Ta strona została przetłumaczona przez Cloud Translation API.

Rejestrowanie i udostępnianie urządzenia

Obsługa administracyjna polega na konfigurowaniu urządzenia, które ma być zarządzane za pomocą policies przez enterprise. W trakcie tego procesu urządzenie instaluje aplikację Android Device Policy, która służy do odbierania i wymuszania stosowania policies. Jeśli obsługa administracyjna się powiedzie, interfejs API utworzy obiekt devices, powiążąc urządzenie z firmą.

Interfejs Android Management API używa tokenów rejestracji do aktywowania procesu obsługi administracyjnej. Używany przez Ciebie token rejestracji i metoda obsługi administracyjnej umożliwiają określenie własności urządzenia (należącego do osoby fizycznej lub firmy) i trybu zarządzania (profil służbowy lub w pełni zarządzane urządzenie).

Urządzenia należące do osoby prywatnej

Androida 5.1 lub nowszego

Urządzenia należące do pracowników można skonfigurować przy użyciu profilu służbowego. Profil służbowy zapewnia oddzielną przestrzeń na służbowe aplikacje i dane, niezależnie od aplikacji i danych osobistych. Większość aplikacji, danych i innych funkcji zarządzania policies ma zastosowanie tylko do profilu służbowego, a osobiste aplikacje i dane pracownika pozostają prywatne.

Aby skonfigurować profil służbowy na urządzeniu należącym do Ciebie, utwórz token rejestracji (upewnij się, że allowPersonalUsage ma wartość PERSONAL_USAGE_ALLOWED) i użyj jednej z tych metod obsługi administracyjnej:

Dodawanie profilu służbowego w sekcji „Ustawienia”
Pobieranie Android Device Policy
Link do tokena rejestracji
Adres URL logowania

Urządzenia należące do firmy do użytku osobistego i służbowego

Androida 8 lub nowszego,

Skonfigurowanie profilu służbowego na urządzeniu należącym do firmy umożliwia zarówno korzystanie z urządzenia służbowego, jak i osobistego. Na należących do firmy urządzeniach z profilami służbowymi:

Większość funkcji policies związanych z aplikacjami, danymi i innymi funkcjami zarządzania działa tylko w profilu służbowym.
Osobisty profil pracownika pozostaje prywatny. Firmy mogą jednak egzekwować pewne zasady dotyczące wszystkich urządzeń i zasady użytkowania osobistego.
Firmy mogą używać blockScope do egzekwowania działań dotyczących zgodności na całym urządzeniu lub tylko w profilu służbowym.
devices.delete i polecenia dotyczące urządzenia dotyczą całego urządzenia.

Aby skonfigurować należące do firmy urządzenie z profilem służbowym, utwórz token rejestracji (upewnij się, że allowPersonalUsage ma wartość PERSONAL_USAGE_ALLOWED) i użyj jednej z tych metod obsługi administracyjnej:

Rejestracja typu Zero-Touch
Kod QR
Adres URL logowania
Identyfikator DPC

Urządzenia należące do firmy tylko do użytku służbowego

Androida 5.1 lub nowszego

Pełne zarządzanie urządzeniami jest odpowiednie na urządzeniach należących do firmy przeznaczonych wyłącznie do celów służbowych. Firmy mogą zarządzać wszystkimi aplikacjami na urządzeniu i egzekwować pełen zakres zasad oraz poleceń interfejsu Android Management API.

Możesz też zablokować urządzenie (za pomocą zasad) na potrzeby pojedynczej aplikacji lub niewielkiego zbioru aplikacji, które spełniają określone wymagania. Ten podzbiór w pełni zarządzanych urządzeń jest nazywany urządzeniami dedykowanymi.

Aby skonfigurować pełne zarządzanie na urządzeniu należącym do firmy, utwórz token rejestracji (upewnij się, że ustawienie allowPersonalUsage ma wartość PERSONAL_USAGE_DISALLOWED) i użyj jednej z tych metod obsługi administracyjnej:

Rejestracja typu Zero-Touch
Kod QR
Adres URL logowania (nieodpowiedni na specjalne urządzenia)
NFC
Identyfikator DPC

Zasady mogą wpływać na generowanie UI podczas obsługi administracyjnej urządzenia. Do takich zasad należą:

PasswordPolicyScope: to ustawienie określa wymagania dotyczące haseł.
PermittedInputMethods: określa metody przesyłania pakietu.
PermittedAccessibilityServices: określa, które usługi ułatwień dostępu są dozwolone na w pełni zarządzanych urządzeniach i w profilu służbowym.
SetupActions: określa, jakie działania mają być wykonywane podczas konfiguracji.
ApplicationsPolicy: określa zasady obowiązujące w przypadku danej aplikacji.

