Auf dieser Seite werden alle Android Enterprise-Funktionen aufgeführt.
Wenn Sie mehr als 500 Geräte verwalten möchten, muss Ihre EMM-Lösung dies unterstützen. alle Standardfunktionen () von mindestens einem Lösungssatz festgelegt, bevor er kommerziell verfügbar gemacht werden kann. EMM-Lösungen, die die die Standardfunktionsprüfung bestehen, sind in der Android-Hilfe für Enterprise Solutions Verzeichnis Standardverwaltungsgruppe.
Für jede Lösungssammlung sind zusätzliche erweiterte Funktionen verfügbar. Diese sind auf jeder Seite des Lösungssatzes aufgeführt: Arbeitsprofil , vollständig verwaltetes Gerät und dediziertes Gerät. EMM-Lösungen, die die Überprüfung der erweiterten Funktionen bestehen, werden in der Unternehmenslösungsverzeichnis als erweiterte Verwaltung.
Schlüssel
| -Standard Funktion | (erweitert) Funktion | optionale Funktion | nicht zutreffend |
1. Gerätebereitstellung
1.1. Bereitstellung von DPC-First-Arbeitsprofilen
Nach dem Herunterladen der Android Device Policy bei Google Play können Nutzer eine Arbeitsprofil.
1.1.1. Der EMM-Anbieter stellt einem IT-Administrator einen QR-Code oder Aktivierungscode zur Verfügung, um diese Bereitstellungsmethode zu unterstützen (siehe Gerät registrieren und bereitstellen).
1.2. Gerätebereitstellung mit DPC-ID
„afw#“ eingeben im Einrichtungsassistenten des Geräts ein vollständig verwaltetes oder zweckbestimmtes Gerät.
1.2.1. Der EMM-Anbieter stellt IT-Administratoren einen QR-Code oder Aktivierungscode für den Support zur Verfügung. (siehe Geräte registrieren und bereitstellen).
1.3. Bereitstellung von NFC-Geräten
Mit NFC-Tags können IT-Administratoren neue oder auf den Werkszustand zurückgesetzte Geräte bereitstellen. gemäß den Implementierungsrichtlinien im EMM API von Google Play in der Entwicklerdokumentation.
1.3.1. EMMs müssen NFC-Forumstyp-2-Tags mit mindestens 888 Byte des Arbeitsspeichers verwenden. Bei der Bereitstellung müssen Bereitstellungsextras verwendet werden, um eine nicht vertrauliche Registrierung zu übergeben wie Server-IDs und Registrierungs-IDs für ein Gerät. Registrierungsdetails sollte keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.3.2. Wir empfehlen die Verwendung von NFC-Tags ab Android 10 aufgrund der Einstellung von NFC Beam (auch bekannt als NFC Bump).
1.4 Gerätebereitstellung per QR-Code
Die Konsole des EMM-Anbieters kann einen QR-Code generieren, den IT-Administratoren scannen können, um ein vollständig verwaltetes oder dediziertes Gerät gemäß den Implementierungsrichtlinien bereitzustellen, die in der Entwicklerdokumentation der Android Management API definiert sind.
1.4.1. Der QR-Code muss die Bereitstellung von Extras verwenden, um nicht vertrauliche Informationen zu übergeben (z. B. Server-IDs, Registrierungs-IDs) für ein Gerät. Die Anmeldedetails dürfen keine vertraulichen Informationen wie Passwörter enthalten oder Zertifikate.
1.5 Zero-Touch-Registrierung
IT-Administratoren können Geräte vorkonfigurieren, die autorisiert und verwalten Sie sie über die EMM-Konsole.
1.5.1. IT-Administratoren können unternehmenseigene Geräte mit der Zero-Touch-Registrierung bereitstellen. Registrierungsmethode, die unter Zero-Touch-Registrierung für IT-Administratoren beschrieben wird.
1.5.2. Wenn ein Gerät zum ersten Mal eingeschaltet wird, werden automatisch die vom IT-Administrator festgelegten Einstellungen angewendet.
1.6 Erweiterte Zero-Touch-Bereitstellung
IT-Administratoren können einen Großteil der Geräteregistrierung mit Zero-Touch automatisieren. Registrierung. In Kombination mit Anmelde-URLs , können IT-Administratoren die Registrierung auf bestimmte Konten oder Domains beschränken, die vom EMM-Anbieter angebotenen Konfigurationsoptionen.
1.6.1. IT-Administratoren können unternehmenseigene Geräte mithilfe der Zero-Touch-Registrierung Registrierungsmethode.
1.6.2. Diese Anforderung wurde eingestellt.
1.6.3. Mithilfe der Anmelde-URL muss der EMM-Anbieter dafür sorgen, dass nicht autorisierte Nutzer die Aktivierung nicht durchführen können. Die Aktivierung muss mindestens auf die Nutzer des jeweiligen Unternehmens beschränkt sein.
1.6.4. Anmelde-URL verwenden , muss der EMM es ermöglichen, IT-Administratoren, die Registrierungsdetails vorausfüllen (z. B. Server-IDs, Registrierungs-IDs) abgesehen von Informationen zu einzelnen Nutzern oder Geräten (z. B. Nutzername/Passwort, Aktivierungstoken), damit Nutzer keine Details eingeben müssen. wenn ein Gerät aktiviert wird.
- EMM-Anbieter dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate finden Sie in der Konfiguration der Zero-Touch-Registrierung.
1.7 Arbeitsprofil für Google-Konten bereitstellen
Diese Funktionsanleitungen für Unternehmen, die eine verwaltete Google-Domain verwenden, Nutzer nach Eingabe ihres Unternehmens über die Einrichtung eines Arbeitsprofils Workspace-Anmeldedaten bei der Geräteeinrichtung oder auf einem bereits vorhandenen Gerät aktiviert. In beiden Fällen wird die Workspace-Identität des Unternehmens Arbeitsprofil.
1.8 Gerätebereitstellung für Google-Konto
Die Android Management API unterstützt diese Funktion nicht.
1.9 Direkte Zero-Touch-Konfiguration
IT-Administratoren können in der EMM-Konsole Zero-Touch-Geräte mithilfe der Zero-Touch-iFrame .
1:10. Arbeitsprofile auf unternehmenseigenen Geräten
EMMs können unternehmenseigene Geräte mit einem Arbeitsprofil registrieren, indem sie AllowPersonalUsage festlegen.
1.10.1. Absichtlich leer
1.10.2. IT-Administratoren können Compliance-Aktionen für Arbeitsprofile im Unternehmen festlegen PersonalUsagePolicies von Geräten
1.10.3. IT-Administratoren können die Kamera entweder im Arbeitsprofil oder im für das gesamte Gerät über PersonalUsagePolicies.
1.10.4. IT-Administratoren können die Bildschirmaufnahme im Arbeitsprofil oder in einem für das gesamte Gerät über PersonalUsagePolicies.
1.10.5. IT-Administratoren können eine Zulassungs- oder Sperrliste für Anwendungen festlegen, kann nicht über PersonalApplicationPolicy im privaten Profil installiert werden.
1.10.6. IT-Administratoren können die Verwaltung eines unternehmenseigenen Geräts Arbeitsprofil entfernen oder das gesamte Gerät auf Werkseinstellungen zurücksetzen.
1:11 Bereitstellung dedizierter Geräte
EMM-Anbieter können dedizierte Geräte registrieren, ohne dass der Nutzer dazu aufgefordert wird. sich mit einem Google-Konto zu authentifizieren.
