Obsługa administracyjna to konfigurowanie urządzenia, które ma być zarządzane za pomocą policies
przez enterprise
. W trakcie tego procesu urządzenie instaluje aplikację Android Device Policy, która służy do odbierania i wymuszania stosowania policies
.
Jeśli obsługa administracyjna się powiedzie, interfejs API utworzy obiekt devices
, który powiąże urządzenie z firmą.
Interfejs Android Management API używa tokenów rejestracji do aktywowania procesu obsługi administracyjnej. Token rejestracji i metoda obsługi administracyjnej, których używasz, określają własność urządzenia (należące do osoby prywatnej lub firmy) i tryb zarządzania (profil służbowy lub w pełni zarządzane urządzenie).
Urządzenia należące do osoby prywatnej
Androida 5.1 lub nowszego
Urządzenia należące do pracowników można skonfigurować przy użyciu profilu służbowego. Profil służbowy to osobna przestrzeń na służbowe aplikacje i dane, oddzielona od aplikacji i danych osobistych. Większość aplikacji, danych i innych funkcji zarządzania policies
ma zastosowanie tylko do profilu służbowego, a prywatne aplikacje i dane pracownika pozostają prywatne.
Aby skonfigurować profil służbowy na urządzeniu należącym do Ciebie, utwórz token rejestracji (upewnij się, że allowPersonalUsage
ma wartość PERSONAL_USAGE_ALLOWED
) i użyj jednej z tych metod udostępniania:
- Dodawanie profilu służbowego w sekcji „Ustawienia”
- Pobieranie Android Device Policy
- Link do tokena rejestracji
- URL logowania
Urządzenia należące do firmy do użytku osobistego i służbowego
Android 8 lub nowszy,
Skonfigurowanie profilu służbowego na urządzeniu należącym do firmy umożliwia korzystanie z niego zarówno do pracy, jak i do użytku osobistego. Na urządzeniach należących do firmy z profilami służbowymi:
- Większość aplikacji, danych i innych funkcji zarządzania (
policies
) ma zastosowanie tylko do profilu służbowego. - Profil osobisty pracownika pozostanie prywatny. Firmy mogą jednak egzekwować pewne zasady dotyczące wszystkich urządzeń i zasady użytkowania osobistego.
- Firmy mogą używać
blockScope
do egzekwowania działań dotyczących zgodności na całym urządzeniu lub tylko w profilu służbowym. - Polecenia
devices.delete
i polecenia dotyczące urządzenia dotyczą całego urządzenia.
Aby skonfigurować urządzenie należące do firmy za pomocą profilu służbowego, utwórz token rejestracji (upewnij się, że allowPersonalUsage
ma wartość PERSONAL_USAGE_ALLOWED
) i użyj jednej z tych metod udostępniania:
Urządzenia należące do firmy tylko do użytku służbowego
Androida 5.1 lub nowszego
Pełne zarządzanie urządzeniami jest dostępne w przypadku należących do firmy urządzeń przeznaczonych wyłącznie do celów służbowych. Firmy mogą zarządzać wszystkimi aplikacjami na urządzeniu i egzekwować pełny zakres zasad i poleceń interfejsu Android Management API.
Możesz też zablokować urządzenie (za pomocą zasad) i ustawić je dla jednej aplikacji lub niewielkiego zestawu aplikacji, które mają określony cel lub zastosowanie. Ten podzbiór w pełni zarządzanych urządzeń jest nazywany urządzeniami dedykowanymi.
Aby skonfigurować pełne zarządzanie na urządzeniu należącym do firmy, utwórz token rejestracji (sprawdź, czy ustawienie allowPersonalUsage
ma wartość PERSONAL_USAGE_DISALLOWED
) i użyj jednej z tych metod udostępniania:
- Rejestracja typu Zero-Touch
- Kod QR
- URL logowania (nieodpowiedni na urządzenia dedykowane)
- NFC
- Identyfikator DPC
Zasady mogą mieć wpływ na generowanie interfejsu użytkownika podczas obsługi administracyjnej urządzeń. Do takich zasad należą:
PasswordPolicyScope
: określa wymagania dotyczące haseł.PermittedInputMethods
: określa metody przesyłania pakietów.PermittedAccessibilityServices
: określa, które usługi ułatwień dostępu są dozwolone na urządzeniach w pełni zarządzanych i w profilach służbowych.SetupActions
: określa, jakie działania są wykonywane podczas konfiguracji.ApplicationsPolicy
: określa zasady dla danej aplikacji.
