註冊及佈建裝置

佈建是指設定要透過 enterprisepolicies。安裝裝置期間 Android Device Policy,用於接收及強制執行 policies。如果 佈建成功後,API 會建立 devices 物件,並繫結 將資料轉移至企業

Android Management API 會使用註冊權杖觸發布建作業 上傳資料集之後,您可以運用 AutoML 自動完成部分資料準備工作您使用的註冊權杖和佈建方法會 裝置的擁有權 (個人擁有或公司擁有) 和管理模式 (工作) 設定檔或全代管裝置),

個人擁有的裝置

Android 5.1 以上版本

員工擁有的裝置可以透過工作資料夾進行設定。工作資料夾 為工作應用程式和資料提供獨立空間,與個人應用程式區隔 應用程式和資料大多數的應用程式、資料和其他管理服務 policies 都適用於 工作資料夾,員工的個人應用程式和資料則不會公開。

如要在個人裝置上設定工作資料夾,請建立註冊 權杖 (請確認 allowPersonalUsage 已設為 PERSONAL_USAGE_ALLOWED),並且使用下列其中一種佈建方法:

用於工作和個人用途的公司擁有裝置

Android 8 以上版本

設定公司擁有的裝置並設定了工作資料夾後,該裝置就能 工作和個人用途在設有工作資料夾的公司裝置上:

  • 大多數的應用程式、資料和其他管理服務policies都會套用到工作資料夾 。
  • 員工的個人資料夾不會對外公開。不過,企業 強制執行特定裝置通用政策個人使用政策
  • 企業可以透過 blockScope,對 整個裝置,或只使用工作資料夾的工作資料夾。
  • devices.delete敬上 和裝置指令適用於整部裝置。

如要使用工作資料夾設定公司擁有的裝置,請建立註冊事宜 符記 allowPersonalUsage 設為 PERSONAL_USAGE_ALLOWED),並且採用 下列佈建方法:

,瞭解如何調查及移除這項存取權。

僅限公司擁有的裝置處理工作

Android 5.1 以上版本

完整裝置管理功能適用於公司擁有的裝置 用於工作用途企業可以管理裝置上的所有應用程式 就能強制執行所有 Android Management API 政策和指令

也可以透過政策鎖定單一應用程式,或 適用於特定用途或用途的小型應用程式。這是整個 受管理的裝置稱為「專用裝置」。的註冊權杖 這些裝置的「allowPersonalUsage」必須設為 PERSONAL_USAGE_DISALLOWED_USERLESS

如要在公司擁有的裝置上設定完整管理服務,請建立註冊權杖。 確認 allowPersonalUsage 已設為 PERSONAL_USAGE_DISALLOWEDPERSONAL_USAGE_DISALLOWED_USERLESS, 並使用下列其中一種佈建方法。

,瞭解如何調查及移除這項存取權。

政策可能會影響在裝置佈建過程中產生的 UI。 這類政策包括:

您希望在工作應用程式安裝項目旁一併顯示密碼步驟 和裝置註冊卡片,我們建議您更新 政策,讓裝置 隔離狀態,如果註冊時沒有相關聯的政策,就會發生這類狀態。 除非為已填入項目的裝置設定指定最後選取的政策 與設定需求相關完成佈建後 完成後,您可以將政策變更為 這通常代表交易 不會十分要求關聯語意


建立註冊權杖

Android Management 簡介。
圖 1.建立註冊並套用「policy1」的權杖 也不必在意裝置之間1800 秒 (30 分鐘) 過後,符記就會失效。

您必須為要註冊的每部裝置取得註冊權杖 (您可以 請對多部裝置使用相同的權杖)。如要申請註冊權杖,請呼叫 enterprises.enrollmentTokens.create。註冊權杖會在 1 天後失效 預設為小時,但您可以指定自訂到期時間 (duration) 過去約 10,000 年

如果要求成功,會傳回 enrollmentToken 物件,其中包含 IT 管理員和使用者使用者可以使用的 enrollmentTokenIdqrcode 佈建裝置

指定政策

您也可以在套用政策的要求中指定 policyName 即可同時註冊裝置如果未指定 policyName,請參閱 註冊沒有政策的裝置

指定個人用途

allowPersonalUsage可決定是否要將工作資料夾新增至裝置 佈建狀態設為 PERSONAL_USAGE_ALLOWED 可讓使用者建立 工作資料夾 (個人裝置必須設定,公司擁有的裝置不一定要設定) 裝置)。


關於 QR code

QR code 是有效率的裝置佈建方法,適用於符合以下條件的企業: 需要維護多個不同的政策傳回的 QR code enterprises.enrollmentTokens.create 是由鍵/值組合的酬載組成 內含註冊權杖以及 Android 必備的所有資訊 佈建裝置的裝置政策。

QR code 套裝組合範例

這個套件包含 Android Device Policy 的下載位置和 註冊權杖

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

你可以使用「enterprises.enrollmentTokens.create」傳回的 QR code 或自訂內容如需可加入項目的完整清單 QR code 套件請參閱「建立 QR code」一文。

