升级设备上的用户账号
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
升级设备上的用户账号涉及将其从 Google Play 企业版账号迁移到受管理的 Google 账号。此流程会将用户的身份从以设备为中心的非个人账号转换为其公司 Google 身份,这是在所有 Google 服务中实现更集成式用户体验的基础。
概览
此次升级的主要目的是为客户提供增强功能,例如通过 Google 管理控制台改进用户管理、增强安全性,以及访问 Google 服务和 AI 功能(例如 Gemini)。
升级用户账号的主要优势:
适用于所有 Google 服务:与受管理的 Google Play 账号不同,此新身份可与所有 Google 服务(包括 Google 云端硬盘、Google 文档和 Google Meet)无缝协作。此外,如果 IT 管理员启用此功能,它还支持设备备份。
顺畅的用户体验:通过单点登录 (SSO) 集成,用户可以自动登录其公司环境和所有 Google 服务(例如 Gmail)。
直接身份控制:组织可以通过手动、自动或基于同步的方法直接控制身份生命周期。
熟悉的用户标识符:为了提高账号的辨识度,新账号使用用户已经知道并使用的同一电子邮件地址。
前提条件
客户的 Google Workspace 网域必须经过网域验证。它可简化 IT 管理员的用户管理,还允许他们同步目录。
在管理控制台中,必须先为每位需要升级账号的用户创建受管理的 Google 账号。
API 变更
本部分概述了政策和违规流程中的关键 API 变更,以支持用户升级。
用户升级在 enterprises.policies 中添加了一个新字段,并在 enterprises.devices 中添加了新的枚举,以支持新的违规原因。
账号升级流程
如需升级账号,IT 管理员需要更新设备政策,以要求使用受管理的 Google 账号进行身份验证。为此,请使用 workAccountSetupConfig 并将身份验证类型设置为 GOOGLE_AUTHENTICATED。
借助可选的 requiredAccountEmail 参数,IT 管理员可以指定用户必须使用哪个确切的账号才能成功完成设置。
根据配置以及设备上是否已存在所需账号,系统会提示用户添加特定的受管 Google 账号或任何有效的受管 Google 账号,或者在后台自动进行升级。
完成后,新的受管理的 Google 账号将成为设备管理的主账号,取代旧的受管理的 Google Play 账号。
新的违规原因
我们添加了新的不合规原因,以便 IT 管理员能够根据用户登录期间遇到的不同情况触发政策执行。
如果用户输入的账号与 requiredAccountEmail 不一致,屏幕上会立即显示一条错误消息。
如果 IT 管理员意外指定了不属于企业网域的必需电子邮件地址,系统会返回不合规原因 REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE。
如果未指定 requiredAccountEmail,并且用户尝试输入不属于企业的账号,则系统会返回不合规原因 NEW_ACCOUNT_NOT_IN_ENTERPRISE。
用户升级方案
这些用户转化历程说明了在实现和使用用户升级功能时可能出现的常见情形和结果。这些测试涵盖了 IT 管理员和最终用户的体验。所有方案都假设设备最初注册的是 Google Play 企业版账号。
我们建议您熟悉这些流程,以便更好地为客户提供支持,并使用您的解决方案验证这些流程。
成功升级,但需要使用特定的受管 Google 账号
如果设备的政策配置为 authenticationType 设置为 GOOGLE_AUTHENTICATED 且具有特定的 requiredAccountEmail,系统会提示用户添加该受管理的 Google 账号。用户登录后,设备会同步新政策并变得合规。因此,旧的 Google Play 企业版账号集账号会被移除,并且设备现在主要由指定的受管理的 Google 账号管理。
升级成功,无需特定的受管理的 Google 账号
如果设备的政策配置为将 authenticationType 设置为 GOOGLE_AUTHENTICATED 但未指定 requiredAccountEmail,系统会提示用户添加受管理的 Google 账号。Google 登录界面不会预先填充账号,因此用户可以添加其企业的任何有效的受管理 Google 账号。然后,设备会变得合规,并由新的受管理的 Google 账号管理。因此,旧的 Google Play 企业版受管账号会被移除,并且设备现在主要由指定的受管 Google 账号管理。
在所需的受管理的 Google 账号已存在时进行静默升级
如果设备的政策配置为 authenticationType 设置为 GOOGLE_AUTHENTICATED 且具有特定的 requiredAccountEmail,并且该指定的受管理的 Google 账号已存在于设备上,则升级会静默进行,而不会提示用户。受管理的 Google Play 企业账号会被移除,并且预先存在的受管理的 Google 账号会成为设备管理的主账号。
提示升级并允许用户选择(现有账号,无需特定账号)
如果设备的政策配置为 authenticationType 设置为 GOOGLE_AUTHENTICATED 但没有指定 requiredAccountEmail,并且设备上已存在有效的受管理 Google 账号,则 Android 设备政策会提示用户选择或添加账号。系统可能会向用户显示账号选择器,用户必须选择或添加所选的受管理的 Google 账号,因为这不是静默升级。然后,设备会变为合规状态,所选的受管理的 Google 账号将作为设备管理的主账号。
注册后立即触发升级
如果设备的政策在注册前配置为 authenticationType(GOOGLE_AUTHENTICATED)和 requiredAccountEmail,则设备最初会获得受管理的 Google Play 账号。注册完成后,Android 设备政策会立即提示用户添加必需的受管理的 Google 账号。用户通过 Google 登录界面添加账号,导致设备同步、变得合规并移除 Google Play 企业版账号。
政策违规处置与合规性
Android 设备政策包含内置的合规性操作,可帮助引导用户完成所需的升级和其他政策更新。这些操作还为 IT 管理员提供了用于管理不合规设备的补救措施的工具。
不合规导致设备被屏蔽或数据被擦除
如果设备的政策要求使用受管理的 Google 账号(例如,将 authenticationType 设置为 GOOGLE_AUTHENTICATED 并使用 requiredAccountEmail),并且还配置了指定屏蔽或清除的 policyEnforcementRules,那么如果用户仍不合规,Android 设备政策会显示警告。如果违规行为在设置的屏蔽天数后仍未停止,则设备使用会被屏蔽。如果超出擦除天数后仍未解锁,设备将恢复出厂设置。这与现有的违规流程类似。
尝试使用未经授权的账号登录(在登录时被阻止)
如果设备政策要求使用特定的受管 Google 账号 (requiredAccountEmail),但用户尝试使用其他受管 Google 账号登录,则 Google 登录屏幕上会直接显示错误消息。这样可以防止未经授权的登录。一条示例消息是“工作政策要求登录指定的工作账号”。
尝试使用企业外部的账号登录(账号已被移除)
如果设备的政策要求使用受管理的 Google 账号,但未设置 requiredAccountEmail,并且用户使用不属于 EMM 关联企业的账号登录,则系统会自动移除未经授权的账号。然后,系统会提示用户使用有效账号重新登录。设备状态报告反映了 nonComplianceReason 为 USER_ACTION,具体原因是 NEW_ACCOUNT_NOT_IN_ENTERPRISE。
管理员配置错误:所需账号不属于企业
如果管理员通过设置不属于企业的 requiredAccountEmail 错误地配置了政策,Android Device Policy 会显示一条错误消息,标题可能为“请与 IT 管理员联系”。设备将保持不合规状态,并且设备状态报告会显示 nonComplianceReason 为 USER_ACTION,并说明具体原因 REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE。只有在管理员使用有效的主账号修正政策后,用户才能继续升级。
