רישום וניהול של מכשיר

הקצאת הרשאות היא תהליך של הגדרת מכשיר לניהול באמצעות policies על ידי enterprise. במהלך התהליך, במכשיר מותקנת אפליקציית Android Device Policy, שמשמשת לקבלת policies ולאכיפה שלה. אם ההקצאה מתבצעת בהצלחה, ה-API יוצר אובייקט devices, ומקשר את המכשיר לארגון.

‫Android Management API משתמש באסימוני רישום כדי להפעיל את תהליך ההקצאה. טוקן ההרשמה ושיטת ההקצאה שבהם אתם משתמשים קובעים את הבעלות על המכשיר (בבעלות אישית או בבעלות החברה) ואת מצב הניהול שלו (פרופיל עבודה או מכשיר מנוהל).

מערכת מכסות קובעת כמה מכשירים כל פרויקט יכול לנהל. כדי להקצות את המכשיר הראשון, צריך לשלוח בקשה למכסת מכשירים ראשונית.

מכשירים בבעלות אישית

‫Android 5.1 ואילך

במכשירים שבבעלות העובדים אפשר להגדיר פרופיל עבודה. פרופיל עבודה מספק מרחב עצמאי לאפליקציות ולנתונים שקשורים לעבודה, בנפרד מאפליקציות ומנתונים אישיים. רוב האפליקציות, הנתונים והפעולות האחרות לניהול policies חלים רק על פרופיל העבודה, והאפליקציות והנתונים האישיים של העובד נשארים פרטיים.

כדי להגדיר פרופיל עבודה במכשיר בבעלות אישית, יוצרים טוקן רישום (מוודאים שהערך של allowPersonalUsage מוגדר ל-PERSONAL_USAGE_ALLOWED) ומשתמשים באחת משיטות ההקצאה הבאות:

• הוספת פרופיל עבודה דרך 'הגדרות'
• הורדה של אפליקציית Device Policy ל-Android
• קישור לטוקן רישום
• כתובת URL לכניסה

מכשירים בבעלות החברה לשימוש בעבודה ולשימוש אישי

‫Android 8 ואילך

הגדרת פרופיל עבודה במכשיר בבעלות החברה מאפשרת שימוש במכשיר גם לצורכי עבודה וגם לשימוש אישי. במכשירים שבבעלות החברה עם פרופילי עבודה:

• רוב ההגדרות של ניהול אפליקציות, נתונים והגדרות אחרות policies חלות רק על פרופיל העבודה.
• הפרופיל האישי של העובד נשאר פרטי. עם זאת, ארגונים יכולים לאכוף כללי מדיניות מסוימים שחלים על כל המכשיר וכללי מדיניות לגבי שימוש אישי.
• ארגונים יכולים להשתמש ב-blockScope כדי לאכוף פעולות תאימות במכשיר שלם או רק בפרופיל העבודה שלו.
• devices.delete ופקודות למכשיר חלות על מכשיר שלם.

כדי להגדיר מכשיר בבעלות החברה עם פרופיל עבודה, יוצרים טוקן הרשמה (מוודאים שהערך של allowPersonalUsage מוגדר ל-PERSONAL_USAGE_ALLOWED) ומשתמשים באחת משיטות ההקצאה הבאות:

• הרשמה דרך הארגון
• קוד QR
• כתובת URL לכניסה
• מזהה DPC

מכשירים בבעלות החברה לשימוש בעבודה בלבד

‫Android 5.1 ואילך

ניהול מלא של המכשיר מתאים למכשירים שבבעלות החברה ומיועדים אך ורק לשימוש לצורכי עבודה. ארגונים יכולים לנהל את כל האפליקציות במכשיר ולאכוף את כל המדיניות והפקודות של Android Management API.

אפשר גם לנעול מכשיר (באמצעות מדיניות) לאפליקציה אחת או לקבוצה קטנה של אפליקציות כדי שישמש למטרה ייעודית או לתרחיש שימוש ספציפי. קבוצת המשנה הזו של מכשירים מנוהלים נקראת מכשירים ייעודיים. בטוקנים לרישום של המכשירים האלה, צריך להגדיר את allowPersonalUsage בתור PERSONAL_USAGE_DISALLOWED_USERLESS.

כדי להגדיר ניהול מלא במכשיר בבעלות החברה, צריך ליצור אסימון הרשמה ולוודא שהערך של allowPersonalUsage מוגדר ל-PERSONAL_USAGE_DISALLOWED או ל-PERSONAL_USAGE_DISALLOWED_USERLESS, ואז להשתמש באחת משיטות ההקצאה הבאות.

