רישום וניהול של מכשיר

הקצאת הרשאות היא תהליך של הגדרת מכשיר לניהול באמצעות policies על ידי enterprise. במהלך התהליך, במכשיר מותקנת אפליקציית ‏Device Policy למכשירי Android, שמשמשת לקבלת policies ולאכיפה שלה. אם ההקצאה מתבצעת בהצלחה, ה-API יוצר אובייקט devices, ומקשר את המכשיר לארגון.

‫Android Management API משתמש באסימוני רישום כדי להפעיל את תהליך ההקצאה. טוקן ההרשמה ושיטת ההקצאה שבהם אתם משתמשים קובעים את הבעלות על המכשיר (בבעלות אישית או בבעלות החברה) ואת מצב הניהול שלו (פרופיל עבודה או מכשיר מנוהל).

מערכת מכסות קובעת כמה מכשירים כל פרויקט יכול לנהל. כדי להקצות את המכשיר הראשון, צריך לשלוח בקשה למכסת מכשירים ראשונית.

מכשירים בבעלות אישית

‫Android 5.1 ואילך

במכשירים שבבעלות העובדים אפשר להגדיר פרופיל עבודה. פרופיל עבודה מספק מרחב עצמאי לאפליקציות ולנתונים שקשורים לעבודה, בנפרד מאפליקציות ומנתונים אישיים. רוב האפליקציות, הנתונים וההגדרות האחרות לניהול policies חלים רק על פרופיל העבודה, והאפליקציות והנתונים האישיים של העובד נשארים פרטיים.

כדי להגדיר פרופיל עבודה במכשיר בבעלות אישית, יוצרים טוקן רישום (מוודאים שהערך של allowPersonalUsage מוגדר ל-PERSONAL_USAGE_ALLOWED) ומשתמשים באחת משיטות ההקצאה הבאות:

• הוספת פרופיל עבודה דרך 'הגדרות'
• הורדה של ‏Device Policy למכשירי Android
• קישור לטוקן הרשמה
• כתובת URL לכניסה

מכשירים בבעלות החברה לשימוש בעבודה ולשימוש אישי

‫Android 8 ואילך

הגדרת פרופיל עבודה במכשיר בבעלות החברה מאפשרת שימוש במכשיר גם לצורכי עבודה וגם לשימוש אישי. במכשירים שבבעלות החברה עם פרופילי עבודה:

• רוב ההגדרות של ניהול אפליקציות, נתונים והגדרות אחרות policies חלות רק על פרופיל העבודה.
• הפרופיל האישי של העובד נשאר פרטי. עם זאת, ארגונים יכולים לאכוף כללי מדיניות מסוימים שחלים על כל המכשיר וכללי מדיניות לגבי שימוש אישי.
• ארגונים יכולים להשתמש ב-blockScope כדי לאכוף פעולות תאימות במכשיר שלם או רק בפרופיל העבודה שלו.
• devices.delete ופקודות למכשיר חלות על מכשיר שלם.

כדי להגדיר מכשיר בבעלות החברה עם פרופיל עבודה, יוצרים טוקן הרשמה (מוודאים שהערך של allowPersonalUsage מוגדר ל-PERSONAL_USAGE_ALLOWED) ומשתמשים באחת משיטות ההקצאה הבאות:

• שיוך אוטומטי לארגון
• קוד QR
• כתובת URL לכניסה
• מזהה DPC

מכשירים בבעלות החברה לשימוש בעבודה בלבד

‫Android 5.1 ואילך

ניהול מלא של המכשיר מתאים למכשירים שבבעלות החברה ומיועדים לשימוש למטרות עבודה בלבד. ארגונים יכולים לנהל את כל האפליקציות במכשיר וליישם את כל המדיניות והפקודות של Android Management API.

אפשר גם לנעול מכשיר (באמצעות מדיניות) לאפליקציה אחת או לקבוצה קטנה של אפליקציות כדי שישמש למטרה ספציפית או לתרחיש שימוש מסוים. קבוצת המשנה הזו של מכשירים מנוהלים נקראת מכשירים ייעודיים. בטוקנים לרישום של המכשירים האלה, צריך להגדיר את allowPersonalUsage בתור PERSONAL_USAGE_DISALLOWED_USERLESS.

כדי להגדיר ניהול מלא במכשיר בבעלות החברה, צריך ליצור אסימון הרשמה ולוודא שהערך של allowPersonalUsage מוגדר ל-PERSONAL_USAGE_DISALLOWED או ל-PERSONAL_USAGE_DISALLOWED_USERLESS, ואז להשתמש באחת משיטות ההקצאה הבאות.

