Il provisioning è il processo di configurazione di un dispositivo da gestire utilizzando
policies da un enterprise. Durante la procedura, un dispositivo installa
Android Device Policy, che viene utilizzata per ricevere e applicare policies. Se
il provisioning va a buon fine, l'API crea un oggetto devices, associando il
dispositivo a un'azienda.
L'API Android Management utilizza i token di registrazione per attivare il processo di provisioning. Il token di registrazione e il metodo di provisioning che utilizzi stabiliscono la proprietà (personale o aziendale) e la modalità di gestione (profilo di lavoro o dispositivo completamente gestito) di un dispositivo.
Un sistema di quote controlla il numero di dispositivi che ogni progetto può gestire. Devi richiedere la quota iniziale di dispositivi prima di poter eseguire il provisioning del primo dispositivo.
Dispositivi di proprietà personale
Android 5.1 o versioni successive
I dispositivi di proprietà dei dipendenti possono essere configurati con un profilo di lavoro. Un profilo di lavoro
fornisce uno spazio autonomo per app e dati di lavoro, separato da app e dati
personali. La maggior parte delle app, dei dati e di altre gestioni policies si applica solo al profilo di lavoro, mentre le app e i dati personali del dipendente rimangono privati.
Per configurare un profilo di lavoro su un dispositivo di proprietà personale, crea un token di registrazione (assicurati che allowPersonalUsage sia impostato su PERSONAL_USAGE_ALLOWED) e utilizza uno dei seguenti metodi di provisioning:
- Aggiungere il profilo di lavoro da "Impostazioni"
- Scaricare Android Device Policy
- Link del token di registrazione
- URL di accesso
Dispositivi di proprietà dell'azienda per uso personale e di lavoro
Android 8+
La configurazione di un dispositivo di proprietà dell'azienda con un profilo di lavoro consente l'utilizzo del dispositivo sia per il lavoro che per uso personale. Sui dispositivi di proprietà dell'azienda con profili di lavoro:
- La maggior parte delle impostazioni di gestione di app, dati e altri elementi
policiessi applicano solo al profilo di lavoro. - Il profilo personale del dipendente rimane privato. Tuttavia, le aziende possono applicare determinati criteri a livello di dispositivo e criteri di utilizzo personale.
- Le aziende possono utilizzare
blockScopeper applicare azioni di conformità a un intero dispositivo o solo al suo profilo di lavoro. devices.deletee i comandi del dispositivo si applicano a un intero dispositivo.
Per configurare un dispositivo di proprietà aziendale con un profilo di lavoro, crea un token di registrazione (assicurati che allowPersonalUsage sia impostato su PERSONAL_USAGE_ALLOWED) e utilizza uno dei seguenti metodi di provisioning:
Dispositivi di proprietà dell'azienda solo per uso lavorativo
Android 5.1 o versioni successive
La gestione completa dei dispositivi è adatta ai dispositivi di proprietà aziendale destinati esclusivamente a scopi lavorativi. Le aziende possono gestire tutte le app sul dispositivo e possono applicare l'intera gamma di norme e comandi dell'API Android Management.
È anche possibile bloccare un dispositivo (tramite criteri) in modo che usi una singola app o
un piccolo insieme di app per uno scopo o un caso d'uso dedicato. Questo sottoinsieme di dispositivi completamente gestiti è denominato dispositivi dedicati. I token di registrazione per
questi dispositivi devono avere allowPersonalUsage impostato su
PERSONAL_USAGE_DISALLOWED_USERLESS.
Per configurare la gestione completa su un dispositivo di proprietà aziendale, crea un token di registrazione,
assicurandoti che allowPersonalUsage sia impostato su PERSONAL_USAGE_DISALLOWED o
PERSONAL_USAGE_DISALLOWED_USERLESS e utilizza uno dei seguenti
metodi di provisioning.
- Registrazione zero-touch
- Codice QR
- URL di accesso (non adatto a dispositivi dedicati)
- NFC
- Identificatore DPC
I criteri possono influire sulla generazione della UI durante il provisioning del dispositivo. Queste norme sono:
PasswordPolicyScope: Determina i requisiti per le password.PermittedInputMethods: Determina i metodi di immissione dei pacchetti.PermittedAccessibilityServices: Determina quali servizi di accessibilità sono consentiti per i dispositivi completamente gestiti e il profilo di lavoro.SetupActions: Determina quali azioni vengono eseguite durante la configurazione.ApplicationsPolicy: Determina il criterio per una singola app.
