Ta strona została przetłumaczona przez Cloud Translation API.

Rejestrowanie i udostępnianie urządzenia

Prowizjonowanie to proces konfigurowania urządzenia do zarządzania za pomocą policies przez enterprise. W trakcie tego procesu urządzenie instaluje aplikację Android Device Policy, która służy do odbierania i wymuszania policies. Jeśli alokacja zakończy się powodzeniem, interfejs API utworzy obiekt devices, który powiąże urządzenie z firmą.

Android Management API używa tokenów rejestracji do uruchamiania procesu obsługi. Używany token rejestracji i metoda obsługi ustalają własność urządzenia (osobiste lub firmowe) oraz tryb zarządzania (profil służbowy lub w pełni zarządzane urządzenie).

Urządzenia osobiste

Android 5.1 lub nowszy

Urządzenia należące do pracowników można skonfigurować z profilem służbowym. Profil służbowy zapewnia osobne miejsce na służbowe aplikacje i dane, oddzielone od osobistych aplikacji i danych. Większość funkcji zarządzania aplikacjami, danymi i innymi policies dotyczy tylko profilu służbowego, a aplikacje i dane osobiste pracownika pozostają prywatne.

Aby skonfigurować profil służbowy na urządzeniu osobistym, utwórz token rejestracji (upewnij się, że wartość allowPersonalUsage jest ustawiona na PERSONAL_USAGE_ALLOWED) i użyj jednej z tych metod obsługi:

Dodawanie profilu do pracy w sekcji „Ustawienia”
Pobieranie aplikacji Android Device Policy
Link do tokena rejestracji
URL logowania

Urządzenia należące do firmy, których można używać do celów służbowych i prywatnych

Android 8 lub nowszy

Konfigurowanie urządzenia należącego do firmy z profilem służbowym umożliwia korzystanie z urządzenia zarówno do celów służbowych, jak i osobistych. Na urządzeniach należących do firmy z profilami służbowymi:

Większość funkcji zarządzania aplikacjami, danymi i innymi policies dotyczy tylko profilu służbowego.
Profil osobisty pracownika pozostaje prywatny. Firmy mogą jednak egzekwować niektóre zasady dotyczące całego urządzenia i zasady dotyczące osobistego użytkowania.
Firmy mogą używać blockScope do egzekwowania działań związanych z przestrzeganiem zasad na całym urządzeniu lub tylko na profilu służbowym.
devices.deletei polecenia urządzenia mają zastosowanie do całego urządzenia.

Aby skonfigurować urządzenie należące do firmy z profilem służbowym, utwórz token rejestracji (upewnij się, że allowPersonalUsage ma wartość PERSONAL_USAGE_ALLOWED) i użyj jednej z tych metod obsługi:

Rejestracja typu Zero-Touch
Kod QR
URL logowania
Identyfikator DPC

Urządzenia należące do firmy, przeznaczone tylko do pracy

Android 5.1 lub nowszy

Pełne zarządzanie urządzeniami jest odpowiednie w przypadku urządzeń należących do firmy, które są przeznaczone tylko do użytku służbowego. Firmy mogą zarządzać wszystkimi aplikacjami na urządzeniu oraz stosować pełne zasady i polecenia interfejsu API zarządzania Androidem.

Można też zablokować urządzenie (za pomocą zasad) w taki sposób, aby można było na nim uruchamiać tylko jedną aplikację lub mały zestaw aplikacji, które służą do określonego celu lub przypadku użycia. Ten podzbiór w pełni zarządzanych urządzeń jest nazywany urządzeniami specjalnymi. Tokeny rejestracji tych urządzeń muszą mieć wartość allowPersonalUsage ustawioną na PERSONAL_USAGE_DISALLOWED_USERLESS.

Aby skonfigurować pełne zarządzanie na urządzeniu należącym do firmy, utwórz token rejestracji, upewniając się, że allowPersonalUsage ma wartość PERSONAL_USAGE_DISALLOWED lub PERSONAL_USAGE_DISALLOWED_USERLESS, a następnie użyj jednej z podanych niżej metod wdrożenia.

Rejestracja typu Zero-Touch
Kod QR
URL logowania (niedostępne na urządzeniach dedykowanych)
NFC
Identyfikator DPC

Zasady mogą wpływać na generowanie interfejsu podczas obsługiwania urządzenia. Te zasady to:

PasswordPolicyScope: określa wymagania dotyczące hasła.
PermittedInputMethods: to ustawienie określa metody wprowadzania pakietów.
PermittedAccessibilityServices: to ustawienie określa, które usługi ułatwień dostępu są dozwolone na w pełni zarządzanych urządzeniach i w profilu służbowym.
SetupActions: określa, jakie działania są wykonywane podczas konfiguracji.
ApplicationsPolicy: określa zasady dotyczące pojedynczej aplikacji.

