预配是指设置设备,以便由 enterprise 使用 policies 进行管理的过程。在此过程中,设备会安装 Android Device Policy,用于接收和强制执行 policies。如果配置成功,API 会创建一个 devices 对象,将设备绑定到企业。
Android Management API 使用注册令牌触发配置流程。您使用的注册令牌和配置方法会确定设备的所有权(个人所有或公司所有)和管理模式(工作资料或完全受管设备)。
个人所有的设备
Android 5.1 及更高版本
员工拥有的设备可以设置工作资料。工作资料可为工作应用和数据提供一个独立的空间,与个人应用和数据分开。大多数应用、数据和其他管理 policies 仅适用于工作资料,而员工的个人应用和数据仍会保持私密状态。
如需在自有设备上设置工作资料,请创建注册令牌(确保将 allowPersonalUsage 设置为 PERSONAL_USAGE_ALLOWED),然后使用以下配置方法之一:
用于工作和个人用途的公司自有设备
Android 8 及更高版本
设置具有工作资料的公司自有设备,可让设备同时用于工作和个人用途。在装有工作资料的公司自有设备上:
- 大多数应用、数据和其他管理
policies仅适用于工作资料。 - 员工的个人资料将保持私密状态。不过,企业可以强制执行某些设备端政策和个人使用政策。
- 企业可以使用
blockScope对整个设备或仅其工作资料强制执行合规性操作。 devices.delete和设备命令适用于整部设备。
如需设置具有工作资料的公司自有设备,请创建注册令牌(确保将 allowPersonalUsage 设置为 PERSONAL_USAGE_ALLOWED),然后使用以下配置方法之一:
仅用于工作的公司自有设备
Android 5.1 及更高版本
全设备管理适用于仅用于工作目的的公司自有设备。企业可以管理设备上的所有应用,并可以强制执行全方位的 Android Management API 政策和命令。
您还可以通过政策将设备锁定到单个应用或一小组应用,以实现专用用途或用例。这部分完全托管设备称为专用设备。这些设备的注册令牌必须将 allowPersonalUsage 设置为 PERSONAL_USAGE_DISALLOWED_USERLESS。
如需在归公司所有的设备上设置完整管理,请创建注册令牌,确保 allowPersonalUsage 设置为 PERSONAL_USAGE_DISALLOWED 或 PERSONAL_USAGE_DISALLOWED_USERLESS,然后使用以下某种配置方法。
政策可能会影响设备配置期间界面的生成。此类政策包括:
PasswordPolicyScope:用于确定密码要求。PermittedInputMethods:用于确定软件包输入法。PermittedAccessibilityServices:此项用于确定允许在完全受管设备和工作资料中使用的无障碍服务。SetupActions:此参数用于确定在设置期间执行哪些操作。ApplicationsPolicy:用于确定单个应用的政策。
如果您希望在设备配置期间在安装工作应用和设备注册卡片时显示密码步骤,我们建议您更新政策,以通过将设备保持在隔离状态(如果未注册关联的政策,就会出现这种情况)来延迟界面生成的启动,直到为设备设置指定最终选择的政策,该政策会填充与您的设置需求相关的项目。设备预配完成后,您可以根据需要更改政策。
创建注册令牌
您需要为要注册的每台设备获取注册令牌(您可以对多台设备使用相同的令牌)。如需请求注册令牌,请调用 enterprises.enrollmentTokens.create。注册令牌默认会在 1 小时后过期,但您可以指定自定义到期时间 (duration),最长可达约 1 万年。
成功的请求会返回一个 enrollmentToken 对象,其中包含一个 enrollmentTokenId 和一个 qrcode,IT 管理员和最终用户可以使用这些信息来预配设备。
指定政策
您还可以在请求中指定 policyName,以便在设备注册时应用政策。如果您未指定 policyName,请参阅注册不受政策约束的设备。
指定个人使用
allowPersonalUsage 用于确定是否可以在配置期间向设备添加工作资料。设置为 PERSONAL_USAGE_ALLOWED 可允许用户创建工作资料(对于个人自有设备,此属性为必需属性;对于公司自有设备,此属性为可选属性)。
二维码简介
对于维护许多不同政策的企业,二维码是一种高效的设备配置方法。从 enterprises.enrollmentTokens.create 返回的二维码由键值对载荷组成,其中包含注册令牌以及 Android 设备政策配置设备所需的所有信息。
二维码软件包示例
该软件包包含 Android Device Policy 的下载位置和注册令牌。
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
}
}
您可以直接使用从 enterprises.enrollmentTokens.create 返回的二维码,也可以对其进行自定义。如需查看可在二维码软件包中包含的属性的完整列表,请参阅创建二维码。
如需将 qrcode 字符串转换为可扫描的二维码,请使用二维码生成器,例如 ZXing。
