Provisionner des appareils

Il existe plusieurs façons de provisionner des appareils. Vos clients entreprise requises déterminent les méthodes de provisionnement à utiliser.

Principes de base de la préparation des appareils

Les scénarios de déploiement de provisionnement des appareils que vos clients souhaitent (BYOD ou entreprise) déterminent les modes de fonctionnement (par exemple, le mode Propriétaire de l'appareil ou le mode Propriétaire du profil). De même, les modes et versions d'Android nécessaires pour déterminer le provisionnement que vous allez implémenter.

Scénarios de déploiement

Dans un scénario de déploiement détenu par l'entreprise, l'entreprise détient et contrôle entièrement les appareils utilisés par ses employés. En règle générale, les organisations déploient appareils détenus par l'entreprise lorsqu'ils doivent surveiller et gérer strictement appareil.

Les entreprises qui appliquent un scénario de déploiement BYOD autorisent aux employés d'apporter leurs appareils personnels au travail et de les utiliser pour d’accéder à des informations et applications d’entreprise privilégiées.

Modes de fonctionnement

Les déploiements appartenant à l'entreprise sont compatibles avec le mode Propriétaire de l'appareil. de fonctionnement. Dans Android, votre application de gestion est appelée "Device Policy" via un contrôleur DPC. Le DPC applique des règles sur un appareil Android et lorsqu'il agit en tant que propriétaire de l'appareil, il gère l'intégralité de l'appareil. En tant que propriétaire de l'appareil, Le DPC peut effectuer des actions à l'échelle de l'appareil, telles que la configuration la connectivité, configurer les paramètres généraux et rétablir la configuration d'usine.

Les déploiements BYOD sont compatibles avec le mode propriétaire de profil opération. Grâce à la DPC, l'entreprise active des appareils personnels pour une utilisation professionnelle en ajoutant un profil professionnel au compte utilisateur principal de l'appareil. Le travail est associé à l'utilisateur principal, mais en tant que profil distinct. En tant que propriétaire du profil, le DPC ne gère que le profil professionnel sur l'appareil et a un contrôle limité en dehors du profil professionnel.

Méthodes de provisionnement du propriétaire de l'appareil

Vous devez configurer le mode de fonctionnement Propriétaire de l'appareil lors de la configuration initiale d'un appareil neuf ou après une réinitialisation d'usine. Impossible de provisionner le mode propriétaire de l'appareil sur un appareil à tout autre moment.

Selon le cas d'utilisation, il existe deux principaux types de méthodes de provisionnement le provisionnement du mode propriétaire de l'appareil.

  • Dans un flux lié à l'appareil, les administrateurs informatiques peuvent utiliser la technologie NFC pour provisionner le nombre d'appareils. Ce flux peut être utilisé pour un compte Google Play d'entreprise ou Google Workspace différents scénarios.
  • Dans un flux axé sur l'utilisateur, les options disponibles varient selon que l'organisation utilise Google Workspace.
    • Dans un scénario Google Workspace, l'utilisateur ajoute son compte Google lors de la configuration initiale de l'appareil, et le DPC doit guider l'utilisateur tout au long de la étapes pour configurer le propriétaire de l'appareil. Un flux piloté par l'utilisateur peut aider les utilisateurs finaux à définir de nouveaux appareils et constitue également une alternative lorsque les appareils ne sont pas compatibles NFC.
    • Lorsqu'une organisation n'utilise pas Google Workspace, vous devez utiliser le comptes Google Play d'entreprise.

Remarque:Si vous limitez la distribution de votre application à des pays spécifiques en Lire, ces restrictions sont ignorées lors du provisionnement du propriétaire de l'appareil. Le DPC sera téléchargé même si l'appareil ne se trouve pas dans un pays ciblé.

Méthodes de provisionnement des propriétaires de profils

La méthode recommandée pour provisionner le mode de fonctionnement "Propriétaire de la fiche" dépend pour déterminer si l'organisation utilise ou non Google Workspace.

  • Dans le cas de Google Workspace, la méthode recommandée est un flux piloté par l'utilisateur, dans lequel celui-ci ajoute son compte Google utilisateur et le DPC guide l'utilisateur à travers les étapes de configuration du propriétaire du profil.
  • Lorsqu'une organisation n'utilise pas Google Workspace, la méthode recommandée est Comptes Google Play d'entreprise.

La méthode traditionnelle, où l'utilisateur est invité à installer manuellement le DPC, est également pris en charge. Elle nécessite que l'utilisateur télécharge votre DPC à partir de Google Play et l'installe, puis le DPC guide l'utilisateur tout au long du processus pour configurer le propriétaire du profil.

Principales différences de provisionnement entre les versions d'Android

Scénario de déploiement Mode de fonctionnement Méthode de provisionnement 5,0, 5,1 6.0 7.0 8.0 11 12+
Détenu par l'entreprise Propriétaire de l'appareil Code QR
Comptes Google Play d'entreprise
Compte Google
NFC
Sans contact
Détenu par l'entreprise Propriétaire du profil Code QR
Comptes Google Play d'entreprise
Compte Google
NFC
Sans contact
BYOD Propriétaire du profil Comptes Google Play d'entreprise
Compte Google 5.11
Installation manuelle de l'outil DPC
Sans contact

Considérations générales sur l'implémentation

Voici quelques éléments à prendre en compte écrire votre DPC, quel que soit le mode de fonctionnement que vous implémentez.

