تنفيذ حسابات المستخدمين

هناك نوعان أساسيان من هويات المستخدمين لعمليات تسجيل Android Enterprise: حسابات Google Play للأعمال وحسابات Google المُدارة. تكون حسابات Google Play للأعمال مرتبطة بالجهاز، ما يعني أنّها غير مرتبطة بهوية مستخدم معيّن على Google. في المقابل، تكون حسابات Google المُدارة مرتبطة بهوية Google الخاصة بالمستخدم في الشركة، ما يحسّن تجربة المستخدم من خلال إبقائه مسجّلاً الدخول على أجهزته.

كانت "حسابات Google Play للأعمال" هي المعيار في السابق. ومع ذلك، تشجّع Google الآن جميع عمليات التطوير الجديدة على استخدام مسار التسجيل المحسّن، والذي يتم ضبطه تلقائيًا على إنشاء حسابات Google خاضعة للإدارة.

مع أنّ إرشادات التنفيذ القديم متوفّرة في نهاية هذا المستند لتوفير السياق، يجب أن تتّبع جميع عمليات التطوير الجديدة مسار التسجيل الجديد الموضّح هنا.

نظرة عامة

يعمل مسار تسجيل الأجهزة المحسّن على تبسيط عملية إعداد الأجهزة من خلال الاستفادة من عدة مكوّنات جديدة وتغيير طريقة تنفيذ أدوات التحكّم المخصّصة في سياسة الجهاز (DPC). يتطلّب هذا النهج الجديد دمج حلول مخصّصة لوحدة التحكُّم بسياسة الجهاز (DPC) مع حزمة تطوير البرامج (SDK) الخاصة بواجهة برمجة التطبيقات Android Management API وتطبيق Android Device Policy لتنفيذ وظائف إعداد الجهاز وتسجيل المستخدمين.

توفّر حزمة تطوير البرامج (SDK) لواجهة برمجة التطبيقات AMAPI واجهات برمجة التطبيقات اللازمة للتفاعل مع تطبيق Android Device Policy على الجهاز نفسه. من جهة الخادم، ستستخدم حلول إدارة الخدمات الجوّالة للمؤسسات (EMM) واجهة برمجة التطبيقات Play EMM API لإنشاء الرموز المميزة للتسجيل المطلوبة لبدء عملية تسجيل الجهاز.

يؤدي تطبيق Android Device Policy الآن دورًا مركزيًا في التعامل مع العمليات التي تتم على الجهاز. يتم استخدام حزمة تطوير البرامج (SDK) الخاصة بواجهة برمجة التطبيقات AMAPI لإدارة عملية تثبيتها والتحديثات اللازمة على الجهاز. يتولّى تطبيق Android Device Policy أيضًا مسار مصادقة المستخدم، ويتعامل مع مصادقة المستخدم مباشرةً ويقدّم هوية المستخدم إلى "إدارة الخدمات الجوّالة للمؤسسات". إذا تعذّر على Google إثبات هوية المستخدم لأي سبب، يتم إنشاء حساب جديد على "Google Play للأعمال" وإضافته إلى الجهاز كحلّ احتياطي.

أحد الأجزاء الرئيسية في مسار التسجيل الجديد هذا هو إدارة إذن الجهاز بالوصول إلى خدمات Google. تبدأ الأجهزة تلقائيًا في حالة مقيّدة، وتلعب إدارة الخدمات الجوّالة للمؤسسات دورًا مهمًا في إتاحة الوصول إليها بعد استيفاء الجهاز للمتطلبات.

دمج واجهة برمجة التطبيقات

قبل البدء، تأكَّد من استخدام أحدث إصدار من برنامج واجهة برمجة التطبيقات Play EMM وحزمة تطوير البرامج (SDK) الخاصة بواجهة برمجة التطبيقات AMAPI.

دليل استخدام التسجيل

يقدّم هذا الدليل الخطوات اللازمة لتنفيذ عملية التسجيل. ويشمل ذلك إعداد البيئة والتعامل مع طرق التسجيل المختلفة وإدارة دورة حياة الجهاز.

