Es gibt mehrere Möglichkeiten, Geräte bereitzustellen. Die Unternehmen Anforderungen bestimmen, welche Bereitstellungsmethoden Sie verwenden.
Grundlagen der Gerätebereitstellung
Szenarien für die Bereitstellung der Geräte, die Ihre Kunden wünschen (z. B. BYOD oder unternehmenseigen), um festzustellen, (z. B. die Modi „Geräteinhaber“ oder „Profilinhaber“). Genauso haben auch die Modi und die Android-Releases, die Sie unterstützen müssen, Methoden, die Sie implementieren werden.
Bereitstellungsszenarien
Bei einem unternehmenseigenen Bereitstellungsszenario besitzt das Unternehmen die Geräte der Mitarbeiter vollständig steuern können. Normalerweise stellen Organisationen für unternehmenseigene Geräte, bei denen es darum geht, die gesamte Infrastruktur streng zu überwachen und zu verwalten .
Unternehmen, die BYOD nutzen, eigene Geräte für die Arbeit nutzen und diese nutzen können, auf privilegierte Unternehmensinformationen und Anwendungen zugreifen.
Betriebsarten
Unternehmenseigene Bereitstellungen werden vom Modus Geräteinhaber unterstützt der Geschäftstätigkeit. Unter Android wird die Verwaltungs-App als Geräterichtlinie bezeichnet. Controller (DPC). Der DPC erzwingt Richtlinien auf einem Android-Gerät und Als Geräteeigentümer verwaltet er das gesamte Gerät. Als Geräteeigentümer: kann der DPC Aktionen auf dem gesamten Gerät ausführen, z. B. und konfigurieren Sie globale Einstellungen und setzen Sie das Gerät auf die Werkseinstellungen zurück.
BYOD-Bereitstellungen werden vom Profilinhabermodus der . Über den DPC ermöglicht das Unternehmen private Geräte für die geschäftliche Nutzung Durch Hinzufügen eines Arbeitsprofils zum primären Nutzerkonto auf dem Gerät Die Arbeit -Profil ist mit dem Hauptnutzer, jedoch als separates Profil verknüpft. Als verwaltet der DPC nur das Arbeitsprofil auf dem Gerät haben Sie außerhalb des Arbeitsprofils eingeschränkte Kontrolle.
Bereitstellungsmethoden für Geräteeigentümer
Sie müssen den Betriebsmodus „Geräteeigentümer“ bei der Ersteinrichtung bereitstellen eines neuen Geräts oder nach dem Zurücksetzen auf die Werkseinstellungen. Der Modus „Geräteinhaber“ kann nicht bereitgestellt werden zu einem beliebigen anderen Zeitpunkt auf einem Gerät.
Je nach Anwendungsfall gibt es zwei Hauptarten von Bereitstellungsmethoden, Bereitstellungsmodus für Geräteeigentümer.
- In einem gerätegesteuerten Ablauf können IT-Administratoren NFC für die Bereitstellung großer Anzahl der Geräte. Dieser Ablauf kann für Managed Google Play-Konten oder Google Workspace verwendet werden Szenarien durchführen.
- In einem nutzergesteuerten Ablauf hängen die Optionen davon ab,
verwendet Google Workspace.
- In einem Google Workspace-Szenario fügt der Nutzer sein Google-Konto hinzu. während der Ersteinrichtung des Geräts. Der DPC muss den Nutzer durch die um den Geräteeigentümer einzurichten. Ein nutzergesteuerter Ablauf kann Endanwendenden dabei helfen, und ist auch eine Alternative, wenn Geräte kein NFC unterstützen.
- Wenn eine Organisation Google Workspace nicht verwendet, sollten Sie das Managed Play Store-Konten.
Hinweis:Wenn Sie den Vertrieb Ihrer App auf bestimmte Länder in Wiedergabe, werden diese Einschränkungen bei der Bereitstellung des Geräteeigentümers ignoriert. Der DPC wird auch dann heruntergeladen, wenn sich das Gerät nicht in einem Zielland befindet.
Bereitstellungsmethoden für Profilinhaber
Die empfohlene Methode zum Bereitstellen des Betriebsmodus des Profilinhabers hängt von ob die Organisation Google Workspace verwendet.
- Im Fall von Google Workspace ist die empfohlene Methode eine Nutzergesteuerter Ablauf, bei dem der Nutzer sein Google-Konto hinzufügt, Der DPC führt den Nutzer durch die Schritte zum Einrichten des Profilinhabers.
- Wenn eine Organisation Google Workspace nicht verwendet, wird die empfohlene Methode Managed Play Store-Konten.
Die herkömmliche Methode, bei der die Nutzenden aufgefordert werden, den DPC manuell installieren, wird ebenfalls unterstützt. Dazu muss der Nutzer Ihren DPC von Google Play herunterladen und installieren, Anschließend führt der DPC den Nutzer durch den Rest des Prozesses, um die Profilinhaber.
Wichtige Unterschiede bei der Nutzerverwaltung in den verschiedenen Android-Versionen
Bereitstellungsszenario | Betriebsmodus | Bereitstellungsmethode | 5,0, 5,1 | 6.0 | 7.0 | 8.0 | 11 | 12+ |
---|---|---|---|---|---|---|---|---|
Gehören dem Unternehmen | Geräteeigentümer | QR-Code | ✓ | ✓ | ✓ | ✓ | ||
Managed Play Store-Konten | ✓ | ✓ | ✓ | ✓ | ✓ | |||
Google-Konto | ✓ | ✓ | ✓ | ✓ | ✓ | |||
NFC | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
Zero-Touch-Registrierung | ✓ | ✓ | ✓ | |||||
Gehören dem Unternehmen | Profilinhaber | QR-Code | ✓ | ✓ | ||||
Managed Play Store-Konten | ✓ | ✓ | ||||||
Google-Konto | ✓ | ✓ | ||||||
NFC | ✓ | |||||||
Zero-Touch-Registrierung | ✓ | ✓ | ||||||
Nutzung eigener Geräte (BYOD) | Profilinhaber | Managed Play Store-Konten | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Google-Konto | 5.11 | ✓ | ✓ | ✓ | ✓ | ✓ | ||
Manuelle DPC-Installation | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
Zero-Touch-Registrierung | ✓ | ✓ | ✓ |
Allgemeine Überlegungen zur Implementierung
Hier sind einige Dinge, die Sie beim Ihren DPC schreiben, unabhängig davon, welchen Betriebsmodus Sie implementieren.
