Registrar e provisionar um dispositivo

Provisionamento é o processo de configurar um dispositivo para ser gerenciado policies por uma enterprise. Durante o processo de instalação de um dispositivo, Android Device Policy, que é usado para receber e aplicar o policies. Se o provisionamento for bem-sucedido, a API criará um objeto devices, vinculando o para uma empresa.

A API Android Management usa tokens de registro para acionar o provisionamento de desenvolvimento de software. O token de registro e o método de provisionamento que você usa estabelecem uma propriedade do dispositivo (pertencente a uma empresa ou de propriedade da empresa) e o modo de gerenciamento (pertencente a ou dispositivo totalmente gerenciado).

Dispositivos pessoais

Android 5.1 ou mais recente

É possível configurar dispositivos que pertencem aos funcionários com um perfil de trabalho. Um perfil de trabalho oferece um espaço independente para dados e apps de trabalho, separado dos dados apps e dados. A maioria dos apps, dados e outros recursos de gerenciamento policies se aplicam ao apenas no perfil de trabalho, e os apps e dados pessoais do funcionário continuam particulares.

Para configurar um perfil de trabalho em um dispositivo pessoal, crie um registro token (verifique se allowPersonalUsage está definido como PERSONAL_USAGE_ALLOWED) e use um dos seguintes métodos de provisionamento:

Dispositivos da empresa para uso pessoal e profissional

Android 8 ou versões mais recentes

Se você configurar um dispositivo da empresa com um perfil de trabalho, ele será ativado para tanto para uso profissional quanto pessoal. Em dispositivos da empresa com perfis de trabalho:

Para configurar um dispositivo da empresa com um perfil de trabalho, crie uma inscrição token (garanta que allowPersonalUsage é definido como PERSONAL_USAGE_ALLOWED) e usa um dos os seguintes métodos de provisionamento:

.

Dispositivos da empresa apenas para uso profissional

Android 5.1 ou mais recente

O gerenciamento completo do dispositivo é adequado para dispositivos da empresa destinados exclusivamente para fins profissionais. As empresas podem gerenciar todos os apps no dispositivo e pode aplicar todo o espectro de comandos e políticas da API Android Management.

Também é possível bloquear um dispositivo (por uma política) a um único app ou é um pequeno conjunto de apps para uma finalidade ou caso de uso específico. Esse subconjunto de totalmente os dispositivos gerenciados são chamados de dispositivos dedicados. Tokens de registro de estes dispositivos precisam ter a allowPersonalUsage definida como PERSONAL_USAGE_DISALLOWED_USERLESS.

Para configurar o gerenciamento total em um dispositivo da empresa, crie um token de inscrição garantindo que allowPersonalUsage seja definido como PERSONAL_USAGE_DISALLOWED ou PERSONAL_USAGE_DISALLOWED_USERLESS, e usar um dos métodos de provisionamento a seguir.

.

As políticas podem afetar a geração da interface durante o provisionamento de dispositivos. Essas políticas são:

Se você quiser que as etapas de senha sejam exibidas ao lado da instalação de apps de trabalho e os cartões de registro do dispositivo durante o provisionamento do dispositivo, sugerimos que você atualize seu políticas para atrasar o início da geração da interface, mantendo o dispositivo em um estado de quarentena, que ocorre se o usuário estiver inscrito sem uma política associada; até que a política selecionada final para a configuração do dispositivo seja preenchida com itens relevantes para suas necessidades de configuração. Depois que o provisionamento do dispositivo for concluído for concluída, você pode alterar a política como obrigatórios.

Criar um token de registro

Visão geral do gerenciamento do Android.
Figura 1. Criar um token que registre e aplique "policy1" aos dispositivos. Após 1.800 segundos (30 minutos), o token expira.

Você precisa de um token para cada dispositivo que quer registrar (é possível usar o mesmo token para vários dispositivos). Para solicitar um token de registro, chame enterprises.enrollmentTokens.create Os tokens de registro expiram após um hora por padrão, mas é possível especificar um prazo de validade personalizado (duration) em até aproximadamente 10.000 anos.

