建立企業繫結

如要透過 EMM 控制台註冊新機構,您必須建立一個 以及企業繫結一個 Enterprises 資源代表 建立 EMM 與機構之間的連結您可以使用執行個體的執行個體 以組織名義叫用作業。

Play EMM API 提供三種建立企業繫結執行個體的方式:

  • 申請受管理 Google 網域 :這個方法可以取代這兩種方法。具有 新的受管理 Google 網域和新機構 Google 會使用相同的註冊使用者介面。他們採用的使用者介面 會因用途和需求而異機構不一定要 並預先取得 EMM 權杖

  • 申請 Google Play 管理版帳戶 :某個機構想要使用 Google Play 管理版帳戶。您可以整合 透過 EMM 控制台和 Google 的 Android 註冊使用者介面,為機構提供 可以快速建立 繫結至內部 IP 位址的企業繫結執行個體 EMM。這將為使用者和裝置啟用 Google Play 管理版帳戶。 這種做法在 API 中有時稱為「EMM 啟動」 說明文件。此方法已淘汰,改用受管理 Google 網域 註冊方式。

  • 註冊受管理 Google 網域 :機構已有受管理 Google 網域。IT 管理員完成 包括向 Google 驗證網域擁有權、取得 建立 EMM 權杖及建立企業服務帳戶。這種做法 在 API 說明文件中,有時也稱為「Google 啟動」

您可以在 EMM 控制台中使用「 Enterprises 資源。資料表 1 會顯示這項資源的繫結相關欄位和作業 從機構遷移至 EMM

表 1:Enterprise API 和替代繫結程序

 Google Play 管理版帳戶企業受管理 Google 網域 說明
欄位
id 機構的專屬 ID,透過 enrollcompleteSignup 呼叫傳回。
kind 使用固定字串值識別資源類型。 -androidenterprise#enterpriseenterprise。
名稱 已連結的機構 呼叫 enterprise 物件。
primaryDomain未設定 因為 Google Play 管理版帳戶企業不會綁定 ,則這個欄位僅適用於受管理的 Google 網域。
管理員 []非 設定使用 EMM 發起的註冊程序會成為 以及企業繫結透過 Google Play 管理版控制台,IT 管理員可以發出邀請 以及機構中其他使用者參與管理工作。詳情請見 受管理 Google Play 說明中心
administrator[].email 未設定
方法
completeSignup 提供 completionToken 如果使用 enterpriseToken,則會傳回 Enterprises 資源 (擷取於 回應內文。
generateSignupUrl 針對 callbackUrl, 會傳回網址和 completionToken
註冊 使用以下應用程式的 EMM 註冊呼叫者: 是否隨要求提交權杖
getServiceAccount 傳回服務帳戶 憑證
setAccount 設定要用於 以企業身分向 API 驗證
取消註冊 EMM 可以堅持將繫結傳送至 代表使用取消註冊的企業類型必須使用 EMM 叫用 而不是 ESA 憑證。

Google Play 管理版帳戶註冊

這個註冊方法已淘汰。使用 受管理 Google 網域註冊方法。

申請受管理 Google 網域

您可以在 EMM 控制台中整合註冊程序:

申請 Google Play 管理版帳戶管理員
圖 1. 申請受管理 Google 網域 工作流程

IT 管理員啟動企業建立程序。為此,IT 部門 管理員:

  1. 登入 EMM 控制台。
  2. 點擊或選取「設定 Android」 (例如),系統會將你重新導向至 Google 代管的註冊使用者介面。
  3. 在註冊 UI 中提供企業詳細資料。
  4. 已重新導向至 EMM 控制台。

IT 管理員的電子郵件地址現已連結至 Google 帳戶 (也就是管理員) 帳戶。

最佳做法:遵循 Google 安全性機制 指南,協助 管理員帳戶安全。

必要條件

IT 管理員專用

  • 存取 EMM 控制台,以及執行適當操作所需的權限 選取控制台中的「管理 Android」選項,例如做為選單選項。

  • 公司電子郵件地址。這必須是 而非共用網域 (例如 Gmail.com)

EMM 控制台

如要執行受管理 Google 網域申請流程,請在 EMM 控制台中操作 必須能夠:

  • 在 Play EMM API 上叫用呼叫時,請使用您的主要服務合約憑證。您的主要服務合約 用於代表 IT 管理員叫用多項作業,直到 機構的企業服務帳戶 (ESA) 已設定完成。