Kompatibilität mit Google Play-Diensten
Die APK-Leitfaden für Google Play-Dienste weist Entwickler an, eine Versionsprüfung der Google Play-Dienste durchzuführen, API-Transaktionen durchführen. Weil versucht wurde, die Google Play-Dienste zu aktualisieren zu schwerwiegenden Störungen bei der Geräteeinrichtung führt, darf Ihr DPC nicht versuchen, die Google Play-Dienste zu aktualisieren, bevor die Gerätebereitstellung abgeschlossen ist.
Wichtige Punkte zur DPC-Kompatibilität mit den Google Play-Diensten:
- Der DPC sollte über die Google Play-Dienste ausgeführt werden, die mit einer auf einem bestimmten Gerät.
- Der DPC sollte in zukünftigen Versionen von Google Play nicht auf neuen Funktionen basieren Dienste, die zum Zeitpunkt der Gerätebereitstellung verfügbar sind.
Wenn die Gerätebereitstellung abgeschlossen ist, kann der DPC den Nutzer zum Aktualisieren auffordern Google Play-Dienste, damit der DPC die neuesten Funktionen verwenden kann. Wenn jedoch ein aus irgendeinem Grund nicht verfügbar ist, muss der DPC ordnungsgemäß auf die mit dem Gerät gelieferte Version.
Gerätedetails abrufen
Aufgrund von Verzögerungen bei der Weitergabe kann es bis zu zwei Minuten dauern, bis ein Anruf bei „device.get“ für ein neu registriertes Gerät gibt die Gerätedetails zurück.
Wenn Ihr Workflow die Details erfordert, bevor der Endnutzer das Gerät verwenden kann oder Arbeitsprofil zu erstellen, sollten Sie einen Fortschrittsbildschirm in Ihrem DPC verwenden und warten, der Aufruf erfolgreich ist.
Überlegungen zur Implementierung des Modus „Profilinhaber“
Hier sind einige Dinge, die Sie beim DPC schreiben, um den Profilinhaber zu implementieren verwendet werden.
Persönlichen DPC entfernen oder deaktivieren
Beim Bereitstellen des Betriebsmodus des Profilinhabers wird der DPC ausgeführt im privaten Profil und initiiert den Prozess zum Erstellen eines Arbeitsprofils. Sobald das Arbeitsprofil erstellt wurde, wird auch der DPC innerhalb der Arbeit ausgeführt zu erstellen. Der DPC im Arbeitsprofil schließt den Bereitstellungsprozess ab. Bei sollte der DPC im persönlichen Profil sich selbst oder das Gerät deaktivieren, sollte der Nutzer es entfernen.
Nutzer entfernt den persönlichen DPC
- Der persönliche DPC wartet auf
ACTION_MANAGED_PROFILE_PROVISIONED
Bei Geräten mit Android 5.1 sollte der persönliche DPC stattdessen aufACTION_MANAGED_PROFILE_ADDED
) - Der persönliche DPC initiiert eine Deinstallationsanfrage.
ACTION_UNINSTALL_PACKAGE
Dadurch wird der Nutzer aufgefordert, den persönlichen DPC zu deinstallieren. Für den optimalen Nutzer sollte die Deinstallation während der Bereitstellung erfolgen.
Persönlicher DPC deaktiviert sich selbst
- Der persönliche DPC wartet auf
ACTION_MANAGED_PROFILE_PROVISIONED
Bei Geräten mit Android 5.1 sollte der persönliche DPC stattdessen aufACTION_MANAGED_PROFILE_ADDED
) - Der persönliche DPC sollte gegebenenfalls die Administratorberechtigungen für Geräte freigeben. bevor sie sich selbst deaktivieren.
- Der persönliche DPC initiiert einen
setApplicationEnabledSetting
Deaktivierungsanfrage mit derCOMPONENT_ENABLED_STATE_DISABLED
. - Der Nutzer kann den persönlichen DPC in Google Play wieder aktivieren.
Hinweise zur Implementierung für den Modus „Geräteinhaber“
Folgendes sollten Sie beim Erstellen Ihres DPC berücksichtigen. um den Betriebsmodus „Geräteeigentümer“ zu implementieren.
Gerät muss neu sein oder auf die Werkseinstellungen zurückgesetzt werden
Sie müssen den Betriebsmodus „Geräteeigentümer“ bei der Ersteinrichtung bereitstellen eines neuen Geräts oder nach dem Zurücksetzen auf die Werkseinstellungen. Der Modus „Geräteeigentümer“ kann nicht die zu einem anderen Zeitpunkt auf einem Gerät bereitgestellt werden.
Der Geräteeigentümermodus gibt dem DPC die vollständige Kontrolle über ein Gerät. Bei Bereitstellung Der Modus "Geräteinhaber" wurde nach der Ersteinrichtung zugelassen:
- Malware kann möglicherweise einen Geräteeigentümer erstellen und das Gerät übernehmen.
- Datenschutzprobleme können entstehen, wenn bereits einige Nutzerdaten oder Apps aktiviert waren auf dem Gerät.
Modus "Geräteinhaber" nur auf unternehmenseigenen Geräten einrichten
Sie sollten den Modus „Geräteeigentümer“ nur auf Geräten bereitstellen, die Sie als die dem Unternehmen Ihres Kunden gehören. Sie können dies überprüfen, indem Sie eindeutige Gerätekennung (z. B. Seriennummer) oder durch Verwendung einer speziellen Gruppe von Konten, die für die Geräteregistrierung über Ihren EMM-Anbieter autorisiert sind .
