Mettre à niveau des comptes utilisateur sur des appareils

La mise à niveau d'un compte utilisateur sur un appareil implique sa migration d'un compte Google Play d'entreprise vers un compte Google géré. Ce processus permet de transférer l'identité de l'utilisateur d'un compte non personnel axé sur l'appareil vers son identité Google professionnelle, qui constitue la base d'une expérience utilisateur plus intégrée dans tous les services Google.

Présentation

L'objectif principal de cette mise à niveau est de fournir aux clients des fonctionnalités améliorées, telles qu'une meilleure gestion des utilisateurs via la console d'administration Google, une sécurité renforcée et l'accès aux services et aux capacités d'IA de Google comme Gemini.

Voici les principaux avantages de la mise à niveau des comptes utilisateur :

• Compatibles avec tous les services Google : contrairement aux comptes Google Play d'entreprise, cette nouvelle identité fonctionne parfaitement avec tous les services Google, y compris Google Drive, Docs et Meet. Elle est également compatible avec la sauvegarde de l'appareil si elle est activée par l'administrateur informatique.

• Expérience utilisateur fluide : grâce à l'intégration de l'authentification unique (SSO), les utilisateurs sont connectés automatiquement à leur environnement professionnel et à tous leurs services Google, comme Gmail.

• Contrôle direct de l'identité : l'organisation peut directement contrôler le cycle de vie de l'identité à l'aide de méthodes manuelles, automatisées ou basées sur la synchronisation.

• Identifiant utilisateur connu : pour une meilleure visibilité, le nouveau compte utilise la même adresse e-mail que celle que l'utilisateur connaît et utilise déjà.

Prérequis

1. Le domaine Google Workspace du client doit être validé. Il simplifie la gestion des utilisateurs pour l'administrateur informatique et lui permet également de synchroniser le répertoire.

2. Des comptes Google gérés pour chacun des utilisateurs du compte concerné par la mise à niveau doivent exister au préalable dans la console d'administration.

Modifications apportées à l'API

Cette section décrit les principales modifications apportées à l'API dans le règlement et le processus de non-respect pour permettre aux utilisateurs de passer à un forfait supérieur. La mise à niveau de l'utilisateur ajoute un champ dans enterprises.policies et de nouvelles énumérations dans enterprises.devices pour prendre en charge de nouvelles raisons de non-conformité.

• Nouveaux champs et énumérations dans la stratégie workAccountSetupConfig.
• Ajout de nouvelles énumérations à specificNonComplianceReason.

Processus de mise à niveau du compte

Pour mettre à niveau un compte, un administrateur informatique doit mettre à jour la règle d'un appareil afin d'exiger un compte Google géré pour l'authentification. Pour ce faire, utilisez workAccountSetupConfig et définissez le type d'authentification sur GOOGLE_AUTHENTICATED.

Le paramètre facultatif requiredAccountEmail permet à l'administrateur informatique de spécifier le compte exact que l'utilisateur doit utiliser pour terminer la configuration.

Selon la configuration et si le compte requis existe déjà sur l'appareil, l'utilisateur sera invité à ajouter un compte Google géré spécifique ou tout compte Google géré valide, ou la mise à niveau se fera automatiquement en arrière-plan.

Une fois l'opération terminée, le nouveau compte Google géré devient le compte principal pour la gestion des appareils, en remplacement de l'ancien compte Google Play géré.

Nouveaux motifs de non-conformité

De nouvelles raisons de non-conformité ont été ajoutées pour permettre à l'administrateur informatique de déclencher l'application des règles en fonction des différents scénarios rencontrés lors de la connexion de l'utilisateur.

• Si le compte saisi par l'utilisateur ne correspond pas à requiredAccountEmail, un message d'erreur s'affiche immédiatement à l'écran.

• Si l'administrateur informatique spécifie accidentellement une adresse e-mail requise qui ne fait pas partie du domaine de l'entreprise, le motif de non-conformité REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE est renvoyé.

• Si aucune requiredAccountEmail n'est spécifiée et que l'utilisateur tente de saisir un compte qui ne fait pas partie de l'entreprise, le motif de non-respect NEW_ACCOUNT_NOT_IN_ENTERPRISE est renvoyé.

Scénarios de migration des utilisateurs

Ces parcours utilisateur illustrent des scénarios et des résultats courants lors de l'implémentation et de l'utilisation de la fonctionnalité de mise à niveau des utilisateurs. Elles couvrent les expériences du point de vue de l'administrateur informatique et de l'utilisateur final. Tous les scénarios supposent que l'appareil est initialement enregistré avec un compte Google Play d'entreprise.

Nous vous recommandons de vous familiariser avec ces parcours pour mieux aider vos clients et les valider avec votre solution.

Mise à niveau réussie avec un compte Google géré spécifique requis

Lorsqu'une règle d'appareil est configurée avec authenticationType défini sur GOOGLE_AUTHENTICATED et un requiredAccountEmail spécifique, l'utilisateur est invité à ajouter ce compte Google géré. Une fois l'utilisateur connecté, l'appareil synchronise la nouvelle règle et devient conforme. Par conséquent, l'ancien compte d'entreprise Google Play d'entreprise est supprimé et l'appareil est désormais principalement géré par le compte Google géré spécifié.

