منسوخ شدن سرپرست دستگاه

خلاصه

اندروید در ابتدا پشتیبانی از مدیریت دستگاه های تلفن همراه را در اندروید 2.2 معرفی کرد. از آن زمان، نیازهای شرکت ها تکامل یافته است. دستگاه‌ها به طور فزاینده‌ای به منابع محرمانه‌تری دسترسی پیدا می‌کنند و در موارد استفاده متنوع‌تری نسبت به API اصلی مدیریت دستگاه Android برای آن طراحی شده‌اند. برخی از این موارد استفاده عبارتند از:

• جداسازی داده های کاری از داده های شخصی در استفاده مختلط یا استقرار BYOD.
• توزیع برنامه های کاربردی تجاری و مدیریت داده های آنها از طریق Google Play و مدیریت حساب های Google مورد نیاز برای این کار.
• قفل کردن دستگاه ها در یک کیوسک برای تطبیق آنها برای کاربردهای خاص.
• مدیریت گواهی برای دسترسی به منابع ایمن PKI.
• ایجاد VPN برای هر برنامه و هر پروفایل برای پشتیبانی از برنامه های سازمانی راه دور و در عین حال محافظت از حریم خصوصی.

به طور همزمان، شرکت‌ها خواستار رابطه اعتماد بالاتری نسبت به آنچه مدیر دستگاه برای پشتیبانی طراحی شده است، کرده‌اند. از آنجا که ادمین دستگاه را می‌توان توسط هر برنامه‌ای که کاربر مجاز می‌داند فعال کرد، از چندین مورد استفاده سازمانی پشتیبانی نمی‌کند، مانند:

• تنظیم حفاظت بازنشانی کارخانه (FRP) برای اطمینان از اینکه دستگاه‌ها مدیریت می‌شوند و زمانی که کارمندان می‌روند قابل بازیابی هستند.
• بازنشانی ایمن رمزهای عبور دستگاه در دستگاه های رمزگذاری شده.
• جلوگیری از حذف سرپرست دستگاه (به دلایل امنیتی در Nougat حذف شد).
• ایجاد رمزهای عبور تعریف شده توسط سرپرست برای قفل کردن کاربر از یک دستگاه (در اندروید 7.0 نوقا به دلایل امنیتی حذف شد).

از زمانی که حالت‌های دستگاه مدیریت شده (مالک دستگاه) و نمایه کاری (مالک نمایه) اندروید در اندروید 5.0 معرفی شد، مدیر دستگاه یک رویکرد مدیریت قدیمی در نظر گرفته شده است. از آنجایی که سرپرست دستگاه برای پشتیبانی از نیازهای سازمانی امروزی مناسب نیست، به مشتریان و شرکا توصیه می‌کنیم از این پس از حالت‌های دستگاه مدیریت‌شده و نمایه کاری برای مدیریت دستگاه‌های خود استفاده کنند. برای پشتیبانی از این انتقال و تمرکز منابع خود بر روی ویژگی‌های مدیریت فعلی Android، مدیریت دستگاه را برای استفاده سازمانی در نسخه Android 9.0 منسوخ کردیم و این عملکردها را در نسخه Android 10.0 حذف خواهیم کرد.

سیاست های منسوخ شده

با انتشار Android 9.0، خط‌مشی‌های زیر در صورت فراخوانی توسط سرپرست دستگاه به‌عنوان منسوخ علامت‌گذاری می‌شوند، اما در غیر این صورت APIها به کار خود ادامه می‌دهند.

• USES_POLICY_DISABLE_CAMERA
• USES_POLICY_DISABLE_KEYGUARD_FEATURES
• USES_POLICY_EXPIRE_PASSWORD
• USES_POLICY_LIMIT_PASSWORD

با شروع انتشار Android 10.0، خط‌مشی‌های فوق‌الذکر در صورت فراخوانی توسط سرپرست دستگاه در برنامه‌هایی که سطح API 29 را هدف قرار می‌دهند، یک SecurityException ایجاد می‌کند.

با انتشار Android 11.0، USES_POLICY_RESET_PASSWORD در صورت فراخوانی توسط سرپرست دستگاه به‌عنوان منسوخ علامت‌گذاری می‌شود و عملکرد آن متوقف می‌شود. این یک SecurityException روی برنامه هایی که سطح API 24 و بالاتر را هدف قرار می دهند، ایجاد می کند.

برخی از برنامه ها از سرپرست دستگاه برای مدیریت دستگاه مصرف کننده استفاده می کنند، به عنوان مثال قفل کردن و پاک کردن دستگاه گم شده. خط‌مشی‌های زیر برای فعال کردن این امر همچنان در دسترس خواهند بود:

• USES_POLICY_WIPE_DATA
• USES_POLICY_FORCE_LOCK

پیاده سازی خود را به روز کنید

برای جایگزینی خط‌مشی‌های محافظ صفحه کلید و گذرواژه که در بخش بالا به‌عنوان منسوخ علامت‌گذاری شده‌اند، برنامه‌ها - از جمله برنامه‌هایی که پیاده‌سازی‌های Exchange ActiveSync را مدیریت می‌کنند - باید از روش توصیف‌شده در بررسی کیفیت قفل صفحه استفاده کنند.

