Rejestrowanie i udostępnianie urządzenia

Aprowizacja to proces konfigurowania urządzenia do zarządzania za pomocą policies przez enterprise. W trakcie tego procesu na urządzeniu zostanie zainstalowana aplikacja Android Device Policy, która służy do odbierania i egzekwowania policies. Jeśli aprowizacja się powiedzie, interfejs API utworzy obiekt devices, który powiąże urządzenie z firmą.

Android Management API używa tokenów rejestracji do wywoływania procesu wdrażania. Token rejestracji i metoda udostępniania, których używasz, określają własność urządzenia (osobiste lub należące do firmy) i tryb zarządzania (profil służbowy lub w pełni zarządzane urządzenie).

System limitów określa, iloma urządzeniami może zarządzać każdy projekt. Zanim będzie można udostępnić pierwsze urządzenie, musisz poprosić o początkowy limit urządzeń.

Urządzenia należące do użytkownika

Android 5.1 lub nowszy

Na urządzeniach należących do pracowników można skonfigurować profil służbowy. Profil służbowy zapewnia odrębną przestrzeń na aplikacje i dane służbowe, oddzieloną od aplikacji i danych osobistych. Większość ustawień zarządzania aplikacjami, danymi i innymi elementamipolicies dotyczy tylko profilu służbowego, a osobiste aplikacje i dane pracownika pozostają prywatne.

Aby skonfigurować profil służbowy na urządzeniu należącym do użytkownika, utwórz token rejestracji (upewnij się, że parametr allowPersonalUsage ma wartość PERSONAL_USAGE_ALLOWED) i użyj jednej z tych metod udostępniania:

Urządzenia należące do firmy, których można używać do celów służbowych i prywatnych

Android 8 lub nowszy

Skonfigurowanie urządzenia należącego do firmy z profilem służbowym umożliwia korzystanie z niego zarówno do celów służbowych, jak i prywatnych. Na urządzeniach należących do firmy z profilami służbowymi:

Aby skonfigurować urządzenie należące do firmy z profilem służbowym, utwórz token rejestracji (upewnij się, że allowPersonalUsage jest ustawione na PERSONAL_USAGE_ALLOWED) i skorzystaj z jednej z tych metod udostępniania:

Urządzenia należące do firmy, przeznaczone tylko do pracy

Android 5.1 lub nowszy

Pełne zarządzanie urządzeniami jest odpowiednie w przypadku urządzeń należących do firmy, które są przeznaczone wyłącznie do celów służbowych. Firmy mogą zarządzać wszystkimi aplikacjami na urządzeniu i wymuszać stosowanie wszystkich zasad i poleceń interfejsu Android Management API.

Możesz też zablokować urządzenie (za pomocą zasad), aby można było na nim uruchamiać tylko jedną aplikację lub niewielki zestaw aplikacji do określonego celu lub przypadku użycia. Ten podzbiór w pełni zarządzanych urządzeń jest nazywany urządzeniami specjalnymi. Tokeny rejestracji tych urządzeń muszą mieć wartość allowPersonalUsage ustawioną na PERSONAL_USAGE_DISALLOWED_USERLESS.

Aby skonfigurować pełne zarządzanie na urządzeniu należącym do firmy, utwórz token rejestracji, upewniając się, że parametr allowPersonalUsage ma wartość PERSONAL_USAGE_DISALLOWED lub PERSONAL_USAGE_DISALLOWED_USERLESS, i użyj jednej z tych metod udostępniania.

Zasady mogą mieć wpływ na generowanie interfejsu podczas udostępniania urządzenia. Są to:

Jeśli chcesz, aby podczas wdrażania urządzenia obok instalacji aplikacji służbowych i kart rejestracji urządzenia wyświetlały się instrukcje dotyczące hasła, zalecamy zaktualizowanie zasad, aby opóźnić rozpoczęcie generowania interfejsu przez utrzymywanie urządzenia w stanie kwarantanny, które występuje, jeśli rejestracja odbywa się bez powiązanych zasad, do momentu określenia ostatecznych wybranych zasad konfiguracji urządzenia wypełnionych elementami istotnymi dla Twoich potrzeb. Po zakończeniu aprowizacji urządzenia możesz w razie potrzeby zmienić zasady.