  • 處理透過安全網址重新導向至 Google 提供的外部網站 啟動註冊流程並完成註冊程序。

  • 註冊完成後即可透過 ESA 憑證進行設定。因為你的 EMM 控制台可用於在任何特定機構內建立許多企業 您需要一種方法將每個 enterpriseId 與各自的服務建立關聯 帳戶和憑證請考慮為 呼叫 Enterprises.getServiceAccount 管理機構 以及透過 Google Cloud Storage Serviceaccountkeys API。 請參閱「透過程式建立企業服務帳戶」 ,掌握更多詳細資訊。

Android 註冊程序會要求您提供安全 (https) 服務, 向您說明控制台在執行階段的使用方式這項安全服務的網址可以是本機網址 可包含工作階段或其他專屬識別資訊 以便系統剖析內容例如:

https://localhost:8080/enrollmentcomplete?session=12345

註冊程序

註冊程序不到 5 分鐘就能完成。步驟如下 假設代管 callbackUrl 的伺服器已恢復運作。這些步驟 我們也假設主控台包含 UI 元件,例如選單選項 其中 [管理 Android] 選項會在使用者 且已驗證的 IT 管理員可選取這個選項。

Google Play 管理版帳戶註冊的 12 個步驟 Enterprise
圖 2. 建立代管繫結的 12 個步驟 Google 網域

  1. IT 管理員會在 EMM 控制台中提出註冊要求。

  2. 呼叫 Enterprises.generateSignupUrl callbackURL 是唯一的參數範例: 

    https://localhost:8080/enrollcomplete?session=12345

  3. 回應中會包含註冊網址 (效期 30 分鐘) 和 完成符記擷取並儲存完成權杖。

    最佳做法:將完成權杖與執行以下操作的 IT 管理員建立關聯 使用者完成註冊。

  4. generateSignupURL 回應擷取 url

  5. 重新導向至在步驟 4 中擷取的網址。

  6. IT 管理員按照註冊 UI 的設定流程,建立 企業繫結:

    1. IT 管理員輸入自己和機構的詳細資料, 在沒有 Google 帳戶的情況下進行設定。

    2. IT 管理員顯示了 EMM 名稱,並且確認 機構將與這個 EMM 建立繫結。

    3. IT 管理員同意《Google 服務條款》。

  7. 註冊 UI 會根據步驟 2 中指定的網址產生回呼網址。

  8. 註冊 UI 將 IT 管理員重新導向至回呼網址。擷取並儲存 傳遞至網址的企業權杖例如: 

    https://localhost:8080/enrollcomplete?session=12345&enterpriseToken=5h3jCC903lop1

  9. 呼叫 Enterprises.completeSignup。 傳遞 completionToken (步驟 3) 和 enterpriseToken (步驟 8)。

  10. 呼叫會傳回 Enterprises 執行個體 回應內文中。儲存 idname 和管理員電子郵件地址 (如 ) 供日後使用。

  11. 建立企業服務帳戶 (ESA)。ESA 憑證的形式 電子郵件地址和私密金鑰建立 ESA 的方法有兩種:

    • 最佳做法: 透過程式輔助方式建立 ESA。 使用 Play EMM API
    • 顯示指示 IT 管理員透過 Google API 控制台。請參閱建立服務 帳戶 取得更多詳細資訊 (指示管理員選取 專案 >編輯者角色,並查看私密金鑰下載 方塊)。IT 管理員建立 ESA 後,請使用以下選項設定控制台: ESA 的私密金鑰憑證

  12. 使用 MSA 憑證呼叫 setAccount 可設定 實現組織的 ESA。

註冊程序完成

  • 新的受管理 Google 網域已繫結至 EMM。
  • IT 管理員的 Google 帳戶已設為網域的管理員 前往 https://play.google.com/work 存取 機構的應用程式。
  • 您可以透過 EMM 控制台使用 ESA 來管理機構的資料。 Google Play EMM API

透過程式輔助方式建立 ESA

如要簡化 ESA 的金鑰管理作業,請使用 Google Play EMM API 來產生 和機構使用的服務帳戶服務 透過 Play EMM API 產生的帳戶:

  • 不屬於任何屬於下列帳戶的 Cloud 控制台專案 您或機構組織;必須以程式輔助方式管理
  • 當您執行下列操作時,系統會刪除您的儲存空間: 取消註冊 並根據貴機構的使命 價值觀和目標進行調整

如要透過程式輔助方式產生服務帳戶,請按照下列步驟操作:

  1. 呼叫 Enterprises.getServiceAccountenterpriseId (請參閱「註冊」一文的步驟 10) 程序) 並指定所需的金鑰類型 (keyType),例如 googleCredentials、pkcs12。 系統會傳回該服務名稱和私密金鑰 帳戶 (與 Google API 控制台傳回的格式相同)。

