Nutzerkonten implementieren

Es gibt zwei primäre Arten von Nutzeridentitäten für die Registrierung von Android Enterprise-Geräten: Managed Google Play-Konten und verwaltete Google-Konten. Verwaltete Google Play-Konten sind gerätebezogen und nicht an die Google-Identität eines bestimmten Nutzers gebunden. Verwaltete Google-Konten sind hingegen mit der Google-Identität eines Nutzers verknüpft, was die Nutzerfreundlichkeit verbessert, da Nutzer auf ihren Geräten angemeldet bleiben.

Früher waren Managed Google Play-Konten der Standard. Google empfiehlt jedoch, dass alle neuen Entwicklungen den verbesserten Registrierungsablauf verwenden, bei dem standardmäßig Managed Google-Konten erstellt werden.

Anleitungen für die ältere Implementierung finden Sie am Ende dieses Dokuments. Alle neuen Entwicklungen sollten jedoch dem hier beschriebenen neuen Registrierungsablauf folgen.

Übersicht

Der verbesserte Ablauf für die Geräteregistrierung optimiert die Geräteeinrichtung durch die Verwendung mehrerer neuer Komponenten und die Änderung der Implementierung benutzerdefinierter Device Policy Controller (DPCs). Für diesen neuen Ansatz müssen benutzerdefinierte DPC-Lösungen in das Android Management API (AMAPI) SDK und die Android Device Policy integriert werden, um Funktionen zur Gerätevorbereitung und Nutzerregistrierung auszuführen.

Das AMAPI SDK bietet die erforderlichen APIs für die Interaktion mit der Android-Geräterichtlinie auf dem Gerät selbst. Auf der Serverseite werden in Enterprise Mobility Management-Lösungen (EMM) die Registrierungstokens, die zum Starten der Geräteregistrierung erforderlich sind, mithilfe der Play EMM API generiert.

Die Android Device Policy App spielt jetzt eine zentrale Rolle bei der Verarbeitung von geräteseitigen Vorgängen. Mit dem AMAPI SDK werden die Installation und die erforderlichen Updates auf dem Gerät verwaltet. Android Device Policy übernimmt auch den Nutzerauthentifizierungsvorgang, indem die Nutzerauthentifizierung direkt durchgeführt und die Identität des Nutzers an das EMM weitergegeben wird. Wenn Google den Nutzer aus irgendeinem Grund nicht authentifizieren kann, wird ein neues Managed Google Play-Konto erstellt und dem Gerät als Fallback hinzugefügt.

API-Integration

Prüfen Sie vorab, ob Sie die aktuelle Version des Play EMM API-Clients und des AMAPI SDK verwenden.

Implementierungsleitfaden für die Registrierung

In diesem Leitfaden finden Sie die erforderlichen Schritte für die Implementierung der Registrierung. Darin wird beschrieben, wie Sie die Umgebung vorbereiten, verschiedene Registrierungsmethoden verwenden und den Lebenszyklus von Geräten verwalten.

Umgebung vorbereiten

Bevor Sie mit der Einrichtung des Kontos beginnen, müssen Sie die Geräteumgebung vorbereiten. Dazu gehört, den Play Store auf die neueste Version zu aktualisieren und die Android Device Policy App (com.google.android.apps.work.clouddpc) im Hintergrund auf dem Gerät zu installieren. Die Installation der Android Device Policy App ist unerlässlich, da sie wichtige Komponenten des Kontoeinrichtungsprozesses enthält. EMMs müssen die Umgebung nicht manuell vorbereiten. Stattdessen sollten sie die EnvironmentClient verwenden, wie in der Dokumentation beschrieben, und sich an die bereitgestellten Codebeispiele halten.

Beispielcode

Bevor die AccountSetup API verwendet werden kann, um das Arbeitskonto auf dem Gerät hinzuzufügen, muss der DPC zuerst prüfen, ob die Geräteumgebung bereit ist.

