Provisionamento é o processo de configurar um dispositivo para ser gerenciado usando
policies
por um enterprise
. Durante o processo, um dispositivo instala o
Android Device Policy, que é usado para receber e aplicar policies
. Se o provisionamento for bem-sucedido, a API criará um objeto devices
, vinculando o dispositivo a uma empresa.
A API Android Management usa tokens de registro para acionar o processo de provisionamento. O token de registro e o método de provisionamento usados estabelecem a propriedade de um dispositivo (pessoal ou da empresa) e o modo de gerenciamento (perfil de trabalho ou dispositivo totalmente gerenciado).
Dispositivos pessoais
Android 5.1 ou mais recente
Os dispositivos dos funcionários podem ser configurados com um perfil de trabalho. Um perfil de trabalho
oferece um espaço independente para apps e dados de trabalho, separado de apps
e dados pessoais. A maioria dos apps, dados e outros policies
de gerenciamento se aplica apenas ao
perfil de trabalho, enquanto os apps e dados pessoais do funcionário permanecem particulares.
Para configurar um perfil de trabalho em um dispositivo pessoal, crie um token
de registro (verifique se allowPersonalUsage
está definido como
PERSONAL_USAGE_ALLOWED
) e use um dos seguintes métodos de provisionamento:
- Adicionar perfil de trabalho em "Configurações"
- Fazer o download do Android Device Policy
- Link do token de registro
- URL de login
Dispositivos da empresa para uso pessoal e profissional
Android 8 e versões mais recentes
A configuração de um dispositivo da empresa com um perfil de trabalho permite que o dispositivo seja usado tanto para fins profissionais quanto pessoais. Em dispositivos da empresa com perfis de trabalho:
- A maioria dos apps, dados e outras
policies
de gerenciamento se aplica apenas ao perfil de trabalho. - O perfil pessoal do funcionário permanece particular. No entanto, as empresas podem aplicar determinadas políticas a todos os dispositivos e políticas de uso pessoal.
- As empresas podem usar o
blockScope
para aplicar ações de compliance em um dispositivo todo ou apenas no perfil de trabalho. devices.delete
e comandos do dispositivo se aplicam a um dispositivo inteiro.
Para configurar um dispositivo da empresa com um perfil de trabalho, crie um token
de registro (verifique se
allowPersonalUsage
está definido como PERSONAL_USAGE_ALLOWED
) e use um dos
seguintes métodos de provisionamento:
Dispositivos da empresa somente para uso profissional
Android 5.1 ou mais recente
O gerenciamento completo de dispositivos é adequado para dispositivos da empresa destinados exclusivamente a fins de trabalho. As empresas podem gerenciar todos os apps no dispositivo e aplicar todo o espectro de políticas e comandos da API Android Management.
Também é possível bloquear um dispositivo (usando uma política) para um único app ou um pequeno conjunto de apps para atender a uma finalidade ou caso de uso dedicado. Esse subconjunto de dispositivos totalmente gerenciados é chamado de dispositivos dedicados.
Para configurar o gerenciamento completo em um dispositivo da empresa, crie um token de registro
(verifique se allowPersonalUsage
está definido como PERSONAL_USAGE_DISALLOWED
) e use um
dos seguintes métodos de provisionamento:
- Registro sem toque
- Código QR
- URL de login (inadequado para dispositivos dedicados)
- NFC
- Identificador do DPC
As políticas podem afetar a geração da interface durante o provisionamento de dispositivos. Essas políticas são:
PasswordPolicyScope
: determina os requisitos de senha.PermittedInputMethods
: determina métodos de entrada do pacote.PermittedAccessibilityServices
: determina quais serviços de acessibilidade são permitidos para dispositivos totalmente gerenciados e perfil de trabalho.SetupActions
: determina quais ações são executadas durante a configuração.ApplicationsPolicy
: determina a política de um app individual.
Se você quiser que as etapas de senha sejam mostradas junto com a instalação de apps de trabalho e cartões de registro do dispositivo durante o provisionamento do dispositivo, sugerimos atualizar suas políticas para atrasar o início da geração da interface. Para isso, mantenha o dispositivo em um estado de quarentena, que ocorre se o registro não tiver uma política associada, até especificar a política final selecionada para a configuração do dispositivo, preenchida com itens relevantes para suas necessidades de configuração. Depois que o provisionamento do dispositivo for concluído, será possível alterar a política conforme necessário.