Jeśli chcesz, aby podczas obsługiwania urządzenia wyświetlały się czynności związane z hasłem, a także aplikacje służbowe i karty rejestracji urządzenia, zalecamy zaktualizowanie zasad, aby opóźnić inicjowanie generowania interfejsu użytkownika. W tym celu należy utrzymać urządzenie w stanie kwarantanny, który występuje, gdy urządzenie jest zarejestrowane bez powiązanych zasad, do czasu podania wybranej zasady konfiguracji urządzenia wypełnionej elementami odpowiednimi do potrzeb konfiguracji. Po zakończeniu obsługi urządzenia możesz zmienić zasady w razie potrzeby.

Tworzenie tokena rejestracji

Omówienie zarządzania urządzeniami z Androidem — **Rysunek 1.** Utwórz token, który rejestruje urządzenia i stosuje zasadę „policy1”. Po 1800 sekundach (30 minutach) token wygasa.

Potrzebujesz tokena rejestracji dla każdego urządzenia, które chcesz zarejestrować (na różnych urządzeniach możesz używać tego samego tokena). Aby poprosić o token rejestracji, zadzwoń pod numer enterprises.enrollmentTokens.create. Domyślnie tokeny rejestracji wygasają po upływie jednej godziny, ale możesz określić niestandardowy czas ważności (duration) do około 10 tysięcy lat.

Pomyślne przesłanie żądania powoduje zwrócenie obiektu enrollmentToken zawierającego enrollmentTokenId i qrcode, których administratorzy IT i użytkownicy mogą używać do konfigurowania urządzeń.

Określanie zasady

Możesz też określić policyName w prośbie, aby zastosować zasady w tym samym czasie, gdy urządzenie jest rejestrowane. Jeśli nie określisz policyName, zapoznaj się z artykułem Rejestrowanie urządzenia bez zasad.

Określ użycie osobiste

allowPersonalUsage określa, czy profil służbowy może zostać dodany do urządzenia podczas obsługi. Ustaw na PERSONAL_USAGE_ALLOWED, aby umożliwić użytkownikowi utworzenie profilu służbowego (wymagane w przypadku urządzeń należących do użytkownika, opcjonalne w przypadku urządzeń należących do firmy).

Informacje o kodach QR

Kody QR to skuteczna metoda dostarczania urządzeń w przypadku firm, które stosują wiele różnych zasad. Kod QR zwracany przez enterprises.enrollmentTokens.create składa się z ładunku par klucz-wartość zawierających token rejestracji i wszystkie informacje potrzebne do obsługi przez zasady urządzenia z Androidem.

Przykładowy pakiet kodu QR

Pakiet zawiera lokalizację pobierania Android Device Policy i token rejestracji.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Kod QR zwrócony przez enterprises.enrollmentTokens.create możesz użyć bezpośrednio lub dostosować. Pełną listę usług, które możesz uwzględnić w pakiecie kodu QR, znajdziesz w artykule Tworzenie kodu QR.

Aby przekonwertować ciąg qrcode na kod QR, który można zeskanować, użyj generatora kodów QR, takiego jak ZXing.

Metody obsługi administracyjnej

W tej sekcji opisano różne metody obsługiwania urządzenia.

Dodawanie profilu służbowego w sekcji „Ustawienia”

Android 5.1 lub nowszy

Aby skonfigurować profil służbowy na urządzeniu, użytkownik może:

Kliknij Ustawienia > Google > Konfiguracja i przywracanie.
Kliknij Skonfiguruj profil służbowy.

Te czynności inicjują kreatora konfiguracji, który pobiera aplikację Android Device Policy na urządzenie. Następnie użytkownik zobaczy prośbę o zeskanowanie kodu QR lub ręczne wpisanie tokenu rejestracji, aby dokończyć konfigurowanie profilu służbowego.

Pobieranie aplikacji Android Device Policy

Android 5.1 lub nowszy

Aby skonfigurować profil służbowy na urządzeniu, użytkownik może pobrać Android Device Policy ze Sklepu Google Play. Po zainstalowaniu aplikacji użytkownik otrzyma prośbę o skanowanie kodu QR lub ręczne wpisanie tokena rejestracji, aby dokończyć konfigurowanie profilu służbowego.