جدول زمانی

Android 9.0 : سرپرست دستگاه برای استفاده سازمانی از طریق به‌روزرسانی اسناد، منسوخ شده علامت‌گذاری شده است. عملکرد موجود برای برنامه هایی که سطح API 28 را هدف قرار می دهند به کار خود ادامه می دهد، اگرچه استفاده از آن ممنوع است. همه شرکا و مشتریان باید قبل از انتشار Android 10.0 به نمایه های کاری یا دستگاه های کاملاً مدیریت شده مهاجرت کنند.

Android 10.0 : خط‌مشی‌های بالا دیگر برای DPCهایی که سطح API 29 را هدف قرار می‌دهند، در دسترس نخواهد بود.

این برای مدیران فناوری اطلاعات به چه معناست

ما به شرکا و مشتریان توصیه می کنیم از هم اکنون برای این تغییر آماده شوند. استفاده از ادمین دستگاه را می توان با یک صفحه شناسایی کرد (به عنوان مثال به شکل 1 مراجعه کنید)، هنگام فعال کردن مدیریت دستگاه شما:

اگر در حال حاضر از سرپرست دستگاه برای مدیریت دستگاه‌های خود استفاده می‌کنید، دو استراتژی برای انتقال به APIهای مدیریت فعلی Android در دسترس است. برای ثبت نام یک دستگاه برای مدیریت، به یک ارائه‌دهنده Enterprise Mobility Management (EMM) نیاز دارید که از حالت نمایه کاری Android (مالک نمایه) یا دستگاه مدیریت شده (مالک دستگاه) پشتیبانی کند. مشتریان باید حالت مدیریتی را انتخاب کنند که به بهترین وجه مناسب استقرار آنها باشد. در برخی موارد، هر دو استراتژی ممکن است به طور همزمان به کار گرفته شوند.

فهرستی از پیشنهادات سازگار در اینجا موجود است. ارائه‌دهنده نرم‌افزار EMM شما می‌تواند راهنمایی‌های خاصی در مورد پیشنهادات محصول خود ارائه دهد.

مدیریت دستگاه های شخصی (خودتان را بیاورید).

دستگاه‌های شخصی با حالت نمایه کاری Android پشتیبانی می‌شوند. یک نمایه کاری توسط یک EMM مستقر می‌شود تا یک محفظه سطح سیستم‌عامل فراهم کند که بین برنامه‌های کاری و شخصی کاربر و داده‌ها در دستگاه‌هایش جداسازی می‌کند. سازمان‌ها از توانایی استقرار برنامه‌ها با استفاده از Google Play مدیریت‌شده همراه با اطمینان بیشتر مبنی بر اینکه داده‌ها به طور تصادفی یا عمدی با برنامه‌های غیرمجاز به اشتراک گذاشته نمی‌شوند، بهره می‌برند. مدیران فناوری اطلاعات همچنین می توانند به طور انتخابی داده های سازمانی را به طور مستقل از پرونده های خود کاربر در صورت خروج از سازمان پاک کنند.

مدیریت دستگاه های متعلق به شرکت

دستگاه‌های Android متعلق به شرکت با استقرار دستگاه‌ها در حالت دستگاه مدیریت شده پشتیبانی می‌شوند. یک دستگاه مدیریت‌شده با استفاده از یک EMM ثبت‌نام می‌شود، که می‌تواند مدیریت چرخه عمر کامل را روی دستگاه Android و داده‌های آن ارائه دهد. این شامل قفل کردن ویژگی های سخت افزاری، محافظت در برابر تنظیم مجدد کارخانه و عدم ثبت نام می شود. پاک کردن از راه دور اداری و بازنشانی کل دستگاه؛ و تطبیق برنامه ها از جمله پشتیبانی از کیوسک یا استقرار یک برنامه کاربردی. به طور کلی، سازمان‌هایی که از حالت دستگاه مدیریت‌شده استفاده می‌کنند، حداقل یکی از سه نوع استقرار را مدیریت می‌کنند، اگرچه می‌توان آن‌ها را در سراسر ناوگان یک سازمان بسته به نیازشان ترکیب و مطابقت داد:

• فقط کار: استقرار فقط کار معمولاً کارگرانی را هدف قرار می دهد که از یک دستگاه برای برنامه های مختلف استفاده می کنند. استفاده شخصی با این روش پشتیبانی نمی‌شود.
• Personally-enabled: استقرارهای شخصی فعال عموماً کارگرانی را هدف قرار می دهند که دستگاهی را توسط کارفرمایشان در اختیار آنها قرار داده است، اما برای استفاده از برنامه های شخصی روی دستگاه نیز انعطاف پذیری می خواهند. استقرار یک نمایه کاری در یک دستگاه مدیریت شده به کارمند اجازه می دهد تا برنامه های کاری را در کنار برنامه های شخصی بدون به خطر انداختن داده های شرکت اجرا کند.
• دستگاه اختصاصی: استقرار دستگاه های اختصاصی عموماً شامل دستگاه های مدیریت شده می شود که گاهی اوقات به آنها «تخصص شرکت، تک استفاده» یا «COSU» گفته می شود، که سخت افزار و برنامه های کاربردی را قفل می کند تا دستگاه را با عملکردهای کاری خاصی که یک کارمند باید انجام دهد، تنظیم کند.

