Il provisioning è il processo di configurazione di un dispositivo per la gestione
policies
da un enterprise
. Durante il processo di installazione di un dispositivo
Android Device Policy, che viene utilizzato per ricevere e applicare in modo forzato policies
. Se
è stato eseguito correttamente, l'API crea un oggetto devices
, associando
dispositivo a un'azienda.
L'API Android Management utilizza i token di registrazione per attivare il provisioning e il processo di sviluppo. Il token di registrazione e il metodo di provisioning che utilizzi stabiliscono un la proprietà del dispositivo (di proprietà personale o aziendale) e la modalità di gestione (lavoro profilo o dispositivo completamente gestito).
Dispositivi di proprietà personale
Android 5.1 e versioni successive
I dispositivi di proprietà dei dipendenti possono essere configurati con un profilo di lavoro. Un profilo di lavoro
offre uno spazio autonomo per le app e i dati di lavoro,
app e dati. La maggior parte delle app, dei dati e di altre attività di gestione policies
si applica al
solo il profilo di lavoro, mentre le app e i dati personali del dipendente rimangono privati.
Per configurare un profilo di lavoro su un dispositivo di proprietà personale, crea una registrazione
(assicurati che allowPersonalUsage
sia impostato su
PERSONAL_USAGE_ALLOWED
) e utilizza uno dei seguenti metodi di provisioning:
- Aggiungere un profilo di lavoro dalle "Impostazioni"
- Scarica Android Device Policy
- Link al token di registrazione
- URL di accesso
Dispositivi di proprietà dell'azienda per uso personale e lavorativo
Android 8 e versioni successive
La configurazione di un dispositivo di proprietà dell'azienda con un profilo di lavoro consente al dispositivo per uso personale e lavorativo. Sui dispositivi di proprietà dell'azienda con profili di lavoro:
- La maggior parte delle app, dei dati e di altre attività di gestione
policies
viene applicata al profilo di lavoro . - Il profilo personale del dipendente rimane privato. Tuttavia, le aziende possono applicare determinate norme a livello di dispositivo e norme di utilizzo personale.
- Le aziende possono utilizzare
blockScope
per applicare le azioni di conformità su un l'intero dispositivo o solo il profilo di lavoro. devices.delete
e i comandi del dispositivo si applicano all'intero dispositivo.
Per configurare un dispositivo di proprietà dell'azienda con un profilo di lavoro, crea una registrazione
il token (assicurati che
allowPersonalUsage
è impostato su PERSONAL_USAGE_ALLOWED
) e utilizza uno dei
seguenti metodi di provisioning:
Dispositivi di proprietà dell'azienda solo per uso lavorativo
Android 5.1 e versioni successive
La gestione completa dei dispositivi è adatta ai dispositivi di proprietà dell'azienda destinati esclusivamente per scopi lavorativi. Le aziende possono gestire tutte le app sul dispositivo può applicare l'intera gamma di criteri e comandi dell'API Android Management.
È anche possibile bloccare un dispositivo (tramite criteri) per una singola app o
un piccolo gruppo di app per uno scopo o un caso d'uso dedicato. Questo sottoinsieme
I dispositivi gestiti sono definiti dispositivi dedicati. Token di registrazione per
su questi dispositivi il valore allowPersonalUsage
deve essere impostato su
PERSONAL_USAGE_DISALLOWED_USERLESS
Per configurare la gestione completa su un dispositivo di proprietà dell'azienda, crea un token di registrazione
verificando che allowPersonalUsage
sia impostato su
PERSONAL_USAGE_DISALLOWED
o
PERSONAL_USAGE_DISALLOWED_USERLESS
,
e utilizzare uno dei seguenti metodi di provisioning.
