Đăng ký và cấp phép cho thiết bị

Cung cấp là quy trình thiết lập một thiết bị để được quản lý bằng policies bởi một enterprise. Trong quá trình này, thiết bị sẽ cài đặt Android Device Policy. Ứng dụng này được dùng để nhận và thực thi policies. Nếu quá trình cung cấp thành công, API sẽ tạo một đối tượng devices, liên kết thiết bị với một doanh nghiệp.

Android Management API sử dụng mã thông báo đăng ký để kích hoạt quy trình cấp phép. Mã thông báo đăng ký và phương thức cung cấp mà bạn sử dụng sẽ xác định quyền sở hữu (cá nhân hoặc công ty) và chế độ quản lý (hồ sơ công việc hoặc thiết bị được quản lý hoàn toàn) của thiết bị.

Hệ thống hạn mức kiểm soát số lượng thiết bị mà mỗi dự án có thể quản lý. Bạn phải yêu cầu hạn mức thiết bị ban đầu thì mới có thể cung cấp thiết bị đầu tiên.

Thiết bị thuộc sở hữu cá nhân

Android 5.1 trở lên

Nhân viên có thể thiết lập hồ sơ công việc trên thiết bị của mình. Hồ sơ công việc cung cấp một không gian độc lập cho các ứng dụng và dữ liệu công việc, tách biệt với các ứng dụng và dữ liệu cá nhân. Hầu hết các chế độ quản lý policies ứng dụng, dữ liệu và các chế độ quản lý khác chỉ áp dụng cho hồ sơ công việc, trong khi các ứng dụng và dữ liệu cá nhân của nhân viên vẫn ở chế độ riêng tư.

Để thiết lập hồ sơ công việc trên thiết bị thuộc sở hữu cá nhân, hãy tạo mã thông báo đăng ký (đảm bảo allowPersonalUsage được đặt thành PERSONAL_USAGE_ALLOWED) và sử dụng một trong các phương thức cung cấp sau:

Thiết bị do công ty sở hữu để sử dụng cho công việc và mục đích cá nhân

Android 8 trở lên

Khi thiết lập một thiết bị thuộc sở hữu của công ty bằng hồ sơ công việc, bạn có thể dùng thiết bị đó cho cả mục đích công việc và cá nhân. Trên thiết bị do công ty sở hữu có hồ sơ công việc:

  • Hầu hết các chế độ quản lý ứng dụng, dữ liệu và chế độ quản lý khác policies chỉ áp dụng cho hồ sơ công việc.
  • Hồ sơ cá nhân của nhân viên vẫn ở chế độ riêng tư. Tuy nhiên, các doanh nghiệp có thể thực thi một số chính sách trên toàn thiết bịchính sách sử dụng cá nhân.
  • Doanh nghiệp có thể sử dụng blockScope để thực thi các hành động tuân thủ trên toàn bộ thiết bị hoặc chỉ trên hồ sơ công việc của thiết bị.
  • devices.deletelệnh thiết bị áp dụng cho toàn bộ thiết bị.

Để thiết lập một thiết bị do công ty sở hữu bằng hồ sơ công việc, hãy tạo mã thông báo đăng ký (đảm bảo allowPersonalUsage được đặt thành PERSONAL_USAGE_ALLOWED) và sử dụng một trong các phương thức cung cấp sau:

Thiết bị do công ty sở hữu chỉ được dùng cho công việc

Android 5.1 trở lên

Chế độ Quản lý toàn bộ thiết bị phù hợp với những thiết bị do công ty sở hữu và chỉ dành cho mục đích công việc. Doanh nghiệp có thể quản lý tất cả ứng dụng trên thiết bị và có thể thực thi toàn bộ các chính sách và lệnh của Android Management API.

