Mendaftarkan dan menyediakan perangkat

Penyediaan adalah proses menyiapkan perangkat untuk dikelola menggunakan policies oleh enterprise. Selama proses ini, perangkat akan menginstal Android Device Policy, yang digunakan untuk menerima dan menerapkan policies. Jika penyediaan berhasil, API akan membuat objek devices, yang mengikat perangkat ke perusahaan.

Android Management API menggunakan token pendaftaran untuk memicu proses penyediaan. Token pendaftaran dan metode penyediaan yang Anda gunakan akan menetapkan kepemilikan perangkat (milik pribadi atau milik perusahaan) dan mode pengelolaan (profil kerja atau perangkat terkelola sepenuhnya).

Sistem kuota mengontrol jumlah perangkat yang dapat dikelola setiap project. Anda harus meminta kuota perangkat awal sebelum dapat menyediakan perangkat pertama.

Perangkat milik pribadi

Android 5.1+

Perangkat yang dimiliki karyawan dapat disiapkan dengan profil kerja. Profil kerja menyediakan ruang mandiri untuk aplikasi dan data kerja, yang terpisah dari aplikasi dan data pribadi. Sebagian besar pengelolaan aplikasi, data, dan lainnya policies hanya berlaku untuk profil kerja, sedangkan aplikasi dan data pribadi karyawan tetap bersifat pribadi.

Untuk menyiapkan profil kerja di perangkat milik pribadi, buat token pendaftaran (pastikan allowPersonalUsage ditetapkan ke PERSONAL_USAGE_ALLOWED) dan gunakan salah satu metode penyediaan berikut:

Perangkat milik perusahaan untuk penggunaan kerja dan pribadi

Android 8+

Menyiapkan perangkat milik perusahaan dengan profil kerja memungkinkan perangkat digunakan untuk keperluan kerja dan pribadi. Di perangkat milik perusahaan dengan profil kerja:

  • Sebagian besar policies pengelolaan aplikasi, data, dan lainnya hanya berlaku untuk profil kerja.
  • Profil pribadi karyawan tetap bersifat pribadi. Namun, perusahaan dapat menerapkan kebijakan tertentu di seluruh perangkat dan kebijakan penggunaan pribadi.
  • Perusahaan dapat menggunakan blockScope untuk menerapkan tindakan kepatuhan di seluru h perangkat atau hanya profil kerjanya.
  • devices.delete dan perintah perangkat berlaku untuk seluruh perangkat.

Untuk menyiapkan perangkat milik perusahaan dengan profil kerja, buat token pendaftaran (pastikan allowPersonalUsage ditetapkan ke PERSONAL_USAGE_ALLOWED) dan gunakan salah satu metode penyediaan berikut:

Perangkat milik perusahaan yang hanya digunakan untuk kerja

Android 5.1+

Pengelolaan perangkat penuh cocok untuk perangkat milik perusahaan yang ditujukan khusus untuk keperluan kerja. Perusahaan dapat mengelola semua aplikasi di perangkat dan dapat menerapkan spektrum penuh kebijakan dan perintah Android Management API.

Anda juga dapat mengunci perangkat (melalui kebijakan) ke satu aplikasi atau sekumpulan kecil aplikasi untuk melayani tujuan atau kasus penggunaan tertentu. Subkumpulan perangkat terkelola sepenuhnya ini disebut sebagai perangkat khusus. Token pendaftaran untuk perangkat ini harus memiliki allowPersonalUsage yang ditetapkan ke PERSONAL_USAGE_DISALLOWED_USERLESS.

Untuk menyiapkan pengelolaan penuh di perangkat milik perusahaan, buat token pendaftaran, pastikan allowPersonalUsage ditetapkan ke PERSONAL_USAGE_DISALLOWED atau PERSONAL_USAGE_DISALLOWED_USERLESS, dan gunakan salah satu metode penyediaan berikut.

