Gerät registrieren und bereitstellen

Bei der Bereitstellung wird ein Gerät eingerichtet, das mithilfe von policies durch enterprise Während der Installation auf dem Gerät Android Device Policy zum Empfangen und Erzwingen von policies Wenn die Bereitstellung erfolgreich war, erstellt die API ein devices-Objekt, das die einem Unternehmen zu übertragen.

Die Android Management API verwendet Registrierungstokens, um die Bereitstellung auszulösen . Mit dem Registrierungstoken und der Bereitstellungsmethode, die Sie verwenden, wird ein Geräteeigentümerschaft (private oder unternehmenseigene Geräte) und Verwaltungsmodus (Arbeit) oder ein vollständig verwaltetes Gerät).

Private Geräte

Android 5.1 oder höher

Auf Geräten, die Mitarbeitern gehören, kann ein Arbeitsprofil eingerichtet werden. Ein Arbeitsprofil bietet einen eigenständigen, vom privaten Bereich getrennten Bereich für geschäftliche Apps und Daten. Apps und Daten. Die meisten App-, Daten- und anderen Verwaltungsfunktionen policies gelten für das nur das Arbeitsprofil verwendet, während die privaten Apps und Daten des Mitarbeiters privat bleiben.

Wenn Sie ein Arbeitsprofil auf einem privaten Gerät einrichten möchten, erstellen Sie eine Registrierung Token (allowPersonalUsage muss auf PERSONAL_USAGE_ALLOWED) und verwenden Sie eine der folgenden Bereitstellungsmethoden:

Unternehmenseigene Geräte für die Arbeit und den privaten Gebrauch

Android 8 oder höher

Wenn Sie ein unternehmenseigenes Gerät mit einem Arbeitsprofil einrichten, für den beruflichen und privaten Gebrauch. Auf unternehmenseigenen Geräten mit Arbeitsprofilen:

Wenn Sie ein unternehmenseigenes Gerät mit einem Arbeitsprofil einrichten möchten, erstellen Sie eine Registrierung Token (stellen Sie sicher, allowPersonalUsage ist auf PERSONAL_USAGE_ALLOWED gesetzt) und verwenden eine der folgenden Bereitstellungsmethoden:

Unternehmenseigene Geräte, die ausschließlich für geschäftliche Zwecke verwendet werden

Android 5.1 oder höher

Die vollständige Geräteverwaltung eignet sich für unternehmenseigene Geräte, auf denen ausschließlich für Arbeitszwecke. Unternehmen können alle Apps auf dem Gerät und kann das gesamte Spektrum der Richtlinien und Befehle der Android Management API erzwingen.

Sie können ein Gerät auch über eine Richtlinie für eine einzelne App oder kleine Gruppe von Apps für einen speziellen Zweck oder Anwendungsfall Diese Untergruppe vollständiger Verwaltete Geräte werden als dedizierte Geräte bezeichnet. Registrierungstokens für Für diese Geräte muss allowPersonalUsage auf PERSONAL_USAGE_DISALLOWED_USERLESS

Wenn Sie die vollständige Verwaltung auf einem unternehmenseigenen Gerät einrichten möchten, und sicherstellen, dass allowPersonalUsage auf PERSONAL_USAGE_DISALLOWED oder PERSONAL_USAGE_DISALLOWED_USERLESS, und verwenden Sie eine der folgenden Bereitstellungsmethoden.

Richtlinien können sich auf die Generierung der UI bei der Gerätebereitstellung auswirken. Zu diesen Richtlinien gehören:

Wenn Sie möchten, dass neben der Installation geschäftlicher Apps Passwortschritte angezeigt werden Geräteregisterkarten während der Gerätebereitstellung aktualisiert werden, um den Start der Generierung der Benutzeroberfläche zu verzögern, indem das Gerät in einem Quarantänestatus, der auftritt, wenn das Konto ohne zugehörige Richtlinie registriert wurde, bis die endgültige ausgewählte Richtlinie für die Geräteeinrichtung mit Elementen festgelegt wird die für Ihre Einrichtungsanforderungen relevant sind. Sobald die Gerätebereitstellung abgeschlossen ist, abgeschlossen ist, können Sie die Richtlinie ändern: erforderlich.


