Bereitstellung für die Geräteverwaltung

IT-Administratoren können Geräte mithilfe von Cloud-Diensten, QR-Code oder Near Field Communication (NFC)-Bereitstellung für Unternehmensbenutzer bereitstellen. Laden Sie zunächst das NfcProvisioning-APK und das Android-DeviceOwner-APK herunter . Eine vollständige Liste der Anforderungen finden Sie unter Implementieren der Geräteverwaltung .

Android 12-Updates

  • ACTION_PROVISION_MANAGED_DEVICE ist veraltet.

  • ACTION_PROVISION_MANAGED_PROFILE wird nur für die DPC-First-Arbeitsprofilbereitstellung unterstützt, bei der Endbenutzer ein Arbeitsprofil nach dem Herunterladen des DPC bereitstellen können.

  • DPC-Entwickler, die QR-Code oder andere Bereitstellungsmethoden unterstützen möchten, müssen Handler für die DevicePolicyManager#ACTION_GET_PROVISIONING_MODE und DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE . Wenn das DPC diese Handler nicht implementiert, schlägt die Bereitstellung fehl.

  • Der DPC ACTION_GET_PROVISIONING_MODE Handler enthält ein neues Extra EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES . Das DPC muss das EXTRA_PROVISIONING_MODE Extra auf seine resultierende Absicht mit einem Wert setzen, der zu dieser Liste gehört. Wenn der DPC einen Wert zurückgibt, der nicht auf dieser Liste steht, schlägt die Bereitstellung fehl.

  • Um die Stabilität, Wartbarkeit und Einfachheit der Abläufe während des Setup-Assistenten weiter zu verbessern, kann das DPC-Setup nach dem Ende des Setup-Assistenten nicht gestartet werden. DPCs, die die Kategorie android.intent.category.PROVISIONING_FINALIZATION mit der Absichtsaktion ADMIN_POLICY_COMPLIANCE verwenden, um explizit anzufordern, dass sie vor dem Ende des Setup-Assistenten eingerichtet wird, können diese Kategorie entfernen, da dies jetzt standardmäßig erfolgt.

Verwaltete Bereitstellung

Die verwaltete Bereitstellung ist ein Framework-UI-Flow, der sicherstellt, dass Benutzer angemessen über die Auswirkungen der Einrichtung eines Gerätebesitzers oder eines verwalteten Profils informiert werden. Geräte, die die Standardverschlüsselung aktivieren, bieten einen erheblich einfacheren und schnelleren Bereitstellungsfluss für die Geräteverwaltung.

Während der verwalteten Bereitstellung führt die verwaltete Bereitstellungskomponente die folgenden Aktivitäten aus:

  • Verschlüsselt das Gerät.
  • Erstellt das verwaltete Profil.
  • Deaktiviert nicht benötigte Apps.
  • Legt die EMM-App (Enterprise Mobility Management) als Profil- oder Gerätebesitzer fest.

Die Enterprise Mobility Management (EMM)-App führt wiederum die folgenden Aktivitäten aus:

  • Fügt Benutzerkonten hinzu.
  • Erzwingt die Gerätekonformität.
  • Aktiviert alle zusätzlichen System-Apps.

Während der verwalteten Bereitstellung kopiert das Framework die EMM-App in das verwaltete Profil. Nach Abschluss der Bereitstellung wird der Intent-Handler ADMIN_POLICY_COMPLIANCE der EMM-App im Arbeitsprofilbenutzer (für die Bereitstellung des Arbeitsprofils) oder im Benutzer des Gerätebesitzers (für die Bereitstellung des Gerätebesitzers) aufgerufen. Der EMM fügt dann Konten hinzu und erzwingt Richtlinien, woraufhin er setProfileEnabled() , um die Launcher-Symbole sichtbar zu machen.