Wenn Sie die Unternehmensinhaberschaft eines Geräts nicht bestätigen können, müssen Sie eine Sicherheitsmaßnahme erstellen damit der Geräteeigentümermodus nicht versehentlich bereitgestellt wird. Beispiel: können Sie den Gerätenutzer auffordern, die Aktion zu bestätigen oder eine bestimmte Aktion auszuführen. bevor Sie den Modus „Geräteinhaber“ einrichten.
System-Apps aktivieren
Wenn der DPC ein Arbeitsprofil bereitstellt, können alle System-Apps ohne Launcher-Symbole werden als kritisch für das Gerät eingestuft und dürfen automatisch ausgeführt werden. im Arbeitsprofil. System-Apps mit Launcher-Symbolen werden als optional und Sie können entscheiden, ob Sie sie aktivieren möchten.
System-Apps über Google Play aktivieren
Nutzer können System-Apps über Google Play aktivieren, um App-Updates sofort zu erhalten. App-Updates, sobald sie verfügbar sind.
System-Apps aktivieren, die Android Framework APIs verwenden
Wenn Sie möchten, dass Nutzer System-Apps sehen, sobald sie ihre Geräte verwenden,
System-Apps im Rahmen der Gerätebereitstellung aktivieren Der DPC ermöglicht
System-Apps nach Paketname oder Absicht mithilfe von
DevicePolicyManager.enableSystemApp()
Es gibt verschiedene Möglichkeiten, die System-Apps zu ermitteln, die du aktivieren und präsentieren möchtest in der EMM-Konsole an IT-Administratoren.
System-App-Kataloge erstellen
Bei dieser Methode bestimmt jedes Gerät, welche Apps auf dem Gerät installiert sind, und sendet an die EMM-Konsole senden. In der EMM-Konsole wird dies Daten beim Erstellen von Geräterichtlinien, mit denen der IT-Administrator für einzelne Apps festlegen.
Wenn das Arbeitsprofil noch nicht auf dem Gerät eingerichtet ist, rufen Sie eine Liste mit alle Apps mit Launcher-Symbolen auf einem Gerät
queryIntentActivities()
:private List<ResolveInfo> getAppsWithLauncher() { Intent i = new Intent(Intent.ACTION_MAIN); i.addCategory(Intent.CATEGORY_LAUNCHER); return getPackageManager().queryIntentActivities(i, 0); }
Wenn das Arbeitsprofil bereits auf dem Gerät bereitgestellt ist, rufen Sie eine Liste mit alle Apps im Arbeitsprofil über
PackageManager.GET_DISABLED_COMPONENTS
undPackageManager.GET_UNINSTALLED_PACKAGES
Sie finden System-Apps in der App-Liste, indem Sie
FLAG_SYSTEM
, Gibt an, ob eine App im System-Image des Geräts installiert ist.
Vorteile:
- Bietet IT-Administratoren einen umfassenden Überblick über die Apps auf allen Geräten.
- Sie können genau steuern, welche Apps aktiviert werden.
Nachteile:
- Da für jedes Gerät ein anderer App-Katalog vorhanden ist, ist es schwierig, ein Modell anzuwenden für die Konfiguration einzelner Richtlinien auf mehrere Gerätetypen.
- Die Anzahl der OEM-spezifischen Apps zu präsentieren, kann eine Herausforderung sein, eine sinnvolle Möglichkeit für IT-Administratoren.
System-Apps nach Funktionen kategorisieren
Wenn ein IT-Administrator eine System-App für eine Gruppe von Geräten aktivieren möchte, Sie wählen eine generische App basierend auf ihren Funktionen aus; z. B. „System“ Browser.“ Der DPC lässt dann alle System-Apps für diesen Intent zu.
Vorteile:
- Einfache, funktionsbasierte Aktivierung für IT-Administratoren.
- Sorgt für einheitliche Funktionalität auf einer Vielzahl von Geräten (zumindest für gängige Anwendungsfälle).
Nachteile:
- Beschränkt System-Apps auf diejenigen, die auf allen Gerätetypen unterstützt werden.
- IT-Administratoren möchten möglicherweise nur eine OEM-Version einer App bereitstellen, z. B. Samsung®-Browser), aber nicht mit einem anderen (z. B. LG®-Browser).
- IT-Administratoren möchten vielleicht nicht mehrere Apps installieren, wenn mehrere Intent-Handler vorhanden sind.
Nur genehmigte System-Apps werden unterstützt
Sie arbeiten mit dem OEM zusammen, um bestimmte OEM-Pakete zu identifizieren und nur diese zu unterstützen. in der EMM-Konsole. So können Sie auch die verwalteten Konfigurationen für die OEM-App, die sonst nicht bekannt wären, weil die Die OEM-App wird nicht bei Google Play gehostet.
Vorteile:
- Vereinfacht den Integrationsablauf erheblich und beseitigt Grenzfälle die bei den ersten beiden Optionen problematisch sind.
- Sie können die verwalteten Konfigurationen für die OEM-App katalogisieren und präsentieren. in der EMM-Konsole für IT-Administratoren.
- Ermöglicht enge Beziehungen zu OEMs für die Unterstützung von Flagship-Geräten.
Nachteile:
- Dies ist weniger skalierbar und reduziert die Auswahlmöglichkeiten für Verbraucher.
Szenarien für Ihren DPC testen
Test-DPC ist eine Open-Source-Software App von Google zum Testen von Unternehmensfunktionen in Ihrer DPC-App. Test-DPC ist verfügbar von github oder Google Play Mit Test-DPC können Sie:
- Funktionen in Android simulieren
- Richtlinien festlegen und erzwingen
- App- und Intent-Einschränkungen festlegen
- Arbeitsprofile einrichten
- Vollständig verwaltete Android-Geräte einrichten
Der Test-DPC ist in erster Linie dazu gedacht, Ihr Unternehmen zu testen eine Lösung für Android haben, können Sie sie auch als Quelle für Beispielcode für Android verwenden. Funktionen.
