Créer une liaison d'entreprise

Pour enregistrer une nouvelle organisation par le biais de votre console EMM, vous devez créer un de liaison d'entreprise. Une Ressource Enterprises représente la liaison entre une solution EMM et une organisation. Vous en utilisez une instance pour d'invoquer des opérations au nom de l'organisation.

L'API Play EMM propose trois méthodes pour créer une instance de liaison d'entreprise:

  • Inscription à un domaine Google géré : cette méthode peut être utilisée à la place des deux autres. Les entreprises disposant d'un domaine Google géré et organisation existants avec lesquels vous débutez Google utilisera la même interface d'inscription. Leur parcours dans l'UI varient en fonction de leur situation et de leurs besoins. L'entreprise n'a pas besoin de obtenir un jeton EMM à l'avance.

  • Création de comptes Google Play d'entreprise : une entreprise souhaite utiliser des comptes Google Play d'entreprise. Vous pouvez intégrer l'interface utilisateur Android d'inscription de Google avec votre console EMM et offrent aux organisations permettant de créer rapidement une instance de liaison d'entreprise qui les lie votre EMM. Cela active les comptes Google Play d'entreprise pour les utilisateurs et les appareils. Cette approche est parfois appelée initié par un module EMM dans l'API. dans la documentation Google Cloud. Cette méthode a été abandonnée au profit du domaine Google géré méthode d'inscription précédente.

  • Enregistrement d'un domaine Google géré : une organisation dispose déjà d'un domaine Google géré. Administrateurs informatiques terminé plusieurs tâches manuelles, telles que la validation de la propriété du domaine auprès de Google, l'obtention un jeton EMM et la création d'un compte de service d'entreprise. Cette approche est parfois appelée initié par Google dans la documentation de l'API.

Vous pouvez prendre en charge l'une ou l'autre approche dans votre console EMM à l'aide de la Ressource Enterprises. Table 1 affiche les champs et opérations pertinents de cette ressource pour la liaison organisations vers des EMM.

Tableau 1: API Enterprises et autres processus de liaison

 Comptes d'entreprise Google Play AccountsDomaine Google géré Description
Champ
id Identifiant unique de l'organisation, renvoyé après les appels enroll et completeSignup.
kind Identifie le type de ressource à l'aide d'une valeur de chaîne fixe. ➡androidenterprise#enterpriseenterprise.
nom Organisation associée avec l'objet enterprise.
primaryDomainNon défini Comme les comptes d'entreprise Google Play Accounts ne sont pas liés au modèle de domaine Google, ce champ n'est pertinent que pour les comptes domaines.
administrateur[]Non CANNOT TRANSLATEL'administrateur informatique qui s'inscrit à Android à l'aide du La procédure d'inscription initiée par le fournisseur EMM devient l'administrateur (propriétaire) du compte de liaison d'entreprise. Via la console Google Play d'entreprise, l'administrateur peut inviter d’autres utilisateurs de l’organisation pour participer aux tâches administratives. Voir Google géré Centre d'aide Play.
administrator[].email Non défini
Méthodes
completeSignup Valeur fournie par completionToken et un enterpriseToken, renvoie une ressource Enterprises dans corps de la réponse.
generateSignupUrl Avec un callbackUrl, renvoie une URL et un completionToken.
enroll Il enregistre l'appelant auprès de l'EMM est envoyé avec la requête.
getServiceAccount Renvoie un compte de service et identifiants de connexion.
setAccount Définit le compte qui sera utilisé pour s'authentifier auprès de l'API en tant qu'entreprise.
unenroll Les EMM peuvent dissocier les comptes d'entreprise en utilisant la désinscription. Doit être appelé à l'aide des EMM entrées les identifiants du contrat-cadre de services, et non ceux de l'ESA.

Inscription à des comptes Google Play d'entreprise

Cette méthode d'inscription est obsolète. Utilisez les d'inscription à un domaine Google géré.

Inscription à un domaine Google géré

Vous pouvez intégrer le processus d'inscription dans votre console EMM:

Inscription administrateur aux comptes Google Play d'entreprise
Figure 1. Inscription à un domaine Google géré

Un administrateur informatique lance le processus de création d'une entreprise. Pour ce faire, le service informatique admin:

  1. Il se connecte à votre console EMM.
  2. clique ou sélectionne Configurer Android (par exemple), et est redirigé vers un d'inscription hébergée par Google.
  3. Fournit des informations sur l'entreprise dans l'interface utilisateur d'inscription.
  4. Il est redirigé vers votre console EMM.

