Bereitstellung ist das Einrichten eines Geräts, das mit policies
von einem enterprise
verwaltet werden soll. Während des Vorgangs installiert ein Gerät die Android Device Policy App, mit der policies
empfangen und erzwungen wird. Wenn die Bereitstellung erfolgreich ist, erstellt die API ein devices
-Objekt und bindet das Gerät an ein Unternehmen.
Die Android Management API verwendet Registrierungstokens, um den Bereitstellungsprozess auszulösen. Mit dem von Ihnen verwendeten Registrierungstoken und der von Ihnen verwendeten Bereitstellungsmethode werden die Inhaberschaft (persönlich oder unternehmenseigen) und der Verwaltungsmodus (Arbeitsprofil oder vollständig verwaltetes Gerät) eines Geräts festgelegt.
Private Geräte
Android 5.1 und höher
Für Geräte, die Mitarbeitern gehören, kann ein Arbeitsprofil eingerichtet werden. Ein Arbeitsprofil ist ein eigenständiger Bereich für geschäftliche Apps und Daten, der von privaten Apps und Daten getrennt ist. Die meisten Apps, Daten und andere Verwaltungs-policies
gelten nur für das Arbeitsprofil, während die privaten Apps und Daten des Mitarbeiters privat bleiben.
Wenn Sie ein Arbeitsprofil auf einem privaten Gerät einrichten möchten, erstellen Sie ein Registrierungstoken. Achten Sie dabei darauf, dass allowPersonalUsage
auf PERSONAL_USAGE_ALLOWED
gesetzt ist. Verwenden Sie dann eine der folgenden Bereitstellungsmethoden:
- Arbeitsprofil in den Einstellungen hinzufügen
- Android Device Policy herunterladen
- Link für Registrierungstoken
- Anmelde-URL
Unternehmenseigene Geräte für die Arbeit und den privaten Gebrauch
Android 8 oder höher
Wenn Sie ein unternehmenseigenes Gerät mit einem Arbeitsprofil einrichten, können Sie es sowohl für die Arbeit als auch für den privaten Gebrauch nutzen. Auf unternehmenseigenen Geräten mit Arbeitsprofilen:
- Die meisten Verwaltungs-
policies
für Apps, Daten und andere Funktionen gelten nur für das Arbeitsprofil. - Das private Profil des Mitarbeiters bleibt privat. Unternehmen können jedoch bestimmte geräteweite Richtlinien und Richtlinien zur privaten Nutzung durchsetzen.
- Unternehmen können mit
blockScope
Complianceaktionen auf einem gesamten Gerät oder nur auf seinem Arbeitsprofil erzwingen. devices.delete
- und Gerätebefehle gelten für ein ganzes Gerät.
Wenn Sie ein unternehmenseigenes Gerät mit einem Arbeitsprofil einrichten möchten, erstellen Sie ein Registrierungstoken (achten Sie darauf, dass allowPersonalUsage
auf PERSONAL_USAGE_ALLOWED
gesetzt ist) und verwenden Sie eine der folgenden Bereitstellungsmethoden:
Unternehmenseigene Geräte, die nur für die Arbeit verwendet werden
Android 5.1 und höher
Die vollständige Geräteverwaltung eignet sich für unternehmenseigene Geräte, die ausschließlich für die Arbeit verwendet werden. Unternehmen können alle Apps auf dem Gerät verwalten und das gesamte Spektrum der Android Management API-Richtlinien und -Befehle erzwingen.
Es ist auch möglich, ein Gerät über eine Richtlinie auf eine einzelne App oder eine kleine Gruppe von Apps zu sperren, die einem bestimmten Zweck oder Anwendungsfall dienen. Diese Teilmenge der vollständig verwalteten Geräte wird als dedizierte Geräte bezeichnet.
Wenn Sie die vollständige Verwaltung auf einem unternehmenseigenen Gerät einrichten möchten, erstellen Sie ein Registrierungstoken und achten Sie darauf, dass allowPersonalUsage
auf PERSONAL_USAGE_DISALLOWED
gesetzt ist. Verwenden Sie dann eine der folgenden Bereitstellungsmethoden:
- Zero-Touch-Registrierung
- QR-Code
- Anmelde-URL (nicht für zweckbestimmte Geräte geeignet)
- NFC
- DPC-Kennung
Richtlinien können sich auf die Erstellung der UI während der Gerätebereitstellung auswirken. Dies sind die Richtlinien:
PasswordPolicyScope
: Damit werden die Passwortanforderungen festgelegt.PermittedInputMethods
: Hiermit werden die Eingabemethoden für Pakete festgelegt.PermittedAccessibilityServices
: Hiermit wird festgelegt, welche Bedienungshilfen für vollständig verwaltete Geräte und Arbeitsprofile zulässig sind.SetupActions
: Damit wird festgelegt, welche Aktionen während der Einrichtung ausgeführt werden.ApplicationsPolicy
: Hiermit wird die Richtlinie für eine einzelne App festgelegt.
