בדף הזה מפורטת הרשימה המלאה של התכונות של Android Enterprise.
אם אתם מתכוונים לנהל יותר מ-500 מכשירים, פתרון ה-EMM שלכם צריך לתמוך בכל התכונות הסטנדרטיות () של קבוצת פתרונות אחת לפחות כדי שתוכלו להציע אותו למכירה. פתרונות EMM שעומדים בבדיקת התכונות הסטנדרטיות מופיעים במאגר הפתרונות לארגונים של Android כפתרונות עם חבילת ניהול סטנדרטית.
לכל חבילה של פתרונות יש קבוצה נוספת של תכונות מתקדמות. התכונות האלה מסומנות בכל דף של קבוצת פתרונות: פרופיל עבודה במכשיר בבעלות אישית, פרופיל עבודה במכשיר בבעלות החברה, מכשיר מנוהל ומכשיר ייעודי. פתרונות EMM שעברו אימות של תכונות מתקדמות מופיעים במאגר הפתרונות לארגונים של Android כפתרונות עם חבילת ניהול מתקדמת.
מפתח
| תכונה רגילה | תכונה מתקדמת | תכונה אופציונלית | לא רלוונטי |
1. הקצאת מכשיר
1.1. הקצאת פרופיל עבודה דרך DPC-first
אפשר להקצות פרופיל עבודה אחרי שמורידים את ה-DPC של ה-EMM מ-Google Play.
1.1.1. ה-DPC של ה-EMM צריך להיות זמין לכולם ב-Google Play כדי שמשתמשים יוכלו להתקין את ה-DPC בצד האישי של המכשיר.
1.1.2. לאחר ההתקנה, ה-DPC צריך להנחות את המשתמש בתהליך הקצאת פרופיל עבודה.
1.1.3. אחרי השלמת ההקצאה, לא יכול להישאר נוכחות ניהול בצד האישי של המכשיר.
- צריך להסיר כל מדיניות שהוגדרה במהלך ההקצאה.
- צריך לבטל את הרשאות האפליקציה.
- צריך להשבית את ה-DPC של ה-EMM לפחות בצד האישי של המכשיר.
1.2. הקצאת מכשיר באמצעות מזהה DPC
אדמיני IT יכולים להקצות מכשיר מנוהל או ייעודי באמצעות מזהה DPC ('afw#'), בהתאם להנחיות ההטמעה שמוגדרות במסמכי התיעוד למפתחים של Play EMM API.
1.2.1. ה-DPC של ה-EMM צריך להיות זמין לכולם ב-Google Play. צריך להיות אפשר להתקין את ה-DPC באמצעות האשף להגדרת המכשיר, על ידי הזנת מזהה ספציפי ל-DPC.
1.2.2. לאחר ההתקנה, ה-DPC של ה-EMM צריך להנחות את המשתמש בתהליך הקצאת מכשיר מנוהל או ייעודי.
1.3. הקצאת מכשירי NFC
אדמיני IT יכולים להשתמש בתגי NFC כדי להקצות מכשירים חדשים או מכשירים שמוגדרים להגדרות המקוריות, בהתאם להנחיות ההטמעה שמפורטות במסמכי התיעוד למפתחים של Play EMM API.
1.3.1. פלטפורמות EMM חייבות להשתמש בתגים מסוג 2 של NFC Forum עם זיכרון בנפח של 888 בייטים לפחות. כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרת ומזהי הרשמה, צריך להשתמש בתוספים להקצאה. פרטי ההרשמה לא אמורים לכלול מידע רגיש, כמו סיסמאות או אישורים.
1.3.2. אחרי שה-DPC של ה-EMM מגדיר את עצמו כבעלים של המכשיר, ה-DPC צריך להיפתח באופן מיידי ולנעול את עצמו למסך עד שהמכשיר יוקצה במלואו. 1.3.3. מומלץ להשתמש בתגי NFC בגרסאות Android 10 ואילך, בגלל ההוצאה משימוש של NFC Beam (נקרא גם NFC Bump).
1.4. הקצאת מכשיר באמצעות קוד QR
מנהלי IT יכולים להשתמש במכשיר חדש או במכשיר שחזר להגדרות המקוריות כדי לסרוק קוד QR שנוצר על ידי מסוף ה-EMM, כדי להקצות את המכשיר בהתאם להנחיות ההטמעה שמפורטות במסמכי התיעוד למפתחים של Play EMM API.
1.4.1. קוד ה-QR חייב להשתמש בתוספים לניהול כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרת ומזהי הרשמה. אסור לכלול פרטי רישום שמכילים מידע רגיש, כמו סיסמאות או אישורים.
1.4.2. אחרי שה-DPC של ה-EMM מגדיר את המכשיר, ה-DPC צריך להיפתח באופן מיידי ולנעול את עצמו למסך עד שהמכשיר יוקצה במלואו.
1.5. הרשמה דרך הארגון
אדמיני IT יכולים להגדיר מראש מכשירים שנרכשו ממפיצים מורשים ולנהל אותם באמצעות מסוף ה-EMM.
1.5.1. מנהלי IT יכולים להקצות מכשירים בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, כפי שמתואר במאמר הרשמה דרך הארגון למנהלי IT.
1.5.2. כשמפעילים מכשיר בפעם הראשונה, הוא מוגדר באופן אוטומטי להגדרות שהוגדרו על ידי האדמין ב-IT.
1.6. הקצאה מתקדמת ללא מגע
אדמיני IT יכולים להפוך חלק גדול מתהליך ההרשמה של המכשירים לאוטומטי על ידי פריסה של פרטי הרישום של DPC באמצעות הרשמה ללא מגע. ה-DPC של ה-EMM תומך בהגבלת ההרשמה לחשבונות או לדומיינים ספציפיים, בהתאם לאפשרויות ההגדרה שמציע ה-EMM.
1.6.1. מנהלי IT יכולים להקצות מכשיר בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, כפי שמתואר במאמר הרשמה דרך הארגון למנהלי IT.
1.6.2. אחרי שה-DPC של ה-EMM מגדיר את המכשיר, ה-DPC של ה-EMM צריך להיפתח באופן מיידי ולנעול את עצמו למסך עד שהמכשיר יוקצה במלואו.
- אין צורך לעמוד בדרישות האלה במכשירים שמשתמשים בפרטי ההרשמה של הרשמה דרך הארגון כדי להקצות את עצמם באופן מלא בשקט (לדוגמה, בפריסה של מכשיר ייעודי).
1.6.3. באמצעות פרטי הרישום, ה-DPC של ה-EMM צריך לוודא שמשתמשים לא מורשים לא יוכלו להמשיך בהפעלה אחרי שה-DPC יופעל. לפחות, ההפעלה צריכה להיות נעולה למשתמשים של ארגון נתון.
1.6.4. באמצעות פרטי הרישום, ה-DPC של ה-EMM צריך לאפשר לאדמינים ב-IT לאכלס מראש את פרטי הרישום (למשל מזהי שרתים, מזהי הרשמה) בנוסף למידע ייחודי על המשתמש או על המכשיר (למשל שם משתמש/סיסמה, אסימון הפעלה), כדי שהמשתמשים לא יצטרכו להזין פרטים כשהם מפעילים מכשיר.
- אסור ש-EMMs יכללו מידע רגיש, כמו סיסמאות או אישורים, בתצורה של ההרשמה ללא מגע.
1.7. הקצאה של פרופיל עבודה בחשבון Google
בארגונים שמשתמשים בדומיין מנוהל של Google, התכונה הזו מנחה את המשתמשים בהגדרת פרופיל עבודה אחרי שהם מזינים את פרטי הכניסה ל-Workspace הארגוני במהלך הגדרת המכשיר או במכשיר שכבר הופעל. בשני המקרים, הזהות הארגונית ב-Workspace תועבר לפרופיל העבודה.
1.7.1. שיטת הקצאת חשבון Google מקצה פרופיל עבודה, בהתאם להנחיות להטמעה.
1.8. הקצאת מכשיר לחשבון Google
בארגונים שמשתמשים ב-Workspace, התכונה הזו מנחה את המשתמשים בתהליך התקנת ה-DPC של ה-EMM אחרי שהם מזינים את פרטי הכניסה ל-Workspace העסקי במהלך ההגדרה הראשונית של המכשיר. לאחר ההתקנה, ה-DPC משלים את ההגדרה של מכשיר בבעלות החברה.
1.8.1. שיטת הקצאת חשבון Google מקצה מכשיר בבעלות החברה, בהתאם להנחיות להטמעה.
1.8.2. אם מערכת ה-EMM לא יכולה לזהות את המכשיר באופן חד-משמעי כנכס של הארגון, היא לא יכולה להקצות מכשיר בלי להציג בקשה במהלך תהליך ההקצאה. ההנחיה הזו צריכה לדרוש פעולה שאינה ברירת המחדל, כמו סימון תיבת סימון או בחירה באפשרות בתפריט שאינה ברירת המחדל. מומלץ שה-EMM יוכל לזהות את המכשיר כנכס של הארגון, כדי שלא תהיה צורך בהודעה.
1.9. הגדרה ישירה ללא מגע
אדמיני IT יכולים להשתמש במסוף של ה-EMM כדי להגדיר מכשירים ללא מגע באמצעות iframe ללא מגע.
1.10. פרופילים של עבודה במכשירים בבעלות החברה
פתרונות EMM יכולים לרשום מכשירים בבעלות החברה שיש להם פרופיל עבודה.
1.10.1. השארת השדה ריק בכוונה.
1.10.2. אדמינים ב-IT יכולים להגדיר פעולות תאימות לפרופילים של עבודה במכשירים שבבעלות החברה.
1.10.3. אדמינים ב-IT יכולים להשבית את המצלמה בפרופיל העבודה או במכשיר כולו.
1.10.4. אדמינים ב-IT יכולים להשבית את יכולת הצילום במסך בפרופיל העבודה או במכשיר כולו.
