Provisionamento de Dispositivos - Android

Dispositivos compatíveis

Em geral, qualquer dispositivo com Android 6 ou superior e Google Play Services é compatível com o Cerberus Enterprise.

Para uma melhor experiência do usuário, sugerimos o uso de dispositivos que atendam aos requisitos Android Enterprise Recommended.

Alguns recursos são limitados a versões específicas do Android ou podem se comportar de maneira diferente entre as versões do sistema operacional. Para mais informações sobre um recurso específico, consulte a seção Políticas da documentação.

O Cerberus Enterprise suporta tanto dispositivos de propriedade da empresa quanto dispositivos pessoais, e dois modos de gerenciamento: proprietário do dispositivo (device owner) e proprietário do perfil (profile owner).

Dispositivos de propriedade pessoal podem ser gerenciados por meio de um perfil de trabalho. Isso permite uma solução BYOD ao manter os dados e aplicativos de trabalho dos funcionários separados dos dados e aplicativos pessoais, melhorando tanto a segurança quanto a privacidade. Esta opção é adequada para dispositivos que já pertencem aos funcionários e que você deseja registrar em sua organização para uso profissional.

Dispositivos de propriedade da empresa também podem ser gerenciados por meio de um perfil de trabalho, mas você também pode escolher a opção totalmente gerenciado, que permite um controle mais rigoroso sobre o dispositivo. Dispositivos de propriedade da empresa com perfil de trabalho são adequados quando você fornece dispositivos corporativos aos funcionários para o trabalho, permitindo ainda o uso pessoal. Dispositivos totalmente gerenciados são mais adequados para dispositivos que devem ser usados apenas para o trabalho ou para dispositivos dedicados (COSU, dispositivos de uso único de propriedade corporativa), como quiosques.

Para mais informações sobre o provisionamento de dispositivos, consulte a página Visão geral do provisionamento de dispositivos.


Tokens de inscrição

A Cerberus Enterprise utiliza tokens de inscrição para iniciar o processo de inscrição (provisionamento) de dispositivos Android. O token selecionado define a política inicial aplicada aos dispositivos inscritos e influencia quais modos de provisionamento são permitidos.

A guia de tokens de inscrição do Android está disponível apenas após a conclusão da Configuração do Android Management.

Onde encontrar os tokens de inscrição

No painel, abra Tokens de inscrição. Dependendo da configuração da sua conta, a página pode exibir várias guias (Tokens Android, Inscrição via login do Google, Inscrição manual da Apple e Inscrição Automatizada de Dispositivos da Apple).

Se a sua empresa Android for baseada em um domínio gerenciado pelo Google (Google Workspace), o painel também pode exibir uma guia de Autenticação via Inscrição do Google. Para detalhes sobre como ativá-la e utilizá-la, consulte Autenticação via Inscrição do Google.

Lista de tokens de inscrição (Android)

A guia de tokens Android mostra uma tabela com todos os tokens. Ao clicar em uma linha, a página de detalhes do token será aberta.

Colunas

Ações

Criar um novo token de inscrição

Na guia de tokens Android, clique em Novo token de inscrição para abrir a página de criação de token. Se a sua licença estiver expirada, o botão de criação estará desativado.

Opções do token

1. Política

Obrigatório. A política aplicada automaticamente a todos os dispositivos inscritos usando este token. Selecione uma de suas políticas Android. Se você ainda não tiver nenhuma política, crie uma primeiro.

2. Usuário

Opcional. Se definido, os novos dispositivos inscritos serão associados automaticamente a este usuário.

3. Uso pessoal

Controla se o uso pessoal é permitido em um dispositivo provisionado com este token de inscrição:

4. Usos permitidos

Selecione se o token pode ser usado várias vezes (Múltiplos) ou apenas uma vez (Apenas uma vez).

5. Expiração

Selecione a unidade de expiração (Minutos, Horas, Dias ou Nunca). Quando não estiver definido como Nunca, insira o valor de expiração. O intervalo permitido depende da unidade selecionada e pode chegar a até 10.000 dias.

Opções de provisionamento (apenas código QR)

Essas opções adicionais são incorporadas ao código QR e são aplicadas durante o provisionamento de dispositivos totalmente gerenciados inscritos por meio da leitura do código QR. Elas não se aplicam a perfis de trabalho ou dispositivos inscritos usando a URL de inscrição ou o token.