Mise à niveau réussie sans compte Google géré spécifique requis

Lorsqu'une règle d'appareil est configurée avec authenticationType défini sur GOOGLE_AUTHENTICATED, mais ne spécifie pas de requiredAccountEmail, l'utilisateur est invité à ajouter un compte Google géré. L'écran de connexion Google ne préremplit pas de compte. L'utilisateur ajoute donc un compte Google géré valide pour son entreprise. L'appareil devient alors conforme et est géré par le nouveau compte Google géré. Par conséquent, l'ancien compte d'entreprise Google Play d'entreprise est supprimé, et l'appareil est désormais principalement géré par le compte Google géré spécifié.

Mise à niveau silencieuse lorsqu'un compte Google géré requis existe déjà

Si la règle d'un appareil est configurée avec authenticationType défini sur GOOGLE_AUTHENTICATED et un requiredAccountEmail spécifique, et que ce compte Google géré spécifié existe déjà sur l'appareil, la mise à niveau s'effectue en mode silencieux, sans que l'utilisateur soit invité à le faire. Le compte Google Play d'entreprise géré est supprimé, et le compte Google géré préexistant devient le compte principal pour la gestion de l'appareil.

Mise à niveau incitée avec sélection de l'utilisateur (compte préexistant, aucun compte spécifique requis)

Lorsqu'une règle d'appareil est configurée avec authenticationType défini sur GOOGLE_AUTHENTICATED sans requiredAccountEmail spécifique, et qu'un compte Google géré valide existe déjà sur l'appareil, Android Device Policy invite l'utilisateur à sélectionner ou à ajouter un compte. L'utilisateur peut se voir présenter un sélecteur de compte et doit sélectionner ou ajouter le compte Google géré choisi, car il ne s'agit pas d'une mise à niveau silencieuse. L'appareil devient alors conforme, et le compte Google géré sélectionné sert de compte principal pour la gestion de l'appareil.

Mise à niveau déclenchée immédiatement après l'inscription

Lorsqu'une règle d'appareil est configurée avec authenticationType défini sur GOOGLE_AUTHENTICATED et un requiredAccountEmail avant l'enregistrement, un compte Google Play géré est attribué à l'appareil. Immédiatement après l'inscription, Android Device Policy invite l'utilisateur à ajouter le compte Google géré requis. L'utilisateur ajoute le compte via un écran de connexion Google, ce qui entraîne la synchronisation et la conformité de l'appareil, et la suppression du compte Google Play Accounts géré.

Application des règles et conformité

Android Device Policy inclut des actions de conformité intégrées qui aident les utilisateurs à effectuer les mises à niveau requises et à appliquer les autres modifications des règles. Ces actions fournissent également aux administrateurs informatiques les outils nécessaires pour gérer la correction des appareils non conformes.

Non-respect entraînant le blocage ou l'effacement de l'appareil

Lorsqu'une règle d'appareil exige un compte Google géré (par exemple, avec authenticationType défini sur GOOGLE_AUTHENTICATED et un requiredAccountEmail) et est également configurée avec policyEnforcementRules qui spécifie un blocage ou un effacement, la règle relative aux appareils Android affiche des avertissements si l'utilisateur ne respecte pas la règle. Si le non-respect persiste au-delà du nombre de jours défini pour un blocage, l'utilisation de l'appareil est bloquée. Si le problème persiste au-delà du délai d'effacement, l'appareil est réinitialisé aux paramètres d'usine. Ce processus est semblable à celui existant pour les cas de non-conformité.

Tentative de connexion avec un compte non autorisé (bloquée à la connexion)

Si une règle relative aux appareils exige un compte Google géré spécifique à l'aide de requiredAccountEmail, mais que l'utilisateur tente de se connecter avec un autre compte Google géré, un message d'erreur s'affiche directement sur l'écran de connexion Google. Cela empêche la connexion non autorisée. Par exemple, le message "La règle professionnelle nécessite le compte professionnel spécifié" s'affiche.

Tentative de connexion avec un compte externe à l'entreprise (compte supprimé)

Lorsqu'une règle de l'appareil exige un compte Google géré, mais qu'aucun requiredAccountEmail n'est défini, et que l'utilisateur se connecte avec un compte qui ne fait pas partie de l'entreprise associée à l'EMM, le compte non autorisé est automatiquement supprimé. L'utilisateur est ensuite invité à se reconnecter avec un compte valide. Le rapport sur l'état de l'appareil indique un nonComplianceReason de USER_ACTION et une raison spécifique : NEW_ACCOUNT_NOT_IN_ENTERPRISE.

Configuration incorrecte de l'administrateur : le compte requis ne fait pas partie de l'entreprise

Si un administrateur configure mal la règle en définissant un requiredAccountEmail qui ne fait pas partie de l'entreprise, Android Device Policy affichera un message d'erreur, éventuellement intitulé "Contactez l'administrateur informatique". L'appareil restera non conforme, et le rapport sur l'état de l'appareil indiquera un nonComplianceReason de USER_ACTION avec le motif spécifique REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE. L'utilisateur ne peut procéder à la mise à niveau qu'une fois que l'administrateur a corrigé la règle avec un compte principal valide.