Beim Upgrade eines Nutzerkontos auf einem Gerät wird es von einem Managed Google Play-Konto zu einem verwalteten Google-Konto migriert. Bei diesem Vorgang wird die Identität des Nutzers von einem gerätezentrierten, nicht persönlichen Konto zu seiner geschäftlichen Google-Identität verschoben. Diese bildet die Grundlage für eine integriertere Nutzererfahrung in allen Google-Diensten.
Übersicht
Das primäre Ziel dieses Upgrades ist es, Kunden erweiterte Funktionen wie eine verbesserte Nutzerverwaltung über die Google Admin-Konsole, eine stärkere Sicherheit und den Zugriff auf Google-Dienste und KI-Funktionen wie Gemini zu bieten.
Wichtige Vorteile des Upgrades von Nutzerkonten:
Funktioniert mit allen Google-Diensten:Im Gegensatz zu Managed Google Play-Konten kann mit dieser neuen Identität nahtlos auf alle Google-Dienste zugegriffen werden, beispielsweise Google Drive, Docs und Meet. Es ist auch eine Gerätesicherung möglich, sofern diese Option vom IT-Administrator aktiviert wurde.
Reibungslose Nutzung:Mit der Einmalanmeldung (SSO) werden Nutzer automatisch in der Unternehmensumgebung und in allen Google-Diensten wie Gmail angemeldet.
Direkte Identitätskontrolle:Die Organisation kann den Lebenszyklus der Identität direkt über manuelle, automatisierte oder synchronisierungsbasierte Methoden steuern.
Vertraute Nutzer-ID:Für eine bessere Sichtbarkeit wird für das neue Konto dieselbe E‑Mail-Adresse verwendet, die der Nutzer bereits kennt und nutzt.
Vorbereitung
Die Google Workspace-Domain des Kunden muss bestätigt sein. Sie vereinfacht die Nutzerverwaltung für den IT‑Administrator und ermöglicht ihm auch, das Verzeichnis zu synchronisieren.
Für jeden Nutzer, dessen Konto aktualisiert werden soll, muss in der Admin-Konsole ein verwaltetes Google-Konto vorhanden sein.
API-Änderungen
In diesem Abschnitt werden die wichtigsten API-Änderungen in der Richtlinie und der Ablauf bei Nichteinhaltung zur Unterstützung des Nutzer-Upgrades beschrieben.
Durch das Nutzer-Upgrade wird ein neues Feld in enterprises.policies und neue Enums in enterprises.devices hinzugefügt, um neue Gründe für die Nichteinhaltung zu unterstützen.
Prozess zur Kontoaktualisierung
Um ein Konto zu aktualisieren, muss ein IT‑Administrator die Richtlinie eines Geräts so aktualisieren, dass für die Authentifizierung ein verwaltetes Google-Konto erforderlich ist. Dazu wird workAccountSetupConfig verwendet und der Authentifizierungstyp auf GOOGLE_AUTHENTICATED festgelegt.
Mit dem optionalen Parameter requiredAccountEmail kann der IT-Administrator das genaue Konto angeben, das der Nutzer verwenden muss, um die Einrichtung abzuschließen.
Je nach Konfiguration und je nachdem, ob das erforderliche Konto bereits auf dem Gerät vorhanden ist, wird der Nutzer aufgefordert, entweder ein bestimmtes verwaltetes Google-Konto oder ein beliebiges gültiges verwaltetes Google-Konto hinzuzufügen. Alternativ erfolgt das Upgrade automatisch im Hintergrund.
Nach Abschluss der Migration ist das neue verwaltete Google-Konto das primäre Konto für die Geräteverwaltung und ersetzt das alte verwaltete Google Play-Konto.
Neue Gründe für die Nichteinhaltung der Richtlinien
Es wurden neue Gründe für die Nichteinhaltung hinzugefügt, damit der IT-Administrator die Erzwingung von Richtlinien basierend auf verschiedenen Szenarien auslösen kann, die während der Nutzeranmeldung auftreten.
Wenn das vom Nutzer eingegebene Konto nicht mit dem requiredAccountEmail übereinstimmt, wird sofort eine Fehlermeldung auf dem Bildschirm angezeigt.
