Geräteverwaltung bereitstellen

IT-Administratoren können Geräte mithilfe von Cloud-Diensten, QR-Codes oder NFC (Near Field Communication) für Unternehmensnutzer bereitstellen. Laden Sie zuerst das NfcProvisioning-APK und das Android-DeviceOwner-APK herunter. Eine vollständige Liste der Anforderungen finden Sie im Hilfeartikel Geräteverwaltung implementieren.

Android 12-Updates

  • ACTION_PROVISION_MANAGED_DEVICE wurde verworfen.

  • ACTION_PROVISION_MANAGED_PROFILE wird nur für die Bereitstellung von Arbeitsprofilen mit DPC unterstützt, bei der Endnutzer ein Arbeitsprofil nach dem Herunterladen des DPC bereitstellen können.

  • DPC-Entwickler, die QR-Codes oder andere Bereitstellungsmethoden unterstützen möchten, müssen Handler für die Intent-Aktionen DevicePolicyManager#ACTION_GET_PROVISIONING_MODE und DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE implementieren. Wenn der DPC diese Handler nicht implementiert, schlägt die Bereitstellung fehl.

  • Der DPC-ACTION_GET_PROVISIONING_MODE-Handler enthält ein neues EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES-Extra. Der DPC muss EXTRA_PROVISIONING_MODE für die resultierende Absicht mit einem Wert festlegen, der zu dieser Liste gehört. Wenn der DPC einen Wert zurückgibt, der nicht in dieser Liste enthalten ist, schlägt die Bereitstellung fehl.

  • Um die Stabilität, Wartbarkeit und Einfachheit der Abläufe während des Einrichtungsassistenten weiter zu verbessern, kann die DPC-Einrichtung nach dem Ende des Einrichtungsassistenten nicht gestartet werden. DPCs, die die Kategorie android.intent.category.PROVISIONING_FINALIZATION mit der Intent-Aktion ADMIN_POLICY_COMPLIANCE verwenden, um vor dem Ende des Einrichtungsassistenten explizit die Einrichtung anzufordern, können diese Kategorie entfernen, da dies jetzt standardmäßig geschieht.

Verwaltete Bereitstellung

Die verwaltete Bereitstellung ist ein UI-Flow des Frameworks, der dafür sorgt, dass Nutzer über die Auswirkungen der Festlegung eines Geräteeigentümers oder verwalteten Profils ausreichend informiert werden. Geräte, die die Standardverschlüsselung ermöglichen, bieten einen wesentlich einfacheren und schnelleren Bereitstellungsablauf für die Geräteverwaltung.

Während der verwalteten Bereitstellung führt die Komponente für die verwaltete Bereitstellung die folgenden Aktivitäten aus:

  • Verschlüsselt das Gerät.
  • Erstellt das verwaltete Profil.
  • Deaktiviert nicht erforderliche Apps.
  • Legt die EMM-App (Enterprise Mobility Management) als Profil- oder Geräteinhaber fest.

Die Enterprise Mobility Management-Anwendung (EMM) wiederum führt die folgenden Aktivitäten aus:

  • Hier können Sie Nutzerkonten hinzufügen.
  • Erzwingt die Gerätecompliance.
  • Aktiviert alle zusätzlichen System-Apps.

Während der verwalteten Bereitstellung kopiert das Framework die EMM-App in das verwaltete Profil. Nach Abschluss der Bereitstellung wird der ADMIN_POLICY_COMPLIANCEIntent-Handler der EMM-App im Nutzer des Arbeitsprofils (bei der Bereitstellung des Arbeitsprofils) oder im Nutzer mit der Rolle „Geräteeigentümer“ (bei der Bereitstellung für den Geräteeigentümer) aufgerufen. Die EMM fügt dann Konten hinzu und erzwingt Richtlinien. Anschließend ruft sie setProfileEnabled() auf, um die Launcher-Symbole sichtbar zu machen.

