Inscribe y aprovisiona un dispositivo

El aprovisionamiento es el proceso de configurar un dispositivo que se administrará con policies de un enterprise Durante el proceso de instalación de un dispositivo Android Device Policy, que se usa para recibir y aplicar policies Si se realiza correctamente el aprovisionamiento, la API crea un objeto devices, lo que vincula a una empresa.

La API de Android Management usa tokens de inscripción para activar el aprovisionamiento el proceso de administración de recursos. El token de inscripción y el método de aprovisionamiento que usas establecen un propiedad del dispositivo (propiedad personal o de la empresa) y el modo de administración (propiedad de o un dispositivo completamente administrado).

Dispositivos de propiedad personal

Android 5.1 y versiones posteriores

Los dispositivos que pertenecen a los empleados se pueden configurar con un perfil de trabajo. Un perfil de trabajo proporciona un espacio autónomo para las apps y los datos de trabajo, independiente de los datos aplicaciones y datos. La mayoría de las apps, los datos y otros aspectos de administración policies se aplican a la solo en el perfil de trabajo, mientras que las aplicaciones personales y los datos del empleado permanecen privados.

Para configurar un perfil de trabajo en un dispositivo de propiedad personal, crea una inscripción token (asegúrate de que allowPersonalUsage esté configurado como PERSONAL_USAGE_ALLOWED) y usar uno de los siguientes métodos de aprovisionamiento:

Dispositivos de la empresa para uso personal y laboral

Android 8 y versiones posteriores

Configurar un dispositivo empresarial con un perfil de trabajo habilita el dispositivo para para el uso laboral y personal. En dispositivos empresariales con perfiles de trabajo, haz lo siguiente:

Para configurar un dispositivo empresarial con un perfil de trabajo, crea una inscripción token (asegúrate de allowPersonalUsage se establece en PERSONAL_USAGE_ALLOWED) y usa uno de los los siguientes métodos de aprovisionamiento:

Dispositivos de la empresa solo para uso laboral

Android 5.1 y versiones posteriores

La administración completa de dispositivos es adecuada para los dispositivos de la empresa que se diseñaron para exclusivamente para fines laborales. Las empresas pueden administrar todas las apps del dispositivo y puede aplicar el espectro completo de políticas y comandos de la API de Android Management.

También es posible bloquear un dispositivo (mediante una política) en una sola app o un pequeño conjunto de apps para un uso específico o un caso de uso. Este subconjunto de un conjunto Los dispositivos administrados se denominan dispositivos dedicados. Tokens de inscripción para estos dispositivos deben tener allowPersonalUsage establecido en PERSONAL_USAGE_DISALLOWED_USERLESS

Para configurar la administración completa en un dispositivo de la empresa, crea un token de inscripción. asegurándose de que allowPersonalUsage esté configurado como PERSONAL_USAGE_DISALLOWED o PERSONAL_USAGE_DISALLOWED_USERLESS, y usa uno de los siguientes métodos de aprovisionamiento.

Las políticas pueden afectar la generación de la IU durante el aprovisionamiento del dispositivo. Estas políticas son las siguientes:

Si quieres que los pasos de la contraseña se muestren junto con la instalación de apps de trabajo y las tarjetas de registro de dispositivos durante la provisión de tu dispositivo, te sugerimos que actualices tu políticas para retrasar el inicio de la generación de la IU manteniendo el dispositivo en un el estado de cuarentena, que ocurre si se inscribe sin una política asociada hasta que se especifique la política final seleccionada para la configuración del dispositivo completada con elementos relevantes para tus necesidades de configuración. Una vez que se haya aprovisionado completado, puedes cambiar la política como como en los productos necesarios.


Crea un token de inscripción

Descripción general de la administración de Android
Figura 1: Crea un token que se inscriba y aplique “policy1” a los dispositivos. Después de 1,800 segundos (30 minutos), el token vencerá.

Necesitas un token de inscripción para cada dispositivo que quieras inscribir (puedes usar el mismo token para varios dispositivos). Para solicitar un token de inscripción, llama a enterprises.enrollmentTokens.create Los tokens de inscripción vencen después de uno hora de forma predeterminada, pero puedes especificar un tiempo de vencimiento personalizado (duration) hasta aproximadamente 10,000 años.