Jeśli chcesz, aby instrukcje dotyczące haseł były wyświetlane razem z instalowaniem aplikacji służbowych i kart rejestracji urządzeń podczas obsługi administracyjnej urządzenia, zalecamy zaktualizowanie zasad, aby opóźnić rozpoczęcie generowania interfejsu. Aby to zrobić, pozostaw urządzenie w stanie kwarantanny, co ma miejsce, gdy urządzenie zostanie zarejestrowane bez powiązanych zasad, aż do określenia ostatecznej wybranej zasady konfiguracji urządzenia zawierającej elementy odpowiadające Twoim potrzebom. Po zakończeniu obsługi administracyjnej urządzenia możesz w razie potrzeby zmienić zasady.

Tworzenie tokena rejestracji

Omówienie Zarządzania urządzeniami z Androidem. — **Rysunek 1.** Utwórz token, który rejestruje i stosuje „policy1” do urządzeń. Po 1800 sekundach (30 minutach) token wygasa.

Musisz mieć token rejestracji dla każdego urządzenia, które chcesz zarejestrować (tego samego tokena możesz użyć na wielu urządzeniach). Aby poprosić o token rejestracji, wywołaj enterprises.enrollmentTokens.create. Tokeny rejestracji wygasają domyślnie po godzinie, ale możesz określić niestandardowy czas ważności (duration) do około 10 000 lat.

Pomyślne żądanie zwraca obiekt enrollmentToken zawierający enrollmentTokenId i qrcode, których administratorzy IT i użytkownicy mogą używać do obsługi administracyjnej urządzeń.

Określ zasadę

Możesz też podać w żądaniu właściwość policyName, aby stosować zasady w czasie rejestrowania urządzenia. Jeśli nie określisz policyName, przeczytaj artykuł Rejestrowanie urządzenia bez zasad.

Określ użycie do celów prywatnych

allowPersonalUsage określa, czy można dodać profil służbowy na urządzeniu podczas obsługi administracyjnej. Ustaw jako PERSONAL_USAGE_ALLOWED, aby umożliwić użytkownikowi tworzenie profilu służbowego (wymagane w przypadku urządzeń należących do firmy, opcjonalne na urządzeniach należących do firmy).

Informacje o kodach QR

Kody QR stanowią wydajną metodę udostępniania urządzeń w firmach, które stosują wiele różnych zasad. Kod QR zwrócony z enterprises.enrollmentTokens.create składa się z ładunku par klucz-wartość zawierających token rejestracji i wszystkie informacje potrzebne do obsługi administracyjnej urządzenia przez Android Device Policy.

Przykładowy pakiet z kodem QR

Pakiet zawiera lokalizację pobierania aplikacji Android Device Policy i token rejestracji.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Możesz użyć kodu QR zwróconego przez enterprises.enrollmentTokens.create bezpośrednio lub dostosować go. Pełną listę właściwości, które można uwzględnić w pakiecie z kodem QR, znajdziesz w sekcji Tworzenie kodu QR.

Aby przekonwertować ciąg qrcode na kod QR, który można zeskanować, użyj generatora kodów QR, takiego jak ZXing.

Metody obsługi administracyjnej

W tej sekcji opisano różne metody obsługi administracyjnej urządzenia.

Dodawanie profilu służbowego w sekcji „Ustawienia”

Androida 5.1 lub nowszego

Aby skonfigurować profil służbowy na swoim urządzeniu, użytkownik może:

Otwórz Ustawienia > Google > Konfiguracja i przywracanie.
Kliknij Skonfiguruj profil służbowy.

Te kroki uruchamiają kreatora konfiguracji, który pobiera aplikację Android Device Policy na urządzenie. Następnie użytkownik zostanie poproszony o zeskanowanie kodu QR lub ręczne wpisanie tokena rejestracji w celu ukończenia konfiguracji profilu służbowego.

