Geräte bereitstellen

Es gibt mehrere Möglichkeiten, Geräte bereitzustellen. Die Unternehmen Anforderungen bestimmen, welche Bereitstellungsmethoden Sie verwenden.

Grundlagen der Gerätebereitstellung

Szenarien für die Bereitstellung der Geräte, die Ihre Kunden wünschen (z. B. BYOD oder unternehmenseigen), um festzustellen, (z. B. die Modi „Geräteinhaber“ oder „Profilinhaber“). Genauso haben auch die Modi und die Android-Releases, die Sie unterstützen müssen, Methoden, die Sie implementieren werden.

Bereitstellungsszenarien

Bei einem unternehmenseigenen Bereitstellungsszenario besitzt das Unternehmen die Geräte der Mitarbeiter vollständig steuern können. Normalerweise stellen Organisationen für unternehmenseigene Geräte, bei denen es darum geht, die gesamte Infrastruktur streng zu überwachen und zu verwalten .

Unternehmen, die BYOD nutzen, eigene Geräte für die Arbeit nutzen und diese nutzen können, auf privilegierte Unternehmensinformationen und Anwendungen zugreifen können.

Betriebsarten

Unternehmenseigene Bereitstellungen werden vom Modus Geräteinhaber unterstützt der Geschäftstätigkeit. Unter Android wird die Verwaltungs-App als Geräterichtlinie bezeichnet. Controller (DPC). Der DPC erzwingt Richtlinien auf einem Android-Gerät und Als Geräteeigentümer verwaltet er das gesamte Gerät. Als Geräteeigentümer: kann der DPC Aktionen auf dem gesamten Gerät ausführen, z. B. und konfigurieren Sie globale Einstellungen und setzen Sie das Gerät auf die Werkseinstellungen zurück.

BYOD-Bereitstellungen werden vom Profilinhabermodus der . Über den DPC ermöglicht das Unternehmen private Geräte für die geschäftliche Nutzung Durch Hinzufügen eines Arbeitsprofils zum primären Nutzerkonto auf dem Gerät Die Arbeit -Profil ist mit dem Hauptnutzer, jedoch als separates Profil verknüpft. Als verwaltet der DPC nur das Arbeitsprofil auf dem Gerät haben Sie außerhalb des Arbeitsprofils eingeschränkte Kontrolle.

Bereitstellungsmethoden für Geräteeigentümer

Sie müssen den Betriebsmodus „Geräteeigentümer“ bei der Ersteinrichtung bereitstellen eines neuen Geräts oder nach dem Zurücksetzen auf die Werkseinstellungen. Der Modus „Geräteinhaber“ kann nicht bereitgestellt werden zu einem beliebigen anderen Zeitpunkt auf einem Gerät.

Je nach Anwendungsfall gibt es zwei Haupttypen von Bereitstellungsmethoden, Bereitstellungsmodus für Geräteeigentümer.

• In einem gerätegesteuerten Ablauf können IT-Administratoren NFC für die Bereitstellung großer Anzahl der Geräte. Dieser Ablauf kann für Managed Google Play-Konten oder Google Workspace verwendet werden Szenarien durchführen.
• In einem nutzergesteuerten Ablauf hängen die Optionen davon ab, verwendet Google Workspace.
  • In einem Google Workspace-Szenario fügt der Nutzer sein Google-Konto hinzu. während der Ersteinrichtung des Geräts. Der DPC muss den Nutzer durch die um den Geräteeigentümer einzurichten. Ein nutzergesteuerter Ablauf kann Endanwendenden dabei helfen, und ist auch eine Alternative, wenn Geräte kein NFC unterstützen.
  • Wenn eine Organisation Google Workspace nicht verwendet, sollten Sie das Managed Play Store-Konten.

Hinweis:Wenn Sie den Vertrieb Ihrer App auf bestimmte Länder in Wiedergabe, werden diese Einschränkungen bei der Bereitstellung des Geräteeigentümers ignoriert. Der DPC wird auch dann heruntergeladen, wenn sich das Gerät nicht in einem Zielland befindet.

Bereitstellungsmethoden für Profilinhaber

Die empfohlene Methode zum Bereitstellen des Betriebsmodus des Profilinhabers hängt von ob die Organisation Google Workspace verwendet.

• Im Fall von Google Workspace ist die empfohlene Methode eine Nutzergesteuerten Ablauf, bei dem der Nutzer sein Google-Konto hinzufügt, Der DPC führt den Nutzer durch die Schritte zum Einrichten des Profilinhabers.
• Wenn eine Organisation Google Workspace nicht verwendet, wird die empfohlene Methode Managed Play Store-Konten.

Die herkömmliche Methode, bei der die Nutzenden aufgefordert werden, den DPC manuell installieren, wird ebenfalls unterstützt. Dazu muss der Nutzer Ihren DPC von Google Play herunterladen und installieren, Dann führt der DPC den Nutzer durch den Rest des Prozesses, um die Profilinhaber.

Wichtige Unterschiede bei der Nutzerverwaltung in den verschiedenen Android-Versionen

Allgemeine Überlegungen zur Implementierung

Hier sind einige Dinge, die Sie beim Ihren DPC schreiben, unabhängig davon, welchen Betriebsmodus Sie implementieren.

Kompatibilität mit Google Play-Diensten

Die APK-Leitfaden für Google Play-Dienste weist Entwickler an, eine Versionsprüfung der Google Play-Dienste durchzuführen, API-Transaktionen durchführen. Weil versucht wurde, die Google Play-Dienste zu aktualisieren zu schwerwiegenden Störungen bei der Geräteeinrichtung führt, darf Ihr DPC nicht versuchen, die Google Play-Dienste zu aktualisieren, bevor die Gerätebereitstellung abgeschlossen ist.

Wichtige Punkte zur DPC-Kompatibilität mit den Google Play-Diensten:

• Der DPC sollte über die Google Play-Dienste ausgeführt werden, die mit einer auf einem bestimmten Gerät.
• Der DPC sollte in zukünftigen Versionen von Google Play nicht auf neuen Funktionen basieren Dienste, die zum Zeitpunkt der Gerätebereitstellung verfügbar sind.

