Cấp phép cho Quản lý thiết bị

Quản trị viên CNTT có thể triển khai thiết bị cho người dùng doanh nghiệp bằng cách sử dụng dịch vụ đám mây, mã QR hoặc cung cấp Giao tiếp trường gần (NFC). Để bắt đầu, hãy tải xuống APK NfcProvisioningAPK Chủ sở hữu thiết bị Android . Để biết danh sách đầy đủ các yêu cầu, hãy xem Triển khai quản lý thiết bị .

Cập nhật Android 12

  • ACTION_PROVISION_MANAGED_DEVICE không được dùng nữa.

  • ACTION_PROVISION_MANAGED_PROFILE chỉ được hỗ trợ cho việc cung cấp hồ sơ công việc đầu tiên của DPC, trong đó người dùng cuối có thể cung cấp hồ sơ công việc sau khi tải xuống DPC.

  • Các nhà phát triển DPC muốn hỗ trợ mã QR hoặc các phương pháp cấp phép khác phải triển khai trình xử lý cho các hành động có ý định DevicePolicyManager#ACTION_GET_PROVISIONING_MODEDevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE . Nếu DPC không triển khai các trình xử lý này thì việc cung cấp sẽ không thành công.

  • Trình xử lý DPC ACTION_GET_PROVISIONING_MODE bao gồm một EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES bổ sung mới. DPC phải đặt thêm EXTRA_PROVISIONING_MODE cho mục đích cuối cùng của nó với một giá trị thuộc danh sách đó. Nếu DPC trả về một giá trị không có trong danh sách đó thì việc cung cấp sẽ không thành công.

  • Để tăng thêm độ ổn định, khả năng bảo trì và tính đơn giản của các dòng diễn ra trong trình hướng dẫn thiết lập, bạn không thể bắt đầu thiết lập DPC sau khi kết thúc trình hướng dẫn thiết lập. Các DPC sử dụng danh mục android.intent.category.PROVISIONING_FINALIZATION với hành động có mục đích ADMIN_POLICY_COMPLIANCE để yêu cầu thiết lập rõ ràng trước khi kết thúc trình hướng dẫn thiết lập có thể xóa danh mục đó vì việc này hiện được thực hiện theo mặc định.

Cung cấp được quản lý

Cung cấp được quản lý là luồng giao diện người dùng khung nhằm đảm bảo người dùng được thông báo đầy đủ về ý nghĩa của việc thiết lập chủ sở hữu thiết bị hoặc hồ sơ được quản lý. Các thiết bị kích hoạt mã hóa mặc định sẽ cung cấp quy trình cấp phép quản lý thiết bị đơn giản hơn và nhanh hơn đáng kể.

Trong quá trình cung cấp được quản lý, thành phần cung cấp được quản lý thực hiện các hoạt động sau:

  • Mã hóa thiết bị.
  • Tạo hồ sơ được quản lý.
  • Vô hiệu hóa các ứng dụng không cần thiết.
  • Đặt ứng dụng quản lý di động doanh nghiệp (EMM) làm chủ sở hữu hồ sơ hoặc thiết bị.

Đổi lại, ứng dụng quản lý di động doanh nghiệp (EMM) thực hiện các hoạt động sau:

  • Thêm tài khoản người dùng.
  • Thực thi sự tuân thủ của thiết bị.
  • Cho phép mọi ứng dụng hệ thống bổ sung.

Trong quá trình cung cấp được quản lý, khung sẽ sao chép ứng dụng EMM vào hồ sơ được quản lý. Sau khi quá trình cấp phép hoàn tất, trình xử lý ý định ADMIN_POLICY_COMPLIANCE của ứng dụng EMM sẽ được gọi trong người dùng hồ sơ công việc (để cấp phép hồ sơ công việc) hoặc trong người dùng chủ sở hữu thiết bị (để cấp phép chủ sở hữu thiết bị). Sau đó, EMM thêm tài khoản và thực thi các chính sách, sau đó nó gọi setProfileEnabled() để hiển thị các biểu tượng trình khởi chạy.

