สร้างการเชื่อมโยงองค์กร

หากต้องการลงทะเบียนองค์กรใหม่ผ่านคอนโซล EMM คุณต้องสร้างการเชื่อมโยงองค์กร ทรัพยากร Enterprises แสดงถึงการเชื่อมโยงระหว่าง EMM และองค์กร คุณใช้อินสแตนซ์ของอินสแตนซ์นั้นเพื่อเรียกใช้การดำเนินการในนามขององค์กรได้

Play EMM API มีวิธีสร้างอินสแตนซ์การเชื่อมโยงระดับองค์กร 3 วิธี ดังนี้

• การลงชื่อสมัครใช้โดเมน Google ที่มีการจัดการ - ใช้วิธีนี้แทนทั้ง 2 วิธีได้ องค์กรที่มีโดเมน Google ที่มีการจัดการและองค์กรและยังไม่เคยทำงานกับ Google มาก่อนจะใช้ UI การลงชื่อสมัครใช้แบบเดียวกัน เส้นทางที่ผู้ใช้ต้องใช้ UI จะแตกต่างกันไปตามสถานการณ์และความต้องการ องค์กรไม่จำเป็นต้อง รับโทเค็น EMM ล่วงหน้า

• การลงชื่อสมัครใช้บัญชี Managed Google Play องค์กรต้องการใช้บัญชี Managed Google Play คุณสามารถผสานรวม UI การลงชื่อสมัครใช้ Android ของ Google กับคอนโซล EMM และมอบวิธีที่รวดเร็วให้แก่องค์กรในการสร้างอินสแตนซ์การเชื่อมโยงระดับองค์กรที่จะผูกอินสแตนซ์เข้ากับ EMM ของคุณ การดำเนินการนี้จะเปิดใช้บัญชี Managed Google Play สำหรับผู้ใช้และอุปกรณ์ ในบางครั้งจะเรียกวิธีนี้ว่าEMM ที่เริ่มต้นในเอกสารประกอบ API เราเลิกใช้งานวิธีการนี้แล้วเพื่อใช้วิธีการลงชื่อสมัครใช้โดเมน Google ที่มีการจัดการก่อนหน้านี้

• การลงทะเบียนโดเมน Google ที่มีการจัดการ องค์กรมีโดเมน Google ที่มีการจัดการอยู่แล้ว ผู้ดูแลระบบไอทีดำเนินงานหลายอย่างต้องทำด้วยตนเอง เช่น ยืนยันการเป็นเจ้าของโดเมนกับ Google, การรับโทเค็น EMM และสร้างบัญชีบริการขององค์กร วิธีการนี้บางครั้งเรียกว่าการเริ่มต้นโดย Google ในเอกสารประกอบของ API

คุณจะรองรับกลยุทธ์ใดก็ได้ในคอนโซล EMM โดยใช้ทรัพยากร Enterprises ตารางที่ 1 แสดงช่องและการดำเนินการที่เกี่ยวข้องของทรัพยากรนี้สำหรับการเชื่อมโยงองค์กรกับ EMM