Wenn die Gerätebereitstellung abgeschlossen ist, kann der DPC den Nutzer zum Aktualisieren auffordern Google Play-Dienste, damit der DPC die neuesten Funktionen verwenden kann. Wenn jedoch ein aus irgendeinem Grund nicht verfügbar ist, muss der DPC ordnungsgemäß auf die mit dem Gerät gelieferte Version.

Gerätedetails abrufen

Aufgrund von Verzögerungen bei der Weitergabe kann es bis zu zwei Minuten dauern, bis ein Anruf bei „device.get“ für ein neu registriertes Gerät gibt die Gerätedetails zurück.

Wenn Ihr Workflow die Details erfordert, bevor der Endnutzer das Gerät verwenden kann oder Arbeitsprofil zu erstellen, sollten Sie einen Fortschrittsbildschirm in Ihrem DPC verwenden und warten, der Aufruf erfolgreich ist.

Überlegungen zur Implementierung des Modus „Profilinhaber“

Hier sind einige Dinge, die Sie beim DPC schreiben, um den Profilinhaber zu implementieren verwendet werden.

Persönlichen DPC entfernen oder deaktivieren

Beim Bereitstellen des Betriebsmodus des Profilinhabers wird der DPC ausgeführt im privaten Profil und initiiert den Prozess zum Erstellen eines Arbeitsprofils. Sobald das Arbeitsprofil erstellt wurde, wird auch der DPC innerhalb der Arbeit ausgeführt zu erstellen. Der DPC im Arbeitsprofil schließt den Bereitstellungsprozess ab. Bei sollte der DPC im persönlichen Profil sich selbst oder das Gerät deaktivieren, sollte der Nutzer sie entfernen.

Nutzer entfernt den persönlichen DPC

1. Der persönliche DPC wartet auf ACTION_MANAGED_PROFILE_PROVISIONED Bei Geräten mit Android 5.1 sollte der persönliche DPC stattdessen auf ACTION_MANAGED_PROFILE_ADDED)
2. Der persönliche DPC initiiert eine Deinstallationsanfrage. ACTION_UNINSTALL_PACKAGE Dadurch wird der Nutzer aufgefordert, den persönlichen DPC zu deinstallieren. Für den optimalen Nutzer sollte die Deinstallation während der Bereitstellung erfolgen.

Persönlicher DPC deaktiviert sich selbst

1. Der persönliche DPC wartet auf ACTION_MANAGED_PROFILE_PROVISIONED Bei Geräten mit Android 5.1 sollte der persönliche DPC stattdessen auf ACTION_MANAGED_PROFILE_ADDED)
2. Der persönliche DPC sollte gegebenenfalls die Administratorberechtigungen für Geräte freigeben. bevor sie sich selbst deaktivieren.
3. Der persönliche DPC initiiert einen setApplicationEnabledSetting Deaktivierungsanfrage mit der COMPONENT_ENABLED_STATE_DISABLED .
4. Der Nutzer kann den persönlichen DPC in Google Play wieder aktivieren.

Hinweise zur Implementierung für den Modus „Geräteinhaber“

Folgendes sollten Sie beim Erstellen Ihres DPC berücksichtigen. um den Betriebsmodus „Geräteeigentümer“ zu implementieren.

Gerät muss neu sein oder auf die Werkseinstellungen zurückgesetzt werden

Sie müssen den Betriebsmodus „Geräteeigentümer“ bei der Ersteinrichtung bereitstellen eines neuen Geräts oder nach dem Zurücksetzen auf die Werkseinstellungen. Der Modus „Geräteeigentümer“ kann nicht die zu einem anderen Zeitpunkt auf einem Gerät bereitgestellt werden.

Der Geräteeigentümermodus gibt dem DPC die vollständige Kontrolle über ein Gerät. Bei Bereitstellung Der Modus "Geräteinhaber" wurde nach der Ersteinrichtung zugelassen:

• Malware kann einen Geräteeigentümer erstellen und das Gerät übernehmen.
• Datenschutzprobleme können entstehen, wenn bereits einige Nutzerdaten oder Apps aktiviert waren auf dem Gerät.

Modus „Geräteinhaber“ nur auf unternehmenseigenen Geräten einrichten

Sie sollten den Modus „Geräteeigentümer“ nur auf Geräten bereitstellen, die Sie als die dem Unternehmen Ihres Kunden gehören. Sie können dies überprüfen, indem Sie eindeutige Gerätekennung (z. B. Seriennummer) oder durch Verwendung einer speziellen Gruppe von Konten, die für die Geräteregistrierung über Ihren EMM-Anbieter autorisiert sind .

Wenn Sie die Unternehmensinhaberschaft eines Geräts nicht bestätigen können, müssen Sie eine Sicherheitsmaßnahme erstellen damit der Geräteeigentümermodus nicht versehentlich bereitgestellt wird. Beispiel: können Sie den Gerätenutzer auffordern, die Aktion zu bestätigen oder eine bestimmte Aktion auszuführen. bevor Sie den Modus „Geräteinhaber“ einrichten.

System-Apps aktivieren

Wenn der DPC ein Arbeitsprofil bereitstellt, können alle System-Apps ohne Launcher-Symbole werden als kritisch für das Gerät eingestuft und dürfen automatisch ausgeführt werden. im Arbeitsprofil. System-Apps mit Launcher-Symbolen werden als optional und Sie können entscheiden, ob Sie sie aktivieren möchten.

System-Apps über Google Play aktivieren

System-Apps über Google Play aktivieren ist einfach und Nutzer erhalten App-Updates, sobald sie verfügbar sind.