إعداد البيئة

قبل بدء عملية إعداد الحساب، يجب إعداد بيئة الجهاز. تتضمّن عملية الإعداد هذه تحديث "متجر Play" إلى أحدث إصدار وتثبيت تطبيق Android Device Policy (com.google.android.apps.work.clouddpc) على الجهاز بدون أي إجراء من المستخدم. يُعدّ تثبيت تطبيق Android Device Policy أمرًا ضروريًا لأنّه يتضمّن المكوّنات الأساسية لعملية إعداد الحساب. لا تحتاج "إدارة الخدمات الجوّالة للمؤسسات" إلى إعداد البيئة يدويًا. بدلاً من ذلك، يجب استخدام EnvironmentClient، كما هو موضّح في المستندات على الرابط، والالتزام بأمثلة الرموز البرمجية المقدَّمة.

نموذج التعليمات البرمجية

قبل أن يتمكّن DPC من استخدام واجهة برمجة التطبيقات AccountSetup لإضافة حساب العمل على الجهاز، عليه أولاً التأكّد من أنّ بيئة الجهاز جاهزة.

• استخدِم EnvironmentClientFactory لإنشاء مثيل من EnvironmentClient واستدعاء prepareEnvironment أو prepareEnvironmentAsync

  val notificationReceiverServiceName = ComponentName(context,
  NotificationReceiver::class.java)
  
  // An EMM should implement android.app.admin.DeviceAdminReceiver and use that
  // class to instantiate a ComponentName
  
  val admin = ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java)
  
  EnvironmentClientFactory.create(context)
      .prepareEnvironment(
          PrepareEnvironmentRequest.builder()
              .setRoles(
                  listOf(
                      Role.builder().setRoleType(
                          Role.RoleType.DEVICE_POLICY_CONTROLLER
                      ).build()
                  )
              )
      .setAdmin(admin)
              .build(),
            notificationReceiverServiceName,
          )
  
  [Proceed with AccountSetup]
  
  

قد تستغرق هذه العملية عدة ثوانٍ أو دقائق، لأنّه قد يتم تثبيت التطبيقات أو تحديثها للتحقّق من توفّر بيئة عمل مناسبة. تنصح Google ببدء هذه العملية في أقرب وقت ممكن في الخلفية وعرض واجهة مستخدم مناسبة أثناء انتظار المستخدم. عند اكتمال العملية، يصبح الجهاز جاهزًا كي يستخدم DPC واجهة برمجة التطبيقات AccountSetup.

مسار التسجيل

على موفّري إدارة الخدمات الجوّالة للمؤسسات التوقّف عن استخدام users.generateAuthenticationToken() وusers.insert() لجميع الأجهزة. بدلاً من ذلك، يجب أن تستخدم أنظمة إدارة الخدمات الجوّالة للمؤسسات واجهة برمجة التطبيقات على الجهاز فقط لإجراء مصادقة المستخدم النهائي. ستعرض واجهة برمجة التطبيقات الجديدة userId وemail لوحدة التحكّم في سياسة الجهاز (DPC). إذا لم تتمكّن Google من إثبات هوية المستخدم، سيتم إنشاء حساب Google Play للأعمال وإضافته إلى الجهاز. في هذه الحالة، ستعرض Google userId لهذا الحساب.

تتيح Google الآن استخدام رموز مميّزة للتسجيل، ويجب تمريرها إلى واجهة برمجة تطبيقات المصادقة. تحدّد حلول إدارة الخدمات الجوّالة للمؤسسات (EMM) وقت إنشاء الرمز المميز وطريقة إنشائه، ويمكن أن يكون جزءًا من حمولة تسجيل حالية (مثل رمز استجابة سريعة أو إعداد بدون لمس).

ومع ذلك، تنصح Google بإنشاء الرمز المميز عند الطلب واستبدال واجهة برمجة التطبيقات الحالية لحسابات Google Play للأعمال بواجهة برمجة التطبيقات الجديدة للحدّ من التغيير.

تتضمّن عملية التسجيل المحسّنة في DPC المخصّصة الخطوات التالية:

حالة الجهاز الأولية المهمة: عند تسجيل جهاز باستخدام وحدة تحكّم مخصّصة بسياسة الجهاز، يبدأ حساب Google المُضاف إلى الجهاز في حالة غير مفعّلة. وهذا يعني أنّه سيتم في البداية فرض قيود على إمكانية الوصول إلى خدمات Google، بما في ذلك Google Play.