如要將 qrcode 字串轉換為可掃描的 QR code,請使用 QR code 產生器 例如 ZXing


佈建方法

本節說明不同的佈建裝置方法。

透過「設定」新增工作資料夾

Android 5.1 以上版本

如要在裝置上設定工作資料夾,使用者可以執行下列操作:

  1. 前往「設定」>Google >設定還原
  2. 輕觸「設定工作資料夾」

請按照下列步驟啟動設定精靈,將 Android Device Policy 下載到裝置上: 裝置。接下來,系統會提示使用者掃描 QR code,或 手動輸入註冊權杖,完成工作資料夾設定程序。

下載 Android Device Policy

Android 5.1 以上版本

如要在裝置上設定工作資料夾,使用者可以下載 Android 裝置 Google Play 商店的政策。應用程式安裝完畢後 系統會提示使用者輸入 QR code 或手動輸入 以完成工作資料夾設定程序。

Android 5.1 以上版本

使用從 enrollmentTokens.create 傳回的註冊權杖或 為企業的 signinEnrollmentToken 產生一個採用以下格式的網址:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

您可以將這個網址提供給 IT 管理員,由對方提供給使用者。 使用者從裝置開啟連結時,系統會引導他們完成所有步驟 工作資料夾設定。

登入網址

如使用這個方法,系統會將使用者導向頁面以進入 完成佈建所需的必要資訊根據使用者 您可以為使用者計算適當的政策,然後再繼續 佈建裝置。例如:

  1. enterprises.signInDetails[] 中指定登入網址。組合 如要允許使用者將權限授予使用者,請allowPersonalUsagePERSONAL_USAGE_ALLOWED 建立工作資料夾 (個人裝置的必要設定,選用 公司擁有的裝置)。

    將產生的 signinEnrollmentToken 新增為 QR 的佈建額外項目 代碼NFC 酬載零接觸 或者,也可以提供 將 signinEnrollmentToken 直接提供給使用者。

  2. 選擇下列任一選項:

    1. 公司擁有的裝置:開機後或已恢復原廠設定後的裝置 裝置,透過 QR code 和 NFC 將 signinEnrollmentToken 傳遞給裝置 等代碼),或要求使用者手動輸入符記。裝置將 開啟步驟 1 指定的登入網址。
    2. 個人擁有的裝置:請使用者從下列來源新增工作資料夾: 「設定」。系統提示時, 掃描包含 signinEnrollmentToken 的 QR code,或輸入 權杖裝置會開啟在步驟中指定的登入網址 1.
    3. 個人擁有的裝置:為使用者提供註冊權杖 連結,註冊權杖是指 signinEnrollmentToken。裝置會開啟指定的登入網址 。
  3. 檢查 Google 是否已驗證使用者。取得裝置 使用 GET 參數佈建資訊 (在裝置註冊期間) provisioningInfo,並檢查該欄位的值 authenticatedUserEmail。如果這個欄位含有值,表示使用者 已通過 Google 的驗證 且無需進一步驗證

  4. 如果 Google 尚未驗證使用者,則您的登入網址 就會提示使用者輸入認證依據他們的身分,你 可以判斷適當的政策並取得裝置佈建程序 使用 GET 參數的資訊 (在裝置註冊期間) provisioningInfo

  5. 呼叫 enrollmentTokens.create,指定適當的 policyId 根據使用者的憑證 產生存取權

  6. 使用網址重新導向,傳回步驟 5 產生的註冊權杖。 表單 https://enterprise.google.com/android/enroll?et=<token>

QR code 方法

Android 7.0 以上版本

如要佈建公司擁有的裝置,請產生 QR code 程式碼然後顯示在 EMM 控制台:

  1. 使用者 (通常是 IT 管理員) 會在新裝置或已恢復原廠設定的裝置上輕觸 在同一處遊玩六次讓裝置發出提示 使用者就能掃描 QR code
  2. 使用者掃描管理控制台中顯示的 QR code (或 類似的應用程式),註冊並佈建裝置。

NFC 方法

Android 6.0 以上版本

採用這個方法時,您必須建立 NFC 程式設計師應用程式, 註冊權杖、初始政策和 Wi-Fi 設定、設定等 客戶為了完整佈建 或專屬裝置您或客戶安裝 NFC 後 Android 裝置上的程式設計師應用程式後,該裝置就能成為程式設計師 裝置。

如需 NFC 方法的支援詳細指南,請參閱 Play EMM API 開發人員 說明文件。該網站也包含預設程式碼 已推送的參數 傳送至 NFC 觸碰機。如要安裝 Android Device Policy,請設定下載項目 以便執行以下動作:

https://play.google.com/managed/downloadManagingApp?identifier=setup

裝置政策控制器 (DPC) ID 方法

如果無法透過 QR code 或 NFC 新增 Android Device Policy,使用者或 IT 管理員 如要佈建公司擁有的裝置,請按照下列步驟操作:

  1. 按照新裝置或已恢復原廠設定的裝置,按照設定精靈指示操作。
  2. 輸入 Wi-Fi 登入詳細資料,將裝置連上網際網路。
  3. 系統提示您登入帳戶時,請輸入 afw#setup,這會下載 Android 應用程式。 裝置政策。
  4. 掃描 QR code 或手動輸入註冊權杖, 佈建裝置
,瞭解如何調查及移除這項存取權。

零接觸註冊機制

Android 8.0 以上版本 (Pixel 7.1 以上版本)

授權零接觸經銷商購買的裝置可 透過零接觸註冊機制,輕鬆預先設定裝置 並自動佈建

機構可以建立設定,其中包含佈建詳細資料 透過零接觸註冊機制入口網站安裝零接觸裝置 或使用 EMM 控制台 (請參閱零接觸客戶 API)。第一項 啟動,零接觸裝置會檢查裝置是否已獲派設定,如果是, 裝置就會下載 Android Device Policy,然後完成 裝置,藉此管理裝置。

如果客戶使用零接觸註冊機制入口網站,必須 為每項設定選取「Android Device Policy」做為 EMM DPC 建立。詳細說明如何使用入口網站,包括建立方式 您可以透過 Android Enterprise 取得 Android Enterprise 版本的功能,以及為裝置指派設定。 說明中心

如果您希望客戶直接透過 EMM 控制台,您必須整合零接觸客戶 API。時間 建立設定時,您要在 dpcExtras 欄位。以下 JSON 程式碼片段示範要執行什麼動作的基本範例 包含在 dpcExtras 中,並使用已新增的登入權杖。

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

在設定期間啟動應用程式

設定動作
圖 2.使用「setupActions」啟動應用程式 設定期間。

policies 中,您可以指定一個要啟動 Android Device Policy 的應用程式 即可。例如,您可以啟動 VPN 應用程式 使用者可以在設定程序中調整 VPN 設定。應用程式必須 傳回 RESULT_OK 以傳送完成信號,並允許 Android Device Policy 完成裝置或工作資料夾的佈建作業。如何在設定期間啟動應用程式:

確認應用程式的 installTypeREQUIRED_FOR_SETUP。如果無法 裝置安裝或啟動後,佈建作業就會失敗。

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

setupActions 中新增應用程式的套件名稱。使用 titledescription: 請指定面向使用者的指示。

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

為了區分應用程式啟動和 launchApp,活動 首次於應用程式中啟動時,其中包含布林意圖額外項目 com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (設為 true)。這項額外功能可讓您根據應用程式 從 setupActions 或使用者啟動

應用程式傳回 RESULT_OK 後,Android Device Policy 就會完成剩餘的應用程式 佈建裝置或工作資料夾所需的步驟。

在設定過程中取消註冊

應用程式以 SetupAction 的形式啟動,可取消並返回註冊 RESULT_FIRST_USER

取消註冊會重設公司擁有的裝置或刪除工作 儲存在個人裝置上的個人資料。

注意:取消註冊會觸發非使用者動作 確認對話方塊。該應用程式有責任 在傳回 RESULT_FIRST_USER 之前向使用者顯示的錯誤對話方塊。

對新註冊的裝置套用政策

決定新註冊的裝置套用政策的方式是由您決定, 符合客戶需求以下說明幾種做法 而是使用:

  • (建議做法) 建立註冊權杖時,您可以指定 一開始會連結的政策名稱 (policyName) 裝置。使用權杖註冊裝置後,系統會自動執行政策 套用於裝置。

  • 將政策設為企業的預設政策。如果沒有政策名稱 註冊權杖中指定的政策,但有一個政策名稱為 enterprises/<enterprise_id>/policies/default,每部新裝置 會在註冊期間自動連結至預設政策。

  • 訂閱 Cloud Pub/Sub 主題: 接收新註冊裝置的相關通知。為了回應 ENROLLMENT通知,呼叫 enterprises.devices.patch 即可 政策連結裝置與政策

註冊沒有政策的裝置

如果裝置在註冊時未提供有效政策,則會進入註冊模式 隔離。遭到隔離的裝置在所有裝置皆無法使用,直到 裝置已連結至政策。

如果裝置未在 5 分鐘內連結至政策,則註冊裝置。 ,且裝置已恢復原廠設定。透過隔離裝置狀態,您可以 有機會進行授權檢查或其他註冊驗證 做為解決方案的一部分

授權檢查工作流程範例

  1. 您在註冊裝置時沒有預設政策或特定政策。
  2. 檢查企業剩餘的授權數量。
  3. 如果可用的授權,請透過 devices.patch 附加 ,授權數量就會減少。如果沒有 可用的授權數,請使用devices.patch停用裝置。 或者,如果裝置未連接裝置,則 API 會恢復原廠設定 政策。