หน้านี้แสดงรายการฟีเจอร์ทั้งหมดของ Android Enterprise
หากต้องการจัดการอุปกรณ์มากกว่า 500 เครื่อง โซลูชัน EMM จะต้องรองรับ ฟีเจอร์มาตรฐานทั้งหมด () จากอย่างน้อย 1 รายการ ที่กำหนดไว้ ก่อนที่จะ พร้อมใช้งานในเชิงพาณิชย์ โซลูชัน EMM ที่ ผ่านการยืนยันฟีเจอร์มาตรฐานจะปรากฏใน Enterprise Solutions ของ Android ไดเรกทอรีเป็นข้อเสนอ ชุดการจัดการมาตรฐาน
ฟีเจอร์ขั้นสูงชุดเพิ่มเติมมีให้ใช้งานสำหรับชุดโซลูชันแต่ละชุด ฟีเจอร์เหล่านี้จะแสดงอยู่ในหน้าชุดโซลูชันแต่ละหน้า ได้แก่ โปรไฟล์งาน อุปกรณ์ที่มีการจัดการครบวงจร และอุปกรณ์เฉพาะ โซลูชัน EMM ที่ผ่านการยืนยันฟีเจอร์ขั้นสูงจะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ว่าเป็นโซลูชันที่เสนอชุดการจัดการขั้นสูง
คีย์
| มาตรฐาน องค์ประกอบ | ขั้นสูง องค์ประกอบ | ฟีเจอร์เสริม | ไม่เกี่ยวข้อง |
1. การจัดเตรียมอุปกรณ์
1.1 การจัดสรรโปรไฟล์งานที่ใช้ DPC เป็นหลัก
หลังจากดาวน์โหลด Android Device Policy จาก Google Play แล้ว ผู้ใช้สามารถจัดสรร โปรไฟล์งาน
1.1.1. EMM จะให้คิวอาร์โค้ดหรือรหัสเปิดใช้งานแก่ผู้ดูแลระบบไอที รองรับวิธีการจัดสรรนี้ (ไปที่ ลงทะเบียนและจัดสรรอุปกรณ์)
1.2 การจัดสรรอุปกรณ์ตัวระบุ DPC
กำลังป้อน "afw#" ในวิซาร์ดการตั้งค่าของอุปกรณ์จะจัดสรร อุปกรณ์เฉพาะ
1.2.1. EMM จะให้คิวอาร์โค้ดหรือรหัสเปิดใช้งานแก่ผู้ดูแลระบบไอทีเพื่อให้การสนับสนุน วิธีการจัดสรรนี้ (ไปที่การลงทะเบียนและจัดสรรอุปกรณ์)
1.3 การจัดเตรียมอุปกรณ์ NFC
ผู้ดูแลระบบไอทีสามารถใช้แท็ก NFC เพื่อจัดสรรอุปกรณ์ใหม่หรืออุปกรณ์ที่รีเซ็ตเป็นค่าเริ่มต้น ตามหลักเกณฑ์การติดตั้งใช้งานที่ระบุไว้ใน Play EMM API เอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์
1.3.1. EMM ต้องใช้แท็ก NFC Forum ประเภท 2 ที่มีหน่วยความจำอย่างน้อย 888 ไบต์ การจัดสรรต้องใช้การจัดสรรเพิ่มเติมเพื่อให้ผ่านการลงทะเบียนที่ไม่มีความละเอียดอ่อน รายละเอียดต่างๆ เช่น รหัสเซิร์ฟเวอร์และรหัสการลงทะเบียนไปยังอุปกรณ์ รายละเอียดการลงทะเบียน ไม่ควรมีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง
1.3.2. เราขอแนะนำให้ใช้แท็ก NFC สำหรับ Android 10 ขึ้นไปเนื่องจากมีการเลิกใช้งาน NFC Beam (หรือที่เรียกว่า NFC Bump)
1.4 การจัดสรรอุปกรณ์ผ่านคิวอาร์โค้ด
คอนโซลของ EMM สามารถสร้างคิวอาร์โค้ดที่ผู้ดูแลระบบไอทีสแกนเพื่อจัดสรรได้ อุปกรณ์ที่มีการจัดการครบวงจรหรืออุปกรณ์เฉพาะตามหลักเกณฑ์การใช้งาน ที่กำหนดไว้ใน เอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ Android Management API
1.4.1. คิวอาร์โค้ดต้องใช้การจัดสรรเพิ่มเติมเพื่อส่งผ่านรายการที่ไม่ละเอียดอ่อน รายละเอียดการลงทะเบียน (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) ไปยังอุปกรณ์ รายละเอียดการลงทะเบียนต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน หรือใบรับรองต่างๆ
1.5. การตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
ผู้ดูแลระบบไอทีสามารถกำหนดค่าอุปกรณ์ที่ซื้อล่วงหน้าได้จาก ได้รับอนุญาต ตัวแทนจำหน่ายและจัดการได้โดยใช้คอนโซล EMM
1.5.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทได้โดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มที่ระบุไว้ในการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มสำหรับผู้ดูแลระบบไอที
1.5.2. เมื่อเปิดอุปกรณ์เป็นครั้งแรก ระบบจะบังคับให้อุปกรณ์ทำ การตั้งค่าที่ผู้ดูแลระบบไอทีกำหนด
1.6. การจัดสรรอุปกรณ์พร้อมใช้แบบรวมกลุ่มขั้นสูง
ผู้ดูแลระบบไอทีสามารถทำให้กระบวนการลงทะเบียนอุปกรณ์ส่วนใหญ่เป็นแบบอัตโนมัติได้ด้วยการลงทะเบียนการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม รวมกับ URL สำหรับลงชื่อเข้าใช้ ผู้ดูแลระบบไอทีสามารถจำกัดการลงทะเบียนไว้เฉพาะบัญชีหรือโดเมนที่ระบุได้ ตัวเลือกการกำหนดค่าที่ EMM มีให้
1.6.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทได้โดยใช้การตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม วิธีการลงทะเบียน
1.6.2. ข้อกำหนดนี้เลิกใช้งานแล้ว
1.6.3. การใช้ URL สำหรับลงชื่อเข้าใช้ EMM ต้องตรวจสอบว่าผู้ใช้ที่ไม่ได้รับอนุญาตจะเปิดใช้งานไม่ได้ อย่างน้อยที่สุด จะต้องล็อกการเปิดใช้งานไว้เฉพาะสำหรับผู้ใช้ขององค์กรที่ระบุ
1.6.4. เมื่อใช้ URL การลงชื่อเข้าใช้ EMM จะต้องให้ผู้ดูแลระบบไอทีป้อนรายละเอียดการลงทะเบียนล่วงหน้าได้ (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) นอกเหนือจากข้อมูลผู้ใช้หรืออุปกรณ์ที่ไม่ซ้ำกัน (เช่น ผู้ใช้/รหัสผ่าน โทเค็นการเปิดใช้งาน) เพื่อไม่ให้ผู้ใช้ต้องป้อนรายละเอียดเมื่อเปิดใช้งานอุปกรณ์
- EMM ต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน หรือ ในการกำหนดค่าการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.7 การจัดสรรโปรไฟล์งานของบัญชี Google
สำหรับองค์กรที่ใช้โดเมน Google ที่มีการจัดการ คำแนะนำเกี่ยวกับฟีเจอร์นี้ ผู้ใช้ผ่านการตั้งค่าโปรไฟล์งานหลังจากเข้าสู่บริษัท ข้อมูลเข้าสู่ระบบ Workspace ในระหว่างการตั้งค่าอุปกรณ์ หรือในอุปกรณ์ที่มีอยู่แล้ว เปิดใช้งาน แล้ว ในทั้ง 2 กรณี ระบบจะย้ายข้อมูลข้อมูลประจำตัว Workspace ขององค์กรไปยัง โปรไฟล์งานนั้น
1.8 การจัดสรรอุปกรณ์ของบัญชี Google
Android Management API ไม่รองรับฟีเจอร์นี้
1.9 การกำหนดค่าการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยตรง
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยใช้ iframe อุปกรณ์พร้อมใช้แบบรวมกลุ่ม ที่ใช้เวลาเพียง 2 นาที
1.10 โปรไฟล์งานในอุปกรณ์ของบริษัท
EMM สามารถลงทะเบียนอุปกรณ์ของบริษัทที่มีโปรไฟล์งานได้โดยการตั้งค่า AllowPersonalUsage
1.10.1. ว่างเปล่าโดยเจตนา
1.10.2. ผู้ดูแลระบบไอทีสามารถตั้งการดำเนินการเพื่อปฏิบัติตามข้อกำหนดสำหรับโปรไฟล์งานที่บริษัทเป็นเจ้าของได้ อุปกรณ์ผ่าน PersonalUsagePolicies
1.10.3. ผู้ดูแลระบบไอทีสามารถปิดใช้งานกล้องในโปรไฟล์งานหรือ อุปกรณ์ทั้งหมดผ่าน PersonalUsagePolicies
1.10.4. ผู้ดูแลระบบไอทีสามารถปิดใช้งานการจับภาพหน้าจอในโปรไฟล์งานหรือ อุปกรณ์ทั้งหมดผ่าน PersonalUsagePolicies
1.10.5. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาตหรือรายการที่บล็อกของแอปพลิเคชันซึ่งมีสิทธิ์หรือ ไม่สามารถติดตั้งในโปรไฟล์ส่วนตัวผ่าน PersonalApplicationPolicy
1.10.6. ผู้ดูแลระบบไอทีสามารถยกเลิกการจัดการอุปกรณ์ของบริษัทได้โดย การนำโปรไฟล์งานออกหรือล้างข้อมูลทั้งหมดในอุปกรณ์
1.11 การจัดสรรอุปกรณ์โดยเฉพาะ
EMM สามารถลงทะเบียนอุปกรณ์เฉพาะได้โดยไม่ต้องแจ้งให้ผู้ใช้ตรวจสอบสิทธิ์ด้วยบัญชี Google
2. ความปลอดภัยของอุปกรณ์
2.1 มาตรการรักษาความปลอดภัยของอุปกรณ์
ผู้ดูแลระบบไอทีสามารถตั้งค่าและบังคับใช้มาตรการรักษาความปลอดภัยของอุปกรณ์ (PIN/รูปแบบ/รหัสผ่าน) จากตัวเลือกระดับความซับซ้อน 3 ระดับที่กำหนดไว้ล่วงหน้าในอุปกรณ์ที่มีการจัดการ
2.1.1. นโยบาย ต้องบังคับใช้การตั้งค่าเพื่อจัดการกับคำถามเพื่อความปลอดภัยของอุปกรณ์ (parentProfilePasswordSpecification สำหรับโปรไฟล์งาน ข้อกำหนดสำหรับรหัสผ่านสำหรับ ที่มีการจัดการครบวงจรและอุปกรณ์เฉพาะ)
2.1.2. ความซับซ้อนของรหัสผ่านควรสอดคล้องกับรหัสผ่านต่อไปนี้ ความซับซ้อน:
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่ใช้ซ้ำ (4444) หรือ ที่เรียงลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่ซ้ำ (4444) หรือสั่งซื้อแล้ว (1234, 4321, 2468) ลำดับ รหัสผ่านที่เป็นตัวอักษรหรือตัวเลขและตัวอักษรผสมกัน ความยาวอย่างน้อย 4
- PASSWORD_COMPLEXITY_HIGH - PIN ไม่มีการซ้ำ (4444) หรือเรียงลำดับแล้ว (1234, 4321, 2468) ลำดับและความยาวอย่างน้อย 8 อักขระ หรือ รหัสผ่านตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6
2.1.3. นอกจากนี้ คุณยังบังคับใช้ข้อจำกัดเพิ่มเติมเกี่ยวกับรหัสผ่านเป็นการตั้งค่าเดิมในอุปกรณ์ของบริษัทได้ด้วย
2.2 การยืนยันตัวตนเพื่อรักษาความปลอดภัยของที่ทำงาน
ผู้ดูแลระบบไอทีสามารถตั้งค่าและบังคับใช้มาตรการรักษาความปลอดภัยสำหรับแอปและข้อมูลในงานได้ แยกต่างหากและมีข้อกำหนดที่แตกต่างจากความปลอดภัยของอุปกรณ์ (2.1.)