Se vuoi che i passaggi della password vengano mostrati insieme all'installazione delle app di lavoro e alle schede di registrazione del dispositivo durante il provisioning del dispositivo, ti consigliamo di aggiornare i criteri per ritardare l'avvio della generazione dell'interfaccia utente mantenendo il dispositivo in uno stato di quarantena, che si verifica se la registrazione viene eseguita senza un criterio associato, fino a quando non viene specificato il criterio finale selezionato per la configurazione del dispositivo popolato con elementi pertinenti alle tue esigenze di configurazione. Una volta completato il provisioning del dispositivo, puoi modificare la policy in base alle tue esigenze.
Creare un token di registrazione
È necessario un token di registrazione per ogni dispositivo che vuoi registrare (puoi
utilizzare lo stesso token per più dispositivi). Per richiedere un token di registrazione, chiama il numero
enterprises.enrollmentTokens.create. I token di registrazione scadono dopo un'ora per impostazione predefinita, ma puoi specificare un tempo di scadenza personalizzato (duration) fino a circa 10.000 anni.
Una richiesta riuscita restituisce un oggetto enrollmentToken contenente un
enrollmentTokenId e un qrcode che gli amministratori IT e gli utenti finali possono utilizzare per
provisioning dei dispositivi.
Specificare una policy
Potresti anche voler specificare un policyName nella richiesta di applicazione di un criterio
contemporaneamente alla registrazione di un dispositivo. Se non specifichi un policyName, vedi
Registrare un dispositivo senza criteri.
Specificare l'utilizzo personale
allowPersonalUsage determina se è possibile aggiungere un profilo di lavoro al dispositivo
durante il provisioning. Imposta PERSONAL_USAGE_ALLOWED per consentire a un utente di creare un
profilo di lavoro (obbligatorio per i dispositivi personali, facoltativo per i dispositivi di proprietà
dell'azienda).
Imporre l'autenticazione Google al momento della registrazione
Gli EMM possono imporre l'accesso all'Account Google durante la registrazione del dispositivo impostando i valori appropriati nel token di registrazione o nel token di accesso. Questa configurazione
determina se il pulsante "Salta" è nascosto nella schermata di accesso a Google.
Se impostate, queste opzioni sostituiscono il criterio googleAuthenticationSettings a livello aziendale.
Opzioni di configurazione
Puoi controllare il comportamento di autenticazione utilizzando l'oggetto googleAuthenticationOptions
all'interno di un EnrollmentToken o di un SigninDetail.
| Campo | Descrizione | Valori |
authenticationRequirement |
Specifica se l'utente deve eseguire l'autenticazione con Google durante la registrazione. | AUTHENTICATION_REQUIREMENT_UNSPECIFIED: ripristina le impostazioni predefinite dell'azienda.
(FACOLTATIVO):l'utente vede la schermata di accesso a Google, ma può scegliere di saltarla. OBBLIGATORIO:l'utente non può saltare l'accesso. Il pulsante "Ignora" è nascosto. |
requiredAccountEmail |
L'email specifica dell'Account Google gestito che l'utente deve utilizzare.
Nota: authenticationRequirement deve essere impostato su
REQUIRED se questo campo viene utilizzato. |
Stringa (ad es. "user@enterprise.com") |
Esempi di payload JSON
Disattivare il pulsante Salta
Per nascondere il pulsante "Salta" e forzare l'utente ad accedere con un account aziendale valido, imposta il requisito di autenticazione su OBBLIGATORIO.
{
...
"googleAuthenticationOptions": {
"authenticationRequirement": "REQUIRED"
}
}
Richiedere un'email dell'account specifica
Per forzare l'utente ad accedere con un account designato, definisci la stringa
requiredAccountEmail. La richiesta di creazione del token non andrà a buon fine e verrà restituito un errore INVALID_ARGUMENT se il campo requirement non è impostato su REQUIRED.
{
...
"googleAuthenticationOptions": {
"authenticationRequirement": "REQUIRED",
"requiredAccountEmail": "user@enterprise.com"
}
}
Informazioni sui codici QR
I codici QR funzionano come un metodo di provisioning dei dispositivi efficiente per le aziende che
gestiscono molte norme diverse. Il codice QR restituito da
enterprises.enrollmentTokens.create è costituito da un payload di coppie chiave-valore
contenente un token di registrazione e tutte le informazioni necessarie per
Android Device Policy per eseguire il provisioning di un dispositivo.
Esempio di pacchetto di codici QR
Il bundle include la posizione di download di Android Device Policy e un token di registrazione.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
}
}
Puoi utilizzare il codice QR restituito da enterprises.enrollmentTokens.create
direttamente o personalizzarlo. Per un elenco completo delle proprietà che puoi includere in
un bundle di codici QR, vedi Creare un codice QR.