Link do tokena rejestracji

Android 5.1 lub nowszy

Korzystając z tokenu rejestracji zwracanego przez enrollmentTokens.create lub signinEnrollmentToken w firmie, wygeneruj adres URL o takim formacie:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Możesz podać ten adres URL administratorom IT, którzy przekażą go użytkownikom. Gdy użytkownik otworzy link na swoim urządzeniu, zobaczy instrukcje konfigurowania profilu służbowego.

Adres URL logowania

W tym przypadku użytkownicy są kierowani na stronę, na której mogą podać dodatkowe informacje wymagane do przeprowadzenia wdrożenia. Na podstawie informacji podanych przez użytkownika możesz obliczyć odpowiednie zasady dla tego użytkownika, zanim przejdziesz do konfiguracji urządzenia. Na przykład:

W polu enterprises.signInDetails[] podaj adres URL logowania. Ustaw allowPersonalUsage na PERSONAL_USAGE_ALLOWED, jeśli chcesz zezwolić użytkownikowi na utworzenie profilu służbowego (wymagane w przypadku urządzeń należących do użytkownika, opcjonalne w przypadku urządzeń należących do firmy).

Dodaj utworzony identyfikator signinEnrollmentToken jako dodatkowy element konfiguracji do kodu QR, danych NFC lub konfiguracji bezdotykowej. Możesz też udostępnić signinEnrollmentToken bezpośrednio użytkownikom.
Wybierz opcję:
1. Urządzenia należące do firmy: po włączeniu nowego urządzenia lub urządzenia przywróconego do ustawień fabrycznych prześlij signinEnrollmentToken na urządzenie (za pomocą kodu QR, NFC lub NFC Bump) albo poproś użytkowników o ręczne wprowadzenie tokenu. Urządzenie otworzy adres URL logowania podany w kroku 1.
2. Urządzenia osobiste: poproś użytkowników o dodanie profilu służbowego w sekcji „Ustawienia”. Gdy pojawi się prośba, użytkownik zeskanuje kod QR zawierający signinEnrollmentToken lub wpisze token ręcznie. Urządzenie otworzy adres URL logowania podany w kroku 1.
3. Urządzenia należące do użytkowników: prześlij użytkownikom link do tokena rejestracji, gdzie tokenem rejestracji jest signinEnrollmentToken. Na urządzeniu otworzy się adres URL logowania podany w kroku 1.
Sprawdź, czy Google już uwierzytelnił użytkownika. Pobierz informacje o obsługi administracyjnej urządzenia (podczas rejestracji urządzenia) za pomocą parametru GET provisioningInfo i sprawdź, czy pole authenticatedUserEmail zawiera wartość. Jeśli w tym polu znajduje się wartość, oznacza to, że użytkownik został już uwierzytelniony przez Google i możesz używać tej tożsamości bez dodatkowego uwierzytelniania.
Jeśli Google nie uwierzytelnił jeszcze użytkownika, adres URL logowania powinien wyświetlać użytkownikom prośbę o podanie danych logowania. Na podstawie tożsamości użytkownika możesz określić odpowiednie zasady i uzyskać informacje o zarządzaniu urządzeniem (podczas rejestracji urządzenia) za pomocą parametru GET provisioningInfo.

Sprawdzona metoda: użyj dostawcy logowania jednokrotnego organizacji, aby uwierzytelnić dane logowania wprowadzone przez użytkowników w URL logowania (lub w dowolnym następnym przekierowaniu). Adresy URL logowania otwierają się na niestandardowej karcie w Chrome, a dane logowania jednokrotnego są zapisywane na potrzeby przyszłego logowania w aplikacji za pomocą autoryzacji aplikacji.
Wywołaj funkcję enrollmentTokens.create, podając odpowiednią wartość parametru policyId na podstawie danych logowania użytkownika.

Uwaga: pole allowPersonalUsage jest ignorowane, ponieważ jego wartość została już określona w polu enterprises.signInDetails[]. Nie można zmienić wartości dotyczącej osobistego wykorzystania podczas rejestracji.
Wróć token rejestracji wygenerowany w kroku 5 za pomocą przekierowania URL w formularzu https://enterprise.google.com/android/enroll?et=<token>.

Uwaga: jeśli użytkownik nie ma uprawnień do ukończenia procesu obsługi, możesz wyświetlić niestandardowe ekrany błędów i przekierować go na stronę https://enterprise.google.com/android/enroll/invalid, aby ułatwić mu zresetowanie urządzenia.