Wenn der IT-Administrator versehentlich eine erforderliche E-Mail-Adresse angibt, die nicht Teil der Unternehmensdomain ist, wird der Grund für die Nichteinhaltung REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE zurückgegeben.
Wenn kein requiredAccountEmail angegeben ist und der Nutzer versucht, ein Konto einzugeben, das nicht zur Organisation gehört, wird der Grund für die Nichteinhaltung NEW_ACCOUNT_NOT_IN_ENTERPRISE zurückgegeben.
Nutzerszenarien für Upgrades
Diese Nutzerpfade veranschaulichen häufige Szenarien und Ergebnisse bei der Implementierung und Verwendung der Funktion zum Upgraden von Nutzern. Sie decken die Perspektiven von IT-Administratoren und Endnutzern ab. In allen Szenarien wird davon ausgegangen, dass das Gerät anfangs mit einem verwalteten Google Play-Konto registriert ist.
Wir empfehlen Ihnen, sich mit diesen Abläufen vertraut zu machen, um Ihre Kunden besser zu unterstützen und sie mit Ihrer Lösung zu validieren.
Erfolgreiches Upgrade mit einem bestimmten verwalteten Google-Konto erforderlich
Wenn die Richtlinie eines Geräts mit authenticationType konfiguriert ist, GOOGLE_AUTHENTICATED auf requiredAccountEmail festgelegt ist und ein bestimmtes requiredAccountEmail angegeben ist, wird der Nutzer aufgefordert, dieses verwaltete Google-Konto hinzuzufügen. Nachdem sich der Nutzer angemeldet hat, wird die neue Richtlinie mit dem Gerät synchronisiert und das Gerät entspricht den Richtlinien. Das alte Unternehmenskonto für Managed Google Play wird entfernt und das Gerät wird jetzt hauptsächlich über das angegebene verwaltete Google-Konto verwaltet.
Erfolgreiches Upgrade ohne bestimmtes verwaltetes Google-Konto
Wenn die Richtlinie eines Geräts mit authenticationType auf GOOGLE_AUTHENTICATED konfiguriert ist, aber kein requiredAccountEmail angegeben ist, wird der Nutzer aufgefordert, ein verwaltetes Google-Konto hinzuzufügen. Auf dem Google-Anmeldebildschirm wird kein Konto vorausgefüllt. Der Nutzer fügt also ein beliebiges gültiges verwaltetes Google-Konto für sein Unternehmen hinzu. Das Gerät wird dann konform und vom neuen verwalteten Google-Konto verwaltet. Das alte Managed Google Play-Unternehmenskonto wird entfernt und das Gerät wird jetzt hauptsächlich über das angegebene verwaltete Google-Konto verwaltet.
Stilles Upgrade, wenn das erforderliche verwaltete Google-Konto bereits vorhanden ist
Wenn die Richtlinie eines Geräts mit authenticationType auf GOOGLE_AUTHENTICATED und einem bestimmten requiredAccountEmail konfiguriert ist und das angegebene verwaltete Google-Konto bereits auf dem Gerät vorhanden ist, erfolgt das Upgrade automatisch, ohne dass der Nutzer dazu aufgefordert wird. Das verwaltete Google Play-Unternehmenskonto wird entfernt und das vorhandene verwaltete Google-Konto wird zum primären Konto für die Geräteverwaltung.
Upgrade mit Aufforderung zur Auswahl durch den Nutzer (bestehendes Konto, kein bestimmtes Konto erforderlich)
Wenn die Richtlinie eines Geräts mit authenticationType konfiguriert ist, die auf GOOGLE_AUTHENTICATED ohne eine bestimmte requiredAccountEmail festgelegt ist, und ein gültiges verwaltetes Google-Konto bereits auf dem Gerät vorhanden ist, fordert Android Device Policy den Nutzer auf, ein Konto auszuwählen oder hinzuzufügen. Dem Nutzer wird möglicherweise eine Kontoauswahl angezeigt. Er muss das ausgewählte verwaltete Google-Konto auswählen oder hinzufügen, da es sich nicht um ein automatisches Upgrade handelt. Das Gerät entspricht dann den Richtlinien. Das ausgewählte verwaltete Google-Konto dient als primäres Konto für die Geräteverwaltung.
