デバイスをプロビジョニングする方法はいくつかあります。貴社の顧客のビジネス 要件に応じて、使用するプロビジョニング方法が決まります。
デバイスのプロビジョニングの基本
お客様が求めているデバイス プロビジョニングのデプロイ シナリオ サポート サービス(BYOD または会社所有など)によって、 (デバイス所有者モード、プロファイル所有者モードなど)。同様に、Kubernetes の サポートが必要な Android オペレーションと、 説明します。
デプロイメント シナリオ
会社所有のデプロイのシナリオでは、企業が所有し、 従業員が使用するデバイスを完全に制御できます。通常、組織は 全体を厳密にモニタリングして管理する必要がある場合に、会社所有のデバイスを ダウンロードします
BYOD 導入シナリオをサポートしている企業は、 個人所有のデバイスを職場に持ち込んで 企業情報やアプリケーションにアクセスしようと試みます。
運用モード
会社所有のデプロイは、デバイス所有者モードでサポートされます。 あります。Android では、管理アプリはデバイス ポリシーと呼ばれます。 コントローラ(DPC)です。DPC は、Android 搭載デバイスにポリシーを適用します。 デバイス所有者として機能する場合は、デバイス全体を管理します。デバイス所有者として DPC はデバイス全体の操作(デバイス全体の設定など)を実行できる 全般設定、出荷時設定へのリセットを行います。
BYOD のデプロイは、次のプロファイル所有者モードでサポートされます。 あります。企業は DPC を通じて、個人所有のデバイスを仕事に使用できるようにする デバイスのプライマリ ユーザー アカウントに仕事用プロファイルを追加します。仕事 プロフィールはプライマリ ユーザーに関連付けられていますが、個別のプロフィールとして関連付けられています。として DPC はデバイス上の仕事用プロファイルのみを管理し、 仕事用プロファイル以外では限定的な制御が可能です。
デバイス所有者のプロビジョニング方法
初期設定時にデバイス所有者の動作モードをプロビジョニングする必要がある 初期状態へのリセット後に発生する可能性があります。デバイス所有者モードをプロビジョニングできません いつでも再開できます。
ユースケースに応じて、主に 2 種類のプロビジョニング方法 デバイス所有者モードのプロビジョニング
- デバイス主導フローでは、IT 管理者は NFC を使用して大規模な デバイス数です。 このフローは managed Google Play アカウントまたは Google Workspace に使用できます。 説明します。
- ユーザー主導のフローの場合、オプションは組織が
Google Workspace を使用しています
- Google Workspace のシナリオでは、ユーザーが Google アカウントを追加します。 表示され、DPC はユーザーが デバイス所有者を設定しますユーザー主導のフローは、エンドユーザーが また、NFC をサポートしていない場合の代替手段としても使用できます。
- 組織で Google Workspace を使用していない場合は、 managed Google Play アカウントを使用できます。
注: アプリの配信先を特定の国に限定している場合は、 Play これらの制限は、デバイス所有者のプロビジョニング時に無視されます。 DPC は、デバイスが対象国にない場合でもダウンロードされます。
プロファイル所有者のプロビジョニング方法
プロファイル所有者の運用モードをプロビジョニングするために推奨される方法は、 組織が Google Workspace を使用しているかどうかを決定します。
- Google Workspace の場合、推奨される方法は ユーザーが Google アカウントを追加するユーザー主導のフロー DPC により、プロファイル所有者を設定する手順がユーザーに案内されます。
- 組織で Google Workspace を使用していない場合は、 managed Google Play アカウントを使用します。
従来の方法では、ユーザーが 手動で DPC をインストールすることもできます。 Google Play から DPC をダウンロードしてインストールするかどうかは、ユーザーに依存している。 設定が完了したら DPC がユーザーを 選択します。
Android のバージョンによるキー プロビジョニングの違い
デプロイ シナリオ | 運用モード | プロビジョニング方法 | 5.0、5.1 | 6.0 | 7.0 | 8.0 | 11 | 12+ |
---|---|---|---|---|---|---|---|---|
会社所有 | デバイス所有者 | QR コード | ✓ | ✓ | ✓ | ✓ | ||
managed Google Play アカウント | ✓ | ✓ | ✓ | ✓ | ✓ | |||
Google アカウント | ✓ | ✓ | ✓ | ✓ | ✓ | |||
NFC | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
ゼロタッチ | ✓ | ✓ | ✓ | |||||
会社所有 | プロファイル所有者 | QR コード | ✓ | ✓ | ||||
managed Google Play アカウント | ✓ | ✓ | ||||||
Google アカウント | ✓ | ✓ | ||||||
NFC | ✓ | |||||||
ゼロタッチ | ✓ | ✓ | ||||||
BYOD | プロファイル所有者 | managed Google Play アカウント | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Google アカウント | 5.11 | ✓ | ✓ | ✓ | ✓ | ✓ | ||
DPC の手動インストール | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
ゼロタッチ | ✓ | ✓ | ✓ |
実装に関する一般的な考慮事項
以下の点を考慮してください。 DPC を作成する 実装する操作モードに関係なく