- Registrazione zero-touch
- Codice QR
- URL di accesso (non adatto per dispositivi dedicati)
- NFC
- Identificatore DPC
I criteri possono influire sulla generazione della UI durante il provisioning del dispositivo. Tali norme sono:
PasswordPolicyScope
: Questo determina i requisiti per le password.PermittedInputMethods
: Questo determina i metodi di immissione del pacchetto.PermittedAccessibilityServices
: Questo determina quali servizi di accessibilità sono consentiti per gli account completamente gestiti dispositivi e profilo di lavoro.SetupActions
: Questo determina quali azioni vengono eseguite durante la configurazione.ApplicationsPolicy
: Questo determina il criterio per una singola app.
Se vuoi che i passaggi per la password vengano visualizzati insieme all'installazione delle app di lavoro e le carte di registrazione del dispositivo durante il provisioning del dispositivo, ti consigliamo di aggiornare per ritardare l'avvio della generazione della UI mantenendo il dispositivo in un stato di quarantena, che si verifica se la registrazione avviene senza un criterio associato; finché non specifichi il criterio selezionato finale per la configurazione del dispositivo completata con gli elementi. pertinenti alle tue esigenze di configurazione. Una volta completato il provisioning completato, puoi modificare il criterio obbligatorio.
Crea un token di registrazione
È necessario un token di registrazione per ogni dispositivo che vuoi registrare (puoi
utilizzare lo stesso token per più dispositivi). Per richiedere un token di registrazione, chiama
enterprises.enrollmentTokens.create
I token di registrazione scadono dopo uno
ora per impostazione predefinita, ma puoi specificare una scadenza personalizzata (duration
)
fino a circa 10.000 anni.
Una richiesta riuscita restituisce un oggetto enrollmentToken
contenente un
enrollmentTokenId
e un qrcode
che gli amministratori IT e gli utenti finali possono utilizzare per
eseguire il provisioning dei dispositivi.
Specifica un criterio
Potresti anche voler specificare un policyName
nella richiesta per applicare un criterio
nello stesso momento in cui un dispositivo viene registrato. Se non specifichi un valore policyName
, consulta
Registrare un dispositivo senza un criterio.
Specifica l'utilizzo personale
allowPersonalUsage
determina se è possibile aggiungere un profilo di lavoro al dispositivo
durante il provisioning. Imposta PERSONAL_USAGE_ALLOWED
per consentire a un utente di creare un
profilo di lavoro (obbligatorio per i dispositivi di proprietà personale, facoltativo per i dispositivi di proprietà dell'azienda
dispositivi).
Informazioni sui codici QR
I codici QR rappresentano un metodo efficiente di provisioning dei dispositivi per le aziende che
mantenere molte norme diverse. Il codice QR restituito da
enterprises.enrollmentTokens.create
è composto da un payload di coppie chiave/valore
contenente un token di registrazione e tutte le informazioni necessarie per Android
Device Policy per eseguire il provisioning di un dispositivo.
Esempio di bundle di codici QR
Il bundle include il percorso di download di Android Device Policy e un token di registrazione.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
}
}
Puoi usare il codice QR restituito da enterprises.enrollmentTokens.create
direttamente o personalizzarlo. Per un elenco completo delle strutture che puoi includere in
un pacchetto di codici QR, consulta la sezione Creare un codice QR.
Per convertire la stringa qrcode
in un codice QR scansionabile, utilizza un generatore di codici QR
come ZXing.
Metodi di provisioning
Questa sezione descrive i diversi metodi di provisioning di un dispositivo.
Aggiungere un profilo di lavoro dalle "Impostazioni"
Android 5.1 e versioni successive
Per configurare un profilo di lavoro sul proprio dispositivo, l'utente può:
- Vai a Impostazioni > Google > Configurazione e ripristina.
- Tocca Configura il tuo profilo di lavoro.
Questa procedura avvia una configurazione guidata che scarica Android Device Policy dal dispositivo. Successivamente, all'utente verrà chiesto di scansionare un codice QR o inserisci manualmente un token di registrazione per completare la configurazione del profilo di lavoro.
