ثبت نام کنید و یک دستگاه تهیه کنید

تدارک فرآیند راه اندازی دستگاهی است که با استفاده از policies یک enterprise مدیریت می شود. در طول فرآیند، دستگاه Android Device Policy را نصب می‌کند که برای دریافت و اجرای policies استفاده می‌شود. اگر تامین موفقیت آمیز باشد، API یک شیء devices ایجاد می کند و دستگاه را به یک شرکت متصل می کند.

Android Management API از نشانه‌های ثبت‌نام برای راه‌اندازی فرآیند تهیه استفاده می‌کند. رمز ثبت نام و روش تدارکاتی که استفاده می کنید مالکیت دستگاه (مالک شخصی یا متعلق به شرکت) و حالت مدیریت (نمایه کاری یا دستگاه کاملاً مدیریت شده) را تعیین می کند.

دستگاه های شخصی

اندروید 5.1+

دستگاه‌های متعلق به کارمندان را می‌توان با نمایه کاری راه‌اندازی کرد. نمایه کاری فضایی مستقل برای برنامه‌ها و داده‌های کاری، جدا از برنامه‌ها و داده‌های شخصی فراهم می‌کند. بیشتر برنامه‌ها، داده‌ها و سایر policies مدیریتی فقط برای نمایه کاری اعمال می‌شوند، در حالی که برنامه‌ها و داده‌های شخصی کارمند خصوصی باقی می‌مانند.

برای راه‌اندازی یک نمایه کاری در یک دستگاه شخصی، یک رمز ثبت‌نام ایجاد کنید (مطمئن شوید allowPersonalUsage روی PERSONAL_USAGE_ALLOWED تنظیم شده است) و از یکی از روش‌های تأمین زیر استفاده کنید:

دستگاه های متعلق به شرکت برای کار و استفاده شخصی

اندروید 8+

راه‌اندازی یک دستگاه متعلق به شرکت با نمایه کاری ، دستگاه را هم برای کار و هم برای استفاده شخصی فعال می‌کند. در دستگاه‌های متعلق به شرکت با نمایه کاری:

برای راه‌اندازی یک دستگاه متعلق به شرکت با نمایه کاری، یک رمز ثبت‌نام ایجاد کنید (مطمئن شوید allowPersonalUsage روی PERSONAL_USAGE_ALLOWED تنظیم شده است) و از یکی از روش‌های تأمین زیر استفاده کنید:

دستگاه های متعلق به شرکت فقط برای استفاده در کار

اندروید 5.1+

مدیریت کامل دستگاه برای دستگاه های متعلق به شرکت که منحصراً برای اهداف کاری در نظر گرفته شده اند مناسب است. شرکت‌ها می‌توانند همه برنامه‌های موجود در دستگاه را مدیریت کنند و می‌توانند طیف کاملی از خط‌مشی‌ها و دستورات Android Management API را اجرا کنند.

همچنین می‌توان دستگاه را قفل کرد ( از طریق خط‌مشی ) روی یک برنامه یا مجموعه کوچکی از برنامه‌ها برای خدمت به یک هدف اختصاصی یا مورد استفاده. این زیر مجموعه از دستگاه های کاملاً مدیریت شده به عنوان دستگاه های اختصاصی نامیده می شود.

برای راه‌اندازی مدیریت کامل در دستگاه متعلق به شرکت، یک رمز ثبت نام ایجاد کنید (مطمئن شوید allowPersonalUsage روی PERSONAL_USAGE_DISALLOWED تنظیم شده است) و از یکی از روش‌های تأمین زیر استفاده کنید:

خط‌مشی‌ها می‌توانند بر تولید UI در حین تهیه دستگاه تأثیر بگذارند. چنین سیاست هایی عبارتند از:

  • PasswordPolicyScope : این مورد الزامات رمز عبور را تعیین می کند.
  • PermittedInputMethods : این روش روش های ورودی بسته را تعیین می کند.
  • PermittedAccessibilityServices : این مشخص می‌کند که کدام سرویس‌های دسترس‌پذیری برای دستگاه‌های کاملاً مدیریت‌شده و نمایه کاری مجاز هستند.
  • SetupActions : این مشخص می کند که چه اقداماتی در حین نصب اجرا می شوند.
  • ApplicationsPolicy : این خط‌مشی را برای یک برنامه جداگانه تعیین می‌کند.