1.10.5. אדמינים ב-IT יכולים להגדיר רשימת חסימה של אפליקציות שלא ניתן להתקין בפרופיל האישי.
1.10.6. אדמינים ב-IT יכולים להפסיק לנהל מכשיר בבעלות החברה על ידי הסרת פרופיל העבודה או מחיקת כל המכשיר.
1.11. הקצאת מכשיר ייעודי
השארת השדה ריק בכוונה.
2. אבטחת המכשיר
2.1. אתגר אבטחת המכשיר
אדמיני IT יכולים להגדיר ולאכוף אתגר אבטחה למכשיר (מספר PIN/דפוס/סיסמה) מתוך מבחר מוגדר מראש של 3 רמות מורכבות במכשירים המנוהלים.
2.1.1. המדיניות חייבת לאכוף הגדרות לניהול האתגרים של אבטחת המכשיר (parentProfilePasswordRequirements לפרופיל העבודה, passwordRequirements למכשירים מנוהלים ומכשירים ייעודיים).
2.1.2. מורכבות הסיסמה חייבת להתאים למורכבות הסיסמה הבאה:
- PASSWORD_COMPLEXITY_LOW - תבנית או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH - קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468) באורך של 8 תווים לפחות, או סיסמאות אלפביתיות או אלפאנומריות באורך של 6 תווים לפחות
2.2. אתגר אבטחה בעבודה
אדמיני IT יכולים להגדיר ולאכוף אתגר אבטחה לאפליקציות ולנתונים בפרופיל העבודה, שהוא נפרד ומציג דרישות שונות מהאתגר לאבטחת המכשיר (2.1).
2.2.1. המדיניות חייבת לאכוף את האתגר האבטחה בפרופיל העבודה. כברירת מחדל, אדמינים ב-IT צריכים להגדיר הגבלות רק לפרופיל העבודה, אם לא צוין היקף. אדמינים ב-IT יכולים להגדיר את ההגבלות האלה ברמת המכשיר על ידי ציון ההיקף (ראו דרישה 2.1).
2.1.2. מורכבות הסיסמה צריכה להתאים למורכבות הסיסמה הבאה:
- PASSWORD_COMPLEXITY_LOW - תבנית או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH - קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468) באורך של 8 תווים לפחות, או סיסמאות אלפביתיות או אלפאנומריות באורך של 6 תווים לפחות
2.3. ניהול מתקדם של קודי גישה
2.3.1. כוונה להשאיר את השדה ריק.
2.3.2. השארת השדה ריק בכוונה.
2.3.3. אפשר להגדיר את ההגדרות הבאות של מחזור החיים של הסיסמאות לכל מסך נעילה שזמין במכשיר:
- ריקים בכוונה
- ריקים בכוונה
- מספר הסיסמה השגויה המקסימלי לאיפוס: קובע את מספר הפעמים שהמשתמשים יכולים להזין סיסמה שגויה לפני שנתוני הארגון יימחקו מהמכשיר. אדמינים ב-IT צריכים להיות מסוגלים להשבית את התכונה הזו.
2.4. ניהול של Smart Lock
מנהלי IT יכולים לקבוע אילו סוכני אמון בתכונה Smart Lock של Android מורשים לבטל את נעילת המכשירים. אדמינים ב-IT יכולים להשבית שיטות ספציפיות לביטול הנעילה, כמו מכשירי Bluetooth מהימנים, זיהוי פנים וזיהוי קולי, או להשבית את התכונה לגמרי.
2.4.1. אדמינים ב-IT יכולים להשבית את סוכני האמון של Smart Lock בנפרד לכל מסך נעילה שזמין במכשיר.
2.4.2. אדמינים ב-IT יכולים לאפשר ולהגדיר באופן סלקטיבי סוכני אמון של Smart Lock, בנפרד לכל מסך נעילה שזמין במכשיר, עבור סוכני האמון הבאים: Bluetooth, NFC, מקומות, זיהוי פנים, גישה לציוד גוף וקול.
- אדמינים ב-IT יכולים לשנות את פרמטרי התצורה הזמינים של סוכן האמון.
2.5. מחיקה ונעילה
אדמיני IT יכולים להשתמש במסוף של ה-EMM כדי לנעול מרחוק ולמחוק נתוני עבודה ממכשיר מנוהל.
2.5.1. ה-DPC של ה-EMM חייב לנעול את המכשירים.
2.5.2. ה-DPC של ה-EMM צריך למחוק את המכשירים.
2.6. אכיפת תאימות
אם המכשיר לא עומד בדרישות של מדיניות האבטחה, הגישה לנתוני העבודה מוגבלת באופן אוטומטי.
2.6.1. מדיניות האבטחה שחלה על המכשיר חייבת לכלול לפחות מדיניות סיסמאות.
2.7. מדיניות אבטחה שמוגדרת כברירת מחדל
ספק ה-EMM חייב לאכוף את כללי מדיניות האבטחה שצוינו במכשירים כברירת מחדל, בלי לחייב את אדמיני ה-IT להגדיר או להתאים אישית הגדרות במסוף של ה-EMM. מומלץ (אבל לא חובה) לספקי EMM לא לאפשר לאדמינים ב-IT לשנות את מצב ברירת המחדל של תכונות האבטחה האלה.
2.7.1. ה-DPC של ה-EMM חייב לחסום את ההתקנה של אפליקציות ממקורות לא מוכרים, כולל אפליקציות שמותקנות בצד האישי של כל מכשיר Android מגרסה 8.0 ואילך עם פרופיל עבודה.
2.7.2. ה-DPC של ה-EMM חייב לחסום את תכונות ניפוי הבאגים.
2.8. מדיניות אבטחה למכשירים ייעודיים
מכשירים ייעודיים נעולים ללא בריחה כדי לאפשר פעולות אחרות.
2.8.1. ב-DPC של ה-EMM צריך להשבית את האתחול למצב בטוח כברירת מחדל.
2.8.2. צריך לפתוח את ה-DPC של ה-EMM ולנעול אותו למסך באופן מיידי בהפעלה הראשונה במהלך ההקצאה, כדי להבטיח שלא תהיה אינטראקציה עם המכשיר בשום דרך אחרת.
2.8.3. צריך להגדיר את ה-DPC של ה-EMM כמרכז האפליקציות שמוגדר כברירת מחדל, כדי לוודא שאפליקציות מורשות יהיו נעולות למסך במהלך האתחול, בהתאם להנחיות להטמעה.
2.9. תמיכה ב-Play Integrity
מערכת ה-EMM משתמשת ב-Play Integrity API כדי לוודא שהמכשירים הם מכשירי Android תקינים.
2.9.1. ה-DPC של ה-EMM מטמיע את Play Integrity API במהלך ההקצאה, ועל ברירת המחדל הוא משלים את ההקצאה של המכשיר לנתונים ארגוניים רק כאשר ערך תקינות המכשיר המוחזר הוא MEETS_STRONG_INTEGRITY.
2.9.2. ה-DPC של ה-EMM יבצע בדיקה נוספת של תקינות הנתונים ב-Play בכל פעם שמכשיר יבצע צ'ק-אין עם השרת של ה-EMM, והאדמין של מחלקת ה-IT יוכל להגדיר את התדירות. שרת ה-EMM יאמת את פרטי ה-APK בתשובה לבדיקת השלמות ואת התשובה עצמה לפני שהוא יעדכן את המדיניות הארגונית במכשיר.
2.9.3. אדמינים ב-IT יכולים להגדיר תגובות שונות למדיניות בהתאם לתוצאה של בדיקת תקינות Play, כולל חסימה של הקצאת הרשאות, מחיקת נתונים ארגוניים והמשך הרישום.
- שירות ה-EMM יאכוף את תגובת המדיניות הזו על תוצאת כל בדיקת תקינות.
2.9.4. אם בדיקת התקינות הראשונית של Play נכשלת או מחזירה תוצאה שלא עומדת בדרישות של התקינות המחמירה, ואם ה-DPC של ה-EMM עדיין לא קרא לפונקציה ensureWorkingEnvironment, הוא צריך לעשות זאת וחזור על הבדיקה לפני השלמת ההקצאה.
2.10. אכיפה של אימות אפליקציות
אדמיני IT יכולים להפעיל את התכונה אימות אפליקציות במכשירים. התכונה'אימות אפליקציות' סורקת אפליקציות שמותקנות במכשירי Android כדי לאתר תוכנות מזיקות לפני ואחרי ההתקנה שלהן, וכך עוזרת לוודא שאפליקציות זדוניות לא יכולות לסכן את הנתונים של הארגון.
2.10.1. ה-DPC של ה-EMM חייב להפעיל את התכונה 'אימות אפליקציות' כברירת מחדל.
2.11. תמיכה בהפעלה ישירה
אי אפשר להריץ אפליקציות במכשירי Android מגרסה 7.0 ואילך שרק הופעלו, עד שמבטלים את הנעילה של המכשיר בפעם הראשונה. התמיכה בהפעלה ישירה מבטיחה שה-DPC של ה-EMM תמיד פעיל ויכול לאכוף את המדיניות, גם אם המכשיר לא נעול.
2.11.1. ה-DPC של ה-EMM משתמש באחסון מוצפן במכשיר כדי לבצע פונקציות ניהול קריטיות לפני שהאחסון המוצפן של פרטי הכניסה ב-DPC פוענח. פונקציות הניהול שזמינות במהלך הפעלה ישירה חייבות לכלול (בין היתר):
- מחיקה ארגונית, כולל היכולת למחוק את נתוני ההגנה על איפוס להגדרות המקוריות לפי הצורך.
2.11.2. אסור ל-DPC של ה-EMM לחשוף נתונים ארגוניים באחסון המוצפן של המכשיר.
2.11.3. פלטפורמות EMM יכולות להגדיר ולהפעיל אסימון כדי להפעיל את הלחצן שכחתי את הסיסמה במסך הנעילה של פרופיל העבודה. הלחצן הזה משמש לבקשה מאדמיני ה-IT לאפס באופן מאובטח את הסיסמה של פרופיל העבודה.