• Verwenden Sie EnvironmentClientFactory, um eine EnvironmentClient zu instanziieren und prepareEnvironment oder prepareEnvironmentAsync aufzurufen.

  val notificationReceiverServiceName = ComponentName(context,
  NotificationReceiver::class.java)
  
  // An EMM should implement android.app.admin.DeviceAdminReceiver and use that
  // class to instantiate a ComponentName
  
  val admin = ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java)
  
  EnvironmentClientFactory.create(context)
      .prepareEnvironment(
          PrepareEnvironmentRequest.builder()
              .setRoles(
                  listOf(
                      Role.builder().setRoleType(
                          Role.RoleType.DEVICE_POLICY_CONTROLLER
                      ).build()
                  )
              )
      .setAdmin(admin)
              .build(),
            notificationReceiverServiceName,
          )
  
  [Proceed with AccountSetup]
  
  

Dieser Vorgang kann einige Sekunden oder Minuten dauern, da möglicherweise Anwendungen installiert oder aktualisiert werden müssen, um eine ordnungsgemäße Arbeitsumgebung zu gewährleisten. Google empfiehlt, diesen Vorgang so früh wie möglich im Hintergrund zu starten und dem Nutzer während der Wartezeit eine entsprechende Benutzeroberfläche anzuzeigen. Wenn der Vorgang abgeschlossen ist, kann der DPC die AccountSetup API verwenden.

Registrierungsvorgang

EMMs müssen die Verwendung von users.generateAuthenticationToken() und users.insert() für alle Geräte einstellen. Stattdessen müssen EMMs die On-Device-API aufrufen, um die Endnutzerauthentifizierung durchzuführen. Die neue API gibt userId und email an den DPC zurück. Wenn Google den Nutzer nicht authentifizieren kann, wird ein verwaltetes Google Play-Konto erstellt und dem Gerät hinzugefügt. In diesem Fall gibt Google die userId dieses Kontos zurück.

Google führt jetzt die Verwendung von Registrierungstokens ein, die an die Authentifizierungs-API übergeben werden müssen. EMMs legen fest, wann und wie das Token erstellt wird. Es kann Teil einer vorhandenen Registrierungsnutzlast sein, z. B. eines QR‑Codes oder einer Zero-Touch-Konfiguration.

Google empfiehlt jedoch, das Token bei Bedarf zu erstellen und die vorhandene API für verwaltete Google Play-Konten durch die neue API zu ersetzen, um die Änderung zu minimieren.

Der verbesserte benutzerdefinierte DPC-Registrierungsablauf umfasst die folgenden Schritte:

1. Registrierungstoken erstellen:Das EMM erstellt ein Registrierungstoken mit der Play EMM API.
2. Umgebung vorbereiten:Der benutzerdefinierte DPC verwendet den Ablauf „Umgebung vorbereiten“, um zu prüfen, ob das Gerät für die Registrierung bereit ist.
3. Registrierung starten:Der benutzerdefinierte DPC ruft die startAccountSetup-API im AMAPI SDK auf und übergibt das Registrierungstoken. Hinweis: Der DPC muss entweder Geräteinhaber oder Profilinhaber sein, bevor diese API aufgerufen wird.
4. Google-Authentifizierungsaktivität starten:Falls erforderlich, ruft der benutzerdefinierte Geräteinhaber das launchAuthenticationActivity-API im AMAPI SDK auf und übergibt das AccountSetupAttempt. Dadurch wird eine Google-Authentifizierungsaktivität gestartet, die den Nutzer nach erfolgreicher Authentifizierung zum benutzerdefinierten DPC zurückleitet. Der Nutzer kann diesen Vorgang auch überspringen. In diesem Fall wird dem Gerät ein Managed Google Play-Konto hinzugefügt. Diese Option kann mit googleAuthenticationOptions konfiguriert werden.
5. Registrierung abschließen:Das AMAPI SDK benachrichtigt den benutzerdefinierten DPC über das Registrierungsergebnis.
6. Google-Dienste aktivieren:Sobald das Gerät eines Nutzers mit dem verwalteten Google-Konto den Unternehmensrichtlinien entspricht, muss der EMM-Dienst Devices.setState() aufrufen. Durch diese Aktion wird der Zugriff auf Google-Dienste für das Konto auf dem Gerät ermöglicht. Ohne diesen Aufruf funktionieren der Play Store und andere Google-Dienste nicht.

