03-anyoffice功能特性與配置v200r005典型案例

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEV2R5V2R51.0開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）聞亮/900064942015-08-15新開發(fā)本頁不打印AnyOffice V200R005產(chǎn)品典型配置案例分析 前言華為AnyOffice產(chǎn)品是華為公司推出的移動辦公安全解決方案，產(chǎn)品的配置是產(chǎn)品使用的基礎。本課程介紹華為AnyOffice產(chǎn)品的典型配置案例。 目標學完本課程后，您將能夠:了解華為AnyOffice產(chǎn)品的典型配置過程了解華為AnyOffice產(chǎn)品在配置過程中的注意事項完成華為AnyOffice產(chǎn)品的典型配置 案例案例背景部署規(guī)劃證書配置認證配置業(yè)務策略配置案

2、例背景背景介紹：某企業(yè)使用華為AnyOffice移動辦公系統(tǒng)，主要使用MDM、MAM、安全SDK、安全瀏覽器、分級管理等功能。用戶使用終端涉及Android和IOS。分級管理功能：該企業(yè)使用用戶類型較多，非常關(guān)注分級管理功能，例如：應用商店要分級管理，可針對不同部門或不同用戶下發(fā)不同的MDM策略、工作臺策略等。MAM：非常關(guān)注應用商店的應用管理，對不同部門和用戶需要下發(fā)不同的應用。MDM：關(guān)注Wi-Fi開關(guān)控制，管控、消息推送等。 案例案例背景部署規(guī)劃證書配置認證配置業(yè)務策略配置部署規(guī)劃移動安全客戶端AnyOffice3G/4GPublic Wi-FiFirewall/UTMSSL終端側(cè)接入側(cè)

3、后臺接入服務器局域網(wǎng)EnterpriseWiFiOffice basedOfficebased移動安全客戶端AnyOfficeSMSCAE接入服務器SSLOracle選擇集中式組網(wǎng)規(guī)劃，示意圖如下：部署規(guī)劃選擇AE服務器單網(wǎng)卡旁掛防火墻，示意圖如下：部署規(guī)劃數(shù)據(jù)規(guī)劃： 項目示例說明AE服務器一個網(wǎng)口的兩個IP地址分別為： IP地址1：172.16.253.1 IP地址2：172.16.254.1AE服務器使用IP地址1與Trust區(qū)的內(nèi)網(wǎng)服務器通信。AE服務器使用IP地址2與外網(wǎng)通信。該IP地址需與防火墻做NAT。IP地址1：下一跳IP地址為172.16.253.20，目的IP地址為172.1

4、6.252.0/24。 IP地址2：下一跳IP地址為172.16.254.20，目的IP地址為0.0.0.0/24。IP地址1 AE服務器到內(nèi)網(wǎng)的靜態(tài)路由，實現(xiàn)AE服務器到內(nèi)網(wǎng)路由可達。下一跳為Firewall_A的GigabitEthernet 0/0/1接口IP地址，目的IP地址為企業(yè)內(nèi)網(wǎng)的網(wǎng)段。IP地址2 AE服務器到外網(wǎng)的靜態(tài)路由，實現(xiàn)AE服務器到外網(wǎng)路由可達。下一跳為Firewall_A的GigabitEthernet 0/0/1接口IP地址。Firewall_AGigabitEthernet 0/0/1接口IP地址： IP地址1：172.16.253.20/24 IP地址2：172

5、.16.254.20/24分別與AE服務器的兩個IP地址通信。Firewall_BGigabitEthernet 0/0/1接口IP地址：172.16.252.20/24與SC服務器通信。部署規(guī)劃服務器規(guī)劃：需要4臺suse服務器，分別用于部署SM、SC、oracle服務器和AE，以及1臺用于運行部署工具的windows服務器。SMSCAEOracle數(shù)據(jù)庫部署工具 案例案例背景部署規(guī)劃證書配置認證配置業(yè)務策略配置證書配置本案例企業(yè)涉及Android和IOS兩種終端設備，Anyoffice需要上傳以下證書。關(guān)于以下證書的制作方法請參考AnyOffice V200R005 證書及申請方法介紹。證