2. Gerätesicherheit
2.1. Sicherheitsherausforderung des Geräts
IT-Administratoren können die Identitätsbestätigung für Geräte (PIN/Muster/Passwort) festlegen und erzwingen auf verwalteten Geräten aus einer Auswahl von drei Komplexitätsstufen.
2.1.1. Richtlinie muss Einstellungen zur Verwaltung von Identitätsbestätigungen für die Gerätesicherheit erzwingen (parentProfilePasswordrequirements für das Arbeitsprofil, passwordrequirements für vollständig verwalteten und zweckbestimmten Geräten).
2.1.2. Die Passwortkomplexität sollte dem folgenden Passwort entsprechen Komplexität:
- PASSWORD_COMPLEXITY_LOW – Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen
- PASSWORD_COMPLEXITY_MEDIUM – PIN ohne Wiederholung (4444) oder bestellt (1234, 4321, 2468) Sequenzen, alphabetische oder alphanumerische Passwörter mit einem Länge von mindestens 4
- PASSWORD_COMPLEXITY_HIGH – PIN ohne Wiederholung (4444) oder bestellt (1234, 4321, 2468) Sequenzen mit einer Länge von mindestens acht Sequenzen oder alphanumerische Passwörter mit einer Länge von mindestens 6
2.1.3. Zusätzliche Passworteinschränkungen können auch als alte Einstellungen erzwungen werden. auf unternehmenseigenen Geräten.
2.2. Herausforderung für die Sicherheit bei der Arbeit
IT-Administratoren können Sicherheitsherausforderungen für Apps und Daten bei der Arbeit festlegen und erzwingen Profil, das separat ist und andere Anforderungen als die Gerätesicherheit hat Herausforderung (2.1).
2.2.1. Richtlinie muss die Sicherheitsherausforderung für das Arbeitsprofil erzwingen.
- Standardmäßig sollten IT-Administratoren Einschränkungen nur für das Arbeitsprofil festlegen Wenn kein Bereich angegeben ist
- IT-Administratoren können dies für das gesamte Gerät festlegen, indem sie den Bereich angeben (siehe Anforderung 2.1)
2.2.2. Die Passwortkomplexität sollte den folgenden vordefinierten Passwortkomplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW – Muster oder PIN mit Wiederholung (4444) oder geordneten Sequenzen (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – PIN ohne Wiederholung (4444) oder bestellt (1234, 4321, 2468) Sequenzen, alphabetische oder alphanumerische Passwörter mit einem Länge von mindestens 4
- PASSWORD_COMPLEXITY_HIGH – PIN ohne Wiederholung (4444) oder bestellt (1234, 4321, 2468) Sequenzen mit einer Länge von mindestens acht Sequenzen oder alphanumerische Passwörter mit einer Länge von mindestens 6
2.2.3. Zusätzliche Passworteinschränkungen können auch als alte Einstellungen erzwungen werden.
2.3. Erweiterte Sicherheitscodeverwaltung
IT-Administratoren können erweiterte Passworteinstellungen auf Geräten einrichten.
2.3.1. Absichtlich leer
2.3.2. Absichtlich leer
2.3.3. Die folgenden Einstellungen für den Passwortlebenszyklus können für jeden Sperrbildschirm auf einem Gerät:
- Absichtlich leer
- Absichtlich leer
- Maximale Anzahl fehlgeschlagener Passwörter beim Löschen der Gerätedaten: Gibt an, wie oft Nutzer ein falsches Passwort eingeben, bevor Unternehmensdaten . IT-Administratoren müssen diese Funktion deaktivieren können.
2.3.4. (Android 8.0 und höher) Zeitüberschreitung für die erforderliche starke Authentifizierung: Nach einer vom IT-Administrator festgelegten Zeitüberschreitung muss ein starker Authentifizierungscode (z. B. eine PIN oder ein Passwort) eingegeben werden. Nach dem Zeitlimit Authentifizierungsmethoden wie der Entsperrung per Fingerabdruck oder Gesichtserkennung deaktiviert werden, bis Das Gerät wird mit einem starken Authentifizierungs-Sicherheitscode entsperrt.
2.4 Smart Lock-Verwaltung
IT-Administratoren können festlegen, ob Trust Agenten in Smart Lock von Android sind können die Entsperrung des Geräts um bis zu vier Stunden verlängert werden.
2.4.1. IT-Administratoren können die Funktion deaktivieren Trust Agents auf dem Gerät.
2.5 Löschen und sperren
IT-Administratoren können über die EMM-Konsole Unternehmensdaten aus der Ferne sperren und löschen verwaltete Geräte.
2.5.1. Geräte müssen über die Android Management API gesperrt werden .
2.5.2. Daten auf Geräten müssen mit der Android Management API gelöscht werden .
2.6 Compliance erzwingen
Wenn ein Gerät nicht den Sicherheitsrichtlinien entspricht, Compliance-Regeln die über die Android Management API eingerichtet wurden, Daten.
2.6.1. Die auf einem Gerät erzwungenen Sicherheitsrichtlinien müssen mindestens Folgendes enthalten: Passwortrichtlinie.
2.7 Standardsicherheitsrichtlinien
EMMs müssen die angegebenen Sicherheitsrichtlinien standardmäßig auf Geräten erzwingen. ohne dass IT-Administratoren Einstellungen im EMM-Dienst einrichten oder anpassen müssen. . EMM-Anbietern wird empfohlen (aber nicht erforderlich), es IT-Administratoren nicht zu erlauben, Änderungen vorzunehmen. für diese Sicherheitsfunktionen.
2.7.1. Die Installation von Apps aus unbekannten Quellen muss blockiert werden, einschließlich Apps die auf der privaten Seite jedes Geräts mit Android 8.0 oder höher mit einem Arbeitsprofil installiert sind. Diese Unterfunktion wird standardmäßig unterstützt.
2.7.2. Funktionen zur Fehlerbehebung müssen blockiert werden. Diese Unterfunktion wird standardmäßig unterstützt.
2.8 Sicherheitsrichtlinien für zweckbestimmte Geräte
Für ein gesperrtes zweckbestimmtes Gerät sind keine anderen Aktionen zulässig.
2.8.1. Das Starten im abgesicherten Modus muss standardmäßig mithilfe von policy deaktiviert werden
(Rufen Sie safeBootDisabled auf.)
2.9 Play Integrity-Support
Play Integrity-Prüfungen werden standardmäßig durchgeführt. Es ist keine zusätzliche Implementierung erforderlich.
2.9.1. Absichtlich leer
2.9.2. Absichtlich leer
2.9.3. IT-Administratoren können je nach Wert der Funktion SecurityRisk des Geräts u. a. die Bereitstellung blockieren, Unternehmensdaten löschen und um fortzufahren.
- Der EMM-Dienst erzwingt diese Richtlinienantwort für das Ergebnis von Integritätsprüfung durchgeführt.
2.9.4. Bewusst leer.
2:10. Erzwingung von "Apps überprüfen"
IT-Administratoren können Apps überprüfen auf Geräten aktivieren. Bei der Einstellung „Apps überprüfen“ werden auf Android-Geräten installierte Apps auf schädliche Inhalte geprüft der Software vor und nach der Installation. So wird sichergestellt, Apps dürfen Unternehmensdaten nicht gefährden.
2.10.1. Die Überprüfung von Apps muss standardmäßig mithilfe von policy aktiviert sein
(Rufen Sie ensureVerifyAppsEnabled auf.)
2:11 Direct Boot-Unterstützung
Die Android Management API unterstützt diese Funktion standardmäßig. Es ist keine zusätzliche Implementierung erforderlich.
