Ta strona została przetłumaczona przez Cloud Translation API.

Rejestrowanie i udostępnianie urządzenia

Obsługa administracyjna to proces konfigurowania urządzenia, które ma być zarządzane za pomocą policies, autor: enterprise. W trakcie tego procesu urządzenie instaluje Android Device Policy, który służy do odbierania i wymuszania dostępu do policies. Jeśli udostępnianie działa, interfejs API tworzy obiekt devices, wiąże urządzeń w firmie.

Interfejs Android Management API aktywuje obsługę administracyjną przy użyciu tokenów rejestracji proces tworzenia konta. Token rejestracji i metoda obsługi administracyjnej, których używasz, tworzą informacje o własności urządzenia (należące do firmy lub urządzenia osobistego) i tryb zarządzania (praca profilu lub urządzenia w pełni zarządzanego).

Urządzenia prywatne

Androida 5.1 lub nowszego

Urządzenia należące do pracowników można skonfigurować przy użyciu profilu służbowego. Profil służbowy zapewnia niezależne miejsce na służbowe aplikacje i dane, oddzielone od osobistych aplikacji i danych. Większość aplikacji, danych i innych opcji zarządzania policies ma zastosowanie do profilu służbowego, a prywatne aplikacje i dane pracownika pozostają prywatne.

Aby skonfigurować profil służbowy na urządzeniu należącym do użytkownika, utwórz rejestrację token (upewnij się, że allowPersonalUsage ma wartość PERSONAL_USAGE_ALLOWED) i użyj jednej z tych metod obsługi administracyjnej:

Dodawanie profilu służbowego w sekcji „Ustawienia”
Pobierz Android Device Policy
Link do tokena rejestracji
Adres URL logowania

Urządzenia należące do firmy do użytku służbowego i osobistego

Androida 8 lub nowszego

Skonfigurowanie urządzenia należącego do firmy z profilem służbowym umożliwia: zarówno do pracy, jak i do użytku prywatnego. Na urządzeniach należących do firmy z profilami służbowymi:

Większość aplikacji, danych i innych opcji zarządzania policies ma zastosowanie do profilu służbowego
Profil osobisty pracownika pozostaje prywatny. Jednak firmy mogą egzekwowanie określonych zasad dla całego urządzenia oraz zasad użytkowania osobistego.
Firmy mogą używać blockScope do egzekwowania zasad dotyczących zgodności całe urządzenie lub tylko profil służbowy.
devices.delete i polecenia urządzenia dotyczą całego urządzenia.

Aby skonfigurować należące do firmy urządzenie z profilem służbowym, utwórz rejestrację token (gwarancja allowPersonalUsage ma wartość PERSONAL_USAGE_ALLOWED) i użyj jednego z następujące metody obsługi administracyjnej:

Rejestracja typu Zero-Touch
Kod QR
Adres URL logowania
Identyfikator DPC

Urządzenia należące do firmy tylko do użytku służbowego

Androida 5.1 lub nowszego

Pełne zarządzanie urządzeniami jest odpowiednie dla urządzeń należących do firmy, do których wyłącznie do celów służbowych. Firmy mogą zarządzać wszystkimi aplikacjami na urządzeniu w pełni egzekwować zasady i polecenia interfejsu Android Management API.

Możesz też zablokować urządzenie (w ramach zasad) tylko do jednej aplikacji lub Mały zestaw aplikacji odpowiadających specjalnemu celowi. Ten podzbiór w pełni urządzenia zarządzane są nazywane urządzeniami specjalnymi. Tokeny rejestracji dla Na tych urządzeniach musi być ustawiona wartość allowPersonalUsage na PERSONAL_USAGE_DISALLOWED_USERLESS

Aby skonfigurować pełne zarządzanie na urządzeniu należącym do firmy, utwórz token rejestracji upewnię się, że allowPersonalUsage jest ustawiony na PERSONAL_USAGE_DISALLOWED. lub PERSONAL_USAGE_DISALLOWED_USERLESS, i skorzystaj z jednej z poniższych metod obsługi administracyjnej.

Rejestracja typu Zero-Touch
Kod QR
URL logowania (nieodpowiedni dla urządzeń specjalnych)
NFC
Identyfikator DPC

Zasady mogą wpływać na generowanie interfejsu użytkownika podczas obsługi administracyjnej urządzeń. Takie zasady są następujące:

PasswordPolicyScope: Określa ono wymagania dotyczące haseł.
PermittedInputMethods: Określa metody wprowadzania pakietu.
PermittedAccessibilityServices: Określa, które usługi ułatwień dostępu są dozwolone dla w pełni zarządzanych urządzeń i profilu służbowego.
SetupActions: Określa to, jakie działania są wykonywane podczas konfiguracji.
ApplicationsPolicy: Określa zasady obowiązujące w poszczególnych aplikacjach.

