Provisioning dispositivi - Android
- Dispositivi supportati
- Token di registrazione
- Dispositivi di proprietà personale
- Dispositivi di proprietà aziendale per uso lavorativo e personale
- Dispositivi di proprietà aziendale per uso esclusivamente lavorativo
- Zero-touch
- Autenticazione tramite registrazione Google
Dispositivi supportati
In generale, qualsiasi dispositivo con Android 6 o versioni successive e Google Play Services è compatibile con Cerberus Enterprise.
Per un'esperienza utente migliore, suggeriamo di utilizzare dispositivi che soddisfino i requisiti Android Enterprise Recommended.
Alcune funzionalità sono limitate a versioni specifiche di Android o potrebbero comportarsi in modo diverso tra le varie versioni del sistema operativo. Per ulteriori informazioni su una funzione specifica, consulta la sezione Policy della documentazione.
Cerberus Enterprise supporta sia i dispositivi di proprietà aziendale che quelli personali, e due modalità di gestione: device owner e profile owner.
I dispositivi di proprietà personale possono essere gestiti tramite un profilo di lavoro. Ciò consente una soluzione BYOD mantenendo i dati e le app di lavoro dei dipendenti separati dai dati e dalle app personali, migliorando sia la sicurezza che la privacy. Questa opzione è adatta per i dispositivi già in possesso dei dipendenti che si desidera registrare nella propria organizzazione per uso lavorativo.
I dispositivi di proprietà aziendale possono essere gestiti anche tramite un profilo di lavoro, ma è possibile scegliere anche l'opzione completamente gestita, che consente un controllo più rigoroso sul dispositivo. I dispositivi di proprietà aziendale con profilo di lavoro sono adatti quando si forniscono dispositivi aziendali ai dipendenti per il lavoro, consentendo comunque l'uso personale. I dispositivi completamente gestiti sono più indicati per i dispositivi che devono essere utilizzati esclusivamente per lavoro, o per dispositivi dedicati (COSU, corporate-owned single-use), come i chioschi.
Per ulteriori informazioni sulla configurazione dei dispositivi, consulta la pagina Panoramica sulla configurazione dei dispositivi.
Token di registrazione
Cerberus Enterprise utilizza i token di registrazione per avviare il processo di registrazione (provisioning) dei dispositivi Android. Il token selezionato definisce la policy iniziale applicata ai dispositivi registrati e influenza quali modalità di provisioning sono consentite.
La scheda dei token di registrazione Android è disponibile solo dopo aver completato la configurazione della gestione Android.
Dove trovare i token di registrazione
Nella dashboard, apri Token di registrazione. A seconda della configurazione del tuo account, la pagina può mostrare più schede (Token Android, Registrazione tramite accesso Google, Registrazione manuale Apple e Registrazione automatizzata dei dispositivi Apple).
Se la tua Android Enterprise è supportata da un dominio Google gestito (Google Workspace), la dashboard può anche mostrare una scheda Autenticazione tramite registrazione Google. Per i dettagli su come abilitarla e utilizzarla, consulta Autenticazione tramite registrazione Google.
Elenco token di registrazione (Android)
La scheda dei token Android mostra una tabella con tutti i token. Facendo clic su una riga si aprirà la pagina dei dettagli del token.
Colonne
- ID: identificativo interno del token.
- Stato: Disponibile, Utilizzato (token monouso già utilizzato) o Scaduto.
- Scadenza: data/ora di scadenza, o Mai.
- Policy: la policy assegnata al token (il tooltip dell'interfaccia utente mostra anche l'ID della policy).
- Uso personale: Consentito / Non consentito / Dispositivo dedicato.
- Utilizzi consentiti: Multipli o monouso.
- Utente: utente facoltativo pre-assegnato ai dispositivi registrati con il token.
Azioni
- Ogni riga presenta un'azione di eliminazione (Elimina token di registrazione). L'eliminazione è disabilitata quando la licenza è scaduta.
- La tabella supporta la selezione di più righe: è possibile attivare la modalità di selezione, selezionare più token e procedere all'eliminazione tramite Elimina token selezionati.
- Utilizza l'azione di aggiornamento per ricaricare l'elenco. La tabella è paginata (10/25/50 elementi per pagina).
Crea un nuovo token di registrazione
Nella scheda dei token Android, fai clic su Nuovo token di registrazione per aprire la pagina di creazione del token. Se la licenza è scaduta, il pulsante di creazione è disabilitato.
Opzioni del token
1. Policy
Obbligatorio. La policy viene applicata automaticamente a tutti i dispositivi registrati tramite questo token. Seleziona una delle tue policy Android. Se non hai ancora alcuna policy, creane una per prima cosa.