ตารางที่ 1: API สำหรับองค์กรและกระบวนการเชื่อมโยงทางเลือก

	กลุ่มบัญชี Managed Google Play สำหรับองค์กร	โดเมนของ Google ที่มีการจัดการ	คำอธิบาย
ฟิลด์
id			ตัวระบุที่ไม่ซ้ำกันสำหรับองค์กร ซึ่งส่งคืนมาจากการโทรลงทะเบียนและ completeSignup
ชนิด			ระบุประเภทของทรัพยากรโดยใช้ค่าสตริงคงที่ ได้แก่ androidenterprise#enterpriseกับผู้ลงโฆษณา
ชื่อ			องค์กรเชื่อมโยงกับออบเจ็กต์ enterprise แล้ว
primaryDomain	ไม่ได้ตั้งค่า		เนื่องจากกลุ่มบัญชี Managed Google Play ไม่ได้เชื่อมโยงกับโมเดลโดเมนของ Google ช่องนี้จึงเกี่ยวข้องกับโดเมน Google ที่มีการจัดการเท่านั้น
ผู้ดูแลระบบ[]		ไม่ได้ตั้งค่า	ผู้ดูแลระบบไอทีที่ลงชื่อสมัครใช้ Android โดยใช้กระบวนการลงชื่อสมัครใช้ที่เริ่มต้นโดย EMM จะกลายเป็นผู้ดูแลระบบ (เจ้าของ) การเชื่อมโยงองค์กร เมื่อใช้ Managed Google Play Console ผู้ดูแลระบบไอทีจะเชิญผู้ใช้รายอื่นๆ ในองค์กรให้มีส่วนร่วมในงานการดูแลระบบได้ โปรดดูที่ศูนย์ช่วยเหลือของ Managed Google Play
admin[].email		ไม่ได้ตั้งค่า
วิธีการ
completeSignup			เมื่อกำหนด completionToken และ enterpriseToken ระบบจะแสดงผลทรัพยากร Enterprises ในเนื้อหาการตอบกลับ
generateSignupUrl			เมื่อเลือก callbackUrl ระบบจะแสดงผล URL และ completionToken
ลงทะเบียน			ลงทะเบียนผู้โทรด้วย EMM ที่ส่งโทเค็นมากับคำขอ
getServiceAccount			แสดงผลบัญชีบริการและ ข้อมูลเข้าสู่ระบบ
setAccount			ตั้งค่าบัญชีที่จะใช้ในการตรวจสอบสิทธิ์ API ในฐานะองค์กร
ยกเลิกการลงทะเบียน			EMM สามารถแยกการเชื่อมโยงกับองค์กร ประเภทใดประเภทหนึ่งโดยใช้การยกเลิกการลงทะเบียน ต้องเรียกใช้โดยใช้ข้อมูลเข้าสู่ระบบ EMM สำหรับ MSA ไม่ใช่ข้อมูลเข้าสู่ระบบ ESA

การลงชื่อสมัครใช้บัญชี Managed Google Play

เลิกใช้งานวิธีการลงชื่อสมัครใช้นี้แล้ว ให้ใช้วิธีการลงชื่อสมัครใช้โดเมน Google ที่มีการจัดการแทน

การลงชื่อสมัครใช้โดเมน Google ที่มีการจัดการ

คุณผสานรวมกระบวนการลงชื่อสมัครใช้ในคอนโซล EMM ได้โดยทำดังนี้

ผู้ดูแลระบบไอทีเริ่มกระบวนการสร้างองค์กร ในการดำเนินการ ผู้ดูแลระบบไอทีจะต้องดำเนินการดังนี้

1. ลงชื่อเข้าใช้คอนโซล EMM
2. คลิกหรือเลือกกำหนดค่า Android (ตัวอย่าง) แล้วเปลี่ยนเส้นทางไปยัง UI การลงชื่อสมัครใช้ที่โฮสต์โดย Google
3. ระบุรายละเอียดเกี่ยวกับองค์กรใน UI การลงชื่อสมัครใช้
4. ระบบเปลี่ยนเส้นทางไปยังคอนโซล EMM ของคุณ

ตอนนี้อีเมลของผู้ดูแลระบบไอทีจะลิงก์กับบัญชี Google ซึ่งเป็นบัญชีผู้ดูแลระบบสำหรับโดเมน Google ที่มีการจัดการ

แนวทางปฏิบัติแนะนำ: ทำตามหลักเกณฑ์ด้านความปลอดภัยของ Google เพื่อช่วยรักษาบัญชีผู้ดูแลระบบให้ปลอดภัย

ข้อกำหนดเบื้องต้น

สำหรับผู้ดูแลระบบไอที

• สิทธิ์เข้าถึงคอนโซล EMM และสิทธิ์ที่จำเป็นต่อการเลือกที่เหมาะสมในคอนโซล (เช่น จัดการ Android เป็นตัวเลือกเมนู)

• อีเมลที่ทำงาน โดเมนนี้ควรเป็นส่วนหนึ่งของโดเมนที่องค์กรเป็นเจ้าของ ไม่ใช่โดเมนที่ใช้ร่วมกัน เช่น Gmail.com

สำหรับคอนโซล EMM

หากต้องการใช้ขั้นตอนการลงชื่อสมัครใช้ Google Doomain ที่มีการจัดการ คอนโซล EMM ของคุณจะต้องทำสิ่งต่อไปนี้ได้

• ใช้ข้อมูลเข้าสู่ระบบ MSA เมื่อเรียกใช้ API ของ Play EMM มีการใช้ MSA เพื่อเรียกใช้การดำเนินการหลายรายการในนามของผู้ดูแลระบบไอทีจนกว่าจะมีการตั้งค่าบัญชีบริการองค์กร (ESA) ขององค์กร

