בדף הזה מופיעה הרשימה המלאה של התכונות של Android Enterprise.
אם בכוונתך לנהל יותר מ-500 מכשירים, פתרון ה-EMM צריך לתמוך את כל התכונות הרגילות () מתוך לפחות אחד להגדיר לפני שאפשר יהיה להפוך אותו לזמין באופן מסחרי. פתרונות EMM לעבור אימות של תכונות סטנדרטיות מפורטים ברשימה Enterprise Solutions של Android לספרייה כהצעה של ערכת ניהול סטנדרטי.
לכל קבוצת פתרונות יש קבוצה נוספת של תכונות מתקדמות. האלה התכונות מסומנות בכל דף של קבוצת פתרונות: פרופיל עבודה , מכשיר מנוהל, וגם מכשיר ייעודי. פתרונות EMM שעוברים אימות תכונות מתקדמות מפורטים ספריית הפתרונות לארגונים כמו הצעת ערכת ניהול מתקדם.
מפתח
| רגיל פיצ'ר | מתקדם פיצ'ר | תכונה אופציונלית | לא רלוונטי |
1. הקצאת מכשירים
1.1. ניהול תצורה של פרופיל עבודה שמתמקד ב-DPC
לאחר הורדת Android Device Policy מ-Google Play, משתמשים יכולים להקצות פרופיל העבודה.
1.1.1. ה-EMM מספק לאדמין ב-IT קוד QR או קוד הפעלה לתמוך בשיטת ההקצאה הזו (עוברים אל רישום והקצאה של מכשיר).
1.2. הקצאת מכשירים במזהה DPC
הזנת 'afw#' באשף ההגדרה של המכשיר במכשיר ייעודי.
1.2.1. מערכת ה-EMM מספקת למנהל IT קוד QR או קוד הפעלה כדי לתמוך בשיטת ההקצאה הזו (מעבר אל הרשמה והקצאה של מכשיר).
1.3. הקצאת מכשיר NFC
אדמיני IT יכולים להשתמש בתגי NFC כדי להקצות מכשירים חדשים או מכשירים שמוגדרים להגדרות המקוריות, בהתאם להנחיות להטמעה שמפורטות במסמכי התיעוד למפתחים של Play EMM API.
1.3.1. ספקי EMM חייבים להשתמש בתגים מסוג פורום NFC 2 (סוג 2) עם זיכרון של 888 בייטים לפחות. ההקצאה חייבת להשתמש בתוספות להקצאה כדי לעבור רישום לא רגיש פרטים כמו מזהי שרתים ומזהי רישום של מכשיר. פרטי הרישום אין לכלול מידע רגיש, כמו סיסמאות או אישורים.
1.3.2. אנחנו ממליצים להשתמש בתגי NFC ב-Android 10 ואילך בגלל הוצאה משימוש של NFC Beam (שנקראת גם NFC Bump).
1.4. הקצאת מכשיר עם קוד QR
המסוף של ה-EMM יכול ליצור קוד QR שמנהלי IT יכולים לסרוק כדי להקצות מנוהל או ייעודי באופן מלא, בהתאם להנחיות ההטמעה מוגדר ב מסמכי תיעוד למפתחים של Android Management API.
1.4.1. קוד ה-QR חייב להשתמש בתוספים לניהול כדי להעביר למכשיר פרטי רישום לא רגישים (כמו מזהי שרתים ומזהי הרשמה). אין לכלול בפרטי הרישום מידע רגיש, כמו סיסמאות או אישורים.
1.5. הרשמה דרך הארגון
מנהלי IT יכולים להגדיר מראש מכשירים שנרכשו מ- מורשה למפיצים ולנהל אותם באמצעות מסוף ה-EMM.
1.5.1. מנהלי IT יכולים להקצות מכשירים בבעלות החברה באמצעות דרך הארגון שיטת ההרשמה שמתוארת במאמר הרשמה דרך הארגון לאדמינים ב-IT.
1.5.2. בהפעלה הראשונה של המכשיר, המכשיר מועבר באופן אוטומטי למצב בהתאם להגדרות שנקבעו על ידי האדמין ב-IT.
1.6. ניהול הקצאות מתקדם דרך הארגון
אדמינים ב-IT יכולים לבצע אוטומציה של חלק גדול מתהליך הרישום של המכשיר דרך הארגון להרשמה לקראת השקת אפליקציה. בשילוב עם כתובות URL לכניסה אדמינים ב-IT יכולים להגביל את ההרשמה לחשבונות או לדומיינים ספציפיים, בהתאם אפשרויות התצורה שמוצעות על ידי ה-EMM.
1.6.1. מנהלי IT יכולים להקצות מכשיר בבעלות החברה באמצעות ללא מגע שיטת הרישום.
1.6.2. הדרישה הזו הוצאה משימוש.