تنطبق حالة "غير مفعَّل" التلقائية هذه والمتطلبات اللاحقة التي تفرض على إدارة الخدمات الجوّالة للمؤسسات (EMM) وضع علامة على الجهاز باعتباره متوافقًا (على سبيل المثال، من خلال استدعاء Devices.SetState) تحديدًا في الحالات التالية:

1. أثبتت المؤسسة ملكية نطاقها لدى Google.
2. فعَّل مشرف تكنولوجيا المعلومات بشكلٍ صريح إدارة الأجهزة الجوّالة التابعة لجهات خارجية لوحدة المستخدم التنظيمية المحدّدة (OU) ضِمن "وحدة تحكّم المشرف في Google".

1. إنشاء رمز مميّز للتسجيل: تنشئ إدارة الخدمات الجوّالة للمؤسسات (EMM) رمزًا مميّزًا للتسجيل باستخدام واجهة برمجة التطبيقات Play EMM API.
2. إعداد البيئة: تستخدم وحدة التحكّم في سياسة الجهاز (DPC) المخصّصة مسار إعداد البيئة للتحقّق من أنّ الجهاز جاهز للتسجيل.
3. بدء التسجيل: يستدعي جهاز التحكّم بسياسة الجهاز (DPC) المخصّص واجهة برمجة التطبيقات startAccountSetup في حزمة تطوير البرامج (SDK) الخاصة بواجهة برمجة تطبيقات "إدارة Android"، مع تمرير رمز التسجيل. ملاحظة: يجب أن يكون DPC إما مالك الجهاز أو مالك الملف الشخصي قبل طلب واجهة برمجة التطبيقات هذه.
4. بدء نشاط مصادقة Google: إذا لزم الأمر، يستدعي DPC المخصّص واجهة برمجة التطبيقات launchAuthenticationActivity في حزمة تطوير البرامج (SDK) الخاصة بواجهة برمجة التطبيقات AMAPI، مع تمرير AccountSetupAttempt. يبدأ هذا الإجراء نشاط مصادقة Google، ويعيد المستخدم إلى DPC المخصّص عند إتمام المصادقة بنجاح. يمكن للمستخدم أيضًا تخطّي هذه العملية. في هذه الحالة، ستتم إضافة حساب Google Play للأعمال إلى الجهاز. يمكن ضبط هذا الخيار باستخدام googleAuthenticationOptions.
5. إنهاء التسجيل: تُرسِل حزمة تطوير البرامج (SDK) لواجهة برمجة التطبيقات AMAPI إشعارًا إلى وحدة التحكّم في سياسة الجهاز (DPC) المخصّصة بشأن نتيجة التسجيل.

6. تفعيل خدمات Google: بعد أن يوفّر DPC المخصّص الجهاز بالكامل ويتأكّد من امتثاله لجميع سياسات المؤسسة، على خادم إدارة الخدمات الجوّالة للمؤسسات (EMM) إرسال طلب إلى Devices.setState() مع ضبط المَعلمة accountState على "enabled".

   • أهمية ذلك: يحدّد طلب البيانات من واجهة برمجة التطبيقات هذا الجهاز على أنّه متوافق.
   • نتيجة عدم إجراء المكالمة: بدون مكالمة Devices.setState(setStateRequest) هذه، سيظل الحساب في حالة "غير مفعّل". لن يتمكّن المستخدم من الوصول إلى Google Play (لتثبيت التطبيقات أو تعديلها) وخدمات Google الأخرى التي تتطلّب مصادقة الحساب.

إدارة حالة الجهاز وإمكانية الوصول إلى الخدمة

بعد التسجيل الأوّلي، تكون "إدارة الخدمات الجوّالة للمؤسسات" مسؤولة عن الحفاظ على إمكانية وصول الجهاز إلى خدمات Google استنادًا إلى حالة الامتثال.

