Penyediaan adalah proses menyiapkan perangkat untuk dikelola menggunakan
policies
oleh enterprise
. Selama proses ini, perangkat menginstal
Android Device Policy, yang digunakan untuk menerima dan menerapkan policies
. Jika
penyediaan berhasil, API akan membuat objek devices
, yang mengikat
perangkat ke perusahaan.
Android Management API menggunakan token pendaftaran untuk memicu proses penyediaan. Token pendaftaran dan metode penyediaan yang Anda gunakan akan menetapkan kepemilikan perangkat (milik pribadi atau milik perusahaan) dan mode pengelolaan (profil kerja atau perangkat terkelola sepenuhnya).
Perangkat milik pribadi
Android 5.1 dan yang lebih baru
Perangkat milik karyawan dapat disiapkan dengan profil kerja. Profil kerja
menyediakan ruang mandiri untuk aplikasi dan data kerja, terpisah dari aplikasi
dan data pribadi. Sebagian besar aplikasi, data, dan pengelolaan lainnya policies
berlaku untuk
profil kerja saja, sedangkan aplikasi dan data pribadi karyawan tetap bersifat pribadi.
Untuk menyiapkan profil kerja di perangkat milik pribadi, buat token
pendaftaran (pastikan allowPersonalUsage
ditetapkan ke
PERSONAL_USAGE_ALLOWED
) dan gunakan salah satu metode penyediaan berikut:
- Menambahkan profil kerja dari "Setelan"
- Mendownload Android Device Policy
- Link token pendaftaran
- URL login
Perangkat milik perusahaan untuk penggunaan kerja dan pribadi
Android 8 dan yang lebih baru
Menyiapkan perangkat milik perusahaan dengan profil kerja memungkinkan perangkat untuk penggunaan kerja dan pribadi. Di perangkat milik perusahaan dengan profil kerja:
- Sebagian besar
policies
aplikasi, data, dan pengelolaan lainnya berlaku untuk profil kerja saja. - Profil pribadi karyawan tetap bersifat pribadi. Namun, perusahaan dapat menerapkan kebijakan tingkat perangkat dan kebijakan penggunaan pribadi tertentu.
- Perusahaan dapat menggunakan
blockScope
untuk menerapkan tindakan kepatuhan di seluruh perangkat atau hanya profil kerjanya. devices.delete
dan perintah perangkat berlaku untuk seluruh perangkat.
Untuk menyiapkan perangkat milik perusahaan dengan profil kerja, buat token
pendaftaran (pastikan
allowPersonalUsage
ditetapkan ke PERSONAL_USAGE_ALLOWED
) dan gunakan salah satu
metode penyediaan berikut:
Perangkat milik perusahaan hanya untuk penggunaan kerja
Android 5.1 dan yang lebih baru
Pengelolaan perangkat penuh cocok untuk perangkat milik perusahaan yang ditujukan secara eksklusif untuk tujuan kerja. Perusahaan dapat mengelola semua aplikasi di perangkat dan dapat menerapkan seluruh spektrum kebijakan dan perintah Android Management API.
Anda juga dapat mengunci perangkat (melalui kebijakan) ke satu aplikasi atau sekumpulan aplikasi kecil untuk melayani tujuan atau kasus penggunaan khusus. Sebagian perangkat terkelola sepenuhnya ini disebut sebagai perangkat khusus.
Untuk menyiapkan pengelolaan penuh di perangkat milik perusahaan, buat token pendaftaran (pastikan allowPersonalUsage
disetel ke PERSONAL_USAGE_DISALLOWED
) dan gunakan salah satu metode penyediaan berikut:
- Pendaftaran zero-touch
- Kode QR
- URL login (tidak cocok untuk perangkat khusus)
- NFC
- ID DPC
Kebijakan dapat memengaruhi pembuatan UI selama penyediaan perangkat. Kebijakan tersebut meliputi:
PasswordPolicyScope
: Opsi ini menentukan persyaratan sandi.PermittedInputMethods
: Metode ini menentukan metode input paket.PermittedAccessibilityServices
: Opsi ini menentukan layanan aksesibilitas yang diizinkan untuk perangkat terkelola sepenuhnya dan profil kerja.SetupActions
: Opsi ini menentukan tindakan yang dijalankan selama penyiapan.ApplicationsPolicy
: Opsi ini menentukan kebijakan untuk setiap aplikasi.