Nutzerverwaltung anpassen
Während der Gerätebereitstellung wird auf der Systembenutzeroberfläche eine Standardfarbe in die Statusleiste und ein Standardlogo oben auf dem Bildschirm. Benutzerdefinierte Farben festlegen und Logos, um einen einheitlichen visuellen Übergang zwischen Ihrem DPC und dem Systemschnittstellen oder erlauben Administratoren dies über die EMM-Konsole. Beispiel: können Administratoren ein Firmenlogo hochladen oder das Aussehen von Bildschirmen anpassen, auf denen Benachrichtigungen.
Ihr DPC erzwingt die Farb- und Logoauswahl mithilfe der
DevicePolicyManager.EXTRA_PROVISIONING_MAIN_COLOR
und
DevicePolicyManager.EXTRA_PROVISIONING_LOGO_URI
Extras.
Wenn Sie eine benutzerdefinierte Farbe festlegen möchten, verwenden Sie
EXTRA_PROVISIONING_MAIN_COLOR
um eine Ganzzahl festzulegen, die die vorherrschende Farbe angibt, die auf dem Gerät angezeigt wird
Nutzerverwaltung. Setzen Sie das Extra (Konstante) in einen Intent mit
ACTION_PROVISION_MANAGED_PROFILE
oder
ACTION_PROVISION_MANAGED_DEVICE
Informationen zur Darstellung der Ganzzahlen finden Sie unter
Farbe:
Ein Beispiel finden Sie unter
MAIN_COLOR
in der TestDPC-App.
Wenn Sie ein benutzerdefiniertes Logo festlegen möchten, verwenden Sie
EXTRA_PROVISIONING_LOGO_URI
um ein Bild festzulegen, das während des Geräts am oberen Bildschirmrand angezeigt wird
Nutzerverwaltung. Setzen Sie das Extra (Konstante) in einen Intent mit
ACTION_PROVISION_MANAGED_PROFILE
oder
ACTION_PROVISION_MANAGED_DEVICE
Achten Sie darauf, dass das Bild eine für das Gerät geeignete Pixeldichte hat.
Ein Beispiel finden Sie unter
LOGO_URI
in der TestDPC-App.
QR-Code-Methode
Mit der QR-Code-Bereitstellungsmethode wird der Modus für den Geräteeigentümer eingerichtet und konfiguriert. um einen QR-Code mit dem Einrichtungsassistenten zu scannen. Der QR-Code enthält eine Nutzlast von Schlüssel/Wert-Paare mit allen Informationen, die der DPC für die Bereitstellung benötigt auf einem Gerät.
Ihre EMM-Konsole sollte IT-Administratoren die Möglichkeit bieten, QR-Codes zu erstellen für die Geräte, die bereitgestellt werden sollen. Der IT-Administrator sendet die QR-Codes und die Endnutzer stellen ihre Geräte bereit, indem sie die QR-Codes.
Anwendungsfälle für die Bereitstellung von QR-Codes
Einige Geräte, z. B. Tablets, unterstützen kein NFC. Die QR-Code-Bereitstellung ist eine bequeme Möglichkeit, eine verteilte Flotte von Geräten bereitzustellen, die keine NFC: Ein IT-Administrator kann QR-Codes an seine Nutzer senden, um nutzergeführte Aktionen zu ermöglichen. Nutzerverwaltung.
Für die Bereitstellung von QR-Codes ist keine Google-Identität, z. B. eine Google-Domain, erforderlich oder Google-Konto. Organisationen, die Android nutzen, aber nicht Google nutzen Workspace, haben keine Google-Identität.
Wie bei NFC ermöglicht die QR-Code-Bereitstellung Kiosk- und Einmalgebrauchsbereitstellungen, bei denen Eine Google-Identität (oder eine andere Identität) ist weder erforderlich noch wünschenswert. Beispiel: Kioskgerät in einem Geschäft gehört niemandem und sollte keinen Endnutzer haben Identität.
QR-Code erstellen
Ein gültiger QR-Code für die Bereitstellung von QR-Codes ist ein UTF-8-codiertes JavaScript®-Objekt Notation-String (JSON-String). Sie können die folgenden Eigenschaften in einen gültigen QR-Code einfügen:
Immer erforderlich
Erforderlich, wenn noch kein DPC auf dem Gerät installiert ist
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
Empfohlen, wenn das Gerät noch nicht mit dem WLAN verbunden ist
Optional
EXTRA_PROVISIONING_LOCALE
EXTRA_PROVISIONING_TIME_ZONE
EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_COOKIE_HEADER
EXTRA_PROVISIONING_LOCAL_TIME
EXTRA_PROVISIONING_WIFI_HIDDEN
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE
EXTRA_PROVISIONING_WIFI_PROXY_HOST
EXTRA_PROVISIONING_WIFI_PROXY_PORT
EXTRA_PROVISIONING_WIFI_PROXY_BYPASS
EXTRA_PROVISIONING_WIFI_PAC_URL
EXTRA_PROVISIONING_SKIP_ENCRYPTION
In diesem Beispiel wird ein gültiger QR-Code erstellt:
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":
"com.emm.android/com.emm.android.DeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":
"gJD2YwtOiWJHkSMkkIfLRlj-quNqG1fb6v100QmzM9w=",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":
"https://path.to/dpc.apk",
"android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,
"android.app.extra.PROVISIONING_WIFI_SSID": "GuestNetwork",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
"dpc_company_name": "Acme Inc.",
"emm_server_url": "https://server.emm.biz:8787",
"another_custom_dpc_key": "dpc_custom_value"
}
}
Bereitstellung per QR-Code
- Der Einrichtungsassistent fordert den Nutzer sechsmal auf, auf den Begrüßungsbildschirm zu tippen. Die Tippen muss an derselben Stelle auf dem Bildschirm erfolgen.
- Der Einrichtungsassistent fordert den Nutzer auf, eine Internetverbindung herzustellen, damit die Einrichtung kann der Assistent einen QR-Code-Leser herunterladen.
- Die Google Play-Dienste laden ein Modul herunter, das eine QR-Code-Erkennung enthält. Suchmaschine.