Jeśli chcesz, aby instrukcje dotyczące hasła były wyświetlane obok instalowania aplikacji służbowych i kart rejestracji urządzeń podczas obsługi administracyjnej urządzeń, zalecamy zaktualizowanie zasad opóźnienia rozpoczęcia generowania interfejsu użytkownika przez pozostawienie urządzenia w stan kwarantanny, który występuje w przypadku rejestracji bez powiązanej zasady; do czasu określenia ostatecznej wybranej zasady konfiguracji urządzenia zawierającej elementy zgodnie z Twoimi potrzebami konfiguracyjnymi. Po zakończeniu obsługi administracyjnej urządzenia możesz zmienić zasadę jako

Tworzenie tokena rejestracji

Omówienie Zarządzania urządzeniami z Androidem. — **Rysunek 1.** Utwórz token, który się rejestruje i stosuje „zasadę1” do urządzeń. Po 1800 sekundach (30 minutach) token wygasa.

Dla każdego urządzenia, które chcesz zarejestrować, musisz mieć token rejestracji (możesz używając tego samego tokena na wielu urządzeniach). Aby poprosić o token rejestracji, wywołaj enterprises.enrollmentTokens.create Tokeny rejestracji wygasają po jednym domyślnie co godzinę, ale możesz podać niestandardowy czas wygaśnięcia (duration). do około 10 000 lat.

Pomyślne żądanie zwraca obiekt enrollmentToken zawierający enrollmentTokenId i qrcode, z których mogą korzystać administratorzy IT i użytkownicy obsługi administracyjnej urządzeń.

Określ zasadę

Możesz też podać w żądaniu zasadę policyName, aby zastosować zasadę. . Jeśli nie określisz atrybutu policyName, zobacz Zarejestruj urządzenie bez zasad.

Określ użytek osobisty

allowPersonalUsage określa, czy na urządzeniu można dodać profil służbowy podczas obsługi administracyjnej. Ustaw jako PERSONAL_USAGE_ALLOWED, aby użytkownik mógł utworzyć profil służbowy (wymagany w przypadku urządzeń należących do firmy, opcjonalny w przypadku urządzeń należących do firmy) urządzenia).

Informacje o kodach QR

Kody QR stanowią wydajną metodę obsługi administracyjnej urządzeń w firmach, które i stosują różne zasady. Kod QR zwrócony od Element enterprises.enrollmentTokens.create składa się z par klucz-wartość zawierający token rejestracji i wszystkie informacje wymagane przez Androida, Zasady dotyczące urządzeń w celu obsługi administracyjnej urządzenia.

Przykładowy pakiet z kodem QR

Pakiet zawiera lokalizację pobierania Android Device Policy oraz token rejestracji.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Możesz użyć kodu QR zwróconego przez enterprises.enrollmentTokens.create lub ją dostosować. Pełną listę właściwości, które można uwzględnić pakiet z kodem QR znajdziesz w artykule Tworzenie kodu QR.

Aby przekonwertować ciąg znaków qrcode na kod QR, który można zeskanować, użyj generatora kodów QR takich jak ZXing.

Metody obsługi administracyjnej

W tej sekcji opisujemy różne metody obsługi administracyjnej urządzenia.

Dodawanie profilu służbowego w Ustawieniach

Androida 5.1 lub nowszego

Aby skonfigurować profil służbowy na urządzeniu, użytkownik może:

Otwórz Ustawienia > Google > Konfiguracja przywróć.
Kliknij Skonfiguruj profil służbowy.

Te kroki spowodują uruchomienie kreatora konfiguracji, który pobierze aplikację Android Device Policy na urządzenia. Następnie użytkownik zostanie poproszony o zeskanowanie kodu QR lub ręcznie wpisać token rejestracji, aby dokończyć konfigurację profilu służbowego.

Pobierz Android Device Policy

Androida 5.1 lub nowszego

Aby skonfigurować profil służbowy na urządzeniu, użytkownik może pobrać Urządzenie z Androidem zasad ze Sklepu Google Play. Po zainstalowaniu aplikacji użytkownik zostanie poproszony o wpisanie kodu QR lub ręcznie token rejestracji, aby dokończyć konfigurację profilu służbowego.

