Mendaftarkan dan menyediakan perangkat

Penyediaan adalah proses penyiapan perangkat untuk dikelola menggunakan policies oleh enterprise. Selama proses instal, perangkat akan Android Device Policy, yang digunakan untuk menerima dan menerapkan policies. Jika penyediaan berhasil, API membuat objek devices, mengikat perangkat ke perusahaan.

Android Management API menggunakan token pendaftaran untuk memicu penyediaan {i>checkout<i}. Token pendaftaran dan metode penyediaan yang Anda gunakan menetapkan kepemilikan perangkat (milik pribadi atau milik perusahaan) dan mode pengelolaan (kantor profil atau perangkat terkelola sepenuhnya).

Perangkat milik pribadi

Android 5.1 dan yang lebih baru

Perangkat milik karyawan dapat disiapkan dengan profil kerja. Profil kerja menyediakan ruang mandiri untuk aplikasi dan data kerja, terpisah dari data pribadi aplikasi dan data. Sebagian besar aplikasi, data, dan pengelolaan lainnya policies berlaku untuk profil kerja, sementara aplikasi dan data pribadi karyawan akan tetap bersifat pribadi.

Untuk menyiapkan profil kerja di perangkat milik pribadi, buat pendaftaran token (pastikan allowPersonalUsage disetel ke PERSONAL_USAGE_ALLOWED) dan menggunakan salah satu metode penyediaan berikut:

Perangkat milik perusahaan untuk kerja dan penggunaan pribadi

Android 8 dan yang lebih baru

Menyiapkan perangkat milik perusahaan dengan profil kerja memungkinkan perangkat untuk untuk keperluan kerja maupun pribadi. Di perangkat milik perusahaan dengan profil kerja:

Untuk menyiapkan perangkat milik perusahaan dengan profil kerja, buat pendaftaran token (memastikan allowPersonalUsage disetel ke PERSONAL_USAGE_ALLOWED) dan menggunakan salah satu metode penyediaan berikut:

Perangkat milik perusahaan khusus untuk penggunaan kerja

Android 5.1 dan yang lebih baru

Pengelolaan perangkat penuh sesuai untuk perangkat milik perusahaan yang ditujukan khusus untuk tujuan kerja. Perusahaan dapat mengelola semua aplikasi di perangkat dan dapat menerapkan spektrum penuh kebijakan dan perintah Android Management API.

Anda juga dapat mengunci perangkat (melalui kebijakan) ke satu aplikasi atau sekumpulan kecil aplikasi untuk memenuhi tujuan atau kasus penggunaan khusus. {i>Subset<i} yang sepenuhnya perangkat terkelola disebut sebagai perangkat khusus. Token pendaftaran untuk perangkat ini harus memiliki allowPersonalUsage yang disetel ke PERSONAL_USAGE_DISALLOWED_USERLESS.

Untuk menyiapkan pengelolaan penuh di perangkat milik perusahaan, buat token pendaftaran, memastikan allowPersonalUsage ditetapkan ke PERSONAL_USAGE_DISALLOWED atau PERSONAL_USAGE_DISALLOWED_USERLESS, dan gunakan salah satu metode penyediaan berikut.

Kebijakan dapat memengaruhi pembuatan UI selama penyediaan perangkat. Kebijakan tersebut adalah:

Jika Anda ingin langkah sandi ditampilkan bersama penginstalan aplikasi kerja dan kartu pendaftaran perangkat selama penyediaan perangkat, sebaiknya perbarui kebijakan untuk menunda inisiasi pembuatan UI dengan menjaga perangkat tetap status karantina, yang terjadi jika terdaftar tanpa kebijakan terkait, hingga menentukan kebijakan akhir yang dipilih untuk penyiapan perangkat yang diisi dengan item relevan dengan kebutuhan pengaturan Anda. Setelah penyediaan perangkat Anda dapat mengubah kebijakan sebagai tidak diperlukan.