6、書名稱應用場景設備證書AE服務器身份證書，需要根據(jù)AE對外提供的URL生成。設備CA證書用于校驗AE服務器的根CA。iOS消息推送證書通過蘋果APNs服務器群發(fā)消息的證書，如果AnyOffice重簽名，需要更換。iOS移動設備控制證書通過蘋果APNs服務器控制終端的證書，正式使用時需要更換為該企業(yè)自己申請的證書。證書配置移動辦公相關(guān)證書上傳示例：1.打開“系統(tǒng)”-“系統(tǒng)管理”-“移動辦公相關(guān)證書”，點擊上傳圖標進行證書的上傳。證書配置移動辦公相關(guān)證書上傳示例：2.點擊“瀏覽”選擇相應PKCS#12類型的證書，輸入證書文件密碼。證書配置配置驗證：移動辦公相關(guān)證書上傳示例：1.打開“系統(tǒng)”-“系統(tǒng)

7、管理”-“移動辦公相關(guān)證書”。 查看移動辦公相關(guān)證書狀態(tài)，為新上傳證書。 案例案例背景部署規(guī)劃證書配置認證配置業(yè)務策略配置認證配置用戶認證和授權(quán)需求示例：1.企業(yè)擁有外部AD認證服務器，AnyOffice需要對接該外部認證源。2. AD服務器中，按照員工的職能劃分為研發(fā)部（包括軟件、硬件研發(fā)）、市場部（包括銷售、運營），且每個部門下有100名員工（共400名）。認證配置配置示例：1.同步類型選擇: AnyOffice中需要的部門結(jié)構(gòu)及賬號:認證配置同步配置示例：認證服務器中存在AnyOffice需要的部門結(jié)構(gòu)，且每個部門下存放的賬號也與AnyOffice的需求一致。此時選擇按OU同步，同步效果

8、如圖所示:認證配置對接AD服務器（按OU同步）：同步配置流程：認證配置序號同步配置步驟說明1創(chuàng)建同步賬號若能夠向認證服務器的管理員獲取，則不需執(zhí)行本步驟。以“Active Directory Users and Computers”工具為例，介紹如何創(chuàng)建同步賬號。AnyOffice使用創(chuàng)建的同步賬號從AD服務器中同步部門及賬號。2查找基準DN若能夠向認證服務器的管理員獲取，則不需執(zhí)行本步驟。在AD服務器中查找基準DN，AnyOffice使用基準DN才能正確連接AD服務器。3查找部門及賬號屬性若能夠向認證服務器的管理員獲取，則不需執(zhí)行本步驟。查找AD服務器中部門及賬號的部分屬性，AnyOffic

9、e根據(jù)這些屬性同步部門及賬號。4配配置AD服務器連接參數(shù)在AnyOffice中配置連接參數(shù)。配置完成后，AnyOffice才能正常連接AD服務器。5配置部門及賬號屬性在AnyOffice中配置AD服務器的部門、賬號屬性，AnyOffice根據(jù)屬性在AD服務器中識別并同步部門、賬號。6配置不同范圍為提升同步效率，您需要配置同步范圍，指定AnyOffice在AD服務器中查找部門、賬號的范圍。7執(zhí)行同步并驗證結(jié)果執(zhí)行同步操作，將AD服務器中的部門、賬號同步到AnyOffice中，并驗證同步是否正確。認證配置創(chuàng)建同步賬號：數(shù)據(jù)規(guī)劃項目示例說明同步賬號、密碼jack Admin12345密碼建議滿足最小

10、復雜度要求，即包含英文大寫字母（AZ）、英文小寫字母（az）、數(shù)字（09）、特殊字符（如!、#、$、%等）中的三種。同步賬號在AD服務器中的位置作為AD服務器根節(jié)點“ ”的下一級子節(jié)點。即同步賬號的父節(jié)點即為AD服務器的根節(jié)點。建議在AD服務器根節(jié)點下創(chuàng)建同步賬號，否則創(chuàng)建的同步賬號可能權(quán)限不足，導致AnyOffice無法從AD服務器中同步部門及賬號。認證配置創(chuàng)建同步賬號：項目示例說明同步賬號的限制條件不勾選“User must change password at next logon”不能勾選，否則將導致AnyOffice無法從AD服務器中同步部門及賬號。不勾選“Account is di