التعامل مع حالات انقطاع الخدمة: BAD_DEVICE_MANAGEMENT

في حال تم حظر وصول جهاز إلى خدمات Google، ستبث "خدمات Google Play" (GMSCore) Intent مع الإجراء: com.google.android.gms.auth.BAD_DEVICE_MANAGEMENT. ثمة أسباب متعدّدة لحدوث ذلك:

• لم يسبق أن طلبت إدارة الخدمات الجوّالة للمؤسسات تنفيذ Devices.setState("enabled") بعد تسجيل الجهاز الأوّلي.
• لم يعُد الجهاز متوافقًا مع سياسات إدارة الخدمات الجوّالة للمؤسسات (EMM)، ولم يعِد موفّر إدارة الخدمات الجوّالة للمؤسسات تفعيله بعد.
• حدّدت إدارة الخدمات الجوّالة للمؤسسات (EMM) حالة الجهاز صراحةً على "غير مفعَّلة" من خلال استدعاء Devices.setState() مع ضبط accountState على "غير مفعَّلة". قد يعود السبب إلى مخاوف أمنية أو إجراءات إدارية أو أسباب أخرى.

يتضمّن هذا Intent رمز حالة، مثل "ThirdPartyDeviceManagementRequired".

يجب أن تنفّذ ملفات DPC المخصّصة BroadcastReceiver للاستماع إلى BAD_DEVICE_MANAGEMENT Intent هذا.

عند تلقّي هذا البث، على وحدة التحكّم في سياسة الجهاز (DPC) اتّخاذ الإجراءات التالية:

1. إعادة تقييم الامتثال: تحقَّق مما إذا كان الجهاز يستوفي حاليًا جميع السياسات التي وضعتها إدارة الخدمات الجوّالة للمؤسسات (EMM).
2. اتّخاذ إجراء:
   • في حال الامتثال: يجب أن تُرسِل وحدة التحكّم بسياسة الجهاز إشعارًا إلى خادم إدارة الخدمات الجوّالة للمؤسسات. بعد ذلك، يجب أن يطلب خادم إدارة الخدمات الجوّالة للمؤسسات (EMM) من Devices.setState() ضبط accountState على "enabled" لمعرّف المستخدم ورقم تعريف الجهاز المحدّدين لمحاولة استعادة إذن الوصول إلى الخدمة.
   • في حال عدم الامتثال: بعد حلّ المشاكل وامتثال الجهاز، على إدارة الخدمات الجوّالة للمؤسسات (EMM) طلب Devices.setState().

تضمن هذه الآلية توفُّر طريقة لرصد الحالات التي يفقد فيها الجهاز إمكانية الوصول إلى خدمات Google والتعافي منها.

اعتبارات الاستحواذ على حساب Enterprise

قد تحدث تغييرات في نوع حساب المؤسسة (على سبيل المثال، من ManagedGoogleDomainType.TYPE_TEAM إلى ManagedGoogleDomainType.TYPE_DOMAIN). على الرغم من أنّ هذه العملية لا تؤدي عادةً إلى إلغاء ربط إدارة الخدمات الجوّالة للمؤسسات (EMM)، إلا أنّها قد تؤدي أحيانًا إلى تعطيل إمكانية الوصول إلى خدمات Google على الأجهزة.

يجب أن تكون إدارة الخدمات الجوّالة للمؤسسات (EMM) على عِلم بأنّه إذا أبلغ المستخدمون عن مشاكل في الوصول إلى الخدمة بعد حدث معروف للاستحواذ، حتى إذا بدا أنّ الجهاز متوافق مع سياسات إدارة الخدمات الجوّالة للمؤسسات (EMM)، قد يكون من الضروري إجراء مكالمة إلى Devices.setState() لإعادة مزامنة حالة الجهاز مع الأنظمة الخلفية في Google ضمن بنية العميل الجديدة. بشكل عام، لا تكون المكالمات الاستباقية لجميع الأجهزة بعد الاستيلاء عليها مطلوبة، ولكنّها أداة أساسية لحلّ مشاكل الوصول.

