AirWatch MDM安装配置手册v10

Air-Watch项目MDM安装配置手册For 8.3 FP06Jun 29, 2016冯康上海善致信息技术有限公司修改历史日期版本作者2016-07-1v1.0冯康目录1 概述41.1 编写目的41.2 MDM概述41.3 支持的浏览器41.4 环境结构图42 安装前准备52.1 基础环境准备52.2 准备安装文件53 准备安装63.1 准备数据库63.2 添加角色93.3 安装URL重写模块103.4 添加功能103.5 绑定证书114 AirWatch安装134.1 安装AirWatch数据库134.2 安装 AirWatch应用165 AirWatch初步配置245.1 设置密码等信息245.2 设置显示语言275.3 设置云消息服务326 验证和配置356.1 验证环境356.2 配置AWCM366.3 设置根证书等376.4 设置组织组406.5 创建智能组416.6 生成 APNs 证书426.7 其它设置456.8 设置SMTP和目录服务466.9 设置自动发现487 创建用户497.1 创建注册用户497.2 创建配置文件507.3 发布应用521 概述1.1 编写目的编写此手册用于阐述AirWatch环境的构建过程，本手册主要描述设备管理也就是MDM的安装过程。预期读者为爱普生信息部门的技术人员。1.2 MDM概述本手册简要地说明了怎样才能有效地创建、配置和维护MDM 部署。移动设备是十分宝贵的企业工具，员工可以凭借这些工具即时访问企业的内部内容结合和资源。但是，移动平台、操作系统和版本的多样性使统一管理各种设备变得十分困难。移动设备管理(MDM) 能够配置、保护、监控和管理企业内所有类型的移动设备，从而解决了这个难题： 从一个单一控制台管理移动设备的大规模部署。 在您的企业环境中轻松、快速地注册设备。 隔空配置和更新设备设置。 强制执行安全和合规策略。 保障企业资源的移动访问安全。 远程锁定和擦除纳管设备。1.3 支持的浏览器AirWatch 管理控制台支持下列Web 浏览器： Internet Explorer 9+ Google Chrome 11+ Firefox 3.x+ Safari 5.x1.4 环境结构图本次环境部署，采用以下结构图来进行：2 安装前准备2.1 基础环境准备根据以上AirWatch环境结构图，配置开放防火墙相应网络端口，为MDM服务器部署做好网络环境准备。2.2 准备安装文件按以下指示为 AirWatch 管理控制台、设备服务和 SQL 服务器准备安装和支持文件：1. 准备 8.3的压缩版安装文件，这些文件可以从“myAirWatch”“资源”下载。2. 将文件分别解压到其各自的文件夹：应用、DB和报表3. xxx.pfx包含可用于x.x.x在公网注册的SSL 证书，该证书将被用于 IIS 绑定、保护 AirWatch 云消息传送 (AWCM) 通信以及签署 iOS MDM 配置文件。4. intermediate1/intermediate2中级证书。5. 此外，还包括以下安装文件： 独立版本的 Firefox； URL Rewrite Module 2.0； Java安装包；3 准备安装3.1 准备数据库此处SQL2012安装过程跳过。按照下面的指示，使用具有正确读/写权限的关联管理员账户创建 AirWatch 数据库。1. 在 SQL Server 中,访问“启动”，然后打开 SQL Server Management Studio2. 将以下凭证填入字段：服务器名称：xxxxx登录：sa密码：3. 单击“连接”4. 右键单击“数据库”然后选择“新建数据库” 输入 AirWatch 作为数据库名称 在“数据库文件”的右侧，选择“AirWatch 的自动增长”旁的“.”，将“文件增长” 更改为“以 MB 为单位”并将大小更改为 128，然后选择“确定” 选择“选项”，然后选择 SQL_Latin1_General_CP1_CI_AS，之后选择“关闭” 选择“确定”以创建 AirWatch 数据库5. 展开“数据库”，验证 AirWatch 数据库是否已创建6. 从根目录中，展开“安全性”，右键单击“登录”，然后选择“新建登录”并定义权限：o 在“登录名称”字段中键入 awdbadmino 选择“SQL Server 身份验证”单选按钮，然后在“密码”和“确认密码”字段输入需要设置的密码o 取消选中“强制密码策略”复选框。在底部，从“默认数据库”下拉菜单中选择 AirWatcho 从左侧选择“服务器角色”并验证已启用“公共”o 从左侧选择“用户映射”并将以下角色添加到 AirWatch 和 msdb 数据库：n AirWatch：db_ownern msdb：db_datareader 和 SQLAgentUserRole注：默认情况下，已对这两个数据库启用公共用户映射。