Registrierungstoken erstellen

<ph type="x-smartling-placeholder">
</ph> Android Management – Übersicht
Abbildung 1: Token erstellen, das „policy1“ registriert und anwendet auf Geräte übertragen werden. Nach 1.800 Sekunden (30 Minuten) läuft das Token ab.

Sie benötigen ein Registrierungstoken für jedes Gerät, das Sie registrieren möchten. Sie können dasselbe Token für mehrere Geräte verwenden. Rufen Sie zum Anfordern eines Registrierungstokens folgenden Befehl auf: enterprises.enrollmentTokens.create Registrierungstokens laufen nach einem Stunde standardmäßig (Stunde), Sie können aber eine benutzerdefinierte Ablaufzeit (duration) festlegen bis zu 10.000 Jahre alt sein.

Bei einer erfolgreichen Anfrage wird ein enrollmentToken-Objekt zurückgegeben, das ein enrollmentTokenId und eine qrcode, die IT-Administratoren und Endnutzer für Folgendes verwenden können: Geräte bereitzustellen.

Richtlinie angeben

Sie können in der Anfrage zum Anwenden einer Richtlinie auch eine policyName angeben zur selben Zeit, zu der ein Gerät registriert wird. Wenn Sie keinen policyName angeben, lesen Sie Geräte ohne Richtlinie registrieren

Persönliche Nutzung angeben

allowPersonalUsage legt fest, ob dem Gerät ein Arbeitsprofil hinzugefügt werden kann während der Bereitstellung. Legen Sie PERSONAL_USAGE_ALLOWED fest, damit Nutzer Folgendes erstellen können: Arbeitsprofil (erforderlich für private Geräte, optional für unternehmenseigene Geräte) Geräte).


Über QR-Codes

QR-Codes sind eine effiziente Methode für die Gerätebereitstellung in Unternehmen, die unterschiedliche Richtlinien verwalten. Der QR-Code, der von enterprises.enrollmentTokens.create besteht aus einer Nutzlast von Schlüssel/Wert-Paaren. Es enthält ein Registrierungstoken und alle Informationen, die für Android Device Policy, um ein Gerät bereitzustellen.

Beispiel für ein QR-Code-Bundle

Das Paket enthält den Downloadpfad von Android Device Policy und ein Registrierungstoken.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Du kannst den QR-Code verwenden, den du von enterprises.enrollmentTokens.create erhalten hast direkt bearbeiten oder anpassen. Eine vollständige Liste der Eigenschaften, die Sie in eines QR-Code-Bundles, siehe QR-Code erstellen.

Verwende einen QR-Code-Generator, um den String qrcode in einen scannbaren QR-Code umzuwandeln wie ZXing.


Bereitstellungsmethoden

In diesem Abschnitt werden verschiedene Methoden zur Bereitstellung eines Geräts beschrieben.

Arbeitsprofil über „Einstellungen“ hinzufügen

Android 5.1 oder höher

So können Nutzer ein Arbeitsprofil auf ihrem Gerät einrichten:

  1. Gehen Sie zu Einstellungen > Google > Einrichtung und Wiederherstellen.
  2. Tippen Sie auf Arbeitsprofil einrichten.

Mit diesen Schritten wird ein Einrichtungsassistent gestartet, der Android Device Policy auf die . Als Nächstes wird der Nutzer aufgefordert, einen QR-Code oder Sie müssen ein Registrierungstoken manuell eingeben, um die Einrichtung des Arbeitsprofils abzuschließen.

Android Device Policy herunterladen

Android 5.1 oder höher

Zur Einrichtung eines Arbeitsprofils auf seinem Gerät kann ein Nutzer Android-Gerät aus dem Google Play Store. Nach der Installation der App wird der Nutzer aufgefordert, einen QR-Code einzugeben oder manuell einen Registrierungstoken, um die Einrichtung des Arbeitsprofils abzuschließen.

Android 5.1 oder höher

Mit dem von enrollmentTokens.create zurückgegebenen Registrierungstoken oder dem signinEnrollmentToken des Unternehmens, generiert eine URL im folgenden Format:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Sie können diese URL an IT-Administratoren weitergeben, damit sie sie an ihre Endnutzer weitergeben können. Wenn Endnutzer den Link auf ihrem Gerät öffnen, werden sie durch Arbeitsprofil einrichten.

