Rejestrowanie i udostępnianie urządzenia

Obsługa administracyjna to konfigurowanie urządzenia, które ma być zarządzane za pomocą policies przez enterprise. W trakcie tego procesu urządzenie instaluje aplikację Android Device Policy, która służy do odbierania i wymuszania stosowania policies. Jeśli obsługa administracyjna się powiedzie, interfejs API utworzy obiekt devices, który powiąże urządzenie z firmą.

Interfejs Android Management API używa tokenów rejestracji do aktywowania procesu obsługi administracyjnej. Token rejestracji i metoda obsługi administracyjnej, których używasz, określają własność urządzenia (należące do osoby prywatnej lub firmy) i tryb zarządzania (profil służbowy lub w pełni zarządzane urządzenie).

Urządzenia należące do osoby prywatnej

Androida 5.1 lub nowszego

Urządzenia należące do pracowników można skonfigurować przy użyciu profilu służbowego. Profil służbowy to osobna przestrzeń na służbowe aplikacje i dane, oddzielona od aplikacji i danych osobistych. Większość aplikacji, danych i innych funkcji zarządzania policies ma zastosowanie tylko do profilu służbowego, a prywatne aplikacje i dane pracownika pozostają prywatne.

Aby skonfigurować profil służbowy na urządzeniu należącym do Ciebie, utwórz token rejestracji (upewnij się, że allowPersonalUsage ma wartość PERSONAL_USAGE_ALLOWED) i użyj jednej z tych metod udostępniania:

Urządzenia należące do firmy do użytku osobistego i służbowego

Android 8 lub nowszy,

Skonfigurowanie profilu służbowego na urządzeniu należącym do firmy umożliwia korzystanie z niego zarówno do pracy, jak i do użytku osobistego. Na urządzeniach należących do firmy z profilami służbowymi:

Aby skonfigurować urządzenie należące do firmy za pomocą profilu służbowego, utwórz token rejestracji (upewnij się, że allowPersonalUsage ma wartość PERSONAL_USAGE_ALLOWED) i użyj jednej z tych metod udostępniania:

Urządzenia należące do firmy tylko do użytku służbowego

Androida 5.1 lub nowszego

Pełne zarządzanie urządzeniami jest dostępne w przypadku należących do firmy urządzeń przeznaczonych wyłącznie do celów służbowych. Firmy mogą zarządzać wszystkimi aplikacjami na urządzeniu i egzekwować pełny zakres zasad i poleceń interfejsu Android Management API.

Możesz też zablokować urządzenie (za pomocą zasad) i ustawić je dla jednej aplikacji lub niewielkiego zestawu aplikacji, które mają określony cel lub zastosowanie. Ten podzbiór w pełni zarządzanych urządzeń jest nazywany urządzeniami dedykowanymi.

Aby skonfigurować pełne zarządzanie na urządzeniu należącym do firmy, utwórz token rejestracji (sprawdź, czy ustawienie allowPersonalUsage ma wartość PERSONAL_USAGE_DISALLOWED) i użyj jednej z tych metod udostępniania:

Zasady mogą mieć wpływ na generowanie interfejsu użytkownika podczas obsługi administracyjnej urządzeń. Do takich zasad należą:

Jeśli chcesz, aby podczas obsługi administracyjnej urządzenia instrukcje były wyświetlane wraz z instalacją służbowych aplikacji i kart rejestru urządzeń, zalecamy zaktualizowanie zasad, aby opóźniły rozpoczęcie generowania interfejsu. Aby to zrobić, pozostaw urządzenie w stanie kwarantanny, co ma miejsce, jeśli zostanie zarejestrowane bez powiązanych zasad, do momentu określenia ostatecznej zasady dotyczącej konfiguracji urządzenia, w której wyświetlane są elementy odpowiadające Twoim potrzebom. Po zakończeniu obsługi administracyjnej urządzenia możesz zmienić zasady zgodnie z potrzebami.