• จัดการการเปลี่ยนเส้นทางผ่าน URL ที่ปลอดภัยไปยังเว็บไซต์ภายนอกที่ Google จัดหาให้เพื่อเริ่มขั้นตอนการลงชื่อสมัครใช้และดำเนินการขั้นตอนการลงทะเบียนให้เสร็จสิ้น

• กำหนดค่าได้ด้วยข้อมูลเข้าสู่ระบบ ESA หลังการลงทะเบียน เนื่องจากคอนโซล EMM ของคุณสามารถใช้สร้างองค์กรจำนวนมากภายในเว็บไซต์ขององค์กรได้ คุณจึงต้องมีวิธีเชื่อมโยง enterpriseId แต่ละรายการกับบัญชีบริการและข้อมูลเข้าสู่ระบบของตัวเอง โปรดพิจารณาสร้างบัญชีบริการสำหรับองค์กรโดยการเรียกใช้ Enterprises.getServiceAccount และจัดการการจัดการคีย์โดยใช้ Serviceaccountkeys API ดูรายละเอียดเพิ่มเติมได้ที่สร้างบัญชีบริการขององค์กรโดยใช้โปรแกรม

ขั้นตอนการลงชื่อสมัครใช้ Android กำหนดให้คุณระบุบริการ (HTTPS) ที่ปลอดภัยสำหรับการใช้คอนโซลขณะรันไทม์ URL ไปยังบริการที่ปลอดภัยนี้สามารถเป็น URL ภายในเครื่อง และอาจรวมถึงข้อมูลเซสชันหรือข้อมูลระบุตัวตนที่ไม่ซ้ำกันอื่นๆ ได้ ตราบใดที่ URL อยู่ในรูปแบบที่ถูกต้องเพื่อให้ระบบสามารถแยกวิเคราะห์ URL ได้ เช่น

https://localhost:8080/enrollmentcomplete?session=12345

ขั้นตอนการลงทะเบียน

ขั้นตอนการลงชื่อสมัครใช้ออกแบบมาให้ใช้เวลาไม่ถึง 5 นาที ขั้นตอนด้านล่างถือว่าเซิร์ฟเวอร์ที่โฮสต์ callbackUrl ทํางานอยู่ ขั้นตอนเหล่านี้ยังถือว่าคอนโซลของคุณมีคอมโพเนนต์ UI เช่น การเลือกเมนูที่มีจัดการ Android เป็นตัวเลือก ซึ่งจะเริ่มต้นกระบวนการลงชื่อสมัครใช้เมื่อผู้ดูแลระบบไอทีที่ตรวจสอบสิทธิ์แล้วเลือกตัวเลือก

1. ผู้ดูแลระบบไอทีเริ่มคำขอลงทะเบียนในคอนโซล EMM ของคุณ

2. เรียก Enterprises.generateSignupUrl โดยใช้ callbackURL เป็นพารามิเตอร์เดียว ตัวอย่าง:

   https://localhost:8080/enrollcomplete?session=12345

3. การตอบกลับจะมี URL สำหรับการลงชื่อสมัครใช้ (ใช้ได้ 30 นาที) และโทเค็นสำหรับกรอกข้อมูล แยกและบันทึกโทเค็นการเสร็จสมบูรณ์

   แนวทางปฏิบัติแนะนำ: เชื่อมโยงโทเค็นการทำงานสำเร็จกับผู้ดูแลระบบไอทีที่เริ่มการลงชื่อสมัครใช้

4. ดึงข้อมูล url จากการตอบกลับ generateSignupURL

5. เปลี่ยนเส้นทางไปยัง URL ที่ดึงมาในขั้นตอนที่ 4

6. ผู้ดูแลระบบไอทีดำเนินการตามขั้นตอนการตั้งค่าใน UI การลงชื่อสมัครใช้เพื่อสร้างการเชื่อมโยงองค์กร ดังนี้

   1. ผู้ดูแลระบบไอทีจะป้อนรายละเอียดเกี่ยวกับตนเองและองค์กร และตั้งรหัสผ่านหากยังไม่มีบัญชี Google