Link do tokena rejestracji

Androida 5.1 lub nowszego

Przy użyciu tokena rejestracji zwróconego przez enrollmentTokens.create lub signinEnrollmentToken dla firm, wygeneruj adres URL w tym formacie:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Możesz podać ten adres URL administratorom IT, którzy będą mogli przekazać go użytkownikom. Gdy użytkownik otworzy link na swoim urządzeniu, zobaczy krok po kroku, jak to zrobić. konfiguracji profilu służbowego.

Adres URL logowania

Ta metoda powoduje przekierowanie użytkownika na stronę, na której mogą wpisać dodatkowe informacje wymagane do obsługi administracyjnej. Na podstawie informacji użytkownika możesz obliczyć odpowiednie zasady dla danego użytkownika, zanim przejdziesz dalej z obsługą administracyjną urządzeń. Na przykład:

Podaj adres URL logowania w narzędziu enterprises.signInDetails[]. Ustaw Z allowPersonalUsage na PERSONAL_USAGE_ALLOWED, jeśli chcesz zezwolić użytkownikowi do utworzenia profilu służbowego (wymagane w przypadku urządzeń należących do firmy, opcjonalnie); w przypadku urządzeń należących do firmy).

Dodaj wynikową signinEnrollmentToken jako dodatkową obsługę administracyjną do QR kodu, ładunku NFC lub rejestracji typu zero-touch . Możesz też podać parametr signinEnrollmentToken użytkownikom.
Wybierz opcję:
1. Urządzenia należące do firmy: po włączeniu nowego urządzenia lub przywróceniu ustawień fabrycznych. urządzenia, przekaż signinEnrollmentToken do urządzenia (za pomocą kodu QR, NFC (bump) itp.) albo poproś użytkowników o ręczne wpisanie tokena. Urządzenie będzie otwórz adres URL logowania podany w kroku 1.
2. Urządzenia należące do użytkownika: poproś użytkowników o dodanie profilu służbowego w „Ustawienia”. Gdy pojawi się odpowiedni komunikat, skanuje kod QR zawierający signinEnrollmentToken lub wpisuje token ręcznie. Urządzenie otworzy adres URL logowania podany w kroku 1.
3. Urządzenia należące do użytkownika: udostępnij użytkownikom token rejestracji”. , gdzie token rejestracji to signinEnrollmentToken. Urządzenie otworzy podany adres URL logowania w kroku 1.
Sprawdź, czy użytkownik został już uwierzytelniony przez Google. Kup urządzenie informacje o obsłudze administracyjnej (podczas rejestracji urządzenia) przy użyciu parametru GET. provisioningInfo i sprawdź wartość w polu authenticatedUserEmail Jeśli w tym polu znajduje się wartość, użytkownik już zostało uwierzytelnione przez Google i możesz użyć tej tożsamości bez dodatkowego uwierzytelniania.
Jeśli użytkownik nie został jeszcze uwierzytelniony przez Google, adres URL logowania powinien prosić użytkowników o podanie danych logowania. Na podstawie ich tożsamości może określić odpowiednią zasadę i pobrać obsługę administracyjną urządzenia informacje (podczas rejestracji urządzenia) przy użyciu parametru GET. provisioningInfo

Sprawdzona metoda: używanie logowania jednokrotnego w organizacji do uwierzytelniania danych logowania wpisywanych przez użytkowników adresu URL logowania (lub kolejnych przekierowań). Adresy URL logowania są otwierane w Karta niestandardowa Chrome Logowanie jednokrotne jest zapisywane na potrzeby przyszłego logowania się w aplikacji przy użyciu App Auth (Uwierzytelnianie aplikacji).
Wywołaj enrollmentTokens.create, podając właściwy policyId na podstawie danych logowania użytkownika.

Uwaga: pole allowPersonalUsage jest ignorowane, ponieważ wartość został już określony w zadaniu enterprises.signInDetails[]. To niemożliwe aby zmienić wartość wykorzystania do celów prywatnych podczas rejestracji.
Zwróć token rejestracji wygenerowany w kroku 5 przy użyciu przekierowania adresu URL w pliku formularz https://enterprise.google.com/android/enroll?et=<token>.

Uwaga: jeśli użytkownik nie może ukończyć procesu obsługi administracyjnej, może wyświetlać niestandardowe ekrany błędów i przekierowywać do https://enterprise.google.com/android/enroll/invalid, aby pomóc użytkownikowi zresetować jego urządzenie.

