Регистрация и подготовка устройства

Процесс инициализации (provisioning) — это настройка устройства для управления им с помощью policies enterprise . В ходе этого процесса устройство устанавливает Android Device Policy, которая используется для получения и применения policies . Если инициализация прошла успешно, API создает объект devices , привязывая устройство к корпоративной сети.

API управления Android использует токены регистрации для запуска процесса инициализации. Используемый токен регистрации и метод инициализации определяют право собственности на устройство (личная собственность или собственность компании) и режим управления (рабочий профиль или полностью управляемое устройство).

Система квот определяет, сколько устройств может обслуживать каждый проект. Необходимо запросить начальную квоту на устройства, прежде чем можно будет выделить первое устройство.

Устройства, находящиеся в личной собственности

Android 5.1+

На устройствах, принадлежащих сотрудникам, можно настроить рабочий профиль . Рабочий профиль предоставляет автономное пространство для рабочих приложений и данных, отдельное от личных приложений и данных. Большинство policies управления приложениями, данными и другими функциями применяются только к рабочему профилю, в то время как личные приложения и данные сотрудника остаются конфиденциальными.

Для настройки рабочего профиля на личном устройстве создайте токен регистрации (убедитесь, что allowPersonalUsage установлен в значение PERSONAL_USAGE_ALLOWED ) и используйте один из следующих методов предоставления доступа:

Устройства, принадлежащие компании, для работы и личного пользования.

Android 8+

Настройка служебного устройства с рабочим профилем позволяет использовать устройство как для работы, так и для личных целей. На служебных устройствах с рабочим профилем:

  • Большинство policies управления приложениями, данными и другими функциями применяются только к рабочему профилю.
  • Личный профиль сотрудника остается конфиденциальным. Однако предприятия могут применять определенные общесистемные политики и политики личного использования .
  • Предприятия могут использовать blockScope для обеспечения соблюдения требований соответствия на всем устройстве или только в его рабочем профиле.
  • Команды devices.delete и device применяются ко всему устройству.

Для настройки рабочего профиля на корпоративном устройстве создайте токен регистрации (убедитесь, что allowPersonalUsage установлен в значение PERSONAL_USAGE_ALLOWED ) и используйте один из следующих методов предоставления доступа:

Устройства, принадлежащие компании, предназначены только для использования на рабочем месте.

Android 5.1+

Полное управление устройствами подходит для корпоративных устройств, предназначенных исключительно для работы. Предприятия могут управлять всеми приложениями на устройстве и применять весь спектр политик и команд API управления Android.

Также можно ограничить доступ к устройству ( с помощью политики ) для использования только одного приложения или небольшого набора приложений, предназначенных для выполнения определенной задачи или сценария использования. Эта подгруппа полностью управляемых устройств называется выделенными устройствами . Токены регистрации для таких устройств должны иметь allowPersonalUsage установленный в значение PERSONAL_USAGE_DISALLOWED_USERLESS .

Для настройки полного управления корпоративным устройством создайте токен регистрации, убедившись, что allowPersonalUsage установлен в значение PERSONAL_USAGE_DISALLOWED или PERSONAL_USAGE_DISALLOWED_USERLESS , и используйте один из следующих методов предоставления доступа.

Политики могут влиять на генерацию пользовательского интерфейса во время инициализации устройства. К таким политикам относятся:

  • PasswordPolicyScope : Этот параметр определяет требования к паролям.
  • PermittedInputMethods : Этот параметр определяет методы ввода данных из пакета.
  • PermittedAccessibilityServices : Этот параметр определяет, какие службы доступности разрешены для полностью управляемых устройств и рабочих профилей.
  • SetupActions : Этот параметр определяет, какие действия выполняются во время установки.
  • ApplicationsPolicy : Этот параметр определяет политику для отдельного приложения.

Если вы хотите, чтобы шаги по вводу пароля отображались одновременно с установкой рабочих приложений и регистрационных карточек устройства во время инициализации устройства, мы рекомендуем обновить ваши политики, чтобы отложить запуск генерации пользовательского интерфейса, удерживая устройство в карантинном состоянии (что происходит, если устройство зарегистрировано без соответствующей политики), до тех пор, пока не будет указана окончательная выбранная политика для настройки устройства, заполненная элементами, соответствующими вашим потребностям. После завершения инициализации устройства вы можете изменить политику по мере необходимости.