   2. ผู้ดูแลระบบไอทีจะเห็นชื่อ EMM และยืนยันว่าองค์กรจะเชื่อมโยงกับ EMM นี้

   3. ผู้ดูแลระบบไอทียอมรับข้อกำหนดในการให้บริการของ Google

7. UI การลงชื่อสมัครใช้จะสร้าง URL เรียกกลับตาม URL ที่ระบุในขั้นตอนที่ 2

8. UI การลงชื่อสมัครใช้จะเปลี่ยนเส้นทางผู้ดูแลระบบไอทีไปยัง URL เรียกกลับ แยกและบันทึก โทเค็นองค์กรลงใน URL ตัวอย่าง:

   https://localhost:8080/enrollcomplete?session=12345&enterpriseToken=5h3jCC903lop1

9. เรียก Enterprises.completeSignup ผ่าน completionToken (ขั้นตอนที่ 3) และ enterpriseToken (ขั้นตอนที่ 8)

10. การเรียกจะส่งกลับ อินสแตนซ์ Enterprises ในเนื้อหาการตอบสนอง เก็บอีเมล id, name และผู้ดูแลระบบ (หากมี) ไว้ใช้ในอนาคต

11. สร้างบัญชีบริการขององค์กร (ESA) ข้อมูลเข้าสู่ระบบ ESA ในรูปแบบ อีเมลและคีย์ส่วนตัว การสร้าง ESA มี 2 วิธีดังนี้

    • แนวทางปฏิบัติแนะนำ: สร้าง ESA แบบเป็นโปรแกรม โดยใช้ Play EMM API
    • แสดงหน้าที่สั่งให้ผู้ดูแลระบบไอทีสร้าง ESA ในคอนโซล Google API โปรดดูรายละเอียดเพิ่มเติมที่การสร้างบัญชีบริการ (แนะนำให้ผู้ดูแลระบบเลือกโปรเจ็กต์ > ผู้แก้ไขเป็นบทบาท และเลือกช่องดาวน์โหลดคีย์ส่วนตัว) หลังจากที่ผู้ดูแลระบบไอทีสร้าง ESA แล้ว ให้กำหนดค่าคอนโซลด้วยข้อมูลเข้าสู่ระบบคีย์ส่วนตัวของ ESA

12. โปรดเรียกใช้ setAccount ด้วยข้อมูลเข้าสู่ระบบ MSA เพื่อตั้งค่า ESA สำหรับองค์กรนี้

ขั้นตอนการลงทะเบียนเสร็จสมบูรณ์แล้ว

• โดเมน Google ที่มีการจัดการใหม่จะผูกกับ EMM ของคุณ
• บัญชี Google ของผู้ดูแลระบบไอทีจะได้รับการกำหนดค่าเป็นผู้ดูแลระบบโดเมนและ สามารถเข้าถึง https://play.google.com/work เพื่อ จัดการแอปขององค์กร
• คอนโซล EMM สามารถใช้ ESA เพื่อจัดการข้อมูลขององค์กรผ่าน Google Play EMM API

สร้าง ESA แบบเป็นโปรแกรม

หากต้องการลดความซับซ้อนในการจัดการคีย์สำหรับ ESA ให้ใช้ Google Play EMM API เพื่อสร้างบัญชีบริการสำหรับองค์กรแทน Google Cloud Console บัญชีบริการ ที่สร้างผ่าน Play EMM API

• จะไม่แสดงในโปรเจ็กต์ Cloud Console ที่เป็นของคุณหรือองค์กร โดยโปรเจ็กต์ดังกล่าวต้องมีการจัดการแบบเป็นโปรแกรม
• จะถูกลบออกเมื่อคุณยกเลิกการลงทะเบียนองค์กร

วิธีสร้างบัญชีบริการแบบเป็นโปรแกรม

1. เรียก Enterprises.getServiceAccount ด้วย enterpriseId (ดูขั้นตอนที่ 10 ในกระบวนการลงทะเบียน) และระบุประเภทของคีย์ (keyType) ที่คุณต้องการ (googleCredentials, pkcs12) ระบบจะแสดงผลชื่อบัญชีบริการและคีย์ส่วนตัวสำหรับบัญชีบริการ (ในรูปแบบเดียวกับที่คอนโซล Google API แสดงผล)

2. โทรหา Enterprises.setAccount และตั้งค่าบัญชีบริการสำหรับองค์กร

แนวทางปฏิบัติแนะนำ: สนับสนุนโดยให้ผู้ดูแลระบบไอทีเปลี่ยนข้อมูลเข้าสู่ระบบ ESA หากต้องการดำเนินการดังกล่าวในคอนโซล EMM ให้ใช้ ESA ที่มีอยู่เพื่อเรียก setAccount

