בדף הזה מפורטות כל התכונות של Android Enterprise.
אם אתם מתכוונים לנהל יותר מ-500 מכשירים, פתרון ה-EMM שלכם צריך לתמוך בכל התכונות הרגילות () של לפחות חבילת פתרונות אחת לפני שהוא יהיה זמין מסחרית. מפתחי EMM שרוצים שהפתרונות שלהם יופיעו במדריך הפתרונות לארגונים של Android כפתרונות שמציעים סט ניהול רגיל צריכים לעבור אימות של תכונות רגילות ולהצטרף לתוכנית השותפים של Android Enterprise.
לכל חבילת פתרונות יש קבוצה נוספת של תכונות מתקדמות. התכונות האלה מסומנות בכל דף של חבילת פתרונות: פרופיל עבודה במכשיר בבעלות אישית, פרופיל עבודה במכשיר בבעלות החברה, מכשיר מנוהל ומכשיר ייעודי. מפתחי EMM שהם חברים בתוכנית השותפים של Android Enterprise עם פתרונות שעוברים אימות של תכונות מתקדמות, מופיעים במדריך הפתרונות לארגונים של Android כמי שמציעים חבילת ניהול מתקדמת.
מפתח
| תכונה רגילה אחת () | תכונה מתקדמת | תכונה אופציונלית | לא רלוונטי |
1. הקצאת הרשאות למכשיר
1.1. הקצאת פרופיל עבודה עם DPC
| |
אחרי שהמשתמשים מורידים את Android Device Policy מ-Google Play, הם יכולים להקצות פרופיל עבודה.
1.1.1. מערכת ה-EMM מספקת למנהל ה-IT קוד QR או קוד הפעלה כדי לתמוך בשיטת ההקצאה הזו (אפשר לעבור אל רישום והקצאה של מכשיר).
1.2. הקצאת הרשאות למכשיר באמצעות מזהה DPC
| |
הזנת afw# באשף ההגדרה של המכשיר מספקת מכשיר מנוהל באופן מלא או מכשיר ייעודי.
1.2.1. מערכת ה-EMM מספקת למנהל ה-IT קוד QR או קוד הפעלה כדי לתמוך בשיטת ההקצאה הזו (אפשר לעבור אל רישום והקצאת מכשיר).
1.3. הקצאת הרשאות למכשירי NFC
| |
אדמינים ב-IT יכולים להשתמש בתגי NFC כדי להקצות מכשירים חדשים או מכשירים שאופסו להגדרות המקוריות, בהתאם להנחיות ההטמעה שמוגדרות במסמכי התיעוד למפתחים של Play EMM API.
1.3.1. פתרונות EMM חייבים להשתמש בתגי NFC Forum Type 2 עם זיכרון של לפחות 888 בייט. הקצאת ההרשאות צריכה להתבצע באמצעות תוספים להקצאת הרשאות, כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרת ומזהי הרשמה. פרטי ההרשמה לא צריכים לכלול מידע רגיש, כמו סיסמאות או אישורים.
1.3.2. אנחנו ממליצים להשתמש בתגי NFC ב-Android מגרסה 10 ואילך, כי הוצאנו משימוש את NFC Beam (שנקרא גם NFC Bump).
1.4. הקצאת הרשאות למכשיר באמצעות קוד QR
| |
במסוף של ה-EMM אפשר ליצור קוד QR שמנהלי IT יכולים לסרוק כדי להקצות מכשיר בניהול מלא או מכשיר ייעודי, בהתאם להנחיות ההטמעה שמוגדרות בתיעוד למפתחים של Android Management API.
1.4.1. קוד ה-QR צריך להשתמש בתוספות להקצאת הרשאות כדי להעביר פרטי רישום לא רגישים (כמו מזהי שרתים, מזהי הרשמה) למכשיר. פרטי ההרשמה לא יכולים לכלול מידע רגיש, כמו סיסמאות או אישורים.
1.5. הרשמה דרך הארגון
| |
אדמינים ממחלקת IT יכולים להגדיר מראש מכשירים שנרכשו ממשווקים מורשים ולנהל אותם באמצעות מסוף ה-EMM.
1.5.1. מנהלי IT יכולים להקצות מכשירים בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, שמתוארת במאמר הרשמה דרך הארגון למנהלי IT.
1.5.2. כשמפעילים מכשיר בפעם הראשונה, המכשיר עובר אוטומטית להגדרות שהוגדרו על ידי אדמין ה-IT.
1.6. הקצאת הרשאות מתקדמת ללא מגע
| |
אדמינים ב-IT יכולים להפוך חלק ניכר מתהליך רישום המכשירים לאוטומטי באמצעות הרשמה דרך הארגון. בשילוב עם כתובות URL להתחברות, אדמינים ב-IT יכולים להגביל את ההרשמה לחשבונות או לדומיינים ספציפיים, בהתאם לאפשרויות ההגדרה שמציעה מערכת ה-EMM.
1.6.1. אדמינים ב-IT יכולים להקצות מכשיר בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון.
1.6.2. הדרישה הזו הוצאה משימוש.
1.6.3. באמצעות כתובת ה-URL לכניסה , מערכת ה-EMM צריכה לוודא שמשתמשים לא מורשים לא יכולים להמשיך בהפעלה. לפחות, ההפעלה צריכה להיות מוגבלת למשתמשים בארגון מסוים.
1.6.4. באמצעות כתובת ה-URL לכניסה , מערכת ה-EMM צריכה לאפשר למנהלי IT לאכלס מראש פרטי הרשמה (לדוגמה, מזהי שרת, מזהי הרשמה) מלבד פרטים ייחודיים של משתמש או מכשיר (לדוגמה, שם משתמש/סיסמה, אסימון הפעלה), כדי שהמשתמשים לא יצטרכו להזין פרטים כשהם מפעילים מכשיר.
- אסור לכלול מידע רגיש, כמו סיסמאות או אישורים, בהגדרות של ההרשמה ללא מגע (ZTE) ב-EMM.
1.7. הקצאת פרופיל עבודה בחשבון Google
| |
בארגונים שמשתמשים בדומיין Google מנוהל, התכונה הזו מנחה את המשתמשים בהגדרת פרופיל עבודה אחרי שהם מזינים את פרטי הכניסה שלהם ל-Workspace הארגוני במהלך הגדרת המכשיר או במכשיר שכבר הופעל. בשני המקרים, הזהות הארגונית ב-Workspace תועבר אל פרופיל העבודה.
1.8. הקצאת הרשאות למכשירים בחשבון Google
| |
ה-API לניהול Android לא תומך בתכונה הזו.
1.9. הגדרה ישירה של הרשמה דרך הארגון
| |
אדמינים ב-IT יכולים להשתמש במסוף ה-EMM כדי להגדיר מכשירים בהרשמה דרך הארגון באמצעות iframe של ההרשמה דרך הארגון .
1.10. פרופילי עבודה במכשירים בבעלות החברה
| |
מערכות EMM יכולות לרשום מכשירים בבעלות החברה שיש להם פרופיל עבודה על ידי הגדרת AllowPersonalUsage .
1.10.1. השדה ריק בכוונה.
1.10.2. אדמינים של IT יכולים להגדיר פעולות תאימות לפרופילי עבודה במכשירים שבבעלות החברה באמצעות PersonalUsagePolicies.
1.10.3. מנהלי IT יכולים להשבית את המצלמה בפרופיל העבודה או בכל המכשיר באמצעות PersonalUsagePolicies.
1.10.4. אדמינים של IT יכולים להשבית את צילום המסך בפרופיל העבודה או במכשיר כולו באמצעות PersonalUsagePolicies.
1.10.5. אדמינים של IT יכולים להגדיר רשימת חסימה של אפליקציות שלא ניתן להתקין בפרופיל האישי באמצעות PersonalApplicationPolicy.
1.10.6. אדמינים ב-IT יכולים להפסיק את הניהול של מכשיר בבעלות החברה על ידי הסרת פרופיל העבודה או איפוס הנתונים במכשיר כולו.
1.11. הקצאת מכשירים ייעודיים
| |
אדמינים של IT יכולים לרשום מכשירים ייעודיים בלי שהמשתמש יתבקש לאמת את עצמו באמצעות חשבון Google.
2. אבטחת המכשיר
2.1. אתגר אבטחה במכשיר
| |
אדמינים ב-IT יכולים להגדיר ולאכוף אתגר אבטחה למכשיר (קוד סודי/תבנית/סיסמה) מתוך מבחר מוגדר מראש של 3 רמות מורכבות במכשירים מנוהלים.
