Enregistrer et provisionner un appareil

Le provisionnement est le processus de configuration d'un appareil à gérer à l'aide de policies par un enterprise. Au cours du processus d'installation d'un appareil Android Device Policy, utilisé pour recevoir et appliquer policies. Si le provisionnement a bien été effectué, l'API crée un objet devices, qui lie un appareil à une entreprise.

L'API Android Management utilise des jetons d'enregistrement pour déclencher le provisionnement processus. Le jeton d'enregistrement et la méthode de provisionnement que vous utilisez définissent le mode de propriété de l'appareil (personnel ou celui de l'entreprise) et le mode de gestion ou un appareil entièrement géré).

Appareils personnels

Android 5.1 ou version ultérieure

Les appareils appartenant aux employés peuvent être configurés avec un profil professionnel. Un profil professionnel offre un espace autonome pour les applications et les données professionnelles, séparé du personnel vos applications et vos données. La plupart des policies de gestion des applications, des données et autres s'appliquent profil professionnel uniquement, tandis que les applications et données personnelles de l'employé restent privées.

Pour configurer un profil professionnel sur un appareil personnel, créez un enregistrement jeton (assurez-vous que allowPersonalUsage est défini sur PERSONAL_USAGE_ALLOWED) et utilisez l'une des méthodes de provisionnement suivantes:

Appareils détenus par l'entreprise pour un usage professionnel et personnel

Android 8 et versions ultérieures

La configuration d'un appareil détenu par l'entreprise avec un profil professionnel permet d'activer les pour un usage professionnel et personnel. Sur les appareils détenus par l'entreprise dotés d'un profil professionnel:

  • La plupart des policies de gestion des applications, des données et des autres paramètres s'appliquent au profil professionnel uniquement.
  • Le profil personnel de l'employé reste privé. Cependant, les entreprises peuvent appliquer certaines règles à l'échelle de l'appareil et des règles d'utilisation personnelle ;
  • Les entreprises peuvent utiliser blockScope pour appliquer des actions de conformité sur une l'intégralité de l'appareil ou uniquement son profil professionnel.
  • devices.delete et les commandes d'appareil s'appliquent à l'ensemble d'un appareil.

Pour configurer un appareil détenu par l'entreprise avec un profil professionnel, créez un enregistrement jeton (assurez-vous allowPersonalUsage est défini sur PERSONAL_USAGE_ALLOWED) et utilisez l'une des méthodes de provisionnement suivantes:

Appareils détenus par l'entreprise pour un usage professionnel uniquement

Android 5.1 ou version ultérieure

La gestion complète des appareils convient aux appareils détenus par l'entreprise destinés exclusivement à des fins professionnelles. Les entreprises peuvent gérer toutes les applications installées sur l'appareil et peut appliquer l'ensemble des règles et commandes de l'API Android Management.

Il est également possible de verrouiller un appareil (via des règles) sur une seule application ou un petit ensemble d'applications pour répondre à un objectif ou à un cas d'utilisation dédié. Ce sous-ensemble des appareils gérés sont appelés appareils dédiés. Jetons d'enregistrement pour allowPersonalUsage doit être défini sur PERSONAL_USAGE_DISALLOWED_USERLESS

Pour configurer la gestion complète sur un appareil détenu par l'entreprise, créez un jeton d'enregistrement, en vous assurant que allowPersonalUsage est défini sur PERSONAL_USAGE_DISALLOWED ou PERSONAL_USAGE_DISALLOWED_USERLESS, et utilisez l'une des méthodes de provisionnement suivantes.

Les règles peuvent avoir un impact sur la génération de l'interface utilisateur lors du provisionnement des appareils. Ces règles sont les suivantes:

  • PasswordPolicyScope: Ce paramètre détermine les exigences concernant les mots de passe.
  • PermittedInputMethods: Cela détermine les modes de saisie du package.
  • PermittedAccessibilityServices: Cette option détermine les services d'accessibilité autorisés pour les services entièrement gérés appareils et profil professionnel.
  • SetupActions: Ce paramètre détermine les actions à exécuter lors de la configuration.
  • ApplicationsPolicy: Ce paramètre détermine la règle applicable à une application spécifique.