11、sabled”不勾選“Use DES encryption types for this account”不能勾選，否則同步賬號的認證加密方式只支持DES，可能導致AnyOffice無法從AD服務器中同步部門及賬號。 不勾選“Store password using reversible encryption”根據(jù)企業(yè)的安全策略配置，但建議不勾選?？赡娴募用鼙４婷艽a方式將增大密碼泄露的風險。勾選“User cannot change password”根據(jù)企業(yè)的安全策略配置。若不勾選，當密碼被修改后，請保證在AnyOffice中同步修改。否則將致AnyOffice無法從AD服務器中同步部門及賬

12、號。勾選“Password never expires”根據(jù)企業(yè)的安全策略配置。若不勾選，在密碼過期前修改密碼，請保證在AnyOffice中同步修改。其他限制條件除非有特殊要求，否則請根據(jù)企業(yè)的安全策略配置。認證配置創(chuàng)建同步賬號：1.以“Administrator”用戶登錄AD服務器，選擇“Control Panel System and Security Administrative Tools Active Directory Users and Computers”。 2.單擊AD服務器的根節(jié)點，在其下一級子節(jié)點中創(chuàng)建同步賬號。若在其他位置創(chuàng)建，則同步賬號的權(quán)限可能不足。認證配置創(chuàng)建同步

13、賬號：3.選擇“Action New User”，開始創(chuàng)建同步賬號。 認證配置創(chuàng)建同步賬號：4.按照下圖所示設置同步賬號的“Full name”、“User logon name”，其他參數(shù)保持默認。單擊“Next”。 認證配置創(chuàng)建同步賬號：5.按照下圖所示設置密碼，及賬號的限制條件，單擊“Next”。 認證配置創(chuàng)建同步賬號：6.在系統(tǒng)顯示界面單擊“Finish”。若在列表中顯示創(chuàng)建的同步賬號，則表示創(chuàng)建成功。 認證配置創(chuàng)建同步賬號：7.右鍵單擊新創(chuàng)建的賬號，選擇“Properties”，在“Account”頁簽中設置賬號的限制條件。單擊“OK ”。 認證配置查找基準DN ：1. 打開ADEx

14、plorer 在系統(tǒng)顯示界面輸入AD服務器的IP地址、“Administrator”用戶及其密碼。單擊“OK ”。認證配置查找基準DN ：2.查找目錄“OU=department”的上一級目錄中的“ ”，并查看目錄“ ”的distinguishedName屬性取值。 在目錄“ ”下，能夠查找到AnyOffice要同步的所有部門、所有賬號。3.妥善保存目錄“ ”的distinguishedName屬性取值，此處為“ ”。認證配置查找部門及賬號屬性：項目屬性名稱說明部門Objectclass一般情況下，取值為top、organizationalUnit。在AD服務器中，若某個目錄“Objectcl

15、ass”屬性的取值包含top或organizationalUnit（其中一個或兩個），則該目錄代表部門。在配置部門及賬號屬性中配置該屬性的取值。AnyOffice將根據(jù)“Objectclass”的取值識別并同步部門目錄。name在AD服務器中，部門目錄一般使用“name”屬性的取值表示部門名稱。在配置部門及賬號屬性中配置“name”屬性（不是屬性的取值）。例如：“name”屬性的取值為“development”，且在配置部門及賬號屬性中配置“name”屬性，則AnyOffice將同步過來的部門名稱記錄為“development”。賬號Objectclass一般情況下，取值為top、person

16、、organizationalPerson、user。在AD服務器中，若某個目錄“Objectclass”屬性的取值包含top、person、organizationalPerson或user（其中一個或多個），則該目錄代表賬號。在配置部門及賬號屬性中配置該屬性的取值。AnyOffice將根據(jù)“Objectclass”的取值識別并同步賬號目錄。cn在AD服務器中，賬號目錄一般使用“cn”屬性的取值表示賬號的名稱（用戶名）。在配置部門及賬號屬性中配置“cn”屬性（不是屬性的取值）。例如：“cn”屬性的取值為“susan”，且在配置部門及賬號屬性中配置“cn”屬性，則AnyOffice將同步過來的

