Per registrare una nuova organizzazione tramite la console EMM, devi creare un
di Google Cloud. Un
Enterprises
risorsa rappresenta
l'associazione tra un EMM e un'organizzazione. Puoi utilizzare un'istanza per
le operazioni richiamate
per conto dell'organizzazione.
L'API Play EMM offre tre modi per creare un'istanza di associazione aziendale:
Registrazione ai domini Google gestiti - Questo metodo può essere utilizzato al posto di entrambi gli altri metodi. Le organizzazioni con un organizzazione e dominio Google gestiti esistenti con cui non hai mai lavorato Google utilizzerà la stessa UI per la registrazione. Il percorso che intraprendono attraverso l'interfaccia utente variano a seconda della situazione e delle esigenze. L'organizzazione non deve ottenere un token EMM in anticipo.
Registrazione ad account Google Play gestiti - Un'organizzazione vuole utilizzare account della versione gestita di Google Play. Puoi integrare L'UI di Google per la registrazione su Android con la tua console EMM e fornisce alle organizzazioni una un modo rapido per creare un'istanza di associazione aziendale che le associa il provider EMM. In questo modo vengono attivati gli account della versione gestita di Google Play per utenti e dispositivi. Questo approccio è talvolta indicato come avviato da EMM nell'API documentazione. Questo metodo è stato ritirato a favore del dominio Google gestito di registrazione precedente.
Registrazione dei domini Google gestiti - Un'organizzazione dispone già di un dominio Google gestito. Amministratori IT completati diverse attività manuali, come la verifica della proprietà del dominio con Google, l'ottenimento un token EMM e la creazione di un account di servizio aziendale. Questo approccio è a volte indicato come avviato da Google nella documentazione dell'API.
Puoi supportare entrambi gli approcci nella tua console EMM utilizzando il
Enterprises
. Tabella 1
mostra i campi e le operazioni pertinenti di questa risorsa per l'associazione
le organizzazioni ai provider EMM.
Tabella 1: API Enterprise e processi di associazione alternativi
Account Google Play gestiti per l'azienda | Dominio Google gestito | Descrizione | |
---|---|---|---|
Campo | |||
id | Identificatore univoco per l'organizzazione, restituito dalle chiamate enroll e completeSignup. | ||
kind | Identifica il tipo di risorsa utilizzando un valore di stringa fisso, ↗androidenterprise#enterprisehandling. | ||
nome | Organizzazione associata
con l'oggetto enterprise . | ||
primaryDomain | Non impostato | Perché gli account Google Play gestiti per l'azienda non sono collegati al modello di dominio Google, questo campo è pertinente solo per le versioni gestite domini. | |
amministratore[] | No imposta | L'amministratore IT che si registra ad Android utilizzando il La procedura di registrazione avviata da EMM diventa l'amministratore (proprietario) della di Google Cloud. Utilizzando la versione gestita di Google Play Console, l'amministratore IT può invitare ad altri utenti dell'organizzazione per partecipare ad attività di amministrazione. Consulta Versione gestita di Google Centro assistenza Google Play. | |
administrator[].email | Non impostato | ||
Metodi | |||
completeSignup | Data un completionToken
e enterpriseToken , restituisce una risorsa Enterprise nel
corpo della risposta. | ||
generateSignupUrl | Dato un callbackUrl ,
restituisce un URL e un completionToken . | ||
Registra | Registra il chiamante con l'EMM la cui viene inviato insieme alla richiesta. | ||
getServiceAccount | Restituisce un account di servizio e e credenziali. | ||
setAccount | Imposta l'account che verrà utilizzato devono eseguire l'autenticazione nell'API come per l'azienda. | ||
annullare registrazione | I provider EMM possono separare l'associazione tipo di azienda che utilizza l'annullamento della registrazione. Deve essere richiamato utilizzando gli EMM credenziali per l'MSA, non per le credenziali ESA. |
Registrazione agli account della versione gestita di Google Play
Questo metodo di registrazione è obsoleto. Utilizza la registrazione a un dominio Google gestito.
Registrazione ai domini Google gestiti
Puoi integrare la procedura di registrazione nella console EMM:
.Un amministratore IT avvia il processo di creazione di un'azienda. Per farlo, l'IT amministratore:
- Accedi alla console EMM.
- Fa clic o seleziona (ad esempio, Configura Android) e viene reindirizzato a una UI di registrazione ospitata da Google.