1.6.3. באמצעות כתובת ה-URL לכניסה , ה-EMM חייב לוודא שמשתמשים לא מורשים לא יוכלו להמשיך בהפעלה. לכל הפחות, יש לנעול את ההפעלה רק למשתמשים של ארגון נתון.
1.6.4. באמצעות כתובת ה-URL לכניסה, מערכת ה-EMM צריכה לאפשר למנהלי IT לאכלס מראש את פרטי ההרשמה (לדוגמה, מזהי שרתים ומזהי הרשמה) בנוסף למידע ייחודי על המשתמש או המכשיר (לדוגמה, שם משתמש/סיסמה, אסימון הפעלה), כדי שהמשתמשים לא יצטרכו להזין פרטים כשהם מפעילים מכשיר.
- אסור לספקי EMM לכלול מידע רגיש, כמו סיסמאות או אישורים, בהגדרה של ההרשמה דרך הארגון.
1.7. הקצאה של פרופיל עבודה בחשבון Google
לארגונים שמשתמשים בדומיין מנוהל של Google, ההנחיות לגבי התכונות האלה משתמשים על ידי הגדרת פרופיל עבודה אחרי שנכנסו לארגון פרטי הכניסה ל-Workspace במהלך הגדרת המכשיר או במכשיר שכבר הופעל. בשני המקרים, הזהות של הארגון ב-Workspace תועבר אל פרופיל העבודה.
1.8. הקצאת מכשיר בחשבון Google
Android Management API לא תומך בתכונה הזו.
1.9. הגדרה ישירה דרך הארגון
אדמיני IT יכולים להשתמש במסוף של ה-EMM כדי להגדיר מכשירים ללא מגע באמצעות iframe ללא מגע.
1.10. פרופילים של עבודה במכשירים בבעלות החברה
באמצעות ההגדרה, EMM יכול לרשום מכשירים בבעלות החברה שיש להם פרופיל עבודה AllowPersonalUsage
1.10.1. ריק מכוון.
1.10.2. אדמינים ב-IT יכולים להגדיר פעולות תאימות לפרופילי עבודה בבעלות החברה מכשירים באמצעות PersonalUsagePolicies.
1.10.3. מנהלי IT יכולים להשבית את המצלמה בפרופיל העבודה או כל המכשיר דרך PersonalUsagePolicies.
1.10.4. מנהלי IT יכולים להשבית את צילום המסך בפרופיל העבודה או כל המכשיר דרך PersonalUsagePolicies.
1.10.5. אדמינים ב-IT יכולים להגדיר רשימת היתרים או רשימת חסימה של אפליקציות שיכולות או לא ניתן להתקין בפרופיל האישי באמצעות PersonalApplicationPolicy.
1.10.6. מנהלי IT יכולים לוותר על ניהול מכשיר בבעלות החברה על ידי להסיר את פרופיל העבודה או לאפס את כל הנתונים במכשיר.
1.11. הקצאת מכשיר ייעודי
ספקי EMM יכולים לרשום מכשירים ייעודיים בלי שהמשתמש מתבקש לרשום אותם לבצע אימות באמצעות חשבון Google.
2. אבטחת המכשיר
2.1. אתגר אבטחת המכשיר
מנהלי IT יכולים להגדיר ולאכוף אתגר אבטחת מכשירים (קוד אימות/קו ביטול נעילה/סיסמה) מתוך מבחר מוגדר מראש של 3 רמות מורכבות במכשירים מנוהלים.
2.1.1. מדיניות חייבים לאכוף הגדרות שמנהלות את אתגרי אבטחת המכשיר (parentProfilePasswordRequest עבור פרופיל עבודה, סיסמה דרישות עבור) במכשירים ייעודיים ומנוהלים במלואו).
2.1.2. מורכבות הסיסמה צריכה להתמפות לסיסמה הבאה מורכבים:
- PASSWORD_COMPLEXITY_LOW – תבנית או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- password_COMPLExitY_high – קוד אימות ללא חזרה (4444) או הוזמן (1234, 4321, 2468) רצפים ואורך של 8 לפחות או אלפביתי סיסמאות אלפאנומריות באורך 6 לפחות
2.1.3. אפשר לאכוף הגבלות נוספות על סיסמאות גם כהגדרות מדור קודם במכשירים בבעלות החברה.
2.2. אתגר אבטחה בעבודה
אדמינים ב-IT יכולים להגדיר ולאכוף אתגר אבטחה לאפליקציות ולנתונים בעבודה פרופיל נפרד עם דרישות שונות מאבטחת המכשיר אתגר (2.1.).
2.2.1. מדיניות צריך לאכוף את אתגר האבטחה על פרופיל העבודה.
