Crea un'associazione aziendale

Per registrare una nuova organizzazione tramite la console EMM, devi creare un di Google Cloud. Un Enterprises risorsa rappresenta l'associazione tra un EMM e un'organizzazione. Puoi utilizzare un'istanza per le operazioni richiamate per conto dell'organizzazione.

L'API Play EMM offre tre modi per creare un'istanza di associazione aziendale:

  • Registrazione ai domini Google gestiti - Questo metodo può essere utilizzato al posto di entrambi gli altri metodi. Le organizzazioni con un organizzazione e dominio Google gestiti esistenti con cui non hai mai lavorato Google utilizzerà la stessa UI per la registrazione. Il percorso che intraprendono attraverso l'interfaccia utente variano a seconda della situazione e delle esigenze. L'organizzazione non deve ottenere un token EMM in anticipo.

  • Registrazione ad account Google Play gestiti - Un'organizzazione vuole utilizzare account della versione gestita di Google Play. Puoi integrare L'UI di Google per la registrazione su Android con la tua console EMM e fornisce alle organizzazioni una un modo rapido per creare un'istanza di associazione aziendale che le associa il provider EMM. In questo modo vengono attivati gli account della versione gestita di Google Play per utenti e dispositivi. Questo approccio è talvolta indicato come avviato da EMM nell'API documentazione. Questo metodo è stato ritirato a favore del dominio Google gestito di registrazione precedente.

  • Registrazione dei domini Google gestiti - Un'organizzazione dispone già di un dominio Google gestito. Amministratori IT completati diverse attività manuali, come la verifica della proprietà del dominio con Google, l'ottenimento un token EMM e la creazione di un account di servizio aziendale. Questo approccio è a volte indicato come avviato da Google nella documentazione dell'API.

Puoi supportare entrambi gli approcci nella tua console EMM utilizzando il Enterprises. Tabella 1 mostra i campi e le operazioni pertinenti di questa risorsa per l'associazione le organizzazioni ai provider EMM.

Tabella 1: API Enterprise e processi di associazione alternativi

 Account Google Play gestiti per l'aziendaDominio Google gestito Descrizione
Campo
id Identificatore univoco per l'organizzazione, restituito dalle chiamate enroll e completeSignup.
kind Identifica il tipo di risorsa utilizzando un valore di stringa fisso, ↗androidenterprise#enterprisehandling.
nome Organizzazione associata con l'oggetto enterprise.
primaryDomainNon impostato Perché gli account Google Play gestiti per l'azienda non sono collegati al modello di dominio Google, questo campo è pertinente solo per le versioni gestite domini.
amministratore[]No impostaL'amministratore IT che si registra ad Android utilizzando il La procedura di registrazione avviata da EMM diventa l'amministratore (proprietario) della di Google Cloud. Utilizzando la versione gestita di Google Play Console, l'amministratore IT può invitare ad altri utenti dell'organizzazione per partecipare ad attività di amministrazione. Consulta Versione gestita di Google Centro assistenza Google Play.
administrator[].email Non impostato
Metodi
completeSignup Data un completionToken e enterpriseToken, restituisce una risorsa Enterprise nel corpo della risposta.
generateSignupUrl Dato un callbackUrl, restituisce un URL e un completionToken.
Registra Registra il chiamante con l'EMM la cui viene inviato insieme alla richiesta.
getServiceAccount Restituisce un account di servizio e e credenziali.
setAccount Imposta l'account che verrà utilizzato devono eseguire l'autenticazione nell'API come per l'azienda.
annullare registrazione I provider EMM possono separare l'associazione tipo di azienda che utilizza l'annullamento della registrazione. Deve essere richiamato utilizzando gli EMM credenziali per l'MSA, non per le credenziali ESA.

Registrazione agli account della versione gestita di Google Play

Questo metodo di registrazione è obsoleto. Utilizza la registrazione a un dominio Google gestito.

Registrazione ai domini Google gestiti

Puoi integrare la procedura di registrazione nella console EMM:

Registrazione come amministratore degli account della versione gestita di Google Play
Figura 1. Registrazione ai domini Google gestiti flusso di lavoro
.

Un amministratore IT avvia il processo di creazione di un'azienda. Per farlo, l'IT amministratore:

  1. Accedi alla console EMM.
  2. Fa clic o seleziona (ad esempio, Configura Android) e viene reindirizzato a una UI di registrazione ospitata da Google.
  3. Fornisce dettagli sull'azienda nella UI di registrazione.
  4. Viene reindirizzato alla tua console EMM.

