Indicateurs d'enrôlement supplémentaires pris en charge pour l'enrôlement Android (DPC)

Cette rubrique explique comment mettre en œuvre des indicateurs d'enrôlement supplémentaires à l'aide du code QR ou de l'enrôlement sur le portail Zero Touch.

Formatage

Dans l'exemple ci-dessous, les informations en gras indiquent les Informations requises lors de la mise en œuvre du code QR ou de l'enrôlement JSON.

Pour les valeurs facultatives, depuis "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":, entrez les identifiants d'enrôlement qui seront configurés dans le Workspace ONE Intelligent Hub. Vous pouvez inclure l'URL du serveur de Workspace ONE UEM Console, l'ID de groupe, le nom d'utilisateur de l'enrôlement et le mot de passe.

Là où apparaît "VMwareSpecificflags":"EnterValue", reportez-vous aux indicateurs disponibles ci-dessous et utilisez la valeur correcte si nécessaire.

{
   **"android.app.extra.PROVISIONING\_DEVICE\_ADMIN\_COMPONENT\_NAME":"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",
   "android.app.extra.PROVISIONING\_DEVICE\_ADMIN\_SIGNATURE\_CHECKSUM":"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i\_o8=",
   "android.app.extra.PROVISIONING\_DEVICE\_ADMIN\_PACKAGE\_DOWNLOAD\_LOCATION":"",
   "android.app.extra.PROVISIONING\_SKIP\_ENCRYPTION":"false",**
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":{
      "serverurl":"",
      "gid":"",
      "un":"",
      "pw":"",
      "VMwareSpecificflags":"Value"
   }
}

Supprimer l'épinglage du Hub en cas d'erreur d'enrôlement par détection automatique

Remarque : Cet indicateur est uniquement pris en charge sur Andoid 10 et versions antérieures.

Si une étape de l'enrôlement automatique échoue ou qu'une erreur se produit, le Hub peut inviter l'utilisateur à supprimer l'épinglage pour accéder à l'ensemble du terminal. La fonctionnalité de suppression de l'épinglage peut également être protégée par un mot de passe facultatif. Si cette option est définie, l'utilisateur doit entrer le mot de passe pour supprimer l'épinglage. L'utilisateur a un nombre illimité de tentatives d'entrée du mot de passe.

Les éléments supplémentaires DPC suivants doivent être ajoutés au « Bundle d'éléments supplémentaires d'administration » dans le code QR d'enrôlement :

"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": { "*allowUnpinning*": "*true*", *"unpinPassword":"1234"* }

Désactiver Safeboot

Détermine si l'utilisateur n'est pas autorisé à redémarrer son terminal en mode de démarrage sans échec durant l'enrôlement. Ce réglage s'applique à toutes les méthodes d'enrôlement prêtes à l'emploi, notamment : Samsung Knox Mobile Enrollment (KME), Zero Touch ou code QR. Définissez la valeur booléenne en remplaçant la valeur « Booléen » par « vrai » ou « faux ».

"disableSafeBoot":"Boolean"

Désactiver le débogage USB

Détermine si un utilisateur n'est pas autorisé à activer les fonctionnalités de débogage ou à y accéder. Définissez la valeur booléenne en remplaçant la valeur « Booléen » par « vrai » ou « faux ».

"disableUsbDebugging":"Boolean"

Désactiver les sources inconnues

Détermine si un utilisateur n'est pas autorisé à installer des applications non disponibles dans les magasins publics. Définissez la valeur booléenne en remplaçant la valeur « Booléen » par « vrai » ou « faux ».

"disableInstallUnknownSources":"Boolean"

Utiliser une authentification UEM

Si les utilisateurs souhaitent utiliser l'authentification UEM alors qu'ils sont sur Workspace ONE Access, ils doivent le notifier au moyen d'un nouveau code QR, qui est également utilisé dans le portail KME par le JSON personnalisé. Définissez la valeur booléenne en remplaçant la valeur « Booléen » par « vrai » ou « faux ».

"useUEMAuthentication":"Boolean"

URL de détection automatique locale

Définissez l'URL de détection automatique locale en remplaçant « Chaîne » dans l'exemple ci-dessous par une URL similaire à « www.monurldetectionautomatique.com ».

"localAutoDiscoveryUrl":"String"

Nombre de nouvelles tentatives de détection

Définissez le nombre de nouvelles tentatives de détection à l'aide d'une valeur entière. Par exemple, un nombre inférieur à 10. Voici, par exemple, comment entrer correctement cette valeur, en remplaçant « Valeur entière » par le nombre de votre choix.

"discoveryRetryCount":"Integer"

Intervalle de détection en secondes

Définissez l'intervalle avant nouvelle tentative de détection en secondes. Voici, par exemple, comment entrer correctement cette valeur, en remplaçant « Valeur entière » par le nombre de votre choix.

"discoveryIntervalInSeconds":"Integer"

Inscription AOSP

Autorisez le terminal à ignorer l'ajout d'un compte professionnel. Définissez la valeur booléenne en remplaçant la valeur « Booléen » par « vrai » ou « faux ».

"aospenrollment":"Boolean"

Nombre de nouvelles tentatives

Définissez le nombre de tentatives d'enrôlement automatique en cas d'échec. Envisagez d'utiliser une valeur inférieure à 10. Voici, par exemple, comment entrer correctement cette valeur, en remplaçant « Valeur entière » par le nombre de votre choix.