Compatibilité des services Google Play

La Guide d'APK pour les services Google Play demande aux développeurs de vérifier la version des services Google Play avant des transactions via l'API. Parce que la tentative de mise à jour des services Google Play perturbe gravement le processus de configuration de l'appareil, votre DPC ne doit pas tenter de mettre à jour les services Google Play avant la fin du provisionnement de l'appareil.

Voici les points clés à retenir concernant la compatibilité de l'outil DPC avec les services Google Play:

  • Le DPC doit s'exécuter à l'aide des services Google Play fournis avec un un appareil spécifique.
  • Le DPC ne doit pas s'appuyer sur de nouvelles fonctionnalités dans les futures versions de Google Play services disponibles au moment de la mise à disposition de l’appareil.

Une fois le provisionnement de l'appareil terminé, le DPC peut inviter l'utilisateur à effectuer la mise à jour services Google Play afin que le DPC puisse utiliser les dernières fonctionnalités. Toutefois, si un fonction n'est pas disponible pour une raison quelconque, le DPC doit revenir progressivement à la version livrée avec l'appareil.

Récupérer les détails de l'appareil

En raison des délais de propagation, il peut s'écouler jusqu'à 2 minutes avant un appel vers devices.get pour un appareil nouvellement enregistré renvoie les détails de l'appareil.

Si votre flux de travail nécessite des informations détaillées avant que l'utilisateur final puisse utiliser l'appareil ou profil professionnel, nous vous suggérons d'utiliser un écran de progression dans votre DPC et d'attendre l'appel aboutit.

Remarques concernant l'implémentation du mode Propriétaire de la fiche

Voici quelques éléments à prendre en compte Rédigez votre DPC pour mettre en œuvre le propriétaire du profil. mode de fonctionnement.

Supprimer ou désactiver le DPC personnel

Lors du provisionnement du mode de fonctionnement Propriétaire du profil, l'outil DPC commence à s'exécuter dans le profil personnel et lance le processus de création d'un profil professionnel. Une fois le profil professionnel créé, le DPC s'exécute également dans la tâche profil. L'outil DPC du profil professionnel termine le processus de provisionnement. À À ce stade, le DPC du profil personnel doit se désactiver ou désactiver l'appareil l'utilisateur doit le supprimer.

L'utilisateur supprime le DPC personnel.

  1. Le DPC personnel écoute ACTION_MANAGED_PROFILE_PROVISIONED (Pour les appareils Android 5.1, le DPC personnel doit écouter à la place ACTION_MANAGED_PROFILE_ADDED).
  2. Le DPC personnel lance une demande de désinstallation ACTION_UNINSTALL_PACKAGE Cette action invite l'utilisateur à désinstaller le DPC personnel. Pour l'utilisateur optimal la désinstallation doit avoir lieu pendant le processus de provisionnement.

L'outil DPC personnel se désactive automatiquement

  1. Le DPC personnel écoute ACTION_MANAGED_PROFILE_PROVISIONED (Pour les appareils Android 5.1, le DPC personnel doit écouter à la place ACTION_MANAGED_PROFILE_ADDED).
  2. Le cas échéant, le DPC personnel doit libérer les droits d'administrateur de l'appareil. avant de se désactiver.
  3. Le DPC personnel initie une setApplicationEnabledSetting désactiver la demande à l'aide de la propriété COMPONENT_ENABLED_STATE_DISABLED .
  4. L'utilisateur peut réactiver le DPC personnel depuis Google Play.

Remarques concernant l'implémentation du mode Propriétaire de l'appareil

Voici quelques éléments à prendre en compte lorsque vous écrivez votre application de contrôle des règles relatives aux appareils. pour implémenter le mode de fonctionnement Propriétaire de l'appareil.

L'appareil doit être neuf ou rétabli à la configuration d'usine

Vous devez configurer le mode de fonctionnement Propriétaire de l'appareil lors de la configuration initiale d'un appareil neuf ou après une réinitialisation d'usine. Impossible d'activer le mode Propriétaire de l'appareil provisionnés sur un appareil à tout autre moment.

Le mode Propriétaire de l'appareil donne au DPC un contrôle total sur un appareil. Si vous provisionnez mode propriétaire de l'appareil après la configuration initiale ont été autorisés:

  • Un logiciel malveillant peut potentiellement créer le propriétaire d'un appareil et prendre le contrôle de celui-ci.
  • Des problèmes de confidentialité pourraient survenir si des données utilisateur ou des applications étaient déjà activées l'appareil.

Configurer le mode propriétaire de l'appareil uniquement sur les appareils détenus par l'entreprise

Vous ne devez provisionner le mode propriétaire de l'appareil que sur les appareils que vous identifiez comme appartenant à l'entreprise de votre client. Vous pouvez le vérifier en détectant identifiant unique de l'appareil (tel qu'un numéro de série) ou à l'aide d'un identifiant ensemble de comptes autorisés pour l'enregistrement d'appareils via votre EMM .

