Fornitura per la gestione dei dispositivi

Gli amministratori IT possono distribuire i dispositivi agli utenti aziendali utilizzando servizi cloud, codice QR o provisioning Near Field Communication (NFC). Per iniziare, scarica l'APK di NfcProvisioning e l'APK di Android-DeviceOwner . Per un elenco completo dei requisiti, vedere Implementazione della gestione dei dispositivi .

Aggiornamenti Android 12

  • ACTION_PROVISION_MANAGED_DEVICE è deprecato.

  • ACTION_PROVISION_MANAGED_PROFILE è supportato solo per il provisioning del primo profilo di lavoro DPC, in cui gli utenti finali possono eseguire il provisioning di un profilo di lavoro dopo aver scaricato il DPC.

  • Gli sviluppatori DPC che desiderano supportare il codice QR o altri metodi di provisioning devono implementare gestori per le azioni dell'intento DevicePolicyManager#ACTION_GET_PROVISIONING_MODE e DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE . Se il DPC non implementa questi gestori, il provisioning avrà esito negativo.

  • Il gestore DPC ACTION_GET_PROVISIONING_MODE include un nuovo EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES extra. Il DPC deve impostare l'extra EXTRA_PROVISIONING_MODE risultante con un valore che appartiene a tale elenco. Se il DPC restituisce un valore che non è presente nell'elenco, il provisioning avrà esito negativo.

  • Per aumentare ulteriormente la stabilità, la manutenibilità e la semplicità dei flussi che si verificano durante la procedura guidata di configurazione, non è possibile avviare la configurazione di DPC dopo la fine della procedura guidata di configurazione. I DPC che utilizzano la categoria android.intent.category.PROVISIONING_FINALIZATION con l'azione dell'intento ADMIN_POLICY_COMPLIANCE per richiedere esplicitamente la configurazione prima della fine della procedura guidata di configurazione possono rimuovere quella categoria poiché ora ciò avviene per impostazione predefinita.

Provisioning gestito

Il provisioning gestito è un flusso dell'interfaccia utente del framework che assicura che gli utenti siano adeguatamente informati delle implicazioni dell'impostazione di un proprietario del dispositivo o di un profilo gestito. I dispositivi che abilitano la crittografia predefinita offrono un flusso di provisioning per la gestione dei dispositivi notevolmente più semplice e veloce.

Durante il provisioning gestito, il componente di provisioning gestito esegue le seguenti attività:

  • Crittografa il dispositivo.
  • Crea il profilo gestito.
  • Disabilita le app non richieste.
  • Imposta l'app EMM (Enterprise Mobility Management) come profilo o proprietario del dispositivo.

A sua volta, l'app di gestione della mobilità aziendale (EMM) esegue le seguenti attività:

  • Aggiunge account utente.
  • Applica la conformità del dispositivo.
  • Abilita eventuali app di sistema aggiuntive.

Durante il provisioning gestito, il framework copia l'app EMM nel profilo gestito. Al termine del provisioning, il gestore dell'intento ADMIN_POLICY_COMPLIANCE dell'app EMM viene chiamato nell'utente del profilo di lavoro (per il provisioning del profilo di lavoro) o nell'utente del proprietario del dispositivo (per il provisioning del proprietario del dispositivo). L'EMM aggiunge quindi account e applica criteri, dopodiché chiama setProfileEnabled() per rendere visibili le icone di avvio.

Provisioning del proprietario del profilo

Il provisioning del proprietario del profilo consente all'utente di disporre sia di un profilo di lavoro (profilo gestito) che di un profilo personale su un dispositivo. Per abilitare il provisioning del proprietario del profilo, devi inviare un'intenzione con gli extra appropriati. Ad esempio, installa l'app TestDPC ( scarica da Google Play o crea da GitHub ) sul dispositivo, avvia l'app dal programma di avvio, quindi segui le istruzioni dell'app. Il provisioning è completo quando le icone con badge vengono visualizzate nel riquadro di avvio.

L'app EMM DPC avvia la creazione del profilo gestito inviando un intento con l'azione DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE . Il comando seguente è un intento di esempio che attiva la creazione del profilo gestito e imposta DeviceAdminSample come proprietario del profilo:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

Provisioning del proprietario del dispositivo con NFC

È possibile utilizzare i servizi NFC o cloud per configurare il provisioning del proprietario del dispositivo (DO) durante il processo di configurazione predefinito per un dispositivo.

Quando si utilizza NFC, si effettua il provisioning dei dispositivi in ​​modalità DO utilizzando NFC bump durante la fase di configurazione iniziale del dispositivo. Questo metodo richiede più bootstrap, ma è low-touch e gestisce la configurazione del Wi-Fi, l'installazione del DPC e l'impostazione del DPC come proprietario del dispositivo.

Un tipico bundle NFC include quanto segue:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

I dispositivi devono avere NFC configurato per accettare il tipo MIME di provisioning gestito dall'esperienza di configurazione. Per configurare, assicurati /packages/apps/Nfc/res/values/provisioning.xml contenga le seguenti righe:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

Fornitura tramite servizi cloud

È possibile eseguire il provisioning dei dispositivi con un proprietario del dispositivo o un proprietario del profilo (profilo di lavoro) utilizzando i servizi cloud. Il dispositivo raccoglie e utilizza le credenziali (o token) per eseguire una ricerca in un servizio cloud, che può quindi essere utilizzato per avviare il processo di provisioning.

Vantaggi della gestione della mobilità aziendale

Un'app per la gestione della mobilità aziendale (EMM) può essere d'aiuto svolgendo le seguenti attività:

  • Provisioning del profilo gestito.
  • Applicazione delle politiche di sicurezza.
    • Imposta la complessità della password.
    • Lockdown: disabilita screenshot, condivisione da profilo gestito, ecc.
  • Configurazione della connettività aziendale.
    • Usa WifiEnterpriseConfig per configurare il Wi-Fi aziendale.
    • Configura VPN sul dispositivo.
    • Utilizzare DPM.setApplicationRestrictions() per configurare la VPN aziendale.
  • Abilitazione dell'app aziendale Single Sign-On (SSO).
    • Installa le app aziendali desiderate.
    • Utilizzare DPM.installKeyPair() per installare automaticamente i certificati del client corp.
    • Usa DPM.setApplicationRestrictions() per configurare nomi host, alias certificati delle app aziendali.

Il provisioning gestito è solo una parte del flusso di lavoro end-to-end di EMM, con l'obiettivo finale di rendere i dati aziendali accessibili alle app nel profilo gestito o nel dispositivo gestito. Per indicazioni sui test, vedere Configurazione del test del dispositivo .