- כברירת מחדל, אדמינים ב-IT צריכים להגדיר הגבלות רק לפרופיל העבודה אם לא צוין היקף
- מנהלי IT יכולים להגדיר את זה לכל המכשיר על ידי ציון ההיקף (ראו דרישה 2.1)
2.2.2. מורכבות הסיסמה צריכה להיות מותאמת למורכבות הסיסמה המוגדרת מראש הבאה:
- password_COMPL ExitY_LOW – דפוס או קוד אימות עם חזרה (4444) או לפי סדר מסוים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM – קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- password_COMPLExitY_high – קוד אימות ללא חזרה (4444) או הוזמן (1234, 4321, 2468) רצפים ואורך של 8 לפחות או אלפביתי סיסמאות אלפאנומריות באורך 6 לפחות
2.2.3. אפשר לאכוף הגבלות נוספות על סיסמאות גם כהגדרות מדור קודם
2.3. ניהול מתקדם של קודי גישה
אדמינים ב-IT יכולים לקבוע הגדרות סיסמה מתקדמות במכשירים.
2.3.1. ריק מכוון.
2.3.2. השארת השדה ריק בכוונה.
2.3.3. אפשר לקבוע את ההגדרות הבאות של מחזור החיים של הסיסמה לכל מסך נעילה שזמין המכשיר:
- ריק מכוון
- ריקים בכוונה
- המספר המקסימלי של סיסמאות שנכשלו לאיפוס: מציין את מספר הפעמים שמשתמשים יכול להזין סיסמה שגויה לפני שהנתונים הארגוניים יימחקו במכשיר. צריכה להיות אפשרות להשבית את התכונה הזו לאדמינים ב-IT.
2.3.4. (Android 8.0 ואילך) הזמן הקצוב לאימות חזק נדרש: זמן קצוב לתפוגה יש להזין קוד גישה לאימות (כגון קוד אימות או סיסמה) אחרי תקופת זמן שנקבעה על ידי אדמין ב-IT. לאחר פרק הזמן הקצוב לתפוגה, לא תחול הגבלה שיטות אימות (כמו טביעת אצבע, פתיחה ע"י זיהוי הפנים) מושבתות עד מבטלים את נעילת המכשיר באמצעות קוד גישה חזק לאימות.
2.4. ניהול של Smart Lock
מנהלי IT יכולים לקבוע אם סוכני אמינות ב-Smart Lock של Android יש הרשאה להאריך את נעילת המכשיר עד ארבע שעות.
2.4.1. אדמינים ב-IT יכולים להשבית גורמים מהימנים במכשיר.
2.5. מחיקה ונעילה
מנהלי IT יכולים להשתמש במסוף של ה-EMM כדי לנעול מרחוק את נתוני העבודה ולמחוק אותם במכשיר המנוהל.
2.5.1. צריך לנעול את המכשירים באמצעות Android Management API.
2.5.2. צריך לאפס את כל הנתונים של המכשירים באמצעות Android Management API הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
2.6. אכיפת תאימות
אם מכשיר לא עומד בדרישות של מדיניות האבטחה, כללי התאימות שקיימות ב-Android Management API מגבילים באופן אוטומטי את השימוש בעבודה. .
2.6.1. לכל הפחות, כללי מדיניות האבטחה שאוכפים על המכשיר חייבים לכלול המדיניות בנושא סיסמאות.
2.7. מדיניות ברירת המחדל בנושא אבטחה
ספקי EMM חייבים לאכוף את כללי מדיניות האבטחה שצוינו במכשירים כברירת מחדל, בלי לדרוש ממנהלי IT להגדיר או להתאים אישית הגדרות ב-EMM במסוף. אנחנו ממליצים לספקי EMM (אבל לא חובה) לא לאפשר למנהלי IT לשנות מצב ברירת המחדל של תכונות האבטחה האלה.
2.7.1. חובה לחסום את ההתקנה של אפליקציות ממקורות לא מוכרים, כולל אפליקציות שמותקנות בצד האישי של כל מכשיר Android מגרסה 8.0 ואילך עם פרופיל עבודה. תכונת המשנה הזו נתמכת כברירת מחדל.
2.7.2. צריך לחסום תכונות לניפוי באגים. תכונת המשנה הזו כברירת מחדל.
2.8. מדיניות אבטחה למכשירים ייעודיים
לא ניתן לבצע פעולות אחרות במכשיר ייעודי נעול.
2.8.1. צריך להשבית את האתחול למצב בטוח כברירת מחדל באמצעות policy (מעבר אל safeBootDisabled).
2.9. תמיכה ב-Play Integrity
בדיקות התקינות ב-Play מתבצעות כברירת מחדל. לא נדרשת הטמעה נוספת חובה.
2.9.1. ריק מכוון.
2.9.2. השארת השדה ריק בכוונה.
2.9.3. אדמינים ב-IT יכולים להגדיר תגובות שונות למדיניות על סמך הערך של SecurityRisk של המכשיר, כולל חסימה של הקצאה, מחיקה של נתונים ארגוניים והמשך ההרשמה.