Bạn cũng có thể khoá thiết bị (thông qua chính sách) để chỉ chạy một ứng dụng hoặc một nhóm nhỏ ứng dụng nhằm phục vụ một mục đích hoặc trường hợp sử dụng chuyên biệt. Tập hợp con này của các thiết bị được quản lý hoàn toàn được gọi là thiết bị chuyên dụng. Mã thông báo đăng ký cho các thiết bị này phải được đặt thành allowPersonalUsagePERSONAL_USAGE_DISALLOWED_USERLESS.

Để thiết lập chế độ quản lý đầy đủ trên một thiết bị thuộc sở hữu của công ty, hãy tạo một mã thông báo đăng ký, đảm bảo allowPersonalUsage được đặt thành PERSONAL_USAGE_DISALLOWED hoặc PERSONAL_USAGE_DISALLOWED_USERLESS và sử dụng một trong các phương thức cung cấp sau.

Chính sách có thể ảnh hưởng đến việc tạo giao diện người dùng trong quá trình cung cấp thiết bị. Các chính sách đó là:

  • PasswordPolicyScope: Mã này xác định các yêu cầu đối với mật khẩu.
  • PermittedInputMethods: Thao tác này xác định các phương thức nhập gói.
  • PermittedAccessibilityServices: Chế độ này xác định những dịch vụ hỗ trợ tiếp cận được phép dùng cho thiết bị được quản lý hoàn toàn và hồ sơ công việc.
  • SetupActions: Điều này xác định những hành động sẽ được thực hiện trong quá trình thiết lập.
  • ApplicationsPolicy: Tham số này xác định chính sách cho từng ứng dụng.

Nếu muốn các bước nhập mật khẩu xuất hiện cùng với quá trình cài đặt ứng dụng công việc và thẻ đăng ký thiết bị trong quá trình thiết lập thiết bị, bạn nên cập nhật các chính sách để trì hoãn việc bắt đầu tạo giao diện người dùng bằng cách giữ thiết bị ở trạng thái cách ly (trạng thái này xảy ra nếu thiết bị được đăng ký mà không có chính sách liên kết), cho đến khi chỉ định chính sách cuối cùng đã chọn cho quá trình thiết lập thiết bị, trong đó có các mục liên quan đến nhu cầu thiết lập của bạn. Sau khi hoàn tất việc cung cấp thiết bị, bạn có thể thay đổi chính sách theo yêu cầu.

Tạo mã thông báo đăng ký

Tổng quan về Android Management.
Hình 1. Tạo mã thông báo đăng ký và áp dụng "policy1" cho các thiết bị. Sau 1.800 giây (30 phút), mã thông báo sẽ hết hạn.

Bạn cần có mã thông báo đăng ký cho mỗi thiết bị mà bạn muốn đăng ký (bạn có thể dùng cùng một mã thông báo cho nhiều thiết bị). Để yêu cầu mã thông báo đăng ký, hãy gọi enterprises.enrollmentTokens.create. Theo mặc định, mã thông báo đăng ký sẽ hết hạn sau một giờ,nhưng bạn có thể chỉ định thời gian hết hạn tuỳ chỉnh (duration) tối đa khoảng 10.000 năm.

Yêu cầu thành công sẽ trả về một đối tượng enrollmentToken chứa enrollmentTokenIdqrcode mà quản trị viên CNTT và người dùng cuối có thể dùng để cung cấp thiết bị.

Chỉ định một chính sách

Bạn cũng có thể chỉ định một policyName trong yêu cầu áp dụng chính sách cùng lúc thiết bị được đăng ký. Nếu bạn không chỉ định policyName, hãy xem phần Đăng ký thiết bị không có chính sách.

Chỉ định mục đích sử dụng cá nhân

allowPersonalUsage xác định xem có thể thêm hồ sơ công việc vào thiết bị hay không trong quá trình cung cấp. Đặt thành PERSONAL_USAGE_ALLOWED để cho phép người dùng tạo hồ sơ công việc (bắt buộc đối với thiết bị thuộc quyền sở hữu cá nhân, không bắt buộc đối với thiết bị thuộc quyền sở hữu của công ty).

