Unternehmensbindung erstellen

Wenn Sie eine neue Organisation über Ihre EMM-Konsole registrieren möchten, müssen Sie eine Enterprise-Bindung. Eine Enterprises-Ressource steht für zwischen einem EMM und einer Organisation. Sie nutzen eine Instanz davon, Vorgänge im Namen der Organisation aufrufen.

Die Play EMM API bietet drei Möglichkeiten zum Erstellen einer Bindungsinstanz für Unternehmen:

  • Registrierung einer verwalteten Google-Domain – Diese Methode kann anstelle der beiden anderen Methoden verwendet werden. Organisationen mit einer bestehende verwaltete Google-Domain und -Organisation, die neu bei der Arbeit sind Google verwendet dieselbe Benutzeroberfläche für die Anmeldung. Der Weg, den sie durch die Benutzeroberfläche durchlaufen, je nach Situation und Anforderungen. Das Unternehmen muss nicht erhalten Sie vorab ein EMM-Token.

  • Registrierung für Managed Google Play-Konten – Eine Organisation möchte Managed Google Play-Konten verwenden. Sie können über die Anmelde-UI von Google Android mit Ihrer EMM-Konsole schnelle Möglichkeit, eine Enterprise-Bindungsinstanz zu erstellen, an die sie gebunden werden Ihrem EMM-Anbieter. Dadurch werden Managed Google Play-Konten für Nutzer und Geräte aktiviert. Dieser Ansatz wird in der API manchmal als EMM-initiiert bezeichnet. Dokumentation. Diese Methode wird zugunsten der verwalteten Google-Domain eingestellt Anmeldemethode vor.

  • Verwaltete Google-Domainregistrierung – Eine Organisation hat bereits eine verwaltete Google-Domain. IT-Administratoren abgeschlossen verschiedene manuelle Aufgaben wie die Bestätigung der Domaininhaberschaft bei Google, die ein EMM-Token erstellen und ein Enterprise-Dienstkonto erstellen. Dieser Ansatz ist in der API-Dokumentation manchmal als von Google initiiert bezeichnet.

Beide Ansätze können Sie in Ihrer EMM-Konsole mithilfe der Enterprises. Tabelle 1 zeigt die relevanten Felder und Vorgänge dieser Ressource für die Bindung an von Unternehmen bis EMMs.

Tabelle 1: Enterprises APIs und alternative Bindungsprozesse

 Kontogruppe für Managed Google PlayVerwaltete Google-Domain Beschreibung
Feld
id Eindeutige Kennung der Organisation, die von enroll- und completeSignup-Aufrufen zurückgegeben wird.
Typ Identifiziert den Ressourcentyp mit einem festen Stringwert, "androidenterprise#enterprise".
Name Organisation verknüpft durch das enterprise-Objekt.
primaryDomainNicht festgelegt Da Kontogruppen für Managed Google Play nicht miteinander verknüpft sind, auf das Google-Domainmodell angewendet wird, ist dieses Feld nur für verwaltete Google-Konten Domains.
Administrator[]Nicht SatzDer IT-Administrator, der sich für Android über die Der von EMM initiierte Anmeldeprozess wird zum Administrator (Inhaber) des Enterprise-Bindung. Über die Managed Google Play Console kann der IT-Administrator andere Nutzer in der Organisation an Verwaltungsaufgaben beteiligt. Weitere Informationen finden Sie unter Verwaltete Google- Google Play-Hilfe.
administrator[].email Nicht festgelegt
Methoden
completeSignup Mit completionToken und ein enterpriseToken, gibt eine Enterprise-Ressource im Antworttext.
generateSignupUrl Bei einem callbackUrl, gibt eine URL und einen completionToken-Wert zurück.
anmelden Registriert den Aufrufer beim EMM, dessen wird zusammen mit der Anfrage gesendet.
getServiceAccount Gibt ein Dienstkonto zurück und Anmeldedaten.
setAccount Legt das Konto fest, das für Folgendes verwendet wird: sich als das Unternehmen bei der API zu authentifizieren.
abmelden EMMs können die Bindung an Folgendes aufheben: Art des Unternehmens mithilfe der Abmeldung. Muss über die EMM-Schnittstellen aufgerufen werden nicht die ESA-Anmeldedaten.