L'adresse e-mail de l'administrateur informatique est désormais associée à un compte Google administrateur pour un domaine Google géré.

Bonne pratique: Suivez les Consignes de sécurité Google consignes de sécurité pour vous aider de votre compte administrateur.

Prérequis

Pour les administrateurs informatiques

  • L'accès à votre console EMM et les autorisations nécessaires pour effectuer les de votre choix dans votre console (Gérer Android, par exemple en tant que choix de menu).

  • Adresse e-mail professionnelle. Il doit faire partie d'un domaine appartenant au et non un domaine partagé comme Gmail.com

Pour votre console EMM

Pour implémenter le processus d'inscription à un domaine Google géré, votre console EMM doit pouvoir:

  • Utilisez vos identifiants MSA lorsque vous appelez des appels sur les API EMM Play. Votre contrat-cadre de services permet d'appeler de nombreuses opérations pour le compte d'un administrateur informatique jusqu'à ce que le le compte de service d'entreprise (ESA) de votre organisation est défini.

  • Gérez la redirection via une URL sécurisée vers un site externe fourni par Google vers lancer le processus d’inscription et terminer le processus d’enregistrement.

  • Possibilité de configurer avec des identifiants ESA après l'inscription. Étant donné que votre solution EMM peut être utilisée pour créer un grand nombre d'entreprises au sein du vous aurez besoin d'un moyen d'associer chaque enterpriseId à son propre service votre compte et vos identifiants. Envisagez de créer des comptes de service organisation en appelant Enterprises.getServiceAccount et la gestion des clés à l'aide API Serviceaccountkeys. Consultez Créer des comptes de service d'entreprise de façon automatisée. pour en savoir plus.

Le processus d'inscription à Android nécessite que vous fournissiez un service (https) sécurisé pour de votre console au moment de l'exécution. L'URL de ce service sécurisé peut être une URL locale et peuvent inclure la session ou d'autres informations d'identification uniques, à condition qu'il s'agisse pour être analysés par le système. Exemple :

https://localhost:8080/enrollmentcomplete?session=12345

Processus d'enregistrement

Le processus d'inscription est conçu pour prendre moins de cinq minutes. Procédure à suivre partons du principe que le serveur hébergeant callbackUrl est opérationnel. Ces étapes supposons également que votre console inclut un composant d'interface utilisateur, tel qu'une sélection de menu avec l'option Gérer Android, qui lance le processus d'inscription un administrateur informatique authentifié sélectionne l’option.

Procédure en 12 étapes pour créer un compte Google Play d'entreprise
Enterprise
Figure 2. Processus en 12 étapes pour créer une liaison vers un cluster géré domaine Google
<ph type="x-smartling-placeholder">
    </ph>
  1. Un administrateur informatique effectue une demande d'enregistrement dans votre console EMM.

  2. Appeler Enterprises.generateSignupUrl avec callbackURL comme seul paramètre. Exemple:

    https://localhost:8080/enrollcomplete?session=12345

  3. La réponse contiendra une URL d'inscription (valide 30 minutes) et un jeton d'achèvement. Extrayez et enregistrez le jeton d'achèvement.

    Bonne pratique:Associez le jeton d'achèvement à l'administrateur informatique qui est à l'origine de l'inscription.

  4. Extrayez url de la réponse generateSignupURL.

  5. Redirigez vers l'URL extraite à l'étape 4.

  6. L'administrateur informatique suit la procédure de configuration dans l'interface utilisateur d'inscription pour créer entreprise:

    1. L'administrateur informatique saisit les informations sur lui-même et sur son organisation, définit un mot de passe s'il ne possède pas encore de compte Google.

    2. L'administrateur informatique voit le nom EMM et confirme que le l'organisation sera liée à cet EMM.

    3. L'administrateur informatique accepte les conditions d'utilisation de Google.

  7. L'interface utilisateur d'inscription génère une URL de rappel basée sur l'URL spécifiée à l'étape 2.

  8. L'interface utilisateur d'inscription redirige l'administrateur informatique vers l'URL de rappel. Extraire et enregistrer le jeton d'entreprise à l'URL. Exemple :

    https://localhost:8080/enrollcomplete?session=12345&enterpriseToken=5h3jCC903lop1

  9. Appelez Enterprises.completeSignup, en transmettant completionToken (étape 3) et enterpriseToken (étape 8).

  10. L'appel renvoie une Instance Enterprises dans le corps de la réponse. Stockez id, name et l'adresse e-mail de l'administrateur (si présentes) pour une utilisation ultérieure.