Kontoeinrichtung – Beispielcode

1. Um einen Versuch zur Kontoeinrichtung zu starten, kann die aufrufende App AccountSetupClient verwenden und entweder die Methode startAccountSetup() oder startAccountSetupFuture() aufrufen. Ein Beispiel für die Implementierung finden Sie im folgenden Codebeispiel:

   // Create AccountSetupClient
   val client = AccountSetupClientFactory.create(
       this,
       activityResultRegistry
   )
   lifecycle.addObserver(client.lifecycleObserver)
   
   // Create adminComponent
   val notificationReceiver = ComponentName(this, AccountSetupNotificationReceiver::class.java)
   // Helper method to get enrollment token created with Play EMM API
   val enrollmentToken = getEnrollmentToken()
   val request =
             StartAccountSetupRequest.builder()
                 .setEnrollmentToken(enteredText)
                 .setNotificationReceiverServiceComponentName(notificationReceiver)
                 .setAdminComponentName(
                     ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java))
                 .build()
   try {
       val accountSetupAttempt = client.startAccountSetup(request)
       // handle attempt
   } catch (e: Exception) {
       // handle exception
   }
     ```
   

2. Implementieren Sie die AccountSetupListener-Schnittstelle und geben Sie an, wie die empfangenen Statusaktualisierungen verarbeitet werden sollen.

3. Erweitern Sie NotificationReceiverService und stellen Sie die in Schritt 2 erstellte AccountSetupListener-Instanz bereit, indem Sie getAccountSetupListener() überschreiben.

   // Handles account setup changes
   class AccountSetupNotificationReceiver :
         NotificationReceiverService(),
         AccountSetupListener {
   
       override fun getAccountSetupListener(): AccountSetupListener = this
   
       override fun onAccountSetupChanged(accountSetupAttempt:
     AccountSetupAttempt) {
   
           when (accountSetupAttempt.state.kind) {
               StateCase.ADDED_ACCOUNT -> {
                   val enterpriseAccount = state.addedAccount()
                   val userId = enterpriseAccount.userId
                   val deviceId = enterpriseAccount.deviceId
                   // Handle account added state.
   
               }
               StateCase.AUTHENTICATION_ACTIVITY_LAUNCH_REQUIRED -> {
                   val request = LaunchAuthenticationActivityRequest.builder()
               .setAccountSetupAttempt(accountSetupAttempt)
               .build();
                   // Send the attempt to the foreground activity to call:
                   accountSetupClient.launchAuthenticationActivity(request)
               }
               StateCase.ACCOUNT_SETUP_ERROR -> {
                   // Handle error state.
                   val failureReason = state.accountSetupError().failureReason
               }
               else -> {
                   // Handle unknown account setup attempt state.
               }
           }
       }
   }
   
     ```
   

4. Fügen Sie die erweiterte Klasse NotificationReceiverService zu Ihrem AndroidManifest.xml hinzu und prüfen Sie, ob sie exportiert wird.

     <application>
       <service
           android:name = ".accountsetup.AccountSetupNotificationReceiver"
           android:exported = "true" />
     </application>
   

   Wenn Ihre App auf SDK 30 oder höher ausgerichtet ist, ist ein „queries“-Element im AndroidManifest.xml erforderlich, um anzugeben, dass sie mit ADP interagieren wird.

