Регистрация и подготовка устройства

Инициализация — это процесс настройки устройства для управления с помощью policies enterprise . В ходе этого процесса на устройстве устанавливается Android Device Policy, которая используется для получения и применения policies . Если подготовка прошла успешно, API создает объект devices , привязывая устройство к предприятию.

Android Management API использует токены регистрации для запуска процесса подготовки. Используемый вами токен регистрации и метод подготовки определяют принадлежность устройства (личное или корпоративное) и режим управления (рабочий профиль или полностью управляемое устройство).

Личные устройства

Андроид 5.1+

На устройствах, принадлежащих сотрудникам, можно настроить рабочий профиль . Рабочий профиль предоставляет автономное пространство для рабочих приложений и данных, отдельное от личных приложений и данных. Большинство политик управления приложениями, данными и другими policies управления применяются только к рабочему профилю, в то время как личные приложения и данные сотрудника остаются конфиденциальными.

Чтобы настроить рабочий профиль на личном устройстве, создайте токен регистрации (убедитесь, что для allowPersonalUsage установлено значение PERSONAL_USAGE_ALLOWED ) и используйте один из следующих методов подготовки:

Корпоративные устройства для работы и личного использования

Андроид 8+

Настройка рабочего профиля на принадлежащем компании устройстве позволяет использовать его как для работы, так и для личного использования. На корпоративных устройствах с рабочими профилями:

  • Большинство policies управления приложениями, данными и другими политиками управления применяются только к рабочему профилю.
  • Личный профиль сотрудника остается закрытым. Однако предприятия могут применять определенные политики для всего устройства и политики личного использования .
  • Предприятия могут использовать blockScope для обеспечения соблюдения требований на всем устройстве или только на его рабочем профиле.
  • Команды devices.delete и устройства применяются ко всему устройству.

Чтобы настроить корпоративное устройство с рабочим профилем, создайте токен регистрации (убедитесь, что для allowPersonalUsage установлено значение PERSONAL_USAGE_ALLOWED ) и используйте один из следующих методов подготовки:

Корпоративные устройства только для рабочего использования.

Андроид 5.1+

Полное управление устройствами подходит для корпоративных устройств, предназначенных исключительно для рабочих целей. Предприятия могут управлять всеми приложениями на устройстве и применять весь спектр политик и команд Android Management API.

Также можно заблокировать устройство ( с помощью политики ) для одного приложения или небольшого набора приложений для определенной цели или варианта использования. Это подмножество полностью управляемых устройств называется выделенными устройствами . Для токенов регистрации для этих устройств allowPersonalUsage должно быть присвоено значение PERSONAL_USAGE_DISALLOWED_USERLESS .

Чтобы настроить полное управление на принадлежащем компании устройстве, создайте токен регистрации, убедившись, что для allowPersonalUsage установлено значение PERSONAL_USAGE_DISALLOWED или PERSONAL_USAGE_DISALLOWED_USERLESS , и используйте один из следующих методов подготовки.

Политики могут влиять на создание пользовательского интерфейса во время подготовки устройства. Такая политика:

  • PasswordPolicyScope : определяет требования к паролю.
  • PermittedInputMethods : определяет методы ввода пакета.
  • PermittedAccessibilityServices : определяет, какие службы доступности разрешены для полностью управляемых устройств и рабочего профиля.
  • SetupActions : определяет, какие действия выполняются во время установки.
  • ApplicationsPolicy : определяет политику для отдельного приложения.

Если вы хотите, чтобы шаги по вводу пароля отображались вместе с установкой рабочих приложений и карточек регистрации устройств во время подготовки устройства, мы предлагаем обновить ваши политики, чтобы задержать начало создания пользовательского интерфейса, оставив устройство в состоянии карантина , что происходит, если оно зарегистрировано без связанного policy, пока не будет указана окончательная выбранная политика для настройки устройства, заполненная элементами, соответствующими вашим потребностям в настройке. После завершения подготовки устройства вы можете изменить политику по мере необходимости.


Создайте токен регистрации

Обзор управления Android.
Рисунок 1. Создайте токен, который регистрирует и применяет «policy1» к устройствам. Через 1800 секунд (30 минут) срок действия токена истекает.

