Ta strona zawiera pełny zestaw funkcji Androida Enterprise.
Jeśli chcesz zarządzać ponad 500 urządzeniami, rozwiązanie EMM musi obsługiwać wszystkie funkcje standardowe () co najmniej jednego zbioru rozwiązań, zanim będzie można udostępnić je komercyjnie. Rozwiązania EMM, które przeszły standardową weryfikację funkcji, są wymienione w katalogu rozwiązań dla firm na Androidzie jako oferujące standardowy zestaw funkcji zarządzania.
W przypadku każdego zestawu rozwiązań dostępny jest dodatkowy zestaw funkcji zaawansowanych. Te funkcje są oznaczone na każdej stronie zestawu rozwiązań: profil służbowy na urządzeniu należącym do użytkownika, profil służbowy na urządzeniu należącym do firmy, w pełni zarządzane urządzenie i wyłącznie urządzenie. Rozwiązania EMM, które przeszły weryfikację funkcji zaawansowanych, są wymienione w katalogu rozwiązań Android Enterprise jako oferujące zaawansowany zbiór funkcji zarządzania.
Klucz
| standardowa funkcja | zaawansowana funkcja | Funkcja opcjonalna | nie dotyczy |
1. Obsługa administracyjna urządzenia
1.1. Obsługa administracyjna profilu służbowego z użyciem DPC
Po pobraniu aplikacji Android Device Policy ze Sklepu Google Play użytkownicy mogą skonfigurować profil służbowy.
1.1.1. Dostawca usług EMM udostępnia administratorowi IT kod QR lub kod aktywacyjny, aby umożliwić korzystanie z tej metody wdrożenia (zobacz rejestrację i wdrażanie urządzenia).
1.2. Wdrażanie identyfikatora DPC na urządzeniu
Wpisanie „afw#” w kreatorze konfiguracji urządzenia powoduje skonfigurowanie urządzenia w pełni zarządzanego lub dedykowanego.
1.2.1. Dostawca usług EMM udostępnia administratorowi IT kod QR lub kod aktywacyjny, aby umożliwić korzystanie z tej metody obsługi. (Zobacz rejestrację i dodawanie urządzenia).
1.3. Obsługa administracyjna urządzenia NFC
Tagi NFC mogą być używane przez administratorów IT do konfigurowania nowych urządzeń lub urządzeń z przywróconymi ustawieniami fabrycznymi zgodnie ze wskazówkami dotyczącymi implementacji określonymi w dokumentacji dla deweloperów interfejsu Play EMM API.
1.3.1. EMM muszą używać tagów NFC Forum typu 2 z co najmniej 888 bajtami pamięci. W ramach obsługi administracyjnej należy używać dodatkowych informacji, aby przekazać na urządzenie szczegóły rejestracji, które nie są poufne, takie jak identyfikatory serwera i identyfikatory rejestracji. Szczegóły rejestracji nie powinny zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.3.2. Zalecamy używanie tagów NFC w przypadku Androida 10 i nowszych ze względu na wycofanie funkcji NFC Beam (zwanej też NFC Bump).
1.4. Wdrażanie urządzenia za pomocą kodu QR
Konsola EMM może wygenerować kod QR, który administratorzy IT mogą zeskanować, aby skonfigurować w pełni zarządzane lub dedykowane urządzenie zgodnie ze wskazówkami implementacyjnymi określonymi w dokumentacji dla programistów dotyczącą interfejsu Android Management API.
1.4.1. Kod QR musi używać dodatkowych informacji, aby przekazać na urządzenie niepoufalne dane rejestracyjne (takie jak identyfikatory serwera czy identyfikatory rejestracji). Szczegóły rejestracji nie mogą zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.5. Rejestracja typu zero-touch
Administratorzy IT mogą wstępnie skonfigurować urządzenia zakupione u autoryzowanych sprzedawców i zarządzać nimi w konsoli EMM.
1.5.1. Administratorzy IT mogą konfigurować urządzenia należące do firmy za pomocą metody rejestracji typu zero-touch opisanej w artykule Rejestracja typu zero-touch dla administratorów IT.
1.5.2. Gdy urządzenie jest włączane po raz pierwszy, automatycznie przypisuje się do niego ustawienia zdefiniowane przez administratora IT.
1.6. Zaawansowane rejestrowanie typu zero-touch
Administratorzy IT mogą zautomatyzować większość procesu rejestracji urządzenia dzięki rejestracji typu zero-touch. W połączeniu z adresami URL logowania administratorzy IT mogą ograniczyć rejestrację do określonych kont lub domen zgodnie z opcjami konfiguracji oferowanymi przez EMM.
1.6.1. Administratorzy IT mogą skonfigurować urządzenie należące do firmy za pomocą metody rejestracji typu zero-touch.
1.6.2. To wymaganie zostało wycofane.
1.6.3. Korzystając z adresu URL logowania, EMM musi zadbać o to, aby nieautoryzowani użytkownicy nie mogli przeprowadzić aktywacji. Aktywacja musi być ograniczona co najmniej do użytkowników danego przedsiębiorstwa.
1.6.4. Korzystając z adresu URL logowania, EMM musi umożliwić administratorom IT wstępne wypełnianie szczegółów rejestracji (np. identyfikatorów serwera, identyfikatorów rejestracji) oprócz unikalnych informacji o użytkowniku lub urządzeniu (np. nazwy użytkownika/hasła, tokenu aktywacyjnego), aby użytkownicy nie musieli wpisywać tych informacji podczas aktywacji urządzenia.
- W ramach konfiguracji rejestracji bezdotykowej systemy EMM nie mogą zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.7. Obsługa administracyjna profilu służbowego na koncie Google
W przypadku firm korzystających z zarządzanej domeny Google ta funkcja przeprowadzi użytkowników przez proces konfigurowania profilu służbowego po wprowadzeniu danych logowania do Google Workspace podczas konfigurowania urządzenia lub na urządzeniu, które zostało już aktywowane. W obu przypadkach tożsamość korporacyjna Workspace zostanie przeniesiona na profil służbowy.
1.8. Obsługa administracyjna urządzenia na koncie Google
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
1.9. Konfiguracja bezpośrednia typu zero-touch
Administratorzy IT mogą korzystać z konsoli EMM do konfigurowania urządzeń obsługujących rejestrację typu zero-touch za pomocą elementu iframe do rejestracji typu zero-touch.
1.10. Profile służbowe na urządzeniach należących do firmy
Usługi EMM mogą rejestrować urządzenia należące do firmy, które mają profil służbowy, ustawiając opcję AllowPersonalUsage.
1.10.1. celowo pusty,
1.10.2. Administratorzy IT mogą konfigurować działania związane z przestrzeganiem zasad na profilach służbowych na urządzeniach należących do firmy za pomocą PersonalUsagePolicies.
1.10.3. Administratorzy IT mogą dezaktywować kamerę na profilu służbowym lub na całym urządzeniu za pomocą PersonalUsagePolicies.
1.10.4. Administratorzy IT mogą dezaktywować zrzuty ekranu na profilu służbowym lub na całym urządzeniu za pomocą PersonalUsagePolicies.
1.10.5. Administratorzy IT mogą ustawić listę zablokowanych aplikacji, których nie można zainstalować na profilu osobistym, za pomocą PersonalApplicationPolicy.
1.10.6. Administratorzy IT mogą zrezygnować z zarządzania urządzeniem należącym do firmy, usuwając profil służbowy lub czyszcząc całe urządzenie.