Membuat token pendaftaran

Ringkasan Pengelolaan Android.
Gambar 1. Buat token yang mendaftar dan menerapkan "policy1" ke perangkat. Setelah 1.800 detik (30 menit), masa berlaku token akan berakhir.

Anda memerlukan token pendaftaran untuk setiap perangkat yang ingin didaftarkan (Anda dapat menggunakan token yang sama untuk beberapa perangkat). Untuk meminta token pendaftaran, panggil enterprises.enrollmentTokens.create Masa berlaku token pendaftaran habis setelah satu jam secara default, tetapi Anda dapat menentukan waktu habis masa berlaku kustom (duration) hingga sekitar 10.000 tahun.

Permintaan yang berhasil akan menampilkan objek enrollmentToken yang berisi enrollmentTokenId dan qrcode yang dapat digunakan oleh admin IT serta pengguna akhir untuk menyediakan perangkat.

Tentukan kebijakan

Anda mungkin juga ingin menentukan policyName dalam permintaan untuk menerapkan kebijakan secara bersamaan perangkat akan didaftarkan. Jika Anda tidak menentukan policyName, lihat Daftarkan perangkat tanpa kebijakan.

Menentukan penggunaan pribadi

allowPersonalUsage menentukan apakah profil kerja dapat ditambahkan ke perangkat selama penyediaan. Tetapkan ke PERSONAL_USAGE_ALLOWED untuk memungkinkan pengguna membuat profil kerja (wajib untuk perangkat milik pribadi, opsional untuk milik perusahaan perangkat).


Tentang Kode QR

Kode QR berfungsi sebagai metode penyediaan perangkat yang efisien untuk perusahaan yang mempertahankan banyak kebijakan yang berbeda. Kode QR yang dikembalikan dari enterprises.enrollmentTokens.create terdiri dari payload pasangan nilai kunci yang berisi token pendaftaran dan semua informasi yang diperlukan untuk Android Kebijakan Perangkat untuk menyediakan perangkat.

Contoh paket Kode QR

Paket ini mencakup lokasi download Android Device Policy dan token pendaftaran.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Anda dapat menggunakan Kode QR yang dikembalikan dari enterprises.enrollmentTokens.create secara langsung atau menyesuaikannya. Untuk daftar lengkap properti yang dapat Anda sertakan dalam paket Kode QR, lihat Membuat Kode QR.

Untuk mengonversi string qrcode menjadi Kode QR yang dapat dipindai, gunakan generator Kode QR seperti ZXing.


Metode penyediaan

Bagian ini menjelaskan berbagai metode penyediaan perangkat.

Menambahkan profil kerja dari "Setelan"

Android 5.1 dan yang lebih baru

Untuk menyiapkan profil kerja di perangkatnya, pengguna dapat:

  1. Buka Setelan > Google > Menyiapkan & pulihkan.
  2. Ketuk Siapkan profil kerja.

Langkah-langkah ini akan memulai wizard penyiapan yang mendownload Android Device Policy pada perangkat seluler. Berikutnya, pengguna akan diminta untuk memindai kode QR atau memasukkan token pendaftaran secara manual untuk menyelesaikan penyiapan profil kerja.

Download Android Device Policy

Android 5.1 dan yang lebih baru

Untuk menyiapkan profil kerja di perangkat, pengguna dapat mendownload Perangkat Android Kebijakan Googledari Google Play Store. Setelah aplikasi diinstal, pengguna akan diminta untuk kode QR atau secara manual memasukkan token pendaftaran untuk menyelesaikan penyiapan profil kerja.

Android 5.1 dan yang lebih baru

Menggunakan token pendaftaran yang ditampilkan dari enrollmentTokens.create atau signinEnrollmentToken perusahaan, buat URL dengan format berikut:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Anda dapat memberikan URL ini kepada admin IT, yang dapat memberikannya kepada pengguna akhir mereka. Saat membuka link dari perangkatnya, pengguna akhir akan dipandu melalui penyiapan profil kerja.

