Tworzenie powiązania firmowego

Aby zarejestrować nową organizację za pomocą konsoli EMM, musisz utworzyć Enterprise. An Enterprises zasób reprezentuje między dostawcą usług EMM a organizacją. Użycie instancji pozwala na wywoływania operacji w imieniu organizacji.

Interfejs Play EMM API oferuje 3 sposoby tworzenia instancji powiązań firmowych:

  • Rejestracja zarządzanej domeny Google – tej metody można używać zamiast obu innych metod. Organizacje z istniejąca zarządzana domena Google lub organizacja, które dopiero zaczynają współpracować Google będzie używać tego samego interfejsu rejestracji. Podróż klienta przez interfejs różnią się w zależności od ich sytuacji i potrzeb. Organizacja nie musi uzyskać token EMM z wyprzedzeniem.

  • Rejestracja w zarządzanych kontach Google Play – organizacja chce korzystać z kont zarządzanego Sklepu Google Play. Możesz zintegrować Interfejs rejestracji w aplikacji Google na Androida z konsolą EMM i umożliwiające organizacjom szybki sposób na utworzenie instancji powiązania w firmie, która wiąże je z usług EMM. Spowoduje to włączenie zarządzanych kont Google Play dla użytkowników i urządzeń. W interfejsie API ta metoda jest czasami nazywana inicjowaną przez EMM. dokumentacji. Ta metoda jest wycofana i zastąpiona zarządzaną domeną Google metody rejestracji.

  • Rejestracja domeny zarządzanej Google – organizacja ma już zarządzaną domenę Google. Ukończono przez administratorów IT kilku ręcznych działań, takich jak weryfikacja własności domeny w Google, uzyskanie token usług EMM i utworzyć konto usługi dla firm. To podejście czasami w dokumentacji interfejsu API określany jako zainicjowany przez Google.

Każdy z tych sposobów możesz włączyć w konsoli EMM za pomocą Enterprises. Tabela 1 pokazuje odpowiednie pola i operacje dla tego zasobu do powiązania organizacji z dostawcami usług EMM.

Tabela 1. Interfejsy API dla firm i alternatywne procesy wiązania

 Grupa kont zarządzanego Sklepu Google PlayZarządzana domena Google Opis
Pole
id Unikalny identyfikator organizacji zwrócony z wywołań enroll i completeSignup.
rodzaj Określa typ zasobu za pomocą stałej wartości ciągu znaków: hangouts-androidenterprise#enterpriseenterprise.
nazwa Powiązana organizacja z obiektem enterprise.
primaryDomainNie ustawiono Grupy kont zarządzanego Sklepu Google Play nie są powiązane w przypadku modelu domeny Google, to pole ma znaczenie tylko w przypadku zarządzanych domeny.
administrator[]Nie ustawAdministrator IT, który zarejestrował urządzenie z Androidem przy użyciu Proces rejestracji zainicjowany przez EMM staje się administratorem (właścicielem) konta Enterprise. W zarządzanej Konsoli Google Play administrator IT może zapraszać innym użytkownikom w organizacji do udziału w zadaniach administracyjnych. Zobacz Zarządzane konta Google Centrum pomocy Google Play.
administrator[].email Nie ustawiono
Metody
completeSignup Otrzymujesz: completionToken i enterpriseToken zwraca zasób Enterprises w treść odpowiedzi.
generateSignupUrl Biorąc pod uwagę callbackUrl, zwraca URL i completionToken.
zarejestruj Rejestruje rozmówcę u dostawcy usług EMM, którego wraz z żądaniem przesłano token.
getServiceAccount zwraca konto usługi, dane logowania.
setAccount Ustawia konto, które będzie używane do uwierzytelniać się w interfejsie API jako organizacja.
wyrejestrowanie Dostawcy usług EMM mogą przeciąć powiązania między typu firmy korzystającej z wyrejestrowania. Musi zostać wywołana za pomocą usług EMM dane logowania do umowy MSA, a nie dane logowania ESA.