2.1.1. מדיניות צריכה לאכוף הגדרות לניהול בעיות אבטחה במכשיר (parentProfilePasswordRequirements לפרופיל עבודה, passwordRequirements למכשירים בניהול מלא ולמכשירים ייעודיים).
2.1.2. מורכבות הסיסמה צריכה להיות תואמת למורכבויות הסיסמה הבאות:
- PASSWORD_COMPLEXITY_LOW – קו ביטול נעילה או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH – קוד אימות ללא רצפים חוזרים (4444) או בסדר עולה או יורד (1234, 4321, 2468) ובאורך של 8 תווים לפחות, או סיסמאות אלפביתיות או אלפאנומריות באורך של 6 תווים לפחות
2.1.3. אפשר גם לאכוף הגבלות נוספות על סיסמאות כמדיניות מדור קודם במכשירים בבעלות החברה.
2.2. אתגר אבטחה בפרופיל העבודה
| |
אדמינים ב-IT יכולים להגדיר ולאכוף אתגר אבטחה לאפליקציות ולנתונים בפרופיל העבודה, שהוא נפרד וכולל דרישות שונות מאתגר האבטחה של המכשיר (2.1).
2.2.1. המדיניות צריכה לאכוף את אתגר האבטחה בפרופיל העבודה.
- כברירת מחדל, אדמינים של IT צריכים להגדיר הגבלות רק לפרופיל העבודה אם לא מצוין היקף
- אדמינים ב-IT יכולים להגדיר את ההגדרה הזו לכל המכשיר על ידי ציון ההיקף (ראו דרישה 2.1)
2.2.2. מורכבות הסיסמה צריכה להיות בהתאם לרמות המורכבות המוגדרות מראש הבאות:
- PASSWORD_COMPLEXITY_LOW – קו ביטול נעילה או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH – קוד אימות ללא רצפים חוזרים (4444) או בסדר עולה או יורד (1234, 4321, 2468) ובאורך של 8 תווים לפחות, או סיסמאות אלפביתיות או אלפאנומריות באורך של 6 תווים לפחות
2.2.3. אפשר גם לאכוף הגבלות נוספות על סיסמאות כהגדרות מדור קודם
2.3. ניהול מתקדם של קודי גישה
| |
אדמינים של IT יכולים להגדיר הגדרות סיסמה מתקדמות במכשירים.
2.3.1. השדה ריק בכוונה.
2.3.2. השדה ריק בכוונה.
2.3.3. אפשר להגדיר את ההגדרות הבאות של מחזור החיים של הסיסמה לכל מסך נעילה שזמין במכשיר:
- הושאר ריק בכוונה
- הושאר ריק בכוונה
- מספר מקסימלי של סיסמאות שגויות לפני איפוס: ההגדרה קובעת כמה פעמים משתמשים יכולים להזין סיסמה שגויה לפני שנתוני הארגון יימחקו מהמכשיר. אדמינים ממחלקת IT צריכים להיות מסוגלים להשבית את התכונה הזו.
2.3.4. (Android 8.0+) דרישת אימות חזק לאחר פסק זמן: צריך להזין קוד אימות חזק (כמו קוד אימות או סיסמה) אחרי פסק זמן שהוגדר על ידי אדמין IT. אחרי תקופת ההמתנה, שיטות אימות לא חזקות (כמו טביעת אצבע, זיהוי פנים) מושבתות עד שפותחים את נעילת המכשיר באמצעות קוד גישה חזק לאימות.
2.4. ניהול של Smart Lock
| |
אדמינים של IT יכולים לקבוע אם סביבות אמינות בתכונה Smart Lock של Android יכולות למנוע את נעילת המכשיר למשך עד ארבע שעות.
2.4.1. אדמינים של IT יכולים להשבית סביבות אמינות במכשיר.
2.5. איפוס נתונים ונעילה
| |
אדמינים ב-IT יכולים להשתמש במסוף של EMM כדי לנעול מרחוק ולאפס נתוני עבודה ממכשיר מנוהל.
2.5.1. המכשירים צריכים להיות נעולים באמצעות Android Management API .
2.5.2. צריך לאפס את המכשירים באמצעות Android Management API .
2.6. אכיפת התאימות
| |
אם מכשיר לא עומד בדרישות של מדיניות האבטחה, כללי התאימות שמוגדרים על ידי Android Management API מגבילים באופן אוטומטי את השימוש בנתוני העבודה.
2.6.1. לפחות, מדיניות האבטחה שנאכפת במכשיר חייבת לכלול מדיניות סיסמאות.
2.7. מדיניות אבטחה שמוגדרת כברירת מחדל
| |
ספקי EMM צריכים לאכוף את מדיניות האבטחה שצוינה במכשירים כברירת מחדל, בלי לדרוש מאדמינים של IT להגדיר או להתאים אישית הגדרות במסוף של ספק ה-EMM. מומלץ (אבל לא חובה) שמערכות EMM לא יאפשרו לאדמינים של IT לשנות את מצב ברירת המחדל של תכונות האבטחה האלה.
2.7.1. צריך לחסום התקנה של אפליקציות ממקורות לא מוכרים, כולל אפליקציות שמותקנות בצד האישי של כל מכשיר Android בגרסה 8.0 ומעלה עם פרופיל עבודה. תכונת המשנה הזו נתמכת כברירת מחדל.
2.7.2. צריך לחסום את התכונות לניפוי באגים. תכונת המשנה הזו נתמכת כברירת מחדל.
2.8. מדיניות אבטחה למכשירים ייעודיים
| |
אי אפשר לבצע פעולות אחרות במכשיר ייעודי נעול.
2.8.1. ההפעלה למצב בטוח צריכה להיות מושבתת כברירת מחדל באמצעות מדיניות
(עוברים אל safeBootDisabled).
2.9. תמיכה ב-Play Integrity
בדיקות התקינות ב-Play מבוצעות כברירת מחדל. לא נדרשת הטמעה נוספת.
2.9.1. השדה ריק בכוונה.
2.9.2. השדה ריק בכוונה.
2.9.3. אדמינים ב-IT יכולים להגדיר תגובות שונות למדיניות בהתאם לערך של SecurityRisk במכשיר, כולל חסימת הקצאת הרשאות, מחיקת נתונים ארגוניים והתרת ההרשמה.
- שירות ה-EMM יאכוף את תגובת המדיניות הזו לגבי התוצאה של כל בדיקת תקינות.
2.9.4. השדה ריק בכוונה.
2.10. אכיפה של אימות אפליקציות
| |
אדמינים ב-IT יכולים להפעיל את התכונה אימות אפליקציות במכשירים. התכונה'אימות אפליקציות' סורקת אפליקציות שמותקנות במכשירי Android כדי לאתר תוכנות מזיקות לפני ההתקנה ואחריה, וכך עוזרת לוודא שאפליקציות זדוניות לא יוכלו לסכן נתונים של החברה.
2.10.1. האפשרות 'אימות אפליקציות' צריכה להיות מופעלת כברירת מחדל באמצעות מדיניות
(כדאי לעבור אל ensureVerifyAppsEnabled).
2.11. תמיכה ב-Direct Boot
| |
ממשק Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
2.12. ניהול אבטחה של חומרה
| |
אדמינים ב-IT יכולים לנעול רכיבי חומרה במכשיר בבעלות החברה כדי למנוע אובדן נתונים.
2.12.1. אדמינים ב-IT יכולים לחסום משתמשים מלהרכיב מדיה חיצונית פיזית באמצעות מדיניות (עוברים אל mountPhysicalMediaDisabled).
2.12.2. אדמינים ב-IT יכולים לחסום את האפשרות של המשתמשים לשתף נתונים מהמכשיר שלהם באמצעות NFC
beam באמצעות מדיניות
(עוברים אל outgoingBeamDisabled). תכונת המשנה הזו היא אופציונלית כי NFC beam
לא נתמכת יותר ב-Android 10 ואילך.
2.12.3. אדמינים ב-IT יכולים לחסום את המשתמשים מהעברת קבצים באמצעות USB באמצעות מדיניות (כך עוברים אל usbFileTransferDisabled).
2.13. רישום פעולות שמשפיעות על אבטחת החשבון בארגון
| |
ה-API לניהול Android לא תומך בתכונה הזו.
3. ניהול החשבון והאפליקציות
3.1. קישור לארגון
אדמינים ב-IT יכולים לקשר את ה-EMM לארגון שלהם, וכך לאפשר ל-EMM להשתמש ב-Google Play לארגונים כדי להפיץ אפליקציות למכשירים.
3.1.1. אדמין עם דומיין מנוהל קיים של Google יכול לקשר את הדומיין שלו ל-EMM.
3.1.2. השדה ריק בכוונה.