- Der Nutzer scannt den QR-Code, den er von seinem IT-Administrator erhalten hat.
- Der Einrichtungsassistent lädt Ihre DPC-App herunter und initiiert den Geräteeigentümer.
Bereitstellungsprozess mithilfe von
ACTION_PROVISION_MANAGED_DEVICE
Methode für Managed Google Play-Konten
Ein DPC kann die Bereitstellungsmethode für Managed Google Play-Konten verwenden, um Konten einzurichten. Geräteinhabermodus oder Profilinhabermodus auswählen. Diese Bereitstellungsmethode ist ausgerichtet die Google Workspace nicht nutzen.
Bei der Bereitstellungsmethode für Managed Google Play-Konten wird die Methode DPC-Supportbibliothek. Diese Clientbibliothek sorgt für einen reibungslosen Betrieb von Managed Google Play. Konten. Außerdem bleibt die Kompatibilität mit zukünftigen Updates der verwalteten Bereitstellungsprozess für Google Play-Konten
Voraussetzungen für die Bereitstellung von Geräten
- Die Unternehmens-ID wird mit einer EMM-Identität und der ESA erstellt und registriert. festgelegt ist, wie in Erstellen Sie ein Unternehmen und registrieren Sie es.
- Die Unternehmensidentität des Nutzers ist in Ihrer EMM-Konsole bekannt.
- Der Nutzer kann sich mit den von Ihrem EMM-Anbieter akzeptierten Anmeldedaten in der DPC-App anmelden in der Regel die Anmeldedaten für die geschäftliche E-Mail-Adresse.
Modus für Profilinhaber einrichten
Sie können den Betriebsmodus des Profilinhabers auf einem Gerät bereitstellen, die in einem BYOD-Szenario als privates Gerät verwendet werden.
- Der Nutzer lädt Ihren DPC manuell von Google Play herunter und startet ihn.
- Der DPC stellt das Arbeitsprofil mithilfe von
ACTION_PROVISION_MANAGED_PROFILE
- Schließen Sie die abschließenden Einrichtungsschritte ab.
Modus „Geräteeigentümer“ einrichten
Sie müssen den Betriebsmodus "Geräteeigentümer" bei der Ersteinrichtung eines Geräts bereitstellen, oder auf die Werkseinstellungen zurückgesetzt haben. Der Modus "Geräteinhaber" kann nicht bereitgestellt werden auf jederzeit auf ein Gerät zugreifen.
Während der Geräteeinrichtung gibt der Nutzer ein spezielles DPC-spezifisches Token ein, wenn
aufgefordert, ein Konto hinzuzufügen. Ein Token hat das Format afw#DPC_IDENTIFIER
. Für
Ein EMM-Anbieter namens ACME würde afw#acme
den Standard-DPC des ACME-EMM installieren.
Jeder EMM-Anbieter muss vor der Verwendung eine spezifische DPC-Kennung von Google anfordern.
während der Bereitstellung.
- Der Nutzer schaltet ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät und den Einrichtungsassistenten ein Markteinführungen.
- Wenn der Nutzer aufgefordert wird, ein Konto hinzuzufügen,
Format
afw#DPC_IDENTIFIER
, das den DPC für Ihren EMM-Anbieter identifiziert. - Mithilfe der DPC-Kennung im Token fügt der Einrichtungsassistent eine temporäre Google-Konto auf dem Gerät. Dieses temporäre Konto dient nur zum Herunterladen den DPC für Ihr EMM aus Google Play. Der DPC wird in die letzten Einrichtungsschritte.
- Der DPC stellt das Gerät mithilfe von
ACTION_PROVISION_MANAGED_DEVICE
- Schließen Sie die abschließenden Einrichtungsschritte ab.
Abschließende Einrichtungsschritte für alle Betriebsmodi
Führen Sie diese Schritte erst nach der Einrichtung aus der Modus „Profilinhaber“ oder „Geräteinhaber“ abgeschlossen ist.
Der DPC stellt sicher, dass das Gerät Managed Google Play-Konten unterstützt indem Sie die DPC-Supportbibliothek initialisieren:
AndroidForWorkAccountSupport androidForWorkAccountSupport = new AndroidForWorkAccountSupport(context, admin); androidForWorkAccountSupport.ensureWorkingEnvironment(callback);
Wenn Sie den Modus "Geräteinhaber" auf einem Gerät einrichten, temporäres Google-Konto, das zum Herunterladen des DPC hinzugefügt wurde.
Der Nutzer meldet sich mit seinen EMM-Anmeldedaten beim DPC an. Dies sind Anmeldedaten für die geschäftliche E-Mail-Adresse.
Der DPC fordert Anmeldedaten für das Managed Google Play-Konto für die authentifizierten Unternehmensnutzer über die EMM-Konsole.
Wenn in der EMM-Konsole keine Google Play-
userId
für den Nutzer vorhanden ist, wird einen neuen Nutzer durch Aufrufen vonUsers.insert()
Wenn Sie den Modus "Geräteinhaber" verwenden, geben Sie ein Gerätekonto an (für Bereitstellungen dedizierten Geräte) oder ein Nutzerkonto (für unternehmenseigene Bereitstellungen).Legen Sie die Geräterichtlinien fest, indem Sie folgenden Befehl aufrufen:
Devices.update
Sie sollten die Richtlinie festlegen, bevor Sie das Managed Google Play-Konto hinzufügen zu: da die Richtlinie andernfalls für kurze Zeit nicht angewendet wird. nach dem Hinzufügen des Kontos zum Gerät.Die EMM-Konsole fordert die Kontoanmeldedaten für
userId
folgendermaßen an: AnrufenUsers.generateAuthenticationToken()
Dieses Authentifizierungstoken ist kurzlebig und kann nicht wiederverwendet werden. Der DPC sollte Das Konto wird mithilfe des Tokens programmatisch hinzugefügt. Nutzer).Die Google Play EMM API gibt das Authentifizierungstoken an die EMM-Konsole zurück.
