Registrare ed eseguire il provisioning di un dispositivo

Il provisioning è il processo di configurazione di un dispositivo per la gestione policies da un enterprise. Durante il processo di installazione di un dispositivo Android Device Policy, che viene utilizzato per ricevere e applicare in modo forzato policies. Se è stato eseguito correttamente, l'API crea un oggetto devices, associando dispositivo a un'azienda.

L'API Android Management utilizza i token di registrazione per attivare il provisioning e il processo di sviluppo. Il token di registrazione e il metodo di provisioning che utilizzi stabiliscono un la proprietà del dispositivo (di proprietà personale o aziendale) e la modalità di gestione (lavoro profilo o dispositivo completamente gestito).

Dispositivi di proprietà personale

Android 5.1 e versioni successive

I dispositivi di proprietà dei dipendenti possono essere configurati con un profilo di lavoro. Un profilo di lavoro offre uno spazio autonomo per le app e i dati di lavoro, app e dati. La maggior parte delle app, dei dati e di altre attività di gestione policies si applica al solo il profilo di lavoro, mentre le app e i dati personali del dipendente rimangono privati.

Per configurare un profilo di lavoro su un dispositivo di proprietà personale, crea una registrazione (assicurati che allowPersonalUsage sia impostato su PERSONAL_USAGE_ALLOWED) e utilizza uno dei seguenti metodi di provisioning:

Dispositivi di proprietà dell'azienda per uso personale e lavorativo

Android 8 e versioni successive

La configurazione di un dispositivo di proprietà dell'azienda con un profilo di lavoro consente al dispositivo per uso personale e lavorativo. Sui dispositivi di proprietà dell'azienda con profili di lavoro:

Per configurare un dispositivo di proprietà dell'azienda con un profilo di lavoro, crea una registrazione il token (assicurati che allowPersonalUsage è impostato su PERSONAL_USAGE_ALLOWED) e utilizza uno dei seguenti metodi di provisioning:

di Gemini Advanced.

Dispositivi di proprietà dell'azienda solo per uso lavorativo

Android 5.1 e versioni successive

La gestione completa dei dispositivi è adatta ai dispositivi di proprietà dell'azienda destinati esclusivamente per scopi lavorativi. Le aziende possono gestire tutte le app sul dispositivo può applicare l'intera gamma di criteri e comandi dell'API Android Management.

È anche possibile bloccare un dispositivo (tramite criteri) per una singola app o un piccolo gruppo di app per uno scopo o un caso d'uso dedicato. Questo sottoinsieme I dispositivi gestiti sono definiti dispositivi dedicati. Token di registrazione per su questi dispositivi il valore allowPersonalUsage deve essere impostato su PERSONAL_USAGE_DISALLOWED_USERLESS

Per configurare la gestione completa su un dispositivo di proprietà dell'azienda, crea un token di registrazione verificando che allowPersonalUsage sia impostato su PERSONAL_USAGE_DISALLOWED o PERSONAL_USAGE_DISALLOWED_USERLESS, e utilizzare uno dei seguenti metodi di provisioning.

di Gemini Advanced.

I criteri possono influire sulla generazione della UI durante il provisioning del dispositivo. Tali norme sono:

Se vuoi che i passaggi per la password vengano visualizzati insieme all'installazione delle app di lavoro e le carte di registrazione del dispositivo durante il provisioning del dispositivo, ti consigliamo di aggiornare per ritardare l'avvio della generazione della UI mantenendo il dispositivo in un stato di quarantena, che si verifica se la registrazione avviene senza un criterio associato; finché non specifichi il criterio selezionato finale per la configurazione del dispositivo completata con gli elementi. pertinenti alle tue esigenze di configurazione. Una volta completato il provisioning completato, puoi modificare il criterio obbligatorio.

Crea un token di registrazione

Panoramica di Android Management.
Figura 1. Crea un token che registri e applichi "policy1" ai dispositivi. Dopo 1800 secondi (30 minuti), il token scade.

È necessario un token di registrazione per ogni dispositivo che vuoi registrare (puoi utilizzare lo stesso token per più dispositivi). Per richiedere un token di registrazione, chiama enterprises.enrollmentTokens.create I token di registrazione scadono dopo uno ora per impostazione predefinita, ma puoi specificare una scadenza personalizzata (duration) fino a circa 10.000 anni.

Una richiesta riuscita restituisce un oggetto enrollmentToken contenente un enrollmentTokenId e un qrcode che gli amministratori IT e gli utenti finali possono utilizzare per eseguire il provisioning dei dispositivi.

