רישום וניהול של מכשיר

הקצאת הרשאות ידנית היא התהליך של הגדרה של מכשיר לניהול באמצעות policies על ידי enterprise. במהלך ההתקנה של המכשיר Device Policy ל-Android, שמשמשת לקבלה ולאכיפה של policies. אם המיקום ניהול ההקצאות בוצע בהצלחה, ה-API יוצר אובייקט devices שמקשר את של המכשיר לארגון.

Android Management API משתמש באסימוני רישום כדי להפעיל את הקצאת ההרשאות תהליך האימות. אסימון הרישום ושיטת ההקצאה שבהם משתמשים יוצרים מצב הבעלות על המכשיר (בבעלות אישית או בבעלות חברה) ומצב הניהול (עבודה) פרופיל או מכשיר מנוהל).

מכשירים בבעלות אישית

Android מגרסה 5.1 ואילך

במכשירים שבבעלות עובדים אפשר להגדיר פרופיל עבודה. פרופיל עבודה מספק מרחב עצמאי לאפליקציות לעבודה ולנתונים, בנפרד מהמרחב האישי אפליקציות ונתונים. רוב הניהול של אפליקציות, נתונים ונתונים אחרים policies חלים על פרופיל העבודה בלבד, ואילו האפליקציות והנתונים האישיים של העובד נשארים פרטיים.

כדי להגדיר פרופיל עבודה במכשיר בבעלות אישית, צריך ליצור רישום האסימון (מוודאים ש-allowPersonalUsage מוגדר PERSONAL_USAGE_ALLOWED) ולהשתמש באחת מהשיטות הבאות להקצאת הרשאות ידנית:

מכשירים בבעלות החברה לשימוש בעבודה ולשימוש אישי

Android מגרסה 8 ואילך

הגדרת מכשיר בבעלות החברה עם פרופיל עבודה מפעילה את המכשיר עבור גם בעבודה וגם בשימוש אישי. במכשירים בבעלות החברה עם פרופיל עבודה:

כדי להגדיר פרופיל עבודה במכשיר בבעלות החברה, צריך ליצור רישום לאסימון (לוודא הפונקציה allowPersonalUsage מוגדרת לערך PERSONAL_USAGE_ALLOWED) ותשתמשו באחד בשיטות הבאות להקצאת הרשאות ידנית:

מכשירים בבעלות החברה לשימוש לצורכי עבודה בלבד

Android מגרסה 5.1 ואילך

ניהול מכשירים מלא מתאים למכשירים בבעלות החברה, למטרות עבודה בלבד. ארגונים יכולים לנהל את כל האפליקציות במכשיר יכולים לאכוף את כל מגוון כללי המדיניות והפקודות של Android Management API.

אפשר גם לנעול מכשיר (באמצעות מדיניות) לאפליקציה אחת או קבוצה קטנה של אפליקציות שנועדו למלא מטרה או תרחיש לדוגמה ייעודיים. קבוצת המשנה הזו של המונח 'מכשירים מנוהלים' נקרא מכשירים ייעודיים. אסימוני הרשמה של חובה להגדיר במכשירים האלה את הערך allowPersonalUsage PERSONAL_USAGE_DISALLOWED_USERLESS.

כדי להגדיר ניהול מלא במכשיר בבעלות החברה, צריך ליצור אסימון רישום, וידוא ש-allowPersonalUsage מוגדר PERSONAL_USAGE_DISALLOWED או PERSONAL_USAGE_DISALLOWED_USERLESS, ולהשתמש באחת מהשיטות הבאות להקצאת הרשאות ידנית.

כללי מדיניות יכולים להשפיע על היצירה של ממשק המשתמש במהלך הקצאת המכשיר. כללי מדיניות כאלה הם:

  • PasswordPolicyScope: ההגדרה הזו קובעת את הדרישות לסיסמאות.
  • PermittedInputMethods: ההגדרה הזו קובעת את שיטות הקלט של החבילה.
  • PermittedAccessibilityServices: ההגדרה הזו קובעת אילו שירותי נגישות מותרים לניהול מלא מכשירים ופרופיל עבודה.
  • SetupActions: ההגדרה הזו קובעת אילו פעולות יופעלו במהלך ההגדרה.
  • ApplicationsPolicy: ההגדרה הזו קובעת את המדיניות לגבי אפליקציה מסוימת.