توصیه می‌کنیم دستگاه‌های متعلق به شرکت‌ها به‌عنوان یک دستگاه مدیریت‌شده استفاده شوند، زیرا امکان مدیریت کل چرخه عمر دستگاه از جمله پاک کردن کامل دستگاه و سیاست‌های حفاظتی بازنشانی کارخانه را فراهم می‌کند.

راهنمایی مهاجرت برای مشتریان

BYOD: سرپرست دستگاه برای استقرار یک نمایه کاری

توصیه می‌کنیم از نمایه‌های کاری برای همه دستگاه‌های شخصی استفاده شود. انتقال از سرپرست دستگاه قدیمی به نمایه کاری با کمترین اختلال قابل انجام است. این کار را می‌توان با فشار دادن دستگاه‌های شخصی برای نصب نمایه کاری یا با ثبت نام دستگاه‌های جدید با نمایه کاری به‌عنوان خروج دستگاه‌های موجود از ناوگان مدیریت کرد.

دستگاه های متعلق به شرکت: سرپرست دستگاه به دستگاه مدیریت شده

توصیه می‌کنیم دستگاه‌های متعلق به شرکت به‌عنوان دستگاه‌های کاملاً مدیریت‌شده راه‌اندازی شوند. انتقال دستگاه از سرپرست دستگاه به دستگاه مدیریت شده به بازنشانی کارخانه ای نیاز دارد. از آنجایی که این کار بیشتر برای کاربران مختل است، پیشنهاد می‌کنیم که مرحله به مرحله تصویب شود، که در آن دستگاه‌های جدید به‌عنوان دستگاه‌های کاملاً مدیریت‌شده ثبت‌نام می‌شوند اما دستگاه‌های موجود روی سرپرست دستگاه باقی می‌مانند.

انواع مهاجرت

برخی از استراتژی های مهاجرت به طور خلاصه به شرح زیر تعریف می شوند:

• بیگ بنگ: از جمعیت بزرگی از کاربران فعلی خواسته می شود تا در یک یا چند موج بزرگ ارتقا به یک دستگاه مدیریت شده یا نمایه کاری ارتقا دهند.

• پذیرش مرحله‌ای: کاربران جدید و دستگاه‌های جدید به محض ثبت‌نام، با حالت‌های مدیریتی جدید پیکربندی می‌شوند. دستگاه‌های مدیریت دستگاه قدیمی‌تر از طریق فرسایش طبیعی از ناوگان قدیمی خارج می‌شوند.

سوالات متداول

در مورد دستگاه های قدیمی چطور؟

وقتی Android 10.0 منتشر شد، انتظار داریم همه دستگاه‌هایی که آن را اجرا می‌کنند از حالت‌های دستگاه مدیریت‌شده یا نمایه کاری پشتیبانی کنند. دستگاه‌های قدیمی‌تر را می‌توان همانطور که قبلاً توضیح دادیم منتقل کرد یا با استفاده از سرپرست دستگاه مدیریت کرد تا زمانی که جایگزین شوند.

اگر برنامه‌های غیر EMM ارائه کرده باشم که از سرپرست دستگاه استفاده می‌کنند، چه؟

گاهی اوقات، برنامه‌هایی مانند یک برنامه ایمیل می‌توانند در پاسخ به خط‌مشی‌های سازمانی اعمال‌شده بر روی سرورهای ایمیل، به مدیر دستگاه تبدیل شوند. این برنامه‌ها مشمول محدودیت‌های یکسانی از انتشار Android 10.0 خواهند بود: ممکن است سرپرست دستگاه شوند، اما نمی‌توانند خط‌مشی‌های رمز عبور یا محدودیت‌های سخت‌افزاری را اعمال کنند. بسته به مورد استفاده، این برنامه ها ممکن است:

• خود یک نمایه کاری را باد کنید (DPC شوید).
• از کاربر بخواهید تا برنامه را در EMM دیگری تنظیم کند (در صورت نیاز تحت کنترل DPC دیگری).
• انتخاب کنید تا محدودیت‌های رمز عبور (در برنامه) خودشان را اجرا کنند.

توصیه می‌کنیم این برنامه‌ها مکانیزمی داشته باشند که تشخیص دهد آیا دستگاهی توسط یک EMM مدیریت می‌شود یا خیر و برای مدیریت به ارائه‌دهنده EMM موکول شود. این تشخیص را می توان از طریق تبادل توکن از طریق مدیریت پیکربندی موبایل (MCM) به دست آورد.

با انتشار اندروید 10.0 چه اتفاقی می افتد؟

رفتارهای منسوخ کار نمی کنند و یک استثنا امنیتی برای برنامه هایی که Android 10.0 دارند و آن سطح API را هدف قرار می دهند، برمی گرداند.