אדמינים ב-IT יכולים לפרוס מכשירים למשתמשים בארגון באמצעות שירותי ענן, קוד QR או הקצאת הרשאות באמצעות תקשורת מטווח קצר (NFC). כדי להתחיל, מורידים את NfcProvisioning APK ואת Android-DeviceOwner APK. רשימת הדרישות המלאה מופיעה במאמר בנושא הטמעה של ניהול מכשירים.
עדכונים ל-Android 12
האפשרות
ACTION_PROVISION_MANAGED_DEVICE
הוצאה משימוש.יש תמיכה ב-
ACTION_PROVISION_MANAGED_PROFILE
רק בהקצאת פרופיל עבודה שמתבצעת קודם על ידי DPC, שבה משתמשי קצה יכולים להקצות פרופיל עבודה אחרי שהם מורידים את ה-DPC.מפתחי DPC שרוצים לתמוך בקוד QR או בשיטות הקצאת הרשאות אחרות צריכים להטמיע אמצעי טיפול בפעולות intent
DevicePolicyManager#ACTION_GET_PROVISIONING_MODE
ו-DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE
. אם ב-DPC לא מיושמים ה-handlers האלה, הקצאת ההרשאות נכשלת.ה-handler של DPC
ACTION_GET_PROVISIONING_MODE
כולל תוסף חדשEXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES
. ה-DPC צריך להגדיר את הערך שלEXTRA_PROVISIONING_MODE
extra לערך שמתקבל מהכוונה, ששייך לרשימה הזו. אם ה-DPC מחזיר ערך שלא מופיע ברשימה הזו, ההקצאה נכשלת.כדי לשפר את היציבות, את יכולת התחזוקה ואת הפשטות של התהליכים שמתרחשים במהלך אשף ההגדרה, אי אפשר להתחיל בהגדרת DPC אחרי סיום אשף ההגדרה. אפליקציות DPC שמשתמשות בקטגוריה
android.intent.category.PROVISIONING_FINALIZATION
עם פעולת ה-IntentADMIN_POLICY_COMPLIANCE
כדי לבקש במפורש הגדרה לפני סיום אשף ההגדרה יכולות להסיר את הקטגוריה הזו, כי עכשיו הפעולה הזו מתבצעת כברירת מחדל.
ניהול תצורה מנוהל
הקצאה מנוהלת היא תהליך בממשק המשתמש שמוודא שהמשתמשים מקבלים מידע מספק על ההשלכות של הגדרת בעלות על מכשיר או פרופיל מנוהל. במכשירים שבהם ההצפנה מופעלת כברירת מחדל, תהליך ההקצאה של ניהול המכשירים פשוט ומהיר יותר.
במהלך הקצאת הרשאות מנוהלת, רכיב הקצאת ההרשאות המנוהלת מבצע את הפעולות הבאות:
- המכשיר מוצפן.
- הפרופיל המנוהל ייווצר.
- השבתה של אפליקציות לא נדרשות.
- הגדרת אפליקציית ניהול מכשירים ושירותי מובייל בארגון (EMM) כבעלים של הפרופיל או המכשיר.
בתמורה, אפליקציית ניהול הניידות הארגונית (EMM) מבצעת את הפעולות הבאות:
- הוספת חשבונות משתמשים.
- אכיפת תאימות המכשיר.
- מאפשרת גישה לכל אפליקציות המערכת הנוספות.
במהלך הקצאת הרשאות מנוהלת, המסגרת מעתיקה את אפליקציית ה-EMM לפרופיל המנוהל. אחרי שההקצאה מסתיימת, מתבצעת קריאה ל-ADMIN_POLICY_COMPLIANCE
intent handler של אפליקציית ה-EMM במשתמש של פרופיל העבודה (להקצאת פרופיל עבודה) או במשתמש של בעלי המכשיר (להקצאת בעלי המכשיר). לאחר מכן, מערכת ה-EMM מוסיפה חשבונות ומחילת מדיניות, ואז היא מבצעת קריאה אל setProfileEnabled()
כדי להציג את הסמלים של מרכז האפליקציות.