Criar um token de registro
Você precisa de um token de registro para cada dispositivo que quer registrar. É possível
usar o mesmo token para vários dispositivos. Para solicitar um token de registro, chame
enterprises.enrollmentTokens.create
. Por padrão, os tokens de registro expiram após uma
hora,mas é possível especificar um prazo de validade personalizado (duration
)
de até aproximadamente 10.000 anos.
Uma solicitação bem-sucedida retorna um objeto enrollmentToken
contendo um
enrollmentTokenId
e um qrcode
, que os administradores de TI e os usuários finais podem usar para
provisionar dispositivos.
Especificar uma política
Você também pode especificar um policyName
na solicitação para aplicar uma política
ao mesmo tempo em que um dispositivo é registrado. Se você não especificar um policyName
, consulte
Registrar um dispositivo sem uma política.
Especificar o uso pessoal
allowPersonalUsage
determina se um perfil de trabalho pode ser adicionado ao dispositivo
durante o provisionamento. Defina como PERSONAL_USAGE_ALLOWED
para permitir que um usuário crie um
perfil de trabalho (obrigatório para dispositivos pessoais, opcional para dispositivos
da empresa).
Sobre códigos QR
Os códigos QR funcionam como um método eficiente de provisionamento de dispositivos para empresas que têm várias políticas diferentes. O QR code retornado de
enterprises.enrollmentTokens.create
é composto por um payload de pares de chave-valor
que contém um token de registro e todas as informações necessárias para que o Android
Device Policy provisione um dispositivo.
Exemplo de pacote de QR code
O pacote inclui o local de download do Android Device Policy e um token de registro.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
}
}
É possível usar diretamente o QR code retornado de enterprises.enrollmentTokens.create
ou personalizá-lo. Para ver uma lista completa de propriedades que podem ser incluídas em um pacote de QR code, consulte Criar um QR code.
Para converter a string qrcode
em um QR code digitalizável, use um gerador de QR code,
como o ZXing.
Métodos de provisionamento
Esta seção descreve diferentes métodos para provisionar um dispositivo.
Adicionar perfil de trabalho nas "Configurações"
Android 5.1 ou mais recente
Para configurar um perfil de trabalho no dispositivo, o usuário pode:
- Acesse Configurações > Google > Configurar e restaurar.
- Toque em Configurar seu perfil de trabalho.
Estas etapas iniciam um assistente de configuração que faz o download do Android Device Policy no dispositivo. Em seguida, o usuário vai receber uma solicitação para ler um QR code ou inserir manualmente um token de registro para concluir a configuração do perfil de trabalho.
Fazer o download do Android Device Policy
Android 5.1 ou mais recente
Para configurar um perfil de trabalho no dispositivo, o usuário pode fazer o download do Android Device Policy na Google Play Store. Depois que o app for instalado, o usuário vai precisar inserir um QR code ou inserir manualmente um token de registro para concluir a configuração do perfil de trabalho.
Link do token de inscrição
Android 5.1 ou mais recente
Usando o token de registro retornado de enrollmentTokens.create
ou
signinEnrollmentToken
da empresa,
gere um URL com o seguinte formato:
https://enterprise.google.com/android/enroll?et=<enrollmentToken>
Você pode fornecer esse URL aos administradores de TI, que podem fornecê-lo aos usuários finais. Quando um usuário final abrir o link no dispositivo, ele será guiado pela configuração do perfil de trabalho.
URL de login
Com esse método, os usuários recebem um URL que solicita as credenciais. Com base nas credenciais dele, é possível calcular a política apropriada para o usuário antes de prosseguir com o provisionamento de dispositivo. Exemplo:
Especifique seu URL de login em
enterprises.signInDetails[]
. DefinaallowPersonalUsage
comoPERSONAL_USAGE_ALLOWED
se você quiser permitir que um usuário crie um perfil de trabalho (obrigatório para dispositivos pessoais, opcional para dispositivos da empresa).Adicione o
signinEnrollmentToken
resultante como provisionamento extra a um código QR, um payload NFC ou uma configuração sem toque. Como alternativa, você pode fornecer osigninEnrollmentToken
diretamente aos usuários.Escolha uma opção:
- Dispositivos da empresa:depois de ativar um dispositivo novo ou redefinido para a
configuração original, transmita o
signinEnrollmentToken
para o dispositivo (via QR code, NFC etc.) ou peça que os usuários digitem o token manualmente. O dispositivo abrirá o URL de login especificado na Etapa 1. - Dispositivos pessoais:peça aos usuários para adicionar um perfil de trabalho nas
Configurações. Quando solicitado, o usuário lê um QR code contendo o
signinEnrollmentToken
ou insere o token manualmente. O dispositivo abrirá o URL de login especificado na Etapa 1. - Dispositivos pessoais:forneça aos usuários um link do token
de registro, em que o token é o
signinEnrollmentToken
. O dispositivo abrirá o URL de login especificado na Etapa 1.