Si vous ne pouvez pas valider la propriété d'un appareil par l'entreprise, vous devez créer un dispositif de sécurité afin que le mode propriétaire de l'appareil ne soit pas provisionné par erreur. Par exemple, vous pouvez inviter l'utilisateur de l'appareil à confirmer ou à prendre une mesure positive avant de provisionner le mode Propriétaire de l'appareil.

Activer les applications système

Lorsque l'outil DPC provisionne un profil professionnel, toutes les applications système sans icône de lanceur sont considérés comme essentiels pour l'appareil et sont automatiquement autorisés à s'exécuter dans le profil professionnel. Les applications système associées à des icônes de lanceur sont considérées comme sont facultatives, et vous pouvez choisir de les activer ou non.

Activer les applications système via Google Play

Les utilisateurs peuvent activer des applications système via Google Play pour recevoir les mises à jour les mises à jour de l'application dès qu'elles sont disponibles.

Activer les applications système à l'aide des API du framework Android

Si vous souhaitez que les utilisateurs voient les applications système dès qu'ils commencent à utiliser leurs appareils, activer les applications système dans le cadre du processus de provisionnement des appareils. Le DPC permet les applications système par nom de package ou par intention en utilisant DevicePolicyManager.enableSystemApp()

Il existe plusieurs façons d'identifier les applications système que vous souhaitez activer et présenter. de votre console EMM aux administrateurs informatiques.

Créer des catalogues d'applications système

Avec cette méthode, chaque appareil détermine quelles applications y sont installées et envoie ces données vers la console EMM. La console EMM affiche ces informations de façon dynamique lors de la création de règles relatives aux appareils, ce qui permet à l'administrateur informatique de gérer pour chaque application.

  1. Si le profil professionnel n'est pas encore provisionné sur l'appareil, extrayez une liste toutes les applications ayant une icône de lanceur d'applications sur un appareil avec queryIntentActivities():

    private List<ResolveInfo> getAppsWithLauncher() {
      Intent i = new Intent(Intent.ACTION_MAIN);
      i.addCategory(Intent.CATEGORY_LAUNCHER);
      return getPackageManager().queryIntentActivities(i, 0);
    }
    
  2. Si le profil professionnel est déjà provisionné sur l'appareil, extrayez une liste toutes les applications du profil professionnel PackageManager.GET_DISABLED_COMPONENTS et PackageManager.GET_UNINSTALLED_PACKAGES

  3. Recherchez des applications système dans la liste des applications FLAG_SYSTEM qui indique si une application est installée dans l'image système de l'appareil.

Avantages :

  • Fournit aux administrateurs informatiques une vue d'ensemble des applications sur tous les appareils.
  • Permet de contrôler précisément quelles applications sont activées.

Inconvénients :

  • Comme chaque appareil dispose d'un catalogue d'applications différent, il est difficile d'appliquer un modèle de configuration de règles unique sur plusieurs types d'appareils.
  • Il peut être difficile de présenter le volume d'applications spécifiques aux OEM dans un pour les administrateurs informatiques.

Classer les applications système par fonctionnalité

Lorsqu'un administrateur informatique souhaite activer une application système pour un groupe d'appareils, il choisit une application générique en fonction de sa fonctionnalité ; par exemple, "Système navigateur". Le DPC autorise ensuite toutes les applications système pour cet intent.

Avantages :

  • Activation simple et basée sur les fonctionnalités pour les administrateurs informatiques.
  • Garantit une fonctionnalité cohérente sur divers appareils (du moins pour cas d'utilisation courants).

Inconvénients :

  • Les applications système sont limitées à celles qui sont compatibles avec tous les types d'appareils.
  • Les administrateurs informatiques peuvent souhaiter déployer une version OEM d'une application (par exemple, Samsung®), mais pas un autre (tel qu'un navigateur LG®).
  • Les administrateurs informatiques ne souhaitent peut-être pas déployer plusieurs applications, mais ils ne peuvent pas empêcher lorsqu'il existe plusieurs gestionnaires d'intent.

Assurer la compatibilité avec les applications système approuvées uniquement

Vous collaborez avec l'OEM pour identifier les packages OEM spécifiques et ne venir en aide qu'à ceux-ci dans la console EMM. Cela vous permet également de cataloguer les pour l'application OEM, que vous ne sauriez pas autrement, L'application OEM n'est pas hébergée sur Google Play.

Avantages :

  • Ce workflow simplifie considérablement le workflow d'intégration et élimine les cas limites qui posent problème dans les deux premières options.
  • Vous pouvez cataloguer les configurations gérées pour l'application OEM et les présenter dans la console EMM pour les administrateurs informatiques.
  • Établir de solides relations avec les OEM pour assurer la compatibilité avec les appareils phares.

Inconvénients :

  • Moins évolutif, ce qui réduit le choix du consommateur.

