Aprovisionar dispositivos

Hay varias formas de aprovisionar dispositivos. La información de tus clientes negocio determinan qué métodos de aprovisionamiento usará.

Aspectos básicos del aprovisionamiento de dispositivos

Las situaciones de implementación de aprovisionamiento de dispositivos que tus clientes quieren (como BYOD o de la empresa) determina los modos de operación que (como el modo de propietario del dispositivo o el modo de propietario del perfil). De manera similar, los modos de de actualización y las versiones de Android que necesites para determinar qué aprovisionamiento métodos que implementarás.

Situaciones de implementación

En una situación de implementación propiedad de la empresa, la empresa es propietaria y controla completamente los dispositivos que usan sus empleados. Por lo general, las organizaciones implementan de la empresa cuando necesitan supervisar y administrar estrictamente dispositivo.

Las empresas que admiten una situación de implementación BYOD permiten que sus que los empleados lleven dispositivos personales al trabajo y los usen para acceder a información privilegiada y aplicaciones de la empresa.

Modos de operación

Las implementaciones empresariales son compatibles con el modo de propietario del dispositivo de la operación. En Android, tu app de administración se denomina política de dispositivo de un control remoto (DPC). El DPC aplica políticas en un dispositivo con Android y Cuando actúa como propietario del dispositivo, administra todo el dispositivo. Como propietario del dispositivo, el DPC puede realizar acciones en todo el dispositivo, como configurar el dispositivo conectividad, ajustar la configuración global y restablecer la configuración de fábrica.

Las implementaciones BYOD son compatibles con el modo propietario del perfil de una sola operación. A través del DPC, la empresa habilita dispositivos personales para uso laboral Para ello, agrega un perfil de trabajo a la cuenta de usuario principal del dispositivo. El trabajo está asociado con el usuario principal, pero como un perfil independiente. Como propietario del perfil, el DPC administra únicamente el perfil de trabajo en el dispositivo y tiene control limitado fuera del perfil de trabajo.

Métodos de aprovisionamiento del propietario del dispositivo

Durante la configuración inicial, debes aprovisionar el modo de operación del propietario del dispositivo de un dispositivo nuevo o después de restablecer la configuración de fábrica. No se puede aprovisionar el modo de propietario del dispositivo en un dispositivo en cualquier otro momento.

Según el caso de uso, existen 2 tipos principales de métodos de aprovisionamiento para aprovisionar el modo de propietario del dispositivo.

  • En un flujo controlado por dispositivos, los administradores de TI pueden usar NFC para aprovisionar cantidad de dispositivos. Este flujo se puede usar para una cuenta de Google Play administrada o Google Workspace reales.
  • En un flujo controlado por el usuario, las opciones dependen de si la organización usa Google Workspace.
    • En una situación de Google Workspace, el usuario agrega su Cuenta de Google. durante la configuración inicial del dispositivo, y el DPC debe guiar al usuario a través de la pasos para configurar el propietario del dispositivo. Un flujo controlado por el usuario puede ayudar a los usuarios finales a dispositivos nuevos y también es una alternativa cuando los dispositivos no son compatibles con NFC.
    • Cuando una organización no use Google Workspace, deberías usar Cuentas de Google Play administradas.

Nota: Si limitas la distribución de la app a países específicos de Jugar, estas restricciones se ignoran durante el aprovisionamiento del propietario del dispositivo. El DPC se descargará incluso si el dispositivo no está en un país de destino.

Métodos de aprovisionamiento del propietario del perfil

El método recomendado para aprovisionar el modo de operación del propietario del perfil depende sobre si la organización usa Google Workspace.

  • En el caso de Google Workspace, el método recomendado es un flujo controlado por el usuario, en el que el usuario agrega su Cuenta de Google y el DPC guía al usuario a través de los pasos para configurar el propietario del perfil.
  • Cuando una organización no usa Google Workspace, el método recomendado es el método de las Cuentas de Google Play administradas

El método tradicional, en el que se le indica al usuario instalar el DPC manualmente. Depende del usuario para descargar tu DPC de Google Play e instalarlo, y, luego, el DPC guía al usuario por el resto del proceso para configurar la propietario del perfil.

Diferencias clave de aprovisionamiento entre las versiones de Android

Situación de implementación Modo de operación Método de aprovisionamiento 5.0 y 5.1 6.0 7.0 8.0 11 12+
Perteneciente a la empresa Propietario del dispositivo Código QR
Cuentas de Google Play administrado
Cuenta de Google
NFC
Inscripción automática
Perteneciente a la empresa Propietario del perfil Código QR
Cuentas de Google Play administrado
Cuenta de Google
NFC
Inscripción automática
BYOD Propietario del perfil Cuentas de Google Play administrado
Cuenta de Google 5.11
Instalación manual del DPC
Inscripción automática

Consideraciones generales sobre la implementación

Estos son algunos aspectos que debes considerar escribir tu DPC sin importar el modo de operación que implementes.