Pobieranie Android Device Policy

Androida 5.1 lub nowszego

Aby skonfigurować profil służbowy na urządzeniu, użytkownik może pobrać aplikację Android Device Policy ze Sklepu Google Play. Po zainstalowaniu aplikacji użytkownik zostanie poproszony o podanie kodu QR lub ręczne wpisanie tokena rejestracji w celu ukończenia konfiguracji profilu służbowego.

Link do tokena rejestracji

Androida 5.1 lub nowszego

Za pomocą tokena rejestracji zwróconego z enrollmentTokens.create lub signinEnrollmentToken firmy wygeneruj URL w tym formacie:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Możesz go przekazać administratorom IT, aby mogli przekazać go użytkownikom. Gdy użytkownik otworzy link na swoim urządzeniu, przeprowadzi go przez proces konfiguracji profilu służbowego.

Adres URL logowania

W przypadku tej metody użytkownicy otrzymują adres URL z prośbą o podanie danych logowania. Na podstawie danych logowania użytkownika możesz obliczyć odpowiednią zasadę dla użytkownika przed rozpoczęciem obsługi administracyjnej urządzenia. Na przykład:

Podaj adres URL logowania w enterprises.signInDetails[]. Ustaw allowPersonalUsage na PERSONAL_USAGE_ALLOWED, aby zezwolić użytkownikowi na tworzenie profilu służbowego (wymagane w przypadku urządzeń należących do firmy, opcjonalne w przypadku urządzeń należących do firmy).

Dodaj uzyskany signinEnrollmentToken jako obsługę administracyjną do kodu QR, ładunku NFC lub konfiguracji rejestracji typu zero-touch. Możesz też podać właściwość signinEnrollmentToken bezpośrednio użytkownikom.
Wybierz opcję:
1. Urządzenia należące do firmy: po włączeniu nowego urządzenia lub zresetowaniu do ustawień fabrycznych przekaż na nie signinEnrollmentToken (za pomocą kodu QR, NFC itp.) lub poproś użytkownika o ręczne wpisywanie tokena. Urządzenie otworzy adres URL logowania określony w kroku 1.
2. Urządzenia należące do osoby prywatnej: poproś użytkowników o dodanie profilu służbowego w „Ustawieniach”. Gdy pojawi się prośba, użytkownik zeskanuje kod QR zawierający signinEnrollmentToken lub ręcznie wpisuje token. Urządzenie otworzy adres URL logowania określony w kroku 1.
3. Urządzenia należące do osoby prywatnej: podaj użytkownikom link z tokenem rejestracji, gdzie tokenem rejestracji jest signinEnrollmentToken. Urządzenie otworzy adres URL logowania określony w kroku 1.
Twój adres URL logowania powinien zachęcać użytkowników do podania danych logowania. Na podstawie ich tożsamości możesz określić odpowiednie zasady i uzyskać informacje o obsłudze urządzeń (podczas rejestracji urządzenia) za pomocą parametru GET provisioningInfo.

Sprawdzona metoda: skorzystaj z usług dostawcy logowania jednokrotnego w organizacji, aby uwierzytelnić dane uwierzytelniające, które użytkownicy wpisują w adresie URL logowania (lub przy kolejnych przekierowaniach). Adresy URL logowania są otwierane na karcie niestandardowej Chrome, a logowanie jednokrotne przez użytkowników jest zapisywane na potrzeby przyszłego logowania w aplikacji za pomocą uwierzytelniania aplikacji.
Wywołaj enrollmentTokens.create, określając odpowiednią wartość policyId na podstawie danych logowania użytkownika.
Zwróć token rejestracji wygenerowany w kroku 4 przy użyciu przekierowania adresu URL do formularza https://enterprise.google.com/android/enroll?et=<token>.

Uwaga: jeśli użytkownik nie ma uprawnień do ukończenia procesu obsługi administracyjnej, możesz wyświetlać niestandardowe ekrany błędów i przekierowywać użytkowników na stronę https://enterprise.google.com/android/enroll/invalid, aby pomóc mu zresetować urządzenie.