  2. 呼叫 Enterprises.setAccount 並為機構設定服務帳戶

最佳做法:支援 IT 管理員變更 ESA 憑證。待辦 這個 EMM 控制台中,請使用現有的 ESA 呼叫 setAccount

管理服務帳戶金鑰

傳回的服務帳戶 Enterprises.getServiceAccount 是由 Google 以公開透明的方式建立而成身為 EMM,你沒有以下權限 帳戶。不過,您可以將 Serviceaccountkeys 將 API 匯入控制台,讓機構能自行管理 透過程式產生 ESA 和金鑰

Serviceaccountkeys API 可讓機構插入、刪除及列出 他們的服務帳戶這些 API 必須在授權為 ESA 的情況下叫用 指定組織,而且 ESA 必須 getServiceAccount起。換句話說,在機構通話之後 Enterprises.setAccount (只要使用 Google Cloud 控制台 Enterprises.getServiceAccount), 只有該機構有權對 Serviceaccountkeys API 管理帳戶

表 2.服務帳戶金鑰 API

欄位
idServiceAccountKey 的不透明專屬字串 ID 指派的 IP 位址
kind使用固定字串識別資源 androidenterprise#serviceAccountKey
類型產生的金鑰資料的檔案格式。可接受的值如下:
  • googleCredentials
  • pkcs12
資料包含私人憑證主體的字串 檔案。建立時填入。並非由 Google 儲存。
方法
刪除移除並撤銷 服務帳戶 (使用 enterpriseIdkeyId 指定)。
insert為服務帳戶產生新憑證 或是與企業有關聯
list列出服務帳戶的所有有效憑證 或是與企業有關聯只傳回 ID 和金鑰類型。

通知

如要取得來自程式化 ESA 的通知,方式如下: 呼叫 Enterprises.pullNotificationSet。 請參閱設定 EMM 通知 瞭解詳情

為受管理 Google 網域註冊

如要管理屬於受管理 Google 網域的裝置,您必須建立 連結 (稱為繫結) 可讓 EMM 控制台、機構和 Google。

必要條件

機構必須擁有受管理 Google 網域、EMM 註冊權杖和 以及企業服務帳戶 (ESA)IT 管理員取得操作說明 如需這些詳細資料,請前往 Android Enterprise 說明中心 中心

受管理 Google 網域

如果機構的 IT 管理員聲明瞭受管理的裝置 網域,即可在申請 Google Workspace 時啟用 Android 管理。如果機構沒有 受管理 Google 網域時,他們的 IT 管理員必須連上一次性網頁 完成註冊。

EMM 符記

IT 管理員可以透過 Google 管理控制台 (在「裝置」>「行動裝置和」 端點 >「設定」應用程式 >第三方整合服務)。

ESA

貴機構的 IT 管理員可以建立 ESA,通常是透過 授予 EMM 控制台相關專案的 Google Cloud 控制台。ESA 具有名稱、ID 和可用來驗證帳戶,以便執行動作的金鑰 管理。ID 的格式與電子郵件地址類似, @ 符號前方的服務帳戶名稱和專案名稱 以及 Google 服務資訊 (例如 some-orgs-esa@myemmconsole313302.iam.gserviceaccount.com)。

註冊程序

  1. IT 管理員會從 Google 管理控制台取得 EMM 權杖。
  2. IT 管理員會與您共用 EMM 權杖,授權您進行管理 Android。
  3. 透過 EMM 控制台使用 EMM 權杖呼叫 Enterprises.enroll. 這可將機構的 Android 解決方案繫結至 Google 網域。
    • enroll 方法會傳回不重複的 enterpriseId,您可以擷取 (僅適用於受管理 Google 網域) 使用 list 方法。
    • 您可以視需要儲存繫結相關資訊 (enterpriseIdprimaryDomain),避免發出 API 呼叫來取得這些 詳細資料。在 Google 帳戶的情況下,機構的primaryDomain 是 EMM 用來識別機構的專屬金鑰, Google。
  4. 如何呼叫機構專屬的 Google Play EMM API:
    • 這可能是因為您代表機構建立 ESA,或是由管理員 並且提供給您。
    • 透過 EMM 控制台,呼叫 setAccount,正在使用 enterpriseId 和 ESA 的電子郵件地址。這可啟用 ESA 以企業身分進行 API 驗證

範例

primaryDomainName 註冊機構為例, serviceAccountEmailauthenticationToken

    public void bind(String primaryDomainName, String serviceAccountEmail,
        String authenticationToken) throws IOException {

      Enterprise enterprise = new Enterprise();
      enterprise.setPrimaryDomain(primaryDomainName);

      Enterprise result = androidEnterprise.enterprises()
          .enroll(authenticationToken, enterprise)
          .execute();