Compatibilidad con los Servicios de Google Play

El Guía de APK de los Servicios de Google Play les indica a los desarrolladores que verifiquen la versión de los Servicios de Google Play antes realizar transacciones de API. Porque intentar actualizar los Servicios de Google Play causa interrupciones graves en el proceso de configuración del dispositivo, tu DPC no debe intenta actualizar los Servicios de Google Play antes de que se complete el aprovisionamiento del dispositivo.

Los puntos clave sobre la compatibilidad del DPC con los Servicios de Google Play son los siguientes:

  • El DPC debe ejecutarse con los servicios de Google Play que se enviaron con un dispositivo específico.
  • El DPC no debe depender de las nuevas funciones de versiones futuras de Google Play disponibles en el momento del aprovisionamiento del dispositivo.

Cuando se completa el aprovisionamiento del dispositivo, el DPC puede pedirle al usuario que actualice Servicios de Google Play para que el DPC pueda usar las funciones más recientes Sin embargo, si un no está disponible por algún motivo, el DPC debe recurrir la versión que se envió con el dispositivo.

Cómo recuperar los detalles del dispositivo

Debido a demoras en la propagación, pueden pasar hasta 2 minutos antes de que se realice una llamada para devices.get para un dispositivo recién inscrito mostrará los detalles de este.

Si tu flujo de trabajo requiere los detalles antes de que el usuario final pueda usar el dispositivo o perfil de trabajo, te sugerimos usar una pantalla de progreso en tu DPC y esperar hasta la llamada se realice de forma correcta.

Consideraciones sobre la implementación del modo de propietario del perfil

Estos son algunos aspectos que debes considerar Escribe tu DPC para implementar el propietario del perfil. y el modo de operación.

Quita o inhabilita el DPC personal

Al aprovisionar el modo de operación del propietario del perfil, el DPC comienza a ejecutarse en el perfil personal e inicia el proceso para crear un perfil de trabajo. Una vez creado el perfil de trabajo, el DPC también se ejecuta dentro del perfil. El DPC del perfil de trabajo completa el proceso de aprovisionamiento. En en ese punto, el DPC del perfil personal debe inhabilitarse a sí mismo o al dispositivo el usuario debe quitarlo.

El usuario quita el DPC personal

  1. El DPC personal detecta ACTION_MANAGED_PROFILE_PROVISIONED (En el caso de los dispositivos con Android 5.1, el DPC personal debería detectar ACTION_MANAGED_PROFILE_ADDED)
  2. El DPC personal inicia una solicitud de desinstalación ACTION_UNINSTALL_PACKAGE Se le pedirá al usuario que desinstale el DPC personal. Para el mejor usuario experiencia, el proceso de desinstalación debe ocurrir durante el flujo de aprovisionamiento.

El DPC personal se inhabilita solo

  1. El DPC personal detecta ACTION_MANAGED_PROFILE_PROVISIONED (En el caso de los dispositivos con Android 5.1, el DPC personal debería detectar ACTION_MANAGED_PROFILE_ADDED)
  2. Si corresponde, el DPC personal debe liberar los privilegios de administrador del dispositivo. antes de inhabilitarse solo.
  3. El DPC personal inicia una setApplicationEnabledSetting inhabilitar la solicitud con el COMPONENT_ENABLED_STATE_DISABLED parámetro.
  4. El usuario puede volver a habilitar el DPC personal desde Google Play.

Consideraciones de implementación para el modo de propietario del dispositivo

Estos son algunos aspectos que debes tener en cuenta cuando escribes tu DPC. para implementar el modo de operación de propietario del dispositivo.

El dispositivo debe ser nuevo o debe restablecerse la configuración de fábrica

Durante la configuración inicial, debes aprovisionar el modo de operación del propietario del dispositivo de un dispositivo nuevo o después de restablecer la configuración de fábrica. El modo Propietario del dispositivo no puede aprovisionados en un dispositivo en cualquier otro momento.

El modo Propietario del dispositivo le otorga al DPC el control total de un dispositivo. Si se realiza el aprovisionamiento modo de propietario del dispositivo después de que se permitiera la configuración inicial:

  • El software malicioso podría crear un propietario de dispositivo y tomar el control del dispositivo.
  • Si ya había algunos datos del usuario o apps en la el dispositivo.

Cómo configurar el modo de propietario del dispositivo solo en los dispositivos de la empresa

Debes aprovisionar el modo de propietario del dispositivo solo en los dispositivos que identifiques como que pertenece a la empresa de su cliente. Para verificarlo, detecta un identificador único de dispositivo (como un número de serie) o mediante un identificador un conjunto de cuentas autorizadas para la inscripción de dispositivos a través de tu EMM política de la empresa.

