Inscribe y aprovisiona un dispositivo

El aprovisionamiento es el proceso de configurar un dispositivo para que lo administre un enterprise mediante policies. Durante el proceso, un dispositivo instala Android Device Policy, que se usa para recibir y aplicar policies. Si el aprovisionamiento se realiza correctamente, la API crea un objeto devices, que vincula el dispositivo a una empresa.

La API de Android Management usa tokens de inscripción para activar el proceso de aprovisionamiento. El token de inscripción y el método de aprovisionamiento que usas establecen la propiedad (de propiedad personal o de la empresa) y el modo de administración (perfil de trabajo o dispositivo completamente administrado).

Dispositivos personales

Android 5.1 y versiones posteriores

Los dispositivos que pertenecen a los empleados se pueden configurar con un perfil de trabajo. Un perfil de trabajo proporciona un espacio autónomo para las apps y los datos de trabajo, separado de los datos y las apps personales. La mayoría de las apps, los datos y otros elementos de administración policies se aplican solo al perfil de trabajo, mientras que los datos y las apps personales del empleado permanecen privados.

Para configurar un perfil de trabajo en un dispositivo de propiedad personal, crea un token de inscripción (asegúrate de que allowPersonalUsage esté configurado en PERSONAL_USAGE_ALLOWED) y usa uno de los siguientes métodos de aprovisionamiento:

Dispositivos empresariales para uso personal y laboral

Android 8 y versiones posteriores

Configurar un dispositivo empresarial con un perfil de trabajo habilita el dispositivo para uso tanto laboral como personal. En dispositivos pertenecientes a la empresa con perfiles de trabajo:

Para configurar un dispositivo empresarial con un perfil de trabajo, crea un token de inscripción (asegúrate de que allowPersonalUsage esté configurado como PERSONAL_USAGE_ALLOWED) y usa uno de los siguientes métodos de aprovisionamiento:

Dispositivos de la empresa solo para uso laboral

Android 5.1 y versiones posteriores

La administración completa del dispositivo es adecuada para dispositivos empresariales que se usan exclusivamente con fines laborales. Las empresas pueden administrar todas las apps en el dispositivo y aplicar todo el espectro de las políticas y los comandos de la API de Android Management.

También es posible bloquear un dispositivo (mediante la política) para una sola app o un conjunto pequeño de apps para cumplir con un propósito o caso de uso exclusivos. Este subconjunto de dispositivos completamente administrados se conoce como dispositivos dedicados.

Para configurar la administración completa en un dispositivo de la empresa, crea un token de inscripción (asegúrate de que allowPersonalUsage esté configurado como PERSONAL_USAGE_DISALLOWED) y usa uno de los siguientes métodos de aprovisionamiento:

Las políticas pueden afectar la generación de la IU durante el aprovisionamiento del dispositivo. Estas políticas son las siguientes:

Si deseas que los pasos para ingresar la contraseña se muestren junto con la instalación de apps de trabajo y tarjetas de registro de dispositivos durante el aprovisionamiento del dispositivo, te sugerimos que actualices tus políticas para retrasar el inicio de la generación de la IU. Para ello, mantén el dispositivo en estado de cuarentena, que ocurre si el dispositivo está inscrito sin una política asociada, hasta que especifiques la política final deseada para la configuración del dispositivo propagada con elementos relevantes para tus necesidades de configuración. Una vez que se haya completado el aprovisionamiento del dispositivo, podrás cambiar la política según sea necesario.


Crea un token de inscripción

Descripción general de la administración de Android
Figura 1: Crea un token que inscriba y aplique “policy1” a los dispositivos. Después de 1,800 segundos (30 minutos), el token vence.

Necesitas un token de inscripción para cada dispositivo que desees inscribir (puedes usar el mismo token para varios dispositivos). Para solicitar un token de inscripción, llama a enterprises.enrollmentTokens.create. Los tokens de inscripción vencen después de una hora de forma predeterminada, pero puedes especificar una fecha de vencimiento personalizada (duration) de hasta 10,000 años aproximadamente.

Una solicitud correcta muestra un objeto enrollmentToken que contiene un enrollmentTokenId y un qrcode que los administradores de TI y los usuarios finales pueden usar para aprovisionar dispositivos.

Especifica una política

También puedes especificar un policyName en la solicitud para aplicar una política al mismo tiempo que se inscribe un dispositivo. Si no especificas un policyName, consulta Inscribe un dispositivo sin una política.