Metoda z użyciem kodu QR

Android 7.0 lub nowszy

Aby udostępnić urządzenie należące do firmy, możesz wygenerować kod QR i wyświetlić go w konsoli EMM:

Na nowym urządzeniu lub urządzeniu z przywróconymi ustawieniami fabrycznymi użytkownik (zwykle jest to administrator IT) klika ekran 6 razy w tym samym miejscu. Urządzenie poprosi użytkownika o zeskanowanie kodu QR.
Użytkownik skanuje kod QR wyświetlany w konsoli zarządzania (lub podobnej aplikacji), aby zarejestrować i udostępnić urządzenie.

Metoda NFC

Androida 6.0 lub nowszego

Ta metoda wymaga utworzenia aplikacji programistycznej NFC, która zawiera token rejestracji, wstępne zasady, konfigurację Wi-Fi i ustawienia oraz wszystkie inne szczegóły obsługi administracyjnej wymagane przez klienta do udostępnienia w pełni zarządzanego lub dedykowanego urządzenia. Gdy Ty lub Twój klient zainstalujecie aplikację programisty NFC na urządzeniu z Androidem, to urządzenie staje się programistą.

Szczegółowe wskazówki dotyczące obsługi metody NFC znajdziesz w dokumentacji dla programistów interfejsu Play EMM API. Zawiera ona też przykładowy kod parametrów domyślnych przekazanych na urządzenie przy użyciu komunikacji NFC. Aby zainstalować Android Device Policy, ustaw lokalizację pobierania pakietu administratora urządzenia na:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Metoda identyfikatora DPC

Jeśli nie można dodać aplikacji Android Device Policy przy użyciu kodu QR lub NFC, użytkownik lub administrator IT może wykonać te czynności, aby udostępnić urządzenie należące do firmy:

Wykonaj instrukcje kreatora konfiguracji na nowym urządzeniu lub urządzeniu z przywróconymi ustawieniami fabrycznymi.
Podaj dane logowania do Wi-Fi, aby połączyć urządzenie z internetem.
Gdy pojawi się prośba o zalogowanie się, wpisz kod afw#setup, aby pobrać aplikację Android Device Policy.
Zeskanuj kod QR lub ręcznie wpisz token rejestracji, aby udostępnić urządzenie.

Rejestracja typu zero-touch

Android 8.0 lub nowszy (Pixel 7.1 i nowsze)

Urządzenia kupione u autoryzowanego sprzedawcy obsługującego rejestrację typu zero-touch można stosować do rejestracji typu zero-touch, czyli uproszczonej metody ich wstępnego konfigurowania przy pierwszym uruchomieniu.

Organizacje mogą tworzyć konfiguracje zawierające szczegóły obsługi administracyjnej urządzeń z obsługą rejestracji typu zero-touch, korzystając z portalu rejestracji typu zero-touch lub w konsoli EMM (zobacz Interfejs API dla klientów korzystających z rejestracji typu zero-touch). Przy pierwszym uruchomieniu urządzenie do rejestracji typu zero-touch sprawdza, czy ma przypisaną konfigurację. W takim przypadku urządzenie pobiera aplikację Android Device Policy, która następnie kończy konfigurację urządzenia przy użyciu dodatkowych elementów obsługi administracyjnej określonych w przypisanej konfiguracji.

Jeśli Twoi klienci używają portalu rejestracji typu zero-touch, muszą dla każdej konfiguracji wybrać Android Device Policy jako dostawcę usług EMM dla każdej konfiguracji. Szczegółowe instrukcje korzystania z portalu, w tym informacje o tworzeniu i przypisywaniu konfiguracji do urządzeń, znajdziesz w Centrum pomocy Androida Enterprise.

Jeśli chcesz, aby klienci konfigurowali i przypisywali konfiguracje bezpośrednio w konsoli EMM, musisz przeprowadzić integrację z interfejsem API obsługi klienta typu zero-touch. Podczas tworzenia konfiguracji udostępniasz dodatki w polu dpcExtras. Ten fragment kodu JSON zawiera podstawowy przykład tego, co należy uwzględnić w dpcExtras z dodanym tokenem logowania.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Uruchamianie aplikacji podczas konfiguracji

konfiguracja — **Rysunek 2.** Użyj `setupActions`, aby uruchomić aplikację podczas konfiguracji.