Jeśli chcesz, aby podczas obsługi administracyjnej urządzenia instrukcje były wyświetlane wraz z instalacją służbowych aplikacji i kart rejestru urządzeń, zalecamy zaktualizowanie zasad, aby opóźniły rozpoczęcie generowania interfejsu. Aby to zrobić, pozostaw urządzenie w stanie kwarantanny, co ma miejsce, jeśli zostanie zarejestrowane bez powiązanych zasad, do momentu określenia ostatecznej zasady dotyczącej konfiguracji urządzenia, w której wyświetlane są elementy odpowiadające Twoim potrzebom. Po zakończeniu obsługi administracyjnej urządzenia możesz zmienić zasady zgodnie z potrzebami.
Tworzenie tokena rejestracji
Musisz mieć token rejestracji dla każdego urządzenia, które chcesz zarejestrować (możesz użyć tego samego tokena dla wielu urządzeń). Aby poprosić o token rejestracji, wywołaj enterprises.enrollmentTokens.create
.
Tokeny rejestracji domyślnie tracą ważność po 1 godzinie, ale możesz określić niestandardowy czas ważności (duration
) wynoszący około 10 000 lat.
Żądanie zakończone powodzeniem zwraca obiekt enrollmentToken
zawierający enrollmentTokenId
i qrcode
, których administratorzy IT i użytkownicy mogą używać do obsługi administracyjnej urządzeń.
Określ zasadę
Możesz też określić policyName
w żądaniu, aby zastosować zasadę jednocześnie z rejestrowaniem urządzenia. Jeśli nie określisz policyName
, przeczytaj artykuł Rejestrowanie urządzenia bez zasad.
Określanie użytkownika
Zasób enrollmentTokens
zawiera pole userAccountIdentifier
. Jeśli nie określisz identyfikatora userAccountIdentifier
, interfejs API dyskretnie utworzy nowe, niepowtarzalne konto za każdym razem, gdy urządzenie zostanie zarejestrowane przy użyciu tokena rejestracji.
Jeśli określisz właściwość userAccountIdentifier
, która nie została aktywowana na urządzeniu, interfejs API dyskretnie utworzy konto z identyfikatorem, gdy urządzenie zostanie zarejestrowane przy użyciu tokena rejestracji.
Jeśli określisz obiekt userAccountIdentifier
, który został wcześniej aktywowany na innym urządzeniu, interfejs API ponownie wykorzysta obecnego użytkownika i aktywuje go na każdym urządzeniu, które zostało zarejestrowane przy użyciu tokena rejestracji. Sprawdzona metoda: konto powinno być aktywowane na maksymalnie 10 urządzeniach.
Określ użytek osobisty
allowPersonalUsage
określa, czy profil służbowy można dodać do urządzenia podczas obsługi administracyjnej. Ustaw jako PERSONAL_USAGE_ALLOWED
, aby zezwolić użytkownikowi na tworzenie profili służbowych (wymagane w przypadku urządzeń należących do firmy, opcjonalne w przypadku urządzeń należących do firmy).
Informacje o kodach QR
Kody QR stanowią skuteczną metodę udostępniania urządzeń w firmach, które stosują wiele różnych zasad. Kod QR zwrócony z enterprises.enrollmentTokens.create
składa się z ładunku par klucz-wartość zawierającego token rejestracji i wszystkie informacje potrzebne do obsługi urządzenia przez Android Device Policy.
Przykładowy pakiet kodów QR
Pakiet zawiera lokalizację pobierania aplikacji Android Device Policy i token rejestracji.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
}
}
Możesz użyć kodu QR zwróconego przez enterprises.enrollmentTokens.create
bezpośrednio lub dostosować go. Pełną listę właściwości, które można uwzględnić w pakiecie z kodem QR, znajdziesz w artykule Tworzenie kodu QR.
Aby przekonwertować ciąg qrcode
na kod QR, który można zeskanować, użyj generatora kodów QR, np. ZXing.
Metody obsługi administracyjnej
W tej sekcji opisujemy różne metody obsługi administracyjnej urządzenia.
Dodawanie profilu służbowego w sekcji „Ustawienia”
Androida 5.1 lub nowszego
Aby skonfigurować profil służbowy na swoim urządzeniu, użytkownik może:
- Otwórz Ustawienia > Google > Konfiguracja i przywracanie.