Kebijakan dapat memengaruhi pembuatan UI selama penyediaan perangkat. Kebijakan tersebut adalah:

Jika Anda ingin langkah-langkah sandi ditampilkan bersama penginstalan aplikasi kerja dan kartu pendaftaran perangkat selama penyediaan perangkat, sebaiknya update kebijakan Anda untuk menunda inisiasi pembuatan UI dengan mempertahankan perangkat dalam status karantina, yang terjadi jika terdaftar tanpa kebijakan terkait, hingga menentukan kebijakan akhir yang dipilih untuk penyiapan perangkat yang diisi dengan item yang relevan dengan kebutuhan penyiapan Anda. Setelah penyediaan perangkat selesai, Anda dapat mengubah kebijakan sesuai kebutuhan.

Membuat token pendaftaran

Ringkasan Pengelolaan Android.
Gambar 1. Buat token yang mendaftarkan dan menerapkan "policy1" ke perangkat. Setelah 1.800 detik (30 menit), token akan berakhir masa berlakunya.

Anda memerlukan token pendaftaran untuk setiap perangkat yang ingin didaftarkan (Anda dapat menggunakan token yang sama untuk beberapa perangkat). Untuk meminta token pendaftaran, panggil enterprises.enrollmentTokens.create. Token pendaftaran akan berakhir masa berlakunya setelah satu jam secara default, tetapi Anda dapat menentukan waktu habis masa berlaku kustom (duration) hingga sekitar 10.000 tahun.

Permintaan yang berhasil akan menampilkan objek enrollmentToken yang berisi enrollmentTokenId dan qrcode yang dapat digunakan oleh admin IT dan pengguna akhir untuk menyediakan perangkat.

Menentukan kebijakan

Anda mungkin juga ingin menentukan policyName dalam permintaan untuk menerapkan kebijakan pada saat yang sama saat perangkat didaftarkan. Jika Anda tidak menentukan policyName, lihat Mendaftarkan perangkat tanpa kebijakan.

Menentukan penggunaan pribadi

allowPersonalUsage menentukan apakah profil kerja dapat ditambahkan ke perangkat selama penyediaan. Tetapkan ke PERSONAL_USAGE_ALLOWED untuk mengizinkan pengguna membuat profil kerja (diperlukan untuk perangkat milik pribadi, opsional untuk perangkat milik perusahaan).

Tentang Kode QR

Kode QR berfungsi sebagai metode penyediaan perangkat yang efisien untuk perusahaan yang mempertahankan banyak kebijakan yang berbeda. Kode QR yang ditampilkan dari enterprises.enrollmentTokens.create terdiri dari payload pasangan nilai kunci yang berisi token pendaftaran dan semua informasi yang diperlukan agar Android Device Policy dapat menyediakan perangkat.

Contoh paket Kode QR

Paket ini mencakup lokasi download Android Device Policy dan token pendaftaran.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Anda dapat menggunakan Kode QR yang ditampilkan dari enterprises.enrollmentTokens.create secara langsung atau menyesuaikannya. Untuk daftar lengkap properti yang dapat Anda sertakan dalam paket Kode QR, lihat Membuat Kode QR.

Untuk mengonversi string qrcode menjadi Kode QR yang dapat dipindai, gunakan generator Kode QR seperti ZXing.

Metode penyediaan

Bagian ini menjelaskan berbagai metode untuk menyediakan perangkat.

Menambahkan profil kerja dari "Setelan"

Android 5.1+

Untuk menyiapkan profil kerja di perangkatnya, pengguna dapat:

  1. Buka Setelan > Google > Siapkan & pulihkan.
  2. Ketuk Siapkan profil kerja Anda.

Langkah-langkah ini akan memulai wizard penyiapan yang mendownload Android Device Policy di perangkat. Selanjutnya, pengguna akan diminta untuk memindai kode QR atau memasukkan token pendaftaran secara manual untuk menyelesaikan penyiapan profil kerja.

Mendownload Android Device Policy

Android 5.1+

Untuk menyiapkan profil kerja di perangkatnya, pengguna dapat mendownload Android Device Policy dari Google Play Store. Setelah aplikasi diinstal, pengguna akan diminta untuk memindai kode QR atau memasukkan token pendaftaran secara manual untuk menyelesaikan penyiapan profil kerja.

