Inscribe y aprovisiona un dispositivo

El aprovisionamiento es el proceso de configurar un dispositivo para que un enterprise lo administre con policies. Durante el proceso, el dispositivo instala Android Device Policy, que se usa para recibir y aplicar policies. Si el aprovisionamiento se realiza correctamente, la API crea un objeto devices que vincula el dispositivo a una empresa.

La API de Android Management usa tokens de inscripción para activar el proceso de aprovisionamiento. El token de inscripción y el método de aprovisionamiento que uses establecen la propiedad del dispositivo (personal o empresarial) y el modo de administración (perfil de trabajo o dispositivo completamente administrado).

Un sistema de cuotas controla la cantidad de dispositivos que puede administrar cada proyecto. Debes solicitar la cuota inicial de dispositivos antes de poder aprovisionar tu primer dispositivo.

Dispositivos personales

Android 5.1 y versiones posteriores

Los dispositivos que son propiedad de los empleados se pueden configurar con un perfil de trabajo. Un perfil de trabajo proporciona un espacio autónomo para las apps y los datos laborales, separado de las apps y los datos personales. La mayoría de las policies de administración de apps, datos y otros elementos solo se aplican al perfil de trabajo, mientras que las apps y los datos personales del empleado permanecen privados.

Para configurar un perfil de trabajo en un dispositivo personal, crea un token de inscripción (asegúrate de que allowPersonalUsage esté configurado como PERSONAL_USAGE_ALLOWED) y usa uno de los siguientes métodos de aprovisionamiento:

Dispositivos empresariales para uso personal y laboral

Android 8 y versiones posteriores

Configurar un dispositivo de la empresa con un perfil de trabajo permite usar el dispositivo para fines laborales y personales. En dispositivos empresariales con perfiles de trabajo, haz lo siguiente:

Para configurar un dispositivo empresarial con un perfil de trabajo, crea un token de inscripción (asegúrate de que allowPersonalUsage esté configurado como PERSONAL_USAGE_ALLOWED) y usa uno de los siguientes métodos de aprovisionamiento:

Dispositivos empresariales para uso laboral exclusivo

Android 5.1 y versiones posteriores

La administración completa del dispositivo es adecuada para los dispositivos empresariales cuyo uso sea exclusivamente para trabajo. Las empresas pueden administrar todas las apps del dispositivo y aplicar todo el espectro de políticas y comandos de la API de Android Management.

También es posible bloquear un dispositivo (a través de una política) para que solo se pueda usar una app o un pequeño conjunto de apps con un propósito o caso de uso específico. Este subconjunto de dispositivos completamente administrados se conoce como dispositivos dedicados. Los tokens de inscripción para estos dispositivos deben tener allowPersonalUsage establecido en PERSONAL_USAGE_DISALLOWED_USERLESS.

Para configurar la administración completa en un dispositivo empresarial, crea un token de inscripción, asegúrate de que allowPersonalUsage esté configurado como PERSONAL_USAGE_DISALLOWED o PERSONAL_USAGE_DISALLOWED_USERLESS, y usa uno de los siguientes métodos de aprovisionamiento.

Las políticas pueden afectar la generación de la IU durante el aprovisionamiento del dispositivo. Estas políticas son las siguientes:

Si quieres que los pasos de la contraseña se muestren junto con la instalación de apps de trabajo y las tarjetas de registro del dispositivo durante el aprovisionamiento del dispositivo, te sugerimos que actualices tus políticas para retrasar el inicio de la generación de la IU manteniendo el dispositivo en un estado de cuarentena, que se produce si se inscribe sin una política asociada, hasta que se especifique la política final seleccionada para la configuración del dispositivo completada con elementos relevantes para tus necesidades de configuración. Una vez que se complete el aprovisionamiento del dispositivo, podrás cambiar la política según sea necesario.

Crea un token de inscripción

Descripción general de Android Management
Figura 1: Crea un token que inscriba y aplique "policy1" a los dispositivos. El token vence después de 1,800 segundos (30 minutos).

Necesitas un token de inscripción para cada dispositivo que quieras inscribir (puedes usar el mismo token para varios dispositivos). Para solicitar un token de inscripción, llama a enterprises.enrollmentTokens.create. De forma predeterminada, los tokens de inscripción vencen después de una hora, pero puedes especificar un tiempo de vencimiento personalizado (duration) de hasta aproximadamente 10,000 años.