Per convertire la stringa qrcode in un codice QR scansionabile, utilizza un generatore di codici QR
come ZXing.
Metodi di provisioning
Questa sezione descrive diversi metodi per il provisioning di un dispositivo.
Aggiungere il profilo di lavoro da "Impostazioni"
Android 5.1 o versioni successive
Per configurare un profilo di lavoro sul proprio dispositivo, un utente può:
- Vai a Impostazioni > Google > Configura e ripristina.
- Tocca Configura il tuo profilo di lavoro.
Questi passaggi avviano una procedura guidata di configurazione che scarica Android Device Policy sul dispositivo. Successivamente, all'utente verrà chiesto di scansionare un codice QR o di inserire manualmente un token di registrazione per completare la configurazione del profilo di lavoro.
Scaricare Android Device Policy
Android 5.1 o versioni successive
Per configurare un profilo di lavoro sul proprio dispositivo, un utente può scaricare Android Device Policy dal Google Play Store. Dopo l'installazione dell'app, all'utente verrà chiesto di scansionare un codice QR o di inserire manualmente un token di registrazione per completare la configurazione del profilo di lavoro.
Link del token di registrazione
Android 5.1 o versioni successive
Utilizzando il token di registrazione restituito da enrollmentTokens.create o l'signinEnrollmentToken dell'azienda, genera un URL con il seguente formato:
https://enterprise.google.com/android/enroll?et=<enrollmentToken>
Puoi fornire questo URL agli amministratori IT, che possono fornirlo ai loro utenti finali. Quando un utente finale apre il link dal proprio dispositivo, viene guidato alla configurazione del profilo di lavoro.
URL di accesso
Con questo metodo, gli utenti vengono indirizzati a una pagina in cui inserire eventuali informazioni aggiuntive necessarie per completare il provisioning. In base alle informazioni inserite dall'utente, puoi calcolare il criterio appropriato per l'utente prima di procedere con il provisioning del dispositivo. Ad esempio:
Specifica l'URL di accesso in
enterprises.signInDetails[]. ImpostaallowPersonalUsagesuPERSONAL_USAGE_ALLOWEDse vuoi consentire a un utente di creare un profilo di lavoro (obbligatorio per i dispositivi personali, facoltativo per i dispositivi di proprietà aziendale).Aggiungi il
signinEnrollmentTokenrisultante come extra di provisioning a un codice QR, a un payload NFC o a una configurazione zero-touch. In alternativa, puoi forniresigninEnrollmentTokendirettamente agli utenti.Scegli un'opzione:
- Dispositivi di proprietà dell'azienda:dopo aver acceso un dispositivo nuovo o ripristinato ai dati di fabbrica, trasferisci il
signinEnrollmentTokenal dispositivo (tramite codice QR, contatto NFC e così via) o chiedi agli utenti di inserire il token manualmente. Il dispositivo aprirà l'URL di accesso specificato nel passaggio 1. - Dispositivi di proprietà personale:chiedi agli utenti di aggiungere un profilo di lavoro da
"Impostazioni". Quando richiesto, l'utente
scansiona un codice QR contenente
signinEnrollmentTokeno inserisce il token manualmente. Il dispositivo aprirà l'URL di accesso specificato nel passaggio 1. - Dispositivi di proprietà personale:fornisci agli utenti un link al token di registrazione, dove il token di registrazione è
signinEnrollmentToken. Il dispositivo aprirà l'URL di accesso specificato nel passaggio 1.
- Dispositivi di proprietà dell'azienda:dopo aver acceso un dispositivo nuovo o ripristinato ai dati di fabbrica, trasferisci il
Controlla se Google ha già autenticato l'utente. Recupera le informazioni di provisioning del dispositivo (durante la registrazione del dispositivo) utilizzando il parametro GET
provisioningInfoe controlla se è presente un valore per il campoauthenticatedUserEmail. Se è presente un valore in questo campo, l'utente è già stato autenticato correttamente da Google e puoi utilizzare questa identità senza ulteriore autenticazione.Se Google non ha ancora autenticato l'utente, l'URL di accesso deve chiedere agli utenti di inserire le proprie credenziali. In base alla loro identità, puoi determinare il criterio appropriato e ottenere le informazioni sul provisioning del dispositivo (durante la registrazione del dispositivo) utilizzando il parametro GET
provisioningInfo.Chiama
enrollmentTokens.create, specificando ilpolicyIdappropriato in base alle credenziali dell'utente.Restituisci il token di registrazione generato nel passaggio 5 utilizzando il reindirizzamento URL, nel formato
https://enterprise.google.com/android/enroll?et=<token>.