Especifica un usuario

El recurso enrollmentTokens incluye un campo userAccountIdentifier. Si no especificas un userAccountIdentifier, la API creará, de forma silenciosa, una cuenta nueva y única cada vez que se inscribe un dispositivo con el token de inscripción.

Si especificas un userAccountIdentifier que no se activó en un dispositivo, la API creará, de manera silenciosa, una cuenta para el identificador cuando se inscriba un dispositivo con el token de inscripción.

Si especificas un userAccountIdentifier que se activó con anterioridad en otro dispositivo, la API volverá a usar el usuario existente y lo activará en cada dispositivo que esté inscrito con el token de inscripción. Práctica recomendada: No se debe activar una cuenta en más de 10 dispositivos.

Especifica el uso personal

allowPersonalUsage determina si se puede agregar un perfil de trabajo al dispositivo durante el aprovisionamiento. Configúralo como PERSONAL_USAGE_ALLOWED para permitir que un usuario cree un perfil de trabajo (obligatorio para dispositivos de propiedad personal, opcional para dispositivos de la empresa).


Acerca de los códigos QR

Los códigos QR funcionan como un método eficiente de aprovisionamiento de dispositivos para empresas que mantienen muchas políticas diferentes. El código QR que muestra enterprises.enrollmentTokens.create consta de una carga útil de pares clave-valor que contiene un token de inscripción y toda la información necesaria para que Android Device Policy pueda aprovisionar un dispositivo.

Ejemplo de paquete de códigos QR

El paquete incluye la ubicación de descarga de Android Device Policy y un token de inscripción.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Puedes usar el código QR que muestra enterprises.enrollmentTokens.create directamente o personalizarlo. Para obtener una lista completa de las propiedades que puedes incluir en un paquete de códigos QR, consulta Cómo crear un código QR.

Para convertir la cadena qrcode en un código QR que se puede escanear, usa un generador de códigos QR como ZXing.


Métodos de aprovisionamiento

En esta sección, se describen diferentes métodos para aprovisionar un dispositivo.

Cómo agregar un perfil de trabajo desde "Configuración"

Android 5.1 y versiones posteriores

Para configurar un perfil de trabajo en su dispositivo, un usuario puede hacer lo siguiente:

  1. Ve a Configuración > Google > Configurar y restablecer.
  2. Presiona Configura tu perfil de trabajo.

Estos pasos inician un asistente de configuración que descarga Android Device Policy en el dispositivo. A continuación, se le solicitará al usuario que escanee un código QR o que ingrese de forma manual un token de inscripción para completar la configuración del perfil de trabajo.

Descargar Android Device Policy

Android 5.1 y versiones posteriores

Para configurar un perfil de trabajo en su dispositivo, un usuario puede descargar la Política de dispositivo Android desde Google Play Store. Después de instalar la app, se le solicitará al usuario que ingrese un código QR o que ingrese de forma manual un token de inscripción para completar la configuración del perfil de trabajo.

Android 5.1 y versiones posteriores

Con el token de inscripción que muestra enrollmentTokens.create o el signinEnrollmentToken de la empresa (consulta la URL de acceso a continuación), genera una URL con el siguiente formato:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Puedes proporcionar esta URL a los administradores de TI para que se la proporcione a sus usuarios finales. Cuando un usuario final abra el vínculo desde su dispositivo, se lo guiará por la configuración del perfil de trabajo.

URL de acceso

Con este método, a los usuarios se les proporciona una URL que les solicita sus credenciales. En función de sus credenciales, puedes calcular la política adecuada para el usuario antes de continuar con el aprovisionamiento del dispositivo. Por ejemplo:

  1. Especifica tu URL de acceso en enterprises.signInDetails[]. Configura allowPersonalUsage como PERSONAL_USAGE_ALLOWED si deseas permitir que un usuario cree un perfil de trabajo (obligatorio para dispositivos de propiedad personal, opcional para dispositivos de la empresa).

    Agrega el signinEnrollmentToken resultante como aprovisionamiento adicional a un código QR, una carga útil de NFC o una configuración de inscripción automática. Como alternativa, puedes proporcionar el signinEnrollmentToken directamente a los usuarios.