- שירות ה-EMM יאכוף את תגובת המדיניות הזו על התוצאה של כל בדיקת תקינות.
2.9.4. ריק מכוון.
2.10. אכיפה של אימות אפליקציות
אדמינים ב-IT יכולים להפעיל את האפשרות אימות אפליקציות במכשירים. התכונה 'אימות אפליקציות' סורקת אפליקציות שמותקנות במכשירי Android כדי לאתר מזיקות לפני ואחרי ההתקנה, כדי להבטיח אפליקציות לא יכולות לסכן נתונים ארגוניים.
2.10.1. אימות האפליקציות צריך להיות מופעל כברירת מחדל באמצעות המדיניות
(עוברים אל ensureVerifyAppsEnabled).
2.11. תמיכה בהפעלה ישירה
Android Management API תומך בתכונה הזו כברירת מחדל. ללא תוספת תשלום נדרשת הטמעה.
2.12. ניהול אבטחת חומרה
מנהלי IT יכולים לנעול רכיבי חומרה של מכשירים בבעלות החברה כדי להבטיח מניעת אובדן נתונים.
2.12.1. מנהלי IT יכולים לחסום משתמשים מטעינת מדיה חיצונית פיזית באמצעות
policy (מעבר אל
mountPhysicalMediaDisabled).
2.12.2. אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים לשתף נתונים מהמכשיר שלהם באמצעות NFC
העברת תוכן באמצעות מדיניות
(עוברים אל outgoingBeamDisabled). תכונת המשנה הזו אופציונלית כי קרן NFC
הפונקציה כבר לא נתמכת ב-Android 10 ואילך.
2.12.3. אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים להעביר קבצים באמצעות USB באמצעות מדיניות (מעבר אל usbFileTransferDisabled).
2.13. רישום ביומן של אבטחת הארגון
Android Management API לא תומך בתכונה הזו.
3. ניהול החשבון והאפליקציות
3.1. קישור Enterprise
אדמינים ב-IT יכולים לקשר את ה-EMM לארגון שלהם, וכך לאפשר ל-EMM להשתמש ב-Google Play לארגונים כדי להפיץ אפליקציות למכשירים.
3.1.1. אדמין שיש לו דומיין מנוהל של Google יכול לקשר את הדומיין שלו אל ה-EMM.
3.1.2. ריק מכוון.
3.1.3. ריק מכוון.
3.1.4. מסוף ה-EMM ינחה את האדמין להזין את כתובת האימייל שלו בעבודה תהליך ההרשמה ל-Android ולמנוע ממנו להשתמש בחשבון Gmail.
3.1.5. ה-EMM ממלא מראש את כתובת האימייל של האדמין בתהליך ההרשמה ל-Android.
3.2. הקצאת חשבונות Google Play לארגונים
ה-EMM יכול להקצות באופן שקט חשבונות משתמשים ארגוניים, שנקראים 'Google מנוהלת' חשבונות Play. בחשבונות האלה מזהים משתמשים מנוהלים ומאפשרים גישה ייחודית לכל משתמש כללי הפצת אפליקציות.
3.2.1. חשבונות Google Play לארגונים (חשבונות משתמשים) נוצרים באופן אוטומטי כשמקצים מכשירי Android.
ב-Android Management API יש תמיכה בתכונה הזו כברירת מחדל. ללא תוספת תשלום נדרשת הטמעה.
3.3. הקצאת חשבון מכשיר ב-Google Play לארגונים
ה-EMM יכול ליצור חשבונות מנוהלים במכשירי Google Play ולנהל אותם. Device (מכשיר) תומכים בהתקנה שקטה של אפליקציות מחנות Google Play לארגונים והם לא מקושרים למשתמש יחיד. במקום זאת, חשבון המכשיר משמש לזיהוי מכשיר יחיד כדי לתמוך בכללים של הפצת אפליקציות לכל מכשיר בתרחישים ייעודיים של מכשיר.
3.3.1. חשבונות Google Play מנוהלים נוצרים באופן אוטומטי כשהמכשירים הוקצה.
ב-Android Management API יש תמיכה בתכונה הזו כברירת מחדל. ללא תוספת תשלום נדרשת הטמעה.
3.4. הקצאת חשבונות Google Play לארגונים למכשירים מדור קודם
התכונה הזו הוצאה משימוש.
3.5. הפצה שקטה של אפליקציות
אדמיני IT יכולים להפיץ אפליקציות עבודה במכשירים באופן שקט, ללא אינטראקציה של משתמשים.
3.5.1. במסוף של ה-EMM יש להשתמש ב-Android Management API כדי לאפשר לאדמינים ב-IT להתקין אפליקציות לעבודה במכשירים מנוהלים.
3.5.2. במסוף של ה-EMM יש להשתמש ב-Android Management API כדי לאפשר לאדמינים ב-IT לעדכן אפליקציות לעבודה במכשירים מנוהלים.
