關(guān)證書狀態(tài)，為新上傳證書。 案例案例背景部署規(guī)劃證書配置認(rèn)證配置業(yè)務(wù)策略配置認(rèn)證配置用戶認(rèn)證和授權(quán)需求示例：1.企業(yè)擁有外部AD認(rèn)證服務(wù)器，AnyOffice需要對接該外部認(rèn)證源。2. AD服務(wù)器中，按照員工的職能劃分為研發(fā)部（包括軟件、硬件研發(fā)）、市場部（包括銷售、運(yùn)營），且每個部門下有100名員工（共400名）。認(rèn)證配置配置示例：1.同步類型選擇: AnyOffice中需要的部門結(jié)構(gòu)及賬號:認(rèn)證配置同步配置示例：認(rèn)證服務(wù)器中存在AnyOffice需要的部門結(jié)構(gòu)，且每個部門下存放的賬號也與AnyOffice的需求一致。此時選擇按OU同步，同步效果

8、如圖所示:認(rèn)證配置對接AD服務(wù)器（按OU同步）：同步配置流程：認(rèn)證配置序號同步配置步驟說明1創(chuàng)建同步賬號若能夠向認(rèn)證服務(wù)器的管理員獲取，則不需執(zhí)行本步驟。以“Active Directory Users and Computers”工具為例，介紹如何創(chuàng)建同步賬號。AnyOffice使用創(chuàng)建的同步賬號從AD服務(wù)器中同步部門及賬號。2查找基準(zhǔn)DN若能夠向認(rèn)證服務(wù)器的管理員獲取，則不需執(zhí)行本步驟。在AD服務(wù)器中查找基準(zhǔn)DN，AnyOffice使用基準(zhǔn)DN才能正確連接AD服務(wù)器。3查找部門及賬號屬性若能夠向認(rèn)證服務(wù)器的管理員獲取，則不需執(zhí)行本步驟。查找AD服務(wù)器中部門及賬號的部分屬性，AnyOffic

9、e根據(jù)這些屬性同步部門及賬號。4配配置AD服務(wù)器連接參數(shù)在AnyOffice中配置連接參數(shù)。配置完成后，AnyOffice才能正常連接AD服務(wù)器。5配置部門及賬號屬性在AnyOffice中配置AD服務(wù)器的部門、賬號屬性，AnyOffice根據(jù)屬性在AD服務(wù)器中識別并同步部門、賬號。6配置不同范圍為提升同步效率，您需要配置同步范圍，指定AnyOffice在AD服務(wù)器中查找部門、賬號的范圍。7執(zhí)行同步并驗(yàn)證結(jié)果執(zhí)行同步操作，將AD服務(wù)器中的部門、賬號同步到AnyOffice中，并驗(yàn)證同步是否正確。認(rèn)證配置創(chuàng)建同步賬號：數(shù)據(jù)規(guī)劃項(xiàng)目示例說明同步賬號、密碼jack Admin12345密碼建議滿足最小

10、復(fù)雜度要求，即包含英文大寫字母（AZ）、英文小寫字母（az）、數(shù)字（09）、特殊字符（如!、#、$、%等）中的三種。同步賬號在AD服務(wù)器中的位置作為AD服務(wù)器根節(jié)點(diǎn)“ ”的下一級子節(jié)點(diǎn)。即同步賬號的父節(jié)點(diǎn)即為AD服務(wù)器的根節(jié)點(diǎn)。建議在AD服務(wù)器根節(jié)點(diǎn)下創(chuàng)建同步賬號，否則創(chuàng)建的同步賬號可能權(quán)限不足，導(dǎo)致AnyOffice無法從AD服務(wù)器中同步部門及賬號。認(rèn)證配置創(chuàng)建同步賬號：項(xiàng)目示例說明同步賬號的限制條件不勾選“User must change password at next logon”不能勾選，否則將導(dǎo)致AnyOffice無法從AD服務(wù)器中同步部門及賬號。不勾選“Account is di