אם רוצים ששלבי הסיסמה יוצגו לצד ההתקנה של אפליקציות לעבודה וכרטיסי רישום מכשירים במהלך הקצאת המכשירים, מומלץ לעדכן מדיניות לעיכוב ההפעלה של ממשק המשתמש על ידי השארת המכשיר מצב הסגר, שקורה אם המשתמש רשום ללא מדיניות משויכת, עד לציון המדיניות הסופית שנבחרה להגדרת המכשיר, מאוכלסת בפריטים שרלוונטיות לצורכי ההגדרה שלכם. לאחר שהקצאת המכשיר לאחר השלמת התהליך, אפשר לשנות את המדיניות בתור נדרש.


יצירת אסימון רישום

סקירה כללית על ניהול Android.
איור 1. יוצרים אסימון שרושם ומחיל את 'policy1' למכשירים. לאחר 1,800 שניות (30 דקות), תוקף האסימון יפוג.

צריך אסימון רישום לכל מכשיר שרוצים לרשום (אפשר גם משתמשים באותו אסימון במספר מכשירים). כדי לבקש אסימון רישום, צריך להתקשר enterprises.enrollmentTokens.create התוקף של אסימוני הרישום פג שעה כברירת מחדל, אבל אפשר לציין מועד תפוגה מותאם אישית (duration) לתקופה של כ-10,000 שנים.

בקשה שמבוצעת בהצלחה מחזירה אובייקט enrollmentToken שמכיל enrollmentTokenId ו-qrcode שאדמינים ב-IT ומשתמשי קצה יכולים להשתמש בהם של הקצאת מכשירים.

ציון מדיניות

כדאי גם לציין policyName בבקשה להחלת מדיניות בו-זמנית, רישום המכשיר. אם לא מציינים policyName, את יכולה לראות רישום מכשיר ללא מדיניות.

ציון השימוש האישי

המדיניות allowPersonalUsage קובעת אם אפשר להוסיף פרופיל עבודה למכשיר במהלך ההקצאה. יש להגדיר ל-PERSONAL_USAGE_ALLOWED כדי לאפשר למשתמש ליצור פרופיל עבודה (חובה למכשירים בבעלות אישית, אופציונלי למכשירים בבעלות החברה) מכשירים).


מידע על קודי QR

קודי QR פועלים כשיטה יעילה להקצאת מכשירים בארגונים לשמור על כללי מדיניות רבים ושונים. קוד ה-QR שהוחזר מ: enterprises.enrollmentTokens.create מורכב ממטען ייעודי (payload) של צמדי מפתח-ערך שמכיל אסימון רישום ואת כל המידע הנחוץ ל-Android Device Policy להקצאת מכשיר.

דוגמה לחבילה של קוד QR

החבילה כוללת את מיקום ההורדה של Android Device Policy וכן אסימון הרישום.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

אפשר להשתמש בקוד ה-QR שהוחזר מ-enterprises.enrollmentTokens.create ישירות, או להתאים אותו אישית. לרשימה המלאה של הנכסים שאפשר לכלול חבילה של קוד QR במאמר יצירת קוד QR.

כדי להמיר את המחרוזת qrcode לקוד QR לסריקה, צריך להשתמש במחולל קודי QR כמו ZXing.


שיטות להקצאת הרשאות ידנית

בקטע הזה מתוארות שיטות שונות להקצאת מכשיר.

הוספת פרופיל עבודה דרך ה'הגדרות'

Android מגרסה 5.1 ואילך

כדי להגדיר פרופיל עבודה במכשיר, המשתמשים יכולים:

  1. עוברים אל הגדרות > Google > הגדרה ו שחזור.
  2. מקישים על הגדרת פרופיל העבודה.

באמצעות השלבים הבאים יופעל אשף ההגדרה שיוריד את Android Device Policy במכשיר. לאחר מכן, המשתמש יתבקש לסרוק קוד QR או להזין אסימון רישום באופן ידני כדי להשלים את ההגדרה של פרופיל העבודה.

הורדת Device Policy ל-Android

Android מגרסה 5.1 ואילך

כדי להגדיר פרופיל עבודה במכשיר, משתמשים יכולים להוריד מכשיר Android מדיניות מחנות Google Play. לאחר התקנת האפליקציה, המשתמש יתבקש להזין קוד QR או להזין באופן ידני כדי להשלים את ההגדרה של פרופיל העבודה.

