מדריך למפתחים

התכונות הארגוניות של Android מספקות לארגונים פלטפורמת ניידות אחידה של Android — שילוב מכשירים, אפליקציות, וניהול. אפליקציות ל-Android תואמות לתכונות של Android לארגונים כברירת מחדל. אבל יש תכונות נוספות שאפשר להשתמש בהן כדי כדי שהאפליקציה תפעל בצורה הטובה ביותר במכשירי Android מנוהלים:

• תאימות פרופיל העבודה – שינוי מכשיר Android כך שהיא תפעל בצורה הטובה ביותר במכשיר מנוהל.
• הגדרות מנוהלות – שינוי את האפליקציה שלך כדי לאפשר לאדמינים ב-IT לציין הגדרות לאפליקציות.
• מכשירים ייעודיים – אופטימיזציה של כדי שאפשר יהיה לפרוס אותו במכשיר Android כקיוסק.
• כניסה יחידה (SSO) – תהליך כניסה פשוט יותר למשתמשים שנכנסים לאפליקציות שונות במכשיר Android המנוהל שלהם.

דרישות מוקדמות

1. יצרתם אפליקציה ל-Android.
2. עכשיו אפשר לשנות את האפליקציה כך שהיא תתאים לארגונים.
3. גרסה מינימלית: הגרסה המומלצת של Android 5.0 Lollipop: Android 6.0 Marshmallow ואילך.

הערה: התכונות של Android לארגונים מובנות ברובן מכשירי Android 5.0; עם זאת, Android 6.0 ואילך מציע תכונות נוספות, במיוחד בהקשר של מכשירים ייעודיים.

פרופילים של עבודה

תוכלו לנהל את הנתונים העסקיים והאפליקציות של המשתמשים באמצעות פרופיל העבודה. פרופיל עבודה הוא פרופיל עסקי מנוהל שמשויך לחשבון המשתמש הראשי במכשיר Android. א' פרופיל העבודה מאפשר בידוד מאובטח של אפליקציות לעבודה ונתונים של אפליקציות לשימוש אישי ונתונים. פרופיל העבודה הזה נמצא במאגר נפרד פרופיל אישי, שבו המשתמש שלך שולט. הפרופילים הנפרדים האלה מאפשרים לארגונים לנהל את הנתונים העסקיים החשובים להם, להשאיר את כל השאר במכשיר של המשתמש בשליטתו. כדי להתעמק בשיטות מומלצות, אפשר לעיין פרופילים של עבודה מותאמת אישית. בהמשך תוכלו למצוא סקירה כללית של השיטות המומלצות האלה.

תכונות מרכזיות בפרופיל העבודה

• פרופיל נפרד ומאובטח
• Google Play לארגונים להפצת אפליקציות
• אפליקציות עבודה נפרדות עם תגים
• יכולות ניהול של פרופיל בלבד שנשלטות על ידי אדמין

הטבות של פרופיל עבודה ב-Android 5.0 ואילך

• הצפנה מלאה של המכשיר
• חבילה אחת של אפליקציה ל-Android (APK) לשני הפרופילים כאשר יש פרופיל אישי ופרופיל עבודה במכשיר
• הבקר של מדיניות המכשיר (DPC) מוגבל לפרופיל העבודה
• ניהול המכשיר באמצעות מחלקה DevicePolicyManager

שיקולים בנוגע לפרופילים של עבודה

• מערכת Android מונעת הפניות לחיפושים ממעבר בין פרופילים, ואדמינים ב-IT יכולים להפעיל או להשבית אפליקציות מערכת.
• נתיב קובץ (Uniform Resource Identifier [URI]) תקף ב- ייתכן שפרופיל אחד לא יהיה תקף בפרופיל אחר.

מניעת כשלים ב-Intent בין פרופילים

קשה לדעת אילו כוונות יכולות לעבור בין פרופילים שונים, אילו מהם חסומים. הדרך היחידה לדעת בוודאות היא באמצעות בדיקה. לפני שהאפליקציה תתחיל פעילות, צריך לוודא הבקשה נפתרת באמצעות התקשרות Intent.resolveActivity()

• אם מוחזר הערך null, הבקשה לא תיפתר.
• אם הוא מחזיר משהו, סימן שהכוונה משתנה, מותר לשלוח את הכוונה.

הערה: הוראות מפורטות לבדיקה זמינות בכתובת מניעה של אובייקטים מסוג Intent שנכשלו.

