Geräteverwaltung bereitstellen

IT-Administratoren können Geräte mithilfe von Cloud-Diensten, QR-Codes oder NFC (Near Field Communication) für Unternehmensnutzer bereitstellen. Laden Sie zuerst die NfcProvisioning-APK und die Android-DeviceOwner-APK herunter. Eine vollständige Liste der Anforderungen finden Sie im Hilfeartikel Geräteverwaltung implementieren.

Android 12-Updates

  • ACTION_PROVISION_MANAGED_DEVICE wurde eingestellt.

  • ACTION_PROVISION_MANAGED_PROFILE wird nur für die Bereitstellung von Arbeitsprofilen mit DPC unterstützt, bei der Endnutzer ein Arbeitsprofil nach dem Herunterladen des DPC bereitstellen können.

  • DPC-Entwickler, die QR-Code oder andere Bereitstellungsmethoden unterstützen möchten, müssen Handler für die Intent-Aktionen DevicePolicyManager#ACTION_GET_PROVISIONING_MODE und DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE implementieren. Wenn der DPC diese Handler nicht implementiert, schlägt die Bereitstellung fehl.

  • Der DPC-ACTION_GET_PROVISIONING_MODE-Handler enthält ein neues EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES-Extra. Der DPC muss das zusätzliche EXTRA_PROVISIONING_MODE für den resultierenden Intent mit einem Wert festlegen, der zu dieser Liste gehört. Wenn der DPC einen Wert zurückgibt, der nicht in dieser Liste enthalten ist, schlägt die Bereitstellung fehl.

  • Um die Stabilität, Verwaltbarkeit und Einfachheit der Abläufe während des Einrichtungsassistenten weiter zu verbessern, kann die DPC-Einrichtung nach dem Ende des Einrichtungsassistenten nicht mehr gestartet werden. DPCs, die die Kategorie android.intent.category.PROVISIONING_FINALIZATION mit der Intent-Aktion ADMIN_POLICY_COMPLIANCE verwenden, um vor dem Ende des Einrichtungsassistenten explizit die Einrichtung anzufordern, können diese Kategorie entfernen, da dies jetzt standardmäßig geschieht.

Verwaltete Bereitstellung

Die verwaltete Bereitstellung ist ein UI-Flow des Frameworks, der dafür sorgt, dass Nutzer über die Auswirkungen der Festlegung eines Geräteeigentümers oder verwalteten Profils ausreichend informiert werden. Geräte mit Standardverschlüsselung bieten einen wesentlich einfacheren und schnelleren Bereitstellungsvorgang für die Geräteverwaltung.

Während der verwalteten Bereitstellung führt die Komponente für die verwaltete Bereitstellung die folgenden Aktivitäten aus:

  • Verschlüsselt das Gerät.
  • Das verwaltete Profil wird erstellt.
  • Deaktiviert nicht benötigte Apps.
  • Legt die EMM-App (Enterprise Mobility Management) als Profil- oder Geräteinhaber fest.

Die EMM-App (Enterprise Mobility Management) führt wiederum die folgenden Aktivitäten aus:

  • Hier können Sie Nutzerkonten hinzufügen.
  • Erzwingt die Gerätecompliance.
  • Aktiviert zusätzliche System-Apps.

Während der verwalteten Bereitstellung kopiert das Framework die EMM-App in das verwaltete Profil. Nach Abschluss der Bereitstellung wird der Intent-Handler ADMIN_POLICY_COMPLIANCE der EMM-App im Arbeitsprofilnutzer (zur Bereitstellung von Arbeitsprofilen) oder im Nutzer des Geräteinhabers (bei der Bereitstellung des Geräteinhabers) aufgerufen. Die EMM fügt dann Konten hinzu und erzwingt Richtlinien. Anschließend ruft sie setProfileEnabled() auf, um die Launcher-Symbole sichtbar zu machen.

