Actualizar una cuenta de usuario en un dispositivo implica migrarla de una Cuenta de Google Play administrado a una Cuenta de Google administrada. Este proceso cambia la identidad del usuario de una cuenta no personal centrada en el dispositivo a su identidad corporativa de Google, que es la base de una experiencia del usuario más integrada en todos los servicios de Google.
Descripción general
El objetivo principal de esta actualización es proporcionar a los clientes funciones mejoradas, como una mejor administración de usuarios a través de la Consola del administrador de Google, mayor seguridad y acceso a los servicios y capacidades de IA de Google, como Gemini.
Estos son los principales beneficios de actualizar las cuentas de usuario:
Funciona con todos los servicios de Google: A diferencia de las cuentas de Google Play administrado, esta nueva identidad funciona sin problemas con todos los servicios de Google, incluidos Google Drive, Documentos y Meet. También admite copias de seguridad del dispositivo cuando las habilita el administrador de TI.
Experiencia del usuario fluida: Con la integración del inicio de sesión único (SSO), los usuarios acceden automáticamente a su entorno empresarial y a todos sus servicios de Google, como Gmail.
Control directo de la identidad: La organización puede controlar directamente el ciclo de vida de la identidad a través de métodos manuales, automatizados o basados en la sincronización.
Identificador de usuario conocido: Para una mejor visibilidad, la cuenta nueva usa la misma dirección de correo electrónico que el usuario ya conoce y usa.
Requisitos previos
El dominio de Google Workspace del cliente debe estar verificado. Simplifica la administración de usuarios para el administrador de TI y también le permite sincronizar el directorio.
Las Cuentas de Google administradas para cada uno de los usuarios en la actualización de cuenta prevista deben existir previamente en la Consola del administrador.
Cambios en la API
En esta sección, se describen los cambios clave en la API dentro de la política y el flujo de incumplimiento para admitir la actualización del usuario.
La actualización del usuario agrega un campo nuevo dentro de enterprises.policies y agrega nuevos enums en enterprises.devices para admitir nuevos motivos de incumplimiento.
Proceso de actualización de la cuenta
Para actualizar una cuenta, un administrador de TI actualiza la política de un dispositivo para requerir una Cuenta de Google administrada para la autenticación. Esto se hace con workAccountSetupConfig y configurando el tipo de autenticación en GOOGLE_AUTHENTICATED.
El parámetro opcional requiredAccountEmail permite que el administrador de TI especifique la cuenta exacta que el usuario debe usar para completar la configuración correctamente.
Según la configuración y si la cuenta requerida ya existe en el dispositivo, se le pedirá al usuario que agregue una Cuenta de Google administrada específica o cualquier Cuenta de Google administrada válida, o bien la actualización se realizará automáticamente en segundo plano.
Una vez que se complete el proceso, la nueva Cuenta de Google administrada se convertirá en la principal para la administración de dispositivos y reemplazará la antigua cuenta de Google Play administrado.
Nuevos motivos de incumplimiento
Se agregaron nuevos motivos de incumplimiento para permitir que el administrador de TI active la aplicación de la política según diferentes situaciones que se produzcan durante el acceso del usuario.
Si la cuenta que ingresó el usuario no coincide con el requiredAccountEmail, se mostrará de inmediato un mensaje de error en la pantalla.
Si el administrador de TI especifica por accidente una dirección de correo electrónico obligatoria que no forma parte del dominio empresarial, se devuelve el motivo de incumplimiento REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE.
Si no se especifica ningún requiredAccountEmail y el usuario intenta ingresar una cuenta que no forma parte de la empresa, se devuelve el motivo de incumplimiento NEW_ACCOUNT_NOT_IN_ENTERPRISE.
Situaciones de actualización del usuario
Estos recorridos del usuario ilustran situaciones y resultados comunes cuando se implementa y se usa la función de actualización del usuario. Abarcan experiencias desde las perspectivas del administrador de TI y del usuario final. En todos los casos, se supone que el dispositivo se inscribió inicialmente con una cuenta de Google Play administrado.
Te recomendamos que te familiarices con estos recorridos para brindar una mejor asistencia a tus clientes y validarlos con tu solución.
Se requiere una actualización exitosa con una Cuenta de Google administrada específica
Cuando la política de un dispositivo se configura con authenticationType establecido en GOOGLE_AUTHENTICATED y un requiredAccountEmail específico, se le solicita al usuario que agregue esa Cuenta de Google administrada. Después de que el usuario accede, el dispositivo sincroniza la política nueva y se vuelve compatible. Como resultado, se quita la cuenta empresarial anterior de Google Play administrado y el dispositivo ahora se administra principalmente con la Cuenta de Google administrada especificada.