Android מגרסה 5.1 ואילך

שימוש באסימון הרישום שהוחזר מ-enrollmentTokens.create או signinEnrollmentToken של הארגון, ליצור כתובת URL בפורמט הבא:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

אפשר לספק את כתובת ה-URL הזו לאדמינים ב-IT, שיוכלו לספק אותה למשתמשי הקצה שלהם. כשמשתמש קצה יפתח את הקישור מהמכשיר שלו, יוצגו לו הנחיות לביצוע הגדרת פרופיל העבודה.

כתובת URL לכניסה

בשיטה זו, המשתמשים מופנים לדף כדי להזין המידע הנדרש להשלמת ההקצאה. על סמך מידע שהמשתמש נכנס, אפשר לחשב את המדיניות המתאימה למשתמש לפני שממשיכים עם הקצאת מכשיר לארגון. לדוגמה:

  1. מציינים את כתובת ה-URL לכניסה ב-enterprises.signInDetails[]. סיום allowPersonalUsage אל PERSONAL_USAGE_ALLOWED אם רוצים להתיר למשתמש כדי ליצור פרופיל עבודה (חובה למכשירים בבעלות אישית, אופציונלי) למכשירים בבעלות חברה).

    מוסיפים את ה-signinEnrollmentToken שמתקבל כהקצאה נוספת ל-QR code, מטען ייעודי (payload) של NFC או ללא מגע הגדרות אישיות. לחלופין, אפשר לספק את signinEnrollmentToken ישירות למשתמשים.

  2. בוחרים אפשרות:

    1. מכשירים בבעלות החברה: לאחר הפעלה של מכשיר חדש או איפוס להגדרות המקוריות המכשיר, מעבירים את signinEnrollmentToken למכשיר (באמצעות קוד QR, NFC bump וכו') או לבקש מהמשתמשים להזין את האסימון באופן ידני. המכשיר פותחים את כתובת ה-URL לכניסה שצוינה בשלב 1.
    2. מכשירים בבעלות אישית: יש לבקש מהמשתמשים להוסיף פרופיל עבודה מ: 'הגדרות'. כאשר תוצג למשתמש בקשה לכך, סורקת קוד QR שמכיל את signinEnrollmentToken או מזינים את את האסימון באופן ידני. המכשיר יפתח את כתובת ה-URL לכניסה שצוינה בשלב 1.
    3. מכשירים בבעלות אישית: צריך לספק למשתמשים אסימון רישום , שבו אסימון הרישום הוא signinEnrollmentToken המכשיר יפתח את כתובת ה-URL שצוינה לכניסה בשלב 1.
  3. בודקים אם Google כבר אימתה את המשתמש. להורדת המכשיר פרטי הקצאת מידע (במהלך רישום מכשיר) באמצעות פרמטר GET provisioningInfo ומחפשים ערך בשדה authenticatedUserEmail אם קיים ערך בשדה הזה, המשתמש היה כבר אומתה בהצלחה על ידי Google, ואפשר להשתמש בזהות הזו ללא אימות נוסף.

  4. אם Google עדיין לא אימתה את המשתמש, אז כתובת ה-URL לכניסה שלך צריך לבקש מהמשתמשים להזין את פרטי הכניסה שלהם. על סמך הזהות שלהם, יכול לקבוע את המדיניות המתאימה ולקבל את הקצאת המכשיר מידע (במהלך רישום מכשיר) באמצעות הפרמטר GET provisioningInfo

  5. קוראים לפונקציה enrollmentTokens.create ומציינים את policyId המתאים. על סמך פרטי הכניסה של המשתמש.

  6. מחזירים את אסימון הרישום שנוצר בשלב 5 באמצעות הפניה אוטומטית של כתובת URL, ב- טופס https://enterprise.google.com/android/enroll?et=<token>.

שיטת קוד QR

Android מגרסה 7.0 ואילך

כדי להקצות מכשיר בבעלות החברה, אפשר ליצור קוד QR" קוד ולהציג אותו במסוף ה-EMM:

  1. במכשיר חדש או במכשיר שאופס להגדרות המקוריות, המשתמש (בדרך כלל אדמין ב-IT) מקיש על מסך שש פעמים באותו מקום. הפעולה הזו גורמת למכשיר להציג בקשה שהמשתמש יסרוק את קוד ה-QR.
  2. המשתמש סורק את קוד ה-QR שאתם מציגים במסוף הניהול (או כדי לרשום ולהקצות את המכשיר.