Tworzenie tokena rejestracji

Omówienie zarządzania urządzeniami z Androidem
Rysunek 1. Utwórz token, który rejestruje urządzenia i stosuje do nich „policy1”. Token wygasa po 1800 sekundach (30 minutach).

Musisz mieć token rejestracji dla każdego urządzenia, które chcesz zarejestrować (możesz użyć tego samego tokena na wielu urządzeniach). Aby poprosić o token rejestracji, zadzwoń pod numer enterprises.enrollmentTokens.create. Tokeny rejestracji wygasają domyślnie po godzinie, ale możesz określić niestandardowy czas wygaśnięcia (duration) do około 10 tys. lat.

W przypadku udanego żądania zwracany jest obiekt enrollmentToken zawierający enrollmentTokenIdqrcode, których administratorzy IT i użytkownicy mogą używać do udostępniania urządzeń.

Określanie zasady

Możesz też określić policyName w żądaniu, aby zastosować zasadę w momencie rejestracji urządzenia. Jeśli nie określisz policyName, zapoznaj się z artykułem Rejestrowanie urządzenia bez zasad.

Określanie użytku osobistego

allowPersonalUsage określa, czy podczas udostępniania można dodać profil służbowy na urządzeniu. Ustaw na PERSONAL_USAGE_ALLOWED, aby zezwolić użytkownikowi na utworzenie profilu służbowego (wymagane w przypadku urządzeń należących do użytkownika, opcjonalne w przypadku urządzeń należących do firmy).

Informacje o kodach QR

Kody QR to skuteczna metoda udostępniania urządzeń w przypadku przedsiębiorstw, które stosują wiele różnych zasad. Kod QR zwrócony przez enterprises.enrollmentTokens.create składa się z ładunku par klucz-wartość zawierających token rejestracji i wszystkie informacje potrzebne do zainicjowania urządzenia przez zasady dotyczące urządzeń z Androidem.

Przykładowy pakiet kodów QR

Pakiet zawiera lokalizację pobierania aplikacji Android Device Policy i token rejestracji.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Możesz użyć kodu QR zwróconego przez enterprises.enrollmentTokens.create bezpośrednio lub go dostosować. Pełną listę usług, które możesz uwzględnić w pakiecie z kodem QR, znajdziesz w artykule Tworzenie kodu QR.

Aby przekonwertować ciąg znaków qrcode na kod QR, który można zeskanować, użyj generatora kodów QR, np. ZXing.

Metody udostępniania

W tej sekcji opisujemy różne metody udostępniania urządzenia.

Dodawanie profilu służbowego w sekcji „Ustawienia”

Android 5.1 lub nowszy

Aby skonfigurować profil służbowy na urządzeniu, użytkownik może:

  1. Otwórz Ustawienia > Google > Konfiguracja i przywracanie.
  2. Kliknij Skonfiguruj profil służbowy.

Te czynności uruchamiają kreatora konfiguracji, który pobiera na urządzenie aplikację Android Device Policy. Następnie użytkownik zostanie poproszony o zeskanowanie kodu QR lub ręczne wpisanie tokena rejestracji, aby dokończyć konfigurację profilu służbowego.

Pobieranie aplikacji Android Device Policy

Android 5.1 lub nowszy

Aby skonfigurować profil służbowy na urządzeniu, użytkownik może pobrać aplikację Android Device Policy ze Sklepu Google Play. Po zainstalowaniu aplikacji pojawi się prośba o zeskanowanie kodu QR lub ręczne wpisanie tokena rejestracji, aby dokończyć konfigurowanie profilu służbowego.

Android 5.1 lub nowszy

Używając tokena rejestracji zwróconego przez enrollmentTokens.create lub signinEnrollmentToken firmy, utwórz adres URL w tym formacie:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Możesz udostępnić ten adres URL administratorom IT, którzy mogą przekazać go użytkownikom. Gdy użytkownik otworzy link na swoim urządzeniu, zostanie przeprowadzony przez proces konfigurowania profilu służbowego.