System-Apps aktivieren, die Android Framework APIs verwenden

Wenn Sie möchten, dass Nutzer System-Apps sehen, sobald sie ihre Geräte verwenden, System-Apps im Rahmen der Gerätebereitstellung aktivieren Der DPC ermöglicht System-Apps nach Paketname oder Absicht mithilfe von DevicePolicyManager.enableSystemApp()

Es gibt mehrere Möglichkeiten, die System-Apps zu ermitteln, die Sie aktivieren und präsentieren möchten in der EMM-Konsole an IT-Administratoren.

System-App-Kataloge erstellen

Bei dieser Methode bestimmt jedes Gerät, welche Apps auf dem Gerät installiert sind, und sendet diese Daten an die EMM-Konsole zurückgeben. In der EMM-Konsole wird dies Daten beim Erstellen von Geräterichtlinien, mit denen der IT-Administrator für einzelne Apps festlegen.

1. Wenn das Arbeitsprofil noch nicht auf dem Gerät eingerichtet ist, rufen Sie eine Liste mit alle Apps mit Launcher-Symbolen auf einem Gerät queryIntentActivities():

   private List<ResolveInfo> getAppsWithLauncher() {
     Intent i = new Intent(Intent.ACTION_MAIN);
     i.addCategory(Intent.CATEGORY_LAUNCHER);
     return getPackageManager().queryIntentActivities(i, 0);
   }
   

2. Wenn das Arbeitsprofil bereits auf dem Gerät bereitgestellt ist, rufen Sie eine Liste mit alle Apps im Arbeitsprofil über PackageManager.GET_DISABLED_COMPONENTS und PackageManager.GET_UNINSTALLED_PACKAGES

3. Sie finden System-Apps in der App-Liste, indem Sie FLAG_SYSTEM, Gibt an, ob eine App im System-Image des Geräts installiert ist.

Vorteile:

• Bietet IT-Administratoren einen umfassenden Überblick über die Apps auf allen Geräten.
• Sie können genau steuern, welche Apps aktiviert werden.

Nachteile:

• Da es für jedes Gerät einen anderen App-Katalog gibt, ist es schwierig, ein Modell anzuwenden für die Konfiguration einzelner Richtlinien auf mehrere Gerätetypen.
• Die Anzahl der OEM-spezifischen Apps zu präsentieren, kann eine Herausforderung sein, eine sinnvolle Möglichkeit für IT-Administratoren.

System-Apps nach Funktionen kategorisieren

Wenn ein IT-Administrator eine System-App für eine Gruppe von Geräten aktivieren möchte, Sie wählen eine generische App basierend auf ihren Funktionen aus; z. B. „System“ Browser.“ Der DPC lässt dann alle System-Apps für diesen Intent zu.

Vorteile:

• Einfache, funktionsbasierte Aktivierung für IT-Administratoren.
• Sorgt für einheitliche Funktionalität auf einer Vielzahl von Geräten (zumindest für gängige Anwendungsfälle).

Nachteile:

• Beschränkt System-Apps auf diejenigen, die auf allen Gerätetypen unterstützt werden.
• IT-Administratoren möchten möglicherweise nur eine OEM-Version einer App bereitstellen, z. B. Samsung®-Browser), aber nicht mit einem anderen (z. B. LG®-Browser).
• IT-Administratoren möchten vielleicht nicht mehrere Apps installieren, wenn mehrere Intent-Handler vorhanden sind.

Nur genehmigte System-Apps werden unterstützt

Sie arbeiten mit dem OEM zusammen, um bestimmte OEM-Pakete zu identifizieren und nur diese zu unterstützen. in der EMM-Konsole. So können Sie auch die verwalteten Konfigurationen für die OEM-App, die sonst nicht bekannt wären, weil die Die OEM-App wird nicht bei Google Play gehostet.

Vorteile:

• Vereinfacht den Integrationsablauf erheblich und beseitigt Grenzfälle die bei den ersten beiden Optionen problematisch sind.
• Sie können die verwalteten Konfigurationen für die OEM-App katalogisieren und präsentieren. in der EMM-Konsole für IT-Administratoren.
• Ermöglicht enge Beziehungen zu OEMs für die Unterstützung von Flagship-Geräten.

Nachteile:

• Dies ist weniger skalierbar und reduziert die Auswahlmöglichkeiten für Verbraucher.

Szenarien für Ihren DPC testen

Test-DPC ist eine Open-Source-Software App von Google zum Testen von Unternehmensfunktionen in Ihrer DPC-App. Test-DPC ist verfügbar von github oder Google Play Mit Test-DPC können Sie:

• Funktionen in Android simulieren
• Richtlinien festlegen und erzwingen
• App- und Intent-Einschränkungen festlegen
• Arbeitsprofile einrichten
• Vollständig verwaltete Android-Geräte einrichten

Der Test-DPC ist in erster Linie dazu gedacht, Ihr Unternehmen zu testen eine Lösung für Android haben, können Sie sie auch als Quelle für Beispielcode für Android verwenden. Funktionen.

Nutzerverwaltung anpassen

Während der Gerätebereitstellung wird auf der Systembenutzeroberfläche eine Standardfarbe in die Statusleiste und ein Standardlogo oben auf dem Bildschirm. Benutzerdefinierte Farben festlegen und Logos, um einen einheitlichen visuellen Übergang zwischen Ihrem DPC und dem Systemschnittstellen oder erlauben Administratoren dies über die EMM-Konsole. Beispiel: können Administratoren ein Firmenlogo hochladen oder das Aussehen von Bildschirmen anpassen, auf denen Benachrichtigungen.

Ihr DPC erzwingt die Farb- und Logoauswahl mithilfe der DevicePolicyManager.EXTRA_PROVISIONING_MAIN_COLOR und DevicePolicyManager.EXTRA_PROVISIONING_LOGO_URI Extras.

Wenn Sie eine benutzerdefinierte Farbe festlegen möchten, verwenden Sie EXTRA_PROVISIONING_MAIN_COLOR um eine Ganzzahl festzulegen, die die vorherrschende Farbe angibt, die auf dem Gerät angezeigt wird Nutzerverwaltung. Setzen Sie das Extra (Konstante) in einen Intent mit ACTION_PROVISION_MANAGED_PROFILE oder ACTION_PROVISION_MANAGED_DEVICE

Informationen zur Darstellung der Ganzzahlen finden Sie unter Farbe: Ein Beispiel finden Sie unter MAIN_COLOR in der TestDPC-App.