3.1.3. השדה ריק בכוונה.
3.1.4. מסוף ה-EMM מנחה את האדמין להזין את כתובת האימייל שלו לצורכי עבודה בתהליך ההרשמה ל-Android, וממליץ לו לא להשתמש בחשבון Gmail.
3.1.5. מערכת ה-EMM ממלאת מראש את כתובת האימייל של האדמין בתהליך ההרשמה ל-Android.
3.2. הקצאת חשבונות Google Play מנוהלים
| |
ה-EMM יכול להקצות בשקט חשבונות משתמשים ארגוניים, שנקראים חשבונות Google Play מנוהלים. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים כללי הפצה ייחודיים של אפליקציות לכל משתמש.
3.2.1. חשבונות Google Play מנוהלים (חשבונות משתמשים) נוצרים אוטומטית כשמכשירים מוקצים.
ממשק Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
3.3. הקצאת חשבונות במכשירים ב-Google Play מנוהל
| |
פתרון ה-EMM יכול ליצור ולספק חשבונות מכשיר ב-Google Play לארגונים. חשבונות מכשיר תומכים בהתקנה שקטה של אפליקציות מחנות Google Play המנוהלת, והם לא מקושרים למשתמש יחיד. במקום זאת, נעשה שימוש בחשבון מכשיר כדי לזהות מכשיר יחיד, כדי לתמוך בכללים להפצת אפליקציות לכל מכשיר בתרחישים של מכשירים ייעודיים.
3.3.1. חשבונות Google Play לארגונים נוצרים באופן אוטומטי כשמכשירים מוקצים.
ממשק Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
3.4. הקצאת חשבונות Google Play מנוהלים למכשירים מדור קודם
התכונה הזו יצאה משימוש.
3.5. הפצה שקטה של אפליקציות
אדמינים ב-IT יכולים להפיץ בשקט אפליקציות עבודה במכשירים ללא אינטראקציה מצד המשתמשים.
3.5.1. המסוף של ה-EMM צריך להשתמש ב-Android Management API כדי לאפשר לאדמינים של IT להתקין אפליקציות לשימוש בעבודה במכשירים מנוהלים.
3.5.2. המסוף של EMM חייב להשתמש ב-Android Management API כדי לאפשר למנהלי IT לעדכן אפליקציות לשימוש בעבודה במכשירים מנוהלים.
3.5.3. המסוף של ה-EMM צריך להשתמש ב-Android Management API כדי לאפשר לאדמינים של IT להסיר אפליקציות במכשירים מנוהלים.
3.6. ניהול הגדרות מנוהלות
| |
אדמינים של IT יכולים לראות ולהגדיר בשקט הגדרות מנוהלות לכל אפליקציה שתומכת בהגדרות מנוהלות.
3.6.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את הגדרות הניהול של כל אפליקציה ב-Play.
3.6.2. מסוף ה-EMM צריך לאפשר לאדמינים ב-IT להגדיר כל סוג של תצורה (כפי שמוגדר במסגרת Android Enterprise) לכל אפליקציה ב-Play באמצעות Android Management API.
3.6.3. מסוף ה-EMM צריך לאפשר לאדמינים ב-IT להגדיר תווים כלליים (כמו $username$ או %emailAddress%) כדי שאפשר יהיה להחיל הגדרה אחת לאפליקציה כמו Gmail על כמה משתמשים.
3.7. ניהול קטלוג האפליקציות
ממשק Android Management API תומך בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
3.8. אישור אפליקציות פרוגרמטיות
במסוף ה-EMM נעשה שימוש ב-iframe של Google Play לארגונים כדי לתמוך ביכולות של Google Play לגילוי ולאישור אפליקציות. אדמינים של IT יכולים לחפש אפליקציות, לאשר אפליקציות ולאשר הרשאות חדשות לאפליקציות בלי לצאת ממסוף ה-EMM.
3.8.1. אדמינים ב-IT יכולים לחפש אפליקציות ולאשר אותן במסוף ה-EMM באמצעות iframe של Google Play לארגונים.
3.9. ניהול בסיסי של פריסת החנות
אפשר להשתמש באפליקציה של חנות Google Play לניהול כדי להתקין ולעדכן אפליקציות לשימוש בעבודה. כברירת מחדל, בחנות Google Play לארגונים מוצגות האפליקציות שאושרו למשתמש ברשימה אחת. הפריסה הזו נקראת פריסת חנות בסיסית.
3.9.1. מסוף ה-EMM צריך לאפשר לאדמינים ב-IT לנהל את האפליקציות שמוצגות בפריסה הבסיסית של החנות למשתמשי קצה.
3.10. הגדרה מתקדמת של פריסת החנות
3.10.1. אדמינים ב-IT יכולים להתאים אישית את פריסת החנות באפליקציית חנות Google Play לארגונים.
3.11. ניהול רישיונות לאפליקציות
התכונה הזו יצאה משימוש.
3.12. ניהול אפליקציות פרטיות שמתארחות ב-Google
אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות שמתארחות ב-Google דרך מסוף ה-EMM במקום דרך Google Play Console.
3.12.1. אדמינים ב-IT יכולים להעלות גרסאות חדשות של אפליקציות שכבר פורסמו באופן פרטי לארגון באמצעות:
3.13. ניהול אפליקציות פרטיות באירוח עצמי
אדמינים ב-IT יכולים להגדיר ולפרסם אפליקציות פרטיות באירוח עצמי. בניגוד לאפליקציות פרטיות שמתארחות ב-Google, חבילות ה-APK לא מתארחות ב-Google Play. במקום זאת, ה-EMM עוזר לאדמינים ב-IT לארח בעצמם חבילות APK, ועוזר להגן על אפליקציות שמתארחות בעצמן על ידי הבטחה שאפשר להתקין אותן רק אם הן אושרו על ידי Google Play מנוהל.
3.13.1. המסוף של ה-EMM צריך לעזור לאדמינים ב-IT לארח את קובץ ה-APK של האפליקציה, באמצעות שתי האפשרויות הבאות:
- אירוח קובץ ה-APK בשרת ה-EMM. השרת יכול להיות מקומי בארגון או מבוסס-ענן.
- אירוח קובץ ה-APK מחוץ לשרת של ה-EMM, לפי שיקול דעתה של החברה. אדמין ה-IT צריך לציין במסוף ה-EMM איפה מתארח קובץ ה-APK.
3.13.2. מסוף ה-EMM צריך ליצור קובץ הגדרה מתאים של APK באמצעות ה-APK שסופק, ולהנחות את מנהלי ה-IT בתהליך הפרסום.
3.13.3. אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות שמתארחות בשרתים שלהם, ומסוף ה-EMM יכול לפרסם בשקט קובצי הגדרה מעודכנים של APK באמצעות Google Play Developer Publishing API.
3.13.4. השרת של ה-EMM מגיב לבקשות הורדה של קובץ ה-APK שמתארח באופן עצמאי ומכיל JWT תקין בקובץ ה-Cookie של הבקשה, כפי שאומת על ידי המפתח הציבורי של האפליקציה הפרטית.
- כדי להקל על התהליך הזה, השרת של ה-EMM צריך להנחות את מנהלי ה-IT להוריד את המפתח הציבורי של הרישיון של האפליקציה המתארחת באופן עצמאי מ-Play Console, ולהעלות את המפתח הזה למסוף ה-EMM.
3.14. התראות Pull ב-EMM
התכונה הזו לא רלוונטית ל-Android Management API. במקום זאת, אפשר להגדיר התראות Pub/Sub.
3.15. דרישות לשימוש ב-API
פתרון ה-EMM מטמיע ממשקי Android Management API בהיקף נרחב, וכך נמנעים דפוסי תנועה שיכולים להשפיע באופן שלילי על היכולת של ארגונים לנהל אפליקציות בסביבות ייצור.
3.15.1. פתרון ה-EMM חייב לעמוד במגבלות השימוש ב-Android Management API. אם לא תתקנו את ההתנהגות שחורגת מההנחיות האלה, Google עשויה להשעות את השימוש ב-API, לפי שיקול דעתה.
3.15.2. מערכת ה-EMM צריכה לפזר את התנועה מארגונים שונים במהלך היום, במקום לרכז את התנועה מארגונים בזמנים ספציפיים או דומים. התנהגות שתואמת לדפוס התנועה הזה, כמו פעולות מתוזמנות של אצווה לכל מכשיר רשום, עלולה להוביל להשעיית השימוש ב-API, לפי שיקול הדעת של Google.