  11. Créez un compte de service d'entreprise (ESA). Les certificats de l'ESA prennent la forme suivante : une adresse e-mail et une clé privée. Il existe deux façons de créer une ESA:

    • Bonne pratique:Créez l'ESA de manière programmatique. à l'aide de l'API Play EMM.
    • Affichez une page demandant à l'administrateur informatique de créer un ESA dans le console APIs. Consultez la page Créer un service Compte pour obtenir des informations plus détaillées (demandez à l'administrateur de sélectionner project > Éditeur et de vérifier le téléchargement de la clé privée ). Une fois que l'administrateur informatique a créé une ESA, configurez votre console avec Les identifiants de clé privée de l'ESA
  12. À l'aide de vos identifiants MSA, appelez setAccount pour définir l'ESA de cette organisation.

Le processus d'enregistrement est terminé

  • Le nouveau domaine Google géré est lié à votre EMM.
  • Le compte Google de l'administrateur informatique est configuré en tant qu'administrateur du domaine peut accéder à https://play.google.com/work pour gérer les applications de l’organisation.
  • Votre console EMM peut utiliser l'ESA pour gérer les données de l'organisation via l'API EMM Google Play.

Créer des annonces responsives sur le Réseau de Recherche par programmation

Pour simplifier la gestion des clés pour les ESA, utilisez l'API Google Play EMM pour générer des comptes de service pour les organisations au lieu de passer par la console Google Cloud. Service comptes générés via l'API Play EMM:

  • ne sont visibles sur aucun des projets de la console Cloud appartenant à vous ou l'organisation ; vous devez les gérer de façon programmatique.
  • Ils sont supprimés lorsque vous annuler l'enregistrement du organisation.

Pour générer un compte de service par programmation:

  1. Appeler Enterprises.getServiceAccount avec le enterpriseId (consultez l'étape 10 de la section Enregistrement ) et spécifiez le type de clé (keyType) souhaité (googleCredentials, pkcs12). Le système renvoie un nom de compte de service et une clé privée pour le service. (dans les mêmes formats que ceux renvoyés par la console Google APIs).

  2. Appeler Enterprises.setAccount et définir le compte de service de l'organisation.

Bonne pratique:Demandez à l'administrateur informatique de modifier les identifiants ESA. À faire dans votre console EMM, utilisez l'ESA existante pour appeler setAccount.

Gérer les clés du compte de service

Les comptes de service renvoyés par Enterprises.getServiceAccount sont créées de manière transparente par Google. En tant qu'EMM, vous n'avez pas accès Google Cloud. Vous pouvez toutefois intégrer Serviceaccountkeys dans votre console pour permettre aux organisations de gérer leurs propres des ESA et des clés générées de manière automatisée.

L'API Serviceaccountkeys permet à une organisation d'insérer, de supprimer et de répertorier les identifiants actifs pour leurs comptes de service. Ces API doivent être appelées tant qu'elles sont autorisées en tant qu'ESA définie pour l'organisation, et que l'ESA doit avoir été générée de getServiceAccount. En d'autres termes, une fois qu'une organisation a appelé Enterprises.setAccount (à l'aide du compte de service généré par Enterprises.getServiceAccount), seule cette organisation est autorisée à invoquer des appels sur le l'API Serviceaccountkeys pour gérer le compte.

Tableau 2. API Serviceaccountkeys

Champs
idIdentifiant de chaîne unique opaque pour la clé de compte de service attribuée par le serveur.
kindIdentifie la ressource à l'aide de la chaîne fixe androidenterprise#serviceAccountKey
typeFormat de fichier des données de clé générées. Valeurs possibles:
  • googleCredentials
  • pkcs12
donnéesChaîne comprenant le corps des identifiants privés . Valeur renseignée lors de la création. Non stockés par Google.
Méthodes
supprimerSupprimez et invalidez les identifiants spécifiés pour le (spécifié avec enterpriseId et keyId).
insertGénérer de nouveaux identifiants pour le compte de service associées à l'entreprise.
listRépertorier tous les identifiants actifs du compte de service associées à l'entreprise. Renvoie uniquement l'identifiant et le type de clé.

Notifications

Vous pouvez recevoir des notifications d'ESA générées de manière programmatique en procédant comme suit : appelant Enterprises.pullNotificationSet. Pour en savoir plus, consultez Configurer les notifications EMM. pour en savoir plus.