- Dispositivos da empresa:depois de ativar um dispositivo novo ou redefinido para a
configuração original, transmita o
Seu URL de login deve solicitar que os usuários insiram suas credenciais. Com base na identidade, é possível determinar a política apropriada e receber as informações de provisionamento do dispositivo (durante o registro do dispositivo) usando o parâmetro GET
provisioningInfo
.Chame
enrollmentTokens.create
, especificando opolicyId
apropriado com base nas credenciais do usuário.Retorne o token de registro gerado na Etapa 4 usando o redirecionamento de URL, no formato
https://enterprise.google.com/android/enroll?et=<token>
.
Método de QR code
Android 7.0 ou mais recente
Para provisionar um dispositivo da empresa, gere um QR code e exiba-o no console de EMM:
- Em um dispositivo novo ou redefinido para a configuração original, o usuário (normalmente um administrador de TI) toca na tela seis vezes no mesmo local. Isso aciona o dispositivo para solicitar que o usuário leia um QR code.
- O usuário lê o QR code exibido no console de gerenciamento (ou um aplicativo semelhante) para registrar e provisionar o dispositivo.
Método NFC
Android 6.0 ou mais recente
Esse método exige que você crie um app de programador de NFC que contenha o token de registro, as políticas iniciais e a configuração de Wi-Fi, as definições e todos os outros detalhes de provisionamento exigidos pelo cliente para provisionar um dispositivo totalmente gerenciado ou dedicado. Quando você ou seu cliente instala o app do programador de NFC em um dispositivo Android, esse dispositivo se torna o programador.
Orientações detalhadas sobre a compatibilidade com o método NFC estão disponíveis na documentação do desenvolvedor da API EMM do Google Play. O site também inclui um exemplo de código dos parâmetros padrão enviados a um dispositivo em uma conexão NFC. Para instalar o Android Device Policy, defina o local de download do pacote de administração do dispositivo como:
https://play.google.com/managed/downloadManagingApp?identifier=setup
Método do identificador de DPC
Se não for possível adicionar o Android Device Policy usando QR code ou NFC, um usuário ou administrador de TI pode seguir estas etapas para provisionar um dispositivo da empresa:
- Siga as instruções do assistente de configuração em um dispositivo novo ou redefinido para a configuração original.
- Insira os detalhes de login do Wifi para conectar o dispositivo à Internet.
- Quando solicitado a fazer login, digite afw#setup, que faz o download do Android Device Policy.
- Leia um QR code ou insira manualmente um token de registro para provisionar o dispositivo.
Registro sem toque
Android 8.0 ou mais recente (Pixel 7.1 ou mais recente)
Os dispositivos comprados de um revendedor autorizado de registro sem toque estão qualificados para o registro sem toque, um método simplificado de pré-configuração para que eles se provisionem automaticamente na primeira inicialização.
As organizações podem criar configurações contendo detalhes de provisionamento para os dispositivos sem toque usando o portal de registro sem toque ou o console de EMM. Consulte a API de registro sem toque para clientes. Na primeira inicialização, um dispositivo sem toque verifica se uma configuração foi atribuída a ele. Nesse caso, o dispositivo faz o download do Android Device Policy, que conclui a configuração usando os extras de provisionamento especificados na configuração atribuída.
Caso seus clientes usem o portal de registro sem toque, eles precisarão selecionar o Android Device Policy como o DPC do EMM para cada configuração criada. Instruções detalhadas sobre como usar o portal, incluindo como criar e atribuir configurações a dispositivos, estão disponíveis na Central de Ajuda do Android Enterprise.
