摘要
Android 最初在 Android 2.2 中引入行動裝置管理相關支援。此後,企業的需求不斷演進。與 Android 原本的裝置管理員 API 相比,裝置存取更多機密資源越來越廣泛,用途也越來越廣泛。以下列舉一些用途:
- 在混合使用或自攜裝置部署中,區分工作資料和個人資料。
- 透過 Google Play 發布業務應用程式,以及管理資料所需的 Google 帳戶。
- 將裝置鎖定為資訊站,可根據特定應用程式用途量身訂製。
- 透過憑證管理機制,可存取受 PKI 保護的資源。
- 建立個別應用程式和個別設定檔 VPN 的架構,藉此支援遠端企業應用程式,同時保護隱私。
與此同時,企業所要求的信任關係比裝置管理員設計來的支援還更高。使用者授權的任何應用程式都可以啟用裝置管理員,因此這項功能不支援某些企業用途,例如:
- 設定恢復原廠設定保護機制 (FRP) 以確保裝置處於受管理狀態,且可在員工離職時復原。
- 安全重設加密裝置上的裝置密碼。
- 避免裝置管理員移除 (基於安全考量,已在 Nougat 中移除)。
- 管理員定義了密碼鎖定功能,用來鎖定裝置使用者 (基於安全考量,已在 Android 7.0 Nougat 中移除)。
由於 Android 的受管理裝置 (裝置擁有者) 和工作資料夾 (設定檔擁有者) 模式已在 Android 5.0 中推出,因此裝置管理員已被視為舊版管理方法。由於裝置管理員不適合支援現今的企業需求,因此建議客戶和合作夥伴日後採用受管理裝置和工作資料夾模式,來管理他們的裝置。為支援這項轉換作業,並將資源集中投入 Android 現行的管理功能,我們淘汰了在 Android 9.0 版本中為企業使用的裝置管理員,並將於 Android 10.0 版本中移除這些功能。
已淘汰的政策
隨著 Android 9.0 版本,裝置管理員叫用下列政策時,系統會將政策標示為已淘汰,但 API 仍會繼續運作。
USES_POLICY_DISABLE_CAMERA
USES_POLICY_DISABLE_KEYGUARD_FEATURES
USES_POLICY_EXPIRE_PASSWORD
USES_POLICY_LIMIT_PASSWORD
從 Android 10.0 版本開始,如果裝置管理員在目標為 API 級別 29 的應用程式上叫用上述政策,上述政策會擲回 SecurityException
。
隨著 Android 11.0 版本推出,裝置管理員叫用 USES_POLICY_RESET_PASSWORD
時會標示為已淘汰,並停止運作。會在指定 API 級別 24 以上的應用程式上擲回 SecurityException
。
有些應用程式會使用裝置管理員來管理消費者的裝置,例如鎖定遺失的裝置並清除其中資料。仍可以使用下列政策來啟用這項功能:
更新實作方式
如要取代上一節標示為已淘汰的 KeyGuard 和密碼政策,應用程式 (包括管理 Exchange ActiveSync 部署的應用程式) 應使用「螢幕鎖定品質檢查」一文所述的方法。
時程
Android 9.0:裝置管理員會透過更新說明文件,標示為已淘汰的企業用途。現有功能可繼續適用於目標 API 級別 28 的應用程式,但我們不建議使用。在 Android 10.0 發布前,所有合作夥伴和客戶都應遷移至工作資料夾或全代管裝置。
Android 10.0:指定 API 級別 29 的 DPC 將不再提供上述政策。
對 IT 管理員的影響
我們建議合作夥伴和客戶立即做好準備,以因應這項異動。啟用裝置管理服務時,可透過螢幕識別裝置管理員的使用情形 (例如:圖 1):
如果您目前使用裝置管理員管理裝置,目前有以下兩種策略可移轉至 Android 目前的管理 API。如要為裝置註冊管理服務,您需要提供企業行動管理服務 (EMM) 供應商,支援 Android 的工作資料夾 (設定檔擁有者) 或受管理裝置 (裝置擁有者) 模式。客戶應選擇最適合其部署作業的管理模式。在某些情況下,可以同時採用這兩種策略。