Si no puedes verificar la propiedad de la empresa de un dispositivo, debes crear un sistema de seguridad para que el modo de propietario del dispositivo no se aprovisione por error. Por ejemplo: Puedes pedirle al usuario del dispositivo que confirme o realice una acción afirmativa. antes de aprovisionar el modo de propietario del dispositivo.

Habilitar apps del sistema

Cuando el DPC aprovisiona un perfil de trabajo, todas las apps del sistema que no tienen íconos de selector se supone que son críticas para el dispositivo y pueden ejecutarse en el perfil de trabajo. Las apps del sistema que tienen íconos de selector se consideran opcionales y puedes decidir si deseas habilitarlos.

Cómo habilitar apps del sistema a través de Google Play

Los usuarios pueden habilitar las apps del sistema desde Google Play para recibir actualizaciones, como actualizaciones de la app a medida que están disponibles.

Habilita apps del sistema usando las APIs del framework de Android

Si quieres que los usuarios vean las apps del sistema apenas comiencen a usar sus dispositivos, habilitar apps del sistema como parte del proceso de provisión de dispositivos; El DPC permite del sistema por nombre de paquete o por intent, DevicePolicyManager.enableSystemApp()

Existen varias maneras de identificar las apps del sistema que quieres habilitar y presentar en la consola de EMM a los administradores de TI.

Cómo crear catálogos de apps del sistema

En este método, cada dispositivo determina qué apps hay en el dispositivo y envía estos datos a la consola de EMM. La consola de EMM muestra esta información de forma dinámica datos cuando se crea la política de dispositivo, lo que permite que el administrador de TI administre apps por app.

  1. Si el perfil de trabajo aún no está aprovisionado en el dispositivo, extrae una lista de todas las aplicaciones con íconos de selector en un dispositivo con queryIntentActivities():

    private List<ResolveInfo> getAppsWithLauncher() {
      Intent i = new Intent(Intent.ACTION_MAIN);
      i.addCategory(Intent.CATEGORY_LAUNCHER);
      return getPackageManager().queryIntentActivities(i, 0);
    }
    
  2. Si el perfil de trabajo ya se aprovisionó en el dispositivo, extrae una lista de todas las apps del perfil de trabajo con PackageManager.GET_DISABLED_COMPONENTS y PackageManager.GET_UNINSTALLED_PACKAGES

  3. Busca las apps del sistema en la lista de apps FLAG_SYSTEM: que indica si una app está instalada en la imagen del sistema del dispositivo.

Ventajas:

  • Proporciona a los administradores de TI un panorama completo de las apps en todos los dispositivos.
  • Proporciona control detallado sobre las apps que están habilitadas.

Desventajas:

  • Debido a que cada dispositivo tiene un catálogo de apps diferente, es difícil aplicar un modelo. de una sola configuración de política a varios tipos de dispositivos.
  • Puede ser difícil presentar el volumen de apps específicas de OEM en un más significativa para los administradores de TI.

Categoriza las apps del sistema según su funcionalidad

Cuando un administrador de TI quiere habilitar una app del sistema para un grupo de dispositivos selecciona una aplicación genérica en función de su funcionalidad. por ejemplo, "Systems navegador". Luego, el DPC permitirá todas las apps del sistema para ese intent.

Ventajas:

  • Habilitación sencilla y basada en la funcionalidad para los administradores de TI.
  • Garantiza la coherencia de la funcionalidad en diversos dispositivos (al menos para casos de uso comunes).

Desventajas:

  • Limita las apps del sistema a aquellas que son compatibles con todos los tipos de dispositivos.
  • Es posible que los administradores de TI quieran enviar una versión OEM de una app (como una Samsung®), pero no otro (como un navegador LG®).
  • Es posible que los administradores de TI no quieran enviar varias apps, pero no pueden evitar cuando hay varios controladores de intents.

Cómo admitir solo apps del sistema aprobadas

Trabajas con el OEM para identificar paquetes específicos del OEM y solo admitir esos paquetes. en la consola de EMM. Esto también te permite catalogar configuraciones para la app del OEM, que no podrías conocer en caso contrario, porque la La app del OEM no está alojada en Google Play.

Ventajas:

  • Simplifica en gran medida el flujo de trabajo de integración y elimina los casos extremos que son problemáticas en las dos primeras opciones.
  • Puedes catalogar las configuraciones administradas para la app del OEM y presentarlas en la consola de EMM para los administradores de TI.
  • Permite relaciones cercanas con OEM para admitir dispositivos insignia.

Desventajas:

  • Es menos escalable y, como resultado, reduce las opciones de los consumidores.

Situaciones de prueba para tu DPC

El DPC de prueba es una opción de código abierto app proporcionada por Google para probar capacidades empresariales en tu app de DPC. El DPC de prueba está disponible en github o Google Play Puedes usar el DPC de prueba para lo siguiente:

  • Simula funciones en Android
  • Establece y aplica políticas
  • Cómo establecer restricciones de intents y apps
  • Configura perfiles de trabajo
  • Configura dispositivos Android completamente administrados

Si bien el DPC de prueba está diseñado principalmente como un vehículo para probar tu empresa para Android, también puedes usarla como fuente de código de muestra para Android atributos.