o 单击“确定”7. 从根目录中导航到“数据库”“AirWatch”“安全性”“用户”并验证是否已创建具有 db_owner 的 角色成员权限的 airwatch8. 从根目录中导航到“数据库”“系统数据库”“msdb”“安全性”“用户”并验证是否已创建具有db_datareader 和 SQLAgentUserRole 的角色成员权限的 airwatch9. 执行以下步骤验证是否已安装全文本搜索： 单击“新建查询” 输入以下文本：SELECT FullTextServiceProperty (IsFullTextInstalled) 单击“执行”，然后验证返回“1”数值注：本次安装中，默认安装“全文本搜索”；如果未安装，则打开“程序和功能”，双击 Microsoft SQL Server， 选择“添加”，然后选择“浏览”以浏览安装介质。在 SQL Server 设置向导中选择 SQL 实例，然后在 “功能选择”屏幕中启用“全文本搜索”，按照提示安装功能。10. 选择“文件”“退出”以关闭数据库服务器。出现保存“查询”提示时，选择“否”。 注：如果存在 AirWatch 数据库的开放连接，则在设置数据库期间将无法填充表。3.2 添加角色按照下面的指示，在服务器管理器中添加必要角色:1. 在 AirWatch 主服务器 (xxxxx)中，打开任务栏上的“服务器管 理器”并选择“角色”标签页2. 单击“添加角色”并选择“下一步”3. 选择角色列表中的“Web 服务器 (IIS)”并单击“下一步”，然后再单击“下一步”4. 验证是否已启用以下角色服务（大多数将被启用）： 常见 HTTP 功能：静态内容、默认文档、目录浏览、HTTP 错误、HTTP 重定向 应用程序开发：ASP.NET、.NET扩展性、ASP、ISAPI 扩展、ISAPI 筛选器、在服务器端的文件注：如果选择 ASP.NET，则选择“添加必要功能”以自动将功能与 ASP 框架相关联。确保启用了其他必要角色服务。 健康和诊断：HTTP 日志记录、日志记录工具、请求监控、跟踪 安全性：请求筛选、IP 和域限制 性能：静态内容压缩、动态内容压缩 管理工具：IIS 管理控制台和 IIS 6 元数据兼容性5. 单击“下一步”，验证是否启用了正确的角色服务，然后选择“安装”6. 安装完成后，验证是否显示“安装成功”消息，然后单击“关闭”3.3 安装URL重写模块1. 访问/downloads/microsoft/url-rewrite#additionalDownloads 下载URL Rewrite Module 2.0 (rewrite_2.0_rtw_x64) ；2. 单击“安装”，选择“下一步”并接受安装默认项。注：只有安装了 IIS 角色后，才可以安装 URL Rewrite Module 2.0。3.4 添加功能按照下面的指示，在服务器管理器中添加必要功能1. 在 AirWatch 主服务器 (xxxxx)中，打开任务栏上的“服务器管理器”并选择“功能”标签页2. 选择“功能”标签页并单击“添加功能”3. 添加以下必要功能： NET Framework 3.5.1 功能：整个模块（.NET Framework 和 WCF Activation）注：如果选择 .NET，则选择“添加必要功能”以自动将功能与 .NET framework 相关联。展开以验证是否启用了每个 .NET/WCF 功能。对于 Windows Server 2012 R2，.NET Framework 4.5 功能是必不可少的。 消息队列：消息队列服务器（展开“消息队列”“消息队列服务”进行选择） Telnet 客户端4. 单击“下一步”并验证是否已启用所有必要功能5. 选择“安装”6. 安装完成后，验证是否显示“安装成功”消息，然后单击“关闭”3.5 绑定证书在 AirWatch主服务器中，将第三方证书添加到 Microsoft 管理控制台 (MMC) 并创建 HTTPS 绑定。1. 在 AirWatch MDM服务器中，打开 MMC：“开始”“运行”，键入 mmc，选择“确定”2. 在 MMC 中，导航到“文件”“添加/删除管理单元.”3. 从加载项列表中选择“证书”并单击“添加”4. 选择“计算机帐户”并单击“下一步”5. 选择“本地计算机”并单击“完成”和“确定”6. 展开“证书”文件夹并右键单击“个人”7. 选择“全部任务”并选择“导入”8. 