Udostępnij urządzenia

Istnieje kilka sposobów obsługi administracyjnej urządzeń. W przypadku Twoich klientów firma które określają metody obsługi administracyjnej, których chcesz użyć.

Podstawy obsługi administracyjnej urządzeń

Scenariusze wdrażania obsługi administracyjnej urządzeń (np. PWU lub należące do firmy) określają tryby działania, (np. tryb właściciela urządzenia lub tryb właściciela profilu). Podobnie tryby operacji i wersji Androida, które musisz obsługiwać, określają, która obsługa administracyjna które zastosujesz.

Scenariusze wdrażania

w scenariuszu wdrożenia należącym do firmy do firmy w pełni kontroluje urządzenia używane przez pracowników. Zwykle organizacje wdrażają urządzeń należących do firmy, gdy muszą ściśle monitorować cały proces i nim zarządzać. urządzenia.

Firmy obsługujące scenariusz wdrożenia BYOD mogą pracowników przynosić do pracy własne urządzenia i używać ich do dostęp do informacji i aplikacji firmowych w ramach ochrony prywatności.

Środki działania

Wdrożenia należące do firmy są obsługiwane przez tryb właściciela urządzenia działania. Na Androidzie aplikacja do zarządzania nosi nazwę zasad dotyczących urządzeń. (DPC). DPC egzekwuje zasady na urządzeniach z Androidem oraz gdy jest właścicielem urządzenia, zarządza całym urządzeniem. Jako właściciel urządzenia DPC może wykonywać działania dla całego urządzenia, np. konfigurować je w sieci, skonfigurować ustawienia globalne i przywrócić ustawienia fabryczne.

Wdrożenia PWU są obsługiwane przez tryb właściciela profilu . Dzięki DPC firma umożliwia korzystanie z urządzeń osobistych w pracy dodając profil służbowy do głównego konta użytkownika na urządzeniu. Praca jest powiązany z głównym użytkownikiem, ale jako oddzielny profil. Jako właściciela profilu, DPC zarządza tylko profilem służbowym na urządzeniu i ma poza profilem służbowym.

Metody obsługi administracyjnej właściciela urządzenia

Podczas wstępnej konfiguracji musisz włączyć obsługę administracyjną trybu działania właściciela urządzenia na nowym urządzeniu lub po przywróceniu ustawień fabrycznych. Nie można udostępnić trybu właściciela urządzenia na urządzeniu w dowolnym innym momencie.

W zależności od przypadku użycia dostępne są 2 główne metody udostępniania obsługi administracyjnej właściciela urządzenia.

  • W procesie zależności od urządzenia administratorzy IT mogą używać NFC do udostępniania dużych plików liczby urządzeń. Tego procesu można użyć w przypadku zarządzanego konta Google Play lub Google Workspace w różnych sytuacjach.
  • W przepływie tworzonym przez użytkowników dostępne opcje zależą od tego, czy organizacja korzysta z Google Workspace.
    • w Google Workspace użytkownik dodaje swoje konto Google. podczas początkowej konfiguracji urządzenia, a DPC musi przeprowadzić użytkownika przez aby skonfigurować właściciela urządzenia. Zależnie od potrzeb użytkowników nowe urządzenia i jest to alternatywa dla urządzeń, które nie obsługują NFC.
    • Jeśli organizacja nie korzysta z Google Workspace, należy użyć parametru za pomocą zarządzanych kont Google Play.

Uwaga: jeśli ograniczysz rozpowszechnianie aplikacji do określonych krajów Google Play, Są one ignorowane podczas obsługi administracyjnej właściciela urządzenia. Numer DPC zostanie pobrany nawet wtedy, gdy urządzenie nie znajduje się w kraju docelowym.

Metody obsługi administracyjnej właściciela profilu

Zalecana metoda udostępniania trybu działania właściciela profilu zależy określając, czy organizacja korzysta z Google Workspace.

  • W przypadku Google Workspace zalecaną metodą jest generowany przez użytkowników, który dodaje swoje konto Google. a DPC poprowadzi użytkownika przez wszystkie etapy konfiguracji właściciela profilu.
  • Jeśli organizacja nie używa Google Workspace, zalecana metoda to metodą zarządzanych kont Google Play.

Tradycyjna metoda, w której użytkownik jest zmuszany ręczna instalacja DPC, jest również obsługiwana. Polega ona na tym, że użytkownik pobierze i zainstaluje Twój DPC z Google Play. a DPC prowadzi użytkownika przez resztę procesu konfiguracji właściciel profilu.

Najważniejsze różnice w obsłudze administracyjnej w zależności od wersji Androida

Scenariusz wdrożenia Tryb działania Metoda obsługi administracyjnej 5,0, 5,1 6,0 7.0 z Androidem 8.0 11 12+
Należy do firmy Właściciel urządzenia Kod QR
Zarządzane konta Google Play
Konto Google
NFC
Rejestracja typu zero-touch
Należy do firmy Właściciel profilu Kod QR
Zarządzane konta Google Play
Konto Google
NFC
Rejestracja typu zero-touch
Używaj własnego urządzenia Właściciel profilu Zarządzane konta Google Play
Konto Google 5.11
Ręczna instalacja DPC
Rejestracja typu zero-touch

Ogólne kwestie dotyczące implementacji

Oto kilka kwestii, które warto wziąć pod uwagę napisać DPC, niezależnie od zaimplementowanego trybu działania.