إعداد الحساب - رمز نموذجي

1. لبدء محاولة إعداد حساب، يمكن لتطبيق الاتصال استخدام AccountSetupClient واستدعاء إحدى الطريقتَين startAccountSetup() أو startAccountSetupFuture(). للاطّلاع على مثال على التنفيذ، راجِع عينة التعليمات البرمجية التالية:

   // Create AccountSetupClient
   val client = AccountSetupClientFactory.create(
       this,
       activityResultRegistry
   )
   lifecycle.addObserver(client.lifecycleObserver)
   
   // Create adminComponent
   val notificationReceiver = ComponentName(this, AccountSetupNotificationReceiver::class.java)
   // Helper method to get enrollment token created with Play EMM API
   val enrollmentToken = getEnrollmentToken()
   val request =
       StartAccountSetupRequest.builder()
           .setEnrollmentToken(enteredText)
           .setNotificationReceiverServiceComponentName(notificationReceiver)
           .setAdminComponentName(
               ComponentName(this, com.example.dpc.DeviceAdminReceiver::class.java))
           .build()
   try {
       val accountSetupAttempt = client.startAccountSetup(request)
       // handle attempt
   } catch (e: Exception) {
       // handle exception
   }
   

2. نفِّذ واجهة AccountSetupListener وقدِّم عملية تنفيذ لكيفية التعامل مع التعديلات الواردة على الحالة.

3. وسِّع NotificationReceiverService وقدِّم مثيل AccountSetupListener الذي تم إنشاؤه في الخطوة 2 من خلال إلغاء getAccountSetupListener().

   // Handles account setup changes
   class AccountSetupNotificationReceiver :
         NotificationReceiverService(),
         AccountSetupListener {
   
       override fun getAccountSetupListener(): AccountSetupListener = this
   
       override fun onAccountSetupChanged(accountSetupAttempt:
     AccountSetupAttempt) {
   
           when (accountSetupAttempt.state.kind) {
               StateCase.ADDED_ACCOUNT -> {
                   val enterpriseAccount = state.addedAccount()
                   val userId = enterpriseAccount.userId
                   val deviceId = enterpriseAccount.deviceId
                   // Handle account added state.
   
                   // IMPORTANT: The device/account is now added but *DISABLED*
                   // for Google services. Your EMM backend MUST be notified to
                   // perform policy compliance checks and then call Devices.setState()
                   // to activate Google Play and other services.
   
               }
               StateCase.AUTHENTICATION_ACTIVITY_LAUNCH_REQUIRED -> {
                   val request = LaunchAuthenticationActivityRequest.builder()
               .setAccountSetupAttempt(accountSetupAttempt)
               .build();
                   // Send the attempt to the foreground activity to call:
                   accountSetupClient.launchAuthenticationActivity(request)
               }
               StateCase.ACCOUNT_SETUP_ERROR -> {
                   // Handle error state.
                   val failureReason = state.accountSetupError().failureReason
               }
               else -> {
                   // Handle unknown account setup attempt state.
               }
           }
       }
   }
   
   

4. أضِف الصف الموسّع NotificationReceiverService إلى AndroidManifest.xml وتأكَّد من تصديره.

     <application>
       <service
           android:name = ".accountsetup.AccountSetupNotificationReceiver"
           android:exported = "true" />
     </application>
   

   إذا كان تطبيقك يستهدف المستوى 30 أو مستوى أحدث من حزمة تطوير البرامج (SDK)، يجب تضمين عنصر queries في AndroidManifest.xml لتحديد أنّه سيتفاعل مع "إعلانات التطبيقات".

     <queries>
       <package android:name="com.google.android.apps.work.clouddpc" />
     </queries>
   

إرشادات بشأن إجراء الفحوصات

يقدّم هذا القسم مجموعة من الإرشادات وأفضل الممارسات لاختبار عملية التنفيذ.

اختبار PrepareEnvironment

1. الحصول على الحالة الحالية للجهاز: ينفّذ موفّر إدارة الخدمات الجوّالة للمؤسسات (EMM) ما يلي:

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   للحصول على إصدار تطبيق Android Device Policy المثبَّت على الجهاز إذا لم يكن تطبيق Android Device Policy مثبّتًا، من المتوقّع أن تكون النتيجة فارغة.

2. دمج PrepareEnvironment: يستدعي DPC المخصّص واجهة برمجة التطبيقات prepareEnvironment في حزمة تطوير البرامج (SDK) الخاصة بواجهة برمجة تطبيقات Android لإدارة الأجهزة (AMAPI)، مع تمرير الطلب الصحيح.

3. في انتظار نتيجة PrepareEnvironment: تنتظر أداة DPC المخصّصة اكتمال prepareEnvironment.

