Cette rubrique explique comment mettre en œuvre des indicateurs d'enrôlement supplémentaires à l'aide du code QR ou de l'enrôlement sur le portail Zero Touch.
Dans l'exemple ci-dessous, les informations en gras indiquent les Informations requises lors de la mise en œuvre du code QR ou de l'enrôlement JSON.
Pour les valeurs facultatives, depuis "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
, entrez les identifiants d'enrôlement qui seront configurés dans le Workspace ONE Intelligent Hub. Vous pouvez inclure l'URL du serveur de Workspace ONE UEM Console, l'ID de groupe, le nom d'utilisateur de l'enrôlement et le mot de passe.
Là où apparaît "VMwareSpecificflags":"EnterValue"
, reportez-vous aux indicateurs disponibles ci-dessous et utilisez la valeur correcte si nécessaire.
{
**"android.app.extra.PROVISIONING\_DEVICE\_ADMIN\_COMPONENT\_NAME":"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",
"android.app.extra.PROVISIONING\_DEVICE\_ADMIN\_SIGNATURE\_CHECKSUM":"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i\_o8=",
"android.app.extra.PROVISIONING\_DEVICE\_ADMIN\_PACKAGE\_DOWNLOAD\_LOCATION":"",
"android.app.extra.PROVISIONING\_SKIP\_ENCRYPTION":"false",**
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
"serverurl":"",
"gid":"",
"un":"",
"pw":"",
"VMwareSpecificflags":"Value"
}
}
Remarque : Cet indicateur est uniquement pris en charge sur Andoid 10 et versions antérieures.
Si une étape de l'enrôlement automatique échoue ou qu'une erreur se produit, le Hub peut inviter l'utilisateur à supprimer l'épinglage pour accéder à l'ensemble du terminal. La fonctionnalité de suppression de l'épinglage peut également être protégée par un mot de passe facultatif. Si cette option est définie, l'utilisateur doit entrer le mot de passe pour supprimer l'épinglage. L'utilisateur a un nombre illimité de tentatives d'entrée du mot de passe.
Les éléments supplémentaires DPC suivants doivent être ajoutés au « Bundle d'éléments supplémentaires d'administration » dans le code QR d'enrôlement :
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "*allowUnpinning*": "*true*", *"unpinPassword":"1234"* }
Détermine si l'utilisateur n'est pas autorisé à redémarrer son terminal en mode de démarrage sans échec durant l'enrôlement. Ce réglage s'applique à toutes les méthodes d'enrôlement prêtes à l'emploi, notamment : Samsung Knox Mobile Enrollment (KME), Zero Touch ou code QR. Définissez la valeur booléenne en remplaçant la valeur « Booléen » par « vrai » ou « faux ».
"disableSafeBoot":"Boolean"
Détermine si un utilisateur n'est pas autorisé à activer les fonctionnalités de débogage ou à y accéder. Définissez la valeur booléenne en remplaçant la valeur « Booléen » par « vrai » ou « faux ».
"disableUsbDebugging":"Boolean"
Détermine si un utilisateur n'est pas autorisé à installer des applications non disponibles dans les magasins publics. Définissez la valeur booléenne en remplaçant la valeur « Booléen » par « vrai » ou « faux ».
"disableInstallUnknownSources":"Boolean"
Si les utilisateurs souhaitent utiliser l'authentification UEM alors qu'ils sont sur Workspace ONE Access, ils doivent le notifier au moyen d'un nouveau code QR, qui est également utilisé dans le portail KME par le JSON personnalisé. Définissez la valeur booléenne en remplaçant la valeur « Booléen » par « vrai » ou « faux ».
"useUEMAuthentication":"Boolean"
Définissez l'URL de détection automatique locale en remplaçant « Chaîne » dans l'exemple ci-dessous par une URL similaire à « www.monurldetectionautomatique.com ».
"localAutoDiscoveryUrl":"String"
Définissez le nombre de nouvelles tentatives de détection à l'aide d'une valeur entière. Par exemple, un nombre inférieur à 10. Voici, par exemple, comment entrer correctement cette valeur, en remplaçant « Valeur entière » par le nombre de votre choix.
"discoveryRetryCount":"Integer"
Définissez l'intervalle avant nouvelle tentative de détection en secondes. Voici, par exemple, comment entrer correctement cette valeur, en remplaçant « Valeur entière » par le nombre de votre choix.
