IT-Administratoren können Geräte mithilfe von Cloud-Diensten, QR-Codes oder NFC (Near Field Communication) für Unternehmensnutzer bereitstellen. Laden Sie zuerst das NfcProvisioning-APK und das Android-DeviceOwner-APK herunter. Eine vollständige Liste der Anforderungen finden Sie im Hilfeartikel Geräteverwaltung implementieren.
Android 12-Updates
ACTION_PROVISION_MANAGED_DEVICE
wurde verworfen.ACTION_PROVISION_MANAGED_PROFILE
wird nur für die Bereitstellung von Arbeitsprofilen mit DPC unterstützt, bei der Endnutzer ein Arbeitsprofil nach dem Herunterladen des DPC bereitstellen können.DPC-Entwickler, die QR-Codes oder andere Bereitstellungsmethoden unterstützen möchten, müssen Handler für die Intent-Aktionen
DevicePolicyManager#ACTION_GET_PROVISIONING_MODE
undDevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE
implementieren. Wenn der DPC diese Handler nicht implementiert, schlägt die Bereitstellung fehl.Der DPC-
ACTION_GET_PROVISIONING_MODE
-Handler enthält ein neuesEXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES
-Extra. Der DPC mussEXTRA_PROVISIONING_MODE
für die resultierende Absicht mit einem Wert festlegen, der zu dieser Liste gehört. Wenn der DPC einen Wert zurückgibt, der nicht in dieser Liste enthalten ist, schlägt die Bereitstellung fehl.Um die Stabilität, Wartbarkeit und Einfachheit der Abläufe während des Einrichtungsassistenten weiter zu verbessern, kann die DPC-Einrichtung nach dem Ende des Einrichtungsassistenten nicht gestartet werden. DPCs, die die Kategorie
android.intent.category.PROVISIONING_FINALIZATION
mit der Intent-AktionADMIN_POLICY_COMPLIANCE
verwenden, um vor dem Ende des Einrichtungsassistenten explizit die Einrichtung anzufordern, können diese Kategorie entfernen, da dies jetzt standardmäßig geschieht.
Verwaltete Bereitstellung
Die verwaltete Bereitstellung ist ein UI-Flow des Frameworks, der dafür sorgt, dass Nutzer über die Auswirkungen der Festlegung eines Geräteeigentümers oder verwalteten Profils ausreichend informiert werden. Geräte, die die Standardverschlüsselung ermöglichen, bieten einen wesentlich einfacheren und schnelleren Bereitstellungsablauf für die Geräteverwaltung.
Während der verwalteten Bereitstellung führt die Komponente für die verwaltete Bereitstellung die folgenden Aktivitäten aus:
- Verschlüsselt das Gerät.
- Erstellt das verwaltete Profil.
- Deaktiviert nicht erforderliche Apps.
- Legt die EMM-App (Enterprise Mobility Management) als Profil- oder Geräteinhaber fest.
Die Enterprise Mobility Management-Anwendung (EMM) wiederum führt die folgenden Aktivitäten aus:
- Hier können Sie Nutzerkonten hinzufügen.
- Erzwingt die Gerätecompliance.
- Aktiviert alle zusätzlichen System-Apps.
Während der verwalteten Bereitstellung kopiert das Framework die EMM-App in das verwaltete Profil. Nach Abschluss der Bereitstellung wird der ADMIN_POLICY_COMPLIANCE
Intent-Handler der EMM-App im Nutzer des Arbeitsprofils (bei der Bereitstellung des Arbeitsprofils) oder im Nutzer mit der Rolle „Geräteeigentümer“ (bei der Bereitstellung für den Geräteeigentümer) aufgerufen. Die EMM fügt dann Konten hinzu und erzwingt Richtlinien. Anschließend ruft sie setProfileEnabled()
auf, um die Launcher-Symbole sichtbar zu machen.