Scénarios de test pour votre DPC

L'outil de contrôle des règles relatives aux appareils est un outil Open Source. fournie par Google pour tester les fonctionnalités d'entreprise de votre application DPC. Le DPC de test est disponible auprès de github ou Google Play : Vous pouvez utiliser l'outil DPC de test pour:

  • Simuler des fonctionnalités dans Android
  • Définir et appliquer des règles
  • Définir des restrictions d'appli et d'intent
  • Configurer des profils professionnels
  • Configurer des appareils Android entièrement gérés

Bien que l'outil DPC de test soit principalement destiné à tester votre entreprise pour Android, vous pouvez également l'utiliser comme source d'exemple de code pour Android caractéristiques.

Personnaliser le provisionnement

Lors du provisionnement de l'appareil, l'interface utilisateur du système affiche une couleur par défaut dans la barre d'état et un logo par défaut en haut de l'écran. Définir des couleurs personnalisées et logos pour garantir une transition visuelle cohérente entre votre DPC et le interface système ou autoriser les administrateurs à le faire à l'aide de votre console EMM. Par exemple, un administrateur peut importer le logo de l'entreprise ou personnaliser l'apparence des écrans qui s'affichent les notifications.

Votre DPC applique les choix de couleur et de logo à l'aide de la méthode DevicePolicyManager.EXTRA_PROVISIONING_MAIN_COLOR et DevicePolicyManager.EXTRA_PROVISIONING_LOGO_URI extras.

Pour définir une couleur personnalisée, utilisez EXTRA_PROVISIONING_MAIN_COLOR pour définir un nombre entier indiquant la couleur prédominante à afficher pendant l'appareil et le provisionnement. Placer l'extra (constant) dans un intent avec ACTION_PROVISION_MANAGED_PROFILE ou ACTION_PROVISION_MANAGED_DEVICE

Pour voir comment les entiers sont représentés, consultez Couleur : Pour voir un exemple, consultez MAIN_COLOR dans l'application TestDPC.

Pour définir un logo personnalisé, utilisez EXTRA_PROVISIONING_LOGO_URI pour définir une image qui s'affichera en haut de l'écran et le provisionnement. Placer l'extra (constant) dans un intent avec ACTION_PROVISION_MANAGED_PROFILE ou ACTION_PROVISION_MANAGED_DEVICE Assurez-vous que la densité de l'image en pixels est raisonnable pour l'appareil.

Pour voir un exemple, consultez LOGO_URI dans l'application TestDPC.

Méthode par code QR

La méthode de provisionnement par code QR permet de configurer le mode propriétaire de l'appareil en procédant comme suit : en scannant un code QR via l'assistant de configuration. Le code QR contient une charge utile des paires clé-valeur avec toutes les informations nécessaires pour que le DPC provisionne un appareil.

Votre console EMM doit permettre aux administrateurs informatiques de créer des codes QR pour les appareils qu'ils souhaitent provisionner. L'administrateur informatique envoie les codes QR à leurs utilisateurs finaux. Ceux-ci provisionnent leurs appareils en scannant le Codes QR.

Cas d'utilisation du provisionnement par code QR

Certains appareils, tels que les tablettes, ne sont pas compatibles avec la technologie NFC. Le provisionnement par code QR est pratique de provisionner un parc d'appareils distribué non compatible NFC. Un administrateur informatique peut envoyer des codes QR à ses utilisateurs pour autoriser et le provisionnement.

Le provisionnement par code QR ne nécessite pas d'identité Google, comme un domaine Google ou un compte Google. Les organisations qui utilisent Android, mais pas Google Workspace, n'ont pas d'identité Google.

Tout comme la technologie NFC, le provisionnement par code QR permet des déploiements en mode kiosque et à usage unique L'identité Google (ou toute identité) n'est ni nécessaire, ni souhaitable. Par exemple, un un appareil en mode kiosque dans un magasin n'appartient à personne et ne doit pas avoir d'utilisateur final l'identité.

Créer un code QR

Un code QR valide pour le provisionnement par code QR est un objet JavaScript® encodé en UTF-8. Chaîne de notation (JSON). Vous pouvez inclure les propriétés suivantes dans un code QR valide:

Toujours obligatoire

Obligatoire si un DPC n'est pas déjà installé sur l'appareil

Recommandé si l'appareil n'est pas déjà connecté au Wi-Fi

Optional

Cet exemple crée un code QR valide:

{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":
"com.emm.android/com.emm.android.DeviceAdminReceiver",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":
"gJD2YwtOiWJHkSMkkIfLRlj-quNqG1fb6v100QmzM9w=",

"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":
"https://path.to/dpc.apk",
    "android.app.extra.PROVISIONING_SKIP_ENCRYPTION": false,
    "android.app.extra.PROVISIONING_WIFI_SSID": "GuestNetwork",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
        "dpc_company_name": "Acme Inc.",
        "emm_server_url": "https://server.emm.biz:8787",
        "another_custom_dpc_key": "dpc_custom_value"
    }
}

Processus de provisionnement par code QR

  1. L'assistant de configuration invite l'utilisateur à appuyer six fois sur l'écran d'accueil. La tapotements doivent être faits au même endroit sur l’écran.
  2. L'assistant de configuration invite l'utilisateur à se connecter à Internet afin que la configuration peut télécharger un lecteur de code QR.
  3. Les services Google Play téléchargent un module contenant un système de reconnaissance de code QR d'un moteur de recherche.
  4. L'utilisateur scanne le code QR fourni par son administrateur informatique.
  5. L'assistant de configuration télécharge votre application DPC et lance le propriétaire de l'appareil de provisionnement à l'aide ACTION_PROVISION_MANAGED_DEVICE

Méthode des comptes Google Play d'entreprise

Un DPC peut utiliser la méthode de provisionnement des comptes Google Play d'entreprise pour configurer le mode propriétaire de l'appareil ou le mode propriétaire du profil. Cette méthode de provisionnement est ciblée dans les organisations qui n'utilisent pas Google Workspace.