Jika Anda ingin langkah-langkah sandi ditampilkan bersama penginstalan aplikasi kerja dan kartu pendaftaran perangkat selama penyediaan perangkat, sebaiknya perbarui kebijakan Anda untuk menunda inisiasi pembuatan UI dengan menjaga perangkat dalam status karantina, yang terjadi jika didaftarkan tanpa kebijakan terkait, hingga menentukan kebijakan akhir yang dipilih untuk penyiapan perangkat yang diisi dengan item yang relevan dengan kebutuhan penyiapan Anda. Setelah penyediaan perangkat selesai, Anda dapat mengubah kebijakan sesuai yang diperlukan.
Membuat token pendaftaran
Anda memerlukan token pendaftaran untuk setiap perangkat yang ingin didaftarkan (Anda dapat
menggunakan token yang sama untuk beberapa perangkat). Untuk meminta token pendaftaran, panggil
enterprises.enrollmentTokens.create
. Secara default, masa berlaku token pendaftaran berakhir setelah satu jam,tetapi Anda dapat menentukan waktu habis masa berlaku kustom (duration
) hingga sekitar 10.000 tahun.
Permintaan yang berhasil akan menampilkan objek enrollmentToken
yang berisi enrollmentTokenId
dan qrcode
yang dapat digunakan oleh admin IT dan pengguna akhir untuk menyediakan perangkat.
Tentukan kebijakan
Anda mungkin juga ingin menentukan policyName
dalam permintaan untuk menerapkan kebijakan
pada saat perangkat didaftarkan. Jika Anda tidak menentukan policyName
, lihat
Mendaftarkan perangkat tanpa kebijakan.
Menentukan penggunaan pribadi
allowPersonalUsage
menentukan apakah profil kerja dapat ditambahkan ke perangkat
selama penyediaan. Tetapkan ke PERSONAL_USAGE_ALLOWED
untuk mengizinkan pengguna membuat
profil kerja (wajib untuk perangkat milik pribadi, opsional untuk perangkat
milik perusahaan).
Tentang Kode QR
Kode QR berfungsi sebagai metode penyediaan perangkat yang efisien untuk perusahaan yang mengelola berbagai kebijakan yang berbeda. Kode QR yang ditampilkan dari
enterprises.enrollmentTokens.create
terdiri dari payload key-value pair
yang berisi token pendaftaran dan semua informasi yang diperlukan agar Android
Device Policy menyediakan perangkat.
Contoh paket Kode QR
Paket ini mencakup lokasi download Android Device Policy dan token pendaftaran.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
}
}
Anda dapat langsung menggunakan Kode QR yang ditampilkan dari enterprises.enrollmentTokens.create
atau menyesuaikannya. Untuk daftar lengkap properti yang dapat Anda sertakan dalam paket Kode QR, lihat Membuat Kode QR.
Untuk mengonversi string qrcode
menjadi Kode QR yang dapat dipindai, gunakan generator Kode QR
seperti ZXing.
Metode penyediaan
Bagian ini menjelaskan berbagai metode untuk menyediakan perangkat.
Menambahkan profil kerja dari "Setelan"
Android 5.1 dan yang lebih baru
Untuk menyiapkan profil kerja di perangkatnya, pengguna dapat:
- Buka Setelan > Google > Siapkan & pulihkan.
- Ketuk Siapkan profil kerja.
Langkah-langkah ini akan memulai wizard penyiapan yang mendownload Android Device Policy di perangkat. Selanjutnya, pengguna akan diminta untuk memindai kode QR atau memasukkan token pendaftaran secara manual untuk menyelesaikan penyiapan profil kerja.
