Bir cihazı kaydettirme ve temel hazırlığını yapma

Temel hazırlık, enterprise tarafından policies kullanılarak yönetilecek bir cihaz ayarlama işlemidir. Bu işlem sırasında bir cihaz, policies'i almak ve uygulamak için kullanılan Android Device Policy'yi yükler. Temel hazırlık başarılı olursa API bir devices nesnesi oluşturarak cihazı bir kuruluşa bağlar.

Android Management API, temel hazırlık işlemini tetiklemek için kayıt jetonlarını kullanır. Kullandığınız kayıt jetonu ve temel hazırlık yöntemi, cihazın sahipliğini (kişiye ait veya şirkete ait) ve yönetim modunu (iş profili veya tümüyle yönetilen cihaz) belirler.

Şahıslara ait cihazlar

Android 5.1 ve sonraki sürümler

Çalışanlara ait cihazların kurulumu bir iş profiliyle yapılabilir. İş profili, iş uygulamaları ve verileri için kişisel uygulama ve verilerden ayrı olarak bağımsız bir alan sağlar. Çoğu uygulama, veri ve diğer yönetim policies yalnızca iş profili için geçerlidir. Çalışanın kişisel uygulamaları ve verileri ise gizli kalır.

Şahıslara ait bir cihazda iş profili oluşturmak için kayıt jetonu oluşturun (allowPersonalUsage öğesinin PERSONAL_USAGE_ALLOWED olarak ayarlandığından emin olun) ve aşağıdaki temel hazırlık yöntemlerinden birini kullanın:

İş ve kişisel kullanım için şirkete ait cihazlar

Android 8 ve sonraki sürümler

Şirkete ait bir cihazın iş profili ile ayarlanması cihazın hem iş amaçlı hem de kişisel kullanıma uygun olmasını sağlar. İş profillerine sahip şirkete ait cihazlarda:

Şirkete ait bir cihazı iş profiliyle kurmak için kayıt jetonu oluşturun (allowPersonalUsage öğesinin PERSONAL_USAGE_ALLOWED olarak ayarlandığından emin olun) ve aşağıdaki temel hazırlık yöntemlerinden birini kullanın:

Yalnızca iş amaçlı kullanıma yönelik şirkete ait cihazlar

Android 5.1 ve sonraki sürümler

Tam cihaz yönetimi, yalnızca iş amaçlı kullanıma yönelik, şirkete ait cihazlar için uygundur. Kuruluşlar cihazdaki tüm uygulamaları yönetebilir ve Android Management API politikaları ve komutlarının tamamını zorunlu kılabilir.

Ayrıca, özel bir amaca veya kullanım alanına hizmet etmek için bir cihazı tek bir uygulamaya veya küçük bir uygulama grubuna kilitleyebilirsiniz (politika aracılığıyla). Tamamen yönetilen bu cihaz alt kümesine özel cihazlar adı verilir.

Şirkete ait bir cihazda tam yönetimi ayarlamak için bir kayıt jetonu oluşturun (allowPersonalUsage öğesinin PERSONAL_USAGE_DISALLOWED olarak ayarlandığından emin olun) ve aşağıdaki temel hazırlık yöntemlerinden birini kullanın:

Politikalar, cihaz temel hazırlığı sırasında kullanıcı arayüzünün oluşturulmasını etkileyebilir. Bu politikalar şunlardır:

Cihaz temel hazırlığı sırasında iş uygulamalarının ve cihaz kayıt kartlarının yüklenmesiyle birlikte şifre adımlarının gösterilmesini istiyorsanız, kullanıcı arayüzü oluşturma işleminin başlatılmasını geciktirecek şekilde politikaları güncellemenizi öneririz. Bunu yapmak için cihazı karantina durumunda tutun. Bu işlem, ilişkili bir politika olmadan kayıtlıysa kurulum ihtiyaçlarınızla alakalı öğelerle doldurulan cihaz kurulumu için seçilen son politika belirtilene kadar gerçekleşir. Cihazın temel hazırlığı tamamlandığında, politikayı gereken şekilde değiştirebilirsiniz.