1.11. Obsługa administracyjna urządzenia specjalnego
EMM może rejestrować dedykowane urządzenia bez konieczności uwierzytelniania się za pomocą konta Google.
2. Zabezpieczenia urządzeń
2.1. Test zabezpieczeń urządzenia
Administratorzy IT mogą ustawić i wymusić zabezpieczenie urządzenia (kod PIN, wzór lub hasło) na jednym z 3 zdefiniowanych poziomów złożoności na zarządzanych urządzeniach.
2.1.1. Zasady muszą wymuszać ustawienia zarządzania wyzwaniami dotyczącymi zabezpieczeń urządzenia (parentProfilePasswordRequirements dla profilu służbowego, passwordRequirements dla w pełni zarządzanych i wyłącznie zarządzanych urządzeń).
2.1.2. Złożoność hasła powinna być zgodna z tymi poziomami złożoności:
- PASSWORD_COMPLEXITY_LOW – wzór lub kod PIN w formie powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji.
- PASSWORD_COMPLEXITY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, alfabetyczne lub alfanumeryczne hasło o długości co najmniej 4 znaków
- PASSWORD_COMPLEXITY_HIGH – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji o długości co najmniej 8 znaków albo hasła alfabetyczne lub alfanumeryczne o długości co najmniej 6 znaków
2.1.3. Dodatkowe ograniczenia haseł można też narzucić jako ustawienia starsze na urządzeniach należących do firmy.
2.2. Test bezpieczeństwa w zawodowej sieci VPN
Administratorzy IT mogą ustawiać i wymuszać wyzwanie dotyczące zabezpieczeń dla aplikacji i danych na profilu służbowym.Wyzwanie to jest oddzielne i ma inne wymagania niż wyzwanie dotyczące zabezpieczeń urządzenia (2.1).
2.2.1. Zasady muszą egzekwować test zabezpieczający w profilu służbowym.
- Domyślnie administratorzy IT powinni ustawiać ograniczenia tylko dla profilu służbowego, jeśli nie zostanie określony zakres.
- Administratorzy IT mogą ustawić te ustawienia na całym urządzeniu, określając ich zakres (patrz wymóg 2.1).
2.2.2. Złożoność hasła powinna być mapowana na te wstępnie zdefiniowane poziomy złożoności:
- PASSWORD_COMPLEXITY_LOW – wzór lub kod PIN w formie powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji.
- PASSWORD_COMPLEXITY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, alfabetyczne lub alfanumeryczne hasło o długości co najmniej 4 znaków
- PASSWORD_COMPLEXITY_HIGH – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji o długości co najmniej 8 znaków albo hasła alfabetyczne lub alfanumeryczne o długości co najmniej 6 znaków
2.2.3. Dodatkowe ograniczenia hasła mogą być również wymuszane jako ustawienia starsze.
2.3. Zaawansowane zarządzanie hasłami
Administratorzy IT mogą konfigurować zaawansowane ustawienia haseł na urządzeniach.
2.3.1. celowo pusty,
2.3.2. celowo pusty,
2.3.3. W przypadku każdego ekranu blokady dostępnego na urządzeniu można ustawić te ustawienia cyklu życia hasła:
- celowo pusty,
- celowo pusty,
- Maksymalna liczba nieudanych prób podania hasła, po której następuje wymazanie: określa liczbę razy, ile użytkownicy mogą podać nieprawidłowe hasło, zanim dane firmowe zostaną wymazane z urządzenia. Administratorzy IT muszą mieć możliwość wyłączenia tej funkcji.
2.3.4. (Android 8.0 i nowsze) Czas oczekiwania na uwierzytelnianie silnego wymagane: po określonym przez administratora IT czasie oczekiwania należy podać silny kod uwierzytelniania (np. kod PIN lub hasło). Po upływie okresu oczekiwania słabe metody uwierzytelniania (takie jak odblokowywanie odciskiem palca czy rozpoznawaniem twarzy) są wyłączone, dopóki urządzenie nie zostanie odblokowane za pomocą kodu uwierzytelniania.
2.4. Zarządzanie Smart Lock
Administratorzy IT mogą zarządzać tym, czy agentom zaufania w ramach funkcji Smart Lock w Androidzie wolno przedłużać czas odblokowania urządzenia do 4 godzin.
2.4.1. Administratorzy IT mogą wyłączyć na urządzeniu agentów zaufania.
2,5. Wyczyść i zablokuj
Administratorzy IT mogą używać konsoli EMM do zdalnego blokowania i usuwania danych służbowych z urządzenia zarządzanego.
2.5.1. Urządzenia muszą być zablokowane za pomocą interfejsu Android Management API.
2.5.2. Dane na urządzeniach muszą zostać wyczyszczone za pomocą interfejsu Android Management API.
2.6. egzekwowanie zgodności,
Jeśli urządzenie nie jest zgodne z zasadami zabezpieczeń, zasady zgodności wprowadzone przez interfejs Android Management API automatycznie ograniczają korzystanie z danych służbowych.
2.6.1. Zasady zabezpieczeń egzekwowane na urządzeniu muszą co najmniej obejmować zasady dotyczące haseł.
2.7. Domyślne zasady zabezpieczeń
EMM muszą wymuszać określone zasady zabezpieczeń na urządzeniach domyślnie, bez konieczności konfigurowania lub dostosowywania ustawień w konsoli EMM przez administratorów IT. EMM są zachęcane (ale nie jest to wymagane), aby nie zezwalać administratorom IT na zmianę domyślnego stanu tych funkcji bezpieczeństwa.
2.7.1. Instalowanie aplikacji z nieznanych źródeł musi być zablokowane, w tym aplikacji zainstalowanych w profilu osobistym na dowolnym urządzeniu z Androidem 8.0 lub nowszym z profilem służbowym. Ta podfunkcja jest obsługiwana domyślnie.
2.7.2. Funkcje debugowania muszą być zablokowane. Ta podfunkcja jest obsługiwana domyślnie.
2.8. Zasady zabezpieczeń dotyczące urządzeń specjalnych
Na zablokowanym urządzeniu specjalnym nie można wykonywać żadnych innych działań.
2.8.1. Uruchamianie w trybie awaryjnym musi być domyślnie wyłączone za pomocą zasad (kliknij safeBootDisabled).
2.9. Pomoc dotycząca Play Integrity
Kontrole Play Integrity są wykonywane domyślnie. Nie musisz nic więcej robić.
2.9.1. celowo pusty,
2.9.2. celowo pusty,
2.9.3. Administratorzy IT mogą konfigurować różne reakcje na zasady w zależności od wartości SecurityRisk urządzenia, w tym blokowanie obsługi, kasowanie danych firmowych i zezwalanie na kontynuowanie rejestracji.
- Usługa EMM będzie egzekwować tę odpowiedź zgodnie z zasadami w przypadku każdego wyniku kontroli integralności.
2.9.4. celowo pusty,
2.10. Wymuszanie weryfikowania aplikacji
Administratorzy IT mogą włączyć funkcję Weryfikacja aplikacji na urządzeniach. Weryfikacja aplikacji skanuje aplikacje zainstalowane na urządzeniach z Androidem pod kątem szkodliwego oprogramowania przed instalacją i po niej, aby zapewnić, że złośliwe aplikacje nie będą mogły naruszyć danych firmowych.
2.10.1. Weryfikacja aplikacji musi być domyślnie włączona za pomocą zasad (wejdź na stronę ensureVerifyAppsEnabled).
2.11. Obsługa bezpośredniego rozruchu
Interfejs API Android Management obsługuje tę funkcję domyślnie. Nie musisz nic więcej implementować.