Personalizar el aprovisionamiento

Durante la provisión del dispositivo, la interfaz de usuario del sistema muestra un color predeterminado en la barra de estado y un logotipo predeterminado en la parte superior de la pantalla. Establecer colores personalizados y logotipos para ofrecer una transición visual coherente entre tu DPC y el del sistema o permitir que los administradores lo hagan mediante la consola de EMM. Por ejemplo: un administrador puede subir el logotipo de una empresa o personalizar el aspecto de las pantallas que muestran notificaciones.

Tu DPC aplica las opciones de color y logotipo mediante el DevicePolicyManager.EXTRA_PROVISIONING_MAIN_COLOR y DevicePolicyManager.EXTRA_PROVISIONING_LOGO_URI adicionales.

Para establecer un color personalizado, usa EXTRA_PROVISIONING_MAIN_COLOR para establecer un número entero que indique el color predominante que se mostrará durante el dispositivo de servicios. Coloca el valor adicional (constante) en un intent con ACTION_PROVISION_MANAGED_PROFILE o ACTION_PROVISION_MANAGED_DEVICE

Para ver cómo se representan los números enteros, consulta Color. Para ver un ejemplo, consulta MAIN_COLOR en la app TestDPC.

Para configurar un logotipo personalizado, usa EXTRA_PROVISIONING_LOGO_URI Para definir una imagen que se mostrará en la parte superior de la pantalla durante de servicios. Coloca el valor adicional (constante) en un intent con ACTION_PROVISION_MANAGED_PROFILE o ACTION_PROVISION_MANAGED_DEVICE Asegúrate de que la imagen tenga una densidad de píxeles razonable para el dispositivo.

Para ver un ejemplo, consulta LOGO_URI en la app TestDPC.

Método de código QR

El método de aprovisionamiento de código QR establece y configura el modo de propietario del dispositivo de la siguiente manera: escaneando un código QR desde el asistente de configuración. El código QR contiene una carga útil de pares clave-valor con toda la información necesaria para que el DPC aprovisione un dispositivo.

Tu consola de EMM debería permitir que los administradores de TI creen códigos QR para los dispositivos que quieren aprovisionar. El administrador de TI envía los códigos QR a sus usuarios finales y los usuarios finales aprovisionan sus dispositivos mediante el análisis del Códigos QR

Casos de uso para el aprovisionamiento de códigos QR

Algunos dispositivos, como las tablets, no son compatibles con NFC. El aprovisionamiento de códigos QR es una conveniente de aprovisionar una flota distribuida de dispositivos que no son compatibles NFC Un administrador de TI puede enviar códigos QR a sus usuarios para permitir el acceso de servicios.

El aprovisionamiento de códigos QR no requiere una identidad de Google, como un dominio de Google o una Cuenta de Google. Organizaciones que usan Android, pero no Google Workspace, no tienen una identidad de Google.

Al igual que NFC, el aprovisionamiento de códigos QR permite implementaciones de kiosco y de uso único en las que un La identidad de Google (o cualquier otra identidad) no es necesaria ni deseable. Por ejemplo, un dispositivo de kiosco de una tienda no pertenece a nadie y no debe tener un usuario final con tu identidad.

Crear un código QR

Un código QR válido para el aprovisionamiento de códigos QR debe ser un objeto de JavaScript® con codificación UTF-8 Notation (JSON). Puedes incluir estas propiedades en un código QR válido:

Siempre obligatoria

Obligatorio si aún no hay un DPC instalado en el dispositivo

Recomendado si el dispositivo aún no está conectado a Wi-Fi

Opcional

En esta muestra, se crea un código QR válido:

{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":
"com.emm.android/com.emm.android.DeviceAdminReceiver",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":
"gJD2YwtOiWJHkSMkkIfLRlj-quNqG1fb6v100QmzM9w=",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":
"https://path.to/dpc.apk",
    "android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,
    "android.app.extra.PROVISIONING_WIFI_SSID": "GuestNetwork",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
        "dpc_company_name": "Acme Inc.",
        "emm_server_url": "https://server.emm.biz:8787",
        "another_custom_dpc_key": "dpc_custom_value"
    }
}

Proceso de aprovisionamiento de códigos QR

  1. El asistente de configuración le solicita al usuario que presione 6 veces la pantalla de bienvenida. El presiones deben realizarse en el mismo lugar de la pantalla.
  2. El asistente de configuración le pide al usuario que se conecte a Internet para que el asistente puede descargar un lector de códigos QR.
  3. Servicios de Google Play descarga un módulo que contiene un reconocimiento de código QR de Compute Engine.
  4. El usuario escanea el código QR que le proporcionó su administrador de TI.
  5. El asistente de configuración descarga tu app de DPC e inicia el propietario del dispositivo de aprovisionamiento con ACTION_PROVISION_MANAGED_DEVICE

Método de cuentas de Google Play administrado

Un DPC puede usar el método de aprovisionamiento de cuentas administradas de Google Play para configurar el modo de propietario del dispositivo o el modo de propietario del perfil. Este método de aprovisionamiento está orientado en organizaciones que no usan Google Workspace.

