设备管理配置

IT 管理员可以通过云服务、二维码或近距离无线通信 (NFC) 配置将设备部署到企业用户。首先,请下载 NfcProvisioning APKAndroid-DeviceOwner APK。如需查看完整的要求列表,请参阅实现设备管理

Android 12 更新

  • 弃用了 ACTION_PROVISION_MANAGED_DEVICE

  • 只有最先采用 DPC 的工作资料配置(即最终用户可以在下载 DPC 后配置工作资料)支持 ACTION_PROVISION_MANAGED_PROFILE

  • 希望支持二维码或其他配置方法的 DPC 开发者必须实现 DevicePolicyManager#ACTION_GET_PROVISIONING_MODEDevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE intent 操作的处理程序。如果 DPC 不实现这些处理程序,配置将失败。

  • DPC ACTION_GET_PROVISIONING_MODE 处理程序包含一个新的 EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES extra。DPC 必须采用属于该列表的值将 EXTRA_PROVISIONING_MODE extra 设置为其所属 intent。如果 DPC 返回的值不在该列表中,则配置将失败。

  • 为了进一步提高在设置向导期间发生的流程的稳定性、可维护性和简单性,DPC 设置在设置向导结束后无法启动。如果 DPC 使用 android.intent.category.PROVISIONING_FINALIZATION 类别并搭配 ADMIN_POLICY_COMPLIANCE intent 操作在设置向导结束之前显示请求进行设置,则可以移除该类别,因为默认情况下现已完成该操作。

托管配置

托管配置是一个框架式界面流程,用于确保用户充分了解设置设备所有者或托管资料的含义。 如果设备启用了默认加密功能,则会使设备管理配置流程简便快捷得多。

在托管配置期间,托管配置组件会执行以下活动:

  • 加密设备。
  • 创建托管资料。
  • 停用非必须的应用。
  • 将企业移动管理 (EMM) 应用设置为资料或设备所有者。

而企业移动管理 (EMM) 应用会执行以下活动:

  • 添加用户账号。
  • 落实设备合规性。
  • 启用任何其他系统应用。

在托管配置期间,框架会将 EMM 应用复制到托管资料中。配置完成后,系统会在工作资料用户(针对工作资料配置)或设备所有者用户(针对设备所有者配置)中调用 EMM 应用的 ADMIN_POLICY_COMPLIANCE intent 处理程序。然后,EMM 会添加账号和强制执行政策,之后会调用 setProfileEnabled() 以显示启动器图标。

资料所有者配置

如果启用资料所有者配置,用户就可以在同一设备上同时拥有工作资料(托管资料)和个人资料。若要启用资料所有者配置,您必须发送包含相应 extra 的 intent。例如,在设备上安装 TestDPC 应用(从 Google Play 下载通过 GitHub 构建),通过启动器启动该应用,然后按照应用说明进行操作。 当启动器抽屉式导航栏中出现带有标记的图标时,表示配置已完成。

EMM DPC 应用通过发送具有 DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE 操作的 intent 来触发托管资料的创建。下列命令是一个示例 intent,该 intent 会触发托管资料的创建,并将 DeviceAdminSample 设为资料所有者:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

使用 NFC 进行设备所有者配置

在开箱设置过程中,您可以使用 NFC 或云服务设置设备所有者 (DO) 配置。

使用 NFC 时,您在初始设备设置过程中使用 NFC 触碰功能配置处于 DO 模式的设备。此方法需要更多引导,但支持低触摸操作,同时该方法会配置 Wi-Fi、安装 DPC 以及将 DPC 设置为设备所有者。

典型的 NFC 包包括以下内容:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

设备必须将 NFC 配置为接受来自设置体验的托管配置 Mimetype。若要进行配置,请确保 /packages/apps/Nfc/res/values/provisioning.xml 包含以下代码行:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

使用云服务进行配置

您可以使用云服务配置具有设备所有者资料所有者(工作资料)的设备。设备会收集并使用凭据(或令牌)来执行对云服务的查询,然后可以使用该服务启动配置过程。

企业移动管理的优势

企业移动管理 (EMM) 应用可以通过执行以下任务来提供帮助:

  • 正在配置托管资料。
  • 应用安全政策。
    • 设置密码复杂度。
    • 锁定,例如停用屏幕截图、禁止从受管个人资料分享
  • 配置企业的网络连接。
    • 使用 WifiEnterpriseConfig 配置企业 WLAN。
    • 配置设备上的 VPN。
    • 使用 DPM.setApplicationRestrictions() 配置企业 VPN。
  • 启用企业应用单点登录 (SSO)。
    • 安装所选的企业应用。
    • 使用 DPM.installKeyPair() 静默安装企业客户端证书。
    • 使用 DPM.setApplicationRestrictions() 配置企业应用的主机名和证书别名。

托管配置只是 EMM 端到端工作流程的一部分,其最终目标是让托管资料或托管设备中的应用能够访问企业数据。如需获取测试指导,请参阅设置设备测试