Android 5.1+

Dengan menggunakan token pendaftaran yang ditampilkan dari enrollmentTokens.create atau signinEnrollmentToken perusahaan, buat URL dengan format berikut:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Anda dapat memberikan URL ini kepada admin IT, yang dapat memberikannya kepada pengguna akhir. Saat pengguna akhir membuka link dari perangkatnya, mereka akan dipandu melalui penyiapan profil kerja.

URL login

Dengan metode ini, pengguna akan diarahkan ke halaman untuk memasukkan informasi tambahan yang diperlukan untuk menyelesaikan penyediaan. Berdasarkan informasi yang dimasukkan pengguna, Anda dapat menghitung kebijakan yang sesuai untuk pengguna sebelum melanjutkan penyediaan perangkat. Contoh:

  1. Tentukan URL login Anda di enterprises.signInDetails[]. Tetapkan allowPersonalUsage ke PERSONAL_USAGE_ALLOWED jika Anda ingin mengizinkan pengguna membuat profil kerja (diperlukan untuk perangkat milik pribadi, opsional untuk perangkat milik perusahaan).

    Tambahkan signinEnrollmentToken yang dihasilkan sebagai ekstra penyediaan ke kode QR, payload NFC, atau konfigurasi Zero-touch. Atau, Anda dapat memberikan signinEnrollmentToken langsung kepada pengguna.

  2. Pilih salah satu opsi:

    1. Perangkat milik perusahaan: Setelah mengaktifkan perangkat baru atau perangkat yang direset ke setelan pabrik, teruskan signinEnrollmentToken ke perangkat (melalui Kode QR, NFC bump, dll.) atau minta pengguna untuk memasukkan token secara manual. Perangkat akan membuka URL login yang ditentukan di Langkah 1.
    2. Perangkat milik pribadi: Minta pengguna untuk menambahkan profil kerja dari "Setelan". Saat diminta, pengguna akan memindai Kode QR yang berisi signinEnrollmentToken atau memasukkan token secara manual. Perangkat akan membuka URL login yang ditentukan di Langkah 1.
    3. Perangkat milik pribadi: Berikan link token pendaftaran kepada pengguna, dengan token pendaftaran adalah signinEnrollmentToken. Perangkat akan membuka URL login yang ditentukan di Langkah 1.

  3. Periksa apakah Google telah mengautentikasi pengguna. Dapatkan informasi penyediaan perangkat (selama pendaftaran perangkat) menggunakan parameter GET provisioningInfo dan periksa nilai untuk kolom authenticatedUserEmail. Jika ada nilai di kolom ini, pengguna telah berhasil diautentikasi oleh Google dan Anda dapat menggunakan identitas ini tanpa autentikasi lebih lanjut.

  4. Jika Google belum mengautentikasi pengguna, URL login Anda akan meminta pengguna untuk memasukkan kredensial mereka. Berdasarkan identitasnya, Anda dapat menentukan kebijakan yang sesuai dan mendapatkan informasi penyediaan perangkat (selama pendaftaran perangkat) menggunakan parameter GET provisioningInfo.

  5. Panggil enrollmentTokens.create, tentukan policyId berdasarkan kredensial pengguna.

  6. Tampilkan token pendaftaran yang dibuat di Langkah 5 menggunakan pengalihan URL, dalam bentuk https://enterprise.google.com/android/enroll?et=<token>.

Metode Kode QR

Android 7.0+

Untuk menyediakan perangkat milik perusahaan, Anda dapat membuat kode QR dan menampilkannya di konsol EMM:

  1. Di perangkat baru atau perangkat yang direset ke setelan pabrik, pengguna (biasanya admin IT) mengetuk layar enam kali di tempat yang sama. Tindakan ini akan memicu perangkat untuk meminta pengguna memindai Kode QR.
  2. Pengguna memindai Kode QR yang Anda tampilkan di konsol pengelolaan (atau aplikasi serupa) untuk mendaftarkan dan menyediakan perangkat.