Rejestracja w zarządzanym Sklepie Google Play

Ta metoda rejestracji została wycofana. Użyj rejestracji w zarządzanej domenie Google.

Rejestracja zarządzanej domeny Google

Proces rejestracji możesz zintegrować w konsoli EMM:

Rejestracja administratora zarządzanych kont Google Play
Rysunek 1. Rejestracja zarządzanej domeny Google
.

Administrator IT rozpoczyna proces tworzenia firmy. W tym celu dział IT administrator:

  1. Zaloguj się w konsoli EMM.
  2. kliknie lub wybierze opcję Skonfiguruj Androida (np.) i zostanie przekierowany do interfejsu rejestracji udostępnianego przez Google.
  3. Wyświetla szczegółowe informacje o firmie w interfejsie rejestracji.
  4. Nastąpi przekierowanie do konsoli EMM.

Adres e-mail administratora IT jest teraz połączony z kontem Google, które jest administratorem w zarządzanej domenie Google.

Sprawdzona metoda: postępuj zgodnie z zasadami dotyczącymi bezpieczeństwa Google , dzięki którym aby zadbać o bezpieczeństwo konta administratora.

Wymagania wstępne

Dla administratorów IT

  • Dostęp do konsoli EMM i uprawnienia niezbędne do wyboru w konsoli (np. Zarządzaj Androidem jako opcja w menu).

  • Służbowy adres e-mail. Powinna to być część domeny należącej do organizacji, a nie domeny udostępnionej takiej jak Gmail.com

.

W konsoli EMM

Aby wdrożyć proces rejestracji zarządzanej domeny Google, użyj konsoli EMM. musi mieć możliwość:

  • Używaj swoich danych logowania MSA podczas wywoływania wywołań interfejsów API EMM Play. Obowiązkowe powiadomienie jest używany do wywoływania wielu operacji w imieniu administratora IT do momentu konto usługi Enterprise organizacji (ESA) zostało skonfigurowane.

  • Obsługa przekierowań przez bezpieczny adres URL do zewnętrznej witryny udostępnionej przez Google w celu: rozpocznij proces rejestracji i dokończ proces rejestracji.

  • Możliwość konfiguracji za pomocą danych logowania ESA po rejestracji. Ponieważ Twój dostawca usług EMM za pomocą konsoli Google Cloud można tworzyć wiele przedsiębiorstw w ramach jednej witryny, musisz mieć sposób powiązania każdego enterpriseId z jego własną usługą konta i danych logowania. Rozważ utworzenie kont usługi dla organizacji, dzwoniąc pod numer Enterprises.getServiceAccount do zarządzania kluczami i zarządzania nimi za pomocą Interfejsy API Serviceaccountkeys. Zobacz Automatyczne tworzenie firmowych kont usługi .

Proces rejestracji na Androidzie wymaga udostępnienia bezpiecznej usługi (https) korzystanie z konsoli w czasie działania. Adres URL tej bezpiecznej usługi może być lokalnym adresem URL i może zawierać informacje o sesji lub inne informacje umożliwiające identyfikację, pod warunkiem że są aby system mógł go przeanalizować. Na przykład:

https://localhost:8080/enrollmentcomplete?session=12345

Proces rejestracji

Proces rejestracji powinien potrwać mniej niż 5 minut. Aby to zrobić: zakładamy, że serwer hostujący callbackUrl działa. Aby to zrobić: Zakładamy też, że konsola zawiera komponent interfejsu, taki jak wybór menu z wybraną opcją Zarządzaj Androidem, która rozpoczyna proces rejestracji, gdy wybierze tę opcję uwierzytelniony administrator IT.

12-etapowy proces rejestracji kont zarządzanego Sklepu Google Play Enterprise
Rysunek 2. 12-etapowy proces tworzenia powiązania z zarządzanym Domena Google
.

  1. Administrator IT wysyła prośbę o rejestrację w konsoli EMM.

  2. Zadzwoń pod numer Enterprises.generateSignupUrl z callbackURL jako jedynym parametrem. Przykład: 

    https://localhost:8080/enrollcomplete?session=12345

  3. Odpowiedź będzie zawierać URL do rejestracji (ważny 30 minut) oraz token ukończenia. Wyodrębnij i zapisz token ukończenia.