L'indirizzo email dell'amministratore IT è ora collegato a un Account Google amministratore per un dominio Google gestito.

Best practice: segui le Norme sulla sicurezza di Google linee guida per aiutarti a mantenere la sicurezza dell'account amministratore.

Prerequisiti

Per gli amministratori IT

  • L'accesso alla tua console EMM e le autorizzazioni necessarie per apportare selezione nella console (ad esempio, Gestisci Android, come opzione di menu).

  • Un indirizzo email di lavoro. Deve far parte di un dominio di proprietà organizzazione, non un dominio condiviso come Gmail.com

di Gemini Advanced.

Per la tua console EMM

Per implementare il flusso di registrazione del dominio Google gestito, la console EMM deve essere in grado di:

  • Utilizza le tue credenziali MSA quando richiami chiamate sulle API EMM di Play. Il tuo MSA viene utilizzato per richiamare molte delle operazioni per conto di un amministratore IT fino a quando l'account di servizio aziendale (ESA) dell'organizzazione.

  • Gestisci il reindirizzamento tramite un URL sicuro a un sito esterno fornito da Google per avvia la procedura di registrazione e completa la procedura di registrazione.

  • Essere configurabili con credenziali ESA dopo la registrazione. Poiché il tuo provider EMM può essere usata per creare molte aziende all'interno del database devi trovare un modo per associare ogni enterpriseId al proprio servizio e credenziali dell'account di servizio. Valuta la possibilità di creare account di servizio organizzazione chiamando il numero Enterprises.getServiceAccount e la gestione delle chiavi API di Serviceaccountkeys. Consulta Creare account di servizio aziendali in modo programmatico per ulteriori informazioni.

La procedura di registrazione di Android richiede di fornire un servizio sicuro (https) per per l'utilizzo da parte della console in fase di runtime. L'URL a questo servizio sicuro può essere un URL locale e può includere dati di identificazione univoci relativi alla sessione o altre, purché siano formato in modo che il sistema possa analizzarlo. Ad esempio:

https://localhost:8080/enrollmentcomplete?session=12345

Procedura di registrazione

La procedura di registrazione è progettata per richiedere meno di cinque minuti. I passaggi che seguono presupponi che il server che ospita callbackUrl sia attivo e in esecuzione. Questi passaggi supporre inoltre che la console includa un componente dell'interfaccia utente, ad esempio una selezione di menu con l'opzione Gestisci Android, che avvia la procedura di registrazione quando l'amministratore IT autenticato seleziona l'opzione.

Procedura di 12 passaggi per registrare un account Google Play gestito
azienda
Figura 2. Procedura in 12 passaggi per creare un'associazione a un dominio Google
.
    .
  1. Un amministratore IT avvia una richiesta di registrazione nella tua console EMM.

  2. Chiama il numero Enterprises.generateSignupUrl con callbackURL come unico parametro. Esempio:

    https://localhost:8080/enrollcomplete?session=12345

  3. La risposta conterrà un URL di registrazione (valido per 30 minuti) e un token di completamento. Estrai e salva il token di completamento.

    Best practice: associa il token di completamento all'amministratore IT che ha avviato la registrazione.

  4. Estrai il valore url dalla risposta generateSignupURL.

  5. Reindirizza all'URL estratto nel passaggio 4.

  6. L'amministratore IT segue il flusso di configurazione nell'interfaccia utente di registrazione per creare associazione aziendale:

    1. L'amministratore IT inserisce i dettagli su se stesso e sulla sua organizzazione e imposta una password se non ha già un Account Google.

    2. All'amministratore IT viene mostrato il nome EMM e conferma che organizzazione sarà vincolata a questo EMM.

    3. L'amministratore IT accetta i Termini di servizio di Google.

  7. L'interfaccia utente di registrazione genera un URL di callback in base all'URL specificato al passaggio 2.

  8. L'interfaccia utente di registrazione reindirizza l'amministratore IT all'URL di callback. Estrai e salva il token aziendale all'URL. Esempio:

    https://localhost:8080/enrollcomplete?session=12345&enterpriseToken=5h3jCC903lop1

  9. Chiama il numero Enterprises.completeSignup, superando completionToken (passaggio 3) e enterpriseToken (passaggio 8).

  10. La chiamata restituisce un Istanza Enterprises nel corpo della risposta. Archivia l'indirizzo email id, name e l'email dell'amministratore (se presenti) per uso futuro.

