L'upgrade di un account utente su un dispositivo comporta la migrazione da un account Google
Play gestito a un Account Google gestito. Questo processo sposta l'identità dell'utente da un account non personale incentrato sul dispositivo alla sua identità Google aziendale, che è la base per un'esperienza utente più integrata in tutti i servizi Google.
Panoramica
L'obiettivo principale di questo upgrade è fornire ai clienti funzionalità avanzate,
come una migliore gestione degli utenti tramite la Console di amministrazione Google, una maggiore
sicurezza e l'accesso ai servizi Google e alle funzionalità di AI come Gemini.
Vantaggi principali dell'upgrade degli account utente:
Funziona con tutti i servizi Google:a differenza degli account Google Play gestiti, questa nuova identità funziona perfettamente con tutti i servizi Google, tra cui Google Drive, Documenti e Meet. Supporta anche il backup del dispositivo se abilitato dall'amministratore IT.
Esperienza utente senza interruzioni: grazie all'integrazione del Single Sign-On (SSO), gli utenti accedono automaticamente al proprio ambiente aziendale e a tutti i servizi Google, come Gmail.
Controllo diretto dell'identità:l'organizzazione può controllare direttamente il ciclo di vita dell'identità tramite metodi manuali, automatizzati o basati sulla sincronizzazione.
Identificatore utente familiare:per una migliore visibilità, il nuovo account utilizza lo stesso indirizzo email che l'utente già conosce e utilizza.
Prerequisiti
Il dominio Google Workspace del cliente deve essere verificato. Semplifica
la gestione degli utenti per l'amministratore IT e consente anche di sincronizzare la directory.
Gli Account Google gestiti per ciascuno degli utenti nell'upgrade dell'account previsto devono esistere in precedenza nella Console di amministrazione.
Modifiche alle API
Questa sezione descrive le modifiche chiave all'API all'interno del flusso di norme e non conformità per supportare l'upgrade degli utenti.
L'upgrade dell'utente aggiunge un nuovo campo in enterprises.policies e nuovi
enum in enterprises.devices per supportare nuovi motivi di mancata conformità.
Procedura di upgrade dell'account
Per eseguire l'upgrade di un account, un amministratore IT aggiorna le norme di un dispositivo in modo che richiedano
un Account Google gestito per l'autenticazione. Ciò avviene utilizzando
workAccountSetupConfig e impostando il tipo di autenticazione su
GOOGLE_AUTHENTICATED.
Il parametro facoltativo requiredAccountEmail consente all'amministratore IT di
specificare l'account esatto che l'utente deve utilizzare per completare correttamente la configurazione.
A seconda della configurazione e dell'esistenza o meno dell'account richiesto
sul dispositivo, all'utente verrà chiesto di aggiungere un Account Google
gestito specifico o un Account Google gestito valido oppure l'upgrade verrà eseguito
automaticamente in background.
Al termine, il nuovo Account Google gestito diventa quello principale per la gestione dei dispositivi, sostituendo il vecchio account Google Play gestito.
Nuovi motivi di mancata conformità
Sono stati aggiunti nuovi motivi di mancata conformità per consentire
all'amministratore IT di attivare l'applicazione delle norme in base a diversi scenari
riscontrati durante l'accesso dell'utente.
Se l'account inserito dall'utente non corrisponde a
requiredAccountEmail, sullo schermo viene immediatamente visualizzato un messaggio di errore.
Se l'amministratore IT specifica per errore un indirizzo email obbligatorio che
non fa parte del dominio aziendale, viene restituito il motivo di mancata conformità
REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE.
Se non viene specificato alcun requiredAccountEmail e l'utente tenta di inserire un account che non fa parte dell'azienda, viene restituito il motivo di mancata conformità NEW_ACCOUNT_NOT_IN_ENTERPRISE.
Scenari di upgrade degli utenti
Questi percorsi dell'utente illustrano scenari e risultati comuni durante l'implementazione e l'utilizzo della funzionalità di upgrade degli utenti. Coprono le esperienze dal punto di vista dell'amministratore IT e dell'utente finale. Tutti gli scenari presuppongono che il dispositivo sia inizialmente
registrato con un account della versione gestita di Google Play.
Ti consigliamo di acquisire familiarità con questi percorsi per supportare meglio
i tuoi clienti e convalidarli con la tua soluzione.
Aggiornamento riuscito con un Account Google gestito specifico richiesto
Quando i criteri di un dispositivo sono configurati con authenticationType
impostato su GOOGLE_AUTHENTICATED e un requiredAccountEmail specifico, all'utente viene chiesto di aggiungere l'Account Google gestito. Dopo l'accesso dell'utente, il dispositivo sincronizza il nuovo criterio e
diventa conforme. Di conseguenza, il vecchio account Google Play gestito per l'azienda
viene rimosso e il dispositivo ora è gestito principalmente dall'Account Google gestito
specificato.