שיטת NFC

Android מגרסה 6.0 ואילך

בשיטה הזו צריך ליצור אפליקציה של מתכנת NFC שמכילה את הפונקציה אסימון הרישום, המדיניות הראשונית ותצורת ה-Wi-Fi, ההגדרות והכל פרטים אחרים של ניהול הקצאות שנדרש על ידי הלקוח שלך כדי להקצות במכשיר מנוהל או ייעודי. כשאתם או הלקוחות שלכם מתקינים את ה-NFC שהוא מתכנת במכשיר מבוסס Android, המכשיר הזה הופך למתכנת במכשיר.

הנחיות מפורטות לגבי תמיכה בשיטת ה-NFC זמינות ב-Play EMM מפתח API התיעוד. האתר כולל גם קוד לדוגמה של ברירת המחדל פרמטרים שהועברו ב-push למכשיר בתנועת NFC. כדי להתקין את Device Policy ל-Android, צריך להגדיר את ההורדה המיקום של חבילת מנהל המכשיר אל:

https://play.google.com/managed/downloadManagingApp?identifier=setup

שיטת מזהה DPC

אם לא ניתן להוסיף את Android Device Policy באמצעות קוד QR או NFC, משתמש או אדמין ב-IT יכול לבצע את השלבים הבאים כדי להקצות מכשיר בבעלות החברה:

  1. פועלים לפי ההוראות באשף ההגדרה במכשיר חדש או במכשיר שאופס להגדרות המקוריות.
  2. עליך להזין את פרטי ההתחברות ל-Wi-Fi כדי לחבר את המכשיר לאינטרנט.
  3. כשמוצגת בקשה להיכנס לחשבון, מזינים afw#setup, שמוריד את Android מדיניות המכשיר.
  4. צריך לסרוק קוד QR או להזין באופן ידני אסימון רישום כדי להקצות את המכשיר.

הרשמה דרך הארגון

Android 8.0 ואילך (Pixel 7.1 ואילך)

מכשירים שנרכשו ממפיץ מורשה ללא מגע עומדים בדרישות של הרשמה דרך הארגון, שיטה יעילה להגדרה מראש של מכשירים להקצות את עצמם באופן אוטומטי בהפעלה הראשונה.

ארגונים יכולים ליצור הגדרות עם פרטי הקצאת הרשאות ידנית במכשירים ללא מגע שלהם, דרך הפורטל להרשמה דרך הארגון. או באמצעות מסוף ה-EMM (יש לעיין ב-API ללקוחות ללא מגע). בראשון להפעיל אותו, מכשיר ללא מגע בודק אם הוקצתה לו הגדרה אישית. אם כן, המכשיר מוריד את Android Device Policy, ואז מסיים את ההגדרה של המכשיר באמצעות התוספות להקצאת הרשאות ידנית שצוינו בהגדרות שהוקצתה לו.

אם הלקוחות שלך משתמשים בפורטל ההרשמה דרך הארגון, הם צריכים לבחור את Android Device Policy בתור ה-DPC של EMM לכל הגדרה שהם יוצרים. הוראות מפורטות לשימוש בפורטל, כולל הוראות ליצירת ולהקצות תצורות למכשירים, זמינות ב-Android Enterprise במרכז העזרה.

אם אתם מעדיפים שהלקוחות שלכם יגדירו ותקצה הגדרות אישיות ישירות מסוף EMM, עליך לשלב את ממשק ה-API של לקוחות ללא מגע. מתי כשיוצרים הגדרה, צריך לציין תוספות להקצאת הקצאות שדה dpcExtras. קטע הקוד הבא בפורמט JSON מציג דוגמה בסיסית למה שצריך לכלול ב-dpcExtras, עם אסימון כניסה נוסף.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

הפעלת אפליקציה במהלך ההגדרה

פעולת הגדרה
איור 2. הפעלת אפליקציה באמצעות setupActions במהלך ההגדרה.