  11. Creare un account di servizio aziendale (ESA). Le credenziali ESA assumono la forma di un indirizzo email e una chiave privata. Esistono due modi per creare un'ESA:

    • Best practice: crea l'ESA in modo programmatico, tramite l'API EMM di Play.
    • Visualizza una pagina che indica all'amministratore IT di creare un'ESA nella nella console API. Consulta la sezione Creazione di un servizio Account per informazioni più dettagliate (chiedi all'amministratore di selezionare progetto > Editor come ruolo e controlla il download della chiave privata. ). Dopo che l'amministratore IT ha creato un'ESA, configura la console con le credenziali della chiave privata dell'ESA
  12. Utilizzando le tue credenziali MSA, chiama setAccount per impostare l'ESA per questa organizzazione.

La procedura di registrazione è stata completata

  • Il nuovo dominio Google gestito è associato al tuo EMM.
  • L'Account Google dell'amministratore IT è configurato come amministratore del dominio e possono accedere a https://play.google.com/work per e gestire le app dell'organizzazione.
  • La tua console EMM può utilizzare l'ESA per gestire i dati dell'organizzazione tramite l'API EMM di Google Play.

Creare ESA in modo programmatico

Per semplificare la gestione delle chiavi per le ESA, utilizza l'API EMM di Google Play per generare gli account di servizio delle organizzazioni anziché la console Google Cloud. Servizio generati tramite l'API Play EMM:

  • Non sono visibili in nessun progetto della console Cloud appartenente a te o l'organizzazione; devono essere gestiti in modo programmatico.
  • Vengono eliminati quando annullare la registrazione il dell'organizzazione.

Per generare un account di servizio in modo programmatico:

  1. Chiama il numero Enterprises.getServiceAccount con enterpriseId (vedi il passaggio 10 nella sezione Registrazione ) e specifica il tipo di chiave (keyType) che vuoi (googleCredentials, pkcs12). Il sistema restituisce il nome di un account di servizio e una chiave privata per il servizio. (negli stessi formati restituiti dalla console API di Google).

  2. Chiama il numero Enterprises.setAccount e impostare l'account di servizio per l'organizzazione.

Best practice:richiedi all'amministratore IT di modificare le credenziali dell'ESA. Da fare questo nella tua console EMM, usa l'ESA esistente per chiamare setAccount.

Gestisci chiavi account di servizio

Gli account di servizio restituiti Enterprises.getServiceAccount vengono creati in modo trasparente da Google. In qualità di EMM, non hai accesso a questi . Tuttavia, puoi integrare Serviceaccountkeys nella console per consentire alle organizzazioni di gestire la propria e le chiavi ESA generate in modo programmatico.

L'API Serviceaccountkeys consente a un'organizzazione di inserire, eliminare ed elencare le credenziali attive i propri account di servizio. Queste API devono essere richiamate mentre sono autorizzate come ESA impostato per l'organizzazione e che l'ESA deve essere stata generata da getServiceAccount. In altre parole, dopo che un'organizzazione ha chiamato Enterprises.setAccount (utilizzando l'account di servizio generato Enterprises.getServiceAccount), solo questa organizzazione è autorizzata a richiamare chiamate sul l'API Serviceaccountkeys per gestire l'account.

Tabella 2. API Serviceaccountkeys

Campi
idUn identificatore di stringa univoco opaco per ServiceAccountKey assegnate dal server.
kindIdentifica la risorsa utilizzando la stringa fissa androidenterprise#serviceAccountKey.
tipoFormato file dei dati chiave generati. Valori accettati:
  • googleCredentials
  • pkcs12
datiUna stringa che comprende il corpo delle credenziali private . Compilato al momento della creazione. Non memorizzati da Google.
Metodi
eliminaRimuovi e invalida le credenziali specificate per il account di servizio (specificato con enterpriseId e keyId).
insertGenera nuove credenziali per l'account di servizio associati all'azienda.
listElenca tutte le credenziali attive per l'account di servizio associati all'azienda. Restituisce solo l'ID e il tipo di chiave.

Notifiche

Puoi ricevere notifiche da ESA generate in modo programmatico chiamata al numero Enterprises.pullNotificationSet. Vedi Configurare le notifiche EMM. per ulteriori informazioni.

Registrazione dei domini Google gestiti

Per gestire i dispositivi appartenenti a un dominio Google gestito, devi stabilire un (nota come associazione) tra la console EMM, l'organizzazione e in tutti i canali Google.