Anmelde-URL

Bei dieser Methode werden Nutzer auf eine Seite weitergeleitet, auf der sie zusätzliche Informationen, die für die Bereitstellung erforderlich sind. Basierend auf den Informationen, gibt, können Sie die entsprechende Richtlinie für den Nutzer berechnen, bevor Sie fortfahren. bei der Gerätebereitstellung. Beispiel:

  1. Geben Sie Ihre Anmelde-URL in enterprises.signInDetails[] an. Festlegen allowPersonalUsage bis PERSONAL_USAGE_ALLOWED, wenn Sie einem Nutzer erlauben möchten Um ein Arbeitsprofil zu erstellen (erforderlich für private Geräte, optional für unternehmenseigene Geräte).

    Fügen Sie die resultierende signinEnrollmentToken als zusätzliche Bereitstellung zu einem QR hinzu. Code, NFC-Nutzlast oder Zero-Touch Konfiguration. Alternativ können Sie den signinEnrollmentToken direkt an Nutzer.

  2. Wählen Sie eine Option aus:

    1. Unternehmenseigene Geräte:nach dem Einschalten eines neuen oder auf die Werkseinstellungen zurückgesetzten Geräts Gerät, gib die signinEnrollmentToken per QR-Code oder NFC an das Gerät weiter bump usw.) oder bitten Sie die Nutzer, das Token manuell einzugeben. Das Gerät wird Öffnen Sie die in Schritt 1 angegebene Anmelde-URL.
    2. Private Geräte:Bitten Sie Nutzer, ein Arbeitsprofil über „Einstellungen“. Wenn der Nutzer dazu aufgefordert wird, scannt einen QR-Code mit der signinEnrollmentToken oder gibt den Token manuell eingeben. Auf dem Gerät wird die in Schritt festgelegte Anmelde-URL geöffnet. 1.
    3. Private Geräte: Stellen Sie Nutzern ein Registrierungstoken zur Verfügung. Link, wobei das Registrierungstoken das signinEnrollmentToken Auf dem Gerät wird die angegebene Anmelde-URL geöffnet. in Schritt 1.
  3. Prüfen Sie, ob der Nutzer bereits von Google authentifiziert wurde. Gerät kaufen Bereitstellungsinformationen (während der Geräteregistrierung) mithilfe des GET-Parameters provisioningInfo und suchen Sie nach einem Wert für das Feld authenticatedUserEmail. Wenn dieses Feld einen Wert enthält, war der Nutzer wurde bereits von Google authentifiziert und Sie können diese Identität verwenden, ohne weitere Authentifizierung.

  4. Wenn Google den Nutzer noch nicht authentifiziert hat, ist Ihre Anmelde-URL Nutzer zur Eingabe ihrer Anmeldedaten auffordern. Aufgrund der Identität der Person, kann die passende Richtlinie ermitteln und die Gerätebereitstellung abrufen Informationen (während der Geräteregistrierung) mithilfe des GET-Parameters provisioningInfo

  5. Rufe enrollmentTokens.create auf und gib die entsprechende policyId an. die auf den Anmeldedaten des Nutzers basieren.

  6. Geben Sie das in Schritt 5 generierte Registrierungstoken mithilfe der URL-Weiterleitung im Formular https://enterprise.google.com/android/enroll?et=<token>.

QR-Code-Methode

Android 7.0 oder höher

Für die Bereitstellung eines unternehmenseigenen Geräts können Sie einen QR-Code generieren lassen Code und zeigen Sie ihn in Ihrer EMM-Konsole an:

  1. Auf einem neuen oder auf die Werkseinstellungen zurückgesetzten Gerät tippt der Nutzer (in der Regel ein IT-Administrator) auf die Bildschirm sechsmal an derselben Stelle. Dadurch wird das Gerät dazu aufgefordert, um einen QR-Code zu scannen.
  2. Der Nutzer scannt den QR-Code, den Sie in Ihrer Verwaltungskonsole anzeigen (oder ähnlichen Anwendungen), um das Gerät zu registrieren und bereitzustellen.