URL login

Dengan metode ini, pengguna diarahkan ke halaman untuk memasukkan informasi yang diperlukan untuk menyelesaikan penyediaan. Berdasarkan informasi yang diterima dimasukkan, Anda dapat menghitung kebijakan yang sesuai untuk pengguna sebelum melanjutkan dengan penyediaan perangkat. Contoh:

  1. Tentukan URL login Anda di enterprises.signInDetails[]. Setel allowPersonalUsage ke PERSONAL_USAGE_ALLOWED jika Anda ingin mengizinkan pengguna untuk membuat profil kerja (wajib untuk perangkat milik pribadi, opsional untuk perangkat milik perusahaan).

    Menambahkan signinEnrollmentToken yang dihasilkan sebagai tambahan penyediaan ke QR kode, Payload NFC, atau Zero-touch Google Cloud. Atau, Anda dapat menyediakan signinEnrollmentToken kepada pengguna secara langsung.

  2. Pilih salah satu opsi:

    1. Perangkat milik perusahaan: Setelah mengaktifkan setelan baru atau reset ke setelan pabrik perangkat, teruskan signinEnrollmentToken ke perangkat (melalui Kode QR, NFC bump, dll.) atau meminta pengguna memasukkan token secara manual. Perangkat akan buka URL login yang ditentukan pada Langkah 1.
    2. Perangkat milik pribadi: Minta pengguna untuk menambahkan profil kerja dari "Setelan". Saat diminta, pengguna memindai Kode QR yang berisi signinEnrollmentToken atau memasukkan secara manual. Perangkat akan membuka URL login yang ditentukan di Langkah Akun Layanan 1.
    3. Perangkat milik pribadi: Memberi pengguna token pendaftaran link, dengan token pendaftaran adalah signinEnrollmentToken. Perangkat akan membuka URL login yang ditentukan di Langkah 1.
  3. Periksa apakah Google telah mengautentikasi pengguna. Dapatkan perangkat informasi penyediaan (selama pendaftaran perangkat) menggunakan parameter GET provisioningInfo dan periksa nilai untuk kolom authenticatedUserEmail. Jika ada nilai di {i>field<i} ini, berarti pengguna sudah berhasil diautentikasi oleh Google dan Anda dapat menggunakan identitas ini tanpa otentikasi lebih lanjut.

  4. Jika Google belum mengautentikasi pengguna, URL login Anda harus meminta pengguna untuk memasukkan kredensial mereka. Berdasarkan identitas mereka, Anda dapat menentukan kebijakan yang sesuai dan mendapatkan penyediaan perangkat (selama pendaftaran perangkat) menggunakan parameter GET provisioningInfo

  5. Panggil enrollmentTokens.create, dengan menentukan policyId yang sesuai berdasarkan kredensial pengguna.

  6. Kembalikan token pendaftaran yang dibuat pada Langkah 5 menggunakan pengalihan URL, di bagian dari https://enterprise.google.com/android/enroll?et=<token>.

Metode Kode QR

Android 7.0 dan yang lebih baru

Untuk menyediakan perangkat milik perusahaan, Anda dapat membuat QR kode dan menampilkannya di konsol EMM:

  1. Pada perangkat baru atau yang direset ke setelan pabrik, pengguna (biasanya admin IT) mengetuk layar enam kali di tempat yang sama. Tindakan ini memicu perangkat untuk meminta memindai Kode QR.
  2. Pengguna memindai Kode QR yang Anda tampilkan di konsol pengelolaan (atau aplikasi serupa) untuk mendaftarkan dan menyediakan perangkat.