"retrycount":"Integer"

Autoriser la suppression de l'épinglage

Autorisez l'utilisateur à quitter le Hub lors de l'enrôlement. Définissez la valeur booléenne en remplaçant la valeur « Booléen » par « vrai » ou « faux ».

"allowUnpinning":"Boolean"

Certificat d'enrôlement

L’élément supplémentaire DPC de provisionnement du certificat d'enrôlement permet à VMware Workspace ONE Intelligent Hub pour Android d'installer un certificat avant l'enrôlement, ce qui est idéal pour les environnements réseau fermés qui utilisent des certificats auto-signés.

Quand l’élément supplémentaire DPC est inclus dans le code QR, Hub s'enrôle automatiquement en mode Propriétaire du terminal (entièrement géré), installe le certificat et enrôle le terminal.

Suivez ces étapes pour obtenir les données de certificat codées :

  1. Chargez le certificat vers un profil Identifiants Android
  2. Enregistrez le profil. Ne l'attribuez à aucun terminal
  3. Sélectionnez le profil et affichez le fichier XML du profil. Les « CertificateData » dans le XML du profil sont celles qui sont utilisées dans le fichier JSON ci-dessous.
  4. Ajoutez la clé suivante au bundle d'éléments supplémentaires d'administration dans le fichier JSON de provisionnement du code QR : « workManagedCertData » : « données de certificat codées »
{
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME":"com.airwatch.androidagent/com.airwatch.agent.DeviceAdministratorReceiver",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM":"6kyqxDOjgS30jvQuzh4uvHPk-0bmAD-1QU7vtW7i_o8=",
   "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION":"",
   "android.app.extra.PROVISIONING_SKIP_ENCRYPTION":false,
   "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE":

{"serverurl":"","gid":"","un":"","pw":"","workManagedCertData":"encoded certificate data"}
}

Remarque : Si la console UEM est configurée pour le mode COPE, l'enrôlement échoue sur les terminaux Android 11.

Désactiver l'activation de Chrome et de Camera sur les terminaux exécutant Android 9.0

Par défaut, Intelligent Hub active les applications Chrome et Camera lors de l'enrôlement des terminaux professionnels. Définissez ce DPC supplémentaire sur « faux » pour ne pas activer ces applications par défaut sur les terminaux exécutant Android 9.0.

Traditionnellement, les organisations pouvaient uniquement suspendre l'application Chrome sur les terminaux Android 9 via le paramètre « Autoriser le navigateur Chrome » dans les profils de restrictions. Cependant, cela empêche Webview du système Android de recevoir des mises à jour. Les organisations peuvent désormais désactiver complètement Chrome sur les terminaux Android 9 en définissant ce DPC supplémentaire sur « faux ». Cela permet à Webview du système Android d’être mis à jour.

Pris en charge sur les terminaux entièrement gérés et professionnels.

"autoEnableSystemApps":"false"

Définir la valeur par défaut pour Autoriser la désactivation de la vérification d'application (Android 9.0 uniquement)

Dans la charge utile du profil de restrictions Android, l'activation de « Autoriser la désactivation de la vérification de l'application » permet aux utilisateurs finaux de désactiver l'analyse Play Protect sur le terminal. Toutefois, le comportement par défaut de Intelligent Hub pour ce paramètre est désactivé. Pour une organisation qui envoie un profil de restrictions avec « Autoriser la désactivation de la vérification de l'application » désactivé, cela signifie que :

  • Lorsque vous ajoutez une version au profil de restrictions et que vous transférez la nouvelle version vers le terminal, Intelligent Hub désactive momentanément ce paramètre. Android réactive ensuite l'analyse Play Protect. Après l'application de la nouvelle version du profil, l'utilisateur final devra désactiver manuellement l'analyse Play Protect une fois de plus.
  • Lorsque vous désinstallez le profil de restrictions, l'analyse Play Protect est réactivée et les utilisateurs finaux ne peuvent pas la désactiver à nouveau tant qu'un nouveau profil de restrictions qui désactive l'analyse Play Protect n'est pas installé.

Les organisations peuvent souhaiter conserver l'analyse Play Protect désactivée dans les scénarios ci-dessus. Pour ce faire, définissez le DPC supplémentaire suivant sur « vrai » lors de l'enrôlement des terminaux. Cela modifie la valeur par défaut « Autoriser la désactivation de la vérification de l'application » dans le profil de restrictions pour l'activer. Si les terminaux sont enrôlés à l'aide de l'indicateur ci-dessus, les organisations peuvent toujours empêcher les utilisateurs finaux de désactiver l'analyse Play Protect en transférant un profil de restrictions avec « Autoriser la désactivation de la vérification de l'application » défini sur faux.

"disablePlayVerifyApps":"true"

Afficher la boîte de dialogue de confidentialité de l'utilisateur lors de l'enrôlement de terminaux Android gérés pour le travail

Par défaut, Android Intelligent Hub n'affiche pas la boîte de dialogue de confidentialité de l'utilisateur lors de l'enrôlement de terminaux en mode Géré pour le travail. Hub affiche cette boîte de dialogue (« Votre confidentialité est importante… ») aujourd'hui par défaut lors de l'enrôlement dans les modes Profil professionnel et Professionnel et personnel. Pour mieux répondre aux cas d'utilisation où des utilisateurs individuels se voient attribuer un terminal entièrement géré, les administrateurs peuvent désormais choisir d'afficher cette boîte de dialogue pour l'enrôlement en mode Géré pour le travail.

"promptPrivacy":"True"
check-circle-line exclamation-circle-line close-line
Scroll to top icon