Mendownload Android Device Policy
Android 5.1 dan yang lebih baru
Untuk menyiapkan profil kerja di perangkatnya, pengguna dapat mendownload Android Device Policy dari Google Play Store. Setelah aplikasi diinstal, pengguna akan diminta untuk memasukkan kode QR atau memasukkan token pendaftaran secara manual untuk menyelesaikan penyiapan profil kerja.
Link token pendaftaran
Android 5.1 dan yang lebih baru
Dengan menggunakan token pendaftaran yang ditampilkan dari enrollmentTokens.create
atau
signinEnrollmentToken
perusahaan,
buat URL dengan format berikut:
https://enterprise.google.com/android/enroll?et=<enrollmentToken>
Anda dapat memberikan URL ini kepada admin IT, yang dapat memberikannya kepada pengguna akhir mereka. Saat pengguna akhir membuka link dari perangkatnya, ia akan dipandu untuk melakukan penyiapan profil kerja.
URL login
Dengan metode ini, pengguna akan diberi URL yang meminta kredensial mereka. Berdasarkan kredensialnya, Anda dapat menghitung kebijakan yang sesuai untuk pengguna sebelum melanjutkan penyediaan perangkat. Contoh:
Tentukan URL login Anda di
enterprises.signInDetails[]
. TetapkanallowPersonalUsage
kePERSONAL_USAGE_ALLOWED
jika Anda ingin mengizinkan pengguna membuat profil kerja (wajib untuk perangkat milik pribadi, opsional untuk perangkat milik perusahaan).Tambahkan
signinEnrollmentToken
yang dihasilkan sebagai tambahan penyediaan ke kode QR, payload NFC, atau Konfigurasi Zero-touch. Atau, Anda dapat memberikansigninEnrollmentToken
kepada pengguna secara langsung.Pilih salah satu opsi:
- Perangkat milik perusahaan: Setelah mengaktifkan perangkat baru atau yang direset
ke setelan pabrik, teruskan
signinEnrollmentToken
ke perangkat tersebut (melalui Kode QR, penempelan NFC, dll.) atau minta pengguna untuk memasukkan token secara manual. Perangkat akan membuka URL login yang ditentukan pada Langkah 1. - Perangkat milik pribadi: Minta pengguna untuk menambahkan profil kerja dari
"Setelan". Saat diminta, pengguna
memindai Kode QR yang berisi
signinEnrollmentToken
atau memasukkan token secara manual. Perangkat akan membuka URL login yang ditentukan pada Langkah 1. - Perangkat milik pribadi: Memberi pengguna link token pendaftaran, dengan token pendaftaran adalah
signinEnrollmentToken
. Perangkat akan membuka URL login yang ditentukan pada Langkah 1.
- Perangkat milik perusahaan: Setelah mengaktifkan perangkat baru atau yang direset
ke setelan pabrik, teruskan
URL login Anda akan meminta pengguna untuk memasukkan kredensial mereka. Berdasarkan identitasnya, Anda dapat menentukan kebijakan yang sesuai dan mendapatkan informasi penyediaan perangkat (selama pendaftaran perangkat) menggunakan parameter GET
provisioningInfo
.Panggil
enrollmentTokens.create
, yang menentukanpolicyId
yang sesuai berdasarkan kredensial pengguna.Tampilkan token pendaftaran yang dibuat pada Langkah 4 menggunakan pengalihan URL, dalam formulir
https://enterprise.google.com/android/enroll?et=<token>
.
Metode Kode QR
Android 7.0 dan yang lebih baru
Untuk menyediakan perangkat milik perusahaan, Anda dapat membuat kode QR dan menampilkannya di konsol EMM:
- Pada perangkat baru atau yang direset ke setelan pabrik, pengguna (biasanya admin IT) mengetuk layar enam kali di tempat yang sama. Tindakan ini akan memicu perangkat untuk meminta pengguna memindai Kode QR.
- Pengguna memindai Kode QR yang Anda tampilkan di konsol pengelolaan (atau aplikasi serupa) untuk mendaftarkan dan menyediakan perangkat.