Una solicitud correcta devuelve un objeto enrollmentToken que contiene un enrollmentTokenId y un qrcode que los administradores de TI y los usuarios finales pueden usar para aprovisionar dispositivos.

Especifica una política

Es posible que también quieras especificar una policyName en la solicitud para aplicar una política. al mismo tiempo que se inscribe un dispositivo. Si no especificas un policyName, consulta Inscribe un dispositivo sin una política.

Especificar uso personal

allowPersonalUsage determina si se puede agregar un perfil de trabajo al dispositivo durante el aprovisionamiento. Configúralo en PERSONAL_USAGE_ALLOWED para permitir que un usuario cree un perfil de trabajo (obligatorio para los dispositivos personales, opcional para los dispositivos empresariales dispositivos).


Información sobre los códigos QR

Los códigos QR funcionan como un método eficiente de aprovisionamiento de dispositivos para las empresas que mantienen muchas políticas diferentes. El código QR que devuelve enterprises.enrollmentTokens.create se compone de una carga útil de pares clave-valor. que contenga un token de inscripción y toda la información necesaria para Android Device Policy para aprovisionar un dispositivo.

Ejemplo de paquete de códigos QR

El paquete incluye la ubicación de descarga de Android Device Policy y una token de inscripción.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Puedes usar el código QR que devolvió enterprises.enrollmentTokens.create directamente o personalizarlo. Para obtener una lista completa de las propiedades que puedes incluir en un paquete de códigos QR, consulta Cómo crear un código QR.

Para convertir la cadena qrcode en un código QR que se pueda escanear, usa un generador de códigos QR como ZXing.


Métodos de aprovisionamiento

En esta sección, se describen diferentes métodos para aprovisionar un dispositivo.

Agrega un perfil de trabajo desde “Configuración”

Android 5.1 y versiones posteriores

Para configurar un perfil de trabajo en su dispositivo, un usuario puede hacer lo siguiente:

  1. Ve a Configuración > Google > Configura y restablecer.
  2. Presiona Configura tu perfil de trabajo.

Estos pasos inician un asistente de configuración que descarga Android Device Policy en el dispositivo. Luego, se le pedirá al usuario que escanee un código QR o ingresa manualmente un token de inscripción para completar la configuración del perfil de trabajo.

Descargar Android Device Policy

Android 5.1 y versiones posteriores

Para configurar un perfil de trabajo en su dispositivo, un usuario puede descargar un dispositivo Android. Política de Google Play Store. Después de instalar la app, se le solicitará al usuario que ingrese el código QR o ingrese un token de inscripción para completar la configuración del perfil de trabajo.

Android 5.1 y versiones posteriores

Mediante el token de inscripción que muestra enrollmentTokens.create o el signinEnrollmentToken de la empresa, genera una URL con el siguiente formato:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Puedes proporcionar esta URL a los administradores de TI para que se la proporcionen a sus usuarios finales. Cuando un usuario final abra el vínculo desde su dispositivo, se lo guiará la configuración del perfil de trabajo.

URL de acceso

Con este método, se dirige a los usuarios a una página para que ingresen cualquier la información necesaria para completar el aprovisionamiento. Según la información que el usuario ingresa, puedes calcular la política adecuada para el usuario antes de continuar con la provisión de dispositivos. Por ejemplo:

  1. Especifica tu URL de acceso en enterprises.signInDetails[]. Definir allowPersonalUsage a PERSONAL_USAGE_ALLOWED si quieres permitir que un usuario para crear un perfil de trabajo (obligatorio para dispositivos personales, opcional para dispositivos de la empresa).

    Agregar el signinEnrollmentToken resultante como aprovisionamiento adicional a un QR código, carga útil de NFC o inscripción automática configuración. Como alternativa, puedes proporcionar signinEnrollmentToken a los usuarios directamente.