4. تأكيد نجاح PrepareEnvironment: عند اكتمال العملية، يتم تشغيل إدارة الخدمات الجوّالة للمؤسسات (EMM) مرة أخرى.

   adb shell dumpsys package com.google.android.apps.work.clouddpc | grep versionName
   

   في هذه المرة، يجب أن يكون إصدار Android Device Policy أعلى من الإصدار في الخطوة 1.

اختبار مصادقة حساب Google

1. إنشاء مؤسسة اختبارية: تنشئ إدارة الخدمات الجوّالة للمؤسسات (EMM) مؤسسة اختبارية على Google مرتبطة بنطاق اختبار EMM، مع enterprises.generateSignupUrl.
2. تفعيل مصادقة Google: تفعّل إدارة الخدمات الجوّالة للمؤسسات (EMM) مصادقة Google للمؤسسة الاختبارية باتّباع هذه التعليمات في "وحدة تحكّم المشرف في Google".
3. إنشاء رمز تسجيل: تنشئ إدارة الخدمات الجوّالة للمؤسسات (EMM) رمز تسجيل باستخدام واجهة برمجة تطبيقات Play EMM مع النوع userDevice.
4. بدء التسجيل: يستدعي جهاز التحكّم بسياسة الجهاز (DPC) المخصّص واجهة برمجة التطبيقات startAccountSetup في حزمة تطوير البرامج (SDK) الخاصة بواجهة برمجة تطبيقات "إدارة Android"، مع تمرير رمز التسجيل.
5. مطلوب تشغيل نشاط: تُعلم حزمة تطوير البرامج (SDK) الخاصة بواجهة برمجة التطبيقات AMAPI أداة DPC المخصّصة بأنّه يجب تشغيل نشاط للمصادقة على المستخدم.
6. المصادقة على المستخدم: يستدعي DPC المخصّص launchAuthenticationActivity لبدء النشاط. يصادق المستخدم على هويته باستخدام حساب Google مُدار (جزء من المؤسسة التي تم إنشاؤها في الخطوة 1).
7. إنهاء التسجيل: تُرسِل حزمة تطوير البرامج (SDK) لواجهة برمجة التطبيقات AMAPI إشعارًا إلى وحدة التحكّم في سياسة الجهاز (DPC) المخصّصة بشأن نتيجة التسجيل.

اختبار تخطّي المصادقة باستخدام Google

سنستخدم الإعداد الموضّح سابقًا.

في هذه المرة، يضغط المستخدم على تخطّي في الخطوة 7 بدلاً من المصادقة باستخدام حسابه على Google. تكتمل عملية التسجيل بنجاح، مع توفّر حساب خدمة على الجهاز (أي أنّ AuthenticationType مجهول الهوية).

اختبار الأجهزة التي لا يستخدمها أحد

يستخدم مسار التسجيل المحسّن لوحدة التحكّم في سياسة الجهاز (DPC) المخصّصة الخطوات التالية عند إيقاف مصادقة Google:

1. إنشاء مؤسسة اختبارية: يمكن أن تكون هذه المؤسسة هي نفسها التي تم إنشاؤها سابقًا.
2. إنشاء رمز تسجيل: تنشئ إدارة الخدمات الجوّالة للمؤسسات (EMM) رمز تسجيل باستخدام واجهة برمجة التطبيقات Play EMM API مع النوع userlessDevice.
3. بدء التسجيل: يستدعي جهاز التحكّم بسياسة الجهاز (DPC) المخصّص واجهة برمجة التطبيقات startAccountSetup في حزمة تطوير البرامج (SDK) الخاصة بواجهة برمجة تطبيقات "إدارة Android"، مع تمرير رمز التسجيل.
4. إنهاء التسجيل: تُرسِل حزمة تطوير البرامج (SDK) لواجهة برمجة التطبيقات AMAPI إشعارًا إلى وحدة التحكّم في سياسة الجهاز (DPC) المخصّصة بشأن نتيجة التسجيل.

حسابات Google Play للأعمال

حساب المستخدم

تتيح للمستخدم الواحد الوصول إلى "Google Play للأعمال" من جميع أجهزته. يجب توفير حسابات مستخدمين للمستخدمين. ليس لديهم بيانات الاعتماد اللازمة لإضافة حسابات Google Play للأعمال بأنفسهم.

لإنشاء حساب مستخدم، استدعِ الدالة Users.insert. اضبط نوع الحساب على userType، واضبط accountIdentifier، وهو معرّف فريد يشير إلى المستخدم داخل المؤسسة.