2.12. ניהול אבטחת החומרה
אדמיני IT יכולים לנעול רכיבי חומרה של מכשיר בבעלות החברה כדי למנוע אובדן נתונים.
2.12.1. אדמינים ב-IT יכולים לחסום משתמשים מהתקנת מדיה חיצונית פיזית במכשיר שלהם.
2.12.2. אדמינים ב-IT יכולים לחסום משתמשים מלשתף נתונים מהמכשיר שלהם באמצעות הקרנת NFC. התכונה המשנית הזו היא אופציונלית, כי הפונקציה NFC beam כבר לא נתמכת ב-Android מגרסה 10 ואילך.
2.12.3. אדמינים ב-IT יכולים לחסום משתמשים כך שלא יוכלו להעביר קבצים באמצעות USB מהמכשיר שלהם.
2.13. רישום ביומן של אבטחת הארגון
אדמיני IT יכולים לאסוף נתוני שימוש ממכשירים, שאפשר לנתח ולבצע הערכה פרוגרמטית שלהם כדי לזהות התנהגות זדונית או מסוכנת. הפעילויות שמתועדות ביומן כוללות פעילות של ממשק הגישור של Android (adb), פתיחת אפליקציות וביטול נעילת המסך.
2.13.1. אדמינים ב-IT יכולים להפעיל את הרישום ביומן האבטחה במכשירים ספציפיים, ו-DPC של ה-EMM צריך להיות מסוגל לאחזר באופן אוטומטי גם יומני אבטחה וגם יומני אבטחה לפני הפעלה מחדש.
2.13.2. אדמינים ב-IT יכולים לבדוק את יומני האבטחה של הארגון במסוף של ה-EMM, עבור מכשיר נתון וחלון זמן שניתן להגדרה.
2.13.3. אדמינים ב-IT יכולים לייצא יומני אבטחה ארגוניים מהמסוף של ה-EMM.
3. ניהול החשבון והאפליקציות
3.1. קישור לארגון
אדמיני IT יכולים לקשר את ה-EMM לארגון שלהם, וכך לאפשר ל-EMM להשתמש ב-Google Play לארגונים כדי להפיץ אפליקציות למכשירים.
3.1.1. אדמין עם דומיין מנוהל קיים ב-Google יכול לקשר את הדומיין שלו ל-EMM.
3.1.2. במסוף של ה-EMM צריך להקצות ולהגדיר ESA ייחודי בשקט לכל ארגון.
3.1.3. לבטל את ההרשמה של ארגון באמצעות Play EMM API.
3.1.4. במסוף ה-EMM, האדמין מקבל הנחיות להזין את כתובת האימייל העסקית שלו בתהליך ההרשמה ל-Android, ומופיעה בו המלצה לא להשתמש בחשבון Gmail.
3.1.5. מערכת ה-EMM ממלאת מראש את כתובת האימייל של האדמין בתהליך ההרשמה ל-Android.
3.2. הקצאה של חשבון Google Play מנוהל
ה-EMM יכול להקצות באופן אוטומטי חשבונות משתמשים לארגון, שנקראים 'חשבונות Google Play מנוהלים'. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים להגדיר כללי הפצה ייחודיים של אפליקציות לכל משתמש.
3.2.1. ה-DPC של ה-EMM יכול להקצות ולהפעיל חשבון Google Play מנוהל באופן אוטומטי, בהתאם להנחיות ההטמעה המוגדרות. כך תוכלו:
- חשבון Google Play מנוהל מסוג
userAccountמתווסף למכשיר. - לחשבון Google Play המנוהל מסוג
userAccountצריך להיות מיפוי אחד-לאחד למשתמש בפועל במסוף של ה-EMM.
3.3. הקצאה של חשבון מכשיר מנוהל ב-Google Play
מערכת ה-EMM יכולה ליצור ולספק חשבונות מכשיר ב-Google Play לארגונים. חשבונות המכשיר תומכים בהתקנה שקטה של אפליקציות מחנות Google Play המנוהלת, והם לא קשורים למשתמש יחיד. במקום זאת, חשבון המכשיר משמש לזיהוי מכשיר יחיד כדי לתמוך בכללים להפצת אפליקציות לכל מכשיר בתרחישים ייעודיים של מכשיר.
3.3.1. ה-DPC של ה-EMM יכול להקצות ולהפעיל חשבון Google Play מנוהל באופן אוטומטי, בהתאם להנחיות ההטמעה המוגדרות.
לשם כך, צריך להוסיף למכשיר חשבון Google Play מנוהל מסוג deviceAccount.
3.4. הקצאה של חשבון Google Play מנוהל למכשירים מדור קודם
מערכת ה-EMM יכולה להקצות באופן אוטומטי חשבונות משתמשים ארגוניים, שנקראים חשבונות Google Play מנוהלים. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים להגדיר כללי הפצה ייחודיים לכל משתמש.
3.4.1. ה-DPC של ה-EMM יכול להקצות ולהפעיל חשבון Google Play מנוהל באופן אוטומטי, בהתאם להנחיות ההטמעה המוגדרות. כך תוכלו:
- חשבון Google Play מנוהל מסוג
userAccountמתווסף למכשיר. - לחשבון Google Play המנוהל מסוג
userAccountצריך להיות מיפוי אחד-לאחד למשתמש בפועל במסוף של ה-EMM.
3.5. הפצת אפליקציות בשקט
אדמיני IT יכולים להפיץ אפליקציות עבודה במכשירים של המשתמשים ללא אינטראקציה מצד המשתמשים.
3.5.1. כדי לאפשר למנהלי IT להתקין אפליקציות עבודה במכשירים מנוהלים, מסוף ה-EMM צריך להשתמש ב-Play EMM API.
3.5.2. כדי לאפשר למנהלי IT לעדכן אפליקציות עבודה במכשירים מנוהלים, מסוף ה-EMM צריך להשתמש ב-Play EMM API.
3.5.3. כדי לאפשר לאדמינים ב-IT להסיר אפליקציות ממכשירים מנוהלים, מסוף ה-EMM צריך להשתמש ב-Play EMM API.
3.6. ניהול תצורות מנוהלות
אדמינים ב-IT יכולים לראות את ההגדרות המנוהלות או כל אפליקציה שתומכת בהגדרות מנוהלות, ולהגדיר אותן בשקט.
3.6.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את הגדרות התצורה המנוהלות של כל אפליקציה ב-Play.
- פלטפורמות EMM יכולות להפעיל את
Products.getAppRestrictionsSchemaכדי לאחזר את הסכימה של ההגדרות המנוהלות של האפליקציה, או להטמיע את המסגרת של ההגדרות המנוהלות במסוף ה-EMM שלהן.
3.6.2. המסוף של ה-EMM חייב לאפשר למנהלי IT להגדיר כל סוג הגדרה (כפי שמוגדר במסגרת Android) לכל אפליקציה ב-Play באמצעות Play EMM API.
3.6.3. מסוף ה-EMM צריך לאפשר לאדמינים ב-IT להגדיר תווים כלליים (כמו $username$ או %emailAddress%) כדי שאפשר יהיה להחיל הגדרה אחת לאפליקציה כמו Gmail על כמה משתמשים. ה-iframe של ההגדרה המנוהלת תומך באופן אוטומטי בדרישה הזו.
3.7. ניהול של קטלוג האפליקציות
אדמינים ב-IT יכולים לייבא רשימה של אפליקציות שאושרו לארגון שלהם מ-Google Play לארגונים (play.google.com/work).
3.7.1. במסוף ה-EMM אפשר להציג רשימה של אפליקציות שאושרו להפצה, כולל:
- אפליקציות שנרכשו ב-Google Play לארגונים
- אפליקציות פרטיות שגלויות לאדמינים ב-IT
- אפליקציות שאושרו באופן פרוגרמטי
3.8. אישור אפליקציות באופן פרוגרמטי
במסוף ה-EMM נעשה שימוש ב-iframe של Google Play לארגונים כדי לתמוך ביכולות של Google Play לגלות אפליקציות ולאשר אותן. אדמינים ב-IT יכולים לחפש אפליקציות, לאשר אפליקציות ולאשר הרשאות חדשות לאפליקציות בלי לצאת מהמסוף של ה-EMM.
3.8.1. אדמינים ב-IT יכולים לחפש אפליקציות ולאשר אותן במסוף ה-EMM באמצעות ה-iframe של Google Play לארגונים.
3.9. ניהול בסיסי של פריסת החנות
אפשר להשתמש באפליקציית חנות Google Play לארגונים במכשירים כדי להתקין ולעדכן אפליקציות לעבודה. פריסת החנות הבסיסית מוצגת כברירת מחדל ומציגה רשימה של האפליקציות שאושרו לארגון. פלטפורמות ה-EMM מסננות את האפליקציות האלה לפי משתמש, בהתאם למדיניות.
3.9.1. אדמינים ב-IT יכולים [לנהל את קבוצות המוצרים הזמינות למשתמשים]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) כדי לאפשר למשתמשים להציג ולהתקין אפליקציות מחנות Google Play המנוהלת, בקטע 'דף הבית של החנות'.
3.10. הגדרה מתקדמת של פריסת החנות
אדמיני IT יכולים להתאים אישית את פריסת החנות שמוצגת באפליקציית חנות Google Play לארגונים במכשירים.
3.10.1. אדמינים ב-IT יכולים לבצע את הפעולות הבאות במסוף ה-EMM כדי להתאים אישית את הפריסה של חנות Google Play לארגונים:
- ליצור עד 100 דפי פריסה של החנות. לדפים יכול להיות מספר שרירותי של שמות דפים מותאמים לשוק המקומי.
- אפשר ליצור עד 30 אשכולות לכל דף. אפשר לתת לאשכולות מספר בלתי מוגבל של שמות מותאמים לשוק המקומי.
- אפשר להקצות עד 100 אפליקציות לכל אשכול.
- אפשר להוסיף עד 10 קישורי קיצור לכל דף.