Specifica un criterio

Potresti anche voler specificare un policyName nella richiesta per applicare un criterio nello stesso momento in cui un dispositivo viene registrato. Se non specifichi un valore policyName, consulta Registrare un dispositivo senza un criterio.

Specifica l'utilizzo personale

allowPersonalUsage determina se è possibile aggiungere un profilo di lavoro al dispositivo durante il provisioning. Imposta PERSONAL_USAGE_ALLOWED per consentire a un utente di creare un profilo di lavoro (obbligatorio per i dispositivi di proprietà personale, facoltativo per i dispositivi di proprietà dell'azienda dispositivi).

Informazioni sui codici QR

I codici QR rappresentano un metodo efficiente di provisioning dei dispositivi per le aziende che mantenere molte norme diverse. Il codice QR restituito da enterprises.enrollmentTokens.create è composto da un payload di coppie chiave/valore contenente un token di registrazione e tutte le informazioni necessarie per Android Device Policy per eseguire il provisioning di un dispositivo.

Esempio di bundle di codici QR

Il bundle include il percorso di download di Android Device Policy e un token di registrazione.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Puoi usare il codice QR restituito da enterprises.enrollmentTokens.create direttamente o personalizzarlo. Per un elenco completo delle strutture che puoi includere in un pacchetto di codici QR, consulta la sezione Creare un codice QR.

Per convertire la stringa qrcode in un codice QR scansionabile, utilizza un generatore di codici QR come ZXing.

Metodi di provisioning

Questa sezione descrive i diversi metodi di provisioning di un dispositivo.

Aggiungere un profilo di lavoro dalle "Impostazioni"

Android 5.1 e versioni successive

Per configurare un profilo di lavoro sul proprio dispositivo, l'utente può:

  1. Vai a Impostazioni > Google > Configurazione e ripristina.
  2. Tocca Configura il tuo profilo di lavoro.

Questa procedura avvia una configurazione guidata che scarica Android Device Policy dal dispositivo. Successivamente, all'utente verrà chiesto di scansionare un codice QR o inserisci manualmente un token di registrazione per completare la configurazione del profilo di lavoro.

Scarica Android Device Policy

Android 5.1 e versioni successive

Per configurare un profilo di lavoro sul proprio dispositivo, l'utente può scaricare Dispositivo Android Norme del Google Play Store. Una volta installata l'app, all'utente verrà chiesto di inserire un codice QR o di inserire manualmente di registrazione per completare la configurazione del profilo di lavoro.

Android 5.1 e versioni successive

Utilizza il token di registrazione restituito da enrollmentTokens.create o di signinEnrollmentToken per le aziende, genera un URL con il formato seguente:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Puoi fornire questo URL agli amministratori IT, che possono fornirlo ai propri utenti finali. Quando un utente finale apre il link dal proprio dispositivo, viene guidato attraverso la configurazione del profilo di lavoro.

URL di accesso

Con questo metodo, gli utenti vengono indirizzati a una pagina dove inserire eventuali necessarie per completare il provisioning. In base alle informazioni che l'utente , puoi calcolare la norma appropriata per l'utente prima di procedere con il provisioning dei dispositivi. Ad esempio:

  1. Specifica l'URL di accesso in enterprises.signInDetails[]. Imposta Da allowPersonalUsage a PERSONAL_USAGE_ALLOWED se vuoi consentire a un utente per creare un profilo di lavoro (obbligatorio per i dispositivi di proprietà personale, facoltativo per i dispositivi di proprietà aziendale).

    Aggiungi signinEnrollmentToken risultante come provisioning extra a un QR , payload NFC o zero-touch e configurazione automatica. In alternativa, puoi fornire signinEnrollmentToken direttamente agli utenti.

  2. Scegli un'opzione:

    1. Dispositivi di proprietà aziendale:dopo aver attivato un dispositivo nuovo o di cui hai ripristinato i dati di fabbrica. dispositivo, passa il signinEnrollmentToken al dispositivo (tramite codice QR, NFC bumper e così via) o chiedere agli utenti di inserire il token manualmente. Il dispositivo apri l'URL di accesso specificato nel passaggio 1.
    2. Dispositivi di proprietà personale: chiedi agli utenti di aggiungere un profilo di lavoro da "Impostazioni". Quando richiesto, l'utente scansiona un codice QR contenente signinEnrollmentToken o inserisce il manualmente il token. Il dispositivo aprirà l'URL di accesso specificato nel passaggio 1.
    3. Dispositivi di proprietà personale: fornisci agli utenti un token di registrazione. , dove il token di registrazione è signinEnrollmentToken. Il dispositivo aprirà l'URL di accesso specificato nel passaggio 1.