Giới thiệu về mã QR

Mã QR là một phương thức hiệu quả để cung cấp thiết bị cho những doanh nghiệp duy trì nhiều chính sách khác nhau. Mã QR được trả về từ enterprises.enrollmentTokens.create bao gồm một tải trọng gồm các cặp khoá-giá trị chứa mã thông báo đăng ký và tất cả thông tin cần thiết để Android Device Policy cung cấp một thiết bị.

Ví dụ về gói mã QR

Gói này bao gồm vị trí tải xuống của Android Device Policy và mã thông báo đăng ký.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Bạn có thể sử dụng trực tiếp mã QR nhận được từ enterprises.enrollmentTokens.create hoặc tuỳ chỉnh mã này. Để xem danh sách đầy đủ các thuộc tính mà bạn có thể đưa vào gói mã QR, hãy xem phần Tạo mã QR.

Để chuyển chuỗi qrcode thành mã QR có thể quét, hãy dùng một trình tạo mã QR như ZXing.

Phương thức cấp phép

Phần này mô tả các phương thức khác nhau để cung cấp thiết bị.

Thêm hồ sơ công việc trong phần "Cài đặt"

Android 5.1 trở lên

Để thiết lập hồ sơ công việc trên thiết bị của mình, người dùng có thể:

  1. Chuyển đến phần Cài đặt > Google > Thiết lập và khôi phục.
  2. Nhấn vào Thiết lập hồ sơ công việc.

Các bước này sẽ khởi chạy một trình hướng dẫn thiết lập để tải Android Device Policy xuống thiết bị. Tiếp theo, người dùng sẽ được nhắc quét mã QR hoặc nhập mã thông báo đăng ký theo cách thủ công để hoàn tất quá trình thiết lập hồ sơ công việc.

Tải Android Device Policy xuống

Android 5.1 trở lên

Để thiết lập hồ sơ công việc trên thiết bị, người dùng có thể tải ứng dụng Android Device Policy xuống từ Cửa hàng Google Play. Sau khi cài đặt ứng dụng, người dùng sẽ được nhắc quét mã QR hoặc nhập mã thông báo đăng ký theo cách thủ công để hoàn tất quá trình thiết lập hồ sơ công việc.

Android 5.1 trở lên

Sử dụng mã thông báo đăng ký mà enrollmentTokens.create trả về hoặc signinEnrollmentToken của doanh nghiệp, hãy tạo một URL có định dạng sau:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Bạn có thể cung cấp URL này cho quản trị viên CNTT để họ có thể cung cấp cho người dùng cuối. Khi người dùng cuối mở đường liên kết trên thiết bị của họ, họ sẽ được hướng dẫn thiết lập hồ sơ công việc.

URL đăng nhập

Với phương thức này, người dùng sẽ được chuyển hướng đến một trang để nhập mọi thông tin bổ sung cần thiết để hoàn tất quy trình cấp phép. Dựa trên thông tin mà người dùng nhập, bạn có thể tính toán chính sách phù hợp cho người dùng trước khi tiến hành cung cấp thiết bị. Ví dụ:

  1. Chỉ định URL đăng nhập của bạn trong enterprises.signInDetails[]. Đặt allowPersonalUsage thành PERSONAL_USAGE_ALLOWED nếu bạn muốn cho phép người dùng tạo hồ sơ công việc (bắt buộc đối với thiết bị thuộc sở hữu cá nhân, không bắt buộc đối với thiết bị thuộc sở hữu của công ty).

    Thêm signinEnrollmentToken thu được làm thông tin bổ sung về việc cung cấp vào mã QR, tải trọng NFC hoặc cấu hình Zero-touch. Ngoài ra, bạn có thể cung cấp signinEnrollmentToken trực tiếp cho người dùng.