3.15.3. ה-EMM לא צריך לשלוח בקשות עקביות, חלקיות או שגויות בכוונה, בלי לנסות לאחזר או לנהל נתונים עסקיים בפועל. התנהגות שתואמת לדפוס התנועה הזה עשויה להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.16. ניהול מתקדם של הגדרות מנוהלות
| |
פתרון ה-EMM תומך בתכונות המתקדמות הבאות לניהול הגדרות מנוהלות:
3.16.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את עד ארבע רמות של הגדרות מנוהלות מוטמעות של כל אפליקציה ב-Play, באמצעות:
- ה-iframe של Google Play לארגונים , או
- ממשק משתמש מותאם אישית.
3.16.2. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג כל משוב שמוחזר על ידי ערוץ המשוב של האפליקציה, כשהוא מוגדר על ידי אדמין IT.
- מסוף ה-EMM צריך לאפשר לאדמינים ב-IT לשייך פריט משוב ספציפי למכשיר ולאפליקציה שממנו הוא נשלח.
- המסוף של ה-EMM צריך לאפשר לאדמינים של IT להירשם לקבלת התראות או דוחות על סוגים ספציפיים של הודעות (כמו הודעות שגיאה).
3.16.3. מסוף ה-EMM צריך לשלוח רק ערכים שיש להם ערך ברירת מחדל או שהאדמין הגדיר אותם באופן ידני באמצעות:
- ה-iframe של ההגדרות המנוהלות, או
- ממשק משתמש בהתאמה אישית.
3.17. ניהול אפליקציות אינטרנט
אדמינים של IT יכולים ליצור ולהפיץ אפליקציות אינטרנט במסוף EMM.
3.17.1. מסוף ה-EMM מאפשר לאדמינים ב-IT להפיץ קיצורי דרך לאפליקציות אינטרנט באמצעות:
3.18. ניהול מחזור החיים של חשבון Google Play מנוהל
| |
מערכת ה-EMM יכולה ליצור, לעדכן ולמחוק חשבונות מנוהלים ב-Google Play בשם אדמינים של IT, ולשחזר באופן אוטומטי חשבונות שפג תוקפם.
התכונה הזו נתמכת כברירת מחדל. לא נדרשת הטמעה נוספת של EMM.
3.19. ניהול מסלולי אפליקציות
| |
3.19.1. אדמינים ב-IT יכולים לשלוף רשימה של מזהי מעקב שהוגדרו על ידי מפתח עבור אפליקציה מסוימת.
3.19.2. אדמינים ממחלקת IT יכולים להגדיר מכשירים לשימוש בערוץ פיתוח מסוים עבור אפליקציה.
3.20. ניהול מתקדם של עדכוני אפליקציות
| |
אדמינים ב-IT יכולים לאפשר לאפליקציות להתעדכן באופן מיידי או לדחות את העדכון שלהן ל-90 יום.
3.20.1. אדמינים ממחלקת IT יכולים לאפשר לאפליקציות להשתמש בעדכוני אפליקציות בעדיפות גבוהה כדי להתעדכן כשיש עדכון מוכן.
3.20.2. אדמינים ב-IT יכולים לאפשר לאפליקציות לדחות את העדכונים שלהן למשך 90 יום.
3.21. ניהול שיטות הקצאת הרשאות
הפתרון לניהול ניידות בארגון יכול ליצור הגדרות הקצאת הרשאות ולהציג אותן לאדמין ה-IT בטופס שמוכן להפצה למשתמשי הקצה (למשל, קוד QR, הגדרה ללא מגע, כתובת URL בחנות Play).
3.22. שדרוג הקישור ל-Enterprise
אדמינים ב-IT יכולים לשדרג את סוג הקישור לארגון לדומיין מנוהל ב-Google לארגון, וכך לאפשר לארגון לגשת לשירותים ולתכונות של חשבון Google במכשירים רשומים.
3.22.1. מסוף ה-EMM מאפשר לאדמין ה-IT להפעיל את השדרוג של קבוצת חשבונות קיימת של Google Play לארגונים לדומיין מנוהל ב-Google באמצעות ממשקי ה-API הנדרשים.
3.22.2. פתרונות EMM צריכים להשתמש ב-Pub/Sub כדי לקבל התראות על אירועי שדרוג שהופעלו על ידי אדמינים של IT (גם כאלה שמתרחשים מחוץ למסוף ה-EMM) ולעדכן את ממשק המשתמש שלהם בהתאם לשינויים האלה.
3.23. הקצאת חשבונות Google מנוהלים
מערכת ה-EMM יכולה להקצות למכשיר חשבונות משתמשים ארגוניים, שנקראים חשבונות Google מנוהלים. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים כללים להפצת אפליקציות וגישה לשירותי Google. אדמינים ב-IT יכולים גם להגדיר מדיניות שמחייבת אימות של חשבון Google מנוהל במהלך ההרשמה או אחריה.
3.23.1. פתרון ה-EMM יכול להקצות חשבון Google מנוהל בהתאם להנחיות ההטמעה המוגדרות.
במהלך הפעולה:
- חשבון Google מנוהל נוסף למכשיר.
- צריך להיות מיפוי של אחד לאחד בין חשבון Google המנוהל לבין משתמשים בפועל במסוף של מערכת ה-EMM.
3.23.2. אדמינים ב-IT יכולים להשתמש במדיניות כדי לספק למשתמשים את האפשרות להיכנס לחשבון Google מנוהל לצורך רישום.
3.23.3. אדמינים ב-IT יכולים להשתמש במדיניות כדי לקבוע אם המשתמש נדרש להיכנס לחשבון Google מנוהל כדי להשלים את ההרשמה.
3.23.4. אדמינים ב-IT יכולים להגביל את תהליך השדרוג למזהה חשבון ספציפי (כתובת אימייל) במכשיר נתון.
3.24. שדרוג חשבון Google Play לארגונים
אדמינים ב-IT יכולים לשדרג את סוג חשבון המשתמש לחשבון Google מנוהל, וכך לאפשר למכשיר לגשת לשירותים ולתכונות של חשבון Google במכשירים רשומים.
3.24.1. אדמינים ב-IT יכולים לשדרג חשבונות קיימים של Google Play לארגונים במכשיר לחשבון Google מנוהל.
3.24.2. אדמינים ב-IT יכולים להגביל את תהליך השדרוג למזהה חשבון ספציפי (כתובת אימייל) במכשיר נתון.
4. ניהול מכשירים
4.1. ניהול מדיניות ההרשאות בזמן ריצה
| |
אדמינים של IT יכולים להגדיר תשובה שתינתן כברירת מחדל לבקשות גישה שאפליקציות ששייכות לפרופיל העבודה שולחות בתחילת ההפעלה, בלי שהמשתמשים יצטרכו לאשר אותן.
4.1.1. אדמינים ב-IT צריכים להיות מסוגלים לבחור מבין האפשרויות הבאות כשהם מגדירים מדיניות הרשאות ברירת מחדל בזמן ריצה לארגון שלהם:
- הצגת בקשה (המשתמשים יכולים לבחור)
- לאפשר
- דחייה
הפתרון לניהול ניידות בארגון צריך לאכוף את ההגדרות האלה באמצעות מדיניות .
4.2. ניהול מצב של מתן הרשאה בזמן ריצה
| |
אחרי שמגדירים מדיניות ברירת מחדל להרשאות בזמן ריצה (עוברים לשלב 4.1), אדמינים של IT יכולים להגדיר תשובות להרשאות ספציפיות באופן שקט מכל אפליקציה לעבודה שנבנתה על API בגרסה 23 ומעלה.
4.2.1. אדמינים של IT צריכים להיות מסוגלים להגדיר את מצב ההענקה (ברירת מחדל, הענקה או דחייה) של כל הרשאה שמבוקשת על ידי כל אפליקציה לעבודה שמבוססת על API מגרסה 23 ואילך. מערכת ה-EMM צריכה לאכוף את ההגדרות האלה באמצעות מדיניות.
4.3. ניהול הגדרות ה-Wi-Fi
| |
אדמינים ב-IT יכולים להקצות באופן שקט הגדרות Wi-Fi לארגונים במכשירים מנוהלים, כולל:
4.3.1. SSID, באמצעות מדיניות.
4.3.2. סיסמה, באמצעות מדיניות.
4.4. ניהול אבטחת Wi-Fi
| |
אדמינים ב-IT יכולים להקצות הגדרות Wi-Fi למכשירים שכוללים את תכונות האבטחה המתקדמות הבאות:
4.4.1. זהויות
4.4.2. אישורים להרשאת לקוח
4.4.3. אישורי CA
4.5. ניהול מתקדם של Wi-Fi
| |
אדמינים ב-IT יכולים לנעול את הגדרות ה-Wi-Fi במכשירים מנוהלים, כדי למנוע ממשתמשים ליצור הגדרות או לשנות הגדרות ארגוניות.