"discoveryIntervalInSeconds":"Integer"
Autorisez le terminal à ignorer l'ajout d'un compte professionnel. Définissez la valeur booléenne en remplaçant la valeur « Booléen » par « vrai » ou « faux ».
"aospenrollment":"Boolean"
Définissez le nombre de tentatives d'enrôlement automatique en cas d'échec. Envisagez d'utiliser une valeur inférieure à 10. Voici, par exemple, comment entrer correctement cette valeur, en remplaçant « Valeur entière » par le nombre de votre choix.
"retrycount":"Integer"
Autorisez l'utilisateur à quitter le Hub lors de l'enrôlement. Définissez la valeur booléenne en remplaçant la valeur « Booléen » par « vrai » ou « faux ».
"allowUnpinning":"Boolean"
L’élément supplémentaire DPC de provisionnement du certificat d'enrôlement permet à VMware Workspace ONE Intelligent Hub pour Android d'installer un certificat avant l'enrôlement, ce qui est idéal pour les environnements réseau fermés qui utilisent des certificats auto-signés.
Quand l’élément supplémentaire DPC est inclus dans le code QR, Hub s'enrôle automatiquement en mode Propriétaire du terminal (entièrement géré), installe le certificat et enrôle le terminal.
Suivez ces étapes pour obtenir les données de certificat codées :
{
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i_o8=",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":"",
"android.app.extra.PROVISIONING_SKIP_ENCRYPTION":false,
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":
{"serverurl":"","gid":"","un":"","pw":"","workManagedCertData":"encoded certificate data"}
}
Remarque : Si la console UEM est configurée pour le mode COPE, l'enrôlement échoue sur les terminaux Android 11.
Par défaut, Intelligent Hub active les applications Chrome et Camera lors de l'enrôlement des terminaux professionnels. Définissez ce DPC supplémentaire sur « faux » pour ne pas activer ces applications par défaut sur les terminaux exécutant Android 9.0.
Traditionnellement, les organisations pouvaient uniquement suspendre l'application Chrome sur les terminaux Android 9 via le paramètre « Autoriser le navigateur Chrome » dans les profils de restrictions. Cependant, cela empêche Webview du système Android de recevoir des mises à jour. Les organisations peuvent désormais désactiver complètement Chrome sur les terminaux Android 9 en définissant ce DPC supplémentaire sur « faux ». Cela permet à Webview du système Android d’être mis à jour.
Pris en charge sur les terminaux entièrement gérés et professionnels.
"autoEnableSystemApps":"false"
Dans la charge utile du profil de restrictions Android, l'activation de « Autoriser la désactivation de la vérification de l'application » permet aux utilisateurs finaux de désactiver l'analyse Play Protect sur le terminal. Toutefois, le comportement par défaut de Intelligent Hub pour ce paramètre est désactivé. Pour une organisation qui envoie un profil de restrictions avec « Autoriser la désactivation de la vérification de l'application » désactivé, cela signifie que :
Les organisations peuvent souhaiter conserver l'analyse Play Protect désactivée dans les scénarios ci-dessus. Pour ce faire, définissez le DPC supplémentaire suivant sur « vrai » lors de l'enrôlement des terminaux. Cela modifie la valeur par défaut « Autoriser la désactivation de la vérification de l'application » dans le profil de restrictions pour l'activer. Si les terminaux sont enrôlés à l'aide de l'indicateur ci-dessus, les organisations peuvent toujours empêcher les utilisateurs finaux de désactiver l'analyse Play Protect en transférant un profil de restrictions avec « Autoriser la désactivation de la vérification de l'application » défini sur faux.
"disablePlayVerifyApps":"true"
Par défaut, Android Intelligent Hub n'affiche pas la boîte de dialogue de confidentialité de l'utilisateur lors de l'enrôlement de terminaux en mode Géré pour le travail. Hub affiche cette boîte de dialogue (« Votre confidentialité est importante… ») aujourd'hui par défaut lors de l'enrôlement dans les modes Profil professionnel et Professionnel et personnel. Pour mieux répondre aux cas d'utilisation où des utilisateurs individuels se voient attribuer un terminal entièrement géré, les administrateurs peuvent désormais choisir d'afficher cette boîte de dialogue pour l'enrôlement en mode Géré pour le travail.
"promptPrivacy":"True"