    Sprawdzona metoda: powiąż token ukończenia z administratorem IT, który zainicjował rejestrację.

  4. Wyodrębnij url z odpowiedzi generateSignupURL.

  5. Przekieruj użytkownika na adres URL wyodrębniony w kroku 4.

  6. Administrator IT wykonuje proces konfiguracji w interfejsie rejestracji, aby utworzyć powiązanie w firmie:

    1. Administrator IT podaje informacje o sobie i organizacji oraz ustawia hasło, jeśli klient nie ma jeszcze konta Google.

    2. Administrator IT widzi nazwę usługi EMM i potwierdza, że Twoja organizacja będzie powiązana z tym dostawcą usług EMM.

    3. Administrator IT akceptuje warunki korzystania z usług Google.

  7. Interfejs rejestracji generuje adres URL wywołania zwrotnego na podstawie adresu URL określonego w kroku 2.

  8. Interfejs rejestracji przekierowuje administratora IT na adres URL wywołania zwrotnego. Rozpakuj i zapisz token przedsiębiorstwa dla adresu URL. Przykład: 

    https://localhost:8080/enrollcomplete?session=12345&enterpriseToken=5h3jCC903lop1

  9. Zadzwoń pod numer Enterprises.completeSignup. przechodzące testy completionToken (krok 3) i enterpriseToken (krok 8).

  10. Wywołanie zwraca Enterprises instancja w treści odpowiedzi. Przechowuj id, name oraz adres e-mail administratora (jeśli obecne) do wykorzystania w przyszłości.

  11. Utwórz firmowe konto usługi (ESA). Dane logowania ESA mają postać adresu e-mail i klucza prywatnego. Istnieją 2 sposoby tworzenia ESA:

    • Sprawdzona metoda: automatycznie utwórz ESA. za pomocą interfejsu Play EMM API.
    • Wyświetl stronę, na której administrator IT może utworzyć ESA w Google Konsola API. Zobacz Tworzenie usługi Konto aby uzyskać bardziej szczegółowe informacje (poproś administratora, aby wybrał projekt > Edytujący i sprawdź pobrany klucz prywatny. ). Gdy administrator utworzy ESA, skonfiguruj w konsoli dane logowania do klucza prywatnego ESA.

  12. Korzystając z obowiązkowych danych logowania MSA, setAccount, aby ustawić z ESA tej organizacji.

Proces rejestracji został zakończony

  • Nowa zarządzana domena Google jest powiązana z Twoim dostawcą usług EMM.
  • Konto Google administratora IT jest skonfigurowane jako administrator domeny. ma dostęp do strony https://play.google.com/work, aby zarządzać aplikacjami dostępnymi w organizacji.
  • Konsola EMM może używać ESA do zarządzania danymi organizacji za pomocą: interfejs Google Play EMM API.

Automatyczne tworzenie ESA

Aby uprościć zarządzanie kluczami w ramach ESA, użyj interfejsu Google Play EMM API do generowania kont usługi dla organizacji, a nie konsoli Google Cloud. Usługa kont wygenerowanych przy użyciu interfejsu Play EMM API:

  • nie są widoczne w żadnym projekcie Cloud Console należącym do Ty lub organizacja; muszą być zarządzane w sposób zautomatyzowany.
  • są usuwane, gdy: wyrejestruj Twojej organizacji.

Aby automatycznie wygenerować konto usługi:

  1. Zadzwoń pod numer Enterprises.getServiceAccount z enterpriseId (zobacz krok 10 w sekcji Rejestracja ) i określ typ klucza (keyType) (googleCredentials, pkcs12). System zwraca nazwę konta usługi i klucz prywatny usługi. (w tych samych formatach, które są zwracane przez Konsolę interfejsów API Google).