17、賬號名稱記錄為“susan”。認證配置查找部門及賬號屬性：1. 打開ADExplorer 在系統(tǒng)顯示界面輸入AD服務器的IP地址、“Administrator”用戶及其密碼。單擊“OK ”。認證配置查找部門及賬號屬性：2.查找部門屬性。認證配置查找部門及賬號屬性：3.查找賬號屬性。認證配置配置AD服務器連接參數(shù)：數(shù)據(jù)規(guī)劃項目示例說明同步類型按OU同步-認證源名稱認證源1AD服務器的名稱，用于標識AD服務器。自定義。主服務器IP地址、端口、AD域名IP地址：172.16.252.16 端口：389 AD域名： 向認證服務器的管理員獲取。若AD服務器啟用了SSL協(xié)議，則其提供服務的端口為636，否

18、則為389。AD域名指AD服務器的域名?；鶞蔇N 向認證服務器的管理員獲取或在AD服務器中查找基準DN。同步賬號及密碼同步賬號：jack 同步密碼：Admin12345向認證服務器的管理員獲取或在AD服務器中創(chuàng)建同步賬號認證配置配置AD服務器連接參數(shù)：1.登錄AnyOffice管理平臺，選擇“用戶 外部數(shù)據(jù)源 AD服務器”。2.單擊“增加”，配置連接參數(shù)。認證配置配置AD服務器連接參數(shù)：3.單擊“測試”，若提示連接失敗，請根據(jù)提示信息重新配置，配置完成后，再次單擊“測試”。4.提示連接成功后，單擊“確定”。認證配置配置部門及賬號屬性：數(shù)據(jù)規(guī)劃項目示例說明部門部門類型organizational

19、Unit向認證服務器的管理員獲取或配置為“Objectclass”屬性的取值（其中的一個或多個）。例如：配置為organizationalUnit，只要AD服務器中目錄的“Objectclass”屬性取值包含organizationalUnit，則AnyOffice即可將該目錄識別為部門。部門名稱name向認證服務器的管理員獲取或配置為表示部門名稱的屬性名稱。例如：配置為“name”，則AnyOffice在同步部門時，使用“name”的取值作為部門名稱。賬號用戶類型person、user向認證服務器的管理員獲取或配置為“Objectclass”屬性的取值（其中的一個或多個）。例如：配置為per

20、son、user，只要目錄的“Objectclass”屬性取值包含person或user，則AnyOffice即可將該目錄識別為賬號。用戶名cn向認證服務器的管理員獲取或配置為表示賬號名稱（用戶名）的屬性名稱。例如：配置為“cn”，則AnyOffice在同步賬號時，使用“cn”的取值作為用戶名。認證配置配置部門及賬號屬性：1.登錄AnyOffice管理平臺，選擇“用戶 外部數(shù)據(jù)源 AD服務器”。2.單擊AD服務器信息后 ，在系統(tǒng)顯示界面配置部門及賬號屬性。3.配置部門類型、部門名稱。 AnyOffice根據(jù)“部門類型”，在AD服務器中識別并同步部門。同時將“name”的取值作為部門名稱認證配置

21、配置部門及賬號屬性4.配置用戶類型、用戶名。 AnyOffice根據(jù)“用戶類型”，在AD服務器中識別并同步賬號。同時將“cn”的取值作為用戶名。如圖：5.單擊“確定”。認證配置配置同步范圍：數(shù)據(jù)規(guī)劃項目示例說明認證源名稱認證源1配置為已設置的認證源名稱。組DNou=departmentAD服務器中待同步部門（新創(chuàng)建的部門）所在的目錄。根據(jù)同步需求，AD服務器中待同步的部門都存儲在目錄“ou=department”下。因此該參數(shù)設置為“ou=department”，表示AnyOffice在該目錄下查找并同步部門。源DNou=hangzhou ou=beijingAD服務器中待同步賬號所在的目錄。

22、根據(jù)同步需求，AD服務器中待同步的賬號存儲在“ou=hangzhou”、“ou=beijing”下。因此該參數(shù)設置為“ou=hangzhou”、“ou=beijing”，表示AnyOffice在該目錄下查找賬號。目標部門企業(yè)部門AnyOffice中的部門名稱。自定義。AnyOffice將同步過來的部門及賬號都存放在該部門下。認證配置配置同步范圍：1.登錄AnyOffice管理平臺，選擇“用戶 用戶管理 用戶列表”。2.創(chuàng)建目標部門。a.在“部門”頁簽中單擊“新建”，創(chuàng)建目標部門認證配置配置同步范圍：3.增加同步范圍。 a.在“外部數(shù)據(jù)源”頁簽中單擊“增加按組同步 b.從下拉列表中選擇認證源名稱