2.12. Zarządzanie zabezpieczeniami sprzętowymi
Administratorzy IT mogą blokować elementy sprzętowe urządzeń należących do firmy, aby zapobiec utracie danych.
2.12.1. Administratorzy IT mogą uniemożliwić użytkownikom montowanie fizycznych nośników zewnętrznych za pomocą zasad (mountPhysicalMediaDisabled).
2.12.2. Administratorzy IT mogą zablokować użytkownikom udostępnianie danych z urządzenia za pomocą wiązki NFC, używając zasad (wejdź na stronę outgoingBeamDisabled). Ta funkcja jest opcjonalna, ponieważ funkcja wiązki NFC nie jest już obsługiwana w Androidzie w wersji 10 i wyższych.
2.12.3. Administratorzy IT mogą zablokować użytkownikom możliwość przesyłania plików przez USB za pomocą zasad (wejdź na stronę usbFileTransferDisabled).
2.13. Rejestrowanie zabezpieczeń w firmie
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
3. Zarządzanie kontem i aplikacjami
3.1. Powiązanie z firmą
Administratorzy IT mogą powiązać EMM z organizacją, umożliwiając mu korzystanie z zarządzanego Sklepu Google Play do rozpowszechniania aplikacji na urządzenia.
3.1.1. Administrator, który ma zarządzaną domenę Google, może powiązać swoją domenę z usługą EMM.
3.1.2. celowo pusty,
3.1.3. celowo pusty,
3.1.4. Konsola EMM prowadzi administratora przez proces rejestracji w Androidzie, w którym prosi o podanie służbowego adresu e-mail, i zniechęca do korzystania z konta Gmail.
3.1.5. EMM wstępnie wypełnia pole z adresem e-mail administratora w procesie rejestracji w Androidzie.
3.2. Obsługa administracyjna zarządzanego konta Google Play
EMM może automatycznie udostępniać konta użytkowników w organizacji, czyli konta zarządzanego Sklepu Google Play. Te konta identyfikują zarządzanych użytkowników i umożliwiają stosowanie osobnych reguł dystrybucji aplikacji dla poszczególnych użytkowników.
3.2.1. Konta zarządzanego Sklepu Google Play (konta użytkowników) są tworzone automatycznie podczas konfigurowania urządzeń.
Interfejs API Android Management obsługuje tę funkcję domyślnie. Nie musisz nic więcej implementować.
3.3 Obsługa administracyjna konta urządzenia w zarządzanym Sklepie Google Play
Usługa EMM może tworzyć i konfigurować zarządzane konta urządzeń w zarządzanym Sklepie Google Play. Konta urządzeń umożliwiają automatyczne instalowanie aplikacji ze Sklepu Google Play zarządzanego i nie są powiązane z konkretnym użytkownikiem. Zamiast tego konto urządzenia służy do identyfikowania pojedynczego urządzenia, aby obsługiwać reguły dystrybucji aplikacji na poszczególnych urządzeniach w dedykowanych scenariuszach.
3.3.1. Konta zarządzane w Google Play są tworzone automatycznie podczas obsługiwania urządzeń.
Interfejs API Android Management obsługuje tę funkcję domyślnie. Nie musisz nic więcej implementować.
3.4. Wdrażanie kont zarządzanego Sklepu Google Play na starszych urządzeniach
Ta funkcja została wycofana.
3.5 Dyskretne rozpowszechnianie aplikacji
Administratorzy IT mogą dyskretnie rozpowszechniać aplikacje służbowe na urządzeniach bez interakcji ze strony użytkownika.
3.5.1. Konsolę EMM musi obsługiwać interfejs Android Management API, aby umożliwić administratorom IT instalowanie aplikacji służbowych na zarządzanych urządzeniach.
3.5.2. Konsola EMM musi używać interfejsu Android Management API, aby umożliwić administratorom IT aktualizowanie aplikacji służbowych na urządzeniach zarządzanych.
3.5.3. Konsolę EMM musi obsługiwać interfejs Android Management API, aby umożliwić administratorom IT odinstalowywanie aplikacji na zarządzanych urządzeniach.
3.6 Zarządzanie konfiguracją zarządzaną
Administratorzy IT mogą wyświetlać i cicho ustawiać konfiguracje zarządzane w przypadku każdej aplikacji, która obsługuje konfiguracje zarządzane.
3.6.1. Konsola EMM musi mieć możliwość pobierania i wyświetlania ustawień konfiguracji zarządzanej dowolnej aplikacji w Google Play.
3.6.2. Konsola EMM musi umożliwiać administratorom IT konfigurowanie dowolnego typu konfiguracji (zdefiniowanego przez platformę Android Enterprise) dla dowolnej aplikacji w Google Play za pomocą interfejsu API do zarządzania Androidem.
3.6.3. Konsola EMM musi umożliwiać administratorom IT konfigurowanie symboli wieloznacznych (takich jak $username$ lub %emailAddress%), aby można było stosować jedną konfigurację aplikacji (np. Gmaila) dla wielu użytkowników.
3.7. Zarządzanie katalogiem aplikacji
Interfejs API Android Management obsługuje tę funkcję domyślnie. Nie musisz nic robić.
3.8. Zatwierdzanie aplikacji w ramach automatyzacji
Konsola EMM używa elementu iframe zarządzanego Sklepu Google Play, aby obsługiwać funkcje wyszukiwania i zatwierdzania aplikacji w Sklepie Google Play. Administratorzy IT mogą wyszukiwać aplikacje, zatwierdzać aplikacje i zatwierdzać nowe uprawnienia aplikacji bez wychodzenia z konsoli EMM.
3.8.1. Administratorzy IT mogą wyszukiwać aplikacje i zatwierdzać je w konsoli EMM za pomocą elementu iframe zarządzanego Sklepu Google Play.
3.9. Podstawowe zarządzanie układem sklepu
Zarządzaną aplikacją Sklepu Google Play możesz instalować i aktualizować aplikacje służbowe. Domyślnie zarządzany Sklep Google Play wyświetla aplikacje zatwierdzone dla użytkownika na jednej liście. Taki układ nazywamy podstawowym układem sklepu.
3.9.1. Konsolę EMM należy zaprojektować tak, aby administratorzy IT mogli zarządzać aplikacjami widocznymi w podstawowym interfejsie sklepu dla użytkowników.
3.10. Zaawansowana konfiguracja układu sklepu
3.10.1. Administratorzy IT mogą dostosowywać układ sklepu w zarządzanej aplikacji Sklep Google Play.
3.11. Zarządzanie licencjami na aplikacje
Ta funkcja została wycofana.
3.12. Zarządzanie aplikacjami prywatnymi hostowanymi przez Google
Administratorzy IT mogą aktualizować aplikacje prywatne hostowane przez Google w konsoli EMM, a nie w Konsoli Google Play.
3.12.1. Administratorzy IT mogą przesyłać nowe wersje aplikacji, które zostały już opublikowane, prywatnie do przedsiębiorstwa, korzystając z:
3.13. Zarządzanie prywatnymi aplikacjami hostowanymi lokalnie
Administratorzy IT mogą konfigurować i publikować hostowane prywatnie aplikacje. W odróżnieniu od aplikacji prywatnych hostowanych przez Google, Google Play nie hostuje plików APK. Zamiast tego usługa EMM pomaga administratorom IT hostować pakiety APK i chronić aplikacje hostowane samodzielnie, zapewniając, że można je zainstalować tylko wtedy, gdy zezwoli na to zarządzany Sklep Google Play.