Metode NFC
Android 6.0 dan yang lebih baru
Metode ini mengharuskan Anda membuat aplikasi programmer NFC yang berisi token pendaftaran, kebijakan awal dan konfigurasi Wi-Fi, setelan, serta semua detail penyediaan lainnya yang diperlukan oleh pelanggan untuk menyediakan perangkat khusus yang terkelola sepenuhnya. Saat Anda atau pelanggan menginstal aplikasi pemrogram NFC di perangkat Android, perangkat tersebut akan menjadi perangkat pemrogram.
Panduan mendetail tentang cara mendukung metode NFC tersedia dalam dokumentasi developer Play EMM API. Situs ini juga menyertakan kode contoh parameter default yang dikirim ke perangkat pada penempelan NFC. Untuk menginstal Android Device Policy, tetapkan lokasi download paket admin perangkat ke:
https://play.google.com/managed/downloadManagingApp?identifier=setup
Metode ID DPC
Jika Android Device Policy tidak dapat ditambahkan menggunakan Kode QR atau NFC, pengguna atau admin IT dapat mengikuti langkah-langkah berikut untuk menyediakan perangkat milik perusahaan:
- Ikuti wizard penyiapan pada perangkat baru atau yang direset ke setelan pabrik.
- Masukkan detail login Wi-Fi untuk menghubungkan perangkat ke internet.
- Saat diminta untuk login, masukkan afw#setup, yang akan mendownload Android Device Policy.
- Pindai kode QR atau masukkan token pendaftaran secara manual untuk menyediakan perangkat.
Pendaftaran zero-touch
Android 8.0+ (Pixel 7.1+)
Perangkat yang dibeli dari reseller zero-touch resmi memenuhi syarat untuk pendaftaran zero-touch, yaitu metode yang disederhanakan untuk melakukan prakonfigurasi perangkat agar otomatis disediakan saat booting pertama.
Organisasi dapat membuat konfigurasi yang berisi detail penyediaan untuk perangkat zero-touch mereka, baik melalui portal pendaftaran zero-touch atau menggunakan konsol EMM (lihat API pelanggan zero-touch). Saat booting pertama, perangkat zero-touch akan memeriksa apakah konfigurasi telah ditetapkan. Jika demikian, perangkat akan mendownload Android Device Policy, yang kemudian menyelesaikan penyiapan perangkat menggunakan tambahan penyediaan yang ditentukan dalam konfigurasi yang ditetapkan.
Jika pelanggan Anda menggunakan portal pendaftaran zero-touch, mereka harus memilih Kebijakan Perangkat Android sebagai DPC EMM untuk setiap konfigurasi yang mereka buat. Petunjuk mendetail tentang cara menggunakan portal, termasuk cara membuat dan menetapkan konfigurasi ke perangkat, tersedia di pusat bantuan Android Enterprise.
Jika Anda lebih suka pelanggan untuk menyetel dan menetapkan konfigurasi langsung dari konsol EMM, Anda harus melakukan integrasi dengan zero-touch customer API. Saat membuat konfigurasi, Anda menentukan tambahan penyediaan di kolom dpcExtras
. Cuplikan JSON berikut menunjukkan contoh dasar tentang apa yang harus
disertakan di dpcExtras
, dengan token login yang ditambahkan.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
}
}
Meluncurkan aplikasi selama penyiapan
Di policies
, Anda dapat menentukan satu aplikasi untuk diluncurkan oleh Android Device Policy
selama penyiapan perangkat atau profil kerja. Misalnya, Anda dapat meluncurkan aplikasi VPN agar
pengguna dapat mengonfigurasi setelan VPN sebagai bagian dari proses penyiapan. Aplikasi harus
menampilkan RESULT_OK
untuk menandakan penyelesaian dan mengizinkan Android Device Policy
menyelesaikan penyediaan perangkat atau profil kerja. Untuk meluncurkan aplikasi selama penyiapan:
Pastikan installType
aplikasi adalah REQUIRED_FOR_SETUP
. Jika aplikasi tidak dapat
diinstal atau diluncurkan di perangkat, penyediaan akan gagal.
{
"applications":[
{
"packageName":"com.my.vpnapp.",
"installType":"REQUIRED_FOR_SETUP"
}
]
}
Tambahkan nama paket aplikasi ke setupActions
. Gunakan title
dan description
untuk
menentukan petunjuk yang ditampilkan kepada pengguna.