أفضل الممارسات: لا تستخدم الحساب نفسه على أكثر من 10 أجهزة.

حساب الجهاز

يتيح الوصول إلى "Google Play للأعمال" من جهاز واحد. إذا تم إصدار رمز مميّز للمصادقة لحساب جهاز، سيؤدي طلب جديد للحصول على رمز مميّز للمصادقة لحساب الجهاز هذا إلى إيقاف الرمز المميز السابق. يجب أن يكون لكل جهاز تراخيص تطبيقات منفصلة خاصة به.

لإنشاء حساب جهاز، اتّصِل بالرقم Users.insert واضبط نوع الحساب على deviceType.

عليك إنشاء عملية ربط بين هويات المستخدمين أو الأجهزة وحسابات Google Play للأعمال المقابلة والحفاظ على هذه العملية، كما عليك إدارة الحسابات طوال مراحل نشاطها. لا تحتاج المؤسسة إلى أي تحكّم مباشر في "حسابات Google Play للأعمال" المُدارة، لأنّ هذه الحسابات مخصّصة لإدارة التطبيقات فقط.

إنشاء حساب مستخدم على "Google Play للأعمال"

1. يسجِّل المستخدم الدخول إلى وحدة التحكّم بسياسة الجهاز باستخدام بيانات اعتماد الشركة.
2. يطلب DPC تفاصيل حول المستخدم من خادم إدارة الخدمات الجوّالة للمؤسسات (EMM) أو وحدة التحكّم.

في حال كان المستخدم غير معروف لنظامك:

1. أرسِل طلبًا لإنشاء حساب جديد على "Google Play للأعمال" من خلال الاتصال بالرقم Users.insert مع إدخال قيم accountIdentifier وdisplayName وaccountType الجديدة.
• يجب أن ينشئ نظامك accountIdentifier. يجب أن يكون معرّف الحساب قيمة فريدة في نظامك. لا تستخدِم معلومات تكشف الهوية الشخصية كمعرّف للحساب.
• يظهر displayName في أداة تبديل الحسابات في "متجر Google Play"، ويجب أن يكون له معنى بالنسبة إلى المستخدم (ولكن ليس معلومات تكشف الهوية الشخصية عن المستخدم). على سبيل المثال، يمكن أن يتضمّن الاسم اسم المؤسسة أو اسمًا عامًا ذا صلة بإدارة الخدمات الجوّالة للمؤسسات.
• اضبط قيمة accountType على userAccount أو deviceAccount. userAccount خاص بجهاز واحد. يمكن أن تكون قيمة accountType المحدّدة deviceType أو userType.
• اضبط قيمة managementType على emmManaged.
2. يعالج Google Play الطلب وينشئ الحساب ويعرض userId.
3. خزِّن عملية الربط بين accountIdentifier وuserId في مستودع البيانات.
4. اتّصِل بالرقم Users.generateAuthenticationToken باستخدام userId وenterpriseId. يُرجِع Google Play رمزًا مميزًا للمصادقة يمكن استخدامه مرة واحدة، ويجب استخدامه في غضون بضع دقائق.
5. إعادة توجيه رمز المصادقة بأمان إلى وحدة التحكّم بسياسة الجهاز (DPC).
3. يوفّر DPC ملف العمل ويضيف الحساب إلى ملف العمل أو الجهاز.
4. يمكن للمستخدم الوصول إلى "Google Play للأعمال" من خلال ملف العمل أو الجهاز.

حسابات المشرفين

عندما ينشئ المشرف مؤسسة باستخدام حسابات Google Play للأعمال، لا يمكن أن يكون حساب Google الذي يستخدمه حساب G Suite. يصبح الحساب الذي يستخدمه مالكًا للمؤسسة، ويمكن للمالك إضافة المزيد من المالكين والمشرفين في وحدة تحكّم Google Play للأعمال المُدارة.

يعرض كل من Enterprises.get وEnterprises.completeSignup قائمة بعناوين البريد الإلكتروني للمشرفين المرتبطة بمؤسسة (المؤسسات التي لديها حسابات Google Play للأعمال فقط).

