Ada beberapa cara untuk menyediakan perangkat. Pelanggan Anda bisnis menentukan metode penyediaan mana yang akan Anda gunakan.
Dasar-dasar penyediaan perangkat
Skenario deployment penyediaan perangkat yang diinginkan pelanggan (seperti BYOD atau milik perusahaan) menentukan mode operasi yang akan Anda digunakan (seperti mode pemilik perangkat atau mode pemilik profil). Demikian pula, moda operasi dan rilis Android yang dibutuhkan untuk menentukan penyediaan mana yang yang akan Anda implementasikan.
Skenario deployment
Dalam skenario deployment milik perusahaan, perusahaan memiliki dan mengontrol sepenuhnya perangkat yang digunakan karyawannya. Biasanya, organisasi menerapkan perangkat milik perusahaan ketika mereka perlu memantau dan mengelola dengan ketat perangkat seluler.
Perusahaan yang mendukung skenario penerapan BYOD memungkinkan mereka karyawan untuk membawa perangkat milik pribadi ke tempat kerja, dan menggunakan perangkat tersebut untuk mengakses informasi dan aplikasi perusahaan dengan hak istimewa.
Mode operasi
Deployment milik perusahaan didukung oleh mode pemilik perangkat operasional bisnis. Di Android, aplikasi pengelolaan disebut kebijakan perangkat pengontrol (DPC). DPC memberlakukan kebijakan pada perangkat Android dan ketika bertindak sebagai pemilik perangkat, ia mengelola seluruh perangkat. Sebagai pemilik perangkat, DPC dapat melakukan tindakan di seluruh perangkat, seperti mengonfigurasi seluruh perangkat konektivitas, mengkonfigurasi pengaturan global, dan melakukan {i>factory reset<i}.
Penerapan BYOD didukung oleh mode pemilik profil operasi. Melalui DPC, perusahaan memungkinkan perangkat pribadi untuk digunakan dalam pekerjaan dengan menambahkan profil kerja ke akun pengguna utama di perangkat. Pekerjaan profil dikaitkan dengan pengguna utama, tetapi sebagai profil terpisah. Sebagai pemilik profil, DPC hanya mengelola profil kerja di perangkat dan memiliki kontrol terbatas di luar profil kerja.
Metode penyediaan pemilik perangkat
Anda harus menyediakan mode operasi pemilik perangkat selama penyiapan awal perangkat baru atau setelah {i>factory reset<i}. Mode pemilik perangkat tidak dapat disediakan di perangkat kapan saja.
Tergantung pada kasus penggunaan, ada 2 jenis utama metode penyediaan untuk untuk mode pemilik perangkat penyediaan.
- Dalam alur berbasis perangkat, admin IT dapat menggunakan NFC untuk menyediakan jumlah perangkat. Alur ini dapat digunakan untuk Akun Google Play terkelola atau Google Workspace yang signifikan.
- Dalam alur berbasis pengguna, opsinya bergantung pada apakah organisasi tersebut
menggunakan Google Workspace.
- Dalam skenario Google Workspace, pengguna menambahkan Akun Google miliknya selama penyiapan awal perangkat, dan DPC harus memandu pengguna melalui langkah-langkah untuk menyiapkan pemilik perangkat. Alur yang digerakkan oleh pengguna dapat membantu pengguna akhir mengatur perangkat baru dan juga merupakan sebuah alternatif ketika perangkat tidak mendukung NFC.
- Jika suatu organisasi tidak menggunakan Google Workspace, Anda harus menggunakan Akun Google Play terkelola.
Catatan: Jika Anda membatasi distribusi aplikasi ke negara tertentu di Putar, batasan tersebut akan diabaikan selama penyediaan pemilik perangkat. DPC akan didownload meskipun perangkat tidak berada di negara target.
Metode penyediaan pemilik profil
Metode yang direkomendasikan untuk menyediakan mode operasi pemilik profil bergantung pada untuk mengetahui apakah organisasi menggunakan Google Workspace atau tidak.
- Dalam kasus Google Workspace, metode yang direkomendasikan adalah alur berbasis pengguna di mana pengguna menambahkan Akun Google pengguna, dan DPC memandu pengguna melalui langkah-langkah untuk menyiapkan pemilik profil.
- Jika organisasi tidak menggunakan Google Workspace, metode yang direkomendasikan adalah metode Akun Google Play terkelola.
Metode tradisional, di mana pengguna diinstruksikan untuk menginstal DPC secara manual, juga didukung. Bergantung pada pengguna untuk mendownload DPC dari Google Play dan menginstalnya, dan kemudian DPC memandu pengguna seluruh proses untuk menyiapkan pemilik profil.
Perbedaan penyediaan utama di berbagai versi Android
Skenario deployment | Mode operasi | Metode penyediaan | 5.0, 5.1 | 6.0 | 7,0 | 8.0 | 11 | 12+ |
---|---|---|---|---|---|---|---|---|
Milik perusahaan | Pemilik Perangkat | Kode QR | ✓ | ✓ | ✓ | ✓ | ||
Akun Google Play Terkelola | ✓ | ✓ | ✓ | ✓ | ✓ | |||
Akun Google | ✓ | ✓ | ✓ | ✓ | ✓ | |||
NFC | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
Zero Touch | ✓ | ✓ | ✓ | |||||
Milik perusahaan | Pemilik Profil | Kode QR | ✓ | ✓ | ||||
Akun Google Play Terkelola | ✓ | ✓ | ||||||
Akun Google | ✓ | ✓ | ||||||
NFC | ✓ | |||||||
Zero Touch | ✓ | ✓ | ||||||
BYOD | Pemilik Profil | Akun Google Play Terkelola | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Akun Google | 5.11 | ✓ | ✓ | ✓ | ✓ | ✓ | ||
Penginstalan DPC manual | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
Zero Touch | ✓ | ✓ | ✓ |
Pertimbangan penerapan umum
Berikut adalah beberapa hal yang perlu dipertimbangkan saat Anda tulis DPC, terlepas dari mode operasi apa yang Anda implementasikan.
