רישום וניהול של מכשיר

הקצאת הרשאות ידנית היא תהליך ההגדרה של מכשיר לניהול באמצעות policies באמצעות enterprise. במהלך ההתקנה, המכשיר מתקין את אפליקציית Android Device Policy, שמשמשת לקבלה ולאכיפה של policies. אם ההקצאה הסתיימה בהצלחה, ה-API יוצר אובייקט devices שמקשר את המכשיר לארגון.

ב-Android Management API נעשה שימוש באסימוני רישום כדי להפעיל את תהליך הקצאת ההרשאות הידנית. אסימון הרישום ושיטת ההקצאה שבה אתם משתמשים קובעים את הבעלות על המכשיר (בבעלות אישית או בבעלות החברה) ואת מצב הניהול (פרופיל עבודה או מכשיר מנוהל באופן מלא).

מכשירים בבעלות אישית

Android מגרסה 5.1 ואילך

במכשירים שבבעלות עובדים אפשר להגדיר פרופיל עבודה. פרופיל עבודה מספק מרחב עצמאי לאפליקציות ולנתונים בעבודה, בנפרד מהאפליקציות ומהנתונים האישיים. רוב האפליקציות, הנתונים ואמצעי ניהול אחרים policies חלים רק על פרופיל העבודה, ואילו האפליקציות והנתונים האישיים של העובד נשארים פרטיים.

כדי להגדיר פרופיל עבודה במכשיר שנמצא בבעלות אישית, צריך ליצור אסימון רישום (חשוב לוודא שההגדרה של allowPersonalUsage מוגדרת ל-PERSONAL_USAGE_ALLOWED) ולהשתמש באחת מהשיטות הבאות להקצאת הרשאות:

מכשירים בבעלות החברה לשימוש בעבודה ולשימוש אישי

Android 8 ואילך

אם מגדירים מכשיר בבעלות החברה עם פרופיל עבודה, המכשיר יכול לשמש גם לעבודה וגם לשימוש אישי. במכשירים בבעלות החברה עם פרופיל עבודה:

כדי להגדיר מכשיר בבעלות החברה עם פרופיל עבודה, צריך ליצור אסימון רישום (חשוב לוודא שההגדרת allowPersonalUsage ל-PERSONAL_USAGE_ALLOWED) היא אחת מהשיטות הבאות להקצאת הרשאות:

מכשירים בבעלות החברה המיועדים לשימוש לצורכי עבודה בלבד

Android מגרסה 5.1 ואילך

ניהול מכשירים מלא מתאים למכשירים בבעלות החברה, שמיועדים אך ורק למטרות עבודה. ארגונים יכולים לנהל את כל האפליקציות במכשיר ולאכוף את כל מגוון כללי המדיניות והפקודות ב-Android Management API.

יש גם אפשרות לנעול מכשיר (באמצעות מדיניות) לאפליקציה אחת או לקבוצה קטנה של אפליקציות כדי לשרת מטרה ייעודית או תרחיש לדוגמה. קבוצת המשנה הזו של מכשירים שמנוהלים באופן מלא נקראת מכשירים ייעודיים.

כדי להגדיר ניהול מלא במכשיר בבעלות החברה, צריך ליצור אסימון רישום (חשוב לוודא שהערך של allowPersonalUsage מוגדר ל-PERSONAL_USAGE_DISALLOWED) ולהשתמש באחת משיטות ההקצאה הבאות:

כללי המדיניות יכולים להשפיע על יצירת ממשק המשתמש במהלך הקצאת ההרשאות הידנית. כללי מדיניות כאלה הם:

  • PasswordPolicyScope: הפעולה הזו קובעת את הדרישות לסיסמה.
  • PermittedInputMethods: הגדרה זו קובעת את שיטות הקלט של החבילה.
  • PermittedAccessibilityServices: הגדרה זו קובעת אילו שירותי נגישות מותרים במכשירים מנוהלים באופן מלא ובפרופיל עבודה.
  • SetupActions: הגדרה זו קובעת אילו פעולות יבוצעו במהלך ההגדרה.
  • ApplicationsPolicy: ההגדרה הזו קובעת את המדיניות של אפליקציה ספציפית.

