Gerät registrieren und bereitstellen

Die Bereitstellung ist der Prozess der Einrichtung eines Geräts, das von einem enterprise mit policies verwaltet werden soll. Während des Vorgangs wird auf einem Gerät die Android Device Policy App installiert, mit der policies empfangen und erzwungen werden. Wenn die Bereitstellung erfolgreich ist, erstellt die API ein devices-Objekt, das das Gerät an ein Unternehmen bindet.

In der Android Management API werden Registrierungstokens verwendet, um den Bereitstellungsprozess auszulösen. Mit dem Registrierungstoken und der Bereitstellungsmethode, die Sie verwenden, wird die Eigentümerschaft (privat oder unternehmenseigen) und der Verwaltungsmodus (Arbeitsprofil oder vollständig verwaltetes Gerät) eines Geräts festgelegt.

Ein Kontingentsystem steuert, wie viele Geräte jedes Projekt verwalten kann. Sie müssen zuerst ein Geräte-Kontingent anfordern, bevor Sie Ihr erstes Gerät bereitstellen können.

Private Geräte

Android 5.1 und höher

Auf Geräten, die Mitarbeitern gehören, kann ein Arbeitsprofil eingerichtet werden. Ein Arbeitsprofil bietet einen in sich geschlossenen Bereich für geschäftliche Apps und Daten, der von privaten Apps und Daten getrennt ist. Die meisten App-, Daten- und anderen Verwaltungsfunktionen policies gelten nur für das Arbeitsprofil, während die privaten Apps und Daten des Mitarbeiters privat bleiben.

Wenn Sie ein Arbeitsprofil auf einem privaten Gerät einrichten möchten, erstellen Sie ein Registrierungstoken (allowPersonalUsage muss auf PERSONAL_USAGE_ALLOWED festgelegt sein) und verwenden Sie eine der folgenden Bereitstellungsmethoden:

Unternehmenseigene Geräte für berufliche und private Zwecke

Android 8 und höher

Wenn Sie ein unternehmenseigenes Gerät mit einem Arbeitsprofil einrichten, kann es sowohl für geschäftliche als auch private Zwecke verwendet werden. Auf unternehmenseigenen Geräten mit Arbeitsprofilen:

Wenn Sie ein unternehmenseigenes Gerät mit einem Arbeitsprofil einrichten möchten, erstellen Sie ein Registrierungstoken (allowPersonalUsage muss auf PERSONAL_USAGE_ALLOWED festgelegt sein) und verwenden Sie eine der folgenden Bereitstellungsmethoden:

Unternehmenseigene Geräte nur für die Arbeit

Android 5.1 und höher

Die vollständige Geräteverwaltung eignet sich für unternehmenseigene Geräte, die ausschließlich für die Arbeit verwendet werden. Unternehmen können alle Apps auf dem Gerät verwalten und das gesamte Spektrum der Richtlinien und Befehle der Android Management API erzwingen.

Es ist auch möglich, ein Gerät über eine Richtlinie auf eine einzelne App oder eine kleine Gruppe von Apps zu beschränken, um einen bestimmten Zweck oder Anwendungsfall zu erfüllen. Diese Teilmenge vollständig verwalteter Geräte wird als dedizierte Geräte bezeichnet. Registrierungstokens für diese Geräte müssen allowPersonalUsage auf PERSONAL_USAGE_DISALLOWED_USERLESS festgelegt haben.

Wenn Sie die vollständige Verwaltung auf einem unternehmenseigenen Gerät einrichten möchten, erstellen Sie ein Registrierungstoken und achten Sie darauf, dass allowPersonalUsage auf PERSONAL_USAGE_DISALLOWED oder PERSONAL_USAGE_DISALLOWED_USERLESS festgelegt ist. Verwenden Sie dann eine der folgenden Bereitstellungsmethoden.

Richtlinien können sich auf die Generierung der Benutzeroberfläche während der Gerätebereitstellung auswirken. Dazu gehören:

Wenn Sie möchten, dass während der Gerätebereitstellung neben der Installation von Arbeits-Apps und Geräteregistrierungskarten auch Passwortschritte angezeigt werden, empfehlen wir, Ihre Richtlinien so zu aktualisieren, dass die UI-Generierung verzögert wird. Dazu muss das Gerät in einem Quarantänestatus verbleiben, der auftritt, wenn es ohne zugehörige Richtlinie registriert wird. Das Gerät muss in diesem Status verbleiben, bis die endgültige ausgewählte Richtlinie für die Geräteeinrichtung mit Elementen gefüllt wird, die für Ihre Einrichtung erforderlich sind. Nachdem die Bereitstellung des Geräts abgeschlossen ist, können Sie die Richtlinie nach Bedarf ändern.

