Регистрация и подготовка устройства

Подготовка — это процесс настройки устройства для управления с помощью policies enterprise . В ходе этого процесса устройство устанавливает политику Android Device Policy, которая используется для получения и применения policies . Если подготовка прошла успешно, API создаёт объект devices , привязывая устройство к предприятию.

API управления Android использует токены регистрации для запуска процесса подготовки. Токен регистрации и используемый метод подготовки определяют владельца устройства (личное или корпоративное) и режим управления (рабочий профиль или полностью управляемое устройство).

Система квот определяет количество устройств, которые может обслуживать каждый проект. Вам необходимо запросить начальную квоту, прежде чем вы сможете подготовить первое устройство.

Личные устройства

Android 5.1+

На устройствах сотрудников можно настроить рабочий профиль . Рабочий профиль предоставляет автономное пространство для рабочих приложений и данных, отдельное от личных приложений и данных. Большинство policies управления приложениями, данными и другими функциями применяются только к рабочему профилю, в то время как личные приложения и данные сотрудника остаются конфиденциальными.

Чтобы настроить рабочий профиль на личном устройстве, создайте токен регистрации (убедитесь, что для allowPersonalUsage установлено значение PERSONAL_USAGE_ALLOWED ) и используйте один из следующих методов подготовки:

Корпоративные устройства для рабочего и личного пользования

Андроид 8+

Настройка рабочего профиля на корпоративном устройстве позволяет использовать его как в рабочих, так и в личных целях. На корпоративных устройствах с рабочими профилями:

  • Большинство policies управления приложениями, данными и другими параметрами применяются только к рабочему профилю.
  • Личный профиль сотрудника остаётся конфиденциальным. Однако предприятия могут применять определённые политики для всего устройства и политики личного использования .
  • Предприятия могут использовать blockScope для обеспечения соблюдения требований на всем устройстве или только на его рабочем профиле.
  • Команды devices.delete и device применяются ко всему устройству.

Чтобы настроить корпоративное устройство с рабочим профилем, создайте токен регистрации (убедитесь, что для allowPersonalUsage установлено значение PERSONAL_USAGE_ALLOWED ) и используйте один из следующих методов подготовки:

Корпоративные устройства только для служебного использования

Android 5.1+

Полное управление устройствами подходит для корпоративных устройств, предназначенных исключительно для рабочих целей. Предприятия могут управлять всеми приложениями на устройстве и применять весь спектр политик и команд API управления Android.

Также можно закрепить устройство ( с помощью политики ) за одним приложением или небольшим набором приложений для определённой цели или варианта использования. Это подмножество полностью управляемых устройств называется выделенными устройствами . Для токенов регистрации таких устройств allowPersonalUsage должен быть установлен в PERSONAL_USAGE_DISALLOWED_USERLESS .

Чтобы настроить полное управление на корпоративном устройстве, создайте токен регистрации, убедившись, что параметр allowPersonalUsage имеет значение PERSONAL_USAGE_DISALLOWED или PERSONAL_USAGE_DISALLOWED_USERLESS , и используйте один из следующих методов подготовки.

Политики могут влиять на формирование пользовательского интерфейса во время подготовки устройства. К ним относятся:

  • PasswordPolicyScope : определяет требования к паролю.
  • PermittedInputMethods : определяет методы ввода пакета.
  • PermittedAccessibilityServices : определяет, какие службы специальных возможностей разрешены для полностью управляемых устройств и рабочих профилей.
  • SetupActions : определяет, какие действия выполняются во время настройки.
  • ApplicationsPolicy : определяет политику для отдельного приложения.

Если вы хотите, чтобы шаги по вводу пароля отображались вместе с установкой рабочих приложений и карточек регистрации устройств во время подготовки устройства, рекомендуем обновить политики, чтобы отложить начало создания пользовательского интерфейса, оставив устройство в состоянии карантина (например, при регистрации без соответствующей политики), пока не будет указана окончательная политика настройки устройства, заполненная элементами, соответствующими вашим потребностям. После завершения подготовки устройства вы можете изменить политику по мере необходимости.

Создайте токен регистрации

Обзор управления Android.
Рисунок 1. Создайте токен, который регистрирует и применяет политику «policy1» к устройствам. Срок действия токена истекает через 1800 секунд (30 минут).