El método de aprovisionamiento de las cuentas administradas de Google Play usa Biblioteca de compatibilidad de DPC. Esta biblioteca cliente garantiza el buen funcionamiento de Google Play administrado Cuentas. Además, mantiene la compatibilidad con las actualizaciones futuras de la versión Proceso de aprovisionamiento de las Cuentas de Google Play

Requisitos previos para aprovisionar dispositivos

  • El ID de la empresa se crea e inscribe con una identidad de EMM y la ESA. se configura, como se describe Crea e inscribe una empresa.
  • Tu consola de EMM conoce la identidad corporativa del usuario.
  • El usuario puede acceder a la app de DPC con las credenciales aceptadas por tu EMM de Google Workspace, generalmente, credenciales de correo electrónico corporativo.

Configura el modo de propietario del perfil

Puedes aprovisionar el modo de operación del propietario del perfil en un dispositivo que en una situación de BYOD como dispositivo personal.

  1. El usuario descarga manualmente tu DPC de Google Play y lo inicia.
  2. El DPC aprovisiona el perfil de trabajo usando ACTION_PROVISION_MANAGED_PROFILE
  3. Completa los últimos pasos de configuración.

Configurar el modo de propietario del dispositivo

Debes aprovisionar el modo de operación del propietario del dispositivo durante la configuración inicial de una dispositivo nuevo o después de restablecer la configuración de fábrica. No se puede aprovisionar el modo de propietario del dispositivo en un dispositivo en cualquier otro momento.

Durante la configuración del dispositivo, el usuario ingresa un token especial específico para el DPC cuando está que te solicite agregar una cuenta. Un token está en el formato afw#DPC_IDENTIFIER. Para Si es un EMM llamado ACME, afw#acme instalará el DPC predeterminado del EMM de la ACME. Cada EMM debe solicitar a Google un identificador de DPC específico antes de poder usar en el proceso de aprovisionamiento.

  1. El usuario enciende un dispositivo nuevo o en el que se haya restablecido la configuración de fábrica y el asistente de configuración. lanzamientos de aplicaciones.
  2. Cuando se le solicita agregar una cuenta, el usuario ingresa un token especial en el formato afw#DPC_IDENTIFIER que identifica el DPC de tu EMM.
  3. Mediante el identificador de DPC en el token, el asistente de configuración agrega una etiqueta Cuenta de Google en el dispositivo. Esta cuenta temporal solo se usa para descargar el DPC para tu EMM desde Google Play y se quita en los pasos finales de la configuración.
  4. El DPC aprovisiona el dispositivo usando ACTION_PROVISION_MANAGED_DEVICE
  5. Completa los últimos pasos de configuración.

Pasos finales de configuración para todos los modos de operación

Realiza estos pasos solo después de los pasos iniciales de configuración el modo de propietario del perfil o el modo de propietario del dispositivo se completaron.

  1. El DPC se asegura de que el dispositivo sea compatible con las cuentas de Google Play administradas. inicializando la biblioteca de compatibilidad de DPC:

    AndroidForWorkAccountSupport androidForWorkAccountSupport =
      new AndroidForWorkAccountSupport(context, admin);
    androidForWorkAccountSupport.ensureWorkingEnvironment(callback);
    

    Si configuras el modo de propietario del dispositivo, este paso quitará la Cuenta de Google temporal que se agregó para descargar el DPC.

  2. El usuario accede al DPC con sus credenciales de EMM. Son en general, las credenciales de correo electrónico corporativo.

  3. El DPC solicita credenciales de cuentas de Google Play administradas para el usuario corporativo autenticado desde la consola de EMM.

  4. Si la consola de EMM no tiene un userId de Google Play para el usuario, crea un usuario nuevo llamando Users.insert() Si aprovisionas el modo de propietario del dispositivo, especifica una cuenta de dispositivo (para para implementaciones de dispositivos exclusivos) o una cuenta de usuario (para implementaciones que son propiedad de la empresa).

  5. Llamada para configurar la política del dispositivo Devices.update Debes establecer la política antes de agregar la cuenta de Google Play administrado a el dispositivo; de lo contrario, la política no se aplicará durante un período breve. tiempo después de agregar la cuenta al dispositivo.

  6. La consola de EMM solicita las credenciales de la cuenta para userId llamando Users.generateAuthenticationToken() Este token de autenticación es de corta duración y no se puede volver a utilizar. El DPC debe usar el token para agregar la cuenta de forma programática (no sirve de nada al final usuario).