Wenn Sie ein benutzerdefiniertes Logo festlegen möchten, verwenden Sie EXTRA_PROVISIONING_LOGO_URI um ein Bild festzulegen, das während des Geräts am oberen Bildschirmrand angezeigt wird Nutzerverwaltung. Setzen Sie das Extra (Konstante) in einen Intent mit ACTION_PROVISION_MANAGED_PROFILE oder ACTION_PROVISION_MANAGED_DEVICE Achten Sie darauf, dass das Bild eine für das Gerät geeignete Pixeldichte hat.

Ein Beispiel finden Sie unter LOGO_URI in der TestDPC-App.

QR-Code-Methode

Mit der QR-Code-Bereitstellungsmethode wird der Modus für den Geräteeigentümer eingerichtet und konfiguriert. um einen QR-Code mit dem Einrichtungsassistenten zu scannen. Der QR-Code enthält eine Nutzlast von Schlüssel/Wert-Paare mit allen Informationen, die der DPC für die Bereitstellung benötigt auf einem Gerät.

Ihre EMM-Konsole sollte IT-Administratoren die Möglichkeit bieten, QR-Codes zu erstellen für die Geräte, die bereitgestellt werden sollen. Der IT-Administrator sendet die QR-Codes und die Endnutzer stellen ihre Geräte bereit, indem sie die QR-Codes.

Anwendungsfälle für die Bereitstellung von QR-Codes

Einige Geräte, z. B. Tablets, unterstützen kein NFC. Die QR-Code-Bereitstellung ist praktische Möglichkeit zur Bereitstellung einer verteilten Geräteflotte, die keine NFC: Ein IT-Administrator kann QR-Codes an seine Nutzer senden, um nutzergeführte Aktionen zu ermöglichen. Nutzerverwaltung.

Für die Bereitstellung von QR-Codes ist keine Google-Identität, z. B. eine Google-Domain, erforderlich oder Google-Konto. Organisationen, die Android nutzen, aber nicht Google nutzen Workspace, haben keine Google-Identität.

Wie bei NFC ermöglicht die QR-Code-Bereitstellung Kiosk- und Einmalgebrauchsbereitstellungen, bei denen Eine Google-Identität (oder eine andere Identität) ist weder erforderlich noch wünschenswert. Beispiel: Kioskgerät in einem Geschäft gehört niemandem und sollte keinen Endnutzer haben Identität.

QR-Code erstellen

Ein gültiger QR-Code für die Bereitstellung von QR-Codes ist ein UTF-8-codiertes JavaScript®-Objekt Notation-String (JSON-String). Sie können die folgenden Eigenschaften in einen gültigen QR-Code einfügen:

Immer erforderlich

• EXTRA_PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME

Erforderlich, wenn noch kein DPC auf dem Gerät installiert ist

• EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION
• EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM

Empfohlen, wenn das Gerät noch nicht mit dem WLAN verbunden ist

• EXTRA_PROVISIONING_WIFI_SSID
• EXTRA_PROVISIONING_WIFI_PASSWORD

Optional

• EXTRA_PROVISIONING_LOCALE
• EXTRA_PROVISIONING_TIME_ZONE
• EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
• EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_COOKIE_HEADER
• EXTRA_PROVISIONING_LOCAL_TIME
• EXTRA_PROVISIONING_WIFI_HIDDEN
• EXTRA_PROVISIONING_WIFI_SECURITY_TYPE
• EXTRA_PROVISIONING_WIFI_PROXY_HOST
• EXTRA_PROVISIONING_WIFI_PROXY_PORT
• EXTRA_PROVISIONING_WIFI_PROXY_BYPASS
• EXTRA_PROVISIONING_WIFI_PAC_URL
• EXTRA_PROVISIONING_SKIP_ENCRYPTION

In diesem Beispiel wird ein gültiger QR-Code erstellt:

{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":
"com.emm.android/com.emm.android.DeviceAdminReceiver",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":
"gJD2YwtOiWJHkSMkkIfLRlj-quNqG1fb6v100QmzM9w=",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":
"https://path.to/dpc.apk",
    "android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,
    "android.app.extra.PROVISIONING_WIFI_SSID": "GuestNetwork",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
        "dpc_company_name": "Acme Inc.",
        "emm_server_url": "https://server.emm.biz:8787",
        "another_custom_dpc_key": "dpc_custom_value"
    }
}

Bereitstellung per QR-Code

1. Der Einrichtungsassistent fordert den Nutzer sechsmal auf, auf den Begrüßungsbildschirm zu tippen. Die Tippen muss an derselben Stelle auf dem Bildschirm erfolgen.
2. Der Einrichtungsassistent fordert den Nutzer auf, eine Internetverbindung herzustellen, damit die Einrichtung kann der Assistent einen QR-Code-Leser herunterladen.
3. Die Google Play-Dienste laden ein Modul herunter, das eine QR-Code-Erkennung enthält. Suchmaschine.
4. Der Nutzer scannt den QR-Code, den er von seinem IT-Administrator erhalten hat.
5. Der Einrichtungsassistent lädt Ihre DPC-App herunter und initiiert den Geräteeigentümer. Bereitstellungsprozess mithilfe von ACTION_PROVISION_MANAGED_DEVICE

Methode für Managed Google Play-Konten

Ein DPC kann die Bereitstellungsmethode für Managed Google Play-Konten verwenden, um Konten einzurichten. Geräteinhabermodus oder Profilinhabermodus auswählen. Diese Bereitstellungsmethode ist ausgerichtet die Google Workspace nicht nutzen.