Zgodność z Usługami Google Play

Przewodnik po pakietach APK usług Google Play informuje deweloperów, aby sprawdzili wersję Usług Google Play przed transakcji API. Ponieważ próbujesz zaktualizować Usługi Google Play powoduje poważne zakłócenia w procesie konfiguracji urządzenia, DPC nie może spróbuj zaktualizować Usługi Google Play przed zakończeniem obsługi administracyjnej urządzenia.

Najważniejsze kwestie dotyczące zgodności DPC z Usługami Google Play:

  • DPC powinno działać z wykorzystaniem Usług Google Play, które były wysyłane wraz z konkretne urządzenie.
  • DPC nie powinno polegać na nowych funkcjach w kolejnych wersjach Google Play dostępnych w momencie obsługi administracyjnej urządzenia.

Po zakończeniu obsługi administracyjnej urządzenia DPC może poprosić użytkownika o zaktualizowanie Usług Google Play, aby DPC mógł korzystać z najnowszych funkcji. Jeśli jednak funkcja jest z jakiegoś powodu niedostępna, DPC musi płynnie wrócić do od wersji dostarczonej z urządzeniem.

Pobieranie szczegółów urządzenia

Ze względu na opóźnienia związane z rozpowszechnianiem połączenia z tym numerem może potrwać do 2 minut device.get w przypadku nowo zarejestrowanego urządzenia zwróci szczegóły urządzenia.

Jeśli Twój przepływ pracy wymaga szczegółowych informacji, zanim użytkownik będzie mógł użyć urządzenia lub profilu służbowego, użyj ekranu postępu w DPC i zaczekaj zostanie wykonane.

Uwagi na temat implementacji trybu właściciela profilu

Oto kilka kwestii, które warto wziąć pod uwagę napisz DPC, aby zaimplementować właściciela profilu i trybu działania.

Usuwanie lub wyłączanie osobistego DPC

Podczas udostępniania trybu działania właściciela profilu DPC zaczyna działać w profilu osobistym i rozpoczyna proces tworzenia profilu służbowego. Po utworzeniu profilu służbowego DPC również działa w środowisku pracy. profil. DPC w profilu służbowym kończy proces obsługi administracyjnej. Na to DPC w profilu osobistym powinno wyłączyć się lub urządzenie użytkownik powinien je usunąć.

Użytkownik usuwa osobisty DPC

  1. Osobisty DPC nasłuchuje ACTION_MANAGED_PROFILE_PROVISIONED Na urządzeniach z Androidem 5.1 osobisty DPC powinien nasłuchiwać ACTION_MANAGED_PROFILE_ADDED).
  2. Osobisty DPC wysyła żądanie odinstalowania ACTION_UNINSTALL_PACKAGE Pojawi się prośba o odinstalowanie osobistego DPC. Dla jak najlepszych użytkowników proces odinstalowywania powinien nastąpić w ramach procesu obsługi administracyjnej.

Personal DPC wyłącza się samoczynnie

  1. Osobisty DPC nasłuchuje ACTION_MANAGED_PROFILE_PROVISIONED Na urządzeniach z Androidem 5.1 osobisty DPC powinien nasłuchiwać ACTION_MANAGED_PROFILE_ADDED).
  2. W odpowiednich przypadkach osobista firma DPC powinna zwolnić uprawnienia administratora urządzenia. przed wyłączeniem.
  3. Osobisty DPC inicjuje setApplicationEnabledSetting wyłącz żądanie z elementem COMPONENT_ENABLED_STATE_DISABLED .
  4. Użytkownik może ponownie włączyć osobisty tryb DPC w Google Play.

Uwagi na temat implementacji trybu właściciela urządzenia

Oto kilka kwestii, które należy wziąć pod uwagę podczas tworzenia DPC aby wdrożyć tryb działania właściciela urządzenia.

Urządzenie musi być nowe lub przywrócone do ustawień fabrycznych

Podczas wstępnej konfiguracji musisz włączyć obsługę administracyjną trybu działania właściciela urządzenia na nowym urządzeniu lub po przywróceniu ustawień fabrycznych. Nie można włączyć trybu właściciela urządzenia i udostępnionych na urządzeniu w dowolnym innym momencie.

Tryb właściciela urządzenia zapewnia DPC pełną kontrolę nad urządzeniem. Jeśli trwa udostępnianie tryb właściciela urządzenia po początkowej konfiguracji był dozwolony:

  • Złośliwe oprogramowanie może potencjalnie utworzyć właściciela urządzenia i przejmować nad nim kontrolę.
  • Mogą wystąpić problemy z prywatnością, jeśli wcześniej były włączone pewne dane użytkowników lub aplikacje. urządzenia.

Konfigurowanie trybu właściciela urządzenia tylko na urządzeniach należących do firmy

Tryb właściciela urządzenia należy udostępniać tylko na urządzeniach, które wskażesz jako należąca do firmy klienta. Możesz to sprawdzić, wykrywając unikalnego identyfikatora urządzenia (np. numeru seryjnego) lub zestaw kont autoryzowanych do rejestrowania urządzeń przez dostawcę usług EMM .