Una solicitud exitosa devuelve un objeto enrollmentToken que contiene un enrollmentTokenId y un qrcode que los administradores de TI y los usuarios finales pueden usar para aprovisionar dispositivos.

Especifica una política

También puedes especificar un policyName en la solicitud para aplicar una política al mismo tiempo que se inscribe un dispositivo. Si no especificas un policyName, consulta Cómo inscribir un dispositivo sin una política.

Especifica el uso personal

allowPersonalUsage determina si se puede agregar un perfil de trabajo al dispositivo durante el aprovisionamiento. Se establece en PERSONAL_USAGE_ALLOWED para permitir que un usuario cree un perfil de trabajo (obligatorio para dispositivos personales y opcional para dispositivos de la empresa).

Acerca de los códigos QR

Los códigos QR funcionan como un método eficiente de aprovisionamiento de dispositivos para las empresas que mantienen muchas políticas diferentes. El código QR que se devuelve desde enterprises.enrollmentTokens.create se compone de una carga útil de pares clave-valor que contiene un token de inscripción y toda la información necesaria para que Android Device Policy aprovisione un dispositivo.

Ejemplo de paquete de códigos QR

El paquete incluye la ubicación de descarga de Android Device Policy y un token de inscripción.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Puedes usar el código QR que se devuelve de enterprises.enrollmentTokens.create directamente o personalizarlo. Para obtener una lista completa de las propiedades que puedes incluir en un paquete de códigos QR, consulta Cómo crear un código QR.

Para convertir la cadena qrcode en un código QR que se pueda escanear, usa un generador de códigos QR, como ZXing.

Métodos de aprovisionamiento

En esta sección, se describen diferentes métodos para aprovisionar un dispositivo.

Cómo agregar un perfil de trabajo desde "Configuración"

Android 5.1 y versiones posteriores

Para configurar un perfil de trabajo en su dispositivo, el usuario puede hacer lo siguiente:

  1. Ve a Configuración > Google > Configurar y restablecer.
  2. Presiona Configura tu perfil de trabajo.

Estos pasos inician un asistente de configuración que descarga Android Device Policy en el dispositivo. A continuación, se le pedirá al usuario que escanee un código QR o que ingrese manualmente un token de inscripción para completar la configuración del perfil de trabajo.

Descarga Android Device Policy

Android 5.1 y versiones posteriores

Para configurar un perfil de trabajo en su dispositivo, el usuario puede descargar Android Device Policy desde Google Play Store. Después de instalar la app, se le pedirá al usuario que escanee un código QR o que ingrese manualmente un token de inscripción para completar la configuración del perfil de trabajo.

Android 5.1 y versiones posteriores

Con el token de inscripción que se devolvió desde enrollmentTokens.create o el signinEnrollmentToken de la empresa, genera una URL con el siguiente formato:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Puedes proporcionar esta URL a los administradores de TI, quienes pueden proporcionársela a sus usuarios finales. Cuando un usuario final abra el vínculo desde su dispositivo, se lo guiará por la configuración del perfil de trabajo.

URL de acceso

Con este método, se dirige a los usuarios a una página para que ingresen la información adicional necesaria para completar el aprovisionamiento. Según la información que ingresa el usuario, puedes calcular la política adecuada para él antes de continuar con el aprovisionamiento del dispositivo. Por ejemplo:

  1. Especifica tu URL de acceso en enterprises.signInDetails[]. Establece allowPersonalUsage en PERSONAL_USAGE_ALLOWED si quieres permitir que un usuario cree un perfil de trabajo (obligatorio para dispositivos personales y opcional para dispositivos empresariales).

    Agrega el signinEnrollmentToken resultante como un extra de aprovisionamiento a un código QR, una carga útil de NFC o una configuración de inscripción automática. Como alternativa, puedes proporcionar el signinEnrollmentToken a los usuarios directamente.

  2. Elige una opción:

    1. Dispositivos empresariales: Después de encender un dispositivo nuevo o restablecido a la configuración de fábrica, pasa el signinEnrollmentToken al dispositivo (a través de un código QR, una transmisión de NFC, etcétera) o pide a los usuarios que ingresen el token de forma manual. El dispositivo abrirá la URL de acceso especificada en el paso 1.
    2. Dispositivos personales: Pídeles a los usuarios que agreguen un perfil de trabajo desde "Configuración". Cuando se le solicite, el usuario escaneará un código QR que contenga el signinEnrollmentToken o ingresará el token de forma manual. El dispositivo abrirá la URL de acceso especificada en el paso 1.
    3. Dispositivos personales: Proporciona a los usuarios un vínculo al token de inscripción, en el que el token de inscripción es signinEnrollmentToken. El dispositivo abrirá la URL de acceso especificada en el paso 1.

