EMM测试-EasyWork方案（增强沙箱）最佳实践之安装部署配置

上一篇：EMM测试-EasyWork方案（增强沙箱）防坑指南_02

https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=128137

第3章  现场测试

3.1 设备部署

3.1.1 单臂部署

测试用例	单臂部署
测试工具	EMM设备、手机
预制条件	测试环境需要能够访问互联网
测试步骤	1. 设备加电开机；    2. 使用交叉线将PC和设备eth1口直连，电脑IP配置为**；    3. 通过浏览器登录设备，DMZ：https://**0，用户名为**，密码为**或者U盘恢复密码。    4. 配置设备为单臂模式，配置设备LAN口IP地址、网关地址和DNS地址（不一定需要）；    5. 根据实际网络环境接入网络中；    6. 在互联网出口网关设备，映射80和443端口（一般只需要映射443，不需要映射80）。 MDM(默认441端口（可以修改）：aWork场景下必须做映射（这个mdm端口是需要一样的， 因为我们awork是直接读取我们控制台配置的这个地址和端口去做mdm连接的，如果不是一一 映射，没法正常连接的）。否则会出现比较奇怪的现象：如 安卓可以正常登录aWork，IOS aWork无法正常登录。或者是。映射规则：外网IP :X 对应 内网IP:X X为MDM端口。使用 awork就需要MDM注册） 有多线路或分布式需求的还需映射http(默认80端口)。
预期结果	部署完成，通过互联网映射的IP和端口可以打开EMM awork下载界面和EC下载界面。下载界面：说白了就是SSLVPN设备识别终端类型，给终端浏览器重定向下发对应的URL链接。当然可能会遇到终端识别错误导致重定向URL出错的问题（该问题遇到概率较少，可以尝试通过不同浏览器进行下载或者通过工具qq等传入终端中）。
备注	如果遇到：无法正常下载awork：通常现象为：点击“下载”，提示页面不可达。请尝试该方式：“系统选项”“保存”，目的是“重启SSLVPN所有服务”，让进程重启及配置下发。

3.1.2 全局配置

全局配置项目1：更新设备证书

详细描述：在【系统设置】-【系统配置】-【设备证书】页面将提前准备好的SSL受信证书更新至EMM设备。

全局配置项目2：应用商店外网接入地址

详细描述：

若不一致：会有如下报错：

或者：也可能导致无法从url下载并安装aWork，提示下载awork失败。“应用商店”“设置”“保存”重启服务，也可以解决“应用商店”图标显示问题。

全局配置项目3：移动设备管理

全局配置项目4：导入iOS相关证书

详细描述：在【SSL VPN设置】-【EMM】-【EMM设置】-【证书配置】页面导入提前准备好的iOS企业证书、iOS描述文件、iOS消息推送证书，若测试暂时无法提供可选择某公司试用证书，试用证书可以试用120天。

全局配置项目5：网络环境设置

详细描述：保障设备能够与https://ea.sangfor.com:8800通信；使用消息推送的场景下：有iOS需求的还需保障设备能与https://api.push.apple.com、https://api.development.push.apple.com通信（使用推送的情况下：如果是推送场景：ios设备及vpn设备肯定要能通推送服务器，就相当于是设备先把消息推送给苹果，苹果再推给手机）

3.2.1 虚拟工作空间

测试用例	虚拟工作空间功能测试
测试工具	EMM设备、Android手机、iPhone
预制条件	1.    EMM设备已导入SSL受信证书、iOS企业证书、iOS描述文件、MDM证书、Android  keystore证书。    2.    EMM设备能够访问到https://ea.sangfor.com:8800。
测试步骤	1.    开启移动设备管理    2.    创建用户和L3VPN资源关联    3.    手机打开EMM的接入地址下载aWork并安装
预期结果	手机安装aWork后通过认证，可以进入工作空间