Configuração de Wi-Fi

Use isso para permitir que um dispositivo se conecte automaticamente ao Wi-Fi durante o provisionamento, para que possa baixar e inicializar o aplicativo de gerenciamento. Os campos disponíveis incluem SSID, SSID oculto, Segurança e (quando necessário) Senha de rede.

Você também pode configurar um proxy HTTP (Proxy) e, dependendo do modo, definir Host/Porta, URI PAC e Host de bypass do proxy.

Outras opções

As opções adicionais incluem Localidade, Fuso horário e Pular criptografia.

Detalhes do token de inscrição

Ao abrir um token, a página de detalhes mostra as informações de configuração e uso do token:

Para procedimentos de provisionamento passo a passo, siga os guias de inscrição do Android: Dispositivos de propriedade pessoal, Dispositivos de propriedade da empresa para uso pessoal e de trabalho, Dispositivos de propriedade da empresa para uso exclusivo de trabalho, e Zero-touch.

Dispositivos de propriedade pessoal

Dispositivos de propriedade dos funcionários podem ser configurados com um perfil de trabalho. Um perfil de trabalho oferece um espaço independente para aplicativos e dados de trabalho, separado dos aplicativos e dados pessoais. A maioria das políticas de aplicativos, dados e outras gestões se aplica apenas ao perfil de trabalho, enquanto os aplicativos e dados pessoais dos funcionários permanecem privados.
Para configurar um perfil de trabalho em um dispositivo de propriedade pessoal, use um dos seguintes métodos de provisionamento (certifique-se de que o token de inscrição tenha o Uso pessoal definido como Permitido):

Link do token de inscrição

Versão do Android
6.0+
Você pode fornecer a URL de inscrição aos usuários finais. Quando um usuário final abrir o link em seu dispositivo, ele será guiado pela configuração do perfil de trabalho.

Adicionar perfil de trabalho a partir das "Configurações"

Versão do Android
6.0+
Para configurar um perfil de trabalho no dispositivo, o usuário pode abrir o aplicativo de Configurações do dispositivo e, em seguida, usar a barra de pesquisa para encontrar e tocar na opção Configurar seu perfil de trabalho.

Se a pesquisa não obtiver sucesso, o local desta opção pode variar. Aqui estão algumas possibilidades:

Essas etapas iniciam um assistente de configuração que baixa o Android Device Policy no dispositivo. Em seguida, o usuário será solicitado a escanear um código QR ou inserir manualmente um token de registro para concluir a configuração do perfil de trabalho.

Baixar o Android Device Policy

Versão do Android
6.0+
Para configurar um perfil de trabalho no dispositivo, o usuário pode baixar o Android Device Policy na Google Play Store. Após a instalação do aplicativo, o usuário será solicitado a escanear um código QR ou inserir manualmente um token de registro para concluir a configuração do perfil de trabalho.

Dispositivos de propriedade da empresa para uso profissional e pessoal

A configuração de um dispositivo de propriedade da empresa com um perfil de trabalho habilita o dispositivo para uso profissional e pessoal. Em dispositivos de propriedade da empresa com perfis de trabalho:
Para configurar um dispositivo de propriedade da empresa com um perfil de trabalho, use um dos seguintes métodos de provisionamento (certifique-se de que o token de inscrição tenha o Uso pessoal definido como Permitido):

Método de código QR

Versão do Android
8.0+
Em um dispositivo novo ou com restauração de fábrica, o usuário (geralmente um administrador de TI) toca na tela seis vezes no mesmo local. Isso fará com que o dispositivo solicite ao usuário a leitura de um código QR.

Dispositivos de propriedade da empresa para uso exclusivo de trabalho

O gerenciamento total do dispositivo é adequado para dispositivos de propriedade da empresa destinados exclusivamente a fins de trabalho. As empresas podem gerenciar todos os aplicativos no dispositivo e aplicar todo o espectro de políticas e comandos da Android Management API.
Também é possível bloquear um dispositivo (via política) para um único aplicativo ou um pequeno conjunto de aplicativos para atender a um propósito ou caso de uso dedicado. Este subconjunto de dispositivos totalmente gerenciados é chamado de dispositivos dedicados.
Para configurar o gerenciamento total em um dispositivo de propriedade da empresa, use um dos seguintes métodos de provisionamento (certifique-se de que o token de inscrição tenha o Uso pessoal definido como Não permitido):

Método de código QR

Versão do Android
7.0+
Em um dispositivo novo ou com restauração de fábrica, o usuário (geralmente um administrador de TI) toca na tela seis vezes no mesmo local. Isso fará com que o dispositivo solicite ao usuário a leitura de um código QR.