2.2.1. นโยบาย ต้องบังคับใช้คำถามเพื่อความปลอดภัยสำหรับโปรไฟล์งาน
- โดยค่าเริ่มต้น ผู้ดูแลระบบไอทีควรตั้งค่าข้อจำกัดสำหรับโปรไฟล์งานเท่านั้นหากไม่ได้ระบุขอบเขต
- ผู้ดูแลระบบไอทีจะกำหนดขอบเขตของอุปกรณ์ได้โดยระบุขอบเขต (โปรดดู ข้อกำหนดที่ 2.1)
2.2.2. ความซับซ้อนของรหัสผ่านควรสอดคล้องกับรหัสผ่านที่กำหนดไว้ล่วงหน้าต่อไปนี้ ความซับซ้อน:
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่ใช้ซ้ำ (4444) หรือ ที่เรียงลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่ซ้ำ (4444) หรือสั่งซื้อแล้ว (1234, 4321, 2468) ลำดับ รหัสผ่านที่เป็นตัวอักษรหรือตัวเลขและตัวอักษรผสมกัน ความยาวอย่างน้อย 4
- PASSWORD_COMPLEXITY_HIGH - PIN ไม่มีการซ้ำ (4444) หรือเรียงลำดับแล้ว (1234, 4321, 2468) ลำดับและความยาวอย่างน้อย 8 อักขระ หรือ รหัสผ่านตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6
2.2.3. การจำกัดรหัสผ่านเพิ่มเติมยังบังคับใช้ในการตั้งค่าเดิมได้ด้วย
2.3 การจัดการรหัสผ่านขั้นสูง
ผู้ดูแลระบบไอทีตั้งค่ารหัสผ่านขั้นสูงในอุปกรณ์ได้
2.3.1. ว่างเปล่าโดยเจตนา
2.3.2. ว่างเปล่าโดยเจตนา
2.3.3. คุณตั้งการตั้งค่าวงจรการใช้งานรหัสผ่านต่อไปนี้สำหรับหน้าจอล็อกแต่ละหน้าจอที่มีในอุปกรณ์ได้
- เว้นว่างไว้
- เว้นว่างไว้
- จำนวนรหัสผ่านที่ล้มเหลวสูงสุดที่จะล้างข้อมูลได้: ระบุจำนวนครั้งที่ผู้ใช้ สามารถป้อนรหัสผ่านที่ไม่ถูกต้องก่อนล้างข้อมูลบริษัทจาก อุปกรณ์ ผู้ดูแลระบบไอทีต้องปิดฟีเจอร์นี้ได้
2.3.4. (Android 8.0 ขึ้นไป) ระยะหมดเวลาต้องมีการตรวจสอบสิทธิ์อย่างเข้มงวด: ต้องป้อนรหัสผ่านการตรวจสอบสิทธิ์ (เช่น PIN หรือรหัสผ่าน) หลัง ระยะหมดเวลาที่ผู้ดูแลระบบไอทีกำหนด หลังจากหมดเวลา สัญญาณไม่ดี วิธีการตรวจสอบสิทธิ์ (เช่น ลายนิ้วมือ การปลดล็อกด้วยใบหน้า) ปิดอยู่จนกว่า มีการปลดล็อกอุปกรณ์ด้วยรหัสผ่านการตรวจสอบสิทธิ์ที่รัดกุม
2.4 การจัดการ Smart Lock
ผู้ดูแลระบบไอทีสามารถจัดการได้ว่าจะให้เอเจนต์ความน่าเชื่อถือในฟีเจอร์ Smart Lock ของ Android ขยายเวลาปลดล็อกอุปกรณ์ได้นานถึง 4 ชั่วโมงหรือไม่
2.4.1. ผู้ดูแลระบบไอทีสามารถปิดใช้ได้ เอเจนต์ความน่าเชื่อถือในอุปกรณ์
2.5 ล้างและล็อก
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อล็อกและล้างข้อมูลงานจากระยะไกล อุปกรณ์ที่มีการจัดการ
2.5.1. อุปกรณ์ต้องล็อกโดยใช้ Android Management API ที่ใช้เวลาเพียง 2 นาที
2.5.2. อุปกรณ์ต้องได้รับการล้างข้อมูลโดยใช้ Android Management API
2.6 การบังคับใช้เพื่อให้เป็นไปตามข้อกำหนด
หากอุปกรณ์ไม่เป็นไปตามนโยบายด้านความปลอดภัย กฎการปฏิบัติตามข้อกำหนดที่ Android Management API กำหนดไว้จะจำกัดการใช้ข้อมูลงานโดยอัตโนมัติ
2.6.1. อย่างน้อยที่สุด นโยบายความปลอดภัยที่บังคับใช้ในอุปกรณ์ต้องประกอบด้วย นโยบายรหัสผ่าน
2.7 นโยบายความปลอดภัยเริ่มต้น
EMM ต้องบังคับใช้นโยบายความปลอดภัยที่ระบุในอุปกรณ์โดยค่าเริ่มต้น โดยที่ผู้ดูแลระบบไอทีไม่จําเป็นต้องตั้งค่าหรือปรับแต่งการตั้งค่าใดๆ ในคอนโซลของ EMM เราขอแนะนำ EMM (แต่ไม่บังคับ) ไม่ให้อนุญาตให้ผู้ดูแลระบบไอทีเปลี่ยนแปลง สถานะเริ่มต้นของฟีเจอร์ความปลอดภัยเหล่านี้
2.7.1. ต้องบล็อกการติดตั้งแอปจากแหล่งที่มาที่ไม่รู้จัก ซึ่งรวมถึงแอปด้วย ติดตั้งไว้ในฝั่งส่วนตัวของอุปกรณ์ Android 8.0 ขึ้นไปที่มีโปรไฟล์งาน ระบบจะรองรับฟีเจอร์ย่อยนี้โดยค่าเริ่มต้น
2.7.2. ต้องบล็อกฟีเจอร์การแก้ไขข้อบกพร่อง ฟีเจอร์ย่อยนี้รองรับโดยค่าเริ่มต้น
2.8 นโยบายความปลอดภัยสำหรับอุปกรณ์เฉพาะ
ไม่อนุญาตให้ดำเนินการอื่นๆ สำหรับอุปกรณ์เฉพาะที่ถูกล็อก
2.8.1. การเปิดเครื่องในโหมดปลอดภัยต้องปิดโดยค่าเริ่มต้นโดยใช้นโยบาย
(ไปที่ safeBootDisabled)
2.9 การสนับสนุนด้านความสมบูรณ์ของ Play
ระบบจะตรวจสอบความสมบูรณ์ของ Play โดยค่าเริ่มต้น ไม่มีการติดตั้งเพิ่มเติม ต้องระบุ
2.9.1. จงใจเว้นว่างไว้
2.9.2. จงใจเว้นว่างไว้
2.9.3. ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบกลับนโยบายต่างๆ ได้โดยอิงตามค่าของฟิลด์ SecurityRisk ของอุปกรณ์ ซึ่งรวมถึงการบล็อกการจัดสรร การล้างข้อมูลของบริษัท และการอนุญาต เพื่อดำเนินการต่อ
- บริการ EMM จะบังคับใช้การตอบกลับนโยบายนี้สำหรับผลลัพธ์ของ การตรวจสอบความสมบูรณ์แต่ละครั้ง
2.9.4. ว่างเปล่าโดยเจตนา
2.10 การบังคับใช้การยืนยันแอป
ผู้ดูแลระบบไอทีสามารถเปิดยืนยันแอปได้ บนอุปกรณ์ต่างๆ ยืนยันแอปสแกนแอปที่ติดตั้งในอุปกรณ์ Android เพื่อหาอันตราย ก่อนและหลังการติดตั้ง ซึ่งช่วยให้มั่นใจว่า แอปไม่สามารถบุกรุกข้อมูลของบริษัทได้
2.10.1. ต้องเปิด "ยืนยันแอป" โดยค่าเริ่มต้นโดยใช้นโยบาย
(ไปที่ ensureVerifyAppsEnabled)
2.11 การสนับสนุนการเปิดเครื่องโดยตรง
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่มีส่วนเกิน ต้องติดตั้งใช้งานจริง
2.12 การจัดการความปลอดภัยของฮาร์ดแวร์
ผู้ดูแลระบบไอทีสามารถล็อกองค์ประกอบฮาร์ดแวร์ของอุปกรณ์ของบริษัทเพื่อให้ ป้องกันข้อมูลรั่วไหล
2.12.1. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้ต่อเชื่อมสื่อภายนอกที่จับต้องได้โดยใช้
นโยบาย (ไปที่
mountPhysicalMediaDisabled)
2.12.2. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้แชร์ข้อมูลจากอุปกรณ์ของตนโดยใช้ NFC ได้
บีมโดยใช้นโยบาย
(ไปที่ outgoingBeamDisabled) ฟีเจอร์ย่อยนี้เป็นแบบไม่บังคับเนื่องจากมีการบีม NFC
ไม่รองรับฟังก์ชันนี้ใน Android 10 ขึ้นไปแล้ว
2.12.3. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้โอนไฟล์ผ่าน USB ได้โดยใช้
นโยบาย (ไปที่
usbFileTransferDisabled)
2.13 การบันทึกความปลอดภัยระดับองค์กร
Android Management API ไม่รองรับฟีเจอร์นี้
3. การจัดการบัญชีและแอป
3.1 การผูก Enterprise
ผู้ดูแลระบบไอทีสามารถเชื่อมโยง EMM กับองค์กรได้ ซึ่งจะช่วยให้ EMM ใช้ Managed Google Play เพื่อเผยแพร่แอปไปยังอุปกรณ์ได้
3.1.1. ผู้ดูแลระบบที่มีโดเมน Google ที่มีการจัดการอยู่แล้วสามารถเชื่อมโยงโดเมนกับ EMM แล้ว
3.1.2. ว่างเปล่าโดยเจตนา
3.1.3. ว่างเปล่าโดยเจตนา