Bei der Bereitstellungsmethode für Managed Google Play-Konten wird die Methode DPC-Supportbibliothek. Diese Clientbibliothek sorgt für einen reibungslosen Betrieb von Managed Google Play Konten. Außerdem bleibt die Kompatibilität mit zukünftigen Updates der verwalteten Bereitstellungsprozess für Google Play-Konten

Voraussetzungen für die Bereitstellung von Geräten

• Die Unternehmens-ID wird mit einer EMM-Identität und der ESA erstellt und registriert. festgelegt ist, wie in Erstellen Sie ein Unternehmen und registrieren Sie es.
• Die Unternehmensidentität des Nutzers ist in Ihrer EMM-Konsole bekannt.
• Der Nutzer kann sich mit den von Ihrem EMM-Anbieter akzeptierten Anmeldedaten in der DPC-App anmelden in der Regel die Anmeldedaten für die geschäftliche E-Mail-Adresse.

Modus für Profilinhaber einrichten

Sie können den Betriebsmodus des Profilinhabers auf einem Gerät bereitstellen, die in einem BYOD-Szenario als persönliches Gerät verwendet werden.

1. Der Nutzer lädt Ihren DPC manuell von Google Play herunter und startet ihn.
2. Der DPC stellt das Arbeitsprofil mithilfe von ACTION_PROVISION_MANAGED_PROFILE
3. Schließen Sie die abschließenden Einrichtungsschritte ab.

Modus „Geräteeigentümer“ einrichten

Sie müssen den Betriebsmodus "Geräteeigentümer" bei der Ersteinrichtung eines Geräts bereitstellen, oder auf die Werkseinstellungen zurückgesetzt haben. Der Modus „Geräteinhaber“ kann nicht bereitgestellt werden auf jederzeit auf ein Gerät zugreifen.

Während der Geräteeinrichtung gibt der Nutzer ein spezielles DPC-spezifisches Token ein, wenn aufgefordert, ein Konto hinzuzufügen. Ein Token hat das Format afw#DPC_IDENTIFIER. Für Ein EMM-Anbieter namens ACME würde afw#acme den Standard-DPC des ACME-EMM installieren. Jeder EMM-Anbieter muss vor der Verwendung eine spezifische DPC-Kennung von Google anfordern. während der Bereitstellung.

1. Der Nutzer schaltet ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät und den Einrichtungsassistenten ein Markteinführungen.
2. Wenn der Nutzer aufgefordert wird, ein Konto hinzuzufügen, Format afw#DPC_IDENTIFIER, das den DPC für Ihren EMM-Anbieter identifiziert.
3. Mithilfe der DPC-Kennung im Token fügt der Einrichtungsassistent eine temporäre Google-Konto auf dem Gerät. Dieses temporäre Konto dient nur zum Herunterladen den DPC für Ihr EMM aus Google Play. Der DPC wird in die letzten Einrichtungsschritte.
4. Der DPC stellt das Gerät mithilfe von ACTION_PROVISION_MANAGED_DEVICE
5. Schließen Sie die abschließenden Einrichtungsschritte ab.

Abschließende Einrichtungsschritte für alle Betriebsmodi

Führen Sie diese Schritte erst nach der Einrichtung aus der Modus „Profilinhaber“ oder „Geräteinhaber“ abgeschlossen ist.

1. Der DPC stellt sicher, dass das Gerät Managed Google Play-Konten unterstützt indem Sie die DPC-Supportbibliothek initialisieren:

   AndroidForWorkAccountSupport androidForWorkAccountSupport =
     new AndroidForWorkAccountSupport(context, admin);
   androidForWorkAccountSupport.ensureWorkingEnvironment(callback);
   

   Wenn Sie den Modus "Geräteinhaber" auf einem Gerät einrichten, temporäres Google-Konto, das zum Herunterladen des DPC hinzugefügt wurde.

2. Der Nutzer meldet sich mit seinen EMM-Anmeldedaten beim DPC an. Dies sind Anmeldedaten für die geschäftliche E-Mail-Adresse.

3. Der DPC fordert Anmeldedaten für das Managed Google Play-Konto für die authentifizierten Unternehmensnutzer über die EMM-Konsole.

4. Wenn in der EMM-Konsole keine Google Play-userId für den Nutzer vorhanden ist, wird einen neuen Nutzer durch Aufrufen von Users.insert() Wenn Sie den Modus "Geräteinhaber" verwenden, geben Sie ein Gerätekonto an (für Bereitstellungen dedizierten Geräte) oder ein Nutzerkonto (für unternehmenseigene Bereitstellungen).

5. Legen Sie die Geräterichtlinien fest, indem Sie folgenden Befehl aufrufen: Devices.update Sie sollten die Richtlinie festlegen, bevor Sie das Managed Google Play-Konto hinzufügen zu: da die Richtlinie andernfalls für kurze Zeit nicht angewendet wird. nach dem Hinzufügen des Kontos zum Gerät.

6. Die EMM-Konsole fordert die Kontoanmeldedaten für userId folgendermaßen an: Anrufen Users.generateAuthenticationToken() Dieses Authentifizierungstoken ist kurzlebig und kann nicht wiederverwendet werden. Der DPC sollte Das Konto wird mithilfe des Tokens programmatisch hinzugefügt. Nutzer).

7. Die Google Play EMM API gibt das Authentifizierungstoken an die EMM-Konsole zurück.

8. Die EMM-Konsole leitet das Authentifizierungstoken an den DPC weiter.

9. Der DPC fügt dem Gerät das Managed Google Play-Konto mithilfe von

   androidForWorkAccountSupport.addAndroidForWorkAccount(token,
     accountAddedCallback);
   

Methode für das Google-Konto

Ein DPC kann die Bereitstellungsmethode für ein Google-Konto verwenden, um den Geräteeigentümer einzurichten oder Profilinhabermodus auswählen. Bei der Bereitstellungsmethode für das Google-Konto Der DPC führt den Nutzer durch die Bereitstellungsschritte, nachdem er seine Google-Konto anmelden.

