Provisionnement pour la gestion des appareils

Les administrateurs informatiques peuvent déployer des appareils auprès des utilisateurs de l'entreprise à l'aide de services cloud, d'un code QR ou du provisionnement de communication en champ proche (NFC). Pour commencer, téléchargez l’ APK NfcProvisioning et l’ APK Android-DeviceOwner . Pour obtenir la liste complète des exigences, consultez Implémentation de la gestion des appareils .

Mises à jour Android 12

  • ACTION_PROVISION_MANAGED_DEVICE est obsolète.

  • ACTION_PROVISION_MANAGED_PROFILE est pris en charge uniquement pour le provisionnement du profil professionnel DPC-first, dans lequel les utilisateurs finaux peuvent provisionner un profil professionnel après avoir téléchargé le DPC.

  • Les développeurs DPC qui souhaitent prendre en charge le code QR ou d'autres méthodes de provisionnement doivent implémenter des gestionnaires pour les actions d'intention DevicePolicyManager#ACTION_GET_PROVISIONING_MODE et DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE . Si le DPC n’implémente pas ces gestionnaires, le provisionnement échouera.

  • Le gestionnaire DPC ACTION_GET_PROVISIONING_MODE inclut un nouvel extra EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES . Le DPC doit définir l'extra EXTRA_PROVISIONING_MODE sur son intention résultante avec une valeur qui appartient à cette liste. Si le DPC renvoie une valeur qui ne figure pas dans cette liste, le provisionnement échouera.

  • Pour augmenter encore la stabilité, la maintenabilité et la simplicité des flux qui se produisent pendant l'assistant de configuration, la configuration DPC ne peut pas être démarrée après la fin de l'assistant de configuration. Les DPC qui utilisent la catégorie android.intent.category.PROVISIONING_FINALIZATION avec l'action d'intention ADMIN_POLICY_COMPLIANCE pour demander explicitement leur configuration avant la fin de l'assistant de configuration peuvent supprimer cette catégorie car cela est désormais fait par défaut.

Approvisionnement géré

Le provisionnement géré est un flux d'interface utilisateur cadre qui garantit que les utilisateurs sont correctement informés des implications de la définition d'un propriétaire d'appareil ou d'un profil géré. Les appareils qui activent le chiffrement par défaut offrent un flux de provisionnement de gestion des appareils considérablement plus simple et plus rapide.

Pendant le provisionnement géré, le composant de provisionnement géré effectue les activités suivantes :

  • Chiffre l'appareil.
  • Crée le profil géré.
  • Désactive les applications non requises.
  • Définit l’application de gestion de la mobilité d’entreprise (EMM) en tant que propriétaire de profil ou d’appareil.

À son tour, l'application de gestion de la mobilité d'entreprise (EMM) effectue les activités suivantes :

  • Ajoute des comptes d'utilisateurs.
  • Assure la conformité des appareils.
  • Active toutes les applications système supplémentaires.

Lors du provisionnement géré, la structure copie l'application EMM dans le profil géré. Une fois le provisionnement terminé, le gestionnaire d'intention ADMIN_POLICY_COMPLIANCE de l'application EMM est appelé dans l'utilisateur du profil professionnel (pour le provisionnement du profil professionnel) ou dans l'utilisateur propriétaire de l'appareil (pour le provisionnement du propriétaire de l'appareil). L'EMM ajoute ensuite des comptes et applique des stratégies, après quoi il appelle setProfileEnabled() pour rendre visibles les icônes du lanceur.

Provisionnement du propriétaire du profil

Le provisionnement du propriétaire de profil permet à l'utilisateur de disposer à la fois d'un profil professionnel (profil géré) et d'un profil personnel sur un appareil. Pour activer le provisionnement du propriétaire du profil, vous devez envoyer une intention avec les extras appropriés. Par exemple, installez l'application TestDPC ( téléchargée depuis Google Play ou créée à partir de GitHub ) sur l'appareil, lancez l'application à partir du lanceur, puis suivez les instructions de l'application. Le provisionnement est terminé lorsque des icônes badgées apparaissent dans le tiroir du lanceur.

L'application EMM DPC déclenche la création du profil géré en envoyant une intention avec l'action DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE . La commande suivante est un exemple d'intention qui déclenche la création du profil géré et définit DeviceAdminSample comme propriétaire du profil :

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

Approvisionnement du propriétaire de l'appareil avec NFC

Vous pouvez utiliser les services NFC ou cloud pour configurer le provisionnement du propriétaire de l'appareil (DO) pendant le processus de configuration prête à l'emploi d'un appareil.

Lorsque vous utilisez NFC, vous provisionnez des appareils en mode DO à l’aide de NFC Bump lors de l’étape de configuration initiale de l’appareil. Cette méthode nécessite plus de démarrage, mais est peu exigeante et gère la configuration du Wi-Fi, l'installation du DPC et la définition du DPC en tant que propriétaire de l'appareil.

Un pack NFC typique comprend les éléments suivants :

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

Les appareils doivent avoir NFC configuré pour accepter le type MIME de provisionnement géré de l’expérience de configuration. Pour configurer, assurez-vous que /packages/apps/Nfc/res/values/provisioning.xml contient les lignes suivantes :

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

Provisionnement à l’aide de services cloud

Vous pouvez provisionner des appareils avec un propriétaire d'appareil ou un propriétaire de profil (profil professionnel) à l'aide des services cloud. L'appareil collecte et utilise des informations d'identification (ou jetons) pour effectuer une recherche sur un service cloud, qui peut ensuite être utilisé pour lancer le processus de provisionnement.

Avantages de la gestion de la mobilité d'entreprise

Une application de gestion de la mobilité d'entreprise (EMM) peut vous aider en effectuant les tâches suivantes :

  • Profil géré de provisionnement.
  • Application des politiques de sécurité.
    • Définissez la complexité du mot de passe.
    • Verrouillages : désactivez les captures d'écran, le partage à partir du profil géré, etc.
  • Configuration de la connectivité d'entreprise.
    • Utilisez WifiEnterpriseConfig pour configurer le Wi-Fi d'entreprise.
    • Configurez le VPN sur l'appareil.
    • Utilisez DPM.setApplicationRestrictions() pour configurer le VPN d'entreprise.
  • Activation de l'authentification unique (SSO) pour l'application d'entreprise.
    • Installez les applications d'entreprise souhaitées.
    • Utilisez DPM.installKeyPair() pour installer silencieusement les certificats client corp.
    • Utilisez DPM.setApplicationRestrictions() pour configurer les noms d'hôte et les alias de certificat des applications d'entreprise.

Le provisionnement géré n'est qu'une partie du flux de travail de bout en bout d'EMM, dont l'objectif final est de rendre les données d'entreprise accessibles aux applications du profil géré ou de l'appareil géré. Pour obtenir des conseils sur les tests, consultez Configuration des tests de périphérique .