Si vous souhaitez que la procédure de création du mot de passe s'affiche à côté de l'installation d'applications professionnelles et les cartes d'enregistrement des appareils lors de la préparation de l'appareil, nous vous conseillons de mettre à jour pour retarder le lancement de l'interface utilisateur en laissant l'appareil dans un État de la quarantaine, qui se produit si l'appareil est enregistré sans règle associée tant que vous n'avez pas spécifié la dernière règle sélectionnée pour la configuration de l'appareil avec les éléments correspondant à vos besoins de configuration. Une fois l'appareil provisionné terminée, vous pouvez modifier la règle en tant que obligatoire.


Créer un jeton d'enregistrement

<ph type="x-smartling-placeholder">
</ph> Présentation d&#39;Android Management
Figure 1. Créez un jeton qui enregistre et applique "policy1" aux appareils. Le jeton expire au bout de 1 800 secondes (30 minutes).

Vous avez besoin d'un jeton d'enregistrement pour chaque appareil que vous souhaitez enregistrer (vous pouvez utiliser le même jeton pour plusieurs appareils). Pour demander un jeton d'enregistrement, appelez enterprises.enrollmentTokens.create Les jetons d'enregistrement expirent au bout d'un heure par défaut, mais vous pouvez spécifier un délai d'expiration personnalisé (duration) environ 10 000 ans.

Une requête réussie renvoie un objet enrollmentToken contenant une enrollmentTokenId et qrcode que les administrateurs informatiques et les utilisateurs finaux peuvent utiliser pour provisionner des appareils.

Spécifier une stratégie

Vous pouvez également spécifier un policyName dans la demande d'application d'une règle en même temps qu'un appareil est enregistré. Si vous ne spécifiez pas de policyName, consultez Enregistrez un appareil sans règle.

Spécifier votre utilisation personnelle

allowPersonalUsage détermine si un profil professionnel peut être ajouté à l'appareil pendant le provisionnement. Définissez ce paramètre sur PERSONAL_USAGE_ALLOWED pour permettre à un utilisateur de créer un Profil professionnel (obligatoire pour les appareils personnels, facultatif pour les appareils appartenant à l'entreprise) appareils).


À propos des codes QR

Les codes QR constituent une méthode efficace de provisionnement des appareils pour les entreprises maintenir de nombreuses stratégies différentes. Code QR renvoyé par enterprises.enrollmentTokens.create est constituée d'une charge utile de paires clé/valeur. contenant un jeton d'enregistrement et toutes les informations nécessaires pour utiliser Android Device Policy pour provisionner un appareil.

Exemple de lot de codes QR

Le bundle comprend l'emplacement de téléchargement d'Android Device Policy et un un jeton d'enregistrement unique.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Vous pouvez utiliser le code QR renvoyé par enterprises.enrollmentTokens.create ou de la personnaliser. Pour obtenir la liste complète des établissements que vous pouvez inclure dans un lot de codes QR, consultez la section Créer un code QR.

Pour convertir la chaîne qrcode en un code QR lisible, utilisez un générateur de code QR. comme ZXing.


Méthodes de provisionnement

Cette section décrit différentes méthodes de provisionnement d'un appareil.

Ajouter un profil professionnel depuis "Paramètres"

Android 5.1 ou version ultérieure

Pour configurer un profil professionnel sur son appareil, un utilisateur peut:

  1. Accédez à Paramètres > Google > Configuration et ou restaurer.
  2. Appuyez sur Configurer votre profil professionnel.