- Fornisce dettagli sull'azienda nella UI di registrazione.
- Viene reindirizzato alla tua console EMM.
L'indirizzo email dell'amministratore IT è ora collegato a un Account Google amministratore per un dominio Google gestito.
Best practice: segui le Norme sulla sicurezza di Google linee guida per aiutarti a mantenere la sicurezza dell'account amministratore.
Prerequisiti
Per gli amministratori IT
L'accesso alla tua console EMM e le autorizzazioni necessarie per apportare selezione nella console (ad esempio, Gestisci Android, come opzione di menu).
Un indirizzo email di lavoro. Deve far parte di un dominio di proprietà organizzazione, non un dominio condiviso come Gmail.com
Per la tua console EMM
Per implementare il flusso di registrazione del dominio Google gestito, la console EMM deve essere in grado di:
Utilizza le tue credenziali MSA quando richiami chiamate sulle API EMM di Play. Il tuo MSA viene utilizzato per richiamare molte delle operazioni per conto di un amministratore IT fino a quando l'account di servizio aziendale (ESA) dell'organizzazione.
Gestisci il reindirizzamento tramite un URL sicuro a un sito esterno fornito da Google per avvia la procedura di registrazione e completa la procedura di registrazione.
Essere configurabili con credenziali ESA dopo la registrazione. Poiché il tuo provider EMM può essere usata per creare molte aziende all'interno del database devi trovare un modo per associare ogni
enterpriseId
al proprio servizio e credenziali dell'account di servizio. Valuta la possibilità di creare account di servizio organizzazione chiamando il numeroEnterprises.getServiceAccount
e la gestione delle chiavi API diServiceaccountkeys
. Consulta Creare account di servizio aziendali in modo programmatico per ulteriori informazioni.
La procedura di registrazione di Android richiede di fornire un servizio sicuro (https) per per l'utilizzo da parte della console in fase di runtime. L'URL a questo servizio sicuro può essere un URL locale e può includere dati di identificazione univoci relativi alla sessione o altre, purché siano formato in modo che il sistema possa analizzarlo. Ad esempio:
https://localhost:8080/enrollmentcomplete?session=12345
Procedura di registrazione
La procedura di registrazione è progettata per richiedere meno di cinque minuti. I passaggi che seguono
presupponi che il server che ospita callbackUrl
sia attivo e in esecuzione. Questi passaggi
supporre inoltre che la console includa un componente dell'interfaccia utente, ad esempio una selezione di menu
con l'opzione Gestisci Android, che avvia la procedura di registrazione quando
l'amministratore IT autenticato seleziona l'opzione.
- .
Un amministratore IT avvia una richiesta di registrazione nella tua console EMM.
Chiama il numero
Enterprises.generateSignupUrl
concallbackURL
come unico parametro. Esempio:https://localhost:8080/enrollcomplete?session=12345
La risposta conterrà un URL di registrazione (valido per 30 minuti) e un token di completamento. Estrai e salva il token di completamento.
Best practice: associa il token di completamento all'amministratore IT che ha avviato la registrazione.
Estrai il valore
url
dalla rispostagenerateSignupURL
.Reindirizza all'URL estratto nel passaggio 4.
L'amministratore IT segue il flusso di configurazione nell'interfaccia utente di registrazione per creare associazione aziendale:
L'amministratore IT inserisce i dettagli su se stesso e sulla sua organizzazione e imposta una password se non ha già un Account Google.
All'amministratore IT viene mostrato il nome EMM e conferma che organizzazione sarà vincolata a questo EMM.
L'amministratore IT accetta i Termini di servizio di Google.
L'interfaccia utente di registrazione genera un URL di callback in base all'URL specificato al passaggio 2.
L'interfaccia utente di registrazione reindirizza l'amministratore IT all'URL di callback. Estrai e salva il token aziendale all'URL. Esempio:
https://localhost:8080/enrollcomplete?session=12345&enterpriseToken=5h3jCC903lop1
Chiama il numero
Enterprises.completeSignup
, superandocompletionToken
(passaggio 3) eenterpriseToken
(passaggio 8).La chiamata restituisce un Istanza
Enterprises
nel corpo della risposta. Archivia l'indirizzo emailid
,name
e l'email dell'amministratore (se presenti) per uso futuro.Creare un account di servizio aziendale (ESA). Le credenziali ESA assumono la forma di un indirizzo email e una chiave privata. Esistono due modi per creare un'ESA:
- Best practice: crea l'ESA in modo programmatico, tramite l'API EMM di Play.