  2. Elige una opción:

    1. Dispositivos de la empresa: Después de activar un dispositivo nuevo o que se haya restablecido la configuración de fábrica dispositivo, pasa el signinEnrollmentToken al dispositivo (a través de un código QR o NFC) cambio de prioridad, etc.) o les pides a los usuarios que ingresen el token manualmente. El dispositivo hará lo siguiente abre la URL de acceso especificada en el paso 1.
    2. Dispositivos de propiedad personal: Pide a los usuarios que agreguen un perfil de trabajo de “Configuración”. Cuando se le solicite, el usuario escanea un código QR que contenga el signinEnrollmentToken o ingresa el de forma manual. El dispositivo abrirá la URL de acceso especificada en el paso. 1)
    3. Dispositivos de propiedad personal: Proporciona a los usuarios un token de inscripción. vínculo, en el que el token de inscripción es el signinEnrollmentToken El dispositivo abrirá la URL de acceso especificada. en el paso 1.
  3. Comprueba si Google ya autenticó al usuario. Obtén el dispositivo información de aprovisionamiento (durante la inscripción del dispositivo) mediante el parámetro GET provisioningInfo y verifica si hay un valor para el campo authenticatedUserEmail Si hay un valor en este campo, significa que el usuario Google ya lo autenticó correctamente y puedes usar esta identidad sin mayor autenticación.

  4. Si Google aún no autenticó al usuario, tu URL de acceso deben pedirles a los usuarios que ingresen sus credenciales. Según su identidad, puede determinar la política adecuada y obtener el aprovisionamiento (durante la inscripción del dispositivo) con el parámetro GET provisioningInfo

  5. Llama a enrollmentTokens.create y especifica el policyId adecuado. según las credenciales del usuario.

  6. Devuelve el token de inscripción generado en el paso 5 con el redireccionamiento de URL, en el formulario https://enterprise.google.com/android/enroll?et=<token>.

Método de código QR

Android 7.0 y versiones posteriores

Para aprovisionar un dispositivo de la empresa, puedes generar un código QR código y mostrarlo en tu consola de EMM:

  1. En un dispositivo nuevo o en el que se haya restablecido la configuración de fábrica, el usuario (por lo general, un administrador de TI) presiona el pantalla seis veces en el mismo lugar. El dispositivo le mostrará un mensaje al que un usuario escanee un código QR.
  2. El usuario escanea el código QR que muestras en la consola de administración (o aplicación similar) para inscribir y aprovisionar el dispositivo.

Método NFC

Android 6.0 y versiones posteriores

Este método requiere que crees una app de programador de NFC que contenga la token de inscripción, las políticas iniciales y la configuración de Wi-Fi, los ajustes y todos otros detalles de aprovisionamiento que requiera tu cliente para aprovisionar administrado o dedicado. Cuando tú o tu cliente instalan el NFC de programación en un dispositivo con Android, ese dispositivo se convierte en el dispositivo.

Si deseas obtener orientación detallada sobre cómo admitir el método NFC, consulta el EMM de Play. Desarrollador de API en la documentación de Google Cloud. El sitio también incluye código de muestra de la parámetros enviados a un dispositivo en una transmisión NFC. Para instalar Android Device Policy, configura la descarga ubicación del paquete de administración de dispositivos para:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Método identificador de DPC

Si no se puede agregar Android Device Policy con un código QR o NFC, un usuario o un administrador de TI puedes seguir estos pasos para aprovisionar un dispositivo de la empresa:

  1. Sigue los pasos del asistente de configuración en un dispositivo nuevo o en el que se haya restablecido la configuración de fábrica.
  2. Ingresa los detalles de acceso de Wi-Fi para conectar el dispositivo a Internet.
  3. Cuando se te solicite que accedas, ingresa afw#setup, que descarga Android. Política de dispositivo.
  4. Escanea un código QR o ingresa manualmente un token de inscripción para aprovisionar el dispositivo.

Inscripción automática

Android 8.0 y versiones posteriores (Pixel 7.1 y versiones posteriores)

Los dispositivos comprados a un revendedor de inscripción automática autorizado son aptos para la inscripción automática, un método optimizado para preconfigurar dispositivos para se aprovisionen automáticamente en el primer inicio.

Las organizaciones pueden crear parámetros de configuración que contengan detalles de aprovisionamiento de sus dispositivos de inscripción automática, ya sea a través del portal de inscripción automática o con tu consola de EMM (consulta la API de inscripción automática para clientes). El primero un dispositivo de inscripción automática verifica si se le asignó una configuración. Si es así, el dispositivo descarga Android Device Policy, que luego completa la configuración de la usando los extras de aprovisionamiento especificados en su configuración asignada.

Si tus clientes usan el portal de inscripción automática, deben hacer lo siguiente: y selecciona Android Device Policy como el DPC de EMM para cada configuración crear. Instrucciones detalladas sobre cómo usar el portal, incluido cómo crear y asignar configuraciones a los dispositivos, están disponibles en la plataforma Android Enterprise Centro de ayuda.