Wenn Sie möchten, dass neben der Installation von geschäftlichen Apps und Geräteregisterkarten während der Gerätebereitstellung Schritte für das Passwort angezeigt werden, sollten Sie Ihre Richtlinien aktualisieren. Dadurch verzögert sich die Generierung der UI. Das Gerät bleibt im Quarantänestatus, wenn es ohne zugehörige Richtlinie registriert ist, bis Sie die endgültige ausgewählte Richtlinie für die Geräteeinrichtung mit Elementen angeben, die für Ihre Einrichtungsanforderungen relevant sind. Sobald die Bereitstellung des Geräts abgeschlossen ist, können Sie die Richtlinie nach Bedarf ändern.
Registrierungstoken erstellen
Sie benötigen für jedes Gerät, das Sie registrieren möchten, ein Registrierungstoken. Sie können dasselbe Token für mehrere Geräte verwenden. Rufen Sie enterprises.enrollmentTokens.create
auf, um ein Registrierungstoken anzufordern. Registrierungstokens laufen standardmäßig nach einer Stunde ab. Sie können aber eine benutzerdefinierte Ablaufzeit (duration
) von bis zu etwa 10.000 Jahren angeben.
Eine erfolgreiche Anfrage gibt ein enrollmentToken
-Objekt mit einer enrollmentTokenId
und einem qrcode
zurück, mit denen IT-Administratoren und Endnutzer Geräte bereitstellen können.
Richtlinie angeben
Sie können auch eine policyName
in der Anfrage angeben, um eine Richtlinie bei der Registrierung eines Geräts anzuwenden. Wenn Sie keine policyName
angeben, lesen Sie Gerät ohne Richtlinie registrieren.
Persönliche Nutzung angeben
allowPersonalUsage
legt fest, ob dem Gerät während der Bereitstellung ein Arbeitsprofil hinzugefügt werden kann. Legen Sie PERSONAL_USAGE_ALLOWED
fest, damit Nutzer ein Arbeitsprofil erstellen können (erforderlich für private Geräte, optional für unternehmenseigene Geräte).
QR-Codes
QR-Codes sind eine effiziente Methode zur Gerätebereitstellung in Unternehmen, die viele verschiedene Richtlinien einhalten. Der von enterprises.enrollmentTokens.create
zurückgegebene QR-Code besteht aus einer Nutzlast von Schlüssel/Wert-Paaren, die ein Registrierungstoken und alle Informationen enthalten, die Android Device Policy für die Bereitstellung eines Geräts benötigt.
Beispiel für ein QR-Code-Bundle
Das Bundle enthält den Downloadspeicherort von Android Device Policy und ein Registrierungstoken.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
}
}
Sie können den von enterprises.enrollmentTokens.create
zurückgegebenen QR-Code direkt verwenden oder ihn anpassen. Eine vollständige Liste der Eigenschaften, die Sie in ein QR-Code-Bundle aufnehmen können, finden Sie unter QR-Code erstellen.
Verwenden Sie einen QR-Code-Generator wie ZXing, um den qrcode
-String in einen scannbaren QR-Code zu konvertieren.
Bereitstellungsmethoden
In diesem Abschnitt werden verschiedene Methoden zur Bereitstellung eines Geräts beschrieben.
Arbeitsprofil über „Einstellungen“ hinzufügen
Android 5.1 und höher
Nutzer haben folgende Möglichkeiten, ein Arbeitsprofil auf ihrem Gerät einzurichten:
- Gehen Sie zu Einstellungen > Google > Einrichten & wiederherstellen.
- Tippen Sie auf Arbeitsprofil einrichten.
Mit diesen Schritten wird ein Einrichtungsassistent gestartet, der Android Device Policy auf das Gerät herunterlädt. Als Nächstes wird der Nutzer aufgefordert, einen QR-Code zu scannen oder manuell ein Registrierungstoken einzugeben, um die Einrichtung des Arbeitsprofils abzuschließen.