Google Play 開発者サービスの互換性
「 Google Play 開発者サービス APK ガイド アプリの公開前に Google Play 開発者サービスのバージョン チェックを API トランザクションを実行しますGoogle Play 開発者サービスを更新しようとしたため デバイスのセットアップ プロセスに重大な影響が及ぶ場合、DPC は禁止されています。 デバイスのプロビジョニングが完了する前に Google Play 開発者サービスの更新を試みる。
DPC と Google Play 開発者サービスの互換性に関する要点は次のとおりです。
- DPC は、 特定します
- DPC は Google Play の今後のバージョンの新機能に依存すべきではない 方法について説明します。
デバイスのプロビジョニングが完了すると、DPC はユーザーに更新を求めるメッセージを表示できます。 Google Play 開発者サービスにより、DPC が最新の機能を使用できるようにします。ただし、 使用できない場合、DPC は正常なフォールバックが必要 デバイスに付属のバージョン。
デバイスの詳細を取得する
反映されるまでに最長で 2 分ほどかかる場合があります。 新たに登録されたデバイスに対して devices.get を実行すると、そのデバイスの詳細が返されます。
エンドユーザーがデバイスを使用する前にワークフローで詳細情報が必要になる場合、または DPC の進行状況画面を使用して、 呼び出しは成功します。
プロファイル所有者モードの実装に関する考慮事項
以下の点を考慮してください。 DPC を作成してプロファイル所有者を実装する 構成する必要があります
パーソナル DPC を削除または無効にする
プロファイル所有者のオペレーション モードをプロビジョニングするときに、DPC の実行が開始される 仕事用プロファイルの作成プロセスが開始されます。 仕事用プロファイルが作成されると、DPC も仕事用プロファイル内で実行されます 選択します。仕事用プロファイルの DPC がプロビジョニング プロセスを完了します。ちなみに 個人用プロファイルの DPC 自体または DPC を無効にする必要があります。 削除する必要があります。
ユーザーが個人用 DPC を削除する
- パーソナル DPC は
ACTION_MANAGED_PROFILE_PROVISIONED
。 (Android 5.1 デバイスの場合、パーソナル DPC は代わりにACTION_MANAGED_PROFILE_ADDED
)。 - パーソナル DPC がアンインストール リクエストを開始します
ACTION_UNINSTALL_PACKAGE
。 ユーザーに個人用 DPC をアンインストールするように求められます。最適なユーザーのために アンインストール プロセスは、プロビジョニング フロー中に行う必要があります。
パーソナル DPC の無効化
- パーソナル DPC は
ACTION_MANAGED_PROFILE_PROVISIONED
。 (Android 5.1 デバイスの場合、パーソナル DPC は代わりにACTION_MANAGED_PROFILE_ADDED
)。 - 該当する場合は、個人用 DPC がデバイス管理者権限をリリースする必要があります 無効にすることをおすすめします。
- パーソナル DPC は
setApplicationEnabledSetting
リクエストを無効にするCOMPONENT_ENABLED_STATE_DISABLED
パラメータを指定します。 - ユーザーは Google Play から個人用 DPC を再度有効にできます。
デバイス所有者モードの実装に関する考慮事項
DPC の記述では、以下の点を考慮してください。 デバイス所有者の動作モードを実装します
新品であるか、初期状態にリセットされたデバイスである必要があります
初期設定時にデバイス所有者の動作モードをプロビジョニングする必要がある 初期状態へのリセット後に発生する可能性があります。デバイス所有者モードをオンにできません プロビジョニングできます。
デバイス所有者モードでは、DPC がデバイスを完全に制御できます。プロビジョニングする場合 初期設定を許可した後のデバイス所有者モード:
- マルウェアがデバイスの所有者を作成し、そのデバイスを乗っ取るおそれがあります。
- デバイスにすでに一部のユーザーデータやアプリが含まれている場合、プライバシーの問題が発生する可能性があります クリックします。
会社所有デバイスでのみデバイス所有者モードを設定する
デバイス所有者モードのプロビジョニングは、 お客様の会社が所有するデータにアクセスできますこれを確認するには (シリアル番号など)を使用するか、専用の EMM によるデバイス登録が承認された一連のアカウント に関するポリシーに準拠する必要があります。
デバイスの会社所有権を確認できない場合は、フェイルセーフを作成して 誤ってデバイス所有者モードをプロビジョニングすることがないようにする必要があります。たとえば デバイスのユーザーに対して、肯定的なアクションを確認または実行するよう求めることができます。 プロビジョニングする必要があります
システムアプリを有効にする
DPC が仕事用プロファイルをプロビジョニングする際、ランチャー アイコンのないシステムアプリ デバイスにとって重要とみなされ、自動的に 管理できます。ランチャー アイコンがあるシステムアプリは、 オプションであり、有効にするかどうかを決めることができます。
Google Play からシステムアプリを有効にする
ユーザーは、Google Play を使用してシステムアプリを有効にして、アプリのアップデートをすぐに入手できます。 アプリのアップデートが必要です。
Android フレームワーク API を使用してシステムアプリを有効にする
ユーザーがデバイスを使い始めたらすぐにシステムアプリが表示されるようにするには、
デバイスのプロビジョニング プロセスの一環として、システムアプリを有効にします。DPC によってできること
パッケージ名を使用するか、インテントを使用して、