Вам понадобится токен регистрации для каждого устройства, которое вы хотите зарегистрировать (вы можете использовать один и тот же токен для нескольких устройств). Чтобы запросить токен регистрации, вызовите enterprises.enrollmentTokens.create . По умолчанию срок действия токенов регистрации истекает через один час, но вы можете указать собственный срок действия ( duration ) примерно до 10 000 лет.

Успешный запрос возвращает объект enrollmentToken содержащий enrollmentTokenId и qrcode , который ИТ-администраторы и конечные пользователи могут использовать для подготовки устройств.

Укажите политику

Вы также можете указать в запросе policyName , чтобы применить политику одновременно с регистрацией устройства. Если вы не указали имя policyName , см. раздел Регистрация устройства без политики .

Укажите личное использование

allowPersonalUsage определяет, можно ли добавить рабочий профиль на устройство во время подготовки. Установите значение PERSONAL_USAGE_ALLOWED , чтобы разрешить пользователю создавать рабочий профиль (обязательно для личных устройств и необязательно для корпоративных устройств).


О QR-кодах

QR-коды служат эффективным методом предоставления устройств для предприятий, которые поддерживают множество различных политик. QR-код, возвращенный из enterprises.enrollmentTokens.create состоит из полезных данных пар ключ-значение, содержащих токен регистрации и всю информацию, необходимую для политики устройств Android для подготовки устройства.

Пример пакета QR-кода

В комплект входит место загрузки Android Device Policy и токен регистрации.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Вы можете использовать QR-код, полученный из enterprises.enrollmentTokens.create напрямую или настроить его. Полный список свойств, которые вы можете включить в пакет QR-кода, см. в разделе Создание QR-кода .

Чтобы преобразовать строку qrcode в сканируемый QR-код, используйте генератор QR-кода, например ZXing .


Методы обеспечения

В этом разделе описаны различные методы подготовки устройства.

Добавить рабочий профиль из «Настройки»

Андроид 5.1+

Чтобы настроить рабочий профиль на своем устройстве, пользователь может:

  1. Откройте «Настройки» > «Google» > «Настройка и восстановление» .
  2. Нажмите «Настроить рабочий профиль» .

Эти шаги запускают мастер установки, который загружает политику устройства Android на устройство. Далее пользователю будет предложено отсканировать QR-код или вручную ввести токен регистрации, чтобы завершить настройку рабочего профиля.

Загрузить политику использования устройств Android

Андроид 5.1+

Чтобы настроить рабочий профиль на своем устройстве, пользователь может загрузить Android Device Policy из Google Play Store. После установки приложения пользователю будет предложено ввести QR-код или вручную ввести токен регистрации, чтобы завершить настройку рабочего профиля.

Андроид 5.1+

Используя токен регистрации, возвращенный из enrollmentTokens.create или корпоративный signinEnrollmentToken , сгенерируйте URL-адрес в следующем формате:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Вы можете предоставить этот URL-адрес ИТ-администраторам, которые смогут предоставить его своим конечным пользователям. Когда конечный пользователь откроет ссылку со своего устройства, он получит инструкции по настройке рабочего профиля.

URL-адрес для входа

При использовании этого метода пользователи перенаправляются на страницу для ввода любой дополнительной информации, необходимой для завершения подготовки. На основе информации, которую вводит пользователь, вы можете рассчитать соответствующую политику для пользователя, прежде чем приступить к подготовке устройства. Например:

  1. Укажите URL-адрес для входа в enterprises.signInDetails[] . Установите для allowPersonalUsage значение PERSONAL_USAGE_ALLOWED , если вы хотите разрешить пользователю создавать рабочий профиль (обязательно для личных устройств и необязательно для корпоративных устройств).

    Добавьте полученный signinEnrollmentToken в качестве дополнительного обеспечения в QR-код , полезную нагрузку NFC или конфигурацию автоматического управления . Альтернативно вы можете предоставить signinEnrollmentToken пользователям напрямую.