配置方法
本部分介绍了配置设备的不同方法。
通过“设置”添加工作资料
Android 5.1 及更高版本
如需在设备上设置工作资料,用户可以执行以下操作:
- 依次前往设置 > Google > 设置和恢复。
- 点按设置您的工作资料。
这些步骤会启动一个设置向导,该向导会在设备上下载 Android Device Policy。接下来,系统会提示用户扫描二维码或手动输入注册令牌,以完成工作资料设置。
下载 Android Device Policy
Android 5.1 及更高版本
如需在设备上设置工作资料,用户可以从 Google Play 商店下载 Android Device Policy。应用安装后,系统会提示用户通过二维码或手动输入注册令牌来完成工作资料设置。
注册令牌链接
Android 5.1 及更高版本
使用从 enrollmentTokens.create 返回的注册令牌或企业的 signinEnrollmentToken,生成采用以下格式的网址:
https://enterprise.google.com/android/enroll?et=<enrollmentToken>
您可以将此网址提供给 IT 管理员,由他们将其提供给最终用户。 当最终用户在其设备上打开链接时,系统会引导他们完成工作资料设置。
登录网址
使用此方法时,系统会将用户定向到一个页面,以便他们输入完成预配所需的任何其他信息。您可以根据用户输入的信息,为用户计算适当的政策,然后再继续进行设备配置。例如:
在
enterprises.signInDetails[]中指定您的登录网址。如果您想允许用户创建工作资料,请将allowPersonalUsage设为PERSONAL_USAGE_ALLOWED(对于个人自有设备,此设置为必需;对于公司自有设备,此设置为可选)。将生成的
signinEnrollmentToken作为配置 extra 添加到二维码、NFC 载荷或零触摸配置中。或者,您也可以直接向用户提供signinEnrollmentToken。选择一个选项:
- 公司自有设备:开启新设备或已恢复出厂设置的设备后,将
signinEnrollmentToken传递给设备(通过二维码、NFC 碰撞等方式),或要求用户手动输入令牌。设备将打开第 1 步中指定的登录网址。 - 个人设备:要求用户通过“设置”添加工作资料。出现提示时,用户扫描包含
signinEnrollmentToken的二维码或手动输入令牌。设备将打开第 1 步中指定的登录网址。 - 个人所有的设备:向用户提供注册令牌链接,其中注册令牌为
signinEnrollmentToken。设备将打开第 1 步中指定的登录网址。
- 公司自有设备:开启新设备或已恢复出厂设置的设备后,将
检查 Google 是否已对用户进行身份验证。使用 GET 参数
provisioningInfo获取设备配置信息(在设备注册期间),并检查authenticatedUserEmail字段的值。如果此字段中存在值,则表示用户已成功通过 Google 身份验证,您无需进一步验证即可使用此身份。如果 Google 尚未对用户进行身份验证,您的登录网址应提示用户输入其凭据。根据其身份,您可以使用 GET 参数
provisioningInfo确定适当的政策并获取设备配置信息(在设备注册期间)。调用
enrollmentTokens.create,根据用户的凭据指定适当的policyId。使用网址重定向返回在第 5 步中生成的注册令牌,格式为
https://enterprise.google.com/android/enroll?et=<token>。
二维码方法
Android 7.0 及更高版本
如需预配公司自有设备,您可以生成二维码并将其显示在 EMM 控制台中:
- 在全新或已恢复出厂设置的设备上,用户(通常是 IT 管理员)在同一位置点按屏幕 6 次。这会触发设备提示用户扫描二维码。
- 用户扫描您在管理控制台(或类似应用)中显示的二维码,以注册和配置设备。
NFC 方法
Android 6.0 及更高版本
若要使用此方法,您需要创建一个 NFC 编程器应用,其中包含注册令牌、初始政策和 Wi-Fi 配置、设置以及客户配置全程受管设备或专用设备所需的所有其他配置详细信息。当您或您的客户在 Android 设备上安装 NFC 编程器应用时,该设备即成为编程器设备。
如需详细了解如何支持 NFC 方法,请参阅 Play EMM API 开发者文档。该网站还包含通过 NFC 碰撞推送到设备的默认参数的示例代码。如需安装 Android Device Policy,请将设备管理员软件包的下载位置设置为:
https://play.google.com/managed/downloadManagingApp?identifier=setup
DPC 标识符方法
如果无法使用二维码或 NFC 添加 Android Device Policy,用户或 IT 管理员可以按照以下步骤配置公司自有设备:
- 在新设备或已恢复出厂设置的设备上,按照设置向导操作。
- 输入 Wi-Fi 登录详细信息,将设备连接到互联网。
- 当系统提示您登录时,输入 afw#setup,系统会下载 Android Device Policy。