Registrierungstoken erstellen

Android Management – Übersicht
Abbildung 1: Erstellen Sie ein Token, mit dem Geräte registriert und „policy1“ auf sie angewendet wird. Nach 1.800 Sekunden (30 Minuten) läuft das Token ab.

Sie benötigen ein Registrierungstoken für jedes Gerät, das Sie registrieren möchten. Sie können dasselbe Token für mehrere Geräte verwenden. Wenn Sie ein Registrierungstoken anfordern möchten, rufen Sie enterprises.enrollmentTokens.create an. Registrierungstokens laufen standardmäßig nach einer Stunde ab. Sie können jedoch eine benutzerdefinierte Ablaufzeit (duration) von bis zu etwa 10.000 Jahren angeben.

Bei einer erfolgreichen Anfrage wird ein enrollmentToken-Objekt mit einem enrollmentTokenId und einem qrcode zurückgegeben, mit denen IT-Administratoren und Endnutzer Geräte bereitstellen können.

Richtlinie angeben

Möglicherweise möchten Sie auch eine policyName in der Anfrage angeben, um eine Richtlinie gleichzeitig mit der Registrierung eines Geräts anzuwenden. Wenn Sie keine policyName angeben, lesen Sie den Abschnitt Gerät ohne Richtlinie registrieren.

Private Nutzung angeben

allowPersonalUsage bestimmt, ob dem Gerät während der Bereitstellung ein Arbeitsprofil hinzugefügt werden kann. Auf PERSONAL_USAGE_ALLOWED festgelegt, damit ein Nutzer ein Arbeitsprofil erstellen kann (erforderlich für private Geräte, optional für unternehmenseigene Geräte).

QR-Codes

QR‑Codes sind eine effiziente Methode zur Gerätebereitstellung für Unternehmen, die viele verschiedene Richtlinien verwalten. Der von enterprises.enrollmentTokens.create zurückgegebene QR‑Code besteht aus einer Nutzlast mit Schlüssel-Wert-Paaren, die ein Registrierungstoken und alle Informationen enthalten, die für die Bereitstellung eines Geräts durch die Android Device Policy App erforderlich sind.

Beispiel für ein QR-Code-Bundle

Das Paket enthält den Downloadort von Android Device Policy und ein Registrierungstoken.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Sie können den von enterprises.enrollmentTokens.create zurückgegebenen QR‑Code direkt verwenden oder anpassen. Eine vollständige Liste der Eigenschaften, die Sie in ein QR‑Code-Bundle aufnehmen können, finden Sie unter QR‑Code erstellen.

Um den String qrcode in einen scannbaren QR‑Code umzuwandeln, verwenden Sie einen QR‑Code-Generator wie ZXing.

Bereitstellungsmethoden

In diesem Abschnitt werden verschiedene Methoden zum Bereitstellen eines Geräts beschrieben.

Arbeitsprofil über die Einstellungen hinzufügen

Android 5.1 und höher

So kann ein Nutzer ein Arbeitsprofil auf seinem Gerät einrichten:

  1. Gehen Sie zu Einstellungen > Google > Einrichtung und Wiederherstellung.
  2. Tippen Sie auf Arbeitsprofil einrichten.

Durch diese Schritte wird ein Einrichtungsassistent gestartet, über den die Android Device Policy auf das Gerät heruntergeladen wird. Als Nächstes wird der Nutzer aufgefordert, einen QR‑Code zu scannen oder ein Registrierungstoken manuell einzugeben, um die Einrichtung des Arbeitsprofils abzuschließen.

Android Device Policy herunterladen

Android 5.1 und höher

Um ein Arbeitsprofil auf ihrem Gerät einzurichten, können Nutzer Android Device Policy aus dem Google Play Store herunterladen. Nach der Installation der App wird der Nutzer aufgefordert, einen QR‑Code zu scannen oder ein Registrierungstoken manuell einzugeben, um die Einrichtung des Arbeitsprofils abzuschließen.

