Эта страница переведена с помощью Cloud Translation API.

Регистрация и подготовка устройства

Инициализация — это процесс настройки устройства для управления с помощью policies enterprise . В ходе этого процесса на устройстве устанавливается Android Device Policy, которая используется для получения и применения policies . Если подготовка прошла успешно, API создает объект devices , привязывая устройство к предприятию.

Android Management API использует токены регистрации для запуска процесса подготовки. Используемый вами токен регистрации и метод подготовки определяют принадлежность устройства (личное или корпоративное) и режим управления (рабочий профиль или полностью управляемое устройство).

Личные устройства

Андроид 5.1+

На устройствах, принадлежащих сотрудникам, можно настроить рабочий профиль . Рабочий профиль предоставляет автономное пространство для рабочих приложений и данных, отдельное от личных приложений и данных. Большинство политик управления приложениями, данными и другими policies управления применяются только к рабочему профилю, в то время как личные приложения и данные сотрудника остаются конфиденциальными.

Чтобы настроить рабочий профиль на личном устройстве, создайте токен регистрации (убедитесь, что для allowPersonalUsage установлено значение PERSONAL_USAGE_ALLOWED ) и используйте один из следующих методов подготовки:

Добавить рабочий профиль из «Настройки»
Загрузить политику использования устройств Android
Ссылка на токен регистрации
URL-адрес для входа

Корпоративные устройства для работы и личного использования

Андроид 8+

Настройка рабочего профиля на принадлежащем компании устройстве позволяет использовать его как для работы, так и для личного использования. На корпоративных устройствах с рабочими профилями:

Большинство политик управления приложениями, данными и другими policies управления применяются только к рабочему профилю.
Личный профиль сотрудника остается закрытым. Однако предприятия могут применять определенные политики для всего устройства и политики личного использования .
Предприятия могут использовать blockScope для обеспечения соблюдения требований на всем устройстве или только на его рабочем профиле.
Команды devices.delete и устройства применяются ко всему устройству.

Чтобы настроить корпоративное устройство с рабочим профилем, создайте токен регистрации (убедитесь, что для allowPersonalUsage установлено значение PERSONAL_USAGE_ALLOWED ) и используйте один из следующих методов подготовки:

Регистрация без участия пользователя
QR код
URL-адрес для входа
идентификатор ЦОД

Корпоративные устройства только для рабочего использования.

Андроид 5.1+

Полное управление устройствами подходит для корпоративных устройств, предназначенных исключительно для рабочих целей. Предприятия могут управлять всеми приложениями на устройстве и применять весь спектр политик и команд Android Management API.

Также можно заблокировать устройство ( с помощью политики ) для одного приложения или небольшого набора приложений для определенной цели или варианта использования. Это подмножество полностью управляемых устройств называется выделенными устройствами .

Чтобы настроить полное управление на принадлежащем компании устройстве, создайте токен регистрации (убедитесь, что для allowPersonalUsage установлено значение PERSONAL_USAGE_DISALLOWED ) и используйте один из следующих методов подготовки:

Регистрация без участия пользователя
QR код
URL-адрес для входа (не подходит для выделенных устройств)
НФК
идентификатор ЦОД

Политики могут влиять на создание пользовательского интерфейса во время подготовки устройства. Такая политика:

PasswordPolicyScope : определяет требования к паролю.
PermittedInputMethods : определяет методы ввода пакета.
PermittedAccessibilityServices : определяет, какие службы доступности разрешены для полностью управляемых устройств и рабочего профиля.
SetupActions : определяет, какие действия выполняются во время установки.
ApplicationsPolicy : определяет политику для отдельного приложения.

Если вы хотите, чтобы шаги по вводу пароля отображались вместе с установкой рабочих приложений и карточек регистрации устройств во время подготовки устройства, мы предлагаем обновить ваши политики, чтобы задержать начало создания пользовательского интерфейса, удерживая устройство в состоянии карантина , что происходит, если оно зарегистрировано без связанного политики, пока не будет указана окончательная выбранная политика для настройки устройства, заполненная элементами, соответствующими вашим потребностям в настройке. После завершения подготовки устройства вы можете изменить политику по мере необходимости.

Создайте токен регистрации

Обзор управления Android. — **Рисунок 1.** Создайте токен, который регистрирует и применяет политику «policy1» к устройствам. Через 1800 секунд (30 минут) срок действия токена истекает.