DevicePolicyManager.enableSystemApp()
。
有効にして表示するシステムアプリを特定する方法はいくつかあります EMM コンソールから IT 管理者に公開されます。
システムアプリ カタログを作成する
この方法では、各デバイスがデバイス上にあるアプリを特定し、 EMM コンソールに取り戻せますEMM コンソールでは、 IT 管理者はデバイス ポリシーの作成時に 管理できます。
デバイスで仕事用プロファイルがまだプロビジョニングされていない場合は、 デバイス上のランチャー アイコンがあるすべてのアプリ
queryIntentActivities()
:private List<ResolveInfo> getAppsWithLauncher() { Intent i = new Intent(Intent.ACTION_MAIN); i.addCategory(Intent.CATEGORY_LAUNCHER); return getPackageManager().queryIntentActivities(i, 0); }
仕事用プロファイルがデバイスにすでにプロビジョニングされている場合は、 使用すると、仕事用プロファイルのすべてのアプリが
PackageManager.GET_DISABLED_COMPONENTS
およびPackageManager.GET_UNINSTALLED_PACKAGES
。アプリの一覧でシステムアプリを探すには、
FLAG_SYSTEM
デバイスのシステム イメージにアプリがインストールされているかどうかを示します。
メリット:
- IT 管理者は、すべてのデバイス上にあるアプリの全体像を把握できます。
- 有効にするアプリをきめ細かく制御できます。
デメリット:
- デバイスごとに異なるアプリ カタログがあるため、モデルの適用は困難 複数のデバイスタイプに拡張できます。
- OEM 固有のアプリの数を IT 管理者にとって有意義な方法となります
システムアプリを機能別に分類する
IT 管理者がデバイスのグループに対してシステムアプリを有効にしたい場合は、 機能に基づいて一般的なアプリを選択した例: 「システム 表示されます。その後、DPC はそのインテントに対してすべてのシステムアプリを許可します。
メリット:
- IT 管理者向けの機能ベースのシンプルな有効化。
- さまざまなデバイスで一貫した機能性を確保します(少なくとも 一般的なユースケース)。
デメリット:
- システムアプリを、すべてのデバイスタイプでサポートされているアプリに限定します。
- IT 管理者は、特定の OEM バージョン( Samsung® ブラウザなど)のみが対象です。
- IT 管理者は複数のアプリをプッシュしたくない場合があるが、 複数のインテント ハンドラがある場合に、そのインスタンスを
承認済みのシステムアプリのみをサポートする
OEM と協力して具体的な OEM パッケージを特定し、それらのパッケージのみをサポートする EMM コンソール内でご利用いただけます。この方法では、マネージド サービス アカウントを OEM アプリのさまざまな設定について説明しますが、 OEM のアプリは Google Play でホストされていません。
メリット:
- 統合ワークフローを大幅に簡素化し、エッジケースを排除 最初の 2 つの選択肢で問題が発生します
- OEM アプリの管理対象設定をカタログ化して提示できる 。
- OEM と緊密な関係を築いて主力デバイスをサポートできます。
デメリット:
- スケーラビリティが低く、結果的に消費者の選択肢が減ります。
DPC のテストシナリオ
Test DPC はオープンソース アプリを使用して、DPC アプリでエンタープライズ機能をテストできます。 テスト DPC は次の場所から入手できます。 github または Google Play: Test DPC を使用すると、次のことができます。
- Android で機能をシミュレートする
- ポリシーの設定と適用
- アプリとインテントの制限を設定する
- 仕事用プロファイルをセットアップする
- 完全管理対象 Android デバイスをセットアップする
Test DPC は主に、企業をテストする手段である Android 向けのサンプルコードのソースとして使用することもできます。 説明します。
プロビジョニングをカスタマイズする
デバイスのプロビジョニング中、システム ユーザー インターフェースはデフォルトの色で表示されます。 ステータスバーと画面上部にデフォルトのロゴが表示されますカスタムカラーを設定する DPC とロゴの間を EMM コンソールを使って管理者に操作を許可するかを選択します。たとえば 管理者は会社のロゴをアップロードしたり、表示する画面のデザインをカスタマイズしたりできます。 通知を受け取れます。
色とロゴの選択は、DPC によって適用される
DevicePolicyManager.EXTRA_PROVISIONING_MAIN_COLOR
および
DevicePolicyManager.EXTRA_PROVISIONING_LOGO_URI
追加できます
カスタム色を設定するには、次のコマンドを使用します。
EXTRA_PROVISIONING_MAIN_COLOR
デバイスの表示中に表示される主な色を示す整数を設定する
プロビジョニングを行います次のように、エクストラ(定数)をインテントに追加します。
ACTION_PROVISION_MANAGED_PROFILE
または
ACTION_PROVISION_MANAGED_DEVICE
。
整数の表現方法については、以下をご覧ください。
色:
例については以下をご覧ください。
MAIN_COLOR
。
カスタムロゴを設定するには、次のコマンドを使用します。
EXTRA_PROVISIONING_LOGO_URI
デバイスの使用中に画面上部に表示する画像を設定できます。
プロビジョニングを行います次のように、エクストラ(定数)をインテントに追加します。
ACTION_PROVISION_MANAGED_PROFILE
または
ACTION_PROVISION_MANAGED_DEVICE
。