11、sabled”不勾選“Use DES encryption types for this account”不能勾選，否則同步賬號的認(rèn)證加密方式只支持DES，可能導(dǎo)致AnyOffice無法從AD服務(wù)器中同步部門及賬號。 不勾選“Store password using reversible encryption”根據(jù)企業(yè)的安全策略配置，但建議不勾選。可逆的加密保存密碼方式將增大密碼泄露的風(fēng)險。勾選“User cannot change password”根據(jù)企業(yè)的安全策略配置。若不勾選，當(dāng)密碼被修改后，請保證在AnyOffice中同步修改。否則將致AnyOffice無法從AD服務(wù)器中同步部門及賬

12、號。勾選“Password never expires”根據(jù)企業(yè)的安全策略配置。若不勾選，在密碼過期前修改密碼，請保證在AnyOffice中同步修改。其他限制條件除非有特殊要求，否則請根據(jù)企業(yè)的安全策略配置。認(rèn)證配置創(chuàng)建同步賬號：1.以“Administrator”用戶登錄AD服務(wù)器，選擇“Control Panel System and Security Administrative Tools Active Directory Users and Computers”。 2.單擊AD服務(wù)器的根節(jié)點(diǎn)，在其下一級子節(jié)點(diǎn)中創(chuàng)建同步賬號。若在其他位置創(chuàng)建，則同步賬號的權(quán)限可能不足。認(rèn)證配置創(chuàng)建同步

13、賬號：3.選擇“Action New User”，開始創(chuàng)建同步賬號。 認(rèn)證配置創(chuàng)建同步賬號：4.按照下圖所示設(shè)置同步賬號的“Full name”、“User logon name”，其他參數(shù)保持默認(rèn)。單擊“Next”。 認(rèn)證配置創(chuàng)建同步賬號：5.按照下圖所示設(shè)置密碼，及賬號的限制條件，單擊“Next”。 認(rèn)證配置創(chuàng)建同步賬號：6.在系統(tǒng)顯示界面單擊“Finish”。若在列表中顯示創(chuàng)建的同步賬號，則表示創(chuàng)建成功。 認(rèn)證配置創(chuàng)建同步賬號：7.右鍵單擊新創(chuàng)建的賬號，選擇“Properties”，在“Account”頁簽中設(shè)置賬號的限制條件。單擊“OK ”。 認(rèn)證配置查找基準(zhǔn)DN ：1. 打開ADEx

14、plorer 在系統(tǒng)顯示界面輸入AD服務(wù)器的IP地址、“Administrator”用戶及其密碼。單擊“OK ”。認(rèn)證配置查找基準(zhǔn)DN ：2.查找目錄“OU=department”的上一級目錄中的“ ”，并查看目錄“ ”的distinguishedName屬性取值。 在目錄“ ”下，能夠查找到AnyOffice要同步的所有部門、所有賬號。3.妥善保存目錄“ ”的distinguishedName屬性取值，此處為“ ”。認(rèn)證配置查找部門及賬號屬性：項(xiàng)目屬性名稱說明部門Objectclass一般情況下，取值為top、organizationalUnit。在AD服務(wù)器中，若某個目錄“Objectcl

15、ass”屬性的取值包含top或organizationalUnit（其中一個或兩個），則該目錄代表部門。在配置部門及賬號屬性中配置該屬性的取值。AnyOffice將根據(jù)“Objectclass”的取值識別并同步部門目錄。name在AD服務(wù)器中，部門目錄一般使用“name”屬性的取值表示部門名稱。在配置部門及賬號屬性中配置“name”屬性（不是屬性的取值）。例如：“name”屬性的取值為“development”，且在配置部門及賬號屬性中配置“name”屬性，則AnyOffice將同步過來的部門名稱記錄為“development”。賬號Objectclass一般情況下，取值為top、person

16、、organizationalPerson、user。在AD服務(wù)器中，若某個目錄“Objectclass”屬性的取值包含top、person、organizationalPerson或user（其中一個或多個），則該目錄代表賬號。在配置部門及賬號屬性中配置該屬性的取值。AnyOffice將根據(jù)“Objectclass”的取值識別并同步賬號目錄。cn在AD服務(wù)器中，賬號目錄一般使用“cn”屬性的取值表示賬號的名稱（用戶名）。在配置部門及賬號屬性中配置“cn”屬性（不是屬性的取值）。例如：“cn”屬性的取值為“susan”，且在配置部門及賬號屬性中配置“cn”屬性，則AnyOffice將同步過來的