Cette procédure permet de lancer un assistant de configuration qui télécharge Android Device Policy sur le appareil. Ensuite, l'utilisateur sera invité à scanner un code QR ou saisir manuellement un jeton d'enregistrement pour terminer la configuration du profil professionnel.

Télécharger Android Device Policy

Android 5.1 ou version ultérieure

Pour configurer un profil professionnel sur son appareil, l'utilisateur peut télécharger Appareil Android Règlement sur le Google Play Store. Une fois l'application installée, l'utilisateur sera invité à saisir un code QR ou à saisir manuellement un un jeton d'enregistrement pour terminer la configuration du profil professionnel.

Android 5.1 ou version ultérieure

Utiliser le jeton d'enregistrement renvoyé par enrollmentTokens.create ou signinEnrollmentToken d'entreprise, générez une URL au format suivant:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Vous pouvez fournir cette URL aux administrateurs informatiques, qui pourront la transmettre à leurs utilisateurs finaux. Lorsqu'un utilisateur final ouvre le lien sur son appareil, il est guidé tout au long la configuration du profil professionnel.

URL de connexion

Avec cette méthode, les utilisateurs sont redirigés vers une page sur laquelle ils peuvent saisir nécessaires pour effectuer le provisionnement. D’après les informations que l’utilisateur saisi, vous pouvez calculer la stratégie appropriée pour l'utilisateur avant de continuer avec le provisionnement des appareils. Exemple :

  1. Indiquez votre URL de connexion dans enterprises.signInDetails[]. Définir allowPersonalUsage sur PERSONAL_USAGE_ALLOWED si vous souhaitez autoriser un utilisateur pour créer un profil professionnel (obligatoire pour les appareils personnels, facultatif pour les appareils détenus par l'entreprise).

    Ajoutez le signinEnrollmentToken obtenu en tant que complément de provisionnement à un QR. code, charge utile NFC ou sans contact. . Vous pouvez également indiquer signinEnrollmentToken directement aux utilisateurs.

  2. Sélectionnez une option :

    1. Appareils détenus par l'entreprise:après l'activation d'un appareil neuf ou réinitialisé l'appareil, transmettez-lui le signinEnrollmentToken (via un code QR, NFC) de coche, par exemple) ou de demander aux utilisateurs de saisir le jeton manuellement. L'appareil va ouvrez l'URL de connexion spécifiée à l'étape 1.
    2. Appareils personnels:demandez aux utilisateurs d'ajouter un profil professionnel depuis "Paramètres". Lorsque l'utilisateur y est invité, scanne un code QR contenant le signinEnrollmentToken ou saisit le manuellement. L'appareil ouvre l'URL de connexion spécifiée à l'étape 1.
    3. Appareils personnels:fournissez aux utilisateurs un jeton d'enregistrement , où le jeton d'enregistrement correspond signinEnrollmentToken L'appareil ouvre l'URL de connexion spécifiée comme indiqué à l'étape 1.
  3. Vérifiez si Google a déjà authentifié l'utilisateur. Obtenir l'appareil les informations de provisionnement (pendant l'enregistrement de l'appareil) à l'aide du paramètre GET. provisioningInfo et recherchez une valeur pour le champ authenticatedUserEmail Si ce champ comporte une valeur, l'utilisateur était déjà authentifiée par Google, et vous pouvez utiliser cette identité sans authentification supplémentaire.

  4. Si Google n'a pas encore authentifié l'utilisateur, votre URL de connexion doit inviter les utilisateurs à saisir leurs identifiants. En vous basant sur son identité, vous définir la règle appropriée et configurer les appareils (lors de l'enregistrement de l'appareil) à l'aide du paramètre GET provisioningInfo

  5. Appelez enrollmentTokens.create, en spécifiant le policyId approprié. en fonction des identifiants de l'utilisateur.

  6. Renvoyez le jeton d'enregistrement généré à l'étape 5 à l'aide de la redirection d'URL, dans le formulaire https://enterprise.google.com/android/enroll?et=<token>.