Вам понадобится токен регистрации для каждого устройства, которое вы хотите зарегистрировать (вы можете использовать один и тот же токен для нескольких устройств). Чтобы запросить токен регистрации, вызовите enterprises.enrollmentTokens.create . По умолчанию срок действия токенов регистрации истекает через один час, но вы можете указать собственный срок действия ( duration ) примерно до 10 000 лет.

Успешный запрос возвращает объект enrollmentToken , содержащий enrollmentTokenId и qrcode , который ИТ-администраторы и конечные пользователи могут использовать для подготовки устройств.

Укажите политику

Вы также можете указать в запросе policyName , чтобы применить политику одновременно с регистрацией устройства. Если вы не указали policyName , см. раздел Регистрация устройства без политики .

Укажите личное использование

allowPersonalUsage определяет, можно ли добавить рабочий профиль на устройство во время подготовки. Установите значение PERSONAL_USAGE_ALLOWED , чтобы разрешить пользователю создавать рабочий профиль (обязательно для личных устройств и необязательно для корпоративных устройств).

О QR-кодах

QR-коды служат эффективным методом предоставления устройств для предприятий, которые поддерживают множество различных политик. QR-код, возвращаемый из enterprises.enrollmentTokens.create , состоит из полезных данных пар ключ-значение, содержащих токен регистрации и всю информацию, необходимую для политики устройств Android для подготовки устройства.

Пример пакета QR-кода

В комплект входит место загрузки Android Device Policy и токен регистрации.

{
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
    "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
    "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
        "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "{enrollment-token}"
    }
}

Вы можете использовать QR-код, полученный из enterprises.enrollmentTokens.create , напрямую или настроить его. Полный список свойств, которые вы можете включить в пакет QR-кода, см. в разделе Создание QR-кода .

Чтобы преобразовать строку qrcode в сканируемый QR-код, используйте генератор QR-кода, например ZXing .

Методы обеспечения

В этом разделе описаны различные методы подготовки устройства.

Добавить рабочий профиль из «Настройки»

Андроид 5.1+

Чтобы настроить рабочий профиль на своем устройстве, пользователь может:

Откройте «Настройки» > «Google» > «Настройка и восстановление» .
Нажмите «Настроить рабочий профиль» .

Эти шаги запускают мастер установки, который загружает Android Device Policy на устройство. Далее пользователю будет предложено отсканировать QR-код или вручную ввести токен регистрации, чтобы завершить настройку рабочего профиля.

Загрузить политику использования устройств Android

Андроид 5.1+

Чтобы настроить рабочий профиль на своем устройстве, пользователь может загрузить Android Device Policy из магазина Google Play. После установки приложения пользователю будет предложено ввести QR-код или вручную ввести токен регистрации, чтобы завершить настройку рабочего профиля.

Ссылка на токен регистрации

Андроид 5.1+

Используя токен регистрации, возвращенный из enrollmentTokens.create или корпоративный signinEnrollmentToken , сгенерируйте URL-адрес в следующем формате:

https://enterprise.google.com/android/enroll?et=<enrollmentToken>

Вы можете предоставить этот URL-адрес ИТ-администраторам, которые смогут предоставить его своим конечным пользователям. Когда конечный пользователь откроет ссылку со своего устройства, он получит инструкции по настройке рабочего профиля.

URL-адрес для входа

При использовании этого метода пользователям предоставляется URL-адрес, который запрашивает учетные данные. На основе их учетных данных вы можете рассчитать соответствующую политику для пользователя, прежде чем приступить к подготовке устройства. Например:

Укажите URL-адрес для входа в enterprises.signInDetails[] . Установите для allowPersonalUsage значение PERSONAL_USAGE_ALLOWED если вы хотите разрешить пользователю создавать рабочий профиль (обязательно для личных устройств и необязательно для корпоративных устройств).
Добавьте полученный signinEnrollmentToken в качестве дополнительного обеспечения в QR-код , полезную нагрузку NFC или конфигурацию автоматического управления . Альтернативно вы можете предоставить signinEnrollmentToken пользователям напрямую.
Выберите опцию:
1. Устройства, принадлежащие компании: после включения нового устройства или устройства с восстановленными заводскими настройками передайте устройству signinEnrollmentToken (с помощью QR-кода, NFC-отпечатка и т. д.) или попросите пользователей ввести токен вручную. Устройство откроет URL-адрес для входа, указанный на шаге 1.
2. Личные устройства: попросите пользователей добавить рабочий профиль из «Настройки» . При появлении запроса пользователь сканирует QR-код, содержащий signinEnrollmentToken , или вводит токен вручную. Устройство откроет URL-адрес для входа, указанный на шаге 1.
3. Личные устройства: предоставьте пользователям ссылку на токен регистрации , где токеном регистрации является signinEnrollmentToken . Устройство откроет URL-адрес для входа, указанный на шаге 1.
Ваш URL-адрес для входа должен предлагать пользователям ввести свои учетные данные. На основе их личности вы можете определить соответствующую политику и получить информацию о подготовке устройства (во время регистрации устройства) с помощью параметра GET provisioningInfo .
Рекомендация: используйте поставщика единого входа организации для аутентификации учетных данных, которые пользователи вводят в URL-адрес для входа (или любые последующие перенаправления). URL-адреса для входа открываются на настраиваемой вкладке Chrome, а единый вход пользователей сохраняется для будущего входа в приложение с использованием App Auth .
Вызовите enrollmentTokens.create , указав соответствующий policyId на основе учетных данных пользователя.
Верните токен регистрации, созданный на шаге 4, с помощью перенаправления URL-адреса в форме https://enterprise.google.com/android/enroll?et=<token> .
Примечание. Если пользователю не разрешено завершить процесс подготовки, вы можете отобразить специальные экраны ошибок и перенаправить на https://enterprise.google.com/android/enroll/invalid , чтобы помочь пользователю перезагрузить свое устройство.

Метод QR-кода

Андроид 7.0+

Чтобы предоставить корпоративное устройство, вы можете создать QR-код и отобразить его в консоли EMM:

На новом устройстве или устройстве с заводскими настройками пользователь (обычно ИТ-администратор) шесть раз коснется экрана в одном и том же месте. Это приводит к тому, что устройство предлагает пользователю отсканировать QR-код.
Пользователь сканирует QR-код, который вы отображаете в консоли управления (или аналогичном приложении), чтобы зарегистрировать и подготовить устройство.

NFC-метод

Андроид 6.0+

Для этого метода требуется создать приложение программатора NFC, содержащее токен регистрации, начальные политики, конфигурацию, настройки Wi-Fi и все другие сведения о подготовке, необходимые вашему клиенту для подготовки полностью управляемого или выделенного устройства. Когда вы или ваш клиент устанавливаете приложение программатора NFC на устройство под управлением Android, это устройство становится программатором.

Подробные инструкции по поддержке метода NFC доступны в документации для разработчиков Play EMM API . На сайте также есть пример кода параметров по умолчанию , передаваемых на устройство при помощи NFC. Чтобы установить Android Device Policy, установите местоположение загрузки пакета администратора устройства:

https://play.google.com/managed/downloadManagingApp?identifier=setup

Метод идентификатора DPC

Если политику устройств Android невозможно добавить с помощью QR-кода или NFC, пользователь или ИТ-администратор может выполнить следующие действия, чтобы предоставить устройство, принадлежащее компании:

Следуйте указаниям мастера настройки на новом устройстве или устройстве с заводскими настройками.
Введите данные для входа в Wi-Fi, чтобы подключить устройство к Интернету.
При появлении запроса на вход введите afw#setup , который загрузит политику устройств Android.
Отсканируйте QR-код или вручную введите токен регистрации, чтобы подготовить устройство.

Автоматическая регистрация

Android 8.0+ (Пиксель 7.1+)

Устройства, приобретенные у авторизованного автоматического реселлера, имеют право на автоматическую регистрацию — упрощенный метод предварительной настройки устройств для автоматической подготовки при первой загрузке.

Организации могут создавать конфигурации, содержащие сведения о подготовке для своих автоматических устройств, либо через портал автоматической регистрации , либо с помощью консоли EMM (см. API автоматической настройки для клиентов ). При первой загрузке автоматическое устройство проверяет, назначена ли ему конфигурация. Если это так, устройство загружает политику устройства Android, которая затем завершает настройку устройства с использованием дополнительных возможностей подготовки, указанных в назначенной конфигурации.

Если ваши клиенты используют портал автоматической регистрации , им необходимо выбрать Android Device Policy в качестве EMM DPC для каждой создаваемой ими конфигурации. Подробные инструкции по использованию портала, в том числе по созданию и назначению конфигураций устройствам, доступны в справочном центре Android Enterprise .