Uma solicitação bem-sucedida retorna um objeto enrollmentToken contendo uma enrollmentTokenId e um qrcode que os administradores de TI e os usuários finais podem usar para provisionar dispositivos.

Especificar uma política

Também é possível especificar um policyName na solicitação para aplicar uma política. ao mesmo tempo que um dispositivo é registrado. Se você não especificar um policyName, consulte Registre um dispositivo sem uma política.

Especificar o uso pessoal

O allowPersonalUsage determina se um perfil de trabalho pode ser adicionado ao dispositivo durante o provisionamento. Defina como PERSONAL_USAGE_ALLOWED para permitir que um usuário crie um Perfil de trabalho (obrigatório para dispositivos pessoais, opcional para dispositivos da empresa) dispositivos).

Sobre os QR codes

Os códigos QR funcionam como um método eficiente de provisionamento de dispositivos para empresas que manter muitas políticas diferentes. O QR code retornado de enterprises.enrollmentTokens.create é composto por um payload de pares de chave-valor. com um token de registro e todas as informações necessárias para o Android Device Policy para provisionar um dispositivo.

Exemplo de pacote de QR code

O pacote inclui o local de download do Android Device Policy e um token de registro.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Você pode usar o QR code retornado pela enterprises.enrollmentTokens.create diretamente ou personalizá-lo. Para uma lista completa de propriedades que podem ser incluídas no um pacote de QR code, consulte Criar um QR code.

Para converter a string qrcode em um QR code digitalizável, use um gerador de QR code como o ZXing.

Métodos de provisionamento

Esta seção descreve diferentes métodos de provisionamento de um dispositivo.

Adicionar perfil de trabalho em "Configurações"

Android 5.1 ou mais recente

Para configurar um perfil de trabalho no dispositivo, um usuário pode:

  1. Acesse Configurações > Google > Configuração e restaurar.
  2. Toque em Configurar seu perfil de trabalho.

Estas etapas iniciam um assistente de configuração que faz o download do Android Device Policy na dispositivo. Em seguida, será solicitado que o usuário leia um QR code ou inserir manualmente um token de registro para concluir a configuração do perfil de trabalho.

Baixar o Android Device Policy

Android 5.1 ou mais recente

Para configurar um perfil de trabalho no dispositivo, o usuário pode fazer o download do dispositivo Android Política da Google Play Store. Depois da instalação, o usuário vai precisar inserir um QR code ou inserir manualmente token de registro para concluir a configuração do perfil de trabalho.

Android 5.1 ou mais recente

Use o token de registro retornado de enrollmentTokens.create ou o signinEnrollmentToken do Enterprise, gere um URL com o seguinte formato:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Você pode fornecer esse URL aos administradores de TI, que poderão fornecê-lo aos usuários finais. Quando um usuário final abrir o link em seu dispositivo, ele será guiado pela a configuração do perfil de trabalho.

URL de login

Com esse método, os usuários são direcionados a uma página para inserir necessárias para concluir o provisionamento. Com base nas informações que o usuário for inserida, poderá calcular a política adequada para o usuário antes de prosseguir com o provisionamento de dispositivos. Exemplo:

  1. Especifique seu URL de login no enterprises.signInDetails[]. Definir allowPersonalUsage para PERSONAL_USAGE_ALLOWED se você quiser permitir que um usuário para criar um perfil de trabalho (obrigatório para dispositivos pessoais, opcional para dispositivos da empresa).

    Adicionar o signinEnrollmentToken resultante como provisionamento extra a um QR código, payload de NFC ou registro sem toque . Como alternativa, forneça signinEnrollmentToken diretamente aos usuários.

  2. Escolha uma opção:

    1. Dispositivos da empresa:após ativar um dispositivo novo ou redefinido para a configuração original dispositivo, transmita o signinEnrollmentToken para o dispositivo (via QR code, NFC bump etc.) ou solicite que os usuários insiram o token manualmente. O dispositivo vai abra o URL de login especificado na Etapa 1.
    2. Dispositivos pessoais:peça aos usuários para adicionarem um perfil de trabalho de Configurações. Quando solicitado, o usuário lê um QR code contendo o signinEnrollmentToken ou insere o token manualmente. O dispositivo vai abrir o URL de login especificado na etapa 1:
    3. Dispositivos pessoais:forneça aos usuários um token de inscrição. link, em que o token de registro é o signinEnrollmentToken. O dispositivo vai abrir o URL de login especificado na Etapa 1.