  2. Zadzwoń pod numer Enterprises.setAccount i ustawiać konto usługi dla organizacji.

Sprawdzona metoda: poproś administratora IT o zmianę danych logowania ESA. Do zrobienia w konsoli EMM, użyj istniejącego ESA, aby wywołać setAccount.

Zarządzaj kluczami konta usługi

Konta usługi zwrócone z Enterprises.getServiceAccount tworzone w sposób przejrzysty przez Google. Jako dostawca usług EMM nie masz do nich dostępu kont. Możesz jednak zintegrować Serviceaccountkeys za pomocą interfejsu API, który umożliwia organizacjom zarządzanie automatycznie generowanych ESA i kluczy.

Interfejs API Serviceaccountkeys umożliwia organizacji wstawianie, usuwanie i wyświetlanie aktywnych danych uwierzytelniających swoich kont usługi. Te interfejsy API muszą być wywoływane podczas autoryzacji jako ESA ustawionym dla organizacji, a ESA musi być wygenerowany. od getServiceAccount. Innymi słowy, gdy organizacja zadzwoni do firmy Enterprises.setAccount (przy użyciu konta usługi wygenerowanego przez Enterprises.getServiceAccount), tylko ta organizacja jest uprawniona do wywoływania wywołań na Interfejs API Serviceaccountkeys do zarządzać kontem.

Tabela 2. Interfejs API Serviceaccountkeys

Pola
idNieprzejrzysty, unikalny identyfikator ciągu znaków dla ServiceAccountKey przypisany przez serwer.
rodzajIdentyfikuje zasób za pomocą ustalonego ciągu znaków androidenterprise#serviceAccountKey
typFormat pliku wygenerowanych danych klucza. Akceptowane wartości:
  • googleCredentials
  • pkcs12
daneCiąg tekstowy zawierający treść prywatnych danych logowania . Wypełnianie podczas tworzenia. Nie są przechowywane przez Google.
Metody
usuńUsuń i unieważnij określone dane uwierzytelniające dla konto usługi (określone za pomocą zasad enterpriseId i keyId).
InsertWygeneruj nowe dane logowania dla konta usługi powiązane z daną firmą.
listaWyświetl wszystkie aktywne dane logowania dla konta usługi powiązane z daną firmą. Zwraca tylko identyfikator i typ klucza.

Powiadomienia

Powiadomienia z automatycznie wygenerowanych raportów ESA możesz otrzymywać przez Wywołuję: Enterprises.pullNotificationSet. Zobacz Konfigurowanie powiadomień EMM. .

Rejestracja zarządzanej domeny Google

Aby zarządzać urządzeniami należącymi do zarządzanej domeny Google, musisz utworzyć połączenia między konsolą EMM, organizacją Google.

Wymagania wstępne

Organizacja musi mieć zarządzaną domenę Google, token rejestracji EMM oraz firmowe konto usługi (ESA). Instrukcje dla administratorów IT dotyczące uzyskiwania szczegółowe informacje znajdziesz w Centrum pomocy Androida Enterprise pomocy.

Zarządzana domena Google

Jeśli administrator IT organizacji zgłosił własność zarządzaną podczas rejestracji w Google Workspace, będą mogli włączyć Androida w konsoli administracyjnej Google. Jeśli organizacja nie ma zarządzanej domeny Google, jego administrator musi przejść przez jednorazową konfigurację rejestracji w Google.

Token EMM

Administratorzy IT mogą uzyskać token EMM z Konsola administracyjna Google (w sekcji Urządzenia > Urządzenia mobilne i Punkty końcowe > Ustawienia > Integracja z rozwiązaniami innych firm).

ESA

Administrator IT w organizacji może utworzyć ESA, zwykle przez w konsoli Google Cloud w projekcie powiązanym z konsolą EMM. ESA mieć nazwę, identyfikator i klucz, który uwierzytelnia konto na potrzeby wykonanych działań. w ich imieniu. Identyfikator ma format podobny do adresu e-mail, gdzie przedrostek nazwa konta usługi poprzedzająca symbol @ i nazwę projektu wraz z informacjami o usługach Google (na przykład some-orgs-esa@myemmconsole313302.iam.gserviceaccount.com).

