Обновление учётной записи пользователя на устройстве включает в себя её миграцию из управляемой учётной записи Google Play в управляемую учётную запись Google . Этот процесс переводит идентификацию пользователя из неперсонифицированной учётной записи, привязанной к устройству, в корпоративную учётную запись Google, что является основой для более интегрированного пользовательского опыта во всех сервисах Google.
Обзор
Основная цель этого обновления — предоставить клиентам расширенные функции, такие как улучшенное управление пользователями через консоль администратора Google, усиленную безопасность и доступ к сервисам Google и возможностям искусственного интеллекта, таким как Gemini.
Основные преимущества обновления учетных записей пользователей:
Работает со всеми сервисами Google: в отличие от управляемых аккаунтов Google Play, этот новый идентификатор без проблем работает со всеми сервисами Google, включая Google Диск, Документы и Meet. Он также поддерживает резервное копирование устройств, если эта функция включена системным администратором.
Удобный пользовательский интерфейс: благодаря интеграции единого входа (SSO) пользователи автоматически входят в свою корпоративную среду и все свои службы Google, такие как Gmail.
Прямой контроль идентификационных данных: Организация может напрямую контролировать жизненный цикл идентификационных данных с помощью ручных, автоматизированных или синхронизированных методов.
Знакомый идентификатор пользователя: для лучшей видимости новая учетная запись использует тот же адрес электронной почты, который пользователь уже знает и использует.
Предпосылки
Домен Google Workspace клиента должен быть проверен . Это упрощает управление пользователями для ИТ-администратора, а также позволяет синхронизировать каталоги.
Управляемые учетные записи Google для каждого из пользователей в предполагаемом обновлении учетной записи должны существовать заранее в консоли администратора.
Изменения API
В этом разделе описаны ключевые изменения API в политике и процессе несоответствия для поддержки обновления пользователей. Обновление пользователей добавляет новое поле в файл enterprises.policies и новые перечисления в файл enterprises.devices для поддержки новых причин несоответствия.
Процесс обновления учетной записи
Чтобы обновить учётную запись, системный администратор обновляет политику устройства, чтобы она требовала управляемую учётную запись Google для аутентификации. Это делается с помощью workAccountSetupConfig и установки типа аутентификации GOOGLE_AUTHENTICATED .
Необязательный параметр requiredAccountEmail позволяет ИТ-администратору указать точную учетную запись, которую пользователь должен использовать для успешного завершения настройки.
В зависимости от конфигурации и того, существует ли уже необходимая учетная запись на устройстве, пользователю будет предложено добавить либо конкретную управляемую учетную запись Google, либо любую действующую управляемую учетную запись Google, либо обновление произойдет автоматически в фоновом режиме.
После завершения новая управляемая учетная запись Google станет основной для управления устройством, заменив старую управляемую учетную запись Google Play.
Новые причины несоблюдения
Добавлены новые причины несоответствия, позволяющие ИТ-администратору инициировать принудительное применение политики на основе различных сценариев, возникающих при входе пользователя в систему.
Если введенная пользователем учетная запись не совпадает с requiredAccountEmail , на экране немедленно отображается сообщение об ошибке.
Если ИТ-администратор случайно указал требуемый адрес электронной почты, который не является частью домена предприятия, возвращается причина несоответствия REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE .
Если requiredAccountEmail не указан и пользователь пытается ввести учетную запись, которая не принадлежит предприятию, возвращается причина несоответствия NEW_ACCOUNT_NOT_IN_ENTERPRISE .
Сценарии обновления пользователя
Эти сценарии иллюстрируют типичные сценарии и результаты внедрения и использования функции обновления. Они охватывают опыт как с точки зрения ИТ-администратора, так и конечного пользователя. Во всех сценариях предполагается, что устройство изначально зарегистрировано в управляемой учётной записи Google Play.
Мы рекомендуем вам ознакомиться с этими процессами, чтобы лучше поддерживать своих клиентов и проверять их эффективность вашего решения.
Требуется успешное обновление с использованием определенной управляемой учетной записи Google.
Если политика устройства настроена с типом authenticationType GOOGLE_AUTHENTICATED и заданным адресом requiredAccountEmail , пользователю предлагается добавить управляемую учётную запись Google. После входа пользователя устройство синхронизируется с новой политикой и становится соответствующим требованиям. В результате старая управляемая учётная запись Google Play Enterprise удаляется, и устройство теперь управляется преимущественно указанной управляемой учётной записью Google.