اگر می‌خواهید مراحل گذرواژه در کنار نصب برنامه‌های کاری و کارت‌های ثبت دستگاه در حین تهیه دستگاه نشان داده شود، پیشنهاد می‌کنیم خط‌مشی‌های خود را به‌روزرسانی کنید تا با نگه داشتن دستگاه در وضعیت قرنطینه ، شروع به کار تولید رابط کاربری را به تأخیر بیندازید. خط مشی، تا زمانی که خط‌مشی نهایی انتخاب شده برای راه‌اندازی دستگاه حاوی موارد مرتبط با نیازهای راه‌اندازی شما را مشخص کنید. پس از تکمیل تهیه دستگاه، می توانید در صورت لزوم خط مشی را تغییر دهید .


یک رمز ثبت نام ایجاد کنید

نمای کلی مدیریت اندروید.
شکل 1. رمزی ایجاد کنید که "policy1" را در دستگاه ها ثبت و اعمال کند. پس از 1800 ثانیه (30 دقیقه)، توکن منقضی می شود.

برای هر دستگاهی که می‌خواهید ثبت‌نام کنید، به یک نشانه ثبت‌نام نیاز دارید (می‌توانید از یک نشانه برای چندین دستگاه استفاده کنید). برای درخواست رمز ثبت نام، با enterprises.enrollmentTokens.create تماس بگیرید. توکن‌های ثبت‌نام به‌طور پیش‌فرض پس از یک ساعت منقضی می‌شوند، اما می‌توانید یک زمان انقضای سفارشی ( duration ) تا تقریباً 10000 سال تعیین کنید.

یک درخواست موفق یک شیء enrollmentToken حاوی enrollmentTokenId و یک qrcode را برمی‌گرداند که مدیران فناوری اطلاعات و کاربران نهایی می‌توانند از آن برای تهیه دستگاه‌ها استفاده کنند.

یک خط مشی مشخص کنید

همچنین ممکن است بخواهید یک policyName در درخواست برای اعمال خط مشی همزمان با ثبت نام دستگاه مشخص کنید. اگر یک policyName مشخص نکرده‌اید، به ثبت نام دستگاه بدون خط‌مشی مراجعه کنید.

استفاده شخصی را مشخص کنید

allowPersonalUsage تعیین می کند که آیا می توان نمایه کاری را در حین تهیه به دستگاه اضافه کرد. روی PERSONAL_USAGE_ALLOWED تنظیم کنید تا به کاربر اجازه ایجاد نمایه کاری را بدهد (الزامی برای دستگاه‌های متعلق به شخصی، اختیاری برای دستگاه‌های متعلق به شرکت).


درباره کدهای QR

کدهای QR به عنوان یک روش کارآمد تهیه دستگاه برای شرکت‌هایی که سیاست‌های متفاوتی را حفظ می‌کنند، کار می‌کنند. کد QR بازگردانده شده از enterprises.enrollmentTokens.create از محموله‌ای از جفت‌های کلید-مقدار حاوی یک رمز ثبت‌نام و تمام اطلاعاتی که برای خط‌مشی دستگاه Android برای ارائه یک دستگاه مورد نیاز است، تشکیل شده است.

نمونه بسته کد QR

این بسته شامل مکان بارگیری خط‌مشی دستگاه Android و یک رمز ثبت‌نام است.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

می‌توانید از کد QR بازگردانده شده از enterprises.enrollmentTokens.create به طور مستقیم استفاده کنید یا آن را سفارشی کنید. برای فهرست کامل ویژگی‌هایی که می‌توانید در یک بسته کد QR قرار دهید، به ایجاد کد QR مراجعه کنید.

برای تبدیل رشته qrcode به یک کد QR قابل اسکن، از یک تولید کننده کد QR مانند ZXing استفاده کنید.


روش های تامین

در این بخش روش های مختلف برای تهیه یک دستگاه توضیح داده شده است.

افزودن نمایه کاری از «تنظیمات»

اندروید 5.1+

برای راه‌اندازی نمایه کاری در دستگاه خود، کاربر می‌تواند:

  1. به تنظیمات > Google > تنظیم و بازیابی بروید.
  2. روی تنظیم نمایه کاری خود ضربه بزنید.

این مراحل یک جادوگر راه اندازی را آغاز می کند که سیاست دستگاه Android را در دستگاه دانلود می کند. در مرحله بعد، از کاربر خواسته می شود تا یک کد QR را اسکن کند یا به صورت دستی یک نشانه ثبت نام را وارد کند تا تنظیمات نمایه کاری را تکمیل کند.

Android Device Policy را دانلود کنید

اندروید 5.1+

برای راه‌اندازی نمایه کاری در دستگاه خود، کاربر می‌تواند خط‌مشی دستگاه Android را از فروشگاه Google Play دانلود کند. پس از نصب برنامه، از کاربر خواسته می شود تا کد QR را وارد کند یا به صورت دستی یک نشانه ثبت نام برای تکمیل تنظیمات نمایه کاری وارد کند.