Applica l'autenticazione Google con il flusso dell'URL di accesso
Quando utilizzi SigninDetail per i flussi di accesso di terze parti (tramite
enterprises.create o enterprises.patch), puoi passare
googleAuthenticationOptions. In questo modo, le regole vengono applicate prima che l'utente venga reindirizzato
all'URL di accesso di terze parti.
Quando viene creato un EnrollmentToken alla fine di un flusso di URL di accesso, i suoi
requisiti di autenticazione interagiscono con il SigninDetail iniziale:
- Se l'utente ha saltato l'accesso a Google perché non era richiesto da
SigninDetail, ma ilEnrollmentTokenrisultante ha il requisito impostato su REQUIRED, l'utente visualizzerà un errore e dovrà accedere. - Se
requiredAccountEmailè impostato sul token e l'utente ha eseguito l'accesso con un indirizzo diverso appartenente all'azienda, riceverà un errore "Account errato" e dovrà accedere di nuovo con l'email richiesta corretta.
Metodo del codice QR
Android 7.0 e versioni successive
Per eseguire il provisioning di un dispositivo di proprietà dell'azienda, puoi generare un codice QR e visualizzarlo nella console EMM:
- Su un dispositivo nuovo o su cui sono stati ripristinati i dati di fabbrica, l'utente (di solito un amministratore IT) tocca lo schermo sei volte nello stesso punto. In questo modo il dispositivo chiederà all'utente di scansionare un codice QR.
- L'utente scansiona il codice QR visualizzato nella console di gestione (o in un'applicazione simile) per registrare e configurare il dispositivo.
Metodo NFC
Android 6.0 o versioni successive
Questo metodo richiede la creazione di un'app di programmazione NFC contenente il token di registrazione, le policy iniziali e la configurazione, le impostazioni e tutti gli altri dettagli di provisioning richiesti dal cliente per eseguire il provisioning di un dispositivo completamente gestito o dedicato. Quando tu o il tuo cliente installate l'app di programmazione NFC su un dispositivo Android, questo dispositivo diventa il dispositivo di programmazione.
Indicazioni dettagliate su come supportare il metodo NFC sono disponibili nella documentazione per gli sviluppatori dell'API Play EMM. Il sito include anche codice di esempio dei parametri predefiniti inviati a un dispositivo tramite contatto NFC. Per installare Android Device Policy, imposta la posizione di download del pacchetto di amministrazione del dispositivo su:
https://play.google.com/managed/downloadManagingApp?identifier=setup
Metodo di identificazione DPC
Se non è possibile aggiungere Android Device Policy utilizzando il codice QR o NFC, un utente o un amministratore IT può seguire questi passaggi per eseguire il provisioning di un dispositivo di proprietà dell'azienda:
- Segui la procedura guidata di configurazione su un dispositivo nuovo o di cui hai ripristinato i dati di fabbrica.
- Inserisci i dettagli di accesso alla rete Wi-Fi per connettere il dispositivo a internet.
- Quando ti viene chiesto di accedere, inserisci afw#setup, che scarica Android Device Policy.
- Scansiona un codice QR o inserisci manualmente un token di registrazione per eseguire il provisioning del dispositivo.
Registrazione zero-touch
Android 8.0+ (Pixel 7.1+)
I dispositivi acquistati da un rivenditore zero-touch autorizzato sono idonei per la registrazione zero-touch, un metodo semplificato per preconfigurare i dispositivi in modo che eseguano automaticamente il provisioning al primo avvio.
Le organizzazioni possono creare configurazioni contenenti i dettagli di provisioning per i propri dispositivi zero-touch tramite il portale della registrazione zero-touch o utilizzando la console EMM (vedi l'API dei clienti zero-touch). Al primo avvio, un dispositivo zero-touch controlla se gli è stata assegnata una configurazione. In questo caso, il dispositivo scarica Android Device Policy, che completa la configurazione del dispositivo utilizzando gli extra di provisioning specificati nella configurazione assegnata.
Se i tuoi clienti utilizzano il portale della registrazione zero-touch, devono selezionare Android Device Policy come DPC EMM per ogni configurazione che creano. Istruzioni dettagliate su come utilizzare il portale, inclusa la creazione e l'assegnazione di configurazioni ai dispositivi, sono disponibili nel Centro assistenza Android Enterprise.