Registrierung für Managed Google Play-Konten

Diese Registrierungsmethode wurde eingestellt. Verwenden Sie die Methode verwaltete Google-Domain registrieren.

Registrierung einer verwalteten Google-Domain

Sie können den Registrierungsprozess in Ihre EMM-Konsole einbinden:

Registrierung als Administrator für Managed Google Play-Konten
Abbildung 1. Registrierung einer verwalteten Google-Domain Workflow

Ein IT-Administrator initiiert die Erstellung eines Unternehmens. Dazu muss die IT-Abteilung Administrator:

  1. Sie werden in der EMM-Konsole angemeldet.
  2. klickt oder wählt sie beispielsweise Android konfigurieren aus und wird weitergeleitet zu einem von Google gehostete Benutzeroberfläche für die Anmeldung.
  3. Enthält auf der Benutzeroberfläche für die Registrierung Details zum Unternehmen.
  4. Wird zu Ihrer EMM-Konsole weitergeleitet.

Die E-Mail-Adresse des IT-Administrators ist jetzt mit einem Google-Konto verknüpft, das ein Administrator ist für eine verwaltete Google-Domain.

Best Practice: Befolgen Sie die Google-Sicherheitshinweise Richtlinien, die Ihnen dabei helfen, Administratorkonto sicher.

Vorbereitung

Für IT-Administratoren

  • Zugriff auf Ihre EMM-Konsole und die Berechtigungen, die zum in der Konsole auswählen (z. B. Android verwalten).

  • Eine geschäftliche E-Mail-Adresse Dies sollte Teil einer Domain sein, die dem und nicht auf eine freigegebene Domain wie Gmail.com

Für die EMM-Konsole

Um den Registrierungsvorgang für eine verwaltete Google-Domain zu implementieren, muss Folgendes können:

  • Verwenden Sie Ihre MSA-Anmeldedaten, wenn Sie Aufrufe über die Play EMM APIs aufrufen. Ihre Haupt-Servicevereinbarung wird verwendet, um viele der Vorgänge im Auftrag eines IT-Administrators aufzurufen, bis der Enterprise Service Account (ESA) der Organisation festgelegt ist.

  • Weiterleitung über eine sichere URL zu einer von Google bereitgestellten externen Website Initiieren Sie die Registrierung und schließen Sie die Registrierung ab.

  • Sie können nach der Registrierung mit ESA-Anmeldedaten konfiguriert werden. Da Ihr EMM-Anbieter können Sie in der Konsole viele Unternehmen müssen Sie für jedes enterpriseId-Element einen eigenen Dienst Konto und Anmeldedaten. Erstellen Sie gegebenenfalls Dienstkonten für die in Ihrer Organisation, indem Sie Enterprises.getServiceAccount anrufen und die Schlüsselverwaltung mit Serviceaccountkeys APIs. Siehe Unternehmensdienstkonten programmatisch erstellen .

Bei der Android-Anmeldung müssen Sie einen sicheren (https)-Dienst für die Nutzung der Konsole zur Laufzeit. Die URL zu diesem sicheren Dienst kann eine lokale URL sein und kann Sitzungs- oder andere eindeutige Informationen enthalten, und korrekt formatiert ist, sodass das System sie parsen kann. Beispiel:

https://localhost:8080/enrollmentcomplete?session=12345

Registrierung

Die Registrierung dauert weniger als fünf Minuten. Gehen Sie dazu so vor: davon aus, dass der Server, auf dem callbackUrl gehostet wird, aktiv ist. Diese Schritte Außerdem wird davon ausgegangen, dass Ihre Konsole eine UI-Komponente enthält, wie z. B. eine Menüauswahl mit der Option Android verwalten. Diese Option startet den Registrierungsprozess, sobald authentifizierter IT-Administrator die Option aus.

Registrierung von Managed Google Play-Konten in zwölf Schritten
Enterprise
Abbildung 2. 12-Schritte-Prozess zum Erstellen einer Bindung an eine verwaltete Google-Domain
<ph type="x-smartling-placeholder">
    </ph>
  1. Ein IT-Administrator initiiert in Ihrer EMM-Konsole eine Registrierungsanfrage.

