Diese Seite wurde von der Cloud Translation API übersetzt.

Gerät registrieren und bereitstellen

Bereitstellung ist das Einrichten eines Geräts, das mit policies von einem enterprise verwaltet werden soll. Während des Vorgangs installiert ein Gerät die Android Device Policy App, mit der policies empfangen und erzwungen wird. Wenn die Bereitstellung erfolgreich ist, erstellt die API ein devices-Objekt und bindet das Gerät an ein Unternehmen.

Die Android Management API verwendet Registrierungstokens, um den Bereitstellungsprozess auszulösen. Mit dem von Ihnen verwendeten Registrierungstoken und der von Ihnen verwendeten Bereitstellungsmethode werden die Inhaberschaft (persönlich oder unternehmenseigen) und der Verwaltungsmodus (Arbeitsprofil oder vollständig verwaltetes Gerät) eines Geräts festgelegt.

Private Geräte

Android 5.1 und höher

Für Geräte, die Mitarbeitern gehören, kann ein Arbeitsprofil eingerichtet werden. Ein Arbeitsprofil ist ein eigenständiger Bereich für geschäftliche Apps und Daten, der von privaten Apps und Daten getrennt ist. Die meisten Apps, Daten und andere Verwaltungs-policies gelten nur für das Arbeitsprofil, während die privaten Apps und Daten des Mitarbeiters privat bleiben.

Wenn Sie ein Arbeitsprofil auf einem privaten Gerät einrichten möchten, erstellen Sie ein Registrierungstoken. Achten Sie dabei darauf, dass allowPersonalUsage auf PERSONAL_USAGE_ALLOWED gesetzt ist. Verwenden Sie dann eine der folgenden Bereitstellungsmethoden:

Arbeitsprofil in den Einstellungen hinzufügen
Android Device Policy herunterladen
Link für Registrierungstoken
Anmelde-URL

Unternehmenseigene Geräte für die Arbeit und den privaten Gebrauch

Android 8 oder höher

Wenn Sie ein unternehmenseigenes Gerät mit einem Arbeitsprofil einrichten, können Sie es sowohl für die Arbeit als auch für den privaten Gebrauch nutzen. Auf unternehmenseigenen Geräten mit Arbeitsprofilen:

Die meisten Verwaltungs-policies für Apps, Daten und andere Funktionen gelten nur für das Arbeitsprofil.
Das private Profil des Mitarbeiters bleibt privat. Unternehmen können jedoch bestimmte geräteweite Richtlinien und Richtlinien zur privaten Nutzung durchsetzen.
Unternehmen können mit blockScope Complianceaktionen auf einem gesamten Gerät oder nur auf seinem Arbeitsprofil erzwingen.
devices.delete- und Gerätebefehle gelten für ein ganzes Gerät.

Wenn Sie ein unternehmenseigenes Gerät mit einem Arbeitsprofil einrichten möchten, erstellen Sie ein Registrierungstoken (achten Sie darauf, dass allowPersonalUsage auf PERSONAL_USAGE_ALLOWED gesetzt ist) und verwenden Sie eine der folgenden Bereitstellungsmethoden:

Zero-Touch-Registrierung
QR-Code
Anmelde-URL
DPC-Kennung

Unternehmenseigene Geräte, die nur für die Arbeit verwendet werden

Android 5.1 und höher

Die vollständige Geräteverwaltung eignet sich für unternehmenseigene Geräte, die ausschließlich für die Arbeit verwendet werden. Unternehmen können alle Apps auf dem Gerät verwalten und das gesamte Spektrum der Android Management API-Richtlinien und -Befehle erzwingen.

Es ist auch möglich, ein Gerät über eine Richtlinie auf eine einzelne App oder eine kleine Gruppe von Apps zu sperren, die einem bestimmten Zweck oder Anwendungsfall dienen. Diese Teilmenge der vollständig verwalteten Geräte wird als dedizierte Geräte bezeichnet.

Wenn Sie die vollständige Verwaltung auf einem unternehmenseigenen Gerät einrichten möchten, erstellen Sie ein Registrierungstoken und achten Sie darauf, dass allowPersonalUsage auf PERSONAL_USAGE_DISALLOWED gesetzt ist. Verwenden Sie dann eine der folgenden Bereitstellungsmethoden:

Zero-Touch-Registrierung
QR-Code
Anmelde-URL (nicht für zweckbestimmte Geräte geeignet)
NFC
DPC-Kennung

Richtlinien können sich auf die Erstellung der UI während der Gerätebereitstellung auswirken. Dies sind die Richtlinien:

PasswordPolicyScope: Damit werden die Passwortanforderungen festgelegt.
PermittedInputMethods: Hiermit werden die Eingabemethoden für Pakete festgelegt.
PermittedAccessibilityServices: Hiermit wird festgelegt, welche Bedienungshilfen für vollständig verwaltete Geräte und Arbeitsprofile zulässig sind.
SetupActions: Damit wird festgelegt, welche Aktionen während der Einrichtung ausgeführt werden.
ApplicationsPolicy: Hiermit wird die Richtlinie für eine einzelne App festgelegt.