  2. Elige una opción:

    1. Dispositivos empresariales: Después de activar un dispositivo nuevo o en el que se haya restablecido la configuración de fábrica, pasa el signinEnrollmentToken al dispositivo (a través de un código QR, un salto de NFC, etc.) o pídeles a los usuarios que ingresen el token de forma manual. El dispositivo abrirá la URL de acceso especificada en el paso 1.
    2. Dispositivos personales: Pídeles a los usuarios que agreguen un perfil de trabajo desde "Configuración". Cuando se le solicite, el usuario escanea un código QR que contiene el signinEnrollmentToken o ingresa el token de forma manual. El dispositivo abrirá la URL de acceso especificada en el paso 1.
    3. Dispositivos personales: Proporciona a los usuarios un vínculo de token de inscripción, en el que el token de inscripción es el signinEnrollmentToken. El dispositivo abrirá la URL de acceso especificada en el paso 1.
  3. La URL de acceso debe solicitar a los usuarios que ingresen sus credenciales. Según su identidad, puedes determinar la política adecuada.

  4. Llama a enrollmentTokens.create y especifica el policyId apropiado en función de las credenciales del usuario.

  5. Muestra el token de inscripción generado en el paso 4 a través del redireccionamiento de URL, con el formato https://enterprise.google.com/android/enroll?et=<token>.

Método de código QR

Android 7.0 y versiones posteriores

Para aprovisionar un dispositivo empresarial, puedes generar un código QR y mostrarlo en tu consola de EMM:

  1. En un dispositivo nuevo o en el que se haya restablecido la configuración de fábrica, el usuario (por lo general, un administrador de TI) presiona la pantalla seis veces en el mismo lugar. Esto hará que el dispositivo le solicite al usuario que escanee un código QR.
  2. El usuario escanea el código QR que se muestra en la consola de administración (o aplicación similar) para inscribir y aprovisionar el dispositivo.

Método NFC

Android 6.0 y versiones posteriores

Este método requiere que crees una app de programador de NFC que contenga el token de inscripción, las políticas iniciales y la configuración y los ajustes de Wi-Fi, además de todos los demás detalles de aprovisionamiento que requiere tu cliente para aprovisionar un dispositivo dedicado o completamente administrado. Cuando tú o tu cliente instalan la app de programador de NFC en un dispositivo Android, ese dispositivo se convierte en el dispositivo del programador.

En la documentación para desarrolladores de la API de EMM de Play, puedes encontrar orientación detallada sobre cómo admitir el método NFC. El sitio también incluye código de muestra de los parámetros predeterminados enviados a un dispositivo en una transmisión de NFC. Para instalar Android Device Policy, configura la ubicación de descarga del paquete de administración de dispositivos de la siguiente manera:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Método de identificador de DPC

Si no se puede agregar Android Device Policy mediante un código QR o NFC, un usuario o administrador de TI puede seguir estos pasos para aprovisionar un dispositivo empresarial:

  1. Sigue las instrucciones del asistente de configuración en un dispositivo nuevo o en el que se haya restablecido la configuración de fábrica.
  2. Ingresa los detalles de acceso por Wi-Fi para conectar el dispositivo a Internet.
  3. Cuando se te solicite acceder, ingresa afw#setup, que descargará Android Device Policy.
  4. Escanea un código QR o ingresa manualmente un token de inscripción para aprovisionar el dispositivo.

Inscripción automática

Android 8.0 y versiones posteriores (Pixel 7.1 y versiones posteriores)

Los dispositivos que se compran a un revendedor autorizado de inscripción automática son aptos para la inscripción automática, un método optimizado para preconfigurar dispositivos a fin de que se aprovisionen automáticamente en el primer inicio.

Las organizaciones pueden crear configuraciones que contengan detalles de aprovisionamiento para sus dispositivos de inscripción automática, ya sea a través del portal de inscripción automática o mediante tu consola de EMM (consulta la API de inscripción automática para clientes). Durante el primer inicio, un dispositivo de inscripción automática verifica si se le asignó una configuración. Si es así, el dispositivo descarga Android Device Policy, que luego completa la configuración del dispositivo con los elementos adicionales de aprovisionamiento especificados en la configuración asignada.

Si tus clientes usan el portal de inscripción automática, deben seleccionar Android Device Policy como el DPC de EMM para cada configuración que creen. Las instrucciones detalladas sobre cómo usar el portal, incluido cómo crear y asignar configuraciones a dispositivos, están disponibles en el Centro de ayuda de Android Enterprise.