  2. Enterprises.generateSignupUrl anrufen callbackURL ist der einzige Parameter. Beispiel:

    https://localhost:8080/enrollcomplete?session=12345

  3. Die Antwort enthält eine Registrierungs-URL (gültig für 30 Minuten) und einen Abschlusstokens. Extrahieren und speichern Sie das Abschlusstoken.

    Best Practice:Verknüpfen Sie das Abschlusstoken mit dem IT-Administrator, der hat die Anmeldung begonnen.

  4. Extrahieren Sie url aus der generateSignupURL-Antwort.

  5. An die in Schritt 4 extrahierte URL weiterleiten.

  6. Der IT-Administrator erstellt anhand der Einrichtung auf der Benutzeroberfläche für die Registrierung ein Unternehmensbindung:

    1. Der IT-Administrator gibt Details über sich selbst und seine Organisation ein und legt ein Passwort fest, wenn sie noch kein Google-Konto haben.

    2. Dem IT-Administrator wird der EMM-Name angezeigt und er bestätigt, Organisation an diesen EMM-Anbieter gebunden ist.

    3. Der IT-Administrator stimmt den Google-Nutzungsbedingungen zu.

  7. Die Anmelde-Benutzeroberfläche generiert eine Rückruf-URL auf der Grundlage der in Schritt 2 angegebenen URL.

  8. Über die Benutzeroberfläche für die Anmeldung wird der IT-Administrator zur Rückruf-URL weitergeleitet. Extrahieren und speichern das Enterprise-Token an die URL anhängen. Beispiel:

    https://localhost:8080/enrollcomplete?session=12345&enterpriseToken=5h3jCC903lop1

  9. Rufen Sie uns unter Enterprises.completeSignup an. Übergeben Sie completionToken (Schritt 3) und enterpriseToken (Schritt 8).

  10. Der Aufruf gibt eine Enterprises Instanz im Antworttext ein. Speichern Sie die id, name und die Administrator-E-Mail-Adresse (wenn heute) für die zukünftige Verwendung.

  11. Erstellen Sie ein Enterprise-Dienstkonto (Enterprise Service Account, ESA). Es gibt folgende ESA-Anmeldedaten: eine E-Mail-Adresse und einen privaten Schlüssel. Es gibt zwei Möglichkeiten, eine ESA zu erstellen:

    • Best Practice: ESA programmatisch erstellen mit der Play EMM API.
    • Seite aufrufen, auf der der IT-Administrator aufgefordert wird, eine ESA im Google API-Konsole. Siehe Dienst erstellen Konto um ausführlichere Informationen zu erhalten. Bitten Sie den Administrator, Projekt > Rolle „Bearbeiter“ und prüfen Sie den heruntergeladenen privaten Schlüssel. Feld. Nachdem der IT-Administrator die ESA erstellt hat, konfigurieren Sie Ihre Konsole mit Anmeldedaten mit privatem Schlüssel der ESA
  12. Rufen Sie mit Ihren MSA-Anmeldedaten Zum Festlegen von setAccount der ESA für diese Organisation.

Die Registrierung ist abgeschlossen

  • Die neue verwaltete Google-Domain ist an Ihren EMM-Anbieter gebunden.
  • Das Google-Konto des IT-Administrators ist als Administrator der Domain und des können auf https://play.google.com/work zugreifen und die Apps der Organisation verwalten.
  • Mit der ESA können Sie in Ihrer EMM-Konsole die Daten der Organisation über die Google Play EMM API.

ESAs programmatisch erstellen

Um die Schlüsselverwaltung für ESAs zu vereinfachen, kannst du mit der Google Play EMM API Dienstkonten für Organisationen statt über die Google Cloud Console. Dienst Konten, die über die Play EMM API generiert wurden:

  • sind in keinem Cloud Console-Projekt sichtbar, das zu Ihnen oder dem Unternehmen; müssen sie programmatisch verwaltet werden.
  • Sie werden gelöscht, wenn Sie abmelden Unternehmen.

So generieren Sie ein Dienstkonto programmatisch:

  1. Enterprises.getServiceAccount anrufen mit der enterpriseId (siehe Schritt 10 der Registrierung ) und geben Sie den gewünschten Schlüsseltyp (keyType) an (googleCredentials, pkcs12). Das System gibt einen Dienstkontonamen und einen privaten Schlüssel für den Dienst zurück -Konto (in denselben Formaten, die von der Google API-Konsole zurückgegeben werden) verwendet werden.

