设备管理配置

IT 管理员可以使用云服务、二维码或近场通信 (NFC) 配置将设备部署到企业用户。要开始使用,请下载 NfcProvisioning APKAndroid-DeviceOwner APK。如需完整的要求列表,请参阅实施设备管理

Android 12 更新

  • ACTION_PROVISION_MANAGED_DEVICE 已弃用。

  • ACTION_PROVISION_MANAGED_PROFILE 仅支持 DPC 优先的工作资料配置,最终用户可以在下载 DPC 后配置工作资料。

  • 想要支持二维码或其他配置方法的 DPC 开发者必须为 DevicePolicyManager#ACTION_GET_PROVISIONING_MODEDevicePolicyManager#ACTION_ADMIN_POLICY_COMPLIANCE intent 操作实现处理程序。如果 DPC 未实现这些处理程序,配置将失败。

  • DPC ACTION_GET_PROVISIONING_MODE 处理程序包含新的 EXTRA_PROVISIONING_ALLOWED_PROVISIONING_MODES extra。DPC 必须将其结果 intent 的 EXTRA_PROVISIONING_MODE extra 设置为属于该列表的值。如果 DPC 返回的值不在该列表上,配置将失败。

  • 为了进一步提高安装向导期间发生的流程的稳定性、可维护性和简易性,DPC 安装无法在安装向导结束后启动。将 android.intent.category.PROVISIONING_FINALIZATION 类别与 ADMIN_POLICY_COMPLIANCE intent 操作结合使用以明确请求在安装向导结束前完成安装的 DPC 可以移除该类别,因为现在默认情况下会执行此操作。

托管配置

托管配置是一个框架 UI 流程,可确保用户充分了解设置设备所有者或托管资料的影响。启用默认加密的设备提供了一种明显更简单、更快速的设备管理配置流程。

在托管配置期间,托管配置组件执行以下活动

  • 加密设备。
  • 创建托管资料。
  • 停用非必需的应用。
  • 将企业移动管理 (EMM) 应用设置为资料或设备所有者。

反过来,企业移动管理 (EMM) 应用执行以下活动

  • 添加用户帐号。
  • 强制执行设备合规性。
  • 启用任何其他系统应用。

在托管配置期间,框架将 EMM 应用复制到托管资料中。配置完成后,将在工作资料用户(对于工作资料配置)或设备所有者用户(对于设备所有者配置)中调用 EMM 应用的 ADMIN_POLICY_COMPLIANCE intent 处理程序。然后,EMM 添加帐号并强制执行政策,之后调用 setProfileEnabled() 以使启动器图标可见。

资料所有者配置

资料所有者配置使用户可以在设备上同时拥有工作资料(托管资料)和个人资料。要启用资料所有者配置,您必须发送包含适当 extra 的 intent。例如,在设备上安装 TestDPC 应用(从 Google Play 下载从 GitHub 构建),从启动器启动该应用,然后按照应用说明操作。当启动器抽屉中出现带徽章的图标时,配置即完成。

EMM DPC 应用通过发送包含 DevicePolicyManager.ACTION_PROVISION_MANAGED_PROFILE 操作的 intent 来触发托管资料的创建。以下命令是触发托管资料创建并将 DeviceAdminSample 设置为资料所有者的示例 intent

adb shell am start \
  -a android.app.action.PROVISION_MANAGED_PROFILE \
  -c android.intent.category.DEFAULT \
  -e wifiSsid $(printf '%q' \"WifiSSID\") \
  -e deviceAdminPackage "com.google.android.deviceadminsample" \
  -e android.app.extra.deviceAdminPackageName $(printf '%q'.DeviceAdminSample\$DeviceAdminSampleReceiver) \
  -e android.app.extra.DEFAULT_MANAGED_PROFILE_NAME "My Organisation"

使用 NFC 进行设备所有者配置

您可以使用 NFC 或云服务在设备的开箱即用设置过程中设置设备所有者 (DO) 配置。

使用 NFC 时,您可以使用NFC 碰撞在初始设备设置步骤期间以 DO 模式配置设备。此方法需要更多的引导,但接触少,并且可以处理配置 Wi-Fi、安装 DPC 以及将 DPC 设置为设备所有者。

典型的 NFC 捆绑包包括以下内容

EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_NAME
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_LOCATION
EXTRA_PROVISIONING_DEVICE_ADMIN_PACKAGE_CHECKSUM
EXTRA_PROVISIONING_WIFI_SSID
EXTRA_PROVISIONING_WIFI_SECURITY_TYPE

设备必须配置 NFC 以接受来自设置体验的托管配置 mimetype。要进行配置,请确保 /packages/apps/Nfc/res/values/provisioning.xml 包含以下行

<bool name="enable\_nfc\_provisioning">true</bool>
<item>application/com.android.managedprovisioning</item>

使用云服务进行配置

您可以使用云服务配置设备所有者资料所有者(工作资料)。设备会收集并使用凭据(或令牌)来执行对云服务的查找,然后可以使用该服务来启动配置过程。

企业移动管理优势

企业移动管理 (EMM) 应用可以通过执行以下任务来提供帮助

  • 配置托管资料。
  • 应用安全政策。
    • 设置密码复杂性。
    • 锁定,例如停用屏幕截图、从托管资料共享
  • 配置企业连接。
    • 使用 WifiEnterpriseConfig 配置企业 Wi-Fi。
    • 在设备上配置 VPN。
    • 使用 DPM.setApplicationRestrictions() 配置企业 VPN。
  • 启用企业应用单点登录 (SSO)。
    • 安装选定的企业应用。
    • 使用 DPM.installKeyPair() 静默安装企业客户端证书。
    • 使用 DPM.setApplicationRestrictions() 配置企业应用的主机名、证书别名。

托管配置只是 EMM 端到端工作流的一部分,其最终目标是使托管资料或托管设备中的应用可以访问企业数据。有关测试指南,请参阅设置设备测试