NFC-Methode

Android 6.0 oder höher

Bei dieser Methode müssen Sie eine NFC-Programmierer-App erstellen, die die Registrierungstoken, Anfangsrichtlinien, WLAN-Konfiguration, -Einstellungen und alles weitere Details, die Ihr Kunde benötigt, um ein verwalteten oder zweckbestimmten Geräts. Wenn Sie oder Ihr Kunde NFC installieren Programmierer-App auf einem Android-Gerät installiert, wird dieses Gerät zum Programmierer, .

Eine ausführliche Anleitung zur Unterstützung der NFC-Methode finden Sie im Google Play-EMM API-Entwickler Dokumentation. Die Website enthält auch Beispielcode der Standard- Parameter gesendet mit einem NFC-Bump. Richte den Download ein, um die Android Device Policy zu installieren Speicherort des Geräteverwaltungspakets an:

https://play.google.com/managed/downloadManagingApp?identifier=setup

DPC-Kennungsmethode

Wenn die Android Device Policy nicht per QR-Code oder NFC hinzugefügt werden kann, muss ein Nutzer oder IT-Administrator können Sie wie folgt ein unternehmenseigenes Gerät bereitstellen:

  1. Folgen Sie auf einem neuen oder auf den Werkszustand zurückgesetzten Gerät dem Einrichtungsassistenten.
  2. Gib die Wifi-Anmeldedaten ein, um das Gerät mit dem Internet zu verbinden.
  3. Wenn Sie zur Anmeldung aufgefordert werden, geben Sie afw#setup ein. Dadurch wird Android Geräterichtlinien.
  4. Scannen Sie einen QR-Code oder geben Sie manuell ein Registrierungstoken ein, um das Gerät bereitstellen.

Zero-Touch-Registrierung

Android 8.0 oder höher (Pixel 7.1 und höher)

Geräte, die bei einem autorisierten Zero-Touch-Reseller gekauft wurden, können Zero-Touch-Registrierung, eine optimierte Methode zur Vorkonfiguration von Geräten, werden beim ersten Start automatisch bereitgestellt.

Organisationen können Konfigurationen mit Bereitstellungsdetails für Zero-Touch-Geräte ihrer Kunden, entweder über das Portal für die Zero-Touch-Registrierung oder über die EMM-Konsole (siehe Zero-Touch-Kunden-API). Am ersten überprüft ein Zero-Touch-Gerät, ob ihm eine Konfiguration zugewiesen wurde. Wenn ja, lädt das Gerät die Android Device Policy herunter, wodurch die Einrichtung der Gerät mit den Bereitstellungsextrakten, die in der zugewiesenen Konfiguration angegeben sind.

Wenn Ihre Kunden das Portal für die Zero-Touch-Registrierung verwenden, müssen sie Android Device Policy als EMM-DPC für jede Konfiguration aus, erstellen. Detaillierte Anweisungen zur Verwendung des Portals, einschließlich einer Anleitung zum Erstellen und Zuweisen von Konfigurationen zu Geräten, sind in der Android Enterprise- Google Ads-Hilfe.

Wenn Sie es bevorzugen, dass Ihre Kunden Konfigurationen direkt über Ihr Die EMM-Konsole müssen Sie in die Zero-Touch-Kunden-API einbinden. Wann? Erstellen einer Konfiguration die Bereitstellungsoptionen im dpcExtras. Das folgende JSON-Snippet zeigt ein einfaches Beispiel dafür, in dpcExtras mit einem hinzugefügten Anmeldetoken aufnehmen.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

App während der Einrichtung starten

Setupaction
Abbildung 2. setupActions verwenden, um eine App zu starten während der Einrichtung.

