配置是设置要通过其进行管理的设备的过程
policies,由 enterprise 提供。在设备安装过程中
Android Device Policy,用于接收和强制执行 policies。如果
配置成功后,API 会创建一个 devices 对象,绑定
提供给企业设备
Android Management API 使用注册令牌来触发配置 过程。您使用的注册令牌和配置方法会建立一个 设备的所有权(个人所有或公司所有)和管理模式(工作 个人资料或全托管式设备)。
个人所有的设备
Android 5.1 及更高版本
您可以为员工拥有的设备设置工作资料。工作资料
为工作应用和数据提供了一个独立的空间,独立于
应用和数据大多数应用、数据和其他管理policies都适用于
工作资料,而员工的个人应用和数据会保持私密状态。
要在个人所有设备上设置工作资料,请创建注册
令牌(确保 allowPersonalUsage 设置为
PERSONAL_USAGE_ALLOWED),并采用以下配置方法之一:
用于工作和个人用途的公司自有设备
Android 8 及更高版本
在公司自有设备上设置工作资料,即可让该设备 工作和个人用途。在装有工作资料的公司自有设备上:
- 大多数应用、数据和其他管理
policies都适用于工作资料 。 - 员工的个人资料不会公开。不过,企业可以 强制执行特定的设备级政策和个人使用政策。
- 企业可以使用
blockScope对 或仅限其工作资料 devices.delete和设备命令适用于整个设备。
如要通过工作资料设置公司自有设备,请创建注册
令牌(请确保
allowPersonalUsage 设置为 PERSONAL_USAGE_ALLOWED),并使用
以下配置方法:
仅供工作用的公司自有设备
Android 5.1 及更高版本
全面设备管理适用于符合以下条件的公司自有设备: 专用于工作目的。企业可以管理设备上的所有应用, 可以强制执行各种 Android Management API 政策和命令。
您还可以(通过政策)将设备锁定为仅限单个应用,或者
专门用于特定用途或用例的应用。这些全是
受管理设备称为“专用设备”。以下账号的注册令牌:
这些设备的allowPersonalUsage必须设置为
PERSONAL_USAGE_DISALLOWED_USERLESS。
要在公司自有设备上设置全面管理功能,请创建注册令牌,
确保将 allowPersonalUsage 设置为
PERSONAL_USAGE_DISALLOWED
或
PERSONAL_USAGE_DISALLOWED_USERLESS,
并使用下列配置方法之一。
政策可能会影响设备配置期间界面的生成。 此类政策包括:
PasswordPolicyScope: 这决定了密码要求。PermittedInputMethods: 这决定了软件包输入法。PermittedAccessibilityServices: 这决定了允许哪些无障碍服务用于全代管式服务 设备和工作资料SetupActions: 这决定了在设置期间要执行哪些操作。ApplicationsPolicy: 这决定了单个应用的政策。
如果您希望在安装工作应用的同时显示密码步骤 和设备注册卡,我们建议您更新 政策,通过将设备保持在 隔离状态:如果在没有关联政策的情况下完成注册,就会出现这种情况。 直到为设备设置中填充了项指定最终选定的政策为止 与您的设置需求相关完成设备的配置之后 完成后,您可以更改政策: 必填字段。
创建注册令牌
<ph type="x-smartling-placeholder">
您需要为要注册的每台设备都提供一个注册令牌(您可以
对多台设备使用同一令牌)。要请求注册令牌,请调用
enterprises.enrollmentTokens.create。注册令牌会在一次后过期
默认为小时,但您可以指定自定义到期时间 (duration)
最长大约 10,000 年。
成功的请求会返回 enrollmentToken 对象,其中包含
enrollmentTokenId和qrcode,可供 IT 管理员和最终用户用于
预配设备
指定政策
您可能还需要在请求中指定 policyName 以应用政策
同时注册设备。如果您未指定 policyName,请参阅
在不设定政策的情况下注册设备。
指定个人用途
allowPersonalUsage 决定能否将工作资料添加到设备
。设置为 PERSONAL_USAGE_ALLOWED 可允许用户创建
工作资料(个人设备必须提供,对于公司自有设备则为可选)
设备)。
关于二维码
二维码是一种高效的设备配置方法,适用于
并维护许多不同的政策从 返回的二维码
enterprises.enrollmentTokens.create 由键值对载荷组成
其中包含注册令牌以及 Android 所需的全部信息
用于配置设备的 Device Policy。
二维码集合示例
安装包中包含 Android Device Policy 的下载位置和 注册令牌。
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
}
}
您可以使用从 enterprises.enrollmentTokens.create 返回的二维码