- Kliknij Skonfiguruj profil służbowy.
Te kroki uruchamiają kreatora konfiguracji, który pobiera aplikację Android Device Policy na urządzenie. Następnie użytkownik zostanie poproszony o zeskanowanie kodu QR lub ręczne wpisanie tokena rejestracji, aby dokończyć konfigurację profilu służbowego.
Pobierz Android Device Policy
Androida 5.1 lub nowszego
Aby skonfigurować profil służbowy na urządzeniu, użytkownik może pobrać aplikację Android Device Policy ze Sklepu Google Play. Po zainstalowaniu aplikacji użytkownik zostanie poproszony o kod QR lub ręcznie wpisze token rejestracji, aby dokończyć konfigurację profilu służbowego.
Link do tokena rejestracji
Androida 5.1 lub nowszego
Za pomocą tokena rejestracji zwróconego z enrollmentTokens.create
lub signinEnrollmentToken
firmy (patrz URL logowania poniżej) wygeneruj adres URL w tym formacie:
https://enterprise.google.com/android/enroll?et=<enrollmentToken>
Możesz podać ten adres URL administratorom IT, którzy mogą przekazać go użytkownikom. Gdy użytkownik kliknie link na swoim urządzeniu, zostanie poproszony o konfigurację profilu służbowego.
Adres URL logowania
W przypadku tej metody użytkownicy otrzymują adres URL z prośbą o podanie danych logowania. Na podstawie jego danych logowania możesz obliczyć odpowiednie zasady dla użytkownika, zanim przejdziesz do obsługi administracyjnej urządzenia. Na przykład:
Podaj adres URL logowania w
enterprises.signInDetails[]
. UstawallowPersonalUsage
naPERSONAL_USAGE_ALLOWED
, jeśli chcesz zezwolić użytkownikowi na tworzenie profilu służbowego (wymagane w przypadku urządzeń należących do firmy, opcjonalnie w przypadku urządzeń należących do firmy).Dodaj wynik
signinEnrollmentToken
jako dodatkowy do obsługi administracyjnej do kodu QR, ładunku NFC lub konfiguracji rejestracji typu zero-touch. Możesz też udostępnić właściwośćsigninEnrollmentToken
bezpośrednio użytkownikom.Wybierz opcję:
- Urządzenia należące do firmy: po włączeniu nowego urządzenia lub zresetowaniu go do ustawień fabrycznych przekaż mu
signinEnrollmentToken
(za pomocą kodu QR, NFC itp.) lub poproś użytkownika o ręczne wpisanie tokena. Urządzenie otworzy adres URL logowania określony w kroku 1. - Urządzenia własne: poproś użytkowników o dodanie profilu służbowego w „Ustawieniach”. Gdy pojawi się prośba, użytkownik zeskanuje kod QR zawierający
signinEnrollmentToken
lub wpisze token ręcznie. Urządzenie otworzy adres URL logowania określony w kroku 1. - Urządzenia należące do osoby fizycznej: udostępnij użytkownikom link do tokena rejestracji, w którym token rejestracji to
signinEnrollmentToken
. Urządzenie otworzy adres URL logowania określony w kroku 1.
- Urządzenia należące do firmy: po włączeniu nowego urządzenia lub zresetowaniu go do ustawień fabrycznych przekaż mu
Adres URL logowania powinien zachęcać użytkowników do podania danych logowania. Na podstawie ich tożsamości można określić odpowiednią zasadę.
Wywołaj metodę
enrollmentTokens.create
, podając odpowiednią wartośćpolicyId
na podstawie danych logowania użytkownika.Zwróć token rejestracji wygenerowany w kroku 4 za pomocą przekierowania adresu URL w formularzu
https://enterprise.google.com/android/enroll?et=<token>
.
Metoda z użyciem kodu QR
Android 7.0 lub nowszy
Aby udostępnić urządzenie należące do firmy, możesz wygenerować kod QR i wyświetlić go w konsoli EMM:
- Na nowym urządzeniu lub urządzeniu z przywróconymi ustawieniami fabrycznymi użytkownik (zwykle jest to administrator IT) klika ekran 6 razy w tym samym miejscu. Spowoduje to wysłanie do użytkownika prośby o zeskanowanie kodu QR.