Bereitstellung des Profilinhabers

Durch die Nutzerverwaltung des Profilinhabers kann der Nutzer auf einem Gerät sowohl ein Arbeitsprofil (verwaltetes Profil) als auch ein privates Profil haben. Um die Nutzerverwaltung für Profilinhaber zu aktivieren, müssen Sie einen Intent mit entsprechenden Extras senden. Installieren Sie beispielsweise die TestDPC-App (über Google Play herunterladen oder über GitHub erstellen) auf dem Gerät, starten Sie die App über den Launcher und folgen Sie der Anleitung in der App. Die Bereitstellung ist abgeschlossen, wenn Symbole mit Logos im Launcher angezeigt werden.

Die EMM-DPC-App löst das Erstellen des verwalteten Profils aus, indem sie eine Intent mit der Aktion DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE sendet. Der folgende Befehl ist ein Beispiel für eine Absicht, die das Erstellen des verwalteten Profils auslöst und DeviceAdminSample als Profilinhaber festlegt:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

Geräteeigentümer-Bereitstellung mit NFC

Sie können NFC oder Cloud-Dienste verwenden, um die Bereitstellung von Geräteinhabern während der Einrichtung für ein Gerät einzurichten.

Bei Verwendung von NFC stellen Sie Geräte im DO-Modus während der Ersteinrichtung des Geräts mithilfe von NFC Bump bereit. Diese Methode erfordert mehr Bootstrapping, ist aber unkompliziert und umfasst die Konfiguration des WLANs, die Installation des DPC und die Einrichtung des DPC als Geräteeigentümer.

Ein typisches NFC-Bundle umfasst Folgendes:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

Auf den Geräten muss NFC konfiguriert sein, damit der MIME-Typ für die verwaltete Bereitstellung während der Einrichtung akzeptiert wird. Für die Konfiguration muss /packages/apps/Nfc/res/values/provisioning.xml die folgenden Zeilen enthalten:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

Bereitstellung über Cloud-Dienste

Sie können Geräte mit einem Geräteeigentümer oder Profilinhaber (Arbeitsprofil) mithilfe von Cloud-Diensten bereitstellen. Das Gerät erfasst und verwendet Anmeldedaten (oder Tokens), um eine Suche in einem Cloud-Dienst durchzuführen, die dann zum Initiieren des Bereitstellungsvorgangs verwendet werden kann.

Vorteile von Enterprise Mobility Management

Eine EMM-App (Enterprise Mobility Management) kann bei folgenden Aufgaben helfen:

  • Verwaltetes Profil wird bereitgestellt.
  • Sicherheitsrichtlinien anwenden
    • Legen Sie die Komplexität des Passworts fest.
    • Sperrungen, z. B. Deaktivierung von Screenshots, die über ein verwaltetes Profil freigegeben wurden
  • Unternehmensverbindungen konfigurieren
    • Verwenden Sie WifiEnterpriseConfig, um das WLAN Ihres Unternehmens zu konfigurieren.
    • Konfigurieren Sie das VPN auf dem Gerät.
    • Verwende DPM.setApplicationRestrictions(), um das Unternehmens-VPN zu konfigurieren.
  • Einmalanmeldung (SSO) für Unternehmens-Apps aktivieren
    • Installieren Sie ausgewählte Unternehmens-Apps.
    • Verwenden Sie DPM.installKeyPair(), um Unternehmensclientzertifikate im Hintergrund zu installieren.
    • Mit DPM.setApplicationRestrictions() können Sie Hostnamen und Zertifikatsaliasse von Unternehmensanwendungen konfigurieren.

Die verwaltete Bereitstellung ist nur ein Teil des End-to-End-Workflows von EMM. Ziel ist es, Unternehmensdaten für Apps im verwalteten Profil oder auf dem verwalteten Gerät zugänglich zu machen. Eine Anleitung zum Testen finden Sie unter Gerätetests einrichten.