デバイスの登録とプロビジョニング

プロビジョニングとは、管理対象のデバイスをセットアップするプロセスです。 enterprise による policies。デバイスのインストール処理中 Android Device Policy: policies を受信して適用するために使用されます。条件 プロビジョニングが成功すると、API は devices オブジェクトを作成し、 企業に提供します

Android Management API が登録トークンを使用してプロビジョニングをトリガーする プロセスです使用する登録トークンとプロビジョニング方法によって、 デバイスの所有権(個人所有または会社所有)と管理モード(仕事用) 完全管理対象デバイス)。

個人所有のデバイス

Android 5.1 以降

従業員が所有するデバイスには仕事用プロファイルを設定できます。仕事用プロファイル 個人用の作業場所とは別に、仕事用のアプリとデータ用の自己完結型のスペースを提供する アプリとデータを 利用できるようにしますほとんどのアプリ、データ、その他の管理 policies は、 仕事用プロファイルのみがコピーされ、個人用のアプリやデータは非公開に保たれます。

個人所有のデバイスで仕事用プロファイルをセットアップするには、登録リストを作成します。 トークンallowPersonalUsagePERSONAL_USAGE_ALLOWED)を指定し、次のいずれかのプロビジョニング方法を使用します。

会社所有のデバイス(仕事とプライベートの両方)

Android 8 以降

会社所有デバイスに仕事用プロファイルを設定すると、デバイスでの 仕事とプライベートの両方で使えます仕事用プロファイルが設定された会社所有デバイスの場合:

仕事用プロファイルを使って会社所有デバイスを設定するには、登録を作成します トークンallowPersonalUsagePERSONAL_USAGE_ALLOWED に設定されている)で、 次のプロビジョニング方法を使用できます。

で確認できます。

仕事専用の会社所有デバイス

Android 5.1 以降

完全なデバイス管理: 会社所有のデバイスに適しており、 仕事だけにとどまりません。企業はデバイス上のすべてのアプリを管理し、 Android Management API のすべてのポリシーとコマンドを適用できます。

デバイスを(ポリシーにより)1 つのアプリまたは 1 つのアプリにロックダウンすることもできます。 少量のアプリ群を、専用の目的やユースケースに充てることができます。このサブセットは、 管理対象デバイスは専用デバイスと呼ばれます。登録トークンの対象 これらのデバイスでは、allowPersonalUsagePERSONAL_USAGE_DISALLOWED_USERLESS

会社所有デバイスで完全管理を設定するには、登録トークンを作成します。 allowPersonalUsage が次の値に設定されていることを確認する PERSONAL_USAGE_DISALLOWED または PERSONAL_USAGE_DISALLOWED_USERLESS, 次のいずれかのプロビジョニング方法を使用します。

で確認できます。

ポリシーは、デバイスのプロビジョニング時の UI の生成に影響を与える可能性があります。 該当するポリシーは次のとおりです。

  • PasswordPolicyScope: これにより、パスワードの要件が決まります。
  • PermittedInputMethods: これにより、パッケージの入力方法が決まります。
  • PermittedAccessibilityServices: これにより、フルマネージドで許可されるユーザー補助サービスが決まります。 簡単に管理できます。
  • SetupActions: これにより、設定中に実行するアクションが決まります。
  • ApplicationsPolicy: これにより、個々のアプリのポリシーが決まります。

仕事用アプリのインストールとともにパスワードの手順を表示する場合 プロビジョニング中に使用したり、デバイス登録カードを登録したりする必要がある場合は、 ポリシーを使用して UI 生成の開始を遅らせるために、デバイスを 検疫状態: 関連するポリシーなしで登録された場合に発生します。 項目が入力されたデバイス設定で最後に選択されたポリシーを指定するまで 選択することもできますデバイスのプロビジョニングが完了したら 必要に応じてポリシーを変更できます。 必要ありません。


登録トークンを作成する

<ph type="x-smartling-placeholder">
</ph> Android の管理の概要
図 1.「policy1」を登録して適用するトークンを作成する 提供します。1,800 秒(30 分)が経過すると、トークンは期限切れになります。