Kompatibilitas layanan Google Play
Tujuan Panduan APK layanan Google Play meminta developer untuk melakukan pemeriksaan versi layanan Google Play sebelum melakukan transaksi API. Karena berupaya mengupdate layanan Google Play menyebabkan gangguan serius dalam proses penyiapan perangkat, DPC tidak boleh mencoba mengupdate layanan Google Play sebelum penyediaan perangkat selesai.
Poin utama tentang kompatibilitas DPC dengan layanan Google Play adalah:
- DPC harus berjalan menggunakan layanan Google Play yang dikirimkan dengan perangkat tertentu.
- DPC tidak boleh mengandalkan fitur baru di Google Play versi mendatang layanan yang tersedia pada saat penyediaan perangkat.
Setelah penyediaan perangkat selesai, DPC dapat meminta pengguna untuk melakukan update Layanan Google Play agar DPC dapat menggunakan fitur terbaru. Namun, jika tidak tersedia karena alasan tertentu, DPC harus kembali dengan anggun ke versi yang dikirimkan bersama perangkat.
Mengambil detail perangkat
Karena penundaan penerapan, mungkin perlu waktu hingga 2 menit sebelum panggilan ke devices.get untuk perangkat yang baru didaftarkan akan menampilkan detail perangkat.
Jika alur kerja Anda memerlukan detail sebelum pengguna akhir dapat menggunakan perangkat atau profil kerja, sebaiknya gunakan layar kemajuan di DPC dan tunggu hingga panggilan berhasil.
Pertimbangan penerapan untuk mode pemilik profil
Berikut adalah beberapa hal yang perlu dipertimbangkan saat Anda tulis DPC untuk menerapkan pemilik profil mode operasi.
Menghapus atau menonaktifkan DPC pribadi
Saat menyediakan mode operasi pemilik profil, DPC mulai berjalan di profil pribadi dan memulai proses pembuatan profil kerja. Setelah profil kerja dibuat, DPC juga berjalan di dalam pekerjaan untuk profil. DPC di profil kerja menyelesaikan proses penyediaan. Di saat itu, DPC di profil pribadi harus menonaktifkan dirinya sendiri atau perangkatnya pengguna harus menghapusnya.
Pengguna menghapus DPC pribadi
- DPC pribadi mendengarkan
ACTION_MANAGED_PROFILE_PROVISIONED
(Untuk perangkat Android 5.1, DPC pribadi harus memprosesACTION_MANAGED_PROFILE_ADDED
). - DPC pribadi memulai permintaan uninstal
ACTION_UNINSTALL_PACKAGE
Tindakan ini akan meminta pengguna untuk meng-uninstal DPC pribadi. Untuk pengguna terbaik pengguna, proses uninstal harus terjadi selama alur penyediaan.
DPC pribadi menonaktifkan dirinya sendiri
- DPC pribadi mendengarkan
ACTION_MANAGED_PROFILE_PROVISIONED
(Untuk perangkat Android 5.1, DPC pribadi harus memprosesACTION_MANAGED_PROFILE_ADDED
). - Jika berlaku, DPC pribadi harus merilis hak istimewa admin perangkat sebelum menonaktifkan dirinya sendiri.
- DPC pribadi memulai
setApplicationEnabledSetting
menonaktifkan permintaan denganCOMPONENT_ENABLED_STATE_DISABLED
. - Pengguna dapat mengaktifkan kembali DPC pribadi dari Google Play.
Pertimbangan penerapan untuk mode pemilik perangkat
Berikut beberapa hal yang perlu dipertimbangkan saat menulis DPC untuk menerapkan mode operasi pemilik perangkat.
Perangkat harus baru atau direset ke setelan pabrik
Anda harus menyediakan mode operasi pemilik perangkat selama penyiapan awal perangkat baru atau setelah {i>factory reset<i}. Mode pemilik perangkat tidak boleh yang disediakan di perangkat pada waktu lain.
Mode pemilik perangkat memberi DPC kontrol penuh atas suatu perangkat. Jika penyediaan mode pemilik perangkat setelah penyiapan awal diizinkan:
- Malware berpotensi membuat pemilik perangkat dan mengambil alih perangkat tersebut.
- Masalah privasi dapat terjadi jika sudah ada beberapa data atau aplikasi pengguna di perangkat.
Menyiapkan mode pemilik perangkat hanya di perangkat milik perusahaan
Sebaiknya sediakan mode pemilik perangkat hanya di perangkat yang Anda identifikasi dimiliki oleh perusahaan pelanggan Anda. Anda dapat memverifikasinya dengan mendeteksi sebuah ID perangkat unik (seperti nomor seri), atau dengan menggunakan ID kumpulan akun yang diberi otorisasi untuk pendaftaran perangkat melalui EMM lebih lanjut.