2.12. Hardwaresicherheitsverwaltung
IT-Administratoren können Hardwareelemente eines unternehmenseigenen Geräts sperren, um Datenverluste zu verhindern.
2.12.1. IT-Administratoren können Nutzer daran hindern, physische externe Medien mit
policy (siehe
mountPhysicalMediaDisabled.
2.12.2. IT-Administratoren können verhindern, dass Nutzer Daten von ihrem Gerät per NFC teilen.
Mit policy beamen
(Rufen Sie outgoingBeamDisabled auf.) Dieses Unterfeature ist optional, da NFC-Beam
wird unter Android 10 und höher nicht mehr unterstützt.
2.12.3. IT-Administratoren können die Übertragung von Dateien über USB mithilfe einer Richtlinie blockieren (siehe usbFileTransferDisabled).
2:13 Logging für Enterprise Security
Die Android Management API unterstützt diese Funktion nicht.
3. Konto- und App-Verwaltung
3.1. Unternehmensbindung
IT-Administratoren können EMM an ihre Organisation binden, damit der EMM-Anbieter Managed Google Play, um Apps auf Geräten bereitzustellen.
3.1.1. Ein Administrator mit einer vorhandenen verwalteten Google-Domain kann seine Domain an den EMM binden.
3.1.2. Absichtlich leer
3.1.3. Absichtlich leer
3.1.4. In der EMM-Konsole muss der Administrator seine geschäftliche E-Mail-Adresse im Android-Registrierungsvorgang und rät ihnen davon ab, ein Gmail-Konto zu verwenden.
3.1.5. Die EMM-Konsole füllt die E-Mail-Adresse des Administrators im Android-Registrierungsprozess vorab aus.
3.2. Bereitstellung von Managed Google Play-Konten
Der EMM kann Unternehmensnutzerkonten, sogenannte verwaltete Google-Konten, automatisch bereitstellen. Google Play-Konten. Diese Konten identifizieren verwaltete Nutzer und ermöglichen eindeutige Regeln für die App-Bereitstellung.
3.2.1. Managed Google Play-Konten (Nutzerkonten) werden automatisch erstellt wenn Geräte bereitgestellt werden.
Die Android Management API unterstützt diese Funktion standardmäßig. Es ist keine zusätzliche Implementierung erforderlich.
3.3 Bereitstellung von Gerätekonten für Managed Google Play
Der EMM-Anbieter kann Managed Google Play-Gerätekonten erstellen und bereitstellen. Gerätekonten unterstützen die Installation von Apps aus dem Managed Play Store im Hintergrund und sind nicht an einen einzelnen Nutzer gebunden. Stattdessen wird ein Gerätekonto verwendet, Ein einzelnes Gerät, um Regeln für die App-Bereitstellung pro Gerät auf einem zweckbestimmten Gerät zu unterstützen Szenarien durchführen.
3.3.1. Managed Google Play-Konten werden automatisch erstellt, wenn Geräte bereitgestellt.
Die Android Management API unterstützt diese Funktion standardmäßig. Keine zusätzlichen Kosten Implementierung erforderlich.
3.4. Bereitstellung von Managed Google Play-Konten für ältere Geräte
Diese Funktion wurde eingestellt.
3.5 App-Bereitstellung im Hintergrund
IT-Administratoren können geschäftliche Apps automatisch auf Geräten verteilen, ohne dass Interaktion.
3.5.1. Die EMM-Konsole muss die Android Management API verwenden. , damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten installieren können.
3.5.2. Die Konsole des EMM-Anbieters muss die Android Management API verwenden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten aktualisieren können.
3.5.3. Die Konsole des EMM-Anbieters muss die Android Management API verwenden, damit IT-Administratoren Apps auf verwalteten Geräten deinstallieren können.
3.6 Verwaltete Konfigurationsverwaltung
IT-Administratoren können verwaltete Konfigurationen für jede App ansehen und im Hintergrund festlegen, die verwaltete Konfiguration unterstützt.
3.6.1. Die EMM-Konsole muss Daten abrufen können. und die Einstellungen für die verwaltete Konfiguration einer beliebigen Play-App aufrufen.
3.6.2. Über die EMM-Konsole müssen IT-Administratoren die Möglichkeit haben, für jede Play-App mithilfe der Android Management API jeden Konfigurationstyp (wie vom Android Enterprise-Framework definiert) festzulegen.
3.6.3. Die Konsole der EMM-Lösung muss es IT-Administratoren ermöglichen, Platzhalter wie $username$ oder %emailAddress% festzulegen, damit eine einzelne Konfiguration für eine App wie Gmail auf mehrere Nutzer angewendet werden kann.
3.7 App-Katalogverwaltung
Die Android Management API unterstützt diese Funktion standardmäßig. Nein ist eine zusätzliche Implementierung erforderlich.
3.8 Programmatische App-Genehmigung
In der EMM-Konsole wird der iFrame von Managed Google Play zur Unterstützung des Funktionen zum Auffinden und Genehmigen von Apps. IT-Administratoren können nach Apps suchen, Apps genehmigen und neue App-Berechtigungen genehmigen, ohne die EMM-Konsole zu verlassen.
3.8.1. IT-Administratoren können in der EMM-Konsole nach Apps suchen und sie genehmigen über den iFrame von Managed Google Play.
3.9. Einfache Verwaltung des Ladenlayouts
Mit der Managed Google Play Store App können geschäftliche Apps installiert und aktualisiert werden. Standardmäßig werden im Managed Google Play Store Apps angezeigt, die für einen Nutzer in in einer einzigen Liste. Dieses Layout wird als einfaches Store-Layout bezeichnet.
3.9.1. Über die Konsole der EMM-Lösung sollten IT-Administratoren die Apps verwalten können, die im einfachen Store-Layout eines Endnutzers angezeigt werden.
3.10. Erweiterte Konfiguration des Store-Layouts
3.10.1. IT-Administratoren können das Layout des Geschäfts anpassen. in der Managed Google Play Store App angezeigt.
3:11 App-Lizenzverwaltung
Diese Funktion wurde eingestellt.
3.12. Von Google gehostete private Apps verwalten
IT-Administratoren können von Google gehostete interne Apps über die EMM-Konsole statt über die Google Play Console aktualisieren.
3.12.1. IT-Administratoren können neue Versionen von Apps hochladen, die bereits veröffentlicht wurden. Daten privat im Unternehmen bereitstellen:
3:13. Selbst gehostete private Apps verwalten
IT-Administratoren können selbst gehostete private Apps einrichten und veröffentlichen. „Mag ich“-Bewertung entfernen von Google gehostete private Apps, werden die APKs nicht von Google Play gehostet. Stattdessen Mit EMM können IT-Administratoren APKs selbst hosten und selbst gehostete APKs schützen. Apps, indem sichergestellt wird, dass sie nur mit Autorisierung durch den verwalteten Google-Dienst installiert werden können. Spielen.
3.13.1. Die Konsole des EMM-Anbieters muss IT-Administratoren beim Hosten des App-APK unterstützen und mindestens eine der folgenden Optionen bieten:
- Hosting des APK auf dem EMM-Server Bei dem Server kann es sich um einen cloudbasiert sein.
- Hosting des APK außerhalb des EMM-Servers nach Ermessen des Unternehmen. Der IT-Administrator muss in der EMM-Konsole angeben, wo APK wird gehostet.
3.13.2. Die EMM-Konsole muss eine geeignete APK-Definition generieren Datei mit dem angegebenen APK und IT-Administratoren durch den Veröffentlichungsprozess leiten müssen.