- Użytkownik zeskanuje kod QR, który wyświetla się w konsoli zarządzania (lub podobnej aplikacji), aby zarejestrować i udostępnić urządzenie.
Metoda NFC
Androida 6.0 lub nowszego
Ta metoda wymaga utworzenia aplikacji programisty NFC, która zawiera token rejestracji, początkowe zasady, konfigurację Wi-Fi i ustawienia oraz wszystkie inne szczegóły dotyczące obsługi administracyjnej wymagane przez klienta w celu udostępnienia w pełni zarządzanego lub dedykowanego urządzenia. Gdy Ty lub Twój klient zainstalujecie aplikację programisty NFC na urządzeniu z Androidem, urządzenie to staje się programem programisty.
Szczegółowe wskazówki dotyczące obsługi metody NFC znajdziesz w dokumentacji dla programistów interfejsu Play EMM API. Zawiera ona też przykładowy kod parametrów domyślnych przesyłanych na urządzenie podczas komunikacji NFC. Aby zainstalować Android Device Policy, ustaw lokalizację pobierania pakietu administratora urządzenia na:
https://play.google.com/managed/downloadManagingApp?identifier=setup
Metoda identyfikatora DPC
Jeśli nie można dodać aplikacji Android Device Policy za pomocą kodu QR lub NFC, użytkownik albo administrator IT może wykonać te czynności, aby udostępnić urządzenie należące do firmy:
- Postępuj zgodnie z kreatorem konfiguracji na nowym urządzeniu lub urządzeniu z przywróconymi ustawieniami fabrycznymi.
- Wpisz dane logowania do Wi-Fi, by połączyć urządzenie z internetem.
- Gdy pojawi się prośba o zalogowanie, wpisz kod afw#setup, który spowoduje pobranie aplikacji Android Device Policy.
- Zeskanuj kod QR lub ręcznie wpisz token rejestracji, aby udostępnić urządzenie.
Rejestracja typu zero-touch
Android 8.0 lub nowszy (Pixel 7.1 i nowsze)
Urządzenia kupione u autoryzowanego sprzedawcy obsługującego rejestrację typu zero-touch można stosować do rejestracji typu zero-touch, czyli uproszczonej metody wstępnej konfiguracji urządzeń – automatycznej obsługi administracyjnej przy pierwszym uruchomieniu.
Organizacje mogą tworzyć konfiguracje zawierające szczegóły obsługi administracyjnej urządzeń obsługujących rejestrację typu zero-touch, korzystając z portalu rejestracji typu zero-touch lub w konsoli EMM (zobacz Interfejs API dla klientów korzystających z rejestracji typu zero-touch). Przy pierwszym uruchomieniu urządzenie do rejestracji typu zero-touch sprawdza, czy zostało do niego przypisane konfigurację. Jeśli tak się stanie, urządzenie pobierze aplikację Android Device Policy, która następnie kończy konfigurację urządzenia przy użyciu dodatkowych ustawień obsługi administracyjnej określonych w przypisanej konfiguracji.
Jeśli Twoi klienci korzystają z portalu rejestracji typu zero-touch, muszą wybrać Android Device Policy jako dostawcę usług EMM dla każdej tworzonej konfiguracji. Szczegółowe instrukcje korzystania z portalu, w tym informacje o tworzeniu i przypisywaniu konfiguracji do urządzeń, znajdziesz w Centrum pomocy Androida Enterprise.
Jeśli chcesz, by klienci ustawiali i przypisali konfiguracje bezpośrednio w konsoli EMM, musisz przeprowadzić integrację z interfejsem API typu zero-touch dla klientów.
Podczas tworzenia konfiguracji dodatki do obsługi administracyjnej określasz w polu dpcExtras
. Poniższy fragment kodu JSON zawiera podstawowy przykład tego, co należy umieścić w pliku dpcExtras
z dodanym tokenem logowania.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
}
}
Uruchamianie aplikacji podczas konfiguracji
W policies
możesz określić jedną aplikację Android Device Policy, która zostanie uruchomiona podczas konfigurowania urządzenia lub profilu służbowego. Możesz na przykład uruchomić aplikację VPN, aby użytkownicy
mogli skonfigurować ustawienia VPN w ramach procesu konfiguracji. Aplikacja musi zwrócić kod RESULT_OK
, aby zasygnalizować zakończenie działania i zezwolić Android Device Policy na dokończenie obsługi administracyjnej urządzenia lub profilu służbowego. Aby uruchomić aplikację podczas konfiguracji:
Upewnij się, że pole installType
aplikacji to REQUIRED_FOR_SETUP
. Jeśli aplikacji nie można zainstalować ani uruchomić na urządzeniu, obsługa administracyjna się nie powiedzie.