画像のピクセル密度がデバイスに適したものであることを確認します。
例については以下をご覧ください。
LOGO_URI
。
QR コードによる方法
QR コードのプロビジョニング方法では、次の方法でデバイス所有者モードをセットアップ、設定します。 設定ウィザードから QR コードをスキャンします。この QR コードには、 DPC によるプロビジョニングに必要な情報がすべて含まれた Key-Value ペア できます。
IT 管理者は EMM コンソールで QR コードを作成できます 適切なデバイスを選択します。IT 管理者が QR コードを送信 プロビジョニングできます。エンドユーザーはデバイスのプロビジョニングに QR コード。
QR コード プロビジョニングのユースケース
タブレットなど、一部のデバイスは NFC に対応していません。QR コードのプロビジョニングは 分散したデバイスのフリートをプロビジョニングして、 NFC。IT 管理者はユーザーに QR コードを送信して、ユーザーが プロビジョニングを行います
QR コードのプロビジョニングに Google ID(Google ドメインなど)は必要ありません または Google アカウント。Android を使用しているが Google は使用していない組織 Google ID がありません。
NFC と同様に、QR コード プロビジョニングでは、キオスクや 1 回限りのデプロイを Google ID(または任意の ID)は必要ない、または望ましくありません。たとえば、 店舗のキオスク デバイスは誰のものもなく、エンドユーザーも含めるべきではない できます。
QR コードを作成する
QR コード プロビジョニング用の有効な QR コードは、UTF-8 でエンコードされた JavaScript® オブジェクトです 表記(JSON)文字列。有効な QR コードに次のプロパティを含めることができます。
常に必須
DPC がデバイスにまだインストールされていない場合は必須
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
デバイスがまだ Wi-Fi に接続されていない場合に推奨されます
任意
EXTRA_PROVISIONING_LOCALE
EXTRA_PROVISIONING_TIME_ZONE
EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_COOKIE_HEADER
EXTRA_PROVISIONING_LOCAL_TIME
EXTRA_PROVISIONING_WIFI_HIDDEN
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE
EXTRA_PROVISIONING_WIFI_PROXY_HOST
EXTRA_PROVISIONING_WIFI_PROXY_PORT
EXTRA_PROVISIONING_WIFI_PROXY_BYPASS
EXTRA_PROVISIONING_WIFI_PAC_URL
EXTRA_PROVISIONING_SKIP_ENCRYPTION
このサンプルでは有効な QR コードを作成します。
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":
"com.emm.android/com.emm.android.DeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":
"gJD2YwtOiWJHkSMkkIfLRlj-quNqG1fb6v100QmzM9w=",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":
"https://path.to/dpc.apk",
"android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,
"android.app.extra.PROVISIONING_WIFI_SSID": "GuestNetwork",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
"dpc_company_name": "Acme Inc.",
"emm_server_url": "https://server.emm.biz:8787",
"another_custom_dpc_key": "dpc_custom_value"
}
}
QR コードのプロビジョニング プロセス
- セットアップ ウィザードにより、ウェルカム画面を 6 回タップするようユーザーに求められます。「 画面上の同じ場所でタップする必要がある。
- インターネットへの接続を求めるメッセージが設定ウィザードに表示されるので、 QR コードリーダーをダウンロードできます。
- Google Play 開発者サービスにより、QR コード認識を含むモジュールがダウンロードされます。 説明します。
- IT 管理者から提供された QR コードをスキャンします。
- 設定ウィザードにより DPC アプリがダウンロードされ、デバイス所有者が起動される
プロビジョニング プロセスに
ACTION_PROVISION_MANAGED_DEVICE
。
managed Google Play アカウントを使用する方法
DPC は managed Google Play アカウントのプロビジョニング方法で デバイス所有者モードかプロファイル所有者モードかこのプロビジョニング方法は Google Workspace を使用している組織では 特にそうはいきません
managed Google Play アカウントのプロビジョニング方法では、 DPC サポート ライブラリ。 managed Google Play のスムーズな運用を実現するクライアント ライブラリ アカウント。また、Managed Microsoft AD の今後の更新との互換性も維持され、 Google Play アカウント プロビジョニング プロセス。
デバイスのプロビジョニングの前提条件
