配置是设置要由 enterprise
使用 policies
管理的设备的过程。在此流程中,设备会安装 Android Device Policy,用于接收和强制执行 policies
。如果配置成功,API 会创建一个 devices
对象,将设备绑定到企业。
Android Management API 使用注册令牌来触发配置过程。您使用的注册令牌和配置方法可确定设备的所有权(个人所有或公司自有)和管理模式(工作资料或全代管式设备)。
个人所有的设备
Android 5.1 及更高版本
可以对员工拥有的设备设置工作资料。工作资料为工作应用和数据提供了一个与个人应用和数据分开存放的独立空间。大多数应用、数据和其他管理 policies
仅适用于工作资料,而员工的个人应用和数据会保持私密状态。
如需在个人拥有的设备上设置工作资料,请创建注册令牌(确保 allowPersonalUsage
设置为 PERSONAL_USAGE_ALLOWED
)并使用以下配置方法之一:
用于工作和个人用途的公司自有设备
Android 8 及更高版本
设置具有工作资料的公司自有设备后,该设备将同时用于工作和个人用途。在装有工作资料的公司自有设备上:
- 大多数应用、数据和其他管理
policies
仅适用于工作资料。 - 员工的个人资料将保持私密状态。但是,企业可以强制执行某些设备级政策和个人使用政策。
- 企业可以使用
blockScope
对整台设备或仅其工作资料强制执行合规性操作。 devices.delete
和设备命令适用于整个设备。
如需使用工作资料设置公司自有设备,请创建注册令牌(确保 allowPersonalUsage
设置为 PERSONAL_USAGE_ALLOWED
)并使用以下配置方法之一:
仅限公司自有的设备
Android 5.1 及更高版本
“完整设备管理”适用于专门用于工作的公司自有设备。企业可以管理设备上的所有应用,并且可以强制执行所有 Android Management API 政策和命令。
此外,还可以将设备锁定(通过政策)锁定为单个应用或一小部分应用,以用于特定用途或用例。这部分全托管式设备称为专用设备。
如需在公司自有设备上设置完整管理,请创建注册令牌(确保 allowPersonalUsage
设置为 PERSONAL_USAGE_DISALLOWED
)并使用以下配置方法之一:
政策可能会影响设备配置期间界面的生成。这些政策包括:
PasswordPolicyScope
:这决定了密码要求。PermittedInputMethods
:这决定了软件包输入法。PermittedAccessibilityServices
:这决定了完全受管设备和工作资料允许使用哪些无障碍服务。SetupActions
:这决定了在设置期间执行哪些操作。ApplicationsPolicy
:这决定了单个应用的政策。
如果您希望在设备配置期间安装工作应用和设备注册卡的同时显示密码步骤,我们建议您更新政策,将设备保持在隔离状态(如果注册时没有关联的政策,此状态会发生),直到为设备设置最终选定的政策(填充了与您的设置需求相关的项目)为止。完成设备配置后,您可以根据需要更改政策。
创建注册令牌
您需要为要注册的每台设备提供一个注册令牌(您可以将同一令牌用于多台设备)。如需请求注册令牌,请调用 enterprises.enrollmentTokens.create
。默认情况下,注册令牌在 1 小时后过期,但您可以指定自定义到期时间 (duration
),最长可达 1 万年。
成功的请求会返回包含 enrollmentTokenId
和 qrcode
的 enrollmentToken
对象,IT 管理员和最终用户可以使用它们来预配设备。
指定政策
您可能还需要在请求中指定 policyName
,以便在注册设备的同时应用政策。如果您未指定 policyName
,请参阅在没有政策的情况下注册设备。
指定个人使用情况
allowPersonalUsage
可确定是否可以在配置期间将工作资料添加到设备。设置为 PERSONAL_USAGE_ALLOWED
即可允许用户创建工作资料(个人自有设备必须设置此项,公司自有设备则为可选项)。
关于二维码
对于需要维护许多不同政策的企业,二维码可作为一种高效的设备配置方法。从 enterprises.enrollmentTokens.create
返回的二维码由键值对的载荷组成,键值对中包含注册令牌以及 Android Device Policy 配置设备所需的所有信息。
二维码集合示例
该捆绑包中包含 Android Device Policy 的下载位置和一个注册令牌。
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
}
}
您可以直接使用从 enterprises.enrollmentTokens.create
返回的二维码,也可以对其进行自定义。如需查看可包含在二维码软件包中的属性的完整列表,请参阅创建二维码。
如需将 qrcode