  2. Enterprises.setAccount anrufen und legen Sie das Dienstkonto für die Organisation fest.

Best Practice:Bitten Sie den IT-Administrator, die ESA-Anmeldedaten zu ändern. Aufgabe Rufe dazu in deiner EMM-Konsole die vorhandene ESA auf und rufe setAccount auf.

Dienstkontoschlüssel verwalten

Die Dienstkonten, die von Enterprises.getServiceAccount werden von Google transparent erstellt. Als EMM-Anbieter haben Sie keinen Zugriff auf diese Konten. Sie können die Serviceaccountkeys API in Ihre Konsole einbinden, damit Organisationen ihre eigenen programmatisch generierte ESAs und Schlüssel.

Die Serviceaccountkeys API ermöglicht es einer Organisation, die aktiven Anmeldedaten für ihre Dienstkonten. Diese APIs müssen aufgerufen werden, solange sie als ESA autorisiert sind für die Organisation festgelegt wurde und dass die ESA generiert worden sein muss, von getServiceAccount. Mit anderen Worten: Nachdem ein Unternehmen angerufen hat, Enterprises.setAccount (mit dem Dienstkonto, das von Enterprises.getServiceAccount), nur diese Organisation berechtigt ist, Aufrufe auf der Serviceaccountkeys API das Konto verwalten.

Tabelle 2: Serviceaccountkeys API

Felder
idEine intransparente eindeutige String-ID für den ServiceAccountKey die vom Server zugewiesen wurden.
TypIdentifiziert die Ressource mit dem festen String androidenterprise#serviceAccountKey
TypDateiformat der generierten Schlüsseldaten. Zulässige Werte:
  • googleCredentials
  • pkcs12
DatenEin String mit dem Text der privaten Anmeldedaten -Datei. Wird bei der Erstellung ausgefüllt. Nicht von Google gespeichert.
Methoden
LöschenEntfernen und entwerten Sie die angegebenen Anmeldedaten für die Dienstkonto (angegeben mit enterpriseId und keyId).
insertNeue Anmeldedaten für das Dienstkonto generieren die mit dem Unternehmen verbunden sind.
listAlle aktiven Anmeldedaten für das Dienstkonto auflisten die mit dem Unternehmen verbunden sind. Gibt nur die ID und den Schlüsseltyp zurück.

Benachrichtigungen

Sie können Benachrichtigungen von programmatisch generierten ESAs erhalten, indem Sie Enterprises.pullNotificationSet wird aufgerufen. Weitere Informationen finden Sie unter EMM-Benachrichtigungen einrichten. .

Verwaltete Google-Domainregistrierung

Wenn Sie Geräte verwalten möchten, die zu einer verwalteten Google-Domain gehören, müssen Sie ein Verbindung (Bindung) zwischen Ihrer EMM-Konsole, der Organisation und Google.

Vorbereitung

Die Organisation muss eine verwaltete Google-Domain, ein EMM-Registrierungstoken und Enterprise Service Account (ESA) ein. Anleitung für IT-Administratoren zum Erhalt von Weitere Informationen dazu finden Sie in der Android Enterprise-Hilfe .

Verwaltete Google-Domain

Wenn der IT-Administrator der Organisation eine verwaltete Version Domain bei der Registrierung für Google Workspace haben, kann er Android über die Admin-Konsole verwalten. Wenn das Unternehmen keine verwalteten Google-Domain verwaltet, muss der IT-Administrator einmalig mit Google.

EMM-Token

IT-Administratoren können ein EMM-Token über die Admin-Konsole (unter Geräte > Mobil und Endpunkte > Einstellungen > Integrationen von Drittanbietern).

ESA

Der IT-Administrator Ihrer Organisation kann die ESA in der Regel über in der Google Cloud Console für ein Projekt, das mit Ihrer EMM-Konsole verknüpft ist. ESAs einen Namen, eine ID und einen Schlüssel haben, mit dem das Konto für durchgeführte Aktionen authentifiziert wird im Namen der Person. Die ID ist ähnlich wie eine E-Mail-Adresse formatiert, wobei das Zeichen Name des Dienstkontos vor dem @-Symbol und dem Projektnamen zusammen mit Informationen zu Google-Diensten (z. B. some-orgs-esa@myemmconsole313302.iam.gserviceaccount.com).