3.13.3. IT-Administratoren können selbst gehostete private Apps und die EMM-Konsole aktualisieren. können aktualisierte APK-Definitionsdateien mithilfe der Funktion Google Play Developer Publishing API .
3.13.4. Der EMM-Server stellt Downloadanfragen für das selbst gehostete APK bereit. die ein gültiges JWT im Cookie der Anfrage enthält, wie vom den öffentlichen Schlüssel der privaten App.
- Um diesen Prozess zu vereinfachen, muss der Server des EMM IT-Administratoren anleiten, den öffentlichen Lizenzschlüssel der selbst gehosteten App aus der Google Play Play Console und laden Sie diesen Schlüssel in die EMM-Konsole hoch.
3:14. EMM-Pull-Benachrichtigungen
Diese Funktion ist nicht für die Android Management API verfügbar. Einrichtung Pub/Sub-Benachrichtigungen.
3:15. Anforderungen an die API-Nutzung
Der EMM implementiert Android Management APIs in großem Umfang und vermeidet so Traffic. Muster zu erkennen, die sich negativ auf die die Möglichkeit, Apps in Produktionsumgebungen.
3.15.1. Der EMM-Anbieter muss die Nutzungslimits der Android Management API einhalten. Wenn Verhaltensweisen, die diese Richtlinien nicht überschreiten, nicht korrigiert werden, kann das nach dem Ermessen von Google zur Aussetzung der API-Nutzung führen.
3.15.2. Der EMM-Anbieter sollte Traffic von verschiedenen Unternehmen Anstatt den Unternehmensdatenverkehr auf bestimmten oder ähnlichen Mal. Verhalten, das diesem Traffic-Muster entspricht, z. B. geplante Batches Vorgänge für jedes registrierte Gerät können zur Unterbrechung der API-Nutzung führen, im Ermessen von Google.
3.15.3. Die EMM darf keine fortlaufenden, unvollständigen oder absichtlich falschen Anfragen stellen, bei denen nicht versucht wird, tatsächliche Unternehmensdaten abzurufen oder zu verwalten. Ein Verhalten, das diesem Traffic-Muster entspricht, kann zu einer Unterbrechung der API-Nutzung führen. im Ermessen von Google.
3:16. Erweiterte verwaltete Konfigurationsverwaltung
EMM unterstützt die folgende erweiterte verwaltete Konfigurationsverwaltung Funktionen:
3.16.1. Die EMM-Konsole muss die bis zu vier Ebenen verschachtelter verwalteter Konfigurationseinstellungen einer beliebigen Play-App, wobei Folgendes verwendet wird:
- Der iFrame von Managed Google Play oder
- eine benutzerdefinierte Benutzeroberfläche.
3.16.2. Die EMM-Konsole muss Feedback abrufen und anzeigen können können. vom Feedbackkanal einer App zurückgegeben , bei der Einrichtung durch einen IT-Administrator.
- Die EMM-Konsole muss es IT-Administratoren ermöglichen, ein bestimmtes Feedbackelement mit dem Gerät und der App zu verknüpfen, von dem bzw. der es stammt.
- Die EMM-Konsole muss es IT-Administratoren ermöglichen, Benachrichtigungen oder Berichte zu bestimmte Arten von Meldungen (z. B. Fehlermeldungen)
3.16.3. Die Konsole der EMM darf nur Werte senden, die entweder einen Standardwert haben oder vom Administrator manuell festgelegt werden. Verwenden Sie dazu:
- Der iFrame für verwaltete Konfigurationen oder
- Eine benutzerdefinierte UI.
3:17. Web-App-Verwaltung
IT-Administratoren können in der EMM-Konsole Web-Apps erstellen und bereitstellen.
3.17.1. Über die EMM-Konsole können IT-Administratoren Verknüpfungen für Web-Apps verteilen mit:
- den iFrame von Managed Google Play
- oder die Android Management API .
3:18. Verwaltung des Lebenszyklus von Managed Google Play-Konten
Der EMM-Anbieter kann Managed Google Play-Konten auf im Auftrag von IT-Administratoren und automatische Wiederherstellung nach Ablauf des Kontos.
Diese Funktion wird standardmäßig unterstützt. Keine zusätzliche EMM-Implementierung erforderlich.
3:19. Verwaltung von App-Tracks
3.19.1. IT-Administratoren können eine Liste mit Track-IDs abrufen, die von einem Entwickler für eine bestimmte App festgelegt wurden.
3.19.2. IT-Administratoren können festlegen, dass auf Geräten ein bestimmter Entwicklungs-Track für eine Anwendung verwendet wird.
3:20. Erweiterte Verwaltung von App-Updates
IT-Administratoren können zulassen, dass Apps sofort aktualisiert werden, oder die Nutzung verschieben. für 90 Tage aktualisiert.
3.20.1. IT-Administratoren können zulassen, dass Apps mit hoher Priorität aktualisiert werden, sobald ein Update verfügbar ist. 3.20.2. IT-Administratoren können zulassen, dass App-Updates um 90 Tage verschoben werden.
3:21. Verwaltung der Bereitstellungsmethoden
Der EMM kann Bereitstellungskonfigurationen generieren und der IT-Abteilung präsentieren Admin in einem Formular zur Weitergabe an Endnutzer (z. B. QR-Code, Zero-Touch-Konfiguration, Play Store-URL).
4. Geräteverwaltung
4.1. Verwaltung von Richtlinien für Laufzeitberechtigungen
IT-Administratoren können eine Standardantwort auf Laufzeitberechtigungsanfragen von Arbeits-Apps festlegen.
4.1.1. IT-Administratoren müssen bei der Einstellung eine der folgenden Optionen auswählen können eine Standardrichtlinie für Laufzeitberechtigungen für ihre Organisation:
- Aufforderung (Auswahlmöglichkeit für Nutzer)
- allow
- deny
Der EMM sollte diese Einstellungen mithilfe von policy erzwingen. .
4.2. Verwaltung des Status der Laufzeitberechtigung
Nachdem Sie eine Standardrichtlinie für Laufzeitberechtigungen festgelegt haben (siehe Version 4.1), IT-Administratoren können Sie können von jeder auf API basierenden geschäftlichen App aus Antworten für bestimmte Berechtigungen festlegen. 23 oder höher.
4.2.1. IT-Administratoren müssen den Status der Erteilung festlegen können (Standard, gewähren oder ablehnen). über alle Berechtigungen, die von geschäftlichen Apps mit API 23 oder höher angefordert werden. EMM sollten diese Einstellungen mithilfe von policy erzwungen werden.
4.3. WLAN-Konfigurationsverwaltung
IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf verwalteten Geräten im Hintergrund bereitstellen. Geräte, darunter:
4.3.1. SSID, mithilfe von policy
4.3.2. Passwort unter policy.
4.4. WLAN-Sicherheitsverwaltung
IT-Administratoren können WLAN-Konfigurationen für Unternehmen auf Geräten bereitstellen, die die folgenden erweiterten Sicherheitsfunktionen bieten:
4.4.1. Identität
4.4.2. Zertifikate für die Clientautorisierung
4.4.3. CA-Zertifikate
4.5. Erweiterte WLAN-Verwaltung
IT-Administratoren können WLAN-Konfigurationen auf verwalteten Geräten sperren, Nutzer daran hindern, Konfigurationen zu erstellen oder Unternehmenskonfigurationen zu ändern.