在“证书导入向导”中，选择“下一步”并执行以下步骤：u 单击“浏览”，然后导航到xxxx.pfx证书存放的文件夹。将文件类型下拉菜单更改为“所有文件”注：如果未将下拉菜单更改为“所有文件”，则无法选择证书导入。u 选择 xxxxx.pfx 证书并单击“打开”u 单击“下一步”，然后填充以下字段：o 密码：xxxxo 将此密钥标记为可导出：enableo 包括所有扩展属性：enableu 单击“下一步”，然后选择“完成”u 选择“确定”以关闭“导入成功”弹出窗口9. 展开“个人”文件夹以显示“证书”文件夹10. 导航回到“中级证书颁发机构”文件夹，显示“证书”文件夹，依此导入intermediate1/intermediate2中级证书11. 选择“文件”“退出”以关闭 MMC。选择“否”以保存更改。12. 打开管理工具，双击打开“Internet 信息服务(IIS)管理器”13. 在左侧窗格中，展开各项，单击服务器主机名，生产中为ECCAWCM14. 在 IIS 部分下，双击“服务器证书”并验证 awcmcert证书是否位于证书列表中15. 在左侧选项中，展开“网站”并选择“默认 Web 站点”16. 在“操作”中，在最右边的“编辑网站”下，单击“绑定”并选择“添加.”17. 配置以下设置： 类型：https SSL 证书：awcmcert18. 单击“确定”并选择“关闭”注：不应更换 IP 地址和端口。建议不要以 IP 或 DNS 条目填充主机名，因为这将影响 SSL 绑定的功能。证书绑定到网站时，可能会出现轻微的延时19. 单击“确定”并选择“关闭”20. 在“操作/浏览 Web 站点”下，验证 Browse *.443 (https) 是否为可用选项,及证书是否可信任。4 AirWatch安装4.1 安装AirWatch数据库按以下指示使用 AirWatch 数据库安装程序为 AirWatch 数据库填充表。1. 在 AirWatch 主服务器上，打开 8.3FP06_Install DB 文件夹，右击 AirWatch_DB_8.3_FP06_Setup.exe 可执行文件并“以管理员身份运行”2. 当出现数据库要求提示时，单击“Install”：3. 安装程序开始安装一些必须的组件和程序：4. 这些组件安装完毕后进入如下欢迎界面，选择“Next”开始安装：5. 接受 EULA 并选择“下一步”，并选择“下一步”以接受安装的默认文件夹位置6. 在“数据库服务器”字段下，输入xxxx，并选择“服务器身份验证使用下面的登录 ID 和密码”单选按钮并输入以下凭证： 登录 ID：awdbadmin 密码：（管理员设置的密码）7. 单击“数据库目录”字段旁的“浏览”按钮并选择 AirWatch注：如果连接时间超过 10 秒钟，则可能有网络或 DNS 问题。8. 单击“下一步”。将会弹出一个警告窗口，用来确保访问数据库的帐户拥有足够的权限。单击“确定”，然后“安装”。 注：数据库安装大约需要 10-15 分钟时间。9. 数据库安装结束后，单击“完成”4.2 安装 AirWatch应用按照下面的指示安装AirWatch 主服务器，包括设备服务和管理控制台应用。1. 在 AirWatch 主服务器上，打开 8.3FP06_Install Application文件夹，右键单击 AirWatch_Application 可执行文件并“以管理员身份运行”2. 选择“下一步”开始安装，接受 EULA 并选择“下一步”，再选择“下一步”继续而不导出 XML 安装文件3. 从“AirWatch 功能”窗口，展开“AirWatch 管理控制台”并确保“自助服务/设备管理/应用目录”已被启用，然后选择“下一步”4. 注意缺少一些必备项。单击“下一步”安装缺少的必备项。接受 AirWatch 主安装程序以外的其他组件（如 JRE 等）的安装提示。如被提示验证 java 证书，选择“是”。5. 选择安装文件夹位置6. 执行以下步骤配置 AirWatch 安装程序中的数据库连接：o在“数据库服务器”字段下，输入xxxxx，并选择“服务器身份验证使用下面的登录 ID 和密码”单选按钮并输入凭证o登录 ID：awdbadmino密码：（管理员设置的密码）o单击“数据库名称”字段旁的“浏览”按钮并选择 AirWatch注：如果使用了自定义端口，则不要选择“浏览.”，而应使用下列语法DBHostName,，然后单击“浏览.”来选取数据库服务器。7. 单击“下一步”并在安装程序的 Web 控制台和设备服务页面输入下列信息：oWeb 控制台：o设备服务：勾选“same as above”注：确保 DNS名称正确无误，且每个名称后面不能有空格。如果出现错误，则需删除整个安装并重新进行安装。 