Profilbesitzer-Bereitstellung

Die Profilbesitzer-Bereitstellung ermöglicht es dem Benutzer, sowohl ein Arbeitsprofil (verwaltetes Profil) als auch ein persönliches Profil auf einem Gerät zu haben. Um die Profilbesitzer-Bereitstellung zu aktivieren, müssen Sie eine Absicht mit entsprechenden Extras senden. Installieren Sie beispielsweise die TestDPC-App ( von Google Play herunterladen oder von GitHub erstellen ) auf dem Gerät, starten Sie die App über den Launcher und folgen Sie dann den Anweisungen der App. Die Bereitstellung ist abgeschlossen, wenn gekennzeichnete Symbole in der Launcher-Schublade angezeigt werden.

Die EMM DPC-App löst die Erstellung des verwalteten Profils aus, indem sie eine Absicht mit der Aktion DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE sendet . Der folgende Befehl ist eine Beispielabsicht, die die Erstellung des verwalteten Profils auslöst und DeviceAdminSample als Profilbesitzer festlegt:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

Gerätebesitzer-Bereitstellung mit NFC

Sie können NFC oder Cloud-Dienste verwenden, um die Bereitstellung von Gerätebesitzern (DO) während des standardmäßigen Einrichtungsprozesses für ein Gerät einzurichten.

Wenn Sie NFC verwenden, stellen Sie Geräte im DO-Modus mithilfe von NFC-Bump während des anfänglichen Geräteeinrichtungsschritts bereit. Diese Methode erfordert mehr Bootstrapping, ist aber benutzerfreundlich und übernimmt die Konfiguration von Wi-Fi, die Installation des DPC und die Einstellung des DPC als Gerätebesitzer.

Ein typisches NFC-Bundle enthält Folgendes:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

Für Geräte muss NFC konfiguriert sein, um den verwalteten Bereitstellungs-Mimetyp aus der Setup-Erfahrung zu akzeptieren. Stellen Sie zur Konfiguration sicher, dass /packages/apps/Nfc/res/values/provisioning.xml die folgenden Zeilen enthält:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

Bereitstellung über Cloud-Dienste

Sie können Geräte mithilfe von Clouddiensten mit einem Gerätebesitzer oder Profilbesitzer (Arbeitsprofil) bereitstellen. Das Gerät sammelt und verwendet Anmeldeinformationen (oder Token), um eine Suche nach einem Cloud-Dienst durchzuführen, der dann verwendet werden kann, um den Bereitstellungsprozess zu initiieren.

Vorteile des Enterprise Mobility Managements

Eine Enterprise Mobility Management (EMM)-App kann bei folgenden Aufgaben helfen:

  • Verwaltetes Profil bereitstellen.
  • Anwenden von Sicherheitsrichtlinien.
    • Legen Sie die Kennwortkomplexität fest.
    • Sperren: Screenshots deaktivieren, Freigabe aus verwaltetem Profil usw.
  • Konfigurieren der Unternehmenskonnektivität.
    • Verwenden Sie WifiEnterpriseConfig , um das Unternehmens-WLAN zu konfigurieren.
    • Konfigurieren Sie VPN auf dem Gerät.
    • Verwenden Sie DPM.setApplicationRestrictions() , um Unternehmens-VPN zu konfigurieren.
  • Einmaliges Anmelden (SSO) für Unternehmens-Apps aktivieren.
    • Installieren Sie die gewünschten Unternehmens-Apps.
    • Verwenden Sie DPM.installKeyPair() , um corp-Clientzertifikate unbeaufsichtigt zu installieren.
    • Verwenden Sie DPM.setApplicationRestrictions() , um Hostnamen und Zertifikataliase von Unternehmens-Apps zu konfigurieren.

Die verwaltete Bereitstellung ist nur ein Teil des EMM-End-to-End-Workflows mit dem Endziel, Unternehmensdaten für Apps im verwalteten Profil oder verwalteten Gerät zugänglich zu machen. Anleitungen zum Testen finden Sie unter Gerätetests einrichten .