4.5.1. אדמינים ממחלקת IT יכולים לנעול את הגדרות ה-Wi-Fi הארגוניות באמצעות מדיניות באחת מההגדרות הבאות:
- המשתמשים לא יכולים לשנות הגדרות Wi-Fi שסופקו על ידי מערכת ה-EMM (ראו
wifiConfigsLockdownEnabled), אבל הם יכולים להוסיף ולשנות רשתות שניתנות להגדרה על ידי המשתמש (לדוגמה, רשתות אישיות). - המשתמשים לא יכולים להוסיף או לשנות רשת Wi-Fi במכשיר
(כדאי לעבור אל
wifiConfigDisabled), כך שהחיבור ל-Wi-Fi מוגבל רק לרשתות שהוקצו על ידי מערכת ה-EMM.
4.6. ניהול חשבון
| |
אדמינים ב-IT יכולים לוודא שרק חשבונות ארגוניים מורשים יכולים ליצור אינטראקציה עם נתונים ארגוניים, בשירותים כמו אחסון SaaS ואפליקציות פרודוקטיביות, או באימייל. בלי התכונה הזו, משתמשים יכולים להוסיף חשבונות לשימוש אישי לאפליקציות הארגוניות האלה שתומכות גם בחשבונות לצרכן, וכך לשתף נתונים ארגוניים עם החשבונות לשימוש אישי.
4.6.1. אדמינים ב-IT יכולים למנוע ממשתמשים להוסיף או לשנות חשבונות (ראו modifyAccountsDisabled).
- כשמחילים את המדיניות הזו על מכשיר, פתרונות EMM צריכים להגדיר את ההגבלה הזו לפני שההקצאה מסתיימת, כדי לוודא שהמשתמשים לא יוכלו לעקוף את המדיניות הזו על ידי הוספת חשבונות לפני שהמדיניות נכנסת לתוקף.
4.7. ניהול חשבון Workspace
התכונה הזו יצאה משימוש. בסעיף 3.23 מפורטות הדרישות להחלפה.
4.8. ניהול אישורים
| |
אדמינים של IT יכולים לפרוס אישורי זהות ורשויות אישורים במכשירים כדי לאפשר שימוש במשאבים ארגוניים.
4.8.1. אדמינים ב-IT יכולים להתקין אישורים של זהויות משתמשים שנוצרו על ידי ה-PKI שלהם על בסיס כל משתמש. המסוף של מערכת ה-EMM חייב להיות משולב עם לפחות PKI אחד, ולהפיץ אישורים שנוצרו מהתשתית הזו.
4.8.2. אדמינים ב-IT יכולים להתקין רשויות אישורים (ראו caCerts) במאגר המפתחות המנוהל. עם זאת, אין תמיכה בתכונת המשנה הזו.
4.9. ניהול מתקדם של אישורים
| |
מאפשר לאדמינים ב-IT לבחור בשקט את האישורים שאפליקציות מנוהלות ספציפיות צריכות להשתמש בהם. התכונה הזו גם מאפשרת לאדמינים של IT להסיר רשויות אישורים ואישורי זהות ממכשירים פעילים, ולמנוע ממשתמשים לשנות את פרטי הכניסה שמאוחסנים במאגר המפתחות המנוהל.
4.9.1. אדמינים ב-IT יכולים לציין אישור לכל אפליקציה שמופצת למכשירים, והאפליקציה תקבל גישה באופן שקט במהלך זמן הריצה. (תכונת המשנה הזו לא נתמכת)
- בחירת האישור צריכה להיות כללית מספיק כדי לאפשר הגדרה אחת שתחול על כל המשתמשים, שלכל אחד מהם יכול להיות אישור זהות ספציפי למשתמש.
4.9.2. אדמינים ב-IT יכולים להסיר אישורים מאגר המפתחות המנוהל.
4.9.3. אדמינים ב-IT יכולים להסיר אישור CA באופן שקט. (This subfeature is not supported)
4.9.4. אדמינים ממחלקת IT יכולים למנוע מהמשתמשים להגדיר פרטי כניסה (כדאי לעבור אל credentialsConfigDisabled) במאגר המפתחות המנוהל.
4.9.5. אדמינים ב-IT יכולים להעניק מראש אישורים לאפליקציות לצרכי עבודה באמצעות ChoosePrivateKeyRule.
4.10. ניהול אישורים בהרשאת גישה
| |
אדמינים של IT יכולים להפיץ אפליקציה לניהול אישורים של צד שלישי למכשירים ו לתת לאפליקציה הזו גישה מיוחדת להתקנת אישורים במאגר המפתחות המנוהל.
4.10.1. אדמינים ב-IT יכולים לציין חבילה לניהול אישורים (כדאי לעבור אל CERT_INSTALL DelegatedScope) שתוגדר כאפליקציה לניהול אישורים עם הרשאות גישה מוגבלות.
- יכול להיות שמערכות ה-EMM יציעו חבילות ידועות לניהול אישורים, אבל הן חייבות לאפשר לאדמין ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.
4.11. ניהול מתקדם של VPN
| |
מאפשר לאדמינים ב-IT לציין VPN שפועל כל הזמן כדי להבטיח שהנתונים מאפליקציות מנוהלות שצוינו תמיד יעברו דרך הגדרת ה-VPN.
4.11.1. אדמינים ב-IT יכולים להגדיר חבילת VPN שרירותית כ-VPN עם חיבור קבוע.
- יכול להיות שמסוף ה-EMM יציע חבילות VPN מוכרות שתומכות ב-VPN שפועל כל הזמן, אבל הוא לא יכול להגביל את שרתי ה-VPN שזמינים להגדרה של VPN שפועל כל הזמן לרשימה שרירותית כלשהי.
4.11.2. אדמינים ב-IT יכולים להשתמש בהגדרות אישיות מנוהלות כדי לציין את הגדרות ה-VPN של אפליקציה.
4.12. ניהול IME
| |
אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר במכשירים. מכיוון ש-IME משותף גם לפרופיל העבודה וגם לפרופיל לשימוש אישי, חסימת השימוש ב-IME תמנע מהמשתמשים לאפשר שימוש ב-IME גם לשימוש אישי. עם זאת, אדמינים ב-IT לא יכולים לחסום את השימוש ב-IME של המערכת בפרופילים של העבודה (פרטים נוספים זמינים במאמר בנושא ניהול מתקדם של IME).
4.12.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME (עוברים אל permitted_input_methods) באורך שרירותי (כולל רשימה ריקה, שחוסמת ממשקי IME שאינם מערכתיים), שיכולה להכיל חבילות IME שרירותיות.
- יכול להיות שמסוף ה-EMM יציע מקלדות וירטואליות מוכרות או מומלצות להוספה לרשימת ההיתרים, אבל הוא חייב לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.
4.12.2. ה-EMM צריך להודיע לאדמינים ממחלקת ה-IT שמערכות IME לא נכללות בניהול במכשירים עם פרופילי עבודה.
4.13. ניהול מתקדם של IME
| |
אדמינים של IT יכולים לנהל את שיטות הקלט (IME) שהמשתמשים יכולים להגדיר במכשיר. ניהול מתקדם של IME הוא הרחבה של התכונה הבסיסית, והוא מאפשר לאדמינים ב-IT לנהל גם את השימוש ב-IME של המערכת, שבדרך כלל מסופק על ידי יצרן המכשיר או ספק הסלולר של המכשיר.
4.13.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים ל-IME (כאן מגיעים אל permitted_input_methods) באורך שרירותי (לא כולל רשימה ריקה, שחוסמת את כל ה-IME, כולל IME של המערכת), שיכולה להכיל חבילות IME שרירותיות.
- יכול להיות שמסוף ה-EMM יציע מקלדות וירטואליות מוכרות או מומלצות להוספה לרשימת ההיתרים, אבל הוא חייב לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.
4.13.2. מערכת ה-EMM צריכה למנוע מאדמינים של IT להגדיר רשימת היתרים ריקה, כי ההגדרה הזו תחסום את כל ה-IME, כולל ה-IME של המערכת, מהגדרה במכשיר.
4.13.3. מערכת ה-EMM צריכה לוודא שאם רשימת ההיתרים של ה-IME לא מכילה מערכות IME, מערכות ה-IME של צד שלישי מותקנות בשקט לפני שהרשימה מוחלת על המכשיר.