  3. Verifica si Google ya autenticó al usuario. Obtén la información de aprovisionamiento del dispositivo (durante la inscripción del dispositivo) con el parámetro GET provisioningInfo y verifica si hay un valor para el campo authenticatedUserEmail. Si hay un valor en este campo, Google ya autenticó correctamente al usuario y puedes usar esta identidad sin más autenticación.

  4. Si Google aún no autenticó al usuario, la URL de acceso debe solicitar a los usuarios que ingresen sus credenciales. Según su identidad, puedes determinar la política adecuada y obtener la información de aprovisionamiento del dispositivo (durante la inscripción del dispositivo) con el parámetro GET provisioningInfo.

  5. Llama a enrollmentTokens.create y especifica el policyId adecuado según las credenciales del usuario.

  6. Devuelve el token de inscripción generado en el paso 5 con un redireccionamiento de URL, en el formato https://enterprise.google.com/android/enroll?et=<token>.

Método de código QR

Android 7.0 y versiones posteriores

Para aprovisionar un dispositivo empresarial, puedes generar un código QR y mostrarlo en tu consola de EMM:

  1. En un dispositivo nuevo o con restablecimiento de la configuración de fábrica, el usuario (por lo general, un administrador de TI) presiona la pantalla seis veces en el mismo punto. Esto hace que el dispositivo le solicite al usuario que escanee un código QR.
  2. El usuario escanea el código QR que se muestra en la consola de administración (o en una aplicación similar) para inscribir y aprovisionar el dispositivo.

Método de NFC

Android 6.0 y versiones posteriores

Este método requiere que crees una app de programador de NFC que contenga el token de inscripción, las políticas iniciales y la configuración de Wi-Fi, los parámetros de configuración y todos los demás detalles de aprovisionamiento que tu cliente necesite para aprovisionar un dispositivo dedicado o completamente administrado. Cuando tú o tu cliente instalan la app de programador de NFC en un dispositivo con Android, ese dispositivo se convierte en el dispositivo programador.

En la documentación para desarrolladores de la API de Play EMM, se proporciona orientación detallada sobre cómo admitir el método NFC. El sitio también incluye muestras de código de los parámetros predeterminados que se envían a un dispositivo cuando se transmite una etiqueta NFC. Para instalar Android Device Policy, establece la ubicación de descarga del paquete de administrador de dispositivos en:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Método de identificación del DPC

Si no se puede agregar la Política de dispositivos Android con un código QR o NFC, un usuario o administrador de TI puede seguir estos pasos para aprovisionar un dispositivo empresarial:

  1. Sigue el asistente de configuración en un dispositivo nuevo o restablecido a la configuración de fábrica.
  2. Ingresa los detalles de acceso a la red Wi-Fi para conectar el dispositivo a Internet.
  3. Cuando se te solicite acceder, ingresa afw#setup, que descarga la Política de dispositivos Android.
  4. Escanea un código QR o ingresa manualmente un token de inscripción para aprovisionar el dispositivo.

Inscripción automática

Android 8.0 y versiones posteriores (Pixel 7.1 y versiones posteriores)

Los dispositivos comprados a un revendedor autorizado con inscripción automática son aptos para la inscripción automática, un método optimizado para preconfigurar dispositivos de modo que se aprovisionen automáticamente en el primer inicio.

Las organizaciones pueden crear configuraciones que contengan detalles de aprovisionamiento para sus dispositivos de inscripción automática, ya sea a través del portal de inscripción automática o con la consola de EMM (consulta la API de cliente para la inscripción automática). En el primer inicio, un dispositivo con inscripción automática verifica si se le asignó una configuración. Si es así, el dispositivo descargará Android Device Policy, que luego completará la configuración del dispositivo con los elementos adicionales de aprovisionamiento especificados en su configuración asignada.

Si tus clientes usan el portal de inscripción automática, deben seleccionar Android Device Policy como el DPC de EMM para cada configuración que creen. En el Centro de ayuda de Android Enterprise, se encuentran disponibles instrucciones detalladas para usar el portal, incluido cómo crear y asignar configuraciones a los dispositivos.