Adres URL logowania

W przypadku tej metody użytkownicy są przekierowywani na stronę, na której mogą podać dodatkowe informacje wymagane do zakończenia procesu udostępniania. Na podstawie informacji wprowadzonych przez użytkownika możesz obliczyć odpowiednie zasady przed rozpoczęciem aprowizacji urządzenia. Na przykład:

  1. Podaj adres URL logowania w enterprises.signInDetails[]. Ustaw wartość allowPersonalUsage na PERSONAL_USAGE_ALLOWED, jeśli chcesz zezwolić użytkownikowi na utworzenie profilu służbowego (wymagane w przypadku urządzeń osobistych, opcjonalne w przypadku urządzeń należących do firmy).

    Dodaj wynikowy signinEnrollmentToken jako dodatkowy element provisioningu do kodu QR, ładunku NFC lub konfiguracji bezdotykowej. Możesz też udostępnić signinEnrollmentToken bezpośrednio użytkownikom.

  2. Wybierz opcję:

    1. Urządzenia należące do firmy: po włączeniu nowego urządzenia lub urządzenia po przywróceniu ustawień fabrycznych przekaż signinEnrollmentToken na urządzenie (za pomocą kodu QR, zbliżenia NFC itp.) lub poproś użytkowników o ręczne wpisanie tokena. Urządzenie otworzy adres URL logowania podany w kroku 1.
    2. Urządzenia należące do użytkowników: poproś użytkowników o dodanie profilu służbowego w „Ustawieniach”. Gdy pojawi się prośba, użytkownik skanuje kod QR zawierający signinEnrollmentToken lub ręcznie wpisuje token. Urządzenie otworzy adres URL logowania określony w kroku 1.
    3. Urządzenia należące do użytkowników: udostępnij użytkownikom link do tokena rejestracji, gdzie token rejestracji to signinEnrollmentToken. Urządzenie otworzy adres URL logowania określony w kroku 1.

  3. Sprawdź, czy Google już uwierzytelnił użytkownika. Pobierz informacje o obsłudze administracyjnej urządzenia (podczas rejestracji urządzenia) za pomocą parametru GET provisioningInfo i sprawdź wartość pola authenticatedUserEmail. Jeśli w tym polu jest wartość, użytkownik został już uwierzytelniony przez Google i możesz użyć tej tożsamości bez dalszego uwierzytelniania.

  4. Jeśli Google nie uwierzytelniło jeszcze użytkownika, adres URL logowania powinien wyświetlać prośbę o podanie danych logowania. Na podstawie tożsamości możesz określić odpowiednią zasadę i uzyskać informacje o wdrażaniu urządzenia (podczas rejestracji urządzenia) za pomocą parametru GET provisioningInfo.

  5. Wywołaj funkcję enrollmentTokens.create, podając odpowiedni parametr policyId na podstawie danych logowania użytkownika.

  6. Zwróć token rejestracji wygenerowany w kroku 5 za pomocą przekierowania adresu URL w formacie https://enterprise.google.com/android/enroll?et=<token>.

Metoda z użyciem kodu QR

Android 7.0 lub nowszy

Aby udostępnić urządzenie należące do firmy, możesz wygenerować kod QR i wyświetlić go w konsoli EMM:

  1. Na nowym urządzeniu lub takim, na którym przywrócono ustawienia fabryczne, użytkownik (zwykle administrator IT) klika 6 razy w tym samym miejscu na ekranie. Pojawi się prośba o zeskanowanie kodu QR.
  2. Użytkownik skanuje kod QR wyświetlany w konsoli zarządzania (lub podobnej aplikacji), aby zarejestrować i udostępnić urządzenie.