- 企業 ID が作成され、EMM ID と ESA に登録される 設定については、このモジュールの 企業を作成して登録します。
- EMM コンソールでは、ユーザーの企業 ID が認識されます。
- ユーザーは、EMM によって承認された認証情報を使用して DPC アプリにログインできる 通常は会社のメール認証情報です。
プロファイル所有者モードを設定する
使用中のデバイスで、プロファイル所有者の動作モードをプロビジョニングできます 個人所有のデバイスとして使用します
- ユーザーが Google Play から DPC を手動でダウンロードして起動します。
- DPC は、以下を使用して仕事用プロファイルをプロビジョニングします。
ACTION_PROVISION_MANAGED_PROFILE
。 - 最後の設定手順を完了します。
デバイス所有者モードを設定する
デバイスの初期設定時に、デバイス所有者の動作モードをプロビジョニングする必要があります。 初期状態へのリセット後に行われます。デバイス所有者モードをプロビジョニングできません 保持することはできません。
ユーザーはデバイスのセットアップ中に、特別な DPC 固有のトークンを入力します。
アカウントの追加を求めるメッセージが表示されます。トークンの形式は afw#DPC_IDENTIFIER
です。対象
ACME という EMM を使用した場合、afw#acme
によって ACME の EMM のデフォルトの DPC がインストールされます。
各 EMM で特定の DPC 識別子を使用するには、Google に特定の DPC 識別子をリクエストする必要があります。
プロビジョニング プロセスで使用します。
- ユーザーが新しいデバイスまたは出荷時設定にリセットしたデバイスの電源を入れ、設定ウィザードを起動する 説明します。
- アカウントを追加するように求められたら、ユーザーは
形式
afw#DPC_IDENTIFIER
で、EMM の DPC を識別します。 - 設定ウィザードは、トークン内の DPC 識別子を使用して、 Google アカウントをデバイスに関連付けます。この一時的なアカウントはダウンロードにのみ使用されます Google Play から EMM の DPC が削除されます。また、 最後の設定手順をご覧ください。
- DPC は、
ACTION_PROVISION_MANAGED_DEVICE
。 - 最後の設定手順を完了します。
すべてのオペレーション モードの最終設定手順
以下の手順は、最初のセットアップ手順を実施した後にのみ行ってください。 プロファイル所有者モードまたはデバイス所有者モードが完了しました。
DPC により、デバイスが managed Google Play アカウントに対応していることを確認します。 DPC Support Library を初期化します。
AndroidForWorkAccountSupport androidForWorkAccountSupport = new AndroidForWorkAccountSupport(context, admin); androidForWorkAccountSupport.ensureWorkingEnvironment(callback);
デバイスでデバイス所有者モードを設定している場合、 DPC をダウンロードするために追加した一時的な Google アカウント。
ユーザーは EMM 認証情報を使用して DPC にログインします。これらは 通常は会社の E メール認証情報です
DPC は、デバイスの managed Google Play アカウントの認証情報をリクエストします。 企業ユーザーとして認証されました。
EMM コンソールにユーザーの Google Play
userId
が表示されない場合は、 このメソッドは、Users.insert()
。 デバイス所有者モードをプロビジョニングする場合は、デバイスのアカウント( 専用のデバイスのデプロイメント)、ユーザー アカウント(会社所有のデプロイメントの場合)で利用可能です。を呼び出してデバイスのポリシーを設定する
Devices.update
。 managed Google Play アカウントを そうしないと、ポリシーは短期間適用されません 。EMM コンソールが、
userId
のアカウント認証情報を次の方法でリクエストします。 通話中Users.generateAuthenticationToken()
。 この認証トークンは有効期間が短く、再利用できません。DPC は トークンを使用してプログラムでアカウントを追加する(ここでは使用しません) できます。Google Play EMM API から EMM コンソールに認証トークンが返されます。
EMM コンソールから認証トークンが DPC に転送されます。
DPC により、managed Google Play アカウントがデバイスに追加されます。
androidForWorkAccountSupport.addAndroidForWorkAccount(token, accountAddedCallback);
Google アカウントによる確認
DPC は Google アカウントのプロビジョニング方法でデバイス所有者を設定できます モードを選択できます。Google アカウントのプロビジョニング方法では、 ユーザーがアカウントを追加した後、DPC からプロビジョニング手順が案内されます。 Google アカウント(デバイスの初期設定時)
ユーザーが Google アカウントの認証情報を入力すると、次のようになります。
- Google 認証サーバーがユーザー アカウントを認証します。
- 認証サーバーはエンタープライズ サーバーと通信して、 アカウントのドメインが Google Workspace ドメインまたは EMM が管理するドメイン。
- ドメインに関連付けられている DPC が自動的にダウンロードされます。 インストールできます。
プロファイル所有者モードを設定する
プロファイル所有者の動作モードは、プロファイルの初期設定時にプロビジョニングできます。 または、[設定] >アカウントを追加] をタップします。