• שיוך אוטומטי לארגון
• קוד QR
• כתובת URL של דף הכניסה (לא מתאים למכשירים ייעודיים)
• NFC
• מזהה DPC

כללי מדיניות יכולים להשפיע על יצירת ממשק המשתמש במהלך הקצאת הרשאות למכשיר. כללי מדיניות כאלה הם:

• ‫PasswordPolicyScope: ההגדרה הזו קובעת את הדרישות לגבי סיסמאות.
• ‫PermittedInputMethods: ההגדרה הזו קובעת את שיטות הקלט של החבילה.
• ‫PermittedAccessibilityServices: ההגדרה הזו קובעת אילו שירותי נגישות מותרים במכשירים מנוהלים באופן מלא ובפרופיל העבודה.
• ‫SetupActions: ההגדרה הזו קובעת אילו פעולות יבוצעו במהלך ההגדרה.
• ‫ApplicationsPolicy: ההגדרה הזו קובעת את המדיניות עבור אפליקציה ספציפית.

אם אתם רוצים שהשלבים של הסיסמה יוצגו לצד ההתקנה של אפליקציות לעבודה וכרטיסי רישום של המכשיר במהלך הקצאת ההרשאות למכשיר, מומלץ לעדכן את המדיניות כדי לדחות את ההפעלה של יצירת ממשק המשתמש. לשם כך, צריך להשאיר את המכשיר במצב בידוד, שמתרחש אם המכשיר נרשם ללא מדיניות משויכת, עד שמציינים את המדיניות הסופית שנבחרה להגדרת המכשיר, שאוכלסה בפריטים שרלוונטיים לצרכי ההגדרה. אחרי שהקצאת ההרשאות למכשיר מסתיימת, אפשר לשנות את המדיניות לפי הצורך.

יצירת טוקן רישום

צריך טוקן רישום לכל מכשיר שרוצים לרשום (אפשר להשתמש באותו טוקן לכמה מכשירים). כדי לבקש טוקן רישום, מתקשרים אל enterprises.enrollmentTokens.create. כברירת מחדל, התוקף של אסימוני ההרשמה פג אחרי שעה אחת, אבל אפשר לציין זמן תפוגה מותאם אישית (duration) של עד כ-10,000 שנים.

בקשה מוצלחת מחזירה אובייקט enrollmentToken שמכיל enrollmentTokenId ו-qrcode שאדמינים ב-IT ומשתמשי קצה יכולים להשתמש בהם כדי להקצות מכשירים.

ציון מדיניות

אפשר גם לציין policyName בבקשה כדי להחיל מדיניות בו-זמנית עם רישום המכשיר. אם לא מציינים policyName, אפשר לעיין במאמר רישום מכשיר ללא מדיניות.

ציון שימוש אישי

‫allowPersonalUsage קובע אם אפשר להוסיף פרופיל עבודה למכשיר במהלך ההקצאה. ההגדרה PERSONAL_USAGE_ALLOWED מאפשרת למשתמש ליצור פרופיל עבודה (נדרש במכשירים בבעלות אישית, אופציונלי במכשירים בבעלות החברה).

מידע על קודי QR

קודי QR הם שיטה יעילה להקצאת הרשאות למכשירים בארגונים שבהם יש הרבה כללי מדיניות שונים. קוד ה-QR שמוחזר מ-enterprises.enrollmentTokens.create מורכב ממטען ייעודי (payload) של זוגות מפתח-ערך שמכיל טוקן הרשמה ואת כל המידע שנדרש לאפליקציה Android Device Policy כדי להקצות מכשיר.

חבילת קוד QR לדוגמה

החבילה כוללת את מיקום ההורדה של ‏Device Policy למכשירי Android ואסימון רישום.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

אפשר להשתמש בקוד ה-QR שמוחזר מ-enterprises.enrollmentTokens.create ישירות או להתאים אותו אישית. רשימה מלאה של המאפיינים שאפשר לכלול בחבילת קוד QR זמינה במאמר בנושא יצירת קוד QR.

כדי להמיר את המחרוזת qrcode לקוד QR שאפשר לסרוק, משתמשים בכלי ליצירת קודי QR כמו ZXing.

שיטות הקצאת הרשאות

בקטע הזה מתוארות שיטות שונות להקצאת הרשאות למכשיר.

הוספת פרופיל עבודה דרך 'הגדרות'

‫Android 5.1 ואילך

כדי להגדיר פרופיל עבודה במכשיר, משתמש יכול:

1. עוברים אל הגדרות > Google > הגדרה ושחזור.
2. מקישים על הגדרת פרופיל העבודה.