La méthode de provisionnement des comptes Google Play d'entreprise utilise le Bibliothèque de support DPC. Cette bibliothèque cliente assure le bon fonctionnement de Google Play d'entreprise Comptes. Il assure également la compatibilité avec les futures mises à jour du Processus de provisionnement des comptes Google Play.

Conditions préalables au provisionnement des appareils

  • L'ID d'entreprise est créé et enregistré avec une identité EMM et l'ESA est définie, comme décrit dans Créer et enregistrer une entreprise
  • L'identité d'entreprise de l'utilisateur est connue dans votre console EMM.
  • L'utilisateur peut se connecter à l'application DPC à l'aide des identifiants acceptés par votre EMM. console, généralement des identifiants de messagerie d'entreprise.

Configurer le mode propriétaire du profil

Vous pouvez configurer le mode de fonctionnement "Propriétaire du profil" sur un appareil utilisé dans un scénario BYOD comme appareil personnel.

  1. L'utilisateur télécharge manuellement votre DPC à partir de Google Play et le lance.
  2. L'outil DPC provisionne le profil professionnel à l'aide de ACTION_PROVISION_MANAGED_PROFILE
  3. Suivez les dernières étapes de configuration.

Configurer le mode propriétaire de l'appareil

Vous devez définir le mode de fonctionnement Propriétaire de l'appareil lors de la configuration initiale d'un neuf ou après un rétablissement de la configuration d'usine. Impossible de provisionner le mode Propriétaire de l'appareil sur un appareil à tout autre moment.

Lors de la configuration de l'appareil, l'utilisateur saisit un jeton spécifique DPC spécial lorsqu'il invité à ajouter un compte. Un jeton est au format afw#DPC_IDENTIFIER. Pour un fournisseur EMM nommé ACME, afw#acme installera le DPC par défaut de l'EMM ACME. Chaque EMM doit demander à Google un identifiant DPC spécifique avant de pouvoir utiliser dans le processus de provisionnement.

  1. L'utilisateur allume un appareil neuf ou rétabli à la configuration d'usine, et affiche l'assistant de configuration. lancements.
  2. Lorsqu'il est invité à ajouter un compte, l'utilisateur saisit un jeton spécial dans le format afw#DPC_IDENTIFIER qui identifie le DPC pour votre EMM.
  3. En utilisant l'identifiant DPC dans le jeton, l'assistant de configuration ajoute un élément temporaire compte Google sur l'appareil. Ce compte temporaire n'est utilisé que pour télécharger le DPC de votre EMM sur Google Play, il est supprimé dans les dernières étapes de configuration.
  4. Le DPC provisionne le périphérique à l'aide de ACTION_PROVISION_MANAGED_DEVICE
  5. Suivez les dernières étapes de configuration.

Étapes de configuration finales pour tous les modes de fonctionnement

Ne réalisez ces étapes qu'après les étapes initiales de configuration. le mode propriétaire du profil ou le mode propriétaire de l'appareil sont terminés.

  1. Le DPC s'assure que l'appareil est compatible avec les comptes Google Play d'entreprise en initialisant la bibliothèque Support DPC:

    AndroidForWorkAccountSupport androidForWorkAccountSupport =
      new AndroidForWorkAccountSupport(context, admin);
    androidForWorkAccountSupport.ensureWorkingEnvironment(callback);
    

    Si vous configurez le mode propriétaire sur un appareil, cette étape supprime le un compte Google temporaire qui a été ajouté pour télécharger le DPC.

  2. L'utilisateur se connecte au DPC à l'aide de ses identifiants EMM. Il s'agit généralement des identifiants de messagerie d'entreprise.

  3. L'outil DPC demande les identifiants du compte Google Play d'entreprise pour la un utilisateur d'entreprise authentifié depuis la console EMM.

  4. Si la console EMM ne dispose pas d'un userId Google Play pour l'utilisateur, elle crée un utilisateur en appelant Users.insert() Si vous configurez le mode propriétaire de l'appareil, spécifiez un compte d'appareil (par pour les déploiements d'appareils dédiés) ou un compte utilisateur (pour les déploiements appartenant à l'entreprise).

  5. Définissez les règles de l'appareil en appelant Devices.update Vous devez définir cette règle avant d'ajouter le compte Google Play d'entreprise à l'appareil. Sinon, la règle n'est pas appliquée pendant après l'ajout du compte à l'appareil.