Jeśli nie możesz zweryfikować własności urządzenia w firmie, musisz utworzyć , by tryb właściciela urządzenia nie był włączony przez pomyłkę. Przykład: możesz poprosić użytkownika urządzenia o potwierdzenie lub podjęcie działania przed udostępnieniem trybu właściciela urządzenia.

Włącz aplikacje systemowe

Gdy DPC skonfiguruje profil służbowy, wszystkie aplikacje systemowe bez ikon programu uruchamiającego są uznawane za kluczowe dla urządzenia i mogą być automatycznie uruchamiane w profilu służbowym. Aplikacje systemowe z ikonami programu uruchamiającego są uważane za są opcjonalne, a Ty możesz zdecydować, czy je włączyć.

Włączanie aplikacji systemowych w Google Play

Użytkownicy mogą włączyć aplikacje systemowe w Google Play, aby otrzymywać aktualizacje aplikacji aktualizacje aplikacji, gdy tylko będą dostępne.

Włączanie aplikacji systemowych za pomocą interfejsów Android Framework API

Jeśli chcesz, aby użytkownicy widzieli aplikacje systemowe, gdy tylko zaczną korzystać z urządzeń: włącz aplikacje systemowe w ramach procesu obsługi administracyjnej urządzenia. DPC umożliwia według nazwy pakietu lub intencji za pomocą funkcji DevicePolicyManager.enableSystemApp()

Istnieje kilka sposobów identyfikowania aplikacji systemowych, które chcesz włączyć i pokazać w konsoli EMM.

Tworzenie katalogów aplikacji systemowych

W ramach tej metody każde urządzenie określa, które aplikacje są na urządzeniu, i wysyła te dane z powrotem do konsoli EMM. Konsola EMM dynamicznie je wyświetla danych podczas tworzenia zasad dotyczących urządzeń, które pozwalają administratorowi IT zarządzać w poszczególnych aplikacjach.

  1. Jeśli profil służbowy nie jest jeszcze obsługiwany na urządzeniu, pobierz listę wszystkich aplikacji z ikonami programu uruchamiającego na urządzeniu queryIntentActivities():

    private List<ResolveInfo> getAppsWithLauncher() {
  Intent i = new Intent(Intent.ACTION_MAIN);
  i.addCategory(Intent.CATEGORY_LAUNCHER);
  return getPackageManager().queryIntentActivities(i, 0);
}

  2. Jeśli profil służbowy jest już udostępniony na urządzeniu, pobierz listę wszystkich aplikacji w profilu służbowym za pomocą funkcji PackageManager.GET_DISABLED_COMPONENTS oraz PackageManager.GET_UNINSTALLED_PACKAGES

  3. Znajdź aplikacje systemowe na liście aplikacji, zaznaczając FLAG_SYSTEM który wskazuje, czy aplikacja jest zainstalowana w obrazie systemu urządzenia.

Zalety:

  • Zapewnia administratorom IT pełny obraz aplikacji na wszystkich urządzeniach.
  • Zapewnia szczegółową kontrolę nad tym, które aplikacje są włączone.

Wady:

  • Ze względu na to, że każde urządzenie ma inny katalog aplikacji, trudno jest zastosować model. konfiguracji jednej zasady dla wielu typów urządzeń.
  • Umieszczenie liczby aplikacji specyficznych dla OEM w dla administratorów IT.

Kategoryzowanie aplikacji systemowych według funkcji

Gdy administrator IT chce włączyć aplikację systemową dla grupy urządzeń, wybiera ogólną aplikację na podstawie funkcjonalności; na przykład „System Przeglądarka”. DPC dopuszcza wtedy wszystkie aplikacje systemowe w tej intencji.

Zalety:

  • Proste, oparte na funkcjonalności włączanie dla administratorów IT.
  • Zapewnia spójne funkcje na różnych urządzeniach (przynajmniej w typowych przypadkach użycia).

Wady:

  • Ogranicza aplikacje systemowe do tych, które są obsługiwane na wszystkich typach urządzeń.
  • Administratorzy IT mogą chcieć przekazać jedną wersję aplikacji OEM (np. Samsung®), a nie inną (np. przeglądarkę LG®).
  • Administratorzy IT mogą nie chcieć udostępniać wielu aplikacji, ale nie mogą tego zabronić w przypadku wielu modułów obsługi intencji.

Obsługuj tylko zatwierdzone aplikacje systemowe

Współpracujesz z producentem OEM, aby zidentyfikować określone pakiety OEM i zapewnić pomoc tylko w przypadku tych w konsoli EMM. Umożliwia to także katalogowanie zarządzanych konfiguracji aplikacji OEM. Inaczej nie byłby to znany, bo Aplikacja OEM nie jest hostowana w Google Play.

Zalety:

  • Znacznie upraszcza przepływ pracy integracji i eliminuje przypadki skrajne. stanowiące problematyczne dla dwóch pierwszych opcji.
  • Możesz skatalogować konfiguracje zarządzane aplikacji OEM i je zaprezentować w konsoli EMM dla administratorów IT.
  • Pozwala na bliskie relacje z producentami OEM w zakresie obsługi flagowych urządzeń.

Wady:

  • Są mniej skalowalne i w rezultacie zmniejszają wybór klientów.

