Việc nâng cấp tài khoản người dùng trên thiết bị bao gồm việc di chuyển tài khoản đó từ Tài khoản Google Play được quản lý sang Tài khoản Google được quản lý. Quy trình này chuyển danh tính của người dùng từ một tài khoản không phải là tài khoản cá nhân và tập trung vào thiết bị sang danh tính Google của công ty. Đây là nền tảng cho trải nghiệm người dùng tích hợp hơn trên tất cả các dịch vụ của Google.
Tổng quan
Mục tiêu chính của việc nâng cấp này là cung cấp cho khách hàng các tính năng nâng cao, chẳng hạn như khả năng quản lý người dùng được cải thiện thông qua Bảng điều khiển dành cho quản trị viên của Google, khả năng bảo mật mạnh mẽ hơn và quyền truy cập vào các dịch vụ cũng như khả năng AI của Google như Gemini.
Sau đây là những lợi ích chính của việc nâng cấp tài khoản người dùng:
Tương thích với mọi dịch vụ của Google: Không giống như Tài khoản Google Play được quản lý, danh tính mới này hoạt động trơn tru với mọi dịch vụ của Google, bao gồm cả Google Drive, Tài liệu và Meet. Tính năng này cũng hỗ trợ sao lưu thiết bị khi được quản trị viên CNTT bật.
Trải nghiệm liền mạch cho người dùng: Thông qua việc tích hợp tính năng đăng nhập một lần (SSO), người dùng sẽ tự động đăng nhập vào môi trường doanh nghiệp và tất cả các dịch vụ của Google, chẳng hạn như Gmail.
Kiểm soát trực tiếp danh tính: Tổ chức có thể kiểm soát trực tiếp vòng đời danh tính thông qua các phương thức thủ công, tự động hoặc dựa trên việc đồng bộ hoá.
Mã nhận dạng người dùng quen thuộc: Để tăng khả năng hiển thị, tài khoản mới sử dụng cùng một địa chỉ email mà người dùng đã biết và sử dụng.
Điều kiện tiên quyết
Miền Google Workspace của khách hàng phải được xác minh miền. Tính năng này giúp đơn giản hoá việc quản lý người dùng cho quản trị viên CNTT, đồng thời cho phép họ đồng bộ hoá thư mục.
Bạn phải có Tài khoản Google được quản lý cho từng người dùng trong tài khoản dự định nâng cấp trong bảng điều khiển dành cho quản trị viên.
Nội dung thay đổi đối với API
Phần này trình bày những thay đổi chính về API trong quy trình tuân thủ và không tuân thủ chính sách để hỗ trợ việc nâng cấp người dùng.
Nâng cấp người dùng sẽ thêm một trường mới trong enterprises.policies và thêm các enum mới trong enterprises.devices để hỗ trợ các lý do mới về việc không tuân thủ.
Quy trình nâng cấp tài khoản
Để nâng cấp tài khoản, quản trị viên CNTT sẽ cập nhật chính sách của thiết bị để yêu cầu Tài khoản Google do quản lý cho mục đích xác thực. Bạn có thể thực hiện việc này bằng cách sử dụng workAccountSetupConfig và đặt loại xác thực thành GOOGLE_AUTHENTICATED.
Tham số requiredAccountEmail (không bắt buộc) cho phép quản trị viên CNTT chỉ định chính xác tài khoản mà người dùng phải sử dụng để hoàn tất quá trình thiết lập.
Tuỳ thuộc vào cấu hình và việc tài khoản bắt buộc đã tồn tại trên thiết bị hay chưa, người dùng sẽ được nhắc thêm một Tài khoản Google được quản lý cụ thể hoặc bất kỳ Tài khoản Google được quản lý hợp lệ nào, hoặc quá trình nâng cấp sẽ tự động diễn ra ở chế độ nền.
Sau khi hoàn tất, Tài khoản Google được quản lý mới sẽ trở thành tài khoản chính để quản lý thiết bị, thay thế Tài khoản Google Play được quản lý cũ.
Lý do mới không tuân thủ
Chúng tôi đã thêm các lý do mới về việc không tuân thủ để cho phép quản trị viên CNTT kích hoạt việc thực thi chính sách dựa trên các trường hợp khác nhau gặp phải trong quá trình đăng nhập của người dùng.