Cung cấp chủ sở hữu hồ sơ

Việc cấp phép chủ sở hữu hồ sơ cho phép người dùng có cả hồ sơ công việc (hồ sơ được quản lý) và hồ sơ cá nhân trên thiết bị. Để cho phép cấp phép chủ sở hữu hồ sơ, bạn phải gửi ý định kèm theo các tính năng bổ sung thích hợp. Ví dụ: cài đặt ứng dụng TestDPC ( tải xuống từ Google Play hoặc xây dựng từ GitHub ) trên thiết bị, khởi chạy ứng dụng từ trình khởi chạy, sau đó làm theo hướng dẫn của ứng dụng. Việc cấp phép hoàn tất khi các biểu tượng có huy hiệu xuất hiện trong ngăn kéo của trình khởi chạy.

Ứng dụng EMM DPC kích hoạt việc tạo hồ sơ được quản lý bằng cách gửi ý định bằng hành động DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE . Lệnh sau đây là mục đích mẫu kích hoạt việc tạo hồ sơ được quản lý và đặt DeviceAdminSample làm chủ sở hữu hồ sơ:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

Chủ sở hữu thiết bị cung cấp NFC

Bạn có thể sử dụng dịch vụ NFC hoặc đám mây để thiết lập cấp phép chủ sở hữu thiết bị (DO) trong quá trình thiết lập sẵn dùng cho thiết bị.

Khi sử dụng NFC, bạn cung cấp thiết bị ở chế độ DO bằng cách sử dụng kết nối NFC trong bước thiết lập thiết bị ban đầu. Phương pháp này yêu cầu khởi động nhiều hơn nhưng ít chạm và xử lý việc định cấu hình Wi-Fi, cài đặt DPC cũng như đặt DPC làm chủ sở hữu thiết bị.

Một gói NFC điển hình bao gồm:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

Các thiết bị phải được định cấu hình NFC để chấp nhận kiểu mô phỏng cung cấp được quản lý từ trải nghiệm thiết lập. Để định cấu hình, hãy đảm bảo /packages/apps/Nfc/res/values/provisioning.xml chứa các dòng sau:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

Cung cấp dịch vụ đám mây

Bạn có thể cấp phép cho thiết bị có chủ sở hữu thiết bị hoặc chủ sở hữu hồ sơ (hồ sơ công việc) bằng dịch vụ đám mây. Thiết bị thu thập và sử dụng thông tin xác thực (hoặc mã thông báo) để thực hiện tra cứu dịch vụ đám mây, sau đó có thể được sử dụng để bắt đầu quá trình cung cấp.

Lợi ích quản lý di động doanh nghiệp

Ứng dụng quản lý di động doanh nghiệp (EMM) có thể trợ giúp bằng cách thực hiện các tác vụ sau:

  • Cung cấp hồ sơ được quản lý.
  • Áp dụng các chính sách bảo mật.
    • Đặt độ phức tạp của mật khẩu.
    • Khóa máy: tắt ảnh chụp màn hình, chia sẻ từ hồ sơ được quản lý, v.v.
  • Cấu hình kết nối doanh nghiệp.
    • Sử dụng WifiEnterpriseConfig để định cấu hình Wi-Fi công ty.
    • Định cấu hình VPN trên thiết bị.
    • Sử dụng DPM.setApplicationRestrictions() để định cấu hình VPN công ty.
  • Bật ứng dụng công ty Đăng nhập một lần (SSO).
    • Cài đặt các ứng dụng công ty mong muốn.
    • Sử dụng DPM.installKeyPair() để âm thầm cài đặt chứng chỉ máy khách của công ty.
    • Sử dụng DPM.setApplicationRestrictions() để định cấu hình tên máy chủ, bí danh chứng chỉ' của các ứng dụng công ty.

Việc cung cấp được quản lý chỉ là một phần trong quy trình làm việc toàn diện của EMM, với mục tiêu cuối cùng là giúp các ứng dụng trong hồ sơ được quản lý hoặc thiết bị được quản lý có thể truy cập dữ liệu của công ty. Để biết hướng dẫn kiểm tra, hãy xem Thiết lập kiểm tra thiết bị .