Aprovisionamiento para la gestión de dispositivos

Los administradores de TI pueden implementar dispositivos para usuarios corporativos mediante servicios en la nube, códigos QR o aprovisionamiento de comunicación de campo cercano (NFC). Para comenzar, descargue el APK de NfcProvisioning y el APK de Android-DeviceOwner . Para obtener una lista completa de requisitos, consulte Implementación de la administración de dispositivos .

Actualizaciones de Android 12

  • ACTION_PROVISION_MANAGED_DEVICE está en desuso.

  • ACTION_PROVISION_MANAGED_PROFILE solo se admite para el aprovisionamiento de perfiles de trabajo de DPC primero, en el que los usuarios finales pueden aprovisionar un perfil de trabajo después de descargar el DPC.

  • Los desarrolladores de DPC que deseen admitir códigos QR u otros métodos de aprovisionamiento deben implementar controladores para las acciones de intención DevicePolicyManager#ACTION_GET_PROVISIONING_MODE y DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE . Si el DPC no implementa estos controladores, el aprovisionamiento fallará.

  • El controlador DPC ACTION_GET_PROVISIONING_MODE incluye un nuevo extra EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES . El DPC debe establecer el extra EXTRA_PROVISIONING_MODE según su intención resultante con un valor que pertenezca a esa lista. Si el DPC devuelve un valor que no está en esa lista, el aprovisionamiento fallará.

  • Para aumentar aún más la estabilidad, la capacidad de mantenimiento y la simplicidad de los flujos que ocurren durante el asistente de configuración, la configuración de DPC no se puede iniciar una vez finalizado el asistente de configuración. Las DPC que usan la categoría android.intent.category.PROVISIONING_FINALIZATION con la acción de intención ADMIN_POLICY_COMPLIANCE para solicitar explícitamente la configuración antes de que finalice el asistente de configuración pueden eliminar esa categoría, ya que ahora esto se hace de forma predeterminada.

Aprovisionamiento gestionado

El aprovisionamiento administrado es un flujo de interfaz de usuario marco que garantiza que los usuarios estén adecuadamente informados sobre las implicaciones de establecer un propietario de dispositivo o un perfil administrado. Los dispositivos que habilitan el cifrado predeterminado ofrecen un flujo de aprovisionamiento de administración de dispositivos considerablemente más simple y rápido.

Durante el aprovisionamiento gestionado, el componente de aprovisionamiento gestionado realiza las siguientes actividades:

  • Cifra el dispositivo.
  • Crea el perfil administrado.
  • Deshabilita las aplicaciones no requeridas.
  • Establece la aplicación de gestión de movilidad empresarial (EMM) como propietario del perfil o del dispositivo.

A su vez, la aplicación de gestión de movilidad empresarial (EMM) realiza las siguientes actividades:

  • Agrega cuentas de usuario.
  • Hace cumplir el cumplimiento del dispositivo.
  • Habilita cualquier aplicación adicional del sistema.

Durante el aprovisionamiento administrado, el marco copia la aplicación EMM en el perfil administrado. Una vez que se completa el aprovisionamiento, se llama al controlador de intenciones ADMIN_POLICY_COMPLIANCE de la aplicación EMM en el usuario del perfil de trabajo (para el aprovisionamiento del perfil de trabajo) o en el usuario propietario del dispositivo (para el aprovisionamiento del propietario del dispositivo). Luego, el EMM agrega cuentas y aplica políticas, después de lo cual llama a setProfileEnabled() para hacer visibles los íconos del iniciador.

Aprovisionamiento del propietario del perfil

El aprovisionamiento del propietario del perfil permite al usuario tener un perfil de trabajo (perfil administrado) y un perfil personal en un dispositivo. Para habilitar el aprovisionamiento del propietario del perfil, debe enviar una intención con los extras adecuados. Por ejemplo, instale la aplicación TestDPC ( descárguela desde Google Play o compílela desde GitHub ) en el dispositivo, inicie la aplicación desde el iniciador y luego siga las instrucciones de la aplicación. El aprovisionamiento se completa cuando aparecen íconos con insignias en el cajón del iniciador.

La aplicación EMM DPC desencadena la creación del perfil administrado enviando una intención con la acción DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE . El siguiente comando es un intento de ejemplo que desencadena la creación del perfil administrado y establece DeviceAdminSample como propietario del perfil:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

Aprovisionamiento del propietario del dispositivo con NFC

Puede utilizar NFC o servicios en la nube para configurar el aprovisionamiento del propietario del dispositivo (DO) durante el proceso de configuración inmediata de un dispositivo.

Cuando usa NFC, aprovisiona dispositivos en modo DO usando NFC Bump durante el paso inicial de configuración del dispositivo. Este método requiere más arranque, pero es sencillo y maneja la configuración de Wi-Fi, la instalación del DPC y la configuración del DPC como propietario del dispositivo.

Un paquete NFC típico incluye lo siguiente:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

Los dispositivos deben tener NFC configurado para aceptar el tipo MIME de aprovisionamiento administrado desde la experiencia de configuración. Para configurar, asegúrese de que /packages/apps/Nfc/res/values/provisioning.xml contenga las siguientes líneas:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

Aprovisionamiento mediante servicios en la nube

Puede aprovisionar dispositivos con un propietario de dispositivo o propietario de perfil (perfil de trabajo) mediante servicios en la nube. El dispositivo recopila y utiliza credenciales (o tokens) para realizar una búsqueda en un servicio en la nube, que luego puede usarse para iniciar el proceso de aprovisionamiento.

Beneficios de la gestión de la movilidad empresarial

Una aplicación de gestión de movilidad empresarial (EMM) puede ayudar realizando las siguientes tareas:

  • Perfil gestionado de aprovisionamiento.
  • Aplicar políticas de seguridad.
    • Establecer la complejidad de la contraseña.
    • Bloqueos: deshabilitar capturas de pantalla, compartir desde perfil administrado, etc.
  • Configuración de la conectividad empresarial.
    • Utilice WifiEnterpriseConfig para configurar Wi-Fi corporativo.
    • Configure VPN en el dispositivo.
    • Utilice DPM.setApplicationRestrictions() para configurar la VPN corporativa.
  • Habilitación del inicio de sesión único (SSO) de la aplicación corporativa.
    • Instale las aplicaciones corporativas deseadas.
    • Utilice DPM.installKeyPair() para instalar silenciosamente certificados de cliente corporativo.
    • Utilice DPM.setApplicationRestrictions() para configurar nombres de host y alias de certificados de aplicaciones corporativas.

El aprovisionamiento administrado es solo una parte del flujo de trabajo de extremo a extremo de EMM, cuyo objetivo final es hacer que los datos corporativos sean accesibles para las aplicaciones en el perfil o dispositivo administrado. Para obtener orientación sobre las pruebas, consulte Configuración de pruebas de dispositivos .