Kayıt jetonu oluşturma

Android Yönetimi'ne genel bakış.
Şekil 1. "policy1" politikasını cihazları kaydeden ve uygulayan bir jeton oluşturun. 1.800 saniye (30 dakika) sonra jetonun süresi dolar.

Kaydetmek istediğiniz her cihaz için bir kayıt jetonuna ihtiyacınız vardır (aynı jetonu birden fazla cihaz için kullanabilirsiniz). Kayıt jetonu istemek için enterprises.enrollmentTokens.create çağrısı yapın. Kayıt jetonlarının süresi varsayılan olarak bir saat sonra dolar ancak yaklaşık 10.000 yıla kadar olan bir özel geçerlilik süresi (duration) belirtebilirsiniz.

Başarılı bir istek, BT yöneticileri ile son kullanıcılarının cihazların temel hazırlığını yapmak için kullanabilecekleri enrollmentTokenId ve qrcode içeren bir enrollmentToken nesnesi döndürür.

Politika belirtin

Bir cihazın kaydedildiği sırada bir politikanın uygulanması için istekte policyName belirtebilirsiniz. policyName belirtmezseniz Politika olmadan cihaz kaydettirme bölümüne bakın.

Kişisel kullanımı belirtin

allowPersonalUsage, temel hazırlık sırasında cihaza bir iş profilinin eklenip eklenemeyeceğini belirler. Kullanıcıların iş profili oluşturmasına izin vermek için bu değeri PERSONAL_USAGE_ALLOWED olarak ayarlayın (Şahıslara ait cihazlar için gereklidir, şirkete ait cihazlar için isteğe bağlıdır).

QR Kodları hakkında

QR kodları, pek çok farklı politikayı sürdüren işletmeler için verimli bir cihaz temel hazırlık yöntemi olarak işlev görür. enterprises.enrollmentTokens.create ürününden döndürülen QR Kodu, bir kayıt jetonunu ve Android Device Policy'nin bir cihazı sağlaması için gereken tüm bilgileri içeren anahtar/değer çiftleri yükünden oluşur.

Örnek QR kodu paketi

Paket, Android Device Policy'nin indirme konumunu ve bir kayıt jetonunu içerir.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Doğrudan enterprises.enrollmentTokens.create tarafından gönderilen QR kodunu kullanabilir veya özelleştirebilirsiniz. QR kodu paketine ekleyebileceğiniz özelliklerin tam listesi için QR kodu oluşturma bölümüne bakın.

qrcode dizesini taranabilir bir QR Koduna dönüştürmek için ZXing gibi bir QR Kodu oluşturma aracı kullanın.

Temel hazırlık yöntemleri

Bu bölümde, cihaz temel hazırlığı için farklı yöntemler açıklanmaktadır.

"Ayarlar"dan iş profili ekleme

Android 5.1 ve sonraki sürümler

Kullanıcılar, cihazlarında iş profili oluşturmak için şunları yapabilir:

  1. Ayarlar > Google > Kurulum ve geri yükleme'ye gidin.
  2. İş profilinizi oluşturun'a dokunun.

Bu adımlar, cihaza Android Device Policy'yi indiren bir kurulum sihirbazı başlar. Daha sonra, iş profili kurulumunu tamamlamak için kullanıcıdan bir QR kodu taraması veya manuel olarak bir kayıt jetonu girmesi istenir.

Android Device Policy'yi indirin

Android 5.1 ve sonraki sürümler

Kullanıcı, cihazında bir iş profili oluşturmak için Google Play Store'dan Android Device Policy'yi indirebilir. Uygulama yüklendikten sonra kullanıcıdan QR kodu girmesi veya iş profili kurulumunu tamamlamak için manuel olarak bir kayıt jetonu girmesi istenir.

Android 5.1 ve sonraki sürümler

enrollmentTokens.create veya kuruluşun signinEnrollmentToken öğesinden döndürülen kayıt jetonunu kullanarak aşağıdaki biçimde bir URL oluşturun:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Bu URL'yi, son kullanıcılarına sağlayabilecek BT yöneticilerine sağlayabilirsiniz. Bir son kullanıcı, cihazından bağlantıyı açtığında iş profili kurulumu boyunca yönlendirilir.