  2. Chọn một tùy chọn:

    1. Thiết bị do công ty sở hữu: Sau khi bật một thiết bị mới hoặc thiết bị đã được đặt lại về trạng thái ban đầu, hãy chuyển signinEnrollmentToken đến thiết bị (thông qua mã QR, thao tác chạm NFC, v.v.) hoặc yêu cầu người dùng nhập mã thông báo theo cách thủ công. Thiết bị sẽ mở URL đăng nhập mà bạn chỉ định trong Bước 1.
    2. Thiết bị thuộc sở hữu cá nhân: Yêu cầu người dùng thêm hồ sơ công việc trong phần "Cài đặt". Khi được nhắc, người dùng quét mã QR có biểu tượng signinEnrollmentToken hoặc nhập mã thông báo theo cách thủ công. Thiết bị sẽ mở URL đăng nhập được chỉ định trong Bước 1.
    3. Thiết bị thuộc sở hữu cá nhân: Cung cấp cho người dùng một đường liên kết mã thông báo đăng ký, trong đó mã thông báo đăng ký là signinEnrollmentToken. Thiết bị sẽ mở URL đăng nhập được chỉ định ở Bước 1.

  3. Kiểm tra xem Google đã xác thực người dùng hay chưa. Nhận thông tin cung cấp thiết bị (trong quá trình đăng ký thiết bị) bằng cách sử dụng tham số GET provisioningInfo và kiểm tra giá trị của trường authenticatedUserEmail. Nếu có giá trị trong trường này, tức là người dùng đã được Google xác thực thành công và bạn có thể sử dụng danh tính này mà không cần xác thực thêm.

  4. Nếu Google chưa xác thực người dùng, thì URL đăng nhập của bạn sẽ nhắc người dùng nhập thông tin đăng nhập. Dựa trên danh tính của họ, bạn có thể xác định chính sách phù hợp và nhận thông tin về việc cung cấp thiết bị (trong quá trình đăng ký thiết bị) bằng cách sử dụng tham số GET provisioningInfo.

  5. Gọi enrollmentTokens.create, chỉ định policyId thích hợp dựa trên thông tin đăng nhập của người dùng.

  6. Trả về mã thông báo đăng ký được tạo ở Bước 5 bằng cách sử dụng lệnh chuyển hướng URL, ở dạng https://enterprise.google.com/android/enroll?et=<token>.

Phương thức mã QR

Android 7.0 trở lên

Để cấp phép cho một thiết bị thuộc sở hữu của công ty, bạn có thể tạo mã QR rồi hiển thị mã đó trong bảng điều khiển EMM:

  1. Trên một thiết bị mới hoặc thiết bị đã được đặt lại về trạng thái ban đầu, người dùng (thường là quản trị viên CNTT) sẽ nhấn vào màn hình 6 lần ở cùng một vị trí. Thao tác này sẽ kích hoạt thiết bị nhắc người dùng quét mã QR.
  2. Người dùng quét mã QR mà bạn hiển thị trong bảng điều khiển quản lý (hoặc ứng dụng tương tự) để đăng ký và cung cấp thiết bị.

Phương thức NFC

Android 6.0 trở lên

Phương thức này yêu cầu bạn tạo một ứng dụng lập trình NFC có chứa mã thông báo đăng ký, các chính sách ban đầu và cấu hình Wi-Fi, chế độ cài đặt cũng như tất cả các thông tin khác về việc cung cấp mà khách hàng của bạn yêu cầu để cung cấp một thiết bị được quản lý hoàn toàn hoặc thiết bị chuyên dụng. Khi bạn hoặc khách hàng của bạn cài đặt ứng dụng trình lập trình NFC trên một thiết bị chạy Android, thiết bị đó sẽ trở thành thiết bị lập trình.