Metode NFC

Android 6.0+

Metode ini mengharuskan Anda membuat aplikasi programmer NFC yang berisi token pendaftaran, kebijakan awal dan konfigurasi Wi-Fi, setelan, dan semua detail penyediaan lainnya yang diperlukan oleh pelanggan Anda untuk menyediakan perangkat terkelola sepenuhnya atau perangkat khusus. Saat Anda atau pelanggan Anda menginstal aplikasi programmer NFC di perangkat Android, perangkat tersebut akan menjadi perangkat programmer.

Panduan mendetail tentang cara mendukung metode NFC tersedia dalam dokumentasi developer Play EMM API. Situs ini juga menyertakan contoh kode parameter default yang dikirim ke perangkat saat NFC bump. Untuk menginstal Android Device Policy, tetapkan lokasi download paket admin perangkat ke:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Metode ID DPC

Jika Android Device Policy tidak dapat ditambahkan menggunakan Kode QR atau NFC, pengguna atau admin IT dapat mengikuti langkah-langkah berikut untuk menyediakan perangkat milik perusahaan:

  1. Ikuti wizard penyiapan di perangkat baru atau perangkat yang direset ke setelan pabrik.
  2. Masukkan detail login Wi-Fi untuk menghubungkan perangkat ke internet.
  3. Saat diminta untuk login, masukkan afw#setup, yang akan mendownload Android Device Policy.
  4. Pindai kode QR atau masukkan token pendaftaran secara manual untuk menyediakan perangkat.

Pendaftaran zero-touch

Android 8.0+ (Pixel 7.1+)

Perangkat yang dibeli dari reseller zero-touch resmi memenuhi syarat untuk pendaftaran zero-touch, metode yang disederhanakan untuk melakukan prakonfigurasi perangkat agar dapat menyediakan dirinya sendiri secara otomatis saat booting pertama.

Organisasi dapat membuat konfigurasi yang berisi detail penyediaan untuk perangkat zero-touch mereka, baik melalui portal pendaftaran zero-touch maupun menggunakan konsol EMM (lihat zero-touch customer API). Saat booting pertama, perangkat zero-touch akan memeriksa apakah konfigurasi telah ditetapkan ke perangkat. Jika ya, perangkat akan mendownload Android Device Policy, yang kemudian menyelesaikan penyiapan perangkat menggunakan ekstra penyediaan yang ditentukan dalam konfigurasi yang ditetapkan.

Jika pelanggan Anda menggunakan portal pendaftaran zero-touch, mereka harus memilih Android Device Policy sebagai DPC EMM untuk setiap konfigurasi yang mereka buat. Petunjuk mendetail tentang cara menggunakan portal, termasuk cara membuat dan menetapkan konfigurasi ke perangkat, tersedia di pusat bantuan Android Enterprise.

Jika Anda ingin pelanggan menetapkan dan menetapkan konfigurasi langsung dari konsol EMM, Anda harus berintegrasi dengan zero-touch customer API. Saat membuat konfigurasi, Anda menentukan ekstra penyediaan di kolom dpcExtras. Cuplikan JSON berikut menunjukkan contoh dasar tentang apa yang harus disertakan dalam dpcExtras, dengan token login yang ditambahkan.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Meluncurkan aplikasi selama penyiapan

setupaction
Gambar 2. Gunakan setupActions untuk meluncurkan aplikasi selama penyiapan.