Tworzenie tokena rejestracji

Omówienie Zarządzania urządzeniami z Androidem.
Rysunek 1. Utwórz token, który rejestruje i stosuje „policy1” do urządzeń. Token wygasa po 1800 sekundach (30 minutach).

Musisz mieć token rejestracji dla każdego urządzenia, które chcesz zarejestrować (możesz użyć tego samego tokena dla wielu urządzeń). Aby poprosić o token rejestracji, wywołaj enterprises.enrollmentTokens.create. Tokeny rejestracji domyślnie tracą ważność po 1 godzinie, ale możesz określić niestandardowy czas ważności (duration) wynoszący około 10 000 lat.

Żądanie zakończone powodzeniem zwraca obiekt enrollmentToken zawierający enrollmentTokenId i qrcode, których administratorzy IT i użytkownicy mogą używać do obsługi administracyjnej urządzeń.

Określ zasadę

Możesz też określić policyName w żądaniu, aby zastosować zasadę jednocześnie z rejestrowaniem urządzenia. Jeśli nie określisz policyName, przeczytaj artykuł Rejestrowanie urządzenia bez zasad.

Określanie użytkownika

Zasób enrollmentTokens zawiera pole userAccountIdentifier. Jeśli nie określisz identyfikatora userAccountIdentifier, interfejs API dyskretnie utworzy nowe, niepowtarzalne konto za każdym razem, gdy urządzenie zostanie zarejestrowane przy użyciu tokena rejestracji.

Jeśli określisz właściwość userAccountIdentifier, która nie została aktywowana na urządzeniu, interfejs API dyskretnie utworzy konto z identyfikatorem, gdy urządzenie zostanie zarejestrowane przy użyciu tokena rejestracji.

Jeśli określisz obiekt userAccountIdentifier, który został wcześniej aktywowany na innym urządzeniu, interfejs API ponownie wykorzysta obecnego użytkownika i aktywuje go na każdym urządzeniu, które zostało zarejestrowane przy użyciu tokena rejestracji. Sprawdzona metoda: konto powinno być aktywowane na maksymalnie 10 urządzeniach.

Określ użytek osobisty

allowPersonalUsage określa, czy profil służbowy można dodać do urządzenia podczas obsługi administracyjnej. Ustaw jako PERSONAL_USAGE_ALLOWED, aby zezwolić użytkownikowi na tworzenie profili służbowych (wymagane w przypadku urządzeń należących do firmy, opcjonalne w przypadku urządzeń należących do firmy).


Informacje o kodach QR

Kody QR stanowią skuteczną metodę udostępniania urządzeń w firmach, które stosują wiele różnych zasad. Kod QR zwrócony z enterprises.enrollmentTokens.create składa się z ładunku par klucz-wartość zawierającego token rejestracji i wszystkie informacje potrzebne do obsługi urządzenia przez Android Device Policy.

Przykładowy pakiet kodów QR

Pakiet zawiera lokalizację pobierania aplikacji Android Device Policy i token rejestracji.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Możesz użyć kodu QR zwróconego przez enterprises.enrollmentTokens.create bezpośrednio lub dostosować go. Pełną listę właściwości, które można uwzględnić w pakiecie z kodem QR, znajdziesz w artykule Tworzenie kodu QR.

Aby przekonwertować ciąg qrcode na kod QR, który można zeskanować, użyj generatora kodów QR, np. ZXing.


Metody obsługi administracyjnej

W tej sekcji opisujemy różne metody obsługi administracyjnej urządzenia.

Dodawanie profilu służbowego w sekcji „Ustawienia”

Androida 5.1 lub nowszego

Aby skonfigurować profil służbowy na swoim urządzeniu, użytkownik może:

  1. Otwórz Ustawienia > Google > Konfiguracja i przywracanie.
  2. Kliknij Skonfiguruj profil służbowy.

Te kroki uruchamiają kreatora konfiguracji, który pobiera aplikację Android Device Policy na urządzenie. Następnie użytkownik zostanie poproszony o zeskanowanie kodu QR lub ręczne wpisanie tokena rejestracji, aby dokończyć konfigurację profilu służbowego.