- מציינים את סדר המיון של האפליקציות בתוך אשכול ואת סדר המיון של האשכולות בדף.
3.11. ניהול רישיונות לאפליקציות
אדמיני IT יכולים להציג ולנהל רישיונות לאפליקציות שנרכשו ב-Google Play לארגונים דרך מסוף ה-EMM.
3.11.1. באפליקציות בתשלום שאושרו לארגון, במסוף של ה-EMM חייבים להופיע:
- מספר הרישיונות שנרכשו.
- מספר הרישיונות שנצרכו והמשתמשים שמנצלים את הרישיונות.
- מספר הרישיונות שזמינים להפצה.
3.11.2. אדמינים ב-IT יכולים להקצות רישיונות למשתמשים בשקט בלי לאלץ את האפליקציה הזו להתקינות באף אחד מהמכשירים של המשתמשים.
3.11.3. אדמינים ב-IT יכולים לבטל את ההקצאה של רישיון אפליקציה למשתמש.
3.12. ניהול אפליקציות פרטיות שמתארחות ב-Google
אדמיני IT יכולים לעדכן אפליקציות פרטיות שמתארחות ב-Google דרך מסוף ה-EMM במקום דרך Google Play Console.
3.12.1. מנהלי IT יכולים להעלות גרסאות חדשות של אפליקציות שכבר פורסמו באופן פרטי לארגון באמצעות:
3.13. ניהול אפליקציות פרטיות באירוח עצמי
אדמיני IT יכולים להגדיר ולפרסם אפליקציות פרטיות שמתארחות בעצמן. בניגוד לאפליקציות פרטיות שמתארחות ב-Google, חבילות ה-APK לא מתארחות ב-Google Play. במקום זאת, ה-EMM עוזר לאדמינים ב-IT לארח חבילות APK בעצמם, ומגן על אפליקציות שמתארחות באופן עצמאי על ידי הבטחת האפשרות להתקין אותן רק לאחר אישור מ-Google Play המנוהל.
אדמינים ב-IT יכולים לעבור אל תמיכה באפליקציות פרטיות כדי לקבל פרטים נוספים.
3.13.1. מסוף ה-EMM חייב לעזור לאדמינים ב-IT לארח את קובץ ה-APK של האפליקציה, על ידי הצעת שתי האפשרויות הבאות:
- אירוח קובץ ה-APK בשרת של ה-EMM. השרת יכול להיות מקומי או מבוסס-ענן.
- אירוח קובץ ה-APK מחוץ לשרת של ה-EMM, לפי שיקול דעתו של אדמין ה-IT. האדמין צריך לציין במסוף ה-EMM את המיקום שבו מתארח קובץ ה-APK.
3.13.2. מסוף ה-EMM צריך ליצור קובץ הגדרה מתאים של APK באמצעות קובץ ה-APK שסופק, ולהנחות את מנהלי ה-IT בתהליך הפרסום.
3.13.3. אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות שמתארחות בעצמן, והמסוף של ה-EMM יכול לפרסם בשקט קובצי הגדרה מעודכנים של APK באמצעות Google Play Developer Publishing API.
3.13.4. שרת ה-EMM משרת רק בקשות להורדה של קובץ ה-APK המתארח בעצמו, שמכיל JWT תקין בקובץ ה-cookie של הבקשה, כפי שאומת על ידי המפתח הציבורי של האפליקציה הפרטית.
- כדי להקל על התהליך, השרת של ה-EMM צריך להנחות את האדמינים של מערכות המידע להוריד את המפתח הציבורי של הרישיון של האפליקציה שמתארחת בעצמה מ-Google Play Console, ולהעלות את המפתח הזה למסוף ה-EMM.
3.14. התראות משיכה של EMM
במקום לשלוח מדי פעם שאילתות ל-Play כדי לזהות אירועים קודמים, כמו עדכון של אפליקציה שמכיל הרשאות חדשות או הגדרות מנוהלות, התראות של EMM pull מעדכנות את פלטפורמות ה-EMM על אירועים כאלה בזמן אמת, ומאפשרות להן לבצע פעולות אוטומטיות ולספק התראות ניהוליות בהתאמה אישית על סמך האירועים האלה.
3.14.1. מערכת ה-EMM חייבת להשתמש בהתראות EMM של Play כדי לשלוף קבוצות של התראות.
3.14.2. מערכת ה-EMM חייבת לשלוח באופן אוטומטי התראה לאדמין IT (לדוגמה, באימייל אוטומטי) על אירועי ההתראות הבאים:
newPermissionEvent: האדמין צריך לאשר הרשאות חדשות לאפליקציה כדי שאפשר יהיה להתקין או לעדכן אותה באופן אוטומטי במכשירים של המשתמשים.appRestrictionsSchemaChangeEvent: יכול להיות שתצטרכו לבקש מאדמין ה-IT לעדכן את ההגדרות המנוהלות של האפליקציה כדי לשמור על היעילות הרצויה.appUpdateEvent: יכולה לעניין אדמינים ב-IT שרוצים לוודא שהביצועים של תהליך העבודה העיקרי לא מושפעים מעדכון האפליקציה.productAvailabilityChangeEvent: יכולה להשפיע על היכולת להתקין את האפליקציה או לקבל עדכונים לאפליקציה.installFailureEvent: Play לא מצליח להתקין אפליקציה במכשיר באופן אוטומטי. יכול להיות שמדובר בהגדרה כלשהי במכשיר שמונעת את ההתקנה. מערכת EMM לא צריכה לנסות שוב התקנה שקטה מיד אחרי קבלת ההודעה הזו, כי לוגיק הניסיון החוזר של Play כבר נכשל.
3.14.3. מערכת EMM מבצעת באופן אוטומטי את הפעולות המתאימות על סמך אירועי ההתראות הבאים:
newDeviceEvent: במהלך הקצאת המכשיר, פלטפורמות EMM צריכות להמתין ל-newDeviceEventלפני שהן מבצעות קריאות נוספות ל-Play EMM API במכשיר החדש, כולל התקנות שקשות לזיהוי של אפליקציות והגדרת הגדרות מנוהלות.productApprovalEvent: כשמתקבלת התראה מסוגproductApprovalEvent, מערכת ה-EMM צריכה לעדכן באופן אוטומטי את רשימת האפליקציות המאושרות שיובאו למסוף ה-EMM לצורך הפצה למכשירים, אם יש סשן פעיל של אדמין IT או אם רשימת האפליקציות המאושרות לא נטענת מחדש באופן אוטומטי בתחילת כל סשן של אדמין IT.
3.15. דרישות לשימוש ב-API
מערכת ה-EMM מטמיעה את ממשקי ה-API של Google בקנה מידה נרחב, ומונעת דפוסי תנועה שעשויים להשפיע לרעה על היכולת של אדמינים ב-IT לנהל אפליקציות בסביבות ייצור.
3.15.1. מערכת ה-EMM חייבת לפעול בהתאם למגבלות השימוש של Play EMM API. אי תיקון התנהגות שמחריגה מההנחיות האלה עלול להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.15.2. מערכת ה-EMM צריכה לחלק את התנועה מעסקים שונים במהלך היום, במקום לרכז את התנועה הארגונית בזמנים ספציפיים או דומים. התנהגות שתתאים לדפוס התנועה הזה, כמו פעולות באצווה מתוזמנות לכל מכשיר שמשויך, עשויה להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.15.3. אסור שמערכת ה-EMM תשלח בקשות עקביות, חלקיות או מכוונות שגויות, שלא כוללות ניסיון לאחזר או לנהל נתונים אמיתיים של הארגון. התנהגות שתתאים לדפוס התנועה הזה עשויה להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.16. ניהול מתקדם של הגדרות מנוהלות
3.16.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את הגדרות התצורה המנוהלות (במיקום עץ של עד ארבע רמות) של כל אפליקציה ב-Play, באמצעות:
- ה-iFrame המנוהל של Google Play, או
- ממשק משתמש מותאם אישית.
3.16.2. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג משוב שמוחזר על ידי ערוץ המשוב של האפליקציה, אם האדמין ב-IT הגדיר אותו.
- מסוף ה-EMM חייב לאפשר לאדמינים ב-IT לשייך פריט משוב ספציפי למכשיר ולאפליקציה שמהם הוא הגיע.
- במסוף של ה-EMM צריכה להיות אפשרות לאדמינים ב-IT להירשם להתראות או לדוחות של סוגי הודעות ספציפיים (כמו הודעות שגיאה).
3.16.3. מסוף ה-EMM חייב לשלוח רק ערכים שיש להם ערך ברירת מחדל או שהאדמין הגדיר אותם באופן ידני באמצעות:
- ה-iframe של ההגדרות המנוהלות, או
- ממשק משתמש בהתאמה אישית.
3.17. ניהול אפליקציות אינטרנט
אדמיני IT יכולים ליצור ולהפיץ אפליקציות אינטרנט במסוף ה-EMM.
3.17.1. אדמינים ב-IT יכולים להשתמש במסוף של ה-EMM כדי להפיץ קיצורי דרך לאפליקציות אינטרנט באמצעות:
3.18. ניהול מחזור החיים של חשבון Google Play מנוהל
ה-EMM יכול ליצור, לעדכן ולמחוק חשבונות Google Play מנוהלים מטעם אדמינים ב-IT.
3.18.1. פלטפורמות EMM יכולות לנהל את מחזור החיים של חשבון Google Play מנוהל בהתאם להנחיות ההטמעה שמוגדרות במסמכי התיעוד למפתחים של Play EMM API.
3.18.2. פלטפורמות EMM יכולות לבצע אימות מחדש של חשבונות Google Play מנוהלים בלי אינטראקציה עם המשתמשים.
3.19. ניהול של מעקב אחר אפליקציות
3.19.1. אדמינים ב-IT יכולים למשוך רשימה של מזהי טראקים שהמפתח הגדיר לאפליקציה מסוימת.