אם אתם רוצים ששלבי הסיסמה יוצגו לצד ההתקנה של אפליקציות לעבודה וכרטיסים לרישום מכשירים במהלך הקצאת המכשיר, מומלץ לעדכן את המדיניות כדי לעכב את יצירת ממשק המשתמש על ידי השארת המכשיר במצב הסגר, שקורה אם הוא רשום ללא מדיניות משויכת, עד שתציינו את המדיניות הסופית שנבחרה להגדרת המכשיר יחד עם הפריטים הרלוונטיים לצורכי ההגדרה שלכם. אחרי שמסיימים להקצות את המכשיר, אפשר לשנות את המדיניות לפי הצורך.

יצירת אסימון רישום

סקירה כללית על Android Management
איור 1. צריך ליצור אסימון שנרשם ומחיל את "policy1" על מכשירים. תוקף האסימון יפוג לאחר 1,800 שניות (30 דקות).

אתם צריכים אסימון רישום לכל מכשיר שאתם רוצים לרשום (אפשר להשתמש באותו אסימון לכמה מכשירים). כדי לבקש אסימון רישום, מתקשרים אל enterprises.enrollmentTokens.create. התוקף של אסימוני הרישום פג אחרי שעה כברירת מחדל, אבל אפשר לציין זמן תפוגה בהתאמה אישית (duration) עד כ-10,000 שנים.

בקשה שמבוצעת בהצלחה מחזירה אובייקט enrollmentToken שמכיל enrollmentTokenId ו-qrcode, שאדמינים ב-IT ומשתמשי קצה יכולים להשתמש בהם כדי להקצות מכשירים.

ציון מדיניות

כדאי גם לציין policyName בבקשה להחלת מדיניות במקביל לרישום המכשיר. אם לא מציינים policyName, יש לעיין בקטע רישום מכשיר ללא מדיניות.

הגדרת שימוש אישי

המדיניות allowPersonalUsage קובעת אם אפשר להוסיף פרופיל עבודה למכשיר במהלך ניהול ההקצאות. אם מגדירים את הערך PERSONAL_USAGE_ALLOWED, המשתמש יכול ליצור פרופיל עבודה (נדרש למכשירים בבעלות אישית. אופציונלי למכשירים בבעלות החברה).

מידע על קודי QR

קודי QR משמשים כשיטה יעילה להקצאת מכשירים לארגונים ששומרים על כללי מדיניות שונים. קוד ה-QR שמוחזר מ-enterprises.enrollmentTokens.create מורכב ממטען ייעודי (payload) של צמדי מפתח/ערך שמכילים אסימון רישום ואת כל המידע שנדרש ל-Android Device Policy כדי להקצות מכשירים.

דוגמה לחבילה של קוד QR

החבילה כוללת את מיקום ההורדה של אפליקציית Device Policy ל-Android ואסימון רישום.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

אפשר להשתמש ישירות בקוד ה-QR שהוחזר מ-enterprises.enrollmentTokens.create, או להתאים אותו אישית. במאמר יצירת קוד QR תוכלו למצוא רשימה מלאה של המאפיינים שאפשר לכלול בחבילה של קודי QR.

כדי להמיר את המחרוזת qrcode לקוד QR לסריקה, צריך להשתמש במחולל קוד QR כמו ZXing.

שיטות הקצאת הרשאות ידנית

בקטע הזה מתוארות שיטות שונות להקצאת מכשיר.

הוספת פרופיל עבודה דרך ההגדרות

Android מגרסה 5.1 ואילך

כדי להגדיר פרופיל עבודה במכשיר, המשתמשים יכולים:

  1. עוברים אל הגדרות > Google > הגדרה ושחזור.
  2. מקישים על הגדרת פרופיל העבודה.

הפעולות האלה מפעילות אשף הגדרה שיוריד את Android Device Policy למכשיר. בשלב הבא, המשתמש יתבקש לסרוק קוד QR או להזין אסימון רישום באופן ידני כדי להשלים את הגדרת פרופיל העבודה.

הורדת האפליקציה 'מדיניות מכשיר' ל-Android

Android מגרסה 5.1 ואילך

כדי להגדיר פרופיל עבודה במכשיר, המשתמשים יכולים להוריד את Android Device Policy מחנות Google Play. אחרי התקנת האפליקציה, המשתמש יתבקש להזין קוד QR או להזין באופן ידני אסימון רישום כדי להשלים את הגדרת פרופיל העבודה.