- Visualizza una pagina che indica all'amministratore IT di creare un'ESA nella nella console API. Consulta la sezione Creazione di un servizio Account per informazioni più dettagliate (chiedi all'amministratore di selezionare progetto > Editor come ruolo e controlla il download della chiave privata. ). Dopo che l'amministratore IT ha creato un'ESA, configura la console con le credenziali della chiave privata dell'ESA
Utilizzando le tue credenziali MSA, chiama
setAccount
per impostare l'ESA per questa organizzazione.
La procedura di registrazione è stata completata
- Il nuovo dominio Google gestito è associato al tuo EMM.
- L'Account Google dell'amministratore IT è configurato come amministratore del dominio e possono accedere a https://play.google.com/work per e gestire le app dell'organizzazione.
- La tua console EMM può utilizzare l'ESA per gestire i dati dell'organizzazione tramite l'API EMM di Google Play.
Creare ESA in modo programmatico
Per semplificare la gestione delle chiavi per le ESA, utilizza l'API EMM di Google Play per generare gli account di servizio delle organizzazioni anziché la console Google Cloud. Servizio generati tramite l'API Play EMM:
- Non sono visibili in nessun progetto della console Cloud appartenente a te o l'organizzazione; devono essere gestiti in modo programmatico.
- Vengono eliminati quando annullare la registrazione il dell'organizzazione.
Per generare un account di servizio in modo programmatico:
Chiama il numero
Enterprises.getServiceAccount
conenterpriseId
(vedi il passaggio 10 nella sezione Registrazione ) e specifica il tipo di chiave (keyType
) che vuoi (googleCredentials, pkcs12). Il sistema restituisce il nome di un account di servizio e una chiave privata per il servizio. (negli stessi formati restituiti dalla console API di Google).Chiama il numero
Enterprises.setAccount
e impostare l'account di servizio per l'organizzazione.
Best practice:richiedi all'amministratore IT di modificare le credenziali dell'ESA. Da fare
questo nella tua console EMM, usa l'ESA esistente per chiamare setAccount
.
Gestisci chiavi account di servizio
Gli account di servizio restituiti
Enterprises.getServiceAccount
vengono creati in modo trasparente da Google. In qualità di EMM, non hai accesso a questi
. Tuttavia, puoi integrare
Serviceaccountkeys
nella console per consentire alle organizzazioni di gestire la propria
e le chiavi ESA generate in modo programmatico.
L'API Serviceaccountkeys
consente a un'organizzazione di inserire, eliminare ed elencare le credenziali attive
i propri account di servizio. Queste API devono essere richiamate mentre sono autorizzate come ESA
impostato per l'organizzazione e che l'ESA deve essere stata generata
da getServiceAccount
. In altre parole, dopo che un'organizzazione ha chiamato
Enterprises.setAccount
(utilizzando l'account di servizio generato
Enterprises.getServiceAccount
),
solo questa organizzazione è autorizzata a richiamare chiamate sul
l'API Serviceaccountkeys per
gestire l'account.
Tabella 2. API Serviceaccountkeys
Campi | |
id | Un identificatore di stringa univoco opaco per ServiceAccountKey assegnate dal server. |
kind | Identifica la risorsa utilizzando la stringa fissa
androidenterprise#serviceAccountKey . |
tipo | Formato file dei dati chiave generati. Valori accettati:
|
dati | Una stringa che comprende il corpo delle credenziali private . Compilato al momento della creazione. Non memorizzati da Google. |
Metodi | |
elimina | Rimuovi e invalida le credenziali specificate per il
account di servizio (specificato con enterpriseId e keyId ).
|
insert | Genera nuove credenziali per l'account di servizio associati all'azienda. |
list | Elenca tutte le credenziali attive per l'account di servizio associati all'azienda. Restituisce solo l'ID e il tipo di chiave. |
Notifiche
Puoi ricevere notifiche da ESA generate in modo programmatico
chiamata al numero Enterprises.pullNotificationSet
.
Vedi Configurare le notifiche EMM.
per ulteriori informazioni.
Registrazione dei domini Google gestiti
Per gestire i dispositivi appartenenti a un dominio Google gestito, devi stabilire un (nota come associazione) tra la console EMM, l'organizzazione e in tutti i canali Google.
