הקצאה לניהול מכשירים

מנהלי IT יכולים לפרוס מכשירים למשתמשים ארגוניים באמצעות שירותי ענן, קוד QR או הקצאת תקשורת מטווח קצר (NFC). כדי להתחיל, צריך להוריד את ניהול תצורה של Nfc APK וגם הדף Android-DeviceOwner APK. עבור לרשימת הדרישות המלאה, ראו הטמעת מכשיר ניהול.

עדכונים ל-Android 12

  • האפשרות ACTION_PROVISION_MANAGED_DEVICE הוצאה משימוש.

  • יש תמיכה ב-ACTION_PROVISION_MANAGED_PROFILE רק בעבודה עם DPC להקצאת פרופיל עבודה, שבה משתמשי קצה יוכלו להקצות פרופיל עבודה לאחר מתבצעת הורדה של ה-DPC.

  • מפתחי DPC שרוצים לתמוך בקוד QR או בשיטות הקצאה אחרות חייבים להטמיע handlers של DevicePolicyManager#ACTION_GET_PROVISIONING_MODE ו-DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE פעולות Intent. אם המיקום ה-DPC לא מיישם את ה-handlers האלה, ההקצאה תיכשל.

  • handler ACTION_GET_PROVISIONING_MODE של בקר DPC כולל עוד EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES. בקר ה-DPC צריך להגדיר EXTRA_PROVISIONING_MODE תוספת לכוונה שתתקבל עם ערך שייך לרשימה הזו. אם ה-DPC מחזיר ערך שלא מופיע ברשימה הזו, ההקצאה תיכשל.

  • כדי לשפר את היציבות, התחזוקה והפשטות של התהליכים שמתרחשת במהלך אשף ההגדרה, לא ניתן להתחיל בהתקנה של בקר DPC לאחר הסיום של אשף ההגדרה. בקרי DPC שמשתמשים ב קטגוריה אחת (android.intent.category.PROVISIONING_FINALIZATION) עם המאפיין פעולת Intent ADMIN_POLICY_COMPLIANCE כדי לבקש הגדרה מפורשת לפני הסיום של אשף ההגדרה, תוכלו להסיר את הקטגוריה הזו מכיוון שהפעולה הזו הושלמה כברירת מחדל.

ניהול תצורה מנוהל

ניהול תצורה מנוהל הוא תהליך בממשק המשתמש של framework שמבטיח שהמשתמשים מקבלים גישה הולמת לקבל מידע בנוגע להשלכות של הגדרת בעלים של מכשיר או פרופיל מנוהל. מכשירים שמאפשרים הצפנת ברירת מחדל מציעים חוויה פשוטה ומהירה יותר באופן משמעותי ניהול מכשירים.

במהלך ההקצאה המנוהלת, הרכיב של ניהול התצורה המנוהל מבצע את הפעילויות הבאות:

  • הצפנת המכשיר.
  • יצירת הפרופיל המנוהל.
  • משבית אפליקציות שאינן נחוצות.
  • הגדרת האפליקציה לניהול ניידות ארגונית (EMM) כפרופיל או כבעלים של המכשיר.

האפליקציה לניהול ניידות ארגונית (EMM) מבצעת את הפעולות הבאות פעילויות:

  • הוספה של חשבונות משתמשים.
  • אכיפת תאימות של המכשיר.
  • מפעילה אפליקציות מערכת נוספות.

במהלך ניהול הקצאות מנוהל, ה-framework מעתיק את אפליקציית ה-EMM פרופיל. לאחר סיום ניהול ההקצאות, ADMIN_POLICY_COMPLIANCE של אפליקציית ה-EMM ה-handler של Intent נקרא למשתמש בפרופיל העבודה (בפרופיל העבודה ניהול הקצאות ידני) או בחשבון של בעלי המכשיר (להקצאה של בעלי המכשיר). לאחר מכן, ה-EMM יוסיף חשבונות ותאכוף כללי מדיניות. לאחר מכן הוא יתקשר setProfileEnabled() כדי להציג את סמלי מרכז האפליקציות.