Se preferisci che i tuoi clienti impostino e assegnino le configurazioni direttamente dalla tua
console EMM, devi eseguire l'integrazione con l'API dei clienti zero-touch. Quando crei una configurazione, specifichi gli extra di provisioning nel campo dpcExtras. Il seguente snippet JSON mostra un esempio di base di cosa includere in dpcExtras, con un token di accesso aggiunto.
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
}
}
Avviare un'app durante la configurazione
setupActions per avviare un'app
durante la configurazione.In policies, puoi specificare un'app da avviare con Android Device Policy
durante la configurazione del dispositivo o del profilo di lavoro. Ad esempio, puoi avviare un'app VPN in modo che
gli utenti possano configurare le impostazioni VPN nell'ambito della procedura di configurazione. L'app deve
restituire RESULT_OK per segnalare il completamento e consentire ad Android Device Policy di
completare il provisioning del dispositivo o del profilo di lavoro. Per avviare un'app durante la configurazione:
Assicurati che installType dell'app sia REQUIRED_FOR_SETUP. Se l'app non può essere
installata o avviata sul dispositivo, il provisioning non andrà a buon fine.
{
"applications":[
{
"packageName":"com.my.vpnapp.",
"installType":"REQUIRED_FOR_SETUP"
}
]
}
Aggiungi il nome del pacchetto dell'app a setupActions. Utilizza title e description per
specificare le istruzioni rivolte agli utenti.
{
"setupActions":[
{
"title":{
"defaultMessage":"Configure VPN"
},
"description":{
"defaultMessage":"Enable your VPN client to access corporate resources."
},
"launchApp":{
"packageName":"com.my.vpnapp."
}
}
]
}
Per distinguere l'avvio di un'app da launchApp, l'attività
avviata per prima come parte dell'app contiene l'extra intent booleano
com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (impostato su
true). Questo extra ti consente di personalizzare l'app in base all'avvio
da setupActions o da parte di un utente.
Dopo che l'app restituisce RESULT_OK, Android Device Policy completa i passaggi rimanenti
necessari per eseguire il provisioning del dispositivo o del profilo di lavoro.
Annullare la registrazione durante la configurazione
L'app avviata come SetupAction può annullare la registrazione restituendo
RESULT_FIRST_USER.
L'annullamento della registrazione reimposta un dispositivo di proprietà aziendale o elimina il profilo di lavoro su un dispositivo di proprietà personale.
Nota: l'annullamento della registrazione attiva l'azione senza una finestra di dialogo di conferma dell'utente. È responsabilità dell'app mostrare all'utente una finestra di dialogo di errore appropriata prima di restituire RESULT_FIRST_USER.
Applicare un criterio ai dispositivi appena registrati
Il metodo che utilizzi per applicare i criteri ai dispositivi appena registrati dipende da te e dai requisiti dei tuoi clienti. Ecco i diversi approcci che puoi utilizzare:
(Consigliato) Quando crei un token di registrazione, puoi specificare il nome della policy (
policyName) che verrà inizialmente collegata al dispositivo. Quando registri un dispositivo con il token, il criterio viene applicato automaticamente al dispositivo.Imposta una norma come predefinita per un'azienda. Se nel token di registrazione non è specificato alcun nome di norma ed esiste una norma con il nome
enterprises/<enterprise_id>/policies/default, ogni nuovo dispositivo viene collegato automaticamente alla norma predefinita al momento della registrazione.Iscriviti a un argomento Cloud Pub/Sub per ricevere notifiche sui dispositivi appena registrati. In risposta a una notifica
ENROLLMENT, chiama il numeroenterprises.devices.patchper collegare il dispositivo a una norma.
Registrare un dispositivo senza criteri
Se un dispositivo viene registrato senza un criterio valido, viene messo in quarantena. I dispositivi in quarantena sono bloccati da tutte le funzioni del dispositivo finché non vengono collegati a un criterio.
Se un dispositivo non viene collegato a un criterio entro cinque minuti, la registrazione del dispositivo non va a buon fine e vengono ripristinati i dati di fabbrica del dispositivo. Lo stato del dispositivo in quarantena ti offre l'opportunità di implementare controlli delle licenze o altri processi di convalida della registrazione nell'ambito della tua soluzione.
Esempio di workflow di controllo delle licenze
- Un dispositivo viene registrato senza criteri predefiniti o specifici.
- Controlla quante licenze rimangono all'azienda.
- Se sono disponibili licenze, utilizza
devices.patchper collegare un criterio al dispositivo, quindi decrementa il conteggio delle licenze. Se non sono disponibili licenze, utilizzadevices.patchper disattivare il dispositivo. In alternativa, l'API ripristina i dati di fabbrica di qualsiasi dispositivo non collegato a un criterio entro cinque minuti dalla registrazione.