Scarica Android Device Policy
Android 5.1 e versioni successive
Per configurare un profilo di lavoro sul proprio dispositivo, l'utente può scaricare Dispositivo Android Norme del Google Play Store. Una volta installata l'app, all'utente verrà chiesto di inserire un codice QR o di inserire manualmente di registrazione per completare la configurazione del profilo di lavoro.
Link al token di registrazione
Android 5.1 e versioni successive
Utilizza il token di registrazione restituito da enrollmentTokens.create
o
di signinEnrollmentToken
per le aziende,
genera un URL con il formato seguente:
https://enterprise.google.com/android/enroll?et=<enrollmentToken>
Puoi fornire questo URL agli amministratori IT, che possono fornirlo ai propri utenti finali. Quando un utente finale apre il link dal proprio dispositivo, viene guidato attraverso la configurazione del profilo di lavoro.
URL di accesso
Con questo metodo, gli utenti vengono indirizzati a una pagina dove inserire eventuali necessarie per completare il provisioning. In base alle informazioni che l'utente , puoi calcolare la norma appropriata per l'utente prima di procedere con il provisioning dei dispositivi. Ad esempio:
Specifica l'URL di accesso in
enterprises.signInDetails[]
. Imposta DaallowPersonalUsage
aPERSONAL_USAGE_ALLOWED
se vuoi consentire a un utente per creare un profilo di lavoro (obbligatorio per i dispositivi di proprietà personale, facoltativo per i dispositivi di proprietà aziendale).Aggiungi
signinEnrollmentToken
risultante come provisioning extra a un QR , payload NFC o zero-touch e configurazione automatica. In alternativa, puoi forniresigninEnrollmentToken
direttamente agli utenti.Scegli un'opzione:
- Dispositivi di proprietà aziendale:dopo aver attivato un dispositivo nuovo o di cui hai ripristinato i dati di fabbrica.
dispositivo, passa il
signinEnrollmentToken
al dispositivo (tramite codice QR, NFC bumper e così via) o chiedere agli utenti di inserire il token manualmente. Il dispositivo apri l'URL di accesso specificato nel passaggio 1. - Dispositivi di proprietà personale: chiedi agli utenti di aggiungere un profilo di lavoro da
"Impostazioni". Quando richiesto, l'utente
scansiona un codice QR contenente
signinEnrollmentToken
o inserisce il manualmente il token. Il dispositivo aprirà l'URL di accesso specificato nel passaggio 1. - Dispositivi di proprietà personale: fornisci agli utenti un token di registrazione.
, dove il token di registrazione è
signinEnrollmentToken
. Il dispositivo aprirà l'URL di accesso specificato nel passaggio 1.
- Dispositivi di proprietà aziendale:dopo aver attivato un dispositivo nuovo o di cui hai ripristinato i dati di fabbrica.
dispositivo, passa il
Controlla se Google ha già autenticato l'utente. Prendi il dispositivo delle informazioni sul provisioning (durante la registrazione dei dispositivi) utilizzando il parametro GET
provisioningInfo
e verifica se è presente un valore per il campoauthenticatedUserEmail
. Se in questo campo è presente un valore, l'utente è l'autenticazione è già stata eseguita correttamente da Google e puoi utilizzare questa identità senza ulteriore autenticazione.Se Google non ha ancora autenticato l'utente, l'URL di accesso dovrebbe richiedere agli utenti di inserire le proprie credenziali. In base alla sua identità, determinare il criterio appropriato e ottenere il provisioning del dispositivo (durante la registrazione del dispositivo) con il parametro GET
provisioningInfo
Chiama
enrollmentTokens.create
, specificando ilpolicyId
appropriato in base alle credenziali dell'utente.Restituisci il token di registrazione generato nel passaggio 5 utilizzando il reindirizzamento URL, nella sezione modulo
https://enterprise.google.com/android/enroll?et=<token>
.
Metodo codice QR
Android 7.0 e versioni successive
Per eseguire il provisioning di un dispositivo di proprietà dell'azienda, puoi generare un QR e visualizzalo nella console EMM:
- Su un dispositivo nuovo o di cui sono stati ripristinati i dati di fabbrica, l'utente (di solito un amministratore IT) tocca l'icona schermo sei volte nello stesso punto. In questo modo, il dispositivo di scansionare un codice QR.