Jika tidak dapat memverifikasi kepemilikan perusahaan atas perangkat, Anda harus membuat alat pengaman sehingga mode pemilik perangkat tidak disediakan secara tidak sengaja. Misalnya, Anda dapat meminta pengguna perangkat untuk mengonfirmasi atau mengambil tindakan afirmatif sebelum menyediakan mode pemilik perangkat.
Aktifkan aplikasi sistem
Saat DPC menyediakan profil kerja, semua aplikasi sistem yang tidak memiliki ikon peluncur diasumsikan penting untuk perangkat dan otomatis diizinkan berjalan di profil kerja. Aplikasi sistem yang memiliki ikon peluncur dianggap opsional, dan Anda dapat memutuskan apakah akan mengaktifkannya.
Mengaktifkan aplikasi sistem melalui Google Play
Pengguna dapat mengaktifkan aplikasi sistem menggunakan Google Play untuk mendapatkan update aplikasi langsung update aplikasi saat tersedia.
Mengaktifkan aplikasi sistem menggunakan API framework Android
Jika Anda ingin pengguna melihat aplikasi
sistem segera setelah mereka mulai menggunakan perangkat mereka,
mengaktifkan aplikasi sistem sebagai bagian
dari proses penyediaan perangkat. DPC memungkinkan
aplikasi sistem berdasarkan nama paket atau dengan penggunaan intent
DevicePolicyManager.enableSystemApp()
Ada beberapa cara untuk mengidentifikasi aplikasi sistem yang ingin Anda aktifkan dan presentasikan di konsol EMM kepada admin IT.
Membuat katalog aplikasi sistem
Dalam metode ini, setiap perangkat menentukan aplikasi mana yang ada di perangkat dan mengirim data ini kembali ke konsol EMM. Konsol EMM akan menampilkan ini secara dinamis data saat membuat kebijakan perangkat, yang memungkinkan admin IT mengelola aplikasi per aplikasi.
Jika profil kerja belum disediakan di perangkat, tarik daftar semua aplikasi dengan ikon peluncur di perangkat yang menggunakan
queryIntentActivities()
:private List<ResolveInfo> getAppsWithLauncher() { Intent i = new Intent(Intent.ACTION_MAIN); i.addCategory(Intent.CATEGORY_LAUNCHER); return getPackageManager().queryIntentActivities(i, 0); }
Jika profil kerja sudah disediakan di perangkat, tarik daftar semua aplikasi di profil kerja yang menggunakan
PackageManager.GET_DISABLED_COMPONENTS
danPackageManager.GET_UNINSTALLED_PACKAGES
Temukan aplikasi sistem dalam daftar aplikasi dengan memeriksanya
FLAG_SYSTEM
, yang menunjukkan apakah aplikasi diinstal di image sistem perangkat.
Kelebihan:
- Memberikan gambaran lengkap tentang aplikasi di semua perangkat kepada admin IT.
- Memberikan kontrol terperinci terkait aplikasi mana yang diaktifkan.
Kekurangan:
- Karena setiap perangkat memiliki katalog aplikasi yang berbeda, sulit untuk menerapkan model konfigurasi kebijakan tunggal ke beberapa jenis perangkat.
- Mungkin sulit untuk menyajikan volume aplikasi khusus OEM dalam berguna bagi admin IT.
Mengategorikan aplikasi sistem berdasarkan fungsi
Ketika admin IT ingin mengaktifkan aplikasi sistem untuk sekelompok perangkat, mereka memilih aplikasi generik berdasarkan fungsionalitasnya; misalnya, "Sistem {i>Browser<i}." DPC kemudian mengizinkan semua aplikasi sistem untuk intent itu.
Kelebihan:
- Pemberdayaan berbasis fungsi yang sederhana untuk admin IT.
- Memastikan fungsionalitas konsisten di berbagai perangkat (setidaknya untuk kasus penggunaan umum).
Kekurangan:
- Membatasi aplikasi sistem ke aplikasi yang didukung di semua jenis perangkat.
- Admin IT mungkin ingin mengirim satu versi OEM aplikasi (seperti Browser Samsung®), tetapi bukan yang lain (seperti browser LG®).
- Admin IT mungkin tidak ingin menerapkan beberapa aplikasi, tetapi mereka tidak dapat mencegah jika ada beberapa pengendali intent.
Hanya mendukung aplikasi sistem yang disetujui
Anda bekerja sama dengan OEM untuk mengidentifikasi paket OEM tertentu dan hanya mendukung paket tersebut paket data dalam konsol EMM. Hal ini juga memungkinkan Anda membuat katalog untuk aplikasi OEM, yang sebelumnya tidak akan Anda ketahui Aplikasi OEM tidak dihosting di Google Play.
Kelebihan:
- Menyederhanakan alur kerja integrasi secara jauh dan menghilangkan kasus ekstrem yang bermasalah dalam dua opsi pertama.
- Anda dapat membuat katalog konfigurasi terkelola untuk aplikasi OEM dan menyajikannya di konsol EMM untuk admin IT.
- Mempererat hubungan erat dengan OEM untuk mendukung perangkat unggulan.
Kekurangan:
- Akibatnya, kurang skalabel dan mengurangi pilihan konsumen.