23、，設置“組DN”為“ou=department”，“目標部門”為“企業(yè)部門”。AnyOffice將同步“ou=department”下的部門、子部門（不包括“ou=department”本身）。如圖：認證配置執(zhí)行同步并驗證結(jié)果可通過兩種方式執(zhí)行同步操作： a.立即同步 適用場景：首次同步、需要將已變更的部門及賬號立即同步到AnyOffice中。本任務以該種同步方式為例進行說明。b.周期同步 適用場景：為防止已變更的部門及賬號沒有及時同步到AnyOffice中，可采用周期同步。單擊AD服務器信息后的 ，根據(jù)提示配置即可，建議將周期同步的執(zhí)行時間設置在業(yè)務空閑期（例如凌晨0點）。認證配置執(zhí)行同步并

24、驗證結(jié)果：1.登錄AnyOffice管理平臺，選擇用戶 外部數(shù)據(jù)源 AD服務器2.單擊AD服務器信息后 ，并根據(jù)提示單擊“確定”。 AnyOffice開始從AD服務器中同步部門及賬號3.驗證同步結(jié)果。a.選擇 用戶 用戶管理 用戶列表b.在界面的左側(cè)，若部門結(jié)構(gòu)如下圖所示，則表示部門同步成功。如圖：認證配置執(zhí)行同步并驗證結(jié)果：c.選擇“賬號”頁簽，依次單擊部門“hardware”、“software”、“operation”、“sales”，查看每個部門下的賬號信息是否正確：根據(jù)同步需求，部門“hardware”、“software”、“operation”、“sales”下，應分別顯示“su

25、san”、“tony”、“andy”、“l(fā)ilei”。若部門下的賬號信息也正確，則同步成功。實現(xiàn)了同步需求。如下圖：認證配置配置認證規(guī)則：數(shù)據(jù)規(guī)劃項目示例說明數(shù)據(jù)源認證源1配置為已設置的認證源名稱。認證配置配置認證規(guī)則：1.登錄AnyOffice管理平臺，選擇“業(yè)務 網(wǎng)絡準入控制 認證授權(quán) 認證規(guī)則”。2.單擊默認規(guī)則后的修改按鈕，在系統(tǒng)顯示界面中修改數(shù)據(jù)源。a.單擊“數(shù)據(jù)源”后的按鈕，在系統(tǒng)顯示界面單擊“選擇數(shù)據(jù)源”。b.選中數(shù)據(jù)源名稱，單擊“確定”。如圖：認證配置配置認證規(guī)則：c.選中本地數(shù)據(jù)源，并移除，單擊“確定”。如下圖：認證配置配置標簽：數(shù)據(jù)規(guī)劃項目示例說明動態(tài)關(guān)聯(lián)標簽標簽名稱：ha

26、rdware、software、operation、sales過濾條件：按部門過濾管理員需按照部門、終端操作系統(tǒng)類型、終端歸屬等過濾條件控制員工的權(quán)限時，配置動態(tài)關(guān)聯(lián)標簽。建議采用部門作為過濾條件。靜態(tài)綁定標簽標簽名稱：標簽1管理員需按照終端控制員工的權(quán)限時，配置靜態(tài)綁定標簽，不設置過濾條件。認證配置配置標簽（動態(tài)標簽）1.登錄AnyOffice管理平臺，選擇“業(yè)務 移動終端管理 標簽管理”。2.單擊“新建”，配置標簽。1）配置動態(tài)關(guān)聯(lián)標簽。a.設置標簽的名稱。b.從下拉列表中選擇“部門”作為過濾條件，單擊后面表格的空白處，根據(jù)提示設置標簽關(guān)聯(lián)的部門hardware 。如下圖：認證配置配置標簽