4.14. ניהול שירותי נגישות
| |
אדמינים של IT יכולים לקבוע אילו שירותי נגישות משתמשים יכולים לאשר במכשירים. שירותי נגישות הם כלים שימושיים למשתמשים עם מוגבלויות או למשתמשים שלא יכולים לקיים אינטראקציה מלאה עם מכשיר באופן זמני. עם זאת, יכול להיות שהם יבצעו פעולות לגבי נתונים ארגוניים שלא יעמדו בדרישות של מדיניות החברה. התכונה הזו מאפשרת לאדמינים של IT להשבית כל שירות נגישות שאינו שירות מערכת.
4.14.1. אדמינים של IT יכולים להגדיר רשימת היתרים של שירותי נגישות (permittedAccessibilityServices) בכל אורך (כולל רשימה ריקה, שחוסמת שירותי נגישות שאינם מערכתיים), שיכולה לכלול כל חבילה של שירותי נגישות. כשמחילים את ההגדרה על פרופיל עבודה, היא משפיעה גם על הפרופיל האישי וגם על פרופיל העבודה.
- יכול להיות שהמסוף יציע שירותי נגישות מוכרים או מומלצים להוספה לרשימת ההיתרים, אבל הוא חייב לאפשר לאדמין ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה, עבור משתמשים רלוונטיים.
4.15. ניהול של שיתוף המיקום
| |
אדמינים של IT יכולים למנוע מהמשתמשים לשתף נתוני מיקום עם אפליקציות בפרופיל העבודה. אחרת, אפשר להגדיר את הגדרת המיקום בפרופיל העבודה בהגדרות.
4.15.1. אדמינים של IT יכולים להשבית את שירותי המיקום (עוברים אל shareLocationDisabled) בפרופיל העבודה.
4.16. ניהול מתקדם של שיתוף המיקום
| |
אדמינים ב-IT יכולים לאכוף הגדרה מסוימת של שיתוף מיקום במכשיר מנוהל. התכונה הזו יכולה להבטיח שלאפליקציות ארגוניות תמיד תהיה גישה לנתוני מיקום ברמת דיוק גבוהה. התכונה הזו יכולה גם לוודא שלא מתבזבזת סוללה מיותרת על ידי הגבלת הגדרות המיקום למצב חיסכון בסוללה.
4.16.1. אדמינים ב-IT יכולים להגדיר את שירותי המיקום של המכשיר לכל אחד מהמצבים הבאים:
- רמת דיוק גבוהה.
- חיישנים בלבד, למשל GPS, אבל לא כולל מיקום שסופק על ידי הרשת.
- חיסכון בסוללה, שמגביל את תדירות העדכון.
- כבוי.
4.17. ניהול הגנה מפני איפוס להגדרות המקוריות
| |
מאפשר לאדמינים ב-IT להגן על מכשירים בבעלות החברה מפני גניבה, על ידי הבטחה שמשתמשים לא מורשים לא יוכלו לאפס את המכשירים להגדרות המקוריות. אם ההגנה מפני איפוס להגדרות המקוריות יוצרת מורכבויות תפעוליות כשמכשירים מוחזרים ל-IT, אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות לחלוטין.
4.17.1. אדמינים ב-IT יכולים למנוע מהמשתמשים לאפס את המכשיר להגדרות המקוריות (עוברים אל factoryResetDisabled) דרך ההגדרות.
4.17.2. אדמינים ב-IT יכולים לציין חשבונות ארגוניים לביטול הנעילה שמורשים להקצות מכשירים (עוברים אל frpAdminEmails) אחרי איפוס להגדרות היצרן.
- אפשר לקשר את החשבון הזה לאדם מסוים, או להשתמש בו בכל הארגון כדי לבטל את הנעילה של מכשירים.
4.17.3. אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות (כאן factoryResetDisabled) במכשירים ספציפיים.
4.17.4. אדמינים ב-IT יכולים להתחיל מחיקה מרחוק של נתונים במכשיר שכוללת אופציונלית מחיקה של נתונים לגבי ההתחברות למכשיר אחרי איפוס להגדרות המקוריות, וכך להסיר את ההגנה על המכשיר שאופס.
4.18. בקרה מתקדמת על אפליקציות
| |
אדמינים ב-IT יכולים למנוע מהמשתמש להסיר או לשנות בדרך אחרת אפליקציות מנוהלות דרך ההגדרות. לדוגמה, מניעת סגירה בכוח של האפליקציה או ניקוי מטמון הנתונים של האפליקציה.
4.18.1. אדמינים ב-IT יכולים לחסום את ההסרה של אפליקציות מנוהלות שרירותיות, או של כל האפליקציות המנוהלות (כך עושים זאת uninstallAppsDisabled).
4.18.2. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות נתוני אפליקציות דרך ההגדרות. (ה-API לניהול Android לא תומך בתכונת המשנה הזו)
4.19. ניהול צילומי מסך
| |
אדמינים ב-IT יכולים לחסום משתמשים מלצלם צילומי מסך כשהם משתמשים באפליקציות מנוהלות. ההגדרה הזו כוללת חסימה של אפליקציות לשיתוף מסך ואפליקציות דומות (כמו Google Assistant) שמשתמשות ביכולות צילום המסך של המערכת.
4.19.1. אדמינים ב-IT יכולים למנוע ממשתמשים לצלם צילומי מסך (כדאי לעבור אל screenCaptureDisabled).
4.20. השבת מצלמות
| |
|
|
אדמינים של IT יכולים להשבית את השימוש במצלמות של המכשיר באפליקציות מנוהלות.
4.20.1. אדמינים של IT יכולים להשבית את השימוש במצלמות של המכשירים
(עוברים אל cameraDisabled) באפליקציות מנוהלות.
4.21. איסוף נתונים סטטיסטיים של הרשת
| |
ה-API לניהול Android לא תומך בתכונה הזו.
4.22. איסוף מתקדם של נתונים סטטיסטיים על הרשת
| |
ה-API לניהול Android לא תומך בתכונה הזו.
4.23. הפעלת המכשיר מחדש
| |
אדמינים ב-IT יכולים להפעיל מחדש מכשירים מנוהלים מרחוק.
4.23.1. אדמינים של IT יכולים להפעיל מחדש מרחוק מכשיר מנוהל.
4.24. ניהול רדיו המערכת
| |
מספקת לאדמינים של IT ניהול מפורט של רכיבי רדיו ברשת המערכת ומדיניות השימוש המשויכת באמצעות policy .
4.24.1. אדמינים ב-IT יכולים להשבית שידורים סלולריים שנשלחים על ידי ספקי שירותים (כדאי לעבור אל cellBroadcastsConfigDisabled).
4.24.2. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות (עוברים אל mobileNetworksConfigDisabled).
4.24.3. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את כל הגדרות הרשת בהגדרות. (עוברים אל networkResetDisabled).
4.24.4. אדמינים ב-IT יכולים להגדיר אם המכשיר יאפשר נדידת נתונים סלולריים (כך עושים זאת dataRoamingDisabled).
4.24.5. אדמינים ב-IT יכולים להגדיר אם אפשר להוציא שיחות טלפון מהמכשיר, לא כולל שיחות חירום (outGoingCallsDisabled).
4.24.6. אדמינים ב-IT יכולים להגדיר אם המכשיר יכול לשלוח ולקבל הודעות טקסט (smsDisabled).
4.24.7. אדמינים של IT יכולים למנוע מהמשתמשים להשתמש במכשיר שלהם כנקודה חמה ניידת על ידי שיתוף אינטרנט (tethering) (עוברים אל tetheringConfigDisabled).
4.24.8. אדמינים ב-IT יכולים להגדיר את הזמן הקצוב לתפוגה של Wi-Fi כברירת מחדל, בזמן שהמכשיר מחובר לחשמל או אף פעם. (ה-API לניהול Android לא תומך בתכונת המשנה הזו)
4.24.9. אדמינים ב-IT יכולים למנוע מהמשתמשים להגדיר חיבורי Bluetooth קיימים או לשנות אותם (כדאי לעבור אל bluetoothConfigDisabled).
4.25. ניהול האודיו של המערכת
| |
אדמינים ב-IT יכולים לשלוט בשקט בתכונות האודיו של המכשיר, כולל השתקת המכשיר, מניעת שינוי הגדרות עוצמת הקול על ידי המשתמשים ומניעת ביטול ההשתקה של המיקרופון במכשיר על ידי המשתמשים.
4.25.1. אדמינים ב-IT יכולים להשתיק מכשירים מנוהלים בלי שהמשתמשים ידעו על כך. (ה-API לניהול Android לא תומך בתכונת המשנה הזו)
4.25.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את הגדרות עוצמת הקול במכשיר (למידע נוסף אפשר לעבור אל adjustVolumeDisabled). הפעולה הזו גם משתיקה את המכשירים.