Menguji skenario untuk DPC
Pengujian DPC adalah open source yang disediakan Google untuk menguji kemampuan perusahaan di aplikasi DPC Anda. DPC pengujian tersedia dari github atau Google Play. Anda dapat menggunakan DPC Pengujian untuk:
- Menyimulasikan fitur di Android
- Menetapkan dan menerapkan kebijakan
- Menetapkan pembatasan aplikasi dan intent
- Menyiapkan profil kerja
- Menyiapkan perangkat Android yang terkelola sepenuhnya
Meskipun DPC Pengujian ditujukan terutama sebagai sarana untuk menguji perusahaan Anda Android, Anda juga dapat menggunakannya sebagai sumber kode contoh untuk Android baru.
Menyesuaikan penyediaan
Selama penyediaan perangkat, antarmuka pengguna sistem menampilkan warna default pada {i>status bar<i} dan logo {i>default<i} di bagian atas layar. Menetapkan warna kustom serta logo untuk memberikan transisi visual yang konsisten antara DPC dan antarmuka sistem, atau mengizinkan admin melakukannya menggunakan konsol EMM. Misalnya, admin dapat mengunggah logo perusahaan atau menyesuaikan tampilan layar yang notifikasi.
DPC menerapkan pilihan warna dan logo menggunakan
DevicePolicyManager.EXTRA_PROVISIONING_MAIN_COLOR
dan
DevicePolicyManager.EXTRA_PROVISIONING_LOGO_URI
tambahan.
Untuk menetapkan warna kustom, gunakan
EXTRA_PROVISIONING_MAIN_COLOR
untuk menetapkan bilangan bulat yang menunjukkan warna dominan yang akan ditampilkan selama perangkat
penyediaan resource. Masukkan ekstra (konstan) dalam sebuah intent dengan
ACTION_PROVISION_MANAGED_PROFILE
atau
ACTION_PROVISION_MANAGED_DEVICE
Untuk melihat bagaimana bilangan bulat direpresentasikan, lihat
Warna.
Untuk contoh, lihat
MAIN_COLOR
di aplikasi TestDPC.
Untuk menetapkan logo kustom, gunakan
EXTRA_PROVISIONING_LOGO_URI
untuk menyetel gambar yang ditampilkan di bagian atas layar selama perangkat
penyediaan resource. Masukkan ekstra (konstan) dalam sebuah intent dengan
ACTION_PROVISION_MANAGED_PROFILE
atau
ACTION_PROVISION_MANAGED_DEVICE
Pastikan gambar memiliki kepadatan piksel yang wajar untuk perangkat.
Untuk contoh, lihat
LOGO_URI
di aplikasi TestDPC.
Metode Kode QR
Metode penyediaan Kode QR menyiapkan dan mengonfigurasi mode pemilik perangkat dengan memindai Kode QR dari wizard penyiapan. Kode QR berisi muatan pasangan nilai kunci dengan semua informasi yang diperlukan DPC untuk menyediakan perangkat.
Konsol EMM Anda harus menyediakan cara bagi admin IT untuk membuat kode QR untuk perangkat yang ingin mereka sediakan. Admin IT mengirimkan kode QR kepada pengguna akhir mereka, dan pengguna akhir menyediakan perangkat mereka dengan memindai Kode QR.
Kasus penggunaan untuk penyediaan Kode QR
Beberapa perangkat, seperti tablet, tidak mendukung NFC. Penyediaan Kode QR adalah cara mudah untuk menyediakan perangkat terdistribusi yang tidak mendukung NFC. Admin IT dapat mengirimkan kode QR kepada pengguna untuk mengizinkan akses berbasis pengguna penyediaan resource.
Penyediaan Kode QR tidak memerlukan identitas Google, seperti domain Google atau Akun Google. Organisasi yang menggunakan Android, tetapi tidak menggunakan Google Workspace, tidak memiliki identitas Google.
Seperti NFC, penyediaan Kode QR memungkinkan deployment kios dan sekali pakai Identitas Google (atau identitas apa pun) tidak dibutuhkan atau diinginkan. Sebagai contoh, perangkat kios di toko bukan milik siapa pun dan seharusnya tidak memiliki pengguna akhir identitas Anda.
Buat Kode QR
Kode QR yang valid untuk penyediaan Kode QR adalah Objek JavaScript® yang dienkode UTF-8 String notasi (JSON). Anda dapat menyertakan properti ini dalam Kode QR yang valid:
Selalu wajib diisi
Wajib diisi jika DPC belum diinstal di perangkat
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
Direkomendasikan jika perangkat belum terhubung ke Wi-Fi
Opsional
EXTRA_PROVISIONING_LOCALE
EXTRA_PROVISIONING_TIME_ZONE
EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_COOKIE_HEADER
EXTRA_PROVISIONING_LOCAL_TIME
EXTRA_PROVISIONING_WIFI_HIDDEN
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE
EXTRA_PROVISIONING_WIFI_PROXY_HOST
EXTRA_PROVISIONING_WIFI_PROXY_PORT
EXTRA_PROVISIONING_WIFI_PROXY_BYPASS
EXTRA_PROVISIONING_WIFI_PAC_URL
EXTRA_PROVISIONING_SKIP_ENCRYPTION
Sampel ini membuat Kode QR yang valid:
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":
"com.emm.android/com.emm.android.DeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":
"gJD2YwtOiWJHkSMkkIfLRlj-quNqG1fb6v100QmzM9w=",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":
"https://path.to/dpc.apk",
"android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,
"android.app.extra.PROVISIONING_WIFI_SSID": "GuestNetwork",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
"dpc_company_name": "Acme Inc.",
"emm_server_url": "https://server.emm.biz:8787",
"another_custom_dpc_key": "dpc_custom_value"
}
}
Proses penyediaan Kode QR
- Wizard penyiapan meminta pengguna mengetuk layar Selamat Datang sebanyak 6 kali. Tujuan ketukan harus dilakukan di tempat yang sama pada layar.