3.1.4. คอนโซล EMM จะแนะนำผู้ดูแลระบบให้ป้อนอีเมลงานในขั้นตอนการลงชื่อสมัครใช้ Android และแนะนำให้หลีกเลี่ยงการใช้บัญชี Gmail
3.1.5. EMM จะกรอกข้อมูลอีเมลของผู้ดูแลระบบไว้ล่วงหน้าในขั้นตอนการลงชื่อสมัครใช้ Android
3.2 การจัดสรรบัญชี Managed Google Play
EMM สามารถจัดสรรบัญชีผู้ใช้ระดับองค์กรที่เรียกว่า Managed Google ได้อย่างปลอดภัย บัญชี Play บัญชีเหล่านี้จะระบุผู้ใช้ที่มีการจัดการและอนุญาตให้มีผู้ใช้แต่ละคนที่ไม่ซ้ำกันได้ กฎการจัดจำหน่ายแอป
3.2.1. ระบบจะสร้างบัญชี Managed Google Play (บัญชีผู้ใช้) โดยอัตโนมัติ เมื่อจัดสรรอุปกรณ์
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่มีส่วนเกิน ต้องติดตั้งใช้งานจริง
3.3. การจัดสรรบัญชีอุปกรณ์ Managed Google Play
EMM สร้างและจัดสรรบัญชีอุปกรณ์ Managed Google Play ได้ อุปกรณ์ บัญชีจะรองรับการติดตั้งแอปจาก Managed Google Play Store แบบเงียบ และไม่เชื่อมโยงกับผู้ใช้รายเดียว แต่บัญชีอุปกรณ์จะใช้เพื่อระบุ อุปกรณ์เดียวเพื่อรองรับกฎการเผยแพร่แอปต่ออุปกรณ์ในอุปกรณ์เฉพาะ สถานการณ์
3.3.1. ระบบจะสร้างบัญชี Managed Google Play โดยอัตโนมัติเมื่ออุปกรณ์ จัดสรรแล้ว
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งานเพิ่มเติม
3.4. การจัดสรรบัญชี Managed Google Play สำหรับอุปกรณ์เดิม
ฟีเจอร์นี้เลิกใช้งานแล้ว
3.5. การเผยแพร่แอปแบบเงียบ
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปงานในอุปกรณ์ได้อย่างเงียบๆ โดยไม่ต้องมีผู้ใช้ การโต้ตอบ
3.5.1. คอนโซลของ EMM ต้องใช้ Android Management API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีติดตั้งแอปงานในอุปกรณ์ที่มีการจัดการ
3.5.2. คอนโซลของ EMM ต้องใช้ Android Management API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีอัปเดตแอปงานในอุปกรณ์ที่มีการจัดการ
3.5.3. คอนโซลของ EMM ต้องใช้ Android Management API เพื่อให้ผู้ดูแลระบบไอทีถอนการติดตั้งแอปในอุปกรณ์ที่มีการจัดการได้
3.6. การจัดการการกำหนดค่าที่มีการจัดการ
ผู้ดูแลระบบไอทีจะดูและกำหนดค่าที่มีการจัดการสำหรับแอปใดก็ได้โดยไม่ต้องแจ้งให้ทราบ สนับสนุนการกำหนดค่าที่มีการจัดการ
3.6.1. คอนโซลของ EMM ต้องเรียกดูได้ และแสดงการกำหนดค่าที่มีการจัดการของแอป Play
3.6.2. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าการกำหนดค่าประเภทใดก็ได้ (เป็น กำหนดโดยเฟรมเวิร์ก Android Enterprise) สำหรับแอป Play ทุกแอปที่ใช้การจัดการ Android API ที่ใช้เวลาเพียง 2 นาที
3.6.3. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าไวลด์การ์ดได้ (เช่น $username$ หรือ %emailAddress%) เพื่อให้การกำหนดค่าแอปเดียว เช่น Gmail ใช้ได้กับผู้ใช้หลายคน
3.7 การจัดการแคตตาล็อกแอป
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ยังไม่ได้ติดต่อ จำเป็นต้องมีการติดตั้งใช้งานเพิ่มเติม
3.8 การอนุมัติแอปแบบเป็นโปรแกรม
คอนโซลของ EMM ใช้ iframe ของ Managed Google Play เพื่อรองรับแท็ก ความสามารถในการค้นพบและอนุมัติแอป ผู้ดูแลระบบไอทีสามารถค้นหาแอป อนุมัติแอป และอนุมัติสิทธิ์ของแอปใหม่โดยไม่ต้องออกจากคอนโซลของ EMM
3.8.1. ผู้ดูแลระบบไอทีสามารถค้นหาและอนุมัติแอปได้ในคอนโซลของ EMM โดยใช้ iframe ของ Managed Google Play
3.9. การจัดการเลย์เอาต์ร้านค้าขั้นพื้นฐาน
คุณใช้แอป Managed Google Play Store เพื่อติดตั้งและอัปเดตแอปงานได้ โดยค่าเริ่มต้น Managed Google Play Store จะแสดงแอปที่ได้รับอนุมัติสำหรับผู้ใช้ใน รายการเดียว เลย์เอาต์นี้เรียกว่าเลย์เอาต์ร้านค้าพื้นฐาน
3.9.1. คอนโซลของ EMM ควรอนุญาตให้ผู้ดูแลระบบไอทีจัดการแอปที่แสดงในเลย์เอาต์ Store พื้นฐานของผู้ใช้ปลายทาง
3.10 การกำหนดค่าเลย์เอาต์ร้านค้าขั้นสูง
3.10.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งเลย์เอาต์ของร้านค้าได้ ที่เห็นในแอป Managed Google Play Store
3.11 การจัดการใบอนุญาตแอป
ฟีเจอร์นี้เลิกใช้งานแล้ว
3.12 การจัดการแอปส่วนตัวที่โฮสต์โดย Google
ผู้ดูแลระบบไอทีจะอัปเดตแอปส่วนตัวที่โฮสต์โดย Google ผ่านคอนโซล EMM แทนได้ จาก Google Play Console
3.12.1. ผู้ดูแลระบบไอทีสามารถอัปโหลดแอปเวอร์ชันใหม่ที่เผยแพร่อยู่แล้ว แบบส่วนตัวภายในองค์กรโดยใช้:
- iframe ของ Managed Google Play หรือ
- API การเผยแพร่สำหรับนักพัฒนาแอป Google Play ที่ใช้เวลาเพียง 2 นาที
3.13 การจัดการแอปส่วนตัวที่โฮสต์ด้วยตนเอง
ผู้ดูแลระบบไอทีตั้งค่าและเผยแพร่แอปส่วนตัวที่โฮสต์ด้วยตนเองได้ เลิกชอบ แอปส่วนตัวที่โฮสต์โดย Google นั้น Google Play ไม่ได้โฮสต์ APK แต่ EMM ช่วยผู้ดูแลระบบไอทีโฮสต์ APK ด้วยตนเองและช่วยปกป้องที่โฮสต์ด้วยตนเอง โดยตรวจสอบว่าติดตั้งแอปได้ก็ต่อเมื่อได้รับอนุญาตจาก Google ที่มีการจัดการเท่านั้น เล่น
3.13.1. คอนโซลของ EMM ต้องช่วยผู้ดูแลระบบไอทีโฮสต์ APK ของแอป โดยให้บริการทั้ง 2 อย่าง ตัวเลือกต่อไปนี้
- การโฮสต์ APK บนเซิร์ฟเวอร์ของ EMM เซิร์ฟเวอร์อาจเป็นเซิร์ฟเวอร์ภายในองค์กรหรือ ในระบบคลาวด์
- โฮสต์ APK นอกเซิร์ฟเวอร์ของ EMM โดยองค์กรจะเป็นผู้ตัดสินใจ ผู้ดูแลระบบไอทีต้องระบุในคอนโซล EMM ว่าที่ไหน APK นั้นโฮสต์อยู่
3.13.2. คอนโซลของ EMM ต้องสร้างคำจำกัดความ APK ที่เหมาะสม ไฟล์ที่ใช้ APK ที่ให้ไว้ และต้องให้คำแนะนำผู้ดูแลระบบไอทีผ่านกระบวนการเผยแพร่
3.13.3. ผู้ดูแลระบบไอทีจะอัปเดตแอปส่วนตัวที่โฮสต์ด้วยตนเองและคอนโซลของ EMM ได้ สามารถเผยแพร่ไฟล์ข้อกำหนด APK ที่อัปเดตแล้ว โดยใช้ Google Play Publishing API สำหรับนักพัฒนาแอป ที่ใช้เวลาเพียง 2 นาที
3.13.4. เซิร์ฟเวอร์ของ EMM จะส่งคำขอดาวน์โหลด APK ที่โฮสต์ด้วยตนเอง ที่มี JWT ที่ถูกต้องภายในคุกกี้ของคำขอ ตามที่ยืนยันโดย คีย์สาธารณะของแอปส่วนตัว
- เซิร์ฟเวอร์ของ EMM ต้องแนะนำให้ผู้ดูแลระบบไอทีดำเนินการต่อไปนี้เพื่ออำนวยความสะดวกในกระบวนการนี้ ดาวน์โหลดคีย์สาธารณะของใบอนุญาตของแอปที่โฮสต์ด้วยตนเองจาก Play Google Play Console และอัปโหลดคีย์นี้ไปยังคอนโซล EMM
3.14 ดึงการแจ้งเตือน EMM
ฟีเจอร์นี้ใช้ไม่ได้กับ Android Management API ตั้งค่า การแจ้งเตือน Pub/Sub แทน
3.15 ข้อกำหนดการใช้งาน API