Proces rejestracji

  1. Administrator IT otrzymuje token usług EMM z konsoli administracyjnej Google.
  2. Administrator IT udostępnia Ci token usług EMM, który upoważnia Cię do zarządzania Androida w domenie klienta.
  3. W konsoli EMM użyj tokena EMM, aby wykonywać połączenia Enterprises.enroll Spowoduje to powiązanie rozwiązania na Androida używanego w organizacji z domeną Google.
    • Metoda enroll zwraca unikalny enterpriseId, który można pobrać (tylko w przypadku zarządzanych domen Google) za pomocą list.
    • Opcjonalnie możesz zapisać informacje o powiązaniu (enterpriseId, primaryDomain) w magazynie danych, tak aby uniknąć wywoływania interfejsu API w celu . W przypadku kont Google primaryDomain organizacji to unikalny klucz identyfikujący organizację przez dostawcę usług EMM oraz Google.
  4. Aby wywoływać specyficzne dla organizacji wywołania interfejsu Google Play EMM API:
    • Możesz utworzyć umowę ESA w imieniu organizacji lub administrator utworzy ESA, a następnie Ci ją udostępnia.
    • W konsoli EMM setAccount, w użyciu enterpriseId i adres e-mail ESA. Dzięki temu ESA aby uwierzytelnić się w interfejsie API jako organizacja.

Przykład

Oto przykład rejestrującego organizację (primaryDomainName), serviceAccountEmail i authenticationToken:

    public void bind(String primaryDomainName, String serviceAccountEmail,
        String authenticationToken) throws IOException {

      Enterprise enterprise = new Enterprise();
      enterprise.setPrimaryDomain(primaryDomainName);

      Enterprise result = androidEnterprise.enterprises()
          .enroll(authenticationToken, enterprise)
          .execute();

      EnterpriseAccount enterpriseAccount = new EnterpriseAccount();
      enterpriseAccount.setAccountEmail(serviceAccountEmail);
      androidEnterprise.enterprises()
          .setAccount(result.getId(), enterpriseAccount)
          .execute();
    }

W tym przykładzie użyliśmy biblioteki klienta dla języka Java oraz AndroidEnterprise klasa usługi z com.google.api.services.androidenterprise.model. pakietu SDK. Procedurę przedstawioną w przykładzie można podsumować w następujących krokach:

  1. Utwórz nowy obiekt AndroidEnterprise z parametrami dostarczona przez bind, klasę modelu zawierającą nazwę domeny podstawowej, adres e-mail konta usługi i token rejestracji usług EMM.
  2. Podaj nazwę domeny podstawowej nowo utworzonego obiektu firmowego.
  3. Wywołaj metodę enroll, podając obiekt firmy i token rejestracji.
  4. Utwórz nowy obiekt EnterpriseAccount z identyfikatorem ESA klienta (serviceAccountEmail).
  5. Skonfiguruj konto, podając zarówno identyfikator enterpriseId (zwrócony w kroku 3) i enterpriseAccount.

Opcjonalnie możesz zapisać informacje o powiązaniu (enterpriseId, primaryDomain) w magazynie danych, tak aby uniknąć wywoływania interfejsu API w celu . W przypadku kont Google primaryDomain organizacji to niepowtarzalny klucz identyfikujący organizację w usługach EMM i Google.

Konfigurowanie wdrożenia lokalnego

Jeśli organizacja wymaga, aby jej dane pozostawały w witrynie, niedostępne dla Ciebie, musisz zadbać o to, aby serwery nigdy nie widziały aktywnego zestawu danych logowania dla ESA. W tym celu wygeneruj i zapisz zestaw danych logowania ESA w witrynie:

  1. Wykonaj proces rejestracji:
    1. Jak pokazano w kroku 11, użyj obowiązkowego powiadomienia, aby wywołać getServiceAccount. Ten który generuje dane logowania ESA.
    2. Jak pokazano w kroku 12, użyj elementu setAccount w ESA, aby ustawić ją jako ESA dla tej organizacji.
  2. Przekaż ESA na serwer lokalny organizacji.
  3. Wykonaj te czynności na serwerze lokalnym :
    1. Zadzwoń pod numer Serviceaccountkeys.insert aby utworzyć nowy dla ESA. Ten klucz prywatny nie jest przechowywany na serwerach Google i jest zwracany tylko raz – po utworzeniu konta. Nie ma dostępu do w inny sposób.
    2. Użyj nowych danych logowania ESA do wywoływania Serviceaccountkeys.list Zwrócone zostaną dane logowania do aktywnego konta usługi.
    3. Zadzwoń do nas Serviceaccountkeys.delete usuń wszystkie dane logowania z wyjątkiem danych logowania ESA, które utworzone lokalnie.
    4. (Opcjonalnie) Zadzwoń Serviceaccountkeys.list pozwala zweryfikować, czy dane logowania używane obecnie lokalnie są jedynymi prawidłowe dane logowania dla konta usługi.

Serwer lokalny jest teraz jedynym serwerem z danymi logowania ESA. Tylko ESA wygenerowana przez getServiceAccount ma dostęp ServiceAccountKeys – Twoje MSA nie może go wywołać.

Sprawdzona metoda: nie przechowuj danych logowania do głównego konta usługi (MSA) w nieruchomości. Użyj oddzielnego ESA dla każdego wdrożenia lokalnego.

Wyrejestrowywanie, ponowne rejestrowanie i usuwanie powiązania firmowego

Wyrejestruj

Aby usunąć powiązanie organizacji od rozwiązania EMM, użyj unenroll Dla firm nie jest usuwane po wyrejestrowaniu, ale użytkownicy zarządzani przez EMM i wszyscy powiązane z nimi dane użytkowników są usuwane po 30 dniach. Oto przykład: implementacja:

    public void unbind(String enterpriseId) throws IOException {
      androidEnterprise.enterprises().unenroll(enterpriseId).execute();
    }

Sprawdzona metoda: jeśli masz magazyn danych dla nazwy organizacji i firmy mapowania identyfikatorów, usuń informacje z magazynu danych po wywołaniu unenroll

Zarejestruj ponownie

Administrator IT może ponownie zarejestrować firmę, korzystając z dotychczasowego systemu enterpriseId. Do W tym celu loguje się na konto właściciela i postępuje zgodnie z procedurą rejestracji .

Proces ponownej rejestracji jest przejrzysty z Twojej perspektywy: nie ma możliwości określić, czy token przedsiębiorstwa zwrócony w adresie URL przekierowania (krok 8) pochodzi z nową organizację lub organizację, która została wcześniej zarejestrowana w innej organizacji. usług EMM.

Jeśli organizacja była już wcześniej zarejestrowana przy użyciu Twojego rozwiązania EMM, w usłudze rozpoznawania identyfikatora powiązania firmy. Możesz przywrócić użytkowników zarządzanych przez EMM i powiązane z nimi dane użytkowników, jeśli administrator IT zarejestruje ponownie w organizacji maksymalnie 30 osób dni po jego wyrejestrowaniu. Jeśli organizacja była wcześniej zarejestrowanych u innego dostawcy usług EMM, identyfikatory użytkowników zarządzanych przez EMM utworzone przez inne usługi EMM nie będą dla Ciebie dostępne. Dzieje się tak, ponieważ identyfikatory użytkowników Typowe dla usługi EMM.

Usuń

Administrator IT może usunąć swoją organizację z zarządzanego Sklepu Google Play. W ciągu 24 dane organizacji, konta, przypisania licencji i inne kwestie zasoby stają się niedostępne dla administratora, użytkowników i Ciebie. Jako wynik, wywołania interfejsu API będą zwracać kod stanu odpowiedzi HTTP 404 Not Found dla parametru enterpriseId. Aby naprawić ten błąd w konsoli EMM, poproś administratora IT o potwierdzenie przed usunięciem powiązania z usługą Twojej organizacji.