Actualización exitosa sin necesidad de una Cuenta de Google administrada específica
Cuando la política de un dispositivo se configura con authenticationType establecido en GOOGLE_AUTHENTICATED, pero no se especifica un requiredAccountEmail, se le solicita al usuario que agregue una Cuenta de Google administrada. La pantalla de acceso de Google no completa previamente una cuenta, por lo que el usuario agrega cualquier Cuenta de Google administrada válida para su empresa. Luego, el dispositivo cumple con los requisitos y es administrado por la nueva Cuenta de Google administrada. Como resultado, se quita la cuenta empresarial anterior de Google Play administrado y el dispositivo ahora se administra principalmente con la Cuenta de Google administrada especificada.
Actualización silenciosa cuando ya existe la Cuenta de Google administrada requerida
Si la política de un dispositivo está configurada con authenticationType establecido en GOOGLE_AUTHENTICATED y un requiredAccountEmail específico, y esa Cuenta de Google administrada especificada ya existe en el dispositivo, la actualización se produce de forma silenciosa sin que se le solicite al usuario. Se quita la cuenta empresarial de Google Play administrado, y la Cuenta de Google administrada preexistente se convierte en la cuenta principal para la administración del dispositivo.
Actualización solicitada con selección del usuario (cuenta preexistente, no se requiere una cuenta específica)
Cuando la política de un dispositivo se configura con authenticationType establecido en GOOGLE_AUTHENTICATED sin un requiredAccountEmail específico, y ya existe una Cuenta de Google administrada válida en el dispositivo, Android Device Policy le solicitará al usuario que seleccione o agregue una cuenta. Es posible que se le muestre al usuario un selector de cuentas, y debe seleccionar o agregar la Cuenta de Google administrada elegida, ya que esta no es una actualización silenciosa. Luego, el dispositivo cumple con los requisitos, y la Cuenta de Google administrada seleccionada se convierte en la cuenta principal para la administración del dispositivo.
Actualización activada inmediatamente después de la inscripción
Cuando la política de un dispositivo se configura con authenticationType como GOOGLE_AUTHENTICATED y un requiredAccountEmail antes de la inscripción, inicialmente se obtiene una cuenta de Google Play administrado.
Inmediatamente después de la inscripción, la Política de Dispositivos Android le solicita al usuario que agregue la Cuenta de Google administrada requerida. El usuario agrega la cuenta a través de una pantalla de acceso de Google, lo que hace que el dispositivo se sincronice, cumpla con los requisitos y quite la Cuenta de Google administrada.
Aplicación y cumplimiento de políticas
Android Device Policy incluye acciones de cumplimiento integradas que ayudan a guiar a los usuarios a través de las actualizaciones obligatorias y otras actualizaciones de políticas. Estas acciones también proporcionan a los administradores de TI las herramientas para administrar la corrección de dispositivos que no cumplen con los requisitos.
Incumplimiento que provoca el bloqueo o la limpieza del dispositivo
Cuando la política de un dispositivo requiere una Cuenta de Google administrada (por ejemplo, con authenticationType como GOOGLE_AUTHENTICATED y un requiredAccountEmail) y también está configurada con policyEnforcementRules que especifican un bloqueo o borrado, la Política de Dispositivos Android mostrará advertencias si el usuario sigue sin cumplir con los requisitos. Si el incumplimiento persiste después de los días establecidos para el bloqueo, se bloqueará el uso del dispositivo. Si persiste después de los días de limpieza, se restablecerá la configuración de fábrica del dispositivo. Este flujo es similar al flujo de incumplimiento existente.
Intento de acceso con una cuenta no autorizada (bloqueado en el acceso)
Si una política del dispositivo requiere una Cuenta de Google administrada específica con requiredAccountEmail, pero el usuario intenta acceder con una Cuenta de Google administrada diferente, se muestra un mensaje de error directamente en la pantalla de acceso de Google. Esto evita el acceso no autorizado. Un ejemplo de mensaje es "La política del trabajo requiere la cuenta laboral especificada".
Se intentó acceder con una cuenta externa a la empresa (se quitó la cuenta)
Cuando la política de un dispositivo requiere una Cuenta de Google administrada, pero no se configuró ningún requiredAccountEmail, y el usuario accede con una cuenta que no forma parte de la empresa vinculada al EMM, la cuenta no autorizada se quita automáticamente. Luego, se le solicita al usuario que vuelva a acceder con una cuenta válida. El informe de estado del dispositivo refleja un nonComplianceReason de USER_ACTION y un motivo específico de NEW_ACCOUNT_NOT_IN_ENTERPRISE.
Configuración incorrecta del administrador: La cuenta requerida no forma parte de la empresa
Si un administrador configura incorrectamente la política estableciendo un requiredAccountEmail que no forma parte de la empresa, la Política de dispositivos Android mostrará un mensaje de error, posiblemente titulado "Comunícate con el administrador de TI".
El dispositivo seguirá sin cumplir con los requisitos, y el informe de estado del dispositivo reflejará un nonComplianceReason de USER_ACTION con el motivo específico REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE. El usuario solo puede continuar con la actualización después de que el administrador corrija la política con una cuenta principal válida.
