設備管理配置

IT 管理員可以使用雲端服務、QR 碼或近場通訊 (NFC) 配置向企業使用者部署設備。首先,下載NfcProvisioning APKAndroid-DeviceOwner APK 。有關要求的完整列表,請參閱實施設備管理

安卓 12 更新

  • ACTION_PROVISION_MANAGED_DEVICE已棄用。

  • ACTION_PROVISION_MANAGED_PROFILE僅支援 DPC 優先工作設定檔配置,其中最終使用者可以在下載 DPC 後配置工作設定檔。

  • 想要支援 QR 碼或其他設定方法的 DPC 開發人員必須實作DevicePolicyManager#ACTION_GET_PROVISIONING_MODEDevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE意圖操作的處理程序。如果 DPC 未實作這些處理程序,配置將會失敗。

  • DPC ACTION_GET_PROVISIONING_MODE處理程序包括新的EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES額外功能。 DPC 必須使用屬於該清單的值將EXTRA_PROVISIONING_MODE extra 設定為其結果意圖。如果 DPC 傳回的值不在該清單中,則配置將會失敗。

  • 為了進一步提高設定精靈期間發生的流程的穩定性、可維護性和簡單性,設定精靈結束後無法啟動 DPC 設定。使用android.intent.category.PROVISIONING_FINALIZATION類別和ADMIN_POLICY_COMPLIANCE Intent 操作來明確請求在設定精靈結束之前進行設定的 DPC 可以刪除該類別,因為現在預設情況下會這樣做。

託管配置

託管配置是一個框架 UI 流程,可確保使用者充分了解設定設備擁有者或託管設定檔的影響。啟用預設加密的裝置提供了相當簡單且快速的裝置管理配置流程。

在託管配置期間,託管組態元件執行以下活動:

  • 加密設備。
  • 建立託管設定檔。
  • 禁用不需要的應用程式。
  • 將企業行動管理 (EMM) 應用程式設定為設定檔或裝置擁有者。

企業行動管理 (EMM) 應用程式依序執行以下活動:

  • 新增用戶帳戶。
  • 強制設備合規性。
  • 啟用任何其他系統應用程式。

在託管配置期間,框架將 EMM 應用程式複製到託管設定檔中。設定完成後,將在工作設定檔使用者(對於工作設定檔設定)或裝置擁有者使用者(對於裝置擁有者設定)中呼叫 EMM 應用程式的ADMIN_POLICY_COMPLIANCE意圖處理程序。然後,EMM 新增帳戶並實施策略,之後呼叫setProfileEnabled()以使啟動器圖示可見。

設定檔擁有者配置

設定檔擁有者配置使用戶能夠在裝置上同時擁有工作設定檔(託管設定檔)和個人設定檔。若要啟用設定檔擁有者配置,您必須傳送帶有適當附加內容的意圖。例如,在裝置上安裝 TestDPC 應用程式(從 Google Play 下載從 GitHub 建置),從啟動器啟動該應用程序,然後按照應用程式說明進行操作。當帶有標記的圖示出現在啟動器抽屜中時,配置就完成了。

EMM DPC 應用程式透過使用DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE操作傳送意圖來觸發託管設定檔的建立。以下命令是觸發建立託管設定檔並將DeviceAdminSample設定為設定檔擁有者的範例意圖:

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

設備擁有者使用 NFC 進行配置

您可以在裝置的開箱即用設定過程中使用 NFC 或雲端服務來設定裝置擁有者 (DO) 設定。

使用 NFC 時,您可以在初始裝置設定步驟中使用NFC 碰撞以 DO 模式設定裝置。此方法需要更多引導,但接觸次數較少,可處理設定 Wi-Fi、安裝 DPC 以及將 DPC 設定為裝置擁有者。

典型的 NFC 捆綁包包括以下內容:

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

設備必須將 NFC 配置為接受設定體驗中的託管預配 mime 類型。若要進行配置,請確保/packages/apps/Nfc/res/values/provisioning.xml包含以下行:

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

使用雲端服務進行配置

您可以使用雲端服務為裝置配置設備擁有者設定檔擁有者(工作設定檔)。設備收集並使用憑證(或令牌)來執行對雲端服務的查找,然後可以使用該雲端服務來啟動設定程序。

企業行動管理的好處

企業行動管理 (EMM) 應用程式可以透過執行以下任務來提供協助:

  • 配置託管設定檔。
  • 應用安全策略。
    • 設定密碼複雜度。
    • 鎖定:停用螢幕截圖、從託管個人資料共用等。
  • 配置企業連接。
    • 使用WifiEnterpriseConfig設定企業 Wi-Fi。
    • 在設備上設定VPN。
    • 使用DPM.setApplicationRestrictions()設定企業 VPN。
  • 啟用企業應用程式單一登入 (SSO)。
    • 安裝所需的企業應用程式。
    • 使用DPM.installKeyPair()以靜默方式安裝公司客戶端憑證。
    • 使用DPM.setApplicationRestrictions()設定企業應用程式的主機名稱、憑證別名。

託管配置只是 EMM 端到端工作流程的一部分,其最終目標是使託管設定檔或託管設備中的應用程式可以存取公司資料。有關測試指南,請參閱設定設備測試