EMM ใช้ Android Management API ในวงกว้างเพื่อหลีกเลี่ยงการรับส่งข้อมูล รูปแบบที่อาจส่งผลเสียต่อองค์กร ความสามารถในการจัดการแอปใน สภาพแวดล้อมการใช้งานจริง
3.15.1. EMM ต้องเป็นไปตาม Android Management API ขีดจำกัดการใช้งาน การไม่แก้ไขลักษณะการทำงานที่ยาวเกินหลักเกณฑ์เหล่านี้อาจ ส่งผลให้มีการระงับการใช้ API โดยพิจารณาตามที่เห็นสมควรของ Google
3.15.2. EMM ควรกระจายการเข้าชมจากองค์กรต่างๆ ตลอดทั้งวัน แทนที่จะรวมการเข้าชมขององค์กรในเวลาที่เจาะจงหรือคล้ายกัน พฤติกรรมที่ตรงกับรูปแบบการเข้าชมนี้ เช่น กลุ่มที่กำหนดเวลาไว้ การดำเนินการสำหรับอุปกรณ์แต่ละเครื่องที่ลงทะเบียน อาจส่งผลให้มีการระงับการใช้ API การพิจารณาตามที่เห็นสมควรของ Google
3.15.3. EMM ไม่ควรใส่ข้อมูลที่สอดคล้องกัน ไม่สมบูรณ์ หรือจงใจทำให้ไม่ถูกต้อง คำขอที่ไม่ได้พยายามเรียกหรือจัดการข้อมูลขององค์กรจริงๆ ลักษณะการทำงานที่ตรงกับรูปแบบการเข้าชมนี้อาจส่งผลให้มีการระงับการใช้ API โดยขึ้นอยู่กับดุลยพินิจของ Google
3.16 การจัดการการกำหนดค่าที่มีการจัดการขั้นสูง
EMM รองรับฟีเจอร์การจัดการการกำหนดค่าที่มีการจัดการขั้นสูงต่อไปนี้
3.16.1. คอนโซลของ EMM ต้องสามารถดึงข้อมูลและแสดงการตั้งค่าการกำหนดค่าที่มีการจัดการซึ่งซ้อนกันได้สูงสุด 4 ระดับของแอป Play โดยใช้สิ่งต่อไปนี้
- iframe ของ Managed Google Play หรือ
- UI ที่กําหนดเอง
3.16.2. คอนโซลของ EMM ต้องเรียกใช้และแสดงความคิดเห็นได้ ส่งคืนโดยช่องทางการแสดงความคิดเห็นของแอป เมื่อตั้งค่าโดยผู้ดูแลระบบไอที
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเชื่อมโยงรายการความคิดเห็นรายการใดรายการหนึ่ง กับอุปกรณ์และแอปที่เป็นต้นกำเนิดด้วย
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีสมัครรับการแจ้งเตือนหรือรายงาน ข้อความบางประเภท (เช่น ข้อความแสดงข้อผิดพลาด)
3.16.3. คอนโซลของ EMM ต้องส่งเฉพาะค่าที่มีค่าเริ่มต้นหรือผู้ดูแลระบบเป็นผู้ตั้งค่าด้วยตนเองโดยใช้
- iframe การกำหนดค่าที่มีการจัดการ หรือ
- UI ที่กำหนดเอง
3.17 การจัดการเว็บแอป
ผู้ดูแลระบบไอทีสร้างและเผยแพร่เว็บแอปได้ในคอนโซล EMM
3.17.1. คอนโซล EMM ช่วยให้ผู้ดูแลระบบไอทีกระจายทางลัดไปยังเว็บแอปได้ โดยใช้:
- iframe ของ Managed Google Play
- หรือ Android Management API ที่ใช้เวลาเพียง 2 นาที
3.18 การจัดการวงจรของบัญชี Managed Google Play
EMM สามารถสร้าง อัปเดต และลบบัญชี Managed Google Play ได้ใน ในนามของผู้ดูแลระบบไอที และกู้คืนโดยอัตโนมัติจากการหมดอายุของบัญชี
ระบบรองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่ต้องติดตั้งใช้งาน EMM เพิ่มเติม ต้องระบุ
3.19 การจัดการแทร็กแอปพลิเคชัน
3.19.1. ผู้ดูแลระบบไอทีสามารถดึงรายการรหัสแทร็กที่นักพัฒนาแอปกำหนดไว้
3.19.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าอุปกรณ์ให้ใช้แทร็กการพัฒนาที่เฉพาะเจาะจงสำหรับแอปพลิเคชันได้
3.20 การจัดการการอัปเดตแอปพลิเคชันขั้นสูง
ผู้ดูแลระบบไอทีสามารถอนุญาตให้อัปเดตแอปทันทีหรือเลื่อนการอัปเดตแอปเป็นเวลา 90 วัน
3.20.1. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปที่ใช้การอัปเดตแอปที่มีลำดับความสำคัญสูงเพื่ออัปเดตเมื่อการอัปเดตพร้อมใช้งาน 3.20.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปเลื่อนการอัปเดตแอปเป็นเวลา 90 วัน
3.21 การจัดการวิธีการจัดสรร
EMM สามารถสร้างการกำหนดค่าการจัดสรรและนำเสนอการกำหนดค่าเหล่านี้ให้กับฝ่ายไอทีได้ ผู้ดูแลระบบในแบบฟอร์มที่พร้อมให้ผู้ใช้ปลายทาง (เช่น คิวอาร์โค้ด การกำหนดค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม, URL ของ Play Store)
4. การจัดการอุปกรณ์
4.1 การจัดการนโยบายสิทธิ์รันไทม์
ผู้ดูแลระบบไอทีตั้งค่าคำตอบเริ่มต้นสำหรับคำขอสิทธิ์รันไทม์ได้ ที่สร้างโดยแอปงาน
4.1.1. ผู้ดูแลระบบไอทีต้องเลือกจากตัวเลือกต่อไปนี้เมื่อตั้งค่า นโยบายสิทธิ์รันไทม์เริ่มต้นสำหรับองค์กร
- ข้อความแจ้ง (ให้ผู้ใช้เลือก)
- allow
- ปฏิเสธ
EMM ควรบังคับใช้การตั้งค่าเหล่านี้โดยใช้นโยบาย ที่ใช้เวลาเพียง 2 นาที
4.2 การจัดการสถานะการให้สิทธิ์รันไทม์
หลังจากตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้น (ไปที่ 4.1) ผู้ดูแลระบบไอทีสามารถ ตั้งค่าการตอบกลับสำหรับสิทธิ์บางอย่างของแอปงานที่สร้างขึ้นบน API แบบเงียบ 23 ขึ้นไป
4.2.1. ผู้ดูแลระบบไอทีต้องตั้งค่าสถานะการให้สิทธิ์ได้ (ค่าเริ่มต้น ให้สิทธิ์ หรือปฏิเสธ) ของสิทธิ์ที่ขอจากแอปงานซึ่งสร้างด้วย API 23 ขึ้นไป EMM ควรบังคับใช้การตั้งค่าเหล่านี้โดยใช้นโยบาย
4.3 การจัดการการกำหนดค่า Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ขององค์กรบนที่มีการจัดการได้โดยไม่มีการแจ้งเตือน รวมถึงอุปกรณ์ต่อไปนี้
4.3.1. SSID โดยใช้นโยบาย
4.3.2. รหัสผ่าน โดยใช้นโยบาย
4.4 การจัดการความปลอดภัย Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi สำหรับองค์กร บนอุปกรณ์ที่มีการรักษาความปลอดภัยขั้นสูงดังต่อไปนี้ ได้แก่
4.4.1. Identity
4.4.2. ใบรับรองสำหรับการให้สิทธิ์ไคลเอ็นต์
4.4.3. ใบรับรอง CA
4.5 การจัดการ Wi-Fi ขั้นสูง
ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ในอุปกรณ์ที่มีการจัดการเพื่อป้องกันไม่ให้ผู้ใช้สร้างการกำหนดค่าหรือแก้ไขการกำหนดค่าของบริษัท
4.5.1. ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ขององค์กรได้โดยใช้นโยบายในการกำหนดค่าอย่างใดอย่างหนึ่งต่อไปนี้
- ผู้ใช้จะแก้ไขการกำหนดค่า Wi-Fi ที่ EMM จัดสรรไม่ได้ (ไปที่
wifiConfigsLockdownEnabled) แต่ อาจเพิ่มและแก้ไขเครือข่ายที่ผู้ใช้กำหนดค่าเองได้ (เช่น เครือข่ายส่วนบุคคล) - ผู้ใช้เพิ่มหรือแก้ไขเครือข่าย Wi-Fi ในอุปกรณ์ไม่ได้
(ไปที่
wifiConfigDisabled) จำกัดการเชื่อมต่อ Wi-Fi ให้เหลือเฉพาะการเชื่อมต่อ Wi-Fi เครือข่ายที่ EMM จัดสรรให้
4.6 การจัดการบัญชี
ผู้ดูแลระบบไอทีจะดูแลให้มีเพียงบัญชีของบริษัทที่ได้รับอนุญาตเท่านั้นที่โต้ตอบกับ ข้อมูลบริษัท สำหรับบริการอย่างเช่น พื้นที่เก็บข้อมูล SaaS และแอปเพิ่มประสิทธิภาพ หรือ อีเมล หากไม่มีฟีเจอร์นี้ ผู้ใช้สามารถเพิ่มบัญชีส่วนบุคคลในบัญชีเหล่านั้น แอปขององค์กรที่รองรับบัญชีผู้ใช้ทั่วไปด้วย ทำให้สามารถแชร์ ข้อมูลบริษัทด้วยบัญชีส่วนตัวเหล่านั้น