- Wizard penyiapan meminta pengguna untuk tersambung ke Internet sehingga wizard dapat mengunduh pembaca Kode QR.
- Layanan Google Play mendownload modul yang berisi pengenalan Kode QR mesin telusur.
- Pengguna memindai Kode QR yang disediakan oleh admin IT mereka.
- Wizard penyiapan mendownload aplikasi DPC dan memulai pemilik perangkat
proses penyediaan menggunakan
ACTION_PROVISION_MANAGED_DEVICE
Metode Akun Google Play Terkelola
DPC dapat menggunakan metode penyediaan Akun Google Play terkelola untuk menyiapkan mode pemilik perangkat, atau mode pemilik profil. Metode penyediaan ini ditargetkan di organisasi yang tidak menggunakan Google Workspace.
Metode penyediaan Akun Google Play terkelola menggunakan Support Library DPC. Library klien ini memastikan kelancaran pengoperasian Google Play terkelola Akun. Alat ini juga menjaga kompatibilitas dengan update mendatang pada aplikasi yang Proses penyediaan Akun Google Play.
Prasyarat untuk menyediakan perangkat
- ID perusahaan dibuat dan didaftarkan dengan identitas EMM dan ESA diatur, seperti yang dijelaskan dalam Buat dan Daftarkan Perusahaan.
- Identitas perusahaan pengguna diketahui oleh konsol EMM Anda.
- Pengguna dapat login ke aplikasi DPC menggunakan kredensial yang diterima oleh EMM Anda konsol, biasanya berupa kredensial email perusahaan.
Siapkan mode pemilik profil
Anda dapat menyediakan mode operasi pemilik profil pada perangkat yang digunakan dalam skenario BYOD sebagai perangkat pribadi.
- Pengguna mendownload DPC secara manual dari Google Play dan meluncurkannya.
- DPC menyediakan profil kerja menggunakan
ACTION_PROVISION_MANAGED_PROFILE
- Selesaikan langkah penyiapan terakhir.
Menyiapkan mode pemilik perangkat
Anda harus menyediakan mode operasi pemilik perangkat selama penyiapan awal perangkat baru atau setelah {i>factory reset<i}. Mode pemilik perangkat tidak dapat disediakan di perangkat di lain waktu.
Selama penyiapan perangkat, pengguna memasukkan token khusus DPC khusus saat
diminta untuk menambahkan akun. Token memiliki format afw#DPC_IDENTIFIER
. Sebagai
EMM yang bernama ACME, afw#acme
akan menginstal DPC default dari EMM ACME.
Setiap EMM harus meminta ID DPC spesifik dari Google sebelum dapat menggunakannya
dalam proses penyediaan.
- Pengguna mengaktifkan perangkat baru atau perangkat yang direset ke setelan pabrik dan wizard penyiapan peluncuran.
- Saat diminta untuk menambahkan akun, pengguna harus memasukkan token khusus di
format
afw#DPC_IDENTIFIER
yang mengidentifikasi DPC untuk EMM Anda. - Dengan menggunakan ID DPC dalam token, wizard penyiapan menambahkan Akun Google ke perangkat. Akun sementara ini hanya digunakan untuk mengunduh DPC untuk EMM dari Google Play, dan dihapus di langkah penyiapan terakhir.
- DPC menyediakan perangkat menggunakan
ACTION_PROVISION_MANAGED_DEVICE
- Selesaikan langkah penyiapan terakhir.
Langkah penyiapan akhir untuk semua mode operasi
Lakukan langkah-langkah ini hanya setelah langkah awal penyiapan mode pemilik profil atau mode pemilik perangkat selesai.
DPC memastikan bahwa perangkat dapat mendukung Akun Google Play terkelola dengan menginisialisasi DPC Support Library:
AndroidForWorkAccountSupport androidForWorkAccountSupport = new AndroidForWorkAccountSupport(context, admin); androidForWorkAccountSupport.ensureWorkingEnvironment(callback);
Jika Anda menyiapkan mode pemilik perangkat di perangkat, langkah ini akan menghapus Akun Google sementara yang telah ditambahkan untuk mendownload DPC.
Pengguna login ke DPC menggunakan kredensial EMM. Berikut adalah biasanya berupa kredensial email perusahaan.
DPC meminta kredensial Akun Google Play terkelola untuk pengguna perusahaan yang diautentikasi dari konsol EMM.
Jika konsol EMM tidak memiliki
userId
Google Play untuk pengguna, konsol tersebut membuat pengguna baru dengan memanggilUsers.insert()
. Jika Anda menyediakan mode pemilik perangkat, tentukan akun perangkat (untuk deployment perangkat khusus) atau akun pengguna (untuk deployment milik perusahaan).Tetapkan Kebijakan perangkat dengan memanggil
Devices.update
Anda harus menyetel kebijakan sebelum menambahkan Akun Google Play terkelola ke perangkat, jika tidak, kebijakan tidak akan diterapkan untuk jangka waktu singkat setelah menambahkan akun ke perangkat.Konsol EMM meminta kredensial akun untuk
userId
dengan meneleponUsers.generateAuthenticationToken()
. Token autentikasi ini berumur pendek dan tidak dapat digunakan kembali. DPC harus menggunakan token untuk menambahkan akun secara terprogram (tidak ada gunanya tertentu).Google Play EMM API menampilkan token autentikasi ke konsol EMM.