  3. Controlla se Google ha già autenticato l'utente. Prendi il dispositivo delle informazioni sul provisioning (durante la registrazione dei dispositivi) utilizzando il parametro GET provisioningInfo e verifica se è presente un valore per il campo authenticatedUserEmail. Se in questo campo è presente un valore, l'utente è l'autenticazione è già stata eseguita correttamente da Google e puoi utilizzare questa identità senza ulteriore autenticazione.

  4. Se Google non ha ancora autenticato l'utente, l'URL di accesso dovrebbe richiedere agli utenti di inserire le proprie credenziali. In base alla sua identità, determinare il criterio appropriato e ottenere il provisioning del dispositivo (durante la registrazione del dispositivo) con il parametro GET provisioningInfo

  5. Chiama enrollmentTokens.create, specificando il policyId appropriato in base alle credenziali dell'utente.

  6. Restituisci il token di registrazione generato nel passaggio 5 utilizzando il reindirizzamento URL, nella sezione modulo https://enterprise.google.com/android/enroll?et=<token>.

Metodo codice QR

Android 7.0 e versioni successive

Per eseguire il provisioning di un dispositivo di proprietà dell'azienda, puoi generare un QR e visualizzalo nella console EMM:

  1. Su un dispositivo nuovo o di cui sono stati ripristinati i dati di fabbrica, l'utente (di solito un amministratore IT) tocca l'icona schermo sei volte nello stesso punto. In questo modo, il dispositivo di scansionare un codice QR.
  2. L'utente scansiona il codice QR che visualizzi nella console di gestione (oppure un'applicazione simile) per registrare il dispositivo ed eseguirne il provisioning.

Metodo NFC

Android 6.0 e versioni successive

Questo metodo richiede la creazione di un'app di programmazione NFC che contenga il il token di registrazione, i criteri iniziali e la configurazione del Wi-Fi, le impostazioni e tutto altri dettagli di provisioning richiesti dal cliente per eseguire il provisioning su un dispositivo gestito o dedicato. Quando tu o il tuo cliente installate l'NFC app di programmazione su un dispositivo Android, tale dispositivo diventa il programmatore dispositivo.

Indicazioni dettagliate su come supportare il metodo NFC sono disponibili in Play EMM Sviluppatore di API documentazione. Il sito include anche il codice campione del codice predefinito parametri trasferiti a un dispositivo su un contatto NFC. Per installare Android Device Policy, imposta il download percorso del pacchetto di amministrazione del dispositivo:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Metodo identificatore DPC

Se non è possibile aggiungere Android Device Policy tramite codice QR o NFC, un utente o un amministratore IT puoi seguire questi passaggi per eseguire il provisioning di un dispositivo di proprietà dell'azienda:

  1. Segui la configurazione guidata su un dispositivo nuovo o di cui hai ripristinato i dati di fabbrica.
  2. Inserisci i dati di accesso alla rete Wi-Fi per connettere il dispositivo a internet.
  3. Quando ti viene chiesto di accedere, inserisci afw#setup per scaricare Android Criteri relativi ai dispositivi.
  4. Scansiona un codice QR o inserisci manualmente un token di registrazione per eseguire il provisioning del dispositivo.
di Gemini Advanced.

Registrazione zero-touch

Android 8.0 e versioni successive (Pixel 7.1 e versioni successive)

I dispositivi acquistati da un rivenditore zero-touch autorizzato sono idonei per la registrazione zero-touch, un metodo semplificato per preconfigurare i dispositivi automaticamente al primo avvio.

Le organizzazioni possono creare configurazioni contenenti dettagli sul provisioning tramite il portale della registrazione zero-touch o utilizzando la tua console EMM (vedi l'API zero-touch per clienti). Il primo avvio, un dispositivo zero-touch controlla se gli è stata assegnata una configurazione. Se sì, il dispositivo scarica Android Device Policy, quindi completa la configurazione dispositivo utilizzando gli extra di provisioning specificati nella configurazione assegnata.

Se i tuoi clienti usano il portale della registrazione zero-touch, devono Selezionare Android Device Policy come DPC EMM per ogni configurazione creare. Istruzioni dettagliate su come utilizzare il portale, incluse le istruzioni per creare e assegnare configurazioni ai dispositivi, sono disponibili in Android Enterprise Centro assistenza.