也可以进行自定义如需查看可在其中添加的属性的完整列表,
二维码包,请参阅创建二维码。
如需将 qrcode 字符串转换为可扫描的二维码,请使用二维码生成器
例如 ZXing。
配置方法
本部分介绍了配置设备的不同方法。
通过“设置”添加工作资料
Android 5.1 及更高版本
要在设备上设置工作资料,用户可以执行以下操作:
- 前往设置 >Google >设置和恢复。
- 点按设置您的工作资料。
执行以下步骤会启动设置向导,该向导会将 Android Device Policy 下载到 设备。接下来,系统会提示用户扫描二维码或 手动输入注册令牌以完成工作资料设置。
下载 Android Device Policy
Android 5.1 及更高版本
要在设备上设置工作资料,用户可以下载 Android 设备 政策。用户安装应用后 系统会提示用户输入二维码或手动输入验证码 注册令牌以完成工作资料设置。
注册令牌链接
Android 5.1 及更高版本
使用从 enrollmentTokens.create 或
企业的 signinEnrollmentToken、
生成以下格式的网址:
https://enterprise.google.com/android/enroll?et=<enrollmentToken>
您可以向 IT 管理员提供此网址,以便其将其提供给最终用户。 当最终用户在其设备上打开链接时,系统将引导他们完成相关操作 工作资料设置。
登录网址
使用这种方法,用户会被定向到一个网页 完成配置所需的信息。基于用户 您可以计算适合用户的策略,然后再继续 以及设备配置例如:
在
enterprises.signInDetails[]中指定您的登录网址。设置allowPersonalUsage到PERSONAL_USAGE_ALLOWED(如果您要允许用户使用) 创建工作资料(个人所有设备的必需步骤,可选) (针对公司自有设备)。将生成的
signinEnrollmentToken作为配置 extra 添加到二维码中 代码、NFC 载荷或零触摸 配置。或者,您也可以提供signinEnrollmentToken。选择一个选项:
- 公司自有设备:启用新设备或恢复出厂设置后
将
signinEnrollmentToken传递给设备(通过二维码、NFC 或要求用户手动输入令牌。设备将 打开第 1 步中指定的登录网址。 - 个人拥有的设备:要求用户从以下位置添加工作资料:
“设置”。收到提示时,用户
扫描包含
signinEnrollmentToken的二维码,或输入 令牌。设备将打开步骤中指定的登录网址 1. - 个人拥有的设备:向用户提供注册令牌
链接,其中注册令牌是
signinEnrollmentToken。设备将打开指定的登录网址 。
- 公司自有设备:启用新设备或恢复出厂设置后
将
检查 Google 是否已对用户进行身份验证。获取设备 使用 GET 参数获取配置信息(设备注册期间)
provisioningInfo,然后检查该字段的值authenticatedUserEmail。如果此字段中包含值,则表示用户 已成功通过 Google 的身份验证,您就可以使用此身份 而无需进一步进行身份验证如果 Google 尚未对用户进行身份验证,则您的登录网址 应提示用户输入其凭据。根据他们的身份,您可以 可以确定适当的策略并获取设备配置 使用 GET 参数(在设备注册期间)获取相关信息
provisioningInfo。调用
enrollmentTokens.create,并指定适当的policyId根据用户的凭据确定返回在第 5 步中使用网址重定向生成的注册令牌(在 表单
https://enterprise.google.com/android/enroll?et=<token>。
二维码方法
Android 7.0 及更高版本
如要配置公司自有设备,您可以生成二维码 并在 EMM 控制台中显示该 ID:
- 在新设备或恢复出厂设置的设备上,用户(通常是 IT 管理员)点按 同时查看六次屏幕这会触发设备提示 用户扫描二维码。
- 用户扫描您在管理控制台中显示的二维码(或 以注册和配置设备。
NFC 方法
Android 6.0 及更高版本
此方法要求您创建一个 NFC 编程器应用,其中包含 注册令牌、初始政策和 Wi-Fi 配置、设置以及所有 您的客户为预配其完整服务 受管理设备或专用设备当您或您的客户安装 NFC 时 程序员应用,则该设备会成为程序员。 设备。
有关如何支持 NFC 方法的详细指南,请参阅 Play EMM API 开发者 文档。该网站还提供了默认 推送的参数 NFC 触碰设备。要安装 Android Device Policy,请设置下载内容 设备管理软件包的安装位置:
https://play.google.com/managed/downloadManagingApp?identifier=setup
DPC 标识符方法
如果无法使用二维码或 NFC 添加 Android Device Policy,用户或 IT 管理员 可以按照以下步骤配置公司自有设备:
- 在新设备或恢复出厂设置的设备上,按照设置向导的步骤操作。
- 输入 Wi-Fi 登录详细信息,将设备连接到互联网。