Wenn Sie möchten, dass neben der Installation von geschäftlichen Apps und Geräteregisterkarten während der Gerätebereitstellung Schritte für das Passwort angezeigt werden, sollten Sie Ihre Richtlinien aktualisieren. Dadurch verzögert sich die Generierung der UI. Das Gerät bleibt im Quarantänestatus, wenn es ohne zugehörige Richtlinie registriert ist, bis Sie die endgültige ausgewählte Richtlinie für die Geräteeinrichtung mit Elementen angeben, die für Ihre Einrichtungsanforderungen relevant sind. Sobald die Bereitstellung des Geräts abgeschlossen ist, können Sie die Richtlinie nach Bedarf ändern.

Registrierungstoken erstellen

Android-Verwaltung — **Abbildung 1**: Erstellen Sie ein Token, das „policy1“ registriert und auf Geräte anwendet. Nach 1.800 Sekunden (30 Minuten) läuft das Token ab.

Sie benötigen für jedes Gerät, das Sie registrieren möchten, ein Registrierungstoken. Sie können dasselbe Token für mehrere Geräte verwenden. Rufen Sie enterprises.enrollmentTokens.create auf, um ein Registrierungstoken anzufordern. Registrierungstokens laufen standardmäßig nach einer Stunde ab. Sie können aber eine benutzerdefinierte Ablaufzeit (duration) von bis zu etwa 10.000 Jahren angeben.

Eine erfolgreiche Anfrage gibt ein enrollmentToken-Objekt mit einer enrollmentTokenId und einem qrcode zurück, mit denen IT-Administratoren und Endnutzer Geräte bereitstellen können.

Richtlinie angeben

Sie können auch eine policyName in der Anfrage angeben, um eine Richtlinie bei der Registrierung eines Geräts anzuwenden. Wenn Sie keine policyName angeben, lesen Sie Gerät ohne Richtlinie registrieren.

Persönliche Nutzung angeben

allowPersonalUsage legt fest, ob dem Gerät während der Bereitstellung ein Arbeitsprofil hinzugefügt werden kann. Legen Sie PERSONAL_USAGE_ALLOWED fest, damit Nutzer ein Arbeitsprofil erstellen können (erforderlich für private Geräte, optional für unternehmenseigene Geräte).

QR-Codes

QR-Codes sind eine effiziente Methode zur Gerätebereitstellung in Unternehmen, die viele verschiedene Richtlinien einhalten. Der von enterprises.enrollmentTokens.create zurückgegebene QR-Code besteht aus einer Nutzlast von Schlüssel/Wert-Paaren, die ein Registrierungstoken und alle Informationen enthalten, die Android Device Policy für die Bereitstellung eines Geräts benötigt.

Beispiel für ein QR-Code-Bundle

Das Bundle enthält den Downloadspeicherort von Android Device Policy und ein Registrierungstoken.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Sie können den von enterprises.enrollmentTokens.create zurückgegebenen QR-Code direkt verwenden oder ihn anpassen. Eine vollständige Liste der Eigenschaften, die Sie in ein QR-Code-Bundle aufnehmen können, finden Sie unter QR-Code erstellen.

Verwenden Sie einen QR-Code-Generator wie ZXing, um den qrcode-String in einen scannbaren QR-Code zu konvertieren.

Bereitstellungsmethoden

In diesem Abschnitt werden verschiedene Methoden zur Bereitstellung eines Geräts beschrieben.

Arbeitsprofil über „Einstellungen“ hinzufügen

Android 5.1 und höher

Nutzer haben folgende Möglichkeiten, ein Arbeitsprofil auf ihrem Gerät einzurichten:

Gehen Sie zu Einstellungen > Google > Einrichten & wiederherstellen.
Tippen Sie auf Arbeitsprofil einrichten.

Mit diesen Schritten wird ein Einrichtungsassistent gestartet, der Android Device Policy auf das Gerät herunterlädt. Als Nächstes wird der Nutzer aufgefordert, einen QR-Code zu scannen oder manuell ein Registrierungstoken einzugeben, um die Einrichtung des Arbeitsprofils abzuschließen.