17、賬號名稱記錄為“susan”。認(rèn)證配置查找部門及賬號屬性：1. 打開ADExplorer 在系統(tǒng)顯示界面輸入AD服務(wù)器的IP地址、“Administrator”用戶及其密碼。單擊“OK ”。認(rèn)證配置查找部門及賬號屬性：2.查找部門屬性。認(rèn)證配置查找部門及賬號屬性：3.查找賬號屬性。認(rèn)證配置配置AD服務(wù)器連接參數(shù)：數(shù)據(jù)規(guī)劃項(xiàng)目示例說明同步類型按OU同步-認(rèn)證源名稱認(rèn)證源1AD服務(wù)器的名稱，用于標(biāo)識AD服務(wù)器。自定義。主服務(wù)器IP地址、端口、AD域名IP地址：172.16.252.16 端口：389 AD域名： 向認(rèn)證服務(wù)器的管理員獲取。若AD服務(wù)器啟用了SSL協(xié)議，則其提供服務(wù)的端口為636，否

18、則為389。AD域名指AD服務(wù)器的域名?；鶞?zhǔn)DN 向認(rèn)證服務(wù)器的管理員獲取或在AD服務(wù)器中查找基準(zhǔn)DN。同步賬號及密碼同步賬號：jack 同步密碼：Admin12345向認(rèn)證服務(wù)器的管理員獲取或在AD服務(wù)器中創(chuàng)建同步賬號認(rèn)證配置配置AD服務(wù)器連接參數(shù)：1.登錄AnyOffice管理平臺，選擇“用戶 外部數(shù)據(jù)源 AD服務(wù)器”。2.單擊“增加”，配置連接參數(shù)。認(rèn)證配置配置AD服務(wù)器連接參數(shù)：3.單擊“測試”，若提示連接失敗，請根據(jù)提示信息重新配置，配置完成后，再次單擊“測試”。4.提示連接成功后，單擊“確定”。認(rèn)證配置配置部門及賬號屬性：數(shù)據(jù)規(guī)劃項(xiàng)目示例說明部門部門類型organizational

19、Unit向認(rèn)證服務(wù)器的管理員獲取或配置為“Objectclass”屬性的取值（其中的一個或多個）。例如：配置為organizationalUnit，只要AD服務(wù)器中目錄的“Objectclass”屬性取值包含organizationalUnit，則AnyOffice即可將該目錄識別為部門。部門名稱name向認(rèn)證服務(wù)器的管理員獲取或配置為表示部門名稱的屬性名稱。例如：配置為“name”，則AnyOffice在同步部門時，使用“name”的取值作為部門名稱。賬號用戶類型person、user向認(rèn)證服務(wù)器的管理員獲取或配置為“Objectclass”屬性的取值（其中的一個或多個）。例如：配置為per

20、son、user，只要目錄的“Objectclass”屬性取值包含person或user，則AnyOffice即可將該目錄識別為賬號。用戶名cn向認(rèn)證服務(wù)器的管理員獲取或配置為表示賬號名稱（用戶名）的屬性名稱。例如：配置為“cn”，則AnyOffice在同步賬號時，使用“cn”的取值作為用戶名。認(rèn)證配置配置部門及賬號屬性：1.登錄AnyOffice管理平臺，選擇“用戶 外部數(shù)據(jù)源 AD服務(wù)器”。2.單擊AD服務(wù)器信息后 ，在系統(tǒng)顯示界面配置部門及賬號屬性。3.配置部門類型、部門名稱。 AnyOffice根據(jù)“部門類型”，在AD服務(wù)器中識別并同步部門。同時將“name”的取值作為部門名稱認(rèn)證配置