Android 5.1 und höher

Generieren Sie mit dem Registrierungstoken, das von enrollmentTokens.create zurückgegeben wird, oder mit dem signinEnrollmentToken des Unternehmens eine URL im folgenden Format:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Sie können diese URL IT-Administratoren zur Verfügung stellen, die sie an ihre Endnutzer weitergeben können. Wenn ein Endnutzer den Link auf seinem Gerät öffnet, wird er durch die Einrichtung des Arbeitsprofils geführt.

Anmelde-URL

Bei dieser Methode werden Nutzer auf eine Seite weitergeleitet, auf der sie zusätzliche Informationen eingeben können, die für die Bereitstellung erforderlich sind. Anhand der vom Nutzer eingegebenen Informationen können Sie die passende Richtlinie für den Nutzer berechnen, bevor Sie mit der Gerätebereitstellung fortfahren. Beispiel:

  1. Geben Sie Ihre Anmelde-URL in enterprises.signInDetails[] an. Legen Sie allowPersonalUsage auf PERSONAL_USAGE_ALLOWED fest, wenn Sie einem Nutzer erlauben möchten, ein Arbeitsprofil zu erstellen. Dies ist für private Geräte erforderlich und für unternehmenseigene Geräte optional.

    Fügen Sie das resultierende signinEnrollmentToken als zusätzliche Bereitstellung zu einem QR-Code, einer NFC-Nutzlast oder einer Zero-Touch-Konfiguration hinzu. Alternativ können Sie Nutzern die signinEnrollmentToken direkt zur Verfügung stellen.

  2. Wählen Sie eine Option aus:

    1. Geräte im Besitz des Unternehmens:Wenn Sie ein neues oder auf den Werkszustand zurückgesetztes Gerät einschalten, übergeben Sie das signinEnrollmentToken an das Gerät (über QR-Code, NFC-Bump usw.) oder bitten Sie die Nutzer, das Token manuell einzugeben. Auf dem Gerät wird die in Schritt 1 angegebene Anmelde-URL geöffnet.
    2. Private Geräte:Bitten Sie Nutzer, über die Einstellungen ein Arbeitsprofil hinzuzufügen. Wenn der Nutzer dazu aufgefordert wird, scannt er einen QR-Code mit dem signinEnrollmentToken oder gibt das Token manuell ein. Auf dem Gerät wird die in Schritt 1 angegebene Anmelde-URL geöffnet.
    3. Private Geräte:Stellen Sie Nutzern einen Registrierungstoken-Link zur Verfügung, wobei das Registrierungstoken das signinEnrollmentToken ist. Auf dem Gerät wird die in Schritt 1 angegebene Anmelde-URL geöffnet.

  3. Prüfen Sie, ob der Nutzer bereits von Google authentifiziert wurde. Rufen Sie die Informationen zur Gerätebereitstellung (während der Geräteregistrierung) mit dem GET-Parameter provisioningInfo ab und prüfen Sie, ob für das Feld authenticatedUserEmail ein Wert vorhanden ist. Wenn in diesem Feld ein Wert vorhanden ist, wurde der Nutzer bereits erfolgreich von Google authentifiziert und Sie können diese Identität ohne weitere Authentifizierung verwenden.

  4. Wenn der Nutzer noch nicht von Google authentifiziert wurde, sollten Nutzer über Ihre Anmelde-URL aufgefordert werden, ihre Anmeldedaten einzugeben. Anhand der Identität können Sie die entsprechende Richtlinie ermitteln und die Informationen zur Gerätebereitstellung (während der Geräteregistrierung) über den GET-Parameter provisioningInfo abrufen.

  5. Rufen Sie enrollmentTokens.create auf und geben Sie die entsprechende policyId basierend auf den Anmeldedaten des Nutzers an.

  6. Geben Sie das in Schritt 5 generierte Registrierungstoken per URL-Weiterleitung im Format https://enterprise.google.com/android/enroll?et=<token> zurück.

QR‑Code-Methode

Android 7.0 und höher

Um ein unternehmenseigenes Gerät bereitzustellen, können Sie einen QR‑Code generieren und in Ihrer EMM‑Konsole anzeigen:

  1. Auf einem neuen oder auf die Werkseinstellungen zurückgesetzten Gerät tippt der Nutzer (in der Regel ein IT-Administrator) sechsmal auf dieselbe Stelle auf dem Display. Dadurch fordert das Gerät den Nutzer zum Scannen eines QR-Codes auf.
  2. Der Nutzer scannt den QR‑Code, den Sie in Ihrer Verwaltungskonsole (oder einer ähnlichen Anwendung) anzeigen, um das Gerät zu registrieren und bereitzustellen.