Upgrade riuscito senza un Account Google gestito specifico richiesto
Quando i criteri di un dispositivo sono configurati con authenticationType impostato su
GOOGLE_AUTHENTICATED ma non specificano un requiredAccountEmail, all'utente
viene chiesto di aggiungere un Account Google gestito. La schermata di accesso di Google
non precompila un account, quindi l'utente aggiunge un Account Google
gestito valido per la propria azienda. Il dispositivo diventa quindi conforme e gestito dal
nuovo Account Google gestito. Di conseguenza, il vecchio account Google Play gestito per l'azienda
viene rimosso e il dispositivo ora è gestito principalmente dall'account
Google gestito specificato.
Upgrade silenzioso quando esiste già l'Account Google gestito richiesto
Se il criterio di un dispositivo è configurato con authenticationType impostato su
GOOGLE_AUTHENTICATED e un requiredAccountEmail specifico e l'Account Google gestito specificato esiste già sul dispositivo, l'upgrade
viene eseguito automaticamente senza che venga richiesto all'utente. L'account aziendale Google Play gestito viene rimosso e l'Account Google gestito preesistente diventa l'account principale per la gestione del dispositivo.
Upgrade richiesto con selezione dell'utente (account preesistente, nessun account specifico richiesto)
Quando i criteri di un dispositivo sono configurati con authenticationType
impostato su GOOGLE_AUTHENTICATED senza un requiredAccountEmail specifico
e sul dispositivo esiste già un Account Google gestito valido, Android Device Policy chiede all'utente di
selezionare o aggiungere un account. All'utente potrebbe essere mostrato un selettore di account
e deve selezionare o aggiungere l'Account Google gestito scelto, in quanto non si tratta di un
upgrade silenzioso. Il dispositivo diventa quindi conforme e l'Account Google gestito selezionato funge da account principale per la gestione del dispositivo.
Upgrade attivato immediatamente dopo la registrazione
Quando la norma di un dispositivo è configurata con authenticationType
come GOOGLE_AUTHENTICATED e un requiredAccountEmail
prima della registrazione, inizialmente ottiene un account Google Play gestito.
Subito dopo la registrazione, Android Device Policy chiede all'utente di aggiungere l'Account Google gestito richiesto. L'utente aggiunge l'account tramite una
schermata di accesso Google, causando la sincronizzazione del dispositivo, la conformità
e la rimozione dell'account Google Play gestito.
Applicazione delle norme e conformità
Android Device Policy include azioni di conformità integrate che aiutano gli utenti
a eseguire gli upgrade richiesti e altri aggiornamenti delle norme. Queste azioni forniscono inoltre agli amministratori IT gli strumenti per gestire la correzione dei dispositivi non conformi.
Mancata conformità che comporta il blocco o la cancellazione dei dati del dispositivo
Quando i criteri di un dispositivo richiedono un Account Google gestito (ad esempio,
con authenticationType come GOOGLE_AUTHENTICATED e un
requiredAccountEmail) e sono configurati anche con
policyEnforcementRules che specificano un blocco o una cancellazione, i criteri
per i dispositivi Android mostreranno avvisi se l'utente rimane non conforme. Se
la mancata conformità persiste oltre i giorni impostati per il blocco, l'utilizzo del dispositivo
viene bloccato. Se il problema persiste oltre i giorni previsti per la cancellazione, il dispositivo viene
ripristinato ai dati di fabbrica. Questa procedura è simile a quella esistente per la mancata conformità.
Tentativo di accesso con un account non autorizzato (bloccato all'accesso)
Se un criterio del dispositivo richiede un Account Google gestito specifico che utilizza
requiredAccountEmail, ma l'utente tenta di accedere con un Account Google gestito diverso, viene visualizzato un messaggio di errore direttamente nella schermata di accesso di Google. In questo modo, l'accesso non autorizzato viene impedito. Un esempio
di messaggio è "La policy di lavoro richiede l'account di lavoro specificato".
Tentativo di accesso con un account esterno all'azienda (account rimosso)
Quando le norme di un dispositivo richiedono un Account Google gestito, ma non è impostato alcun
requiredAccountEmail e l'utente accede con un account che
non fa parte dell'azienda collegata a EMM, l'account non autorizzato viene
rimosso automaticamente. All'utente viene quindi chiesto di accedere di nuovo con un
account valido. Il report sullo stato del dispositivo riflette un
nonComplianceReason di USER_ACTION e un motivo specifico di
NEW_ACCOUNT_NOT_IN_ENTERPRISE.
Configurazione errata dell'amministratore: l'account richiesto non fa parte dell'azienda
Se un amministratore configura erroneamente il criterio impostando un
requiredAccountEmail che non fa parte dell'azienda, Android Device
Policy visualizzerà un messaggio di errore, probabilmente intitolato "Contatta l'amministratore IT".
Il dispositivo rimarrà non conforme e il report sullo stato del dispositivo rifletterà un
nonComplianceReason di USER_ACTION con il motivo specifico
REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE. L'utente può procedere con l'upgrade solo dopo che l'amministratore ha corretto il criterio con un account principale valido.
