שדרוג חשבונות משתמשים במכשירים

שדרוג חשבון משתמש במכשיר כולל העברה שלו מחשבון Google Play מנוהל אל חשבון Google מנוהל. התהליך הזה מעביר את זהות המשתמש מחשבון לא אישי שמתבסס על המכשיר לזהות התאגידית שלו ב-Google, שמהווה את הבסיס לחוויית משתמש משולבת יותר בכל שירותי Google.

סקירה כללית

המטרה העיקרית של השדרוג הזה היא לספק ללקוחות תכונות משופרות, כמו ניהול משתמשים משופר דרך מסוף Google Admin, אבטחה חזקה יותר וגישה לשירותי Google ולתכונות AI כמו Gemini.

היתרונות העיקריים של שדרוג חשבונות משתמשים:

• עובד עם כל שירותי Google: בניגוד לחשבונות Google מנוהלים ב-Play, הזהות החדשה הזו פועלת בצורה חלקה עם כל שירותי Google, כולל Google Drive,‏ Google Docs ו-Google Meet. הוא תומך גם בגיבוי של המכשיר אם אדמין ה-IT הפעיל אותו.

• חוויית משתמש חלקה: באמצעות שילוב של כניסה יחידה (SSO), המשתמשים נכנסים אוטומטית לסביבה הארגונית ולכל שירותי Google שלהם, כמו Gmail.

• שליטה ישירה בזהות: הארגון יכול לשלוט ישירות במחזור החיים של הזהות באמצעות שיטות ידניות, אוטומטיות או מבוססות סנכרון.

• מזהה משתמש מוכר: כדי לשפר את הנראות, החשבון החדש משתמש באותה כתובת אימייל שהמשתמש כבר מכיר ומשתמש בה.

דרישות מוקדמות

1. הדומיין של הלקוח ב-Google Workspace צריך להיות מאומת. הוא מפשט את ניהול המשתמשים עבור אדמין ה-IT, ומאפשר לו גם לסנכרן את הספרייה.

2. צריכים להיות קיימים חשבונות Google מנוהלים לכל אחד מהמשתמשים בחשבון שמיועד לשדרוג במסוף Admin.

שינויים ב-API

בקטע הזה מפורטים השינויים העיקריים ב-API במסגרת המדיניות ובתהליך אי-התאימות, כדי לתמוך בשדרוג המשתמשים. שדרוג המשתמש מוסיף שדה חדש ב-enterprises.policies, ומוסיף ערכי enum חדשים ב-enterprises.devices כדי לתמוך בסיבות חדשות לאי-תאימות.

• שדות חדשים וסוגי ספירה במדיניות workAccountSetupConfig.
• נוספו סוגי enum חדשים ל-specificNonComplianceReason.

תהליך שדרוג החשבון

כדי לשדרג חשבון, אדמין IT מעדכן את המדיניות של המכשיר כך שיידרש חשבון Google מנוהל לאימות. הפעולה הזו מתבצעת באמצעות workAccountSetupConfig והגדרת סוג האימות ל-GOOGLE_AUTHENTICATED.

הפרמטר האופציונלי requiredAccountEmail מאפשר לאדמין ב-IT לציין את החשבון המדויק שבו המשתמש צריך להשתמש כדי להשלים את ההגדרה.

בהתאם להגדרה ולשאלה אם החשבון הנדרש כבר קיים במכשיר, המשתמש יתבקש להוסיף חשבון Google מנוהל ספציפי או כל חשבון Google מנוהל תקין, או שהשדרוג יתבצע באופן אוטומטי ברקע.

בסיום, חשבון Google המנוהל החדש הופך לחשבון הראשי לניהול המכשיר, ומחליף את חשבון Google Play המנוהל הישן.

סיבות חדשות לאי-עמידה בדרישות

נוספו סיבות חדשות לאי-תאימות, כדי לאפשר לאדמין ה-IT להפעיל אכיפת מדיניות על סמך תרחישים שונים שמתרחשים במהלך ההתחברות של המשתמש.