Metode NFC

Android 6.0 dan yang lebih baru

Metode ini mengharuskan Anda membuat aplikasi programmer NFC yang berisi token pendaftaran, kebijakan awal, konfigurasi Wi-Fi, setelan, dan semua detail penyediaan lainnya yang dibutuhkan oleh pelanggan Anda untuk terkelola, atau khusus. Saat Anda atau pelanggan Anda menginstal NFC aplikasi {i>programmer<i} di perangkat berbasis Android, perangkat itu akan menjadi {i>programmer<i} perangkat seluler.

Panduan mendetail tentang cara mendukung metode NFC tersedia di Play EMM Developer API dokumentasi tambahan. Situs tersebut juga menyertakan kode contoh default parameter yang dikirim ke perangkat dengan menempelkan NFC. Untuk menginstal Android Device Policy, setel download lokasi paket admin perangkat ke:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Metode ID DPC

Jika Android Device Policy tidak dapat ditambahkan menggunakan Kode QR atau NFC, pengguna atau admin IT dapat mengikuti langkah-langkah berikut untuk menyediakan perangkat milik perusahaan:

  1. Ikuti wizard penyiapan pada perangkat baru atau perangkat yang direset ke setelan pabrik.
  2. Masukkan detail login Wi-Fi untuk menghubungkan perangkat ke internet.
  3. Saat diminta untuk login, masukkan afw#setup, yang mendownload Android Kebijakan Perangkat.
  4. Pindai kode QR atau masukkan token pendaftaran secara manual untuk menyediakan perangkat.

Pendaftaran zero-touch

Android 8.0 dan yang lebih baru (Pixel 7.1+)

Perangkat yang dibeli dari reseller zero-touch resmi memenuhi syarat untuk pendaftaran zero-touch, metode sederhana untuk prakonfigurasi perangkat untuk menyediakan server sendiri secara otomatis pada {i>booting<i} pertama.

Organisasi dapat membuat konfigurasi yang berisi detail penyediaan untuk perangkat zero-touch, baik melalui portal pendaftaran zero-touch atau menggunakan konsol EMM (lihat API pelanggan zero-touch). Pertama {i>booting<i}, perangkat zero-touch memeriksa apakah perangkat telah diberi konfigurasi. Jika demikian, perangkat mendownload Android Device Policy, yang kemudian menyelesaikan penyiapan menggunakan tambahan penyediaan yang ditentukan dalam konfigurasi yang ditetapkan.

Jika pelanggan Anda menggunakan portal pendaftaran zero-touch, mereka harus memilih Android Device Policy sebagai DPC EMM untuk setiap konfigurasi yang buat. Petunjuk mendetail tentang cara menggunakan portal, termasuk cara membuat dan menetapkan konfigurasi ke perangkat, tersedia di Android Enterprise pusat bantuan kami.

Jika Anda lebih memilih pelanggan untuk menetapkan dan menetapkan konfigurasi langsung dari konsol EMM, Anda harus berintegrasi dengan API pelanggan zero-touch. Kapan membuat konfigurasi, Anda akan menentukan ekstra penyediaan di Kolom dpcExtras. Cuplikan JSON berikut menunjukkan contoh dasar tentang apa yang disertakan di dpcExtras, dengan token login tambahan.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Meluncurkan aplikasi selama penyiapan

tindakan penyiapan
Gambar 2. Menggunakan setupActions untuk meluncurkan aplikasi selama penyiapan.

Di policies, Anda dapat menentukan satu aplikasi yang akan diluncurkan untuk Android Device Policy selama penyiapan perangkat atau profil kerja. Misalnya, Anda dapat meluncurkan aplikasi VPN sehingga pengguna dapat mengonfigurasi pengaturan VPN sebagai bagian dari proses pengaturan. Aplikasi harus tampilkan RESULT_OK untuk menandakan penyelesaian dan mengizinkan Android Device Policy untuk menyelesaikan penyediaan perangkat atau profil kerja. Untuk meluncurkan aplikasi selama penyiapan:

Pastikan installType aplikasi adalah REQUIRED_FOR_SETUP. Jika aplikasi tidak dapat diinstal atau diluncurkan pada perangkat, penyediaan akan gagal.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Tambahkan nama paket aplikasi ke setupActions. Gunakan title dan description untuk menentukan petunjuk yang ditampilkan kepada pengguna.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Untuk membedakan apakah aplikasi diluncurkan dari launchApp, aktivitas yang pertama kali diluncurkan sebagai bagian dari aplikasi berisi intent tambahan boolean com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (ditetapkan ke true). Dengan ekstra ini, Anda dapat menyesuaikan aplikasi berdasarkan apakah diluncurkan dari setupActions atau oleh pengguna.