ב-policies, אפשר להגדיר אפליקציה אחת להפעלה של Android Device Policy במהלך ההגדרה של המכשיר או פרופיל העבודה. לדוגמה, תוכלו להפעיל אפליקציית VPN כדי המשתמשים יכולים לקבוע הגדרות VPN כחלק מתהליך ההגדרה. האפליקציה חייבת להחזיר את הערך RESULT_OK כדי לסמן שההשלמה הושלמה ולאפשר ל-Android Device Policy להשלים את ניהול ההקצאות של המכשיר או פרופיל העבודה. כדי להפעיל אפליקציה במהלך ההגדרה:

צריך לוודא שהשדה installType של האפליקציה הוא REQUIRED_FOR_SETUP. אם האפליקציה לא יכולה להיות מותקנת או הופעלה במכשיר, ניהול ההקצאות ייכשל.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

צריך להוסיף את שם החבילה של האפליקציה אל setupActions. שימוש ב-title וב-description כדי להגדיר הוראות שמוצגות למשתמשים.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

כדי להבדיל בין הפעלה של אפליקציה לבין launchApp, הפעילות ש הושק לראשונה כחלק מהאפליקציה מכיל את הערך הבוליאני של Intent com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (מוגדר ל- true). תוספת זו מאפשרת לך להתאים אישית את האפליקציה בהתאם הושקה על ידי setupActions או על ידי משתמש.

לאחר שהאפליקציה מחזירה את RESULT_OK, אפליקציית ' Device Policy למכשירי Android' משלימה את שאר השלבים הנדרשים כדי להקצות את המכשיר או פרופיל העבודה.

ביטול ההרשמה במהלך ההגדרה

האפליקציה שהושקה בתור SetupAction יכולה לבטל את הרישום החוזר של האפליקציה RESULT_FIRST_USER.

ביטול הרישום מאפס מכשיר בבעלות החברה או ימחק את העבודה במכשיר בבעלות אישית.

הערה: ביטול הרישום יפעיל את הפעולה ללא המשתמש תיבת דו-שיח לאישור. באחריות האפליקציה להציג תיאור מתאים תיבת דו-שיח עם שגיאה למשתמש לפני החזרת RESULT_FIRST_USER.

החלת מדיניות על מכשירים חדשים שנרשמו

השיטה שבה תשתמשו כדי להחיל מדיניות על מכשירים חדשים שרשמתם תלויה בכם הדרישות של הלקוחות שלך. אלה הגישות השונות שזמינות להשתמש ב:

  • (מומלץ) כשיוצרים אסימון רישום, אפשר לציין שם המדיניות (policyName) שתקושר בהתחלה אל במכשיר. כשרושמים מכשיר באמצעות האסימון, המדיניות מוגדרת באופן אוטומטי הוחלו על המכשיר.

  • הגדרה של מדיניות כמדיניות ברירת המחדל לארגון. אם לא צוין שם מדיניות מצוין באסימון הרישום, וקיימת מדיניות שהשם שלה enterprises/<enterprise_id>/policies/default, בכל מכשיר חדש מקושר באופן אוטומטי למדיניות ברירת המחדל בזמן הרישום.

  • הרשמה לנושא של Cloud Pub/Sub כדי קבלת התראות לגבי מכשירים חדשים שנרשמו. בתגובה ל התראה של ENROLLMENT, יש להתקשר למספר enterprises.devices.patch למספר לקשר את המכשיר למדיניות.

רישום מכשיר ללא מדיניות

אם מכשיר רשום ללא מדיניות תקפה, המכשיר מוצב להסגר. מכשירים שנמצאים בהסגר חסומים לשימוש בכל הפונקציות של המכשיר עד שהמכשיר מקושר למדיניות.

אם המכשיר לא מקושר למדיניות תוך חמש דקות, יש לרשום את המכשיר הפעולה תיכשל והמכשיר מאופס להגדרות המקוריות. כשמצב המכשיר בהסגר מספק הזדמנות ליישם בדיקות רישוי או אמצעי אימות אחרים להרשמה תהליכים כחלק מהפתרון שלכם.

תהליך עבודה לדוגמה של בדיקת רישוי

  1. מכשיר רשום ללא מדיניות ברירת מחדל או מדיניות ספציפית.
  2. כדאי לבדוק כמה רישיונות נותרו לארגון.
  3. אם יש רישיונות זמינים, אפשר להשתמש ב-devices.patch כדי לצרף המדיניות במכשיר, ואז להקטין את מספר הרישיונות. אם אין רישיונות זמינים, יש להשתמש ב-devices.patch כדי להשבית את המכשיר. לחלופין, ה-API מאפס להגדרות המקוריות כל מכשיר שלא מחובר המדיניות בתוך חמש דקות ממועד הרישום.