3.5.3. במסוף של ה-EMM יש להשתמש ב-Android Management API כדי לאפשר לאדמינים ב-IT להסיר אפליקציות ממכשירים מנוהלים.
3.6. ניהול תצורות מנוהלות
אדמינים ב-IT יכולים לראות את ההגדרות המנוהלות של כל אפליקציה ולהגדיר אותן בצורה שקטה תומכת בהגדרות מנוהלות.
3.6.1. במסוף של ה-EMM צריכה להיות אפשרות לאחזר ולהציג את הגדרות התצורה המנוהלות של כל אפליקציית Play.
3.6.2. מסוף ה-EMM חייב לאפשר למנהלי IT להגדיר כל סוג של תצורה (כ מוגדרת על ידי Android Enterprise framework) לכל אפליקציה ב-Play באמצעות Android Management API הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
3.6.3. מסוף ה-EMM חייב לאפשר למנהלי IT להגדיר תווים כלליים לחיפוש (כמו $username$ או %emailAddress%), כך שההגדרה היחידה של האפליקציה כמו אפשר להחיל את Gmail על כמה משתמשים.
3.7. ניהול קטלוג אפליקציות
ב-Android Management API יש תמיכה בתכונה הזו כברירת מחדל. לא נדרשת הטמעה נוספת.
3.8. אישור אפליקציות באופן פרוגרמטי
מסוף ה-EMM משתמש ב-iframe המנוהל של Google Play כדי לתמוך יכולות גילוי ואישור של אפליקציות. אדמינים ב-IT יכולים לחפש אפליקציות לאשר אפליקציות ולאשר הרשאות חדשות לאפליקציות בלי לצאת ממסוף ה-EMM.
3.8.1. אדמינים ב-IT יכולים לחפש אפליקציות ולאשר אותן מתוך מסוף ה-EMM באמצעות ה-iframe המנוהל של Google Play.
3.9. ניהול בסיסי של פריסת החנות
אפשר להשתמש באפליקציה המנוהלת של חנות Google Play כדי להתקין ולעדכן אפליקציות לעבודה. כברירת מחדל, בחנות של Google Play לארגונים מוצגות אפליקציות שאושרו למשתמש ב- רשימה אחת. הפריסה הזו נקראת פריסת החנות הבסיסית.
3.9.1. מסוף ה-EMM צריך לאפשר לאדמינים ב-IT לנהל את האפליקציות הגלויות בפריסת החנות הבסיסית של משתמש הקצה.
3.10. הגדרה מתקדמת של פריסת החנות
3.10.1. אדמינים ב-IT יכולים להתאים אישית את פריסת החנות שמופיע באפליקציה המנוהלת של חנות Google Play.
3.11. ניהול רישיונות לאפליקציות
התכונה הזו הוצאה משימוש.
3.12. ניהול אפליקציות פרטיות באירוח של Google
אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות באירוח Google דרך מסוף ה-EMM מתוך Google Play Console.
3.12.1. מנהלי IT יכולים להעלות גרסאות חדשות של אפליקציות שכבר פורסמו באופן פרטי לארגון באמצעות:
- ה-iframe של Google Play לארגונים, או
- Google Play Developer Publishing API הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
3.13. ניהול אפליקציות פרטיות באירוח עצמי
אדמינים ב-IT יכולים להגדיר ולפרסם אפליקציות פרטיות באירוח עצמי. ביטול הלייק אפליקציות פרטיות באירוח Google, Google Play לא מארחת את חבילות ה-APK. במקום זאת, ה-EMM עוזר למנהלי IT לארח את חבילות ה-APK בעצמם ולהגן על האירוח העצמי כי הם מוודאים שניתן להתקין אותם רק באישורם של Google המנוהלת הפעלה.
3.13.1. המסוף של ה-EMM חייב לעזור לאדמינים ב-IT לארח את ה-APK של האפליקציה, בכך שהם מציעים את שני הסוגים מבין האפשרויות הבאות:
- אירוח ה-APK בשרת ה-EMM. השרת יכול להיות מקומי או מבוססת ענן.
- אירוח ה-APK מחוץ לשרת ה-EMM, לפי שיקול דעתו של של הארגון. על האדמין ב-IT לציין במסוף ה-EMM היכן ה-APK מתארח.
3.13.2. מסוף ה-EMM צריך ליצור קובץ הגדרה מתאים של APK באמצעות קובץ ה-APK שסופק, ולהנחות את מנהלי ה-IT בתהליך הפרסום.
3.13.3. אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות באירוח עצמי ואת מסוף ה-EMM יכול לפרסם באופן שקט קבצים מעודכנים של הגדרת APK באמצעות Google Play Developer Publishing API הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
3.13.4. השרת של ה-EMM שולח בקשות הורדה של ה-APK באירוח עצמי שמכיל JWT חוקי בקובץ ה-cookie של הבקשה, כפי שאומת על ידי למפתח הציבורי של האפליקציה הפרטית.
