הקצאה לניהול מכשירים

אדמינים ב-IT יכולים לפרוס מכשירים למשתמשים בארגון באמצעות שירותי ענן, קוד QR או הקצאת הרשאות באמצעות תקשורת מטווח קצר (NFC). כדי להתחיל, מורידים את NfcProvisioning APK ואת Android-DeviceOwner APK. רשימת הדרישות המלאה מופיעה במאמר בנושא הטמעה של ניהול מכשירים.

עדכונים ל-Android 12

  • האפשרות ACTION_PROVISION_MANAGED_DEVICE הוצאה משימוש.

  • יש תמיכה ב-ACTION_PROVISION_MANAGED_PROFILE רק בהקצאת פרופיל עבודה שמתבצעת קודם על ידי DPC, שבה משתמשי קצה יכולים להקצות פרופיל עבודה אחרי שהם מורידים את ה-DPC.

  • מפתחי DPC שרוצים לתמוך בקוד QR או בשיטות הקצאת הרשאות אחרות צריכים להטמיע אמצעי טיפול בפעולות intent‏ DevicePolicyManager#ACTION_GET_PROVISIONING_MODE ו-DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE. אם ב-DPC לא מיושמים ה-handlers האלה, הקצאת ההרשאות נכשלת.

  • ה-handler של DPC ACTION_GET_PROVISIONING_MODE כולל תוסף חדש EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES. ה-DPC צריך להגדיר את הערך של EXTRA_PROVISIONING_MODE extra לערך שמתקבל מהכוונה, ששייך לרשימה הזו. אם ה-DPC מחזיר ערך שלא מופיע ברשימה הזו, ההקצאה נכשלת.

  • כדי לשפר את היציבות, את יכולת התחזוקה ואת הפשטות של התהליכים שמתרחשים במהלך אשף ההגדרה, אי אפשר להתחיל בהגדרת DPC אחרי סיום אשף ההגדרה. אפליקציות DPC שמשתמשות בקטגוריה android.intent.category.PROVISIONING_FINALIZATION עם פעולת ה-Intent‏ ADMIN_POLICY_COMPLIANCE כדי לבקש במפורש הגדרה לפני סיום אשף ההגדרה יכולות להסיר את הקטגוריה הזו, כי עכשיו הפעולה הזו מתבצעת כברירת מחדל.

ניהול תצורה מנוהל

הקצאה מנוהלת היא תהליך בממשק המשתמש שמוודא שהמשתמשים מקבלים מידע מספק על ההשלכות של הגדרת בעלות על מכשיר או פרופיל מנוהל. במכשירים שבהם ההצפנה מופעלת כברירת מחדל, תהליך ההקצאה של ניהול המכשירים פשוט ומהיר יותר.

במהלך הקצאת הרשאות מנוהלת, רכיב הקצאת ההרשאות המנוהלת מבצע את הפעולות הבאות:

  • המכשיר מוצפן.
  • הפרופיל המנוהל ייווצר.
  • השבתה של אפליקציות לא נדרשות.
  • הגדרת אפליקציית ניהול מכשירים ושירותי מובייל בארגון (EMM) כבעלים של הפרופיל או המכשיר.

בתמורה, אפליקציית ניהול הניידות הארגונית (EMM) מבצעת את הפעולות הבאות:

  • הוספת חשבונות משתמשים.
  • אכיפת תאימות המכשיר.
  • מאפשרת גישה לכל אפליקציות המערכת הנוספות.

במהלך הקצאת הרשאות מנוהלת, המסגרת מעתיקה את אפליקציית ה-EMM לפרופיל המנוהל. אחרי שההקצאה מסתיימת, מתבצעת קריאה ל-ADMIN_POLICY_COMPLIANCE intent handler של אפליקציית ה-EMM במשתמש של פרופיל העבודה (להקצאת פרופיל עבודה) או במשתמש של בעלי המכשיר (להקצאת בעלי המכשיר). לאחר מכן, מערכת ה-EMM מוסיפה חשבונות ומחילת מדיניות, ואז היא מבצעת קריאה אל setProfileEnabled() כדי להציג את הסמלים של מרכז האפליקציות.