Si prefieres que tus clientes establezcan y asignen parámetros de configuración directamente desde tu consola de EMM, debes realizar la integración con la API de cliente de inscripción automática. Cuándo al crear una configuración, especificas los extras de aprovisionamiento en dpcExtras. En el siguiente fragmento de JSON, se muestra un ejemplo básico de lo que incluir en dpcExtras, con un token de acceso agregado.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Cómo iniciar una app durante la configuración

accióndeconfiguración
Figura 2. Usa setupActions para iniciar una app durante la configuración.

En policies, puedes especificar una app para que se inicie Android Device Policy durante la configuración del dispositivo o del perfil de trabajo. Por ejemplo, podrías iniciar una app de VPN los usuarios pueden definir las opciones de VPN como parte del proceso de configuración. La aplicación debe Devuelve RESULT_OK para indicar que se completó la acción y permitir que Android Device Policy completar el aprovisionamiento del dispositivo o del perfil de trabajo. Para iniciar una app durante la configuración, haz lo siguiente:

Asegúrate de que el installType de la app sea REQUIRED_FOR_SETUP. Si la app no se puede instalado o iniciado en el dispositivo, el aprovisionamiento fallará.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Agrega el nombre del paquete de la app a setupActions. Usa title y description para especificar instrucciones para el usuario.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Para distinguir que una app se inicia desde launchApp, la actividad que se que se iniciaron primero como parte de la app contiene el intent booleano com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (configurada en true). Este extra te permite personalizar tu app según iniciada desde setupActions o por un usuario.

Cuando la app muestra RESULT_OK, Android Device Policy completa los restantes pasos necesarios para aprovisionar el dispositivo o el perfil de trabajo.

Cancela la inscripción durante la configuración

La app que se inició como SetupAction puede cancelar la devolución de inscripción. RESULT_FIRST_USER

Si cancelas la inscripción, se restablece el dispositivo de la empresa o se borra el trabajo. en un dispositivo de propiedad personal.

Nota: Si cancelas la inscripción, se activa la acción sin un usuario. cuadro de diálogo de confirmación. Es responsabilidad de la app mostrar una al usuario antes de mostrar RESULT_FIRST_USER.

Aplica una política a los dispositivos inscritos recientemente

El método que uses para aplicar políticas a los dispositivos inscritos recientemente depende de ti y de los requisitos de tus clientes. Estos son los diferentes enfoques que puedes usa:

  • (Recomendado) Cuando creas un token de inscripción, puedes especificar el nombre de la política (policyName) que se vinculará inicialmente al dispositivo. Cuando inscribes un dispositivo con el token, la política se al dispositivo.

  • Establece una política como la política predeterminada para una empresa. Si no se especifica un nombre de política que se especifica en el token de inscripción, y hay una política con el nombre enterprises/<enterprise_id>/policies/default, cada dispositivo nuevo tiene se vincula automáticamente a la política predeterminada en el momento de la inscripción.

  • Suscríbete a un tema de Cloud Pub/Sub para recibir notificaciones sobre los dispositivos inscritos recientemente. En respuesta a un Notificación de ENROLLMENT, llama a enterprises.devices.patch para vincular el dispositivo con una política.

Inscribe un dispositivo sin una política

Si un dispositivo está inscrito sin una política válida, se coloca en cuarentena. Los dispositivos en cuarentena se bloquean de todas las funciones hasta que el dispositivo está vinculado a una política.

Si un dispositivo no se vincula a una política en cinco minutos, se registra la inscripción del dispositivo. falla y se restablece la configuración de fábrica del dispositivo. El estado del dispositivo en cuarentena te brinda Oportunidad para implementar verificaciones de licencias y otras validaciones de inscripción procesos como parte de tu solución.

Ejemplo de flujo de trabajo de verificación de licencias

  1. Se inscribió un dispositivo sin una política predeterminada o específica.
  2. Verifica cuántas licencias le quedan a la empresa.
  3. Si hay licencias disponibles, usa devices.patch para adjuntar un política al dispositivo y, luego, disminuir el recuento de licencias. Si no hay licencias disponibles, usa devices.patch para inhabilitar el dispositivo. Como alternativa, la API restablece la configuración de fábrica de cualquier dispositivo que no esté conectado a una política dentro de los cinco minutos posteriores a la inscripción.