Metoda z użyciem kodu QR

Androida 7.0 lub nowszego

Aby włączyć obsługę administracyjną urządzenia należącego do firmy, możesz wygenerować kod QR kodu i wyświetl go w konsoli EMM:

Na nowym lub przywróconym do ustawień fabrycznych urządzeniu użytkownik (zwykle administrator IT) klika ikonę 6 razy w tym samym miejscu. Powoduje to, że urządzenie wysyła prośbę o potwierdzenie, aby zeskanować kod QR.
użytkownik zeskanuje kod QR wyświetlany w konsoli zarządzania (lub w podobnej aplikacji), aby zarejestrować i udostępnić urządzenie.

Metoda NFC

Androida 6.0 lub nowszego

Ta metoda wymaga utworzenia aplikacji do programowania NFC zawierającej token rejestracji, zasady początkowe, konfigurację Wi-Fi, ustawienia oraz wszystkie te elementy inne szczegóły obsługi administracyjnej wymagane przez klienta do pełnej obsługi administracyjnej. zarządzanym lub specjalnym urządzeniem. Gdy Ty lub Twój klient zainstalujecie komunikację NFC na urządzeniu z systemem Android, urządzenia.

Szczegółowe wskazówki dotyczące obsługi metody NFC znajdziesz w artykule Usługi EMM w Google Play. API dokumentacji. Witryna zawiera też przykładowy kod domyślnej strony przekazane parametry z urządzeniem znajdującym się w gnieździe NFC. Aby zainstalować Android Device Policy, skonfiguruj pobieranie lokalizacji pakietu administratora urządzenia, aby:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Metoda identyfikatora DPC

Jeśli aplikacji Android Device Policy nie można dodać przy użyciu kodu QR lub NFC, użytkownik lub administrator IT mogą wykonać te czynności, aby włączyć obsługę administracyjną urządzenia należącego do firmy:

Postępuj zgodnie z instrukcjami w kreatorze konfiguracji na nowym urządzeniu lub urządzeniu z przywróconymi ustawieniami fabrycznymi.
Aby połączyć urządzenie z internetem, wpisz dane logowania do Wi-Fi.
Gdy pojawi się prośba o zalogowanie się, wpisz afw#setup, co spowoduje pobranie Androida Zasady dotyczące urządzeń.
Zeskanuj kod QR lub ręcznie wpisz token rejestracji, aby i włączyć obsługę administracyjną urządzenia.

Rejestracja typu zero-touch

Android 8.0 lub nowszy (Pixel 7.1 lub nowszy)

Urządzenia kupione u autoryzowanego sprzedawcy obsługującego rejestrację typu zero-touch są objęte: rejestracji typu zero-touch, która jest usprawnioną metodą wstępnego konfigurowania urządzeń i włączają się automatycznie przy pierwszym uruchomieniu.

Organizacje mogą tworzyć konfiguracje zawierające szczegóły obsługi administracyjnej dla urządzeń do rejestracji typu zero-touch, korzystając z portalu rejestracji typu zero-touch. lub za pomocą konsoli EMM (zobacz interfejs API typu zero-touch dla klientów). 1. podczas uruchamiania, urządzenie do rejestracji typu zero-touch sprawdzi, czy została mu przypisana konfiguracja. Jeśli tak, urządzenie pobierze aplikację Android Device Policy, a potem zakończy konfigurację z dodatkami do obsługi administracyjnej określonymi w przypisanej do niego konfiguracji.

Jeśli Twoi klienci korzystają z portalu rejestracji typu zero-touch, muszą: wybierz Android Device Policy jako dostawcę usług EMM DPC w każdej konfiguracji, tworzyć. Szczegółowe instrukcje korzystania z portalu, w tym sposób tworzenia i przypisywać konfiguracje do urządzeń, są dostępne w ramach Android Enterprise Centrum pomocy.

Jeśli wolisz, by Twoi klienci ustawiali i przypisywali konfiguracje bezpośrednio na w konsoli EMM, musisz przeprowadzić integrację z interfejsem Zero-Touch API dla klientów. Kiedy tworząc konfigurację, określasz dodatki do obsługi administracyjnej dpcExtras. Ten fragment kodu JSON zawiera podstawowy przykład tego, uwzględnić w usłudze dpcExtras z dodanym tokenem logowania.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Uruchamianie aplikacji podczas konfiguracji

konfiguracja — **Rysunek 2.** Uruchamiaj aplikację, używając `setupActions` podczas konfiguracji.