Bereitstellung des Profilinhabers

Durch die Bereitstellung als Profilinhaber kann der Nutzer sowohl ein Arbeitsprofil (verwaltetes Profil) als auch ein privates Profil auf einem Gerät haben. Wenn Sie die Bereitstellung des Profilinhabers aktivieren möchten, müssen Sie eine Intent-Anfrage mit den entsprechenden Extras senden. Installieren Sie beispielsweise die TestDPC-App (über Google Play herunterladen oder über GitHub erstellen) auf dem Gerät, starten Sie die App über den Launcher und folgen Sie der Anleitung in der App. Die Bereitstellung ist abgeschlossen, wenn Symbole mit Logos im Launcher angezeigt werden.

Die EMM-DPC-App löst das Erstellen des verwalteten Profils aus, indem sie eine Intent mit der Aktion DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE sendet. Der folgende Befehl ist ein Beispiel für eine Absicht, die das Erstellen des verwalteten Profils auslöst und DeviceAdminSample als Profilinhaber festlegt:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

Geräteeigentümer-Bereitstellung mit NFC

Sie können NFC oder Cloud-Dienste verwenden, um die Bereitstellung von Geräteinhabern während der Einrichtung für ein Gerät einzurichten.

Bei Verwendung von NFC stellen Sie Geräte im DO-Modus während der Ersteinrichtung des Geräts mithilfe von NFC Bump bereit. Diese Methode erfordert mehr Bootstrapping, ist aber unkompliziert und umfasst die Konfiguration des WLANs, die Installation des DPC und die Einrichtung des DPC als Geräteeigentümer.

Ein typisches NFC-Paket enthält Folgendes:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

Auf den Geräten muss NFC konfiguriert sein, damit der MIME-Typ für die verwaltete Bereitstellung während der Einrichtung akzeptiert wird. Für die Konfiguration muss /packages/apps/Nfc/res/values/provisioning.xml die folgenden Zeilen enthalten:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

Bereitstellung über Cloud-Dienste

Sie können Geräte mit einem Geräteeigentümer oder Profilinhaber (Arbeitsprofil) mithilfe von Cloud-Diensten bereitstellen. Das Gerät erfasst und verwendet Anmeldedaten (oder Tokens), um eine Suche in einem Cloud-Dienst durchzuführen, die dann zum Initiieren des Bereitstellungsvorgangs verwendet werden kann.

Vorteile von Enterprise Mobility Management

Eine EMM-Anwendung (Enterprise Mobility Management) kann durch die folgenden Aufgaben helfen:

  • Verwaltetes Profil wird bereitgestellt.
  • Sicherheitsrichtlinien anwenden
    • Legen Sie die Komplexität des Passworts fest.
    • Sperrungen, z. B. Deaktivierung von Screenshots, die über ein verwaltetes Profil freigegeben wurden
  • Unternehmensverbindungen konfigurieren
    • Verwenden Sie WifiEnterpriseConfig, um das WLAN Ihres Unternehmens zu konfigurieren.
    • VPN auf dem Gerät konfigurieren.
    • Verwende DPM.setApplicationRestrictions(), um das Unternehmens-VPN zu konfigurieren.
  • Einmalanmeldung (SSO) für Unternehmens-Apps aktivieren
    • Ausgewählte Unternehmens-Apps installieren.
    • Verwenden Sie DPM.installKeyPair(), um Unternehmensclientzertifikate im Hintergrund zu installieren.
    • Verwenden Sie DPM.setApplicationRestrictions(), um Hostnamen und Zertifikataliasse von Unternehmensanwendungen zu konfigurieren.

Die verwaltete Bereitstellung ist nur ein Teil des End-to-End-Workflows von EMM. Ziel ist es, Unternehmensdaten für Apps im verwalteten Profil oder auf dem verwalteten Gerät zugänglich zu machen. Eine Anleitung zum Testen finden Sie unter Gerätetests einrichten.