Para fazer upgrade de uma conta de usuário em um dispositivo, é necessário migrar de uma conta do Google Play gerenciado para uma Conta do Google gerenciada. Esse processo muda a identidade do usuário de uma conta não pessoal centrada no dispositivo para a identidade corporativa do Google, que é a base de uma experiência do usuário mais integrada em todos os serviços do Google.
Visão geral
O objetivo principal desse upgrade é oferecer aos clientes recursos aprimorados, como gerenciamento de usuários melhorado pelo Google Admin Console, segurança mais forte e acesso a serviços e recursos de IA do Google, como o Gemini.
Principais benefícios do upgrade das contas de usuário:
Funciona com todos os Serviços do Google:ao contrário das contas do Google Play gerenciado, essa nova identidade funciona perfeitamente com todos os Serviços do Google, incluindo Google Drive, Documentos e Meet. Ela também oferece suporte a backup de dispositivos quando ativada pelo admin de TI.
Experiência do usuário otimizada:com a integração do logon único (SSO), os usuários fazem login automático no ambiente corporativo e em todos os Serviços do Google, como o Gmail.
Controle direto de identidade:a organização pode controlar diretamente o ciclo de vida da identidade usando métodos manuais, automatizados ou baseados em sincronização.
Identificador de usuário conhecido:para melhorar a visibilidade, a nova conta usa o mesmo endereço de e-mail que o usuário já conhece e usa.
Pré-requisitos
O domínio do Google Workspace do cliente precisa estar verificado. Ele simplifica o gerenciamento de usuários para o administrador de TI e também permite sincronizar o diretório.
As Contas do Google gerenciadas de cada um dos usuários na conta a ser
atualizada precisam existir no Admin Console.
Mudanças na API
Esta seção descreve as principais mudanças na API dentro da política e o fluxo de não conformidade para oferecer suporte ao upgrade do usuário.
A atualização do usuário adiciona um novo campo em enterprises.policies e novas
enumerações em enterprises.devices para oferecer suporte a novos motivos de não conformidade.
Processo de upgrade da conta
Para fazer upgrade de uma conta, um administrador de TI atualiza a política de um dispositivo para exigir uma Conta do Google gerenciada para autenticação. Isso é feito usando o
workAccountSetupConfig e definindo o tipo de autenticação como
GOOGLE_AUTHENTICATED.
O parâmetro opcional requiredAccountEmail permite que o administrador de TI especifique a conta exata que o usuário precisa usar para concluir a configuração.
Dependendo da configuração e se a conta necessária já existe no dispositivo, o usuário vai receber uma solicitação para adicionar uma Conta do Google gerenciada específica ou qualquer Conta do Google gerenciada válida. Caso contrário, o upgrade vai acontecer automaticamente em segundo plano.
Depois da conclusão, a nova Conta do Google gerenciada se torna a principal para o gerenciamento de dispositivos, substituindo a antiga conta gerenciada do Google Play.
Novos motivos de não compliance
Novos motivos de não conformidade foram adicionados para permitir
que o administrador de TI acione a aplicação da política com base em diferentes cenários
encontrados durante o login do usuário.
Se a conta inserida pelo usuário não corresponder ao
requiredAccountEmail, uma mensagem de erro será mostrada imediatamente na tela.
Se o administrador de TI especificar por engano um endereço de e-mail obrigatório que não faz parte do domínio empresarial, o motivo de não conformidade REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE será retornado.
Se nenhum requiredAccountEmail for especificado e o usuário tentar inserir uma
conta que não faz parte da empresa, o motivo de não conformidade
NEW_ACCOUNT_NOT_IN_ENTERPRISE será retornado.
Cenários de upgrade do usuário
Essas jornadas ilustram cenários e resultados comuns ao implementar e usar o recurso de upgrade do usuário. Elas abrangem experiências das perspectivas do administrador de TI e do usuário final. Em todos os cenários, o dispositivo é registrado inicialmente com uma conta do Google Play gerenciado.
Recomendamos que você conheça essas jornadas para oferecer um suporte melhor aos seus clientes e validá-las com sua solução.
Upgrade bem-sucedido com uma Conta do Google gerenciada específica
Quando a política de um dispositivo é configurada com authenticationType definido como GOOGLE_AUTHENTICATED e um requiredAccountEmail específico, o usuário é solicitado a adicionar essa Conta do Google gerenciada. Depois que o usuário faz login, o dispositivo sincroniza a nova política e
fica em conformidade. Como resultado, a conta antiga do Google Play gerenciado
é removida, e o dispositivo passa a ser gerenciado principalmente pela Conta do Google
gerenciada especificada.