Scenariusze testowe dla DPC

Test DPC to oprogramowanie typu open source. udostępniona przez Google aplikacja DPC przeznaczona do testowania funkcji biznesowych. Testowy DPC jest dostępny u github lub Google Play, Za pomocą Testu DPC możesz:

  • Symulowanie funkcji na Androidzie
  • Ustaw i egzekwuj zasady
  • Ustaw ograniczenia dotyczące aplikacji i intencji
  • Skonfiguruj profile służbowe
  • Konfigurowanie w pełni zarządzanych urządzeń z Androidem

Testowa DPC jest przeznaczona głównie do testowania w firmie dla Androida, można go również używać jako źródła przykładowego kodu funkcje zabezpieczeń.

Dostosuj obsługę administracyjną

Podczas obsługi administracyjnej urządzenia interfejs użytkownika ma domyślny kolor paska stanu i domyślnego logo u góry ekranu. Ustaw kolory niestandardowe i logo, aby zapewnić spójne wizualne przejście między interfejsu systemu lub zezwól administratorom na zrobienie tego za pomocą konsoli EMM. Przykład: administrator może przesłać logo firmy lub dostosować wygląd ekranów, które wyświetlają powiadomienia.

DPC wymusza wybór kolorów i logo za pomocą DevicePolicyManager.EXTRA_PROVISIONING_MAIN_COLOR oraz DevicePolicyManager.EXTRA_PROVISIONING_LOGO_URI Dodatki.

Aby ustawić kolor niestandardowy, użyj EXTRA_PROVISIONING_MAIN_COLOR. aby ustawić liczbę całkowitą, która wskazuje dominujący kolor wyświetlany podczas urządzenia i udostępnianie danych. Umieść dodatkowy (stały) tekst w intencji: ACTION_PROVISION_MANAGED_PROFILE lub ACTION_PROVISION_MANAGED_DEVICE

Aby poznać sposób przedstawiania liczb całkowitych, zapoznaj się z artykułem Kolor. Na przykład zobacz MAIN_COLOR w aplikacji TestDPC.

Aby ustawić niestandardowe logo, skorzystaj z EXTRA_PROVISIONING_LOGO_URI. aby ustawić obraz wyświetlany u góry ekranu, gdy urządzenie i udostępnianie danych. Umieść dodatkowe (stałe) w intencji za pomocą ACTION_PROVISION_MANAGED_PROFILE lub ACTION_PROVISION_MANAGED_DEVICE Upewnij się, że gęstość pikseli na obrazie jest odpowiednia dla urządzenia.

Na przykład zobacz LOGO_URI w aplikacji TestDPC.

Metoda z użyciem kodu QR

Metoda obsługi administracyjnej za pomocą kodu QR konfiguruje tryb właściciela urządzenia przez zeskanowanie kodu QR w kreatorze konfiguracji. Kod QR zawiera ładunek pary klucz-wartość ze wszystkimi informacjami niezbędnymi do świadczenia DPC urządzenia.

Konsola EMM powinna umożliwiać administratorom IT tworzenie kodów QR w przypadku urządzeń, które mają być obsługiwane. Administrator IT wysyła kody QR użytkownikom, a użytkownicy muszą skonfigurować swoje urządzenia, skanując Kody QR.

Przypadki użycia obsługi administracyjnej kodu QR

Niektóre urządzenia, na przykład tablety, nie obsługują NFC. Obsługa administracyjna za pomocą kodu QR wygodny sposób na udostępnianie rozproszonej floty urządzeń, które nie obsługują NFC. Administrator IT może wysyłać użytkownikom kody QR, aby umożliwić tworzenie i udostępnianie danych.

Obsługa administracyjna za pomocą kodu QR nie wymaga tożsamości Google, np. domeny Google lub kontem Google. organizacje, które używają Androida, ale nie używają Google; Workspace, nie mają tożsamości Google.

Podobnie jak w przypadku NFC, obsługa administracyjnej za pomocą kodu QR umożliwia wdrożenia kiosku i wdrożenia jednorazowe, w których Tożsamość Google (lub inna tożsamość) nie jest potrzebna ani pożądana. Na przykład plik urządzenie kiosku w sklepie nie należy do nikogo i nie powinno mieć użytkownika tożsamości.

Utwórz kod QR

Prawidłowy kod QR do obsługi administracyjnej to obiekt JavaScript® zakodowany w UTF-8 Ciąg znaków w formacie notacji (JSON). Prawidłowy kod QR może zawierać te właściwości:

Zawsze wymagane

Wymagany, jeśli na urządzeniu nie jest jeszcze zainstalowany DPC

Zalecane, jeśli urządzenie nie jest jeszcze połączone z Wi-Fi

Opcjonalny

Ten przykładowy kod pozwala utworzyć prawidłowy kod QR:

{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":
"com.emm.android/com.emm.android.DeviceAdminReceiver",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":
"gJD2YwtOiWJHkSMkkIfLRlj-quNqG1fb6v100QmzM9w=",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":
"https://path.to/dpc.apk",
    "android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,
    "android.app.extra.PROVISIONING_WIFI_SSID": "GuestNetwork",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
        "dpc_company_name": "Acme Inc.",
        "emm_server_url": "https://server.emm.biz:8787",
        "another_custom_dpc_key": "dpc_custom_value"
    }
}