4.6.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้เพิ่มหรือแก้ไข
บัญชี
(ดู modifyAccountsDisabled)
- เมื่อบังคับใช้นโยบายนี้กับอุปกรณ์ EMM จะต้องตั้งค่าข้อจำกัดนี้ ก่อนการจัดสรรจะเสร็จสมบูรณ์ เพื่อให้แน่ใจว่าผู้ใช้จะไม่หลีกเลี่ยงเหตุการณ์นี้ได้ โดยเพิ่มบัญชีก่อนที่จะบังคับใช้นโยบาย
4.7 การจัดการบัญชี Workspace
Android Management API ไม่รองรับฟีเจอร์นี้
4.8 การจัดการใบรับรอง
อนุญาตให้ผู้ดูแลระบบไอทีนำใบรับรองข้อมูลประจำตัวและผู้ออกใบรับรองไปใช้งานในอุปกรณ์เพื่อให้ใช้ทรัพยากรของบริษัทได้
4.8.1. ผู้ดูแลระบบไอทีสามารถติดตั้งใบรับรองข้อมูลประจำตัวของผู้ใช้ได้ ที่ PKI สร้างขึ้นตามผู้ใช้แต่ละราย คอนโซลของ EMM ต้องผสานรวม ที่มี PKI อย่างน้อย 1 คน และแจกจ่ายใบรับรองที่สร้างจาก โครงสร้างพื้นฐาน
4.8.2. ผู้ดูแลระบบไอทีสามารถติดตั้งผู้ออกใบรับรอง
(ดู caCerts) ในคีย์สโตร์ที่มีการจัดการ แต่ไม่รองรับฟีเจอร์ย่อยนี้
ที่ใช้เวลาเพียง 2 นาที
4.9 การจัดการใบรับรองขั้นสูง
ช่วยให้ผู้ดูแลระบบไอทีเลือกใบรับรองที่แอปที่มีการจัดการบางแอปควรใช้ได้โดยอัตโนมัติ ฟีเจอร์นี้ยังให้สิทธิ์ผู้ดูแลระบบไอทีในการนำข้อมูลออกด้วย CA และใบรับรองข้อมูลประจำตัวจากอุปกรณ์ที่ใช้งานอยู่ และป้องกันไม่ให้ผู้ใช้แก้ไข ของข้อมูลเข้าสู่ระบบที่เก็บไว้ในคีย์สโตร์ที่มีการจัดการ
4.9.1. สําหรับแอปที่เผยแพร่ไปยังอุปกรณ์ ผู้ดูแลระบบไอทีสามารถระบุใบรับรองได้ ซึ่งแอปจะได้รับสิทธิ์เข้าถึงโดยอัตโนมัติระหว่างรันไทม์ ( ฟีเจอร์ย่อยไม่ได้)
- การเลือกใบรับรองต้องมีความครอบคลุมเพียงพอสำหรับการแสดง ที่ใช้กับผู้ใช้ทั้งหมด ซึ่งแต่ละรายการอาจมี ใบรับรองข้อมูลประจำตัวผู้ใช้โดยเฉพาะ
4.9.2. ผู้ดูแลระบบไอทีสามารถนำใบรับรองออกโดยไม่ต้องแจ้งให้ทราบ จากคีย์สโตร์ที่มีการจัดการ
4.9.3. ผู้ดูแลระบบไอทีสามารถถอนการติดตั้งใบรับรอง CA โดยไม่มีการแจ้งเตือน (คุณลักษณะย่อยนี้คือ ไม่รองรับ)
4.9.4. ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้กำหนดค่าข้อมูลเข้าสู่ระบบได้
(ไปที่ credentialsConfigDisabled) ในคีย์สโตร์ที่มีการจัดการ
4.9.5. ผู้ดูแลระบบไอทีสามารถให้สิทธิ์ใบรับรองล่วงหน้าสำหรับแอปงานได้โดยใช้ ChoosePrivateKeyRule
4.10 การจัดการใบรับรองที่ได้รับมอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปการจัดการใบรับรองของบุคคลที่สามไปยังอุปกรณ์และ ให้สิทธิ์แอปในการติดตั้งใบรับรองลงใน คีย์สโตร์
4.10.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจการจัดการใบรับรอง (ไปที่ delegatedCertInstallerPackage) เพื่อตั้งค่าเป็นแอปการจัดการใบรับรองที่มอบสิทธิ์
- EMM อาจแนะนำแพ็กเกจการจัดการใบรับรองที่รู้จักหรือไม่ก็ได้ แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่มีให้ สำหรับผู้ใช้ที่เกี่ยวข้อง
4.11 การจัดการ VPN ขั้นสูง
อนุญาตให้ผู้ดูแลระบบไอทีระบุ VPN แบบเปิดตลอดเวลาเพื่อให้แน่ใจว่าข้อมูลจาก แอปที่มีการจัดการที่ระบุจะต้องผ่านการตั้งค่า VPN เสมอ
4.11.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจ VPN ที่กำหนดเองได้ ตั้งค่าเป็น "VPN แบบเปิดตลอดเวลา" ได้
- คอนโซลของ EMM อาจแนะนำแพ็กเกจ VPN ที่รู้จักซึ่งรองรับ ใช้ VPN ตลอดเวลา แต่จำกัด VPN ที่พร้อมใช้งานสำหรับการกำหนดค่า "เปิดตลอดเวลา" ไม่ได้ รายการใดก็ได้ที่กำหนดเอง
4.11.2. ผู้ดูแลระบบไอทีสามารถใช้การกำหนดค่าที่มีการจัดการเพื่อระบุการตั้งค่า VPN สำหรับ แอป
4.12 การจัดการ IME
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ตั้งค่าให้กับอุปกรณ์ได้ เนื่องจาก IME นั้นแชร์ทั้งในโปรไฟล์งานและโปรไฟล์ส่วนตัว การปิดกั้นการใช้ IME จะป้องกันไม่ให้ผู้ใช้อนุญาตให้ใช้ IME เหล่านั้นเพื่อการใช้งานส่วนบุคคล ได้อีกด้วย อย่างไรก็ตาม ผู้ดูแลระบบไอทีต้องไม่บล็อกการใช้ IME ของระบบในการทำงาน โปรไฟล์ (โปรดดูรายละเอียดเพิ่มเติมที่การจัดการ IME ขั้นสูง)
4.12.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาต IME (ไปที่ permitted_input_methods) ให้มีความยาวเท่าใดก็ได้ (รวมถึงรายการว่าง ซึ่งจะบล็อก IME ที่ไม่ใช่ระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำให้รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.12.2. EMM ต้องแจ้งผู้ดูแลระบบไอทีว่ามีการยกเว้น IME ของระบบจาก การจัดการในอุปกรณ์ที่มีโปรไฟล์งาน
4.13 การจัดการ IME ขั้นสูง
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ผู้ใช้สามารถตั้งค่าได้ใน อุปกรณ์ การจัดการ IME ขั้นสูงขยายฟีเจอร์พื้นฐานโดยอนุญาตให้ผู้ดูแลระบบไอที จัดการการใช้งาน IME ของระบบได้เช่นกัน ผู้ผลิตอุปกรณ์ใด หรือผู้ให้บริการอุปกรณ์มักให้มา
4.13.1. ผู้ดูแลระบบไอทีตั้งค่ารายการ IME ที่อนุญาตได้
(ไปที่ permitted_input_methods) ความยาวที่กำหนดเอง (ไม่รวมรายการที่ว่างเปล่า
ซึ่งบล็อก IME ทั้งหมด รวมถึง IME ของระบบ) ซึ่งอาจมี
แพ็กเกจ IME
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำสำหรับ IME สำหรับ รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการ ของแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.13.2. EMM ต้องป้องกันไม่ให้ผู้ดูแลระบบไอทีสร้างรายการที่อนุญาตที่ว่างเปล่า เนื่องจาก จะบล็อก IME ทั้งหมดรวมถึง IME ของระบบไม่ให้ตั้งค่าบน อุปกรณ์
4.13.3. EMM ต้องตรวจสอบว่าหากรายการที่อนุญาตของ IME ไม่มี IME ของระบบ IME ของบุคคลที่สามจะได้รับการติดตั้งอย่างเงียบๆ ก่อนที่จะใช้รายการที่อนุญาต ในอุปกรณ์
4.14 การจัดการบริการการช่วยเหลือพิเศษ
ผู้ดูแลระบบไอทีจะจัดการบริการการช่วยเหลือพิเศษได้ ที่ผู้ใช้สามารถอนุญาตบนอุปกรณ์ได้ บริการการช่วยเหลือพิเศษเป็นเครื่องมือที่มีประสิทธิภาพสำหรับผู้ใช้ ผู้พิการหรือผู้ที่ไม่สามารถโต้ตอบกับ อุปกรณ์ อย่างไรก็ตาม ผู้ใช้อาจโต้ตอบกับข้อมูลของบริษัทในลักษณะที่ไม่เป็นไปตามนโยบายของบริษัท ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบไอทีปิดได้ บริการการช่วยเหลือพิเศษใดๆ ก็ตามที่ไม่ใช่ระบบ
