Aprovisionamiento para la gestión de dispositivos

Los administradores de TI pueden implementar dispositivos para usuarios corporativos utilizando servicios en la nube, código QR o aprovisionamiento de Near Field Communication (NFC). Para comenzar, descargue el APK de NfcProvisioning y el APK de Android-DeviceOwner . Para obtener una lista completa de los requisitos, consulte Implementación de la administración de dispositivos .

Actualizaciones de Android 12

  • ACTION_PROVISION_MANAGED_DEVICE está en desuso.

  • ACTION_PROVISION_MANAGED_PROFILE solo se admite para el aprovisionamiento del perfil de trabajo de DPC primero, en el que los usuarios finales pueden aprovisionar un perfil de trabajo después de descargar el DPC.

  • Los desarrolladores de DPC que deseen admitir el código QR u otros métodos de aprovisionamiento deben implementar controladores para las acciones de intención DevicePolicyManager#ACTION_GET_PROVISIONING_MODE y DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE . Si el DPC no implementa estos controladores, el aprovisionamiento fallará.

  • El controlador DPC ACTION_GET_PROVISIONING_MODE incluye un nuevo extra EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES . El DPC debe establecer EXTRA_PROVISIONING_MODE adicional a su intención resultante con un valor que pertenezca a esa lista. Si el DPC devuelve un valor que no está en esa lista, el aprovisionamiento fallará.

  • Para aumentar aún más la estabilidad, la capacidad de mantenimiento y la simplicidad de los flujos que ocurren durante el asistente de configuración, la configuración de DPC no se puede iniciar después de que finalice el asistente de configuración. Los DPC que usan la categoría android.intent.category.PROVISIONING_FINALIZATION con la acción de intención ADMIN_POLICY_COMPLIANCE para solicitar explícitamente la configuración antes de que finalice el asistente de configuración pueden eliminar esa categoría, ya que ahora se hace de manera predeterminada.

Aprovisionamiento gestionado

El aprovisionamiento administrado es un flujo de interfaz de usuario del marco que garantiza que los usuarios estén adecuadamente informados sobre las implicaciones de configurar un propietario de dispositivo o un perfil administrado. Los dispositivos que permiten el cifrado predeterminado ofrecen un flujo de aprovisionamiento de gestión de dispositivos considerablemente más simple y rápido.

Durante el aprovisionamiento administrado, el componente de aprovisionamiento administrado realiza las siguientes actividades:

  • Cifra el dispositivo.
  • Crea el perfil administrado.
  • Deshabilita las aplicaciones no requeridas.
  • Establece la aplicación de administración de movilidad empresarial (EMM) como perfil o propietario del dispositivo.

A su vez, la aplicación de gestión de movilidad empresarial (EMM) realiza las siguientes actividades:

  • Agrega cuentas de usuario.
  • Refuerza el cumplimiento del dispositivo.
  • Habilita cualquier aplicación adicional del sistema.

Durante el aprovisionamiento administrado, el marco copia la aplicación EMM en el perfil administrado. Una vez que se completa el aprovisionamiento, se llama al controlador de intenciones ADMIN_POLICY_COMPLIANCE de la aplicación EMM en el usuario del perfil de trabajo (para el aprovisionamiento del perfil de trabajo) o en el usuario propietario del dispositivo (para el aprovisionamiento del propietario del dispositivo). Luego, el EMM agrega cuentas y aplica políticas, después de lo cual llama a setProfileEnabled() para que los íconos del iniciador sean visibles.

Aprovisionamiento del propietario del perfil

El aprovisionamiento del propietario del perfil permite que el usuario tenga un perfil de trabajo (perfil administrado) y un perfil personal en un dispositivo. Para habilitar el aprovisionamiento del propietario del perfil, debe enviar una intención con los extras correspondientes. Por ejemplo, instale la aplicación TestDPC ( descárguela desde Google Play o cree desde GitHub ) en el dispositivo, inicie la aplicación desde el iniciador y luego siga las instrucciones de la aplicación. El aprovisionamiento se completa cuando aparecen iconos con distintivos en el cajón del iniciador.

La aplicación EMM DPC desencadena la creación del perfil administrado mediante el envío de una intención con la acción DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE . El siguiente comando es una intención de muestra que activa la creación del perfil administrado y establece DeviceAdminSample como el propietario del perfil:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

Aprovisionamiento del propietario del dispositivo con NFC

Puede usar NFC o servicios en la nube para configurar el aprovisionamiento del propietario del dispositivo (DO) durante el proceso de configuración original de un dispositivo.

Cuando usa NFC, usted aprovisiona dispositivos en modo DO usando NFC bump durante el paso de configuración inicial del dispositivo. Este método requiere más arranque, pero es de bajo contacto y maneja la configuración de Wi-Fi, la instalación del DPC y la configuración del DPC como propietario del dispositivo.

Un paquete típico de NFC incluye lo siguiente:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

Los dispositivos deben tener NFC configurado para aceptar el tipo MIME de aprovisionamiento administrado de la experiencia de configuración. Para configurar, asegúrese de que /packages/apps/Nfc/res/values/provisioning.xml contenga las siguientes líneas:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

Aprovisionamiento mediante servicios en la nube

Puede aprovisionar dispositivos con un propietario de dispositivo o un propietario de perfil (perfil de trabajo) mediante servicios en la nube. El dispositivo recopila y usa credenciales (o tokens) para realizar una búsqueda en un servicio en la nube, que luego se puede usar para iniciar el proceso de aprovisionamiento.

Ventajas de la gestión de la movilidad empresarial

Una aplicación de gestión de movilidad empresarial (EMM) puede ayudar realizando las siguientes tareas:

  • Perfil administrado de aprovisionamiento.
  • Aplicar políticas de seguridad.
    • Establecer la complejidad de la contraseña.
    • Bloqueos: deshabilite las capturas de pantalla, compartir desde el perfil administrado, etc.
  • Configuración de la conectividad empresarial.
    • Use WifiEnterpriseConfig para configurar Wi-Fi corporativo.
    • Configure VPN en el dispositivo.
    • Utilice DPM.setApplicationRestrictions() para configurar la VPN corporativa.
  • Habilitación del inicio de sesión único (SSO) de la aplicación corporativa.
    • Instale las aplicaciones corporativas deseadas.
    • Utilice DPM.installKeyPair() para instalar de forma silenciosa los certificados de cliente corporativo.
    • Use DPM.setApplicationRestrictions() para configurar nombres de host, alias de certificados de aplicaciones corporativas.

El aprovisionamiento administrado es solo una parte del flujo de trabajo integral de EMM, con el objetivo final de hacer que los datos corporativos sean accesibles para las aplicaciones en el perfil administrado o el dispositivo administrado. Para obtener orientación sobre las pruebas, consulte Configuración de pruebas de dispositivos .