הקצאת הרשאות לבעלי הפרופיל
הקצאת הרשאות לבעלי פרופילים מאפשרת למשתמשים להגדיר במכשיר גם פרופיל עבודה (פרופיל מנוהל) וגם פרופיל אישי. כדי להפעיל הקצאת הרשאות לבעלי פרופילים, צריך לשלוח כוונה עם תוספים מתאימים. לדוגמה, מתקינים את אפליקציית TestDPC (מורידים מ-Google Play או מבצעים build מ-GitHub) במכשיר, מפעילים את האפליקציה ממרכז האפליקציות ופועלים לפי ההוראות באפליקציה. ההקצאה מסתיימת כשסמלים עם תגים מופיעים במגירת האפליקציות.
אפליקציית ה-DPC של ה-EMM מפעילה את יצירת הפרופיל המנוהל על ידי שליחת Intent עם הפעולה DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE. הפקודה הבאה היא דוגמה ל-intent שמפעיל את היצירה של הפרופיל המנוהל ומגדיר את DeviceAdminSample
כבעלים של הפרופיל:
adb shell am start \
-a android.app.action.PROVISION_MANAGED_PROFILE \
-c android.intent.category.DEFAULT \
-e wifiSsid $(printf '%q' \"WifiSSID\") \
-e deviceAdminPackage "com.google.android.deviceadminsample" \
-e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
-e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"
הקצאת הרשאות לבעלי מכשירים באמצעות NFC
אתם יכולים להשתמש ב-NFC או בשירותי ענן כדי להגדיר הקצאת הרשאות לבעלי מכשירים (DO) במהלך תהליך ההגדרה של מכשיר חדש.
כשמשתמשים ב-NFC, מקצים הרשאות למכשירים במצב DO באמצעות הצמדה של NFC במהלך שלב ההגדרה הראשוני של המכשיר. השיטה הזו דורשת יותר bootstrapping, אבל היא לא דורשת מגע רב ומטפלת בהגדרת ה-Wi-Fi, בהתקנת ה-DPC ובהגדרת ה-DPC כבעלים של המכשיר.
חבילת NFC טיפוסית כוללת את הרכיבים הבאים:
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE
צריך להגדיר NFC במכשירים כדי לאפשר להם לקבל את סוג ה-MIME של הקצאת ההרשאות המנוהלת
מתוך חוויית ההגדרה. כדי להגדיר, מוודאים שהקובץ /packages/apps/Nfc/res/values/provisioning.xml
מכיל את השורות הבאות:
<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>
הקצאת הרשאות באמצעות שירותי ענן
אתם יכולים להקצות מכשירים עם בעלות על המכשיר או בעלות על הפרופיל (פרופיל עבודה) באמצעות שירותי ענן. המכשיר אוסף פרטי כניסה (או אסימונים) ומשתמש בהם כדי לבצע חיפוש בשירות ענן, שאפשר להשתמש בו כדי להתחיל את תהליך הקצאת ההרשאות.
היתרונות של ניהול מכשירים ושירותי מובייל בארגון
אפליקציה לניהול מכשירים ושירותי מובייל בארגון (EMM) יכולה לעזור לכם לבצע את המשימות הבאות:
- הקצאת פרופיל מנוהל.
- החלת מדיניות האבטחה.
- הגדרת מורכבות הסיסמה.
- הגבלות, כמו השבתת צילומי מסך, ששותפו מפרופיל מנוהל
- הגדרת קישוריות לארגון.
- משתמשים ב-
WifiEnterpriseConfig
כדי להגדיר Wi-Fi ארגוני. - מגדירים VPN במכשיר.
- משתמשים ב-
DPM.setApplicationRestrictions()
כדי להגדיר VPN ארגוני.
- משתמשים ב-
- הפעלה של כניסה יחידה (SSO) לאפליקציות ארגוניות.
- מתקין אפליקציות ארגוניות נבחרות.
- אפשר להשתמש ב-
DPM.installKeyPair()
כדי להתקין בשקט אישורי לקוח של החברה. - משתמשים ב-
DPM.setApplicationRestrictions()
כדי להגדיר שמות מארחים, כינויים של אישורים של אפליקציות ארגוניות.
הקצאת הרשאות מנוהלת היא רק חלק אחד בתהליך העבודה מקצה לקצה של EMM, והמטרה הסופית היא לאפשר לאפליקציות גישה לנתונים ארגוניים בפרופיל המנוהל או במכשיר המנוהל. הנחיות לבדיקה מפורטות במאמר הגדרת בדיקת מכשירים.