21、配置部門及賬號屬性4.配置用戶類型、用戶名。 AnyOffice根據(jù)“用戶類型”，在AD服務(wù)器中識別并同步賬號。同時將“cn”的取值作為用戶名。如圖：5.單擊“確定”。認(rèn)證配置配置同步范圍：數(shù)據(jù)規(guī)劃項(xiàng)目示例說明認(rèn)證源名稱認(rèn)證源1配置為已設(shè)置的認(rèn)證源名稱。組DNou=departmentAD服務(wù)器中待同步部門（新創(chuàng)建的部門）所在的目錄。根據(jù)同步需求，AD服務(wù)器中待同步的部門都存儲在目錄“ou=department”下。因此該參數(shù)設(shè)置為“ou=department”，表示AnyOffice在該目錄下查找并同步部門。源DNou=hangzhou ou=beijingAD服務(wù)器中待同步賬號所在的目錄。

22、根據(jù)同步需求，AD服務(wù)器中待同步的賬號存儲在“ou=hangzhou”、“ou=beijing”下。因此該參數(shù)設(shè)置為“ou=hangzhou”、“ou=beijing”，表示AnyOffice在該目錄下查找賬號。目標(biāo)部門企業(yè)部門AnyOffice中的部門名稱。自定義。AnyOffice將同步過來的部門及賬號都存放在該部門下。認(rèn)證配置配置同步范圍：1.登錄AnyOffice管理平臺，選擇“用戶 用戶管理 用戶列表”。2.創(chuàng)建目標(biāo)部門。a.在“部門”頁簽中單擊“新建”，創(chuàng)建目標(biāo)部門認(rèn)證配置配置同步范圍：3.增加同步范圍。 a.在“外部數(shù)據(jù)源”頁簽中單擊“增加按組同步 b.從下拉列表中選擇認(rèn)證源名稱

23、，設(shè)置“組DN”為“ou=department”，“目標(biāo)部門”為“企業(yè)部門”。AnyOffice將同步“ou=department”下的部門、子部門（不包括“ou=department”本身）。如圖：認(rèn)證配置執(zhí)行同步并驗(yàn)證結(jié)果可通過兩種方式執(zhí)行同步操作： a.立即同步 適用場景：首次同步、需要將已變更的部門及賬號立即同步到AnyOffice中。本任務(wù)以該種同步方式為例進(jìn)行說明。b.周期同步 適用場景：為防止已變更的部門及賬號沒有及時同步到AnyOffice中，可采用周期同步。單擊AD服務(wù)器信息后的 ，根據(jù)提示配置即可，建議將周期同步的執(zhí)行時間設(shè)置在業(yè)務(wù)空閑期（例如凌晨0點(diǎn)）。認(rèn)證配置執(zhí)行同步并

24、驗(yàn)證結(jié)果：1.登錄AnyOffice管理平臺，選擇用戶 外部數(shù)據(jù)源 AD服務(wù)器2.單擊AD服務(wù)器信息后 ，并根據(jù)提示單擊“確定”。 AnyOffice開始從AD服務(wù)器中同步部門及賬號3.驗(yàn)證同步結(jié)果。a.選擇 用戶 用戶管理 用戶列表b.在界面的左側(cè)，若部門結(jié)構(gòu)如下圖所示，則表示部門同步成功。如圖：認(rèn)證配置執(zhí)行同步并驗(yàn)證結(jié)果：c.選擇“賬號”頁簽，依次單擊部門“hardware”、“software”、“operation”、“sales”，查看每個部門下的賬號信息是否正確：根據(jù)同步需求，部門“hardware”、“software”、“operation”、“sales”下，應(yīng)分別顯示“su

25、san”、“tony”、“andy”、“l(fā)ilei”。若部門下的賬號信息也正確，則同步成功。實(shí)現(xiàn)了同步需求。如下圖：認(rèn)證配置配置認(rèn)證規(guī)則：數(shù)據(jù)規(guī)劃項(xiàng)目示例說明數(shù)據(jù)源認(rèn)證源1配置為已設(shè)置的認(rèn)證源名稱。認(rèn)證配置配置認(rèn)證規(guī)則：1.登錄AnyOffice管理平臺，選擇“業(yè)務(wù) 網(wǎng)絡(luò)準(zhǔn)入控制 認(rèn)證授權(quán) 認(rèn)證規(guī)則”。2.單擊默認(rèn)規(guī)則后的修改按鈕，在系統(tǒng)顯示界面中修改數(shù)據(jù)源。a.單擊“數(shù)據(jù)源”后的按鈕，在系統(tǒng)顯示界面單擊“選擇數(shù)據(jù)源”。b.選中數(shù)據(jù)源名稱，單擊“確定”。如圖：認(rèn)證配置配置認(rèn)證規(guī)則：c.選中本地?cái)?shù)據(jù)源，并移除，單擊“確定”。如下圖：認(rèn)證配置配置標(biāo)簽：數(shù)據(jù)規(guī)劃項(xiàng)目示例說明動態(tài)關(guān)聯(lián)標(biāo)簽標(biāo)簽名稱：ha