اندروید 5.1+

با استفاده از رمز ثبت‌نام برگشتی از enrollmentTokens.create یا signinEnrollmentToken شرکت ( به نشانی اینترنتی ورود به سیستم در زیر مراجعه کنید)، یک URL با قالب زیر ایجاد کنید:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

شما می توانید این URL را در اختیار مدیران فناوری اطلاعات قرار دهید تا آنها بتوانند آن را در اختیار کاربران نهایی خود قرار دهند. هنگامی که کاربر نهایی پیوند را از دستگاه خود باز می کند، از طریق راه اندازی نمایه کاری راهنمایی می شود.

URL ورود به سیستم

با استفاده از این روش، یک URL به کاربران ارائه می‌شود که از آنها می‌خواهد اعتبار خود را دریافت کنند. بر اساس اعتبار آنها، می توانید قبل از ادامه تهیه دستگاه، خط مشی مناسب را برای کاربر محاسبه کنید. مثلا:

  1. URL ورود به سیستم خود را در enterprises.signInDetails[] مشخص کنید. اگر می‌خواهید به کاربر allowPersonalUsage ایجاد نمایه کاری را PERSONAL_USAGE_ALLOWED (برای دستگاه‌های شخصی لازم است، برای دستگاه‌های متعلق به شرکت اختیاری است).

    signinEnrollmentToken حاصل را به‌عنوان ارائه اضافی به یک کد QR ، بار NFC یا پیکربندی Zero-touch اضافه کنید. از طرف دیگر، می توانید signinEnrollmentToken را مستقیماً در اختیار کاربران قرار دهید.

  2. یک گزینه را انتخاب کنید:

    1. دستگاه‌های متعلق به شرکت: پس از روشن کردن دستگاه جدید یا بازنشانی کارخانه، signinEnrollmentToken به دستگاه منتقل کنید (از طریق کد QR، NFC bump، و غیره) یا از کاربران بخواهید که رمز را به صورت دستی وارد کنند. دستگاه URL ورود به سیستم مشخص شده در مرحله 1 را باز می کند.
    2. دستگاه‌های تحت مالکیت شخصی: از کاربران بخواهید یک نمایه کاری از «تنظیمات» اضافه کنند . هنگامی که از شما خواسته می شود، کاربر یک کد QR حاوی signinEnrollmentToken را اسکن می کند یا رمز را به صورت دستی وارد می کند. دستگاه URL ورود به سیستم مشخص شده در مرحله 1 را باز می کند.
    3. دستگاه‌های تحت مالکیت شخصی: پیوند رمز ثبت‌نام را به کاربران ارائه دهید، که در آن نشانه ثبت‌نام signinEnrollmentToken است. دستگاه URL ورود به سیستم مشخص شده در مرحله 1 را باز می کند.
  3. URL ورود به سیستم شما باید از کاربران بخواهد تا اطلاعات کاربری خود را وارد کنند. بر اساس هویت آنها، می توانید خط مشی مناسب را تعیین کنید.

  4. با تعیین policyId مناسب بر اساس اطلاعات کاربری کاربر، با enrollmentTokens.create تماس بگیرید.

  5. رمز ثبت نام ایجاد شده در مرحله 4 را با استفاده از تغییر مسیر URL، به شکل https://enterprise.google.com/android/enroll?et=<token> برگردانید.

روش کد QR

اندروید 7.0+

برای تهیه یک دستگاه متعلق به شرکت، می توانید یک کد QR ایجاد کرده و آن را در کنسول EMM خود نمایش دهید:

  1. در یک دستگاه جدید یا بازنشانی کارخانه، کاربر (معمولاً یک سرپرست فناوری اطلاعات) در همان نقطه شش بار روی صفحه ضربه می‌زند. این باعث می شود که دستگاه از کاربر بخواهد یک کد QR را اسکن کند.
  2. کاربر کد QR را که در کنسول مدیریت خود (یا برنامه مشابه) نمایش می‌دهید اسکن می‌کند تا دستگاه را ثبت و تهیه کند.

روش NFC

اندروید 6.0+

این روش از شما می‌خواهد یک برنامه برنامه‌نویس NFC ایجاد کنید که حاوی رمز ثبت‌نام، خط‌مشی‌های اولیه و پیکربندی Wi-Fi، تنظیمات، و سایر جزئیات تامین مورد نیاز مشتری شما برای تهیه یک دستگاه کاملاً مدیریت‌شده یا اختصاصی باشد. وقتی شما یا مشتری‌تان برنامه برنامه‌نویس NFC را روی دستگاهی با Android نصب می‌کنید، آن دستگاه به دستگاه برنامه‌نویس تبدیل می‌شود.