• הרשמה דרך הארגון
• קוד QR
• כתובת URL של דף הכניסה (לא מתאים למכשירים ייעודיים)
• NFC
• מזהה DPC

כללי מדיניות יכולים להשפיע על יצירת ממשק המשתמש במהלך הקצאת הרשאות למכשיר. כללי מדיניות כאלה הם:

• ‫PasswordPolicyScope: ההגדרה הזו קובעת את הדרישות לסיסמאות.
• ‫PermittedInputMethods: ההגדרה הזו קובעת את שיטות הקלט של החבילה.
• ‫PermittedAccessibilityServices: ההגדרה הזו קובעת אילו שירותי נגישות מותרים במכשירים מנוהלים ובפרופילים של עבודה.
• ‫SetupActions: ההגדרה הזו קובעת אילו פעולות יבוצעו במהלך ההגדרה.
• ‫ApplicationsPolicy: ההגדרה הזו קובעת את המדיניות עבור אפליקציה ספציפית.

אם רוצים שהשלבים של הסיסמה יוצגו לצד ההתקנה של אפליקציות לעבודה וכרטיסי רישום של המכשיר במהלך הקצאת ההרשאות למכשיר, מומלץ לעדכן את המדיניות כדי לדחות את ההפעלה של יצירת ממשק המשתמש. לשם כך, צריך להשאיר את המכשיר במצב בידוד, שמתרחש אם המכשיר נרשם ללא מדיניות משויכת, עד שמציינים את המדיניות הסופית שנבחרה להגדרת המכשיר, שאוכלסה בפריטים שרלוונטיים לצרכים שלכם בהגדרה. אחרי שהקצאת ההרשאות למכשיר מסתיימת, אפשר לשנות את המדיניות לפי הצורך.

יצירת טוקן רישום

צריך טוקן רישום לכל מכשיר שרוצים לרשום (אפשר להשתמש באותו טוקן לכמה מכשירים). כדי לבקש טוקן רישום, מתקשרים אל enterprises.enrollmentTokens.create. כברירת מחדל, התוקף של אסימוני ההרשמה פג אחרי שעה אחת, אבל אפשר לציין זמן תפוגה מותאם אישית (duration) של עד כ-10,000 שנים.

בקשה מוצלחת מחזירה אובייקט enrollmentToken שמכיל enrollmentTokenId ו-qrcode שאדמינים ב-IT ומשתמשי קצה יכולים להשתמש בהם כדי להקצות מכשירים.

ציון מדיניות

אפשר גם לציין policyName בבקשה כדי להחיל מדיניות בו-זמנית עם רישום המכשיר. אם לא מציינים policyName, אפשר לעיין במאמר רישום מכשיר ללא מדיניות.

ציון שימוש אישי

‫allowPersonalUsage קובע אם אפשר להוסיף פרופיל עבודה למכשיר במהלך ההקצאה. ההגדרה PERSONAL_USAGE_ALLOWED מאפשרת למשתמש ליצור פרופיל לצורכי עבודה (נדרש במכשירים בבעלות אישית, אופציונלי במכשירים בבעלות החברה).

מידע על קודי QR

קודי QR הם שיטה יעילה להקצאת הרשאות למכשירים בארגונים שבהם יש הרבה כללי מדיניות שונים. קוד ה-QR שמוחזר מ- enterprises.enrollmentTokens.create מורכב ממטען ייעודי (payload) של זוגות של מפתח-ערך שמכיל טוקן הרשמה וכל המידע שנדרש לאפליקציה Android Device Policy כדי להקצות מכשיר.

חבילת קודי QR לדוגמה

החבילה כוללת את מיקום ההורדה של Android Device Policy ואסימון רישום.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

אפשר להשתמש בקוד ה-QR שמוחזר מ-enterprises.enrollmentTokens.create ישירות או להתאים אותו אישית. רשימה מלאה של המאפיינים שאפשר לכלול בחבילת קוד QR זמינה במאמר יצירת קוד QR.

כדי להמיר את המחרוזת qrcode לקוד QR שאפשר לסרוק, משתמשים בכלי ליצירת קודי QR כמו ZXing.

שיטות הקצאת הרשאות

בקטע הזה מתוארות שיטות שונות להקצאת הרשאות למכשיר.

הוספת פרופיל עבודה דרך 'הגדרות'

‫Android 5.1 ואילך

כדי להגדיר פרופיל עבודה במכשיר, משתמש יכול:

1. עוברים אל הגדרות > Google > הגדרה ושחזור.
2. מקישים על הגדרה של פרופיל העבודה.