4.14.1. ผู้ดูแลระบบไอทีตั้งค่ารายการที่อนุญาตสำหรับบริการการช่วยเหลือพิเศษได้
(ไปที่ permittedAccessibilityServices) ของความยาวที่กำหนดเอง (รวมถึงฟิลด์ว่าง
ซึ่งจะบล็อกบริการการช่วยเหลือพิเศษที่ไม่ใช่ของระบบ) ซึ่งอาจมี
แพ็กเกจบริการการช่วยเหลือพิเศษที่กำหนดเอง เมื่อใช้กับโปรไฟล์งาน
จะส่งผลต่อทั้งโปรไฟล์ส่วนตัวและโปรไฟล์งาน
- Console อาจแนะนำบริการช่วยเหลือพิเศษที่ทราบหรือแนะนำ เพื่อรวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกได้ รายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.15 การจัดการการแชร์ตำแหน่ง
ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แชร์ข้อมูลตำแหน่งกับแอปภายในงานได้ โปรไฟล์ มิฉะนั้น การตั้งค่าตำแหน่งในโปรไฟล์งานจะสามารถกำหนดค่าได้ใน การตั้งค่า
4.15.1. ผู้ดูแลระบบไอทีสามารถปิดใช้บริการตำแหน่งได้
(ไปที่ shareLocationDisabled) ภายในโปรไฟล์งาน
4.16 การจัดการการแชร์ตำแหน่งขั้นสูง
ผู้ดูแลระบบไอทีสามารถบังคับใช้การตั้งค่าการแชร์ตำแหน่งที่กำหนดในอุปกรณ์ที่มีการจัดการ ฟีเจอร์นี้ช่วยให้แอปขององค์กรมีตำแหน่งที่มีความแม่นยำสูงอยู่เสมอ นอกจากนี้ ฟีเจอร์นี้ยังช่วยประหยัดแบตเตอรี่ด้วยโดยจำกัดการตั้งค่าตำแหน่งเป็นโหมดประหยัดแบตเตอรี่
4.16.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าบริการตำแหน่งของอุปกรณ์ สำหรับแต่ละโหมดต่อไปนี้
- ความแม่นยำสูง
- เซ็นเซอร์เท่านั้น เช่น GPS แต่ไม่รวมที่ได้จากเครือข่าย ตำแหน่งนั้น
- ประหยัดแบตเตอรี่ ซึ่งจะจำกัดความถี่ในการอัปเดต
- ปิด
4.17 การจัดการการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น
ช่วยให้ผู้ดูแลระบบไอทีปกป้องอุปกรณ์ของบริษัทจากการโจรกรรมได้ โดยป้องกันไม่ให้ผู้ใช้ที่ไม่ได้รับอนุญาตรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้น หากมีการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น จะก่อให้เกิดความซับซ้อนในการดำเนินงานเมื่อมีการส่งอุปกรณ์คืนให้ฝ่ายไอที และผู้ดูแลระบบไอที ก็สามารถปิดการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นได้ทั้งหมด
4.17.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตอุปกรณ์เป็นค่าเริ่มต้น (ไปที่ factoryResetDisabled) จากการตั้งค่า
4.17.2. ผู้ดูแลระบบไอทีสามารถระบุบัญชีการปลดล็อกของบริษัทที่ได้รับอนุญาตให้จัดสรรอุปกรณ์ (ไปที่ frpAdminEmails) หลังจากการรีเซ็ตเป็นค่าเริ่มต้น
- บัญชีนี้สามารถเชื่อมโยงกับบุคคลธรรมดาหรือใช้โดยทั้งองค์กร เพื่อปลดล็อกอุปกรณ์
4.17.3. ผู้ดูแลระบบไอทีสามารถปิดใช้การป้องกันการรีเซ็ตเป็นค่าเริ่มต้นได้
(ไปที่ 0 factoryResetDisabled) สำหรับอุปกรณ์ที่ระบุ
4.17.4. ผู้ดูแลระบบไอทีจะเริ่มล้างข้อมูลอุปกรณ์จากระยะไกลได้ ที่สามารถเลือกล้างข้อมูลการป้องกันการรีเซ็ตได้ ซึ่งจะเป็นการนำการรีเซ็ตเป็นค่าเริ่มต้นออก ในอุปกรณ์ที่รีเซ็ตแล้ว
4.18 การควบคุมแอปขั้นสูง
ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้ถอนการติดตั้งหรือแก้ไขที่มีการจัดการได้ ผ่านการตั้งค่าได้ เช่น ป้องกันไม่ให้บังคับให้ปิดแอป หรือ การล้างแคชข้อมูลของแอป
4.18.1. ผู้ดูแลระบบไอทีสามารถบล็อกการถอนการติดตั้งแอปที่จัดการแบบกำหนดเองหรือแอปที่จัดการทั้งหมด (ไปที่ uninstallAppsDisabled)
4.18.2. ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลแอปพลิเคชันได้ จากการตั้งค่า (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.19 การจัดการการจับภาพหน้าจอ
ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้ถ่ายภาพหน้าจอเมื่อใช้แอปที่มีการจัดการ การตั้งค่านี้รวมถึงการบล็อกแอปการแชร์หน้าจอและแอปที่คล้ายกัน (เช่น Google Assistant) ที่ใช้ความสามารถในการจับภาพหน้าจอของระบบ
4.19.1. ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้จับภาพหน้าจอได้
(ไปที่ screenCaptureDisabled)
4.20 ปิดใช้งานกล้องถ่ายรูป
ผู้ดูแลระบบไอทีสามารถปิดการใช้กล้องของอุปกรณ์โดยแอปที่มีการจัดการได้
4.20.1. ผู้ดูแลระบบไอทีสามารถปิดใช้กล้องของอุปกรณ์ได้
(ไปที่ cameraDisabled) ตามแอปที่มีการจัดการ
4.21. การเก็บรวบรวมสถิติเครือข่าย
Android Management API ไม่รองรับฟีเจอร์นี้
4.22 การรวบรวมสถิติเครือข่ายขั้นสูง
Android Management API ไม่รองรับฟีเจอร์นี้
4.23 รีบูตอุปกรณ์
ผู้ดูแลระบบไอทีสามารถรีสตาร์ทอุปกรณ์ที่มีการจัดการจากระยะไกลได้
4.23.1. ผู้ดูแลระบบไอทีสามารถรีบูตจากระยะไกลได้ อุปกรณ์ที่มีการจัดการ
4.24 การจัดการวิทยุในระบบ
ให้ผู้ดูแลระบบไอทีสามารถจัดการวิทยุเครือข่ายของระบบแบบละเอียด นโยบายการใช้งานที่เกี่ยวข้องซึ่งใช้นโยบาย
4.24.1. ผู้ดูแลระบบไอทีสามารถปิดการส่งข้อมูลเตือนภัยทางมือถือ (CB) ที่ส่งโดยบริการได้
ผู้ให้บริการ (ไปที่ cellBroadcastsConfigDisabled)
4.24.2. ผู้ดูแลระบบไอทีจะป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าเครือข่ายมือถือได้ใน
การตั้งค่า (ไปที่ mobileNetworksConfigDisabled)
4.24.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตการตั้งค่าเครือข่ายทั้งหมดได้ในการตั้งค่า (ไปที่ networkResetDisabled)
4.24.4. ผู้ดูแลระบบไอทีตั้งค่าได้ว่าอุปกรณ์อนุญาตให้ใช้อินเทอร์เน็ตมือถือหรือไม่
ขณะโรมมิ่ง (ไปที่ dataRoamingDisabled)
4.24.5. ผู้ดูแลระบบไอทีสามารถตั้งค่าได้ว่าจะให้อุปกรณ์โทรออกได้หรือไม่ ยกเว้นการโทรฉุกเฉิน (ไปที่ outGoingCallsDisabled)
4.24.6. ผู้ดูแลระบบไอทีสามารถตั้งค่าได้ว่าจะให้อุปกรณ์ส่งและรับข้อความได้หรือไม่ (ไปที่ smsDisabled)
4.24.7. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ใช้อุปกรณ์เป็นฮอตสปอตแบบพกพาด้วยการเทอร์เทอร์ (ไปที่ tetheringConfigDisabled)
4.24.8. ผู้ดูแลระบบไอทีตั้งค่าระยะหมดเวลาของ Wi-Fi เป็นค่าเริ่มต้นได้ในขณะที่เสียบปลั๊ก หรือ ไม่เลย (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.24.9. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ตั้งค่าหรือแก้ไข
การเชื่อมต่อบลูทูธ (ไปที่ bluetoothConfigDisabled)