Prerequisiti

L'organizzazione deve disporre di un dominio Google gestito, di un token di registrazione EMM e Enterprise Service Account (ESA). Istruzioni per gli amministratori IT su come ottenere questi dettagli sono disponibili nella Guida di Android Enterprise assistenza.

Dominio Google gestito

Se l'amministratore IT dell'organizzazione ha rivendicato un account gestito dominio quando si sono registrati a Google Workspace, possono attivare Android dalla Console di amministrazione Google. Se l'organizzazione non dispone di un dominio Google gestito, l'amministratore IT deve accedere procedura di registrazione con Google.

Token EMM

Gli amministratori IT possono ottenere un token EMM Console di amministrazione Google (in Dispositivi > Dispositivi mobili e Endpoint > Impostazioni > integrazioni di terze parti).

ESA

L'amministratore IT della tua organizzazione può creare l'ESA, in genere tramite su un progetto associato alla tua console EMM. ESA Abbiano un nome, un ID e una chiave che autentica l'account per le azioni intraprese per loro conto. Il formato dell'ID è simile a quello dell'indirizzo email, con il valore nome dell'account di servizio che precede il simbolo @ e il nome del progetto seguenti, insieme alle informazioni sui servizi Google (ad esempio, some-orgs-esa@myemmconsole313302.iam.gserviceaccount.com).

Procedura di registrazione

  1. Un amministratore IT riceve un token EMM dalla Console di amministrazione Google.
  2. L'amministratore IT condivide con te il token EMM, che ti autorizza a gestire Android sul suo dominio.
  3. Tramite la console EMM, utilizza il token EMM per chiamare Enterprises.enroll In questo modo la soluzione Android dell'organizzazione viene vincolata al dominio Google dell'organizzazione.
    • Il metodo enroll restituisce un valore enterpriseId univoco, che puoi recuperare in un secondo momento (solo per i domini Google gestiti) utilizzando list.
    • Facoltativamente, puoi memorizzare le informazioni sull'associazione (enterpriseId, primaryDomain) in un datastore per evitare di effettuare chiamate API per ottenerle i dettagli. In uno scenario relativo agli Account Google, il primaryDomain dell'organizzazione è la chiave univoca che identifica l'organizzazione per l'EMM e per in tutti i canali Google.
  4. Per effettuare chiamate specifiche per l'organizzazione all'API EMM di Google Play:
    • Puoi creare un'ESA per conto dell'organizzazione oppure un amministratore l'ESA e la condivide con te.
    • Tramite la console EMM, chiama setAccount, con enterpriseId e l'indirizzo email dell'ESA. Ciò consente all'ESA per eseguire l'autenticazione nell'API come azienda.

Esempio

Ecco un esempio che registra un'organizzazione, dato un primaryDomainName, serviceAccountEmail e authenticationToken:

    public void bind(String primaryDomainName, String serviceAccountEmail,
        String authenticationToken) throws IOException {

      Enterprise enterprise = new Enterprise();
      enterprise.setPrimaryDomain(primaryDomainName);

      Enterprise result = androidEnterprise.enterprises()
          .enroll(authenticationToken, enterprise)
          .execute();

      EnterpriseAccount enterpriseAccount = new EnterpriseAccount();
      enterpriseAccount.setAccountEmail(serviceAccountEmail);
      androidEnterprise.enterprises()
          .setAccount(result.getId(), enterpriseAccount)
          .execute();
    }

Questo esempio utilizza la libreria client per Java e AndroidEnterprise classe di servizio dal com.google.api.services.androidenterprise.model pacchetto. La procedura mostrata nell'esempio può essere riassunta nei seguenti passaggi:

  1. Crea un nuovo oggetto AndroidEnterprise con i parametri fornita da bind, una classe di modello contenente il nome di dominio principale, l'indirizzo email dell'account di servizio e il token di registrazione EMM.
  2. Specifica il nome di dominio principale dell'oggetto Enterprise appena creato.
  3. Chiama il metodo di registrazione, fornendo l'oggetto aziendale e il token di registrazione.
  4. Crea un nuovo oggetto EnterpriseAccount con l'ID ESA del cliente (serviceAccountEmail)
  5. Imposta l'account fornendo entrambi gli attributi enterpriseId (restituiti nel passaggio 3) e enterpriseAccount campi.