4.5.1. IT-Administratoren können WLAN-Konfigurationen in Unternehmen mit folgenden Tools sperren: policy in entweder der folgenden Konfigurationen:
- Nutzer können keine vom EMM bereitgestellten WLAN-Konfigurationen ändern (siehe
wifiConfigsLockdownEnabled), aber eigene, vom Nutzer konfigurierbare Netzwerke hinzufügen und ändern können (z. B. persönlichen Netzwerken). - Nutzer können auf dem Gerät keine WLANs hinzufügen oder ändern
(
wifiConfigDisabledaufrufen), wobei die WLAN-Verbindung auf nur diese begrenzt wird Netzwerke, die vom EMM bereitgestellt werden.
4.6. Kontoverwaltung
IT-Administratoren können dafür sorgen, dass nur autorisierte Unternehmenskonten Unternehmensdaten, für Dienste wie SaaS-Speicher und Produktivitäts-Apps oder E-Mail. Ohne diese Funktion können Nutzer diesen Konten Unternehmens-Apps, die auch Privatnutzerkonten unterstützen, sodass diese mit diesen privaten Konten verknüpfen.
4.6.1. IT-Administratoren können verhindern, dass Nutzer
Konten
(siehe modifyAccountsDisabled).
- Wenn diese Richtlinie auf einem Gerät erzwungen wird, müssen EMMs diese Einschränkung festlegen bevor die Bereitstellung abgeschlossen ist, damit Nutzer diesen Fehler nicht umgehen können. indem Sie Konten hinzufügen, bevor die Richtlinie in Kraft tritt.
4.7. Workspace-Kontoverwaltung
Diese Funktion wird von der Android Management API nicht unterstützt.
4.8. Zertifikatsverwaltung
Ermöglicht es IT-Administratoren, Identitätszertifikate und Zertifizierungsstellen auf Geräten bereitzustellen, um die Nutzung von Unternehmensressourcen zu ermöglichen.
4.8.1. IT-Administratoren können Zertifikate für die Nutzeridentität installieren. die durch ihre PKI auf Nutzerbasis generiert werden. Die EMM-Konsole muss mit mindestens einer PKI zu verwalten und Zertifikate zu verteilen, die daraus generiert wurden. und Infrastruktur.
4.8.2. IT-Administratoren können Zertifizierungsstellen installieren.
(siehe caCerts) im verwalteten Schlüsselspeicher. Diese Unterfunktion wird jedoch nicht unterstützt
.
4.9. Erweiterte Zertifikatsverwaltung
Ermöglicht es IT-Administratoren, die Zertifikate, die von bestimmten verwalteten Apps verwendet werden sollen, automatisch auszuwählen. Mit dieser Funktion haben IT-Administratoren auch die Möglichkeit, Zertifizierungsstellen und Identitätszertifikate von aktiven Geräten und verhindern, dass Nutzer Änderungen vornehmen Anmeldedaten, die im verwalteten Schlüsselspeicher gespeichert sind.
4.9.1. Für jede App, die auf Geräten bereitgestellt wird, können IT-Administratoren ein Zertifikat angeben, über das der App während der Laufzeit automatisch Zugriff gewährt wird. (Diese Unterfunktion wird nicht unterstützt)
- Die Zertifikatsauswahl muss so generisch sein, dass ein einzelnes Konfiguration, die für alle Nutzer gilt. Jeder Nutzer kann über ein nutzerspezifisches Identitätszertifikat.
4.9.2. IT-Administratoren können Zertifikate automatisch entfernen, aus dem verwalteten Schlüsselspeicher.
4.9.3. IT-Administratoren können ein CA-Zertifikat ohne Meldung deinstallieren. (Diese Unterfunktion ist nicht unterstützt)
4.9.4. IT-Administratoren können verhindern, dass Nutzer Anmeldedaten konfigurieren.
(gehen Sie zu credentialsConfigDisabled) im verwalteten Schlüsselspeicher.
4.9.5. IT-Administratoren können mit ChoosePrivateKeyRule Zertifikate für geschäftliche Apps vorab gewähren.
4:10. Delegierte Zertifikatverwaltung
IT-Administratoren können eine Drittanbieter-App zur Zertifikatsverwaltung auf Geräten bereitstellen und der App privilegierten Zugriff zur Installation von Zertifikaten im verwalteten Schlüsselspeicher gewähren.
4.10.1. IT-Administratoren können ein Paketverwaltungspaket angeben.
(zu delegatedCertInstallerPackage gehen), um als delegiertes Zertifikat festgelegt zu werden
Management-App.
- Die EMM-Anbieter können optional bekannte Zertifikatsverwaltungspakete vorschlagen, Er muss jedoch zulassen, dass der IT-Administrator aus der Liste der verfügbaren Apps die richtigen Nutzer installieren.
4:11. Erweiterte VPN-Verwaltung
IT-Administratoren können ein durchgehend aktives VPN festlegen, damit die Daten aus wird das VPN immer eingerichtet.
4.11.1. IT-Administratoren können ein beliebiges VPN-Paket angeben, das als Always On-VPN eingerichtet werden soll.
- Die EMM-Konsole kann optional bekannte VPN-Pakete vorschlagen, die Durchgehend aktives VPN kann jedoch nicht einschränken, welche VPNs für die durchgehend aktive Konfiguration verfügbar sind. beliebigen Liste hinzufügen.
4.11.2. IT-Administratoren können mit verwalteten Konfigurationen VPN-Einstellungen für eine App.
4:12. IME-Verwaltung
IT-Administratoren können festlegen, für welche Eingabemethoden (IMEs) Geräte. Da die IME sowohl für beruflich genutzte als auch für private Profile verwendet wird, können Nutzer diese IMEs nicht für die private Nutzung zulassen, wenn die Verwendung von IMEs blockiert wird. IT-Administratoren dürfen jedoch die Verwendung von System-IMEs bei der Arbeit nicht blockieren. Profilen (weitere Informationen finden Sie in der erweiterten IME-Verwaltung).
4.12.1. IT-Administratoren können eine Zulassungsliste für IMEs einrichten.
(Gehe zu permitted_input_methods) beliebiger Länge (einschließlich leerer Liste,
blockiert IMEs ohne System), die beliebige IME-Pakete enthalten können.
- In der EMM-Konsole können optional bekannte oder empfohlene IMEs in die Zulassungsliste aufnehmen, muss aber es IT-Administratoren ermöglichen, aus der Liste auszuwählen der Apps, die zur Installation verfügbar sind, für die entsprechenden Nutzer.
4.12.2. Der EMM-Anbieter muss IT-Administratoren darüber informieren, dass System-IMEs von auf Geräten mit Arbeitsprofilen verwalten.
4:13. Erweiterte IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden Nutzer auf einem Gerät einrichten können. Die erweiterte IME-Verwaltung erweitert die grundlegende Funktion, indem IT-Administratoren auch die Verwendung von System-IMEs verwalten können, die in der Regel vom Gerätehersteller oder Mobilfunkanbieter des Geräts bereitgestellt werden.
4.13.1. IT-Administratoren können eine Zulassungsliste für Eingabemethoden (permitted_input_methods) beliebiger Länge einrichten, mit Ausnahme einer leeren Liste, die alle Eingabemethoden einschließlich der System-IMEs blockiert. Die Liste kann beliebige IME-Pakete enthalten.
- Die EMM-Konsole kann optional bekannte oder empfohlene Eingabemethoden vorschlagen, die auf die Zulassungsliste gesetzt werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, für die entsprechenden Nutzer aus der Liste der zum Installieren verfügbaren Apps auszuwählen.
4.13.2. EMM muss verhindern, dass IT-Administratoren eine leere Zulassungsliste einrichten, da dies verhindert, dass alle IMEs, einschließlich System-IMEs, auf dem .
