Google 致力于为黑人社区推动种族平等。查看具体举措

设备管理配置

本页介绍了使用 NFC 或云服务向企业用户部署设备的过程(如需查看完整的要求列表,请参阅实现设备管理)。

首先,请下载 NfcProvisioning APKAndroid-DeviceOwner APK

注意:如果配置已经开始,则必须先将受影响的设备恢复出厂设置。

托管配置

托管配置是一个框架式界面流程,用于确保用户充分了解设置设备所有者或受管理资料的含义。它旨在充当受管理资料的设置向导。

注意:只能为未配置的设备设置所有者。如果设置过 Settings.Secure.USER_SETUP_COMPLETE,则设备会被视为已配置,不能再设置设备所有者。

如果设备启用了默认加密功能,则会使设备管理配置流程简便快捷得多。受管理配置组件会:

  • 加密设备
  • 创建受管理资料
  • 停用不需要的应用
  • 将企业移动管理 (EMM) 应用设置为资料所有者

反过来,EMM 应用会:

  • 添加用户帐号
  • 落实设备合规性
  • 启用任何其他系统应用

在此流程中,托管配置会触发设备加密。在托管配置过程中,框架会将 EMM 应用复制到受管理资料中。当配置完成时,受管理资料中的 EMM 应用实例会从框架获得回调。然后,EMM 可以添加帐号并实施政策;它随后会调用 setProfileEnabled(),这样会使启动器图标可见。

资料所有者配置

资料所有者配置假定设备的用户(而不是公司 IT 部门)监督设备管理。要启用资料所有者配置,您必须发送包含相应附加内容的 intent。例如,使用 TestDPC 应用(从 Google Play 下载从 GitHub 构建)。在设备上安装 TestDPC,从启动器启动该应用,然后按照应用说明进行操作。当启动器抽屉式导航栏中出现带有标记的图标时,表示配置已完成。

移动设备管理 (MDM) 应用会发送包含 DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE 操作的 intent,从而触发受管理资料的创建。下面是一个示例 intent,该 intent 会触发受管理资料的创建,并将 DeviceAdminSample 设为资料所有者:

adb shell am start -a android.app.action.PROVISION_MANAGED_PROFILE \
          -c android.intent.category.DEFAULT \
	      -e wifiSsid $(printf '%q' \"WifiSSID\") \
          -e deviceAdminPackage "com.google.android.deviceadminsample" \
	      -e android.app.extra.deviceAdminPackageName $(printf '%q'
                        .DeviceAdminSample\$DeviceAdminSampleReceiver) \
              -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

设备所有者配置

使用以下方法之一来设置设备所有者 (DO) 配置。

使用云服务进行配置

另一种方法是使用云服务进行设备所有者配置,通过这种方法,可以在开箱设置期间在设备所有者模式下配置设备。设备可以收集凭据(或令牌),并使用它们来执行对云服务的查询,然后可以使用该服务来启动设备所有者配置过程。

使用 NFC 进行配置(已弃用)

使用 NFC 进行 DO 配置与资料所有者的配置方法类似,但需要更多引导。若要使用此方法,请在初始设置步骤(设置向导的第一页)中对设备进行 NFC 触碰。此低接触流程会配置 Wi-Fi、安装 DPC,并将 DPC 设置为设备所有者。

典型的 NFC 包包括以下内容:

                EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
                EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
                EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
                EXTRA_PROVISIONING_WIFI_SSID
                EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

设备必须将 NFC 配置为接受来自设置体验的托管配置 Mimetype:

/packages/apps/Nfc/res/values/provisioning.xml
      <bool name="enable_nfc_provisioning">true</bool>
      <item>application/com.android.managedprovisioning</item>

EMM 的优势

企业移动管理 (EMM) 应用可以通过执行以下任务来提供帮助:

  • 配置受管理资料
  • 应用安全政策
    • 设置密码复杂度
    • 锁定:停用屏幕截图,禁止从受管理资料中进行分享等。
  • 配置企业的网络连接
    • 使用 WifiEnterpriseConfig 配置企业 WLAN
    • 配置设备上的 VPN
    • 使用 DPM.setApplicationRestrictions() 配置企业 VPN
  • 启用企业应用单点登录 (SSO)
    • 安装所需的企业应用
    • 使用 DPM.installKeyPair() 静默安装企业客户端证书
    • 使用 DPM.setApplicationRestrictions() 配置企业应用的主机名和证书别名

受管理配置只是 EMM 端到端工作流程的一部分,最终目标是让受管理资料中的应用能够访问企业数据。要获取测试指导,请参阅设置设备测试

自动配置测试

如需自动执行企业配置过程的测试,请使用 Android Enterprise 自动化测试框架。如需了解详情,请参阅测试设备配置