השלבים האלה מפעילים אשף הגדרה שמוריד את Device Policy ל-Android במכשיר. לאחר מכן, המשתמש יתבקש לסרוק קוד QR או להזין ידנית טוקן רישום כדי להשלים את הגדרת פרופיל העבודה.

הורדה של Device Policy ל-Android

‫Android 5.1 ואילך

כדי להגדיר פרופיל עבודה במכשיר, המשתמש יכול להוריד את Android Device Policy מחנות Google Play. אחרי התקנת האפליקציה, המשתמש יתבקש לסרוק קוד QR או להזין ידנית טוקן הרשמה כדי להשלים את הגדרת פרופיל העבודה.

קישור לטוקן רישום

‫Android 5.1 ואילך

באמצעות אסימון ההרשמה שמוחזר מ-enrollmentTokens.create או signinEnrollmentToken של הארגון, יוצרים כתובת URL בפורמט הבא:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

אתם יכולים לספק את כתובת ה-URL הזו לאדמינים ב-IT, והם יכולים לספק אותה למשתמשי הקצה. כשמשתמש קצה יפתח את הקישור במכשיר שלו, הוא יקבל הנחיות להגדרת פרופיל העבודה.

כתובת URL להתחברות

בשיטה הזו, המשתמשים מופנים לדף שבו הם יכולים להזין מידע נוסף שנדרש להשלמת הקצאת ההרשאות. על סמך המידע שהמשתמש מזין, אפשר לחשב את המדיניות המתאימה למשתמש לפני שממשיכים בהקצאת הרשאות למכשיר. לדוגמה:

1. מציינים את כתובת ה-URL לכניסה ב-enterprises.signInDetails[]. מגדירים את הערך allowPersonalUsage ל-PERSONAL_USAGE_ALLOWED אם רוצים לאפשר למשתמש ליצור פרופיל עבודה (נדרש למכשירים בבעלות אישית, אופציונלי למכשירים בבעלות חברה).

   מוסיפים את התוצאה signinEnrollmentToken כתוספת לאספקת הרשאות לקוד QR, למטען ייעודי (payload) של NFC או להגדרה ללא מגע. אפשר גם להעניק את ההרשאה signinEnrollmentToken למשתמשים באופן ישיר.

2. בוחרים אפשרות:

   1. מכשירים בבעלות החברה: אחרי שמפעילים מכשיר חדש או מכשיר שאופס להגדרות היצרן, מעבירים את signinEnrollmentToken למכשיר (באמצעות קוד QR, הצמדת NFC וכו') או מבקשים מהמשתמשים להזין את האסימון באופן ידני. המכשיר יפתח את כתובת ה-URL לכניסה שצוינה בשלב 1.
   2. מכשירים בבעלות אישית: מבקשים מהמשתמשים להוסיף פרופיל עבודה דרך 'הגדרות'. כשהמשתמש מתבקש, הוא סורק קוד QR שמכיל את signinEnrollmentToken או מזין את האסימון באופן ידני. המכשיר יפתח את כתובת ה-URL לכניסה שצוינה בשלב 1.
   3. מכשירים בבעלות אישית: מספקים למשתמשים קישור לטוקן הרשמה, כאשר טוקן ההרשמה הוא signinEnrollmentToken. במכשיר תיפתח כתובת ה-URL לכניסה שצוינה בשלב 1.

3. בודקים אם Google כבר אימתה את המשתמש. מקבלים את פרטי הקצאת ההרשאות למכשיר (במהלך הרשמת המכשיר) באמצעות פרמטר ה-GET‏ provisioningInfo ובודקים אם יש ערך בשדה authenticatedUserEmail. אם יש ערך בשדה הזה, המשתמש כבר עבר אימות מוצלח על ידי Google ואפשר להשתמש בזהות הזו בלי לבצע אימות נוסף.

4. אם Google עדיין לא אימתה את המשתמש, כתובת ה-URL לכניסה צריכה לבקש מהמשתמשים להזין את פרטי הכניסה שלהם. על סמך הזהות שלהם, אתם יכולים לקבוע את המדיניות המתאימה ולקבל את פרטי הקצאת ההרשאות למכשיר (במהלך רישום המכשיר) באמצעות פרמטר ה-GET‏ provisioningInfo.

5. מתקשרים אל enrollmentTokens.create ומציינים את policyId המתאים על סמך פרטי הכניסה של המשתמש.

6. מחזירים את אסימון ההרשמה שנוצר בשלב 5 באמצעות הפניה אוטומטית של כתובת URL, בפורמט https://enterprise.google.com/android/enroll?et=<token>.

