深信服EMM部署注意事项

目前,深信服EMM一般采用7.6.8R1版本,SSL VPN采用7.6.8R2版本。

现在有一台EMM7.6.8R1版本,做awork标准版测试,有苹果和安卓的应用封装。部署的时候有以下的注意点。

1、EMM需要访问公网以下几个地址:
ea.sangfor.com的8800湍口
api.push.apple.com的80、443端口(80端口如果不通,则可能被苹果关闭了)
api.development.push.apple.com的80、443端口(80端口如果不通,则可能被苹果关闭了)
在设备命令控制台sock确认下。
2、需要把EMM的443端口、441端口映射出去,一般会把443端口映射为其他端口,不然没有备案可能被运营商默认封堵。441端口供苹果手机awork注册、管控以及推送消息用,需要开启移动设备管理,但是7.6.8R1已经不再需要MDM证书了。如果没有苹果,只是安卓使用,则不需要映射441端口。
3、在vpn接入界面,下载awork可能会跳转到http端口,由于http的80端口未被映射,可能会导致无法下载awork,这个是版本bug导致,需要在系统配置里将http端口启用,再次禁用即可。默认就是未开启,但是版本bug,还需这么操作下。
4、苹果必须有域名及受信任的SSL证书,以及应用封装是的IOS企业证书,测试的时候可以用深信服试用的IOS企业证书,不过只有120天有效期(过去是1年)。
如果没有域名及受信任的SSL证书,比如使用EMM设备的SSL证书,使用深信服试用的IOS企业证书,这时安卓和苹果的APP也可以封装,安卓的awork以及封装的APP可正常使用,苹果的awork也可以下载安装,并且在应用商店里可以看到封装的APP,但是由于没有域名及受信任的SSL证书,会导致应用商店里的APP无法下载,下载进度是0%。如果更新了SSL证书后,已经封装的苹果APP仍然可以使用,不用重新封装。如果变为域名后,需要将移动设备管理和应用商店的地址修改为域名。
5、关于苹果的IOS企业证书,需要1个P12格式证书及其密码,以及1个mobileprovision格式的主程序描述文件和1个mobileprovision格式的插件程序描述文件。如下图:

这是新版本的要求,目前深信服官方文档还未更新,官方文档里还是只要1个P12格式证书、1个mobileprovision格式文件、1个cer格式文件,https://bbs.sangfor.com.cn/vpnsdk/SSL_EMM_CONFIGURE_CERTIFICATE.html

6、对于防截屏和水印功能可正常开启,对于有的APP需要调用相机、相册、百度地图、微信等其他APP,文件系统隔离等功能暂时不开启。
7、新版本采用系统管理员、安全管理员、审计管理员。