- アカウント認証は、ユーザーが設定ウィザードまたは [設定] >アカウントを追加] をタップします。
- GMSCore は、
ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE
を使用して仕事用プロファイルのプロビジョニングを開始します。 - DPC が自動的にデバイスにダウンロードされ、
ACTION_GET_PROVISIONING_MODE
を使用して起動されます。 ハンドラを使用して、仕事用プロファイルのプロビジョニングが DPC でサポートされていることを確認します。EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
- メールアドレスなどの仕事用プロファイルの追加情報。ここでも、DPC はこのバンドルの一部として is_setup_wizard を受け取ります。このバンドルは、ACTION_GET_PROVISIONING_MODE
ハンドラとACTION_ADMIN_POLICY_COMPLIANCE
ハンドラに含まれます。EXTRA_PROVISIONING_ACCOUNT_TO_MIGRATE
- 新しい仕事用プロファイルに移行する認証済みアカウントの名前。
- プラットフォームは仕事用プロファイルのプロビジョニングを実行します。
- 仕事用プロファイルがプロビジョニングされると、DPC がブロードキャストを受信します。
ACTION_PROFILE_PROVISIONING_COMPLETE
。 DPC のACTION_ADMIN_POLICY_COMPLIANCE
仕事用プロファイルで起動されます。仕事用プロファイルの作成後 DPC も仕事用プロファイル内で実行されますDPC は、 管理されている Google アカウントを使用することで、デバイスが不正使用されていない ポリシーが適用されているかどうかを検証し、ポリシーが適用されているかどうかを できます)。 - 個人用プロファイルの DPC が自動的に無効になるか、ユーザーが削除します。
デバイス所有者モードまたは COPE を設定する
デバイスの初期設定時に、デバイス所有者の動作モードをプロビジョニングする必要があります。 初期状態へのリセット後に行われます。デバイス所有者モードを できます。
- アカウント認証は、ユーザーが設定ウィザードから開始します。
- GMSCore は、
ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE
を使用してデバイス所有者のプロビジョニングを開始します。 3. DPC が自動的にデバイスにダウンロードされ、GET_PROVISIONING_MODE
ハンドラを使用して起動され、目的のプロビジョニング モードが選択されます。EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
- 言語 / 地域、Wi-Fi、メールアドレスなど、仕事用プロファイルの追加情報。ここでも、DPC はこのバンドルの一部として is_setup_wizard を受け取ります。このバンドルはACTION_GET_PROVISIONING_MODE
に含まれます およびACTION_ADMIN_POLICY_COMPLIANCE
ハンドラ。
- プラットフォームは、デバイスを目的のプロビジョニング モードにプロビジョニングします。
- デバイスがプロビジョニングされると、DPC がこれらのブロードキャストを受信し、DPC の
ACTION_ADMIN_POLICY_COMPLIANCE
ハンドラが起動します。 <ph type="x-smartling-placeholder"> - DPC は
Global.DEVICE_PROVISIONED
の値を使用します。 デバイスが新品または出荷時設定へのリセット(未プロビジョニング)であることを確認するには: <ph type="x-smartling-placeholder">- </ph>
- 0 - プロビジョニングされていません。
- 1 - プロビジョニング済み。
- DPC は、そのポリシーをプッシュしてプロビジョニング プロセスを完了します。 デバイスが不正使用された状態ではないことを確実にすること、および ポリシーが適用されていることの確認(パスワードの要求など)
Google アカウントを使用する方法での実装に関する考慮事項
DPC は、Google アカウントの認証フローを検出するために、 使用された起動インテントの特定のエクストラ(
LaunchIntentUtil
):android.accounts.Account
タイプのアカウント — 設定ウィザードまたは [設定] >アカウントを追加] をクリックします。 この場合、起動された DPC でデバイスまたはプロファイルを管理する必要があります。- ブール値型の
is_setup_wizard
- true の場合、DPC が起動しています 設定ウィザードでなければ開始から終了です。 [設定] >アカウントを追加] などのフローに沿って追加してください。
DPC が Google アカウントによる方法の一環で起動されたかどうかを確認する 次のとおりです。
boolean isSynchronousAuthLaunch(Intent launchIntent) { return launchIntent.hasExtra("is_setup_wizard"); }
DPC が
finish()
を呼び出さないようにします。 設定が完了していないことを確認してください。また、陽性の結果コードも返されます。 (RESULT_OK
など)を指定します。これは、DPC がstartActivityForResult()
結果を待ちますDPC は、プロビジョニング プロセスからの結果コードを待ってから、
finish()
の呼び出しが、DPC セットアップ フローがACTION_PROVISION_*
インテント。こちらのstartActivityForResult()
およびonActivityResult()
ACTION_PROVISION_*
インテントを起動するときに呼び出す必要があります。(参照:LaunchActivity