4.25 การจัดการเสียงของระบบ
ผู้ดูแลระบบไอทีสามารถควบคุมฟีเจอร์เสียงของอุปกรณ์แบบเงียบๆ ซึ่งรวมถึงการปิดเสียงอุปกรณ์ ป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าระดับเสียง และป้องกันไม่ให้ผู้ใช้เลิกปิดเสียงไมโครโฟนของอุปกรณ์
4.25.1. ผู้ดูแลระบบไอทีสามารถปิดเสียงอุปกรณ์ที่มีการจัดการโดยไม่มีเสียง (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.25.2. ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้แก้ไขระดับเสียงของอุปกรณ์ได้
การตั้งค่า (ไปที่ adjustVolumeDisabled) ซึ่งจะเป็นการปิดเสียงอุปกรณ์ด้วย
4.25.3. ผู้ดูแลระบบไอทีป้องกันไม่ให้ผู้ใช้เปิดเสียงอุปกรณ์ได้
ไมโครโฟน (ไปที่ unmuteMicrophoneDisabled)
4.26 การจัดการนาฬิการะบบ
ผู้ดูแลระบบไอทีสามารถจัดการการตั้งค่านาฬิกาและเขตเวลาของอุปกรณ์ รวมถึงป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าอัตโนมัติของอุปกรณ์
4.26.1. ผู้ดูแลระบบไอทีสามารถบังคับใช้เวลาอัตโนมัติของระบบและเขตเวลาอัตโนมัติ เพื่อป้องกันไม่ให้ผู้ใช้ตั้งค่าวันที่ เวลา และเขตเวลาของ อุปกรณ์
4.27 ฟีเจอร์ขั้นสูงสำหรับอุปกรณ์ที่ใช้เพื่อวัตถุประสงค์เฉพาะ
สำหรับอุปกรณ์เฉพาะ ผู้ดูแลระบบไอทีจะจัดการฟีเจอร์ต่อไปนี้ได้โดยใช้ นโยบายเพื่อสนับสนุน การใช้งานคีออสก์ที่หลากหลาย
4.27.1. ผู้ดูแลระบบไอทีสามารถปิดการป้องกันหน้าจอเมื่อล็อกของอุปกรณ์ได้ (ไปที่ keyguardDisabled)
4.27.2. ผู้ดูแลระบบไอทีสามารถปิดแถบสถานะของอุปกรณ์ บล็อกการแจ้งเตือน และ
การตั้งค่าด่วน (ไปที่ statusBarDisabled)
4.27.3. ผู้ดูแลระบบไอทีสามารถบังคับให้หน้าจออุปกรณ์เปิดอยู่ตลอดขณะที่อุปกรณ์เปิดอยู่
เสียบปลั๊กอยู่ (ไปที่ stayOnPluggedModes)
4.27.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ UI ของระบบต่อไปนี้
ไม่ให้แสดง (ไปที่ createWindowsDisabled):
- ขนมปังปิ้ง
- การวางซ้อนแอปพลิเคชัน
4.27.5. ผู้ดูแลระบบไอทีสามารถอนุญาตคำแนะนำของระบบสำหรับแอปที่ต้องการข้าม
บทแนะนำสำหรับผู้ใช้และคำแนะนำเบื้องต้นอื่นๆ เกี่ยวกับการเริ่มต้นใช้งานครั้งแรก (ไปที่
skip_first_use_hints)
4.28. การจัดการขอบเขตที่รับมอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถมอบสิทธิ์เพิ่มเติมให้กับแต่ละแพ็กเกจได้
4.28.1. ผู้ดูแลระบบไอทีจะจัดการขอบเขตต่อไปนี้ได้
- การติดตั้งและการจัดการใบรับรอง
- เว้นว่างไว้
- การบันทึกกิจกรรมของเครือข่าย
- การบันทึกการรักษาความปลอดภัย (ไม่รองรับโปรไฟล์งานที่นำมาใช้เอง)
4.29 การสนับสนุนรหัสเฉพาะการลงทะเบียน
ตั้งแต่ Android 12 เป็นต้นไป โปรไฟล์งานจะไม่มีสิทธิ์เข้าถึงตัวระบุเฉพาะฮาร์ดแวร์อีกต่อไป ผู้ดูแลระบบไอทีสามารถติดตามวงจรการใช้งานอุปกรณ์ได้ ด้วยโปรไฟล์งานผ่านรหัสเฉพาะการลงทะเบียน ซึ่งจะคงอยู่ ผ่านการรีเซ็ตเป็นค่าเริ่มต้น
4.29.1. ผู้ดูแลระบบไอทีสามารถรับรหัสเฉพาะการลงทะเบียนได้
4.29.2. รหัสเฉพาะสำหรับการลงทะเบียนนี้ต้องคงอยู่หลังจากการรีเซ็ตเป็นค่าเริ่มต้น
5. ความสามารถในการใช้งานอุปกรณ์
5.1 การปรับแต่งการจัดสรรที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถแก้ไข UX ของขั้นตอนการตั้งค่าเริ่มต้นให้รวมฟีเจอร์เฉพาะองค์กรได้ (ไม่บังคับ) ผู้ดูแลระบบไอทีจะแสดงรูปแบบที่ EMM จัดหาให้ แบรนด์ในระหว่างการจัดสรร
5.1.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งกระบวนการจัดสรรได้โดยระบุ
enterprise-specific
ข้อกำหนดในการให้บริการและข้อจำกัดความรับผิดอื่นๆ (ไปที่ termsAndConditions)
5.1.2. ผู้ดูแลระบบไอทีสามารถทำให้ใช้งานได้
ข้อกำหนดในการให้บริการเฉพาะของ EMM ที่กำหนดค่าไม่ได้และข้อจำกัดความรับผิดอื่นๆ
(ไปที่ termsAndConditions)
- EMM อาจตั้งค่าการกำหนดค่าเฉพาะสำหรับ EMM ที่กำหนดค่าไม่ได้เป็น ค่าเริ่มต้นสำหรับการทำให้ใช้งานได้ แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่า การปรับแต่งได้มากขึ้น
5.1.3 เลิกใช้งาน primaryColor สำหรับทรัพยากรขององค์กรบน Android แล้ว
10 ขึ้นไป
5.2 การปรับแต่งองค์กร
Android Management API ไม่รองรับฟีเจอร์นี้
5.3 การปรับแต่งองค์กรขั้นสูง
Android Management API ไม่รองรับฟีเจอร์นี้
5.4. ข้อความบนหน้าจอล็อก
ผู้ดูแลระบบไอทีตั้งค่าข้อความที่กำหนดเองซึ่งจะปรากฏในการล็อกอุปกรณ์เสมอได้ โดยไม่ต้องปลดล็อกอุปกรณ์
5.4.1. ผู้ดูแลระบบไอทีจะตั้งค่าข้อความในหน้าจอล็อกที่กำหนดเองได้
(ไปที่ deviceOwnerLockScreenInfo)
5.5. การจัดการความโปร่งใสของนโยบาย
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความช่วยเหลือที่แสดงต่อผู้ใช้เมื่อพยายาม แก้ไขการตั้งค่าที่มีการจัดการในอุปกรณ์ หรือติดตั้งใช้งานบริการทั่วไปซึ่งให้บริการโดย EMM ข้อความสนับสนุน คุณสามารถปรับแต่งข้อความสนับสนุนทั้งแบบสั้นและแบบยาวได้ และข้อความจะแสดงในบางกรณี เช่น การพยายามถอนการติดตั้งแอปที่มีการจัดการซึ่งผู้ดูแลระบบไอทีได้บล็อกการถอนการติดตั้งไว้แล้ว
5.5.1 ผู้ดูแลระบบไอทีสามารถปรับแต่งการสนับสนุนที่ใช้เวลาสั้นและยาวแก่ผู้ใช้ได้ ข้อความ
5.5.2. ผู้ดูแลระบบไอทีสามารถติดตั้งใช้งาน EMM ที่เฉพาะเจาะจงและการกำหนดค่าไม่ได้ ใช้เวอร์ชันระยะสั้นและระยะยาวได้
ข้อความสนับสนุน (ไปที่ shortSupportMessage และ longSupportMessage ใน
policies)
- EMM อาจตั้งค่าข้อความการสนับสนุนเฉพาะของ EMM ที่กำหนดค่าไม่ได้เป็น ค่าเริ่มต้นสำหรับการทำให้ใช้งานได้ แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่า ข้อความ
5.6 การจัดการรายชื่อติดต่อข้ามโปรไฟล์
5.6.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การแสดงรายชื่อติดต่อสำหรับงานในโปรไฟล์ส่วนตัวได้ การค้นหารายชื่อติดต่อและสายเรียกเข้า
5.6.2. ผู้ดูแลระบบไอทีสามารถปิดใช้การแชร์รายชื่อติดต่อผ่านบลูทูธได้ ของรายชื่อติดต่อในที่ทำงาน เช่น การโทรแบบแฮนด์ฟรีในรถยนต์หรือชุดหูฟัง
5.7 การจัดการข้อมูลข้ามโปรไฟล์
อนุญาตให้ผู้ดูแลระบบไอทีจัดการประเภทข้อมูลที่แชร์ระหว่างงานได้ และโปรไฟล์ส่วนตัว เพื่อให้ผู้ดูแลระบบรักษาสมดุลระหว่างความสามารถในการใช้งานและความปลอดภัยของข้อมูล ตามข้อกำหนดของพวกเขา