- כדי לאפשר את התהליך, השרת של ה-EMM צריך להנחות את מנהלי ה-IT הורדת המפתח הציבורי של רישיון האפליקציה באירוח עצמי מ-Google Play עליך להפעיל את Play Console, ואז להעלות את המפתח הזה למסוף ה-EMM.
3.14. התראות משיכה של EMM
התכונה הזו לא רלוונטית ל-Android Management API. הגדרה במקום זאת, תקבלו התראות של Pub/Sub.
3.15. דרישות לשימוש ב-API
ה-EMM משתמש בממשקי Android Management API בקנה מידה נרחב כדי למנוע תנועה דפוסים שעלולים להשפיע לרעה על ארגונים יכולת לנהל אפליקציות ב- בסביבות ייצור.
3.15.1. מערכת ה-EMM חייבת לציית למגבלות השימוש של Android Management API. אי תיקון התנהגות שחורגת מההנחיות האלה עלול התוצאה של השעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.15.2. ה-EMM צריך להפיץ תנועה מארגונים שונים ברחבי למשך יום אחד, במקום לאחד את התנועה הארגונית לרמה מסוימת או דומה פעמים. התנהגות שמתאימה לדפוס תנועה זה, כגון אצווה מתוזמנת עבור כל מכשיר רשום, עשויות להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.15.3. ה-EMM לא אמור להציג מידע עקבי, חלקי או שגוי במכוון בקשות שלא מנסות לאחזר או לנהל נתונים ארגוניים בפועל. התנהגות שתואמת לדפוס התנועה הזה עלולה להוביל להשעיה של השימוש ב-API, כאשר לפי שיקול דעתה של Google.
3.16. ניהול מתקדם של הגדרות מנוהלות
ה-EMM תומך בניהול מתקדם של ההגדרות המנוהלות הבאות :
3.16.1. המסוף של ה-EMM חייב להיות מסוגל לאחזר ולהציג עד ארבעה רמות של הגדרות מקוננות של הגדרות אישיות מנוהלות בכל אפליקציית Play, באמצעות:
- ה-iframe של Google Play לארגונים, או
- ממשק משתמש בהתאמה אישית.
3.16.2. למסוף של ה-EMM צריכה להיות אפשרות לאחזר ולהציג משוב כלשהו הוחזרה על ידי ערוץ המשוב של האפליקציה , כשהוא הוגדר על ידי אדמין ב-IT.
- מסוף ה-EMM חייב לאפשר לאדמינים ב-IT לשייך פריט משוב ספציפי עם המכשיר והאפליקציה שהם הגיעו מהם.
- מסוף ה-EMM חייב לאפשר למנהלי IT להירשם להתראות או לדוחות של סוגים מסוימים של הודעות (כגון הודעות שגיאה).
3.16.3. מסוף ה-EMM חייב לשלוח רק ערכים שיש להם ערך ברירת מחדל או שהאדמין הגדיר אותם באופן ידני באמצעות:
- ה-iframe של ההגדרות המנוהלות, או
- ממשק משתמש בהתאמה אישית.
3.17. ניהול אפליקציות אינטרנט
אדמינים ב-IT יכולים ליצור ולהפיץ אפליקציות אינטרנט דרך מסוף ה-EMM.
3.17.1. מסוף ה-EMM מאפשר לאדמינים ב-IT להפיץ קיצורי דרך לאפליקציות אינטרנט באמצעות:
3.18. ניהול מחזור החיים של חשבון Google Play המנוהל
ה-EMM יכול ליצור, לעדכן ולמחוק חשבונות Google Play מנוהלים ב- בשמם של האדמינים ב-IT, ולשחזר באופן אוטומטי לאחר תפוגת התוקף של החשבון.
התכונה הזו נתמכת כברירת מחדל. אין הטמעת EMM נוספת חובה.
3.19. ניהול מעקב אחר אפליקציות
3.19.1. אדמינים ב-IT יכולים למשוך רשימה של מזהי טראקים שהמפתח הגדיר לאפליקציה מסוימת
3.19.2. אדמינים ב-IT יכולים להגדיר מכשירים כך שיעבדו לפי נתיב פיתוח מסוים לאפליקציה.
3.20. ניהול מתקדם של עדכוני אפליקציות
אדמינים ב-IT יכולים לאפשר עדכון מיידי של אפליקציות או לדחות אותן יעודכנו למשך 90 יום.
3.20.1. אדמינים ב-IT יכולים לאפשר לאפליקציות להשתמש בעדכוני אפליקציות בעדיפות גבוהה כדי לעדכן אותן כשיהיה עדכון מוכן. 3.20.2. אדמינים ב-IT יכולים לאפשר דחיית עדכוני האפליקציות למשך 90 יום.