הקצאת הרשאות לבעלי הפרופיל

הקצאת הרשאות לבעלי פרופילים מאפשרת למשתמשים להגדיר במכשיר גם פרופיל עבודה (פרופיל מנוהל) וגם פרופיל אישי. כדי להפעיל הקצאת הרשאות לבעלי פרופילים, צריך לשלוח כוונה עם תוספים מתאימים. לדוגמה, מתקינים את אפליקציית TestDPC (מורידים מ-Google Play או מבצעים build מ-GitHub) במכשיר, מפעילים את האפליקציה ממרכז האפליקציות ופועלים לפי ההוראות באפליקציה. ההקצאה מסתיימת כשסמלים עם תגים מופיעים במגירת האפליקציות.

אפליקציית ה-DPC של ה-EMM מפעילה את יצירת הפרופיל המנוהל על ידי שליחת Intent עם הפעולה DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE. הפקודה הבאה היא דוגמה ל-intent שמפעיל את היצירה של הפרופיל המנוהל ומגדיר את DeviceAdminSample כבעלים של הפרופיל:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

הקצאת הרשאות לבעלי מכשירים באמצעות NFC

אתם יכולים להשתמש ב-NFC או בשירותי ענן כדי להגדיר הקצאת הרשאות לבעלי מכשירים (DO) במהלך תהליך ההגדרה של מכשיר חדש.

כשמשתמשים ב-NFC, מקצים הרשאות למכשירים במצב DO באמצעות הצמדה של NFC במהלך שלב ההגדרה הראשוני של המכשיר. השיטה הזו דורשת יותר bootstrapping, אבל היא לא דורשת מגע רב ומטפלת בהגדרת ה-Wi-Fi, בהתקנת ה-DPC ובהגדרת ה-DPC כבעלים של המכשיר.

חבילת NFC טיפוסית כוללת את הרכיבים הבאים:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

צריך להגדיר NFC במכשירים כדי לאפשר להם לקבל את סוג ה-MIME של הקצאת ההרשאות המנוהלת מתוך חוויית ההגדרה. כדי להגדיר, מוודאים שהקובץ /packages/apps/Nfc/res/values/provisioning.xml מכיל את השורות הבאות:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

הקצאת הרשאות באמצעות שירותי ענן

אתם יכולים להקצות מכשירים עם בעלות על המכשיר או בעלות על הפרופיל (פרופיל עבודה) באמצעות שירותי ענן. המכשיר אוסף פרטי כניסה (או אסימונים) ומשתמש בהם כדי לבצע חיפוש בשירות ענן, שאפשר להשתמש בו כדי להתחיל את תהליך הקצאת ההרשאות.

היתרונות של ניהול מכשירים ושירותי מובייל בארגון

אפליקציה לניהול מכשירים ושירותי מובייל בארגון (EMM) יכולה לעזור לכם לבצע את המשימות הבאות:

  • הקצאת פרופיל מנוהל.
  • החלת מדיניות האבטחה.
    • הגדרת מורכבות הסיסמה.
    • הגבלות, כמו השבתת צילומי מסך, ששותפו מפרופיל מנוהל
  • הגדרת קישוריות לארגון.
    • משתמשים ב-WifiEnterpriseConfig כדי להגדיר Wi-Fi ארגוני.
    • מגדירים VPN במכשיר.
    • משתמשים ב-DPM.setApplicationRestrictions() כדי להגדיר VPN ארגוני.
  • הפעלה של כניסה יחידה (SSO) לאפליקציות ארגוניות.
    • מתקין אפליקציות ארגוניות נבחרות.
    • אפשר להשתמש ב-DPM.installKeyPair() כדי להתקין בשקט אישורי לקוח של החברה.
    • משתמשים ב-DPM.setApplicationRestrictions() כדי להגדיר שמות מארחים, כינויים של אישורים של אפליקציות ארגוניות.

הקצאת הרשאות מנוהלת היא רק חלק אחד בתהליך העבודה מקצה לקצה של EMM, והמטרה הסופית היא לאפשר לאפליקציות גישה לנתונים ארגוניים בפרופיל המנוהל או במכשיר המנוהל. הנחיות לבדיקה מפורטות במאמר הגדרת בדיקת מכשירים.