Android Device Policy herunterladen

Android 5.1 und höher

Nutzer können die Android Device Policy aus dem Google Play Store herunterladen, um ein Arbeitsprofil auf ihrem Gerät einzurichten. Nach der Installation der App wird der Nutzer aufgefordert, einen QR-Code einzugeben oder manuell ein Registrierungstoken einzugeben, um die Einrichtung des Arbeitsprofils abzuschließen.

Link zu Registrierungstoken

Android 5.1 und höher

Generieren Sie mit dem von enrollmentTokens.create oder der signinEnrollmentToken des Unternehmens zurückgegebenen Registrierungstoken eine URL im folgenden Format:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Sie können diese URL an IT-Administratoren weitergeben, damit diese sie an ihre Endnutzer weitergeben können. Wenn ein Endnutzer den Link auf seinem Gerät öffnet, wird er durch die Einrichtung des Arbeitsprofils geführt.

Anmelde-URL

Bei dieser Methode erhalten Nutzer eine URL, über die sie zur Eingabe ihrer Anmeldedaten aufgefordert werden. Anhand der Anmeldedaten können Sie die entsprechende Richtlinie für den Nutzer berechnen, bevor Sie mit der Gerätebereitstellung fortfahren. Beispiel:

Geben Sie Ihre Anmelde-URL in enterprises.signInDetails[] an. Legen Sie allowPersonalUsage auf PERSONAL_USAGE_ALLOWED fest, wenn Sie einem Nutzer erlauben möchten, ein Arbeitsprofil zu erstellen (erforderlich für private Geräte, optional für unternehmenseigene Geräte).

Fügen Sie das resultierende signinEnrollmentToken als zusätzliche Nutzerverwaltung einem QR-Code, einer NFC-Nutzlast oder einer Zero-Touch-Konfiguration hinzu. Alternativ können Sie Nutzern die signinEnrollmentToken direkt zur Verfügung stellen.
Wählen Sie eine Option aus:
1. Unternehmenseigene Geräte:Nachdem Sie ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät eingeschaltet haben, geben Sie die signinEnrollmentToken an das Gerät weiter (über QR-Code, NFC Bump usw.) oder bitten Sie die Nutzer, das Token manuell einzugeben. Das Gerät öffnet die in Schritt 1 angegebene Anmelde-URL.
2. Private Geräte:Bitten Sie die Nutzer, in den Einstellungen ein Arbeitsprofil hinzuzufügen. Wenn der Nutzer dazu aufgefordert wird, scannt er einen QR-Code mit signinEnrollmentToken oder gibt das Token manuell ein. Auf dem Gerät wird die in Schritt 1 angegebene Anmelde-URL geöffnet.
3. Private Geräte:Stelle Nutzern einen Registrierungstoken-Link bereit. Das Registrierungstoken ist dabei signinEnrollmentToken. Auf dem Gerät wird die in Schritt 1 angegebene Anmelde-URL geöffnet.
Über Ihre Anmelde-URL sollten Nutzer dazu aufgefordert werden, ihre Anmeldedaten einzugeben. Mit dem GET-Parameter provisioningInfo können Sie anhand der Identität die entsprechende Richtlinie ermitteln und während der Geräteregistrierung Informationen zur Gerätebereitstellung abrufen.

Best Practice: Authentifizieren Sie die Anmeldedaten, die Nutzer in der Anmelde-URL eingeben (oder alle nachfolgenden Weiterleitungen), über den SSO-Anbieter der Organisation. Anmelde-URLs werden auf einem benutzerdefinierten Chrome-Tab geöffnet und die SSO der Nutzer wird für die zukünftige App-Anmeldung mit der App-Authentifizierung gespeichert.
Rufen Sie enrollmentTokens.create auf und geben Sie dabei die entsprechende policyId basierend auf den Anmeldedaten des Nutzers an.
Geben Sie das in Schritt 4 generierte Registrierungstoken mithilfe der URL-Weiterleitung im Format https://enterprise.google.com/android/enroll?et=<token> zurück.

Hinweis :Wenn ein Nutzer nicht berechtigt ist, den Bereitstellungsprozess abzuschließen, können Sie benutzerdefinierte Fehlerbildschirme einblenden und zu https://enterprise.google.com/android/enroll/invalid weiterleiten, um dem Nutzer beim Zurücksetzen seines Geräts zu helfen.