3.21. ניהול שיטות הקצאת הרשאות ידנית
ה-EMM יכול ליצור הגדרות של ניהול הקצאות ולהציג אותן לצוות ה-IT אדמין בטופס שמוכן להפצה למשתמשי הקצה (כמו קוד QR, הגדרה דרך הארגון, כתובת ה-URL בחנות Play).
4. ניהול מכשירים
4.1. ניהול המדיניות בנושא הרשאות בסביבת זמן ריצה
אדמינים ב-IT יכולים להגדיר באופן שקט תגובת ברירת מחדל לבקשות הרשאה בתחילת ההפעלה נוצרו על ידי אפליקציות לעבודה.
4.1.1. אדמינים ב-IT צריכים להיות מסוגלים לבחור מבין האפשרויות הבאות בזמן ההגדרה מדיניות ברירת מחדל להרשאות בסביבת זמן ריצה עבור הארגון:
- הנחיה (מאפשרת למשתמשים לבחור)
- לאפשר
- דחייה
מערכת ה-EMM צריכה לאכוף את ההגדרות האלה באמצעות מדיניות.
4.2. ניהול מצב של הרשאת גישה בזמן ריצה
אחרי שמגדירים מדיניות ברירת מחדל להרשאות בסביבת זמן ריצה (עוברים לגרסה 4.1.), אדמינים ב-IT יכולים הגדרה שקטה של תשובות להרשאות ספציפיות מכל אפליקציה לעבודה שמבוססת על API 23 ומעלה.
4.2.1. מנהלי IT צריכים להיות מסוגלים להגדיר את מצב ההרשאה (ברירת מחדל, הענקה או דחייה) הרשאה שנדרשת על ידי אפליקציה לעבודה שמבוססת על API 23 ואילך. מערכת ה-EMM צריכה לאכוף את ההגדרות האלה באמצעות מדיניות.
4.3. ניהול הגדרות Wi-Fi
מנהלי IT יכולים להקצות באופן שקט הגדרות Wi-Fi לארגונים במכשירים מנוהלים מכשירים, כולל:
4.3.1. SSID, באמצעות מדיניות.
4.3.2. סיסמה, באמצעות מדיניות.
4.4. ניהול אבטחת Wi-Fi
מנהלי IT יכולים להקצות הגדרות Wi-Fi לארגונים במכשירים שכוללים את אמצעי האבטחה המתקדמים הבאים תכונות:
4.4.1. זהויות
4.4.2. אישורים להרשאות לקוח
4.4.3. אישורי CA
4.5. ניהול מתקדם של Wi-Fi
מנהלי IT יכולים לנעול הגדרות Wi-Fi במכשירים מנוהלים כדי למשתמשים במהלך יצירת מערכי הגדרות אישיות או שינוי הגדרות אישיות של הארגון.
4.5.1. מנהלי IT יכולים לנעול הגדרות Wi-Fi ארגוניות באמצעות policy באחד משני הסוגים בתצורה הבאה:
- המשתמשים לא יכולים לשנות הגדרות Wi-Fi שהוקצו על ידי ה-EMM (יש לעבור אל
wifiConfigsLockdownEnabled), אבל עשויים להוסיף ולשנות רשתות משלהם שניתן להגדיר-למשתמש (לדוגמה רשתות אישיות). - המשתמשים לא יכולים להוסיף או לשנות רשתות Wi-Fi למכשיר
(עוברים אל
wifiConfigDisabled), מגביל את קישוריות ה-Wi-Fi רק לאלה ברשתות שה-EMM מספק.
4.6. ניהול חשבון
אדמינים ב-IT יכולים לוודא שרק חשבונות ארגוניים מורשים יכולים לקיים איתם אינטראקציה נתונים ארגוניים, עבור שירותים כמו אחסון SaaS ואפליקציות לפרודוקטיביות, או באימייל. בלי התכונה הזו, המשתמשים יוכלו להוסיף להם חשבונות אישיים אפליקציות ארגוניות שתומכות בחשבונות פרטיים, ומאפשרות להם לשתף של החברה עם החשבונות האישיים האלה.
4.6.1. אדמינים ב-IT יכולים למנוע ממשתמשים להוסיף או לשנות חשבונות (מידע נוסף זמין בקטע modifyAccountsDisabled).
- כשאכיפים את המדיניות הזו במכשיר, פלטפורמות ה-EMM צריכות להגדיר את ההגבלה הזו לפני השלמת ההקצאה, כדי לוודא שהמשתמשים לא יוכלו לעקוף את המדיניות הזו על ידי הוספת חשבונות לפני שהמדיניות תופעל.
4.7. ניהול חשבון Workspace
Android Management API לא תומך בתכונה הזו.
4.8. ניהול אישורים
מאפשר לאדמינים ב-IT לפרוס אישורי זהות ורשויות אישורים כדי כדי לאפשר שימוש במשאבים של הארגון.