Prerequisiti
L'organizzazione deve disporre di un dominio Google gestito, di un token di registrazione EMM e Enterprise Service Account (ESA). Istruzioni per gli amministratori IT su come ottenere questi dettagli sono disponibili nella Guida di Android Enterprise assistenza.
Dominio Google gestito
Se l'amministratore IT dell'organizzazione ha rivendicato un account gestito dominio quando si sono registrati a Google Workspace, possono attivare Android dalla Console di amministrazione Google. Se l'organizzazione non dispone di un dominio Google gestito, l'amministratore IT deve accedere procedura di registrazione con Google.
Token EMM
Gli amministratori IT possono ottenere un token EMM Console di amministrazione Google (in Dispositivi > Dispositivi mobili e Endpoint > Impostazioni > integrazioni di terze parti).
ESA
L'amministratore IT della tua organizzazione può creare l'ESA, in genere tramite su un progetto associato alla tua console EMM. ESA Abbiano un nome, un ID e una chiave che autentica l'account per le azioni intraprese per loro conto. Il formato dell'ID è simile a quello dell'indirizzo email, con il valore nome dell'account di servizio che precede il simbolo @ e il nome del progetto seguenti, insieme alle informazioni sui servizi Google (ad esempio, some-orgs-esa@myemmconsole313302.iam.gserviceaccount.com).
Procedura di registrazione
- Un amministratore IT riceve un token EMM dalla Console di amministrazione Google.
- L'amministratore IT condivide con te il token EMM, che ti autorizza a gestire Android sul suo dominio.
- Tramite la console EMM, utilizza il token EMM per chiamare
Enterprises.enroll
In questo modo la soluzione Android dell'organizzazione viene vincolata al dominio Google dell'organizzazione.- Il metodo
enroll
restituisce un valoreenterpriseId
univoco, che puoi recuperare in un secondo momento (solo per i domini Google gestiti) utilizzandolist
. - Facoltativamente, puoi memorizzare le informazioni sull'associazione (
enterpriseId
,primaryDomain
) in un datastore per evitare di effettuare chiamate API per ottenerle i dettagli. In uno scenario relativo agli Account Google, ilprimaryDomain
dell'organizzazione è la chiave univoca che identifica l'organizzazione per l'EMM e per in tutti i canali Google.
- Il metodo
- Per effettuare chiamate specifiche per l'organizzazione all'API EMM di Google Play:
- Puoi creare un'ESA per conto dell'organizzazione oppure un amministratore l'ESA e la condivide con te.
- Tramite la console EMM, chiama
setAccount
, conenterpriseId
e l'indirizzo email dell'ESA. Ciò consente all'ESA per eseguire l'autenticazione nell'API come azienda.
Esempio
Ecco un esempio che registra un'organizzazione, dato un primaryDomainName
,
serviceAccountEmail
e authenticationToken
:
public void bind(String primaryDomainName, String serviceAccountEmail, String authenticationToken) throws IOException { Enterprise enterprise = new Enterprise(); enterprise.setPrimaryDomain(primaryDomainName); Enterprise result = androidEnterprise.enterprises() .enroll(authenticationToken, enterprise) .execute(); EnterpriseAccount enterpriseAccount = new EnterpriseAccount(); enterpriseAccount.setAccountEmail(serviceAccountEmail); androidEnterprise.enterprises() .setAccount(result.getId(), enterpriseAccount) .execute(); }
Questo esempio utilizza la libreria client per Java e
AndroidEnterprise
classe di servizio dal
com.google.api.services.androidenterprise.model
pacchetto. La procedura mostrata nell'esempio può essere riassunta nei seguenti passaggi:
- Crea un nuovo oggetto
AndroidEnterprise
con i parametri fornita dabind
, una classe di modello contenente il nome di dominio principale, l'indirizzo email dell'account di servizio e il token di registrazione EMM. - Specifica il nome di dominio principale dell'oggetto Enterprise appena creato.
- Chiama il metodo di registrazione, fornendo l'oggetto aziendale e il token di registrazione.
- Crea un nuovo oggetto EnterpriseAccount con l'ID ESA del cliente
(
serviceAccountEmail
) - Imposta l'account fornendo entrambi gli attributi
enterpriseId
(restituiti nel passaggio 3) eenterpriseAccount
campi.