如需相容優惠的清單,請按這裡。EMM 軟體供應商可針對他們的產品提供具體指引。
管理個人 (自攜) 裝置
個人裝置支援 Android 的工作資料夾模式。EMM 會部署工作資料夾,以便提供 OS 級別容器,將使用者的工作應用程式與個人應用程式與裝置上的資料區隔開來。機構因此受益於使用 Google Play 管理版部署應用程式,並進一步確保資料不會意外,或刻意與未經授權的應用程式共用。當機構從使用者離開機構時,IT 管理員也可以選擇性地將企業資料從使用者的檔案單獨抹除。
管理公司擁有的裝置
在受管理的裝置模式下部署裝置,即可支援公司擁有的 Android 裝置。受管理裝置是使用 EMM 進行註冊,因此能夠針對 Android 裝置及其資料提供完整的生命週期管理。包括鎖定硬體功能、防範恢復原廠設定和取消註冊;管理遠端清除和重設整個裝置;以及提供個人化應用程式 (包括資訊站或單一應用程式部署支援)。一般而言,使用受管理裝置模式的機構至少要管理三種部署類型之一,但您可以根據需求,在整個機構的機群中混合和比對:
- 僅工作:通常僅指定使用裝置用於各種應用程式的工作站。這個方法不支援個人用途。
- 個人啟用:一般來說,已啟用個人模式的部署作業通常會指定雇主提供裝置,但希望保有裝置個人應用程式的彈性。部署在受管理裝置上的工作資料夾可讓員工同時執行工作應用程式與個人應用程式,而不會破壞公司資料。
- 專用裝置:專用裝置部署作業通常包含受管理的裝置 (有時稱為「公司擁有、單次使用」或「COSU」),可鎖定硬體和應用程式,讓裝置根據員工必須執行的特定工作來調整裝置。
建議您將公司擁有的裝置部署為受管理的裝置,以便管理整個裝置生命週期,包括完整抹除裝置資料和恢復原廠設定保護政策。
客戶遷移指南
自攜裝置:裝置管理員要部署工作資料夾
建議你讓所有個人擁有的裝置使用工作資料夾。從舊版裝置管理員遷移至工作資料夾時,則可以盡量減少干擾。做法有兩種方式:推送個人裝置以安裝工作資料夾,或透過工作資料夾註冊新裝置,做為機群以外的現有裝置註冊。
公司擁有的裝置:由裝置管理員變更為受管理的裝置
建議您將公司擁有的裝置設為全代管裝置。 如要將裝置從裝置管理員遷移至受管理的裝置,必須恢復原廠設定。 由於這樣對使用者的干擾較大,因此我們建議逐步採用,將新裝置註冊為全代管裝置,但現有裝置會保留在裝置管理員中。
遷移作業類型
部分一般遷移策略簡要定義如下:
大規模升級:系統會要求現有使用者的大量升級授權,升級為受管理的裝置或工作資料夾。
階段採用:新使用者和新裝置會在註冊時採用新的管理模式。較舊的裝置管理員裝置會透過自然人力流失,從機群中消失。
常見問題
舊裝置呢?
推出 Android 10.0 後,我們希望所有執行 Android 10.0 的裝置都能支援受管理的裝置或工作資料夾模式。您可以依照先前所述的方式遷移舊裝置,或使用裝置管理員進行管理,直到裝置更換為止。
如果我有使用裝置管理員的非 EMM 應用程式,該怎麼辦?
電子郵件應用程式等應用程式有時會成為裝置管理員,以回應在電子郵件伺服器上強制執行的企業政策。這類應用程式受到 Android 10.0 版本的限制:他們可能會成為裝置管理員,但無法強制執行密碼政策或硬體限制。視用途而定,這些應用程式可能會:
- 自行加載工作資料夾 (成為 DPC)。
- 提示使用者將應用程式設為其他 EMM (如有需要,可透過另一個 DPC 控管)。
- 選擇自行實作 (應用程式內) 密碼限制。
我們建議這些應用程式設有一項機制,可偵測裝置是否由 EMM 管理,並延遲至 EMM 供應商進行管理。這項偵測功能可透過行動裝置設定管理 (MCM) 的權杖交換功能達成。
Android 10.0 推出後會發生什麼事?
已淘汰的行為會停止運作,並會針對搭載 Android 10.0 並指定該 API 級別的應用程式傳回安全性例外狀況。