Android Device Policy herunterladen
Android 5.1 und höher
Nutzer können die Android Device Policy aus dem Google Play Store herunterladen, um ein Arbeitsprofil auf ihrem Gerät einzurichten. Nach der Installation der App wird der Nutzer aufgefordert, einen QR-Code einzugeben oder manuell ein Registrierungstoken einzugeben, um die Einrichtung des Arbeitsprofils abzuschließen.
Link zu Registrierungstoken
Android 5.1 und höher
Generieren Sie mit dem von enrollmentTokens.create
oder der signinEnrollmentToken
des Unternehmens zurückgegebenen Registrierungstoken eine URL im folgenden Format:
https://enterprise.google.com/android/enroll?et=<enrollmentToken>
Sie können diese URL an IT-Administratoren weitergeben, damit diese sie an ihre Endnutzer weitergeben können. Wenn ein Endnutzer den Link auf seinem Gerät öffnet, wird er durch die Einrichtung des Arbeitsprofils geführt.
Anmelde-URL
Bei dieser Methode erhalten Nutzer eine URL, über die sie zur Eingabe ihrer Anmeldedaten aufgefordert werden. Anhand der Anmeldedaten können Sie die entsprechende Richtlinie für den Nutzer berechnen, bevor Sie mit der Gerätebereitstellung fortfahren. Beispiel:
Geben Sie Ihre Anmelde-URL in
enterprises.signInDetails[]
an. Legen SieallowPersonalUsage
aufPERSONAL_USAGE_ALLOWED
fest, wenn Sie einem Nutzer erlauben möchten, ein Arbeitsprofil zu erstellen (erforderlich für private Geräte, optional für unternehmenseigene Geräte).Fügen Sie das resultierende
signinEnrollmentToken
als zusätzliche Nutzerverwaltung einem QR-Code, einer NFC-Nutzlast oder einer Zero-Touch-Konfiguration hinzu. Alternativ können Sie Nutzern diesigninEnrollmentToken
direkt zur Verfügung stellen.Wählen Sie eine Option aus:
- Unternehmenseigene Geräte:Nachdem Sie ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät eingeschaltet haben, geben Sie die
signinEnrollmentToken
an das Gerät weiter (über QR-Code, NFC Bump usw.) oder bitten Sie die Nutzer, das Token manuell einzugeben. Das Gerät öffnet die in Schritt 1 angegebene Anmelde-URL. - Private Geräte:Bitten Sie die Nutzer, in den Einstellungen ein Arbeitsprofil hinzuzufügen. Wenn der Nutzer dazu aufgefordert wird, scannt er einen QR-Code mit
signinEnrollmentToken
oder gibt das Token manuell ein. Auf dem Gerät wird die in Schritt 1 angegebene Anmelde-URL geöffnet. - Private Geräte:Stelle Nutzern einen Registrierungstoken-Link bereit. Das Registrierungstoken ist dabei
signinEnrollmentToken
. Auf dem Gerät wird die in Schritt 1 angegebene Anmelde-URL geöffnet.
- Unternehmenseigene Geräte:Nachdem Sie ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät eingeschaltet haben, geben Sie die
Über Ihre Anmelde-URL sollten Nutzer dazu aufgefordert werden, ihre Anmeldedaten einzugeben. Mit dem GET-Parameter
provisioningInfo
können Sie anhand der Identität die entsprechende Richtlinie ermitteln und während der Geräteregistrierung Informationen zur Gerätebereitstellung abrufen.Rufen Sie
enrollmentTokens.create
auf und geben Sie dabei die entsprechendepolicyId
basierend auf den Anmeldedaten des Nutzers an.Geben Sie das in Schritt 4 generierte Registrierungstoken mithilfe der URL-Weiterleitung im Format
https://enterprise.google.com/android/enroll?et=<token>
zurück.
QR-Code-Methode
Android 7.0 oder höher
Wenn Sie ein unternehmenseigenes Gerät bereitstellen möchten, können Sie einen QR-Code generieren und in Ihrer EMM-Konsole anzeigen lassen:
- Auf einem neuen oder auf die Werkseinstellungen zurückgesetzten Gerät tippt der Nutzer (in der Regel ein IT-Administrator) sechsmal an derselben Stelle auf den Bildschirm. Dadurch fordert das Gerät den Nutzer auf, einen QR-Code zu scannen.
- Der Nutzer scannt den QR-Code, den Sie in Ihrer Verwaltungskonsole (oder einer ähnlichen Anwendung) anzeigen, um das Gerät zu registrieren und bereitzustellen.