Proces obsługi administracyjnej kodu QR

  1. Kreator konfiguracji prosi użytkownika o 6 razy kliknięcie ekranu powitalnego. kliknij w tym samym miejscu na ekranie.
  2. Kreator konfiguracji prosi użytkownika o połączenie się z internetem, aby umożliwić może pobrać czytnik kodów QR.
  3. Usługi Google Play pobierają moduł zawierający kod QR wyszukiwarki.
  4. Użytkownik skanuje kod QR otrzymany od administratora IT.
  5. Kreator konfiguracji pobiera aplikację DPC i uruchamia właściciela urządzenia proces obsługi administracyjnej przy użyciu ACTION_PROVISION_MANAGED_DEVICE

Metoda zarządzanych kont Google Play

DPC może użyć metody obsługi administracyjnej kont zarządzanego Sklepu Google Play trybu właściciela urządzenia lub właściciela profilu. Ta metoda obsługi administracyjnej jest kierowana w organizacjach, które nie korzystają z Google Workspace.

Metoda obsługi administracyjnej kont Google Play korzysta z metody Biblioteka pomocy DPC. Ta biblioteka klienta zapewnia bezproblemowe działanie zarządzanego Sklepu Google Play Konta. Zachowuje też zgodność z przyszłymi aktualizacjami zarządzanych Proces obsługi administracyjnej kont Google Play.

Wymagania wstępne do obsługi administracyjnej urządzeń

  • Identyfikator firmy zostanie utworzony i zarejestrowany przy użyciu tożsamości EMM i ESA zgodnie z opisem w sekcji Utwórz i zarejestruj firmę.
  • Tożsamość firmowa użytkownika jest znana w konsoli EMM.
  • Użytkownik może zalogować się w aplikacji DPC za pomocą danych logowania zaakceptowanych przez dostawcę usług EMM zwykle przy użyciu firmowych danych logowania do poczty e-mail.

Konfigurowanie trybu właściciela profilu

Możesz włączyć obsługę administracyjną trybu działania właściciela profilu na urządzeniu, które jest używane używane w środowiskach PWU jako urządzenia osobiste.

  1. Użytkownik ręcznie pobiera Twój model DPC z Google Play i uruchamia go.
  2. DPC udostępnia profil służbowy za pomocą ACTION_PROVISION_MANAGED_PROFILE
  3. Wykonaj ostatnie kroki konfiguracji.

Konfigurowanie trybu właściciela urządzenia

Podczas początkowej konfiguracji nowe urządzenie lub po przywróceniu ustawień fabrycznych. Nie można włączyć obsługi administracyjnej trybu właściciela urządzenia z urządzenia w każdej innej chwili.

Podczas konfiguracji urządzenia użytkownik podaje specjalny token DPC pojawi się prośba o dodanie konta. Token ma format afw#DPC_IDENTIFIER. Dla: w przypadku usług EMM o nazwie ACME, afw#acme zainstaluje domyślną platformę DPC dostawcy usług EMM. Każdy dostawca usług EMM musi zażądać od Google konkretnego identyfikatora DPC, aby móc używać w procesie obsługi administracyjnej.

  1. użytkownik włączy nowe lub przywrócone do ustawień fabrycznych, a także kreator konfiguracji. nowych funkcji.
  2. Gdy pojawi się prośba o dodanie konta, użytkownik wpisuje specjalny token w format afw#DPC_IDENTIFIER, który identyfikuje DPC dla Twojego dostawcy usług EMM.
  3. Korzystając z identyfikatora DPC w tokenie, kreator konfiguracji dodaje kod tymczasowy konto Google na urządzeniu. To konto tymczasowe jest używane tylko do pobierania DPC dostawcy usług EMM z Google Play i zostanie usunięty pozostałe kroki konfiguracji.
  4. DPC zapewnia obsługę administracyjną urządzenia za pomocą ACTION_PROVISION_MANAGED_DEVICE
  5. Wykonaj ostatnie kroki konfiguracji.

Końcowe kroki konfiguracji dla wszystkich trybów działania

Wykonaj te czynności tylko po wstępnych krokach konfiguracji gdy działają tryby właściciela profilu lub właściciela urządzenia.

  1. DPC sprawdza, czy urządzenie będzie obsługiwać zarządzane konta Google Play przez zainicjowanie biblioteki pomocy DPC:

    AndroidForWorkAccountSupport androidForWorkAccountSupport =
  new AndroidForWorkAccountSupport(context, admin);
androidForWorkAccountSupport.ensureWorkingEnvironment(callback);

    Jeśli konfigurujesz tryb właściciela urządzenia, w tym kroku usuniesz tymczasowego konta Google dodanego w celu pobrania DPC.

  2. Użytkownik loguje się na DPC przy użyciu swoich danych logowania do usług EMM. Są to zwykle firmowych danych logowania do poczty e-mail.

  3. DPC prosi o dane logowania na zarządzane konto Google Play uwierzytelnionego użytkownika firmowego w konsoli EMM.

  4. Jeśli w konsoli EMM nie ma aplikacji userId Google Play dla użytkownika, zostanie tworzy nowego użytkownika, wywołując Users.insert() Jeśli udostępniasz tryb właściciela urządzenia, określ konto urządzenia (na urządzeń specjalnych) lub konta użytkownika (w przypadku wdrożeń należących do firmy).