Вам потребуется токен регистрации для каждого устройства, которое вы хотите зарегистрировать (вы можете использовать один и тот же токен для нескольких устройств). Чтобы запросить токен регистрации, вызовите enterprises.enrollmentTokens.create . Срок действия токенов регистрации по умолчанию составляет один час, но вы можете указать другой срок действия ( duration ) вплоть до 10 000 лет.

Успешный запрос возвращает объект enrollmentToken содержащий enrollmentTokenId и qrcode , который ИТ-администраторы и конечные пользователи могут использовать для подготовки устройств.

Укажите политику

Вы также можете указать policyName в запросе, чтобы применить политику одновременно с регистрацией устройства. Если policyName не указано, см. раздел Регистрация устройства без политики .

Укажите личное использование

allowPersonalUsage определяет, можно ли добавить рабочий профиль на устройство во время подготовки. Установите значение PERSONAL_USAGE_ALLOWED чтобы разрешить пользователю создавать рабочий профиль (обязательно для личных устройств, необязательно для корпоративных).

О QR-кодах

QR-коды служат эффективным способом подготовки устройств для предприятий, использующих множество различных политик. QR-код, возвращаемый методом enterprises.enrollmentTokens.create , состоит из пар «ключ-значение», содержащих токен регистрации и всю информацию, необходимую для подготовки устройства с помощью Android Device Policy.

Пример набора QR-кодов

В комплект поставки входит место загрузки Android Device Policy и токен регистрации.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Вы можете использовать QR-код, полученный с помощью enterprises.enrollmentTokens.create , напрямую или настроить его. Полный список свойств, которые можно включить в пакет QR-кодов, см. в разделе «Создание QR-кода» .

Чтобы преобразовать строку qrcode в сканируемый QR-код, используйте генератор QR-кодов, например ZXing .

Методы обеспечения

В этом разделе описываются различные методы подготовки устройства.

Добавить рабочий профиль из «Настроек»

Android 5.1+

Чтобы настроить рабочий профиль на своем устройстве, пользователь может:

  1. Перейдите в Настройки > Google > Настройка и восстановление .
  2. Нажмите Настройте свой рабочий профиль .

Эти шаги запускают мастер настройки, который загружает Android Device Policy на устройство. Далее пользователю будет предложено отсканировать QR-код или вручную ввести токен регистрации для завершения настройки рабочего профиля.

Загрузить политику устройств Android

Android 5.1+

Чтобы настроить рабочий профиль на своём устройстве, пользователь может скачать приложение Android Device Policy из Google Play. После установки приложения пользователю будет предложено отсканировать QR-код или вручную ввести токен регистрации для завершения настройки рабочего профиля.

Android 5.1+

Используя токен регистрации, возвращенный из enrollmentTokens.create или signinEnrollmentToken предприятия, создайте URL-адрес в следующем формате:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Вы можете предоставить этот URL-адрес ИТ-администраторам, которые затем передадут его своим конечным пользователям. Когда конечный пользователь откроет ссылку на своём устройстве, ему будут предоставлены инструкции по настройке рабочего профиля.

URL-адрес для входа

При использовании этого метода пользователи перенаправляются на страницу для ввода дополнительной информации, необходимой для завершения подготовки. На основе введённой пользователем информации можно рассчитать подходящую для него политику, прежде чем приступить к подготовке устройства. Например:

  1. Укажите URL-адрес для входа в enterprises.signInDetails[] . Установите для параметра allowPersonalUsage значение PERSONAL_USAGE_ALLOWED если хотите разрешить пользователю создавать рабочий профиль (обязательно для личных устройств, необязательно для корпоративных).

    Добавьте полученный signinEnrollmentToken в качестве дополнительного обеспечения к QR-коду , полезной нагрузке NFC или конфигурации Zero-touch . Кроме того, вы можете предоставить signinEnrollmentToken пользователям напрямую.