Upgrade concluído sem necessidade de uma Conta do Google gerenciada específica
Quando a política de um dispositivo é configurada com authenticationType definido como GOOGLE_AUTHENTICATED, mas não especifica um requiredAccountEmail, o usuário é solicitado a adicionar uma Conta do Google gerenciada. A tela de login do Google
não preenche uma conta automaticamente. Por isso, o usuário adiciona qualquer Conta do Google
gerenciada válida para a empresa. O dispositivo passa a estar em conformidade e é gerenciado pela
nova Conta do Google gerenciada. Como resultado, a conta antiga do Google Play gerenciado
é removida, e o dispositivo passa a ser gerenciado principalmente pela
Conta do Google gerenciada especificada.
Upgrade silencioso quando a Conta do Google gerenciada necessária já existe
Se a política de um dispositivo estiver configurada com authenticationType definido como GOOGLE_AUTHENTICATED e um requiredAccountEmail específico, e essa Conta do Google gerenciada especificada já existir no dispositivo, o upgrade vai ocorrer sem que o usuário seja solicitado. A conta empresarial do Google Play gerenciado é removida, e a Conta do Google gerenciada preexistente se torna a principal para o gerenciamento do dispositivo.
Upgrade solicitado com seleção do usuário (conta pré-existente, sem necessidade de uma conta específica)
Quando a política de um dispositivo é configurada com authenticationType definido como GOOGLE_AUTHENTICATED sem um requiredAccountEmail específico, e uma Conta do Google gerenciada válida já existe no dispositivo, a Política de dispositivo Android solicita que o usuário selecione ou adicione uma conta. O usuário pode receber um seletor de contas
e precisa selecionar ou adicionar a Conta do Google gerenciada escolhida, já que não é um
upgrade silencioso. O dispositivo passa a estar em conformidade, e a Conta do Google gerenciada selecionada serve como a conta principal para o gerenciamento do dispositivo.
Upgrade acionado imediatamente após a inscrição
Quando a política de um dispositivo é configurada com authenticationType
como GOOGLE_AUTHENTICATED e um requiredAccountEmail
antes da inscrição, ele recebe inicialmente uma conta gerenciada do Google Play.
Imediatamente após o registro, a Política de dispositivo Android pede que o usuário adicione a Conta do Google gerenciada necessária. O usuário adiciona a conta em uma
tela de login do Google, fazendo com que o dispositivo seja sincronizado, fique em conformidade
e remova a conta do Google Play gerenciado.
Aplicação da política e compliance
A Política de dispositivo Android inclui ações de compliance integradas que ajudam a orientar os usuários
em upgrades obrigatórios e outras atualizações de políticas. Essas ações também
fornecem aos administradores de TI as ferramentas para gerenciar a correção de dispositivos
não compatíveis.
Não conformidade que leva ao bloqueio ou exclusão permanente do dispositivo
Quando a política de um dispositivo exige uma Conta do Google gerenciada (por exemplo, com authenticationType como GOOGLE_AUTHENTICATED e um requiredAccountEmail) e também é configurada com policyEnforcementRules que especificam um bloqueio ou limpeza, a Política de dispositivo Android mostra avisos se o usuário continuar em não conformidade. Se o não cumprimento persistir além dos dias definidos para um bloqueio, o uso do dispositivo será bloqueado. Se o problema persistir além dos dias para uma exclusão definitiva, o dispositivo será
redefinido para a configuração de fábrica. Isso é semelhante ao fluxo de não conformidade atual.
Tentativa de login com uma conta não autorizada (bloqueada no login)
Se uma política de dispositivo exigir uma Conta do Google gerenciada específica usando
requiredAccountEmail, mas o usuário tentar fazer login com uma Conta do Google
gerenciada diferente, uma mensagem de erro será exibida diretamente na
tela de login do Google. Isso impede o login não autorizado. Por exemplo, "A política de trabalho exige a conta de trabalho especificada".
Tentativa de login com uma conta fora da empresa (conta removida)
Quando a política de um dispositivo exige uma Conta do Google gerenciada, mas nenhum
requiredAccountEmail está definido, e o usuário faz login com uma conta que
não faz parte da empresa vinculada ao EMM, a conta não autorizada é
removida automaticamente. Em seguida, o usuário precisa fazer login novamente com uma conta válida. O relatório de status do dispositivo reflete um
nonComplianceReason de USER_ACTION e um motivo específico de
NEW_ACCOUNT_NOT_IN_ENTERPRISE.
Configuração incorreta do administrador: a conta necessária não faz parte da empresa
Se um administrador configurar incorretamente a política definindo um
requiredAccountEmail que não faz parte da empresa, a Política de dispositivo
Android vai mostrar uma mensagem de erro, possivelmente intitulada "Entre em contato com o administrador de TI".
O dispositivo vai continuar em não conformidade, e o relatório de status vai refletir um
nonComplianceReason de USER_ACTION com o motivo específico
REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE. O usuário só poderá continuar com o upgrade depois que o administrador corrigir a política com uma conta principal válida.