Registrierung

  1. IT-Administratoren erhalten über die Admin-Konsole ein EMM-Token.
  2. Der IT-Administrator teilt Ihnen das EMM-Token mit, wodurch Sie die Berechtigung zur Verwaltung Android auf der eigenen Domain.
  3. Verwenden Sie in der EMM-Konsole das EMM-Token für den Aufruf Enterprises.enroll Dadurch wird die Android-Lösung der Organisation an die Google-Domain gebunden.
    • Die Methode enroll gibt eine eindeutige enterpriseId zurück, die Sie abrufen können (nur für verwaltete Google-Domains) mit dem list-Methode.
    • Optional können Sie Informationen zur Bindung speichern (enterpriseId, primaryDomain) in einem Datenspeicher verwenden, um API-Aufrufe zum Abrufen dieser Details. In einem Szenario mit Google-Konten wird der primaryDomain der Organisation ist der eindeutige Schlüssel, der die Organisation gegenüber dem EMM und Google.
  4. So senden Sie organisationsspezifische Aufrufe an die Google Play EMM API: <ph type="x-smartling-placeholder">
      </ph>
    • Sie erstellen entweder eine ESA im Namen der Organisation oder ein Administrator erstellt und teilt sie mit Ihnen.
    • Rufen Sie über die EMM-Konsole setAccount, mit die enterpriseId und die E-Mail-Adresse der ESA. Dadurch kann die ESA um sich bei der API als Enterprise zu authentifizieren.

Beispiel

Hier ist ein Beispiel für die Registrierung einer Organisation mit einem primaryDomainName, serviceAccountEmail und authenticationToken:

    public void bind(String primaryDomainName, String serviceAccountEmail,
        String authenticationToken) throws IOException {

      Enterprise enterprise = new Enterprise();
      enterprise.setPrimaryDomain(primaryDomainName);

      Enterprise result = androidEnterprise.enterprises()
          .enroll(authenticationToken, enterprise)
          .execute();

      EnterpriseAccount enterpriseAccount = new EnterpriseAccount();
      enterpriseAccount.setAccountEmail(serviceAccountEmail);
      androidEnterprise.enterprises()
          .setAccount(result.getId(), enterpriseAccount)
          .execute();
    }

In diesem Beispiel werden die Client-Bibliothek für Java und die AndroidEnterprise-Serviceklasse aus dem com.google.api.services.androidenterprise.model Paket. Das im Beispiel gezeigte Verfahren kann so zusammengefasst werden:

  1. Neues AndroidEnterprise-Objekt mit den Parametern erstellen bind, einer Modellklasse, die den primären Domainnamen enthält, die E-Mail-Adresse des Dienstkontos und das EMM-Registrierungstoken.
  2. Geben Sie den primären Domainnamen des neu erstellten Unternehmensobjekts an.
  3. Rufen Sie die Registrierungsmethode auf und geben Sie das Enterprise-Objekt und das Registrierungstoken an.
  4. Neues EnterpriseAccount-Objekt mit der ESA-ID des Kunden erstellen (serviceAccountEmail)
  5. Richten Sie das Konto ein, indem Sie die enterpriseId angeben (in Schritt 3 zurückgegeben). und enterpriseAccount.

Optional können Sie Informationen zur Bindung speichern (enterpriseId, primaryDomain) in einem Datenspeicher verwenden, um API-Aufrufe zum Abrufen dieser Details. In einem Google-Konten-Szenario ist der primaryDomain der Organisation: Der eindeutige Schlüssel, der die Organisation gegenüber dem EMM und Google identifiziert.