จัดการคีย์ของบัญชีบริการ

Google สร้างบัญชีบริการที่แสดงผลจาก Enterprises.getServiceAccount ด้วยความโปร่งใส ในฐานะที่เป็น EMM คุณไม่มีสิทธิ์เข้าถึงบัญชีเหล่านี้ แต่คุณจะผสานรวม API ของ Serviceaccountkeys ในคอนโซลเพื่ออนุญาตให้องค์กรจัดการ ESA และคีย์ที่จัดทำผ่านโปรแกรมได้

Serviceaccountkeys API ช่วยให้องค์กรแทรก ลบ และแสดงรายการข้อมูลเข้าสู่ระบบที่ใช้งานอยู่สำหรับบัญชีบริการของตนได้ โดยต้องมีการเรียกใช้ API เหล่านี้ขณะได้รับสิทธิ์ตาม ESA ที่กำหนดไว้สำหรับองค์กร และ ESA ดังกล่าวต้องสร้างขึ้นจาก getServiceAccount กล่าวคือ หลังจากที่องค์กรเรียกใช้ Enterprises.setAccount (โดยใช้บัญชีบริการที่ Enterprises.getServiceAccount สร้างขึ้น) จะมีเพียงองค์กรนั้นเท่านั้นที่ได้รับอนุญาตให้เรียกใช้การเรียกใน API Serviceaccountkeys เพื่อจัดการบัญชี

ตาราง 2. API ของ Serviceaccountkeys

ช่อง
id	ตัวระบุสตริงที่ไม่ซ้ำกันแบบโปร่งแสงสำหรับ ServiceAccountKey กำหนดโดยเซิร์ฟเวอร์
ชนิด	ระบุทรัพยากรโดยใช้สตริงคงที่ androidenterprise#serviceAccountKey
ประเภท	รูปแบบไฟล์ของข้อมูลคีย์ที่สร้างขึ้น ค่าที่ยอมรับมีดังนี้ googleCredentials pkcs12
ข้อมูล	สตริงที่ประกอบด้วยส่วนเนื้อหาของไฟล์ข้อมูลเข้าสู่ระบบส่วนตัว ป้อนข้อมูลเมื่อมีการสร้าง ไม่จัดเก็บโดย Google
วิธีการ
ลบ	ยกเลิกและนำข้อมูลเข้าสู่ระบบที่ระบุสำหรับบัญชีบริการออก (ระบุด้วย enterpriseId และ keyId)
Insert	สร้างข้อมูลรับรองใหม่สำหรับบัญชีบริการ ที่เชื่อมโยงกับองค์กร
ลิสต์	แสดงรายการข้อมูลเข้าสู่ระบบที่ใช้งานอยู่ทั้งหมดสำหรับบัญชีบริการที่เชื่อมโยงกับองค์กร แสดงเฉพาะรหัสและประเภทคีย์

การแจ้งเตือน

คุณรับการแจ้งเตือนจาก ESA ที่สร้างโดยโปรแกรมได้โดยโทรไปที่ Enterprises.pullNotificationSet ดูตั้งค่าการแจ้งเตือน EMM สำหรับข้อมูลเพิ่มเติม

การลงทะเบียนโดเมนของ Google ที่มีการจัดการ

หากต้องการจัดการอุปกรณ์ที่เป็นของโดเมน Google ที่มีการจัดการ คุณต้องทำการเชื่อมต่อ (เรียกว่าการเชื่อมโยง) ระหว่างคอนโซล EMM, องค์กร และ Google

ข้อกำหนดเบื้องต้น

องค์กรต้องมีโดเมน Google ที่มีการจัดการ, โทเค็นการลงทะเบียน EMM และบัญชีบริการขององค์กร (ESA) คำแนะนำสำหรับผู้ดูแลระบบไอทีเกี่ยวกับวิธีรับรายละเอียดเหล่านี้ในศูนย์ช่วยเหลือของ Android Enterprise