  6. La console EMM demande les identifiants du compte userId en Appel en cours Users.generateAuthenticationToken() Ce jeton d'authentification a une courte durée de vie et ne peut pas être réutilisé. Le DPC doit utilisez le jeton pour ajouter le compte par programmation (il n'est d'aucune utilité utilisateur).

  7. L'API EMM Google Play renvoie le jeton d'authentification à la console EMM.

  8. La console EMM transmet le jeton d'authentification au DPC.

  9. Le DPC ajoute le compte Google Play d'entreprise à l'appareil à l'aide de

    androidForWorkAccountSupport.addAndroidForWorkAccount(token,
      accountAddedCallback);
    

Méthode du compte Google

Un DPC peut utiliser la méthode de provisionnement du compte Google pour définir le propriétaire de l'appareil ou Propriétaire du profil. Avec la méthode de gestion des comptes Google, L'outil DPC guide l'utilisateur tout au long des étapes de provisionnement une fois que l'utilisateur a ajouté ses compte Google lors de la configuration initiale de l'appareil.

Lorsqu'un utilisateur saisit les identifiants de son compte Google:

  • Le serveur d'authentification Google authentifie le compte utilisateur.
  • Le serveur d'authentification communique ensuite avec le serveur d'entreprise pour voir si le domaine du compte est enregistré en tant que domaine Google Workspace ou Domaine géré par un fournisseur EMM.
  • Si tel est le cas, le système télécharge automatiquement le DPC associé au domaine. depuis Google Play et l'installe.

Configurer le mode propriétaire du profil

Vous pouvez définir le mode de fonctionnement "Propriétaire du profil" lors de la configuration initiale d'un ou lorsque l'utilisateur ajoute un compte en accédant à Paramètres > Ajouter un compte

  1. L'authentification du compte est lancée par l'utilisateur à partir de l'assistant de configuration ou depuis Paramètres > Ajouter un compte
  2. GMSCore lance le provisionnement du profil professionnel à l'aide de ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE.
  3. Le DPC est automatiquement téléchargé sur l'appareil et lancé à l'aide de la méthode ACTION_GET_PROVISIONING_MODE. pour vérifier que le provisionnement du profil professionnel est compatible avec le DPC.
  4. La plate-forme procède au provisionnement du profil professionnel.
  5. Une fois le profil professionnel provisionné, le DPC reçoit la diffusion. ACTION_PROFILE_PROVISIONING_COMPLETE Les ACTION_ADMIN_POLICY_COMPLIANCE du DPC est lancé dans le profil professionnel. Une fois le profil professionnel créé, le DPC s'exécute également dans le profil professionnel. Le DPC applique des règles pour ce compte Google géré, s'assure que l'appareil n'est pas infecté et vérifie que les règles sont appliquées (par exemple, en requérant une mot de passe).
  6. Le DPC du profil personnel se désactive lui-même ou l'utilisateur le supprime.

Configurer le mode propriétaire de l'appareil ou COPE

Vous devez définir le mode de fonctionnement Propriétaire de l'appareil lors de la configuration initiale d'un neuf ou après un rétablissement de la configuration d'usine. Impossible d'ajouter le mode Propriétaire de l'appareil à un appareil à tout autre moment.

  1. L'authentification du compte est lancée par un utilisateur à partir de l'assistant de configuration.
  2. GMSCore lance le provisionnement du propriétaire de l'appareil à l'aide de ACTION_PROVISION_MANAGED_DEVICE_FROM_TRUSTED_SOURCE. 3.L'outil DPC est automatiquement téléchargé sur l'appareil et se lance à l'aide du gestionnaire GET_PROVISIONING_MODE pour sélectionner le mode de provisionnement souhaité.
  3. La plate-forme provisionne l'appareil selon le mode de provisionnement souhaité.
  4. Une fois l'appareil provisionné, le DPC reçoit ces annonces et son gestionnaire ACTION_ADMIN_POLICY_COMPLIANCE est lancé:
  5. L'outil DPC utilise la valeur de Global.DEVICE_PROVISIONED pour vérifier que l'appareil est neuf ou rétabli à la configuration d'usine (non géré):
    • 0 Non géré.
    • 1 Provisionné.
  6. L'outil DPC termine le processus de provisionnement en envoyant des règles pour ce appareil géré, garantissant que l'état de l'appareil n'est pas compromis et en vérifiant que les règles sont appliquées (par exemple, en exigeant la saisie d'un mot de passe).

Éléments à prendre en compte concernant l'implémentation de la méthode d'un compte Google

  • Le DPC doit détecter le flux d'authentification du compte Google en recherchant des extras spécifiques dans l'intent de lancement utilisé (voir LaunchIntentUtil):

    • Compte de type android.accounts.Account : indique que le compte a été ajouté à partir de l'assistant de configuration ou depuis Paramètres > Ajouter un compte, qui nécessite le DPC lancé pour gérer l'appareil ou le profil.
    • is_setup_wizard de type booléen Si la valeur est "true", l'outil DPC a été lancé dans l'assistant de configuration avant la fin de l'assistant de configuration, sinon, Paramètres > Ajouter un compte ou un autre flux.