Metoda kodu QR

Android 7.0 lub nowszy

Aby skonfigurować urządzenie należące do firmy, możesz wygenerować kod QR i wyświetlić go w konsoli EMM:

Na nowym urządzeniu lub takim, na którym przywrócono ustawienia fabryczne, użytkownik (zwykle administrator IT) klika ekran 6 razy w tym samym miejscu. Pojawi się prośba o zeskanowanie kodu QR.
Użytkownik skanuje kod QR wyświetlany w konsoli administracyjnej (lub podobnej aplikacji), aby zarejestrować i skonfigurować urządzenie.

Metoda NFC

Android 6.0 lub nowszy

Ta metoda wymaga utworzenia aplikacji programisty NFC zawierającej token rejestracji, początkowe zasady i konfigurację Wi-Fi, ustawienia oraz wszystkie inne dane konfiguracyjne wymagane przez klienta do skonfigurowania w pełni zarządzanego lub dedykowanego urządzenia. Gdy Ty lub Twój klient zainstaluje aplikację programatora NFC na urządzeniu z Androidem, to urządzenie stanie się urządzeniem programatora.

Szczegółowe wskazówki dotyczące obsługi metody NFC znajdziesz w dokumentacji API EMM w Google Play dla deweloperów. Witryna zawiera też przykładowy kod ustawień domyślnych, które są przesyłane na urządzenie za pomocą NFC. Aby zainstalować Android Device Policy, ustaw lokalizację pobierania pakietu administratora urządzenia na:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Metoda identyfikatora DPC

Jeśli nie można dodać Android Device Policy za pomocą kodu QR lub NFC, użytkownik lub administrator IT może wykonać te czynności, aby skonfigurować urządzenie należące do firmy:

Postępuj zgodnie z instrukcjami w kreatorze konfiguracji na nowym urządzeniu lub urządzeniu z przywróconymi ustawieniami fabrycznymi.
Wpisz dane logowania do Wi-Fi, aby połączyć urządzenie z internetem.
Gdy pojawi się prośba o zalogowanie, wpisz afw#setup, aby pobrać Android Device Policy.
Aby skonfigurować urządzenie, zeskanuj kod QR lub ręcznie wpisz token rejestracji.

Rejestracja typu zero-touch

Android 8.0 lub nowszy (Pixel 7.1 lub nowszy)

Urządzenia zakupione u autoryzowanego sprzedawcy obsługującego rejestrację typu zero-touch mogą korzystać z rejestracji typu zero-touch, czyli uproszczonej metody wstępnej konfiguracji urządzeń, które automatycznie konfigurują się po pierwszym uruchomieniu.

Organizacje mogą tworzyć konfiguracje zawierające szczegóły obsługi administracyjnej swoich urządzeń z rejestracją typu zero-touch, korzystając z portalu rejestracji typu zero-touch lub konsoli EMM (patrz interfejs API dla klientów korzystających z rejestracji typu zero-touch). Przy pierwszym uruchomieniu urządzenie obsługujące rejestrację typu zero-touch sprawdza, czy ma przypisaną konfigurację. Jeśli tak, urządzenie pobierze aplikację Android Device Policy, która następnie przeprowadzi konfigurację urządzenia przy użyciu dodatkowych funkcji obsługi administracyjnej określonych w przypisanej konfiguracji.

Jeśli Twoi klienci korzystają z portalu rejestracji typu zero-touch, muszą wybrać Android Device Policy jako kontroler zasad dotyczących urządzeń (DPC) dla każdej tworzonej konfiguracji. Szczegółowe instrukcje korzystania z portalu, w tym informacje o tworzeniu i przypisywaniu konfiguracji do urządzeń, znajdziesz w Centrum pomocy Androida Enterprise.

Jeśli wolisz, aby klienci konfigurowali i przypisywali konfiguracje bezpośrednio w konsoli EMM, musisz zintegrować się z interfejsem API obsługującym rejestrację typu zero-touch. Podczas tworzenia konfiguracji w polu dpcExtras podajesz dodatkowe informacje dotyczące obsługi administracyjnej. Ten fragment kodu JSON zawiera podstawowy przykład tego, co należy uwzględnić w dpcExtras, z dodatkowym tokenem logowania.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Uruchamianie aplikacji podczas konfiguracji

setupaction — **Rysunek 2.** Użyj `setupActions`, aby uruchomić aplikację podczas konfiguracji.

