הקצאת הרשאות לניהול מכשירים

אדמינים ב-IT יכולים לפרוס מכשירים למשתמשים ארגוניים באמצעות שירותי ענן, קוד QR או תקשורת מטווח קצר (NFC). כדי להתחיל, מורידים את קובץ ה-APK של NfcProvisioning ואת קובץ ה-APK של Android-DeviceOwner. רשימת הדרישות המלאה מופיעה במאמר הטמעת ניהול מכשירים.

עדכונים ל-Android 12

  • האפשרות ACTION_PROVISION_MANAGED_DEVICE הוצאה משימוש.

  • אפשר להשתמש ב-ACTION_PROVISION_MANAGED_PROFILE רק להקצאת פרופיל עבודה לפי DPC-first, שבה משתמשי הקצה יכולים להקצות פרופיל עבודה אחרי שהם מורידים את ה-DPC.

  • מפתחים של DPC שרוצים לתמוך בקוד QR או בשיטות אחרות להקצאה צריכים להטמיע מנהלים לפעולות הכוונה DevicePolicyManager#ACTION_GET_PROVISIONING_MODE ו-DevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE. אם ה-DPC לא מטמיע את הבוררים האלה, הקצאת המשאבים נכשלת.

  • הטיפול ב-DPC ACTION_GET_PROVISIONING_MODE כולל תוסף EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES חדש. ה-DPC צריך להגדיר את התוסף EXTRA_PROVISIONING_MODE לכוונה שהתקבלה עם ערך ששייך לרשימה הזו. אם ה-DPC מחזיר ערך שלא מופיע ברשימה הזו, הקצאת המשאבים נכשלת.

  • כדי לשפר את היציבות, יכולת התחזוקה והפשטות של התהליכים שמתרחשים במהלך אשף ההגדרה, אי אפשר להתחיל את הגדרת ה-DPC אחרי סיום אשף ההגדרה. שירותי DPC שמשתמשים בקטגוריה android.intent.category.PROVISIONING_FINALIZATION עם פעולת ה-Intent ADMIN_POLICY_COMPLIANCE כדי לבקש במפורש הגדרה לפני סיום האשף להגדרה יכולים להסיר את הקטגוריה הזו, כי הפעולה הזו מתבצעת עכשיו כברירת מחדל.

ניהול תצורה מנוהל

ניהול תצורה מנוהל הוא תהליך בממשק המשתמש של framework שמבטיח שהמשתמשים מקבלים מידע הולם על ההשלכות של הגדרת בעלים של מכשיר או פרופיל מנוהל. במכשירים שמפעילים הצפנה כברירת מחדל, תהליך הקצאת המשאבים לניהול המכשיר פשוט ומהיר יותר.

במהלך הקצאה מנוהלת, רכיב הקצאה מנוהלת מבצע את הפעולות הבאות:

  • הצפנת המכשיר.
  • יצירת הפרופיל המנוהל.
  • השבתת אפליקציות לא נדרשות.
  • הגדרת אפליקציית ניהול מכשירים ושירותי מובייל בארגון (EMM) כבעלים של פרופיל או מכשיר.

בתמורה, אפליקציית ניהול הניידות בארגון (EMM) מבצעת את הפעולות הבאות:

  • הוספת חשבונות משתמשים.
  • אכיפת התאימות של המכשיר.
  • מפעילה אפליקציות מערכת נוספות.

במהלך הקצאה מנוהלת, המסגרת מעתיקה את אפליקציית ה-EMM לפרופיל המנוהל. בסיום ההקצאה, מתבצעת קריאה למטפל הכוונה ADMIN_POLICY_COMPLIANCE של אפליקציית ה-EMM אצל משתמש פרופיל העבודה (להקצאה של פרופיל עבודה) או אצל משתמש הבעלים של המכשיר (להקצאה של הבעלים של המכשיר). לאחר מכן, ה-EMM מוסיף חשבונות ואוכף כללי מדיניות. בסיום הפעולה הזאת תתבצע קריאה ל-setProfileEnabled() כדי שהסמלים של מרכז האפליקציות יהיו גלויים.