NFC-Methode

Android 6.0 oder höher

Für diese Methode müssen Sie eine NFC-Programmierer-App erstellen, die das Registrierungstoken, die anfänglichen Richtlinien und die WLAN-Konfiguration, die Einstellungen und alle anderen Bereitstellungsdetails enthält, die Ihr Kunde zum Bereitstellen eines vollständig verwalteten oder dedizierten Geräts benötigt. Wenn Sie oder Ihr Kunde die NFC-Programmierer-App auf einem Android-Gerät installieren, wird dieses Gerät zum Programmiergerät.

Eine detaillierte Anleitung zur Unterstützung der NFC-Methode finden Sie in der Entwicklerdokumentation zur Play EMM API. Die Website enthält auch Beispielcode für die Standardparameter, die bei einer NFC-Berührung an ein Gerät gesendet werden. Wenn Sie Android Device Policy installieren möchten, legen Sie den Downloadspeicherort des Geräteadministratorpakets auf Folgendes fest:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Methode zur DPC-Kennzeichnung

Wenn die Android Device Policy nicht über einen QR-Code oder NFC hinzugefügt werden kann, kann ein Nutzer oder IT-Administrator ein unternehmenseigenes Gerät so bereitstellen:

  1. Folgen Sie dem Einrichtungsassistenten auf einem neuen oder auf die Werkseinstellungen zurückgesetzten Gerät.
  2. Geben Sie die WLAN-Anmeldedaten ein, um auf dem Gerät eine Internetverbindung herzustellen.
  3. Geben Sie bei der Aufforderung zur Anmeldung afw#setup ein. Dadurch wird die Android Device Policy heruntergeladen.
  4. Scannen Sie einen QR‑Code oder geben Sie ein Registrierungstoken manuell ein, um das Gerät bereitzustellen.

Zero-Touch-Registrierung

Android 8.0 und höher (Pixel 7.1 und höher)

Geräte, die bei einem autorisierten Reseller mit Zero-Touch-Registrierung gekauft wurden, können mit der Zero-Touch-Registrierung vorkonfiguriert werden. Bei dieser optimierten Methode werden Geräte beim ersten Startvorgang automatisch bereitgestellt.

Organisationen können Konfigurationen mit Bereitstellungsdetails für ihre Zero-Touch-Geräte erstellen, entweder über das Portal für die Zero-Touch-Registrierung oder über ihre EMM-Konsole (siehe die Zero-Touch Customer API). Beim ersten Start prüft ein Zero-Touch-Gerät, ob ihm eine Konfiguration zugewiesen wurde. Wenn das der Fall ist, lädt das Gerät die Android Device Policy App herunter und schließt die Einrichtung des Geräts mit den in der zugewiesenen Konfiguration angegebenen Bereitstellungsextras ab.

Wenn Ihre Kunden das Portal für die Zero-Touch-Registrierung verwenden, müssen sie Android Device Policy als EMM-DPC für jede Konfiguration auswählen, die sie erstellen. Eine detaillierte Anleitung zur Verwendung des Portals, einschließlich der Erstellung und Zuweisung von Konfigurationen für Geräte, finden Sie in der Android Enterprise-Hilfe.

Wenn Sie es vorziehen, dass Ihre Kunden Konfigurationen direkt über Ihre EMM-Konsole festlegen und zuweisen, müssen Sie die Zero-Touch Customer API einbinden. Wenn Sie eine Konfiguration erstellen, geben Sie die zusätzlichen Bereitstellungseinstellungen im Feld dpcExtras an. Das folgende JSON-Snippet zeigt ein einfaches Beispiel dafür, was in dpcExtras enthalten sein sollte, mit einem zusätzlichen Anmeldetoken.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

App während der Einrichtung starten

setupaction
Abbildung 2. Mit setupActions können Sie während der Einrichtung eine App starten.