• אם החשבון שהמשתמש הזין לא תואם ל-requiredAccountEmail, הודעת שגיאה מוצגת מייד על המסך.

• אם מנהל ה-IT מציין בטעות כתובת אימייל נדרשת שלא שייכת לדומיין הארגוני, מוחזרת הסיבה לאי-התאימות REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE.

• אם לא מציינים requiredAccountEmail והמשתמש מנסה להיכנס לחשבון שלא שייך לארגון, מוחזרת הסיבה לאי-התאמה NEW_ACCOUNT_NOT_IN_ENTERPRISE.

תרחישי שדרוג של משתמשים

התהליכים האלה ממחישים תרחישים ותוצאות נפוצים כשמטמיעים את התכונה לשדרוג משתמשים ומשתמשים בה. הם מתייחסים לחוויות מנקודת המבט של מנהל ה-IT ושל משתמש הקצה. בכל התרחישים מניחים שהמכשיר רשום בהתחלה לחשבון Google Play לארגונים.

מומלץ להכיר את תהליכי ההצטרפות האלה כדי לתמוך טוב יותר בלקוחות שלך ולאמת אותם באמצעות הפתרון שלך.

שדרוג מוצלח עם חשבון Google מנוהל ספציפי נדרש

כשהמדיניות של המכשיר מוגדרת עם authenticationType הערך GOOGLE_AUTHENTICATED וrequiredAccountEmail ספציפי, המשתמש מתבקש להוסיף את חשבון Google המנוהל הזה. אחרי שהמשתמש מתחבר, המכשיר מסנכרן את המדיניות החדשה ועומד בדרישות שלה. כתוצאה מכך, החשבון הישן של קבוצת החשבונות של Google Play לארגונים יוסר, והמכשיר ינוהל מעכשיו בעיקר על ידי חשבון Google המנוהל שצוין.

השדרוג בוצע בהצלחה ולא נדרש חשבון Google מנוהל ספציפי

אם המדיניות של המכשיר מוגדרת עם authenticationType שמוגדר לערך GOOGLE_AUTHENTICATED אבל לא מצוין requiredAccountEmail, המשתמש מתבקש להוסיף חשבון Google מנוהל. במסך הכניסה של Google לא מוצג חשבון באופן אוטומטי, ולכן המשתמש מוסיף חשבון Google מנוהל תקף של הארגון. המכשיר יהיה תואם וינוהל על ידי חשבון Google המנוהל החדש. כתוצאה מכך, חשבון Google Play הישן לארגונים מוסר, והמכשיר מנוהל עכשיו בעיקר על ידי חשבון Google המנוהל שצוין.

שדרוג שקט כשקיים חשבון Google מנוהל נדרש

אם המדיניות של מכשיר מוגדרת עם authenticationType שמוגדר ל-GOOGLE_AUTHENTICATED ועם requiredAccountEmail ספציפי, וחשבון Google מנוהל ספציפי שכבר קיים במכשיר, השדרוג מתבצע בשקט בלי שהמשתמש יתבקש לעשות זאת. חשבון Google Play המנוהל של הארגון מוסר, וחשבון Google המנוהל הקיים הופך לחשבון הראשי לניהול המכשיר.

שדרוג עם הנחיה לבחירת משתמש (חשבון קיים, לא נדרש חשבון ספציפי)

אם המדיניות של המכשיר מוגדרת עם authenticationType ערך של GOOGLE_AUTHENTICATED ללא requiredAccountEmail ספציפי, ובמכשיר כבר קיים חשבון Google מנוהל תקין, מערכת Android Device Policy תציג למשתמש בקשה לבחור או להוסיף חשבון. יכול להיות שיוצג למשתמש בורר חשבונות, והוא יצטרך לבחור או להוסיף את חשבון Google המנוהל שנבחר, כי זה לא שדרוג שמתבצע באופן אוטומטי. המכשיר יעמוד בדרישות, וחשבון Google המנוהל שנבחר ישמש כחשבון הראשי לניהול המכשיר.