  3. Verifique se o Google já autenticou o usuário. Pegue o dispositivo informações de provisionamento (durante o registro do dispositivo) usando o parâmetro GET provisioningInfo e verifique se há um valor para o campo. authenticatedUserEmail. Se houver um valor nesse campo, significa que o usuário já autenticado pelo Google e você pode usar essa identidade sem precisar de autenticação adicional.

  4. Se o Google ainda não autenticou o usuário, seu URL de login deve solicitar que os usuários insiram suas credenciais. Com base na identidade da pessoa, determinar a política adequada e receber a autorização de provisionamento informações (durante o registro do dispositivo) usando o parâmetro GET provisioningInfo

  5. Chame enrollmentTokens.create, especificando o policyId apropriado. com base nas credenciais do usuário.

  6. Retorne o token de registro gerado na Etapa 5 usando o redirecionamento de URL no formulário https://enterprise.google.com/android/enroll?et=<token>.

Método do QR code

Android 7.0 ou mais recente

Para provisionar um dispositivo da empresa, gere um QR code e exiba-o no console de EMM:

  1. Em um dispositivo novo ou redefinido para a configuração original, o usuário (normalmente um administrador de TI) toca no tela seis vezes no mesmo lugar. Isso aciona o dispositivo para solicitar para que o usuário leia um QR code.
  2. O usuário lê o QR code exibido no console de gerenciamento. aplicativo similar) para registrar e provisionar o dispositivo.

Método NFC

Android 6.0 ou mais recente

Esse método exige que você crie um aplicativo de programação NFC que contenha as token de inscrição, políticas iniciais, configurações de Wi-Fi e tudo mais outros detalhes de provisionamento exigidos pelo cliente para provisionar um um dispositivo gerenciado ou dedicado. Quando você ou seu cliente instalar a NFC em um dispositivo com tecnologia Android, esse dispositivo se tornará o programador dispositivo.

Orientações detalhadas sobre como oferecer suporte ao método NFC estão disponíveis no EMM do Google Play desenvolvedor de API na documentação do Google Cloud. O site também inclui um exemplo de código da parâmetros enviados para um dispositivo em uma conexão NFC. Para instalar o Android Device Policy, defina o download local do pacote de administração de dispositivos para:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Método do identificador de DPC

Se não for possível adicionar o Android Device Policy usando um QR code ou NFC, um usuário ou administrador de TI siga estas etapas para provisionar um dispositivo da empresa:

  1. Siga as etapas do assistente de configuração em um dispositivo novo ou redefinido para a configuração original.
  2. Digite os detalhes de login do Wi-Fi para conectar o dispositivo à Internet.
  3. Quando solicitado a fazer login, digite afw#setup, que faz o download do Android Política de dispositivos.
  4. Escaneie um QR code ou insira manualmente um token de registro para: para provisionar o dispositivo.
.

Registro sem toque

Android 8.0 ou mais recente (Pixel 7.1 ou mais recente)

Os dispositivos comprados de um revendedor autorizado de registro sem toque estão qualificados para o registro sem toque, um método simplificado de pré-configuração de dispositivos para se provisionam automaticamente na primeira inicialização.

As organizações podem criar configurações contendo detalhes de provisionamento para os dispositivos sem toque, seja pelo portal de registro sem toque ou pelo console de EMM. Consulte a API de registro sem toque para clientes. Na primeira inicial, um dispositivo de registro sem toque verifica se uma configuração foi atribuída a ele. Nesse caso, o dispositivo faz o download do Android Device Policy, que conclui a configuração do dispositivo usando os extras de provisionamento especificados na configuração atribuída.

Caso seus clientes usem o portal de registro sem toque, eles vão precisar fazer o seguinte: selecione Android Device Policy como o DPC do EMM para cada configuração criar. Instruções detalhadas sobre como usar o portal, incluindo como criar e atribuir configurações a dispositivos, estão disponíveis no Android Enterprise Central de Ajuda.