およびSetupSyncAuthManagement
を参照)。設定プロセスは非同期となる場合があるため、DPC は 結果コード
RESULT_OK
を使用してプロビジョニングを 成功したことを示します。唯一の確実な方法は、DeviceAdminReceiver
コールバックを呼び出せます。RESULT_CANCELED
は、ユーザーが バックアップはセットアップ フローの同期部分で行われ、DPC は 追加します。この例では、DPC がプロビジョニングを開始し、アクティビティからの結果コードを待機します。
Intent intent = new Intent(ACTION_PROVISION_MANAGED_PROFILE); startActivityForResult(intent, REQUEST_MANAGED_PROFILE); ... @Override public void onActivityResult(int req, int res, Intent i) { if (req == REQUEST_MANAGED_PROFILE) { if (res == Activity.RESULT_OK) { setResult(Activity.RESULT_OK); finish(); } else { Toast.makeText(this, “Provisioning failed”, Toast.LENGTH_SHORT).show(); } } }
次の場合、DPC はデバイス所有者の動作モードの設定を試行すべきではありません。 デバイスがすでにプロビジョニングされている場合(
ProvisioningStateUtil.isDeviceProvisioned()
)。 この例では、DPC はデバイスがプロビジョニングされているかどうかを確認します。public static boolean isDeviceProvisioned(Context context) { ContentResolver cr = context.getContentResolver(); return Settings.Global.getInt(cr, DEVICE_PROVISIONED, 0) != 0; }
省略可。DPC は
EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
状態情報を状態情報に渡すために、プロビジョニングのDeviceAdminReceiver
(プロファイル所有者のケースでは、仕事用プロファイル内で実行されています)。 TestDPC はこのエクストラを使用する Google アカウント フローで別のアクティビティ セットを入力するには、 プロビジョニングが完了しました詳しくは、DeviceAdminReceiver
。public class DeviceAdminReceiver extends android.app.admin.DeviceAdminReceiver { @Override public void onProfileProvisioningComplete(Context context, Intent intent) { // Retrieve the admin extras bundle, which we can use to determine the original context for // Test DPC's launch. PersistableBundle extras = intent.getParcelableExtra( EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE); ...
仕事用プロファイルを設定するには、DPC が追加されたアカウントを 新しい仕事用プロファイルを追加します。そのためには、DPC は 起動インテント
ACTION_PROVISION_MANAGED_PROFILE
。DPC では、明確な行動を促すフレーズ( Finish(完了)ボタン)を押すと、セットアップの終了時にアプリが終了し、ユーザーは フローの行き止まりになります
DPC は設定ウィザードのテーマまたはレイアウト ライブラリを使用して、ユーザーが スムーズに統合されていると感じられます
NFC 方式
DPC は NFC プロビジョニング方法を使用してデバイス所有者モードを設定できます。 NFC プロビジョニング方式(NFC タグ)では、NFC プログラマー アプリを作成して、 初期ポリシーと Wi-Fi の設定、設定、 デバイス所有者を設定するためにお客様が必要とするプロビジョニングの詳細 構成する必要がありますお客様またはお客様が NFC プログラマー アプリを そのデバイスがプログラマー デバイスになります。
デバイスをプロビジョニングするために、IT 管理者が新しいデバイスを用意する プログラマー デバイスまたは NFC タグに押し当てます。バンプが移送される ダウンロードされるように設定し、インターネットに接続して 適切なポリシーと設定が必要です。その後、デバイスは DPC によって管理されます。
デバイスのプロビジョニング後、Google Play に管理対象外がしばらく表示される 承認されたアプリやコレクションではなく、 表示されます。この遅延は数分から 1 時間ほど続きます。
NFC プログラマー アプリとプログラマー デバイスを作成する
Android 10 以前を搭載したデバイスでは、Android ビームを使用して次のことができます。 NFC プロビジョニングを完了します。
- NFC プログラマー サンプルアプリをダウンロードします。 サンプルを追加せずにそのまま使用することも、必要に応じて修正することもできます。 使用できます。
- 選択したデバイスにプログラマー アプリをインストールします。
- NFC プログラマー アプリを起動し、[Load Defaults] を選択します。
(
com.example.android.apis
)。(このテキストは、デフォルト構成の あります)。
お客様のデバイスのプロビジョニング
- プログラマー デバイスまたは NFC タグを新しいデバイスまたは 出荷時の設定にリセットします。