Nếu tài khoản mà người dùng nhập không khớp với requiredAccountEmail, thì một thông báo lỗi sẽ xuất hiện ngay trên màn hình.
Nếu quản trị viên CNTT vô tình chỉ định một địa chỉ email bắt buộc không thuộc miền doanh nghiệp, thì lý do không tuân thủ REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE sẽ được trả về.
Nếu không có requiredAccountEmail nào được chỉ định và người dùng cố gắng nhập một tài khoản không thuộc doanh nghiệp, thì lý do không tuân thủ NEW_ACCOUNT_NOT_IN_ENTERPRISE sẽ được trả về.
Các trường hợp nâng cấp người dùng
Những hành trình này của người dùng minh hoạ các trường hợp và kết quả thường gặp khi triển khai và sử dụng tính năng nâng cấp người dùng. Các nguyên tắc này bao gồm cả trải nghiệm của quản trị viên CNTT và người dùng cuối. Tất cả các trường hợp đều giả định rằng thiết bị ban đầu được đăng ký bằng Tài khoản Managed Google Play.
Bạn nên tìm hiểu kỹ các hành trình này để hỗ trợ khách hàng tốt hơn và xác thực các hành trình đó bằng giải pháp của mình.
Bạn cần nâng cấp thành công bằng một Tài khoản Google được quản lý cụ thể
Khi chính sách của thiết bị được thiết lập với authenticationType được đặt thành GOOGLE_AUTHENTICATED và một requiredAccountEmail cụ thể, người dùng sẽ được nhắc thêm Tài khoản Google được quản lý đó. Sau khi người dùng đăng nhập, thiết bị sẽ đồng bộ hoá chính sách mới và tuân thủ chính sách đó. Do đó, tài khoản doanh nghiệp cũ do Google Play quản lý sẽ bị xoá và thiết bị hiện được quản lý chủ yếu bằng Tài khoản Google được quản lý mà bạn chỉ định.
Nâng cấp thành công mà không cần Tài khoản Google do tổ chức quản lý cụ thể
Khi chính sách của thiết bị được định cấu hình với authenticationType được đặt thành GOOGLE_AUTHENTICATED nhưng không chỉ định requiredAccountEmail, người dùng sẽ được nhắc thêm một Tài khoản Google do quản lý. Màn hình đăng nhập của Google không điền sẵn tài khoản, vì vậy, người dùng sẽ thêm bất kỳ Tài khoản Google được quản lý hợp lệ nào cho doanh nghiệp của họ. Sau đó, thiết bị sẽ tuân thủ và được quản lý bằng Tài khoản Google được quản lý mới. Do đó, tài khoản doanh nghiệp cũ do Google Play quản lý sẽ bị xoá và thiết bị hiện được quản lý chủ yếu bằng Tài khoản Google được quản lý mà bạn chỉ định.
Nâng cấp âm thầm khi đã có sẵn Tài khoản Google được quản lý bắt buộc
Nếu chính sách của thiết bị được định cấu hình với authenticationType được đặt thành GOOGLE_AUTHENTICATED và một requiredAccountEmail cụ thể, đồng thời Tài khoản Google được quản lý cụ thể đó đã tồn tại trên thiết bị, thì quá trình nâng cấp sẽ diễn ra âm thầm mà không cần người dùng được nhắc. Tài khoản doanh nghiệp Google Play được quản lý sẽ bị xoá và Tài khoản Google được quản lý hiện có sẽ trở thành tài khoản chính để quản lý thiết bị.
Nâng cấp theo lời nhắc có lựa chọn của người dùng (tài khoản đã có từ trước, không yêu cầu tài khoản cụ thể)
Khi chính sách của thiết bị được định cấu hình với authenticationType được đặt thành GOOGLE_AUTHENTICATED mà không có requiredAccountEmail cụ thể và một Tài khoản Google được quản lý hợp lệ đã có trên thiết bị, Android Device Policy sẽ nhắc người dùng chọn hoặc thêm một tài khoản. Người dùng có thể thấy một trình chọn tài khoản và phải chọn hoặc thêm Tài khoản Google được quản lý đã chọn, vì đây không phải là một quy trình nâng cấp ngầm. Sau đó, thiết bị sẽ tuân thủ, với Tài khoản Google được quản lý đã chọn đóng vai trò là tài khoản chính để quản lý thiết bị.