Método de identificador DPC

Versão do Android
5.1+
Se o Android Device Policy não puder ser adicionado via código QR, um usuário ou administrador de TI pode seguir estas etapas para provisionar um dispositivo totalmente gerenciado ou dedicado:

1. Siga o assistente de configuração em um dispositivo novo ou com restauração de fábrica.
2. Insira os detalhes de login do Wi-Fi para conectar o dispositivo à internet.
3. Quando for solicitado o login, insira afw#setup, o que fará o download do Android Device Policy.
4. Escaneie um código QR ou insira manualmente um token de inscrição para provisionar o dispositivo.

Zero-touch

Os administradores de TI podem provisionar dispositivos de propriedade da empresa usando o método de registro zero-touch, descrito em Registro zero-touch para administradores de TI. Quando um dispositivo é ligado pela primeira vez, ele é automaticamente forçado para as configurações definidas pelo administrador de TI.

Os administradores de TI podem pré-configurar dispositivos adquiridos de revendedores autorizados e gerenciá-los usando o painel do Cerberus Enterprise. Para vincular sua conta Zero-touch, vá para a seção Zero-touch no painel e siga as instruções.

Versão do AndroidPerfil de trabalhoDispositivo totalmente gerenciadoDispositivo dedicado
8.0+ (Pixel 7.1+)

Autenticação via Inscrição do Google

A Autenticação via Inscrição do Google (também chamada de Autenticação do Google para Inscrição) permite que os usuários se autentiquem com sua conta do Google Workspace durante a inscrição de dispositivos Android.

Este recurso está disponível apenas para empresas Android baseadas em um domínio gerenciado pelo Google (Google Workspace).

Onde encontrá-la

No painel, abra Tokens de inscrição e selecione a guia Autenticação via Inscrição do Google. A guia é exibida apenas quando o Android Management está configurado e a integração com o Google Workspace está disponível para sua empresa.

Ativar (ou desativar) a Autenticação do Google

A Autenticação do Google é ativada a partir do Console de administração do Google. Após alterar a configuração, retorne ao Cerberus Enterprise e use Atualizar status para recarregar a configuração atual.

  1. Faça login no seu Console de administração do Google com uma conta de administrador.
  2. Abra Dispositivos.
  3. Vá para Dispositivos móveis e endpointsConfiguraçõesIntegrações de terceiros.
  4. Encontre a integração Android EMM para o Cerberus Enterprise e abra-a.
  5. Clique em Gerenciar provedores de EMM.
  6. Ative ou desative Autenticação via Inscrição do Google para habilitar ou desabilitar a autenticação do Google para inscrição.
  7. Clique em Salvar.
  8. Retorne ao painel do Cerberus Enterprise e clique em Atualizar status na guia Autenticação via Inscrição do Google.

Token de Inscrição via Autenticação do Google

Quando a Autenticação do Google está ativada, o painel mostra um token de inscrição dedicado usado para este modo de inscrição. A página pode exibir um código QR, um valor de Token de inscrição e uma URL de inscrição (copiável e enviável por e-mail).

Opções principais

Interação com a política

A configuração de política Autenticação na configuração da conta de trabalho (workAccountSetupConfig.authenticationType) controla como os usuários se autenticam durante a configuração da conta de trabalho, mas a configuração do Console de administração do Google Autenticação via Inscrição do Google e o tipo de token de inscrição ainda podem exigir autenticação.

Para dispositivos já inscritos, esta política só se aplica se o dispositivo for gerenciado por uma conta do Google Play gerenciada (ou seja, inscrito sem a Autenticação via Inscrição do Google).

Algumas ações (por exemplo, alterar as opções do token) podem ser desativadas quando a licença estiver expirada.

Inscrever um dispositivo

Durante a inscrição, o usuário será solicitado a se autenticar com sua conta do Google Workspace. Após uma inscrição bem-sucedida, o dispositivo será associado ao usuário autenticado.

Perfil de trabalho (dispositivos de propriedade pessoal)

Dispositivos de propriedade da empresa

Para procedimentos gerais de provisionamento Android (perfil de trabalho vs. gerenciamento total), consulte as páginas padrão de inscrição do Android neste manual.