3.2.2 应用自动封装

测试用例	应用自动封装功能测试
测试工具	EMM设备、Android手机、iPhone
预制条件	1.    EMM设备已导入SSL受信证书、iOS企业证书、iOS描述文件、MDM证书、Android  keystore证书。    2.    已准备待封装的ipa包和apk包。    3.    EMM设备能够访问到https://ea.sangfor.com:8800。    4.    用户关联L3VPN资源
测试步骤	1.    应用封装页面新建APP封装，上传封装APP并设置相关封装参数。    2.    封装时选择增强沙箱的方式。    3.    在手机上安装好aWork和封装后的APP。    4.    使用封装的APP接入内网应用系统。
预期结果	打开封装APP后，通过EMM认证后可以访问内部业务系统。
备注	注意三点：    1.  比如X某公司：客户端目前在使用致远M1 app。所以必须要获取到：M1.apk以及M1.ipa 。亲测：使用M3是无法正常连接至内网X服务器。    2.  L3VPN资源或者是TCP资源。（如果同时发布（最好不要同时发布）：TCP资源优先）    3.  排除思路：打开封装APP后，通过EMM认证后不可以访问内部业务系统。说白了就是IP和端口是否通：使用EasyConnect登录VPN用户，通过Telnet等进行测试。

3.2.3 应用统一入口（Android）

测试用例	应用统一入口功能测试
测试工具	EMM设备、Android手机、iPhone
预制条件	1.    EMM设备已导入Android keystore证书。    2.    已准备待封装的apk包。    3.    EMM设备能够访问到https://ea.sangfor.com:8800。    4.    手机已经安装好aWork    5.    用户关联L3VPN资源
测试步骤	1.    应用封装页面新建APP封装，勾选只在aWork中显示该应用。    2.    封装时选择增强沙箱。    3.    在手机上安装封装好APP。
预期结果	Android手机（安卓10以下）上看不到封装后的APP，登录aWork后可以看到
备注	苹果系统限制，隐藏不了系统桌面的应用图标，这个业界都是做不了的。系统桌面就是个人桌面（手机自带的桌面）；安全域是指awork桌面。安卓10由于本身系统规则设置，业内无法做到不显示图标，安卓11自行取消该系统设置。目前某公司EMM已经兼容安卓11.

3.2.4 VPN加密传输

测试用例	VPN加密传输功能测试
测试工具	EMM设备、Android手机、iPhone、wireshark
预制条件	1.    EMM设备已导入SSL受信证书、iOS企业证书、iOS描述文件、MDM证书、Android  keystore证书。    2.    已准备待封装的ipa包和apk包。    3.    EMM设备能够访问到https://ea.sangfor.com:8800。    4.    用户关联L3VPN资源
测试步骤	1.    应用封装页面新建APP封装，上传封装APP并设置相关封装参数。    2.    封装时选择增强沙箱的方式。    3.    在手机上安装aWork和封装后的APP。    4.    使用封装的APP接入内网应用系统。
预期结果	打开封装APP后，通过EMM认证后可以访问内部业务系统。对手机公网IP抓包查看数据传输内容是加密的。

3.2.5 免密登录

测试用例	免密登录功能测试
测试工具	EMM设备、Android手机、iPhone
预制条件	1.    EMM设备已导入SSL受信证书、iOS企业证书、iOS描述文件、MDM证书、Android  keystore证书。    2.    已准备待封装的ipa包和apk包。    3.    EMM设备能够访问到https://ea.sangfor.com:8800。    4.    手机上已经安装aWork。    5.    用户关联L3VPN资源
测试步骤	在策略组中启动aWork免密认证，设置强制用户使用生物认证或手势解锁
预期结果	首次打开aWork后，即会出现手势锁设置，设置完成后，关闭aWork进程重新打开，不需要再验证账号，直接使用生物认证/手势锁验证通过即可使用。生物认证其实是存放在手机本地存储。

未完待续~EMM测试-EasyWork方案（增强沙箱）防坑指南_04

可以可以

感谢分享

大佬牛逼

打卡学习！

不错，写的很好。学习了

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~

感谢分享