3.13.1. Konsola EMM musi ułatwiać administratorom IT hostowanie pliku APK aplikacji, oferując te opcje:
- Hostowanie pliku APK na serwerze EMM. Serwer może znajdować się w siedzibie organizacji lub w chmurze.
- Hostowanie pakietu APK poza serwerem EMM według uznania firmy. Administrator IT musi określić w konsoli EMM, gdzie znajduje się pakiet APK.
3.13.2. Konsola EMM musi wygenerować odpowiedni plik definicji APK na podstawie przesłanego pliku APK i przeprowadzić administratorów IT przez proces publikowania.
3.13.3. Administratorzy IT mogą aktualizować prywatne aplikacje hostowane lokalnie, a konsola EMM może publikować zaktualizowane pliki definicji APK bez powiadamiania o tym użytkowników za pomocą interfejsu Google Play Developer Publishing API.
3.13.4. Serwer EMM obsługuje żądania pobierania pakietów APK hostowanych lokalnie, które zawierają prawidłowy token JWT w pliku cookie żądania, co zostało zweryfikowane przez klucz publiczny aplikacji prywatnej.
- Aby ułatwić ten proces, serwer EMM musi pokazać administratorom IT, jak pobrać klucz publiczny licencji aplikacji hostowanej samodzielnie z Konsoli Google Play i przesłać ten klucz do konsoli EMM.
3.14. Powiadomienia o wybieraniu EMM
Ta funkcja nie dotyczy interfejsu Android Management API. Skonfiguruj powiadomienia Pub/Sub.
3.15. Wymagania dotyczące korzystania z interfejsu API
EMM wdraża interfejsy API do zarządzania Androidem na dużą skalę, unikając wzorców ruchu, które mogłyby negatywnie wpłynąć na zdolność przedsiębiorstw do zarządzania aplikacjami w środowiskach produkcyjnych.
3.15.1. Usługa EMM musi przestrzegać limitów użycia interfejsu Android Management API. Nieskorygowanie działania wykraczającego poza te wytyczne może skutkować zawieszeniem korzystania z interfejsu API według uznania Google.
3.15.2. EMM powinien rozprowadzać ruch z różnych firm w ciągu dnia, a nie konsolidować ruch firmowy w określonych lub podobnych momentach. Zachowanie pasujące do tego wzorca ruchu, takie jak zaplanowane operacje zbiorcze na każdym zarejestrowanym urządzeniu, może skutkować zawieszeniem korzystania z interfejsu API według uznania Google.
3.15.3. Usługa EMM nie powinna wysyłać żądań, które są konsekwentne, niepełne lub celowo nieprawidłowe, ponieważ nie próbują one pobierać rzeczywistych danych przedsiębiorstwa ani nimi zarządzać. Zachowanie pasujące do tego wzorca ruchu może skutkować zawieszeniem korzystania z interfejsu API według uznania Google.
3.16. Zaawansowane zarządzanie konfiguracją zarządzaną
Usługa EMM obsługuje te zaawansowane funkcje zarządzania konfiguracją zarządzaną:
3.16.1. Konsola EMM musi umożliwiać pobieranie i wyświetlanie maksymalnie 4 poziomów zagnieżdżonych ustawień konfiguracji zarządzanej dowolnej aplikacji w Google Play za pomocą:
- element iframe zarządzanego Sklepu Google Play,
- interfejs niestandardowy.
3.16.2. Konsola EMM musi mieć możliwość pobierania i wyświetlania wszelkich opinii zwracanych przez kanał opinii o aplikacji, gdy został on skonfigurowany przez administratora IT.
- Konsola EMM musi umożliwiać administratorom IT powiązanie konkretnego elementu opinii z urządzeniem i aplikacją, z której pochodzi.
- Konsola EMM musi umożliwiać administratorom IT subskrybowanie alertów lub raportów dotyczących określonych typów wiadomości (np. komunikatów o błędach).
3.16.3. Konsola EMM musi wysyłać tylko wartości, które mają wartość domyślną lub zostały ręcznie ustawione przez administratora za pomocą:
- Element iframe w konfiguracjach zarządzanych lub
- niestandardowy interfejs;
3.17. Zarządzanie aplikacjami internetowymi
Administratorzy IT mogą tworzyć i rozpowszechniać aplikacje internetowe w konsoli EMM.
3.17.1. Konsola EMM umożliwia administratorom IT dystrybucję skrótów do aplikacji internetowych za pomocą:
3.18. Zarządzanie cyklem życia konta zarządzanego Sklepu Google Play
Usługi EMM mogą tworzyć, aktualizować i usuwać zarządzane konta Google Play w imieniu administratorów IT oraz automatycznie przywracać konta po ich wygaśnięciu.
Ta funkcja jest obsługiwana domyślnie. Nie musisz implementować dodatkowych funkcji EMM.
3.19. Zarządzanie ścieżką aplikacji
3.19.1. Administratorzy IT mogą pobrać listę identyfikatorów ścieżek ustawionych przez dewelopera dla konkretnej aplikacji.
3.19.2. Administratorzy IT mogą skonfigurować urządzenia tak, aby korzystały z określonej ścieżki rozwoju aplikacji.
3,20. Zaawansowane zarządzanie aktualizacjami aplikacji
Administratorzy IT mogą zezwolić na natychmiastowe aktualizowanie aplikacji lub odłożyć ich aktualizowanie na 90 dni.
3.20.1. Administratorzy IT mogą zezwolić aplikacjom na korzystanie z aktualizacji aplikacji o wysokim priorytecie, aby były aktualizowane, gdy tylko będzie to możliwe. 3.20.2. Administratorzy IT mogą zezwolić na opóźnianie aktualizacji aplikacji przez 90 dni.
3.21. Zarządzanie metodami obsługi administracyjnej
EMM może generować konfiguracje obsługi administracyjnej i prezentować je administratorowi IT w formie gotowej do dystrybucji dla użytkowników końcowych (np. kod QR, konfiguracja typu zero-touch, adres URL Sklepu Play).
4. Zarządzanie urządzeniami
4.1. Zarządzanie zasadami dotyczącymi uprawnień w czasie działania
Administratorzy IT mogą bez udziału użytkownika ustawić domyślną odpowiedź na prośby o przyznanie uprawnień w czasie działania wysyłane przez aplikacje służbowe.
4.1.1. Podczas konfigurowania domyślnych zasad dotyczących uprawnień w czasie wykonywania dla swojej organizacji administratorzy IT muszą mieć możliwość wyboru spośród tych opcji:
- prompt (umożliwia użytkownikom wybór)
- allow
- odmowa
EMM powinien wymuszać te ustawienia za pomocą zasad.
4.2. Zarządzanie stanem przypisania uprawnień w czasie działania
Po ustawieniu domyślnych zasad dotyczących uprawnień czasu działania (patrz punkt 4.1), Administratorzy IT mogą ustawiać odpowiedzi na żądania określonych uprawnień z dowolnej aplikacji służbowej opartej na poziomie interfejsu API 23 lub nowszym.
4.2.1. Administratorzy IT muszą mieć możliwość ustawienia stanu zgody (domyślny, zgoda lub odmowa) dla dowolnego uprawnienia żądanego przez dowolną aplikację służbową utworzoną na podstawie poziomu API 23 lub nowszego. EMM powinien narzucić te ustawienia za pomocą zasad.