Se preferisci che i clienti impostino e assegnino le configurazioni direttamente dal tuo Console EMM, è necessario effettuare l'integrazione con l'API zero-touch del cliente. Quando creando una configurazione, specifichi i provisioning extra dpcExtras. Il seguente snippet JSON mostra un esempio di base di cosa includi in dpcExtras, con un token di accesso aggiunto.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Avviare un'app durante la configurazione

azione di configurazione
Figura 2. Usa setupActions per avviare un'app durante la configurazione.

In policies puoi specificare un'app da avviare per Android Device Policy durante la configurazione del dispositivo o del profilo di lavoro. Ad esempio, potresti avviare un'app VPN Gli utenti possono configurare le impostazioni VPN durante la procedura di configurazione. L'app deve restituisce RESULT_OK per segnalare il completamento e consentire ad Android Device Policy di per completare il provisioning del dispositivo o del profilo di lavoro. Per avviare un'app durante la configurazione:

Assicurati che il valore installType dell'app sia REQUIRED_FOR_SETUP. Se l'app non può essere installati o avviati sul dispositivo, il provisioning non andrà a buon fine.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Aggiungi il nome del pacchetto dell'app a setupActions. Usa title e description per specificare le istruzioni rivolte all'utente.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Per distinguere che un'app è stata avviata da launchApp, l'attività lanciato per la prima volta come parte dell'app, contiene l'intent booleano aggiuntivo com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (impostata su true). Questa funzionalità aggiuntiva ti consente di personalizzare l'app a seconda che sia avviato da setupActions o da un utente.

Dopo che l'app restituisce RESULT_OK, Android Device Policy completa gli eventuali elementi rimanenti passaggi necessari per eseguire il provisioning del dispositivo o del profilo di lavoro.

Annullare la registrazione durante la configurazione

L'app lanciata come SetupAction può annullare la restituzione della registrazione RESULT_FIRST_USER

L'annullamento della registrazione reimposta un dispositivo di proprietà dell'azienda o elimina il lavoro profilo su un dispositivo di proprietà personale.

Nota: l'annullamento della registrazione attiva l'azione senza l'intervento di un utente finestra di dialogo di conferma. È responsabilità dell'app mostrare informazioni finestra di dialogo di errore all'utente prima di restituire RESULT_FIRST_USER.

Applica un criterio ai dispositivi appena registrati

Il metodo che utilizzerai per applicare i criteri ai dispositivi appena registrati dipende da te e le esigenze dei tuoi clienti. Ecco i diversi approcci che puoi adottare usa:

  • (Consigliato) Quando crei un token di registrazione, puoi specificare il nome della norma (policyName) che sarà inizialmente collegata alla dispositivo. Quando registri un dispositivo con il token, il criterio viene automaticamente applicata al dispositivo.

  • Imposta un criterio come predefinito per un'azienda. Se il nome del criterio non è specificato nel token di registrazione ed esiste un criterio con il nome enterprises/<enterprise_id>/policies/default, ogni nuovo dispositivo è automaticamente collegati al criterio predefinito al momento della registrazione.

  • Iscriviti a un argomento Cloud Pub/Sub per Ricevere notifiche sui dispositivi appena registrati. In risposta a un Notifica ENROLLMENT, chiama enterprises.devices.patch a collegare il dispositivo a un criterio.

Registra un dispositivo senza un criterio

Se un dispositivo viene registrato senza un criterio valido, viene inserito in quarantena. Tutte le funzioni dei dispositivi messi in quarantena non sono disponibili fino a quando Il dispositivo è collegato a un criterio.

Se un dispositivo non si collega a un criterio entro cinque minuti, viene eseguita la registrazione dei dispositivi non funziona e vengono ripristinati i dati di fabbrica del dispositivo. Lo stato del dispositivo in quarantena ti offre possibilità di implementare controlli delle licenze o altre procedure di convalida della registrazione i processi come parte della tua soluzione.

Esempio di flusso di lavoro per il controllo delle licenze

  1. Un dispositivo viene registrato senza un criterio predefinito o un criterio specifico.
  2. Controllare il numero di licenze che l'azienda ha ancora a disposizione.
  3. Se sono disponibili licenze, utilizza devices.patch per allegare un al dispositivo e diminuisci il numero di licenze. Se non sono presenti licenze disponibili, usa devices.patch per disattivare il dispositivo. In alternativa, l'API ripristina i dati di fabbrica di tutti i dispositivi non collegati a un entro cinque minuti dalla registrazione.