在裝置上升級使用者帳戶
透過集合功能整理內容
你可以依據偏好儲存及分類內容。
在裝置上升級使用者帳戶時,需要將帳戶從 Google Play 管理版帳戶遷移至受管理 Google 帳戶。這個程序會將使用者的身分從以裝置為中心的非個人帳戶,轉移至公司 Google 身分,這是整合所有 Google 服務使用者體驗的基礎。
總覽
本次升級的主要目標是為客戶提供強化功能,例如透過 Google 管理控制台改善使用者管理、提升安全性,以及存取 Google 服務和 Gemini 等 AI 功能。
升級使用者帳戶的主要優點:
適用於所有 Google 服務:與代管 Google Play 帳戶不同,這項新身分可順暢搭配所有 Google 服務使用,包括 Google 雲端硬碟、文件和 Meet。如果 IT 管理員啟用這項功能,您也可以備份裝置資料。
流暢的使用者體驗:透過單一登入 (SSO) 整合,使用者會自動登入公司環境和所有 Google 服務,例如 Gmail。
直接控管身分:機構可透過手動、自動或同步處理方法,直接控管身分生命週期。
使用者熟悉的 ID:新帳戶會使用使用者已知的電子郵件地址,方便使用者辨識。
必要條件
客戶的 Google Workspace 網域必須通過驗證。IT 管理員可藉此簡化使用者管理作業,並同步處理目錄。
管理控制台中必須已存在目標帳戶中每位使用者的受管理 Google 帳戶,才能升級。
API 變更
本節將說明政策中的主要 API 異動,以及不符規定的流程,以利支援使用者升級。使用者升級會在 enterprises.policies 中新增欄位,並在 enterprises.devices 中新增列舉,以支援新的違規原因。
帳戶升級程序
如要升級帳戶,IT 管理員必須更新裝置的政策,要求使用受管理 Google 帳戶進行驗證。方法是使用 workAccountSetupConfig,並將驗證類型設為 GOOGLE_AUTHENTICATED。
IT 管理員可使用選用的 requiredAccountEmail 參數,指定使用者必須使用哪個帳戶才能順利完成設定。
視設定而定,如果裝置上已有必要帳戶,系統會提示使用者新增特定受管理 Google 帳戶或任何有效的受管理 Google 帳戶,否則系統會在背景自動升級。
完成後,新的 Google 管理帳戶會成為裝置管理的主要帳戶,取代舊的 Google Play 管理帳戶。
新的不符規定原因
我們新增了不符規定的原因,讓 IT 管理員能根據使用者登入時遇到的不同情況,觸發政策強制執行。
如果使用者輸入的帳戶與 requiredAccountEmail 不符,畫面上會立即顯示錯誤訊息。
如果 IT 管理員不小心指定了不屬於企業網域的必要電子郵件地址,系統會傳回不符規定的原因 REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE。
如果未指定 requiredAccountEmail,且使用者嘗試輸入不屬於企業的帳戶,系統會傳回不符規定的原因 NEW_ACCOUNT_NOT_IN_ENTERPRISE。
使用者升級情境
這些使用者歷程說明實作及使用使用者升級功能時的常見情境和結果。涵蓋 IT 管理員和使用者的體驗。所有情境都假設裝置最初是透過 Google Play 管理版帳戶註冊。
建議您熟悉這些歷程,以便為客戶提供更完善的支援,並使用解決方案驗證這些歷程。
必須使用特定的受管理 Google 帳戶才能成功升級
如果裝置政策設定為 authenticationType
GOOGLE_AUTHENTICATED,且指定了特定requiredAccountEmail,系統會提示使用者新增該受管理 Google 帳戶。使用者登入後,裝置會同步處理新政策,並開始遵守政策。因此,舊的 Google Play 管理版企業帳戶會遭到移除,裝置現在主要由指定的 Google Play 管理版帳戶管理。
升級成功,無須使用特定受管理的 Google 帳戶