Enregistrement d'un domaine Google géré

Pour gérer les appareils appartenant à un domaine Google géré, vous devez établir un (liaison) entre votre console EMM, l'organisation Google

Prérequis

L'organisation doit disposer d'un domaine Google géré, d'un jeton d'enregistrement EMM et Enterprise Service Account (ESA) Instructions destinées aux administrateurs informatiques ces informations sont disponibles dans le Centre d'aide Android Enterprise d'accessibilité.

Domaine Google géré

Si l'administrateur informatique de l'organisation a revendiqué un abonnement géré domaine lors de leur inscription à Google Workspace, ils peuvent activer depuis la console d'administration Google. Si l'organisation ne dispose pas un domaine Google géré, son administrateur informatique doit passer par une session d'inscription auprès de Google.

Jeton EMM

Les administrateurs informatiques peuvent obtenir un jeton EMM Console d'administration Google (sous Appareils > Mobiles et Points de terminaison > Paramètres > intégrations tierces).

ESA

L'administrateur informatique de votre organisation peut créer l'ESA, généralement via la console Google Cloud sur un projet associé à votre console EMM. Agences spatiales américaine disposer d'un nom, d'un identifiant et d'une clé permettant d'authentifier le compte pour les actions effectuées ; en son nom. Le format de l'ID est semblable à celui d'une adresse e-mail, avec l'élément nom du compte de service précédant le symbole @ et le nom du projet suivis, ainsi que des informations sur les services Google (par exemple, some-orgs-esa@myemmconsole313302.iam.gserviceaccount.com).

Processus d'enregistrement

  1. Un administrateur informatique obtient un jeton EMM dans la console d'administration Google.
  2. L'administrateur informatique partage le jeton EMM avec vous, ce qui vous autorise à gérer Android sur son domaine.
  3. Via votre console EMM, utilisez le jeton EMM pour appeler Enterprises.enroll Cela permet d'associer la solution Android de l'organisation à son domaine Google.
    • La méthode enroll renvoie un enterpriseId unique, que vous pouvez récupérer (pour les domaines Google gérés uniquement) à l'aide du list.
    • Vous pouvez éventuellement stocker des informations sur la liaison (enterpriseId, primaryDomain) dans un datastore pour éviter d'effectuer des appels d'API afin d'obtenir ces plus de détails. Dans le cas d'un compte Google, le primaryDomain de l'organisation est la clé unique qui identifie l'organisation auprès de l'EMM et Google
  4. Pour effectuer des appels spécifiques à une organisation vers l'API Google Play EMM, procédez comme suit: <ph type="x-smartling-placeholder">
      </ph>
    • Soit vous créez un compte ESA au nom de l'organisation, soit un administrateur crée l'ESA, puis la partage avec vous.
    • Via votre console EMM, appelez setAccount avec enterpriseId et l'adresse e-mail de l'ESA. Cela permet à l'ESA pour s'authentifier auprès de l'API en tant qu'entreprise.

Exemple

Voici un exemple qui enregistre une organisation en fonction d'un primaryDomainName, serviceAccountEmail et authenticationToken:

    public void bind(String primaryDomainName, String serviceAccountEmail,
        String authenticationToken) throws IOException {

      Enterprise enterprise = new Enterprise();
      enterprise.setPrimaryDomain(primaryDomainName);

      Enterprise result = androidEnterprise.enterprises()
          .enroll(authenticationToken, enterprise)
          .execute();

      EnterpriseAccount enterpriseAccount = new EnterpriseAccount();
      enterpriseAccount.setAccountEmail(serviceAccountEmail);
      androidEnterprise.enterprises()
          .setAccount(result.getId(), enterpriseAccount)
          .execute();
    }

Cet exemple utilise la bibliothèque cliente pour Java et Classe de service AndroidEnterprise à partir du com.google.api.services.androidenterprise.model d'un package. La procédure présentée dans l'exemple peut être résumée comme suit:

  1. Créez un objet AndroidEnterprise avec les paramètres. fournie par bind, une classe de modèle contenant le nom de domaine principal l'adresse e-mail du compte de service et le jeton d'enregistrement EMM.
  2. Indiquez le nom de domaine principal de l'objet d'entreprise que vous venez de créer.
  3. Appelez la méthode d'enregistrement en fournissant l'objet d'entreprise et le jeton d'enregistrement.
  4. Créer un objet EnterpriseAccount avec l'ID ESA du client (serviceAccountEmail).
  5. Définissez le compte en fournissant les deux enterpriseId (retourné à l'étape 3). et enterpriseAccount.