{
"applications":[
{
"packageName":"com.my.vpnapp.",
"installType":"REQUIRED_FOR_SETUP"
}
]
}
Dodaj nazwę pakietu aplikacji do setupActions
. Użyj właściwości title
i description
, aby określić instrukcje dla użytkowników.
{
"setupActions":[
{
"title":{
"defaultMessage":"Configure VPN"
},
"description":{
"defaultMessage":"Enable your VPN client to access corporate resources."
},
"launchApp":{
"packageName":"com.my.vpnapp."
}
}
]
}
Aby można było odróżnić, że aplikacja jest uruchamiana z launchApp
, aktywność uruchamiana po raz pierwszy jako część aplikacji zawiera dodatkową intencję logiczna com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION
(ustawioną na true
). Dzięki temu możesz dostosować aplikację w zależności od tego, czy została uruchomiona w setupActions
czy przez użytkownika.
Po zwróceniu przez aplikację pakietu RESULT_OK
usługa Android Device Policy wykona wszystkie pozostałe czynności wymagane do udostępnienia urządzenia lub profilu służbowego.
Anulowanie rejestracji podczas konfiguracji
Aplikacja uruchamiana jako SetupAction może anulować rejestrację, aby zwrócić RESULT_CANCELED
.
Anulowanie rejestracji spowoduje zresetowanie urządzenia należącego do firmy lub usunięcie profilu służbowego na urządzeniu należącym do firmy.
Uwaga: anulowanie rejestracji powoduje uruchomienie działania bez okna potwierdzenia przez użytkownika. Zadaniem aplikacji jest wyświetlenie użytkownikowi odpowiedniego okna błędu przed zwróceniem wyniku.
Stosowanie zasad do nowo zarejestrowanych urządzeń
Sposób stosowania zasad do nowo zarejestrowanych urządzeń zależy od Ciebie i wymagań Twoich klientów. Przedstawiamy 3 metody:
(Zalecane) Podczas tworzenia tokena rejestracji możesz określić nazwę zasady (
policyName
), która będzie początkowo powiązana z urządzeniem. Gdy zarejestrujesz urządzenie za pomocą tokena, zasady zostaną na nim automatycznie zastosowane.Ustaw zasadę jako domyślną zasadę przedsiębiorstwa. Jeśli w tokenie rejestracji nie określono nazwy zasady i istnieje zasada o nazwie
enterprises/<enterprise_id>/policies/default
, każde nowe urządzenie jest automatycznie łączone z zasadą domyślną w momencie rejestracji.Zasubskrybuj temat Cloud Pub/Sub, aby otrzymywać powiadomienia o nowo zarejestrowanych urządzeniach. W odpowiedzi na powiadomienie
ENROLLMENT
wywołajenterprises.devices.patch
, aby połączyć urządzenie z zasadami.
Rejestrowanie urządzenia bez zasad
Jeśli urządzenie jest zarejestrowane bez prawidłowej zasady, jest umieszczane w kwarantannie. Na urządzeniach objętych kwarantanną dostęp do wszystkich funkcji urządzenia jest zablokowany, dopóki nie zostanie ono połączone z zasadami.
Jeśli urządzenie nie jest powiązane z zasadami w ciągu 5 minut, rejestracja urządzenia nie powiedzie się i zostanie przywrócone do ustawień fabrycznych. Stan urządzenia objętego kwarantanną umożliwia wdrożenie testów licencjonowania lub innych procesów weryfikacji rejestracji w ramach rozwiązania.
Przykładowy proces sprawdzania licencjonowania
- Urządzenie jest zarejestrowane bez domyślnej zasady lub konkretnej zasady.
- Sprawdź, ile licencji zostało jeszcze dla firmy.
- Jeśli są dostępne licencje, za pomocą
devices.patch
dołącz zasadę do urządzenia, a następnie zmniejsz liczbę licencji. Jeśli nie ma dostępnych licencji, wyłącz urządzenie za pomocądevices.patch
. Oprócz tego interfejs API przywraca ustawienia fabryczne wszystkich urządzeń, które nie są dołączone do zasad, w ciągu 5 minut od rejestracji.