השלבים האלה יפעילו אשף הגדרה שיוריד את ‏Device Policy למכשירי Android במכשיר. לאחר מכן, המשתמש יתבקש לסרוק קוד QR או להזין ידנית טוקן רישום כדי להשלים את הגדרת פרופיל העבודה.

הורדה של Device Policy למכשירי Android

‫Android 5.1 ואילך

כדי להגדיר פרופיל עבודה במכשיר, המשתמש יכול להוריד את Android Device Policy מחנות Google Play. אחרי התקנת האפליקציה, המשתמש יתבקש לסרוק קוד QR או להזין ידנית טוקן הרשמה כדי להשלים את הגדרת פרופיל העבודה.

קישור לטוקן רישום

‫Android 5.1 ואילך

באמצעות אסימון ההרשמה שמוחזר מ-enrollmentTokens.create או signinEnrollmentToken של הארגון, יוצרים כתובת URL בפורמט הבא:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

אתם יכולים לספק את כתובת ה-URL הזו לאדמינים ב-IT, והם יוכלו לספק אותה למשתמשי הקצה. כשמשתמש קצה יפתח את הקישור במכשיר שלו, הוא יקבל הנחיות להגדרת פרופיל העבודה.

כתובת URL להתחברות

בשיטה הזו, המשתמשים מופנים לדף שבו הם יכולים להזין מידע נוסף שנדרש להקצאת הרשאות. על סמך המידע שהמשתמש מזין, אפשר לחשב את המדיניות המתאימה למשתמש לפני שממשיכים בהקצאת הרשאות למכשיר. לדוגמה:

1. מציינים את כתובת ה-URL לכניסה ב-enterprises.signInDetails[]. מגדירים את הערך של allowPersonalUsage ל-PERSONAL_USAGE_ALLOWED אם רוצים לאפשר למשתמש ליצור פרופיל עבודה (נדרש למכשירים בבעלות אישית, אופציונלי למכשירים בבעלות החברה).

   מוסיפים את התוצאה signinEnrollmentToken כתוספת להקצאת הרשאות לקוד QR, למטען ייעודי (payload) של NFC או להגדרה ללא מגע. אפשר גם להעניק למשתמשים את ההרשאה signinEnrollmentToken באופן ישיר.

2. בוחרים אפשרות:

   1. מכשירים בבעלות החברה: אחרי שמפעילים מכשיר חדש או מכשיר שאופס להגדרות היצרן, מעבירים את signinEnrollmentToken למכשיר (באמצעות קוד QR, הצמדת NFC וכו') או מבקשים מהמשתמשים להזין את האסימון באופן ידני. המכשיר יפתח את כתובת ה-URL לכניסה שצוינה בשלב 1.
   2. מכשירים בבעלות אישית: מבקשים מהמשתמשים להוסיף פרופיל עבודה דרך 'הגדרות'. כשהמשתמש מתבקש, הוא סורק קוד QR שמכיל את signinEnrollmentToken או מזין את האסימון באופן ידני. המכשיר יפתח את כתובת ה-URL לכניסה שצוינה בשלב 1.
   3. מכשירים בבעלות אישית: מספקים למשתמשים קישור לטוקן הרשמה, כאשר טוקן ההרשמה הוא signinEnrollmentToken. במכשיר תיפתח כתובת ה-URL לכניסה שצוינה בשלב 1.

3. בודקים אם Google כבר אימתה את המשתמש. מקבלים את פרטי הקצאת ההרשאות למכשיר (במהלך שיוך מכשיר לארגון) באמצעות פרמטר GET‏ provisioningInfo ובודקים אם יש ערך בשדה authenticatedUserEmail. אם יש ערך בשדה הזה, המשתמש כבר עבר אימות מוצלח על ידי Google ואפשר להשתמש בזהות הזו בלי לבצע אימות נוסף.

4. אם Google עדיין לא אימתה את המשתמש, כתובת ה-URL לכניסה צריכה לבקש מהמשתמשים להזין את פרטי הכניסה שלהם. על סמך הזהות שלהם, אתם יכולים לקבוע את המדיניות המתאימה ולקבל את פרטי הקצאת המכשיר (במהלך שיוך המכשיר לארגון) באמצעות פרמטר ה-GET‏ provisioningInfo.

5. מתקשרים אל enrollmentTokens.create ומציינים את policyId המתאים על סמך פרטי הכניסה של המשתמש.

6. מחזירים את אסימון ההרשמה שנוצר בשלב 5 באמצעות הפניה אוטומטית של כתובת URL, בפורמט https://enterprise.google.com/android/enroll?et=<token>.