שיתוף קבצים בין פרופילים

יש מפתחים שמשתמשים במזהי URI לסימון נתיבי קבצים ב-Android. אבל, לפעמים בגלל שיש מערכות קבצים נפרדות כשיש פרופיל עבודה, מומלץ:

שימוש ב: מזהי URI של תוכן	מזהי ה-URI של התוכן מכילים את ההרשאה, הנתיב והמזהה של קובץ ספציפי. אפשר ליצור את זה באמצעות תת-מחלקה FileProvider. מידע נוסף שיתוף והענקת הרשאות גישה ל-URI של התוכן באמצעות כוונה. אפשר להעביר הרשאות רק ברמת הפרופיל באמצעות מנגנוני Intent. אם מעניקים הרשאות גישה לאפליקציה אחרת לקובץ שלך באמצעות Context.grantUriPermission(), מוענק רק עבור לאפליקציה באותו פרופיל.
אל תשתמשו: URI של קובץ	מכילה את הנתיב המוחלט של הקובץ אחסון. מזהה URI של נתיב קובץ תקין בפרופיל אחד לא תקין את השני. אם מצרפים URI של קובץ ל-Intent, handler לא יכול כדי לגשת לקובץ בפרופיל אחר.

השלבים הבאים: לאחר שהאפליקציה תתמוך בחשבונות מנוהלים פרופילים, יש לבדוק אותם בפרופיל עבודה. מידע נוסף זמין בקטע בדיקת האפליקציה.

הטמעת הגדרות מנוהלות

הגדרות מנוהלות הן קבוצת הוראות שאדמינים ב-IT יכולים להשתמש כדי לנהל את המכשירים הניידים של המשתמשים שלהם באופן ספציפי. ההוראות האלה אוניברסליות ופועלים בכל EMM אדמינים להגדיר מרחוק אפליקציות טלפונים.

אם אתם מפתחים אפליקציות לעסק או למגזר הממשלתי, יכול להיות שתצטרכו כדי למלא את הדרישות הספציפיות לענף שלכם. באמצעות לתצורות מנוהלות, מנהל ה-IT יכול לציין מרחוק הגדרות ולאכוף מדיניות על האפליקציות ל-Android של המשתמשים שלהם. עבור דוגמה:

• ניתן להגדיר אם אפליקציה יכולה לסנכרן נתונים דרך רשת סלולרית/3G או רק ב-Wi-Fi
• אישור או חסימה של כתובות URL בדפדפן אינטרנט
• קביעת הגדרות האימייל של האפליקציה
• הפעלה או השבתה של הדפסה
• נהל סימניות

שיטות מומלצות להטמעת הגדרות מנוהלות

הדף הגדרה של הגדרות מנוהלות הוא מקור המידע המרכזי למידע על אופן הבנייה והפריסה הגדרות מנוהלות. אחרי שתעיינו במסמך הזה, תוכלו לקבלת הנחיות נוספות.

בהפעלה הראשונה של האפליקציה

מיד אחרי שמפעילים אפליקציה, אפשר לראות אם היא מנוהלת כבר הוגדרו לאפליקציה הזו ב-onStart() או onResume(). בנוסף, אפשר לבדוק אם מנוהל או לא מנוהל. לדוגמה, אם הפונקציה getApplicationRestrictions() מחזירה:

• קבוצה של הגבלות ספציפיות לאפליקציה – אתם יכול לקבוע את ההגדרות האישיות המנוהלות באופן שקט (בלי צורך קלט של משתמשים).
• חבילה ריקה – האפליקציה פועלת כך הוא לא מנוהל (לדוגמה, איך האפליקציה מתנהגת ).
• חבילה עם צמד מפתח אחד עם הפרמטר KEY_RESTRICTIONS_PENDING מוגדר כ-TRUE – אבל ה-DPC לא מוגדר בצורה נכונה. עליך לחסום את המשתמש הזה באפליקציה שלך ולנהל אל האדמין ב-IT.

האזנה לשינויים בהגדרות המנוהלות

אדמינים ב-IT יכולים לשנות הגדרות מנוהלות כללי המדיניות שהם רוצים לאכוף על המשתמשים שלהם בכל שלב. בגלל מומלץ לוודא שהאפליקציה יכולה לקבל של ההגדרות האישיות המנוהלות שלכם, באופן הבא:

• אחזור הגבלות בזמן ההפעלה – האפליקציה צריכה התקשרות אל getApplicationRestrictions() בonStart() ו-onResume(), בהשוואה להגבלות ישנות כדי לבדוק אם נדרשים שינויים.
• האזנה בזמן ריצה – רישום דינמי ACTION_APPLICATION_RESTRICTIONS_CHANGED ב- פעילויות או שירותים פעילים, לאחר שבדקת אם יש ההגבלות. הכוונה הזו נשלחת רק למאזינים רשום באופן דינמי, ולא למאזינים שהוצהרו באפליקציה .
• ביטול הרישום בזמן שהוא לא פועל – ב-onPause(), עליך לבטל את הרישום לשידור של ACTION_APPLICATION_RESTRICTIONS_CHANGED

מכשירים ייעודיים

מכשירים ייעודיים הם מכשירי קיוסק שמשתמשים בהם למטרה יחידה, כמו תצוגות של שילוט דיגיטלי, "קיוסקים להדפסת" או "קופה".

כשמכשיר Android מוגדר כמכשיר ייעודי, המשתמש רואה אפליקציה שננעלת במסך ללא מסך בית או אפליקציות אחרונות לחצנים כדי לסמן את האפליקציה בתו בריחה (escape). אפשר גם להגדיר הצגת קבוצה של מכשירים ייעודיים כמו קיוסק של ספרייה עם אפליקציה לספרייה קטלוג ודפדפן אינטרנט.

הוראות מופיעות מכשיר ייעודי.

הגדרת כניסה יחידה (SSO) באמצעות הכרטיסיות המותאמות אישית ב-Chrome

בדרך כלל, משתמשים בגרסה הארגונית כוללים כמה אפליקציות במכשיר, מעדיפים להיכנס לחשבון פעם אחת כדי לגשת לכל אפליקציות העבודה שלהם. בדרך כלל, משתמשים נכנסים דרך WebView; עם זאת, יש כמה סיבות לכך שהפעולה הזו לא אידיאלית:

1. לעיתים קרובות משתמשים צריכים להיכנס לחשבון כמה פעמים באמצעות אותה כתובת פרטי הכניסה. בדרך כלל פתרון WebView הוא לא אמיתי תהליך כניסה (SSO).
2. עשויים להיות סיכוני אבטחה, כולל אפליקציות זדוניות בדיקת קובצי cookie או החדרת JavaScript® כדי לגשת פרטי הכניסה. גם מפתחים מהימנים נמצאים בסיכון אם הם מסתמכים ערכות SDK של צד שלישי שעלולות להיות זדוניות.

פתרון לשתי הבעיות הוא אימות משתמשים באמצעות דפדפן כרטיסיות מותאמות אישית, במקום WebView. כך אפשר להבטיח שהאימות:

• מתבצע בהקשר מאובטח (דפדפן המערכת) שבו האפליקציה המארחת לא ניתן לבדוק את התוכן.
• יש לו מצב קובץ Cookie משותף, שמבטיח שהמשתמש צריך להיכנס רק לחשבון פעם אחת.

הדרישות

כרטיסיות מותאמות אישית נתמכות בחזרה לרמת API 15 (Android 4.0.3). כדי להשתמש בכרטיסיות מותאמות אישית נדרש דפדפן נתמך, כמו Chrome. ב-Chrome 45 ואילך התכונה הזו מוטמעת בתור כרטיסיות מותאמות אישית ב-Chrome.

איך מטמיעים SSO עם כרטיסיות מותאמות אישית?

Google פיתחה ספריית לקוח ב-OAuth בקוד פתוח שמשתמשת בה כרטיסיות, שתרמו אותו לקבוצת העבודה של OpenID Connect בסיס OpenID. כדי להגדיר כרטיסיות מותאמות אישית ל-SSO באמצעות לספריית AppAuth. מסמכי תיעוד וקוד לדוגמה ב-GitHub.

בדיקת האפליקציה

אחרי שמפתחים את האפליקציה, צריך לבדוק אותה – גם בפרופיל עבודה וגם של המכשיר המנוהל. ראה הנחיות בהמשך.

שימוש בבקר DPC לבדיקה כדי לבדוק את האפליקציה ל-Android

אנחנו מספקים את אפליקציית DPC לבדיקה כדי לעזור למפתחי Android לבדוק את האפליקציות שלהם בארגון הסביבה. באמצעות 'בדיקת DPC', ניתן להגדיר כללי מדיניות EMM או ערכי הגדרות מנוהלות המכשיר - כאילו שארגון ניהל אותו באמצעות EMM. כדי להתקין את בקר DPC של בדיקת המכשיר: בוחרים אחת מהשיטות הבאות:

• התקנת בקר DPC של בדיקה מ- Google Play
• בנייה מהמקור ב- GitHub.