4.3. Zarządzanie konfiguracją Wi-Fi
Administratorzy IT mogą w sposób cichy udostępniać konfiguracje sieci Wi-Fi w przypadku zarządzanych urządzeń, w tym:
4.3.1. Identyfikator SSID, używając zasad.
4.3.2. Hasło, korzystając z zasad.
4.4. Zarządzanie zabezpieczeniami Wi-Fi
Administratorzy IT mogą udostępniać konfiguracje Wi-Fi na urządzeniach, które mają te zaawansowane funkcje zabezpieczeń:
4.4.1. Tożsamość
4.4.2. Certyfikaty autoryzacji klienta
4.4.3. Certyfikaty CA
4,5. Zaawansowane zarządzanie Wi-Fi
Administratorzy IT mogą zablokować konfiguracje Wi-Fi na urządzeniach zarządzanych, aby uniemożliwić użytkownikom tworzenie konfiguracji lub modyfikowanie konfiguracji firmowych.
4.5.1. Administratorzy IT mogą zablokować konfiguracje sieci Wi-Fi w firmie za pomocą zasad w jednej z tych konfiguracji:
- Użytkownicy nie mogą modyfikować żadnych konfiguracji Wi-Fi udostępnionych przez EMM (kliknij
wifiConfigsLockdownEnabled), ale mogą dodawać i modyfikować własne sieci konfigurowane przez użytkownika (np. sieci osobiste). - Użytkownicy nie mogą dodawać ani modyfikować żadnych sieci Wi-Fi na urządzeniu (kliknij
wifiConfigDisabled), co ogranicza łączność Wi-Fi tylko do sieci udostępnionych przez EMM.
4.6. Zarządzanie kontem
Administratorzy IT mogą zadbać o to, aby tylko autoryzowane konta firmowe miały dostęp do firmowych danych w przypadku usług takich jak usługi w chmurze, aplikacje do przechowywania i produktywności czy poczta e-mail. Bez tej funkcji użytkownicy mogą dodawać konta osobiste do tych aplikacji firmowych, które obsługują też konta użytkowników, co umożliwia im udostępnianie danych firmowych tym kontom osobistym.
4.6.1. Administratorzy IT mogą uniemożliwić użytkownikom dodawanie i modyfikowanie kont (patrz: modifyAccountsDisabled).
- Aby wdrożyć tę zasadę na urządzeniu, administratorzy EMM muszą ustawić to ograniczenie przed zakończeniem obsługi, aby użytkownicy nie mogli jej obejść, dodając konta przed jej wprowadzeniem.
4,7. Zarządzanie kontem Workspace
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
4.8. Zarządzanie certyfikatami
Pozwala administratorom IT wdrażać na urządzeniach certyfikaty tożsamości i urzędy certyfikacji, aby umożliwić korzystanie z zasobów firmowych.
4.8.1. Administratorzy IT mogą instalować certyfikaty tożsamości użytkownika wygenerowane przez ich PKI na podstawie poszczególnych użytkowników. Konsola EMM musi się integrować z co najmniej jedną infrastrukturą PKI i rozpowszechniać certyfikaty wygenerowane w tej infrastrukturze.
4.8.2. Administratorzy IT mogą instalować urzędy certyfikacji (patrz: caCerts) w zarządzanym magazynie kluczy. Ta funkcja nie jest jednak obsługiwana.
4.9. Zaawansowane zarządzanie certyfikatami
Umożliwia administratorom IT wybranie certyfikatów, których powinny używać określone aplikacje zarządzane. Ta funkcja umożliwia też administratorom IT usuwanie certyfikatów tożsamości i CA z aktywnych urządzeń oraz uniemożliwianie użytkownikom modyfikowanie danych logowania przechowywanych w zarządzanym magazynie kluczy.
4.9.1. W przypadku każdej aplikacji rozpowszechnianej na urządzenia administratorzy IT mogą określić certyfikat, który będzie automatycznie przyznawał aplikacji dostęp podczas działania. (Ta funkcja nie jest obsługiwana)
- Wybrany certyfikat musi być na tyle uniwersalny, aby można było użyć jednej konfiguracji dla wszystkich użytkowników, z których każdy może mieć certyfikat tożsamości.
4.9.2. Administratorzy IT mogą usuwać certyfikaty z zarządzanego magazynu kluczy.
4.9.3. Administratorzy IT mogą po cichu odinstalować certyfikat urzędu certyfikacji. (Ta podfunkcja nie jest obsługiwana)
4.9.4. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie danych logowania (kliknij credentialsConfigDisabled) w zarządzanym magazynie kluczy.
4.9.5. Administratorzy IT mogą przyznać wstępnie certyfikaty dla aplikacji służbowych za pomocą ChoosePrivateKeyRule.
4.10. Zarządzanie certyfikatami przez administratora delegowanego
Administratorzy IT mogą rozpowszechniać na urządzeniach aplikację do zarządzania certyfikatami innych firm i przyznawać jej uprawnienia do instalowania certyfikatów w zarządzanym magazynie kluczy.
4.10.1. Administratorzy IT mogą określić pakiet zarządzania certyfikatami (kliknij delegatedCertInstallerPackage), który ma być ustawiony jako delegowana aplikacja do zarządzania certyfikatami.
- Usługi EMM mogą opcjonalnie sugerować znane pakiety do zarządzania certyfikatami, ale muszą umożliwić administratorowi IT wybranie z listy aplikacji do zainstalowania dla odpowiednich użytkowników.
4.11. Zaawansowane zarządzanie siecią VPN
Pozwala administratorom IT określić stały VPN, aby dane z określonych zarządzanych aplikacji zawsze przechodziły przez skonfigurowaną sieć VPN.
4.11.1. Administratorzy IT mogą wybrać dowolny pakiet VPN, który ma być ustawiony jako stały VPN.
- Konsola EMM może opcjonalnie sugerować znane pakiety VPN obsługujące funkcję stania VPN, ale nie może ograniczać sieci VPN dostępnych dla konfiguracji Always On do dowolnej listy.
4.11.2. Administratorzy IT mogą używać konfiguracji zarządzanych, aby określić ustawienia VPN dla aplikacji.
4.12. Zarządzanie IME
Administratorzy IT mogą zarządzać tym, jakie metody wprowadzania (IME) mogą być konfigurowane na urządzeniach. Metoda IME jest współdzielona przez profile służbowe i osobiste, więc zablokowanie jej użycia uniemożliwi użytkownikom korzystanie z tej metody do celów osobistych. Administratorzy IT nie mogą jednak blokować używania systemowych klawiatur na profilach służbowych (więcej informacji znajdziesz w sekcji Zaawansowane zarządzanie klawiaturą).
4.12.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME (kliknij permitted_input_methods) o dowolnej długości (w tym pustą listę, która blokuje niesystemowe IME), która może zawierać dowolne pakiety IME.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane metody wprowadzania, które można dodać do listy dozwolonych, ale musi umożliwiać administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania przez odpowiednich użytkowników.
4.12.2. EMM musi poinformować administratorów IT, że systemowe klawiatury IME są wykluczone z zarządzania na urządzeniach z profilami służbowymi.
4.13. Zaawansowane zarządzanie IME
Administratorzy IT mogą zarządzać metodami wprowadzania, które użytkownicy mogą skonfigurować na urządzeniu. Zaawansowane zarządzanie IME rozszerza podstawową funkcję, umożliwiając administratorom IT zarządzanie systemem IME, który jest zwykle dostarczany przez producenta urządzenia lub operatora.