Facoltativamente, puoi memorizzare le informazioni sull'associazione (enterpriseId, primaryDomain) in un datastore per evitare di effettuare chiamate API per ottenerle i dettagli. In uno scenario degli Account Google, il primaryDomain dell'organizzazione è la chiave univoca che identifica l'organizzazione per l'EMM e Google.

configura un deployment on-premise

Se un'organizzazione richiede che i suoi dati rimangano sul sito e inaccessibili a te, assicurarsi che i server non vedano mai un set di credenziali attivo per l'ESA. Per farlo, genera e memorizza un set di credenziali ESA sul sito:

  1. Completa il flusso di registrazione:
      .
    1. Come mostrato nel passaggio 11, utilizza l'MSA per chiamare getServiceAccount. Questo genera le credenziali ESA.
    2. Come mostrato nel passaggio 12, utilizza setAccount sull'ESA per impostarla come ESA per questa organizzazione.
  2. Passa l'ESA al server on-premise dell'organizzazione.
  3. Segui questi passaggi sul server on-premise :
    1. Chiama il numero Serviceaccountkeys.insert per creare un nuovo chiave per l'ESA. Questa chiave privata non è archiviata sui server di Google e viene restituito solo una volta, al momento della creazione dell'account. Non è accessibile dall'altro lato.
    2. Utilizza le nuove credenziali ESA per chiamare Serviceaccountkeys.list Verranno restituite le credenziali dell'account di servizio attivo.
    3. Chiama Serviceaccountkeys.delete per eliminare tutte le credenziali tranne le credenziali ESA che erano appena creato on-premise.
    4. (Facoltativo) Chiama Serviceaccountkeys.list per verificare che le credenziali attualmente in uso on-premise siano le uniche e credenziali valide per l'account di servizio.

Ora il server on-premise è l'unico server con le credenziali ESA. Solo un L'ESA generata tramite getServiceAccount può accedere ServiceAccountKeys, il tuo MSA non è autorizzato a chiamarlo.

Best practice: non archiviare le credenziali dell'account di servizio principale (MSA) su locali. Usa un'ESA separata per ogni deployment on-premise.

Annullare la registrazione, ripetere la registrazione o eliminare un'associazione aziendale

Annulla registrazione

Per svincolare un'organizzazione dalla tua soluzione EMM, utilizza unenroll Un'azienda l'associazione non viene eliminata quando viene annullata la registrazione, ma i relativi utenti gestiti da EMM e tutti i relativi dati utente vengono eliminati dopo 30 giorni. Ecco un esempio implementazione:

    public void unbind(String enterpriseId) throws IOException {
      androidEnterprise.enterprises().unenroll(enterpriseId).execute();
    }

Best practice: se hai un datastore per nome dell'organizzazione e azienda mapping degli ID di associazione, elimina le informazioni dal datastore dopo aver chiamato unenroll.

Iscriviti di nuovo

Un amministratore IT può registrare di nuovo un'azienda utilizzando il proprio enterpriseId esistente. A farlo, accede con un account a livello di proprietario e segue le istruzioni di registrazione .

Il flusso di nuova registrazione è trasparente dal tuo punto di vista: non è possibile in alcun modo determinare se il token aziendale restituito nell'URL di reindirizzamento (passaggio 8) proviene da una nuova organizzazione o un'organizzazione che è stata precedentemente registrata con un'altra organizzazione. EMM

Se un'organizzazione è stata precedentemente registrata con la tua soluzione EMM, potresti in grado di riconoscere l'ID associazione aziendale. Puoi ripristinare gli utenti gestiti da EMM e dati utente correlati, se un amministratore IT registra di nuovo un'organizzazione per non più di 30 giorni dopo l'annullamento della tua registrazione. Se in precedenza un'organizzazione registrati con un altro EMM, gli ID utente degli utenti gestiti da EMM creati non saranno accessibili per te. Il motivo è che gli ID utente sono specifici per EMM.

Elimina

Un amministratore IT può eliminare la propria organizzazione dalla versione gestita di Google Play. Entro 24 orari, l'assegnazione delle licenze, gli account e i dati dell'organizzazione le risorse vengono rese inaccessibili all'amministratore, agli utenti finali e a te. Come le chiamate API restituiranno un codice di stato della risposta 404 Not Found HTTP per il parametro enterpriseId. Per gestire questo errore nella tua console EMM, chiedere conferma all'amministratore IT prima di rimuovere qualsiasi associazione con dell'organizzazione.