שיטה באמצעות קוד QR

‫Android מגרסה 7.0 ואילך

כדי להקצות הרשאות למכשיר בבעלות החברה, אפשר ליצור קוד QR ולהציג אותו במסוף ה-EMM:

1. במכשיר חדש או במכשיר שאותחל להגדרות היצרן, המשתמש (בדרך כלל מנהל IT) מקיש על המסך שש פעמים באותו מקום. הפעולה הזו גורמת למכשיר להציג למשתמש בקשה לסרוק קוד QR.
2. המשתמש סורק את קוד ה-QR שמוצג במסוף הניהול (או באפליקציה דומה) כדי לרשום את המכשיר ולספק לו הרשאות.

שיטת NFC

‫Android 6.0 ואילך

בשיטה הזו צריך ליצור אפליקציית תכנות NFC שמכילה את טוקן ההרשמה, את המדיניות הראשונית, את הגדרות ה-Wi-Fi ואת כל פרטי ההקצאה האחרים שהלקוח צריך כדי להקצות מכשיר בניהול מלא או מכשיר ייעודי. כשאתם או הלקוח שלכם מתקינים את אפליקציית התכנות של NFC במכשיר עם מערכת הפעלה Android, המכשיר הזה הופך למכשיר התכנות.

הנחיות מפורטות לגבי תמיכה בשיטת ה-NFC זמינות בתיעוד למפתחים של Play EMM API. באתר יש גם קוד לדוגמה של פרמטרים שמוגדרים כברירת מחדל שמועברים למכשיר באמצעות הצמדה של NFC. כדי להתקין את '‏Device Policy למכשירי Android', צריך להגדיר את מיקום ההורדה של חבילת האדמין במכשיר ל:

https://play.google.com/managed/downloadManagingApp?identifier=setup

שיטת הזיהוי של DPC

אם אי אפשר להוסיף את ‏Device Policy למכשירי Android באמצעות קוד QR או NFC, משתמש או אדמין ממחלקת IT יכולים לפעול לפי השלבים הבאים כדי להקצות מכשיר בבעלות החברה:

1. פועלים לפי אשף ההגדרה במכשיר חדש או במכשיר שאופס להגדרות המקוריות.
2. מזינים את פרטי ההתחברות ל-Wi-Fi כדי לחבר את המכשיר לאינטרנט.
3. כשמופיעה בקשה להיכנס לחשבון, מזינים afw#setup כדי להוריד את Android Device Policy.
4. סורקים קוד QR או מזינים ידנית אסימון הרשמה כדי להקצות את המכשיר.

שיוך אוטומטי לארגון

‫Android 8.0 ואילך (Pixel 7.1 ואילך)

מכשירים שנרכשו ממפיץ מורשה של שיוך אוטומטי לארגון מתאימים לשיוך אוטומטי לארגון – שיטה יעילה להגדרה מראש של מכשירים כך שהם יוקצו אוטומטית בהפעלה הראשונה.

ארגונים יכולים ליצור הגדרות שכוללות פרטי הקצאת הרשאות למכשירים שלהם בשיוך אוטומטי לארגון, דרך פורטל השיוך האוטומטי לארגון או באמצעות מסוף ה-EMM (ראו zero-touch customer API). באתחול הראשון, מכשיר עם הגדרה ללא מגע בודק אם הוקצתה לו הגדרה. אם כן, המכשיר מוריד את ‏Device Policy למכשירי Android, ואז משלים את ההגדרה של המכשיר באמצעות התוספים לאספקת הרשאות שצוינו בהגדרה שהוקצתה לו.

אם הלקוחות שלכם משתמשים בפורטל שיוך אוטומטי לארגון, הם צריכים לבחור באפשרות ‏Device Policy למכשירי Android כ-DPC של EMM לכל הגדרה שהם יוצרים. הוראות מפורטות לשימוש בפורטל, כולל איך ליצור הגדרות ולהקצות אותן למכשירים, זמינות במרכז העזרה של Android Enterprise.