5.7.1. ผู้ดูแลระบบไอทีสามารถกำหนดค่านโยบายการแชร์ข้อมูลข้ามโปรไฟล์เพื่อให้แอปส่วนตัวสามารถแก้ไข Intent จากโปรไฟล์งานได้ เช่น การแชร์ Intent หรือเว็บลิงก์
5.7.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปพลิเคชันจากโปรไฟล์งานสร้างและ
แสดงวิดเจ็ตบนหน้าจอหลักของโปรไฟล์ส่วนตัว ฟังก์ชันนี้
จะปิดอยู่โดยค่าเริ่มต้น แต่ตั้งค่าให้อนุญาตโดยใช้ช่อง workProfileWidgets และ workProfileWidgetsDefault ได้
5.7.3. ผู้ดูแลระบบไอทีสามารถควบคุมความสามารถในการคัดลอก/วางระหว่างโปรไฟล์งานกับโปรไฟล์ส่วนตัว
5.8 นโยบายการอัปเดตระบบ
ผู้ดูแลระบบไอทีตั้งค่าและใช้การอัปเดตระบบผ่านอากาศ (OTA) ได้ อุปกรณ์
5.8.1. คอนโซลของ EMM ช่วยให้ผู้ดูแลระบบไอทีตั้งค่า OTA ต่อไปนี้ได้ การกำหนดค่า:
- อัตโนมัติ: อุปกรณ์จะติดตั้งการอัปเดต OTA เมื่อพร้อมให้บริการ
- เลื่อน: ผู้ดูแลระบบไอทีต้องเลื่อนการอัปเดต OTA ได้สูงสุด 30 ครั้ง วัน นโยบายนี้ไม่มีผลต่อการอัปเดตความปลอดภัย (เช่น การรักษาความปลอดภัยรายเดือน )
- อยู่ในโหมดหน้าต่าง: ผู้ดูแลระบบไอทีต้องกำหนดเวลาการอัปเดต OTA ได้ภายในรายวัน ช่วงเวลาบำรุงรักษา
5.8.2. การกำหนดค่า OTA จะใช้กับอุปกรณ์ที่ใช้ นโยบาย ที่ใช้เวลาเพียง 2 นาที
5.9 การจัดการโหมดล็อกงาน
ผู้ดูแลระบบไอทีสามารถล็อกแอปหรือชุดแอปไว้บนหน้าจอ และตรวจสอบว่าผู้ใช้ ออกจากแอปไม่ได้
5.9.1. คอนโซลของ EMM ทำให้ผู้ดูแลระบบไอทีสามารถอนุญาตชุดการตั้งค่าที่กำหนดเอง แอปพลิเคชันเพื่อติดตั้งและล็อกอุปกรณ์ นโยบายช่วยให้ตั้งค่าอุปกรณ์เฉพาะได้
5.10 การจัดการกิจกรรมที่ต้องการแบบถาวร
อนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าแอปเป็นเครื่องจัดการ Intent เริ่มต้นสำหรับ Intent ที่ตรงกัน ตัวกรองความตั้งใจบางอย่าง เช่น ฟีเจอร์นี้จะช่วยให้ผู้ดูแลระบบไอทีเลือกแอปเบราว์เซอร์ที่เปิดเว็บลิงก์โดยอัตโนมัติได้ ฟีเจอร์นี้สามารถจัดการว่าจะใช้แอป Launcher ใดเมื่อแตะปุ่มหน้าแรก
5.10.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าแพ็กเกจใดก็ได้เป็นเครื่องจัดการ Intent เริ่มต้น สำหรับตัวกรอง Intent ที่กำหนดเอง
- คอนโซลของ EMM อาจแนะนำ Intent ที่รู้จักหรือแนะนำสำหรับ การกำหนดค่า แต่ไม่สามารถจำกัด Intent ในรายการที่กำหนดเอง
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
5.11 การจัดการฟีเจอร์การป้องกันหน้าจอ
ผู้ดูแลระบบไอทีจะจัดการฟีเจอร์ที่มีให้ผู้ใช้ได้ก่อนที่จะปลดล็อก การล็อกปุ่มกดอุปกรณ์ (หน้าจอล็อก) และการควบคุมคีย์การ์ดชาเลนจ์ในการทำงาน (หน้าจอล็อก)
5.11.1.Policy สามารถปิดฟีเจอร์การล็อกอุปกรณ์ต่อไปนี้
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
- การแจ้งเตือนที่ไม่ได้ปกปิด
5.11.2. คุณสามารถปิดฟีเจอร์การล็อกต่อไปนี้ของโปรไฟล์งานได้ โดยใช้ policy:
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
5.12 การจัดการฟีเจอร์การล็อกขั้นสูง
- กล้องรักษาความปลอดภัย
- การแจ้งเตือนทั้งหมด
- ไม่ได้ปกปิด
- เอเจนต์ความน่าเชื่อถือ
- ปลดล็อกด้วยลายนิ้วมือ
- ฟีเจอร์การล็อกปุ่มทั้งหมด
5.13 การซ่อมแซมรีโมต
Android Management API ไม่รองรับฟีเจอร์นี้
5.14 การดึงข้อมูลที่อยู่ MAC
EMM สามารถดึงข้อมูลที่อยู่ MAC ของอุปกรณ์โดยอัตโนมัติเพื่อใช้ระบุอุปกรณ์ในส่วนอื่นๆ ของโครงสร้างพื้นฐานขององค์กร (เช่น เมื่อระบุอุปกรณ์สำหรับการควบคุมการเข้าถึงเครือข่าย)
5.14.1. EMM สามารถดึงข้อมูลที่อยู่ MAC ของอุปกรณ์โดยที่ผู้ใช้ไม่รู้ และเชื่อมโยงที่อยู่ดังกล่าวกับอุปกรณ์ในคอนโซลของ EMM ได้
5.15 การจัดการโหมดงานการล็อกขั้นสูง
เมื่อใช้อุปกรณ์เฉพาะ ผู้ดูแลระบบไอทีจะใช้ EMM เพื่อทำงานต่อไปนี้
5.15.1. อนุญาตให้แอปเดียวติดตั้งและล็อกกับอุปกรณ์โดยอัตโนมัติ
5.15.2. เปิดหรือปิดฟีเจอร์ UI ของระบบต่อไปนี้
- ปุ่มหน้าแรก
- ภาพรวม
- การดำเนินการส่วนกลาง
- การแจ้งเตือน
- ข้อมูลระบบ / แถบสถานะ
- การล็อกปุ่มกด (หน้าจอล็อก) ฟีเจอร์ย่อยนี้จะเปิดโดยค่าเริ่มต้นเมื่อ 5.15.1. นำไปใช้งาน
5.15.3. ปิดกล่องโต้ตอบข้อผิดพลาดของระบบ
5.16 นโยบายการอัปเดตระบบขั้นสูง
ผู้ดูแลระบบไอทีจะกำหนดช่วงหยุดทำงานที่ระบุไว้เพื่อบล็อกการอัปเดตระบบในอุปกรณ์ได้
5.16.1. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีบล็อกผ่านอากาศ (OTA) ในช่วงหยุดทำงานที่ระบุไว้
5.17 การจัดการความโปร่งใสของนโยบายโปรไฟล์งาน
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความที่แสดงต่อผู้ใช้เมื่อนำงานออก โปรไฟล์จากอุปกรณ์
5.17.1. ผู้ดูแลระบบไอทีสามารถระบุข้อความที่กำหนดเองที่จะแสดง (ไปที่ wipeReasonMessage) เมื่อล้างโปรไฟล์งาน
5.18 การรองรับแอปที่เชื่อมต่อ
ผู้ดูแลระบบไอทีสามารถกำหนดรายการแพ็กเกจที่สามารถสื่อสารผ่าน ขอบเขตของโปรไฟล์งานโดยการตั้งค่า ConnectedWorkAndPersonalApp
5.19 การอัปเดตระบบด้วยตนเอง
Android Management API ไม่รองรับฟีเจอร์นี้
6. การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
6.1 การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
EMM ต้องโพสต์แพ็กเกจภายในสิ้นปี 2022 การสนับสนุนลูกค้าสำหรับผู้ดูแลระบบอุปกรณ์ในอุปกรณ์ GMS ภายในสิ้นไตรมาสแรกของปี 2023
7. การใช้ API
7.1. ตัวควบคุมนโยบายมาตรฐานสำหรับการเชื่อมโยงใหม่
โดยค่าเริ่มต้น อุปกรณ์จะต้องได้รับการจัดการโดยใช้ Android Device Policy สำหรับอุปกรณ์เครื่องใหม่ ที่ผูกไว้ EMM อาจให้ตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กําหนดเองในพื้นที่การตั้งค่าในส่วนหัว "ขั้นสูง" หรือคําศัพท์ที่คล้ายกัน ลูกค้าใหม่ ต้องไม่มีตัวเลือกที่กำหนดเองระหว่างสแต็กเทคโนโลยีในระหว่าง การเริ่มต้นใช้งานหรือเวิร์กโฟลว์การตั้งค่า
7.2. เครื่องมือควบคุมนโยบายมาตรฐานสำหรับอุปกรณ์ใหม่
โดยค่าเริ่มต้น อุปกรณ์ต้องได้รับการจัดการโดยใช้ Android Device Policy สำหรับอุปกรณ์ใหม่ทั้งหมด การลงทะเบียนอุปกรณ์ สำหรับทั้งการเชื่อมโยงที่มีอยู่และการเชื่อมโยงใหม่ EMM อาจจัดให้มี ตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กำหนดเองในส่วนการตั้งค่าใต้ส่วนหัว 'Advanced' [ขั้นสูง] หรือคำศัพท์ที่คล้ายกัน