谨慎选择“同上”，因为这是在单一服务器安装中，当同一 DNS 被用于所有 AirWatch 服务时的选项。8. 键入 xxxChina CO Ltd 作为公司名称，并选择“生产”作为环境类型9. 接受默认“目标站点”作为“默认网站”并单击“下一步”，然后再单击“安装”10. 出现AWCM信息设置时，监听IP和端口保持默认，勾选“Use Costom SSL Certificate instead of built-in AirWatch certificate”，上传证书，然后点击“下一步”11. 选择在AWCM群集方式选择中，保持默认，单击“下一步”12. 单击“安装”开始安装AirWatch应用程序13. 过程中会弹出TLS警告，直接单击“确定”14. 应用安装完毕后，单击“完成”。注：若要查看安装日志文件，在选择“完成”前勾选相应的复选框即可。15. 打开服务器管理器，导航到“配置”“服务”，搜寻所有以 AirWatch 开头的服务并确保每项服务均处 于“已启动”状态。16. 启动 Firefox。键入 https:/x.x.x/airwatch 以验证 AirWatch 控制台呈现成功。注：如果 SSL 证书尚未被绑定到本地主机会话，则会出现一条错误消息。选择“我了解风险”，然后选择“添加例外”以查看该站点。首次提出网站可能需要长达一分钟的时间进行解析。必要时，可通过命令提示符重置 IIS 将该网站联机：iisreset5 AirWatch初步配置5.1 设置密码等信息登录 AirWatch 管理控制台，进行一些初步配置 1. 打开 Firefox，然后通过公开寻址的 URL 访问 AirWatch 控制台：https:/xxxx2. 通过单击“关于 AirWatch”验证 AirWatch 版本。3. 首次登陆，默认管理员/密码为administrator/airwatch，系统会提示修改密码o用户名：administratoro密码：airwatcho更改管理员密码：4. 接受使用条款，定义一个密码问题opassword question：opassword answer：5. 定义一个“4”位数的安全 PIN 码，点击save 6. 关闭弹出的“欢迎使用 AirWatch”弹出窗口5.2 设置显示语言7. 进入AirWatch管理界面，刚进去是以airwatch administrator的角色在默认组织组Company下，一般设置都在Company或以下组织组做配置。可以单击右上角Account，然后在Account Role的下拉菜单中切换到以System Administrator角色进入Global组织组下，有些系统设置只有以System Administrator角色在Global组织组下才能看到或修改，需要注意区别。8. 单击左边Groups & Settings，再单击All Settings，进入系统设置界面9. 弹出的系统设置界面10. 浏览到System Localization Language Activation11. 然后添加中文简体语言，最后单击Save，然后关闭系统设置界面12. 单击右上角Account，然后再单击Manage Account Settings13. 设置时区为东八区北京时间，并选择中文简体为显示语言，然后点击Save：14. 可以看到显示语言都已经变为中文了。接下来在右上角，选择“帐户”，并将帐户角色切换到“全局级别的系统管理员”15. 导航到“组与设置”“所有设置”“系统”“高级”“站点 URL”以验证站点 URL自动填充内容是否正确。注：在国内，Google Play 服务 URL 应当是唯一包含 localhost 的 URL。16. 键入 https:/localhost/devicemanagement/enrollment 以验证是否会 出现 AirWatch 注册的提示。注：如果 SSL 证书尚未被绑定到本地主机会话，则会出现一条错误消息。选择“我了解风险”，然后选择 “添加例外”以查看该站点。5.3 设置云消息服务17. 设置保护 AirWatch 云消息服务通信的安全：导航到“组与设置”“所有设置”“系统”“高级”“安全通道证书”，单击下载 AWCM 安全通道安装程序18. 单击Save File保存下载文件，导航到“下载”文件夹，并将安全通道证书安装程序复制到 AirWatch DS 服务器的桌面19. 以管理员身份运行安全通道安装程序，验证 Truststore 路径是否已被填充，然后单击“OK”20. 选择“确定”关闭弹出消息窗口21. 