  7. La API de EMM de Google Play devuelve el token de autenticación a la consola de EMM.

  8. La consola de EMM reenvía el token de autenticación al DPC.

  9. El DPC agrega la cuenta de Google Play administrada al dispositivo mediante

    androidForWorkAccountSupport.addAndroidForWorkAccount(token,
      accountAddedCallback);
    

Método de la Cuenta de Google

Un DPC puede usar el método de aprovisionamiento de la Cuenta de Google para configurar el propietario del dispositivo o el modo de propietario del perfil. Con el método de aprovisionamiento de una Cuenta de Google, El DPC guía al usuario por los pasos de aprovisionamiento después de que el usuario agrega su Cuenta de Google durante la configuración inicial del dispositivo.

Cuando un usuario ingresa las credenciales de su Cuenta de Google:

  • El servidor de autenticación de Google autentica la cuenta de usuario.
  • Luego, el servidor de autenticación se comunica con el servidor empresarial para ver si el dominio de la cuenta está registrado como dominio de Google Workspace o Dominio administrado por EMM.
  • Si es así, el sistema descarga automáticamente el DPC asociado con el dominio. desde Google Play y la instala.

Configura el modo de propietario del perfil

Puedes aprovisionar el modo de operación del propietario del perfil durante la configuración inicial de una dispositivo o cuando el usuario agrega una cuenta desde Configuración > Agregar cuenta.

  1. Un usuario inicia la autenticación de la cuenta desde el asistente de configuración o desde Configuración > Agregar cuenta.
  2. GMSCore inicia el aprovisionamiento del perfil de trabajo con ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE.
  3. El DPC se descarga automáticamente en el dispositivo y se inicia con el ACTION_GET_PROVISIONING_MODE. para verificar que el aprovisionamiento del perfil de trabajo sea compatible con el DPC.
  4. La plataforma realiza el aprovisionamiento del perfil de trabajo.
  5. Cuando se aprovisiona el perfil de trabajo, el DPC recibe la transmisión ACTION_PROFILE_PROVISIONING_COMPLETE El ACTION_ADMIN_POLICY_COMPLIANCE del DPC se inicia en el perfil de trabajo. Una vez creado el perfil de trabajo, el DPC también se ejecuta dentro del perfil de trabajo. El DPC envía políticas para esa Cuenta de Google administrada, se asegura de que el dispositivo no esté estado y verifica que las políticas se apliquen (por ejemplo, solicitar un contraseña).
  6. El DPC del perfil personal se inhabilita a sí mismo o el usuario lo quita.

Configurar el modo de propietario del dispositivo o COPE

Debes aprovisionar el modo de operación del propietario del dispositivo durante la configuración inicial de una dispositivo nuevo o después de restablecer la configuración de fábrica. El modo de propietario del dispositivo no se puede agregar a un dispositivo en cualquier otro momento.

  1. Un usuario inicia la autenticación de la cuenta desde el asistente de configuración.
  2. GMSCore inicia el aprovisionamiento del propietario del dispositivo con ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE. 3.El DPC se descarga automáticamente en el dispositivo y se inicia usando el controlador GET_PROVISIONING_MODE para elegir el modo de aprovisionamiento deseado.
  3. La plataforma aprovisiona el dispositivo en el modo de aprovisionamiento deseado.
  4. Cuando se aprovisiona el dispositivo, el DPC recibe estas transmisiones y se inicia el controlador ACTION_ADMIN_POLICY_COMPLIANCE del DPC:
  5. El DPC usa el valor de Global.DEVICE_PROVISIONED para verificar si el dispositivo es nuevo o si se restableció su configuración de fábrica (desaprovisionado):
    • 0 Desaprovisionado.
    • 1 Aprovisionado.
  6. El DPC completa el proceso de aprovisionamiento enviando las políticas correspondientes dispositivo administrado, asegurándose de que el dispositivo no esté comprometido y Verificar que las políticas se apliquen (por ejemplo, solicitar una contraseña)

Consideraciones sobre la implementación del método de la Cuenta de Google

  • El DPC debe detectar el flujo de autenticación de la Cuenta de Google buscando lo siguiente: adicionales específicos en la intent de inicio usada (consulta LaunchIntentUtil):

    • Cuenta de tipo android.accounts.Account : indica que el cuenta agregada desde el asistente de configuración o desde Configuración > Agregar cuenta, que requiere que el DPC iniciado administre el dispositivo o el perfil.
    • is_setup_wizard de tipo booleano : si es verdadero, el DPC se inició en del asistente de configuración antes de que se complete el proceso; de lo contrario, en Configuración > Agrega una cuenta o algún otro flujo.

    Una comprobación para comprobar si el DPC se inició como parte del método de la Cuenta de Google es:

    boolean isSynchronousAuthLaunch(Intent launchIntent) {
      return launchIntent.hasExtra("is_setup_wizard");
    }
    
  • El DPC no debe llamar a finish() antes de que termine la configuración. También debería devolver un código de resultado positivo. (como RESULT_OK), ya que el DPC se inicia con startActivityForResult() y espera un resultado.