3.19.2. אדמינים ב-IT יכולים להגדיר מכשירים כך שישתמשו במסלול פיתוח מסוים לאפליקציה.
3.20. ניהול מתקדם של עדכוני אפליקציות
3.20.1. אדמינים ב-IT יכולים לאפשר לאפליקציות להשתמש בעדכוני אפליקציות בעדיפות גבוהה כדי להתעדכן כשהעדכון מוכן.
3.20.2. אדמינים ב-IT יכולים לאפשר דחיית עדכוני אפליקציות למשך 90 יום.
3.21. ניהול שיטות הקצאה
מערכת ה-EMM יכולה ליצור הגדרות להקצאה ולהציג אותן לאדמין ה-IT בפורמט שזמין להפצה למשתמשי הקצה (למשל, קוד QR, הגדרה ללא מגע, כתובת URL של חנות Play).
4. ניהול מכשירים
4.1. ניהול מדיניות ההרשאות בזמן ריצה
אדמיני IT יכולים להגדיר תשובה שתישלח באופן אוטומטי לבקשות גישה בזמן ריצה מאפליקציות עבודה.
4.1.1. אדמינים ב-IT צריכים להיות מסוגלים לבחור מבין האפשרויות הבאות כשהם מגדירים מדיניות הרשאות ברירת מחדל בסביבת זמן הריצה לארגון שלהם:
- הנחיה (מאפשרת למשתמשים לבחור)
- לאפשר
- דחייה
המערכת לניהול מכשירים ניידים בארגון (EMM) צריכה לאכוף את ההגדרות האלה באמצעות ה-DPC של ה-EMM.
4.2. ניהול המצב של מתן ההרשאה בזמן ריצה
אחרי שמגדירים מדיניות ברירת מחדל להרשאות בסביבת זמן ריצה (מעבר לקטע 4.1.), אדמינים ב-IT יכולים להגדיר תשובות ללא ידיעת המשתמשים להרשאות ספציפיות מכל אפליקציה לעבודה שנוצרה על סמך API מגרסה 23 ואילך.
4.2.1. אדמינים ב-IT צריכים להיות מסוגלים להגדיר את מצב ההענקה (ברירת המחדל, הענקה או דחייה) של כל הרשאה שמבוקשת על ידי אפליקציית עבודה שנוצרה על API מגרסה 23 ואילך. מערכת ה-EMM צריכה לאכוף את ההגדרות האלה באמצעות ה-DPC של ה-EMM.
4.3. ניהול הגדרות Wi-Fi
אדמיני IT יכולים להקצות באופן אוטומטי הגדרות Wi-Fi ארגוניות במכשירים מנוהלים, כולל:
4.3.1. SSID, באמצעות ה-DPC של ה-EMM.
4.3.2. סיסמה, באמצעות ה-DPC של ה-EMM.
4.4. ניהול אבטחת Wi-Fi
מנהלי IT יכולים להקצות הגדרות Wi-Fi ארגוניות במכשירים מנוהלים, שכוללות את תכונות האבטחה המתקדמות הבאות:
4.4.1. זהות, באמצעות ה-DPC של ה-EMM.
4.4.2. אישור להרשאת לקוחות, באמצעות DPC של ה-EMM.
4.4.3. אישורי CA, באמצעות ה-DPC של ה-EMM.
4.5. ניהול מתקדם של Wi-Fi
אדמיני IT יכולים לנעול את הגדרות ה-Wi-Fi במכשירים מנוהלים, כדי למנוע ממשתמשים ליצור הגדרות או לשנות הגדרות ארגוניות.
4.5.1. אדמינים ב-IT יכולים לנעול את הגדרות ה-Wi-Fi הארגוניות באחת מההגדרות הבאות:
- המשתמשים לא יכולים לשנות הגדרות Wi-Fi שהוקצו על ידי ה-EMM, אבל הם יכולים להוסיף ולשנות רשתות משלהם שהם יכולים להגדיר (לדוגמה, רשתות אישיות).
- המשתמשים לא יכולים להוסיף או לשנות רשתות Wi-Fi במכשיר, כך שהחיבור ל-Wi-Fi מוגבל רק לרשתות שהוקצו על ידי ה-EMM.
4.6. ניהול חשבון
אדמינים ב-IT יכולים לוודא שחשבונות ארגוניים לא מורשים לא יכולים לקיים אינטראקציה עם נתונים ארגוניים, בשירותים כמו אחסון ב-SaaS, אפליקציות פרודוקטיביות או אימייל. בלי התכונה הזו, אפשר להוסיף חשבונות אישיים לאפליקציות ארגוניות שתומכות גם בחשבונות של צרכנים, וכך לשתף נתונים ארגוניים עם החשבונות האישיים האלה.
4.6.1. אדמינים ב-IT יכולים למנוע הוספה או שינוי של חשבונות.
- כשאוכפים את המדיניות הזו במכשיר, פלטפורמות ה-EMM צריכות להגדיר את ההגבלה הזו לפני השלמת ההקצאה, כדי לוודא שלא תוכלו לעקוף את המדיניות הזו על ידי הוספת חשבונות לפני שהמדיניות תופעל.
4.7. ניהול חשבון Workspace
אדמיני IT יכולים לוודא שחשבונות Google לא מורשים לא יכולים לקיים אינטראקציה עם נתונים ארגוניים. בלי התכונה הזו, אפשר להוסיף חשבונות Google אישיים לאפליקציות Google ארגוניות (למשל Google Docs או Google Drive), וכך לשתף נתונים ארגוניים עם החשבונות האישיים האלה.
4.7.1. אדמינים ב-IT יכולים לציין חשבונות Google שיופעלו במהלך ההקצאה, אחרי שהנעילה של ניהול החשבון תהיה בתוקף.
4.7.2. ה-DPC של ה-EMM צריך להציג בקשה להפעלת חשבון Google, ולציין את החשבון שרוצים להוסיף כדי לוודא שאפשר להפעיל רק את החשבון הספציפי.
- במכשירים עם גרסת Android ישנה יותר מ-7.0, ה-DPC צריך להשבית באופן זמני את ההגבלה על ניהול החשבון לפני שהוא מציג את ההודעה למשתמש.
4.8. ניהול אישורים
אדמיני IT יכולים לפרוס אישורי זהות ורשות אישורים במכשירים כדי לאפשר גישה למשאבים ארגוניים.
4.8.1. אדמינים ב-IT יכולים להתקין אישורי זהות של משתמשים שנוצרו על ידי ה-PKI שלהם, על בסיס משתמש. מסוף ה-EMM צריך להתמזג עם רשת PKI אחת לפחות ולחלק אישורים שנוצרו מהתשתית הזו.
4.8.2. אדמינים ב-IT יכולים להתקין רשויות אישורים במאגר המפתחות המנוהל.
4.9. ניהול מתקדם של אישורים
מאפשר לאדמינים ב-IT לבחור בחשאי את האישורים שבהם אפליקציות מנוהלות ספציפיות צריכות להשתמש. התכונה הזו גם מאפשרת לאדמינים ב-IT להסיר רשויות אישור (CA) ואישורי זהות ממכשירים פעילים. התכונה הזו מונעת ממשתמשים לשנות את פרטי הכניסה שמאוחסנים במאגר המפתחות המנוהל.
4.9.1. לאפליקציות שמופצות למכשירים, אדמינים ב-IT יכולים לציין אישור שאפליקציות יקבלו גישה אליו בשקט במהלך זמן הריצה.
- בחירת האישור צריכה להיות גנרית מספיק כדי לאפשר הגדרה אחת שתחול על כל המשתמשים, לכל אחד מהם יכול להיות אישור זהות ספציפי למשתמש.
4.9.2. אדמינים ב-IT יכולים להסיר אישורים ממאגר המפתחות המנוהל ללא הודעה.
4.9.3. אדמינים ב-IT יכולים להסיר אישור CA או את כל אישורי ה-CA שאינם של המערכת ללא הודעה.
4.9.4. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר פרטי כניסה במאגר המפתחות המנוהל.
4.9.5. אדמינים ב-IT יכולים להקצות מראש אישורים לאפליקציות לעבודה.
4.10. ניהול אישורים שהועברו
אדמיני IT יכולים להפיץ אפליקציה לניהול אישורים של צד שלישי למכשירים, ולהעניק לאפליקציה הזו הרשאות גישה להתקנת אישורים במאגר המפתחות המנוהל.
4.10.1. אדמינים ב-IT מציינים חבילת ניהול אישורים שה-DPC מגדיר בתור אפליקציית ניהול האישורים שאליה מוענקת הגישה.
- במסוף יכולות להופיע הצעות לחבילות ידועות לניהול אישורי SSL, אבל האדמין צריך לאפשר למשתמשים הרלוונטיים לבחור מתוך רשימת האפליקציות הזמינות להתקנה.
4.11. ניהול VPN מתקדם
מנהלי IT יכולים לציין VPN שפועל כל הזמן כדי לוודא שהנתונים מאפליקציות מנוהלות מסוימות יעברו תמיד דרך VPN שהוגדר.
4.11.1. אדמינים ב-IT יכולים לציין חבילת VPN שרירותית להגדרה כ-VPN בחיבור תמידי.
- במסוף של ה-EMM יכולות להופיע הצעות לחבילות VPN מוכרות שתומכות ב-VPN שפועל כל הזמן, אבל אי אפשר להגביל את רשימת ה-VPN שזמינות להגדרה של VPN שפועל כל הזמן.
4.11.2. אדמינים ב-IT יכולים להשתמש בהגדרות מנוהלות כדי לציין את הגדרות ה-VPN של אפליקציה.
4.12. ניהול IME
אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר במכשירים. מאחר ש-IME משותף בין הפרופיל האישי לפרופיל העבודה, חסימה של השימוש ב-IMEs תמנע גם את ההרשאה לשימוש אישי ב-IMEs האלה. עם זאת, אדמינים ב-IT לא יכולים לחסום IME של מערכת בפרופילים של עבודה (פרטים נוספים זמינים במאמר בנושא ניהול מתקדם של IME).