Wenn ein Nutzer die Anmeldedaten für sein Google-Konto eingibt, gilt Folgendes:

• Das Nutzerkonto wird vom Google-Authentifizierungsserver authentifiziert.
• Der Authentifizierungsserver kommuniziert dann mit dem Unternehmensserver, Die Domain des Kontos ist entweder als Google Workspace-Domain oder als Von EMM verwaltete Domain.
• In diesem Fall lädt das System automatisch den mit der Domain verknüpften DPC herunter. aus Google Play herunterladen und installiert werden.

Modus für Profilinhaber einrichten

Sie können den Betriebsmodus "Profilinhaber" bei der Ersteinrichtung eines oder wenn der Nutzer über Einstellungen > Konto hinzufügen.

1. Die Kontoauthentifizierung wird von einem Nutzer über den Einrichtungsassistenten oder über Einstellungen > Konto hinzufügen.
2. GMSCore initiiert die Bereitstellung von Arbeitsprofilen über ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE.
3. Der DPC wird automatisch auf das Gerät heruntergeladen und über die ACTION_GET_PROVISIONING_MODE gestartet Handler, um zu prüfen, ob die Bereitstellung von Arbeitsprofilen vom DPC unterstützt wird.
   • EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE – Zusätzliche Informationen zum Arbeitsprofil, z. B. die E-Mail-Adresse Der DPC erhält hier als Teil dieses Bundles auch is_setup_assistant. Dieses Bundle wird in die Handler ACTION_GET_PROVISIONING_MODE und ACTION_ADMIN_POLICY_COMPLIANCE aufgenommen.
   • EXTRA_PROVISIONING_ACCOUNT_TO_MIGRATE – Name des authentifizierten Kontos, das in das neue Arbeitsprofil migriert werden soll
4. Die Plattform stellt Arbeitsprofile bereit.
5. Wenn das Arbeitsprofil bereitgestellt wird, empfängt der DPC die Nachricht ACTION_PROFILE_PROVISIONING_COMPLETE ACTION_ADMIN_POLICY_COMPLIANCE des DPC im Arbeitsprofil gestartet. Sobald das Arbeitsprofil erstellt ist, wird der DPC auch im Arbeitsprofil ausgeführt. Der DPC veröffentlicht Richtlinien für damit sichergestellt ist, dass sich das Gerät nicht in einem gehackten und überprüft, ob die Richtlinien erzwungen werden (z. B. das Erfordernis einer Passwort).
6. Der DPC im privaten Profil deaktiviert sich selbst oder der Nutzer entfernt ihn.

Modus „Geräteinhaber“ oder COPE einrichten

Sie müssen den Betriebsmodus "Geräteeigentümer" bei der Ersteinrichtung eines Geräts bereitstellen, auf einem neuen Gerät oder nach dem Zurücksetzen auf die Werkseinstellungen. Der Modus "Geräteinhaber" kann nicht hinzugefügt werden zu jederzeit ändern.

1. Die Kontoauthentifizierung wird von einem Nutzer über den Einrichtungsassistenten gestartet.
2. GMSCore initiiert die Bereitstellung des Geräteinhabers mithilfe von ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE. 3.Der DPC wird automatisch auf das Gerät heruntergeladen und mit dem GET_PROVISIONING_MODE-Handler gestartet, um den gewünschten Bereitstellungsmodus auszuwählen.
   • EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE: Zusätzliche Informationen für das Arbeitsprofil, z. B. Sprache, WLAN oder E-Mail-Adresse. Der DPC erhält hier als Teil dieses Bundles auch is_setup_assistant. Dieses Set wird in ACTION_GET_PROVISIONING_MODE enthalten sein und ACTION_ADMIN_POLICY_COMPLIANCE-Handler.
3. Die Plattform stellt das Gerät im gewünschten Bereitstellungsmodus bereit.
4. Wenn das Gerät bereitgestellt wird, empfängt der DPC diese Broadcasts und der ACTION_ADMIN_POLICY_COMPLIANCE-Handler des DPC wird gestartet: <ph type="x-smartling-placeholder">
   </ph>
   • ACTION_READY_FOR_USER_INITIALIZATION
   • ACTION_PROFILE_PROVISIONING_COMPLETE.
5. Für den DPC wird der Wert Global.DEVICE_PROVISIONED verwendet. um zu überprüfen, ob das Gerät neu ist oder auf die Werkseinstellungen zurückgesetzt (nicht eingerichtet) ist: <ph type="x-smartling-placeholder">
   </ph>
   • 0 – Bereitstellung aufgehoben
   • 1 – Bereitgestellt.
6. Der DPC schließt den Bereitstellungsprozess ab, indem er Richtlinien für diesen Dienst überträgt. verwalteten Geräts, um sicherzustellen, dass es sich nicht in einem manipulierten Zustand befindet, und Prüfen der Durchsetzung der Richtlinien (z. B. Passworteingabe)

Überlegungen zur Implementierung der Google-Konto-Methode

• Der DPC sollte den Authentifizierungsvorgang für das Google-Konto erkennen, indem er nach Folgendem sucht: bestimmte Extras in der Launch-Intent, die verwendet wurde (siehe LaunchIntentUtil):

  • Konto vom Typ android.accounts.Account — Gibt an, dass das Konto wurde über den Einrichtungsassistenten oder über Einstellungen > Konto hinzufügen, Dabei muss der gestartete DPC das Gerät oder Profil verwalten.
  • is_setup_wizard vom Typ „Boolesch“ – Falls „true“, wurde der DPC gestartet in vor Abschluss des Einrichtungsassistenten Einstellungen > Fügen Sie ein Konto oder einen anderen Ablauf hinzu.

  Eine Prüfung, ob der DPC im Rahmen der Google-Konto-Methode gestartet wurde lautet:

  boolean isSynchronousAuthLaunch(Intent launchIntent) {
    return launchIntent.hasExtra("is_setup_wizard");
  }
  

• Der DPC sollte finish() nicht aufrufen. bevor die Einrichtung abgeschlossen ist. Sie sollte auch einen positiven Ergebniscode zurückgeben. (z. B. RESULT_OK), da der DPC mit startActivityForResult() und wartet auf ein Ergebnis.