4.13.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME (kliknij permitted_input_methods) o dowolnej długości (z wyjątkiem pustej listy, która blokuje wszystkie IME, w tym systemowe), która może zawierać dowolne pakiety IME.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane metody wprowadzania, które można dodać do listy dozwolonych, ale musi umożliwiać administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania przez odpowiednich użytkowników.
4.13.2. Konsole EMM muszą uniemożliwiać administratorom IT konfigurowanie pustej listy dozwolonych, ponieważ to ustawienie spowoduje zablokowanie konfigurowania na urządzeniu wszystkich IME, w tym IME systemowych.
4.13.3. Dostawca usług EMM musi zadbać o to, aby w przypadku gdy lista dozwolonych metod wejściowych nie zawiera systemowych metod wejściowych, metody wejściowe innych firm były instalowane bez powiadamiania użytkownika przed zastosowaniem listy dozwolonych na urządzeniu.
4.14. Zarządzanie usługami ułatwień dostępu
Administratorzy IT mogą zarządzać tym, jakie usługi ułatwień dostępu mogą zezwalać użytkownikom na uruchamianie na urządzeniach. Usługi ułatwiające dostęp są potężnymi narzędziami dla użytkowników z niepełnosprawnościami lub osób, które tymczasowo nie mogą w pełni korzystać z urządzenia. Mogą jednak korzystać z danych firmowych w sposób niezgodny z zasadami firmy. Ta funkcja pozwala administratorom IT wyłączyć dowolną usługę ułatwień dostępu, która nie jest związana z systemem.
4.14.1. Administratorzy IT mogą skonfigurować listę dozwolonych usług ułatwień dostępu (wejdź na stronę permittedAccessibilityServices) o dowolnej długości (w tym pustą listę, która blokuje usługi ułatwień dostępu niesystemowych). Lista może zawierać dowolny pakiet usług ułatwień dostępu. Gdy zastosujesz to na profilu służbowym, wpłynie to zarówno na profil osobisty, jak i służbowy.
- Konsola może opcjonalnie sugerować znane lub zalecane usługi ułatwień dostępu do uwzględnienia na liście dozwolonych, ale musi umożliwić administratorowi IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania przez odpowiednich użytkowników.
4.15. Zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą uniemożliwić użytkownikom udostępnianie danych o lokalizacji aplikacjom na profilu służbowym. W przeciwnym razie ustawienie lokalizacji w profilu służbowym można zmienić w ustawieniach.
4.15.1. Administratorzy IT mogą wyłączyć usługi lokalizacyjne (kliknij shareLocationDisabled) w profilu służbowym.
4.16. Zaawansowane zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą wymusić określone ustawienie udostępniania lokalizacji na urządzeniu zarządzanym. Dzięki tej funkcji aplikacje firmowe zawsze mają dane o lokalizacji o wysokiej dokładności. Ta funkcja może też zapobiegać zużywaniu dodatkowej energii przez ograniczenie ustawień lokalizacji do trybu oszczędzania baterii.
4.16.1. Administratorzy IT mogą ustawić usługi lokalizacyjne urządzenia w jednym z tych trybów:
- Wysoka dokładność.
- Tylko czujniki, np. GPS, ale nie lokalizacja zapewniana przez sieć.
- Oszczędzanie baterii, które ogranicza częstotliwość aktualizacji.
- Wyłączone.
4.17. Zarządzanie ochroną przywracania do ustawień fabrycznych
Pozwala administratorom IT chronić urządzenia należące do firmy przed kradzieżą, zapewniając, że nieupoważnione osoby nie będą mogły przywrócić urządzeń do ustawień fabrycznych. Jeśli ochrona przed przywróceniem do ustawień fabrycznych powoduje komplikacje operacyjne, gdy urządzenia są zwracane do działu IT, administratorzy IT mogą całkowicie wyłączyć tę ochronę.
4.17.1. Administratorzy IT mogą uniemożliwić użytkownikom przywracanie ustawień fabrycznych (kliknij factoryResetDisabled) na urządzeniu w Ustawieniach.
4.17.2. Administratorzy IT mogą określić konta korporacyjne do odblokowywania urządzeń (kliknij frpAdminEmails) po przywróceniu ustawień fabrycznych.
- To konto może być powiązane z konkretną osobą lub używane przez całą firmę do odblokowywania urządzeń.
4.17.3. Administratorzy IT mogą wyłączyć ochronę przed przywróceniem do ustawień fabrycznych (kliknij factoryResetDisabled) na wybranych urządzeniach.
4.17.4. Administratorzy IT mogą rozpocząć zdalne wyczyszczanie urządzenia, które opcjonalnie usuwa dane ochrony przed przywróceniem do ustawień fabrycznych, a tym samym usuwa ochronę przed przywróceniem do ustawień fabrycznych na urządzeniu.
4.18. Zaawansowana kontrola aplikacji
Administratorzy IT mogą uniemożliwić użytkownikowi odinstalowanie lub zmodyfikowanie zarządzanych aplikacji w ustawieniach. Może to być na przykład uniemożliwienie wymuszonego zamknięcia aplikacji lub wyczyszczenie pamięci podręcznej z danymi aplikacji.
4.18.1. Administratorzy IT mogą zablokować odinstalowanie dowolnej aplikacji zarządzanej lub wszystkich aplikacji zarządzanych (kliknij uninstallAppsDisabled).
4.18.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie danych aplikacji w ustawieniach. (interfejs Android Management API nie obsługuje tej funkcji podrzędnej)
4.19. Zarządzanie zrzutami ekranu
Administratorzy IT mogą zablokować użytkownikom możliwość robienia zrzutów ekranu podczas korzystania z aplikacji zarządzanych. To ustawienie obejmuje blokowanie aplikacji do udostępniania ekranu i podobnych aplikacji (np. Asystenta Google), które korzystają z możliwości systemu do robienia zrzutów ekranu.
4.19.1. Administratorzy IT mogą uniemożliwić użytkownikom robienie zrzutów ekranu (kliknij screenCaptureDisabled).
4,20. Wyłączanie aparatów
Administratorzy IT mogą wyłączyć stosowanie aparatów urządzeń przez aplikacje zarządzane.
4.20.1. Administratorzy IT mogą wyłączyć kamery urządzeń (kliknij cameraDisabled) w zarządzanych aplikacjach.
4.21. Zbieranie statystyk sieci
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
4.22. Zaawansowane zbieranie statystyk sieci
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
4.23. Uruchom urządzenie ponownie
Administratorzy IT mogą zdalnie uruchamiać ponownie zarządzane urządzenia.
4.23.1. Administratorzy IT mogą zdalnie ponownie uruchomić zarządzane urządzenie.
4.24. Zarządzanie radiem systemowym
Zapewnia administratorom IT szczegółowe zarządzanie systemami radiowymi sieci i powiązanymi z nimi zasadami użytkowania za pomocą zasad.
4.24.1. Administratorzy IT mogą wyłączyć transmisje komórkowe wysyłane przez dostawców usług (kliknij cellBroadcastsConfigDisabled).
4.24.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień sieci komórkowej w Ustawieniach (kliknij mobileNetworksConfigDisabled).
4.24.3. Administratorzy IT mogą uniemożliwić użytkownikom resetowanie wszystkich ustawień sieci w sekcji Ustawienia. (otwórz networkResetDisabled).
4.24.4. Administratorzy IT mogą skonfigurować, czy urządzenie ma zezwalać na mobilną transmisję danych w roamingu (kliknij dataRoamingDisabled).
4.24.5. Administratorzy IT mogą skonfigurować, czy urządzenie może wykonywać wychodzące połączenia telefoniczne (z wyjątkiem połączeń alarmowych – przejdź do outGoingCallsDisabled).