26、rdware、software、operation、sales過濾條件：按部門過濾管理員需按照部門、終端操作系統(tǒng)類型、終端歸屬等過濾條件控制員工的權(quán)限時，配置動態(tài)關(guān)聯(lián)標(biāo)簽。建議采用部門作為過濾條件。靜態(tài)綁定標(biāo)簽標(biāo)簽名稱：標(biāo)簽1管理員需按照終端控制員工的權(quán)限時，配置靜態(tài)綁定標(biāo)簽，不設(shè)置過濾條件。認(rèn)證配置配置標(biāo)簽（動態(tài)標(biāo)簽）1.登錄AnyOffice管理平臺，選擇“業(yè)務(wù) 移動終端管理 標(biāo)簽管理”。2.單擊“新建”，配置標(biāo)簽。1）配置動態(tài)關(guān)聯(lián)標(biāo)簽。a.設(shè)置標(biāo)簽的名稱。b.從下拉列表中選擇“部門”作為過濾條件，單擊后面表格的空白處，根據(jù)提示設(shè)置標(biāo)簽關(guān)聯(lián)的部門hardware 。如下圖：認(rèn)證配置配置標(biāo)簽

27、（動態(tài)標(biāo)簽）c.單擊“確定”。d.重復(fù)執(zhí)行上述步驟，增加標(biāo)簽“software”、“operation”“sales”，分別用于關(guān)聯(lián)部門software、operation、sales。認(rèn)證配置配置標(biāo)簽（靜態(tài)標(biāo)簽）在配置靜態(tài)綁定標(biāo)簽時，只需設(shè)置標(biāo)簽的名稱，不需要配置過濾條件。后續(xù)配置終端時，應(yīng)用到此處配置的標(biāo)簽，即可將終端用戶關(guān)聯(lián)標(biāo)簽。后續(xù)配置業(yè)務(wù)策略、Wi-Fi配置文件、企業(yè)應(yīng)用時，再次應(yīng)用到此處配置的標(biāo)簽，即可將權(quán)限關(guān)聯(lián)到終端用戶。 案例B案例背景部署規(guī)劃證書配置認(rèn)證配置業(yè)務(wù)策略配置業(yè)務(wù)策略配置安裝部署請參照： HUAWEI AnyOffice V200R005 產(chǎn)品文檔本案例典型配置主要

28、包括以下幾項(xiàng)：1.應(yīng)用準(zhǔn)入檢查2.應(yīng)用商店3.WiFi配置推送4.分權(quán)分域 5.終端審批配置6.策略優(yōu)先級配置應(yīng)用準(zhǔn)入檢查配置準(zhǔn)入檢查需求示例：1.企業(yè)控制HR部門員工的終端上安裝的應(yīng)用。要求如下：必須安裝應(yīng)用：com.sina.weibo。當(dāng)終端必須安裝這些應(yīng)用時，終端才能接入網(wǎng)絡(luò)。 2.禁止安裝應(yīng)用：com.game.cc。當(dāng)終端沒有安裝這些應(yīng)用時，終端才能接入網(wǎng)絡(luò)。 3.允許安裝應(yīng)用： com.mobile.cc。允許終端安裝的應(yīng)用（非必須安裝）。如果終端安裝了該范圍之外的其他應(yīng)用，則將不能接入網(wǎng)絡(luò)。注意事項(xiàng)1.所有應(yīng)用必須已在企業(yè)應(yīng)用商店中上傳。 2.準(zhǔn)入檢查時，系統(tǒng)提取應(yīng)用的包名進(jìn)行

