Obsługa administracyjna polega na konfigurowaniu urządzenia, które ma być zarządzane za pomocą policies
przez enterprise
. W trakcie tego procesu urządzenie instaluje aplikację Android Device Policy, która służy do odbierania i wymuszania stosowania policies
. Jeśli obsługa administracyjna się powiedzie, interfejs API utworzy obiekt devices
, powiążąc urządzenie z firmą.
Interfejs Android Management API używa tokenów rejestracji do aktywowania procesu obsługi administracyjnej. Używany przez Ciebie token rejestracji i metoda obsługi administracyjnej umożliwiają określenie własności urządzenia (należącego do osoby fizycznej lub firmy) i trybu zarządzania (profil służbowy lub w pełni zarządzane urządzenie).
Urządzenia należące do osoby prywatnej
Androida 5.1 lub nowszego
Urządzenia należące do pracowników można skonfigurować przy użyciu profilu służbowego. Profil służbowy zapewnia oddzielną przestrzeń na służbowe aplikacje i dane, niezależnie od aplikacji i danych osobistych. Większość aplikacji, danych i innych funkcji zarządzania policies
ma zastosowanie tylko do profilu służbowego, a osobiste aplikacje i dane pracownika pozostają prywatne.
Aby skonfigurować profil służbowy na urządzeniu należącym do Ciebie, utwórz token rejestracji (upewnij się, że allowPersonalUsage
ma wartość PERSONAL_USAGE_ALLOWED
) i użyj jednej z tych metod obsługi administracyjnej:
- Dodawanie profilu służbowego w sekcji „Ustawienia”
- Pobieranie Android Device Policy
- Link do tokena rejestracji
- Adres URL logowania
Urządzenia należące do firmy do użytku osobistego i służbowego
Androida 8 lub nowszego,
Skonfigurowanie profilu służbowego na urządzeniu należącym do firmy umożliwia zarówno korzystanie z urządzenia służbowego, jak i osobistego. Na należących do firmy urządzeniach z profilami służbowymi:
- Większość funkcji
policies
związanych z aplikacjami, danymi i innymi funkcjami zarządzania działa tylko w profilu służbowym. - Osobisty profil pracownika pozostaje prywatny. Firmy mogą jednak egzekwować pewne zasady dotyczące wszystkich urządzeń i zasady użytkowania osobistego.
- Firmy mogą używać
blockScope
do egzekwowania działań dotyczących zgodności na całym urządzeniu lub tylko w profilu służbowym. devices.delete
i polecenia dotyczące urządzenia dotyczą całego urządzenia.
Aby skonfigurować należące do firmy urządzenie z profilem służbowym, utwórz token rejestracji (upewnij się, że allowPersonalUsage
ma wartość PERSONAL_USAGE_ALLOWED
) i użyj jednej z tych metod obsługi administracyjnej:
Urządzenia należące do firmy tylko do użytku służbowego
Androida 5.1 lub nowszego
Pełne zarządzanie urządzeniami jest odpowiednie na urządzeniach należących do firmy przeznaczonych wyłącznie do celów służbowych. Firmy mogą zarządzać wszystkimi aplikacjami na urządzeniu i egzekwować pełen zakres zasad oraz poleceń interfejsu Android Management API.
Możesz też zablokować urządzenie (za pomocą zasad) na potrzeby pojedynczej aplikacji lub niewielkiego zbioru aplikacji, które spełniają określone wymagania. Ten podzbiór w pełni zarządzanych urządzeń jest nazywany urządzeniami dedykowanymi.
Aby skonfigurować pełne zarządzanie na urządzeniu należącym do firmy, utwórz token rejestracji (upewnij się, że ustawienie allowPersonalUsage
ma wartość PERSONAL_USAGE_DISALLOWED
) i użyj jednej z tych metod obsługi administracyjnej:
- Rejestracja typu Zero-Touch
- Kod QR
- Adres URL logowania (nieodpowiedni na specjalne urządzenia)
- NFC
- Identyfikator DPC
Zasady mogą wpływać na generowanie UI podczas obsługi administracyjnej urządzenia. Do takich zasad należą:
PasswordPolicyScope
: to ustawienie określa wymagania dotyczące haseł.PermittedInputMethods
: określa metody przesyłania pakietu.PermittedAccessibilityServices
: określa, które usługi ułatwień dostępu są dozwolone na w pełni zarządzanych urządzeniach i w profilu służbowym.SetupActions
: określa, jakie działania mają być wykonywane podczas konfiguracji.ApplicationsPolicy
: określa zasady obowiązujące w przypadku danej aplikacji.
