Uaktualnienie konta użytkownika na urządzeniu polega na przeniesieniu go z zarządzanego konta Google Play na zarządzane konto Google. Ten proces przenosi tożsamość użytkownika z konta nieosobistego, które jest powiązane z urządzeniem, na tożsamość firmową Google, która jest podstawą bardziej zintegrowanego środowiska użytkownika we wszystkich usługach Google.
Przegląd
Głównym celem tej aktualizacji jest udostępnienie klientom ulepszonych funkcji, takich jak lepsze zarządzanie użytkownikami w konsoli administracyjnej Google, większe bezpieczeństwo oraz dostęp do usług Google i funkcji AI, takich jak Gemini.
Główne zalety przejścia na wyższą wersję kont użytkowników:
Współpracuje ze wszystkimi usługami Google: w przeciwieństwie do zarządzanych kont Google Play ta nowa tożsamość działa bezproblemowo ze wszystkimi usługami Google, w tym z Dyskiem Google, Dokumentami i Meet. Obsługuje też tworzenie kopii zapasowych urządzeń, jeśli włączy je administrator IT.
Płynne działanie: dzięki integracji z logowaniem jednokrotnym (SSO) użytkownicy są automatycznie logowani w środowisku firmowym i wszystkich usługach Google, takich jak Gmail.
Bezpośrednia kontrola tożsamości: organizacja może bezpośrednio kontrolować cykl życia tożsamości za pomocą metod ręcznych, zautomatyzowanych lub opartych na synchronizacji.
Znany identyfikator użytkownika: dla lepszej widoczności nowe konto używa tego samego adresu e-mail, który użytkownik już zna i którego używa.
Wymagania wstępne
Domena Google Workspace klienta musi być zweryfikowana. Upraszcza zarządzanie użytkownikami dla administratora IT i umożliwia synchronizację katalogu.
Zarządzane konta Google dla każdego użytkownika na koncie, które ma zostać uaktualnione, muszą być wcześniej utworzone w konsoli administracyjnej.
Zmiany w interfejsie API
W tej sekcji opisujemy najważniejsze zmiany w interfejsie API w ramach zasad i procesu związanego z niezgodnością, które mają na celu ułatwienie użytkownikom przejścia na wyższą wersję.
Aktualizacja użytkownika dodaje nowe pole w enterprises.policies i nowe wyliczenia w enterprises.devices, aby obsługiwać nowe przyczyny niezgodności.
Proces uaktualniania konta
Aby uaktualnić konto, administrator IT aktualizuje zasady urządzenia, tak aby do uwierzytelniania było wymagane zarządzane konto Google. Służy do tego atrybut workAccountSetupConfig, w którym typ uwierzytelniania jest ustawiony na GOOGLE_AUTHENTICATED.
Opcjonalny parametr requiredAccountEmail umożliwia administratorowi IT określenie dokładnego konta, którego użytkownik musi użyć, aby pomyślnie zakończyć konfigurację.
W zależności od konfiguracji i tego, czy wymagane konto jest już na urządzeniu, użytkownik zostanie poproszony o dodanie konkretnego zarządzanego konta Google lub dowolnego prawidłowego zarządzanego konta Google, albo uaktualnienie nastąpi automatycznie w tle.
Po zakończeniu tego procesu nowe zarządzane konto Google stanie się kontem głównym do zarządzania urządzeniami, zastępując stare zarządzane konto Sklepu Google Play.
Nowe przyczyny niezgodności
Dodaliśmy nowe powody niezgodności, aby umożliwić administratorowi IT wymuszanie zasad w różnych scenariuszach napotkanych podczas logowania użytkownika.
Jeśli konto wpisane przez użytkownika nie pasuje do requiredAccountEmail, na ekranie natychmiast pojawi się komunikat o błędzie.
Jeśli administrator IT przypadkowo określi wymagany adres e-mail, który nie należy do domeny przedsiębiorstwa, zwracany jest powód niezgodności REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE.
Jeśli nie określono żadnego znaku requiredAccountEmail, a użytkownik spróbuje wpisać konto, które nie jest częścią przedsiębiorstwa, zwracana jest przyczyna niezgodności NEW_ACCOUNT_NOT_IN_ENTERPRISE.
Scenariusze uaktualniania przez użytkowników
Te ścieżki użytkownika ilustrują typowe scenariusze i wyniki wdrażania i korzystania z funkcji uaktualniania użytkowników. Obejmują one wrażenia zarówno administratora IT, jak i użytkownika. We wszystkich scenariuszach zakłada się, że urządzenie jest początkowo zarejestrowane za pomocą konta w zarządzanym Sklepie Google Play.
Zachęcamy do zapoznania się z tymi ścieżkami, aby lepiej wspierać klientów i weryfikować je za pomocą swojego rozwiązania.
Wymagane przejście na wyższą wersję konta za pomocą określonego zarządzanego konta Google
Jeśli zasady urządzenia są skonfigurowane z ustawieniem authenticationType ustawionym na GOOGLE_AUTHENTICATED i określonym requiredAccountEmail, użytkownik zostanie poproszony o dodanie tego zarządzanego konta Google. Po zalogowaniu się użytkownika urządzenie synchronizuje nowe zasady i staje się zgodne. W rezultacie stare konto firmowe zarządzanego Sklepu Google Play zostanie usunięte, a urządzenie będzie zarządzane głównie przez określone zarządzane konto Google.