4.12.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME באורך שרירותי (כולל רשימה ריקה, שחוסמת IMEs שאינם מערכתיים), שיכולה להכיל חבילות IME שרירותיות.
- במסוף ה-EMM יכולות להופיע הצעות ל-IME מוכרים או מומלצים שאפשר לכלול ברשימת ההיתרים, אבל האדמינים ב-IT חייבים לאפשר למשתמשים הרלוונטיים לבחור מתוך רשימת האפליקציות שזמינות להתקנה.
4.12.2. ספק ה-EMM חייב להודיע לאדמינים ב-IT ש-IMEs של מערכות לא נכללים בניהול במכשירים עם פרופילים של עבודה.
4.13. ניהול מתקדם של IME
אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר במכשירים. ניהול מתקדם של IME מרחיב את התכונה הבסיסית ומאפשר לאדמינים ב-IT לנהל גם את השימוש ב-IME של המערכת, שספק המכשיר או יצרן המכשיר מספקים בדרך כלל.
4.13.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME באורך שרירותי (לא כולל רשימה ריקה, שחוסמת את כל ה-IME, כולל IME של המערכת), שיכולה להכיל חבילות IME שרירותיות.
- במסוף ה-EMM יכולות להופיע הצעות ל-IME מוכרים או מומלצים שאפשר לכלול ברשימת ההיתרים, אבל האדמינים ב-IT חייבים לאפשר למשתמשים הרלוונטיים לבחור מתוך רשימת האפליקציות שזמינות להתקנה.
4.13.2. פלטפורמות EMM חייבות למנוע מאדמינים ב-IT להגדיר רשימת היתרים ריקה, כי ההגדרה הזו תמנע את ההגדרה של כל ממשקי ה-IME במכשיר, כולל ממשקי ה-IME של המערכת.
4.13.3. פלטפורמות EMM חייבות לוודא שאם רשימת ההיתרים של IME לא מכילה IME של מערכת, תוכנות ה-IME של הצד השלישי מותקנות בשקט לפני שהרשימת ההיתרים חלה על המכשיר.
4.14. ניהול שירותי הנגישות
אדמיני IT יכולים לקבוע אילו שירותי נגישות יהיו זמינים במכשירים של המשתמשים. שירותי הנגישות הם כלים יעילים למשתמשים עם מוגבלויות או למשתמשים שלא יכולים באופן זמני לקיים אינטראקציה מלאה עם המכשיר שלהם, אבל הם עשויים לקיים אינטראקציה עם נתונים ארגוניים בדרכים שלא עומדות בדרישות המדיניות הארגונית. התכונה הזו מאפשרת לאדמינים ב-IT להשבית כל שירות נגישות שאינו שירות מערכתי.
4.14.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של שירותי נגישות באורך שרירותי (כולל רשימה ריקה, שחוסמת שירותי נגישות שאינם מערכתיים), שיכולה להכיל כל חבילת שירותי נגישות שרירותית. כשהיא חלה על פרופיל עבודה, היא משפיעה גם על הפרופיל האישי וגם על פרופיל העבודה.
- אם רוצים, אפשר להציע במסוף שירותי נגישות מוכרים או מומלצים שאפשר לכלול ברשימת ההיתרים, אבל האדמינים ב-IT חייבים לאפשר למשתמשים הרלוונטיים לבחור מתוך רשימת האפליקציות שזמינות להתקנה.
4.15. ניהול של שיתוף המיקום
אדמיני IT יכולים למנוע ממשתמשים לשתף נתוני מיקום עם אפליקציות בפרופיל העבודה. אחרת, אפשר להגדיר את הגדרת המיקום של פרופילי העבודה בהגדרות.
4.15.1. אדמינים ב-IT יכולים להשבית את שירותי המיקום בפרופיל העבודה.
4.16. ניהול מתקדם של שיתוף המיקום
אדמיני IT יכולים לאכוף הגדרה מסוימת של שיתוף המיקום במכשיר מנוהל. התכונה הזו יכולה להבטיח לאפליקציות ארגוניות תמיד גישה לנתוני מיקום ברמת דיוק גבוהה. התכונה הזו יכולה גם למנוע צריכת סוללה נוספת על ידי הגבלת הגדרות המיקום למצב חיסכון בסוללה.
4.16.1. אדמינים ב-IT יכולים להגדיר את שירותי המיקום של המכשיר לכל אחד מהמצבים הבאים:
- רמת דיוק גבוהה.
- חיישנים בלבד, למשל GPS, אבל לא כולל מיקום שמסופק על ידי הרשת.
- חיסכון בסוללה, שמגביל את תדירות העדכונים.
- כבוי.
4.17. ניהול ההגנה מפני איפוס להגדרות המקוריות
התכונה מאפשרת לאדמינים ב-IT להגן על מכשירים בבעלות החברה מפני גניבה, על ידי מניעת האפשרות של משתמשים לא מורשים לאפס את המכשירים להגדרות המקוריות. אם ההגנה מפני איפוס להגדרות המקוריות יוצרת מורכבות תפעולית כשהמכשירים מוחזרים ל-IT, האדמינים ב-IT יכולים גם להשבית את ההגנה הזו לגמרי.
4.17.1. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את המכשיר להגדרות המקוריות דרך ההגדרות.
4.17.2. אדמינים ב-IT יכולים לציין חשבונות נעילה ארגוניים מורשים להקצאת מכשירים אחרי איפוס להגדרות היצרן.
- אפשר לקשר את החשבון הזה לאדם מסוים, או להשתמש בו על ידי כל הארגון כדי לבטל את נעילת המכשירים.
4.17.3. אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות במכשירים מסוימים.
4.17.4. אדמינים ב-IT יכולים להתחיל מחיקה מרחוק של המכשיר, עם אפשרות למחוק את נתוני ההגנה מפני איפוס, וכך להסיר את ההגנה מפני איפוס להגדרות המקוריות במכשיר שבו בוצע האיפוס.
4.18. בקרה מתקדמת על אפליקציות
אדמיני IT יכולים למנוע מהמשתמשים להסיר אפליקציות מנוהלות או לשנות אותן בדרכים אחרות דרך ההגדרות, למשל סגירת האפליקציה בכוח או ניקוי המטמון של נתוני האפליקציה.
4.18.1. אדמינים ב-IT יכולים לחסום את הסרת כל אפליקציה מנוהלת שרירותית, או את כל האפליקציות המנוהלות.
4.18.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את נתוני האפליקציה דרך ההגדרות.
4.19. ניהול צילומי מסך
אדמיני IT יכולים למנוע ממשתמשים לצלם צילומי מסך כשהם משתמשים באפליקציות מנוהלות. ההגדרה הזו כוללת חסימה של אפליקציות לשיתוף מסך ואפליקציות דומות (כמו Google Assistant) שמשתמשות ביכולות של המערכת לצלם צילומי מסך.
4.19.1. אדמינים ב-IT יכולים למנוע ממשתמשים לצלם צילומי מסך.
4.20. השבת מצלמות
אדמיני IT יכולים להשבית את השימוש במצלמות של המכשיר על ידי אפליקציות מנוהלות.
4.20.1. אדמינים ב-IT יכולים להשבית את השימוש במצלמות של המכשיר על ידי אפליקציות מנוהלות.
4.21. איסוף נתונים סטטיסטיים של רשתות
אדמיני IT יכולים להריץ שאילתות על נתונים סטטיסטיים של שימוש ברשת מפרופיל העבודה של המכשיר. הנתונים הסטטיסטיים שנאספים משקפים את נתוני השימוש ששותפו עם המשתמשים בקטע שימוש בנתונים בהגדרות. הנתונים הסטטיסטיים שנאספים רלוונטיים לשימוש באפליקציות בפרופיל העבודה.
4.21.1. אדמינים ב-IT יכולים לשלוח שאילתה על סיכום הנתונים הסטטיסטיים של הרשת בפרופיל עבודה, במכשיר נתון ובחלון זמן שניתן להגדרה, ולהציג את הפרטים האלה במסוף של ה-EMM.
4.21.2. אדמינים ב-IT יכולים להריץ שאילתות על סיכום של אפליקציה בנתונים הסטטיסטיים של השימוש ברשת בפרופיל העבודה, במכשיר נתון ובחלון זמן שניתן להגדרה, ולהציג את הפרטים האלה לפי מזהה משתמש ייחודי (UID) במסוף של ה-EMM.
4.21.3. אדמינים ב-IT יכולים להריץ שאילתות על נתונים היסטוריים של שימוש ברשת בפרופיל עבודה, במכשיר נתון ובחלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי מזהה משתמש ייחודי (UID) במסוף של ה-EMM.
4.22. איסוף סטטיסטיקות רשת מתקדמות
אדמיני IT יכולים להריץ שאילתות על סטטיסטיקות השימוש ברשת של מכשיר מנוהל שלם. הנתונים הסטטיסטיים שנאספים משקפים את נתוני השימוש ששותפו עם המשתמשים בקטע שימוש בנתונים בהגדרות. הנתונים הסטטיסטיים שנאספים רלוונטיים לשימוש באפליקציות במכשיר.
4.22.1. אדמינים ב-IT יכולים לשלוח שאילתה על סיכום הנתונים הסטטיסטיים של הרשת לגבי מכשיר שלם, לגבי מכשיר נתון וחלון זמן שניתן להגדרה, ולראות את הפרטים האלה במסוף של ה-EMM.
4.22.2. אדמינים ב-IT יכולים לבצע שאילתה על סיכום של נתונים סטטיסטיים לגבי השימוש ברשת של אפליקציה, למכשיר נתון ולחלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי מזהה משתמש ייחודי (UID) במסוף של ה-EMM.
4.22.3. אדמינים ב-IT יכולים לבצע שאילתה על נתונים היסטוריים של שימוש ברשת, למכשיר נתון ולחלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי מזהה משתמש ייחודי (UID) במסוף של ה-EMM.
4.23. הפעלת המכשיר מחדש
אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשירים מנוהלים.