Jeśli chcesz, aby instrukcje dotyczące haseł były wyświetlane razem z instalowaniem aplikacji służbowych i kart rejestracji urządzeń podczas obsługi administracyjnej urządzenia, zalecamy zaktualizowanie zasad, aby opóźnić rozpoczęcie generowania interfejsu. Aby to zrobić, pozostaw urządzenie w stanie kwarantanny, co ma miejsce, gdy urządzenie zostanie zarejestrowane bez powiązanych zasad, aż do określenia ostatecznej wybranej zasady konfiguracji urządzenia zawierającej elementy odpowiadające Twoim potrzebom. Po zakończeniu obsługi administracyjnej urządzenia możesz w razie potrzeby zmienić zasady.
Tworzenie tokena rejestracji
Musisz mieć token rejestracji dla każdego urządzenia, które chcesz zarejestrować (tego samego tokena możesz użyć na wielu urządzeniach). Aby poprosić o token rejestracji, wywołaj enterprises.enrollmentTokens.create
. Tokeny rejestracji wygasają domyślnie po godzinie, ale możesz określić niestandardowy czas ważności (duration
) do około 10 000 lat.
Pomyślne żądanie zwraca obiekt enrollmentToken
zawierający enrollmentTokenId
i qrcode
, których administratorzy IT i użytkownicy mogą używać do obsługi administracyjnej urządzeń.
Określ zasadę
Możesz też podać w żądaniu właściwość policyName
, aby stosować zasady w czasie rejestrowania urządzenia. Jeśli nie określisz policyName
, przeczytaj artykuł Rejestrowanie urządzenia bez zasad.
Określ użycie do celów prywatnych
allowPersonalUsage
określa, czy można dodać profil służbowy na urządzeniu podczas obsługi administracyjnej. Ustaw jako PERSONAL_USAGE_ALLOWED
, aby umożliwić użytkownikowi tworzenie profilu służbowego (wymagane w przypadku urządzeń należących do firmy, opcjonalne na urządzeniach należących do firmy).
Informacje o kodach QR
Kody QR stanowią wydajną metodę udostępniania urządzeń w firmach, które stosują wiele różnych zasad. Kod QR zwrócony z enterprises.enrollmentTokens.create
składa się z ładunku par klucz-wartość zawierających token rejestracji i wszystkie informacje potrzebne do obsługi administracyjnej urządzenia przez Android Device Policy.
Przykładowy pakiet z kodem QR
Pakiet zawiera lokalizację pobierania aplikacji Android Device Policy i token rejestracji.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
}
}
Możesz użyć kodu QR zwróconego przez enterprises.enrollmentTokens.create
bezpośrednio lub dostosować go. Pełną listę właściwości, które można uwzględnić w pakiecie z kodem QR, znajdziesz w sekcji Tworzenie kodu QR.
Aby przekonwertować ciąg qrcode
na kod QR, który można zeskanować, użyj generatora kodów QR, takiego jak ZXing.
Metody obsługi administracyjnej
W tej sekcji opisano różne metody obsługi administracyjnej urządzenia.
Dodawanie profilu służbowego w sekcji „Ustawienia”
Androida 5.1 lub nowszego
Aby skonfigurować profil służbowy na swoim urządzeniu, użytkownik może:
- Otwórz Ustawienia > Google > Konfiguracja i przywracanie.
- Kliknij Skonfiguruj profil służbowy.
Te kroki uruchamiają kreatora konfiguracji, który pobiera aplikację Android Device Policy na urządzenie. Następnie użytkownik zostanie poproszony o zeskanowanie kodu QR lub ręczne wpisanie tokena rejestracji w celu ukończenia konfiguracji profilu służbowego.