W policies możesz określić jedną aplikację Android Device Policy, która będzie uruchamiana podczas konfigurowania urządzenia lub profilu służbowego. Możesz na przykład uruchomić aplikację VPN, aby użytkownicy mogli konfigurować ustawienia VPN w ramach procesu konfiguracji. Aplikacja musi zwracać kod RESULT_OK, aby zasygnalizować zakończenie, i umożliwić Android Device Policy ukończenie obsługi administracyjnej urządzenia lub profilu służbowego. Aby uruchomić aplikację podczas konfiguracji:

Upewnij się, że pole installType aplikacji to REQUIRED_FOR_SETUP. Jeśli nie da się zainstalować ani uruchomić aplikacji na urządzeniu, obsługa administracyjna się nie powiedzie.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Dodaj nazwę pakietu aplikacji do setupActions. Użyj title i description, aby określić instrukcje dla użytkownika.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Aby odróżnić aplikację od launchApp, aktywność uruchamiana po raz pierwszy jako część aplikacji zawiera dodatkową intencję logiczną com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (ustawioną jako true). Dzięki temu możesz dostosowywać aplikację w zależności od tego, czy została uruchomiona w setupActions czy przez użytkownika.

Gdy aplikacja zwróci kod RESULT_OK, Android Device Policy wykona pozostałe czynności wymagane do obsługi administracyjnej urządzenia lub profilu służbowego.

Anuluj rejestrację podczas konfiguracji

Aplikacja uruchomiona jako SetupAction może anulować zwracanie rejestracji RESULT_CANCELED.

Anulowanie rejestracji spowoduje zresetowanie urządzenia należącego do firmy lub usunięcie profilu służbowego na urządzeniu należącym do firmy.

Uwaga: anulowanie rejestracji powoduje uruchomienie działania bez okna potwierdzenia użytkownika. Przed zwróceniem wyniku aplikacja musi wyświetlić użytkownikowi odpowiednie okno z komunikatem o błędzie.

Zastosuj zasadę do nowo zarejestrowanych urządzeń

Sposób stosowania zasad do nowo zarejestrowanych urządzeń zależy od Ciebie i wymagań Twoich klientów. Oto różne podejścia, których możesz użyć:

(Zalecane) Podczas tworzenia tokena rejestracji możesz podać nazwę zasady (policyName), która będzie początkowo połączona z urządzeniem. Gdy zarejestrujesz urządzenie za pomocą tokena, zasady zostaną na nim automatycznie zastosowane.
Ustaw zasadę jako domyślną zasadę przedsiębiorstwa. Jeśli w tokenie rejestracji nie określono nazwy zasady, ale istnieje zasada o nazwie enterprises/<enterprise_id>/policies/default, każde nowe urządzenie jest automatycznie łączone z tą zasadą w momencie rejestracji.
Zasubskrybuj temat Cloud Pub/Sub, by otrzymywać powiadomienia o nowo zarejestrowanych urządzeniach. W odpowiedzi na powiadomienie ENROLLMENT wywołaj enterprises.devices.patch, aby połączyć urządzenie z zasadami.

Rejestrowanie urządzenia bez zasad

Jeśli urządzenie jest zarejestrowane bez prawidłowych zasad, jest umieszczane w kwarantannie. Urządzenia poddane kwarantannie są zablokowane i nie mają dostępu do żadnych funkcji, dopóki nie zostaną powiązane z zasadami.

Jeśli urządzenie nie zostanie powiązane z zasadami w ciągu 5 minut, rejestracja nie powiedzie się, a urządzenie zostanie przywrócone do ustawień fabrycznych. Stan urządzenia w kwarantannie umożliwia wdrożenie w ramach rozwiązania kontroli licencji lub innych procesów weryfikacji rejestracji.

Przykładowy proces sprawdzania licencji

Urządzenie jest zarejestrowane bez domyślnej zasady lub konkretnej zasady.
Sprawdź, ile licencji zostało jeszcze dla firmy.
Jeśli są dostępne licencje, użyj devices.patch, aby połączyć zasadę z urządzeniem, a następnie zmniejsz liczbę licencji. Jeśli nie ma dostępnych licencji, wyłącz urządzenie za pomocą devices.patch. Oprócz tego interfejs API przywraca ustawienia fabryczne wszystkich urządzeń, które nie są dołączone do zasad, w ciągu 5 minut od rejestracji.