Méthode par code QR

Android 7.0 et versions ultérieures

Pour provisionner un appareil détenu par l'entreprise, vous pouvez générer un code QR code et affichez-le dans votre console EMM:

  1. Sur un appareil neuf ou réinitialisé, l'utilisateur (généralement un administrateur informatique) appuie sur l'icône écran six fois au même endroit. L'appareil affiche alors une invite de scanner un code QR.
  2. L'utilisateur scanne le code QR affiché dans votre console de gestion (ou application similaire) pour enregistrer et provisionner l'appareil.

Méthode NFC

Android 6.0 ou version ultérieure

Pour utiliser cette méthode, vous devez créer une application de programmeur NFC contenant le paramètre le jeton d'enregistrement, les règles initiales et la configuration Wi-Fi, les paramètres les autres détails de provisionnement requis par votre client pour provisionner un appareil géré ou dédié. Lorsque vous ou votre client installez la technologie NFC une application de programmation sur un appareil Android, cet appareil devient le programmeur appareil.

Vous trouverez des instructions détaillées sur la prise en charge de la méthode NFC dans la plate-forme EMM Play. Développeur d'API dans la documentation Google Cloud. Le site inclut également un exemple de code du modèle par défaut paramètres envoyés à un appareil via NFC. Pour installer Android Device Policy, définissez le téléchargement emplacement du package d'administration de l'appareil vers:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Méthode d'identification DPC

S'il est impossible d'ajouter Android Device Policy à l'aide d'un code QR ou de la NFC, un utilisateur ou un administrateur informatique Pour provisionner un appareil détenu par l'entreprise, procédez comme suit:

  1. Suivez les instructions de l'assistant de configuration sur un appareil neuf ou réinitialisé.
  2. Saisissez les identifiants de connexion Wi-Fi pour connecter l'appareil à Internet.
  3. Lorsque vous êtes invité à vous connecter, saisissez afw#setup, qui permet de télécharger Android Règles relatives aux appareils.
  4. Scannez un code QR ou saisissez manuellement un jeton d'enregistrement pour de provisionner l'appareil.

Inscription sans contact

Android 8.0 ou version ultérieure (Pixel 7.1 ou version ultérieure)

Les appareils achetés auprès d'un revendeur sans contact autorisé sont éligibles à : l'enregistrement sans contact, une méthode simplifiée permettant de préconfigurer des appareils automatiquement au premier démarrage.

Les organisations peuvent créer des configurations contenant des informations de provisionnement leurs appareils sans contact, via le portail d'enregistrement sans contact. ou via votre console EMM (voir l'API client d'enregistrement sans contact). Le premier démarre, un appareil sans contact vérifie si une configuration lui a été attribuée. Si oui, l'appareil télécharge Android Device Policy, qui termine la configuration du appareil à l'aide des extras de provisionnement spécifiés dans la configuration attribuée.

Si vos clients utilisent le portail d'enregistrement sans contact, ils doivent sélectionner Android Device Policy comme DPC EMM pour chaque configuration créer. Des instructions détaillées sur l'utilisation du portail, y compris la création de et attribuer des configurations aux appareils, sont disponibles dans l'Android Enterprise consultez notre centre d'aide.

Si vous préférez que vos clients définissent et attribuent des configurations directement depuis votre EMM, vous devez intégrer l'API client d'enregistrement sans contact. Quand ? créer une configuration, vous spécifiez des options de provisionnement supplémentaires dans la dpcExtras. L'extrait de code JSON suivant montre un exemple de base des éléments à inclure dans dpcExtras, en ajoutant un jeton de connexion.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Lancer une application pendant la configuration

action de configuration
Figure 2 : Utiliser setupActions pour lancer une application pendant la configuration.