Se você preferir que seus clientes definam e atribuam configurações diretamente no console de EMM, você precisa fazer a integração com a API de registro sem toque para clientes. Quando criando uma configuração, você especifica os extras de provisionamento na dpcExtras. O snippet JSON a seguir mostra um exemplo básico do que incluir em dpcExtras, com um token de login adicionado.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Iniciar um app durante a configuração

config.action
Figura 2. Usar setupActions para iniciar um app durante a configuração.

Em policies, é possível especificar um app para iniciar o Android Device Policy. durante a configuração do dispositivo ou do perfil de trabalho. Por exemplo, é possível iniciar um app de VPN os usuários podem definir as configurações de VPN como parte do processo de configuração. O app precisa Retornar RESULT_OK para sinalizar a conclusão e permitir que o Android Device Policy conclua o provisionamento do dispositivo ou do perfil de trabalho. Para iniciar um app durante a configuração:

Verifique se o installType do app é REQUIRED_FOR_SETUP. Se não for possível instalado ou iniciado no dispositivo, o provisionamento falhará.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Adicione o nome do pacote do app a setupActions. Use title e description para e especificar instruções voltadas para o usuário.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Para diferenciar que um app é iniciado na launchApp, a atividade que é iniciado como parte do app contém o extra de intent booleana com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (definido como true). Esse extra permite que você personalize seu app de acordo com o iniciado em setupActions ou por um usuário.

Depois que o app retornar RESULT_OK, o Android Device Policy concluirá o restante etapas necessárias para provisionar o dispositivo ou perfil de trabalho.

Cancelar inscrição durante a configuração

O app iniciado como SetupAction pode cancelar o retorno de inscrição. RESULT_FIRST_USER.

O cancelamento da inscrição redefine um dispositivo da empresa ou exclui o trabalho. em um dispositivo pessoal.

Observação: o cancelamento da inscrição aciona a ação sem um usuário. caixa de diálogo de confirmação. É responsabilidade do aplicativo mostrar caixa de diálogo de erro para o usuário antes de retornar RESULT_FIRST_USER.

Aplicar uma política a dispositivos recém-registrados

O método usado para aplicar políticas aos dispositivos recém-registrados fica a seu critério. as exigências dos seus clientes. Aqui estão as diferentes abordagens que você pode usar:

  • (Recomendado) Ao criar um token de registro, você pode especificar o nome da política (policyName) que será inicialmente vinculada à dispositivo. Quando você registra um dispositivo com o token, a política é automaticamente aplicada ao dispositivo.

  • Definir uma política como padrão para uma empresa. Se nenhum nome de política for especificada no token de registro, e há uma política com o nome enterprises/<enterprise_id>/policies/default, cada novo dispositivo tem vinculado automaticamente à política padrão no momento da inscrição.

  • Inscrever-se em um tópico do Cloud Pub/Sub para receber notificações sobre dispositivos recém-registrados. Em resposta a um ENROLLMENT. Chame enterprises.devices.patch para vincular o dispositivo a uma política.

Registrar um dispositivo sem uma política

Se um dispositivo estiver registrado sem uma política válida, ele será colocado no quarentena. As funções dos dispositivos em quarentena serão bloqueadas até o dispositivo está vinculado a uma política.

Se um dispositivo não for vinculado a uma política em cinco minutos, o registro do dispositivo falhar e o dispositivo for redefinido para a configuração original. O estado do dispositivo em quarentena fornece as seguintes informações: implementar verificações de licenciamento ou outras validações de registro e processos como parte da solução.

Exemplo de fluxo de trabalho de verificação de licenciamento

  1. Um dispositivo é registrado sem uma política padrão ou política específica.
  2. Verifique quantas licenças a empresa ainda tem.
  3. Se houver licenças disponíveis, use devices.patch para anexar um política para o dispositivo e, em seguida, diminuir o número de licenças. Se não houver licenças disponíveis, use devices.patch para desativar o dispositivo. Como alternativa, a API redefine qualquer dispositivo que não esteja conectado a uma dentro de cinco minutos após a inscrição.