โดเมน Google ที่มีการจัดการ

หากผู้ดูแลระบบไอทีขององค์กรอ้างสิทธิ์โดเมนที่มีการจัดการเมื่อลงชื่อสมัครใช้ Google Workspace ผู้ดูแลระบบสามารถเปิดใช้การจัดการ Android จากคอนโซลผู้ดูแลระบบของ Google ได้ หากองค์กรไม่มีโดเมน Google ที่มีการจัดการ ผู้ดูแลระบบไอทีจะต้องผ่านกระบวนการลงทะเบียนบนเว็บแบบครั้งเดียวกับ Google

โทเค็น EMM

ผู้ดูแลระบบไอทีสามารถรับโทเค็น EMM ได้จาก คอนโซลผู้ดูแลระบบของ Google (ในส่วนอุปกรณ์ > อุปกรณ์เคลื่อนที่และปลายทาง > การตั้งค่า > การผสานรวมกับบุคคลที่สาม)

ยุโรป ตะวันออกกลาง และแอฟริกา

ผู้ดูแลระบบไอทีขององค์กรสามารถสร้าง ESA ซึ่งโดยทั่วไปจะทำผ่าน Google Cloud Console ในโปรเจ็กต์ที่เชื่อมโยงกับคอนโซล EMM ของคุณ ESA มีชื่อ รหัส และคีย์ที่ตรวจสอบสิทธิ์บัญชีเพื่อการทำงานที่ดำเนินการในนามของตนเอง รหัสจะมีรูปแบบคล้ายกับอีเมล โดยมีชื่อบัญชีบริการนำหน้าสัญลักษณ์ @ และชื่อโปรเจ็กต์ต่อท้าย รวมถึงข้อมูลบริการของ Google (เช่น some-orgs-esa@myemmconsole313302.iam.gserviceaccount.com)

ขั้นตอนการลงทะเบียน

1. ผู้ดูแลระบบไอทีได้รับโทเค็น EMM จากคอนโซลผู้ดูแลระบบของ Google
2. ผู้ดูแลระบบไอทีจะแชร์โทเค็น EMM กับคุณ ซึ่งจะอนุญาตให้คุณจัดการ Android ในโดเมนของเขา
3. ใช้โทเค็น EMM เพื่อโทรหา Enterprises.enroll ผ่านคอนโซล EMM ซึ่งจะผูกโซลูชัน Android ขององค์กรกับโดเมน Google ของตน
   • เมธอด enroll จะแสดงผล enterpriseId ที่ไม่ซ้ำกัน ซึ่งคุณจะเรียกข้อมูลในภายหลังได้ (สำหรับโดเมนของ Google ที่มีการจัดการเท่านั้น) โดยใช้เมธอด list
   • คุณสามารถเก็บข้อมูลเกี่ยวกับการเชื่อมโยง (enterpriseId, primaryDomain) ในพื้นที่เก็บข้อมูลเพื่อหลีกเลี่ยงการเรียก API เพื่อรับรายละเอียดเหล่านี้ ในสถานการณ์บัญชี Google นั้น primaryDomain ขององค์กรคือคีย์เฉพาะที่ใช้ในการระบุองค์กรให้ EMM และ Google ทราบ
4. วิธีเรียก Google Play EMM API เฉพาะองค์กร
   • โดยเมื่อคุณสร้าง ESA ในนามขององค์กร หรือผู้ดูแลระบบสร้าง ESA แล้วแชร์กับคุณ
   • โทรหา setAccount ผ่านคอนโซล EMM โดยใช้ enterpriseId และอีเมลของ ESA ซึ่งจะทำให้ ESA ตรวจสอบสิทธิ์ API ในฐานะองค์กรได้

ตัวอย่าง

ต่อไปนี้คือตัวอย่างที่ลงทะเบียนองค์กร โดยระบุ primaryDomainName, serviceAccountEmail และ authenticationToken

    public void bind(String primaryDomainName, String serviceAccountEmail,
        String authenticationToken) throws IOException {

      Enterprise enterprise = new Enterprise();
      enterprise.setPrimaryDomain(primaryDomainName);

      Enterprise result = androidEnterprise.enterprises()
          .enroll(authenticationToken, enterprise)
          .execute();

      EnterpriseAccount enterpriseAccount = new EnterpriseAccount();
      enterpriseAccount.setAccountEmail(serviceAccountEmail);
      androidEnterprise.enterprises()
          .setAccount(result.getId(), enterpriseAccount)
          .execute();
    }