In policies können Sie eine App angeben, die von Android Device Policy während der Einrichtung des Geräts oder Arbeitsprofils gestartet werden soll. Sie können beispielsweise eine VPN-App starten, damit Nutzer im Rahmen des Einrichtungsvorgangs VPN-Einstellungen konfigurieren können. Die App muss RESULT_OK zurückgeben, um den Abschluss zu signalisieren und Android Device Policy zu ermöglichen, die Bereitstellung des Geräts oder Arbeitsprofils abzuschließen. So starten Sie eine App während der Einrichtung:

Achten Sie darauf, dass die installType der App REQUIRED_FOR_SETUP ist. Wenn die App auf dem Gerät nicht installiert oder gestartet werden kann, schlägt die Bereitstellung fehl.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Fügen Sie den Paketnamen der App zu setupActions hinzu. Verwenden Sie title und description, um Anweisungen für Nutzer anzugeben.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Um zu unterscheiden, ob eine App über launchApp gestartet wird, enthält die Aktivität, die als Erstes im Rahmen der App gestartet wird, das boolesche Intent-Extra com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (auf true gesetzt). Mit diesem Extra können Sie Ihre App anpassen, je nachdem, ob sie über setupActions oder von einem Nutzer gestartet wird.

Nachdem die App RESULT_OK zurückgegeben hat, führt Android Device Policy alle verbleibenden Schritte aus, die zum Bereitstellen des Geräts oder Arbeitsprofils erforderlich sind.

Registrierung während der Einrichtung abbrechen

Die als SetupAction gestartete App kann die Registrierung mit dem Rückgabewert RESULT_FIRST_USER abbrechen.

Wenn Sie die Registrierung abbrechen, wird ein unternehmenseigenes Gerät zurückgesetzt oder das Arbeitsprofil auf einem privaten Gerät gelöscht.

Hinweis: Wenn Sie die Registrierung abbrechen, wird die Aktion ohne Bestätigungsdialog für den Nutzer ausgelöst. Es liegt in der Verantwortung der App, dem Nutzer vor der Rückgabe von RESULT_FIRST_USER ein entsprechendes Fehlerdialogfeld anzuzeigen.

Richtlinie auf neu registrierte Geräte anwenden

Welche Methode Sie verwenden, um Richtlinien auf neu registrierte Geräte anzuwenden, hängt von Ihnen und den Anforderungen Ihrer Kunden ab. Folgende Ansätze sind möglich:

  • (Empfohlen) Wenn Sie ein Registrierungstoken erstellen, können Sie den Namen der Richtlinie (policyName) angeben, die anfangs mit dem Gerät verknüpft wird. Wenn Sie ein Gerät mit dem Token registrieren, wird die Richtlinie automatisch auf das Gerät angewendet.

  • Legen Sie eine Richtlinie als Standardrichtlinie für ein Unternehmen fest. Wenn im Registrierungstoken kein Richtlinienname angegeben ist und es eine Richtlinie mit dem Namen enterprises/<enterprise_id>/policies/default gibt, wird jedes neue Gerät bei der Registrierung automatisch mit der Standardrichtlinie verknüpft.

  • Abonnieren Sie ein Cloud Pub/Sub-Thema, um Benachrichtigungen über neu registrierte Geräte zu erhalten. Rufen Sie als Reaktion auf eine ENROLLMENT-Benachrichtigung enterprises.devices.patch an, um das Gerät mit einer Richtlinie zu verknüpfen.

Gerät ohne Richtlinie registrieren

Wenn ein Gerät ohne eine gültige Richtlinie registriert wird, wird es in die Quarantäne verschoben. Geräte, die unter Quarantäne gestellt wurden, sind für alle Gerätefunktionen gesperrt, bis sie mit einer Richtlinie verknüpft werden.

Wenn ein Gerät innerhalb von fünf Minuten nicht mit einer Richtlinie verknüpft wird, schlägt die Geräteregistrierung fehl und das Gerät wird auf die Werkseinstellungen zurückgesetzt. Der Gerätestatus „Unter Quarantäne“ bietet Ihnen die Möglichkeit, Lizenzprüfungen oder andere Registrierungsvalidierungsprozesse als Teil Ihrer Lösung zu implementieren.

Beispiel für einen Workflow zur Lizenzprüfung

  1. Ein Gerät wird ohne Standardrichtlinie oder spezifische Richtlinie registriert.
  2. Prüfen Sie, wie viele Lizenzen das Unternehmen noch hat.
  3. Wenn Lizenzen verfügbar sind, verwenden Sie devices.patch, um dem Gerät eine Richtlinie zuzuweisen, und verringern Sie dann die Anzahl der Lizenzen. Wenn keine Lizenzen verfügbar sind, verwenden Sie devices.patch, um das Gerät zu deaktivieren. Alternativ setzt die API jedes Gerät, das nicht innerhalb von fünf Minuten nach der Registrierung mit einer Richtlinie verknüpft ist, auf die Werkseinstellungen zurück.