Provisionner pour la gestion des appareils

Les administrateurs informatiques peuvent déployer des appareils auprès des utilisateurs professionnels à l'aide de services cloud, de codes QR ou de provisionnement NFC (communication en champ proche). Pour commencer, téléchargez l'APK NfcProvisioning et l'APK Android-DeviceOwner. Pour obtenir la liste complète des conditions requises, consultez Implémenter la gestion des appareils.

Mises à jour d'Android 12

  • Abandon de ACTION_PROVISION_MANAGED_DEVICE.

  • ACTION_PROVISION_MANAGED_PROFILE n'est compatible qu'avec le provisionnement de profils professionnels DPC-first, dans lequel les utilisateurs finaux peuvent provisionner un profil professionnel après avoir téléchargé le DPC.

  • Les développeurs de DPC qui souhaitent prendre en charge le code QR ou d'autres méthodes de provisionnement doivent implémenter des gestionnaires pour les actions d'intent DevicePolicyManager#ACTION_GET_PROVISIONING_MODE et DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE. Si l'outil DPC ne met pas en œuvre ces gestionnaires, le provisionnement échouera.

  • Le gestionnaire ACTION_GET_PROVISIONING_MODE DPC inclut un nouveau EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES supplémentaire. Le DPC doit définir l'extra EXTRA_PROVISIONING_MODE sur l'intent qui en résulte avec une valeur appartenant à cette liste. Si l'outil DPC renvoie une valeur qui ne figure pas dans cette liste, le provisionnement échoue.

  • Pour améliorer encore la stabilité, la facilité de maintenance et la simplicité des flux qui se produisent pendant l'assistant de configuration, la configuration du DPC ne peut pas être lancée après la fin de l'assistant de configuration. Les DPC qui utilisent la catégorie android.intent.category.PROVISIONING_FINALIZATION avec l'action d'intent ADMIN_POLICY_COMPLIANCE pour demander explicitement la configuration avant la fin de l'assistant de configuration peuvent supprimer cette catégorie, car elle est désormais effectuée par défaut.

Configuration gérée

Le provisionnement géré est un flux d'interface utilisateur de framework qui garantit que les utilisateurs sont correctement informés des conséquences de la définition d'un propriétaire d'appareil ou d'un profil géré. Les appareils qui activent le chiffrement par défaut offrent un flux de provisionnement de gestion des appareils beaucoup plus simple et rapide.

Lors du provisionnement géré, le composant de provisionnement géré effectue les activités suivantes:

  • Chiffre l'appareil.
  • Crée le profil géré.
  • Désactive les applications non requises.
  • Définit l'application de gestion de la mobilité en entreprise (EMM) comme propriétaire du profil ou de l'appareil.

L'application de gestion de la mobilité en entreprise (EMM) effectue les activités suivantes:

  • Ajoute des comptes utilisateur.
  • Applique la conformité des appareils.
  • Active toutes les applications système supplémentaires.

Lors du provisionnement géré, le framework copie l'application EMM dans le profil géré. Une fois le provisionnement terminé, le gestionnaire d'intent ADMIN_POLICY_COMPLIANCE de l'application EMM est appelé dans l'utilisateur du profil professionnel (pour le provisionnement du profil professionnel) ou dans l'utilisateur du propriétaire de l'appareil (pour le provisionnement par le propriétaire de l'appareil). L'EMM ajoute ensuite des comptes et applique des stratégies, puis appelle setProfileEnabled() pour rendre les icônes du lanceur visibles.

Provisionnement du propriétaire du profil

Le provisionnement du propriétaire du profil permet à l'utilisateur de disposer à la fois d'un profil professionnel (profil géré) et d'un profil personnel sur un appareil. Pour activer le provisionnement des propriétaires de profils, vous devez envoyer un intent avec les extras appropriés. Par exemple, installez l'application TestDPC (téléchargez-la sur Google Play ou créez-la à partir de GitHub) sur l'appareil, lancez-la depuis le lanceur d'applications, puis suivez les instructions de l'application. Le provisionnement est terminé lorsque des icônes avec badge s'affichent dans le panneau du lanceur d'applications.

L'application DPC EMM déclenche la création du profil géré en envoyant un intent avec l'action DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE. La commande suivante est un exemple d'intent qui déclenche la création du profil géré et définit DeviceAdminSample en tant que propriétaire du profil:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

Provisionnement du propriétaire de l'appareil avec la technologie NFC

Vous pouvez utiliser la technologie NFC ou des services cloud pour configurer le provisionnement du propriétaire de l'appareil (PO) lors du processus de configuration prête à l'emploi d'un appareil.

Lorsque vous utilisez la technologie NFC, vous provisionnez les appareils en mode DO à l'aide d'une opération de contact NFC lors de la première étape de configuration de l'appareil. Cette méthode nécessite davantage d'amorçage, mais est facile à toucher et permet de configurer le Wi-Fi, d'installer le DPC et de le définir comme propriétaire de l'appareil.

Un lot NFC type comprend les éléments suivants:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

Le NFC doit être configuré sur les appareils pour qu'ils acceptent le mimetype de provisionnement géré à partir de l'expérience de configuration. Pour configurer, assurez-vous que /packages/apps/Nfc/res/values/provisioning.xml contient les lignes suivantes:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

Provisionner à l'aide de services cloud

Vous pouvez provisionner des appareils avec un propriétaire d'appareil ou un propriétaire de profil (profil professionnel) à l'aide des services cloud. L'appareil collecte et utilise des identifiants (ou jetons) pour effectuer une recherche dans un service cloud, qui peut ensuite être utilisé pour lancer le processus de provisionnement.

Avantages de la gestion de la mobilité en entreprise

Une application de gestion de la mobilité en entreprise (EMM) peut vous aider en effectuant les tâches suivantes:

  • Provisionnement du profil géré.
  • Appliquer des règles de sécurité
    • Définissez la complexité des mots de passe.
    • Verrouillages, comme la désactivation des captures d'écran, partagés à partir d'un profil géré
  • Configurer la connectivité d'entreprise
    • Utilisez WifiEnterpriseConfig pour configurer le Wi-Fi d'entreprise.
    • Configurez le VPN sur l'appareil.
    • Utilisez DPM.setApplicationRestrictions() pour configurer le VPN d'entreprise.
  • Activer l'authentification unique (SSO) pour les applications d'entreprise
    • Installer les applications d'entreprise sélectionnées
    • Utilisez DPM.installKeyPair() pour installer silencieusement des certificats de client d'entreprise.
    • Utilisez DPM.setApplicationRestrictions() pour configurer les noms d'hôte et les alias de certificats des applications d'entreprise.

Le provisionnement géré n'est qu'une partie du workflow de bout en bout de l'EMM, dont l'objectif final est de rendre les données d'entreprise accessibles aux applications du profil géré ou de l'appareil géré. Pour obtenir des conseils de test, consultez Configurer les tests d'appareils.