NFC-Methode
Android 6.0 oder höher
Bei dieser Methode müssen Sie eine NFC-Programmer-App erstellen, die das Registrierungstoken, die anfänglichen Richtlinien, die WLAN-Konfiguration, die Einstellungen und alle anderen Bereitstellungsdetails enthält, die Ihr Kunde benötigt, um ein vollständig verwaltetes oder dediziertes Gerät bereitzustellen. Wenn du oder dein Kunde die NFC-Programmer-App auf einem Android-Gerät installieren, wird dieses Gerät zum Programmer-Gerät.
Eine ausführliche Anleitung zur Unterstützung der NFC-Methode finden Sie in der Entwicklerdokumentation zur Play EMM API. Die Website enthält auch Beispielcode der Standardparameter, die auf einem NFC-Bump auf ein Gerät übertragen werden. Legen Sie zum Installieren der Android Device Policy den Downloadpfad des Geräteverwaltungspakets auf folgenden Wert fest:
https://play.google.com/managed/downloadManagingApp?identifier=setup
DPC-Kennungsmethode
Wenn die Android Device Policy App nicht per QR-Code oder NFC hinzugefügt werden kann, kann ein Nutzer oder IT-Administrator diese Schritte ausführen, um ein unternehmenseigenes Gerät bereitzustellen:
- Folgen Sie dem Einrichtungsassistenten auf einem neuen oder auf die Werkseinstellungen zurückgesetzten Gerät.
- Gib die Wifi-Anmeldedaten ein, um das Gerät mit dem Internet zu verbinden.
- Wenn Sie zur Anmeldung aufgefordert werden, geben Sie afw#setup ein, um die Android Device Policy App herunterzuladen.
- Scannen Sie einen QR-Code oder geben Sie manuell ein Registrierungstoken ein, um das Gerät bereitzustellen.
Zero-Touch-Registrierung
Android 8.0 oder höher (Pixel 7.1 und höher)
Geräte, die bei einem autorisierten Zero-Touch-Reseller erworben wurden, können für die Zero-Touch-Registrierung verwendet werden. Dies ist eine optimierte Methode zur Vorkonfiguration von Geräten, die sich beim ersten Start automatisch bereitstellen.
Organisationen können Konfigurationen mit Bereitstellungsdetails für ihre Zero-Touch-Geräte erstellen, entweder über das Portal für die Zero-Touch-Registrierung oder über Ihre EMM-Konsole (siehe Zero-Touch-Kunden-API). Beim ersten Start prüft ein Zero-Touch-Gerät, ob ihm eine Konfiguration zugewiesen wurde. In diesem Fall lädt das Gerät die Android Device Policy herunter und schließt die Einrichtung des Geräts mithilfe der in der zugewiesenen Konfiguration angegebenen Bereitstellungsextras ab.
Wenn Ihre Kunden das Portal für die Zero-Touch-Registrierung verwenden, müssen sie für jede von ihnen erstellte Konfiguration Android Device Policy als EMM-DPC auswählen. Eine ausführliche Anleitung zur Nutzung des Portals, einschließlich der Erstellung und Zuweisung von Konfigurationen zu Geräten, finden Sie in der Android Enterprise-Hilfe.
Wenn Ihre Kunden Konfigurationen direkt über Ihre EMM-Konsole festlegen und zuweisen sollen, müssen Sie die Zero-Touch-Kunden-API einbinden. Beim Erstellen einer Konfiguration geben Sie im Feld dpcExtras
die Bereitstellung von Extras an. Das folgende JSON-Snippet zeigt ein einfaches Beispiel dafür, was in dpcExtras
enthalten sein muss, mit einem hinzugefügten Anmeldetoken.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
}
}
App während der Einrichtung starten
In policies
können Sie eine App für die Android Device Policy angeben, die während der Einrichtung des Geräts oder Arbeitsprofils gestartet wird. Sie könnten beispielsweise eine VPN-Anwendung starten, damit Nutzer während der Einrichtung VPN-Einstellungen konfigurieren können. Die App muss RESULT_OK
zurückgeben, um den Abschluss zu signalisieren und Android Device Policy erlauben, die Bereitstellung des Geräts oder Arbeitsprofils abzuschließen. So starten Sie eine App während der Einrichtung:
Achten Sie darauf, dass die installType
der App REQUIRED_FOR_SETUP
ist. Wenn die App nicht auf dem Gerät installiert oder gestartet werden kann, schlägt die Bereitstellung fehl.