4.24.6. Administratorzy IT mogą skonfigurować, czy urządzenie może wysyłać i odbierać wiadomości tekstowe (kliknij smsDisabled).
4.24.7. Administratorzy IT mogą uniemożliwić użytkownikom korzystanie z ich urządzenia jako przenośnego hotspota (kliknij tetheringConfigDisabled).
4.24.8. Administratorzy IT mogą ustawić czas oczekiwania na Wi-Fi na domyślny, podczas podłączania lub nigdy. (interfejs Android Management API nie obsługuje tej funkcji podrzędnej)
4.24.9. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie i modyfikowanie istniejących połączeń Bluetooth (wejdź na stronę bluetoothConfigDisabled).
4,25. Zarządzanie systemowym dźwiękiem
Administratorzy IT mogą bezgłośnie kontrolować funkcje audio urządzenia, w tym wyciszać urządzenie, uniemożliwiać użytkownikom modyfikowanie ustawień głośności oraz uniemożliwiać użytkownikom odblokowanie mikrofonu urządzenia.
4.25.1. Administratorzy IT mogą wyciszyć urządzenia zarządzane. (interfejs Android Management API nie obsługuje tej funkcji podrzędnej)
4.25.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień głośności urządzenia (kliknij adjustVolumeDisabled). Spowoduje to również wyciszenie urządzeń.
4.25.3. Administratorzy IT mogą uniemożliwić użytkownikom wyciszanie mikrofonu na urządzeniu (kliknij unmuteMicrophoneDisabled).
4,26. Zarządzanie zegarem systemowym
Administratorzy IT mogą zarządzać ustawieniami zegara i strefy czasowej urządzenia oraz uniemożliwiać użytkownikom modyfikowanie automatycznych ustawień urządzenia.
4.26.1. Administratorzy IT mogą narzucać automatyczne ustawianie daty i godziny oraz strefy czasowej, uniemożliwiając użytkownikowi zmianę daty, godziny i strefy czasowej na urządzeniu.
4.27. Zaawansowane funkcje urządzeń specjalnych
W przypadku urządzeń dedykowanych administratorzy IT mogą zarządzać wymienionymi poniżej funkcjami za pomocą zasad, aby obsługiwać różne przypadki użycia kiosku.
4.27.1. Administratorzy IT mogą wyłączyć blokadę ekranu (kliknij keyguardDisabled).
4.27.2. Administratorzy IT mogą wyłączyć pasek stanu urządzenia, blokować powiadomienia i szybkie ustawienia (kliknij statusBarDisabled).
4.27.3. Administratorzy IT mogą wymusić pozostawanie ekranu urządzenia w stanie włączonym, gdy jest ono podłączone (kliknij stayOnPluggedModes).
4.27.4. Administratorzy IT mogą uniemożliwić wyświetlanie tych interfejsów systemu (kliknij createWindowsDisabled):
- Toasty
- Nakładki aplikacji.
4.27.5. Administratorzy IT mogą zezwolić na to, aby system zalecał pominięcie samouczka dla użytkownika i innych wskazówek wprowadzających podczas pierwszego uruchamiania aplikacji (kliknij skip_first_use_hints).
4.28. Zarządzanie zakresem delegowanym
Administratorzy IT mogą przyznawać dodatkowe uprawnienia poszczególnym pakietom.
4.28.1. Administratorzy IT mogą zarządzać tymi zakresami:
- Instalowanie certyfikatów i zarządzanie nimi
- celowo pusty,
- Rejestrowanie sieciowe
- Rejestrowanie zabezpieczeń (nieobsługiwane na profilu służbowym na urządzeniu osobistym)
4.29. Pomoc dotycząca identyfikatorów związanych z rejestracją
Od Androida 12 profile służbowe nie będą już miały dostępu do identyfikatorów powiązanych z konkretnym sprzętem. Administratorzy IT mogą śledzić cykl życia urządzenia z profilem służbowym za pomocą identyfikatora rejestracji, który będzie zachowany po przywracaniu urządzenia do ustawień fabrycznych.
4.29.1. Administratorzy IT mogą uzyskać identyfikator rejestracji
4.29.2. Ten identyfikator rejestracji musi być zachowany po przywróceniu urządzenia do ustawień fabrycznych.
5. Wykorzystanie urządzenia
5.1. Dostosowywanie zarządzanego udostępniania
Administratorzy IT mogą zmodyfikować domyślny interfejs procesu konfiguracji, aby uwzględnić funkcje przeznaczone dla firm. Opcjonalnie administratorzy IT mogą wyświetlać podczas obsługi administracyjnej elementy marki dostarczone przez EMM.
5.1.1. Administratorzy IT mogą dostosować proces obsługiwanej usługi, określając Warunki korzystania z usługi dla przedsiębiorstwa oraz inne wyłączenia odpowiedzialności (kliknij termsAndConditions).
5.1.2. Administratorzy IT mogą deploy niestandardowe warunki korzystania z usługi i inne wyłączenia odpowiedzialności związane z usługą EMM (kliknij termsAndConditions).
- Usługi EMM mogą ustawić niestandardowe ustawienia, których nie można zmienić, jako domyślne dla wdrożeń, ale muszą umożliwić administratorom IT konfigurowanie własnych ustawień.
5.1.3. primaryColor został wycofany w przypadku zasobu firmowego na Androidzie 10 lub nowszym.
5.2. Dostosowywanie wersji Enterprise
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
5.3. Zaawansowane opcje dostosowywania dla firm
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
5.4. Wiadomości na ekranie blokady
Administratorzy IT mogą ustawić niestandardowy komunikat, który zawsze wyświetla się na ekranie blokady urządzenia i nie wymaga odblokowania urządzenia.
5.4.1. Administratorzy IT mogą ustawić niestandardowy komunikat na ekranie blokady (kliknij deviceOwnerLockScreenInfo).
5.5. Zarządzanie przejrzystością zasad
Administratorzy IT mogą dostosować tekst pomocy wyświetlany użytkownikom, gdy próbują oni zmodyfikować ustawienia zarządzane na urządzeniu, lub wdrożyć ogólny komunikat pomocy dostarczony przez EMM. Zarówno krótkie, jak i długie komunikaty pomocy można dostosować. Wyświetlają się one w takich sytuacjach jak próba odinstalowania aplikacji zarządzanej, której administrator IT zablokował odinstalowanie.
5.5.1. Administratorzy IT mogą dostosowywać krótkie i długie komunikaty pomocy wyświetlane użytkownikom.
5.5.2. Administratorzy IT mogą wdrażać krótkie i długie wiadomości pomocy dotyczące EMM, które nie można konfigurować (otwórz shortSupportMessage i longSupportMessage w policies).
- Usługa EMM może ustawić jako domyślne dla wdrożeń wiadomości pomocy dotyczącej EMM, które nie można konfigurować, ale musi zezwolić administratorom IT na konfigurowanie własnych wiadomości.
5,6. Zarządzanie kontaktami na różnych profilach
5.6.1. Administratorzy IT mogą wyłączyć wyświetlanie kontaktów służbowych w profilu osobistym, wyszukiwaniu kontaktów i połączeniach przychodzących.
5.6.2. Administratorzy IT mogą wyłączyć udostępnianie kontaktów przez Bluetooth kontaktów służbowych, na przykład podczas korzystania z telefonu w samochodzie lub zestawu słuchawkowego.