ניהול תצורה של בעלי הפרופיל

ניהול התצורה של בעלי הפרופיל מאפשר למשתמש לנהל גם פרופיל עבודה (מנוהל ופרופיל אישי במכשיר. כדי להפעיל את הבעלים של הפרופיל ניהול הקצאות ידני, חובה לשלוח Intent עם תוספות מתאימות. לדוגמה, להתקין את האפליקציה TestDPC (להורדה מ-Google) הפעלה או ליצור מ- GitHub) במכשיר, מפעילים את האפליקציה ממרכז האפליקציות ופועלים לפי ההוראות באפליקציה. ההקצאה תושלם כשסמלים עם תגים יופיעו בחלונית ההזזה של מרכז האפליקציות.

אפליקציית DPC של EMM מפעילה את היצירה של הפרופיל המנוהל על ידי שליחת עם DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE פעולה. הפקודה הבאה היא דוגמה ל-Intent שמפעילה את היצירה של הפרופיל המנוהל ומגדיר את DeviceAdminSample כבעלים של הפרופיל:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

ניהול תצורה של בעלי המכשיר באמצעות NFC

אפשר להשתמש ב-NFC או בשירותי ענן כדי להגדיר את בעלי המכשיר (DO) הקצאת הרשאות ידנית בתהליך ההגדרה של המכשיר.

כשמשתמשים ב-NFC, הקצאת המכשירים במצב 'משימות' באמצעות NFC להצמיד בשלב ההגדרה הראשונית של המכשיר. השיטה הזו דורשת אתחולי אתחול נוספים, אבל פחות מגע ומטפל בהגדרת Wi-Fi, בהתקנת ה-DPC ובהגדרה את בקר ה-DPC כבעלים של המכשיר.

חבילת NFC אופיינית כוללת:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

כדי לקבל את ה-mimetype המנוהל של ניהול התצורה, יש להגדיר במכשירים את ה-NFC מחוויית ההגדרה. כדי להגדיר, צריך לוודא /packages/apps/Nfc/res/values/provisioning.xml מכילה את השורות הבאות:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

הקצאת הרשאות ידנית באמצעות שירותי ענן

אפשר לנהל הקצאות של מכשירים באמצעות מכשיר בעלים או פרופיל בעלים (פרופיל עבודה) באמצעות שירותי ענן. המכשיר אוסף פרטי כניסה (או אסימונים) ומשתמש בהם כדי לבצע חיפוש בענן שירות, שבו ניתן להשתמש כדי ליזום את תהליך הקצאת ההרשאות.

הטבות לניהול הניידות בארגון

אפליקציה לניהול ניידות ארגונית (EMM) יכולה לעזור על ידי ביצוע הפעולות הבאות משימות:

  • פרופיל מנוהל להקצאת הרשאות ידנית.
  • המערכת מחילה את כללי מדיניות האבטחה.
    • הגדרת מורכבות הסיסמה.
    • ללא 'ביטול נעילה עם טביעת אצבע': השבתת צילומי מסך, שיתוף מהפרופיל המנוהל וכו'.
  • הגדרת קישוריות ארגונית.
    • אפשר להשתמש ב-WifiEnterpriseConfig כדי להגדיר רשת Wi-Fi של החברה.
    • הגדרת VPN במכשיר.
    • כדי להגדיר VPN ארגוני, צריך להשתמש ב-DPM.setApplicationRestrictions().
  • הפעלת כניסה יחידה (SSO) לאפליקציות עסקיות.
    • התקנת האפליקציות הרצויות של החברה.
    • כדי להתקין באופן שקט אישורי לקוח של הארגון, אפשר להשתמש ב-DPM.installKeyPair().
    • שימוש ב-DPM.setApplicationRestrictions() כדי להגדיר שמות מארחים וכינויים של אישורים של אפליקציות עסקיות.

ניהול הקצאות ידני הוא רק חלק אחד מתהליך העבודה מקצה לקצה של EMM מטרה נוספת היא להפוך את הנתונים העסקיים לנגישים לאפליקציות בפרופיל המנוהל, או של המכשיר המנוהל. להנחיות בדיקה, ראה הגדרת המכשיר בדיקה.