登録するデバイスごとに登録トークンが必要です( 同じトークンを複数のデバイスで使用します)。登録トークンをリクエストするには、 enterprises.enrollmentTokens.create。登録トークンは 時間がデフォルトで設定されますが、カスタムの有効期限duration)を指定することもできます。 最長約 1 万年です

リクエストが成功すると、enrollmentToken オブジェクトが返されます。このオブジェクトには、 IT 管理者とエンドユーザーが使用できる enrollmentTokenIdqrcode プロビジョニングします。

ポリシーを指定する

ポリシーを適用するために、リクエストで policyName を指定することもできます。 デバイスを登録することはできません。policyName を指定しない場合は、以下をご覧ください。 ポリシーなしでデバイスを登録する

個人用の使用を指定する

allowPersonalUsage は、デバイスに仕事用プロファイルを追加できるかどうかを決定します プロビジョニング時に発生しますユーザーが作成できるようにするには、PERSONAL_USAGE_ALLOWED に設定します。 仕事用プロファイル(個人所有デバイスの場合は必須、会社所有デバイスの場合は任意) 。


QR コードについて

QR コードは、エンタープライズ向けの効率的なデバイス プロビジョニング方法として 多数の異なるポリシーを管理します。以下から返された QR コード enterprises.enrollmentTokens.create は Key-Value ペアのペイロードで構成される (登録トークンと Android に必要な情報を含む) Device Policy を使用してデバイスをプロビジョニングします。

QR コード バンドルの例

このバンドルには、Android Device Policy のダウンロード場所と できます。

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

enterprises.enrollmentTokens.create から返された QR コードを使用できます カスタマイズすることもできます。使用可能なプロパティの完全なリストについては、 QR コード バンドルについては、QR コードを作成するをご覧ください。

qrcode 文字列をスキャン可能な QR コードに変換するには、QR コード生成ツールを使用します (例: ZXing


プロビジョニング方法

このセクションでは、デバイスをプロビジョニングするさまざまな方法について説明します。

[設定] から仕事用プロファイルを追加してください

Android 5.1 以降

デバイスで仕事用プロファイルをセットアップするには、ユーザーが以下の操作を行います。

  1. [設定] に移動します。Google >セットアップと復元します
  2. [仕事用プロファイルをセットアップする] をタップします。

この手順では、セットアップ ウィザードを開始して、デバイスに Android Device Policy を ダウンロードします次に、ユーザーは QR コードをスキャンするか、 手動で登録トークンを入力して、仕事用プロファイルの設定を完了します。

Android Device Policy のダウンロード

Android 5.1 以降

デバイスで仕事用プロファイルをセットアップするには、ユーザーが Android デバイス ポリシーをご確認ください。アプリをインストールしたら QR コードを求めるか、手動で 登録トークンを入力して仕事用プロファイルの設定を完了します。

Android 5.1 以降

enrollmentTokens.create から返された登録トークン、または 企業の signinEnrollmentToken、 次の形式で URL を生成します。

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

この URL を IT 管理者に提供し、IT 管理者がエンドユーザーに提供できるようになります。 エンドユーザーがデバイスからリンクを開くと、 仕事用プロファイルの設定に関するものです。

ログイン URL

この方法では、ユーザーはページにリダイレクトされ、 情報を提供します。ユーザーの情報に基づく ユーザーに適したポリシーを計算してから次に進みます。 デバイスのプロビジョニングも行います例:

  1. enterprises.signInDetails[] にログイン URL を指定します。セット ユーザーを許可する場合は、allowPersonalUsagePERSONAL_USAGE_ALLOWED に設定します。 仕事用プロファイルを作成できる(個人所有デバイスで必須、 。

    結果の signinEnrollmentToken をプロビジョニング エクストラとして QR に追加します。 コードNFC ペイロードゼロタッチ 構成をご覧ください。または、Terraform Registry に signinEnrollmentToken をユーザーに直接付与します。