Di policies, Anda dapat menentukan satu aplikasi untuk diluncurkan oleh Android Device Policy selama penyiapan perangkat atau profil kerja. Misalnya, Anda dapat meluncurkan aplikasi VPN sehingga pengguna dapat mengonfigurasi setelan VPN sebagai bagian dari proses penyiapan. Aplikasi harus menampilkan RESULT_OK untuk menandakan penyelesaian dan mengizinkan Android Device Policy menyelesaikan penyediaan perangkat atau profil kerja. Untuk meluncurkan aplikasi selama penyiapan:

Pastikan installType aplikasi adalah REQUIRED_FOR_SETUP. Jika aplikasi tidak dapat diinstal atau diluncurkan di perangkat, penyediaan akan gagal.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Tambahkan nama paket aplikasi ke setupActions. Gunakan title dan description untuk menentukan petunjuk yang ditampilkan kepada pengguna.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Untuk membedakan bahwa aplikasi diluncurkan dari launchApp, aktivitas yang pertama kali diluncurkan sebagai bagian dari aplikasi berisi intent ekstra boolean com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (ditetapkan ke true). Ekstra ini memungkinkan Anda menyesuaikan aplikasi berdasarkan apakah aplikasi diluncurkan dari setupActions atau oleh pengguna.

Setelah aplikasi menampilkan RESULT_OK, Android Device Policy akan menyelesaikan langkah-langkah yang tersisa yang diperlukan untuk menyediakan perangkat atau profil kerja.

Membatalkan pendaftaran selama penyiapan

Aplikasi yang diluncurkan sebagai SetupAction dapat membatalkan pendaftaran yang menampilkan RESULT_FIRST_USER.

Membatalkan pendaftaran akan mereset perangkat milik perusahaan atau menghapus profil kerja di perangkat milik pribadi.

Catatan: Membatalkan pendaftaran akan memicu tindakan tanpa dialog konfirmasi pengguna. Aplikasi bertanggung jawab untuk menampilkan dialog error yang sesuai kepada pengguna sebelum menampilkan RESULT_FIRST_USER.

Menerapkan kebijakan ke perangkat yang baru didaftarkan

Metode yang Anda gunakan untuk menerapkan kebijakan ke perangkat yang baru didaftarkan bergantung pada Anda dan persyaratan pelanggan Anda. Berikut berbagai pendekatan yang dapat Anda gunakan:

  • (Direkomendasikan) Saat membuat token pendaftaran, Anda dapat menentukan nama kebijakan (policyName) yang akan ditautkan ke perangkat pada awalnya. Saat Anda mendaftarkan perangkat dengan token, kebijakan akan otomatis diterapkan ke perangkat.

  • Tetapkan kebijakan sebagai kebijakan default untuk perusahaan. Jika tidak ada nama kebijakan yang ditentukan dalam token pendaftaran dan ada kebijakan dengan nama enterprises/<enterprise_id>/policies/default, setiap perangkat baru akan otomatis ditautkan ke kebijakan default pada saat pendaftaran.

  • Berlangganan topik Cloud Pub/Sub untuk menerima notifikasi tentang perangkat yang baru didaftarkan. Sebagai respons terhadap notifikasi ENROLLMENT, panggil enterprises.devices.patch untuk menautkan perangkat dengan kebijakan.

Mendaftarkan perangkat tanpa kebijakan

Jika perangkat didaftarkan tanpa kebijakan yang valid, perangkat akan ditempatkan ke dalam karantina. Perangkat yang dikarantina akan diblokir dari semua fungsi perangkat hingga perangkat ditautkan ke kebijakan.

Jika perangkat tidak ditautkan ke kebijakan dalam waktu lima menit, pendaftaran perangkat akan gagal dan perangkat akan direset ke setelan pabrik. Status perangkat karantina memberi Anda kesempatan untuk menerapkan pemeriksaan lisensi atau proses validasi pendaftaran lainnya sebagai bagian dari solusi Anda.

Contoh alur kerja pemeriksaan lisensi

  1. Perangkat didaftarkan tanpa kebijakan default atau kebijakan tertentu.
  2. Periksa jumlah lisensi yang tersisa di perusahaan.
  3. Jika ada lisensi yang tersedia, gunakan devices.patch untuk melampirkan kebijakan ke perangkat, lalu kurangi jumlah lisensi Anda. Jika tidak ada lisensi yang tersedia, gunakan devices.patch untuk menonaktifkan perangkat. Atau, API akan mereset ke setelan pabrik perangkat apa pun yang tidak dilampirkan ke kebijakan dalam waktu lima menit setelah pendaftaran.