- 在系统提示您登录时,输入 afw#setup,以便下载 Android 设备政策。
- 扫描二维码或手动输入注册令牌 配置设备
零触摸注册
Android 8.0 及更高版本 (Pixel 7.1+)
通过授权零触摸转销商购买的设备可以享受以下福利: 零触摸注册,这是一种简化的设备预配置方法, 在首次启动时自动进行配置
组织可以创建包含预配详情的配置, 其零触摸设备(通过零触摸注册门户) 或使用 EMM 控制台(请参阅零触摸客户 API)。首次 零触摸设备会检查是否已为其分配配置。如果是, 设备会下载 Android Device Policy,然后系统会完成 Android Device Policy 的设置 分配的设备使用其分配的配置中指定的配置 extra。
如果您的客户使用零触摸注册门户,他们需要 为每项配置选择 Android Device Policy 作为 EMM DPC 创建。有关如何使用该门户的详细说明,包括如何创建 以及为设备分配配置的功能,可在 Android Enterprise 中使用 帮助中心。
如果您希望客户直接从您的 Google Ads 账号
EMM 控制台,您需要集成零触摸客户 API。时间
创建配置时,您需要在
dpcExtras 字段。以下 JSON 代码段基本示例显示了
包含在 dpcExtras 中,并添加一个登录令牌。
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
}
}
在设置过程中启动应用
setupActions 启动应用
。在 policies 中,您可以指定要让 Android Device Policy 启动一个应用
在设备或工作资料设置期间自动登录例如,您可以启动一个 VPN 应用
用户可以在设置过程中配置 VPN 设置。应用必须
返回 RESULT_OK 以发出信号指示,并允许 Android Device Policy
完成设备或工作资料配置。如需在设置期间启动应用,请执行以下操作:
确保应用的 installType 为 REQUIRED_FOR_SETUP。如果应用无法
则配置将失败。
{
"applications":[
{
"packageName":"com.my.vpnapp.",
"installType":"REQUIRED_FOR_SETUP"
}
]
}
将应用的软件包名称添加到 setupActions。使用 title 和 description 执行以下操作:
指定面向用户的说明
{
"setupActions":[
{
"title":{
"defaultMessage":"Configure VPN"
},
"description":{
"defaultMessage":"Enable your VPN client to access corporate resources."
},
"launchApp":{
"packageName":"com.my.vpnapp."
}
}
]
}
为了区分应用是从 launchApp 启动的,当前运行的 activity
包含布尔 intent extra 首次作为应用的一部分启动
com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION(设置为
true)。利用此 extra,您可以根据应用是否属于
从 setupActions 启动或由用户启动。
应用返回 RESULT_OK 后,Android Device Policy 会完成所有剩余的设备规范。
配置设备或工作资料所需的步骤。
在设置期间取消注册
作为 SetupAction 启动的应用可以取消注册(返回)
RESULT_CANCELED。
取消注册后,系统会重置公司自有设备或删除工作 个人资料。
注意:取消注册会在没有用户的情况下触发操作 确认对话框。应用有责任显示适当的 错误对话框。
将政策应用于新注册的设备
将政策应用于新注册的设备由您自己决定, 客户的需求下面介绍了 使用:
(推荐)创建注册令牌时,可以指定 政策的名称 (
policyName),该政策最初将关联到 设备。当您使用令牌注册设备时,系统会自动设置政策 应用于设备将政策设为企业的默认政策。如果没有政策名称 并且有一项名为
enterprises/<enterprise_id>/policies/default,每台新设备 在注册时自动关联到默认政策。订阅 Cloud Pub/Sub 主题 接收有关新注册设备的通知。在响应
ENROLLMENT通知,调用enterprises.devices.patch至 将设备与政策相关联。
注册没有政策的设备
如果设备在注册时未设置有效政策,系统会将该设备放入 隔离。被隔离的设备在 设备已关联到政策。
如果设备在五分钟内未关联政策,则设备注册 出现故障,设备将恢复出厂设置。通过隔离设备状态,您可以 有机会实施许可检查或其他注册验证 纳入解决方案流程。
许可检查工作流程示例
- 设备在注册时没有默认政策或特定政策。
- 查看企业的剩余许可数量。
- 如果有可用许可,请使用
devices.patch附加 政策,然后减少许可数量。如果没有 许可可用,请使用devices.patch停用设备。 另外,API 会将任何未连接到 政策。