Vous pouvez éventuellement stocker des informations sur la liaison (enterpriseId, primaryDomain) dans un datastore pour éviter d'effectuer des appels d'API afin d'obtenir ces plus de détails. Dans un scénario de comptes Google, le primaryDomain de l'organisation est la clé unique qui identifie l'organisation auprès de l'EMM et de Google.

Configurer un déploiement sur site

Si une organisation souhaite que ses données restent sur site et que vous ne puissiez pas y accéder, vous vous devez vous assurer que vos serveurs ne voient jamais un ensemble actif d'identifiants pour Agence spatiale européenne. Pour ce faire, générez et stockez un ensemble d'identifiants ESA sur le site:

  1. Suivez la procédure d'inscription: <ph type="x-smartling-placeholder">
      </ph>
    1. Comme indiqué à l'étape 11, utilisez votre contrat-cadre de services pour appeler getServiceAccount. Ce génère des identifiants ESA.
    2. Comme indiqué à l'étape 12, utilisez setAccount sur l'ESA pour la définir comme pour cette organisation.
  2. Transmettez l'ESA au serveur sur site de l'entreprise.
  3. Procédez comme suit sur le serveur sur site : <ph type="x-smartling-placeholder">
      </ph>
    1. Appeler Serviceaccountkeys.insert pour créer pour l'ESA. Cette clé privée n'est pas stockée sur les serveurs Google et est n'est renvoyé qu'une seule fois, lors de la création du compte. Il n'est accessible autrement.
    2. Utilisez les nouveaux identifiants ESA pour appeler Serviceaccountkeys.list Cette commande renvoie les identifiants du compte de service actif.
    3. Appeler Serviceaccountkeys.delete de supprimer tous les certificats sauf ceux de l'ESA que vous venez de créer sur site.
    4. (Facultatif) Appeler Serviceaccountkeys.list pour vérifier que les identifiants actuellement utilisés sur site sont les seuls des identifiants valides pour le compte de service.

Le serveur sur site est désormais le seul serveur disposant des identifiants ESA. Un seul L'ESA générée via getServiceAccount peut y accéder ServiceAccountKeys : votre contrat-cadre de services n'est pas autorisé à l'appeler.

Bonne pratique: Ne stockez pas les identifiants de votre compte de service principal sur sur site. Utilisez un ESA distinct pour chaque déploiement sur site.

Désenregistrer, réenregistrer ou supprimer une liaison d'entreprise

Se désinscrire

Pour dissocier une organisation de votre solution EMM, utilisez unenroll Une entreprise n'est pas supprimée lorsqu'elle est désinscrite, mais ses utilisateurs gérés les données utilisateur associées sont supprimées au bout de 30 jours. Voici un exemple : implémentation:

    public void unbind(String enterpriseId) throws IOException {
      androidEnterprise.enterprises().unenroll(enterpriseId).execute();
    }

Bonne pratique:Si vous disposez d'un datastore pour le nom de l'organisation et pour le nom de l'entreprise de liaison d'identifiants, supprimez les informations de votre datastore après avoir appelé unenroll

Réenregistrer

Un administrateur informatique peut réenregistrer une entreprise à l'aide de son enterpriseId existant. À se connectent avec un compte de niveau propriétaire et suivent les instructions d'inscription processus.

Le processus de réenregistrement est transparent de votre point de vue: il est impossible de déterminez si le jeton d'entreprise renvoyé dans l'URL de redirection (étape 8) provient de une nouvelle organisation ou une organisation précédemment enregistrée auprès d'un autre une solution EMM.

Si une organisation est déjà inscrite à votre solution EMM, il se peut que vous soyez capable de reconnaître l'ID de liaison d'entreprise. Vous pouvez restaurer des utilisateurs gérés par un fournisseur EMM et les données utilisateur associées si un administrateur informatique réinscrit une organisation jours après sa désinscription. Si une organisation était auparavant auprès d'un fournisseur EMM différent, les ID utilisateur des utilisateurs gérés par un fournisseur EMM créés par vous ne pourrez pas y accéder. En effet, ces ID utilisateur sont Propre à la solution EMM.

Supprimer

Un administrateur informatique peut supprimer son organisation de Google Play d'entreprise. Dans un délai de 24 jours heures de données, comptes, licences et autres l'accès aux ressources devient inaccessible à l'administrateur, aux utilisateurs finaux et à vous-même. En tant que résultat, vos appels d'API renverront un code d'état de réponse HTTP 404 Not Found pour le paramètre enterpriseId. Pour gérer cette erreur dans votre console EMM, demandez à l'administrateur informatique de confirmer avant de supprimer toute association avec organisation.