     <queries>
       <package android:name="com.google.android.apps.work.clouddpc" />
     </queries>
   

Anleitung zum Testen

Dieser Abschnitt enthält eine Reihe von Richtlinien und Best Practices zum Testen Ihrer Implementierung.

Test PrepareEnvironment

1. Aktuellen Status des Geräts abrufen:Das EMM führt

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   um die Version der Android Device Policy auf dem Gerät abzurufen. Wenn die Android Device Policy nicht installiert ist, wird eine leere Ausgabe erwartet.

2. PrepareEnvironment einbinden:Der benutzerdefinierte DPC ruft die prepareEnvironment-API im AMAPI SDK auf und übergibt die richtige Anfrage.

3. Auf Ergebnis von „PrepareEnvironment“ warten:Der benutzerdefinierte DPC wartet, bis prepareEnvironment abgeschlossen ist.

4. Erfolg von „PrepareEnvironment“ bestätigen:Nach Abschluss wird EMM noch einmal ausgeführt.

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   Die Version der Android Device Policy sollte diesmal höher sein als in Schritt 1.

Google-Kontoauthentifizierung testen

1. Testunternehmen erstellen:Der EMM erstellt ein Google-Testunternehmen mit einer Testdomain, das mit einem Test-EMM mit enterprises.generateSignupUrl verknüpft ist.
2. Google-Authentifizierung aktivieren:Der EMM-Anbieter aktiviert die Google-Authentifizierung für das Testunternehmen gemäß dieser Anleitung in der Admin-Konsole.
3. Registrierungstoken erstellen:Das EMM erstellt ein Registrierungstoken mit der Play EMM API vom Typ userDevice.
4. Registrierung starten:Der benutzerdefinierte DPC ruft die startAccountSetup-API im AMAPI SDK auf und übergibt das Registrierungstoken.
5. Startaktivität erforderlich:Das AMAPI SDK benachrichtigt den benutzerdefinierten DPC, dass eine Aktivität gestartet werden muss, um den Nutzer zu authentifizieren.
6. Nutzer authentifizieren:Der benutzerdefinierte DPC ruft launchAuthenticationActivity auf, um die Aktivität zu starten. Der Nutzer authentifiziert sich mit einem verwalteten Google-Konto (Teil des Unternehmens, das in Schritt 1 erstellt wurde).
7. Registrierung abschließen:Das AMAPI SDK benachrichtigt den benutzerdefinierten DPC über das Registrierungsergebnis.

Überspringen der Google-Authentifizierung testen

Wir verwenden die zuvor beschriebene Einrichtung.

Dieses Mal drückt der Nutzer in Schritt 7 auf Überspringen, anstatt sich mit seinem Google-Konto zu authentifizieren. Die Registrierung wird erfolgreich abgeschlossen und auf dem Gerät ist ein Dienstkonto vorhanden (d.h. AuthenticationType ist „Anonym“).

Geräte ohne Nutzer testen

Der verbesserte benutzerdefinierte DPC-Registrierungsablauf umfasst die folgenden Schritte, wenn die Google-Authentifizierung deaktiviert ist:

1. Testunternehmen erstellen:Dies kann dasselbe Unternehmen sein, das Sie zuvor erstellt haben.
2. Registrierungstoken erstellen:Der EMM erstellt mit der Play EMM API ein Registrierungstoken vom Typ userlessDevice.
3. Registrierung starten:Der benutzerdefinierte DPC ruft die startAccountSetup-API im AMAPI SDK auf und übergibt das Registrierungstoken.
4. Registrierung abschließen:Das AMAPI SDK benachrichtigt den benutzerdefinierten DPC über das Registrierungsergebnis.

Managed Google Play-Konten

Nutzerkonto

Ermöglicht einem einzelnen Nutzer den Zugriff auf den Managed Play Store von allen seinen Geräten aus. Sie müssen Nutzerkonten für Ihre Nutzer bereitstellen. Sie haben nicht die Anmeldedaten, um selbst verwaltete Google Play-Konten hinzuzufügen.