  2. Выберите вариант:

    1. Корпоративные устройства: после включения нового или сброшенного до заводских настроек устройства передайте токен signinEnrollmentToken устройству (с помощью QR-кода, NFC-метки и т. д.) или попросите пользователей ввести токен вручную. Устройство откроет URL-адрес для входа, указанный на шаге 1.
    2. Личные устройства: Предложите пользователям добавить рабочий профиль в разделе «Настройки» . При появлении запроса пользователь сканирует QR-код, содержащий signinEnrollmentToken , или вводит токен вручную. Устройство откроет URL-адрес для входа, указанный на шаге 1.
    3. Личные устройства: предоставьте пользователям ссылку на токен регистрации , где токен регистрации — signinEnrollmentToken . Устройство откроет URL-адрес для входа, указанный на шаге 1.

  3. Проверьте, аутентифицировал ли Google пользователя ранее. Получите информацию о подготовке устройства (во время регистрации) с помощью GET-параметра provisioningInfo и проверьте значение поля authenticatedUserEmail . Если в этом поле есть значение, пользователь уже успешно аутентифицирован Google, и вы можете использовать эту идентификацию без дополнительной аутентификации.

  4. Если Google ещё не аутентифицировал пользователя, ваш URL-адрес для входа должен предлагать пользователю ввести свои учётные данные. На основе его личности вы можете определить соответствующую политику и получить информацию о подготовке устройства (во время регистрации) с помощью GET-параметра provisioningInfo .

  5. Вызовите enrollmentTokens.create , указав соответствующий policyId на основе учетных данных пользователя.

  6. Верните токен регистрации, сгенерированный на шаге 5, с помощью перенаправления URL-адреса в форме https://enterprise.google.com/android/enroll?et=<token> .

Метод QR-кода

Android 7.0+

Чтобы подготовить корпоративное устройство, вы можете сгенерировать QR-код и отобразить его в консоли EMM:

  1. На новом или сброшенном до заводских настроек устройстве пользователь (обычно системный администратор) шесть раз нажимает на экран в одном и том же месте. В результате устройство предлагает пользователю отсканировать QR-код.
  2. Пользователь сканирует QR-код, отображаемый в консоли управления (или аналогичном приложении), чтобы зарегистрировать и подготовить устройство.

метод NFC

Android 6.0+

Этот метод требует создания приложения для программирования NFC, содержащего токен регистрации, начальные политики, конфигурацию Wi-Fi, настройки и все другие данные, необходимые вашему клиенту для подготовки полностью управляемого или выделенного устройства. Когда вы или ваш клиент устанавливаете приложение для программирования NFC на устройство Android, это устройство становится программатором.

Подробные инструкции по поддержке метода NFC доступны в документации для разработчиков Play EMM API . На сайте также представлен пример кода параметров по умолчанию, передаваемых на устройство при использовании NFC-метки. Чтобы установить Android Device Policy, укажите путь загрузки пакета администратора устройства:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Метод идентификатора DPC

Если политику устройств Android невозможно добавить с помощью QR-кода или NFC, пользователь или ИТ-администратор могут выполнить следующие действия для подготовки устройства, принадлежащего компании:

  1. Следуйте указаниям мастера настройки на новом или сброшенном до заводских настроек устройстве.
  2. Введите данные для входа в сеть Wi-Fi, чтобы подключить устройство к Интернету.
  3. При появлении запроса на вход введите afw#setup , что загрузит Android Device Policy.
  4. Отсканируйте QR-код или вручную введите токен регистрации для подготовки устройства к работе.

Регистрация без прикосновений

Android 8.0+ (Pixel 7.1+)

Устройства, приобретенные у авторизованного реселлера, работающего по принципу «нулевого касания», имеют право на регистрацию по принципу «нулевого касания» — оптимизированный метод предварительной настройки устройств для их автоматической подготовки при первой загрузке.

Организации могут создавать конфигурации, содержащие сведения о подготовке для своих устройств с нулевым уровнем доступа, через портал регистрации с нулевым уровнем доступа или с помощью консоли EMM (см. API клиента с нулевым уровнем доступа ). При первой загрузке устройство с нулевым уровнем доступа проверяет, назначена ли ему конфигурация. Если да, устройство загружает политику устройств Android, которая затем завершает настройку устройства с использованием дополнительных возможностей подготовки, указанных в назначенной конфигурации.