W policies możesz określić jedną aplikację, którą Android Device Policy ma uruchamiać podczas konfigurowania urządzenia lub profilu służbowego. Możesz na przykład uruchomić aplikację VPN, aby użytkownicy mogli skonfigurować ustawienia VPN w ramach procesu konfiguracji. Aplikacja musi zwrócić wartość RESULT_OK, aby zasygnalizować zakończenie i zezwolić aplikacji Android Device Policy na dokończenie obsługi urządzenia lub profilu służbowego. Aby uruchomić aplikację podczas konfiguracji:

Upewnij się, że installType aplikacji to REQUIRED_FOR_SETUP. Jeśli nie można zainstalować aplikacji lub uruchomić jej na urządzeniu, alokacja nie powiedzie się.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Dodaj nazwę pakietu aplikacji do setupActions. Użyj właściwości title i description, aby określić instrukcje dla użytkownika.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Aby odróżnić, że aplikacja została uruchomiona z poziomu launchApp, aktywność, która została uruchomiona jako część aplikacji, zawiera dodatkowy parametr intencji logicznej com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (ustawiony na true). Ten dodatkowy parametr umożliwia dostosowanie aplikacji w zależności od tego, czy została uruchomiona z poziomu setupActions, czy przez użytkownika.

Gdy aplikacja zwróci odpowiedź RESULT_OK, Android Device Policy wykona pozostałe kroki wymagane do wdrożenia urządzenia lub profilu służbowego.

Anulowanie rejestracji podczas konfiguracji

Aplikacja uruchomiona jako SetupAction może anulować rejestrację z powrotemRESULT_FIRST_USER.

Anulowanie rejestracji powoduje zresetowanie urządzenia należącego do firmy lub usunięcie profilu służbowego na urządzeniu osobistym.

Uwaga: anulowanie rejestracji powoduje wykonanie działania bez wyświetlania użytkownikowi okna potwierdzenia. Aplikacja musi wyświetlić użytkownikowi odpowiednie okno z błędem przed powrotem do RESULT_FIRST_USER.

Stosowanie zasad na nowo zarejestrowanych urządzeniach

Metoda stosowania zasad na nowo zarejestrowanych urządzeniach zależy od Ciebie i wymagań klientów. Oto różne podejścia, których możesz użyć:

(Zalecane) Podczas tworzenia tokena rejestracji możesz określić nazwę zasad (policyName), która zostanie początkowo powiązana z urządzeniem. Gdy zarejestrujesz urządzenie za pomocą tokena, zasady zostaną automatycznie zastosowane na urządzeniu.
Ustaw zasadę jako domyślną zasadę dla przedsiębiorstwa. Jeśli w tokenie rejestracji nie ma nazwy zasady, a istnieje zasada o nazwie enterprises/<enterprise_id>/policies/default, każde nowe urządzenie jest automatycznie łączone z domyślną zasadą w momencie rejestracji.
Zasubskrybuj temat Cloud Pub/Sub, aby otrzymywać powiadomienia o nowo zarejestrowanych urządzeniach. W odpowiedzi na powiadomienie ENROLLMENT zadzwoń pod numer enterprises.devices.patch, aby połączyć urządzenie z zasadami.

Rejestrowanie urządzenia bez zasad

Jeśli urządzenie zostanie zarejestrowane bez prawidłowej zasady, zostanie umieszczone w kwarantanie. Urządzenia poddane kwarantannie są blokowane pod względem wszystkich funkcji, dopóki nie zostaną połączone z zasadą.

Jeśli urządzenie nie zostanie połączone z zasadą w ciągu 5 minut, rejestracja urządzenia zakończy się niepowodzeniem, a urządzenie zostanie zresetowane do ustawień fabrycznych. Stan urządzenia w kwarantanie umożliwia wdrażanie kontroli licencji lub innych procesów weryfikacji rejestracji w ramach rozwiązania.

Przykładowy proces sprawdzania licencji

Urządzenie jest zarejestrowane bez zasad domyślnych ani zasad konkretnych.
Sprawdź, ile licencji pozostało firmie.
Jeśli są dostępne licencje, użyj opcji devices.patch, aby dołączyć zasady do urządzenia, a następnie zmniejszyć liczbę licencji. Jeśli nie ma dostępnych licencji, użyj opcji devices.patch, aby wyłączyć urządzenie. Alternatywnie interfejs API może zresetować fabrycznie każde urządzenie, które nie jest przypisane do zasad w ciągu 5 minut od rejestracji.