ตัวอย่างนี้ใช้ไลบรารีของไคลเอ็นต์สำหรับ Java และคลาสบริการ AndroidEnterprise จากแพ็กเกจ com.google.api.services.androidenterprise.model กระบวนการที่แสดงในตัวอย่างสามารถสรุปได้ดังนี้

1. สร้างออบเจ็กต์ AndroidEnterprise ใหม่ด้วยพารามิเตอร์จาก bind, คลาสโมเดลที่มีชื่อโดเมนหลัก อีเมลของบัญชีบริการ และโทเค็นการลงทะเบียน EMM
2. ระบุชื่อโดเมนหลักของออบเจ็กต์องค์กรที่สร้างใหม่
3. เรียกใช้วิธีการลงทะเบียนโดยระบุออบเจ็กต์องค์กรและโทเค็นการลงทะเบียน
4. สร้างออบเจ็กต์ EnterpriseAccount ใหม่ด้วยรหัส ESA ของลูกค้า (serviceAccountEmail)
5. ตั้งค่าบัญชีโดยระบุทั้งช่อง enterpriseId (ที่ส่งคืนในขั้นตอนที่ 3) และ enterpriseAccount

คุณสามารถเก็บข้อมูลเกี่ยวกับการเชื่อมโยง (enterpriseId, primaryDomain) ในพื้นที่เก็บข้อมูลเพื่อหลีกเลี่ยงการเรียก API เพื่อรับรายละเอียดเหล่านี้ ในสถานการณ์บัญชี Google นั้น primaryDomain ขององค์กรคือคีย์ที่ไม่ซ้ำกันซึ่งจะระบุองค์กรให้ EMM และ Google ทราบ

ตั้งค่าการทำให้ใช้งานได้ภายในองค์กร

หากองค์กรกำหนดให้ข้อมูลอยู่ในเว็บไซต์และคุณเข้าถึงได้ คุณต้องตรวจสอบว่าเซิร์ฟเวอร์จะไม่เห็นชุดข้อมูลเข้าสู่ระบบที่ใช้งานอยู่สำหรับ ESA วิธีการคือให้สร้างและจัดเก็บชุดข้อมูลเข้าสู่ระบบ ESA ไว้บนเว็บไซต์

1. ดำเนินการตามขั้นตอนการลงทะเบียนให้เสร็จสมบูรณ์
   1. ตามที่แสดงในขั้นตอนที่ 11 ให้ใช้ MSA ในการเรียกใช้ getServiceAccount ซึ่งจะเป็นการสร้างข้อมูลเข้าสู่ระบบ ESA
   2. ตามที่แสดงในขั้นตอนที่ 12 ให้ใช้ setAccount ใน ESA เพื่อตั้งเป็น ESA สำหรับองค์กรนี้
2. ส่งต่อ ESA ไปยังเซิร์ฟเวอร์ภายในองค์กรขององค์กร
3. ทำตามขั้นตอนต่อไปนี้ในเซิร์ฟเวอร์ภายในองค์กร
   1. เรียก Serviceaccountkeys.insert เพื่อสร้างคีย์ใหม่สำหรับ ESA คีย์ส่วนตัวนี้จะไม่จัดเก็บไว้ในเซิร์ฟเวอร์ของ Google และจะส่งคืนเพียงครั้งเดียวเมื่อสร้างบัญชี และไม่สามารถ เข้าถึงด้วยวิธีอื่นได้
   2. ใช้ข้อมูลเข้าสู่ระบบของ ESA ใหม่เพื่อทำการเรียกใช้ Serviceaccountkeys.list ซึ่งจะแสดงข้อมูลรับรองของบัญชีบริการที่ใช้งานอยู่
   3. เรียกใช้ Serviceaccountkeys.delete เพื่อลบข้อมูลเข้าสู่ระบบทั้งหมด ยกเว้นข้อมูลเข้าสู่ระบบ ESA ที่เพิ่งสร้างขึ้นภายในองค์กร
   4. (ไม่บังคับ) เรียกใช้ Serviceaccountkeys.list เพื่อยืนยันว่าข้อมูลเข้าสู่ระบบที่ใช้ภายในองค์กรเป็นข้อมูลเข้าสู่ระบบที่ถูกต้องเพียงประเภทเดียวสำหรับบัญชีบริการ