Rufen Sie Users.insert auf, um ein Nutzerkonto zu erstellen. Legen Sie den Kontotyp auf userType und eine accountIdentifier fest, die den Nutzer innerhalb des Unternehmens eindeutig identifiziert.

Best Practice:Verwenden Sie ein Konto nicht auf mehr als zehn Geräten.

Gerätekonto

Ermöglicht den Zugriff auf Managed Google Play über ein einzelnes Gerät. Wenn für ein Geräte-Konto ein Authentifizierungstoken ausgestellt wurde, wird das vorherige Token durch eine neue Anfrage für ein Authentifizierungstoken für dieses Geräte-Konto deaktiviert. Jedes Gerät sollte eigene Lizenzen für Apps haben.

Rufen Sie zum Erstellen eines Gerätekontos Users.insert auf und legen Sie den Kontotyp auf deviceType fest.

Sie erstellen und verwalten eine Zuordnung zwischen den Nutzer- oder Geräteidentitäten und den entsprechenden Konten für Managed Google Play und verwalten die Konten während ihres gesamten Lebenszyklus. Die Organisation benötigt keine direkte Kontrolle über diese Konten für Managed Google Play, da die Konten ausschließlich für die Anwendungsverwaltung vorhanden sind.

Managed Google Play-Nutzerkonto erstellen

1. Ein Nutzer meldet sich mit geschäftlichen Anmeldedaten in Ihrem DPC an.
2. Das DPC fordert Details zum Nutzer vom EMM-Server oder der EMM-Konsole an.

Angenommen, der Nutzer ist Ihrem System nicht bekannt:

1. Stellen Sie einen Antrag für ein neues Managed Play-Konto, indem Sie Users.insert anrufen und die Werte für das neue accountIdentifier, displayName und accountType angeben.
• Ihr System muss die accountIdentifier erstellen. Die Konto-ID muss in Ihrem System eindeutig sein. Verwenden Sie keine personenbezogenen Daten als Konto-ID.
• Die displayName wird in der Kontoauswahl des Google Play Store angezeigt und sollte für den Nutzer eine Bedeutung haben (aber keine personenbezogenen Daten des Nutzers enthalten). Der Name könnte beispielsweise den Namen der Organisation oder einen generischen Namen im Zusammenhang mit dem EMM enthalten.
• Legen Sie accountType auf userAccount oder deviceAccount fest. Ein userAccount ist spezifisch für ein einzelnes Gerät. Die angegebene accountType kann deviceType oder userType sein.
• Setzen Sie managementType auf emmManaged.
2. Google Play verarbeitet die Anfrage, erstellt das Konto und gibt eine userId zurück.
3. Speichern Sie die Zuordnung zwischen accountIdentifier und userId in Ihrem Datenspeicher.
4. Rufen Sie Users.generateAuthenticationToken mit dem userId und dem enterpriseId auf. Google Play gibt ein Authentifizierungstoken zurück, das einmal verwendet werden kann und innerhalb weniger Minuten verwendet werden muss.
5. Leiten Sie das Authentifizierungstoken sicher an Ihren DPC weiter.
3. Der DPC stellt das Arbeitsprofil bereit und fügt dem Arbeitsprofil oder Gerät das Konto hinzu.
4. Der Nutzer kann im Arbeitsprofil oder auf dem Gerät auf den Managed Play Store zugreifen.

Administratorkonten

Wenn ein Administrator eine Kontogruppe für Managed Google Play erstellt, darf das verwendete Google-Konto kein G Suite-Konto sein. Das Konto, das sie verwenden, wird zum Inhaber der Kontogruppe. Der Inhaber kann in der Managed Play Console weitere Inhaber und Administratoren hinzufügen.