4.25.3. אדמינים ממחלקת IT יכולים למנוע מהמשתמשים לבטל את ההשתקה של המיקרופון במכשיר (צריך לעבור אל unmuteMicrophoneDisabled).
4.26. ניהול השעון של המערכת
| |
|
|
|
אדמינים ב-IT יכולים לנהל את השעון של המכשיר ואת ההגדרות של אזור הזמן, ולמנוע ממשתמשים לשנות את ההגדרות האוטומטיות של המכשיר.
4.26.1. אדמינים ב-IT יכולים לאכוף את ההגדרה האוטומטית של השעה ואזור הזמן במערכת, ובכך למנוע מהמשתמשים להגדיר את התאריך, השעה ואזור הזמן במכשיר.
4.27. תכונות מתקדמות במכשיר ייעודי
| |
במכשירים ייעודיים, אדמינים ממחלקת IT יכולים לנהל את התכונות הבאות באמצעות מדיניות כדי לתמוך בתרחישי שימוש שונים בקיוסק.
4.27.1. אדמינים ב-IT יכולים להשבית את מסך הנעילה של המכשיר (עוברים אל keyguardDisabled).
4.27.2. אדמינים ב-IT יכולים להשבית את סרגל הסטטוס של המכשיר, לחסום התראות וגישה להגדרות המהירות (statusBarDisabled).
4.27.3. אדמינים של IT יכולים להגדיר שהמסך של המכשיר יישאר דולק בזמן שהמכשיר מחובר לחשמל (עוברים אל stayOnPluggedModes).
4.27.4. אדמינים ממחלקת IT יכולים למנוע את ההצגה של ממשקי המשתמש של המערכת הבאים (עוברים אל createWindowsDisabled):
- Toast
- שכבות-על של אפליקציות.
4.27.5. אדמינים ב-IT יכולים לאפשר להמלצות המערכת לאפליקציות לדלג על הדרכות למשתמשים ועל רמזים אחרים להכרת האפליקציה בהפעלה הראשונה (כך עושים את זה skip_first_use_hints).
4.28. ניהול היקף ההרשאות שהועברו
| |
אדמינים של IT יכולים להקצות הרשאות נוספות לחבילות ספציפיות.
4.28.1. אדמינים ב-IT יכולים לנהל את ההיקפים הבאים:
- התקנה וניהול של אישורים
- הושאר ריק בכוונה
- רישום התנועה ברשת
- רישום ביומן האבטחה (לא נתמך בפרופיל עבודה במכשיר בבעלות אישית)
4.29. תמיכה במזהה ספציפי להרשמה
| |
החל מ-Android 12, לפרופילים של עבודה לא תהיה יותר גישה למזהים ספציפיים לחומרה. אדמינים של IT יכולים לעקוב אחרי מחזור החיים של מכשיר עם פרופיל עבודה באמצעות המזהה הספציפי לרישום, שיישמר גם אחרי איפוס להגדרות היצרן.
4.29.1. אדמינים של IT יכולים לקבל מזהה ספציפי להרשמה
4.29.2. המזהה הספציפי הזה לרישום צריך להישמר גם אחרי איפוס להגדרות המקוריות
4.30. מדיניות Credential Manager
| |
אדמינים ב-IT יכולים לנהל אילו אפליקציות של מנהל פרטי הכניסה מותרות או חסומות באמצעות מדיניות ברירת המחדל של ספק פרטי הכניסה או מדיניות ספק פרטי הכניסה.
4.30.1 אדמינים ב-IT יכולים לחסום את כל מנהלי האישורים במכשיר (או בפרופיל העבודה) באמצעות מדיניות.
4.30.2 Deliberately blank.
4.30.3 אדמינים ממחלקת IT יכולים לציין רשימה של שמות חבילות כדי להפעיל את הפונקציונליות של כלי ניהול פרטי הכניסה.
4.31. ניהול בסיסי של eSIM
| |
מאפשר למנהלי IT להקצות למכשיר פרופיל eSIM ולנהל את מחזור החיים שלו במכשיר.
4.31.1 אדמינים של IT יכולים להקצות פרופיל eSIM למכשיר באופן שקט באמצעות מדיניות.
4.31.2 אדמינים של IT יכולים למחוק כרטיסי eSIM מנוהלים ממכשיר באמצעות מדיניות.
4.31.3 אדמינים בתחום ה-IT יכולים למנוע מהמשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות (עוברים אל mobileNetworksConfigDisabled).
4.31.4 אדמינים ב-IT יכולים לשלוח מרחוק פקודת מחיקה למכשיר או לפרופיל עבודה. הפקודה הזו מסירה מהמכשיר כרטיסי eSIM מנוהלים (אופציונלי). כברירת מחדל, כרטיסי eSIM מנוהלים מוסרים מפרופילי עבודה במכשירים בבעלות אישית, אבל נשמרים במכשירים בבעלות החברה.
4.31.5 אדמינים של IT יכולים לאחזר את מזהה ה-EID (Embedded Identity Document) של מכשיר באמצעות ממשק המשתמש של מסוף ה-EMM (או שיטה מקבילה).
5. נוחות השימוש במכשיר
5.1. התאמה אישית של הקצאת הרשאות מנוהלת
| |
אדמינים ב-IT יכולים לשנות את ברירת המחדל של תהליך ההגדרה של חוויית המשתמש כדי לכלול תכונות ספציפיות לארגון. אופציונלי: אדמינים ב-IT יכולים להציג מיתוג שסופק על ידי EMM במהלך הקצאת ההרשאות.
5.1.1. אדמינים ב-IT יכולים להתאים אישית את תהליך הקצאת ההרשאות על ידי ציון תנאים והגבלות ספציפיים לארגון והצהרות אחרות (כאן מוסבר איך עושים את זה termsAndConditions).
5.1.2. אדמינים ב-IT יכולים לפרוס תנאים והגבלות ספציפיים ל-EMM וכתבי ויתור אחרים שלא ניתן להגדיר (אפשר לעבור אל termsAndConditions).
- יכול להיות שספקי EMM יגדירו את ההתאמה האישית שלהם שאי אפשר לשנות, שספציפית ל-EMM, כברירת המחדל לפריסות, אבל הם חייבים לאפשר לאדמינים ב-IT להגדיר התאמה אישית משלהם.
5.1.3. primaryColor הוצא משימוש במשאב הארגוני ב-Android מגרסה 10 ואילך.
5.2. התאמה אישית של Enterprise
| |
ה-API לניהול Android לא תומך בתכונה הזו.
5.3. התאמה אישית מתקדמת לארגונים
| |
ה-API לניהול Android לא תומך בתכונה הזו.
5.4. הודעות במסך הנעילה
| |
אדמינים של IT יכולים להגדיר הודעה מותאמת אישית שמוצגת תמיד במסך הנעילה של המכשיר, ולא נדרש ביטול נעילה כדי לראות אותה.
5.4.1. אדמינים ב-IT יכולים להגדיר הודעה מותאמת אישית במסך הנעילה
(עוברים אל deviceOwnerLockScreenInfo).
5.5. ניהול שקיפות המדיניות
| |
אדמינים ב-IT יכולים להתאים אישית את טקסט העזרה שמוצג למשתמשים כשהם מנסים לשנות הגדרות מנוהלות במכשיר שלהם, או לפרוס הודעת תמיכה כללית שסופקה על ידי EMM. אפשר להתאים אישית את הודעות התמיכה הקצרות והארוכות. הן מוצגות במקרים כמו ניסיון להסיר אפליקציה מנוהלת שהאדמין כבר חסם את ההסרה שלה.
5.5.1. אדמינים ב-IT יכולים להתאים אישית הודעות תמיכה קצרות וארוכות למשתמשי קצה.
5.5.2. אדמינים של IT יכולים לפרוס הודעות תמיכה קצרות וארוכות שלא ניתן להגדיר, ספציפיות ל-EMM (אפשר לעבור אל shortSupportMessage ו-longSupportMessage ב-policies).
- יכול להיות שספק ה-EMM יגדיר את הודעות התמיכה הספציפיות שלו שאי אפשר לשנות כברירת מחדל לפריסות, אבל הוא חייב לאפשר לאדמינים של IT להגדיר הודעות משלהם.
5.6. ניהול אנשי קשר בין פרופילים
| |
5.6.1. אדמינים ממחלקת IT יכולים להשבית את האפשרות להציג אנשי קשר מהעבודה בחיפושים של אנשי קשר ובשיחות נכנסות בפרופיל לשימוש אישי .