  2. 次のいずれかを選択します。

    1. 会社所有デバイス: 新しいデバイスまたは初期状態にリセットした後のデバイス (QR コード、NFC を介して)デバイスに signinEnrollmentToken を渡します または、ユーザーに手動でトークンを入力するよう求めることができます。デバイスは ステップ 1 で指定したログイン URL を開きます。
    2. 個人所有デバイス: 「設定」。プロンプトが表示されたら、 signinEnrollmentToken を含む QR コードをスキャンするか、 手動で作成する必要があります。デバイスで、手順で指定したログイン URL が開きます。 1.
    3. 個人所有デバイス:ユーザーに登録トークンを提供 リンクをご覧ください。ここで、登録トークンは、 signinEnrollmentToken。デバイスで、指定したログイン URL が開きます します。
  3. Google がお客様を認証済みかどうかを確認します。デバイスを入手 GET パラメータを使用したプロビジョニング情報(デバイス登録時) provisioningInfo を使用して、フィールドの値を確認します。 authenticatedUserEmail。このフィールドに値がある場合、 すでに Google によって正常に認証されているので、この ID を 認証情報を取得できます。

  4. Google がまだユーザーを認証していない場合は、ログイン URL 認証情報の入力を求めるメッセージが表示されます。アイデンティティに基づき、 適切なポリシーを決定し、デバイスのプロビジョニングを取得できます。 GET パラメータを使用して情報を取得(デバイス登録時) provisioningInfo

  5. 適切な policyId を指定して enrollmentTokens.create を呼び出します。 アクセスを制御できます。

  6. URL リダイレクトを使用して、手順 5 で生成した登録トークンを返します。 フォーム https://enterprise.google.com/android/enroll?et=<token>

QR コードによる方法

Android 7.0 以降

会社所有デバイスをプロビジョニングするために、 EMM コンソールに表示できます。

  1. 新しいデバイスや初期状態にリセットしたデバイスでは、ユーザー(通常は IT 管理者)が 同じ場所に 6 回表示されることはありませんこのコマンドがトリガーされると、 QR コードをスキャンしてもらいます。
  2. ユーザーが管理コンソールに表示された QR コードをスキャンする(または 同様のアプリケーションなど)を使用してデバイスを登録し、プロビジョニングします。

NFC 方式

Android 6.0 以降

この方法では、 登録トークン、初期ポリシー、Wi-Fi の設定、設定など、 完全にプロビジョニングするためにお客様が必要とするその他のプロビジョニングの詳細を 専用のデバイスを使用します。エージェントまたはお客様が NFC をインストールしたとき プログラマー アプリを実行する場合、そのデバイスがプログラマーになります。 ダウンロードします

NFC 方式をサポートする方法の詳細については、Play EMM をご覧ください。 API デベロッパー ご覧くださいサイトには、デフォルトの Google Cloud Storage の パラメータをプッシュ デバイスが NFC バンプです。Android Device Policy をインストールするには、ダウンロードを設定してください デバイス管理パッケージの

https://play.google.com/managed/downloadManagingApp?identifier=setup

DPC 識別方法

QR コードまたは NFC を使用して Android Device Policy を追加できない場合は、ユーザーまたは IT 管理者が行います 次の手順で会社所有デバイスをプロビジョニングできます。

  1. 新しいデバイスまたは初期状態にリセットしたデバイスで、セットアップ ウィザードに沿って操作します。
  2. デバイスをインターネットに接続するには、Wi-Fi のログイン情報を入力してください。
  3. ログインを求められたら、「afw#setup」と入力します。これにより、Android がダウンロードされます。 Device Policy
  4. QR コードをスキャンするか、手動で登録トークンを入力して、 デバイスをプロビジョニングします。
で確認できます。

ゼロタッチ登録

Android 8.0 以降(Google Pixel 7.1 以降)

正規ゼロタッチ販売パートナーから購入したデバイスは、以下の対象になります。 ゼロタッチ登録は、デバイスをあらかじめ設定して、 自動的にプロビジョニングされます。

組織は、組織のリソースのプロビジョニングの詳細を含む構成を ゼロタッチ登録ポータル EMM コンソールを使用します(ゼロタッチ登録 API をご覧ください)。最初の日付 ゼロタッチ デバイスは、設定が割り当てられているかどうかを確認します。もしそうならば、 デバイスに Android Device Policy がダウンロードされて、デバイスのセットアップが完了します プロビジョニング エクストラを使用してデバイスを構成できます。

ゼロタッチ登録ポータルをご利用のお客様は、以下の手順を実施していただく必要があります。 各設定の EMM DPC として [Android Device Policy] を選択します。 作成します。ポータルの使用方法(作成方法など) デバイスへの設定の割り当てに関する機能は、Android Enterprise ヘルプセンターをご覧ください。