如果裝置政策已設定 authenticationType 為 GOOGLE_AUTHENTICATED,但未指定 requiredAccountEmail,系統會提示使用者新增受管理 Google 帳戶。Google 登入畫面不會預先填入帳戶,因此使用者可以新增企業的任何有效受管理 Google 帳戶。裝置就會符合規定,並由新的受管理 Google 帳戶管理。因此,舊的 Google Play 管理版企業帳戶會遭到移除,裝置現在主要由指定的 Google 管理帳戶管理。
如果已存在必要的受管理 Google 帳戶,系統會自動升級
如果裝置政策已將 authenticationType 設為 GOOGLE_AUTHENTICATED 和特定 requiredAccountEmail,且裝置上已有指定的受管理 Google 帳戶,升級程序就會在使用者不知情的情況下進行,不會顯示提示。系統會移除受管理 Google Play 企業帳戶,並將原有的受管理 Google 帳戶設為裝置管理的主要帳戶。
提示升級並由使用者選取 (現有帳戶,不需特定帳戶)
如果裝置政策設定為 authenticationType
設為 GOOGLE_AUTHENTICATED 且沒有特定 requiredAccountEmail,而裝置上已有有效的受管理 Google 帳戶,Android 裝置政策就會提示使用者選取或新增帳戶。系統可能會顯示帳戶挑選器,使用者必須選取或新增所選的代管 Google 帳戶,因為這不是無聲升級。裝置隨即會符合規定,並以所選的受管理 Google 帳戶做為裝置管理的主要帳戶。
註冊後立即觸發升級
如果裝置政策設定為 authenticationType
,且 GOOGLE_AUTHENTICATED 是在註冊前設定,裝置一開始會取得 Google Play 管理版帳戶。
requiredAccountEmail註冊完成後,Android 裝置政策會立即提示使用者新增必要的受管理 Google 帳戶。使用者透過 Google 登入畫面新增帳戶,導致裝置同步處理、符合規定,並移除 Google Play 管理版帳戶。
政策強制執行和法規遵循
Android 裝置政策內建的合規動作可引導使用者完成必要升級和其他政策更新。IT 管理員也能透過這些動作,管理不符規定的裝置,並採取補救措施。
因不符規定而導致裝置遭封鎖或抹除資料
如果裝置政策要求使用受管理的 Google 帳戶 (例如使用 authenticationType 做為 GOOGLE_AUTHENTICATED 和 requiredAccountEmail),且也設定了 policyEnforcementRules 來指定封鎖或清除,Android 裝置政策就會在使用者不符規定時顯示警告。如果違規行為在設定的封鎖天數後仍未停止,裝置使用權就會遭到封鎖。如果裝置在清除資料後仍處於鎖定狀態,系統就會將裝置恢復原廠設定。這與現有的違規流程類似。
嘗試使用未經授權的帳戶登入 (登入遭拒)
如果裝置政策要求使用特定受管理 Google 帳戶 (使用 requiredAccountEmail),但使用者嘗試登入其他受管理 Google 帳戶,Google 登入畫面會直接顯示錯誤訊息。防止未經授權的登入。例如「公司政策要求使用指定的公司帳戶」。
嘗試使用企業外部帳戶登入 (帳戶已移除)
如果裝置政策要求使用受管理 Google 帳戶,但未設定任何帳戶,且使用者登入的帳戶不屬於 EMM 連結的企業,系統會自動移除未經授權的帳戶。requiredAccountEmail系統會提示使用者使用有效帳戶重新登入。裝置狀態報告會反映 USER_ACTION 的 nonComplianceReason 和 NEW_ACCOUNT_NOT_IN_ENTERPRISE 的特定原因。
管理員設定錯誤:必要帳戶不屬於企業
如果管理員設定的 requiredAccountEmail 不屬於企業,Android Device Policy 會顯示錯誤訊息,標題可能為「與 IT 管理員聯絡」。裝置仍不符合規定,裝置狀態報告會顯示nonComplianceReason,並附上USER_ACTION的具體原因REQUIRED_ACCOUNT_NOT_IN_ENTERPRISE。管理員使用有效的主要帳戶修正政策後,使用者才能升級。