Dans policies, vous pouvez spécifier une application pour qu'Android Device Policy puisse être lancé pendant la configuration de l'appareil ou du profil professionnel. Par exemple, vous pouvez lancer une application VPN pour les utilisateurs peuvent configurer les paramètres VPN dans le cadre du processus de configuration. L'application doit renvoyez RESULT_OK pour signaler l'achèvement et autorisez Android Device Policy à terminer le provisionnement de l'appareil ou du profil professionnel. Pour lancer une application pendant la configuration:

Assurez-vous que le installType de l'application est défini sur REQUIRED_FOR_SETUP. Si l'application ne peut pas être installé ou lancé sur l'appareil, le provisionnement échouera.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Ajoutez le nom du package de l'application à setupActions. Utilisez title et description pour spécifier des instructions destinées à l'utilisateur.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Pour distinguer qu'une application est lancée depuis launchApp, l'activité lancé pour la première fois dans l'application contient l'intent booléen supplémentaire com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (définie sur true). Cet extra vous permet de personnaliser votre application lancé à partir de setupActions ou par un utilisateur.

Une fois que l'application a renvoyé RESULT_OK, Android Device Policy termine le processus pour provisionner l'appareil ou le profil professionnel.

Annuler l'enregistrement lors de la configuration

L'application a été lancée avec SetupAction pour annuler l'enregistrement renvoyé. RESULT_FIRST_USER

En annulant l'enregistrement, un appareil détenu par l'entreprise est réinitialisé ou le travail est supprimé. sur un appareil personnel.

Remarque: L'annulation de l'enregistrement déclenche l'action sans utilisateur boîte de dialogue de confirmation. Il est de la responsabilité de l'application d'afficher à l'utilisateur avant de renvoyer RESULT_FIRST_USER.

Appliquer une règle aux appareils nouvellement enregistrés

La méthode à utiliser pour appliquer les règles aux appareils nouvellement enregistrés dépend de vous et aux besoins de vos clients. Voici les différentes approches que vous pouvez utiliser:

  • (Recommandé) Lors de la création d'un jeton d'enregistrement, vous pouvez spécifier le nom de la règle (policyName) qui sera initialement associée à appareil. Lorsque vous enregistrez un appareil avec le jeton, la règle est automatiquement appliquée à l'appareil.

  • Définir une règle comme règle par défaut pour une entreprise. Si aucun nom de règle n'est spécifié dans le jeton d'enregistrement, et une règle portant le nom enterprises/<enterprise_id>/policies/default, chaque nouvel appareil est automatiquement associé à la stratégie par défaut au moment de l'enregistrement.

  • vous abonner à un sujet Cloud Pub/Sub pour : recevoir des notifications concernant les appareils nouvellement enregistrés. En réponse à une Notification ENROLLMENT, appelez enterprises.devices.patch pour associer l'appareil à une règle.

Enregistrer un appareil sans règle

Si un appareil est enregistré sans règle valide, il est placé sur quarantaine. Toutes les fonctionnalités des appareils mis en quarantaine sont bloquées jusqu'à l'appareil est associé à une règle.

Si un appareil n'est associé à aucune règle au bout de cinq minutes, l'enregistrement de l'appareil échoue et la configuration d'usine de l'appareil est rétablie. L'état de l'appareil mis en quarantaine vous donne la possibilité de mettre en place des contrôles de licence ou d'autres validations d'inscription. dans le cadre de votre solution.

Exemple de workflow de vérification des licences

  1. Un appareil est enregistré sans règle par défaut ni règle spécifique.
  2. Vérifiez le nombre de licences restantes dans l'entreprise.
  3. Si des licences sont disponibles, utilisez devices.patch pour joindre un sur l'appareil, puis diminuez le nombre de licences. S'il n'y a pas licences disponibles, utilisez devices.patch pour désactiver l'appareil. L'API rétablit également la configuration d'usine de tout appareil qui n'est pas connecté dans les cinq minutes suivant l'enregistrement.