  5. Ustaw zasady na urządzeniu, dzwoniąc Devices.update Ustaw tę zasadę przed dodaniem zarządzanego konta Google Play do urządzenia, w przeciwnym razie zasada nie będzie stosowana przez krótki czas po dodaniu konta na urządzeniu.

  6. Konsola EMM prosi o dane logowania do konta userId przez połączenia Users.generateAuthenticationToken() Ten token uwierzytelniania jest krótki i nie można go użyć ponownie. DPC powinien użyć tokena, aby automatycznie dodać konto (jest on całkowicie nieprzydatny) użytkownika).

  7. Interfejs Google Play EMM API zwraca token uwierzytelniania do konsoli EMM.

  8. Konsola EMM przekaże token uwierzytelniania do DPC.

  9. DPC dodaje do urządzenia zarządzane konto Google Play za pomocą:

    androidForWorkAccountSupport.addAndroidForWorkAccount(token,
  accountAddedCallback);

Metoda związana z kontem Google

DPC może użyć metody obsługi administracyjnej konta Google, aby skonfigurować właściciela urządzenia i tryb właściciela profilu. W przypadku metody obsługi administracyjnej konta Google DPC prowadzi użytkownika przez proces obsługi administracyjnej po dodaniu konta Google podczas początkowej konfiguracji urządzenia.

Gdy użytkownik wpisze dane logowania do konta Google:

  • Konto użytkownika jest uwierzytelniane przez serwer uwierzytelniania Google.
  • Serwer uwierzytelniania komunikuje się następnie z serwerem firmowym, aby sprawdzić, jeśli domena konta jest zarejestrowana jako domena Google Workspace lub Domena zarządzana przez EMM.
  • Jeśli tak, system automatycznie pobierze platformę DPC powiązaną z domeną. z Google Play i ją zainstaluje.

Konfigurowanie trybu właściciela profilu

Tryb działania właściciela profilu można włączyć obsługi administracyjnej podczas początkowej konfiguracji na urządzeniu lub gdy użytkownik dodaje konto, klikając Ustawienia > Dodaj konto.

  1. Uwierzytelnianie konta rozpoczyna użytkownik z poziomu kreatora konfiguracji lub w sekcji Ustawienia > Dodaj konto.
  2. GMSCore inicjuje obsługę profilu służbowego przy użyciu ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE.
  3. DPC zostanie automatycznie pobrany na urządzenie i uruchomiony przy użyciu: ACTION_GET_PROVISIONING_MODE .
  4. Platforma obsługuje obsługę profili służbowych.
  5. Po udostępnieniu profilu służbowego DPC odbiera komunikat ACTION_PROFILE_PROVISIONING_COMPLETE ACTION_ADMIN_POLICY_COMPLIANCE DPC jest uruchamiany w profilu służbowym. Po utworzeniu profilu służbowego DPC również działa w profilu służbowym. DPC przekazuje zasady dotyczące zarządzane konto Google, dzięki któremu urządzenie nie jest przejęte. oraz sprawdza, czy zasady są egzekwowane (takie jak wymóg hasło).
  6. DPC w profilu osobistym wyłącza się lub użytkownik je usuwa.

Konfigurowanie trybu właściciela urządzenia lub konta firmy

Podczas początkowej konfiguracji nowe urządzenie lub po przywróceniu ustawień fabrycznych. Nie można dodać trybu właściciela urządzenia do w dowolnym innym momencie.

  1. Uwierzytelnianie konta rozpoczyna użytkownik za pomocą kreatora konfiguracji.
  2. GMSCore inicjuje obsługę administracyjną właściciela urządzenia przy użyciu ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE. 3.DPC jest automatycznie pobierany na urządzenie i uruchamiany za pomocą modułu obsługi GET_PROVISIONING_MODE w celu wybrania trybu obsługi administracyjnej.
  3. Platforma udostępnia urządzenie w wybranym trybie obsługi administracyjnej.
  4. Gdy urządzenie zostanie zarejestrowane, DPC będzie odbierać te komunikaty i uruchomić moduł obsługi ACTION_ADMIN_POLICY_COMPLIANCE:
  5. DPC używa wartości Global.DEVICE_PROVISIONED aby sprawdzić, czy urządzenie jest nowe lub zostało przywrócone do ustawień fabrycznych (bez obsługi administracyjnej):
    • 0 wyrejestrowane.
    • 1 Obsługiwane.
  6. DPC kończy proces obsługi administracyjnej, przesyłając zasady dla tego urządzenie zarządzane, upewniając się, że nie zostało ono zhakowane; sprawdzisz, czy zasady są egzekwowane (np. wymaganie hasła).

Uwagi o wdrażaniu metody związanej z kontem Google

  • DPC powinna wykryć proces uwierzytelniania konta Google, szukając określone dodatki w intencji uruchomienia, które zostało użyte (zobacz LaunchIntentUtil):

    • Konto typu android.accounts.Account wskazuje, że parametr konto zostało dodane za pomocą kreatora konfiguracji lub po kliknięciu opcji Ustawienia > Dodaj konto, które wymaga uruchomionej aplikacji DPC do zarządzania urządzeniem lub profilem.
    • is_setup_wizard typu wartość logiczna – jeśli ma wartość prawda, DPC został uruchomiony w kreatora konfiguracji przed zakończeniem działania, w przeciwnym razie Ustawienia > Dodaj konto lub skorzystaj z innego procesu.