W systemie policies możesz określić 1 aplikację do uruchomienia Android Device Policy podczas konfigurowania urządzenia lub profilu służbowego. Możesz na przykład uruchomić aplikację VPN, użytkownicy mogą skonfigurować ustawienia sieci VPN podczas procesu konfiguracji. Aplikacja musi: zwraca ciąg RESULT_OK, aby zasygnalizować zakończenie i zezwolić Android Device Policy na zarejestrować urządzenie lub profil służbowy. Aby uruchomić aplikację podczas konfiguracji:

Upewnij się, że uprawnienie installType aplikacji to REQUIRED_FOR_SETUP. Jeśli aplikacja nie może zainstalowanej lub uruchomionej na urządzeniu, obsługa administracyjna nie powiedzie się.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Dodaj nazwę pakietu aplikacji do pola setupActions. Użyj title i description, aby i określania instrukcji dla użytkownika.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Aby odróżnić, że aplikacja została uruchomiona z poziomu launchApp, aktywność, po raz pierwszy uruchomione jako część aplikacji, zawiera dodatkową intencję logiczną; com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (ustaw true). Ten dodatek pozwala dostosować aplikację na podstawie tego, czy uruchomione na platformie setupActions lub przez użytkownika.

Gdy aplikacja zwróci wartość RESULT_OK, Android Device Policy wykona wszystkie pozostałe czynności wymagane do obsługi administracyjnej urządzenia lub profilu służbowego.

Anuluj rejestrację podczas konfiguracji

Aplikacja uruchomiona jako SetupAction może anulować powrót do rejestracji RESULT_FIRST_USER.

Anulowanie rejestracji spowoduje zresetowanie urządzenia należącego do firmy lub usunięcie zadania na swoim urządzeniu.

Uwaga: anulowanie rejestracji spowoduje uruchomienie działania bez logowania użytkownika okno potwierdzenia. Aplikacja jest odpowiedzialna za wyświetlanie odpowiednich w oknie błędu przed zwróceniem użytkownikowi RESULT_FIRST_USER.

Stosowanie zasad do nowo zarejestrowanych urządzeń

Sposób stosowania zasad do nowo zarejestrowanych urządzeń zależy tylko od Ciebie. do wymagań klientów. Oto różne podejścia, które można zastosować użyj:

(Zalecane) Podczas tworzenia tokena rejestracji możesz określić nazwa zasady (policyName), która będzie początkowo powiązana z urządzenia. Gdy zarejestrujesz urządzenie przy użyciu tokena, zasady zostaną automatycznie zastosowane zastosowane do urządzenia.
Ustaw zasadę jako domyślną dla firmy. Jeśli nie ma nazwy zasady w tokenie rejestracji oraz istnieje zasada o nazwie enterprises/<enterprise_id>/policies/default, każde nowe urządzenie automatycznie połączone z zasadą domyślną w chwili rejestracji.
Zasubskrybuj temat Cloud Pub/Sub, otrzymywać powiadomienia o nowo zarejestrowanych urządzeniach. W odpowiedzi na ENROLLMENT, zadzwoń pod numer enterprises.devices.patch, połączyć urządzenie z zasadami.

Rejestrowanie urządzenia bez zasad

Jeśli urządzenie jest zarejestrowane bez prawidłowych zasad, zostanie umieszczone w poddać kwarantannie. Urządzenia poddane kwarantannie nie mają dostępu do żadnych funkcji do urządzenie jest powiązane z zasadami.

Jeśli urządzenie nie zostanie połączone z zasadami w ciągu 5 minut, zostanie ono zarejestrowane. nie uda się i na urządzeniu zostaną przywrócone ustawienia fabryczne. Stan urządzenia w kwarantannie udostępnia możliwość wdrożenia kontroli licencji lub innej weryfikacji rejestracji. procesów w ramach Twojego rozwiązania.

Przykładowy przepływ pracy sprawdzania licencji

Urządzenie jest zarejestrowane bez zasady domyślnej lub konkretnej zasady.
Sprawdź, ile licencji pozostało jeszcze firmie.
Jeśli są dostępne licencje, użyj devices.patch, aby dołączyć zasad na urządzeniu, a następnie zmniejsz liczbę licencji. W przypadku braku Dostępne licencje, wyłącz urządzenie za pomocą devices.patch. Interfejs API przywraca do ustawień fabrycznych każde urządzenie, które nie jest podłączone do w ciągu 5 minut od rejestracji.