إدارة دورات حياة الحسابات

في عملية نشر "حسابات Google Play للأعمال"، تكون أنت المسؤول عن دورات حياة حسابات المستخدمين والأجهزة، ما يعني أنّك تنشئ هذه الحسابات وتعدّلها وتحذفها.

يمكنك إنشاء الحسابات أثناء توفير الجهاز، وهي عملية تتضمّن تطبيق DPC ووحدة تحكّم إدارة الخدمات الجوّالة للمؤسسات (EMM). للحصول على التعليمات، يُرجى الاطّلاع على طريقة حسابات Google Play للأعمال.

لتغيير معلومات حساب، يُرجى الاتصال بالرقم Users.update.

لحذف حساب، اتّصِل بالرقم Users.delete

لا يمكن للمشرفين حذف حسابات فردية، ولكن يمكنهم حذف مؤسسة تتضمّن "حسابات Google Play للأعمال". وعندما يتم ذلك، سيتم في النهاية حذف الجهاز وحسابات المستخدمين المرتبطة بالمؤسسة، كما هو موضّح في مقالة إلغاء التسجيل وإعادة التسجيل والحذف.

انتهاء صلاحية الحساب

في بعض الأحيان، تنتهي صلاحية الحسابات أو الرموز المميزة الخاصة بها. قد يحدث ذلك لعدة أسباب:

• انتهت صلاحية رمز المصادقة المستخدَم لإضافة الحساب إلى الجهاز.
• تم حذف الحساب أو المؤسسة.
• بالنسبة إلى حسابات الأجهزة، تمت إضافة الحساب إلى جهاز جديد، وبالتالي تم إيقافه على الجهاز القديم.
• تم تفعيل عمليات الفحص التلقائية لإساءة الاستخدام.

بالإضافة إلى ذلك، قد يتم حذف معلومات الجهاز بسبب عملية تنظيف مجمّعة إذا ظل غير متصل بالإنترنت لأكثر من 270 يومًا.

في معظم الحالات (ما لم تكن إدارة الخدمات الجوّالة للمؤسسات تنقل حساب جهاز إلى جهاز جديد عن قصد)، تتمثل أفضل الممارسات في استخدام واجهة برمجة التطبيقات Play EMM API لطلب رمز مميز جديد من خادم إدارة الخدمات الجوّالة للمؤسسات، وتدوين حالة الحساب والمؤسسة وأي أخطاء تم عرضها، ثم اتّخاذ الإجراء المناسب على الجهاز. على سبيل المثال، يمكنك تجديد الرمز المميّز، أو إعادة ضبط الجهاز أو إلغاء تسجيله إذا كان الخطأ غير قابل للاسترداد.

لتجديد الرمز المميّز بشكلٍ صحيح، عليك اتّباع الخطوات التالية:

1. الاتصال بـ users.generateAuthenticationToken
2. في حال نجاح الطلب، أزِل الحساب الحالي وأضِف الحساب الجديد باستخدام مكتبة دعم DPC.
3. إذا لم تنجح المكالمة، أزِل الحساب من الجهاز وأنشئ مستخدمًا جديدًا باستخدام users.insert، ثم أنشئ رمزًا مميزًا للمصادقة وأضِف الحساب إلى الجهاز.

يُرسِل الإصدار 9.0.00 من خدمات Google Play إشعارًا إلى وحدة التحكّم بسياسة الجهاز (DPC) بأنّ صلاحية الحساب قد انتهت باستخدام إجراء البث التالي:

1. عند إبطال حساب Google Play للأعمال على أحد الأجهزة، تتلقّى وحدة التحكّم بسياسة الجهاز (DPC) رسالة بث تتضمّن الإجراء التالي:

com.google.android.gms.auth.ACCOUNT_REAUTH_REQUIRED

2. يحتوي هدف البث على Parcelable إضافي باسم account، وهو كائن Account الخاص بالحساب الذي تم إبطاله.
3. تتحقّق وحدة التحكّم في سياسة الجهاز (DPC) من Account#name مع خادم إدارة الخدمات الجوّالة للمؤسسات (EMM) لتحديد الحساب الذي تم إبطاله.
4. يطلب DPC إما بيانات اعتماد جديدة أو حسابًا جديدًا، وذلك باتّباع الخطوات نفسها المستخدَمة في توفير الجهاز في البداية.