Если ваши клиенты используют портал автоматической регистрации , им необходимо выбрать Android Device Policy в качестве EMM DPC для каждой создаваемой конфигурации. Подробные инструкции по использованию портала, включая создание и назначение конфигураций устройствам, доступны в справочном центре Android Enterprise .

Если вы предпочитаете, чтобы ваши клиенты настраивали и назначали конфигурации непосредственно из консоли EMM, вам необходимо интегрироваться с API клиента с автоматической настройкой . При создании конфигурации вы указываете дополнительные параметры подготовки в поле dpcExtras . Следующий фрагмент JSON-кода демонстрирует базовый пример того, что нужно включить в dpcExtras , с добавлением токена входа.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Запустить приложение во время настройки

настройкадействие
Рисунок 2. Использование setupActions для запуска приложения во время настройки.

В policies можно указать одно приложение, которое будет запускаться службой Android Device Policy во время настройки устройства или рабочего профиля. Например, можно запустить приложение VPN, чтобы пользователи могли настраивать параметры VPN в процессе настройки. Приложение должно вернуть RESULT_OK , чтобы сигнализировать о завершении и разрешить Android Device Policy завершить подготовку устройства или рабочего профиля. Чтобы запустить приложение во время настройки:

Убедитесь, что installType приложения задано значение REQUIRED_FOR_SETUP . Если приложение не может быть установлено или запущено на устройстве, подготовка завершится ошибкой.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Добавьте имя пакета приложения в setupActions . Используйте title и description для указания инструкций для пользователя.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Чтобы отличить запуск приложения от launchApp , действие, которое первым запускается как часть приложения, содержит логическое дополнение com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (со значением true ). Это дополнение позволяет настраивать приложение в зависимости от того, запущено ли оно из setupActions или пользователем.

После того как приложение вернет RESULT_OK , Android Device Policy выполнит все оставшиеся шаги, необходимые для подготовки устройства или рабочего профиля.

Отменить регистрацию во время настройки

Приложение, запущенное как SetupAction, может отменить регистрацию, вернув RESULT_FIRST_USER .

Отмена регистрации приводит к сбросу настроек корпоративного устройства или удалению рабочего профиля на личном устройстве.

Примечание : Отмена регистрации запускает действие без диалогового окна подтверждения пользователя. Приложение обязано показать пользователю соответствующее диалоговое окно с сообщением об ошибке перед возвратом RESULT_FIRST_USER .

Применить политику к вновь зарегистрированным устройствам

Метод применения политик к вновь зарегистрированным устройствам зависит от вас и потребностей ваших клиентов. Вот несколько подходов, которые вы можете использовать:

  • (Рекомендуется) При создании токена регистрации вы можете указать имя политики ( policyName ), которая будет изначально связана с устройством. При регистрации устройства с помощью токена политика автоматически применяется к устройству.

  • Установите политику в качестве политики по умолчанию для предприятия. Если в токене регистрации не указано имя политики и существует политика с именем enterprises/<enterprise_id>/policies/default , каждое новое устройство автоматически привязывается к политике по умолчанию во время регистрации.

  • Подпишитесь на тему Cloud Pub/Sub, чтобы получать уведомления о новых зарегистрированных устройствах. В ответ на уведомление ENROLLMENT вызовите enterprises.devices.patch , чтобы связать устройство с политикой.

Зарегистрируйте устройство без политики

Если устройство зарегистрировано без действующей политики, оно помещается в карантин . На устройствах, помещенных в карантин, блокируются все функции до тех пор, пока устройство не будет привязано к политике.

Если устройство не будет привязано к политике в течение пяти минут, регистрация устройства завершится неудачей, и оно будет сброшено до заводских настроек. Состояние карантина устройства позволяет вам реализовать проверки лицензирования или другие процессы проверки регистрации в рамках вашего решения.

Пример рабочего процесса проверки лицензирования

  1. Устройство зарегистрировано без политики по умолчанию или конкретной политики.
  2. Проверьте, сколько лицензий осталось у предприятия.
  3. Если есть доступные лицензии, используйте devices.patch для присоединения политики к устройству, а затем уменьшите количество лицензий. Если доступных лицензий нет, используйте devices.patch для отключения устройства. В качестве альтернативы, API сбросит настройки любого устройства, не привязанного к политике, к заводским в течение пяти минут после регистрации.