Pobierz Android Device Policy

Androida 5.1 lub nowszego

Aby skonfigurować profil służbowy na urządzeniu, użytkownik może pobrać aplikację Android Device Policy ze Sklepu Google Play. Po zainstalowaniu aplikacji użytkownik zostanie poproszony o kod QR lub ręcznie wpisze token rejestracji, aby dokończyć konfigurację profilu służbowego.

Androida 5.1 lub nowszego

Za pomocą tokena rejestracji zwróconego z enrollmentTokens.create lub signinEnrollmentToken firmy (patrz URL logowania poniżej) wygeneruj adres URL w tym formacie:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Możesz podać ten adres URL administratorom IT, którzy mogą przekazać go użytkownikom. Gdy użytkownik kliknie link na swoim urządzeniu, zostanie poproszony o konfigurację profilu służbowego.

Adres URL logowania

W przypadku tej metody użytkownicy otrzymują adres URL z prośbą o podanie danych logowania. Na podstawie jego danych logowania możesz obliczyć odpowiednie zasady dla użytkownika, zanim przejdziesz do obsługi administracyjnej urządzenia. Na przykład:

  1. Podaj adres URL logowania w enterprises.signInDetails[]. Ustaw allowPersonalUsage na PERSONAL_USAGE_ALLOWED, jeśli chcesz zezwolić użytkownikowi na tworzenie profilu służbowego (wymagane w przypadku urządzeń należących do firmy, opcjonalnie w przypadku urządzeń należących do firmy).

    Dodaj wynik signinEnrollmentToken jako dodatkowy do obsługi administracyjnej do kodu QR, ładunku NFC lub konfiguracji rejestracji typu zero-touch. Możesz też udostępnić właściwość signinEnrollmentToken bezpośrednio użytkownikom.

  2. Wybierz opcję:

    1. Urządzenia należące do firmy: po włączeniu nowego urządzenia lub zresetowaniu go do ustawień fabrycznych przekaż mu signinEnrollmentToken (za pomocą kodu QR, NFC itp.) lub poproś użytkownika o ręczne wpisanie tokena. Urządzenie otworzy adres URL logowania określony w kroku 1.
    2. Urządzenia własne: poproś użytkowników o dodanie profilu służbowego w „Ustawieniach”. Gdy pojawi się prośba, użytkownik zeskanuje kod QR zawierający signinEnrollmentToken lub wpisze token ręcznie. Urządzenie otworzy adres URL logowania określony w kroku 1.
    3. Urządzenia należące do osoby fizycznej: udostępnij użytkownikom link do tokena rejestracji, w którym token rejestracji to signinEnrollmentToken. Urządzenie otworzy adres URL logowania określony w kroku 1.
  3. Adres URL logowania powinien zachęcać użytkowników do podania danych logowania. Na podstawie ich tożsamości można określić odpowiednią zasadę.

  4. Wywołaj metodę enrollmentTokens.create, podając odpowiednią wartość policyId na podstawie danych logowania użytkownika.

  5. Zwróć token rejestracji wygenerowany w kroku 4 za pomocą przekierowania adresu URL w formularzu https://enterprise.google.com/android/enroll?et=<token>.

Metoda z użyciem kodu QR

Android 7.0 lub nowszy

Aby udostępnić urządzenie należące do firmy, możesz wygenerować kod QR i wyświetlić go w konsoli EMM:

  1. Na nowym urządzeniu lub urządzeniu z przywróconymi ustawieniami fabrycznymi użytkownik (zwykle jest to administrator IT) klika ekran 6 razy w tym samym miejscu. Spowoduje to wysłanie do użytkownika prośby o zeskanowanie kodu QR.
  2. Użytkownik zeskanuje kod QR, który wyświetla się w konsoli zarządzania (lub podobnej aplikacji), aby zarejestrować i udostępnić urządzenie.