Успешное обновление без необходимости в специальной управляемой учетной записи Google
Если политика устройства настроена с типом authenticationType GOOGLE_AUTHENTICATED но не указан requiredAccountEmail , пользователю предлагается добавить управляемую учётную запись Google. На экране входа в Google данные учётной записи не заполняются автоматически, поэтому пользователь добавляет любую действующую управляемую учётную запись Google для своей организации. После этого устройство становится соответствующим требованиям и управляется новой управляемой учётной записью Google. В результате старая управляемая учётная запись Google Play Enterprise удаляется, и устройство теперь управляется преимущественно указанной управляемой учётной записью Google.
Тихое обновление при необходимости, если управляемая учетная запись Google уже существует
Если политика устройства настроена с типом authenticationType GOOGLE_AUTHENTICATED и заданным адресом requiredAccountEmail , и указанная управляемая учётная запись Google уже существует на устройстве, обновление происходит автоматически, без запроса пользователя. Управляемая учётная запись Google Play Enterprise удаляется, а существующая управляемая учётная запись Google становится основной учётной записью для управления устройством.
Запрос на обновление с выбором пользователя (существующая учетная запись, конкретная учетная запись не требуется)
Если политика устройства настроена с типом authenticationType GOOGLE_AUTHENTICATED без указания определённого значения requiredAccountEmail и на устройстве уже существует действующий управляемый аккаунт Google, Android Device Policy предложит пользователю выбрать или добавить аккаунт. Пользователю может быть предложено выбрать или добавить выбранный управляемый аккаунт Google, поскольку это не является автоматическим обновлением. После этого устройство становится совместимым, а выбранный управляемый аккаунт Google становится основным для управления устройством.
Обновление происходит сразу после регистрации
Если политика устройства настроена с типом authenticationType GOOGLE_AUTHENTICATED и requiredAccountEmail до регистрации, на нём изначально создаётся управляемый аккаунт Google Play. Сразу после регистрации Android Device Policy предлагает пользователю добавить требуемый управляемый аккаунт Google. Пользователь добавляет аккаунт через экран входа в Google, что приводит к синхронизации устройства, приведению его в соответствие требованиям и удалению управляемого аккаунта Google Play.
Обеспечение соблюдения политики и ее соблюдение
Политика устройств Android включает встроенные действия по обеспечению соответствия, которые помогают пользователям устанавливать необходимые обновления и другие обновления политики. Эти действия также предоставляют ИТ-администраторам инструменты для управления устранением неполадок на устройствах, не соответствующих требованиям.
Несоблюдение требований приведет к блокировке или удалению данных с устройства.
Если политика устройства требует управляемой учётной записи Google (например, с типом authenticationType GOOGLE_AUTHENTICATED и обязательным адресом электронной почты requiredAccountEmail ), а также настроена с помощью policyEnforcementRules , которые задают блокировку или очистку данных, Android Device Policy будет отображать предупреждения, если пользователь продолжает не соблюдать правила. Если несоблюдение правил продолжается дольше установленного срока блокировки, использование устройства блокируется. Если же несоблюдение правил продолжается дольше срока очистки, устройство сбрасывается к заводским настройкам. Это аналогично существующему процессу несоблюдения правил.
Попытка входа в систему с использованием неавторизованной учетной записи (блокировано при входе в систему)
Если политика устройства требует наличия определённой управляемой учётной записи Google с помощью requiredAccountEmail , но пользователь пытается войти с помощью другой управляемой учётной записи Google, сообщение об ошибке отображается непосредственно на экране входа в Google. Это предотвращает несанкционированный вход. Пример сообщения: «Для рабочей политики требуется указанная рабочая учётная запись».
Попытка входа в систему с использованием учетной записи вне предприятия (учетная запись удалена)
Если политика устройства требует наличия управляемой учётной записи Google, но не задан параметр requiredAccountEmail , и пользователь входит в систему с учётной записью, не относящейся к корпоративной учётной записи, неавторизованная учётная запись автоматически удаляется. После этого пользователю предлагается снова войти в систему с действующей учётной записью. В отчёте о состоянии устройства указывается причина nonComplianceReason USER_ACTION и конкретная причина NEW_ACCOUNT_NOT_IN_ENTERPRISE .
Неправильная конфигурация администратора: требуемая учетная запись не является частью предприятия
Если администратор неправильно настроит политику, установив обязательный адрес requiredAccountEmail , не относящийся к корпоративной учетной записи, Android Device Policy выведет сообщение об ошибке, возможно, с заголовком «Связаться с ИТ-администратором». Устройство останется несоответствующим требованиям, а в отчете о состоянии устройства будет указана причина nonComplianceReason USER_ACTION с указанием причины REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE . Пользователь сможет продолжить обновление только после того, как администратор исправит политику, используя действующую основную учетную запись.