ซึ่งในขณะนี้มีเซิร์ฟเวอร์ภายในองค์กรเพียงเซิร์ฟเวอร์เดียวที่มีข้อมูลเข้าสู่ระบบ ESA มีเพียง ESA ที่สร้างขึ้นผ่าน getServiceAccount เท่านั้นที่จะเข้าถึง ServiceAccountKeys ได้ เนื่องจาก MSA ของคุณไม่อนุญาตให้เรียก MSA นี้

แนวทางปฏิบัติแนะนำ: อย่าเก็บข้อมูลเข้าสู่ระบบของบัญชีบริการหลัก (MSA) ภายในองค์กร ใช้ ESA แยกกันสำหรับการติดตั้งใช้งานภายในองค์กรแต่ละรายการ

ยกเลิกการลงทะเบียน ลงทะเบียนอีกครั้ง หรือลบการเชื่อมโยงองค์กร

ยกเลิกการลงทะเบียน

หากต้องการเลิกเชื่อมโยงองค์กรจากโซลูชัน EMM ให้ใช้ unenroll ระบบจะไม่ลบการเชื่อมโยงองค์กรเมื่อยกเลิกการลงทะเบียน แต่ผู้ใช้ที่จัดการโดย EMM และข้อมูลผู้ใช้ที่เกี่ยวข้องทั้งหมดจะถูกลบหลังจากผ่านไป 30 วัน นี่คือตัวอย่างการใช้งาน

    public void unbind(String enterpriseId) throws IOException {
      androidEnterprise.enterprises().unenroll(enterpriseId).execute();
    }

แนวทางปฏิบัติแนะนำ: หากคุณมีพื้นที่เก็บข้อมูลสำหรับการแมปชื่อองค์กรและรหัสการเชื่อมโยงองค์กร ให้ลบข้อมูลดังกล่าวออกจากพื้นที่เก็บข้อมูลหลังจากเรียกใช้ unenroll

ลงทะเบียนอีกครั้ง

ผู้ดูแลระบบไอทีสามารถลงทะเบียนองค์กรอีกครั้งโดยใช้ enterpriseId ที่มีอยู่ได้ โดยต้องลงชื่อเข้าใช้ด้วยบัญชีระดับเจ้าของและทำตามกระบวนการลงทะเบียน

ขั้นตอนการลงทะเบียนซ้ำเป็นความโปร่งใสจากมุมมองของคุณ เราไม่สามารถระบุได้ว่าโทเค็นองค์กรที่แสดงใน URL การเปลี่ยนเส้นทาง (ขั้นตอนที่ 8) มาจากองค์กรใหม่หรือองค์กรที่เคยลงทะเบียนกับ EMM อื่นก่อนหน้านี้หรือไม่

หากองค์กรเคยลงทะเบียนด้วยโซลูชัน EMM ของคุณก่อนหน้านี้ คุณอาจรู้จักรหัสการเชื่อมโยงองค์กร คุณจะกู้คืนผู้ใช้ที่จัดการโดย EMM และข้อมูลผู้ใช้ที่เกี่ยวข้องได้ หากผู้ดูแลระบบไอทีลงทะเบียนองค์กรอีกครั้งไม่เกิน 30 วันหลังจากยกเลิกการลงทะเบียนจากคุณ หากองค์กรหนึ่งเคยลงทะเบียนด้วย EMM รายอื่น คุณจะไม่สามารถเข้าถึงรหัสผู้ใช้ของผู้ใช้ที่จัดการโดย EMM รายอื่นที่สร้างโดย EMM อื่นได้ เพราะรหัสผู้ใช้เหล่านี้ ใช้สำหรับ EMM โดยเฉพาะ

ลบ

ผู้ดูแลระบบไอทีสามารถลบองค์กรของตนออกจาก Managed Google Play ได้ ภายใน 24 ชั่วโมง ผู้ดูแลระบบ ผู้ใช้ปลายทาง และคุณไม่สามารถเข้าถึงข้อมูล บัญชี การมอบหมายใบอนุญาต และทรัพยากรอื่นๆ ขององค์กรได้ ดังนั้น การเรียก API จะแสดงรหัสสถานะการตอบกลับ HTTP 404 Not Found สำหรับพารามิเตอร์ enterpriseId หากต้องการจัดการข้อผิดพลาดนี้ในคอนโซล EMM คุณจะต้องแจ้งผู้ดูแลระบบไอทีให้ยืนยันก่อนที่จะยกเลิกการเชื่อมโยงกับองค์กร