Android版AnyConnect支援託管配置,該配置可以由MDM/EMM應用調配。架構嵌入在AnyConnect的APK(在res/restrictions.xml)中,可以通過Google的EMM API檢索。架構包括每個欄位的詳細文檔,並定義可以由EMM管理員門戶呈現的表單。
要僅調配單個VPN配置條目,管理員可以使用vpn_connection_*欄位。要預配多個VPN配置,管理員可以使用vpn_configuration_list欄位,該欄位是一個包含一個或多個虛擬專用網配置條目的BundleArray。
某些受管配置鍵是與應由EMM軟體填充的動態標籤值相關聯。
設定客戶端證書
AnyConnect支援客戶端證書的EMM調配的標準流程。vpn_keychain_cert_alias應包含證書的Android KeyChain別名。當存在此值時,AnyConnect將呼叫KeyChain.choosePrivateKeyAlias以開始匯入(如果尚未匯入別名)。 通常,這將導致作業系統提示使用者批准請求。為了獲得更無縫的使用者體驗,EMM應用可以實現onChoosePrivateKeyAlias以避擴音示使用者。
大多數EMM門戶允許管理員為vpn_keychain_cert_alias欄位輸入特殊的標籤化值。EMM應用將證書匯入到Android KeyChain後,它將使用實際的證書別名代替特殊令牌。
附註:vpn_keychain_cert_alias的值必須與證書的實際KeyChain別名匹配。否則,系統可能會重複提示使用者,因為AnyConnect認為證書尚未匯入。
要重述EMM調配客戶端證書的過程,請執行以下操作:
- EMM應用獲取證書(例如通過SCEP)並將其匯入到Android KeyChain。
- (推薦)EMM應用實現DeviceAdminReceiver.onChoosePrivateKeyAlias(),因此AnyConnect將自動獲得批准以使用證書
- EMM應用將匯入證書的KeyChain別名設定為AnyConnect託管配置的vpn_keychain_cert_alias 欄位。
調配裝置識別符號
AnyConnect支援裝置識別符號的EMM調配,該裝置識別符號可用於網路訪問控制或報告,使用特殊標籤值欄位vpn_connection_device_id。有關裝置ID的詳細資訊,請參閱此技術區說明。
意見