29、對比。配置示例1、創(chuàng)建匹配HR部門的標(biāo)簽label_hr。 a.選擇“業(yè)務(wù) 移動終端管理 標(biāo)簽管理”。 b.單擊“新建”，創(chuàng)建標(biāo)簽。c.單擊“確定”。應(yīng)用準(zhǔn)入檢查配置配置示例2、選擇“業(yè)務(wù) 移動終端管理 策略管理”。 3、單擊“新建”，創(chuàng)建準(zhǔn)入檢查策略。 應(yīng)用準(zhǔn)入檢查配置配置示例4、單擊策略對應(yīng)的，配置策略。 以Android版本的必須安裝應(yīng)用為例。“應(yīng)用”可直接輸入應(yīng)用包名也可在下拉列表中選擇。必須安裝的應(yīng)用，需要已在企業(yè)應(yīng)用商店中創(chuàng)建。應(yīng)用準(zhǔn)入檢查配置配置示例5、重復(fù)以上操作，依次配置允許安裝應(yīng)用和禁止安裝應(yīng)用。6、關(guān)聯(lián)策略與標(biāo)簽。 a.選中策略，單擊“應(yīng)用到標(biāo)簽”。b.單擊“確定”。應(yīng)用

30、準(zhǔn)入檢查配置應(yīng)用準(zhǔn)入檢查配置配置驗(yàn)證：1. 使用未安裝必須應(yīng)用的終端登錄，登錄失敗，如下圖： 應(yīng)用商店應(yīng)用商店需求示例：1. 企業(yè)日常辦公需要AnyOffice應(yīng)用和eCalender應(yīng)用（均已集成SDK）。 應(yīng)用包括Android、iOS版本。 2.所有企業(yè)員工可以從企業(yè)應(yīng)用商店中下載AnyOffice應(yīng)用。 3.只有HR部門的企業(yè)員工可以從企業(yè)應(yīng)用商店中下載eSpace應(yīng)用。 4.只有研發(fā)部門的企業(yè)員工可以從企業(yè)應(yīng)用商店中下載eCalender應(yīng)用。數(shù)據(jù)準(zhǔn)備項(xiàng)目說明應(yīng)用文件Android：AnyOffice.apk、eCalender.apk、eSpace.apk iOS：AnyOffic

31、e.ipa、eCalender.ipa、eSpace.ipa應(yīng)用圖標(biāo)eSpace.png、eCalender.png、eSpace.png應(yīng)用商店配置示例1、創(chuàng)建匹配HR部門的標(biāo)簽label_hr。 a.選擇“業(yè)務(wù) 移動終端管理 標(biāo)簽管理”。 b.單擊“新建”，創(chuàng)建標(biāo)簽。參見以上步驟，創(chuàng)建匹配研發(fā)部門標(biāo)簽label_rd。 應(yīng)用商店配置示例2、添加Android應(yīng)用。 a.選擇“業(yè)務(wù) 移動應(yīng)用管理 應(yīng)用商店管理”。 b.單擊“新建”，添加Android應(yīng)用。應(yīng)用商店配置示例3、單擊“確定”參見以上步驟，上傳eCalender.apk。4、添加iOS應(yīng)用。 a.單擊“新建”，添加iOS應(yīng)用。應(yīng)用

32、商店配置示例5、單擊“確定”參見以上步驟，上傳eCalender.ipa。6、關(guān)聯(lián)策略與標(biāo)簽。 a.選中策略，單擊“應(yīng)用到標(biāo)簽”。參見以上步驟，將eCalender應(yīng)用綁定到標(biāo)簽label_rd；將AnyOffice應(yīng)用綁定到默認(rèn)標(biāo)簽Default。應(yīng)用商店配置驗(yàn)證：1.所有用戶均能通過自助頁面下載AnyOffice應(yīng)用。自助頁面地址是 。 2.以HR用戶身份登錄AnyOffice客戶端。驗(yàn)證在AnyOffice客戶端中是否能夠安裝eSpace應(yīng)用。 3.以研發(fā)用戶身份登錄AnyOffice客戶端。驗(yàn)證在AnyOffice客戶端中是否能夠安裝eCalender應(yīng)用。 iOS配置推送iOS配置推