Konsol EMM meneruskan token autentikasi ke DPC.
DPC menambahkan Akun Google Play terkelola ke perangkat menggunakan
androidForWorkAccountSupport.addAndroidForWorkAccount(token, accountAddedCallback);
Metode Akun Google
DPC dapat menggunakan metode penyediaan Akun Google untuk menyiapkan pemilik perangkat atau mode pemilik profil. Dengan metode penyediaan Akun Google, DPC memandu pengguna melalui langkah-langkah penyediaan setelah pengguna menambahkan Akun Google selama penyiapan awal perangkat.
Saat pengguna memasukkan kredensial Akun Google-nya:
- Server autentikasi Google mengautentikasi akun pengguna.
- Server otentikasi kemudian berkomunikasi dengan server perusahaan untuk melihat jika domain akun terdaftar sebagai domain Google Workspace atau Domain terkelola EMM.
- Jika demikian, sistem secara otomatis mendownload DPC yang terkait dengan domain dari Google Play dan menginstalnya.
Siapkan mode pemilik profil
Anda dapat menyediakan mode operasi pemilik profil selama penyiapan awal atau saat pengguna menambahkan akun menggunakan Setelan > Tambahkan akun.
- Autentikasi akun dimulai oleh pengguna dari wizard penyiapan atau dari Setelan > Tambahkan akun.
- GMSCore memulai penyediaan profil kerja menggunakan
ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE
. - DPC otomatis didownload ke perangkat dan diluncurkan menggunakan
ACTION_GET_PROVISIONING_MODE
untuk memverifikasi bahwa penyediaan profil kerja didukung oleh DPC.EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
— Informasi tambahan untuk profil kerja seperti alamat email. DPC juga akan menerima is_setup_wizard di sini sebagai bagian dari paket ini. Paket ini akan disertakan dalam pengendaliACTION_GET_PROVISIONING_MODE
danACTION_ADMIN_POLICY_COMPLIANCE
.EXTRA_PROVISIONING_ACCOUNT_TO_MIGRATE
— Nama akun yang diautentikasi yang akan dimigrasikan ke profil kerja baru.
- Platform melakukan penyediaan profil kerja.
- Saat profil kerja disediakan, DPC menerima siaran
ACTION_PROFILE_PROVISIONING_COMPLETE
ACTION_ADMIN_POLICY_COMPLIANCE
DPC pengendali diluncurkan di profil kerja. Setelah profil kerja dibuat, DPC juga berjalan di dalam profil kerja. DPC mendorong kebijakan untuk Akun Google terkelola tersebut, memastikan bahwa perangkat tidak dalam kondisi disusupi negara bagian, dan memverifikasi bahwa kebijakan tersebut ditegakkan (seperti mewajibkan sandi). - DPC di profil pribadi menonaktifkan dirinya sendiri atau pengguna menghapusnya.
Menyiapkan mode pemilik perangkat atau COPE
Anda harus menyediakan mode operasi pemilik perangkat selama penyiapan awal perangkat baru atau setelah {i>factory reset<i}. Mode pemilik perangkat tidak dapat ditambahkan ke perangkat Anda di lain waktu.
- Autentikasi akun dimulai oleh pengguna dari wizard penyiapan.
- GMSCore memulai penyediaan pemilik perangkat menggunakan
ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE
. 3.DPC otomatis didownload ke perangkat dan diluncurkan menggunakan pengendaliGET_PROVISIONING_MODE
untuk memilih mode penyediaan yang diinginkan.EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
— Informasi tambahan untuk profil kerja seperti lokalitas, Wi-Fi, alamat email. DPC juga akan menerima is_setup_wizard di sini sebagai bagian dari paket ini. Paket ini akan disertakan dalamACTION_GET_PROVISIONING_MODE
dan pengendaliACTION_ADMIN_POLICY_COMPLIANCE
.
- Platform akan menyediakan perangkat ke mode penyediaan yang diinginkan.
- Saat perangkat disediakan, DPC menerima siaran ini dan pengendali
ACTION_ADMIN_POLICY_COMPLIANCE
DPC diluncurkan: - DPC menggunakan nilai
Global.DEVICE_PROVISIONED
untuk memverifikasi bahwa perangkat masih baru atau direset ke setelan pabrik (tidak disediakan):- 0 — Tidak disediakan.
- 1 — Disediakan.
- DPC menyelesaikan proses penyediaan dengan mendorong kebijakan untuk perangkat terkelola, memastikan bahwa perangkat tidak dalam status disusupi, dan memverifikasi bahwa kebijakan tersebut diberlakukan (seperti mewajibkan {i>password<i}).
Pertimbangan penerapan untuk metode Akun Google
DPC harus mendeteksi alur autentikasi Akun Google dengan mencari tambahan spesifik dalam intent peluncuran yang digunakan (lihat
LaunchIntentUtil
):- Akun jenis
android.accounts.Account
— Menunjukkan bahwa akun ditambahkan dari wizard penyiapan atau dari Setelan > Tambahkan akun, yang memerlukan DPC yang diluncurkan untuk mengelola perangkat atau profil. is_setup_wizard
jenis Boolean — Jika benar, DPC diluncurkan di dari wizard penyiapan sebelum wizard penyiapan selesai, Setelan > Tambahkan akun atau alur lain.