Si prefieres que tus clientes establezcan y asignen configuraciones directamente desde tu consola de EMM, debes realizar la integración en la API de cliente de inscripción automática. Cuando creas una configuración, especificas los elementos adicionales de aprovisionamiento en el campo dpcExtras. En el siguiente fragmento de JSON, se muestra un ejemplo básico de lo que se debe incluir en dpcExtras con un token de acceso agregado.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Iniciar una app durante la configuración

acción de configuración
Figura 2. Usa setupActions para iniciar una app durante la configuración.

En policies, puedes especificar una app para que Android Device Policy se inicie durante la configuración del dispositivo o del perfil de trabajo. Por ejemplo, puedes iniciar una app de VPN para que los usuarios puedan ajustar los parámetros de la VPN como parte del proceso de configuración. La app debe mostrar RESULT_OK para indicar la finalización y permitir que Android Device Policy complete el aprovisionamiento del dispositivo o del perfil de trabajo. Para iniciar una app durante la configuración, haz lo siguiente:

Asegúrate de que la installType de la app sea REQUIRED_FOR_SETUP. Si la app no se puede instalar ni iniciar en el dispositivo, fallará el aprovisionamiento.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Agrega el nombre del paquete de la app a setupActions. Usa title y description a fin de especificar instrucciones para el usuario.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Para distinguir que una app se inicia desde launchApp, la actividad que se inicia primero como parte de la app contiene el intent booleano adicional com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (establecido en true). Este extra te permite personalizar tu app en función de si se inicia desde setupActions o por parte de un usuario.

Una vez que la app muestra RESULT_OK, Android Device Policy completa los pasos restantes necesarios para aprovisionar el dispositivo o el perfil de trabajo.

Cancela la inscripción durante la configuración

La app que se inicia como SetupAction puede cancelar la inscripción y mostrar RESULT_CANCELED.

Cuando se cancela la inscripción, se restablece un dispositivo empresarial o se borra el perfil de trabajo en uno personal.

Nota: La cancelación de la inscripción activa la acción sin un diálogo de confirmación del usuario. Es responsabilidad de la app mostrar al usuario un diálogo de error apropiado antes de mostrar el resultado.

Aplica una política a los dispositivos inscritos recientemente

El método que uses para aplicar políticas a los dispositivos inscritos recientemente depende de ti y de los requisitos de tus clientes. A continuación, presentamos tres enfoques diferentes:

  • (Recomendado) Cuando crees un token de inscripción, puedes especificar el nombre de la política (policyName) que se vinculará inicialmente al dispositivo. Cuando inscribes un dispositivo con el token, la política se aplica automáticamente al dispositivo.

  • Establece una política como política predeterminada para una empresa. Si no se especifica un nombre de política en el token de inscripción y hay una política con el nombre enterprises/<enterprise_id>/policies/default, cada dispositivo nuevo se vinculará automáticamente a la política predeterminada en el momento de la inscripción.

  • Suscríbete a un tema de Cloud Pub/Sub para recibir notificaciones sobre dispositivos inscritos recientemente. En respuesta a una notificación de ENROLLMENT, llama a enterprises.devices.patch para vincular el dispositivo con una política.

Inscribe un dispositivo sin una política

Si un dispositivo está inscrito sin una política válida, se coloca en cuarentena. Los dispositivos en cuarentena se bloquean de todas las funciones del dispositivo hasta que se vinculen a una política.

Si un dispositivo no se vincula a una política en cinco minutos, la inscripción del dispositivo fallará y se restablecerá la configuración de fábrica del dispositivo. El estado de cuarentena del dispositivo te da la oportunidad de implementar verificaciones de licencias y otros procesos de validación de inscripción como parte de tu solución.

Ejemplo de flujo de trabajo de verificación de licencias

  1. Un dispositivo se inscribió sin una política predeterminada o específica.
  2. Revisa cuántas licencias le quedan a la empresa.
  3. Si hay licencias disponibles, usa devices.patch para adjuntar una política al dispositivo y, luego, disminuye el recuento de licencias. Si no hay licencias disponibles, usa devices.patch para inhabilitar el dispositivo. Como alternativa, la API restablece la configuración de fábrica de cualquier dispositivo que no esté conectado a una política dentro de los cinco minutos posteriores a la inscripción.