2. Utente
Facoltativo. Se impostato, i nuovi dispositivi registrati verranno associati automaticamente a questo utente.
3. Uso personale
Determina se l'uso personale è consentito su un dispositivo configurato con questo token di registrazione:
- Consentito: adatto per dispositivi di proprietà personale (profilo di lavoro) e dispositivi aziendali per uso lavorativo e personale.
- Non consentito: adatto per dispositivi aziendali esclusivamente per uso lavorativo (gestione completa).
- Dispositivo dedicato: adatto per dispositivi kiosk/dedicati (il dispositivo non è associato a un singolo utente).
4. Utilizzi consentiti
Seleziona se il token può essere utilizzato più volte (Multipli) o una sola volta (Monouso).
5. Scadenza
Seleziona l'unità di scadenza (Minuti, Ore, Giorni o Mai). Se non è impostata su Mai, inserisci il valore di scadenza. L'intervallo consentito dipende dall'unità selezionata e può arrivare fino a 10.000 giorni.
Opzioni di provisioning (solo tramite codice QR)
Queste opzioni aggiuntive sono incorporate nel codice QR e vengono applicate durante il provisioning dei dispositivi con gestione completa registrati tramite scansione del codice QR. Non si applicano ai profili di lavoro o ai dispositivi registrati tramite URL di registrazione o token.
Configurazione Wi-Fi
Utilizza questa opzione per consentire a un dispositivo di connettersi automaticamente al Wi-Fi durante il provisioning, in modo che possa scaricare e inizializzare l'app di gestione. I campi disponibili includono SSID, SSID nascosto, Sicurezza e (quando necessario) Passphrase.
È inoltre possibile configurare un proxy HTTP (Proxy) e, a seconda della modalità, impostare Host/Porta, URI PAC e Host bypass proxy.
Altre opzioni
Le opzioni aggiuntive includono Locale, Fuso orario e Salta crittografia.
Dettagli del token di registrazione
Quando apri un token, la pagina dei dettagli mostra la configurazione del token e le informazioni sull'utilizzo:
- Stato, Scadenza, Utilizzo, Uso personale e Utilizzi consentiti.
- Token: il valore grezzo del token di registrazione (copiabile).
- URL di registrazione: un URL di registrazione per Google Android Enterprise (copiabile e inviabile via email).
- Codice QR: mostrato sul lato destro della pagina, utilizzato per registrare i dispositivi con gestione completa.
Per le procedure di provisioning passo dopo passo, segui le guide alla registrazione Android: Dispositivi di proprietà personale, Dispositivi aziendali per uso lavorativo e personale, Dispositivi aziendali esclusivamente per uso lavorativo, e Zero-touch.
Dispositivi di proprietà personale
Link al token di registrazione
| Versione Android |
| 6.0+ |
Aggiungi profilo di lavoro dalle "Impostazioni"
| Versione Android |
| 6.0+ |
- Impostazioni -> Servizi e preferenze di Google -> Tutti i servizi -> Configura il tuo profilo di lavoro.
- Impostazioni -> Google -> Configura e ripristina -> Configura il tuo profilo di lavoro.
Queste fasi avviano una procedura guidata di configurazione che scarica Android Device Policy sul dispositivo. Successivamente, all'utente verrà chiesto di scansionare un codice QR o di inserire manualmente un token di registrazione per completare la configurazione del profilo di lavoro.
Scarica Android Device Policy
| Versione Android |
| 6.0+ |
Dispositivi di proprietà aziendale per uso lavorativo e personale
- La maggior parte delle policy relative ad app, dati e altre funzioni di gestione si applica solo al profilo di lavoro.
- I profili personali dei dipendenti rimangono privati. Tuttavia, le aziende possono imporre determinate policy sull'intero dispositivo e sulle modalità di utilizzo personale.
- Le aziende possono utilizzare lo scope di blocco per imporre azioni di conformità sull'intero dispositivo o solo sul suo profilo di lavoro.
- La rimozione dell'iscrizione e i comandi del dispositivo si applicano all'intero dispositivo.
Metodo tramite codice QR
| Versione Android |
| 8.0+ |
Dispositivi di proprietà aziendale per uso esclusivamente lavorativo
Metodo tramite codice QR
| Versione Android |
| 7.0+ |
Metodo tramite identificativo DPC
| Versione Android |
| 5.1+ |
Zero-touch
Gli amministratori IT possono configurare i dispositivi di proprietà aziendale utilizzando il metodo di registrazione zero-touch, descritto in Registrazione zero-touch per amministratori IT. Quando un dispositivo viene acceso per la prima volta, viene forzatamente applicata automaticamente la configurazione definita dall'amministratore IT.