{
"applications":[
{
"packageName":"com.my.vpnapp.",
"installType":"REQUIRED_FOR_SETUP"
}
]
}
Fügen Sie setupActions
den Paketnamen der App hinzu. Verwenden Sie title
und description
, um Anweisungen für Nutzer anzugeben.
{
"setupActions":[
{
"title":{
"defaultMessage":"Configure VPN"
},
"description":{
"defaultMessage":"Enable your VPN client to access corporate resources."
},
"launchApp":{
"packageName":"com.my.vpnapp."
}
}
]
}
Zur Unterscheidung, ob eine App über launchApp
gestartet wurde, enthält die Aktivität, die erstmals als Teil der App gestartet wird, das boolesche Extra-Intent com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION
(auf true
gesetzt). Mit diesem Extra kannst du deine App je nachdem, ob sie über setupActions
oder von einem Nutzer gestartet wurde, anpassen.
Nachdem die App RESULT_OK
zurückgegeben hat, führt Android Device Policy alle verbleibenden Schritte aus, die zur Bereitstellung des Geräts oder Arbeitsprofils erforderlich sind.
Registrierung während der Einrichtung abbrechen
Die als SetupAction gestartete App kann die Registrierung abbrechen, die RESULT_CANCELED
zurückgibt.
Durch Abbrechen der Registrierung wird ein unternehmenseigenes Gerät zurückgesetzt oder das Arbeitsprofil auf einem privaten Gerät gelöscht.
Hinweis: Durch das Abbrechen der Registrierung wird die Aktion ohne ein Dialogfeld zur Bestätigung des Nutzers ausgelöst. Die Anwendung ist dafür verantwortlich, dem Nutzer einen entsprechenden Fehlerdialog anzuzeigen, bevor ein Ergebnis zurückgegeben wird.
Richtlinie auf neu registrierte Geräte anwenden
Wie Sie Richtlinien auf neu registrierte Geräte anwenden, hängt von Ihnen und den Anforderungen Ihrer Kunden ab. Hier sind die verschiedenen Ansätze, die Sie verwenden können:
(Empfohlen) Wenn Sie ein Registrierungstoken erstellen, können Sie den Namen der Richtlinie (
policyName
) angeben, die zuerst mit dem Gerät verknüpft wird. Wenn Sie ein Gerät mit dem Token registrieren, wird die Richtlinie automatisch auf das Gerät angewendet.Legen Sie eine Richtlinie als Standardrichtlinie für ein Unternehmen fest. Wenn im Registrierungstoken kein Richtlinienname angegeben ist und eine Richtlinie mit dem Namen
enterprises/<enterprise_id>/policies/default
vorhanden ist, wird jedes neue Gerät bei der Registrierung automatisch mit der Standardrichtlinie verknüpft.Abonnieren Sie ein Cloud Pub/Sub-Thema, um Benachrichtigungen über neu registrierte Geräte zu erhalten. Als Reaktion auf eine
ENROLLMENT
-Benachrichtigung rufen Sieenterprises.devices.patch
auf, um das Gerät mit einer Richtlinie zu verknüpfen.
Gerät ohne Richtlinie registrieren
Wenn ein Gerät ohne gültige Richtlinie registriert wird, wird es in Quarantäne gestellt. Geräte in Quarantäne werden für alle Gerätefunktionen blockiert, bis sie mit einer Richtlinie verknüpft sind.
Wenn ein Gerät nicht innerhalb von fünf Minuten mit einer Richtlinie verknüpft ist, schlägt die Geräteregistrierung fehl und das Gerät wird auf die Werkseinstellungen zurückgesetzt. Wenn Sie den Gerätestatus unter Quarantäne stellen, haben Sie die Möglichkeit, Lizenzierungsprüfungen oder andere Validierungsprozesse für die Registrierung als Teil Ihrer Lösung zu implementieren.
Beispiel für einen Workflow zur Lizenzierungsprüfung
- Ein Gerät wird ohne eine Standardrichtlinie oder bestimmte Richtlinie registriert.
- Prüfen Sie, wie viele Lizenzen das Unternehmen noch hat.
- Wenn Lizenzen verfügbar sind, verwenden Sie
devices.patch
, um eine Richtlinie an das Gerät anzuhängen, und verringern dann die Anzahl der Lizenzen. Wenn keine Lizenzen verfügbar sind, verwenden Siedevices.patch
, um das Gerät zu deaktivieren. Alternativ setzt die API jedes Gerät, das nicht mit einer Richtlinie verknüpft ist, innerhalb von fünf Minuten nach der Registrierung auf die Werkseinstellungen zurück.