אם אתם מעדיפים שהלקוחות שלכם יגדירו ויקצו הגדרות ישירות ממסוף ה-EMM, אתם צריכים לבצע שילוב עם zero-touch customer API. כשיוצרים הגדרה, מציינים את התוספים להקצאת הרשאות בשדה dpcExtras. קטע ה-JSON הבא מציג דוגמה בסיסית למה שצריך לכלול ב-dpcExtras, עם אסימון כניסה נוסף.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

הפעלת אפליקציה במהלך ההגדרה

ב-policies, אפשר לציין אפליקציה אחת ש‏Device Policy למכשירי Android תפעיל במהלך ההגדרה של המכשיר או של פרופיל העבודה. לדוגמה, אפשר להפעיל אפליקציית VPN כדי שהמשתמשים יוכלו להגדיר את הגדרות ה-VPN כחלק מתהליך ההגדרה. האפליקציה צריכה להחזיר את הערך RESULT_OK כדי לסמן את ההשלמה ולאפשר לאפליקציית Device Policy למכשירי Android להשלים את הקצאת ההרשאות למכשיר או לפרופיל העבודה. כדי להפעיל אפליקציה במהלך ההגדרה:

מוודאים ש-installType של האפליקציה הוא REQUIRED_FOR_SETUP. אם אי אפשר להתקין את האפליקציה או להפעיל אותה במכשיר, הקצאת ההרשאות תיכשל.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

מוסיפים את שם החבילה של האפליקציה אל setupActions. משתמשים בתגיות title ו-description כדי לציין הוראות שמוצגות למשתמש.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

כדי להבחין בין השקה של אפליקציה מ-launchApp לבין השקה שלה על ידי משתמש, הפעילות שמופעלת ראשונה כחלק מהאפליקציה מכילה את התוסף הבוליאני של הכוונה com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (מוגדר כ-true). התוסף הזה מאפשר לכם להתאים אישית את האפליקציה בהתאם לאופן ההשקה שלה – מ-setupActions או על ידי משתמש.

אחרי שהאפליקציה מחזירה את הערך RESULT_OK, אפליקציית Device Policy למכשירי Android משלימה את כל השלבים שנותרו שנדרשים להקצאת המכשיר או פרופיל העבודה.

ביטול ההרשמה במהלך ההגדרה

האפליקציה הושקה כ-SetupAction ויכולה לבטל את ההרשמה ולהחזיר את הערך RESULT_FIRST_USER.

ביטול ההרשמה מאפס מכשיר בבעלות החברה או מוחק את פרופיל העבודה במכשיר בבעלות אישית.

הערה: ביטול ההרשמה מפעיל את הפעולה בלי שמוצגת למשתמש תיבת דו-שיח לאישור. באחריות האפליקציה להציג למשתמש תיבת דו-שיח מתאימה עם שגיאה לפני החזרת RESULT_FIRST_USER.

החלת מדיניות על מכשירים חדשים שצורפו לניהול

השיטה שבה תשתמשו כדי להחיל מדיניות על מכשירים חדשים שנוספו תלויה בכם ובדרישות של הלקוחות שלכם. אלה הגישות השונות שבהן אפשר להשתמש:

• (מומלץ) כשיוצרים אסימון הרשמה, אפשר לציין את שם המדיניות (policyName) שתקושר למכשיר בשלב הראשוני. כשרושמים מכשיר באמצעות הטוקן, המדיניות מוחלת על המכשיר באופן אוטומטי.

• הגדרת מדיניות כברירת מחדל בארגון אם לא מציינים שם מדיניות באסימון ההרשמה, ויש מדיניות בשם enterprises/<enterprise_id>/policies/default, כל מכשיר חדש מקושר אוטומטית למדיניות ברירת המחדל בזמן ההרשמה.

• נרשמים לנושא ב-Cloud Pub/Sub כדי לקבל התראות על מכשירים חדשים שנרשמו. בתגובה להתראה ENROLLMENT, מתקשרים אל enterprises.devices.patch כדי לקשר את המכשיר למדיניות.

רישום מכשיר ללא מדיניות

אם מכשיר נרשם ללא מדיניות תקפה, הוא מוכנס להסגר. מכשירים בהסגר נחסמים מכל הפונקציות שלהם עד שהם מקושרים למדיניות.

אם מכשיר לא מקושר למדיניות תוך חמש דקות, שיוך המכשיר לארגון נכשל והמכשיר מאופס להגדרות המקוריות. מצב ההסגר של המכשיר מאפשר לכם להטמיע בדיקות רישוי או תהליכי אימות אחרים של הרשמה כחלק מהפתרון שלכם.

דוגמה לתהליך עבודה של בדיקת רישוי

1. מכשיר נרשם ללא מדיניות ברירת מחדל או מדיניות ספציפית.
2. בודקים כמה רישיונות נשארו לארגון.
3. אם יש רישיונות זמינים, משתמשים ב-devices.patch כדי לצרף מדיניות למכשיר, ואז מקטינים את מספר הרישיונות. אם אין רישיונות זמינים, משתמשים ב-devices.patch כדי להשבית את המכשיר. לחלופין, ה-API מאפס להגדרות המקוריות כל מכשיר שלא מצורף למדיניות תוך חמש דקות מההרשמה.