Metoda NFC

Androida 6.0 lub nowszego

Ta metoda wymaga utworzenia aplikacji programisty NFC, która zawiera token rejestracji, początkowe zasady, konfigurację Wi-Fi i ustawienia oraz wszystkie inne szczegóły dotyczące obsługi administracyjnej wymagane przez klienta w celu udostępnienia w pełni zarządzanego lub dedykowanego urządzenia. Gdy Ty lub Twój klient zainstalujecie aplikację programisty NFC na urządzeniu z Androidem, urządzenie to staje się programem programisty.

Szczegółowe wskazówki dotyczące obsługi metody NFC znajdziesz w dokumentacji dla programistów interfejsu Play EMM API. Zawiera ona też przykładowy kod parametrów domyślnych przesyłanych na urządzenie podczas komunikacji NFC. Aby zainstalować Android Device Policy, ustaw lokalizację pobierania pakietu administratora urządzenia na:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Metoda identyfikatora DPC

Jeśli nie można dodać aplikacji Android Device Policy za pomocą kodu QR lub NFC, użytkownik albo administrator IT może wykonać te czynności, aby udostępnić urządzenie należące do firmy:

  1. Postępuj zgodnie z kreatorem konfiguracji na nowym urządzeniu lub urządzeniu z przywróconymi ustawieniami fabrycznymi.
  2. Wpisz dane logowania do Wi-Fi, by połączyć urządzenie z internetem.
  3. Gdy pojawi się prośba o zalogowanie, wpisz kod afw#setup, który spowoduje pobranie aplikacji Android Device Policy.
  4. Zeskanuj kod QR lub ręcznie wpisz token rejestracji, aby udostępnić urządzenie.

Rejestracja typu zero-touch

Android 8.0 lub nowszy (Pixel 7.1 i nowsze)

Urządzenia kupione u autoryzowanego sprzedawcy obsługującego rejestrację typu zero-touch można stosować do rejestracji typu zero-touch, czyli uproszczonej metody wstępnej konfiguracji urządzeń – automatycznej obsługi administracyjnej przy pierwszym uruchomieniu.

Organizacje mogą tworzyć konfiguracje zawierające szczegóły obsługi administracyjnej urządzeń obsługujących rejestrację typu zero-touch, korzystając z portalu rejestracji typu zero-touch lub w konsoli EMM (zobacz Interfejs API dla klientów korzystających z rejestracji typu zero-touch). Przy pierwszym uruchomieniu urządzenie do rejestracji typu zero-touch sprawdza, czy zostało do niego przypisane konfigurację. Jeśli tak się stanie, urządzenie pobierze aplikację Android Device Policy, która następnie kończy konfigurację urządzenia przy użyciu dodatkowych ustawień obsługi administracyjnej określonych w przypisanej konfiguracji.

Jeśli Twoi klienci korzystają z portalu rejestracji typu zero-touch, muszą wybrać Android Device Policy jako dostawcę usług EMM dla każdej tworzonej konfiguracji. Szczegółowe instrukcje korzystania z portalu, w tym informacje o tworzeniu i przypisywaniu konfiguracji do urządzeń, znajdziesz w Centrum pomocy Androida Enterprise.

Jeśli chcesz, by klienci ustawiali i przypisali konfiguracje bezpośrednio w konsoli EMM, musisz przeprowadzić integrację z interfejsem API typu zero-touch dla klientów. Podczas tworzenia konfiguracji dodatki do obsługi administracyjnej określasz w polu dpcExtras. Poniższy fragment kodu JSON zawiera podstawowy przykład tego, co należy umieścić w pliku dpcExtras z dodanym tokenem logowania.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Uruchamianie aplikacji podczas konfiguracji

konfiguracja
Rysunek 2. Użyj setupActions, by uruchomić aplikację podczas konfiguracji.