Pobieranie Android Device Policy
Androida 5.1 lub nowszego
Aby skonfigurować profil służbowy na urządzeniu, użytkownik może pobrać aplikację Android Device Policy ze Sklepu Google Play. Po zainstalowaniu aplikacji użytkownik zostanie poproszony o podanie kodu QR lub ręczne wpisanie tokena rejestracji w celu ukończenia konfiguracji profilu służbowego.
Link do tokena rejestracji
Androida 5.1 lub nowszego
Za pomocą tokena rejestracji zwróconego z enrollmentTokens.create
lub signinEnrollmentToken
firmy wygeneruj URL w tym formacie:
https://enterprise.google.com/android/enroll?et=<enrollmentToken>
Możesz go przekazać administratorom IT, aby mogli przekazać go użytkownikom. Gdy użytkownik otworzy link na swoim urządzeniu, przeprowadzi go przez proces konfiguracji profilu służbowego.
Adres URL logowania
W przypadku tej metody użytkownicy otrzymują adres URL z prośbą o podanie danych logowania. Na podstawie danych logowania użytkownika możesz obliczyć odpowiednią zasadę dla użytkownika przed rozpoczęciem obsługi administracyjnej urządzenia. Na przykład:
Podaj adres URL logowania w
enterprises.signInDetails[]
. UstawallowPersonalUsage
naPERSONAL_USAGE_ALLOWED
, aby zezwolić użytkownikowi na tworzenie profilu służbowego (wymagane w przypadku urządzeń należących do firmy, opcjonalne w przypadku urządzeń należących do firmy).Dodaj uzyskany
signinEnrollmentToken
jako obsługę administracyjną do kodu QR, ładunku NFC lub konfiguracji rejestracji typu zero-touch. Możesz też podać właściwośćsigninEnrollmentToken
bezpośrednio użytkownikom.Wybierz opcję:
- Urządzenia należące do firmy: po włączeniu nowego urządzenia lub zresetowaniu do ustawień fabrycznych przekaż na nie
signinEnrollmentToken
(za pomocą kodu QR, NFC itp.) lub poproś użytkownika o ręczne wpisywanie tokena. Urządzenie otworzy adres URL logowania określony w kroku 1. - Urządzenia należące do osoby prywatnej: poproś użytkowników o dodanie profilu służbowego w „Ustawieniach”. Gdy pojawi się prośba, użytkownik zeskanuje kod QR zawierający
signinEnrollmentToken
lub ręcznie wpisuje token. Urządzenie otworzy adres URL logowania określony w kroku 1. - Urządzenia należące do osoby prywatnej: podaj użytkownikom link z tokenem rejestracji, gdzie tokenem rejestracji jest
signinEnrollmentToken
. Urządzenie otworzy adres URL logowania określony w kroku 1.
- Urządzenia należące do firmy: po włączeniu nowego urządzenia lub zresetowaniu do ustawień fabrycznych przekaż na nie
Twój adres URL logowania powinien zachęcać użytkowników do podania danych logowania. Na podstawie ich tożsamości możesz określić odpowiednie zasady i uzyskać informacje o obsłudze urządzeń (podczas rejestracji urządzenia) za pomocą parametru GET
provisioningInfo
.Wywołaj
enrollmentTokens.create
, określając odpowiednią wartośćpolicyId
na podstawie danych logowania użytkownika.Zwróć token rejestracji wygenerowany w kroku 4 przy użyciu przekierowania adresu URL do formularza
https://enterprise.google.com/android/enroll?et=<token>
.
Metoda z użyciem kodu QR
Android 7.0 lub nowszy
Aby udostępnić urządzenie należące do firmy, możesz wygenerować kod QR i wyświetlić go w konsoli EMM:
- Na nowym urządzeniu lub urządzeniu z przywróconymi ustawieniami fabrycznymi użytkownik (zwykle jest to administrator IT) klika ekran 6 razy w tym samym miejscu. Urządzenie poprosi użytkownika o zeskanowanie kodu QR.
- Użytkownik skanuje kod QR wyświetlany w konsoli zarządzania (lub podobnej aplikacji), aby zarejestrować i udostępnić urządzenie.