Setelah aplikasi menampilkan RESULT_OK, Android Device Policy akan menyelesaikan semua langkah yang tersisa langkah-langkah yang diperlukan untuk menyediakan perangkat atau profil kerja.

Batalkan pendaftaran selama penyiapan

Aplikasi yang diluncurkan sebagai SetupAction dapat membatalkan pendaftaran kembali RESULT_FIRST_USER

Membatalkan pendaftaran akan mereset perangkat milik perusahaan atau menghapus tugas profil Anda di perangkat milik pribadi.

Catatan: Membatalkan pendaftaran akan memicu tindakan tanpa pengguna dialog konfirmasi. Aplikasi bertanggung jawab untuk menampilkan dialog error kepada pengguna sebelum menampilkan RESULT_FIRST_USER.

Terapkan kebijakan ke perangkat yang baru didaftarkan

Metode yang akan digunakan untuk menerapkan kebijakan ke perangkat yang baru didaftarkan, terserah Anda dan memenuhi persyaratan pelanggan Anda. Berikut adalah beberapa pendekatan yang dapat gunakan:

  • (Direkomendasikan) Saat membuat token pendaftaran, Anda dapat menentukan nama kebijakan (policyName) yang awalnya akan ditautkan ke perangkat seluler. Saat Anda mendaftarkan perangkat dengan token, kebijakan akan otomatis diterapkan yang diterapkan ke perangkat.

  • Tetapkan kebijakan sebagai kebijakan default untuk perusahaan. Jika tidak ada nama kebijakan yang yang ditentukan dalam token pendaftaran dan ada kebijakan dengan nama enterprises/<enterprise_id>/policies/default, setiap perangkat baru ditautkan secara otomatis ke kebijakan {i>default<i} pada saat pendaftaran.

  • Berlangganan topik Cloud Pub/Sub untuk menerima notifikasi tentang perangkat yang baru didaftarkan. Sebagai respons terhadap Notifikasi ENROLLMENT, panggil enterprises.devices.patch ke menghubungkan perangkat dengan sebuah kebijakan.

Mendaftarkan perangkat tanpa kebijakan

Jika perangkat didaftarkan tanpa kebijakan yang valid, maka perangkat tersebut akan ditempatkan karantina. Perangkat yang dikarantina diblokir dari semua fungsi perangkat hingga perangkat ditautkan ke kebijakan.

Jika perangkat tidak ditautkan ke kebijakan dalam lima menit, pendaftaran perangkat gagal dan perangkat direset ke setelan pabrik. Status perangkat karantina memberi Anda peluang untuk menerapkan pemeriksaan pemberian lisensi atau validasi pendaftaran lainnya proses sebagai bagian dari solusi Anda.

Contoh alur kerja pemeriksaan pemberian lisensi

  1. Perangkat didaftarkan tanpa kebijakan default atau kebijakan tertentu.
  2. Periksa jumlah lisensi yang masih dimiliki perusahaan.
  3. Jika ada lisensi yang tersedia, gunakan devices.patch untuk melampirkan kebijakan ke perangkat, dan kemudian mengurangi jumlah lisensi Anda. Jika tidak ada lisensi yang tersedia, gunakan devices.patch untuk menonaktifkan perangkat. Atau, API akan mereset perangkat apa pun yang tidak terpasang ke setelan pabrik kebijakan dalam waktu lima menit setelah pendaftaran.