Bereitstellung des Profilinhabers
Durch die Nutzerverwaltung des Profilinhabers kann der Nutzer auf einem Gerät sowohl ein Arbeitsprofil (verwaltetes Profil) als auch ein privates Profil haben. Um die Nutzerverwaltung für Profilinhaber zu aktivieren, müssen Sie einen Intent mit entsprechenden Extras senden. Installieren Sie beispielsweise die TestDPC-App (über Google Play herunterladen oder über GitHub erstellen) auf dem Gerät, starten Sie die App über den Launcher und folgen Sie der Anleitung in der App. Die Bereitstellung ist abgeschlossen, wenn Symbole mit Logos im Launcher angezeigt werden.
Die EMM-DPC-App löst das Erstellen des verwalteten Profils aus, indem sie eine Intent mit der Aktion DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE sendet. Der folgende Befehl ist ein Beispiel für eine Absicht, die das Erstellen des verwalteten Profils auslöst und DeviceAdminSample
als Profilinhaber festlegt:
adb shell am start \
-a android.app.action.PROVISION_MANAGED_PROFILE \
-c android.intent.category.DEFAULT \
-e wifiSsid $(printf '%q' \"WifiSSID\") \
-e deviceAdminPackage "com.google.android.deviceadminsample" \
-e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
-e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"
Geräteeigentümer-Bereitstellung mit NFC
Sie können NFC oder Cloud-Dienste verwenden, um die Bereitstellung von Geräteinhabern während der Einrichtung für ein Gerät einzurichten.
Bei Verwendung von NFC stellen Sie Geräte im DO-Modus während der Ersteinrichtung des Geräts mithilfe von NFC Bump bereit. Diese Methode erfordert mehr Bootstrapping, ist aber unkompliziert und umfasst die Konfiguration des WLANs, die Installation des DPC und die Einrichtung des DPC als Geräteeigentümer.
Ein typisches NFC-Bundle umfasst Folgendes:
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE
Auf den Geräten muss NFC konfiguriert sein, damit der MIME-Typ für die verwaltete Bereitstellung während der Einrichtung akzeptiert wird. Für die Konfiguration muss /packages/apps/Nfc/res/values/provisioning.xml
die folgenden Zeilen enthalten:
<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>
Bereitstellung über Cloud-Dienste
Sie können Geräte mit einem Geräteeigentümer oder Profilinhaber (Arbeitsprofil) mithilfe von Cloud-Diensten bereitstellen. Das Gerät erfasst und verwendet Anmeldedaten (oder Tokens), um eine Suche in einem Cloud-Dienst durchzuführen, die dann zum Initiieren des Bereitstellungsvorgangs verwendet werden kann.
Vorteile von Enterprise Mobility Management
Eine EMM-App (Enterprise Mobility Management) kann bei folgenden Aufgaben helfen:
- Verwaltetes Profil wird bereitgestellt.
- Sicherheitsrichtlinien anwenden
- Legen Sie die Komplexität des Passworts fest.
- Sperrungen, z. B. Deaktivierung von Screenshots, die über ein verwaltetes Profil freigegeben wurden
- Unternehmensverbindungen konfigurieren
- Verwenden Sie
WifiEnterpriseConfig
, um das WLAN Ihres Unternehmens zu konfigurieren. - Konfigurieren Sie das VPN auf dem Gerät.
- Verwende
DPM.setApplicationRestrictions()
, um das Unternehmens-VPN zu konfigurieren.
- Verwenden Sie
- Einmalanmeldung (SSO) für Unternehmens-Apps aktivieren
- Installieren Sie ausgewählte Unternehmens-Apps.
- Verwenden Sie
DPM.installKeyPair()
, um Unternehmensclientzertifikate im Hintergrund zu installieren. - Mit
DPM.setApplicationRestrictions()
können Sie Hostnamen und Zertifikatsaliasse von Unternehmensanwendungen konfigurieren.
Die verwaltete Bereitstellung ist nur ein Teil des End-to-End-Workflows von EMM. Ziel ist es, Unternehmensdaten für Apps im verwalteten Profil oder auf dem verwalteten Gerät zugänglich zu machen. Eine Anleitung zum Testen finden Sie unter Gerätetests einrichten.