Facoltativamente, puoi memorizzare le informazioni sull'associazione (enterpriseId
,
primaryDomain
) in un datastore per evitare di effettuare chiamate API per ottenerle
i dettagli. In uno scenario degli Account Google, il primaryDomain
dell'organizzazione è
la chiave univoca che identifica l'organizzazione per l'EMM e Google.
configura un deployment on-premise
Se un'organizzazione richiede che i suoi dati rimangano sul sito e inaccessibili a te, assicurarsi che i server non vedano mai un set di credenziali attivo per l'ESA. Per farlo, genera e memorizza un set di credenziali ESA sul sito:
- Completa il flusso di registrazione:
- .
- Come mostrato nel passaggio 11, utilizza l'MSA per chiamare
getServiceAccount
. Questo genera le credenziali ESA. - Come mostrato nel passaggio 12, utilizza
setAccount
sull'ESA per impostarla come ESA per questa organizzazione.
- Come mostrato nel passaggio 11, utilizza l'MSA per chiamare
- Passa l'ESA al server on-premise dell'organizzazione.
- Segui questi passaggi sul server on-premise :
- Chiama il numero
Serviceaccountkeys.insert
per creare un nuovo chiave per l'ESA. Questa chiave privata non è archiviata sui server di Google e viene restituito solo una volta, al momento della creazione dell'account. Non è accessibile dall'altro lato. - Utilizza le nuove credenziali ESA per chiamare
Serviceaccountkeys.list
Verranno restituite le credenziali dell'account di servizio attivo. - Chiama
Serviceaccountkeys.delete
per eliminare tutte le credenziali tranne le credenziali ESA che erano appena creato on-premise. - (Facoltativo) Chiama
Serviceaccountkeys.list
per verificare che le credenziali attualmente in uso on-premise siano le uniche e credenziali valide per l'account di servizio.
- Chiama il numero
Ora il server on-premise è l'unico server con le credenziali ESA. Solo un
L'ESA generata tramite getServiceAccount
può accedere
ServiceAccountKeys
, il tuo MSA non è autorizzato a chiamarlo.
Best practice: non archiviare le credenziali dell'account di servizio principale (MSA) su locali. Usa un'ESA separata per ogni deployment on-premise.
Annullare la registrazione, ripetere la registrazione o eliminare un'associazione aziendale
Annulla registrazione
Per svincolare un'organizzazione dalla tua soluzione EMM, utilizza
unenroll
Un'azienda
l'associazione non viene eliminata quando viene annullata la registrazione, ma i relativi utenti gestiti da EMM e tutti
i relativi dati utente vengono eliminati dopo 30 giorni. Ecco un esempio
implementazione:
public void unbind(String enterpriseId) throws IOException {
androidEnterprise.enterprises().unenroll(enterpriseId).execute();
}
Best practice: se hai un datastore per nome dell'organizzazione e azienda
mapping degli ID di associazione, elimina le informazioni dal datastore dopo aver chiamato
unenroll
.
Iscriviti di nuovo
Un amministratore IT può registrare di nuovo un'azienda utilizzando il proprio enterpriseId
esistente. A
farlo, accede con un account a livello di proprietario e segue le istruzioni di registrazione
.
Il flusso di nuova registrazione è trasparente dal tuo punto di vista: non è possibile in alcun modo determinare se il token aziendale restituito nell'URL di reindirizzamento (passaggio 8) proviene da una nuova organizzazione o un'organizzazione che è stata precedentemente registrata con un'altra organizzazione. EMM
Se un'organizzazione è stata precedentemente registrata con la tua soluzione EMM, potresti in grado di riconoscere l'ID associazione aziendale. Puoi ripristinare gli utenti gestiti da EMM e dati utente correlati, se un amministratore IT registra di nuovo un'organizzazione per non più di 30 giorni dopo l'annullamento della tua registrazione. Se in precedenza un'organizzazione registrati con un altro EMM, gli ID utente degli utenti gestiti da EMM creati non saranno accessibili per te. Il motivo è che gli ID utente sono specifici per EMM.
Elimina
Un amministratore IT può eliminare la propria organizzazione dalla versione gestita di Google Play. Entro 24
orari, l'assegnazione delle licenze, gli account e i dati dell'organizzazione
le risorse vengono rese inaccessibili all'amministratore, agli utenti finali e a te. Come
le chiamate API restituiranno un codice di stato della risposta 404 Not Found
HTTP
per il parametro enterpriseId
. Per gestire questo errore nella tua console EMM,
chiedere conferma all'amministratore IT prima di rimuovere qualsiasi associazione con
dell'organizzazione.