Lokale Bereitstellung einrichten

Wenn eine Organisation verlangt, dass ihre Daten auf der Website verbleiben und für Sie unzugänglich sind, dass Ihre Server niemals aktive Anmeldedaten für den ESA. Generieren und speichern Sie dazu eine Reihe von ESA-Anmeldedaten auf der Website:

  1. Schließen Sie die Registrierung ab: <ph type="x-smartling-placeholder">
      </ph>
    1. Rufen Sie getServiceAccount mit Ihrer Haupt-Servicevereinbarung auf (wie in Schritt 11 gezeigt). Dieses generiert ESA-Anmeldedaten.
    2. Wie in Schritt 12 gezeigt, verwende setAccount in der ESA, um sie als ESA festzulegen. für diese Organisation.
  2. Leiten Sie die ESA an den lokalen Server der Organisation weiter.
  3. Führen Sie auf dem lokalen Server die folgenden Schritte aus : <ph type="x-smartling-placeholder">
      </ph>
    1. Serviceaccountkeys.insert anrufen um eine neue für die ESA. Dieser private Schlüssel wird nicht auf Google-Servern gespeichert und nur einmal zurückgegeben, wenn das Konto erstellt wird. Es ist nicht zugänglich auf andere Weise.
    2. Verwenden Sie die neuen ESA-Anmeldedaten für den Aufruf Serviceaccountkeys.list Dadurch werden die Anmeldedaten des aktiven Dienstkontos zurückgegeben.
    3. Anruf Serviceaccountkeys.delete um alle Anmeldedaten zu löschen, außer die ESA-Anmeldedaten, die gerade lokal erstellt wurden.
    4. Anruf (optional) Serviceaccountkeys.list um zu prüfen, ob die derzeit lokal verwendeten Anmeldedaten gültige Anmeldedaten für das Dienstkonto.

Der lokale Server ist jetzt der einzige Server mit den ESA-Anmeldedaten. Nur eine Die über getServiceAccount generierte ESA hat Zugriff auf ServiceAccountKeys – Ihre MSA darf sie nicht aufrufen.

Best Practice: Speichern Sie die Anmeldedaten des Masterdienstkontos (MSA) nicht in Gebäude. Verwenden Sie für jede lokale Bereitstellung eine separate ESA.

Unternehmensbindung aufheben, neu registrieren oder löschen

Abmelden

Um die Bindung einer Organisation an Ihre EMM-Lösung aufzuheben, verwenden Sie unenroll Unternehmen Die Bindung wird beim Abmelden nicht gelöscht, sondern für die von EMM verwalteten Nutzer und alle Die zugehörigen Nutzerdaten werden nach 30 Tagen gelöscht. Hier ein Beispiel: Implementierung:

    public void unbind(String enterpriseId) throws IOException {
      androidEnterprise.enterprises().unenroll(enterpriseId).execute();
    }

Best Practice: Wenn Sie einen Datenspeicher für Organisationsnamen und Unternehmen haben Bindungs-ID-Zuordnungen, löschen Sie die Informationen nach dem Aufruf von unenroll

Erneut registrieren

Ein IT-Administrator kann ein Unternehmen mit seiner vorhandenen enterpriseId neu registrieren. Bis meldet er sich mit einem Konto auf Inhaberebene an und folgt der Registrierung

Der Ablauf der erneuten Anmeldung ist aus Ihrer Perspektive transparent: Es gibt keine Möglichkeit, feststellen, ob das in der Weiterleitungs-URL (Schritt 8) zurückgegebene Enterprise-Token von eine neue Organisation oder eine Organisation, die zuvor mit einer anderen Organisation registriert wurde, EMM

Wenn eine Organisation zuvor bei Ihrer EMM-Lösung registriert war, sind Sie möglicherweise die Bindungs-ID des Unternehmens erkennen. Von EMM verwaltete Nutzer können wiederherstellen und zugehörige Nutzerdaten, wenn ein IT-Administrator eine Organisation nicht mehr als 30 Tage nachdem Sie sich von Ihnen abgemeldet haben. Wenn eine Organisation zuvor Nutzer-IDs von EMM-verwalteten Nutzern, die vom anderen EMM-Anbietern nicht zugänglich sind. Das liegt daran, dass diese User-IDs EMM-spezifisch

Löschen

Ein IT-Administrator kann seine Organisation aus Managed Google Play löschen. Innerhalb von 24 Stunden, in denen die Daten, Konten, Lizenzzuweisungen und andere Informationen der Organisation Ressourcen sind für den Administrator, die Endnutzer und Sie nicht mehr zugänglich. Als erhalten Ihre API-Aufrufe den HTTP-Antwortstatuscode 404 Not Found. für den Parameter enterpriseId. So beheben Sie diesen Fehler in der EMM-Konsole: den IT-Administrator um Bestätigung bitten, bevor die Verknüpfung mit dem Unternehmen.