Oturum açma URL'si

Bu yöntemle, kullanıcılara kimlik bilgilerini isteyen bir URL sağlanır. Cihaz temel hazırlığı işlemine devam etmeden önce, kullanıcının kimlik bilgilerine dayanarak kullanıcı için uygun politikayı hesaplayabilirsiniz. Örneğin:

  1. enterprises.signInDetails[] hizmetinde oturum açma URL'nizi belirtin. Bir kullanıcının iş profili oluşturmasına izin vermek istiyorsanız allowPersonalUsage değerini PERSONAL_USAGE_ALLOWED olarak ayarlayın (Şahıslara ait cihazlar için gereklidir, şirkete ait cihazlar için isteğe bağlıdır).

    Bu işlem sonucunda elde edilen signinEnrollmentToken değerini bir QR koduna, NFC yüküne veya El değmeden kayıt yapılandırması için fazladan temel hazırlık olarak ekleyin. Alternatif olarak signinEnrollmentToken öğesini kullanıcılara doğrudan sağlayabilirsiniz.

  2. Aşağıdakilerden birini seçin:

    1. Şirkete ait cihazlar: Yeni veya fabrika ayarlarına sıfırlanmış bir cihazı açtıktan sonra signinEnrollmentToken cihazını cihaza iletin (QR kodu, NFC dokundurma vb. aracılığıyla) veya kullanıcılardan jetonu manuel olarak girmelerini isteyin. Cihaz, 1. adımda belirtilen oturum açma URL'sini açar.
    2. Şahıslara ait cihazlar: Kullanıcılardan "Ayarlar"dan iş profili eklemelerini isteyin. İstendiğinde kullanıcı signinEnrollmentToken kodunu içeren QR kodunu tarar veya jetonu manuel olarak girer. Cihaz, 1. Adım'da belirtilen oturum açma URL'sini açar.
    3. Şahıslara ait cihazlar: Kullanıcılara, kayıt jetonunun signinEnrollmentToken olduğu bir kayıt jetonu bağlantısı sağlayın. Cihaz, 1. Adımda belirtilen oturum açma URL'sini açar.

  3. Oturum açma URL'niz, kullanıcılardan kimlik bilgilerini girmelerini isteyecektir. Kimliğine bağlı olarak, GET parametresini provisioningInfo kullanarak uygun politikayı belirleyebilir ve cihaz temel hazırlığı bilgilerini (cihaz kaydı sırasında) alabilirsiniz.

  4. Kullanıcının kimlik bilgilerine göre uygun policyId değerini belirterek enrollmentTokens.create yöntemini çağırın.

  5. URL yönlendirmesi kullanarak 4. adımda oluşturulan kayıt jetonunu https://enterprise.google.com/android/enroll?et=<token> biçiminde döndürün.

QR kodu yöntemi

Android 7.0 ve sonraki sürümler

Şirkete ait bir cihazın temel hazırlığını yapmak için bir QR kodu oluşturabilir ve bu kodu EMM konsolunuzda görüntüleyebilirsiniz:

  1. Yeni veya fabrika ayarlarına sıfırlanmış bir cihazda, kullanıcı (genellikle bir BT yöneticisi) ekrana aynı noktada altı kez dokunur. Bu işlem, cihazı tetikleyerek kullanıcıdan QR kodunu taramasını ister.
  2. Kullanıcı, cihazı kaydettirmek ve temel hazırlığını yapmak için yönetim konsolunuzda (veya benzer bir uygulamada) görüntülediğiniz QR kodunu tarar.

NFC yöntemi

Android 6.0 ve sonraki sürümler

Bu yöntem; kayıt jetonu, ilk politikalar, kablosuz ağ yapılandırması, ayarlar ve tamamen yönetilen veya özel bir cihaz sağlamak için müşterinizin gerektirdiği diğer tüm temel hazırlık ayrıntılarını içeren bir NFC programcı uygulaması oluşturmanızı gerektirir. Siz veya müşteriniz NFC programcı uygulamasını Android destekli bir cihaza yüklediğinde bu cihaz programcı cihaz olur.