Nâng cấp ngay sau khi đăng ký
Khi chính sách của thiết bị được định cấu hình bằng authenticationType dưới dạng GOOGLE_AUTHENTICATED và requiredAccountEmail trước khi đăng ký, thiết bị đó ban đầu sẽ nhận được một Tài khoản Managed Google Play.
Ngay sau khi đăng ký, Chính sách thiết bị Android sẽ nhắc người dùng thêm Tài khoản Google được quản lý bắt buộc. Người dùng thêm tài khoản thông qua màn hình đăng nhập Google, khiến thiết bị đồng bộ hoá, tuân thủ và xoá Tài khoản Google Play được quản lý.
Thực thi chính sách và tuân thủ
Android Device Policy có các hành động tuân thủ tích hợp sẵn giúp hướng dẫn người dùng thực hiện các bản nâng cấp bắt buộc và các bản cập nhật chính sách khác. Những hành động này cũng cung cấp cho quản trị viên CNTT các công cụ để quản lý việc khắc phục cho các thiết bị không tuân thủ.
Hành vi không tuân thủ dẫn đến việc chặn hoặc xoá sạch thiết bị
Khi chính sách của thiết bị yêu cầu Tài khoản Google do quản lý (ví dụ: với authenticationType là GOOGLE_AUTHENTICATED và requiredAccountEmail) và cũng được định cấu hình bằng policyEnforcementRules chỉ định chặn hoặc xoá dữ liệu, Chính sách thiết bị Android sẽ hiển thị cảnh báo nếu người dùng vẫn không tuân thủ. Nếu tình trạng không tuân thủ tiếp diễn quá số ngày đã đặt cho một khối, thì việc sử dụng thiết bị sẽ bị chặn. Nếu vấn đề vẫn tiếp diễn sau số ngày quy định để xoá dữ liệu, thì thiết bị sẽ được khôi phục về chế độ cài đặt gốc. Quy trình này tương tự như quy trình hiện tại về việc không tuân thủ.
Đã cố gắng đăng nhập bằng một tài khoản không được phép (bị chặn khi đăng nhập)
Nếu một chính sách thiết bị yêu cầu một Tài khoản Google được quản lý cụ thể sử dụng requiredAccountEmail, nhưng người dùng cố gắng đăng nhập bằng một Tài khoản Google được quản lý khác, thì một thông báo lỗi sẽ xuất hiện ngay trên màn hình đăng nhập của Google. Điều này giúp ngăn chặn hành vi đăng nhập trái phép. Ví dụ: "Chính sách công việc yêu cầu tài khoản công việc đã chỉ định".
Đã thử đăng nhập bằng một tài khoản bên ngoài doanh nghiệp (đã xoá tài khoản)
Khi chính sách của thiết bị yêu cầu Tài khoản Google được quản lý nhưng không có requiredAccountEmail nào được đặt và người dùng đăng nhập bằng một tài khoản không thuộc doanh nghiệp được liên kết với EMM, thì tài khoản không được uỷ quyền sẽ tự động bị xoá. Sau đó, người dùng sẽ được nhắc đăng nhập lại bằng một tài khoản hợp lệ. Báo cáo trạng thái thiết bị phản ánh nonComplianceReason của USER_ACTION và một lý do cụ thể của NEW_ACCOUNT_NOT_IN_ENTERPRISE.
Quản trị viên định cấu hình sai: tài khoản bắt buộc không thuộc doanh nghiệp
Nếu quản trị viên định cấu hình sai chính sách bằng cách đặt một requiredAccountEmail không thuộc doanh nghiệp, thì Chính sách thiết bị Android sẽ hiển thị một thông báo lỗi, có thể có tiêu đề "Liên hệ với quản trị viên CNTT".
Thiết bị sẽ vẫn không tuân thủ và báo cáo trạng thái thiết bị sẽ phản ánh nonComplianceReason của USER_ACTION với lý do cụ thể là REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE. Người dùng chỉ có thể tiếp tục nâng cấp sau khi quản trị viên sửa đổi chính sách bằng một tài khoản chính hợp lệ.