Pemeriksaan apakah DPC diluncurkan sebagai bagian dari metode Akun Google adalah:
boolean isSynchronousAuthLaunch(Intent launchIntent) { return launchIntent.hasExtra("is_setup_wizard"); }
- Akun jenis
DPC tidak boleh memanggil
finish()
sebelum menyelesaikan pengaturan. Operator ini juga akan menampilkan kode hasil positif (sepertiRESULT_OK
) karena DPC diluncurkan denganstartActivityForResult()
dan menunggu hasilnya.DPC harus menunggu kode hasil dari proses penyediaan sebelum memanggil
finish()
jika alur penyiapan DPC mencapai titik pengiriman intentACTION_PROVISION_*
. GunakanstartActivityForResult()
danonActivityResult()
callback saat meluncurkan intentACTION_PROVISION_*
. (LihatLaunchActivity
danSetupSyncAuthManagement
sebagai contoh).Karena kemungkinan proses penyiapannya asinkron, DPC tidak dapat mengandalkan kode hasil
RESULT_OK
untuk menunjukkan bahwa penyediaan berhasil. Satu-satunya cara yang dijamin adalah dengan mengandalkanDeviceAdminReceiver
callback pada keberhasilan penyediaan.RESULT_CANCELED
menunjukkan bahwa pengguna mundur di bagian sinkron dari alur penyiapan, dan DPC harus bereaksi menjadi seperti ini.Dalam contoh ini, DPC meluncurkan penyediaan dan menunggu kode hasil dari suatu aktivitas:
Intent intent = new Intent(ACTION_PROVISION_MANAGED_PROFILE); startActivityForResult(intent, REQUEST_MANAGED_PROFILE); ... @Override public void onActivityResult(int req, int res, Intent i) { if (req == REQUEST_MANAGED_PROFILE) { if (res == Activity.RESULT_OK) { setResult(Activity.RESULT_OK); finish(); } else { Toast.makeText(this, “Provisioning failed”, Toast.LENGTH_SHORT).show(); } } }
DPC tidak boleh mencoba menyiapkan mode operasi pemilik perangkat jika perangkat sudah disediakan (lihat
ProvisioningStateUtil.isDeviceProvisioned()
). Dalam contoh ini, DPC memeriksa apakah perangkat telah disediakan:public static boolean isDeviceProvisioned(Context context) { ContentResolver cr = context.getContentResolver(); return Settings.Global.getInt(cr, DEVICE_PROVISIONED, 0) != 0; }
Opsional. DPC dapat menggunakan
EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
ketika meluncurkan penyediaan untuk meneruskan informasi status kembali keDeviceAdminReceiver
(yang dalam kasus pemilik profil berjalan di dalam profil kerja). TestDPC menggunakan tambahan ini untuk memasukkan rangkaian aktivitas yang berbeda dalam alur Akun Google setelah Penyediaan selesai. Untuk mengetahui detailnya, lihatDeviceAdminReceiver
public class DeviceAdminReceiver extends android.app.admin.DeviceAdminReceiver { @Override public void onProfileProvisioningComplete(Context context, Intent intent) { // Retrieve the admin extras bundle, which we can use to determine the original context for // Test DPC's launch. PersistableBundle extras = intent.getParcelableExtra( EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE); ...
Untuk menyiapkan profil kerja, DPC harus memigrasikan akun yang ditambahkan ke profil kerja baru. Untuk melakukannya, DPC harus meneruskan akun yang disediakan di maksud peluncuran untuk
ACTION_PROVISION_MANAGED_PROFILE
DPC harus menyediakan ajakan bertindak yang jelas kepada pengguna (seperti tombol Selesai) untuk keluar dari aplikasi pada akhir pengaturan sehingga pengguna tidak berpikir mereka telah mencapai jalan buntu.
DPC harus menggunakan tema wizard penyiapan atau pustaka tata letak sehingga pengguna lancar dan terintegrasi dengan baik.
Metode NFC
DPC dapat menggunakan metode penyediaan NFC untuk menyiapkan mode pemilik perangkat. Di kolom Metode penyediaan NFC, atau Tag NFC, Anda membuat aplikasi pemrogram NFC yang berisi kebijakan awal dan konfigurasi Wi-Fi, pengaturan, dan detail penyediaan yang diperlukan oleh pelanggan Anda untuk mengonfigurasi pemilik perangkat mode operasi. Saat Anda atau pelanggan menginstal aplikasi programmer NFC di perangkat berbasis Android, perangkat itu menjadi perangkat {i>programmer<i}.
Untuk menyediakan perangkat, admin IT mengeluarkan perangkat baru dan menempelkannya ke perangkat programmer atau Tag NFC. bump transfer ke perangkat agar terhubung ke Internet dan mengunduh kebijakan dan pengaturan yang sesuai. Perangkat kemudian dikelola oleh DPC.
Setelah perangkat disediakan, Google Play akan menampilkan item yang tidak dikelola dalam waktu singkat konten konsumen, bukan aplikasi dan koleksi yang disetujui yang seharusnya tampilan. Keterlambatan ini bisa berlangsung dari beberapa menit hingga satu jam.
Membuat aplikasi programmer NFC dan perangkat programmer
Untuk perangkat yang menggunakan Android 10 atau yang lebih lama, Android Beam dapat digunakan untuk menyelesaikan penyediaan NFC:
- Download aplikasi contoh programmer NFC. Anda dapat menggunakan contoh apa adanya tanpa penambahan atau Anda dapat memodifikasinya nilai default Anda.