4.13.3. Der EMM-Anbieter muss dafür sorgen, dass, wenn eine Zulassungsliste für Eingabemethoden nicht die System-IMEs enthält, die IMEs von Drittanbietern automatisch installiert werden, bevor die Zulassungsliste auf dem Gerät angewendet wird.
4:14. Verwaltung von Bedienungshilfen
IT-Administratoren können festlegen, welche Bedienungshilfen die Nutzer auf Geräten zulassen können. Bedienungshilfen sind leistungsstarke Tools für Nutzer, mit Beeinträchtigungen oder Menschen, die vorübergehend nicht in der Lage sind, . Sie können jedoch mit Unternehmensdaten auf eine Weise interagieren, gegen die Unternehmensrichtlinien verstoßen. Mit dieser Funktion können IT-Administratoren alle Bedienungshilfen, die keine systemeigenen Bedienungshilfen sind.
4.14.1. IT-Administratoren können eine Zulassungsliste für Bedienungshilfen einrichten.
(gehen Sie zu permittedAccessibilityServices) beliebiger Länge (einschließlich eines leeren
zur Blockierung von Bedienungshilfen, die keine systemeigenen Bedienungshilfen
Bedienungshilfen-Pakets. Bei Anwendung auf ein Arbeitsprofil
betrifft sowohl das private Profil als auch das Arbeitsprofil.
- Die Console kann optional bekannte oder empfohlene Bedienungshilfen vorschlagen müssen in die Zulassungsliste aufgenommen werden, der IT-Administrator muss jedoch eine Auswahl treffen Liste der Apps, die zur Installation verfügbar sind (für die entsprechenden Nutzer)
4:15. Verwaltung der Standortfreigabe
IT-Administratoren können verhindern, dass Nutzer Standortdaten mit Apps im Unternehmen teilen. zu erstellen. Ansonsten kann die Standorteinstellung im Arbeitsprofil konfiguriert werden in Einstellungen
4.15.1. IT-Administratoren können Standortdienste deaktivieren.
Gehen Sie im Arbeitsprofil zu shareLocationDisabled.
4.16. Erweiterte Verwaltung der Standortfreigabe
IT-Administratoren können eine bestimmte Einstellung für die Standortfreigabe auf einem verwalteten Gerät erzwingen. Mit dieser Funktion kann der Standort von Unternehmens-Apps immer mit hoher Genauigkeit angezeigt werden Daten. Mit dieser Funktion wird außerdem sichergestellt, dass die Standorteinstellungen auf den Energiesparmodus beschränken.
4.16.1. IT-Administratoren können die Standortdienste für Geräte festlegen. für jeden der folgenden Modi:
- Hohe Genauigkeit.
- Nur Sensoren, z. B. GPS, aber ohne Netzwerkverbindung Standort.
- Energiesparmodus: Dadurch wird die Aktualisierungshäufigkeit begrenzt.
- Deaktiviert.
4:17. Verwaltung des Schutzes vor Zurücksetzen auf Werkseinstellungen
Ermöglicht es IT-Administratoren, unternehmenseigene Geräte vor Diebstahl zu schützen, indem sichergestellt wird, Unbefugte Nutzer können Geräte nicht auf die Werkseinstellungen zurücksetzen. Wenn der Schutz für zurückgesetzte Geräte zu operativen Komplikationen führt, wenn Geräte an die IT zurückgegeben werden, können IT-Administratoren den Schutz für zurückgesetzte Geräte vollständig deaktivieren.
4.17.1. IT-Administratoren können verhindern, dass Nutzer das Zurücksetzen auf die Werkseinstellungen verhindern.
(öffnen Sie factoryResetDisabled) das Gerät über die Einstellungen.
4.17.2. IT-Administratoren können Konten zum Entsperren des Unternehmens festlegen,
Geräte bereitstellen
(Gehe zu frpAdminEmails) nach dem Zurücksetzen auf die Werkseinstellungen.
- Dieses Konto kann mit einer Person verknüpft oder vom gesamten Unternehmen zum Entsperren von Geräten verwendet werden.
4.17.3. IT-Administratoren können den Schutz vor Zurücksetzen auf Werkseinstellungen deaktivieren.
(Gehe zu „0 factoryResetDisabled“) für die angegebenen Geräte.
4.17.4. IT-Administratoren können eine Remote-Löschung von Geräten starten. Löscht optional die Schutzdaten für zurückgesetzte Geräte, wodurch das Zurücksetzen auf die Werkseinstellungen entfernt wird. auf dem zurückgesetzten Gerät.
4.18. Erweiterte App-Steuerung
IT-Administratoren können Nutzer daran hindern, verwaltete Apps über die Einstellungen verwalten. z. B. um das Schließen der App oder Löschen des Datencaches einer App
4.18.1. IT-Administratoren können die Deinstallation beliebiger verwalteter Apps oder alle
verwalteten Apps (siehe
uninstallAppsDisabled.
4.18.2. IT-Administratoren können verhindern, dass Nutzer Anwendungsdaten ändern. in den Einstellungen. Die Android Management API unterstützt diese Unterfunktion nicht.
4:19. Verwaltung von Bildschirmaufnahmen
IT-Administratoren können verhindern, dass Nutzer Screenshots aufnehmen, wenn sie verwaltete Apps verwenden. Mit dieser Einstellung wird das Blockieren von Apps zur Bildschirmfreigabe und ähnlichen Apps (z. B. Google Assistant) verwenden, die die Screenshot-Funktion des Systems nutzen.
4.19.1. IT-Administratoren können verhindern, dass Nutzer Screenshots erstellen.
(Rufen Sie screenCaptureDisabled auf.)
4:20. Kameras deaktivieren
IT-Administratoren können die Nutzung von Gerätekameras durch verwaltete Apps deaktivieren.
4.20.1. IT-Administratoren können die Verwendung von Gerätekameras deaktivieren.
(cameraDisabled aufrufen) von verwalteten Apps.
4:21. Erfassung von Netzwerkstatistiken
Diese Funktion wird von der Android Management API nicht unterstützt.
4.22. Erweiterte Netzwerkstatistiken erfassen
Die Android Management API unterstützt diese Funktion nicht.
4:23. Gerät neu starten
IT-Administratoren können verwaltete Geräte aus der Ferne neu starten.
4.23.1. IT-Administratoren können einen Remote-Neustart durchführen. ein verwaltetes Gerät.
4.24. Verwaltung von Systemradios
Bietet IT-Administratoren eine detaillierte Verwaltung über Systemnetzwerk-Funkschnittstellen und zugehörige Nutzungsrichtlinien mithilfe von policy
4.24.1. IT-Administratoren können Cell Broadcasts deaktivieren, die vom Dienst gesendet werden.
Anbieter finden Sie unter cellBroadcastsConfigDisabled.
4.24.2. IT-Administratoren können Nutzer daran hindern, Einstellungen für Mobilfunknetze in
Einstellungen (mobileNetworksConfigDisabled aufrufen).
4.24.3. IT-Administratoren können verhindern, dass Nutzer alle Netzwerkeinstellungen zurücksetzen in
Einstellungen. (networkResetDisabled aufrufen).
4.24.4. IT-Administratoren können festlegen, ob das Gerät mobile Daten zulässt
beim Roaming (dataRoamingDisabled aufrufen).
4.24.5. IT-Administratoren können festlegen, ob mit dem Gerät ausgehende Anrufe getätigt werden können
Notrufe ausgenommen (siehe outGoingCallsDisabled).
4.24.6. IT-Administratoren können festlegen, ob mit dem Gerät SMS gesendet und empfangen werden können
Nachrichten (smsDisabled aufrufen).