27、（動態(tài)標簽）c.單擊“確定”。d.重復執(zhí)行上述步驟，增加標簽“software”、“operation”“sales”，分別用于關(guān)聯(lián)部門software、operation、sales。認證配置配置標簽（靜態(tài)標簽）在配置靜態(tài)綁定標簽時，只需設置標簽的名稱，不需要配置過濾條件。后續(xù)配置終端時，應用到此處配置的標簽，即可將終端用戶關(guān)聯(lián)標簽。后續(xù)配置業(yè)務策略、Wi-Fi配置文件、企業(yè)應用時，再次應用到此處配置的標簽，即可將權(quán)限關(guān)聯(lián)到終端用戶。 案例B案例背景部署規(guī)劃證書配置認證配置業(yè)務策略配置業(yè)務策略配置安裝部署請參照： HUAWEI AnyOffice V200R005 產(chǎn)品文檔本案例典型配置主要

28、包括以下幾項：1.應用準入檢查2.應用商店3.WiFi配置推送4.分權(quán)分域 5.終端審批配置6.策略優(yōu)先級配置應用準入檢查配置準入檢查需求示例：1.企業(yè)控制HR部門員工的終端上安裝的應用。要求如下：必須安裝應用：com.sina.weibo。當終端必須安裝這些應用時，終端才能接入網(wǎng)絡。 2.禁止安裝應用：com.game.cc。當終端沒有安裝這些應用時，終端才能接入網(wǎng)絡。 3.允許安裝應用： com.mobile.cc。允許終端安裝的應用（非必須安裝）。如果終端安裝了該范圍之外的其他應用，則將不能接入網(wǎng)絡。注意事項1.所有應用必須已在企業(yè)應用商店中上傳。 2.準入檢查時，系統(tǒng)提取應用的包名進行

29、對比。配置示例1、創(chuàng)建匹配HR部門的標簽label_hr。 a.選擇“業(yè)務 移動終端管理 標簽管理”。 b.單擊“新建”，創(chuàng)建標簽。c.單擊“確定”。應用準入檢查配置配置示例2、選擇“業(yè)務 移動終端管理 策略管理”。 3、單擊“新建”，創(chuàng)建準入檢查策略。 應用準入檢查配置配置示例4、單擊策略對應的，配置策略。 以Android版本的必須安裝應用為例?！皯谩笨芍苯虞斎霊冒部稍谙吕斜碇羞x擇。必須安裝的應用，需要已在企業(yè)應用商店中創(chuàng)建。應用準入檢查配置配置示例5、重復以上操作，依次配置允許安裝應用和禁止安裝應用。6、關(guān)聯(lián)策略與標簽。 a.選中策略，單擊“應用到標簽”。b.單擊“確定”。應用

30、準入檢查配置應用準入檢查配置配置驗證：1. 使用未安裝必須應用的終端登錄，登錄失敗，如下圖： 應用商店應用商店需求示例：1. 企業(yè)日常辦公需要AnyOffice應用和eCalender應用（均已集成SDK）。 應用包括Android、iOS版本。 2.所有企業(yè)員工可以從企業(yè)應用商店中下載AnyOffice應用。 3.只有HR部門的企業(yè)員工可以從企業(yè)應用商店中下載eSpace應用。 4.只有研發(fā)部門的企業(yè)員工可以從企業(yè)應用商店中下載eCalender應用。數(shù)據(jù)準備項目說明應用文件Android：AnyOffice.apk、eCalender.apk、eSpace.apk iOS：AnyOffic

31、e.ipa、eCalender.ipa、eSpace.ipa應用圖標eSpace.png、eCalender.png、eSpace.png應用商店配置示例1、創(chuàng)建匹配HR部門的標簽label_hr。 a.選擇“業(yè)務 移動終端管理 標簽管理”。 b.單擊“新建”，創(chuàng)建標簽。參見以上步驟，創(chuàng)建匹配研發(fā)部門標簽label_rd。 應用商店配置示例2、添加Android應用。 a.選擇“業(yè)務 移動應用管理 應用商店管理”。 b.單擊“新建”，添加Android應用。應用商店配置示例3、單擊“確定”參見以上步驟，上傳eCalender.apk。4、添加iOS應用。 a.單擊“新建”，添加iOS應用。應用

32、商店配置示例5、單擊“確定”參見以上步驟，上傳eCalender.ipa。6、關(guān)聯(lián)策略與標簽。 a.選中策略，單擊“應用到標簽”。參見以上步驟，將eCalender應用綁定到標簽label_rd；將AnyOffice應用綁定到默認標簽Default。應用商店配置驗證：1.所有用戶均能通過自助頁面下載AnyOffice應用。自助頁面地址是 。 2.以HR用戶身份登錄AnyOffice客戶端。驗證在AnyOffice客戶端中是否能夠安裝eSpace應用。 3.以研發(fā)用戶身份登錄AnyOffice客戶端。驗證在AnyOffice客戶端中是否能夠安裝eCalender應用。 iOS配置推送iOS配置推