按照以下验证 AirWatch 云消息服务功能：o导航到“组与设置”“所有设置”“系统”“高级”“站点 URL”o从“AWCM”部分，选择“启用 AWCM 服务器”，验证端口是否“2001”，然后选择“保存”o单击“AWCM 测试连接”按钮以验证是否可以访问内部 URL22. 从 AirWatch DS 服务器上，在浏览器中打开以下页面来验证 AWCM 通信：https:/x.x.x:2001/awcm/status，返回OK则说明AWCM通信正常。6 验证和配置 6.1 验证环境在安装和初始化配置完成后，还要做一些其它设置，才能使AirWatch环境对外使用。 1. 登录到 AirWatch 控制台并保持处于全局组织组 2. 验证安装路径：导航到“组与设置”“所有设置”“安装”“文件路径”3. 验证 Android 通信是否需要 Google 帐户：导航到“组与设置”“所有设置”“设备与用户”“Android”“Agent 设置”，并验证“需要Google 帐户”是否已启用。如已启用，禁用。并设置一个访问设备上Agent设置所需的密码。最后点击最下方的“保存”6.2 配置AWCM4. 导航到“组与设置”“所有设置”“设备与用户”“Android”“Agent 设置”，在AirWatch云消息服务（AWCM），启用”使用 AWCM 而非 C2DM/GCM 作为推送通知服务” ，最后点击“保存”。5. 配置用于配置文件签名的 Apple SSL 证书：o导航到“组与设置”“所有设置”“设备与用户”“Apple”“配置文件”o单击“上传”以加载 SSL 证书来签署配置文件o导航到 xxxx证书o密码：o勾选“签署配置文件”选框o单击“保存”6.3 设置根证书等6. 切换到“Company”组织组，然后导航到“组与设置”“组”“组织组”“组织组详细信息”并更改下列组织组设置：o 组织组名称：xo 组 ID：“xx”o 组织组类型：客户o 国家/地区、区域设置和时区：按位置和时区定义，这里为“中国、中文、东八区”o 单击“保存”7. 在公司组织组级别（这里为xxx），分别创建设备根证书、SOAP 和 REST API 证书（仅限公司组织组）：o 导航到“组与设置”“所有设置”“系统”“高级”“API”“REST API”，勾选“启用 API访问”选框，验证 API 密钥是否已生成，然后选择“保存”o 导航到“组与设置”“所有设置”“系统”“高级”“API”“SOAP API”，单击“生成新证书”，并验证是否已生成证书o 导航到“组与设置”“所有设置”“系统”“高级”“设备根证书”，单击“生成新的证书”， 并验证是否已生成证书注：生成设备根证书约需 30-45 秒。6.4 设置组织组8. 添加子组织组：在“Xx”组织组级别，导航到“组与设置”“组织组”“组织组详细信息”，选择“添加子组织组”并分别定义以下各项：o 组织组名称：o 组 ID： （留空）o 组织组类型：o 国家/地区、区域设置和时区：按位置和时区定义o 单击“保存”o 刷新浏览器，并验证组都已被列入“全局”之下6.5 创建智能组管理员分配配置文件，必须指定用户组或智能组，所以这里先创建一个智能组。9. 在 xxx组织组级别，导航到“组与设置”“组”“分配组”，单击“添加智能组”10. 在“创建新智能组”页面，定义智能组名称和选择条件，譬如我们这里想定义一个包含所有设备和用户的组，则保持默认的全部选中，然后单击“保存”11. 智能组创建完成。可以接着继续创建其它智能组6.6 生成 APNs 证书12. 在 Xx组织组级别，导航到“组与设置”“所有设置”“设备与用户”“常规”“Apple”“MDM的APNs”标签页，点击 生成新的证书o 单击 MDM_APNsRequest.plist 超链接下载该文件o 单击“访问 Apple 官网”，用企业专用的Apple ID登录，选择“创建证书”，接受“使用条款”，选择“浏览”以便从“下载”文件夹中上传“MDM_APNsRequest.plist”文件，选择“上传”，接着再选择“下载”o 导航回到“AirWatch 管理控制台”，选择“下一步”，并选择从下载文件夹“上传”，然后选取 “MDM_AirWatch_Certificate.pem 文件”，输入用来创建证书的 Apple ID，再选择“保存”o 要求输入安全PIN码，我们这里是xxxx，输入完后自动完成，单击页面底部的“保存”o APN证书上传完成6.7 其它设置13. 导航到“组与设置”“所有设置”“系统”“品牌化”，然后定义品牌设置14. 在“Xx”组织组级别，导航到“组与设置”“所有设置”“设备与用户”“常规”“注 册”“自定义”标签页，然后定义支持电子邮件和电话号码6.8 设置SMTP和目录服务15. 配置电子邮件