4.24.7. IT-Administratoren können verhindern, dass Nutzer ihr Gerät als tragbares Gerät verwenden.
Hotspot durch Tethering (zu tetheringConfigDisabled wechseln).
4.24.8. IT-Administratoren können die WLAN-Zeitüberschreitung auf „Standard“, „Angeschlossen“ oder „Nie“ festlegen. Die Android Management API unterstützt diese Unterfunktion nicht.
4.24.9. IT-Administratoren können verhindern, dass Nutzer vorhandene
Bluetooth-Verbindungen (bluetoothConfigDisabled aufrufen).
4.25. Systemaudioverwaltung
IT-Administratoren können Audiofunktionen auf Geräten automatisch steuern, Sie können z. B. das Gerät stummschalten, Nutzer daran hindern, Lautstärkeeinstellungen zu ändern, und Nutzer daran hindern, die Stummschaltung des Gerätemikrofons aufzuheben.
4.25.1. IT-Administratoren können verwaltete Geräte stummschalten. Die Android Management API unterstützt diese Unterfunktion nicht.
4.25.2. IT-Administratoren können verhindern, dass Nutzer die Gerätelautstärke ändern
(adjustVolumeDisabled). Dadurch werden die Geräte auch stummgeschaltet.
4.25.3. IT-Administratoren können verhindern, dass Nutzer das Mikrofon des Geräts entsperren (unmuteMicrophoneDisabled).
4:26. Verwaltung der Systemuhr
IT-Administratoren können die Einstellungen für die Geräteuhr und die Zeitzone verwalten und verhindern, dass Nutzer automatische Geräteeinstellungen ändern.
4.26.1. IT-Administratoren können die automatische Systemzeit und die automatische Zeitzone erzwingen. sodass der Nutzer das Datum, die Uhrzeit und die Zeitzone auf dem Gerät.
4:27. Erweiterte Funktionen für zweckbestimmte Geräte
Bei zweckbestimmten Geräten können IT-Administratoren die folgenden Funktionen mit Richtlinie an den Support verschiedene Anwendungsfälle für Kioske.
4.27.1. IT-Administratoren können den Geräte-Keyguard deaktivieren (siehe keyguardDisabled).
4.27.2. IT-Administratoren können die Statusleiste des Geräts deaktivieren, um Benachrichtigungen und
Schnelleinstellungen (statusBarDisabled aufrufen).
4.27.3. IT-Administratoren können erzwingen, dass der Bildschirm des Geräts eingeschaltet bleibt, während das Gerät läuft.
angeschlossen ist (siehe stayOnPluggedModes).
4.27.4. IT-Administratoren können verhindern, dass die folgenden System-UIs angezeigt werden (createWindowsDisabled aufrufen):
- Toasts
- Anwendungs-Overlays
4.27.5. IT-Administratoren können festlegen, dass in den Systemempfehlungen für Apps keine
Nutzeranleitung und andere einführende Hinweise beim ersten Start (siehe
skip_first_use_hints.
4:28. Delegierte Bereichsverwaltung
IT-Administratoren können zusätzliche Berechtigungen an einzelne Pakete delegieren.
4.28.1. IT-Administratoren können die folgenden Bereiche verwalten:
- Installation und Verwaltung von Zertifikaten
- Absichtlich leer
- Netzwerkprotokollierung
- Sicherheitsprotokollierung (für BYOD-Arbeitsprofile nicht unterstützt)
4:29. Unterstützung für registrierungsspezifische ID
Ab Android 12 haben Arbeitsprofile keinen Zugriff mehr auf hardwarespezifischen Kennzeichnungen. IT-Administratoren können den Lebenszyklus eines Geräts mit einem Arbeitsprofil anhand der Registrierungsspezifischen ID verfolgen, die auch nach dem Zurücksetzen auf die Werkseinstellungen erhalten bleibt.
4.29.1. IT-Administratoren können eine registrierungsspezifische ID erhalten
4.29.2. Diese registrierungsspezifische ID muss durch das Zurücksetzen auf die Werkseinstellungen bestehen bleiben
5. Nutzerfreundlichkeit von Geräten
5.1. Verwaltete Bereitstellung anpassen
IT-Administratoren können den standardmäßigen UX-Einrichtungsablauf so ändern, unternehmensspezifischen Funktionen. Optional können IT-Administratoren von EMM bereitgestellte Branding während der Bereitstellung.
5.1.1. IT-Administratoren können den Bereitstellungsprozess anpassen, indem sie
enterprise-specific
Nutzungsbedingungen und andere Haftungsausschlüsse (siehe termsAndConditions).
5.1.2. IT-Administratoren können nicht konfigurierbare, EMM-spezifische Nutzungsbedingungen und andere Haftungsausschlüsse bereitstellen (termsAndConditions).
- EMM-Anbieter können ihre nicht konfigurierbare, EMM-spezifische Anpassung als Standard für Bereitstellungen, muss aber zulassen, dass IT-Administratoren eigene Personalisierung.
5.1.3 primaryColor wurde für die Unternehmensressource unter Android eingestellt
10 und höher.
5.2. Unternehmensanpassung
Diese Funktion wird von der Android Management API nicht unterstützt.
5.3. Erweiterte Unternehmensanpassung
Die Android Management API unterstützt diese Funktion nicht.
5.4. Nachrichten auf dem Sperrbildschirm
IT-Administratoren können eine benutzerdefinierte Nachricht festlegen, die immer auf der Gerätesperre angezeigt wird Display. Das Gerät muss dazu nicht entsperrt werden.
5.4.1. IT-Administratoren können eine benutzerdefinierte Nachricht auf dem Sperrbildschirm festlegen (deviceOwnerLockScreenInfo).
5.5. Management der Richtlinientransparenz
IT-Administratoren können den Hilfetext anpassen, der Nutzern angezeigt wird, wenn sie versuchen, verwaltete Einstellungen auf dem eigenen Gerät ändern oder ein von EMM bereitgestelltes generisches an unsere Support-Nachricht gesendet. Sowohl kurze als auch lange Supportnachrichten können angepasst werden und sind z. B. bei der Deinstallation einer verwalteten App, für die ein IT-Administrator die Deinstallation blockiert hat.
5.5.1. IT-Administratoren können kurze und lange Nutzernachrichten für den Support anpassen.
5.5.2. IT-Administratoren können nicht konfigurierbare, EMM-spezifische, kurze und lange
Supportnachrichten (shortSupportMessage und longSupportMessage aufrufen in
policies)
- EMM kann seine nicht konfigurierbaren, EMM-spezifischen Supportnachrichten als Standard für Bereitstellungen, muss aber zulassen, dass IT-Administratoren eigene Nachrichten.
5.6. Profilübergreifende Kontaktverwaltung
5.6.1. IT-Administratoren können deaktivieren, dass geschäftliche Kontakte im privaten Profil angezeigt werden Suche nach Kontakten und eingehende Anrufe.
5.6.2. IT-Administratoren können die Bluetooth-Kontaktfreigabe deaktivieren. für geschäftliche Kontakte, z. B. Anrufe per Sprachbefehl in Autos oder Headsets.
5.7. Profilübergreifende Datenverwaltung
Ermöglicht es IT-Administratoren, die Datentypen zu verwalten, die zwischen den Unternehmen geteilt werden können und persönliche Profile, die es Administratoren ermöglichen, ein Gleichgewicht zwischen Nutzerfreundlichkeit und Datensicherheit zu finden. entsprechend ihren Anforderungen anpassen.