Metoda NFC

Android 6.0 lub nowszy

Ta metoda wymaga utworzenia aplikacji programującej NFC, która zawiera token rejestracji, początkowe zasady i konfigurację Wi-Fi, ustawienia oraz wszystkie inne szczegóły związane z wdrażaniem wymagane przez klienta do wdrożenia w pełni zarządzanego lub dedykowanego urządzenia. Gdy Ty lub Twój klient zainstalujecie aplikację programatora NFC na urządzeniu z Androidem, to urządzenie stanie się urządzeniem programującym.

Szczegółowe wskazówki dotyczące obsługi metody NFC znajdziesz w dokumentacji dla programistów Play EMM API. Witryna zawiera też przykładowy kod domyślnych parametrów przekazywanych na urządzenie za pomocą NFC. Aby zainstalować Android Device Policy, ustaw lokalizację pobierania pakietu administratora urządzenia na:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Metoda identyfikatora DPC

Jeśli nie można dodać aplikacji Android Device Policy za pomocą kodu QR lub NFC, użytkownik lub administrator IT może wykonać te czynności, aby skonfigurować urządzenie należące do firmy:

  1. Postępuj zgodnie z instrukcjami w kreatorze konfiguracji na nowym urządzeniu lub urządzeniu, na którym przywrócono ustawienia fabryczne.
  2. Wpisz dane logowania do Wi-Fi, aby połączyć urządzenie z internetem.
  3. Gdy pojawi się prośba o zalogowanie się, wpisz afw#setup, aby pobrać Android Device Policy.
  4. Zeskanuj kod QR lub ręcznie wpisz token rejestracji, aby skonfigurować urządzenie.

Rejestracja typu zero-touch

Android 8.0 lub nowszy (Pixel 7.1 lub nowszy)

Urządzenia kupione u autoryzowanego sprzedawcy obsługującego rejestrację typu zero-touch można zarejestrować za pomocą tej metody. Jest to uproszczony sposób wstępnego konfigurowania urządzeń, aby automatycznie konfigurowały się przy pierwszym uruchomieniu.

Organizacje mogą tworzyć konfiguracje zawierające szczegóły dotyczące obsługi administracyjnej urządzeń obsługujących rejestrację typu zero-touch. Mogą to robić w portalu rejestracji typu zero-touch lub w konsoli EMM (patrz interfejs API dla klientów korzystających z rejestracji typu zero-touch). Przy pierwszym uruchomieniu urządzenie obsługujące rejestrację typu zero-touch sprawdza, czy ma przypisaną konfigurację. Jeśli tak, urządzenie pobierze aplikację Android Device Policy, która następnie przeprowadzi konfigurację urządzenia przy użyciu dodatkowych informacji o obsłudze administracyjnej określonych w przypisanej konfiguracji.

Jeśli Twoi klienci korzystają z portalu rejestracji typu zero-touch, muszą wybrać Android Device Policy jako kontroler zasad dotyczących urządzeń (DPC) usługi EMM dla każdej tworzonej konfiguracji. Szczegółowe instrukcje korzystania z portalu, w tym tworzenia i przypisywania konfiguracji do urządzeń, znajdziesz w Centrum pomocy Androida Enterprise.

Jeśli wolisz, aby klienci ustawiali i przypisywali konfiguracje bezpośrednio z konsoli EMM, musisz przeprowadzić integrację z interfejsem API dla klientów korzystających z rejestracji typu zero-touch. Podczas tworzenia konfiguracji dodatki do obsługi administracyjnej określa się w polu dpcExtras. Poniższy fragment kodu JSON zawiera podstawowy przykład tego, co należy uwzględnić w dpcExtras, z dodanym tokenem logowania.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Uruchamianie aplikacji podczas konfiguracji

setupaction
Rysunek 2. Użyj setupActions, aby uruchomić aplikację podczas konfiguracji.

policies możesz określić jedną aplikację, którą Android Device Policy ma uruchamiać podczas konfigurowania urządzenia lub profilu służbowego. Możesz na przykład uruchomić aplikację VPN, aby użytkownicy mogli skonfigurować ustawienia VPN w ramach procesu konfiguracji. Aplikacja musi zwrócić wartość RESULT_OK, aby zasygnalizować zakończenie działania i umożliwić aplikacji Android Device Policy dokończenie aprowizacji urządzenia lub profilu służbowego. Aby uruchomić aplikację podczas konfiguracji:

Sprawdź, czy installType aplikacji jest REQUIRED_FOR_SETUP. Jeśli nie można zainstalować lub uruchomić aplikacji na urządzeniu, aprowizacja się nie powiedzie.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Dodaj nazwę pakietu aplikacji do setupActions. Użyj właściwości titledescription, aby podać instrukcje dla użytkowników.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Aby odróżnić aplikację uruchomioną z launchApp, aktywność, która jest uruchamiana jako pierwsza w ramach aplikacji, zawiera dodatkowy parametr logiczny intencji com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (ustawiony na true). Ten dodatkowy parametr umożliwia dostosowanie aplikacji w zależności od tego, czy została ona uruchomiona z setupActions, czy przez użytkownika.

Gdy aplikacja zwróci wartość RESULT_OK, Android Device Policy wykona pozostałe kroki wymagane do obsługi urządzenia lub profilu służbowego.

Anulowanie rejestracji podczas konfiguracji

Aplikacja uruchomiona jako SetupAction może anulować rejestrację, zwracając wartość RESULT_FIRST_USER.

Anulowanie rejestracji powoduje zresetowanie urządzenia należącego do firmy lub usunięcie profilu służbowego na urządzeniu osobistym.

Uwaga: anulowanie rejestracji powoduje wykonanie działania bez wyświetlania okna potwierdzenia użytkownika. Obowiązkiem aplikacji jest wyświetlenie użytkownikowi odpowiedniego okna z błędem przed zwróceniem wartości RESULT_FIRST_USER.

Stosowanie zasad na nowo zarejestrowanych urządzeniach

Metoda stosowania zasad na nowo zarejestrowanych urządzeniach zależy od Ciebie i wymagań klientów. Oto różne podejścia, które możesz zastosować:

  • (Zalecane) Podczas tworzenia tokena rejestracji możesz określić nazwę zasady (policyName), która będzie początkowo powiązana z urządzeniem. Gdy zarejestrujesz urządzenie za pomocą tokena, zasady zostaną automatycznie zastosowane na urządzeniu.

  • Ustawianie zasady jako domyślnej dla firmy. Jeśli w tokenie rejestracji nie podano nazwy zasady, a istnieje zasada o nazwie enterprises/<enterprise_id>/policies/default, każde nowe urządzenie jest automatycznie łączone z zasadą domyślną w momencie rejestracji.

  • Zasubskrybuj temat Cloud Pub/Sub, aby otrzymywać powiadomienia o nowo zarejestrowanych urządzeniach. W odpowiedzi na powiadomienie ENROLLMENT zadzwoń pod numer enterprises.devices.patch, aby połączyć urządzenie z zasadami.

Rejestrowanie urządzenia bez zasad

Jeśli urządzenie zostanie zarejestrowane bez prawidłowej zasady, zostanie umieszczone w kwarantannie. Urządzenia poddane kwarantannie są blokowane we wszystkich funkcjach do momentu powiązania z zasadami.

Jeśli urządzenie nie zostanie powiązane z zasadami w ciągu 5 minut, rejestracja urządzenia nie powiedzie się i zostaną przywrócone ustawienia fabryczne. Stan urządzenia w kwarantannie umożliwia wdrożenie weryfikacji licencji lub innych procesów sprawdzania poprawności rejestracji w ramach rozwiązania.

Przykładowy proces sprawdzania licencji

  1. Urządzenie jest zarejestrowane bez zasady domyślnej lub konkretnej zasady.
  2. Sprawdź, ile licencji pozostało w firmie.
  3. Jeśli są dostępne licencje, użyj devices.patch, aby dołączyć do urządzenia zasady, a następnie zmniejsz liczbę licencji. Jeśli nie ma dostępnych licencji, użyj devices.patch, aby wyłączyć urządzenie. Interfejs API może też przywrócić ustawienia fabryczne każdego urządzenia, które nie jest powiązane z zasadami, w ciągu 5 minut od rejestracji.