- 扫描二维码或手动输入注册令牌以预配设备。
零触摸注册
Android 8.0 及更高版本(Pixel 7.1 及更高版本)
从授权的零触摸设备转销商处购买的设备符合零触摸注册条件。零触摸注册是一种简化的方法,可预配置设备,使其在首次启动时自动进行配置。
组织可以通过零触摸注册门户或使用 EMM 控制台(请参阅 zero-touch 客户 API)为其零触摸设备创建包含配置详细信息的配置。首次启动时,零触摸设备会检查是否已分配配置。如果是,设备会下载 Android Device Policy,然后该应用会使用分配的配置中指定的配置项来完成设备设置。
如果您的客户使用零触摸注册门户,则需要为其创建的每个配置选择 Android Device Policy 作为 EMM DPC。如需详细了解如何使用该门户(包括如何创建配置并将其分配给设备),请访问 Android Enterprise 帮助中心。
如果您希望客户直接从您的 EMM 控制台设置和分配配置,则需要与零接触客户 API 集成。创建配置时,您可以在 dpcExtras 字段中指定配置 extras。以下 JSON 代码段展示了在 dpcExtras 中添加了登录令牌的基本示例。
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
}
}
在设置期间启动应用
setupActions 启动应用。在 policies 中,您可以为 Android Device Policy 指定一个应用,以便在设备或工作资料设置期间启动该应用。例如,您可以启动 VPN 应用,以便用户在设置过程中配置 VPN 设置。应用必须返回 RESULT_OK 以表示完成,并允许 Android Device Policy 完成设备或工作资料配置。如需在设置过程中启动应用,请执行以下操作:
确保应用的 installType 为 REQUIRED_FOR_SETUP。如果无法在设备上安装或启动应用,配置将会失败。
{
"applications":[
{
"packageName":"com.my.vpnapp.",
"installType":"REQUIRED_FOR_SETUP"
}
]
}
将应用的软件包名称添加到 setupActions。使用 title 和 description 指定面向用户的说明。
{
"setupActions":[
{
"title":{
"defaultMessage":"Configure VPN"
},
"description":{
"defaultMessage":"Enable your VPN client to access corporate resources."
},
"launchApp":{
"packageName":"com.my.vpnapp."
}
}
]
}
为了区分应用是从 launchApp 启动的,作为应用一部分首次启动的 activity 包含布尔值 intent extra com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION(设为 true)。借助此 extra,您可以根据应用是从 setupActions 启动还是由用户启动来自定义应用。
应用返回 RESULT_OK 后,Android Device Policy 会完成配置设备或工作资料所需的所有剩余步骤。
在设置过程中取消注册
以 SetupAction 启动的应用可以返回 RESULT_FIRST_USER 来取消注册。
取消注册会重置公司自有设备,或删除个人自有设备上的相应工作资料。
注意:取消注册会触发相应操作,而不会显示用户确认对话框。应用有责任在返回 RESULT_FIRST_USER 之前向用户显示适当的错误对话框。
将政策应用于新注册的设备
您可以根据自己的需求和客户的要求,选择将政策应用于新注册的设备的方法。您可以使用以下不同的方法:
(推荐)在创建注册令牌时,您可以指定将最初与设备关联的政策的名称 (
policyName)。当您使用令牌注册设备时,系统会自动将该政策应用于该设备。将某项政策设为企业的默认政策。如果注册令牌中未指定政策名称,并且存在名称为
enterprises/<enterprise_id>/policies/default的政策,则每个新设备都会在注册时自动关联到默认政策。订阅 Cloud Pub/Sub 主题,以接收有关新注册设备的通知。为了响应
ENROLLMENT通知,请调用enterprises.devices.patch以将设备与政策相关联。
注册不受政策约束的设备
如果设备在注册时未设置有效的政策,则设备会被隔离。被隔离的设备将被禁止使用所有设备功能,直到该设备与政策相关联。
如果设备未在 5 分钟内关联到政策,则设备注册会失败,并且设备会恢复出厂设置。借助隔离设备状态,您可以将许可检查或其他注册验证流程作为解决方案的一部分来实现。
许可检查工作流示例
- 设备未采用默认政策或特定政策进行注册。
- 查看企业还剩多少个许可。
- 如果有可用的许可,请使用
devices.patch将政策附加到设备,然后递减许可数量。如果没有可用的许可,请使用devices.patch停用设备。或者,API 工厂会在注册后的 5 分钟内将未附加到政策的所有设备恢复出厂设置。