QR-Code-Methode

Android 7.0 oder höher

Wenn Sie ein unternehmenseigenes Gerät bereitstellen möchten, können Sie einen QR-Code generieren und in Ihrer EMM-Konsole anzeigen lassen:

Auf einem neuen oder auf die Werkseinstellungen zurückgesetzten Gerät tippt der Nutzer (in der Regel ein IT-Administrator) sechsmal an derselben Stelle auf den Bildschirm. Dadurch fordert das Gerät den Nutzer auf, einen QR-Code zu scannen.
Der Nutzer scannt den QR-Code, den Sie in Ihrer Verwaltungskonsole (oder einer ähnlichen Anwendung) anzeigen, um das Gerät zu registrieren und bereitzustellen.

NFC-Methode

Android 6.0 oder höher

Bei dieser Methode müssen Sie eine NFC-Programmer-App erstellen, die das Registrierungstoken, die anfänglichen Richtlinien, die WLAN-Konfiguration, die Einstellungen und alle anderen Bereitstellungsdetails enthält, die Ihr Kunde benötigt, um ein vollständig verwaltetes oder dediziertes Gerät bereitzustellen. Wenn du oder dein Kunde die NFC-Programmer-App auf einem Android-Gerät installieren, wird dieses Gerät zum Programmer-Gerät.

Eine ausführliche Anleitung zur Unterstützung der NFC-Methode finden Sie in der Entwicklerdokumentation zur Play EMM API. Die Website enthält auch Beispielcode der Standardparameter, die auf einem NFC-Bump auf ein Gerät übertragen werden. Legen Sie zum Installieren der Android Device Policy den Downloadpfad des Geräteverwaltungspakets auf folgenden Wert fest:

https://play.google.com/managed/downloadManagingApp?identifier=setup

DPC-Kennungsmethode

Wenn die Android Device Policy App nicht per QR-Code oder NFC hinzugefügt werden kann, kann ein Nutzer oder IT-Administrator diese Schritte ausführen, um ein unternehmenseigenes Gerät bereitzustellen:

Folgen Sie dem Einrichtungsassistenten auf einem neuen oder auf die Werkseinstellungen zurückgesetzten Gerät.
Gib die Wifi-Anmeldedaten ein, um das Gerät mit dem Internet zu verbinden.
Wenn Sie zur Anmeldung aufgefordert werden, geben Sie afw#setup ein, um die Android Device Policy App herunterzuladen.
Scannen Sie einen QR-Code oder geben Sie manuell ein Registrierungstoken ein, um das Gerät bereitzustellen.

Zero-Touch-Registrierung

Android 8.0 oder höher (Pixel 7.1 und höher)

Geräte, die bei einem autorisierten Zero-Touch-Reseller erworben wurden, können für die Zero-Touch-Registrierung verwendet werden. Dies ist eine optimierte Methode zur Vorkonfiguration von Geräten, die sich beim ersten Start automatisch bereitstellen.

Organisationen können Konfigurationen mit Bereitstellungsdetails für ihre Zero-Touch-Geräte erstellen, entweder über das Portal für die Zero-Touch-Registrierung oder über Ihre EMM-Konsole (siehe Zero-Touch-Kunden-API). Beim ersten Start prüft ein Zero-Touch-Gerät, ob ihm eine Konfiguration zugewiesen wurde. In diesem Fall lädt das Gerät die Android Device Policy herunter und schließt die Einrichtung des Geräts mithilfe der in der zugewiesenen Konfiguration angegebenen Bereitstellungsextras ab.

Wenn Ihre Kunden das Portal für die Zero-Touch-Registrierung verwenden, müssen sie für jede von ihnen erstellte Konfiguration Android Device Policy als EMM-DPC auswählen. Eine ausführliche Anleitung zur Nutzung des Portals, einschließlich der Erstellung und Zuweisung von Konfigurationen zu Geräten, finden Sie in der Android Enterprise-Hilfe.

Wenn Ihre Kunden Konfigurationen direkt über Ihre EMM-Konsole festlegen und zuweisen sollen, müssen Sie die Zero-Touch-Kunden-API einbinden. Beim Erstellen einer Konfiguration geben Sie im Feld dpcExtras die Bereitstellung von Extras an. Das folgende JSON-Snippet zeigt ein einfaches Beispiel dafür, was in dpcExtras enthalten sein muss, mit einem hinzugefügten Anmeldetoken.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

App während der Einrichtung starten

Einrichtungsaktion — **Abbildung 2.** Verwenden Sie `setupActions`, um eine App während der Einrichtung zu starten.