שיטה באמצעות קוד QR

‫Android מגרסה 7.0 ואילך

כדי להקצות הרשאות למכשיר בבעלות החברה, אפשר ליצור קוד QR ולהציג אותו במסוף ה-EMM:

1. במכשיר חדש או במכשיר שאותחל להגדרות היצרן, המשתמש (בדרך כלל מנהל IT) מקיש על המסך שש פעמים באותו מקום. הפעולה הזו גורמת למכשיר להציג למשתמש בקשה לסרוק קוד QR.
2. המשתמש סורק את קוד ה-QR שמוצג במסוף הניהול (או באפליקציה דומה) כדי לרשום את המכשיר ולספק לו הקצאת משאבים.

שיטת NFC

‫Android 6.0 ואילך

בשיטה הזו צריך ליצור אפליקציית תכנות NFC שמכילה את טוקן ההרשמה, את המדיניות הראשונית ואת הגדרות ה-Wi-Fi, וגם את כל פרטי ההקצאה האחרים שהלקוח צריך כדי להקצות מכשיר בניהול מלא או מכשיר ייעודי. כשאתם או הלקוח שלכם מתקינים את אפליקציית התכנות של NFC במכשיר עם מערכת הפעלה Android, המכשיר הזה הופך למכשיר התכנות.

הנחיות מפורטות לגבי תמיכה בשיטת ה-NFC זמינות בתיעוד למפתחים של Play EMM API. באתר יש גם דוגמאות קוד של פרמטרים שמוגדרים כברירת מחדל, שמועברים למכשיר בהצמדה של NFC. כדי להתקין את '‏Device Policy למכשירי Android', צריך להגדיר את מיקום ההורדה של חבילת האדמין במכשיר ל:

https://play.google.com/managed/downloadManagingApp?identifier=setup

שיטת הזיהוי של DPC

אם אי אפשר להוסיף את Android Device Policy באמצעות קוד QR או NFC, משתמש או אדמין IT יכולים לפעול לפי השלבים הבאים כדי להקצות מכשיר בבעלות החברה:

1. פועלים לפי אשף ההגדרה במכשיר חדש או במכשיר שאופס להגדרות המקוריות.
2. מזינים את פרטי ההתחברות ל-Wi-Fi כדי לחבר את המכשיר לאינטרנט.
3. כשמופיעה בקשה להיכנס לחשבון, מזינים afw#setup כדי להוריד את Android Device Policy.
4. סורקים קוד QR או מזינים ידנית טוקן הרשמה כדי להקצות את המכשיר.

הרשמה דרך הארגון

‫Android 8.0 ואילך (Pixel 7.1 ואילך)

מכשירים שנרכשו ממשווק מורשה של הרשמה דרך הארגון מתאימים להרשמה דרך הארגון – שיטה יעילה להגדרה מראש של מכשירים כך שהם יוקצו באופן אוטומטי בהפעלה הראשונה.

ארגונים יכולים ליצור הגדרות שכוללות פרטי הקצאת הרשאות למכשירים שלהם בהרשמה דרך הארגון, דרך פורטל ההרשמה דרך הארגון או באמצעות מסוף ה-EMM (ראו API ללקוחות של הרשמה דרך הארגון). באתחול הראשון, מכשיר Zero-Touch בודק אם הוקצתה לו הגדרה. אם כן, המכשיר מוריד את Android Device Policy, ואז משלים את ההגדרה של המכשיר באמצעות התוספים לאספקת הרשאות שצוינו בהגדרה שהוקצתה לו.

אם הלקוחות שלכם משתמשים בפורטל ההרשמה דרך הארגון, הם צריכים לבחור באפשרות Android Device Policy כ-DPC של EMM לכל הגדרה שהם יוצרים. הוראות מפורטות לשימוש בפורטל, כולל איך ליצור הגדרות ולהקצות אותן למכשירים, זמינות במרכז העזרה של Android Enterprise.

אם אתם מעדיפים שהלקוחות שלכם יגדירו ויקצו הגדרות ישירות ממסוף ה-EMM שלכם, אתם צריכים לבצע שילוב עם zero-touch customer API. כשיוצרים הגדרה, מציינים את התוספים להקצאת הרשאות בשדה dpcExtras. קטע ה-JSON הבא מציג דוגמה בסיסית למה שצריך לכלול ב-dpcExtras, עם אסימון כניסה שנוסף.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