字符串转换为可扫描的二维码,请使用二维码生成器,例如 ZXing。
配置方法
本部分介绍了配置设备的不同方法。
通过“设置”添加工作资料
Android 5.1 及更高版本
如要在设备上设置工作资料,用户可以执行以下操作:
- 依次转到设置 > Google > 设置及恢复。
- 点按设置您的工作资料。
这些步骤会启动一个设置向导,以便在设备上下载 Android Device Policy。接下来,系统将提示用户扫描二维码或手动输入注册令牌,以完成工作资料设置。
下载 Android Device Policy
Android 5.1 及更高版本
如需在设备上设置工作资料,用户可以从 Google Play 商店下载 Android 设备政策。应用安装后,系统会提示用户输入二维码或手动输入注册令牌以完成工作资料设置。
注册令牌链接
Android 5.1 及更高版本
使用从 enrollmentTokens.create
或企业的 signinEnrollmentToken
返回的注册令牌,生成一个以下格式的网址:
https://enterprise.google.com/android/enroll?et=<enrollmentToken>
您可以将此网址提供给 IT 管理员,以便管理员将此网址提供给最终用户。 当最终用户从其设备上打开该链接时,系统将引导他们完成工作资料设置。
登录网址
通过这种方法,系统会为用户提供一个提示其输入凭据的网址。根据用户的凭据,您可以先为用户计算合适的政策,然后再继续进行设备配置。例如:
在
enterprises.signInDetails[]
中指定您的登录网址。如果您想允许用户创建工作资料,请将allowPersonalUsage
设为PERSONAL_USAGE_ALLOWED
(对于个人自有设备而言是必需的;对于公司自有设备,则为可选项)。将生成的
signinEnrollmentToken
作为配置 extra 添加到二维码、NFC 载荷或零触摸配置。或者,您也可以直接向用户提供signinEnrollmentToken
。选择一个选项:
- 公司自有设备:开启新设备或恢复出厂设置后,将
signinEnrollmentToken
传递给设备(通过二维码、NFC 触碰等),或要求用户手动输入令牌。设备将打开第 1 步中指定的登录网址。 - 个人设备:让用户通过“设置”添加工作资料。出现提示时,用户可以扫描包含
signinEnrollmentToken
的二维码或手动输入令牌。设备将打开第 1 步中指定的登录网址。 - 个人拥有的设备:为用户提供注册令牌链接,其中注册令牌为
signinEnrollmentToken
。设备将打开第 1 步中指定的登录网址。
- 公司自有设备:开启新设备或恢复出厂设置后,将
您的登录网址应提示用户输入凭据。根据其身份,您可以使用 GET 参数
provisioningInfo
确定适当的政策并获取设备配置信息(在设备注册期间)。调用
enrollmentTokens.create
,根据用户的凭据指定适当的policyId
。使用网址重定向,以
https://enterprise.google.com/android/enroll?et=<token>
的形式返回第 4 步中生成的注册令牌。
二维码方法
Android 7.0 及更高版本
如需配置公司自有设备,您可以生成二维码并将其显示在 EMM 控制台中:
- 在新设备或恢复出厂设置的设备上,用户(通常是 IT 管理员)会在同一位置点按屏幕六次。这会触发设备提示用户扫描二维码。
- 用户扫描您在管理控制台(或类似应用)中显示的二维码,即可注册和配置设备。
NFC 方法
Android 6.0 及更高版本
使用此方法时,您需要创建一个 NFC 编程器应用,其中包含注册令牌、初始政策、Wi-Fi 配置、设置以及客户在配置全托管式或专用设备所需的所有其他配置详情。当您或您的客户在 Android 设备上安装 NFC 编程器应用时,该设备便成为编程设备。
如需了解有关如何支持 NFC 方法的详细指南,请参阅 Play EMM API 开发者文档。该网站还提供了通过 NFC 触碰推送到设备的默认参数示例代码。如需安装 Android Device Policy,请将设备管理软件包的下载位置设置为:
https://play.google.com/managed/downloadManagingApp?identifier=setup
DPC 标识符方法
如果无法使用二维码或 NFC 添加 Android Device Policy,用户或 IT 管理员可以按照以下步骤配置公司自有设备:
- 在新设备或恢复出厂设置的设备上,按照设置向导操作。
- 输入 Wi-Fi 登录详细信息以将设备连接到互联网。
- 当系统提示您登录时,输入 afw#setup,这会下载 Android Device Policy。
- 扫描二维码或手动输入注册令牌以配置设备。
零触摸注册
Android 8.0 及更高版本(Pixel 7.1 及更高版本)