Создайте токен регистрации.

Обзор управления Android.
Рисунок 1. Создайте токен, который регистрирует устройства и применяет к ним политику "policy1". Через 1800 секунд (30 минут) срок действия токена истекает.

Для каждого устройства, которое вы хотите зарегистрировать, вам потребуется токен регистрации (вы можете использовать один и тот же токен для нескольких устройств). Чтобы запросить токен регистрации, вызовите метод enterprises.enrollmentTokens.create . По умолчанию срок действия токенов регистрации истекает через один час, но вы можете указать собственное время истечения срока действия ( duration ) до приблизительно 10 000 лет.

В случае успешного выполнения запроса возвращается объект enrollmentToken содержащий enrollmentTokenId и qrcode , которые ИТ-администраторы и конечные пользователи могут использовать для инициализации устройств.

Укажите политику

Также может потребоваться указать policyName в запросе, чтобы применить политику одновременно с регистрацией устройства. Если вы не укажете policyName , см. раздел «Регистрация устройства без политики» .

Укажите условия личного использования

allowPersonalUsage определяет, можно ли добавить рабочий профиль на устройство во время инициализации. Установите значение PERSONAL_USAGE_ALLOWED , чтобы разрешить пользователю создавать рабочий профиль (обязательно для личных устройств, необязательно для устройств, принадлежащих компании).

О QR-кодах

QR-коды служат эффективным методом инициализации устройств для предприятий, использующих множество различных политик. QR-код, возвращаемый функцией enterprises.enrollmentTokens.create , представляет собой набор пар «ключ-значение», содержащих токен регистрации и всю необходимую информацию для инициализации устройства с помощью Android Device Policy.

Пример набора QR-кодов

В комплект входят ссылка для загрузки файла Android Device Policy и токен для регистрации.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Вы можете использовать QR-код, полученный в результате выполнения команды enterprises.enrollmentTokens.create , напрямую или настроить его. Полный список свойств, которые можно включить в пакет QR-кодов, см. в разделе «Создание QR-кода» .

Для преобразования строки qrcode в сканируемый QR-код используйте генератор QR-кодов, например, ZXing .

Методы предоставления ресурсов

В этом разделе описаны различные методы инициализации устройства.

Добавить профиль работы в разделе «Настройки».

Android 5.1+

Для настройки рабочего профиля на своем устройстве пользователь может:

  1. Перейдите в Настройки > Google > Настройка и восстановление .
  2. Нажмите « Настроить свой рабочий профиль» .

Эти шаги запускают мастер настройки, который загружает политику Android-устройства на устройство. Затем пользователю будет предложено отсканировать QR-код или вручную ввести токен регистрации для завершения настройки рабочего профиля.

Скачать политику использования устройств Android

Android 5.1+

Для настройки рабочего профиля на своем устройстве пользователь может загрузить приложение Android Device Policy из магазина Google Play. После установки приложения пользователю будет предложено ввести QR-код или вручную ввести токен регистрации для завершения настройки рабочего профиля.

Android 5.1+

Используя токен регистрации, полученный с помощью метода enrollmentTokens.create , или корпоративный signinEnrollmentToken , сгенерируйте URL-адрес в следующем формате:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Вы можете предоставить этот URL-адрес ИТ-администраторам, которые, в свою очередь, смогут предоставить его своим конечным пользователям. Когда конечный пользователь откроет ссылку со своего устройства, он будет перенаправлен на страницу настройки рабочего профиля.

URL для входа

При этом методе пользователи перенаправляются на страницу для ввода любой дополнительной информации, необходимой для завершения настройки устройства. На основе введенной пользователем информации вы можете рассчитать соответствующую политику для пользователя, прежде чем продолжить настройку устройства. Например:

  1. Укажите URL-адрес для входа в систему в enterprises.signInDetails[] . Установите allowPersonalUsage в значение PERSONAL_USAGE_ALLOWED , если хотите разрешить пользователю создавать рабочий профиль (обязательно для личных устройств, необязательно для корпоративных устройств).

    Добавьте полученный signinEnrollmentToken в качестве дополнительного параметра инициализации к QR-коду , NFC-данным или в конфигурацию Zero-touch . В качестве альтернативы вы можете предоставить signinEnrollmentToken пользователям напрямую.