Se você preferir que seus clientes definam e atribuam configurações diretamente no
console de EMM, faça a integração com a API de registro sem toque para clientes. Ao
criar uma configuração, você especifica o provisionamento de extras no
campo dpcExtras
. O snippet JSON a seguir mostra um exemplo básico do que
incluir em dpcExtras
, com um token de login adicionado.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
}
}
Iniciar um app durante a configuração
Em policies
, você pode especificar um app para o Android Device Policy iniciar
durante a configuração do dispositivo ou do perfil de trabalho. Por exemplo, é possível iniciar um app de VPN para que
os usuários possam definir as configurações da VPN como parte do processo de configuração. O app precisa
retornar RESULT_OK
para sinalizar a conclusão e permitir que o Android Device Policy
conclua o provisionamento do dispositivo ou do perfil de trabalho. Para iniciar um app durante a configuração:
Confira se o installType
do app é REQUIRED_FOR_SETUP
. Se o app não puder ser
instalado ou iniciado no dispositivo, o provisionamento falhará.
{
"applications":[
{
"packageName":"com.my.vpnapp.",
"installType":"REQUIRED_FOR_SETUP"
}
]
}
Adicione o nome do pacote do app a setupActions
. Use title
e description
para
especificar instruções voltadas para o usuário.
{
"setupActions":[
{
"title":{
"defaultMessage":"Configure VPN"
},
"description":{
"defaultMessage":"Enable your VPN client to access corporate resources."
},
"launchApp":{
"packageName":"com.my.vpnapp."
}
}
]
}
Para distinguir que um app é iniciado de launchApp
, a atividade que é
iniciada como parte do app contém o extra de intent booleana
com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION
(definido como
true
). Esse extra permite personalizar seu app dependendo se ele foi
iniciado de setupActions
ou por um usuário.
Depois que o app retornar RESULT_OK
, o Android Device Policy concluirá todas as etapas
restantes necessárias para provisionar o dispositivo ou o perfil de trabalho.
Cancelar inscrição durante a configuração
O app iniciado como SetupAction pode cancelar a inscrição retornando
RESULT_CANCELED
.
O cancelamento do registro redefine um dispositivo da empresa ou exclui o perfil de trabalho em um dispositivo pessoal.
Observação: o cancelamento da inscrição aciona a ação sem uma caixa de diálogo de confirmação do usuário. É responsabilidade do app mostrar uma caixa de diálogo de erro adequada ao usuário antes de retornar o resultado.
Aplicar uma política aos dispositivos registrados recentemente
Você e seus clientes podem escolher o método usado para aplicar políticas a dispositivos recém-registrados. Confira as diferentes abordagens que podem ser usadas:
(Recomendado) Ao criar um token de registro, você pode especificar o nome da política (
policyName
) que será inicialmente vinculada ao dispositivo. Quando você registra um dispositivo com o token, a política é aplicada automaticamente a ele.Definir uma política como padrão para uma empresa. Se nenhum nome de política for especificado no token de registro e houver uma política com o nome
enterprises/<enterprise_id>/policies/default
, cada novo dispositivo será automaticamente vinculado à política padrão no momento da inscrição.Inscreva-se em um tópico do Cloud Pub/Sub para receber notificações sobre dispositivos recém-registrados. Em resposta a uma notificação
ENROLLMENT
, chameenterprises.devices.patch
para vincular o dispositivo a uma política.
Registrar um dispositivo sem uma política
Se um dispositivo for registrado sem uma política válida, ele será colocado na quarentena. Os dispositivos em quarentena são bloqueados em todas as funções do dispositivo até que ele seja vinculado a uma política.
Se um dispositivo não for vinculado a uma política em cinco minutos, o registro do dispositivo falhará e ele será redefinido para a configuração original. O estado do dispositivo em quarentena oferece a oportunidade de implementar verificações de licenciamento ou outros processos de validação de registro como parte da solução.
Exemplo de fluxo de trabalho de verificação de licenciamento
- Um dispositivo é registrado sem uma política padrão ou específica.
- Verifique quantas licenças a empresa ainda tem.
- Se houver licenças disponíveis, use
devices.patch
para anexar uma política ao dispositivo e diminuir o número de licenças. Se não houver licenças disponíveis, usedevices.patch
para desativar o dispositivo. Como alternativa, a API redefine para a configuração original qualquer dispositivo que não esteja anexado a uma política em até cinco minutos após o registro.