Android מגרסה 5.1 ואילך

באמצעות אסימון הרישום שמוחזר מ-enrollmentTokens.create או signinEnrollmentToken של הארגון, יוצרים כתובת URL בפורמט הבא:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

ניתן לספק את כתובת ה-URL הזו לאדמינים ב-IT, שיכולים לספק אותה למשתמשי הקצה שלהם. כשמשתמש קצה יפתח את הקישור במכשיר שלו, הוא יקבל הנחיות להגדרת פרופיל העבודה.

כתובת URL לכניסה

בשיטה הזו, המשתמשים מקבלים כתובת URL שמבקשת מהם את פרטי הכניסה שלהם. על סמך פרטי הכניסה שלהם, אפשר לחשב את המדיניות המתאימה למשתמש לפני שממשיכים בניהול של הקצאת המכשיר. למשל:

  1. לציין את כתובת ה-URL לכניסה ב-enterprises.signInDetails[]. מגדירים את allowPersonalUsage לערך PERSONAL_USAGE_ALLOWED אם רוצים לאפשר למשתמש ליצור פרופיל עבודה (חובה למכשירים בבעלות אישית, אופציונלי למכשירים בבעלות חברה).

    מוסיפים את signinEnrollmentToken שמתקבל כהקצאה נוספת של קוד QR, מטען ייעודי (payload) של NFC או הגדרה ללא מגע. לחלופין, אפשר לספק את signinEnrollmentToken ישירות למשתמשים.

  2. בוחרים מבין האפשרויות הבאות:

    1. מכשירים בבעלות החברה: אחרי שמפעילים מכשיר חדש או מכשיר שאופס להגדרות המקוריות, מעבירים את signinEnrollmentToken למכשיר (באמצעות קוד QR, עדכוני NFC וכו') או מבקשים מהמשתמשים להזין את האסימון באופן ידני. המכשיר תפתח את כתובת ה-URL לכניסה שצוינה בשלב 1.
    2. מכשירים בבעלות אישית: מבקשים מהמשתמשים להוסיף פרופיל עבודה בקטע 'הגדרות'. כשהבקשה מופיעה, המשתמש סורק את קוד ה-QR שמכיל את השדה signinEnrollmentToken או מזין את האסימון באופן ידני. המכשיר תפתח את כתובת ה-URL לכניסה שצוינה בשלב 1.
    3. מכשירים בבעלות אישית: מספקים למשתמשים קישור לאסימון רישום, שבו אסימון הרישום הוא signinEnrollmentToken. המכשיר תפתח את כתובת ה-URL לכניסה שצוינה בשלב 1.

  3. כתובת ה-URL לכניסה אמורה לבקש מהמשתמשים להזין את פרטי הכניסה שלהם. על סמך הזהות שלהם, אפשר לקבוע מהי המדיניות המתאימה ולקבל את המידע על הקצאת המכשיר (במהלך רישום המכשיר) באמצעות פרמטר GET provisioningInfo.

  4. קוראים ל-enrollmentTokens.create, ומציינים את policyId המתאים על סמך פרטי הכניסה של המשתמש.

  5. מחזירים את אסימון הרישום שנוצר בשלב 4 באמצעות הפניה לכתובת URL אחרת, בטופס https://enterprise.google.com/android/enroll?et=<token>.

שיטת קוד QR

Android 7.0 ואילך

כדי לנהל את ההקצאות של מכשיר בבעלות החברה, אפשר ליצור קוד QR ולהציג אותו במסוף ה-EMM:

  1. במכשיר חדש או במכשיר שאופס להגדרות המקוריות, המשתמש (בדרך כלל מנהל IT) מקיש על המסך שש פעמים באותו מקום. הפעולה הזו גורמת למכשיר לבקש מהמשתמש לסרוק קוד QR.
  2. המשתמש סורק את קוד ה-QR שמוצג במסוף הניהול (או באפליקציה דומה) כדי לרשום את המכשיר ולהקצות אותו.