    Sprawdzenie, czy platforma DPC została uruchomiona w ramach metody związanej z kontem Google to:

    boolean isSynchronousAuthLaunch(Intent launchIntent) {
  return launchIntent.hasExtra("is_setup_wizard");
}

  • DPC nie powinno wywoływać parametru finish() . Powinien również zwracać kod wyniku dodatniego (np. RESULT_OK) w miarę jak DPC jest uruchamiany startActivityForResult(). i czeka na wynik.

    DPC powinien poczekać na kod wyniku z procesu obsługi administracyjnej przed Wywołuję finish(), jeśli proces konfiguracji DPC dotrze do momentu wysłania Intencja ACTION_PROVISION_*. Użyj startActivityForResult() i onActivityResult() wywołań zwrotnych przy uruchamianiu intencji ACTION_PROVISION_*. (Zobacz LaunchActivity i SetupSyncAuthManagement ).

    Ze względu na potencjalnie asynchroniczny charakter procesu konfiguracji DPC nie może polegać na kodzie wyniku RESULT_OK, który wskazuje, że udostępnianie udało się. Jedynym gwarantowanym sposobem jest poleganie DeviceAdminReceiver i wywołania zwrotne po pomyślnym udostępnieniu. RESULT_CANCELED oznacza, że użytkownik są wyłączane synchronicznie podczas konfiguracji, więc DPC powinien zareagować. do tego celu.

    W tym przykładzie DPC uruchamia obsługę administracyjną i czeka na kod wyniku działania:

    Intent intent = new Intent(ACTION_PROVISION_MANAGED_PROFILE);
startActivityForResult(intent, REQUEST_MANAGED_PROFILE);
...

@Override
public void onActivityResult(int req, int res, Intent i) {
    if (req == REQUEST_MANAGED_PROFILE) {
        if (res == Activity.RESULT_OK) {
            setResult(Activity.RESULT_OK);
            finish();
        } else {
            Toast.makeText(this, “Provisioning failed”,
                    Toast.LENGTH_SHORT).show();
        }
    }
}

  • DPC nie powinna próbować skonfigurować trybu właściciela urządzenia, jeśli: urządzenie jest już obsłużone (patrz ProvisioningStateUtil.isDeviceProvisioned()). W tym przykładzie DPC sprawdza, czy urządzenie jest obsługiwane:

    public static boolean isDeviceProvisioned(Context context) {
ContentResolver cr = context.getContentResolver();
    return
Settings.Global.getInt(cr, DEVICE_PROVISIONED, 0) != 0;
}

  • Opcjonalnie: DPC może użyć EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE podczas uruchamiania obsługi administracyjnej, aby przekazywać informacje o stanie DeviceAdminReceiver (co w przypadku właściciela profilu jest uruchomione w profilu służbowym). Ten element dodatkowy używa TestDPC. aby wpisać inny zestaw działań w ramach procesu na koncie Google po zakończy się udostępnianie. Więcej informacji: DeviceAdminReceiver

    public class DeviceAdminReceiver extends android.app.admin.DeviceAdminReceiver
{
  @Override
  public void onProfileProvisioningComplete(Context context, Intent intent) {
    // Retrieve the admin extras bundle, which we can use to determine the original context for
    // Test DPC's launch.
    PersistableBundle extras = intent.getParcelableExtra(
            EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE);
    ...

  • Aby można było skonfigurować profil służbowy, DPC musi przenieść dodane konto do nowy profil służbowy. W tym celu DPC powinien przekazać konto podane w intencja uruchomienia usługi ACTION_PROVISION_MANAGED_PROFILE

  • DPC powinna zawierać wyraźne wezwanie do działania (np. przycisk Zakończ), aby po zakończeniu konfiguracji zamknąć aplikację, tak aby użytkownik nie wiedział, dotarli do ślepego zaułka.

  • DPC powinien użyć motywu kreatora konfiguracji lub biblioteki układów, jest płynny i dobrze zintegrowany.

Metoda NFC

DPC może użyć metody obsługi administracyjnej NFC do skonfigurowania trybu właściciela urządzenia. W NFC, czyli tag NFC, tworzysz aplikację programistyczną NFC, zawiera początkowe zasady i konfigurację Wi-Fi, a także ustawienia szczegóły obsługi administracyjnej wymagane przez klienta do skonfigurowania właściciela urządzenia i trybu działania. Gdy Ty lub klient zainstalujecie aplikację NFC dla programistów a urządzenia z Androidem stają się narzędziem do programowania.

Aby można było włączyć obsługę administracyjną urządzenia, administrator IT musi wyjąć z pudełka nowe urządzenie. i uderza go w czytnik lub tag NFC. Przeszkody z konfiguracją urządzenia, tak aby łączyło się ono z internetem i pobierało odpowiednie zasady i ustawienia. Urządzenie jest wtedy zarządzane przez DPC.

Po zarejestrowaniu urządzenia przez krótki czas Google Play wyświetla się jako niezarządzane z materiałów dla użytkowników indywidualnych, a nie z zatwierdzonych aplikacji i kolekcji, wyświetlacz. Opóźnienie może wynosić od kilku minut do godziny.