33、送需求示例：企業(yè)HR部門部署了無線局域網(wǎng)。員工接入網(wǎng)絡時可以自動獲得iOS配置文件并進行安裝，從而可以快速地接入企業(yè)無線網(wǎng)絡。 iOS配置推送配置示例：1、創(chuàng)建匹配HR部門的標簽。 a、選擇“業(yè)務 移動終端管理 標簽管理”。 b、單擊“新建”，創(chuàng)建標簽。iOS配置推送配置示例：2、上傳iOS配置文件。 a、選擇“業(yè)務 移動終端管理 終端配置推送”。 b、單擊“新建”，上傳iOS配置文件。 3、關(guān)聯(lián)iOS配置文件與標簽。 選中iOS配置文件，單擊“應用到標簽”。iOS配置推送配置驗證：驗證HR部門的員工接收到iOS配置文件。 分權(quán)分域分權(quán)分域需求示例：企業(yè)中有A、B兩個部門，分別為兩個部門配置不

34、同的管理員。其中，管理員A管理部門A，具有管理用戶的權(quán)限。管理員B管理部門B，具有管理用戶終端的權(quán)限。分權(quán)分域數(shù)據(jù)規(guī)劃： 項目示例說明角色角色名稱部門管理員-授權(quán)“系統(tǒng)資源 用戶 用戶管理” “系統(tǒng)資源 終端 終端管理”部門管理員具備管理用戶及用戶終端的權(quán)限。部門名稱部門A 部門B-部門管理員A用戶名管理員A用于標識用戶身份。賬號admin_A登錄系統(tǒng)時使用的用戶名。密碼Admin12345-部門管理員B用戶名管理員B用于標識用戶身份。賬號admin_B登錄系統(tǒng)時使用的用戶名。密碼Admin123456-下次登錄修改密碼勾選使用管理員B的賬號首次登錄時，要求修改初始密碼。分權(quán)分域配置示例：1、

35、配置角色。 a、選擇“系統(tǒng) 系統(tǒng)管理員 角色管理”。 b、單擊“新建”，創(chuàng)建角色“部門管理員”。 c、在“角色信息列表”中，單擊“部門管理員”對應的 ，為角色授權(quán)分權(quán)分域配置示例：2、配置部門。 a.選擇“用戶 用戶管理 用戶列表”。 b.在“部門”頁簽中，單擊“新建”，創(chuàng)建部門A和部門B。 3、配置部門管理員A并分配權(quán)限。 a.選擇“系統(tǒng) 系統(tǒng)管理員 系統(tǒng)用戶”。 b.單擊“增加”，創(chuàng)建部門管理員A。 如下圖：分權(quán)分域配置示例：分權(quán)分域配置示例：c.在系統(tǒng)用戶列表中，單擊管理員A右側(cè)的 ，選擇“部門管理員”角色，授予管理員A部門管理員角色權(quán)限。分權(quán)分域配置示例：d. 在系統(tǒng)用戶列表中，單擊管

36、理員A右側(cè)的 。 e. 在“業(yè)務權(quán)限分配”對話框中，單擊左側(cè)的“部門樹”，選擇部門A。 f. 在“業(yè)務權(quán)限分配”對話框右側(cè)，選擇管理用戶的業(yè)務權(quán)限，為管理員A分配管理部門A的權(quán)限。 如下圖分權(quán)分域分權(quán)分域配置示例：4、參照3，配置部門管理員B。分權(quán)分域配置驗證：1.使用管理員A賬號登錄系統(tǒng)。 2.選擇“用戶 用戶管理 用戶列表”，選中左邊導航樹中的“部門A”。 3.在“部門”頁簽中，單擊“新建”，可以創(chuàng)建部門A的子部門。 終端審批配置終端審批配置需求示例：1.企業(yè)要求對example部門員工接入網(wǎng)絡的終端進行審批，禁止該部門員工使用不安全終端進行登錄。2.企業(yè)對example2部門員工接入網(wǎng)絡的終端免注冊審批，允許員工在任意終端上登錄An