Sowohl Enterprises.get als auch Enterprises.completeSignup geben eine Liste von Administrator-E-Mail-Adressen zurück, die mit einer Organisation verknüpft sind (nur Organisationen mit Managed Google Play-Konten).

Kontolebenszyklen verwalten

Bei einer Bereitstellung von Konten für Managed Google Play sind Sie für den Lebenszyklus von Nutzer- und Gerätekonten verantwortlich. Das bedeutet, dass Sie diese Konten erstellen, aktualisieren und löschen.

Sie erstellen die Konten während der Gerätebereitstellung. Dieser Prozess umfasst Ihre DPC-App und Ihre EMM-Konsole. Eine Anleitung finden Sie unter Verwaltete Google Play-Konten.

Wenn Sie die Informationen eines Kontos ändern möchten, rufen Sie Users.update auf.

Wenn Sie ein Konto löschen möchten, rufen Sie Users.delete an.

Administratoren können keine einzelnen Konten löschen, aber sie können eine Organisation mit Konten für Managed Google Play löschen. Wenn sie dies tun, werden die mit dem Unternehmen verknüpften Geräte- und Nutzerkonten schließlich gelöscht, wie unter Registrierung aufheben, neu registrieren, löschen beschrieben.

Ablauf des Kontos

Gelegentlich laufen Konten oder ihre Tokens ab. Dafür kann es verschiedene Gründe geben:

• Das Authentifizierungstoken, das zum Hinzufügen des Kontos zum Gerät verwendet wurde, ist abgelaufen.
• Das Konto oder Unternehmen wurde gelöscht.
• Bei Gerätekonten wurde das Konto einem neuen Gerät hinzugefügt und ist daher auf dem alten Gerät deaktiviert.
• Es wurden automatische Missbrauchsprüfungen ausgelöst.

Außerdem können die Informationen eines Geräts aufgrund eines Batch-Bereinigungsprozesses gelöscht werden, wenn es länger als 270 Tage offline ist.

In den meisten Fällen (es sei denn, der EMM-Anbieter verschiebt ein Geräte-Konto absichtlich auf ein neues Gerät) ist es am besten, mit der Play EMM API ein neues Token vom EMM-Server anzufordern, den Status des Kontos und des Unternehmens sowie alle zurückgegebenen Fehler zu notieren und dann auf dem Gerät entsprechende Maßnahmen zu ergreifen. Erneuern Sie beispielsweise das Token oder setzen Sie das Gerät zurück oder heben Sie die Registrierung auf, wenn der Fehler nicht behoben werden kann.

So erneuern Sie das Token richtig:

1. Rufe users.generateAuthenticationToken an.
2. Wenn der Aufruf erfolgreich ist, entfernen Sie das vorhandene Konto und fügen Sie das neue Konto mit der DPC-Supportbibliothek hinzu.
3. Wenn der Anruf fehlschlägt, entfernen Sie das Konto vom Gerät, erstellen Sie einen neuen Nutzer mit users.insert, generieren Sie ein Authentifizierungstoken und fügen Sie das Konto dem Gerät hinzu.

In Google Play-Dienste-Version 9.0.00 wird Ihr DPC über die Broadcast-Aktion benachrichtigt, dass das Konto abgelaufen ist:

1. Wenn das verwaltete Google Play-Konto auf einem Gerät ungültig wird, empfängt der DPC einen Broadcast mit der folgenden Aktion:

com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

2. Der Broadcast-Intent enthält das Extra Parcelable mit dem Namen account, das das Account-Objekt des ungültigen Kontos ist.
3. Das DPC prüft Account#name beim EMM-Server, um das ungültige Konto zu identifizieren.
4. Der DPC fordert entweder neue Anmeldedaten oder ein neues Konto an. Dabei wird derselbe Ablauf verwendet, der auch bei der ursprünglichen Bereitstellung des Geräts zum Einsatz kam.