Metoda NFC
Androida 6.0 lub nowszego
Ta metoda wymaga utworzenia aplikacji programistycznej NFC, która zawiera token rejestracji, wstępne zasady, konfigurację Wi-Fi i ustawienia oraz wszystkie inne szczegóły obsługi administracyjnej wymagane przez klienta do udostępnienia w pełni zarządzanego lub dedykowanego urządzenia. Gdy Ty lub Twój klient zainstalujecie aplikację programisty NFC na urządzeniu z Androidem, to urządzenie staje się programistą.
Szczegółowe wskazówki dotyczące obsługi metody NFC znajdziesz w dokumentacji dla programistów interfejsu Play EMM API. Zawiera ona też przykładowy kod parametrów domyślnych przekazanych na urządzenie przy użyciu komunikacji NFC. Aby zainstalować Android Device Policy, ustaw lokalizację pobierania pakietu administratora urządzenia na:
https://play.google.com/managed/downloadManagingApp?identifier=setup
Metoda identyfikatora DPC
Jeśli nie można dodać aplikacji Android Device Policy przy użyciu kodu QR lub NFC, użytkownik lub administrator IT może wykonać te czynności, aby udostępnić urządzenie należące do firmy:
- Wykonaj instrukcje kreatora konfiguracji na nowym urządzeniu lub urządzeniu z przywróconymi ustawieniami fabrycznymi.
- Podaj dane logowania do Wi-Fi, aby połączyć urządzenie z internetem.
- Gdy pojawi się prośba o zalogowanie się, wpisz kod afw#setup, aby pobrać aplikację Android Device Policy.
- Zeskanuj kod QR lub ręcznie wpisz token rejestracji, aby udostępnić urządzenie.
Rejestracja typu zero-touch
Android 8.0 lub nowszy (Pixel 7.1 i nowsze)
Urządzenia kupione u autoryzowanego sprzedawcy obsługującego rejestrację typu zero-touch można stosować do rejestracji typu zero-touch, czyli uproszczonej metody ich wstępnego konfigurowania przy pierwszym uruchomieniu.
Organizacje mogą tworzyć konfiguracje zawierające szczegóły obsługi administracyjnej urządzeń z obsługą rejestracji typu zero-touch, korzystając z portalu rejestracji typu zero-touch lub w konsoli EMM (zobacz Interfejs API dla klientów korzystających z rejestracji typu zero-touch). Przy pierwszym uruchomieniu urządzenie do rejestracji typu zero-touch sprawdza, czy ma przypisaną konfigurację. W takim przypadku urządzenie pobiera aplikację Android Device Policy, która następnie kończy konfigurację urządzenia przy użyciu dodatkowych elementów obsługi administracyjnej określonych w przypisanej konfiguracji.
Jeśli Twoi klienci używają portalu rejestracji typu zero-touch, muszą dla każdej konfiguracji wybrać Android Device Policy jako dostawcę usług EMM dla każdej konfiguracji. Szczegółowe instrukcje korzystania z portalu, w tym informacje o tworzeniu i przypisywaniu konfiguracji do urządzeń, znajdziesz w Centrum pomocy Androida Enterprise.
Jeśli chcesz, aby klienci konfigurowali i przypisywali konfiguracje bezpośrednio w konsoli EMM, musisz przeprowadzić integrację z interfejsem API obsługi klienta typu zero-touch. Podczas tworzenia konfiguracji udostępniasz dodatki w polu dpcExtras
. Ten fragment kodu JSON zawiera podstawowy przykład tego, co należy uwzględnić w dpcExtras
z dodanym tokenem logowania.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
}
}
Uruchamianie aplikacji podczas konfiguracji
W policies
możesz określić jedną aplikację Android Device Policy, która będzie uruchamiana podczas konfigurowania urządzenia lub profilu służbowego. Możesz na przykład uruchomić aplikację VPN, aby użytkownicy
mogli konfigurować ustawienia VPN w ramach procesu konfiguracji. Aplikacja musi zwracać kod RESULT_OK
, aby zasygnalizować zakończenie, i umożliwić Android Device Policy ukończenie obsługi administracyjnej urządzenia lub profilu służbowego. Aby uruchomić aplikację podczas konfiguracji:
Upewnij się, że pole installType
aplikacji to REQUIRED_FOR_SETUP
. Jeśli nie da się zainstalować ani uruchomić aplikacji na urządzeniu, obsługa administracyjna się nie powiedzie.