Tworzenie aplikacji do programowania NFC i urządzenia do programowania

Na urządzeniach z Androidem 10 lub starszym Android Beam pozwala skonfigurować komunikację NFC:

  1. Pobierz przykładową aplikację NFC. Możesz użyć przykładu w niezmienionej formie lub zmodyfikować go domyślnych wartościach.
  2. Zainstaluj aplikację programisty na wybranym urządzeniu.
  3. Uruchom aplikację do programowania NFC i wybierz Load Defaults (Załaduj domyślne) za com.example.android.apis. (Ten tekst może się różnić w zależności od domyślnej opcji określone przez Ciebie parametry).

Udostępnianie urządzenia klienta

  1. Zetknij urządzenie programistyczne lub tag NFC z nowym lub urządzeniem, które do ustawień fabrycznych.
  2. Sprawdź, czy na urządzeniu wyświetla się początkowy ekran powitalny, który jest wyświetlanych po uruchomieniu. Tekst jest podany w komórce Ready to send:{...} w aplikacji dla programistów.
  3. Poczekaj, aż DPC:
    1. Szyfruje urządzenie.
    2. W przypadku urządzenia Code-Division Multiple Access (CDMA) aktywuje telefonu, gdy widoczny jest interfejs telefoniczny (bez konieczności interakcji).
    3. Konfiguruje połączenie Wi-Fi.
    4. Pobiera plik APK pakietu com.example.android.apis.
    5. Instaluje plik com.example.android.apis.
    6. Konfiguruje administratora przykładowego urządzenia w pliku com.example.android.apis jako właściciela urządzenia.
    7. Wyświetla sukces. po aktywacji właściciela urządzenia.
  4. Po powrocie do strony głównej (kreator konfiguracji jest pomijany automatycznie), Sprawdź, czy właścicielem urządzenia jest com.example.android.apis:
    1. W sekcji Ustawienia > Bezpieczeństwo > Administratorzy urządzenia powinni upewnić się, Nie można usunąć administratora.
    2. W sekcji Ustawienia > Użytkownicy > Użytkownicy i profile > Ty (właściciel), sprawdź, Właściciel jest jedynym dostępnym kontem (na urządzeniu może być aktywne tylko jedno konto) właściciela urządzenia).

Dodatkowe materiały

Zaawansowane NFC opisuje tematy takie jak praca z różnymi technologiami tagów, pisanie przy użyciu NFC. i wysyłanie na pierwszym planie.

Metoda ręcznej instalacji DPC

Aby skonfigurować tryb właściciela profilu za pomocą metody ręcznej instalacji DPC: użytkownik pobiera Twój DPC z Google Play i instaluje go. Następnie DPC przeprowadzi użytkownika przez pozostałą część procesu konfigurowania właściciela profilu. na zarządzanym koncie Google.

DPC może dodać zarządzane konto Google przed utworzeniem lub później do profilu służbowego. DPC może na przykład utworzyć profil służbowy na podstawie dane logowania użytkownika do usług EMM zamiast pytania o zarządzane konto Google. .

Konfigurowanie trybu właściciela profilu

Najpierw dodaj zarządzane konto Google

  1. Użytkownik pobiera Twój DPC z Google Play i instaluje go.
  2. DPC dodaje zarządzane konto Google przed utworzeniem profilu służbowego. przy użyciu AccountManager.addAccount().
  3. DPC uruchamia się w profilu osobistym i rozpoczyna proces utwórz profil służbowy, używając:
  4. DPC w profilu służbowym kończy proces obsługi administracyjnej. Gdy praca profil służbowy działa też wewnątrz profilu służbowego. DPC w profil służbowy kończy proces obsługi administracyjnej przez przekazanie zasad zarządzane konto Google, dzięki czemu urządzenie nie jest przejęte. oraz sprawdzanie, czy zasady są egzekwowane (np. wymaganie hasło).
  5. Po udostępnieniu profilu służbowego DPC odbiera komunikat ACTION_PROFILE_PROVISIONING_COMPLETE
  6. DPC w profilu osobistym wyłącza się samodzielnie lub użytkownik usuwa je.

Najpierw utwórz profil służbowy

  1. Użytkownik pobiera Twój DPC z Google Play i instaluje go.
  2. DPC uruchamia się w profilu osobistym i rozpoczyna proces utwórz profil służbowy, używając:
  3. DPC dodaje zarządzane konto Google za pomocą AccountManager.addAccount()
  4. DPC odbiera komunikat ACTION_PROFILE_PROVISIONING_COMPLETE i czyta EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
  5. DPC w profilu służbowym kończy proces obsługi administracyjnej. Po utworzeniu profilu służbowego DPC również działa w środowisku pracy. profil. DPC w profilu służbowym kończy proces obsługi administracyjnej przez rozpowszechniania zasad dla zarządzanego konta Google, dzięki czemu urządzenie nie jest w stanie zhakowania i sprawdza, czy zasady są egzekwowane (na przykład jako wymóg podania hasła).
  6. DPC włącza profil służbowy za pomocą DevicePolicyManager.setProfileEnabled()
  7. DPC w profilu osobistym wyłącza się samodzielnie lub użytkownik usuwa je.

  1. Metoda z konta Google w Androidzie 5.1 obsługuje tylko tryb działania właściciela profilu, a użytkownik może go skonfigurować tylko w sekcji Ustawienia > Dodaj konto.