השדרוג מופעל מיד אחרי ההרשמה

כשמגדירים את המדיניות של מכשיר עם authenticationType כGOOGLE_AUTHENTICATED ועם requiredAccountEmail לפני ההרשמה, המכשיר מקבל בהתחלה חשבון Google Play לארגונים. מיד אחרי ההרשמה, המשתמש יקבל הנחיה מ-Android Device Policy להוסיף את חשבון Google המנוהל הנדרש. המשתמש מוסיף את החשבון דרך מסך הכניסה של Google, וכתוצאה מכך המכשיר מסתנכרן, הופך לתואם ומסיר את חשבון Google Play המנוהל.

אכיפת המדיניות ועמידה בדרישות

‫Android Device Policy כוללת פעולות תאימות מובנות שעוזרות למשתמשים לבצע את השדרוגים הנדרשים ועדכונים אחרים במדיניות. הפעולות האלה גם מספקות לאדמינים של IT את הכלים לניהול תיקון של מכשירים שלא עומדים בדרישות.

אי עמידה בדרישות שמובילה לחסימה או לאיפוס של המכשיר

אם המדיניות של המכשיר מחייבת חשבון Google מנוהל (לדוגמה, authenticationType בתור GOOGLE_AUTHENTICATED וגם requiredAccountEmail) וגם מוגדרת עם policyEnforcementRules שמציינת חסימה או מחיקה, המדיניות של מכשירי Android תציג אזהרות אם המשתמש לא יעמוד בדרישות. אם אי-התאימות נמשכת מעבר למספר הימים שנקבע לחסימה, השימוש במכשיר נחסם. אם הבעיה נמשכת מעבר למספר הימים שנקבע לאיפוס, המכשיר עובר לאיפוס להגדרות היצרן. התהליך הזה דומה לתהליך הקיים של אי-עמידה בדרישות.

ניסיון כניסה באמצעות חשבון לא מורשה (הכניסה נחסמה)

אם מדיניות המכשיר מחייבת שימוש בחשבון Google מנוהל ספציפי באמצעות requiredAccountEmail, אבל המשתמש מנסה להיכנס באמצעות חשבון Google מנוהל אחר, מוצגת הודעת שגיאה ישירות במסך הכניסה לחשבון Google. כך נמנעת כניסה לא מורשית. לדוגמה, ההודעה "לפי המדיניות של מקום העבודה, צריך להיכנס לחשבון שצוין של מקום העבודה".

ניסיון כניסה באמצעות חשבון מחוץ לארגון (החשבון הוסר)

אם במדיניות של המכשיר נדרש חשבון Google מנוהל אבל לא הוגדר requiredAccountEmail, והמשתמש נכנס לחשבון שלא שייך לארגון שמקושר ל-EMM, החשבון הלא מורשה יוסר באופן אוטומטי. לאחר מכן המשתמש מתבקש להיכנס שוב באמצעות חשבון תקין. בדוח על סטטוס המכשיר מופיע nonComplianceReason של USER_ACTION וסיבה ספציפית של NEW_ACCOUNT_NOT_IN_ENTERPRISE.

הגדרת אדמין שגויה: החשבון הנדרש לא משויך לארגון

אם האדמין מגדיר את המדיניות בצורה שגויה על ידי הגדרת requiredAccountEmail שלא שייך לארגון, המדיניות של מכשירי Android תציג הודעת שגיאה, שאולי תיקרא 'צריך לפנות לאדמין ה-IT'. המכשיר יישאר לא תואם, ובדוח סטטוס המכשיר יופיע nonComplianceReason של USER_ACTION עם הסיבה הספציפית REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE. המשתמש יכול להמשיך בשדרוג רק אחרי שהאדמין יתקן את המדיניות באמצעות חשבון ראשי תקין.