הפעלת אפליקציה במהלך ההגדרה

ב-policies, אפשר לציין אפליקציה אחת שאפליקציית Android Device Policy תפעיל במהלך ההגדרה של המכשיר או של פרופיל העבודה. לדוגמה, אפשר להפעיל אפליקציית VPN כדי שהמשתמשים יוכלו להגדיר את הגדרות ה-VPN כחלק מתהליך ההגדרה. האפליקציה צריכה להחזיר את הערך RESULT_OK כדי לסמן את ההשלמה ולאפשר לאפליקציית Device Policy למכשירי Android להשלים את הקצאת ההרשאות למכשיר או לפרופיל העבודה. כדי להפעיל אפליקציה במהלך ההגדרה:

מוודאים ש-installType של האפליקציה הוא REQUIRED_FOR_SETUP. אם אי אפשר להתקין את האפליקציה או להפעיל אותה במכשיר, הקצאת ההרשאות תיכשל.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

מוסיפים את שם החבילה של האפליקציה אל setupActions. משתמשים בתגיות title ו-description כדי לציין הוראות שמוצגות למשתמש.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

כדי להבחין בין השקה של אפליקציה מ-launchApp לבין השקה של אפליקציה על ידי משתמש, הפעילות שמופעלת ראשונה כחלק מהאפליקציה מכילה את התוסף הבוליאני של הכוונה com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (מוגדר כ-true). התוסף הזה מאפשר לכם להתאים אישית את האפליקציה בהתאם לאופן ההשקה שלה – מ-setupActions או על ידי משתמש.

אחרי שהאפליקציה מחזירה RESULT_OK, אפליקציית Device Policy למכשירי Android משלימה את כל השלבים שנותרו שנדרשים להקצאת המכשיר או פרופיל העבודה.

ביטול ההרשמה במהלך ההגדרה

האפליקציה הושקה כ-SetupAction ויכולה לבטל את ההרשמה ולהחזיר את הערך RESULT_FIRST_USER.

ביטול ההרשמה מאפס מכשיר בבעלות החברה או מוחק את פרופיל העבודה במכשיר בבעלות אישית.

הערה: ביטול ההרשמה מפעיל את הפעולה בלי שמוצגת למשתמש תיבת דו-שיח לאישור. באחריות האפליקציה להציג למשתמש תיבת דו-שיח מתאימה עם שגיאה לפני החזרת RESULT_FIRST_USER.

החלת מדיניות על מכשירים חדשים שצורפו לניהול

השיטה שבה אתם משתמשים כדי להחיל מדיניות על מכשירים חדשים שנוספו לניהול תלויה בכם ובדרישות של הלקוחות שלכם. אלה הגישות השונות שבהן אפשר להשתמש:

• (מומלץ) כשיוצרים אסימון הרשמה, אפשר לציין את שם המדיניות (policyName) שתקושר למכשיר בשלב הראשוני. כשרושמים מכשיר באמצעות הטוקן, המדיניות מוחלת על המכשיר באופן אוטומטי.

• הגדרת מדיניות כברירת מחדל לארגון. אם לא מציינים שם מדיניות באסימון ההרשמה, ויש מדיניות בשם enterprises/<enterprise_id>/policies/default, כל מכשיר חדש מקושר אוטומטית למדיניות ברירת המחדל בזמן ההרשמה.

• נרשמים לנושא ב-Cloud Pub/Sub כדי לקבל התראות על מכשירים חדשים שנרשמו. בתגובה להתראה ENROLLMENT, מתקשרים למספר enterprises.devices.patch כדי לקשר את המכשיר למדיניות.

רישום מכשיר ללא מדיניות

אם מכשיר נרשם ללא מדיניות תקפה, הוא מוכנס להסגר. מכשירים בהסגר נחסמים מכל הפונקציות שלהם עד שהם מקושרים למדיניות.

אם מכשיר לא מקושר למדיניות תוך חמש דקות, רישום המכשיר נכשל והמכשיר מאופס להגדרות המקוריות. מצב ההסגר של המכשיר מאפשר לכם להטמיע בדיקות רישוי או תהליכי אימות אחרים של הרשמה כחלק מהפתרון שלכם.

דוגמה לתהליך עבודה של בדיקת רישוי

1. מכשיר רשום ללא מדיניות ברירת מחדל או מדיניות ספציפית.
2. בודקים כמה רישיונות נשארו לארגון.
3. אם יש רישיונות זמינים, משתמשים ב-devices.patch כדי לצרף מדיניות למכשיר, ואז מקטינים את מספר הרישיונות. אם אין רישיונות זמינים, משתמשים באפשרות devices.patch כדי להשבית את המכשיר. לחלופין, ה-API מאפס להגדרות המקוריות כל מכשיר שלא מצורף למדיניות תוך חמש דקות מהרישום.