راهنمای دقیق در مورد نحوه پشتیبانی از روش NFC در مستندات برنامه‌نویس Play EMM API موجود است. این سایت همچنین شامل کد نمونه از پارامترهای پیش‌فرض است که به دستگاهی روی یک ضربه NFC فشار داده می‌شود. برای نصب Android Device Policy، مکان دانلود بسته مدیریت دستگاه را به صورت زیر تنظیم کنید:

https://play.google.com/managed/downloadManagingApp?identifier=setup

روش شناسه DPC

اگر نمی‌توان خط‌مشی دستگاه Android را با استفاده از کد QR یا NFC اضافه کرد، یک کاربر یا سرپرست فناوری اطلاعات می‌تواند این مراحل را برای تهیه دستگاه متعلق به شرکت دنبال کند:

  1. جادوگر راه اندازی را در دستگاه جدید یا بازنشانی کارخانه ای دنبال کنید.
  2. برای اتصال دستگاه به اینترنت، جزئیات ورود به سیستم Wifi را وارد کنید.
  3. هنگامی که از شما خواسته شد وارد شوید، afw#setup را وارد کنید، که سیاست دستگاه Android را دانلود می‌کند.
  4. یک کد QR را اسکن کنید یا به صورت دستی یک رمز ثبت نام برای تهیه دستگاه وارد کنید.

ثبت نام بدون لمس

Android 8.0 و بالاتر (Pixel 7.1+)

دستگاه‌های خریداری‌شده از یک فروشنده مجاز بدون لمس، واجد شرایط ثبت‌نام بدون لمس هستند، روشی ساده برای تنظیم پیش‌پیکربندی دستگاه‌ها به منظور ارائه خودکار خود در اولین راه‌اندازی.

سازمان‌ها می‌توانند از طریق پورتال ثبت‌نام بدون لمس یا با استفاده از کنسول EMM شما، پیکربندی‌هایی حاوی جزئیات تأمین برای دستگاه‌های لمسی صفر خود ایجاد کنند (به API مشتری بدون لمس مراجعه کنید). در اولین راه‌اندازی، یک دستگاه صفر لمسی بررسی می‌کند که آیا پیکربندی به آن اختصاص داده شده است یا خیر. در این صورت، دستگاه Android Device Policy را دانلود می‌کند، که سپس راه‌اندازی دستگاه را با استفاده از امکانات اضافی مشخص‌شده در پیکربندی اختصاص داده شده تکمیل می‌کند.

اگر مشتریان شما از پورتال ثبت نام بدون لمس استفاده می کنند، باید برای هر پیکربندی که ایجاد می کنند ، خط مشی دستگاه Android را به عنوان EMM DPC انتخاب کنند. دستورالعمل‌های دقیق در مورد نحوه استفاده از پورتال، از جمله نحوه ایجاد و تخصیص تنظیمات به دستگاه‌ها، در مرکز راهنمای Android Enterprise موجود است.

اگر ترجیح می‌دهید مشتریانتان پیکربندی‌ها را مستقیماً از کنسول EMM شما تنظیم و تخصیص دهند، باید با API مشتری صفر لمسی یکپارچه شوید. هنگام ایجاد یک پیکربندی ، در قسمت dpcExtras موارد اضافی را مشخص می‌کنید. قطعه JSON زیر یک مثال اساسی از آنچه باید در dpcExtras گنجانده شود را با یک نشانه ورود به سیستم نشان می دهد.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

یک برنامه را در حین راه اندازی راه اندازی کنید

راه اندازی
شکل 2. از setupActions برای راه اندازی یک برنامه در حین راه اندازی استفاده کنید.

در policies ، می‌توانید یک برنامه را برای Android Device Policy تعیین کنید تا در حین راه‌اندازی دستگاه یا نمایه کاری راه‌اندازی شود. به عنوان مثال، می توانید یک برنامه VPN راه اندازی کنید تا کاربران بتوانند تنظیمات VPN را به عنوان بخشی از فرآیند راه اندازی پیکربندی کنند. برنامه باید RESULT_OK برای تکمیل سیگنال برگرداند و به Android Device Policy اجازه دهد تا تهیه نمایه دستگاه یا کاری را کامل کند. برای راه‌اندازی یک برنامه در حین راه‌اندازی:

مطمئن شوید که installType برنامه REQUIRED_FOR_SETUP است. اگر برنامه را نتوان بر روی دستگاه نصب یا راه اندازی کرد، تدارک ناموفق خواهد بود.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

نام بسته برنامه را به setupActions اضافه کنید. title و description برای مشخص کردن دستورالعمل های کاربر استفاده کنید.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

برای تشخیص اینکه یک برنامه از launchApp راه‌اندازی می‌شود، فعالیتی که برای اولین بار به عنوان بخشی از برنامه راه‌اندازی می‌شود حاوی هدف بولی اضافی com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION است (روی true تنظیم شده است). این موارد اضافی به شما امکان می‌دهد برنامه خود را بر اساس راه‌اندازی آن از setupActions یا توسط کاربر سفارشی کنید.