Die EMM-Konsole leitet das Authentifizierungstoken an den DPC weiter.
Der DPC fügt dem Gerät das Managed Google Play-Konto mithilfe von
androidForWorkAccountSupport.addAndroidForWorkAccount(token, accountAddedCallback);
Methode für das Google-Konto
Ein DPC kann die Bereitstellungsmethode für ein Google-Konto verwenden, um den Geräteeigentümer einzurichten oder Profilinhabermodus auswählen. Bei der Bereitstellungsmethode für das Google-Konto Der DPC führt den Nutzer durch die Bereitstellungsschritte, nachdem er seine Google-Konto anmelden.
Wenn ein Nutzer die Anmeldedaten für sein Google-Konto eingibt, gilt Folgendes:
- Das Nutzerkonto wird vom Google-Authentifizierungsserver authentifiziert.
- Der Authentifizierungsserver kommuniziert dann mit dem Unternehmensserver, Die Domain des Kontos ist entweder als Google Workspace-Domain oder als Von EMM verwaltete Domain.
- In diesem Fall lädt das System automatisch den mit der Domain verknüpften DPC herunter. aus Google Play herunterladen und installiert werden.
Modus für Profilinhaber einrichten
Sie können den Betriebsmodus "Profilinhaber" bei der Ersteinrichtung eines oder wenn der Nutzer über Einstellungen > Konto hinzufügen.
- Die Kontoauthentifizierung wird von einem Nutzer über den Einrichtungsassistenten oder über Einstellungen > Konto hinzufügen.
- GMSCore initiiert die Bereitstellung von Arbeitsprofilen über
ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE
. - Der DPC wird automatisch auf das Gerät heruntergeladen und über die
ACTION_GET_PROVISIONING_MODE
gestartet Handler, um zu prüfen, ob die Bereitstellung von Arbeitsprofilen vom DPC unterstützt wird.EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
– Zusätzliche Informationen zum Arbeitsprofil, z. B. die E-Mail-Adresse Der DPC erhält hier als Teil dieses Bundles auch is_setup_assistant. Dieses Bundle wird in die HandlerACTION_GET_PROVISIONING_MODE
undACTION_ADMIN_POLICY_COMPLIANCE
aufgenommen.EXTRA_PROVISIONING_ACCOUNT_TO_MIGRATE
– Name des authentifizierten Kontos, das in das neue Arbeitsprofil migriert werden soll
- Die Plattform stellt Arbeitsprofile bereit.
- Wenn das Arbeitsprofil bereitgestellt wird, empfängt der DPC die Nachricht
ACTION_PROFILE_PROVISIONING_COMPLETE
ACTION_ADMIN_POLICY_COMPLIANCE
des DPC im Arbeitsprofil gestartet. Sobald das Arbeitsprofil erstellt ist, wird der DPC auch im Arbeitsprofil ausgeführt. Der DPC veröffentlicht Richtlinien für damit sichergestellt ist, dass sich das Gerät nicht in einem gehackten und überprüft, ob die Richtlinien erzwungen werden (z. B. das Erfordernis einer Passwort). - Der DPC im privaten Profil deaktiviert sich selbst oder der Nutzer entfernt ihn.
Modus „Geräteinhaber“ oder COPE einrichten
Sie müssen den Betriebsmodus "Geräteeigentümer" bei der Ersteinrichtung eines Geräts bereitstellen, auf einem neuen Gerät oder nach dem Zurücksetzen auf die Werkseinstellungen. Der Modus "Geräteinhaber" kann nicht hinzugefügt werden zu jederzeit ändern.
- Die Kontoauthentifizierung wird von einem Nutzer über den Einrichtungsassistenten gestartet.
- GMSCore initiiert die Bereitstellung des Geräteinhabers mithilfe von
ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE
. 3.Der DPC wird automatisch auf das Gerät heruntergeladen und mit demGET_PROVISIONING_MODE
-Handler gestartet, um den gewünschten Bereitstellungsmodus auszuwählen.EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
: Zusätzliche Informationen für das Arbeitsprofil, z. B. Sprache, WLAN oder E-Mail-Adresse. Der DPC erhält hier als Teil dieses Bundles auch is_setup_assistant. Dieses Set wird inACTION_GET_PROVISIONING_MODE
enthalten sein undACTION_ADMIN_POLICY_COMPLIANCE
-Handler.
- Die Plattform stellt das Gerät im gewünschten Bereitstellungsmodus bereit.
- Wenn das Gerät bereitgestellt wird, empfängt der DPC diese Broadcasts und der
ACTION_ADMIN_POLICY_COMPLIANCE
-Handler des DPC wird gestartet: - Für den DPC wird der Wert
Global.DEVICE_PROVISIONED
verwendet. um zu überprüfen, ob das Gerät neu ist oder auf die Werkseinstellungen zurückgesetzt (nicht eingerichtet) ist:- 0 – Bereitstellung aufgehoben
- 1 – Bereitgestellt.
- Der DPC schließt den Bereitstellungsprozess ab, indem er Richtlinien für diesen Dienst überträgt. verwalteten Geräts, um sicherzustellen, dass es sich nicht in einem manipulierten Zustand befindet, und Prüfen der Durchsetzung der Richtlinien (z. B. Passworteingabe)
Überlegungen zur Implementierung der Google-Konto-Methode
Der DPC sollte den Authentifizierungsvorgang für das Google-Konto erkennen, indem er nach Folgendem sucht: bestimmte Extras in der Launch-Intent, die verwendet wurde (siehe
LaunchIntentUtil
):- Konto vom Typ
android.accounts.Account
— Gibt an, dass das Konto wurde über den Einrichtungsassistenten oder über Einstellungen > Konto hinzufügen, Dabei muss der gestartete DPC das Gerät oder Profil verwalten. is_setup_wizard
vom Typ „Boolesch“ – Falls „true“, wurde der DPC gestartet in vor Abschluss des Einrichtungsassistenten Einstellungen > Fügen Sie ein Konto oder einen anderen Ablauf hinzu.
