Bereitstellung für die Geräteverwaltung

IT-Administratoren können Unternehmensbenutzern Geräte mithilfe von Cloud-Diensten, QR-Code oder NFC-Bereitstellung (Near Field Communication) bereitstellen. Laden Sie zunächst die NfcProvisioning APK und die Android-DeviceOwner APK herunter. Eine vollständige Liste der Anforderungen finden Sie unter Implementieren der Geräteverwaltung .

Android 12-Updates

  • ACTION_PROVISION_MANAGED_DEVICE ist veraltet.

  • ACTION_PROVISION_MANAGED_PROFILE wird nur für die DPC-First-Arbeitsprofilbereitstellung unterstützt, bei der Endbenutzer nach dem Herunterladen des DPC ein Arbeitsprofil bereitstellen können.

  • DPC-Entwickler, die QR-Code oder andere Bereitstellungsmethoden unterstützen möchten, müssen Handler für die Absichtsaktionen DevicePolicyManager#ACTION_GET_PROVISIONING_MODE und DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE implementieren. Wenn der DPC diese Handler nicht implementiert, schlägt die Bereitstellung fehl.

  • Der DPC ACTION_GET_PROVISIONING_MODE Handler enthält ein neues EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES Extra. Der DPC muss das Extra EXTRA_PROVISIONING_MODE auf seine resultierende Absicht mit einem Wert setzen, der zu dieser Liste gehört. Wenn der DPC einen Wert zurückgibt, der nicht in dieser Liste enthalten ist, schlägt die Bereitstellung fehl.

  • Um die Stabilität, Wartbarkeit und Einfachheit der Abläufe während des Setup-Assistenten weiter zu erhöhen, kann das DPC-Setup nach dem Ende des Setup-Assistenten nicht mehr gestartet werden. DPCs, die die Kategorie android.intent.category.PROVISIONING_FINALIZATION “ mit der Absichtsaktion ADMIN_POLICY_COMPLIANCE “ verwenden, um die Einrichtung vor dem Ende des Einrichtungsassistenten explizit anzufordern, können diese Kategorie entfernen, da dies jetzt standardmäßig erfolgt.

Verwaltete Bereitstellung

Bei der verwalteten Bereitstellung handelt es sich um einen Framework-UI-Ablauf, der sicherstellt, dass Benutzer angemessen über die Auswirkungen der Festlegung eines Gerätebesitzers oder eines verwalteten Profils informiert werden. Geräte, die die Standardverschlüsselung aktivieren, bieten einen erheblich einfacheren und schnelleren Bereitstellungsablauf für die Geräteverwaltung.

Während der verwalteten Bereitstellung führt die verwaltete Bereitstellungskomponente die folgenden Aktivitäten aus:

  • Verschlüsselt das Gerät.
  • Erstellt das verwaltete Profil.
  • Deaktiviert nicht erforderliche Apps.
  • Legt die Enterprise Mobility Management (EMM)-App als Profil- oder Gerätebesitzer fest.

Die Enterprise Mobility Management (EMM)-App wiederum führt die folgenden Aktivitäten aus:

  • Fügt Benutzerkonten hinzu.
  • Erzwingt die Gerätekonformität.
  • Aktiviert alle zusätzlichen System-Apps.

Während der verwalteten Bereitstellung kopiert das Framework die EMM-App in das verwaltete Profil. Nach Abschluss der Bereitstellung wird der ADMIN_POLICY_COMPLIANCE -Intent-Handler der EMM-App im Arbeitsprofilbenutzer (für die Arbeitsprofilbereitstellung) oder im Gerätebesitzerbenutzer (für die Gerätebesitzerbereitstellung) aufgerufen. Anschließend fügt das EMM Konten hinzu und erzwingt Richtlinien. Anschließend ruft es setProfileEnabled() auf, um die Launcher-Symbole sichtbar zu machen.