پس از اینکه برنامه RESULT_OK برگرداند، خط‌مشی دستگاه Android تمام مراحل باقیمانده مورد نیاز برای ارائه دستگاه یا نمایه کاری را تکمیل می‌کند.

در حین راه اندازی ثبت نام را لغو کنید

برنامه راه‌اندازی شده به‌عنوان SetupAction می‌تواند ثبت‌نام را لغو کند و RESULT_CANCELED را برگرداند.

لغو ثبت‌نام، دستگاه متعلق به شرکت را بازنشانی می‌کند یا نمایه کاری دستگاه شخصی را حذف می‌کند.

توجه : لغو ثبت نام، اقدام بدون گفتگوی تأیید کاربر را آغاز می کند. این وظیفه برنامه است که یک گفتگوی خطای مناسب را قبل از بازگشت نتیجه به کاربر نشان دهد.

یک خط‌مشی را برای دستگاه‌های ثبت‌نام‌شده جدید اعمال کنید

روشی که برای اعمال خط‌مشی‌ها در دستگاه‌های ثبت‌نام‌شده جدید استفاده می‌کنید به شما و نیازهای مشتریانتان بستگی دارد. در اینجا روش های مختلفی وجود دارد که می توانید استفاده کنید:

  • (توصیه می شود) هنگام ایجاد رمز ثبت نام ، می توانید نام خط مشی ( policyName ) را که در ابتدا به دستگاه مرتبط می شود، مشخص کنید. وقتی دستگاهی را با رمز ثبت نام می‌کنید، این خط‌مشی به طور خودکار روی دستگاه اعمال می‌شود.

  • یک خط مشی را به عنوان خط مشی پیش فرض برای یک شرکت تنظیم کنید. اگر هیچ نام خط‌مشی در نشانه ثبت‌نام مشخص نشده باشد و خط‌مشی با نام enterprises/<enterprise_id>/policies/default وجود داشته باشد، هر دستگاه جدید به‌طور خودکار در زمان ثبت‌نام به خط‌مشی پیش‌فرض مرتبط می‌شود.

  • در یک موضوع Cloud Pub/Sub مشترک شوید تا اعلان‌های مربوط به دستگاه‌های ثبت‌نام‌شده جدید را دریافت کنید. در پاسخ به اعلان ENROLLMENT ، با enterprises.devices.patch تماس بگیرید تا دستگاه را با یک خط مشی مرتبط کنید.

دستگاهی را بدون خط مشی ثبت نام کنید

اگر دستگاهی بدون خط‌مشی معتبر ثبت‌نام شده باشد، دستگاه در قرنطینه قرار می‌گیرد. دستگاه های قرنطینه شده از همه عملکردهای دستگاه مسدود می شوند تا زمانی که دستگاه به یک خط مشی مرتبط شود.

اگر دستگاهی در مدت پنج دقیقه به خط‌مشی مرتبط نشود، ثبت نام دستگاه انجام نمی‌شود و دستگاه بازنشانی کارخانه‌ای می‌شود. وضعیت دستگاه قرنطینه به شما این فرصت را می دهد تا بررسی های مجوز یا سایر فرآیندهای تأیید ثبت نام را به عنوان بخشی از راه حل خود اجرا کنید.

نمونه گردش کار بررسی مجوز

  1. دستگاهی بدون خط‌مشی پیش‌فرض یا خط‌مشی خاصی ثبت‌نام می‌شود.
  2. بررسی کنید چه تعداد مجوز برای شرکت باقی مانده است.
  3. اگر مجوزهای موجود وجود دارد، از devices.patch برای پیوست کردن خط مشی به دستگاه استفاده کنید و سپس تعداد مجوزهای خود را کاهش دهید. اگر مجوزی در دسترس نیست، از devices.patch برای غیرفعال کردن دستگاه استفاده کنید. از طرف دیگر، API کارخانه‌ای هر دستگاهی را که به خط‌مشی متصل نشده است را ظرف پنج دقیقه پس از ثبت‌نام بازنشانی می‌کند.