Przejście na wyższą wersję bez konieczności posiadania zarządzanego konta Google
Jeśli zasady urządzenia są skonfigurowane z ustawieniem authenticationType na GOOGLE_AUTHENTICATED, ale nie określają requiredAccountEmail, użytkownik zostanie poproszony o dodanie zarządzanego konta Google. Ekran logowania Google nie wypełnia wstępnie konta, więc użytkownik dodaje dowolne prawidłowe zarządzane konto Google w swojej firmie. Urządzenie stanie się wtedy zgodne i będzie zarządzane przez nowe zarządzane konto Google. W rezultacie stare konto firmowe zarządzanego Sklepu Google Play zostanie usunięte, a urządzenie będzie zarządzane głównie przez określone zarządzane konto Google.
Cicha aktualizacja, gdy wymagane zarządzane konto Google już istnieje
Jeśli zasady urządzenia są skonfigurowane z wartością authenticationType ustawioną na GOOGLE_AUTHENTICATED i określonym adresem requiredAccountEmail, a to określone zarządzane konto Google jest już na urządzeniu, uaktualnienie następuje w trybie cichym, bez wyświetlania użytkownikowi żadnych komunikatów. Konto firmowe w zarządzanym Google Play zostanie usunięte, a dotychczasowe zarządzane konto Google stanie się kontem głównym do zarządzania urządzeniem.
Uaktualnienie z wyborem użytkownika (istniejące konto, nie jest wymagane konkretne konto)
Jeśli zasady urządzenia są skonfigurowane z ustawieniem authenticationType
ustawionym na GOOGLE_AUTHENTICATED bez określonego
requiredAccountEmail, a na urządzeniu istnieje już prawidłowe zarządzane konto Google, zasady dotyczące urządzeń z Androidem wyświetlą użytkownikowi prośbę o wybranie lub dodanie konta. Użytkownikowi może zostać wyświetlony selektor kont i musi on wybrać lub dodać wybrane zarządzane konto Google, ponieważ nie jest to cicha aktualizacja. Urządzenie stanie się zgodne, a wybrane zarządzane konto Google będzie służyć jako konto główne do zarządzania urządzeniem.
Uaktualnienie następuje natychmiast po rejestracji
Jeśli zasady urządzenia są skonfigurowane jako authenticationTypeGOOGLE_AUTHENTICATED i requiredAccountEmail przed rejestracją, urządzenie początkowo otrzymuje konto zarządzanego Sklepu Google Play.
Bezpośrednio po rejestracji aplikacja Zasady dotyczące urządzeń z Androidem wyświetli użytkownikowi prośbę o dodanie wymaganego zarządzanego konta Google. Użytkownik dodaje konto na ekranie logowania Google, co powoduje synchronizację urządzenia, jego zgodność z zasadami i usunięcie konta zarządzanego Sklepu Google Play.
Egzekwowanie zasad i zgodność
Zasady dotyczące urządzeń z Androidem obejmują wbudowane działania związane ze zgodnością, które pomagają użytkownikom w przeprowadzaniu wymaganych uaktualnień i innych aktualizacji zasad. Te działania zapewniają też administratorom IT narzędzia do zarządzania działaniami naprawczymi w przypadku urządzeń niezgodnych z zasadami.
Niezgodność prowadząca do zablokowania lub wyczyszczenia urządzenia
Jeśli zasady urządzenia wymagają zarządzanego konta Google (np. gdy authenticationType ma wartość GOOGLE_AUTHENTICATED i requiredAccountEmail) i są skonfigurowane za pomocą policyEnforcementRules, które określają blokadę lub wyczyszczenie, zasady dotyczące urządzeń z Androidem będą wyświetlać ostrzeżenia, jeśli użytkownik nadal nie będzie ich przestrzegać. Jeśli niezgodność będzie się utrzymywać dłużej niż ustawiona liczba dni, urządzenie zostanie zablokowane. Jeśli problem nie ustąpi po upływie dni, w których ma nastąpić wyczyszczenie, urządzenie zostanie przywrócone do ustawień fabrycznych. Jest to podobne do obecnego procesu związanego z niezgodnością.
Próba zalogowania się na nieautoryzowane konto (zablokowana podczas logowania)
Jeśli zasada dotycząca urządzenia wymaga określonego zarządzanego konta Google przy użyciu
requiredAccountEmail, ale użytkownik próbuje zalogować się za pomocą innego
zarządzanego konta Google, komunikat o błędzie jest wyświetlany bezpośrednio na
ekranie logowania Google. Zapobiega to nieautoryzowanemu logowaniu. Przykładowy komunikat to „Zasady obowiązujące w firmie wymagają określonego konta służbowego”.
Próba zalogowania się na konto spoza organizacji (konto zostało usunięte)
Jeśli zasady urządzenia wymagają zarządzanego konta Google, ale nie jest ustawiona żadna wartość, a użytkownik zaloguje się za pomocą konta, które nie jest częścią przedsiębiorstwa połączonego z EMM, nieautoryzowane konto zostanie automatycznie usunięte.requiredAccountEmail Użytkownik zostanie poproszony o ponowne zalogowanie się przy użyciu prawidłowego konta. Raport o stanie urządzenia zawiera nonComplianceReason USER_ACTION i konkretny powód NEW_ACCOUNT_NOT_IN_ENTERPRISE.
Błąd konfiguracji administratora: wymagane konto nie należy do firmy
Jeśli administrator źle skonfiguruje zasadę, ustawiając adres e-mail, który nie należy do firmy, aplikacja Android Device Policy wyświetli komunikat o błędzie, prawdopodobnie zatytułowany „Skontaktuj się z administratorem IT”.requiredAccountEmail
Urządzenie nadal będzie niezgodne, a raport o stanie urządzenia będzie zawierać wartość nonComplianceReason w polu USER_ACTION wraz z konkretnym powodem REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE. Użytkownik może przejść na wyższą wersję tylko wtedy, gdy administrator poprawi zasady, podając prawidłowe konto podstawowe.