In policies kannst du eine App angeben, die für Android Device Policy gestartet werden soll bei der Einrichtung des Geräts oder des Arbeitsprofils. Sie können beispielsweise eine VPN-App starten, Nutzer können VPN-Einstellungen im Rahmen der Einrichtung konfigurieren. Die App muss RESULT_OK zurückgeben, um den Vorgang zu signalisieren und Android Device Policy Folgendes zu gestatten: die Bereitstellung von Geräten oder Arbeitsprofilen abzuschließen. So starten Sie eine App während der Einrichtung:

Achten Sie darauf, dass für die installType der App REQUIRED_FOR_SETUP festgelegt ist. Wenn die App nicht installiert oder gestartet wurde, schlägt die Bereitstellung fehl.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Fügen Sie den Paketnamen der App zu setupActions hinzu. title und description für Folgendes verwenden: Anweisungen für den Nutzer anzugeben.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Um zu erkennen, ob eine App über launchApp gestartet wurde, wird die entsprechende Aktivität der erstmalig im Rahmen der App gestartet wurde, enthält den booleschen Intent „Extra“ com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (festgelegt auf true. Mit diesem Zusatz kannst du deine App je nachdem, vom setupActions oder einem Nutzer gestartet.

Nachdem die App RESULT_OK zurückgegeben hat, schließt Android Device Policy alle verbleibenden Schritte, die zur Bereitstellung des Geräts oder Arbeitsprofils erforderlich sind.

Registrierung während der Einrichtung abbrechen

Wenn die App als SetupAction gestartet wird, kann die Rückgabe der Registrierung abgebrochen werden RESULT_FIRST_USER

Durch die Stornierung der Registrierung wird ein unternehmenseigenes Gerät zurückgesetzt oder die Arbeit gelöscht auf einem privaten Gerät einrichten.

Hinweis: Durch das Abbrechen der Registrierung wird die Aktion ohne Nutzer ausgelöst. Bestätigungsdialogfeld. Es liegt in der Verantwortung der App, eine angemessene Anzeige Fehlerdialogfeld an den Nutzer, bevor RESULT_FIRST_USER zurückgegeben wird.

Richtlinie auf neu registrierte Geräte anwenden

Welche Methode Sie verwenden, um Richtlinien auf neu registrierte Geräte anzuwenden, bleibt Ihnen überlassen. die Anforderungen Ihrer Kundschaft zu erfüllen. Hier sind die verschiedenen Ansätze, verwenden:

  • (Empfohlen) Beim Erstellen eines Registrierungstokens können Sie Name der Richtlinie (policyName), die anfangs mit der . Wenn Sie ein Gerät mit dem Token registrieren, wird die Richtlinie automatisch auf das Gerät angewendet.

  • Legen Sie eine Richtlinie als Standardrichtlinie für ein Unternehmen fest. Wenn kein Richtlinienname im Registrierungstoken angegeben ist und es eine Richtlinie mit dem Namen gibt enterprises/<enterprise_id>/policies/default, jedes neue Gerät ist bei der Registrierung automatisch mit der Standardrichtlinie verknüpft wird.

  • Abonnieren Sie ein Cloud Pub/Sub-Thema, Benachrichtigungen über neu registrierte Geräte erhalten. Als Reaktion auf eine ENROLLMENT-Benachrichtigung, enterprises.devices.patch anrufen für Verknüpfen Sie das Gerät mit einer Richtlinie.

Gerät ohne Richtlinie registrieren

Wenn ein Gerät ohne gültige Richtlinie registriert wird, wird es in Quarantäne stellen. Geräte in Quarantäne werden für alle Gerätefunktionen blockiert, bis das Gerät mit einer Richtlinie verknüpft ist.

Wenn ein Gerät nicht innerhalb von fünf Minuten mit einer Richtlinie verknüpft ist, schlägt fehl und das Gerät wird auf die Werkseinstellungen zurückgesetzt. Der Quarantäne-Gerätestatus gibt Ihnen die Möglichkeit, Möglichkeit, Lizenzierungsprüfungen oder andere Registrierungsprüfungen durchzuführen Prozesse als Teil Ihrer Lösung.

Beispiel für einen Workflow für die Lizenzierungsprüfung

  1. Ein Gerät wird ohne Standardrichtlinie oder bestimmte Richtlinie registriert.
  2. Prüfen Sie, wie viele Lizenzen das Unternehmen noch hat.
  3. Wenn Lizenzen verfügbar sind, verwenden Sie devices.patch, um eine an das Gerät und senkt dann die Anzahl der Lizenzen. Wenn keine Lizenzen verfügbar, verwenden Sie devices.patch, um das Gerät zu deaktivieren. Alternativ setzt die API alle Geräte, die nicht mit einem innerhalb von fünf Minuten nach der Registrierung.