  2. Выберите вариант:

    1. Устройства, принадлежащие компании. После включения нового устройства или устройства с восстановленными заводскими настройками передайте устройству signinEnrollmentToken (с помощью QR-кода, NFC-отпечатка и т. д.) или попросите пользователей ввести токен вручную. Устройство откроет URL-адрес для входа, указанный на шаге 1.
    2. Личные устройства: попросите пользователей добавить рабочий профиль из «Настройки» . При появлении запроса пользователь сканирует QR-код, содержащий signinEnrollmentToken , или вводит токен вручную. Устройство откроет URL-адрес для входа, указанный на шаге 1.
    3. Личные устройства: предоставьте пользователям ссылку на токен регистрации , где токеном регистрации является signinEnrollmentToken . Устройство откроет URL-адрес для входа, указанный на шаге 1.
  3. Проверьте, выполнил ли Google уже аутентификацию пользователя. Получите информацию о подготовке устройства (во время регистрации устройства) с помощью параметра GET provisioningInfo и проверьте значение поля authenticatedUserEmail . Если в этом поле есть значение, пользователь уже был успешно аутентифицирован Google, и вы можете использовать это удостоверение без дальнейшей аутентификации.

  4. Если Google еще не выполнил аутентификацию пользователя, ваш URL-адрес для входа должен предлагать пользователям ввести свои учетные данные. На основе их личности вы можете определить соответствующую политику и получить информацию о подготовке устройства (во время регистрации устройства), используя параметр GET provisioningInfo .

  5. Вызовите enrollmentTokens.create , указав соответствующий policyId на основе учетных данных пользователя.

  6. Верните токен регистрации, созданный на шаге 5, с помощью перенаправления URL-адреса в форме https://enterprise.google.com/android/enroll?et=<token> .

Метод QR-кода

Андроид 7.0+

Чтобы предоставить корпоративное устройство, вы можете создать QR-код и отобразить его в консоли EMM:

  1. На новом устройстве или устройстве с восстановленными заводскими настройками пользователь (обычно ИТ-администратор) шесть раз коснется экрана в одном и том же месте. Это приводит к тому, что устройство предлагает пользователю отсканировать QR-код.
  2. Пользователь сканирует QR-код, который вы отображаете в консоли управления (или аналогичном приложении), чтобы зарегистрировать и подготовить устройство.

NFC-метод

Андроид 6.0+

Для этого метода необходимо создать приложение NFC-программатора, содержащее токен регистрации, исходные политики, конфигурацию, настройки Wi-Fi и все другие сведения о подготовке, необходимые вашему клиенту для подготовки полностью управляемого или выделенного устройства. Когда вы или ваш клиент устанавливаете приложение программатора NFC на устройство под управлением Android, это устройство становится программатором.

Подробные инструкции по поддержке метода NFC доступны в документации для разработчиков Play EMM API . На сайте также есть пример кода параметров по умолчанию, передаваемых на устройство при помощи NFC. Чтобы установить Android Device Policy, установите местоположение загрузки пакета администратора устройства:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Метод идентификатора DPC

Если политику устройств Android невозможно добавить с помощью QR-кода или NFC, пользователь или ИТ-администратор может выполнить следующие действия, чтобы предоставить корпоративное устройство:

  1. Следуйте указаниям мастера настройки на новом устройстве или устройстве с заводскими настройками.
  2. Введите данные для входа в Wi-Fi, чтобы подключить устройство к Интернету.
  3. При появлении запроса на вход введите afw#setup , который загрузит политику устройств Android.
  4. Отсканируйте QR-код или вручную введите токен регистрации, чтобы подготовить устройство.

Регистрация без участия пользователя

Android 8.0+ (Пиксель 7.1+)

Устройства, приобретенные у авторизованного автоматического реселлера, имеют право на автоматическую регистрацию — упрощенный метод предварительной настройки устройств для автоматической подготовки при первой загрузке.

Организации могут создавать конфигурации, содержащие сведения о подготовке для своих автоматических устройств, либо через портал автоматической регистрации , либо с помощью консоли EMM (см. API автоматической регистрации для клиентов ). При первой загрузке автоматическое устройство проверяет, назначена ли ему конфигурация. Если это так, устройство загружает политику устройства Android, которая затем завершает настройку устройства с использованием дополнительных возможностей подготовки, указанных в назначенной конфигурации.

Если ваши клиенты используют портал автоматической регистрации , им необходимо выбрать Android Device Policy в качестве EMM DPC для каждой создаваемой ими конфигурации. Подробные инструкции по использованию портала, в том числе по созданию и назначению конфигураций устройствам, доступны в справочном центре Android Enterprise .