Если вы предпочитаете, чтобы ваши клиенты устанавливали и назначали конфигурации непосредственно из вашей консоли EMM, вам необходимо интегрироваться с автоматизированным клиентским API . При создании конфигурации вы указываете дополнительные возможности предоставления в поле dpcExtras . В следующем фрагменте JSON показан базовый пример того, что следует включить в dpcExtras с добавленным токеном входа.

{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN":"{Sign In URL token}"
   }
}

Запустите приложение во время установки

настройкадействие — **Рисунок 2.** Используйте `setupActions` для запуска приложения во время установки.

В policies вы можете указать одно приложение для Android Device Policy, которое будет запускаться во время настройки устройства или рабочего профиля. Например, вы можете запустить приложение VPN, чтобы пользователи могли настраивать параметры VPN в рамках процесса установки. Приложение должно вернуть RESULT_OK чтобы сигнализировать о завершении и разрешить Android Device Policy завершить подготовку устройства или рабочего профиля. Чтобы запустить приложение во время установки:

Убедитесь, что installType приложения — REQUIRED_FOR_SETUP . Если приложение невозможно установить или запустить на устройстве, подготовка не удастся.

{
   "applications":[
      {
         "packageName":"com.my.vpnapp.",
         "installType":"REQUIRED_FOR_SETUP"
      }
   ]
}

Добавьте имя пакета приложения в setupActions . Используйте title и description , чтобы указать инструкции для пользователя.

{
   "setupActions":[
      {
         "title":{
            "defaultMessage":"Configure VPN"
         },
         "description":{
            "defaultMessage":"Enable your VPN client to access corporate resources."
         },
         "launchApp":{
            "packageName":"com.my.vpnapp."
         }
      }
   ]
}

Чтобы отличить запуск приложения из launchApp , действие, которое впервые запускается как часть приложения, содержит дополнительное логическое намерение com.google.android.apps.work.clouddpc.EXTRA_LAUNCHED_AS_SETUP_ACTION (которое имеет значение true ). Это дополнение позволяет вам настроить приложение в зависимости от того, запущено ли оно из setupActions или пользователем.

После того как приложение вернет RESULT_OK , Android Device Policy выполнит все оставшиеся шаги, необходимые для подготовки устройства или рабочего профиля.

Отменить регистрацию во время настройки

Приложение, запущенное как SetupAction, может отменить регистрацию, вернув RESULT_CANCELED .

Отмена регистрации приводит к сбросу корпоративного устройства или удалению рабочего профиля на личном устройстве.

Примечание . Отмена регистрации запускает действие без диалогового окна подтверждения пользователя. Приложение обязано показать пользователю соответствующее диалоговое окно с ошибкой перед возвратом результата.

Примените политику к вновь зарегистрированным устройствам

Метод, который вы используете для применения политик к вновь зарегистрированным устройствам, зависит от вас и требований ваших клиентов. Вот различные подходы, которые вы можете использовать:

(Рекомендуется) При создании токена регистрации вы можете указать имя политики ( policyName ), которая изначально будет связана с устройством. Когда вы регистрируете устройство с помощью токена, политика автоматически применяется к устройству.
Установите политику в качестве политики по умолчанию для предприятия. Если в токене регистрации не указано имя политики и существует политика с именем enterprises/<enterprise_id>/policies/default , каждое новое устройство автоматически связывается с политикой по умолчанию во время регистрации.
Подпишитесь на тему Cloud Pub/Sub, чтобы получать уведомления о новых зарегистрированных устройствах. В ответ на уведомление ENROLLMENT вызовите enterprises.devices.patch , чтобы связать устройство с политикой.

Регистрация устройства без политики

Если устройство зарегистрировано без действующей политики, оно помещается в карантин . Устройствам, помещенным в карантин, блокируются все функции устройства до тех пор, пока устройство не будет связано с политикой.

Если устройство не будет связано с политикой в течение пяти минут, регистрация устройства завершится неудачей и произойдет сброс настроек устройства. Состояние карантинного устройства дает вам возможность реализовать проверку лицензий или другие процессы проверки регистрации в рамках вашего решения.

Пример рабочего процесса проверки лицензии

Устройство регистрируется без политики по умолчанию или конкретной политики.
Проверьте, сколько лицензий осталось у предприятия.
Если доступны лицензии, используйте devices.patch , чтобы прикрепить политику к устройству, а затем уменьшите количество лицензий. Если доступных лицензий нет, используйте devices.patch чтобы отключить устройство. Альтернативно, фабрика API сбрасывает любое устройство, не подключенное к политике, в течение пяти минут после регистрации.