Google Workspace の管理画面から直接、お客様が設定や割り当てを行うことをご希望の場合は、 EMM コンソールにゼロタッチ登録 API を統合する必要があります。日時 構成の作成では、 dpcExtras フィールド。次の JSON スニペットは、実行する操作の基本的な例を示しています。 ログイン トークンとともに dpcExtras に含めます。

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

セットアップ中にアプリを起動する

setupaction
図 2. setupActions を使用してアプリを起動する 。

policies では、Android Device Policy が起動するアプリを 1 つ指定できます 。たとえば、VPN アプリを起動して ユーザーがセットアップ プロセスの一環として VPN 設定を構成できます。アプリは RESULT_OK を返して完了を通知し、Android Device Policy が以下を実行できる デバイスまたは仕事用プロファイルのプロビジョニングを完了できます。セットアップ中にアプリを起動するには:

アプリの installTypeREQUIRED_FOR_SETUP であることを確認します。アプリが インストールまたは起動されると、プロビジョニングは失敗します。

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

アプリのパッケージ名を setupActions に追加します。titledescription を使用して以下を行います。 ユーザー向けの指示を指定します。

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

アプリが launchApp から起動されたのを見分けるため、 アプリの一部として初めて起動されたコンテンツに、ブール値のインテント エクストラが含まれている com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTIONtrue)。このエクストラを使用すると、 setupActions から、またはユーザーが起動した。

アプリが RESULT_OK を返すと、Android Device Policy は残りのすべての処理を完了します デバイスまたは仕事用プロファイルのプロビジョニングに必要な手順が表示されます。

設定中に登録をキャンセルする

SetupAction として起動されたアプリは、登録をキャンセルできる RESULT_FIRST_USER

登録をキャンセルすると、会社所有のデバイスがリセットされるか、作業内容が削除されます 個人のデバイス上のプロファイルを管理できます。

: 登録をキャンセルすると、ユーザーなしでアクションがトリガーされます。 確認ダイアログが表示されます。適切な表示をするためのアプリの役割は、 RESULT_FIRST_USER を返す前にユーザーにエラー ダイアログを表示する。

新しく登録したデバイスにポリシーを適用する

新しく登録したデバイスにポリシーを適用する方法は、 カスタマイズすることもできます。ここでは、Google Chat で実行できる 次のコマンドを使用します。

  • (推奨)登録トークンを作成するときに、 最初にリンクされるポリシーの名前(policyName) ダウンロードしますトークンを使用してデバイスを登録すると、ポリシーが自動的に 適用されます。

  • 特定のポリシーを企業のデフォルト ポリシーとして設定します。ポリシー名が 登録トークンで指定されていることと、 enterprises/<enterprise_id>/policies/default 様、新しいデバイスをご購入いただく際は、 登録時にデフォルト ポリシーに自動的にリンクされます。

  • Cloud Pub/Sub トピックにサブスクライブして、 新しく登録されたデバイスに関する通知を受け取ります。特定の 「ENROLLMENT」の通知、enterprises.devices.patch を呼び出して デバイスとポリシーをリンクする。

ポリシーのないデバイスを登録する

有効なポリシーなしでデバイスが登録された場合、そのデバイスは quarantine。隔離されたデバイスは、次の日付までデバイスの機能をすべてブロックされます。 デバイスがポリシーにリンクされている。

5 分以内にデバイスがポリシーにリンクされない場合は、デバイスの登録が行われます。 エラーが発生し、デバイスが出荷時設定にリセットされます。デバイスの隔離状態では、 ライセンス チェックやその他の登録の検証を実施できる ソリューションの一部として統合できます

ライセンス チェックのワークフローの例

  1. デフォルトのポリシーや特定のポリシーなしでデバイスが登録されています。
  2. 企業の残りのライセンス数を確認する。
  3. 利用可能なライセンスがある場合は、devices.patch を使用して ポリシーを適用してから、ライセンス数を減らします。コンバージョン トラッキングが ライセンスが使用可能な場合は、devices.patch を使用してデバイスを無効にします。 または、API によって、デフォルト サービスに接続されていないすべてのデバイスは、出荷時設定にリセットされます。 登録してから 5 分以内にポリシーが適用されます。