- L'utente scansiona il codice QR che visualizzi nella console di gestione (oppure un'applicazione simile) per registrare il dispositivo ed eseguirne il provisioning.
Metodo NFC
Android 6.0 e versioni successive
Questo metodo richiede la creazione di un'app di programmazione NFC che contenga il il token di registrazione, i criteri iniziali e la configurazione del Wi-Fi, le impostazioni e tutto altri dettagli di provisioning richiesti dal cliente per eseguire il provisioning su un dispositivo gestito o dedicato. Quando tu o il tuo cliente installate l'NFC app di programmazione su un dispositivo Android, tale dispositivo diventa il programmatore dispositivo.
Indicazioni dettagliate su come supportare il metodo NFC sono disponibili in Play EMM Sviluppatore di API documentazione. Il sito include anche il codice campione del codice predefinito parametri trasferiti a un dispositivo su un contatto NFC. Per installare Android Device Policy, imposta il download percorso del pacchetto di amministrazione del dispositivo:
https://play.google.com/managed/downloadManagingApp?identifier=setup
Metodo identificatore DPC
Se non è possibile aggiungere Android Device Policy tramite codice QR o NFC, un utente o un amministratore IT puoi seguire questi passaggi per eseguire il provisioning di un dispositivo di proprietà dell'azienda:
- Segui la configurazione guidata su un dispositivo nuovo o di cui hai ripristinato i dati di fabbrica.
- Inserisci i dati di accesso alla rete Wi-Fi per connettere il dispositivo a internet.
- Quando ti viene chiesto di accedere, inserisci afw#setup per scaricare Android Criteri relativi ai dispositivi.
- Scansiona un codice QR o inserisci manualmente un token di registrazione per eseguire il provisioning del dispositivo.
Registrazione zero-touch
Android 8.0 e versioni successive (Pixel 7.1 e versioni successive)
I dispositivi acquistati da un rivenditore zero-touch autorizzato sono idonei per la registrazione zero-touch, un metodo semplificato per preconfigurare i dispositivi automaticamente al primo avvio.
Le organizzazioni possono creare configurazioni contenenti dettagli sul provisioning tramite il portale della registrazione zero-touch o utilizzando la tua console EMM (vedi l'API zero-touch per clienti). Il primo avvio, un dispositivo zero-touch controlla se gli è stata assegnata una configurazione. Se sì, il dispositivo scarica Android Device Policy, quindi completa la configurazione dispositivo utilizzando gli extra di provisioning specificati nella configurazione assegnata.
Se i tuoi clienti usano il portale della registrazione zero-touch, devono Selezionare Android Device Policy come DPC EMM per ogni configurazione creare. Istruzioni dettagliate su come utilizzare il portale, incluse le istruzioni per creare e assegnare configurazioni ai dispositivi, sono disponibili in Android Enterprise Centro assistenza.
Se preferisci che i clienti impostino e assegnino le configurazioni direttamente dal tuo
Console EMM, è necessario effettuare l'integrazione con l'API zero-touch del cliente. Quando
creando una configurazione, specifichi i provisioning extra
dpcExtras
. Il seguente snippet JSON mostra un esempio di base di cosa
includi in dpcExtras
, con un token di accesso aggiunto.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
}
}
Avviare un'app durante la configurazione
In policies
puoi specificare un'app da avviare per Android Device Policy
durante la configurazione del dispositivo o del profilo di lavoro. Ad esempio, potresti avviare un'app VPN
Gli utenti possono configurare le impostazioni VPN durante la procedura di configurazione. L'app deve
restituisce RESULT_OK
per segnalare il completamento e consentire ad Android Device Policy di
per completare il provisioning del dispositivo
o del profilo di lavoro. Per avviare un'app durante la configurazione:
Assicurati che il valore installType
dell'app sia REQUIRED_FOR_SETUP
. Se l'app non può essere
installati o avviati sul dispositivo, il provisioning non andrà a buon fine.