W policies możesz określić jedną aplikację Android Device Policy, która zostanie uruchomiona podczas konfigurowania urządzenia lub profilu służbowego. Możesz na przykład uruchomić aplikację VPN, aby użytkownicy mogli skonfigurować ustawienia VPN w ramach procesu konfiguracji. Aplikacja musi zwrócić kod RESULT_OK, aby zasygnalizować zakończenie działania i zezwolić Android Device Policy na dokończenie obsługi administracyjnej urządzenia lub profilu służbowego. Aby uruchomić aplikację podczas konfiguracji:

Upewnij się, że pole installType aplikacji to REQUIRED_FOR_SETUP. Jeśli aplikacji nie można zainstalować ani uruchomić na urządzeniu, obsługa administracyjna się nie powiedzie.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Dodaj nazwę pakietu aplikacji do setupActions. Użyj właściwości title i description, aby określić instrukcje dla użytkowników.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Aby można było odróżnić, że aplikacja jest uruchamiana z launchApp, aktywność uruchamiana po raz pierwszy jako część aplikacji zawiera dodatkową intencję logiczna com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (ustawioną na true). Dzięki temu możesz dostosować aplikację w zależności od tego, czy została uruchomiona w setupActions czy przez użytkownika.

Po zwróceniu przez aplikację pakietu RESULT_OK usługa Android Device Policy wykona wszystkie pozostałe czynności wymagane do udostępnienia urządzenia lub profilu służbowego.

Anulowanie rejestracji podczas konfiguracji

Aplikacja uruchamiana jako SetupAction może anulować rejestrację, aby zwrócić RESULT_CANCELED.

Anulowanie rejestracji spowoduje zresetowanie urządzenia należącego do firmy lub usunięcie profilu służbowego na urządzeniu należącym do firmy.

Uwaga: anulowanie rejestracji powoduje uruchomienie działania bez okna potwierdzenia przez użytkownika. Zadaniem aplikacji jest wyświetlenie użytkownikowi odpowiedniego okna błędu przed zwróceniem wyniku.

Stosowanie zasad do nowo zarejestrowanych urządzeń

Sposób stosowania zasad do nowo zarejestrowanych urządzeń zależy od Ciebie i wymagań Twoich klientów. Przedstawiamy 3 metody:

  • (Zalecane) Podczas tworzenia tokena rejestracji możesz określić nazwę zasady (policyName), która będzie początkowo powiązana z urządzeniem. Gdy zarejestrujesz urządzenie za pomocą tokena, zasady zostaną na nim automatycznie zastosowane.

  • Ustaw zasadę jako domyślną zasadę przedsiębiorstwa. Jeśli w tokenie rejestracji nie określono nazwy zasady i istnieje zasada o nazwie enterprises/<enterprise_id>/policies/default, każde nowe urządzenie jest automatycznie łączone z zasadą domyślną w momencie rejestracji.

  • Zasubskrybuj temat Cloud Pub/Sub, aby otrzymywać powiadomienia o nowo zarejestrowanych urządzeniach. W odpowiedzi na powiadomienie ENROLLMENT wywołaj enterprises.devices.patch, aby połączyć urządzenie z zasadami.

Rejestrowanie urządzenia bez zasad

Jeśli urządzenie jest zarejestrowane bez prawidłowej zasady, jest umieszczane w kwarantannie. Na urządzeniach objętych kwarantanną dostęp do wszystkich funkcji urządzenia jest zablokowany, dopóki nie zostanie ono połączone z zasadami.

Jeśli urządzenie nie jest powiązane z zasadami w ciągu 5 minut, rejestracja urządzenia nie powiedzie się i zostanie przywrócone do ustawień fabrycznych. Stan urządzenia objętego kwarantanną umożliwia wdrożenie testów licencjonowania lub innych procesów weryfikacji rejestracji w ramach rozwiązania.

Przykładowy proces sprawdzania licencjonowania

  1. Urządzenie jest zarejestrowane bez domyślnej zasady lub konkretnej zasady.
  2. Sprawdź, ile licencji zostało jeszcze dla firmy.
  3. Jeśli są dostępne licencje, za pomocą devices.patch dołącz zasadę do urządzenia, a następnie zmniejsz liczbę licencji. Jeśli nie ma dostępnych licencji, wyłącz urządzenie za pomocą devices.patch. Oprócz tego interfejs API przywraca ustawienia fabryczne wszystkich urządzeń, które nie są dołączone do zasad, w ciągu 5 minut od rejestracji.