{
"applications":[
{
"packageName":"com.my.vpnapp.",
"installType":"REQUIRED_FOR_SETUP"
}
]
}
Dodaj nazwę pakietu aplikacji do setupActions
. Użyj title
i description
, aby określić instrukcje dla użytkownika.
{
"setupActions":[
{
"title":{
"defaultMessage":"Configure VPN"
},
"description":{
"defaultMessage":"Enable your VPN client to access corporate resources."
},
"launchApp":{
"packageName":"com.my.vpnapp."
}
}
]
}
Aby odróżnić aplikację od launchApp
, aktywność uruchamiana po raz pierwszy jako część aplikacji zawiera dodatkową intencję logiczną com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION
(ustawioną jako true
). Dzięki temu możesz dostosowywać aplikację w zależności od tego, czy została uruchomiona w setupActions
czy przez użytkownika.
Gdy aplikacja zwróci kod RESULT_OK
, Android Device Policy wykona pozostałe czynności wymagane do obsługi administracyjnej urządzenia lub profilu służbowego.
Anuluj rejestrację podczas konfiguracji
Aplikacja uruchomiona jako SetupAction może anulować zwracanie rejestracji RESULT_CANCELED
.
Anulowanie rejestracji spowoduje zresetowanie urządzenia należącego do firmy lub usunięcie profilu służbowego na urządzeniu należącym do firmy.
Uwaga: anulowanie rejestracji powoduje uruchomienie działania bez okna potwierdzenia użytkownika. Przed zwróceniem wyniku aplikacja musi wyświetlić użytkownikowi odpowiednie okno z komunikatem o błędzie.
Zastosuj zasadę do nowo zarejestrowanych urządzeń
Sposób stosowania zasad do nowo zarejestrowanych urządzeń zależy od Ciebie i wymagań Twoich klientów. Oto różne podejścia, których możesz użyć:
(Zalecane) Podczas tworzenia tokena rejestracji możesz podać nazwę zasady (
policyName
), która będzie początkowo połączona z urządzeniem. Gdy zarejestrujesz urządzenie za pomocą tokena, zasady zostaną na nim automatycznie zastosowane.Ustaw zasadę jako domyślną zasadę przedsiębiorstwa. Jeśli w tokenie rejestracji nie określono nazwy zasady, ale istnieje zasada o nazwie
enterprises/<enterprise_id>/policies/default
, każde nowe urządzenie jest automatycznie łączone z tą zasadą w momencie rejestracji.Zasubskrybuj temat Cloud Pub/Sub, by otrzymywać powiadomienia o nowo zarejestrowanych urządzeniach. W odpowiedzi na powiadomienie
ENROLLMENT
wywołajenterprises.devices.patch
, aby połączyć urządzenie z zasadami.
Rejestrowanie urządzenia bez zasad
Jeśli urządzenie jest zarejestrowane bez prawidłowych zasad, jest umieszczane w kwarantannie. Urządzenia poddane kwarantannie są zablokowane i nie mają dostępu do żadnych funkcji, dopóki nie zostaną powiązane z zasadami.
Jeśli urządzenie nie zostanie powiązane z zasadami w ciągu 5 minut, rejestracja nie powiedzie się, a urządzenie zostanie przywrócone do ustawień fabrycznych. Stan urządzenia w kwarantannie umożliwia wdrożenie w ramach rozwiązania kontroli licencji lub innych procesów weryfikacji rejestracji.
Przykładowy proces sprawdzania licencji
- Urządzenie jest zarejestrowane bez domyślnej zasady lub konkretnej zasady.
- Sprawdź, ile licencji zostało jeszcze dla firmy.
- Jeśli są dostępne licencje, użyj
devices.patch
, aby połączyć zasadę z urządzeniem, a następnie zmniejsz liczbę licencji. Jeśli nie ma dostępnych licencji, wyłącz urządzenie za pomocądevices.patch
. Oprócz tego interfejs API przywraca ustawienia fabryczne wszystkich urządzeń, które nie są dołączone do zasad, w ciągu 5 minut od rejestracji.