      EnterpriseAccount enterpriseAccount = new EnterpriseAccount();
      enterpriseAccount.setAccountEmail(serviceAccountEmail);
      androidEnterprise.enterprises()
          .setAccount(result.getId(), enterpriseAccount)
          .execute();
    }

這個範例使用 Java 的用戶端程式庫,以及 來自以下專案的 AndroidEnterprise 服務類別: com.google.api.services.androidenterprise.model 套件。以下步驟可總結範例中顯示的程序:

  1. 使用參數建立新的 AndroidEnterprise 物件 由 bind 提供的模型類別,包含主網域名稱 服務帳戶電子郵件地址和 EMM 註冊權杖。
  2. 指定新建企業物件的主網域名稱。
  3. 呼叫註冊方法,提供企業物件和註冊權杖。
  4. 以客戶的 ESA ID 建立新的 EnterpriseAccount 物件 (serviceAccountEmail)。
  5. 同時提供 enterpriseId (在步驟 3 中傳回) 來設定帳戶 和 enterpriseAccount 欄位

您可以視需要儲存繫結相關資訊 (enterpriseIdprimaryDomain),避免發出 API 呼叫來取得這些 詳細資料。在 Google 帳戶的情況下,機構的primaryDomain為 可供 EMM 和 Google 識別機構的專屬金鑰

設定地端部署部署作業

如果特定機構要求將其資料保留在網站中,您就無法存取, 您必須確保伺服器絕對不會看到一組有效的 ESA。方法是在網站上產生一組 ESA 憑證並加以儲存:

  1. 完成註冊流程
    1. 如步驟 11 所示,請使用主要服務合約呼叫 getServiceAccount。這個 產生 ESA 憑證。
    2. 如步驟 12 所示,請使用 ESA 上的 setAccount 將其設為 ESA 資源用量
  2. 將 ESA 傳遞至機構的內部部署伺服器。
  3. 請在內部部署伺服器上執行下列步驟:
    1. 呼叫 Serviceaccountkeys.insert 建立新的 Pod 都屬於 ESA 的關鍵這組私密金鑰不會儲存在 Google 伺服器上, 系統只會在帳戶建立後傳回一次無法存取任何應用程式 。
    2. 請使用新的 ESA 憑證呼叫 Serviceaccountkeys.list. 這會傳回有效的服務帳戶憑證。
    3. 致電 Serviceaccountkeys.delete 刪除所有憑證,除了遭到撤銷的 ESA 憑證之外 地端部署網路
    4. (選填) 通話 Serviceaccountkeys.list ,確認目前在地端部署環境中使用的憑證是唯一 服務帳戶的有效憑證

地端部署伺服器現在是唯一擁有 ESA 憑證的伺服器。只有 透過 getServiceAccount 產生的 ESA 可以存取 ServiceAccountKeys:您的 MSA 無法將其命名為。

最佳做法:不要將主要服務帳戶 (MSA) 憑證儲存在 部署應用程式針對每個地端部署環境使用不同的 ESA。

取消註冊、重新註冊或刪除企業繫結

取消註冊

如要取消機構與 EMM 解決方案的繫結,請使用 unenroll.企業 取消註冊作業不會遭到刪除,而是由 EMM 管理的使用者和所有使用者 相關的使用者資料則會在 30 天後刪除。舉例來說 實作:

    public void unbind(String enterpriseId) throws IOException {
      androidEnterprise.enterprises().unenroll(enterpriseId).execute();
    }

最佳做法:如果您擁有機構名稱和企業的資料儲存庫 繫結 ID 對應,請在呼叫後從資料儲存庫刪除資訊 unenroll

重新註冊

IT 管理員可以使用現有的enterpriseId為企業重新註冊。目的地: 則必須使用擁有者層級帳戶登入,並完成註冊 程序

全盤瞭解重新註冊流程的流程完全公開,因此使用者無法 判斷重新導向網址 (步驟 8) 中傳回的企業權杖是否來自 新機構,或是先前已在其他平台上註冊的機構 EMM。

如果機構先前已為您的 EMM 解決方案註冊,則您可能 辨識企業繫結 ID。您可以還原由 EMM 管理的使用者 與相關的使用者資料 (如果 IT 管理員重新註冊的機構不超過 30 個) 天。如果您先前機構 註冊了其他 EMM (透過該 EMM 管理的使用者), 您將無法存取其他 EMM。這是因為 EMM 專用。

刪除

IT 管理員可以將機構從 Google Play 管理版中刪除。24 內 機構的資料、帳戶、授權指派等 管理員、一般使用者和您都無法存取資源。身為 結果,您的 API 呼叫會傳回 HTTP 404 Not Found 回應狀態碼 enterpriseId 參數的值。如要在 EMM 控制台中處理這個錯誤, 在移除與 並根據貴機構的使命 價值觀和目標進行調整