4.23.1. אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשיר מנוהל.
4.24. ניהול רדיו במערכת
מאפשרת לאדמינים ב-IT לנהל באופן מפורט את הרדיו ברשתות המערכת ואת כללי המדיניות המשויכים לשימוש.
4.24.1. אדמינים ב-IT יכולים להשבית שידורים סלולריים שנשלחים על ידי ספקי שירות (לדוגמה, התרעות AMBER).
4.24.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות.
4.24.3. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את הגדרות הרשת בהגדרות.
4.24.4. אדמינים ב-IT יכולים לאפשר או לאסור שימוש בחבילת גלישה בזמן נדידה.
4.24.5. אדמינים ב-IT יכולים להגדיר אם המכשיר יוכל לבצע שיחות יוצאות, לא כולל שיחות חירום.
4.24.6. אדמינים ב-IT יכולים להגדיר אם המכשיר יוכל לשלוח ולקבל הודעות טקסט.
4.24.7. אדמינים ב-IT יכולים למנוע ממשתמשים להשתמש במכשיר שלהם כנקודה ניידת לשיתוף אינטרנט (Hotspot) באמצעות חיבור.
4.24.8. אדמינים ב-IT יכולים להגדיר את זמן הקצאת הזמן ל-Wi-Fi לברירת המחדל, רק כשהמכשיר מחובר או אף פעם.
4.24.9. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר או לשנות חיבורי Bluetooth קיימים.
4.25. ניהול האודיו במערכת
אדמיני IT יכולים לנהל את תכונות האודיו של המכשיר בשקט, כולל השבתת המכשיר, מניעת שינוי הגדרות עוצמת הקול ומניעת ביטול ההשתקה של המיקרופון במכשיר.
4.25.1. אדמינים ב-IT יכולים להשתיק מכשירים מנוהלים ללא הודעה.
4.25.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את הגדרות עוצמת הקול במכשיר.
4.25.3. אדמינים ב-IT יכולים למנוע ממשתמשים לבטל את ההשתקה של המיקרופון במכשיר.
4.26. ניהול שעון המערכת
אדמיני IT יכולים לנהל את הגדרות השעון ואזור הזמן של המכשיר, ולמנוע ממשתמשים לשנות את ההגדרות האוטומטיות של המכשיר.
4.26.1. אדמינים ב-IT יכולים לאכוף את הזמן האוטומטי של המערכת, כדי למנוע מהמשתמשים להגדיר את התאריך והשעה במכשיר.
4.26.2. אדמינים ב-IT יכולים להשבית או להפעיל בשקט גם את השעה האוטומטית וגם את השעון האוטומטי.
4.27. תכונות מתקדמות של מכשיר ייעודי
מספקת לאדמינים ב-IT את היכולת לנהל תכונות ספציפיות ומפורטות יותר של המכשיר כדי לתמוך בתרחישים לדוגמה שונים של מכשירים במצב קיוסק.
4.27.1. אדמינים ב-IT יכולים להשבית את מגן המסך של המכשיר.
4.27.2. אדמינים ב-IT יכולים להשבית את שורת המצב של המכשיר, וכך לחסום את ההתראות ואת ההגדרות המהירות.
4.27.3. אדמינים ב-IT יכולים לאלץ את מסך המכשיר להישאר דלוק בזמן שהמכשיר מחובר.
4.27.4. אדמינים ב-IT יכולים למנוע את הצגת ממשקי המשתמש של המערכת הבאים:
- הודעות קופצות
- שכבות-על של אפליקציות.
4.27.5. אדמינים ב-IT יכולים לאפשר לאפליקציות לדלג על המדריך למשתמש ועל טיפים מבוא אחרים בהפעלה הראשונה.
4.28. ניהול היקף של הענקת גישה
אדמינים ב-IT יכולים להקצות הרשאות נוספות לחבילות ספציפיות.
4.28.1. אדמינים ב-IT יכולים לנהל את ההיקפים הבאים:
- התקנה וניהול של אישורים
- ריקים בכוונה
- רישום התנועה ברשת
- רישום ביומן אבטחה (לא נתמך בפרופיל עבודה במכשיר בבעלות אישית)
4.29. תמיכה במזהה ספציפי להרשמה
החל מגרסה 12 של Android, לפרופילים של עבודה לא תהיה יותר גישה למזהים ספציפיים לחומרה. אדמינים ב-IT יכולים לעקוב אחרי מחזור החיים של מכשיר עם פרופיל עבודה באמצעות המזהה הספציפי להרשמה, שיישאר גם אחרי איפוס להגדרות המקוריות.
4.29.1. אדמינים ב-IT יכולים להגדיר ולקבל מזהה ספציפי להרשמה
4.29.2. המזהה הספציפי להרשמה צריך להישאר גם אחרי איפוס להגדרות המקוריות.
5. נוחות השימוש במכשיר
5.1. התאמה אישית של ניהול תצורה מנוהל
אדמיני IT יכולים לשנות את ממשק המשתמש של תהליך ההגדרה שמוגדר כברירת מחדל כך שיכלול תכונות ספציפיות לארגון. לחלופין, אדמינים ב-IT יכולים להציג מיתוג של EMM במהלך הקצאת ההרשאות.
5.1.1. אדמינים ב-IT יכולים להתאים אישית את תהליך ההקצאה על ידי ציון הפרטים הבאים שספציפיים לארגון: צבע הארגון, לוגו הארגון, התנאים וההגבלות של הארגון כתבי ויתור אחרים.
5.1.2. אדמינים ב-IT יכולים לפרוס התאמה אישית ספציפית ל-EMM שלא ניתן להגדיר, שכוללת את הפרטים הבאים: צבע EMM, לוגו EMM, התנאים וההגבלות של EMM כתבי ויתור אחרים.
הגרסה 5.1.3 [primaryColor] הוצאה משימוש במשאב הארגוני ב-Android מגרסה 10 ואילך.
- פלטפורמות EMM חייבות לכלול את התנאים וההגבלות של הקצאת המשאבים ואת כתבי הוויתור האחרים של תהליך הקצאת המשאבים בחבילת כתבי הוויתור של הקצאת המשאבים למערכת, גם אם לא נעשה שימוש בהתאמה האישית הספציפית ל-EMM.
- ספקי EMM יכולים להגדיר את ההתאמה האישית הספציפית ל-EMM שלהם, שלא ניתן לשנות אותה, כברירת מחדל לכל הפריסות, אבל הם חייבים לאפשר לאדמינים ב-IT להגדיר התאמה אישית משלהם.
5.2. התאמה אישית לארגון
אדמיני IT יכולים להתאים אישית היבטים של פרופיל העבודה באמצעות מיתוג עסקי. לדוגמה, אדמינים ב-IT יכולים להגדיר את סמל המשתמש בפרופיל העבודה כלוגו של הארגון. דוגמה נוספת היא הגדרת צבע הרקע של אתגר העבודה.
5.2.1. אדמינים ב-IT יכולים להגדיר את צבע הארגון, שיהיה צבע הרקע של האתגרים בעבודה.
5.2.2. אדמינים ב-IT יכולים להגדיר את שם התצוגה של פרופיל העבודה.
5.2.3. אדמינים ב-IT יכולים להגדיר את סמל המשתמש של פרופיל העבודה.
5.2.4. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות את סמל המשתמש בפרופיל העבודה.
5.3. התאמה אישית מתקדמת לארגונים
אדמיני IT יכולים להתאים אישית מכשירים מנוהלים עם מיתוג עסקי. לדוגמה, אדמינים ב-IT יכולים להגדיר את סמל המשתמש הראשי כלוגו של החברה, או להגדיר את טפט המכשיר.
5.3.1. אדמינים ב-IT יכולים להגדיר את השם המוצג של המכשיר המנוהל.
5.3.2. אדמינים ב-IT יכולים להגדיר את סמל המשתמש של המכשיר המנוהל.
5.3.3. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות את סמל המשתמש במכשיר.
5.3.4. אדמינים ב-IT יכולים להגדיר את טפט המכשיר.
5.3.5. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות את טפט המכשיר.
5.4. הודעות במסך הנעילה
אדמיני IT יכולים להגדיר הודעה בהתאמה אישית שתמיד תוצג במסך הנעילה של המכשיר, בלי צורך לבטל את הנעילה של המכשיר כדי לראות אותה.
5.4.1. אדמינים ב-IT יכולים להגדיר הודעה בהתאמה אישית במסך הנעילה.
5.5. ניהול שקיפות המדיניות
אדמינים ב-IT יכולים להתאים אישית את טקסט העזרה שמוצג למשתמשים כשהם משנים את ההגדרות המנוהלות במכשיר, או לפרוס הודעת תמיכה גנרית שסופקה על ידי ספק ה-EMM. אפשר להתאים אישית הודעות תמיכה קצרות וארוכות. ההודעות האלה מופיעות במקרים כמו ניסיון להסיר אפליקציה מנוהלת שמנהל IT כבר חסם את ההסרה שלה.
5.5.1. אדמינים ב-IT יכולים להתאים אישית את הודעות התמיכה הקצרות וגם את הודעות התמיכה הארוכות.
5.5.2. אדמינים ב-IT יכולים לפרוס הודעות תמיכה קצרות וארוכות ספציפיות ל-EMM, שלא ניתן להגדיר אותן.
- מערכת ה-EMM יכולה להגדיר את הודעות התמיכה הספציפיות שלה, שלא ניתן לשנות, כברירת מחדל לכל הפריסות, אבל היא חייבת לאפשר לאדמינים ב-IT להגדיר הודעות משלהם.
5.6. ניהול אנשי קשר בכמה פרופילים
אדמיני IT יכולים לקבוע אילו פרטי אנשי קשר יוכלו לצאת מפרופיל העבודה. אפליקציות הטלפון וההודעות (SMS) צריכות לפעול בפרופיל האישי, והן זקוקות לגישה לפרטי אנשי הקשר בפרופיל העבודה כדי לספק יעילות לאנשי הקשר בעבודה. עם זאת, האדמינים יכולים להשבית את התכונות האלה כדי להגן על הנתונים העסקיים.