    El DPC debe esperar un código de resultado del proceso de aprovisionamiento antes de llamando a finish() si el flujo de configuración del DPC alcanza el punto de enviar un ACTION_PROVISION_*. Usa el startActivityForResult() y onActivityResult() de llamadas cuando se inician intents ACTION_PROVISION_* (Consulta LaunchActivity y SetupSyncAuthManagement para ver ejemplos).

    Debido a la naturaleza potencialmente asíncrona del proceso de configuración, el DPC no puede depender de un código de resultado de RESULT_OK para indicar que el aprovisionamiento sin errores. La única forma garantizada es confiar en DeviceAdminReceiver las devoluciones de llamada cuando el aprovisionamiento se realiza correctamente. RESULT_CANCELED indica que el usuario se retira en una parte síncrona del flujo de configuración, y el DPC debe reaccionar a esto.

    En este ejemplo, el DPC inicia el aprovisionamiento y espera el código de resultado de una actividad:

    Intent intent = new Intent(ACTION_PROVISION_MANAGED_PROFILE);
    startActivityForResult(intent, REQUEST_MANAGED_PROFILE);
    ...
    
    @Override
    public void onActivityResult(int req, int res, Intent i) {
        if (req == REQUEST_MANAGED_PROFILE) {
            if (res == Activity.RESULT_OK) {
                setResult(Activity.RESULT_OK);
                finish();
            } else {
                Toast.makeText(this, “Provisioning failed”,
                        Toast.LENGTH_SHORT).show();
            }
        }
    }
    
  • El DPC no debería intentar configurar el modo de operación del propietario del dispositivo si el dispositivo ya está aprovisionado (consulta ProvisioningStateUtil.isDeviceProvisioned()) En este ejemplo, el DPC verifica si el dispositivo está aprovisionado:

    public static boolean isDeviceProvisioned(Context context) {
    ContentResolver cr = context.getContentResolver();
        return
    Settings.Global.getInt(cr, DEVICE_PROVISIONED, 0) != 0;
    }
    
  • Opcional. El DPC puede usar el EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE adicional cuando se inicia el aprovisionamiento para pasar información de estado de vuelta a su DeviceAdminReceiver (que, en el caso del propietario del perfil, se ejecuta en el perfil de trabajo). TestDPC usa este código ingresar un conjunto diferente de actividades en el flujo de la Cuenta de Google después se complete el aprovisionamiento. Para obtener más información, consulta DeviceAdminReceiver

    public class DeviceAdminReceiver extends android.app.admin.DeviceAdminReceiver
    {
      @Override
      public void onProfileProvisioningComplete(Context context, Intent intent) {
        // Retrieve the admin extras bundle, which we can use to determine the original context for
        // Test DPC's launch.
        PersistableBundle extras = intent.getParcelableExtra(
                EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE);
        ...
    
  • Para configurar un perfil de trabajo, el DPC debe migrar la cuenta agregada al nuevo perfil de trabajo. Para ello, el DPC debe pasar la cuenta proporcionada en el el intent de lanzamiento de ACTION_PROVISION_MANAGED_PROFILE

  • El DPC debe proporcionar al usuario un llamado a la acción claro (como un botón Finalizar) para salir de la app al final de la configuración de modo que el usuario no piense llegaron a un callejón sin salida en el flujo.

  • El DPC debe usar el tema del asistente de configuración o la biblioteca de diseño para que el usuario experiencia es fluida y se siente bien integrada.

Método NFC

Un DPC puede usar el método de aprovisionamiento de NFC para configurar el modo de propietario del dispositivo. En la método de aprovisionamiento NFC o etiqueta NFC, creas una app de programación NFC que contiene las políticas iniciales y la configuración, los ajustes y detalles de aprovisionamiento que requiere tu cliente para configurar el propietario del dispositivo y el modo de operación. Cuando tú o tu cliente instalan la app de programador de NFC en un dispositivo con Android, se convierte en el dispositivo del programador.

Para aprovisionar un dispositivo, el administrador de TI saca un dispositivo nuevo de inmediato y lo golpea contra el dispositivo del programador o la etiqueta NFC. El embotellamiento se transfiere de red al dispositivo para que se conecte a Internet y descargue con las políticas y configuraciones adecuadas. Luego, tu DPC administrará el dispositivo.

Después de aprovisionar un dispositivo, durante un período breve, Google Play mostrará contenido no administrado contenido para consumidores en lugar de las apps y colecciones aprobadas que deberían pantalla. Esta demora puede durar desde unos minutos hasta una hora.