שיטת NFC

Android 6.0 ואילך

בשיטה הזו צריך ליצור אפליקציה למתכנתים NFC שמכילה את אסימון הרישום, את המדיניות הראשונית, את הגדרות ה-Wi-Fi, את ההגדרות ואת כל שאר הפרטים של ניהול הקצאות ידני שנדרשים על ידי הלקוח להקצאת מכשיר ייעודי או מנוהל באופן מלא. כשאתם או הלקוח שלכם מתקינים את האפליקציה של מתכנת ה-NFC במכשיר מבוסס Android, המכשיר הזה הופך למכשיר המתכנת.

הנחיות מפורטות לגבי תמיכה בשיטת NFC זמינות במסמכי התיעוד למפתחים של Play EMM API. האתר כולל גם קוד לדוגמה של הפרמטרים המוגדרים כברירת מחדל שהועברו למכשיר בעלייה של NFC. כדי להתקין את Android Device Policy, הגדירו את מיקום ההורדה של חבילת מנהל המכשיר כ:

https://play.google.com/managed/downloadManagingApp?identifier=setup

שיטת מזהה DPC

אם אי אפשר להוסיף את אפליקציית Device Policy ל-Android באמצעות קוד QR או NFC, משתמש או אדמין ב-IT יכולים לבצע את ההוראות הבאות כדי להקצות מכשיר בבעלות החברה:

  1. פועלים לפי ההנחיות של אשף ההגדרה במכשיר חדש או במכשיר שאופס להגדרות המקוריות.
  2. יש להזין את פרטי ההתחברות ל-Wi-Fi כדי לחבר את המכשיר לאינטרנט.
  3. כשתתבקש להיכנס, הזן afw#setup, ולהוריד את Android Device Policy.
  4. סורקים קוד QR או מזינים אסימון רישום באופן ידני כדי להקצות את המכשיר.

הרשמה דרך הארגון

Android 8.0 ואילך (Pixel 7.1 ואילך)

מכשירים שנרכשו ממפיץ מורשה ללא מגע מתאימים להרשמה דרך הארגון – שיטה פשוטה להגדרה מראש של מכשירים כך שיוקצו להם באופן אוטומטי בהפעלה הראשונה.

ארגונים יכולים ליצור הגדרות אישיות שמכילות את פרטי ההקצאה של המכשירים שלהם ללא מגע, דרך פורטל ההרשמה דרך הארגון או דרך מסוף ה-EMM (מידע נוסף זמין ב-API ללקוח דרך הארגון). בהפעלה הראשונה, מכשיר ללא מגע בודק אם הוקצתה לו הגדרה. במקרה כזה, המכשיר מוריד את Android Device Policy, ואז ניתן להשלים את הגדרת המכשיר באמצעות התוספות להקצאת הרשאות שצוינו בהגדרות האישיות שהוקצו לו.

אם הלקוחות שלך משתמשים בפורטל ההרשמה דרך הארגון, הם צריכים לבחור את Android Device Policy בתור ה-DPC של ה-EMM לכל הגדרה שהם יוצרים. במרכז העזרה של Android Enterprise אפשר למצוא הוראות מפורטות לשימוש בפורטל, כולל יצירה והקצאה של הגדרות אישיות למכשירים.

אם אתם מעדיפים שהלקוחות יקבעו ויקצו הגדרות ישירות ממסוף ה-EMM, עליכם לשלב את ממשק ה-API ללקוחות ללא מגע. כשיוצרים מערך הגדרות אישיות, צריך לציין תוספות להקצאה בשדה dpcExtras. קטע הקוד הבא של JSON מציג דוגמה בסיסית למה שצריך לכלול ב-dpcExtras, עם אסימון כניסה נוסף.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

הפעלת אפליקציה במהלך ההגדרה

פעולת הגדרה
איור 2. שימוש ב-setupActions כדי להפעיל אפליקציה במהלך ההגדרה.