33、送需求示例：企業(yè)HR部門部署了無線局域網(wǎng)。員工接入網(wǎng)絡(luò)時可以自動獲得iOS配置文件并進(jìn)行安裝，從而可以快速地接入企業(yè)無線網(wǎng)絡(luò)。 iOS配置推送配置示例：1、創(chuàng)建匹配HR部門的標(biāo)簽。 a、選擇“業(yè)務(wù) 移動終端管理 標(biāo)簽管理”。 b、單擊“新建”，創(chuàng)建標(biāo)簽。iOS配置推送配置示例：2、上傳iOS配置文件。 a、選擇“業(yè)務(wù) 移動終端管理 終端配置推送”。 b、單擊“新建”，上傳iOS配置文件。 3、關(guān)聯(lián)iOS配置文件與標(biāo)簽。 選中iOS配置文件，單擊“應(yīng)用到標(biāo)簽”。iOS配置推送配置驗(yàn)證：驗(yàn)證HR部門的員工接收到iOS配置文件。 分權(quán)分域分權(quán)分域需求示例：企業(yè)中有A、B兩個部門，分別為兩個部門配置不

34、同的管理員。其中，管理員A管理部門A，具有管理用戶的權(quán)限。管理員B管理部門B，具有管理用戶終端的權(quán)限。分權(quán)分域數(shù)據(jù)規(guī)劃： 項(xiàng)目示例說明角色角色名稱部門管理員-授權(quán)“系統(tǒng)資源 用戶 用戶管理” “系統(tǒng)資源 終端 終端管理”部門管理員具備管理用戶及用戶終端的權(quán)限。部門名稱部門A 部門B-部門管理員A用戶名管理員A用于標(biāo)識用戶身份。賬號admin_A登錄系統(tǒng)時使用的用戶名。密碼Admin12345-部門管理員B用戶名管理員B用于標(biāo)識用戶身份。賬號admin_B登錄系統(tǒng)時使用的用戶名。密碼Admin123456-下次登錄修改密碼勾選使用管理員B的賬號首次登錄時，要求修改初始密碼。分權(quán)分域配置示例：1、

35、配置角色。 a、選擇“系統(tǒng) 系統(tǒng)管理員 角色管理”。 b、單擊“新建”，創(chuàng)建角色“部門管理員”。 c、在“角色信息列表”中，單擊“部門管理員”對應(yīng)的 ，為角色授權(quán)分權(quán)分域配置示例：2、配置部門。 a.選擇“用戶 用戶管理 用戶列表”。 b.在“部門”頁簽中，單擊“新建”，創(chuàng)建部門A和部門B。 3、配置部門管理員A并分配權(quán)限。 a.選擇“系統(tǒng) 系統(tǒng)管理員 系統(tǒng)用戶”。 b.單擊“增加”，創(chuàng)建部門管理員A。 如下圖：分權(quán)分域配置示例：分權(quán)分域配置示例：c.在系統(tǒng)用戶列表中，單擊管理員A右側(cè)的 ，選擇“部門管理員”角色，授予管理員A部門管理員角色權(quán)限。分權(quán)分域配置示例：d. 在系統(tǒng)用戶列表中，單擊管

36、理員A右側(cè)的 。 e. 在“業(yè)務(wù)權(quán)限分配”對話框中，單擊左側(cè)的“部門樹”，選擇部門A。 f. 在“業(yè)務(wù)權(quán)限分配”對話框右側(cè)，選擇管理用戶的業(yè)務(wù)權(quán)限，為管理員A分配管理部門A的權(quán)限。 如下圖分權(quán)分域分權(quán)分域配置示例：4、參照3，配置部門管理員B。分權(quán)分域配置驗(yàn)證：1.使用管理員A賬號登錄系統(tǒng)。 2.選擇“用戶 用戶管理 用戶列表”，選中左邊導(dǎo)航樹中的“部門A”。 3.在“部門”頁簽中，單擊“新建”，可以創(chuàng)建部門A的子部門。 終端審批配置終端審批配置需求示例：1.企業(yè)要求對example部門員工接入網(wǎng)絡(luò)的終端進(jìn)行審批，禁止該部門員工使用不安全終端進(jìn)行登錄。2.企業(yè)對example2部門員工接入網(wǎng)絡(luò)的終端免注冊審批，允許員工在任意終端上登錄An