Crea la app de programador de NFC y el dispositivo de programador

En el caso de los dispositivos que ejecutan Android 10 o versiones anteriores, se puede usar Android Beam para lo siguiente: completar un aprovisionamiento de NFC:

  1. Descarga la app de ejemplo de programador NFC. Puedes usar la muestra tal como está, sin adiciones, o puedes modificarla para los valores predeterminados.
  2. Instala la app del programador en el dispositivo elegido.
  3. Inicia la app de programador de NFC y selecciona Load Defaults. para com.example.android.apis. (Este texto puede variar según la configuración parámetros que establezcas).

Aprovisiona el dispositivo de un cliente

  1. unen el dispositivo programador o la etiqueta NFC con un dispositivo nuevo o uno que ya se haya restablecer la configuración de fábrica.
  2. Verifica que el dispositivo permanezca en la pantalla de Bienvenida inicial cuando se inicia. El texto se especifica en Ready to send:{...} en la aplicación del programador.
  3. Espera mientras el DPC:
    1. Encripta el dispositivo.
    2. Si se trata de un dispositivo de acceso múltiple por división de códigos (CDMA): activa el teléfono mientras se muestra una interfaz de usuario telefónica (no se requiere interacción).
    3. Configura la conexión Wi-Fi.
    4. Descarga el archivo APK de com.example.android.apis.
    5. Instala com.example.android.apis.
    6. Establece el Administrador de dispositivos de muestra en com.example.android.apis como propietario del dispositivo.
    7. Muestra un aviso de éxito cuando se active el propietario del dispositivo.
  4. Después de regresar a la página principal (el asistente de configuración se omite automáticamente), Comprueba que com.example.android.apis esté configurada como el propietario del dispositivo:
    1. En Configuración > Seguridad > Administradores de dispositivos, asegúrate de que el Dispositivo de muestra No se puede quitar al administrador.
    2. En Configuración > Usuarios > Usuarios y perfiles > Tú (propietario), asegúrate de que El propietario es la única cuenta disponible (un dispositivo solo puede tener una cuenta activa propietario del dispositivo a la vez).

Recursos adicionales

NFC avanzado describe temas como trabajar con diversas tecnologías de etiquetas, escribir en NFC etiquetas y envío en primer plano.

Método de instalación manual del DPC

Para configurar el modo de propietario del perfil con el método de aprovisionamiento de instalación manual del DPC, el usuario descarga tu DPC de Google Play y lo instala. Luego, el DPC guía al usuario por el resto del proceso de configuración del propietario del perfil para la Cuenta de Google administrada.

El DPC puede agregar la Cuenta de Google administrada antes o después de su creación. el perfil de trabajo. Por ejemplo, el DPC puede crear un perfil de trabajo basado en una las credenciales de EMM del usuario en lugar de solicitar la Cuenta de Google administrada antes de empezar.

Configura el modo de propietario del perfil

Primero, agrega la Cuenta de Google administrada

  1. El usuario descarga tu DPC de Google Play y lo instala.
  2. El DPC agrega la Cuenta de Google administrada antes de crear el perfil de trabajo con AccountManager.addAccount().
  3. El DPC comienza a ejecutarse en el perfil personal e inicia el proceso para crear un perfil de trabajo con:
  4. El DPC del perfil de trabajo completa el proceso de aprovisionamiento. Una vez que el trabajo perfil de trabajo, el DPC también se ejecuta dentro del perfil de trabajo. El DPC de el perfil de trabajo completa el proceso de aprovisionamiento enviando las políticas esa cuenta administrada de Google, lo que garantiza que el dispositivo no esté estado y verificar que las políticas se apliquen (por ejemplo, solicitar un contraseña).
  5. Cuando se aprovisiona el perfil de trabajo, el DPC recibe la transmisión ACTION_PROFILE_PROVISIONING_COMPLETE
  6. El DPC del perfil personal se inhabilita a sí misma o el usuario la quita.

Primero, crea el perfil de trabajo

  1. El usuario descarga tu DPC de Google Play y lo instala.
  2. El DPC comienza a ejecutarse en el perfil personal e inicia el proceso para crear un perfil de trabajo con:
  3. El DPC agrega la Cuenta de Google administrada usando AccountManager.addAccount()
  4. El DPC recibe la transmisión ACTION_PROFILE_PROVISIONING_COMPLETE y lee EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
  5. El DPC del perfil de trabajo completa el proceso de aprovisionamiento. Una vez creado el perfil de trabajo, el DPC también se ejecuta dentro del perfil. El DPC del perfil de trabajo completa el proceso de aprovisionamiento enviando políticas para esa Cuenta de Google administrada, lo que garantiza que el dispositivo no estén en estado vulnerado y verifiquen que las políticas se apliquen (como solicitar una contraseña).
  6. El DPC habilita el perfil de trabajo usando DevicePolicyManager.setProfileEnabled()
  7. El DPC del perfil personal se inhabilita a sí misma o el usuario la quita.

  1. El método de la Cuenta de Google en Android 5.1 solo admite el modo de operación de propietario del perfil, y el usuario puede configurarlo solamente en Configuración > Agregar cuenta