  2. Выберите вариант:

    1. Устройства, принадлежащие компании: После включения нового устройства или сброса настроек до заводских, передайте на устройство токен signinEnrollmentToken (через QR-код, NFC-сигнал и т. д.) или попросите пользователей ввести токен вручную. Устройство откроет URL-адрес для входа в систему, указанный на шаге 1.
    2. Для личных устройств: Предложите пользователям добавить рабочий профиль в разделе «Настройки» . При появлении запроса пользователь сканирует QR-код, содержащий signinEnrollmentToken , или вводит токен вручную. Устройство откроет URL-адрес для входа, указанный на шаге 1.
    3. Для личных устройств: Предоставьте пользователям ссылку на токен регистрации , где токен регистрации — это signinEnrollmentToken . Устройство откроет URL-адрес для входа, указанный на шаге 1.

  3. Проверьте, аутентифицировал ли Google пользователя уже. Получите информацию о предоставлении доступа к устройству (во время регистрации устройства), используя параметр GET provisioningInfo , и проверьте наличие значения в поле authenticatedUserEmail . Если в этом поле есть значение, пользователь уже был успешно аутентифицирован Google, и вы можете использовать эту идентификацию без дополнительной аутентификации.

  4. Если Google еще не аутентифицировал пользователя, то ваш URL-адрес для входа должен предлагать пользователям ввести свои учетные данные. В зависимости от их личности вы можете определить соответствующую политику и получить информацию о предоставлении доступа к устройству (во время регистрации устройства), используя параметр GET provisioningInfo .

  5. Вызовите метод enrollmentTokens.create , указав соответствующий policyId на основе учетных данных пользователя.

  6. Верните сгенерированный на шаге 5 токен регистрации, используя перенаправление URL-адреса, в формате https://enterprise.google.com/android/enroll?et=<token> .

Метод QR-кода

Android 7.0+

Для активации устройства, принадлежащего компании, вы можете сгенерировать QR-код и отобразить его в консоли EMM:

  1. На новом устройстве или устройстве, прошедшем заводские настройки, пользователь (обычно ИТ-администратор) шесть раз касается экрана в одном и том же месте. Это запускает процесс сканирования QR-кода.
  2. Пользователь сканирует QR-код, отображаемый в консоли управления (или аналогичном приложении), для регистрации и настройки устройства.

метод NFC

Android 6.0+

Этот метод требует создания приложения для программирования NFC, содержащего токен регистрации, начальные политики и конфигурацию Wi-Fi, настройки и все другие данные для подготовки, необходимые вашему клиенту для настройки полностью управляемого или выделенного устройства. Когда вы или ваш клиент установите приложение для программирования NFC на устройство под управлением Android, это устройство станет устройством программирования.

Подробные инструкции по поддержке метода NFC доступны в документации для разработчиков Play EMM API . На сайте также приведен пример кода параметров по умолчанию, передаваемых на устройство при касании NFC-меткой. Для установки Android Device Policy укажите место загрузки пакета администрирования устройства следующим образом:

https://play.google.com/managed/downloadManagingApp?identifier=setup

метод идентификатора DPC

Если добавить политику для устройства Android с помощью QR-кода или NFC не удается, пользователь или ИТ-администратор может выполнить следующие действия для настройки корпоративной учетной записи на устройстве:

  1. Следуйте инструкциям мастера настройки на новом устройстве или устройстве, сброшенном до заводских настроек.
  2. Введите данные для входа в сеть Wi-Fi, чтобы подключить устройство к интернету.
  3. При запросе на вход в систему введите afw#setup , что загрузит политику для устройств Android.
  4. Для активации устройства отсканируйте QR-код или введите регистрационный токен вручную.

Регистрация без участия пользователя

Android 8.0+ (Pixel 7.1+)

Устройства, приобретенные у авторизованного реселлера, работающего по принципу «нулевого касания», могут быть зарегистрированы с помощью метода «нулевого касания» — упрощенного способа предварительной настройки устройств для автоматической инициализации при первом включении.

Организации могут создавать конфигурации, содержащие сведения о предоставлении доступа к своим устройствам с автоматической настройкой, либо через портал автоматической регистрации , либо с помощью консоли EMM (см. API для клиентов с автоматической настройкой ). При первой загрузке устройство с автоматической настройкой проверяет, назначена ли ему конфигурация. Если да, устройство загружает политику устройства Android, которая затем завершает настройку устройства с использованием дополнительных параметров предоставления доступа, указанных в назначенной конфигурации.