    Vérifier si le DPC a été lancé dans le cadre de la méthode du compte Google est:

    boolean isSynchronousAuthLaunch(Intent launchIntent) {
      return launchIntent.hasExtra("is_setup_wizard");
    }
    
  • L'outil DPC ne doit pas appeler finish(). avant la fin de la configuration. Elle doit également renvoyer un code de résultat positif (comme RESULT_OK), car le DPC est lancé avec startActivityForResult() et attend un résultat.

    Le DPC doit attendre un code de résultat du processus de provisionnement avant de Appeler finish() si le flux de configuration de l'outil DPC atteint le point d'envoi d'une Intent ACTION_PROVISION_*. Utilisez les startActivityForResult() et onActivityResult() lors du lancement des intents ACTION_PROVISION_*. (Voir LaunchActivity et SetupSyncAuthManagement pour obtenir des exemples).

    En raison de la nature potentiellement asynchrone du processus de configuration, le DPC ne peut pas s'appuyer sur le code de résultat RESULT_OK pour indiquer que le provisionnement réussi. La seule façon garantie est de compter sur DeviceAdminReceiver des rappels en cas de réussite du provisionnement. RESULT_CANCELED indique que l'utilisateur en arrière dans une partie synchrone du flux de configuration, et le DPC doit réagir à cela.

    Dans cet exemple, l'outil DPC lance le provisionnement et attend le code de résultat d'une activité:

    Intent intent = new Intent(ACTION_PROVISION_MANAGED_PROFILE);
    startActivityForResult(intent, REQUEST_MANAGED_PROFILE);
    ...
    
    @Override
    public void onActivityResult(int req, int res, Intent i) {
        if (req == REQUEST_MANAGED_PROFILE) {
            if (res == Activity.RESULT_OK) {
                setResult(Activity.RESULT_OK);
                finish();
            } else {
                Toast.makeText(this, “Provisioning failed”,
                        Toast.LENGTH_SHORT).show();
            }
        }
    }
    
  • Le DPC ne doit pas tenter de configurer le mode de fonctionnement propriétaire de l'appareil si l'appareil est déjà provisionné (voir ProvisioningStateUtil.isDeviceProvisioned()). Dans cet exemple, l'outil DPC vérifie si l'appareil est provisionné:

    public static boolean isDeviceProvisioned(Context context) {
    ContentResolver cr = context.getContentResolver();
        return
    Settings.Global.getInt(cr, DEVICE_PROVISIONED, 0) != 0;
    }
    
  • Facultatif. Le DPC peut utiliser les EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE supplémentaires lors du provisionnement pour transmettre les informations d'état DeviceAdminReceiver (qui, dans le cas du propriétaire du profil, s'exécute dans le profil professionnel). TestDPC utilise cet extra pour saisir un autre ensemble d'activités dans le flux de compte Google après le provisionnement est terminé. Pour en savoir plus, consultez DeviceAdminReceiver

    public class DeviceAdminReceiver extends android.app.admin.DeviceAdminReceiver
    {
      @Override
      public void onProfileProvisioningComplete(Context context, Intent intent) {
        // Retrieve the admin extras bundle, which we can use to determine the original context for
        // Test DPC's launch.
        PersistableBundle extras = intent.getParcelableExtra(
                EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE);
        ...
    
  • Pour configurer un profil professionnel, le DPC doit migrer le compte ajouté dans le Nouveau profil professionnel. Pour ce faire, le DPC doit transmettre le compte fourni dans le l'intention de lancement de ACTION_PROVISION_MANAGED_PROFILE

  • L'outil DPC doit fournir à l'utilisateur une incitation à l'action claire (par exemple, Terminer) pour quitter l'application à la fin de la configuration afin que l'utilisateur ne pense pas ils ont atteint une impasse dans le flux.

  • Le DPC doit utiliser le thème ou la bibliothèque de mise en page de l'assistant de configuration afin que l'utilisateur l’expérience est fluide et semble bien intégrée.

Méthode NFC

Un DPC peut utiliser la méthode de provisionnement NFC pour configurer le mode Propriétaire de l'appareil. Dans méthode de provisionnement NFC, ou tag NFC, vous permet de créer une application de programmeur NFC qui contient les règles initiales et la configuration Wi-Fi, les paramètres et informations de provisionnement requises par votre client pour configurer le propriétaire de l'appareil mode de fonctionnement. Lorsque vous ou votre client installez l'application de programmation NFC sur un appareil Android, cet appareil devient le programmeur.

Pour provisionner un appareil, l'administrateur informatique sort un nouvel appareil de la boîte et le colle contre le programmeur ou le tag NFC. Les transferts configurations à l'appareil afin qu'il se connecte à Internet et télécharge les les règles et paramètres appropriés. L'appareil est ensuite géré par votre DPC.

Après le provisionnement d'un appareil, Google Play affiche pendant une courte période les données non gérées le contenu grand public plutôt que les applications et collections approuvées l'écran. Ce délai peut durer de quelques minutes à une heure.