{
"setupActions":[
{
"title":{
"defaultMessage":"Configure VPN"
},
"description":{
"defaultMessage":"Enable your VPN client to access corporate resources."
},
"launchApp":{
"packageName":"com.my.vpnapp."
}
}
]
}
Untuk membedakan apakah aplikasi diluncurkan dari launchApp
, aktivitas yang
pertama kali diluncurkan sebagai bagian dari aplikasi akan berisi tambahan intent boolean
com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION
(disetel ke
true
). Tambahan ini memungkinkan Anda menyesuaikan aplikasi berdasarkan apakah aplikasi
diluncurkan dari setupActions
atau oleh pengguna.
Setelah aplikasi menampilkan RESULT_OK
, Android Device Policy akan menyelesaikan langkah
yang tersisa yang diperlukan untuk menyediakan perangkat atau profil kerja.
Batalkan pendaftaran selama penyiapan
Aplikasi yang diluncurkan sebagai SetupAction dapat membatalkan pendaftaran yang ditampilkan
RESULT_CANCELED
.
Membatalkan pendaftaran akan mereset perangkat milik perusahaan atau menghapus profil kerja di perangkat milik pribadi.
Catatan: Membatalkan pendaftaran akan memicu tindakan tanpa dialog konfirmasi pengguna. Aplikasi bertanggung jawab untuk menampilkan dialog error yang sesuai kepada pengguna sebelum menampilkan hasil.
Menerapkan kebijakan ke perangkat yang baru didaftarkan
Metode yang digunakan untuk menerapkan kebijakan ke perangkat yang baru didaftarkan bergantung pada Anda dan persyaratan pelanggan Anda. Berikut adalah berbagai pendekatan yang dapat Anda gunakan:
(Direkomendasikan) Saat membuat token pendaftaran, Anda dapat menentukan nama kebijakan (
policyName
) yang akan ditautkan ke perangkat terlebih dahulu. Saat Anda mendaftarkan perangkat dengan token tersebut, kebijakan akan otomatis diterapkan ke perangkat tersebut.Menetapkan kebijakan sebagai kebijakan default untuk perusahaan. Jika tidak ada nama kebijakan yang ditentukan dalam token pendaftaran dan ada kebijakan dengan nama
enterprises/<enterprise_id>/policies/default
, setiap perangkat baru akan otomatis ditautkan ke kebijakan default pada saat pendaftaran.Berlanggananlah ke topik Cloud Pub/Sub untuk menerima notifikasi tentang perangkat yang baru didaftarkan. Sebagai respons atas notifikasi
ENROLLMENT
, panggilenterprises.devices.patch
untuk menautkan perangkat dengan kebijakan.
Mendaftarkan perangkat tanpa kebijakan
Jika perangkat didaftarkan tanpa kebijakan yang valid, perangkat tersebut akan dimasukkan ke dalam karantina. Perangkat yang dikarantina akan diblokir dari semua fungsi perangkat hingga perangkat ditautkan ke kebijakan.
Jika perangkat tidak ditautkan ke kebijakan dalam lima menit, pendaftaran perangkat akan gagal dan perangkat akan direset ke setelan pabrik. Status perangkat karantina memberi Anda peluang untuk menerapkan pemeriksaan pemberian lisensi atau proses validasi pendaftaran lainnya sebagai bagian dari solusi Anda.
Contoh alur kerja pemeriksaan pemberian lisensi
- Perangkat didaftarkan tanpa kebijakan default atau kebijakan tertentu.
- Periksa jumlah lisensi yang dimiliki perusahaan.
- Jika ada lisensi yang tersedia, gunakan
devices.patch
untuk melampirkan kebijakan ke perangkat, lalu kurangi jumlah lisensi Anda. Jika tidak ada lisensi yang tersedia, gunakandevices.patch
untuk menonaktifkan perangkat. Atau, API akan mereset perangkat apa pun yang tidak terpasang ke kebijakan ke setelan pabrik dalam waktu lima menit setelah pendaftaran.