Upgrade wird unmittelbar nach der Registrierung ausgelöst
Wenn die Richtlinie eines Geräts mit authenticationType als GOOGLE_AUTHENTICATED und einem requiredAccountEmail vor der Registrierung konfiguriert wird, erhält es zunächst ein Managed Google Play-Konto.
Unmittelbar nach der Registrierung fordert die Android Device Policy App den Nutzer auf, das erforderliche verwaltete Google-Konto hinzuzufügen. Der Nutzer fügt das Konto über einen Google-Anmeldebildschirm hinzu. Dadurch wird das Gerät synchronisiert, es entspricht den Richtlinien und das Managed Google Play-Konto wird entfernt.
Erzwingung der Richtlinien und Compliance
Die Android Device Policy enthält integrierte Compliance-Aktionen, die Nutzer durch erforderliche Upgrades und andere Richtlinienaktualisierungen führen. Diese Aktionen bieten IT-Administratoren auch die Möglichkeit, die Behebung von Problemen auf nicht konformen Geräten zu verwalten.
Nichteinhaltung von Richtlinien, die zur Sperrung oder zum Zurücksetzen von Geräten führen
Wenn für die Richtlinie eines Geräts ein verwaltetes Google-Konto erforderlich ist (z. B. mit authenticationType als GOOGLE_AUTHENTICATED und einem requiredAccountEmail) und es auch mit policyEnforcementRules konfiguriert ist, die eine Sperrung oder ein Zurücksetzen angeben, werden in der Android-Geräterichtlinie Warnungen angezeigt, wenn der Nutzer nicht richtlinienkonform bleibt. Wenn die Nichteinhaltung über die festgelegten Tage für einen Block hinaus andauert, wird die Gerätenutzung blockiert. Wenn das Problem nach den Tagen für das Löschen weiterhin besteht, wird das Gerät auf die Werkseinstellungen zurückgesetzt. Dies ähnelt dem bestehenden Ablauf bei Nichteinhaltung.
Anmeldeversuch mit einem nicht autorisierten Konto (bei der Anmeldung blockiert)
Wenn für eine Geräterichtlinie ein bestimmtes verwaltetes Google-Konto mit requiredAccountEmail erforderlich ist, der Nutzer aber versucht, sich mit einem anderen verwalteten Google-Konto anzumelden, wird direkt auf dem Google-Anmeldebildschirm eine Fehlermeldung angezeigt. So wird die unberechtigte Anmeldung verhindert. Eine Beispielmeldung lautet: „Die Arbeitsrichtlinie erfordert die Anmeldung mit dem angegebenen Arbeitskonto.“
Anmeldeversuch mit einem Konto außerhalb des Unternehmens (Konto entfernt)
Wenn für ein Gerät ein verwaltetes Google-Konto erforderlich ist, aber kein requiredAccountEmail festgelegt ist und sich der Nutzer mit einem Konto anmeldet, das nicht zur EMM-verknüpften Organisation gehört, wird das nicht autorisierte Konto automatisch entfernt. Der Nutzer wird dann aufgefordert, sich noch einmal mit einem gültigen Konto anzumelden. Der Gerätestatusbericht enthält einen nonComplianceReason von USER_ACTION und einen bestimmten Grund von NEW_ACCOUNT_NOT_IN_ENTERPRISE.
Fehlkonfiguration durch Administrator: Erforderliches Konto nicht Teil des Unternehmens
Wenn ein Administrator die Richtlinie falsch konfiguriert, indem er eine requiredAccountEmail festlegt, die nicht Teil des Unternehmens ist, wird in der Android Device Policy App eine Fehlermeldung angezeigt, die möglicherweise den Titel „IT-Administrator kontaktieren“ hat.
Das Gerät bleibt nicht konform und der Gerätestatusbericht enthält den nonComplianceReason USER_ACTION mit dem spezifischen Grund REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE. Der Nutzer kann erst mit dem Upgrade fortfahren, wenn der Administrator die Richtlinie mit einem gültigen primären Konto korrigiert hat.