- Instal aplikasi programmer di perangkat yang dipilih.
- Luncurkan aplikasi programmer NFC dan pilih Load Defaults
untuk
com.example.android.apis
. (Teks ini dapat bervariasi bergantung pada yang ditetapkan.)
Menyediakan perangkat pelanggan
- Tabrak perangkat programmer atau Tag NFC dengan perangkat baru atau perangkat yang telah reset ke setelan pabrik.
- Pastikan perangkat tetap berada di layar Welcome awal yang
yang ditampilkan saat dimulai. Teks ditentukan di
Ready to send:{...}
di aplikasi {i>programmer<i}. - Tunggu sementara DPC:
- Mengenkripsi perangkat.
- Jika adalah perangkat Code-Division Multiple Access (CDMA): Mengaktifkan ponsel saat antarmuka pengguna telepon ditampilkan (tidak perlu interaksi).
- Menyiapkan koneksi Wi-Fi.
- Mendownload file APK untuk com.example.android.apis.
- Menginstal com.example.android.apis.
- Menetapkan Sample Device Admin di com.example.android.apis sebagai pemilik perangkat.
- Menampilkan "toast" yang berhasil saat pemilik perangkat diaktifkan.
- Setelah kembali ke halaman beranda (wizard penyiapan dilewati secara otomatis),
periksa apakah com.example.android.apis ditetapkan sebagai pemilik perangkat:
- Di Setelan > Keamanan > Admin perangkat, pastikan bahwa Sample Device Admin tidak dapat dihapus.
- Di Setelan > Pengguna > Pengguna & profil > Anda (pemilik), pastikan bahwa Pemilik adalah satu-satunya akun yang tersedia (perangkat hanya dapat memiliki satu akun aktif pemilik perangkat pada satu waktu).
Referensi lainnya
NFC Lanjutan menjelaskan topik seperti menggunakan berbagai teknologi tag, menulis ke NFC tag, dan pengiriman latar depan.
Metode penginstalan DPC manual
Untuk menyiapkan mode pemilik profil menggunakan metode penyediaan DPC manual, pengguna mendownload DPC dari Google Play dan menginstalnya. Lalu, DPC memandu pengguna melalui proses selanjutnya untuk menyiapkan pemilik profil sebagai Akun Google terkelola.
DPC dapat menambahkan Akun Google terkelola sebelum atau setelah membuat profil kerja. Misalnya, DPC dapat membuat profil kerja berdasarkan kredensial EMM pengguna, bukan meminta Akun Google terkelola terlebih dahulu.
Siapkan mode pemilik profil
Tambahkan Akun Google terkelola terlebih dahulu
- Pengguna mendownload DPC dari Google Play dan menginstalnya.
- DPC menambahkan Akun Google terkelola sebelum membuat profil kerja
menggunakan
AccountManager.addAccount()
. - DPC mulai berjalan di profil pribadi dan memulai proses untuk
membuat profil kerja menggunakan:
ACTION_PROVISION_MANAGED_PROFILE
— Menyediakan profil kerja.EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
— Informasi tambahan untuk profil kerja seperti lokalitas, Wi-Fi, email alamat IPv6EXTRA_PROVISIONING_ACCOUNT_TO_MIGRATE
— Nama akun yang diautentikasi yang akan dimigrasikan ke tugas baru untuk profil.
- DPC di profil kerja menyelesaikan proses penyediaan. Setelah pekerjaan dibuat, DPC juga berjalan di dalam profil kerja. DPC di profil kerja menyelesaikan proses penyediaan dengan mendorong kebijakan untuk Akun Google terkelola tersebut, untuk memastikan bahwa perangkat tidak dalam kondisi disusupi negara bagian, dan memverifikasi bahwa kebijakan tersebut ditegakkan (seperti mewajibkan sandi).
- Saat profil kerja disediakan, DPC menerima siaran
ACTION_PROFILE_PROVISIONING_COMPLETE
- DPC di profil pribadi menonaktifkan dirinya sendiri atau pengguna menghapusnya.
Membuat profil kerja terlebih dahulu
- Pengguna mendownload DPC dari Google Play dan menginstalnya.
- DPC mulai berjalan di profil pribadi dan memulai proses untuk
membuat profil kerja menggunakan:
ACTION_PROVISION_MANAGED_PROFILE
— Menyediakan profil kerja.EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
— Informasi tambahan untuk profil kerja seperti lokalitas, Wi-Fi, email alamat IPv6
- DPC menambahkan Akun Google terkelola menggunakan
AccountManager.addAccount()
- DPC menerima siaran
ACTION_PROFILE_PROVISIONING_COMPLETE
dan membacaEXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
- DPC di profil kerja menyelesaikan proses penyediaan. Setelah profil kerja dibuat, DPC juga berjalan di dalam pekerjaan untuk profil. DPC di profil kerja menyelesaikan proses penyediaan dengan memberlakukan kebijakan untuk Akun Google terkelola tersebut, sehingga memastikan bahwa tidak dalam status disusupi, dan memverifikasi bahwa kebijakan telah dipatuhi (misalnya memerlukan sandi).
- DPC memungkinkan profil kerja menggunakan
DevicePolicyManager.setProfileEnabled()
- DPC di profil pribadi menonaktifkan dirinya sendiri atau pengguna menghapusnya.
-
Metode Akun Google di Android 5.1 hanya mendukung mode operasi pemilik profil, dan pengguna hanya dapat mengonfigurasinya dari Setelan > Tambahkan akun. ↩