5.6.2. אדמינים ב-IT יכולים להשבית את שיתוף אנשי הקשר באמצעות Bluetooth של אנשי קשר בעבודה, למשל שיחות ללא ידיים ברכב או באוזניות.
5.7. ניהול נתונים בפרופילים שונים
| |
מאפשר לאדמינים ממחלקת IT לנהל את סוגי הנתונים שאפשר לשתף בין פרופילים של עבודה לבין פרופילים אישיים, וכך לאזן בין נוחות השימוש לבין אבטחת הנתונים בהתאם לדרישות שלהם.
5.7.1. אדמינים ב-IT יכולים להגדיר מדיניות לשיתוף נתונים בין פרופילים כדי שאפליקציות לשימוש אישי יוכלו לפתור כוונות מפרופיל העבודה, כמו שיתוף כוונות או קישורי אינטרנט.
5.7.2. אדמינים ממחלקת IT יכולים לאפשר לאפליקציות מפרופיל העבודה ליצור ולהציג ווידג'טים במסך הבית של הפרופיל האישי. היכולת הזו מושבתת כברירת מחדל, אבל אפשר להגדיר אותה כמאושרת באמצעות השדות workProfileWidgets ו-workProfileWidgetsDefault.
5.7.3. מנהלי IT יכולים לשלוט באפשרות להעתיק ולהדביק בין פרופיל העבודה לפרופיל האישי.
5.8. מדיניות עדכוני מערכת
| |
אדמינים ב-IT יכולים להגדיר ולהחיל עדכוני מערכת OTA (Over-the-Air) במכשירים.
5.8.1. מסוף ה-EMM מאפשר לאדמינים של IT להגדיר את ההגדרות הבאות של OTA:
- אוטומטי: העדכונים יותקנו במכשירים ברגע שהם יהיו זמינים.
- דחייה: אדמינים בתחום ה-IT צריכים להיות מסוגלים לדחות עדכון OTA למשך עד 30 ימים. המדיניות הזו לא משפיעה על עדכוני אבטחה (למשל, תיקוני אבטחה חודשיים).
- חלון זמן: אדמינים של IT צריכים להיות מסוגלים לתזמן עדכוני OTA בחלון זמן יומי לתחזוקה.
5.8.2. הגדרות OTA מופעלות במכשירים באמצעות מדיניות.
5.9. ניהול מצב משימות נעולות
| |
אדמינים ב-IT יכולים לנעול אפליקציה או קבוצת אפליקציות למסך, ולוודא שהמשתמשים לא יכולים לצאת מהאפליקציה.
5.9.1. המסוף של EMM מאפשר לאדמינים בתחום ה-IT לאשר בשקט התקנה של קבוצה שרירותית של אפליקציות ולנעול אותן במכשיר. המדיניות מאפשרת להגדיר מכשירים ייעודיים.
5.10. ניהול מתמשך של פעילויות מועדפות
| |
מאפשר לאדמינים ב-IT להגדיר אפליקציה כרכיב handler שמוגדר כברירת מחדל לכוונות שתואמות למסנן כוונות מסוים. לדוגמה, התכונה הזו מאפשרת לאדמינים בתחום ה-IT לבחור איזו אפליקציית דפדפן תפתח באופן אוטומטי קישורים לאתרים. התכונה הזו מאפשרת לנהל את אפליקציית מרכז האפליקציות שבה משתמשים כשלוחצים על הכפתור הראשי.
5.10.1. אדמינים של IT יכולים להגדיר כל חבילה כמטפל ברירת המחדל בכוונה לכל מסנן כוונות שרירותי.
- מסוף ה-EMM עשוי להציע intents מוכרים או מומלצים להגדרה, אבל הוא לא יכול להגביל את ה-intents לרשימה שרירותית כלשהי.
- מסוף ה-EMM צריך לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה למשתמשים הרלוונטיים.
5.11. ניהול התכונה Keyguard
| |
אדמינים ממחלקת IT יכולים לנהל את התכונות שזמינות למשתמשים לפני ביטול הנעילה של אמצעי האבטחה של המכשיר (מסך הנעילה) ואמצעי האבטחה של פרופיל העבודה (מסך הנעילה).
5.11.1.מדיניות יכולה להשבית את התכונות הבאות של מסך הנעילה במכשיר:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
- התראות שלא צונזרו
5.11.2. אפשר להשבית את התכונות הבאות של מסך הנעילה בפרופיל העבודה באמצעות מדיניות:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
5.12. ניהול מתקדם של תכונות במסך הנעילה
| |
- העברה מאובטחת של נתוני המצלמה
- כל ההודעות
- לא צונזר
- סביבות אמינות
- פתיחה בטביעת אצבע
- כל התכונות של מסך הנעילה
5.13. ניקוי באגים מרחוק
Android Management API לא תומך בתכונה הזו.
5.14. אחזור כתובת MAC
| |
מערכות EMM יכולות לאחזר בשקט את כתובת ה-MAC של מכשיר, כדי להשתמש בה לזיהוי מכשירים בחלקים אחרים של תשתית הארגון (לדוגמה, כשמזהים מכשירים לצורך בקרת גישה לרשת).
5.14.1. ה-EMM יכול לאחזר בשקט את כתובת ה-MAC של המכשיר ולקשר אותה למכשיר במסוף ה-EMM.
5.15. ניהול מתקדם של מצב משימות נעולות
| |
באמצעות מכשיר ייעודי, אדמינים ממחלקת IT יכולים להשתמש במסוף EMM כדי לבצע את המשימות הבאות:
5.15.1. מתן הרשאה שקטה להתקנה של אפליקציה אחת ונעילה שלה במכשיר .
5.15.2. מפעילים או משביתים את התכונות הבאות של ממשק המשתמש של המערכת:
- לחצן הבית
- סקירה כללית
- פעולות גלובליות
- התראות
- מידע על המערכת / שורת הסטטוס
- Keyguard (מסך הנעילה). תכונת המשנה הזו מופעלת כברירת מחדל כשמטמיעים את גרסה 5.15.1.
5.15.3. משביתים את האפשרות תיבות דו-שיח של שגיאות מערכת.
5.16. מדיניות מתקדמת לעדכוני מערכת
| |
אדמינים ב-IT יכולים להגדיר תקופת הקפאה ספציפית לחסימת עדכוני מערכת במכשיר.
5.16.1. המסוף של ה-EMM צריך לאפשר לאדמינים של IT לחסום עדכוני מערכת OTA (Over-the-Air) לתקופת הקפאה מוגדרת.
5.17. ניהול שקיפות של מדיניות פרופיל העבודה
| |
אדמינים ב-IT יכולים להתאים אישית את ההודעה שמוצגת למשתמשים כשהם מסירים את פרופיל העבודה מהמכשיר.
5.17.1. אדמינים ממחלקת ה-IT יכולים לספק טקסט מותאם אישית שיוצג
(עוברים אל wipeReasonMessage) כשפרופיל עבודה נמחק.
5.18. תמיכה באפליקציות מקושרות
| |
אדמינים של IT יכולים להגדיר רשימה של חבילות שיכולות לתקשר מעבר לגבולות של פרופיל העבודה באמצעות ההגדרה ConnectedWorkAndPersonalApp.
5.19. עדכון מערכת ידני
| |
ה-API לניהול Android לא תומך בתכונה הזו.
6. הוצאה משימוש של ניהול המכשיר
6.1. הוצאה משימוש של ניהול המכשיר
| |
ספקי EMM נדרשים לפרסם תוכנית עד סוף 2022 להפסקת תמיכת הלקוחות בDevice Admin במכשירי GMS עד סוף הרבעון הראשון של 2023.
7. שימוש ב-API
7.1. בקר מדיניות רגיל לקישורים חדשים
| |
כברירת מחדל, מכשירים חדשים צריכים להיות מנוהלים באמצעות Android Device Policy. יכול להיות שפתרונות EMM יספקו אפשרות לנהל מכשירים באמצעות DPC מותאם אישית באזור ההגדרות, בקטע 'מתקדם' או במונח דומה. לקוחות חדשים לא יכולים להיחשף לבחירה שרירותית בין חבילות טכנולוגיות במהלך תהליכי הצטרפות או הגדרה.
7.2. בקר מדיניות רגיל למכשירים חדשים
| |
כברירת מחדל, מכשירים חדשים צריכים להיות מנוהלים באמצעות Android Device Policy לכל ההרשמות החדשות של מכשירים, גם לקישורים קיימים וגם לקישורים חדשים. יכול להיות שבמערכות EMM תהיה אפשרות לנהל מכשירים באמצעות DPC מותאם אישית באזור ההגדרות, בקטע שנקרא 'מתקדם' או במונח דומה.