5.7.1. IT-Administratoren können Richtlinien für die profilübergreifende Datenfreigabe konfigurieren. damit private Apps Intents aus dem Arbeitsprofil auflösen können, z. B. das Teilen Intents oder Weblinks.
5.7.2. IT-Administratoren können zulassen, dass Apps aus dem Arbeitsprofil Widgets auf dem Startbildschirm des privaten Profils erstellen und anzeigen. Diese Funktion
ist standardmäßig deaktiviert, kann aber über die Felder workProfileWidgets und workProfileWidgetsDefault auf „Zugelassen“ festgelegt werden.
5.7.3. IT-Administratoren können festlegen, ob Inhalte zwischen Arbeits- und privaten Profilen kopiert und eingefügt werden dürfen.
5.8. Richtlinie für Systemupdates
IT-Administratoren können OTA-Systemupdates (Over The Air) einrichten und anwenden. Geräte.
5.8.1. Über die EMM-Konsole können IT-Administratoren das folgende OTA-Konto festlegen Konfigurationen:
- Automatisch: OTA-Updates werden auf den Geräten installiert, sobald sie verfügbar sind.
- Verschieben: IT-Administratoren müssen OTA-Updates um bis zu 30 Tage verschieben können. Diese Richtlinie wirkt sich nicht auf Sicherheitsupdates aus (z.B. monatliche Sicherheitsupdates) Patches).
- Mit Zeitfenster: IT-Administratoren müssen OTA-Updates innerhalb eines Tages planen können. Wartungsfensters.
5.8.2. OTA-Konfigurationen werden auf Geräte angewendet mit Richtlinie .
5.9. Modusverwaltung für Aufgaben sperren
IT-Administratoren können Apps oder Apps auf dem Bildschirm sperren und so dafür sorgen, kann die App nicht beenden.
5.9.1. Über die EMM-Konsole können IT-Administratoren im Hintergrund eine beliebige Reihe von Apps, die du auf einem Gerät installieren und sperren kannst. Eine Richtlinie ermöglicht die Einrichtung zweckbestimmter Geräte.
5:10. Dauerhafte Verwaltung bevorzugter Aktivitäten
IT-Administratoren können eine App als Standard-Intent-Handler für Intents festlegen, die einem bestimmten Intent-Filter entsprechen. Mit dieser Funktion können IT-Administratoren beispielsweise festlegen, welche Browser-App Weblinks automatisch öffnet. Mit dieser Funktion können Sie festlegen, welche Launcher-App beim Tippen auf die Startbildschirmtaste verwendet wird.
5.10.1. IT-Administratoren können jedes Paket als Standard-Intent-Handler festlegen für einen beliebigen Intent-Filter.
- Die EMM-Konsole kann optional bekannte oder empfohlene Intents für Konfiguration, darf aber Intents nicht auf eine beliebige Liste beschränken.
- In der EMM-Konsole müssen IT-Administratoren Apps aus der Liste der Apps auswählen können die allen Nutzern zur Installation zur Verfügung stehen.
5:11. Verwaltung von Keyguard-Funktionen
IT-Administratoren können die Funktionen verwalten, die Nutzern zur Verfügung stehen, bevor sie den Keyguard des Geräts (Sperrbildschirm) und den Keyguard für die arbeitsbezogenen Herausforderungen (Sperrbildschirm) entsperren.
5.11.1. Mit einer Richtlinie können die folgenden Funktionen des Geräte-Sicherheitsschlosses deaktiviert werden:
- Trust Agents
- Entsperren mit Fingerabdruck
- nicht entfernte Benachrichtigungen
5.11.2. Die folgenden Keyguard-Funktionen des Arbeitsprofils können deaktiviert werden mithilfe von policy:
- Trust Agents
- Entsperren mit Fingerabdruck
5:12. Erweiterte Keyguard-Funktionsverwaltung
- Kamera sichern
- Alle Benachrichtigungen
- Nicht entfernt
- Trust Agents
- Entsperren mit Fingerabdruck
- Alle Keyguard-Funktionen
5:13. Remote-Debugging
Die Android Management API unterstützt diese Funktion nicht.
5:14. Abrufen der MAC-Adresse
EMM-Anbieter können die MAC-Adresse eines Geräts im Hintergrund abrufen, um Geräte zu identifizieren. in anderen Teilen der Unternehmensinfrastruktur (z. B. bei der Identifizierung Geräte für die Netzwerkzugriffssteuerung).
5.14.1. Der EMM-Anbieter kann die MAC-Adresse eines Geräts ohne Meldung abrufen. und es in der EMM-Konsole mit dem Gerät verknüpfen kann.
5:15. Erweiterte Verwaltung des Modus zum Sperren von Aufgaben
Mit einem speziellen Gerät können IT-Administratoren über die Konsole des EMM-Anbieters die folgenden Aufgaben ausführen:
5.15.1. Sie können die Installation und Sperrung einer einzelnen App auf einem Gerät automatisch zulassen.
5.15.2. Aktivieren oder deaktivieren Sie die folgenden Funktionen der System-UI:
- Schaltfläche „Startseite“
- Übersicht
- Globale Aktionen
- Benachrichtigungen
- Systeminformationen / Statusleiste
- Keyguard (Sperrbildschirm) Diese Unterfunktion ist standardmäßig aktiviert, 5.15.1. implementiert wird.
5.15.3. Deaktivieren Sie Dialogfelder für Systemfehler.
5:16. Erweiterte Richtlinie für Systemupdates
IT-Administratoren können einen bestimmten Zeitraum festlegen, in dem Systemupdates auf einem Gerät blockiert werden.
5.16.1. Die Konsole des EMM-Anbieters muss es IT-Administratoren ermöglichen, Over-the-air-Systemupdates (OTA) für einen festgelegten Zeitraum zu blockieren.
5.17. Transparenzverwaltung für Arbeitsprofil-Richtlinien
IT-Administratoren können die Mitteilung anpassen, die Nutzern beim Entfernen einer Arbeit angezeigt wird von einem Gerät aus.
5.17.1. IT-Administratoren können benutzerdefinierten Text zur Verfügung stellen.
(Rufen Sie wipeReasonMessage auf), wenn ein Arbeitsprofil gelöscht wird.
5.18. Unterstützung verbundener Apps
IT-Administratoren können eine Liste von Paketen erstellen, die im Begrenzung des Arbeitsprofils durch Festlegen von ConnectedWorkAndPersonalApp.
5.19. Manuelles Systemupdate
Diese Funktion wird von der Android Management API nicht unterstützt.
6. Einstellung von Device Admin
6.1. Einstellung von Device Admin
EMM-Anbieter müssen bis Ende 2022 einen Tarif veröffentlichen, der bis Ende des 1. Quartals 2023 den Kundensupport für Device Admin auf GMD-Geräten einstellt.
7. API-Nutzung
7.1. Standard-Policy Controller für neue Bindungen
Standardmäßig müssen Geräte für alle neuen Geräte Bindungen. EMMs können Geräte mithilfe eines benutzerdefinierten DPC in einem unter der Überschrift „Erweitert“ oder eine ähnliche Terminologie. Neukunden dürfen während eines beliebigen Zeitraums Onboarding- oder Einrichtungsworkflows.
7.2. Standard Policy Controller für neue Geräte
Standardmäßig müssen Geräte für alle neuen Geräte über die Android Device Policy App verwaltet werden. Geräteregistrierungen für bestehende und neue Bindungen. EMM-Anbieter können Option zur Verwaltung von Geräten mit einem benutzerdefinierten DPC in einem Einstellungsbereich unter einer Überschrift „Erweitert“ oder eine ähnliche Terminologie.