{
"applications":[
{
"packageName":"com.my.vpnapp.",
"installType":"REQUIRED_FOR_SETUP"
}
]
}
Aggiungi il nome del pacchetto dell'app a setupActions
. Usa title
e description
per
specificare le istruzioni rivolte all'utente.
{
"setupActions":[
{
"title":{
"defaultMessage":"Configure VPN"
},
"description":{
"defaultMessage":"Enable your VPN client to access corporate resources."
},
"launchApp":{
"packageName":"com.my.vpnapp."
}
}
]
}
Per distinguere che un'app è stata avviata da launchApp
, l'attività
lanciato per la prima volta come parte dell'app, contiene l'intent booleano aggiuntivo
com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION
(impostata su
true
). Questa funzionalità aggiuntiva ti consente di personalizzare l'app a seconda che sia
avviato da setupActions
o da un utente.
Dopo che l'app restituisce RESULT_OK
, Android Device Policy completa gli eventuali elementi rimanenti
passaggi necessari per eseguire il provisioning del dispositivo o del profilo di lavoro.
Annullare la registrazione durante la configurazione
L'app lanciata come SetupAction può annullare la restituzione della registrazione
RESULT_FIRST_USER
L'annullamento della registrazione reimposta un dispositivo di proprietà dell'azienda o elimina il lavoro profilo su un dispositivo di proprietà personale.
Nota: l'annullamento della registrazione attiva l'azione senza l'intervento di un utente
finestra di dialogo di conferma. È responsabilità dell'app mostrare informazioni
finestra di dialogo di errore all'utente prima di restituire RESULT_FIRST_USER
.
Applica un criterio ai dispositivi appena registrati
Il metodo che utilizzerai per applicare i criteri ai dispositivi appena registrati dipende da te e le esigenze dei tuoi clienti. Ecco i diversi approcci che puoi adottare usa:
(Consigliato) Quando crei un token di registrazione, puoi specificare il nome della norma (
policyName
) che sarà inizialmente collegata alla dispositivo. Quando registri un dispositivo con il token, il criterio viene automaticamente applicata al dispositivo.Imposta un criterio come predefinito per un'azienda. Se il nome del criterio non è specificato nel token di registrazione ed esiste un criterio con il nome
enterprises/<enterprise_id>/policies/default
, ogni nuovo dispositivo è automaticamente collegati al criterio predefinito al momento della registrazione.Iscriviti a un argomento Cloud Pub/Sub per Ricevere notifiche sui dispositivi appena registrati. In risposta a un Notifica
ENROLLMENT
, chiamaenterprises.devices.patch
a collegare il dispositivo a un criterio.
Registra un dispositivo senza un criterio
Se un dispositivo viene registrato senza un criterio valido, viene inserito in quarantena. Tutte le funzioni dei dispositivi messi in quarantena non sono disponibili fino a quando Il dispositivo è collegato a un criterio.
Se un dispositivo non si collega a un criterio entro cinque minuti, viene eseguita la registrazione dei dispositivi non funziona e vengono ripristinati i dati di fabbrica del dispositivo. Lo stato del dispositivo in quarantena ti offre possibilità di implementare controlli delle licenze o altre procedure di convalida della registrazione i processi come parte della tua soluzione.
Esempio di flusso di lavoro per il controllo delle licenze
- Un dispositivo viene registrato senza un criterio predefinito o un criterio specifico.
- Controllare il numero di licenze che l'azienda ha ancora a disposizione.
- Se sono disponibili licenze, utilizza
devices.patch
per allegare un al dispositivo e diminuisci il numero di licenze. Se non sono presenti licenze disponibili, usadevices.patch
per disattivare il dispositivo. In alternativa, l'API ripristina i dati di fabbrica di tutti i dispositivi non collegati a un entro cinque minuti dalla registrazione.