Provisionnement pour la gestion des appareils

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Les administrateurs informatiques peuvent déployer des appareils auprès des utilisateurs de l'entreprise à l'aide de services cloud, d'un code QR ou de l'approvisionnement Near Field Communication (NFC). Pour commencer, téléchargez l' APK NfcProvisioning et l'APK Android-DeviceOwner . Pour obtenir la liste complète des exigences, consultez Implémentation de la gestion des périphériques .

Mises à jour Android 12

  • ACTION_PROVISION_MANAGED_DEVICE est obsolète.

  • ACTION_PROVISION_MANAGED_PROFILE est pris en charge uniquement pour le provisionnement de profil professionnel DPC-first, dans lequel les utilisateurs finaux peuvent provisionner un profil professionnel après avoir téléchargé le DPC.

  • Les développeurs DPC qui souhaitent prendre en charge le code QR ou d'autres méthodes d'approvisionnement doivent implémenter des gestionnaires pour les actions d'intention DevicePolicyManager#ACTION_GET_PROVISIONING_MODE et DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE . Si le DPC n'implémente pas ces gestionnaires, le provisionnement échouera.

  • Le gestionnaire DPC ACTION_GET_PROVISIONING_MODE inclut un nouveau supplément EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES . Le DPC doit définir l'extra EXTRA_PROVISIONING_MODE sur son intention résultante avec une valeur qui appartient à cette liste. Si le DPC renvoie une valeur qui ne figure pas sur cette liste, le provisionnement échouera.

  • Pour augmenter encore la stabilité, la maintenabilité et la simplicité des flux qui se produisent pendant l'assistant de configuration, la configuration DPC ne peut pas être démarrée après la fin de l'assistant de configuration. Les DPC qui utilisent la catégorie android.intent.category.PROVISIONING_FINALIZATION avec l'action d'intention ADMIN_POLICY_COMPLIANCE pour demander explicitement d'être configurés avant la fin de l'assistant de configuration peuvent supprimer cette catégorie, car cela se fait désormais par défaut.

Provisionnement géré

Le provisionnement géré est un flux d'interface utilisateur de cadre qui garantit que les utilisateurs sont correctement informés des implications de la définition d'un propriétaire d'appareil ou d'un profil géré. Les appareils qui activent le chiffrement par défaut offrent un flux de provisionnement de la gestion des appareils considérablement plus simple et plus rapide.

Lors du provisionnement géré, le composant de provisionnement géré effectue les activités suivantes :

  • Crypte l'appareil.
  • Crée le profil géré.
  • Désactive les applications non requises.
  • Définit l'application de gestion de la mobilité d'entreprise (EMM) en tant que propriétaire du profil ou de l'appareil.

À son tour, l'application de gestion de la mobilité d'entreprise (EMM) effectue les activités suivantes :

  • Ajoute des comptes d'utilisateurs.
  • Assure la conformité de l'appareil.
  • Active toutes les applications système supplémentaires.

Lors du provisionnement géré, la structure copie l'application EMM dans le profil géré. Une fois le provisionnement terminé, le gestionnaire d'intention ADMIN_POLICY_COMPLIANCE de l'application EMM est appelé dans l'utilisateur du profil professionnel (pour le provisionnement du profil professionnel) ou dans l'utilisateur du propriétaire de l'appareil (pour le provisionnement du propriétaire de l'appareil). L'EMM ajoute ensuite des comptes et applique des politiques, après quoi il appelle setProfileEnabled() pour rendre les icônes du lanceur visibles.

Provisionnement du propriétaire du profil

L'approvisionnement du propriétaire du profil permet à l'utilisateur d'avoir à la fois un profil professionnel (profil géré) et un profil personnel sur un appareil. Pour activer le provisionnement du propriétaire du profil, vous devez envoyer une intention avec les extras appropriés. Par exemple, installez l'application TestDPC ( téléchargez depuis Google Play ou créez depuis GitHub ) sur l'appareil, lancez l'application depuis le lanceur, puis suivez les instructions de l'application. Le provisionnement est terminé lorsque les icônes portant un badge apparaissent dans le tiroir du lanceur.

L'application EMM DPC déclenche la création du profil géré en envoyant une intention avec l'action DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE . La commande suivante est un exemple d'intent qui déclenche la création du profil géré et définit DeviceAdminSample comme propriétaire du profil :

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

Approvisionnement du propriétaire de l'appareil avec NFC

Vous pouvez utiliser les services NFC ou cloud pour configurer le provisionnement du propriétaire de l'appareil (DO) pendant le processus de configuration prêt à l'emploi d'un appareil.

Lorsque vous utilisez NFC, vous provisionnez des appareils en mode DO à l'aide de NFC Bump lors de l'étape de configuration initiale de l'appareil. Cette méthode nécessite plus d'amorçage, mais est peu tactile et gère la configuration du Wi-Fi, l'installation du DPC et la définition du DPC en tant que propriétaire de l'appareil.

Un bundle NFC typique comprend les éléments suivants :

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

NFC doit être configuré sur les appareils pour accepter le type mime de provisionnement géré à partir de l'expérience de configuration. Pour configurer, assurez-vous que /packages/apps/Nfc/res/values/provisioning.xml contient les lignes suivantes :

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

Provisionnement à l'aide de services cloud

Vous pouvez provisionner des appareils avec un propriétaire d'appareil ou un propriétaire de profil (profil professionnel) à l'aide des services cloud. L'appareil collecte et utilise des informations d'identification (ou des jetons) pour effectuer une recherche sur un service cloud, qui peut ensuite être utilisé pour lancer le processus de provisionnement.

Avantages de la gestion de la mobilité d'entreprise

Une application de gestion de la mobilité d'entreprise (EMM) peut vous aider en effectuant les tâches suivantes :

  • Profil géré de provisionnement.
  • Appliquer les politiques de sécurité.
    • Définissez la complexité du mot de passe.
    • Verrouillages : désactivez les captures d'écran, le partage à partir d'un profil géré, etc.
  • Configuration de la connectivité d'entreprise.
    • Utilisez WifiEnterpriseConfig pour configurer le Wi-Fi d'entreprise.
    • Configurez le VPN sur l'appareil.
    • Utilisez DPM.setApplicationRestrictions() pour configurer le VPN d'entreprise.
  • Activation de l'authentification unique (SSO) de l'application d'entreprise.
    • Installez les applications d'entreprise souhaitées.
    • Utilisez DPM.installKeyPair() pour installer silencieusement les certificats du client corp.
    • Utilisez DPM.setApplicationRestrictions() pour configurer les noms d'hôte, les alias de certificat des applications d'entreprise.

Le provisionnement géré n'est qu'une partie du flux de travail EMM de bout en bout, avec l'objectif final de rendre les données d'entreprise accessibles aux applications du profil géré ou de l'appareil géré. Pour obtenir des conseils sur les tests, consultez Configuration des tests de périphérique .