佈建裝置管理服務

IT 管理員可以使用雲端服務、QR code 或近距離無線通訊 (NFC) 佈建功能,為企業使用者部署裝置。如要開始使用,請下載 Nfc 佈建 APKAndroid-DeviceOwner APK。如需完整的規定清單,請參閱「導入裝置管理」。

Android 12 更新

  • ACTION_PROVISION_MANAGED_DEVICE 已淘汰。

  • ACTION_PROVISION_MANAGED_PROFILE 僅支援以 DPC 優先的工作資料夾佈建功能,因此使用者可以在下載 DPC 後佈建工作資料夾。

  • 如要支援 QR code 或其他佈建方法,DPC 開發人員必須為 DevicePolicyManager#ACTION_GET_PROVISIONING_MODEDevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE 意圖動作實作處理常式。如果 DPC 未實作這些處理常式,則佈建作業會失敗。

  • DPC ACTION_GET_PROVISIONING_MODE 處理常式包含新的 EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES 額外項目。DPC 必須使用屬於該清單的值,為產生的意圖設定額外 EXTRA_PROVISIONING_MODE 項目。如果 DPC 傳回的值不在該清單中,則佈建作業會失敗。

  • 為了進一步提升設定精靈過程中流程的穩定性、可維護性和簡單性,在設定精靈結束後就無法啟動 DPC 設定程序。使用 android.intent.category.PROVISIONING_FINALIZATION 類別搭配 ADMIN_POLICY_COMPLIANCE 意圖動作的 DPC,可在設定精靈結束前明確要求設定,因此可以移除該類別,因為這項作業現在已預設完成。

受管理的佈建作業

受管理的佈建作業是一種架構 UI 流程,可確保使用者充分瞭解設定裝置擁有者或受管理設定檔的影響。啟用預設加密功能的裝置可大幅簡化裝置管理佈建流程,快速又快速。

在受管理的佈建期間,受管理的佈建元件會執行下列活動:

  • 將裝置加密。
  • 建立受管理的設定檔。
  • 停用非必要的應用程式。
  • 將企業行動管理服務 (EMM) 應用程式設為設定檔或裝置擁有者。

反之,企業行動管理服務 (EMM) 應用程式會執行下列活動:

  • 新增使用者帳戶。
  • 強制執行裝置法規遵循。
  • 啟用任何額外的系統應用程式。

在受管理的佈建期間,架構會將 EMM 應用程式複製到受管理的設定檔。佈建完成後,系統會在工作資料夾使用者 (用於佈建工作資料夾) 或裝置擁有者使用者 (用於佈建裝置擁有者) 中呼叫 EMM 應用程式的 ADMIN_POLICY_COMPLIANCE 意圖處理常式。接著,EMM 會新增帳戶並強制執行政策,然後呼叫 setProfileEnabled(),顯示啟動器圖示。

設定檔擁有者佈建

設定檔擁有者佈建可讓使用者在裝置上同時擁有工作資料夾 (受管理的資料夾) 和個人資料夾。如要啟用設定檔擁有者佈建功能,您必須傳送包含適當額外項目的意圖。舉例來說,您可以安裝 TestDPC 應用程式 (從 Google Play 下載從 GitHub 建構),然後從啟動器啟動應用程式,並按照應用程式說明操作。當啟動器抽屜中顯示帶有徽章的圖示時,表示佈建作業已完成。

EMM DPC 應用程式會使用 DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE 動作傳送意圖,藉此觸發代管設定檔的建立程序。下列指令是一個範例意圖,可觸發建立代管設定檔,並將 DeviceAdminSample 設為設定檔擁有者:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

使用 NFC 佈建裝置擁有者

您可以在裝置的開箱設定程序中,使用 NFC 或雲端服務設定裝置擁有者 (DO) 佈建作業。

使用 NFC 時,您可以在初始裝置設定步驟中使用 NFC bump 以 DO 模式佈建裝置。這個方法需要更多 Bootstrap,但可減少人為介入,並處理 Wi-Fi 設定、安裝 DPC 以及將 DPC 設為裝置擁有者。

典型的 NFC 組合包含以下內容:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

裝置必須設為 NFC,才能接受設定過程中產生的代管佈建 MIME 類型。如要設定,請確認 /packages/apps/Nfc/res/values/provisioning.xml 包含下列程式碼:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

透過雲端服務佈建

您可以使用雲端服務佈建裝置擁有者設定檔擁有者 (工作資料夾) 的裝置。裝置會收集並使用憑證 (或權杖) 執行雲端服務查詢,然後可用於啟動佈建程序。

企業行動管理服務的優點

企業行動管理服務 (EMM) 應用程式可執行下列工作:

  • 佈建受管理的設定檔。
  • 套用安全性政策。
    • 設定密碼複雜度。
    • 從受管理設定檔分享的鎖定功能,例如停用螢幕截圖
  • 設定企業連線。
    • 使用 WifiEnterpriseConfig 設定公司 Wi-Fi。
    • 在裝置上設定 VPN。
    • 使用 DPM.setApplicationRestrictions() 設定公司 VPN。
  • 啟用公司應用程式的單一登入 (SSO) 服務。
    • 安裝所選企業應用程式。
    • 使用 DPM.installKeyPair() 在無訊息中安裝公司用戶端憑證。
    • 使用 DPM.setApplicationRestrictions() 設定公司應用程式的主機名稱和憑證別名。

代管佈建只是 EMM 端對端工作流程的一部分,最終目標是讓受管理設定檔或受管理裝置上的應用程式存取公司資料。如需測試指南,請參閱「設定裝置測試」一文。