Si prefieres que tus clientes establezcan y asignen configuraciones directamente desde tu consola de EMM, debes realizar la integración con la API de cliente para la inscripción automática. Cuando crees una configuración, especifica los elementos adicionales de aprovisionamiento en el campo dpcExtras. En el siguiente fragmento de código JSON, se muestra un ejemplo básico de lo que se debe incluir en dpcExtras, con un token de acceso agregado.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Cómo iniciar una app durante la configuración

setupaction
Figura 2. Usa setupActions para iniciar una app durante la configuración.

En policies, puedes especificar una app para que Android Device Policy la inicie durante la configuración del dispositivo o del perfil de trabajo. Por ejemplo, podrías iniciar una app de VPN para que los usuarios configuren los parámetros de configuración de la VPN como parte del proceso de configuración. La app debe devolver RESULT_OK para indicar que se completó la acción y permitir que Android Device Policy complete el aprovisionamiento del dispositivo o del perfil de trabajo. Para iniciar una app durante la configuración, sigue estos pasos:

Asegúrate de que el installType de la app sea REQUIRED_FOR_SETUP. Si no se puede instalar o iniciar la app en el dispositivo, fallará el aprovisionamiento.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Agrega el nombre del paquete de la app a setupActions. Usa title y description para especificar instrucciones para el usuario.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Para distinguir que una app se inicia desde launchApp, la actividad que se inicia primero como parte de la app contiene el extra de intent booleano com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (establecido en true). Este extra te permite personalizar tu app según si se inicia desde setupActions o por un usuario.

Después de que la app devuelve RESULT_OK, Android Device Policy completa los pasos restantes necesarios para aprovisionar el dispositivo o el perfil de trabajo.

Cómo cancelar la inscripción durante la configuración

La app iniciada como SetupAction puede cancelar la inscripción y devolver RESULT_FIRST_USER.

Si se cancela la inscripción, se restablece un dispositivo empresarial o se borra el perfil de trabajo en un dispositivo personal.

Nota: Si cancelas la inscripción, se activará la acción sin un diálogo de confirmación del usuario. Es responsabilidad de la app mostrar un diálogo de error adecuado al usuario antes de devolver RESULT_FIRST_USER.

Aplica una política a los dispositivos recién inscritos

El método que uses para aplicar políticas a los dispositivos recién inscritos depende de ti y de los requisitos de tus clientes. Estos son los diferentes enfoques que puedes usar:

  • (Recomendado) Cuando crees un token de inscripción, puedes especificar el nombre de la política (policyName) que se vinculará inicialmente al dispositivo. Cuando inscribes un dispositivo con el token, la política se aplica automáticamente al dispositivo.

  • Establece una política como la predeterminada para una empresa. Si no se especifica ningún nombre de política en el token de inscripción y hay una política con el nombre enterprises/<enterprise_id>/policies/default, cada dispositivo nuevo se vinculará automáticamente a la política predeterminada en el momento de la inscripción.

  • Suscríbete a un tema de Cloud Pub/Sub para recibir notificaciones sobre los dispositivos recién inscritos. En respuesta a una notificación de ENROLLMENT, llama a enterprises.devices.patch para vincular el dispositivo con una política.

Inscribe un dispositivo sin una política

Si un dispositivo se inscribe sin una política válida, se lo pone en cuarentena. Los dispositivos en cuarentena no pueden usar ninguna función hasta que se vinculen a una política.

Si un dispositivo no se vincula a una política en cinco minutos, se produce un error en la inscripción del dispositivo y se restablece la configuración de fábrica. El estado de cuarentena del dispositivo te brinda la oportunidad de implementar verificaciones de licencias o cualquier otro proceso de validación de inscripción como parte de tu solución.

Ejemplo de flujo de trabajo de verificación de licencias

  1. El dispositivo se inscribe sin una política predeterminada o específica.
  2. Comprobar cuántas licencias le quedan a la empresa
  3. Si hay licencias disponibles, usa devices.patch para adjuntar una política al dispositivo y, luego, disminuye el recuento de licencias. Si no hay licencias disponibles, usa devices.patch para inhabilitar el dispositivo. Como alternativa, la API restablece la configuración de fábrica de cualquier dispositivo que no esté asociado a una política en un plazo de cinco minutos después de la inscripción.