Bạn có thể xem hướng dẫn chi tiết về cách hỗ trợ phương thức NFC trong tài liệu dành cho nhà phát triển Play EMM API. Trang web này cũng bao gồm mã mẫu của các tham số mặc định được đẩy đến một thiết bị khi chạm NFC. Để cài đặt Android Device Policy, hãy đặt vị trí tải xuống của gói quản trị viên thiết bị thành:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Phương thức nhận dạng DPC

Nếu không thêm được Android Device Policy bằng mã QR hoặc NFC, thì người dùng hoặc quản trị viên CNTT có thể làm theo các bước sau để thiết lập thiết bị do công ty sở hữu:

  1. Làm theo trình hướng dẫn thiết lập trên thiết bị mới hoặc thiết bị đã được đặt lại về trạng thái ban đầu.
  2. Nhập thông tin đăng nhập Wi-Fi để kết nối thiết bị với Internet.
  3. Khi được nhắc đăng nhập, hãy nhập afw#setup để tải Android Device Policy xuống.
  4. Quét mã QR hoặc nhập mã thông báo đăng ký theo cách thủ công để cung cấp thiết bị.

Thiết lập tự động

Android 8.0 trở lên (Pixel 7.1 trở lên)

Các thiết bị mua từ đại lý được uỷ quyền sử dụng quy trình thiết lập tự động đều đủ điều kiện sử dụng quy trình thiết lập tự động. Đây là một phương thức tinh giản để định cấu hình trước các thiết bị nhằm tự động thiết lập khi khởi động lần đầu.

Các tổ chức có thể tạo cấu hình chứa thông tin chi tiết về việc cung cấp cho các thiết bị thiết lập tự động của mình, thông qua cổng thiết lập tự động hoặc bằng cách sử dụng bảng điều khiển EMM (xem API khách hàng thiết lập tự động). Trong lần khởi động đầu tiên, thiết bị không cần thao tác sẽ kiểm tra xem thiết bị đã được chỉ định một cấu hình hay chưa. Nếu có, thiết bị sẽ tải Android Device Policy xuống, sau đó hoàn tất quá trình thiết lập thiết bị bằng cách sử dụng các thông số bổ sung về việc cung cấp được chỉ định trong cấu hình được chỉ định.

Nếu khách hàng của bạn sử dụng cổng đăng ký không cần chạm, họ cần chọn Android Device Policy làm DPC EMM cho từng cấu hình mà họ tạo. Bạn có thể xem hướng dẫn chi tiết về cách sử dụng cổng thông tin này, bao gồm cả cách tạo và chỉ định cấu hình cho thiết bị trong trung tâm trợ giúp của Android Enterprise.

Nếu muốn khách hàng thiết lập và chỉ định cấu hình ngay từ bảng điều khiển EMM, bạn cần tích hợp với API khách hàng thiết lập tự động. Khi tạo cấu hình, bạn chỉ định các tiện ích bổ sung về việc cung cấp trong trường dpcExtras. Đoạn mã JSON sau đây minh hoạ một ví dụ cơ bản về nội dung cần đưa vào dpcExtras, có thêm mã thông báo đăng nhập.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Chạy một ứng dụng trong quá trình thiết lập

setupaction
Hình 2. Sử dụng setupActions để chạy một ứng dụng trong quá trình thiết lập.

Trong policies, bạn có thể chỉ định một ứng dụng để Android Device Policy khởi chạy trong quá trình thiết lập thiết bị hoặc hồ sơ công việc. Ví dụ: bạn có thể chạy một ứng dụng VPN để người dùng có thể định cấu hình chế độ cài đặt VPN trong quy trình thiết lập. Ứng dụng phải trả về RESULT_OK để báo hiệu quá trình hoàn tất và cho phép Android Device Policy hoàn tất việc cung cấp thiết bị hoặc hồ sơ công việc. Cách khởi chạy một ứng dụng trong quá trình thiết lập:

Đảm bảo installType của ứng dụng là REQUIRED_FOR_SETUP. Nếu không cài đặt hoặc chạy được ứng dụng trên thiết bị, thì quá trình cung cấp sẽ không thành công.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Thêm tên gói của ứng dụng vào setupActions. Sử dụng titledescription để chỉ định hướng dẫn cho người dùng.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Để phân biệt ứng dụng được chạy từ launchApp, hoạt động được chạy lần đầu tiên trong ứng dụng sẽ chứa phần bổ sung ý định boolean com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (được đặt thành true). Phần bổ sung này cho phép bạn tuỳ chỉnh ứng dụng dựa trên việc ứng dụng được chạy từ setupActions hay do người dùng chạy.