ב-policies אפשר להגדיר אפליקציה אחת ל-Android Device Policy שתופעל במהלך הגדרת המכשיר או פרופיל העבודה. לדוגמה, תוכלו להפעיל אפליקציית VPN כדי שהמשתמשים יוכלו לקבוע את הגדרות ה-VPN כחלק מתהליך ההגדרה. האפליקציה חייבת להחזיר את הערך RESULT_OK כדי לאותת על השלמת התהליך, ולאפשר ל-Android Device Policy להשלים את ניהול ההקצאות של המכשיר או של פרופיל העבודה. כדי להפעיל אפליקציה במהלך ההגדרה:

מוודאים שה-installType של האפליקציה הוא REQUIRED_FOR_SETUP. אם לא ניתן להתקין או להפעיל את האפליקציה במכשיר, ניהול ההקצאות ייכשל.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

יש להוסיף את שם החבילה של האפליקציה אל setupActions. משתמשים ב-title וב-description כדי לציין הוראות למשתמשים.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

כדי להבחין שאפליקציה מופעלת מ-launchApp, הפעילות שמופעלת לראשונה כחלק מהאפליקציה כוללת ערך בוליאני נוסף מסוג com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (מוגדר כ-true). תוספת זו מאפשרת להתאים אישית את האפליקציה בהתאם לאופן ההשקה שלה: setupActions או על ידי משתמש.

אחרי שהאפליקציה תחזיר את RESULT_OK, אפליקציית Android Device Policy משלימה את כל השלבים שנותרו להקצאת המכשיר או פרופיל העבודה.

ביטול ההרשמה במהלך ההגדרה

האפליקציה שמופעלת כ-SetupAction יכולה לבטל הרשמה שחוזרת: RESULT_CANCELED.

ביטול הרישום מאפס מכשיר בבעלות החברה או מחיקת פרופיל העבודה במכשיר בבעלות אישית.

הערה: ביטול ההרשמה מפעיל את הפעולה ללא תיבת דו-שיח לאישור המשתמש. באחריות האפליקציה להציג למשתמש תיבת דו-שיח עם שגיאה מתאימה לפני החזרת התוצאה.

החלת מדיניות על מכשירים רשומים חדשים

השיטה שבה משתמשים כדי להחיל את כללי המדיניות על מכשירים חדשים שנרשמים תלויה בכם ובדרישות של הלקוחות. אפשר להשתמש בגישות הבאות:

  • (מומלץ) כשיוצרים אסימון רישום, אפשר לציין את שם המדיניות (policyName) שיהיה מקושר בהתחלה למכשיר. כשרושמים מכשיר עם האסימון, המדיניות חלה על המכשיר באופן אוטומטי.

  • הגדרת מדיניות כמדיניות ברירת המחדל בארגון. אם לא צוין שם מדיניות באסימון הרישום ויש מדיניות בשם enterprises/<enterprise_id>/policies/default, כל מכשיר חדש מקושר באופן אוטומטי למדיניות ברירת המחדל בזמן הרישום.

  • הרשמה לנושא Cloud Pub/Sub כדי לקבל התראות על מכשירים חדשים שנרשמו. בתגובה להתראות מ-ENROLLMENT, מתקשרים למספר enterprises.devices.patch כדי לקשר את המכשיר למדיניות.

רישום מכשיר ללא מדיניות

אם מכשיר רשום ללא מדיניות תקפה, המכשיר מועבר להסגר. מכשירים שנמצאים בהסגר חסומים לכל הפונקציות של המכשיר, עד שהוא יקושר למדיניות.

אם מכשיר לא מקושר למדיניות תוך חמש דקות, הרישום של המכשיר ייכשל והמכשיר יאופס להגדרות המקוריות. מצב המכשיר בהסגר מאפשר לכם להטמיע בדיקות רישוי או תהליכי אימות רישום אחרים כחלק מהפתרון שלכם.

דוגמה לתהליך עבודה של בדיקת רישוי

  1. המכשיר רשום ללא מדיניות ברירת מחדל או מדיניות ספציפית.
  2. לבדוק כמה רישיונות נשארו לארגון.
  3. אם יש רישיונות זמינים, משתמשים ב-devices.patch כדי לצרף מדיניות למכשיר ואז מקטינים את מספר הרישיונות. אם אין רישיונות זמינים, משתמשים ב-devices.patch כדי להשבית את המכשיר. לחלופין, כל מכשיר שלא מצורף למדיניות יאפס להגדרות המקוריות של ה-API תוך חמש דקות ממועד ההרשמה.