- デバイスが、最初の [ようこそ] 画面に残ったままであることを確認します。
表示されます。テキストは
Ready to send:{...}
で指定します。 プログラマーアプリで使用します - DPC が次のことを行うまで待機する。
- デバイスを暗号化する
- CDMA(Code-Division Multiple Access)デバイスの場合: 電話のユーザー インターフェースが表示されている間は操作する必要はありません(操作は不要です)。
- Wi-Fi 接続を設定します。
- com.example.android.apis の APK ファイルをダウンロードします。
- com.example.android.apis をインストールします。
- com.example.android.apis 内のサンプル デバイス管理をデバイス所有者として設定します。
- トーストが成功していることを示すデバイス所有者が有効になったとき
- ホームページに戻ったら(設定ウィザードは自動的にスキップされます)
com.example.android.apis がデバイス所有者として設定されていることを確認します。
- [設定] >セキュリティ >デバイス管理者は、「Sample Device」が 管理者は削除できません。
- [設定] >ユーザー >ユーザーとプロフィール >ご自身(所有者)は、 所有者が使用できる唯一のアカウントである(1 つのデバイスに設定できるアクティブなアカウントは 1 つのみ) デバイス オーナーごとに 1 つずつ)。
参考情報
高度な NFC さまざまなタグ技術の使用、NFC への書き込みなどのトピックを説明しています フォアグラウンド ディスパッチがあります。
DPC の手動インストール方法
手動 DPC インストールのプロビジョニング方法を使用してプロファイル所有者モードを設定するには: ユーザーが Google Play から DPC をダウンロードしてインストールします。次に DPC のプロフィール オーナーを設定する手順がユーザーに案内されます。 管理対象 Google アカウント。
DPC は、管理対象の Google アカウントの作成前または作成後に、 仕事用プロファイルに報告します。たとえば、DPC は ユーザーの EMM 認証情報(管理対象の Google アカウントの入力を求めるメッセージを表示)ではなく、 見てみましょう。
プロファイル所有者モードを設定する
先に管理対象の Google アカウントを追加してください
- ユーザーが Google Play から DPC をダウンロードしてインストールします。
- 仕事用プロファイルを作成する前に、DPC によって管理対象の Google アカウントが追加される
AccountManager.addAccount()
を使用します。 - 個人用プロファイルで DPC の実行が開始し、
以下を使用して仕事用プロファイルを作成します。
ACTION_PROVISION_MANAGED_PROFILE
— 仕事用プロファイルをプロビジョニングします。EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
- 言語 / 地域、Wi-Fi、メールなど、仕事用プロファイルの追加情報 あります。EXTRA_PROVISIONING_ACCOUNT_TO_MIGRATE
- 新しい作業に移行する認証済みアカウントの名前 選択します。
- 仕事用プロファイルの DPC がプロビジョニング プロセスを完了します。作業が完了したら、 プロファイルが作成されると、DPC も仕事用プロファイル内で実行されます。DPC の プロビジョニング プロセスを完了すると、仕事用プロファイルは そのデバイスが不正使用されていないことを確認できます。 ポリシーが適用されているかどうかの確認(例: できます)。
- 仕事用プロファイルがプロビジョニングされると、DPC がブロードキャストを受信します。
ACTION_PROFILE_PROVISIONING_COMPLETE
。 - 個人用プロファイルの DPC 自動的に無効になる、またはユーザーが削除した。
まず仕事用プロファイルを作成してください
- ユーザーが Google Play から DPC をダウンロードしてインストールします。
- 個人用プロファイルで DPC の実行が開始し、
以下を使用して仕事用プロファイルを作成します。
ACTION_PROVISION_MANAGED_PROFILE
— 仕事用プロファイルをプロビジョニングします。EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
- 言語 / 地域、Wi-Fi、メールなど、仕事用プロファイルの追加情報 あります。
- DPC により、管理対象の Google アカウントが追加されます。
AccountManager.addAccount()
。 - DPC がブロードキャストを受信する
ACTION_PROFILE_PROVISIONING_COMPLETE
読み取りEXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
。 - 仕事用プロファイルの DPC がプロビジョニング プロセスを完了します。 仕事用プロファイルが作成されると、DPC も仕事用プロファイル内で実行されます 選択します。仕事用プロファイルの DPC が、以下の手順に沿ってプロビジョニング プロセスを完了します。 その管理対象の Google アカウントに対するポリシーを強制適用し、 侵害された状態ではなく、ポリシーが適用されていることを確認していること (パスワードの要求など)。
- DPC は、
DevicePolicyManager.setProfileEnabled()
。 - 個人用プロファイルの DPC 自動的に無効になる、またはユーザーが削除した。
-
Android 5.1 の Google アカウントによる操作は、プロファイル所有者の操作モードのみをサポートし、ユーザーは [設定] >アカウントを追加] をタップします。 ↩