从授权的零触摸转销商购买的设备符合零触摸注册的条件。零触摸注册是一种预配置设备,以便在首次启动时自动配置自身的简化方法。
组织可以通过零触摸注册门户或使用 EMM 控制台(请参阅零触摸客户 API)来创建包含其零触摸设备的配置详情的配置。首次启动时,零触摸设备会检查是否已为其分配配置。如果成功,设备会下载 Android Device Policy,然后使用已分配的配置中指定的配置 extra 完成设备的设置。
如果您的客户使用零触摸注册门户,他们需要为创建的每项配置选择 Android Device Policy 作为 EMM DPC。如需了解有关如何使用该门户的详细说明(包括如何创建配置并将其分配给设备),请访问 Android Enterprise 帮助中心。
如果您希望客户直接从 EMM 控制台设置和分配配置,则需要集成零触摸客户 API。创建配置时,您可以在 dpcExtras
字段中指定预配 extra。以下 JSON 代码段显示了一个基本示例,说明要在 dpcExtras
中添加的内容(添加了登录令牌)。
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
}
}
在设置期间启动应用
在 policies
中,您可以指定一个应用在设置设备或工作资料期间供 Android Device Policy 启动的应用。例如,您可以启动一个 VPN 应用,以便用户在设置过程中配置 VPN 设置。应用必须返回 RESULT_OK
以指示已完成,并允许 Android Device Policy 完成设备或工作资料配置。如需在设置期间启动应用,请执行以下操作:
确保应用的 installType
为 REQUIRED_FOR_SETUP
。如果应用无法在设备上安装或启动,配置将失败。
{
"applications":[
{
"packageName":"com.my.vpnapp.",
"installType":"REQUIRED_FOR_SETUP"
}
]
}
将应用的软件包名称添加到 setupActions
。使用 title
和 description
指定面向用户的指令。
{
"setupActions":[
{
"title":{
"defaultMessage":"Configure VPN"
},
"description":{
"defaultMessage":"Enable your VPN client to access corporate resources."
},
"launchApp":{
"packageName":"com.my.vpnapp."
}
}
]
}
为了区分应用是从 launchApp
启动的,第一个作为应用一部分启动的 activity 包含布尔 intent extra com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION
(设置为 true
)。借助此 extra,您可以根据应用是从 setupActions
启动还是由用户启动来自定义应用。
应用返回 RESULT_OK
后,Android Device Policy 会完成配置设备或工作资料所需的所有剩余步骤。
在设置过程中取消注册
作为 SetupAction 启动的应用可以取消注册,并返回 RESULT_CANCELED
。
取消注册将重置公司自有设备或删除个人设备上的工作资料。
注意:取消注册将触发操作,而不会显示用户确认对话框。应用负责在返回结果之前向用户显示适当的错误对话框。
将政策应用于新注册的设备
您将政策应用于新注册的设备的方法取决于您和您客户的要求。以下是您可以使用的不同方法:
(推荐)创建注册令牌时,您可以指定最初关联到设备的政策 (
policyName
) 的名称。当您使用令牌注册设备时,政策会自动应用于该设备。将某项政策设置为企业的默认政策。如果注册令牌中未指定政策名称,并且存在一个名为
enterprises/<enterprise_id>/policies/default
的政策,则每个新设备在注册时都会自动关联到默认政策。订阅 Cloud Pub/Sub 主题,以接收有关新注册设备的通知。为响应
ENROLLMENT
通知,调用enterprises.devices.patch
以将设备与政策相关联。
注册无政策的设备
如果设备在注册时没有指定有效政策,则该设备会被放入隔离区。隔离的设备将无法使用所有设备功能,直到设备与政策相关联。
如果设备在五分钟内未与政策关联,则设备注册会失败且设备会恢复出厂设置。通过隔离设备状态,您可以将许可检查或其他注册验证流程作为解决方案的一部分实施。
许可检查工作流程示例
- 设备在注册时没有启用默认政策或特定政策。
- 查看相应企业还剩多少许可。
- 如果有可用的许可,请使用
devices.patch
将政策附加到设备,然后减少许可数量。如果没有可用的许可,请使用devices.patch
停用设备。或者,该 API 会在注册后的 5 分钟内将未附加政策的任何设备恢复出厂设置。