  Der DPC sollte auf einen Ergebniscode des Bereitstellungsprozesses warten, bevor er finish() wird aufgerufen, wenn der DPC-Einrichtungsvorgang den Punkt erreicht, an dem eine ACTION_PROVISION_*-Intent. Verwenden Sie die Methode startActivityForResult() und onActivityResult() Callbacks beim Starten von ACTION_PROVISION_*-Intents. (Siehe LaunchActivity und SetupSyncAuthManagement .

  Da der Einrichtungsprozess möglicherweise asynchron ist, zeigt der DPC können wir uns nicht auf den Ergebniscode RESULT_OK verlassen, um anzuzeigen, erfolgreich war. Sie können sich nur auf DeviceAdminReceiver Callbacks bei erfolgreicher Bereitstellung. RESULT_CANCELED gibt an, dass der Nutzer in einem synchronen Teil des Einrichtungsablaufs gesichert und der DPC sollte in diese Richtung zu lenken.

  In diesem Beispiel startet der DPC die Bereitstellung und wartet auf den Ergebniscode einer Aktivität:

  Intent intent = new Intent(ACTION_PROVISION_MANAGED_PROFILE);
  startActivityForResult(intent, REQUEST_MANAGED_PROFILE);
  ...
  
  @Override
  public void onActivityResult(int req, int res, Intent i) {
      if (req == REQUEST_MANAGED_PROFILE) {
          if (res == Activity.RESULT_OK) {
              setResult(Activity.RESULT_OK);
              finish();
          } else {
              Toast.makeText(this, “Provisioning failed”,
                      Toast.LENGTH_SHORT).show();
          }
      }
  }
  

• Der DPC sollte nicht versuchen, den Betriebsmodus „Geräteeigentümer“ einzurichten, wenn Das Gerät wurde bereits bereitgestellt (siehe ProvisioningStateUtil.isDeviceProvisioned()) In diesem Beispiel prüft der DPC, ob das Gerät bereitgestellt ist:

  public static boolean isDeviceProvisioned(Context context) {
  ContentResolver cr = context.getContentResolver();
      return
  Settings.Global.getInt(cr, DEVICE_PROVISIONED, 0) != 0;
  }
  

• Optional. Der DPC kann die Methode EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE wenn Sie die Bereitstellung starten, um Statusinformationen an die eigene DeviceAdminReceiver (was im Fall des Profilinhabers im Arbeitsprofil ausgeführt wird). TestDPC verwendet diese zusätzliche nach der Erstellung eines anderen Aktivitätssatzes im Google-Kontoablauf die Bereitstellung abgeschlossen ist. Details finden Sie unter DeviceAdminReceiver

  public class DeviceAdminReceiver extends android.app.admin.DeviceAdminReceiver
  {
    @Override
    public void onProfileProvisioningComplete(Context context, Intent intent) {
      // Retrieve the admin extras bundle, which we can use to determine the original context for
      // Test DPC's launch.
      PersistableBundle extras = intent.getParcelableExtra(
              EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE);
      ...
  

• Zur Einrichtung eines Arbeitsprofils muss der DPC das hinzugefügte Konto in die neuen Arbeitsprofil. Dazu sollte der DPC das Konto übergeben, das im Startabsicht für ACTION_PROVISION_MANAGED_PROFILE

• Der DPC sollte dem Nutzer einen klaren Call-to-Action (z. B. Schaltfläche „Fertigstellen“), um die App am Ende der Einrichtung zu beenden, damit der Nutzer nicht weiter daran erinnert. sind sie in einer Sackgasse angelangt.

• Der DPC sollte das Design oder die Layoutbibliothek des Einrichtungsassistenten verwenden, reibungslos und gut integriert.

NFC-Methode

Ein DPC kann die NFC-Bereitstellungsmethode verwenden, um den Modus „Geräteinhaber“ einzurichten. Im NFC-Bereitstellungsmethode oder NFC-Tag, erstellen Sie eine NFC-Programmierer-App, enthält die anfänglichen Richtlinien sowie die WLAN-Konfiguration, -Einstellungen und Bereitstellungsdetails, die vom Kunden zum Konfigurieren des Geräteeigentümers benötigt werden verwendet werden. Wenn Ihre oder Ihr Kunde die NFC-Programmierer-App ein Android-Gerät nutzen, wird dieses Gerät zum Programmierergerät.

Um ein Gerät bereitzustellen, benötigt der IT-Administrator ein neues Gerät aus dem Lieferumfang. und drückt es an das Programmiergerät oder NFC-Tag. Der Bump wird übertragen mit dem Gerät verbunden, damit es mit dem Internet verbunden ist und die Richtlinien und Einstellungen zu finden und festzulegen. Das Gerät wird dann von Ihrem DPC verwaltet.

Nach der Bereitstellung eines Geräts wird in Google Play für kurze Zeit „Nicht verwaltet“ angezeigt statt genehmigter Apps und Sammlungen, Display. Diese Verzögerung kann von einigen Minuten bis zu einer Stunde dauern.

NFC-Programmierer-App und Programmiergerät erstellen

Auf Geräten mit Android 10 oder älter kann Android Beam verwendet werden, um eine NFC-Bereitstellung ausführen:

1. Laden Sie die NFC-Programmierer-Beispiel-App herunter. Sie können das Beispiel unverändert ohne Ergänzungen verwenden oder für Ihre Standardwerte.
2. Installiere die Programmierer-App auf dem ausgewählten Gerät.
3. Starten Sie die NFC Programmierer App und wählen Sie Standardeinstellungen laden aus. für com.example.android.apis. (Dieser Text kann je nach Standardeinstellung Parameter, die Sie festgelegt haben.)