Если ваши клиенты используют портал автоматической регистрации , им необходимо выбрать Android Device Policy в качестве EMM DPC для каждой создаваемой ими конфигурации. Подробные инструкции по использованию портала, включая создание и назначение конфигураций устройствам, доступны в справочном центре Android Enterprise .

Если вы предпочитаете, чтобы ваши клиенты устанавливали и назначали конфигурации непосредственно из вашей консоли EMM, вам необходимо интегрироваться с API для клиентов, не требующим вмешательства пользователя . При создании конфигурации вы указываете дополнительные параметры предоставления ресурсов в поле dpcExtras . Следующий фрагмент JSON показывает базовый пример того, что следует включить в dpcExtras , с добавлением токена для входа в систему.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Запустите приложение во время настройки.

настройка действия
Рисунок 2. Используйте setupActions для запуска приложения во время настройки.

В policies можно указать одно приложение, которое будет запускаться Android Device Policy во время настройки устройства или рабочего профиля. Например, можно запустить VPN-приложение, чтобы пользователи могли настраивать параметры VPN в процессе настройки. Приложение должно возвращать RESULT_OK , сигнализируя о завершении и позволяя Android Device Policy завершить инициализацию устройства или рабочего профиля. Чтобы запустить приложение во время настройки:

Убедитесь, что для installType установлено значение REQUIRED_FOR_SETUP . Если приложение не может быть установлено или запущено на устройстве, процесс инициализации завершится неудачей.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Добавьте имя пакета приложения в setupActions . Используйте title и description для указания инструкций, отображаемых пользователю.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Чтобы определить, что приложение запущено из launchApp , активность, которая запускается первой в рамках приложения, содержит логический параметр intent extra com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (установите значение true ). Этот параметр позволяет настраивать приложение в зависимости от того, запущено ли оно из setupActions или пользователем.

После того, как приложение вернет RESULT_OK , функция Android Device Policy завершит все оставшиеся шаги, необходимые для настройки устройства или рабочего профиля.

Отменить регистрацию во время настройки

Приложение, запущенное как SetupAction, может отменить регистрацию, вернув RESULT_FIRST_USER .

Отмена регистрации приводит к сбросу настроек на корпоративном устройстве или удалению рабочего профиля на личном устройстве.

Примечание : Отмена регистрации запускает действие без диалогового окна подтверждения пользователя. Приложение обязано показать пользователю соответствующее диалоговое окно с ошибкой перед возвратом значения RESULT_FIRST_USER .

Примените политику к вновь зарегистрированным устройствам.

Способ применения политик к новым зарегистрированным устройствам зависит от вас и требований ваших клиентов. Вот несколько возможных подходов:

  • (Рекомендуется) При создании токена регистрации можно указать имя политики ( policyName ), которая будет изначально связана с устройством. При регистрации устройства с помощью токена политика автоматически применяется к устройству.

  • Установите политику в качестве политики по умолчанию для предприятия. Если в токене регистрации не указано имя политики, но существует политика с именем enterprises/<enterprise_id>/policies/default , каждое новое устройство автоматически связывается с политикой по умолчанию во время регистрации.

  • Подпишитесь на тему Cloud Pub/Sub , чтобы получать уведомления о новых зарегистрированных устройствах. В ответ на уведомление ENROLLMENT вызовите enterprises.devices.patch , чтобы связать устройство с политикой.

Зарегистрировать устройство без политики

Если устройство зарегистрировано без действующей политики, оно помещается в карантин . Устройства, находящиеся в карантине, блокируются от всех функций до тех пор, пока не будет привязана политика.

Если устройство не будет привязано к политике в течение пяти минут, регистрация устройства завершится неудачей, и устройство будет сброшено до заводских настроек. Состояние карантина устройства дает вам возможность внедрить проверки лицензирования или другие процессы проверки регистрации в рамках вашего решения.

Пример алгоритма проверки лицензирования

  1. Устройство регистрируется без политики по умолчанию или без указания конкретной политики.
  2. Проверьте, сколько лицензий осталось у предприятия.
  3. Если доступны лицензии, используйте devices.patch для прикрепления политики к устройству, а затем уменьшите количество лицензий. Если лицензий нет, используйте devices.patch для отключения устройства. В качестве альтернативы, API-мастер-сбросит любое устройство, не прикрепленное к политике, в течение пяти минут после регистрации.