Sau khi ứng dụng trả về RESULT_OK, Android Device Policy sẽ hoàn tất mọi bước còn lại cần thiết để cung cấp thiết bị hoặc hồ sơ công việc.

Huỷ đăng ký trong quá trình thiết lập

Ứng dụng được khởi chạy dưới dạng SetupAction có thể huỷ quy trình đăng ký và trả về RESULT_FIRST_USER.

Việc huỷ đăng ký sẽ đặt lại thiết bị do công ty sở hữu hoặc xoá hồ sơ công việc trên thiết bị thuộc sở hữu cá nhân.

Lưu ý: Việc huỷ đăng ký sẽ kích hoạt hành động mà không có hộp thoại xác nhận của người dùng. Ứng dụng có trách nhiệm cho người dùng thấy một hộp thoại lỗi thích hợp trước khi trả về RESULT_FIRST_USER.

Áp dụng chính sách cho các thiết bị mới đăng ký

Bạn có thể tuỳ ý chọn phương thức áp dụng chính sách cho các thiết bị mới đăng ký và đáp ứng các yêu cầu của khách hàng. Sau đây là các phương pháp mà bạn có thể sử dụng:

  • (Nên dùng) Khi tạo mã thông báo đăng ký, bạn có thể chỉ định tên của chính sách (policyName) sẽ được liên kết ban đầu với thiết bị. Khi bạn đăng ký một thiết bị bằng mã thông báo, chính sách sẽ tự động được áp dụng cho thiết bị đó.

  • Đặt một chính sách làm chính sách mặc định cho doanh nghiệp. Nếu không có tên chính sách nào được chỉ định trong mã thông báo đăng ký và có một chính sách có tên enterprises/<enterprise_id>/policies/default, thì mỗi thiết bị mới sẽ tự động được liên kết với chính sách mặc định tại thời điểm đăng ký.

  • Đăng ký theo dõi một chủ đề Cloud Pub/Sub để nhận thông báo về các thiết bị mới được đăng ký. Để phản hồi thông báo ENROLLMENT, hãy gọi enterprises.devices.patch để liên kết thiết bị với một chính sách.

Đăng ký thiết bị mà không có chính sách

Nếu một thiết bị được đăng ký mà không có chính sách hợp lệ, thì thiết bị đó sẽ được đưa vào trạng thái cách ly. Các thiết bị bị cách ly sẽ bị chặn sử dụng mọi chức năng cho đến khi được liên kết với một chính sách.

Nếu một thiết bị không được liên kết với chính sách trong vòng 5 phút, thì quá trình đăng ký thiết bị sẽ không thành công và thiết bị sẽ được đặt lại về trạng thái ban đầu. Trạng thái thiết bị bị cách ly cho phép bạn triển khai các quy trình kiểm tra cấp phép hoặc các quy trình xác thực đăng ký khác trong giải pháp của mình.

Ví dụ về quy trình kiểm tra việc cấp phép

  1. Thiết bị được đăng ký mà không có chính sách mặc định hoặc chính sách cụ thể.
  2. Kiểm tra xem doanh nghiệp còn bao nhiêu giấy phép.
  3. Nếu có giấy phép, hãy dùng devices.patch để đính kèm một chính sách vào thiết bị, sau đó giảm số lượng giấy phép. Nếu không có giấy phép, hãy dùng devices.patch để tắt thiết bị. Ngoài ra, API này sẽ đặt lại mọi thiết bị không được gắn với chính sách về trạng thái ban đầu trong vòng 5 phút kể từ khi đăng ký.