לקבלת מידע נוסף על אופן ההגדרה של בקר DPC לבדיקה, יש לעיין בהוראות שבהמשך משתמש בקר DPC לבדיקה מדריך.

הקצאת פרופיל עבודה

כדי לבדוק את האפליקציה בפרופיל עבודה, קודם צריך להקצות פרופיל עבודה במכשיר באמצעות כך בודקים את אפליקציית DPC:

1. מתקינים את בקר DPC של בדיקת המכשיר.
2. במרכז האפליקציות של Android, מקישים על סמל האפליקציה הגדרת בקר DPC לבדיקה.
3. פועלים לפי ההוראות המוצגות במסך.
4. כדאי להתקין את האפליקציה במכשיר ולבדוק איך היא פועלת בפרופיל העבודה.

מערכת Android יוצרת פרופיל עבודה ומתקין עותק של בקר DPC לבדיקה בפרופיל העבודה. אתה משתמש ב מופע של בדיקת DPC לבדיקת DPC, לקביעת מדיניות והגדרות מנוהלות בפרופיל העבודה. שפת תרגום מידע נוסף על הגדרת פרופיל עבודה לפיתוח, ניתן לקרוא את המדריך למפתחים פרופילים של עבודה.

הקצאת מכשיר מנוהל

ארגונים משתמשים במכשירים מנוהלים מפני שהם יכולים לאכוף מגוון רחב של פעולות ניהול במכשיר. כדי להקצות מכשיר מנוהל באופן מלא, צריך לפעול לפי השלבים הבאים:

1. מתקינים את בקר DPC של בדיקת המכשיר.
2. מוודאים שאין משתמשים אחרים או פרופיל עבודה במכשיר.
3. מוודאים שאין חשבונות במכשיר.
4. מריצים את הפקודה הבאה של Android Debug Bridge (adb) ב- הטרמינל:

   adb shell dpm set-device-owner com.afwsamples.testdpc/.DeviceAdminReceiver

5. אחרי שמשלימים את ההקצאה לבעלי המכשיר, אפשר לבדוק את האפליקציה במכשיר הזה. שלך צריך לבדוק ספציפית איך הגדרות מנוהלות כוונות פועלות במכשיר הזה.

אפשר גם להשתמש בשיטות אחרות להקצאה – ראו את המדריך למשתמש לבדיקת DPC. כדי לדעת איך בדרך כלל אדמינים רושמים ומקצים הקצאות של מכשירים מבוססי Android, הקצאה מכשירים.

בדיקות 'קצה-לקצה' (end-to-end)

אחרי שמסיימים לבדוק את האפליקציה בסביבות שצוינו למעלה, סביר להניח שתרצו לבדוק את האפליקציה בסביבת הייצור מקצה לקצה הסביבה. התהליך הזה כולל את השלבים שהלקוח צריך לבצע לבצע פריסה של האפליקציה בארגון, כולל:

• הפצת אפליקציות דרך Play
• הגדרה מנוהלת בצד השרת
• שליטה במדיניות הפרופיל בצד השרת

צריך לגשת למסוף EMM כדי להשלים את התהליך מקצה לקצה בדיקה. הדרך הקלה ביותר לקבל גרסה כזו היא לבקש מסוף בדיקה מספק ה-EMM. אחרי שמקבלים גישה, מבצעים את המשימות הבאות:

1. יוצרים גרסת בדיקה של האפליקציה עם ApplicationId חדש.
2. תובעים בעלות על דומיין מנוהל של Google ומקשרים אותו ל-EMM. אם כבר יש לכם דומיין בדיקה שמקושר ל-EMM, ייתכן כדי לבטל את הקישור שלו ולבדוק אותו עם ה-EMM המועדף עליך. צריך לבדוק את EMM לפירוט השלבים הספציפיים לביטול הקישור.
3. לפרסם את האפליקציה בערוץ הפרטי עבור בן המשפחה דומיין Google מנוהל.
4. ניתן להשתמש במסוף ה-EMM ובאפליקציית ה-EMM כדי:
   1. הגדרת מכשירי עבודה.
   2. מפיצים את הבקשה.
   3. הגדרת הגדרות אישיות מנוהלות
   4. הגדרת כללי המדיניות של המכשיר.

התהליך הזה משתנה בהתאם ל-EMM. צריך לבדוק את במסמכי התיעוד של ה-EMM ניתן לקבל פרטים נוספים. מזל טוב! סיימת את השלבים האלה ואימתנו שהאפליקציה שלך מתאימה למשתמשים בגרסה הארגונית.