Если вы предпочитаете, чтобы ваши клиенты устанавливали и назначали конфигурации непосредственно из вашей консоли EMM, вам необходимо интегрироваться с автоматизированным клиентским API . При создании конфигурации вы указываете дополнительные возможности подготовки в поле dpcExtras . В следующем фрагменте JSON показан базовый пример того, что следует включить в dpcExtras с добавленным токеном входа.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Запустите приложение во время установки

настройкадействие
Рисунок 2. Используйте setupActions для запуска приложения во время установки.

В policies вы можете указать одно приложение для Android Device Policy, которое будет запускаться во время настройки устройства или рабочего профиля. Например, вы можете запустить приложение VPN, чтобы пользователи могли настраивать параметры VPN в рамках процесса установки. Приложение должно вернуть RESULT_OK , чтобы сигнализировать о завершении и разрешить Android Device Policy завершить подготовку устройства или рабочего профиля. Чтобы запустить приложение во время установки:

Убедитесь, что installType приложения установлено значение REQUIRED_FOR_SETUP . Если приложение невозможно установить или запустить на устройстве, подготовка не удастся.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Добавьте имя пакета приложения в setupActions . Используйте title и description , чтобы указать инструкции для пользователя.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Чтобы отличить запуск приложения из launchApp , действие, которое впервые запускается как часть приложения, содержит дополнительное логическое намерение com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (которое имеет значение true ). Это дополнение позволяет вам настроить приложение в зависимости от того, запущено ли оно из setupActions или пользователем.

После того как приложение вернет RESULT_OK , Android Device Policy выполнит все оставшиеся шаги, необходимые для подготовки устройства или рабочего профиля.

Отменить регистрацию во время настройки

Приложение, запущенное как SetupAction, может отменить регистрацию, вернув RESULT_FIRST_USER .

Отмена регистрации приводит к сбросу корпоративного устройства или удалению рабочего профиля на личном устройстве.

Примечание . Отмена регистрации запускает действие без диалогового окна подтверждения пользователя. Приложение несет ответственность за отображение соответствующего диалогового окна ошибки пользователю перед возвратом RESULT_FIRST_USER .

Примените политику к вновь зарегистрированным устройствам

Метод, который вы используете для применения политик к вновь зарегистрированным устройствам, зависит от вас и требований ваших клиентов. Вот различные подходы, которые вы можете использовать:

  • (Рекомендуется) При создании токена регистрации вы можете указать имя политики ( policyName ), которая изначально будет связана с устройством. Когда вы регистрируете устройство с помощью токена, политика автоматически применяется к устройству.

  • Установите политику в качестве политики по умолчанию для предприятия. Если в токене регистрации не указано имя политики и существует политика с именем enterprises/<enterprise_id>/policies/default , каждое новое устройство автоматически связывается с политикой по умолчанию во время регистрации.

  • Подпишитесь на тему Cloud Pub/Sub, чтобы получать уведомления о новых зарегистрированных устройствах. В ответ на уведомление ENROLLMENT вызовите enterprises.devices.patch , чтобы связать устройство с политикой.

Зарегистрируйте устройство без политики

Если устройство зарегистрировано без действующей политики, оно помещается в карантин . Устройствам, помещенным в карантин, блокируются все функции устройства до тех пор, пока устройство не будет связано с политикой.

Если устройство не будет связано с политикой в ​​течение пяти минут, регистрация устройства завершится неудачей и произойдет сброс настроек устройства. Состояние карантинного устройства дает вам возможность реализовать проверку лицензий или другие процессы проверки регистрации в рамках вашего решения.

Пример рабочего процесса проверки лицензии

  1. Устройство регистрируется без политики по умолчанию или конкретной политики.
  2. Проверьте, сколько лицензий осталось у предприятия.
  3. Если доступны лицензии, используйте devices.patch , чтобы прикрепить политику к устройству, а затем уменьшите количество лицензий. Если доступных лицензий нет, используйте devices.patch , чтобы отключить устройство. Альтернативно, фабрика API сбрасывает любое устройство, не подключенное к политике, в течение пяти минут после регистрации.