Bereitstellung von Profilbesitzern

Durch die Bereitstellung von Profilbesitzern kann der Benutzer sowohl ein Arbeitsprofil (verwaltetes Profil) als auch ein persönliches Profil auf einem Gerät haben. Um die Bereitstellung von Profilbesitzern zu ermöglichen, müssen Sie eine Absicht mit entsprechenden Extras senden. Installieren Sie beispielsweise die TestDPC-App ( von Google Play herunterladen oder von GitHub erstellen ) auf dem Gerät, starten Sie die App über den Launcher und befolgen Sie dann die App-Anweisungen. Die Bereitstellung ist abgeschlossen, wenn in der Launcher-Schublade gekennzeichnete Symbole angezeigt werden.

Die EMM DPC-App löst die Erstellung des verwalteten Profils aus, indem sie eine Absicht mit der Aktion DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE sendet. Der folgende Befehl ist eine Beispielabsicht, die die Erstellung des verwalteten Profils auslöst und DeviceAdminSample als Profilbesitzer festlegt:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

Bereitstellung des Geräteeigentümers mit NFC

Sie können NFC oder Cloud-Dienste verwenden, um die Gerätebesitzerbereitstellung (DO) während des Out-of-Box-Einrichtungsprozesses für ein Gerät einzurichten.

Wenn Sie NFC verwenden, stellen Sie Geräte im DO-Modus mithilfe von NFC-Bump während des ersten Geräteeinrichtungsschritts bereit. Diese Methode erfordert mehr Bootstrapping, ist aber kontaktarm und übernimmt die WLAN-Konfiguration, die Installation des DPC und die Festlegung des DPC als Gerätebesitzer.

Ein typisches NFC-Paket umfasst Folgendes:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

Auf den Geräten muss NFC so konfiguriert sein, dass es den Mimetyp „Managed Provisioning“ aus der Setup-Erfahrung akzeptiert. Stellen Sie zum Konfigurieren sicher, dass /packages/apps/Nfc/res/values/provisioning.xml die folgenden Zeilen enthält:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

Bereitstellung über Cloud-Dienste

Mithilfe von Cloud-Diensten können Sie Geräte mit einem Gerätebesitzer oder Profilbesitzer (Arbeitsprofil) bereitstellen. Das Gerät sammelt und verwendet Anmeldeinformationen (oder Token), um eine Suche nach einem Cloud-Dienst durchzuführen, der dann zum Initiieren des Bereitstellungsprozesses verwendet werden kann.

Vorteile des Enterprise Mobility Managements

Eine Enterprise Mobility Management (EMM)-App kann dabei helfen, indem sie die folgenden Aufgaben übernimmt:

  • Verwaltetes Profil bereitstellen.
  • Anwenden von Sicherheitsrichtlinien.
    • Legen Sie die Passwortkomplexität fest.
    • Sperren: Screenshots deaktivieren, Freigabe über verwaltetes Profil usw.
  • Konfigurieren der Unternehmenskonnektivität.
    • Verwenden Sie WifiEnterpriseConfig , um Unternehmens-WLAN zu konfigurieren.
    • Konfigurieren Sie VPN auf dem Gerät.
    • Verwenden Sie DPM.setApplicationRestrictions() , um Unternehmens-VPN zu konfigurieren.
  • Aktivieren von Single Sign-On (SSO) für Unternehmens-Apps.
    • Installieren Sie gewünschte Unternehmens-Apps.
    • Verwenden Sie DPM.installKeyPair() , um Unternehmens-Client-Zertifikate unbeaufsichtigt zu installieren.
    • Verwenden Sie DPM.setApplicationRestrictions() , um Hostnamen und Zertifikatsaliase von Unternehmensanwendungen zu konfigurieren.

Die verwaltete Bereitstellung ist nur ein Teil des EMM-End-to-End-Workflows mit dem Endziel, Unternehmensdaten für Apps im verwalteten Profil oder verwalteten Gerät zugänglich zu machen. Anleitungen zum Testen finden Sie unter Einrichten von Gerätetests .