In policies können Sie eine App für die Android Device Policy angeben, die während der Einrichtung des Geräts oder Arbeitsprofils gestartet wird. Sie könnten beispielsweise eine VPN-Anwendung starten, damit Nutzer während der Einrichtung VPN-Einstellungen konfigurieren können. Die App muss RESULT_OK zurückgeben, um den Abschluss zu signalisieren und Android Device Policy erlauben, die Bereitstellung des Geräts oder Arbeitsprofils abzuschließen. So starten Sie eine App während der Einrichtung:

Achten Sie darauf, dass die installType der App REQUIRED_FOR_SETUP ist. Wenn die App nicht auf dem Gerät installiert oder gestartet werden kann, schlägt die Bereitstellung fehl.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Fügen Sie setupActions den Paketnamen der App hinzu. Verwenden Sie title und description, um Anweisungen für Nutzer anzugeben.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Zur Unterscheidung, ob eine App über launchApp gestartet wurde, enthält die Aktivität, die erstmals als Teil der App gestartet wird, das boolesche Extra-Intent com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (auf true gesetzt). Mit diesem Extra kannst du deine App je nachdem, ob sie über setupActions oder von einem Nutzer gestartet wurde, anpassen.

Nachdem die App RESULT_OK zurückgegeben hat, führt Android Device Policy alle verbleibenden Schritte aus, die zur Bereitstellung des Geräts oder Arbeitsprofils erforderlich sind.

Registrierung während der Einrichtung abbrechen

Die als SetupAction gestartete App kann die Registrierung abbrechen, die RESULT_CANCELED zurückgibt.

Durch Abbrechen der Registrierung wird ein unternehmenseigenes Gerät zurückgesetzt oder das Arbeitsprofil auf einem privaten Gerät gelöscht.

Hinweis: Durch das Abbrechen der Registrierung wird die Aktion ohne ein Dialogfeld zur Bestätigung des Nutzers ausgelöst. Die Anwendung ist dafür verantwortlich, dem Nutzer einen entsprechenden Fehlerdialog anzuzeigen, bevor ein Ergebnis zurückgegeben wird.

Richtlinie auf neu registrierte Geräte anwenden

Wie Sie Richtlinien auf neu registrierte Geräte anwenden, hängt von Ihnen und den Anforderungen Ihrer Kunden ab. Hier sind die verschiedenen Ansätze, die Sie verwenden können:

(Empfohlen) Wenn Sie ein Registrierungstoken erstellen, können Sie den Namen der Richtlinie (policyName) angeben, die zuerst mit dem Gerät verknüpft wird. Wenn Sie ein Gerät mit dem Token registrieren, wird die Richtlinie automatisch auf das Gerät angewendet.
Legen Sie eine Richtlinie als Standardrichtlinie für ein Unternehmen fest. Wenn im Registrierungstoken kein Richtlinienname angegeben ist und eine Richtlinie mit dem Namen enterprises/<enterprise_id>/policies/default vorhanden ist, wird jedes neue Gerät bei der Registrierung automatisch mit der Standardrichtlinie verknüpft.
Abonnieren Sie ein Cloud Pub/Sub-Thema, um Benachrichtigungen über neu registrierte Geräte zu erhalten. Als Reaktion auf eine ENROLLMENT-Benachrichtigung rufen Sie enterprises.devices.patch auf, um das Gerät mit einer Richtlinie zu verknüpfen.

Gerät ohne Richtlinie registrieren

Wenn ein Gerät ohne gültige Richtlinie registriert wird, wird es in Quarantäne gestellt. Geräte in Quarantäne werden für alle Gerätefunktionen blockiert, bis sie mit einer Richtlinie verknüpft sind.

Wenn ein Gerät nicht innerhalb von fünf Minuten mit einer Richtlinie verknüpft ist, schlägt die Geräteregistrierung fehl und das Gerät wird auf die Werkseinstellungen zurückgesetzt. Wenn Sie den Gerätestatus unter Quarantäne stellen, haben Sie die Möglichkeit, Lizenzierungsprüfungen oder andere Validierungsprozesse für die Registrierung als Teil Ihrer Lösung zu implementieren.

Beispiel für einen Workflow zur Lizenzierungsprüfung

Ein Gerät wird ohne eine Standardrichtlinie oder bestimmte Richtlinie registriert.
Prüfen Sie, wie viele Lizenzen das Unternehmen noch hat.
Wenn Lizenzen verfügbar sind, verwenden Sie devices.patch, um eine Richtlinie an das Gerät anzuhängen, und verringern dann die Anzahl der Lizenzen. Wenn keine Lizenzen verfügbar sind, verwenden Sie devices.patch, um das Gerät zu deaktivieren. Alternativ setzt die API jedes Gerät, das nicht mit einer Richtlinie verknüpft ist, innerhalb von fünf Minuten nach der Registrierung auf die Werkseinstellungen zurück.