NFC yönteminin nasıl destekleneceğiyle ilgili ayrıntılı yönergeleri Play EMM API geliştirici belgelerinde bulabilirsiniz. Site, NFC dokundurma özelliğiyle bir cihaza aktarılan varsayılan parametrelerin örnek kodunu da içerir. Android Device Policy'yi yüklemek için cihaz yönetim paketinin indirme konumunu şu şekilde ayarlayın:

https://play.google.com/managed/downloadManagingApp?identifier=setup

DPC tanımlayıcı yöntemi

Android Device Policy, QR Kodu veya NFC kullanılarak eklenemiyorsa bir kullanıcı ya da BT yöneticisi şirkete ait bir cihazın temel hazırlığını yapmak için aşağıdaki adımları uygulayabilir:

  1. Yeni veya fabrika ayarlarına sıfırlanmış bir cihazda kurulum sihirbazını izleyin.
  2. Cihazı internete bağlamak için kablosuz ağ giriş bilgilerini girin.
  3. Oturum açmanız istendiğinde, Android Device Policy uygulamasını indiren afw#setup ifadesini girin.
  4. Cihazın temel hazırlığını yapmak için bir QR kodu tarayın veya manuel olarak bir kayıt jetonu girin.

El değmeden kayıt

Android 8.0 ve sonraki sürümler (Pixel 7.1 ve sonraki sürümler)

Yetkili bir el değmeden kayıt bayisinden satın alınan cihazlar el değmeden kayıt için uygundur. Bu yöntem, cihazların ilk başlatmada temel hazırlığını otomatik olarak yapacak şekilde önceden yapılandırılmasını sağlayan basit bir yöntemdir.

Kuruluşlar, el değmeden kayıt portalı veya EMM konsolunuzu kullanarak el değmeden kayıt cihazlarının temel hazırlık ayrıntılarını içeren yapılandırmalar oluşturabilir (El değmeden kayıt özellikli müşteri API'sine göz atın). El değmeden kayıt cihazı, ilk başlatmada kendisine bir yapılandırma atanıp atanmadığını kontrol eder. Bu durumda cihaz, Android Device Policy'yi indirir ve daha sonra bu cihaz, atanan yapılandırmasında belirtilen temel hazırlık ek özelliklerini kullanarak cihazın kurulumunu tamamlar.

El değmeden kayıt portalını kullanan müşterilerinizin, oluşturdukları her yapılandırma için EMM DPC'si olarak Android Device Policy'yi seçmeleri gerekir. Yapılandırma oluşturma ve cihazlara atama dahil olmak üzere portalın nasıl kullanılacağıyla ilgili ayrıntılı talimatları Android Enterprise yardım merkezinde bulabilirsiniz.

Müşterilerinizin, yapılandırmaları doğrudan EMM konsolunuzdan ayarlayıp atamasını tercih ediyorsanız el değmeden kayıt özellikli müşteri API'si ile entegrasyon gerçekleştirmeniz gerekir. Bir yapılandırma oluştururken, temel hazırlık ekstralarını dpcExtras alanında belirtirsiniz. Aşağıdaki JSON snippet'i, ek bir oturum açma jetonuyla birlikte dpcExtras öğesine nelerin dahil edileceğine dair temel bir örnek gösterir.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Kurulum sırasında bir uygulamayı başlatma

kurulum işlemi
Şekil 2. Kurulum sırasında uygulama başlatmak için setupActions uygulamasını kullanın.

policies içinde, cihaz veya iş profili kurulumu sırasında Android Device Policy'nin başlatılması için bir uygulama belirtebilirsiniz. Örneğin, kullanıcıların kurulum işleminin bir parçası olarak VPN ayarlarını yapılandırabilmeleri için bir VPN uygulaması başlatabilirsiniz. Uygulama, tamamlandı sinyalini vermek için RESULT_OK kodunu döndürmeli ve Android Device Policy'nin cihaz veya iş profili temel hazırlığını tamamlamasına izin vermelidir. Kurulum sırasında bir uygulamayı başlatmak için:

Uygulamanın installType değerinin REQUIRED_FOR_SETUP olduğundan emin olun. Uygulama cihaza yüklenemez veya başlatılamazsa temel hazırlık başarısız olur.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Uygulamanın paket adını setupActions öğesine ekleyin. Kullanıcılara yönelik talimatları belirtmek için title ve description öğelerini kullanın.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Bir uygulamanın launchApp lansmanından ayırt edilmesini sağlamak için, ilk olarak uygulamanın bir parçası olarak başlatılan etkinlik ekstra com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION boole intent'ini (true olarak ayarlandı) içerir. Bu ekstra özellik, uygulamanızı setupActions tarafından mı yoksa bir kullanıcı tarafından mı başlatıldığına bağlı olarak özelleştirmenize olanak tanır.

Uygulama RESULT_OK cihazını döndürdükten sonra Android Device Policy, cihaz veya iş profilinin temel hazırlığını yapmak için gereken diğer adımları tamamlar.

Kurulum sırasında kaydı iptal et

SetupAction olarak başlatılan uygulama, RESULT_CANCELED tarihine kadarki kaydı iptal edebilir.

Kaydın iptal edilmesi şirkete ait cihazı sıfırlar veya kişiye ait bir cihazdaki iş profilini siler.

Not: Kaydın iptal edilmesi kullanıcının onay iletişim kutusu olmadan işlemi tetikler. Sonuç döndürmeden önce kullanıcıya uygun bir hata iletişim kutusu göstermek uygulamanın sorumluluğudur.

Yeni kaydedilen cihazlara politika uygulama

Yeni kaydolan cihazlara politika uygulamak için kullanacağınız yöntem, size ve müşterilerinizin koşullarına bağlıdır. Kullanabileceğiniz farklı yaklaşımlar şunlardır:

  • (Önerilir) Kayıt jetonu oluştururken başlangıçta cihaza bağlanacak politikanın adını (policyName) belirtebilirsiniz. Bir cihazı jetona kaydettiğinizde politika cihaza otomatik olarak uygulanır.

  • Politikayı kuruluşlar için varsayılan politika olarak ayarlayabilirsiniz. Kayıt jetonunda politika adı belirtilmemişse ve enterprises/<enterprise_id>/policies/default adında bir politika varsa her yeni cihaz kayıt sırasında otomatik olarak varsayılan politikaya bağlanır.

  • Yeni kaydedilen cihazlar hakkında bildirim almak için Cloud Pub/Sub konusuna abone olun. ENROLLMENT bildirimine yanıt olarak, cihazı bir politikaya bağlamak için enterprises.devices.patch numaralı telefonu arayın.

Politika olmadan cihaz kaydettirme

Geçerli bir politika olmadan kaydedilen cihazlar karantinaya alınır. Cihaz bir politikaya bağlanana kadar karantinaya alınan cihazlar tüm cihaz işlevlerinde engellenir.

Bir cihaz beş dakika içinde bir politikaya bağlanmazsa cihaz kaydı başarısız olur ve cihaz fabrika ayarlarına sıfırlanır. Cihazı karantinaya alma durumu, çözümünüzün bir parçası olarak lisans denetimleri veya diğer kayıt doğrulama işlemlerini uygulama fırsatı sunar.

Örnek lisanslama kontrolü iş akışı

  1. Cihaz, varsayılan bir politika veya belirli bir politika olmadan kaydedildi.
  2. Kuruluşun kaç lisansı kaldığını kontrol edin.
  3. Kullanılabilir lisans varsa devices.patch kullanarak cihaza bir politika ekleyin ve ardından lisans sayınızı azaltın. Kullanılabilir lisans yoksa cihazı devre dışı bırakmak için devices.patch uygulamasını kullanın. Alternatif olarak, API bir politikaya bağlı olmayan cihazları kayıttan sonraki beş dakika içinde fabrika ayarlarına sıfırlar.