ניהול תצורה של בעלי הפרופיל

הקצאת הבעלות על הפרופיל מאפשרת למשתמש להשתמש במכשיר גם בפרופיל עבודה (פרופיל מנוהל) וגם בפרופיל אישי. כדי להפעיל את הקצאת הבעלים של הפרופיל, צריך לשלוח כוונה עם נתונים נוספים מתאימים. לדוגמה, אפשר להתקין את אפליקציית TestDPC (להורדה מ-Google Play או ל-build מ-GitHub) במכשיר, להפעיל את האפליקציה מהמרכז להפעלת אפליקציות ופועלים לפי ההוראות באפליקציה. ההקצאה תושלם כשסמלים עם תגים יופיעו במגירה של מרכז האפליקציות.

אפליקציית ה-DPC של ה-EMM מפעילה את היצירה של הפרופיל המנוהל על ידי שליחת כוונה עם הפעולה DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE. הפקודה הבאה היא כוונה לדוגמה שמפעילה את היצירה של הפרופיל המנוהל ומגדירה את DeviceAdminSample כבעלים של הפרופיל:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

ניהול תצורה של בעלי המכשיר באמצעות NFC

אתם יכולים להשתמש ב-NFC או בשירותי ענן כדי להגדיר הקצאה של הבעלים של המכשיר (DO) במהלך תהליך ההגדרה של המכשיר.

כשמשתמשים ב-NFC, מקצים את המכשירים במצב DO באמצעות הצמדה של NFC בשלב ההגדרה הראשונית של המכשיר. השיטה הזו דורשת יותר אתחול, אבל היא דורשת מעט מגע ומטפלת בהגדרת Wi-Fi, התקנת ה-DPC והגדרת ה-DPC כבעלים של המכשיר.

חבילת NFC רגילה כוללת את הפריטים הבאים:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

צריך להגדיר את ה-NFC במכשירים כך שיקבל את ה-MIME type של הקצאת הרשאות מנוהלת מחוויית ההגדרה. כדי להגדיר, מוודאים שהשדה /packages/apps/Nfc/res/values/provisioning.xml מכיל את השורות הבאות:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

הקצאה באמצעות שירותי ענן

אפשר להקצות מכשירים עם בעלי המכשיר או בעלי הפרופיל (פרופיל עבודה) באמצעות שירותי ענן. המכשיר אוסף פרטי כניסה (או אסימונים) ומשתמש בהם כדי לבצע חיפוש בשירות ענן, שבעזרתו אפשר להתחיל את תהליך הקצאת המשאבים.

היתרונות של ניהול מכשירים ושירותי מובייל בארגון

אפליקציה לניהול מכשירים ושירותי מובייל בארגון (EMM) יכולה לעזור לכם לבצע את המשימות הבאות:

  • פרופיל מנוהל להקצאת הרשאות ידנית.
  • החלת מדיניות אבטחה.
    • הגדרת מורכבות הסיסמה.
    • אמצעי נעילה, כמו השבתת צילומי מסך, ששותפו מהפרופיל המנוהל
  • הגדרת קישוריות ארגונית.
    • משתמשים ב-WifiEnterpriseConfig כדי להגדיר רשת Wi-Fi ארגונית.
    • מגדירים את ה-VPN במכשיר.
    • משתמשים ב-DPM.setApplicationRestrictions() כדי להגדיר VPN עסקי.
  • הפעלת כניסה יחידה (SSO) לאפליקציות ארגוניות.
    • התקנת אפליקציות ארגוניות נבחרות.
    • כדי להתקין באופן שקט אישורי לקוח של הארגון, אפשר להשתמש ב-DPM.installKeyPair().
    • אפשר להשתמש ב-DPM.setApplicationRestrictions() כדי להגדיר שמות מארחים וכינויים של אישורים של אפליקציות עסקיות.

ניהול הקצאות מנוהל הוא רק חלק אחד מתהליך העבודה מקצה לקצה ל-EMM, כשהמטרה הסופית היא להנגיש את הנתונים הארגוניים לאפליקציות בפרופיל המנוהל או במכשיר המנוהל. הנחיות לבדיקות מפורטות במאמר הגדרת בדיקת המכשיר.