Eine Prüfung, ob der DPC im Rahmen der Google-Konto-Methode gestartet wurde lautet:
boolean isSynchronousAuthLaunch(Intent launchIntent) { return launchIntent.hasExtra("is_setup_wizard"); }
- Konto vom Typ
Der DPC sollte
finish()
nicht aufrufen. bevor die Einrichtung abgeschlossen ist. Sie sollte auch einen positiven Ergebniscode zurückgeben. (z. B.RESULT_OK
), da der DPC mitstartActivityForResult()
und wartet auf ein Ergebnis.Der DPC sollte auf einen Ergebniscode des Bereitstellungsprozesses warten, bevor er
finish()
wird aufgerufen, wenn der DPC-Einrichtungsvorgang den Punkt erreicht, an dem eineACTION_PROVISION_*
-Intent. Verwenden Sie die MethodestartActivityForResult()
undonActivityResult()
Callbacks beim Starten vonACTION_PROVISION_*
-Intents. (SieheLaunchActivity
undSetupSyncAuthManagement
.Da der Einrichtungsprozess möglicherweise asynchron ist, zeigt der DPC können wir uns nicht auf den Ergebniscode
RESULT_OK
verlassen, um anzuzeigen, erfolgreich war. Sie können sich nur aufDeviceAdminReceiver
Callbacks bei erfolgreicher Bereitstellung.RESULT_CANCELED
gibt an, dass der Nutzer in einem synchronen Teil des Einrichtungsablaufs gesichert und der DPC sollte in diese Richtung zu lenken.In diesem Beispiel startet der DPC die Bereitstellung und wartet auf den Ergebniscode einer Aktivität:
Intent intent = new Intent(ACTION_PROVISION_MANAGED_PROFILE); startActivityForResult(intent, REQUEST_MANAGED_PROFILE); ... @Override public void onActivityResult(int req, int res, Intent i) { if (req == REQUEST_MANAGED_PROFILE) { if (res == Activity.RESULT_OK) { setResult(Activity.RESULT_OK); finish(); } else { Toast.makeText(this, “Provisioning failed”, Toast.LENGTH_SHORT).show(); } } }
Der DPC sollte nicht versuchen, den Betriebsmodus „Geräteeigentümer“ einzurichten, wenn Das Gerät wurde bereits bereitgestellt (siehe
ProvisioningStateUtil.isDeviceProvisioned()
) In diesem Beispiel prüft der DPC, ob das Gerät bereitgestellt ist:public static boolean isDeviceProvisioned(Context context) { ContentResolver cr = context.getContentResolver(); return Settings.Global.getInt(cr, DEVICE_PROVISIONED, 0) != 0; }
Optional. Der DPC kann die Methode
EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
wenn Sie die Bereitstellung starten, um Statusinformationen an die eigeneDeviceAdminReceiver
(was im Fall des Profilinhabers im Arbeitsprofil ausgeführt wird). TestDPC verwendet diese zusätzliche nach der Erstellung eines anderen Aktivitätssatzes im Google-Kontoablauf die Bereitstellung abgeschlossen ist. Details finden Sie unterDeviceAdminReceiver
public class DeviceAdminReceiver extends android.app.admin.DeviceAdminReceiver { @Override public void onProfileProvisioningComplete(Context context, Intent intent) { // Retrieve the admin extras bundle, which we can use to determine the original context for // Test DPC's launch. PersistableBundle extras = intent.getParcelableExtra( EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE); ...
Zur Einrichtung eines Arbeitsprofils muss der DPC das hinzugefügte Konto in die neuen Arbeitsprofil. Dazu sollte der DPC das Konto übergeben, das im Startabsicht für
ACTION_PROVISION_MANAGED_PROFILE
Der DPC sollte dem Nutzer einen klaren Call-to-Action (z. B. Schaltfläche „Fertigstellen“), um die App am Ende der Einrichtung zu beenden, damit der Nutzer nicht weiter daran erinnert. sind sie in einer Sackgasse angelangt.
Der DPC sollte das Design oder die Layoutbibliothek des Einrichtungsassistenten verwenden, reibungslos und gut integriert.
NFC-Methode
Ein DPC kann die NFC-Bereitstellungsmethode verwenden, um den Modus „Geräteinhaber“ einzurichten. Im NFC-Bereitstellungsmethode oder NFC-Tag, erstellen Sie eine NFC-Programmierer-App, enthält die anfänglichen Richtlinien sowie die WLAN-Konfiguration, -Einstellungen und Bereitstellungsdetails, die vom Kunden zum Konfigurieren des Geräteeigentümers benötigt werden verwendet werden. Wenn Ihre oder Ihr Kunde die NFC-Programmierer-App ein Android-Gerät nutzen, wird dieses Gerät zum Programmierergerät.
Um ein Gerät bereitzustellen, benötigt der IT-Administrator ein neues Gerät aus dem Lieferumfang. und drückt es an das Programmiergerät oder NFC-Tag. Der Bump wird übertragen mit dem Gerät verbunden, damit es mit dem Internet verbunden ist und die Richtlinien und Einstellungen zu finden und festzulegen. Das Gerät wird dann von Ihrem DPC verwaltet.
Nach der Bereitstellung eines Geräts wird in Google Play für kurze Zeit „Nicht verwaltet“ angezeigt statt genehmigter Apps und Sammlungen, Display. Diese Verzögerung kann von einigen Minuten bis zu einer Stunde dauern.
NFC-Programmierer-App und Programmiergerät erstellen
Auf Geräten mit Android 10 oder älter kann Android Beam verwendet werden, um eine NFC-Bereitstellung ausführen:
- Laden Sie die NFC-Programmierer-Beispiel-App herunter. Sie können das Beispiel unverändert ohne Ergänzungen verwenden oder für Ihre Standardwerte.
- Installiere die Programmierer-App auf dem ausgewählten Gerät.
- Starten Sie die NFC Programmierer App und wählen Sie Standardeinstellungen laden aus.
für
com.example.android.apis
. (Dieser Text kann je nach Standardeinstellung Parameter, die Sie festgelegt haben.)