5.7. Zarządzanie danymi w różnych profilach
Pozwala administratorom IT zarządzać typami danych, które można udostępniać na profilach służbowych i osobowych, dzięki czemu mogą oni dostosować użyteczność i bezpieczeństwo danych do swoich wymagań.
5.7.1. Administratorzy IT mogą skonfigurować zasady udostępniania danych na różnych profilach, aby aplikacje osobiste mogły rozwiązywać intencje z profilu służbowego, takie jak udostępnianie inencji lub linków internetowych.
5.7.2. Administratorzy IT mogą zezwolić aplikacjom z profilu służbowego na tworzenie i wyświetlanie widżetów na ekranie głównym profilu osobistego. Ta funkcja jest domyślnie wyłączona, ale można ją włączyć za pomocą pól workProfileWidgets i workProfileWidgetsDefault.
5.7.3. Administratorzy IT mogą kontrolować możliwość kopiowania i wklejania danych między profilem służbowym a osobistym.
5,8. Zasady aktualizacji systemu
Administratorzy IT mogą konfigurować i stosować bezprzewodowe (OTA) aktualizacje systemu na urządzeniach.
5.8.1. Konsola usługi EMM umożliwia administratorom IT konfigurowanie tych ustawień OTA:
- Automatycznie: urządzenia instalują aktualizacje OTA, gdy tylko są dostępne.
- Odłożenie: administratorzy IT muszą mieć możliwość odłożenia aktualizacji OTA na okres do 30 dni. Te zasady nie mają wpływu na aktualizacje zabezpieczeń (np. comiesięczne poprawki zabezpieczeń).
- Okresowy: administratorzy IT muszą mieć możliwość zaplanowania aktualizacji OTA w ramach dziennego okresu konserwacji.
5.8.2. Konfiguracje OTA są stosowane na urządzeniach za pomocą zasad.
5,9. Zarządzanie trybem blokowania zadań
Administratorzy IT mogą zablokować aplikację lub zestaw aplikacji na ekranie, aby użytkownicy nie mogli ich zamknąć.
5.9.1. Konsola EMM umożliwia administratorom IT zezwalanie na instalację dowolnego zbioru aplikacji i blokowanie ich na urządzeniu. Zasady umożliwiają konfigurowanie dedykowanych urządzeń.
5.10. Trwałe zarządzanie preferowanymi działaniami
Pozwala administratorom IT ustawić aplikację jako domyślny moduł obsługi intencji dla intencji pasujących do określonego filtra intencji. Dzięki tej funkcji administratorzy IT będą mogli wybrać, która przeglądarka ma automatycznie otwierać linki internetowe. Ta funkcja pozwala wybrać aplikację uruchamianą po naciśnięciu przycisku ekranu głównego.
5.10.1. Administratorzy IT mogą ustawić dowolny pakiet jako domyślny moduł obsługi intencji dla dowolnego filtra intencji.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane intencje do konfiguracji, ale nie może ograniczać intencji do dowolnej listy.
- Konsola EMM musi umożliwiać administratorom IT wybór aplikacji z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
5.11. Zarządzanie funkcją Keyguard
Administratorzy IT mogą zarządzać funkcjami dostępnymi dla użytkowników przed odblokowaniem ekranu blokady urządzenia (ekran blokady) i ekranu blokady z wyzwaniem służbowym (ekran blokady).
5.11.1.Zasady mogą wyłączyć te funkcje ekranu blokady:
- agentów zaufania
- odblokowywanie odciskiem palca
- nieocenzurowane powiadomienia
5.11.2. Za pomocą zasady można wyłączyć te funkcje ekranu blokady w profilu służbowym:
- agentów zaufania
- odblokowywanie odciskiem palca
5.12. Zaawansowane zarządzanie funkcją blokady ekranu
- Bezpieczna kamera
- Wszystkie powiadomienia
- Nieusunięte
- Agenty zaufania
- Odblokowywanie odciskiem palca
- Wszystkie funkcje ekranu blokady
5.13. Debugowanie zdalne
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
5.14. Pobieranie adresu MAC
EMM mogą pobierać adres MAC urządzenia w tylu, aby służył do identyfikowania urządzeń w innych częściach infrastruktury przedsiębiorstwa (na przykład w przypadku identyfikowania urządzeń do kontroli dostępu do sieci).
5.14.1. EMM może pobierać adres MAC urządzenia bez powiadomienia użytkownika i kojarzyć go z urządzeniem w konsoli EMM.
5.15. Zaawansowane zarządzanie trybem blokowania zadań
Za pomocą dedykowanego urządzenia administratorzy IT mogą korzystać z konsoli EMM do wykonywania tych czynności:
5.15.1. Zezwalanie w trybie cichym na instalowanie i blokowanie na urządzeniu pojedynczej aplikacji.
5.15.2. Włącz lub wyłącz te funkcje interfejsu System UI:
- Przycisk strony głównej
- Omówienie
- Działania globalne
- Powiadomienia
- Informacje o systemie / pasek stanu
- Blokada ekranu. Ta podfunkcja jest domyślnie włączona po wdrożeniu wersji 5.15.1.
5.15.3. Wyłącz okna błędów systemowych.
5.16. Zaawansowana zasada aktualizacji systemu
Administratorzy IT mogą ustawić określony okres blokady, w którym aktualizacje systemu na urządzeniu są blokowane.
5.16.1. Konsola EMM musi umożliwiać administratorom IT blokowanie aktualizacji systemowych OTA w określonym okresie blokady.
5.17. Zarządzanie przejrzystością zasad profilu służbowego
Administratorzy IT mogą dostosowywać komunikat wyświetlany użytkownikom podczas usuwania profilu służbowego z urządzenia.
5.17.1. Administratorzy IT mogą określić tekst, który ma się wyświetlać (wejdź na stronę wipeReasonMessage), gdy usunięty zostanie profil służbowy.
5.18. Pomoc dotycząca połączonych aplikacji
Administratorzy IT mogą ustawić listę pakietów, które mogą komunikować się przez granicę profilu służbowego, ustawiając ConnectedWorkAndPersonalApp.
5.19. Ręczna aktualizacja systemu
Interfejs API zarządzania Androidem nie obsługuje tej funkcji.
6. Wycofanie aplikacji do zarządzania urządzeniem
6.1. Wycofanie aplikacji do zarządzania urządzeniem
EMM muszą opublikować plan do końca 2022 roku, aby zakończyć obsługę klienta w ramach Device Admin na urządzeniach GMS do końca I kwartału 2023 roku.
7. Korzystanie z interfejsu API
7.1. Standardowy kontroler zasad dla nowych powiązań
Domyślnie zarządzanie urządzeniami przy użyciu Android Device Policy musi być włączone w przypadku wszystkich nowych powiązań. EMM mogą udostępniać opcję zarządzania urządzeniami za pomocą niestandardowego DPC w obszarze ustawień pod nagłówkiem „Zaawansowane” lub podobnym. Nowi klienci nie mogą mieć możliwości wyboru dowolnego zbioru technologii podczas procesu rejestracji lub konfiguracji.
7.2. Standardowy kontroler zasad dla nowych urządzeń
Domyślnie zarządzanie urządzeniami przy użyciu Android Device Policy musi być włączone w przypadku wszystkich nowych rejestracji urządzeń, zarówno w przypadku istniejących, jak i nowych powiązań. Systemy EMM mogą udostępniać opcję zarządzania urządzeniami za pomocą niestandardowych zasad dotyczących urządzeń w obszarze ustawień pod nagłówkiem „Zaawansowane” lub podobnym.