Kundengerät bereitstellen

1. Drücken Sie das Programmiergerät oder das NFC-Tag mit einem neuen oder einem Gerät, das bereits auf die Werkseinstellungen zurücksetzen.
2. Vergewissern Sie sich, dass das Gerät auf dem ersten Willkommensbildschirm angezeigt wird, die beim Start angezeigt wird. Der Text wird in Ready to send:{...} angegeben in der Programmierer-App.
3. Warten Sie, während der DPC Folgendes ausführt: <ph type="x-smartling-placeholder">
   </ph>
   1. Verschlüsselt das Gerät.
   2. Bei einem CDMA-Gerät (Code Division Multiple Access): Telefon, während eine Telefonie-Benutzeroberfläche zu sehen ist (keine Interaktion erforderlich).
   3. Richtet die WLAN-Verbindung ein.
   4. Lädt die APK-Datei für com.example.android.apis.
   5. Installiert com.example.android.apis.
   6. Legt den Beispielgeräteadministrator in com.example.android.apis als Geräteinhaber fest
   7. Zeigt einen erfolgreichen „Toast“ an wenn der Geräteeigentümer aktiviert wird.
4. Nach der Rückkehr zur Startseite (Einrichtungsassistent wird automatisch übersprungen) Überprüfen Sie, ob com.example.android.apis als Geräteeigentümer festgelegt ist: <ph type="x-smartling-placeholder">
   </ph>
   1. Unter Einstellungen > Sicherheit > Geräteadministratoren, stellen Sie sicher, dass das Beispielgerät Der Administrator kann nicht entfernt werden.
   2. Unter Einstellungen > Nutzer > Nutzer und Profile > Sie (Inhaber), Eigentümer ist das einzige verfügbare Konto (ein Gerät kann nur ein aktives Konto haben). jeweils den Eigentümer des Geräts.

Zusätzliche Ressourcen

Erweiterte NFC beschreibt Themen wie das Arbeiten mit verschiedenen Tag-Technologien, das Schreiben in NFC Tags und der Weiterleitung im Vordergrund.

Manuelle DPC-Installationsmethode

So richten Sie den Modus „Profilinhaber“ mit der manuellen Bereitstellungsmethode für DPC-Installationen ein: Der Nutzer lädt Ihren DPC von Google Play herunter und installiert ihn. Dann gibt der DPC führt den Nutzer durch die weiteren Schritte zur Einrichtung des Profilinhabers für dem verwalteten Google-Konto.

Der DPC kann das verwaltete Google-Konto vor oder nach dem Erstellen hinzufügen dem Arbeitsprofil. Der DPC kann beispielsweise ein Arbeitsprofil auf der Grundlage eines EMM-Anmeldedaten des Nutzers, anstatt nach dem verwalteten Google-Konto fragen zu müssen .

Modus für Profilinhaber einrichten

Fügen Sie zuerst das verwaltete Google-Konto hinzu

1. Der Nutzer lädt Ihren DPC von Google Play herunter und installiert ihn.
2. Der DPC fügt das verwaltete Google-Konto hinzu, bevor das Arbeitsprofil erstellt wird mit AccountManager.addAccount().
3. Der DPC beginnt im persönlichen Profil und initiiert den Prozess, ein Arbeitsprofil erstellen mit: <ph type="x-smartling-placeholder">
   </ph>
   • ACTION_PROVISION_MANAGED_PROFILE – Das Arbeitsprofil wird bereitgestellt.
   • EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE – Zusätzliche Informationen für das Arbeitsprofil, z. B. Sprache, WLAN, E-Mail-Adresse Adresse.
   • EXTRA_PROVISIONING_ACCOUNT_TO_MIGRATE – Name des authentifizierten Kontos, das in das neue Werk migriert werden soll zu erstellen.
4. Der DPC im Arbeitsprofil schließt den Bereitstellungsprozess ab. Sobald die Arbeit erstellt wurde, wird der DPC auch im Arbeitsprofil ausgeführt. Der DPC in schließt das Arbeitsprofil den Bereitstellungsprozess ab, indem es Richtlinien für dieses verwaltete Google-Konto und stellen Sie sicher, dass sich das Gerät nicht in einem gehackten und zu überprüfen, ob die Richtlinien erzwungen werden (z. B. die Anforderung einer Passwort).
5. Wenn das Arbeitsprofil bereitgestellt wird, empfängt der DPC die Nachricht ACTION_PROFILE_PROVISIONING_COMPLETE
6. Den DPC im privaten Profil deaktiviert sich selbst oder der Nutzer entfernt sie.

Erstelle zuerst ein Arbeitsprofil

1. Der Nutzer lädt Ihren DPC von Google Play herunter und installiert ihn.
2. Der DPC beginnt im persönlichen Profil und initiiert den Prozess, ein Arbeitsprofil erstellen mit: <ph type="x-smartling-placeholder">
   </ph>
   • ACTION_PROVISION_MANAGED_PROFILE – Das Arbeitsprofil wird bereitgestellt.
   • EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE – Zusätzliche Informationen für das Arbeitsprofil, z. B. Sprache, WLAN, E-Mail-Adresse Adresse.
3. Der DPC fügt das verwaltete Google-Konto mithilfe von AccountManager.addAccount()
4. Der DPC empfängt die Nachricht ACTION_PROFILE_PROVISIONING_COMPLETE und liest EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
5. Der DPC im Arbeitsprofil schließt den Bereitstellungsprozess ab. Sobald das Arbeitsprofil erstellt wurde, wird auch der DPC innerhalb der Arbeit ausgeführt zu erstellen. Der DPC im Arbeitsprofil schließt den Bereitstellungsprozess ab, Richtlinien für das verwaltete Google-Konto zu senden, um sicherzustellen, nicht manipuliert ist, und es wird geprüft, ob die Richtlinien erzwungen werden (z. B. die Eingabe eines Passworts).
6. Der DPC aktiviert das Arbeitsprofil mithilfe von DevicePolicyManager.setProfileEnabled()
7. Den DPC im privaten Profil deaktiviert sich selbst oder der Nutzer entfernt sie.