Créer l'application et l'appareil de programmation NFC

Pour les appareils équipés d'Android 10 ou version antérieure, il est possible d'utiliser Android Beam pour : effectuer un provisionnement NFC:

  1. Téléchargez l'application exemple pour le programmeur NFC. Vous pouvez utiliser l'échantillon tel quel, sans ajout, ou le modifier pour vos valeurs par défaut.
  2. Installez l'appli de programmeur sur l'appareil choisi.
  3. Lancez l'application de programmation NFC, puis sélectionnez Charger les valeurs par défaut. pour com.example.android.apis. (Ce texte peut varier en fonction paramètres que vous avez définis.

Provisionner l'appareil d'un client

  1. Hissez le programmeur ou le tag NFC avec un nouvel appareil ou un appareil qui a été rétablir la configuration d'usine.
  2. Vérifiez que l'appareil reste sur l'écran de bienvenue initial. s'affiche au démarrage. Le texte est spécifié en Ready to send:{...} dans l'application de programmation.
  3. Patientez pendant que le DPC:
    1. Chiffre l'appareil.
    2. S'il s'agit d'un appareil CDMA (Code-Division Multiple Access) : téléphone lorsqu'une interface utilisateur de téléphonie s'affiche (aucune interaction n'est requise).
    3. Configure la connexion Wi-Fi.
    4. Télécharge le fichier APK pour com.example.android.apis.
    5. installe com.example.android.apis.
    6. Définit l'outil Sample Device Admin dans com.example.android.apis en tant que propriétaire de l'appareil.
    7. Affiche un "toast" réussi lorsque le propriétaire de l'appareil est activé.
  4. Une fois revenu sur la page d'accueil (l'assistant de configuration est ignoré automatiquement), vérifiez que com.example.android.apis est défini comme propriétaire de l'appareil:
    1. Dans Paramètres > Sécurité > Administrateurs de l'appareil, assurez-vous que l'exemple d'appareil Impossible de supprimer l'administrateur.
    2. Dans Paramètres > Utilisateurs > Utilisateurs et profils > Vous (propriétaire), assurez-vous que : Le propriétaire est le seul compte disponible (un appareil ne peut avoir qu'un seul compte actif propriétaire à la fois).

Ressources supplémentaires

NFC avancé décrit des sujets tels que l'utilisation de différentes technologies de tag ou l'écriture en NFC. et la répartition au premier plan.

Méthode d'installation manuelle de l'outil DPC

Pour configurer le mode propriétaire du profil à l'aide de la méthode manuelle de provisionnement de l'installation DPC : l'utilisateur télécharge votre DPC à partir de Google Play et l'installe. Ensuite, le DPC guide l'utilisateur tout au long du reste du processus pour configurer le propriétaire du profil pour le compte Google géré.

Le DPC peut ajouter le compte Google géré avant ou après la création le profil professionnel. Par exemple, le DPC peut créer un profil professionnel basé sur un les identifiants EMM de l'utilisateur au lieu de demander le compte Google géré. en premier.

Configurer le mode propriétaire du profil

Ajoutez d'abord le compte Google géré.

  1. L'utilisateur télécharge votre DPC à partir de Google Play et l'installe.
  2. Le DPC ajoute le compte Google géré avant de créer le profil professionnel à l'aide de AccountManager.addAccount().
  3. Le DPC commence à s'exécuter dans le profil personnel et lance le processus pour Créez un profil professionnel à l'aide de:
  4. L'outil DPC du profil professionnel termine le processus de provisionnement. Une fois que le travail est créé, le DPC s'exécute également dans le profil professionnel. Le DPC dans le profil professionnel termine le processus de provisionnement en envoyant des règles pour ce compte Google géré, ce qui permet de s'assurer que l'appareil n'est pas compromis et vérifier que les règles sont appliquées (par exemple, en exigeant une mot de passe).
  5. Une fois le profil professionnel provisionné, le DPC reçoit la diffusion. ACTION_PROFILE_PROVISIONING_COMPLETE
  6. Le DPC dans le profil personnel se désactive ou soit supprimée par l'utilisateur.

Commencez par créer le profil professionnel

  1. L'utilisateur télécharge votre DPC à partir de Google Play et l'installe.
  2. Le DPC commence à s'exécuter dans le profil personnel et lance le processus pour Créez un profil professionnel à l'aide de:
  3. Le DPC ajoute le compte Google géré à l'aide de AccountManager.addAccount()
  4. Le DPC reçoit la diffusion ACTION_PROFILE_PROVISIONING_COMPLETE et lit EXTRA_PROVISIONING_ADMIN_EXTRAS_BUNDLE
  5. L'outil DPC du profil professionnel termine le processus de provisionnement. Une fois le profil professionnel créé, le DPC s'exécute également dans la tâche profil. Le DPC du profil professionnel termine le processus de provisionnement en des règles pour ce compte Google géré, en veillant à ce que l'appareil n'est pas compromise et en vérifiant que les stratégies sont appliquées (par exemple, exiger la saisie d'un mot de passe).
  6. Le DPC active le profil professionnel en utilisant DevicePolicyManager.setProfileEnabled()
  7. Le DPC dans le profil personnel se désactive ou soit supprimée par l'utilisateur.

  1. Dans Android 5.1, la méthode Compte Google n'est compatible qu'avec le mode de fonctionnement "Propriétaire du profil". L'utilisateur ne peut le configurer qu'à partir de la page Paramètres > Ajouter un compte