Gli amministratori IT possono preconfigurare i dispositivi acquistati presso rivenditori autorizzati e gestirli tramite la dashboard di Cerberus Enterprise. Per collegare il tuo account Zero-touch, vai alla sezione Zero-touch nella dashboard e segui le istruzioni.
| Versione Android | Profilo di lavoro | Dispositivo completamente gestito | Dispositivo dedicato |
| 8.0+ (Pixel 7.1+) | ✓ | ✓ | ✓ |
Autenticazione tramite registrazione Google
L'autenticazione tramite registrazione Google (chiamata anche Autenticazione Google per la registrazione) consente agli utenti di autenticarsi con il proprio account Google Workspace durante la registrazione del dispositivo Android.
Questa funzione è disponibile solo per le Android Enterprise supportate da un dominio Google gestito (Google Workspace).
Dove trovarlo
Nella dashboard, apri Token di registrazione e seleziona la scheda Autenticazione tramite registrazione Google. La scheda viene mostrata solo quando la gestione Android è configurata e l'integrazione con Google Workspace è disponibile per la tua azienda.
Abilita (o disabilita) l'autenticazione Google
L'autenticazione Google viene abilitata dalla console di amministrazione Google. Dopo aver modificato l'impostazione, torna su Cerberus Enterprise e usa Aggiorna stato per ricaricare la configurazione corrente.
- Accedi alla tua console di amministrazione Google con un account amministratore.
- Apri Dispositivi.
- Vai su Dispositivi mobili e endpoint → Impostazioni → Integrazioni di terze parti.
- Trova l'integrazione Android EMM per Cerberus Enterprise e aprila.
- Fai clic su Gestisci provider EMM.
- Attiva o disattiva Autenticazione tramite registrazione Google per abilitare o disabilitare l'autenticazione Google per la registrazione.
- Fai clic su Salva.
- Torna alla dashboard di Cerberus Enterprise e fai clic su Aggiorna stato nella scheda Autenticazione tramite registrazione Google.
Token di registrazione tramite autenticazione Google
Quando l'autenticazione Google è abilitata, la dashboard mostra un token di registrazione dedicato utilizzato per questa modalità di registrazione. La pagina può mostrare un codice QR, un valore Token di registrazione e un URL di registrazione (copiabile e inviabile via email).
Opzioni principali
- Consenti uso personale: controlla se il token può registrare dispositivi per uso lavorativo e personale (scenari con profilo di lavoro) o solo per uso lavorativo (scenari con gestione completa / dispositivi dedicati).
- Policy predefinita di fallback: la policy applicata quando l'utente che effettua la registrazione non ha una specifica policy predefinita di autenticazione Google assegnata.
Interazione con la policy
L'impostazione della policy Autenticazione durante la configurazione dell'account di lavoro (workAccountSetupConfig.authenticationType) controlla come gli utenti si autenticano durante la configurazione dell'account di lavoro, ma l'impostazione della console di amministrazione Google Autenticazione tramite registrazione Google e il tipo di token di registrazione possono comunque richiedere l'autenticazione.
Per i dispositivi già registrati, questa policy si applica solo se il dispositivo è gestito da un account Google Play gestito (ovvero, registrato senza Autenticazione tramite registrazione Google).
Alcune azioni (ad esempio la modifica delle opzioni del token) possono essere disabilitate quando la licenza è scaduta.
Registrare un dispositivo
Durante la registrazione, all'utente viene richiesto di autenticarsi con il proprio account Google Workspace. Una volta completata la registrazione, il dispositivo viene associato all'utente autenticato.
Profilo di lavoro (dispositivi di proprietà personale)
- Condividi l'URL di registrazione con l'utente. Quando l'utente lo apre sul proprio dispositivo Android, verrà guidato attraverso la configurazione del profilo di lavoro e l'autenticazione Google.
- In alternativa, l'utente può iniziare dalle impostazioni di Android e scegliere il flusso di configurazione del profilo di lavoro, quindi scansionare il codice QR o inserire il token di registrazione quando richiesto.
Dispositivi aziendali
- Metodo tramite codice QR: su un nuovo dispositivo o su uno ripristinato ai dati di fabbrica, tocca lo schermo più volte nello stesso punto finché non appare l'avviso per il codice QR, quindi scansiona il codice QR mostrato nella dashboard.
- Metodo tramite identificativo DPC (quando la scansione del codice QR non è disponibile): segui la procedura guidata di configurazione, connettiti al Wi-Fi e poi, quando ti viene richiesto di accedere, inserisci afw#setup e procedi scansionando il codice QR o inserendo il token di registrazione. Quando richiesto, autenticati con l'account Google Workspace.
Per le procedure di provisioning Android generiche (profilo di lavoro rispetto a gestione completa), consulta le pagine standard sulla registrazione Android in questo manuale.