5.6.1. אדמינים ב-IT יכולים להשבית את החיפוש של אנשי קשר בכמה פרופילים באפליקציות אישיות שמשתמשות בספק אנשי הקשר של המערכת.
5.6.2. אדמינים ב-IT יכולים להשבית את החיפוש של מזהה מבצע השיחה בכמה פרופילים באפליקציות אישיות של חיוג שמשתמשות בספק אנשי הקשר של המערכת.
5.6.3. אדמינים ב-IT יכולים להשבית את שיתוף אנשי הקשר ב-Bluetooth עם מכשירי Bluetooth שמשתמשים בספק אנשי הקשר של המערכת, למשל שיחות דיבורית ברכב או אוזניות.
5.7. ניהול נתונים בכמה פרופילים
נותנת לאדמינים ב-IT אפשרות לקבוע אילו נתונים יוכלו לצאת מפרופיל העבודה, מעבר למאפייני האבטחה שמוגדרים כברירת מחדל בפרופיל העבודה. בעזרת התכונה הזו, אדמינים ב-IT יכולים לאפשר סוגים נבחרים של שיתוף נתונים בין פרופילים כדי לשפר את נוחות השימוש בתרחישי שימוש מרכזיים. אדמינים ב-IT יכולים גם להגן על נתונים ארגוניים באמצעות עוד אמצעי נעילה.
5.7.1. אדמינים ב-IT יכולים להגדיר מסנני כוונות בפרופילים שונים כדי שאפליקציות אישיות יוכלו לפתור כוונות מפרופיל העבודה, כמו כוונות שיתוף או קישורים לאתרים.
- מערכת מסוף יכולה להציע מסנני כוונה מוכרים או מומלצים להגדרה, אבל היא לא יכולה להגביל את מסנני הכוונה לרשימת כוונה שרירותית כלשהי.
5.7.2. אדמינים ב-IT יכולים לאפשר אפליקציות מנוהלות שיכולות להציג ווידג'טים במסך הבית.
- במסוף ה-EMM, האדמינים ב-IT צריכים להיות מסוגלים לבחור מרשימת האפליקציות שזמינות להתקנה למשתמשים הרלוונטיים.
5.7.3. אדמינים ב-IT יכולים לחסום את השימוש בהעתקה/הדבקה בין הפרופיל לעבודה לפרופיל האישי.
5.7.4. אדמינים ב-IT יכולים לחסום את היכולת של משתמשים לשתף נתונים מפרופיל העבודה באמצעות העברת NFC.
5.7.5. אדמינים ב-IT יכולים לאפשר לאפליקציות אישיות לפתוח קישורי אינטרנט מפרופיל העבודה.
5.8. המדיניות בנושא עדכוני מערכת
אדמיני IT יכולים להגדיר וליישם עדכוני מערכת אוויריים (OTA) למכשירים.
5.8.1. במסוף של ה-EMM, אדמינים ב-IT יכולים להגדיר את ההגדרות הבאות של OTA:
- אוטומטית: המכשירים מתקינים עדכוני OTA כשהם הופכים לזמינים.
- דחייה: אדמינים ב-IT צריכים להיות מסוגלים לדחות עדכון OTA למשך עד 30 ימים. המדיניות הזו לא משפיעה על עדכוני אבטחה (למשל תיקוני אבטחה חודשיים).
- בחלון זמן: אדמינים ב-IT צריכים להיות מסוגלים לתזמן עדכוני OTA בחלון זמן יומי לתחזוקה.
5.8.2. ה-DPC של ה-EMM מחיל הגדרות OTA על מכשירים.
5.9. ניהול מצב משימות נעולות
אדמיני IT יכולים לנעול אפליקציה או קבוצת אפליקציות למסך, וכך לוודא שהמשתמשים לא יוכלו לצאת מהאפליקציה.
5.9.1. מסוף ה-EMM מאפשר לאדמינים ב-IT לאפשר ללא אישור מראש התקנה של קבוצה שרירותית של אפליקציות ונעילה שלהן במכשיר. ה-DPC של ה-EMM מאפשר מצב מכשיר ייעודי.
5.10. ניהול מתמיד של הפעילויות המועדפות
מאפשרת לאדמינים ב-IT להגדיר אפליקציה כמתן הטיפול בכוונות כברירת מחדל לכוונות שתואמות לסינון כוונות מסוים. לדוגמה, לאפשר לאדמינים ב-IT לבחור איזו אפליקציית דפדפן תפתח קישורי אינטרנט באופן אוטומטי, או איזו אפליקציית מרכז אפליקציות תופעל כשמקישים על לחצן הבית.
5.10.1. אדמינים ב-IT יכולים להגדיר כל חבילה כ-handler ברירת המחדל של כוונת השימוש לכל מסנן כוונות שימוש שרירותי.
- מסוף ה-EMM עשוי להציע כוונות מוכרות או מומלצות להגדרה, אבל אי אפשר להגביל את הכוונות לרשימה שרירותית כלשהי.
- במסוף ה-EMM, האדמינים ב-IT צריכים להיות מסוגלים לבחור מתוך רשימת האפליקציות שזמינות להתקנה למשתמשים הרלוונטיים.
5.11. ניהול התכונות של Keyguard
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
- התראות ללא צנזור
5.11.2. ה-DPC של ה-EMM יכול להשבית את התכונות הבאות של מסך הנעילה בפרופיל העבודה:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
5.12. ניהול מתקדם של התכונות של מסך הנעילה
- מצלמה מאובטחת
- כל ההתראות
- התראות ללא צנזור
- סביבות אמינות
- ביטול הנעילה בטביעת אצבע
- כל התכונות של מסך הנעילה
5.13. ניקוי באגים מרחוק
אדמיני IT יכולים לאחזר משאבים לניפוי באגים ממכשירים בלי לבצע שלבים נוספים.
5.13.1. אדמינים ב-IT יכולים לבקש דוחות באגים מרחוק, להציג דוחות באגים במסוף של ה-EMM ולהוריד דוחות באגים מהמסוף של ה-EMM.
5.14. אחזור כתובת MAC
פלטפורמות EMM יכולות לאחזר את כתובת ה-MAC של מכשיר באופן שקוף. אפשר להשתמש בכתובת ה-MAC כדי לזהות מכשירים בחלקים אחרים בתשתית הארגון (לדוגמה, כשמזוהים מכשירים לצורך בקרת גישה לרשת).
5.14.1. מערכת ה-EMM יכולה לאחזר בשקט את כתובת ה-MAC של המכשיר ולשייך אותה למכשיר במסוף של ה-EMM.
5.15. ניהול מתקדם של מצב משימות נעולות (lock task mode)
כשמכשיר מוגדר כמכשיר ייעודי, אדמינים ב-IT יכולים להשתמש במסוף של ה-EMM כדי לבצע את המשימות הבאות:
5.15.1. לאפשר לאפליקציה אחת לנעול את המכשיר באופן שקט באמצעות ה-DPC של ה-EMM.
5.15.2. מפעילים או משביתים את התכונות הבאות של System UI באמצעות ה-DPC של ה-EMM: :
- לחצן 'דף הבית'
- סקירה כללית
- פעולות גלובליות
- התראות
- נתוני המערכת / שורת המצב
- מגן מקלדת (מסך הנעילה)
5.15.3. משביתים את תיבות הדו-שיח של שגיאות מערכת באמצעות ה-DPC של ה-EMM.
5.16. מדיניות מתקדמת בנושא עדכוני מערכת
אדמיני IT יכולים לחסום עדכוני מערכת במכשיר למשך תקופת הקפאה מסוימת.
5.16.1. ה-DPC של ה-EMM יכול להחיל עדכוני מערכת אוויריים (OTA) על מכשירים למשך תקופת הקפאה מסוימת.
5.17. ניהול השקיפות של מדיניות פרופיל העבודה
אדמיני IT יכולים להתאים אישית את ההודעה שתוצג למשתמשים כשהם מסירים את פרופיל העבודה מהמכשיר.
5.17.1. אדמינים ב-IT יכולים לספק טקסט מותאם אישית להצגה כשפרופיל העבודה נמחק.
5.18. תמיכה באפליקציות מקושרות
אדמיני IT יכולים להגדיר רשימת חבילות שיכולות לתקשר מעבר לגבולות פרופיל העבודה.
5.19. עדכוני מערכת ידניים
אדמיני IT יכולים להתקין עדכון מערכת באופן ידני על ידי ציון נתיב.
6. הוצאה משימוש של 'ניהול מכשירים'
6.1. הוצאה משימוש של 'ניהול מכשירים'
ספקיות ניהול מכשירים נדרשות לפרסם עד סוף שנת 2022 תוכנית לסיום התמיכה בלקוחות ב-Device Admin במכשירי GMS עד סוף הרבעון הראשון של 2023.
7. שימוש ב-API
7.1. בקר מדיניות רגיל לקישורים חדשים
כברירת מחדל, צריך לנהל את המכשירים באמצעות Android Device Policy לכל קישור חדש. ייתכן שמערכת EMM תספק אפשרות לנהל מכשירים באמצעות DPC בהתאמה אישית באזור ההגדרות, בקטע 'מתקדם' או בטרמינולוגיה דומה. אסור לחשוף לקוחות חדשים לבחירה שרירותית בין סטאקים טכנולוגיים במהלך תהליכי ההצטרפות או ההגדרה.
7.2. בקר מדיניות רגיל למכשירים חדשים
כברירת מחדל, צריך לנהל את המכשירים באמצעות Android Device Policy בכל ההרשמות של מכשירים חדשים, גם לקישורים קיימים וגם לקישורים חדשים. יכול להיות שמערכת ניהול המכשירים (EMM) תספק את האפשרות לנהל את המכשירים באמצעות DPC בהתאמה אישית באזור ההגדרות, בקטע 'מתקדם' או במונח דומה.