Kundengerät bereitstellen
- Stoßen Sie das Programmiergerät oder das NFC-Tag mit einem neuen oder einem Gerät an, das bereits auf die Werkseinstellungen zurücksetzen.
- Vergewissern Sie sich, dass das Gerät auf dem ersten Willkommensbildschirm angezeigt wird,
die beim Start angezeigt wird. Der Text wird in
Ready to send:{...}
angegeben in der Programmierer-App. - Warten Sie, während der DPC Folgendes ausführt:
- Verschlüsselt das Gerät.
- Bei einem CDMA-Gerät (Code Division Multiple Access): Telefon, während eine Telefonie-Benutzeroberfläche zu sehen ist (keine Interaktion erforderlich).
- Richtet die WLAN-Verbindung ein.
- Lädt die APK-Datei für com.example.android.apis.
- Installiert com.example.android.apis.
- Legt den Beispielgeräteadministrator in com.example.android.apis als Geräteinhaber fest
- Zeigt einen erfolgreichen „Toast“ an wenn der Geräteeigentümer aktiviert wird.
- Nach der Rückkehr zur Startseite (Einrichtungsassistent wird automatisch übersprungen)
Überprüfen Sie, ob com.example.android.apis als Geräteeigentümer festgelegt ist:
- Unter Einstellungen > Sicherheit > Geräteadministratoren, stellen Sie sicher, dass das Beispielgerät Der Administrator kann nicht entfernt werden.
- Unter Einstellungen > Nutzer > Nutzer und Profile > Sie (Inhaber), Eigentümer ist das einzige verfügbare Konto (ein Gerät kann nur ein aktives Konto haben) jeweils den Eigentümer des Geräts.
Zusätzliche Ressourcen
Erweiterte NFC beschreibt Themen wie das Arbeiten mit verschiedenen Tag-Technologien, das Schreiben in NFC Tags und die Weiterleitung im Vordergrund.
Manuelle DPC-Installationsmethode
So richten Sie den Modus „Profilinhaber“ mit der manuellen Bereitstellungsmethode für DPC-Installationen ein: Der Nutzer lädt Ihren DPC von Google Play herunter und installiert ihn. Dann gibt der DPC führt den Nutzer durch die weiteren Schritte zur Einrichtung des Profilinhabers für dem verwalteten Google-Konto.
Der DPC kann das verwaltete Google-Konto vor oder nach dem Erstellen hinzufügen dem Arbeitsprofil. Der DPC kann beispielsweise ein Arbeitsprofil auf der Grundlage eines EMM-Anmeldedaten des Nutzers, anstatt nach dem verwalteten Google-Konto fragen zu müssen .
Modus für Profilinhaber einrichten
Fügen Sie zuerst das verwaltete Google-Konto hinzu
- Der Nutzer lädt Ihren DPC von Google Play herunter und installiert ihn.
- Der DPC fügt das verwaltete Google-Konto hinzu, bevor das Arbeitsprofil erstellt wird
mit
AccountManager.addAccount()
. - Der DPC beginnt im persönlichen Profil und initiiert den Prozess,
ein Arbeitsprofil erstellen mit:
ACTION_PROVISION_MANAGED_PROFILE
– Das Arbeitsprofil wird bereitgestellt.EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
– Zusätzliche Informationen für das Arbeitsprofil, z. B. Sprache, WLAN, E-Mail-Adresse Adresse.EXTRA_PROVISIONING_ACCOUNT_TO_MIGRATE
– Name des authentifizierten Kontos, das in das neue Werk migriert werden soll zu erstellen.
- Der DPC im Arbeitsprofil schließt den Bereitstellungsprozess ab. Sobald die Arbeit erstellt wurde, wird der DPC auch im Arbeitsprofil ausgeführt. Der DPC in schließt das Arbeitsprofil den Bereitstellungsprozess ab, indem es Richtlinien für dieses verwaltete Google-Konto und stellen Sie sicher, dass sich das Gerät nicht in einem gehackten und zu überprüfen, ob die Richtlinien erzwungen werden (z. B. die Anforderung einer Passwort).
- Wenn das Arbeitsprofil bereitgestellt wird, empfängt der DPC die Nachricht
ACTION_PROFILE_PROVISIONING_COMPLETE
- Den DPC im privaten Profil deaktiviert sich selbst oder der Nutzer entfernt sie.
Erstelle zuerst ein Arbeitsprofil
- Der Nutzer lädt Ihren DPC von Google Play herunter und installiert ihn.
- Der DPC beginnt im persönlichen Profil und initiiert den Prozess,
ein Arbeitsprofil erstellen mit:
ACTION_PROVISION_MANAGED_PROFILE
– Das Arbeitsprofil wird bereitgestellt.EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
– Zusätzliche Informationen für das Arbeitsprofil, z. B. Sprache, WLAN, E-Mail-Adresse Adresse.
- Der DPC fügt das verwaltete Google-Konto mithilfe von
AccountManager.addAccount()
- Der DPC empfängt die Nachricht
ACTION_PROFILE_PROVISIONING_COMPLETE
und liestEXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
- Der DPC im Arbeitsprofil schließt den Bereitstellungsprozess ab. Sobald das Arbeitsprofil erstellt wurde, wird auch der DPC innerhalb der Arbeit ausgeführt zu erstellen. Der DPC im Arbeitsprofil schließt den Bereitstellungsprozess ab, Richtlinien für dieses verwaltete Google-Konto zu senden, um sicherzustellen, nicht manipuliert wurde, und es wird geprüft, ob die Richtlinien erzwungen werden (z. B. die Eingabe eines Passworts).
- Der DPC aktiviert das Arbeitsprofil mithilfe von
DevicePolicyManager.setProfileEnabled()
- Den DPC im privaten Profil deaktiviert sich selbst oder der Nutzer entfernt sie.
-
Die Google-Konto-Methode in Android 5.1 unterstützt nur den Betriebsmodus "Profilinhaber" und kann vom Nutzer nur über Einstellungen > Konto hinzufügen. ↩