4.8.1. אדמינים ב-IT יכולים להתקין אישורי זהות של משתמשים. שנוצרה על ידי ה-PKI על בסיס משתמש. המסוף של ה-EMM חייב להיות משולב עם PKI אחד לפחות ולהפיץ אישורים שנוצרו ממנו .
4.8.2. אדמינים ב-IT יכולים להתקין רשויות אישורים
(מידע נוסף זמין בכתובת caCerts) במאגר המפתחות המנוהל. עם זאת, אין תמיכה בתכונת המשנה הזו
הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
4.9. ניהול אישורים מתקדם
מאפשרת לאדמינים ב-IT לבחור באופן שקט את האישורים שאפליקציות מנוהלות ספציפיות שבהם צריך להשתמש. התכונה הזו גם מאפשרת לאדמינים ב-IT להסיר רשויות אישורים ואישורי זהות ממכשירים פעילים, ומונעים מהמשתמשים לשנות את ההגדרות פרטי הכניסה ששמורים במאגר המפתחות המנוהל.
4.9.1. עבור כל אפליקציה שמופצת למכשירים, מנהלי IT יכולים לציין אישור במהלך זמן הריצה, האפליקציה תקבל גישה שקטה. (אין תמיכה בתכונה המשנית הזו)
- בחירת האישור צריכה להיות גנרית מספיק כדי לאפשר הגדרה אחת שתחול על כל המשתמשים, לכל אחד מהם יכול להיות אישור זהות ספציפי למשתמש.
4.9.2. אדמינים ב-IT יכולים להסיר אישורים בלי להציג אזהרה או שגיאה ממאגר המפתחות המנוהל.
4.9.3. מנהלי IT יכולים להסיר באופן שקט אישור CA. (התכונה המשנית הזו לא נתמכת)
4.9.4. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר פרטי כניסה
(עוברים אל credentialsConfigDisabled) במאגר המפתחות המנוהל.
4.9.5. מנהלי IT יכולים להעניק מראש אישורים לאפליקציות לעבודה באמצעות ChoosePrivateKeyRule.
4.10. הענקת גישה לניהול אישורים
אדמינים ב-IT יכולים להפיץ אפליקציית צד שלישי לניהול אישורים למכשירים, להעניק לאפליקציה גישה בעלת הרשאות כדי להתקין אישורים בחשבון המנוהל מאגר מפתחות.
4.10.1. מנהלי IT יכולים לציין חבילת ניהול אישורים
(יש לעבור אל delegatedCertInstallerPackage) כדי להגדיר את האישור המואצל
לניהול האפליקציה.
- מערכת ה-EMM עשויה להציע חבילות ידועות לניהול אישורים, אבל היא חייבת לאפשר לאדמין ה-IT לבחור מתוך רשימת האפליקציות הזמינות להתקנה, למשתמשים הרלוונטיים.
4.11. ניהול VPN מתקדם
התכונה מאפשרת לאדמינים ב-IT לציין VPN שפועל כל הזמן כדי להבטיח שהנתונים אפליקציות מנוהלות מסוימות תמיד יעברו הגדרה של ה-VPN.
4.11.1. אדמינים ב-IT יכולים לציין חבילת VPN שרירותית להיות מוגדר כ-VPN שפועל כל הזמן.
- יכול להיות שמסוף ה-EMM יציע חבילות VPN מוכרות שתומכות ה-VPN שפועל כל הזמן, אבל לא ניתן להגביל את רשתות ה-VPN שזמינות להגדרה 'פועל כל הזמן' לכל רשימה שרירותית.
4.11.2. אדמינים ב-IT יכולים להשתמש בהגדרות מנוהלות כדי לציין את הגדרות ה-VPN עבור אפליקציה.
4.12. ניהול IME
אדמינים ב-IT יכולים לקבוע לאילו שיטות קלט (IME) אפשר להגדיר מכשירים. מכיוון שה-IME משותף גם לפרופילים של העבודה וגם לפרופילים האישיים, חסימת השימוש ברכיבי IME תמנע מהמשתמשים לאפשר ל-IMEs האלה לספק להשתמש גם כן. עם זאת, מנהלי IT לא יכולים לחסום שימוש ברכיבי IME של המערכת בעבודה פרופילים (לפרטים נוספים, יש לעבור לניהול מתקדם של IME).
4.12.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME
(צריך לעבור אל permitted_input_methods) באורך שרירותי (כולל רשימה ריקה,
שחוסם רכיבי IME שאינם של המערכת), שעשויים להכיל חבילות IME שרירותיות.
- יכול להיות שמסוף ה-EMM יציע עורכי שיטות קלט (IME) מוכרים או מומלצים, לכלול ברשימת ההיתרים, אבל חייבים לאפשר לאדמינים ב-IT לבחור מתוך הרשימה מהאפליקציות הזמינות להתקנה, למשתמשים הרלוונטיים.
4.12.2. על ה-EMM להודיע למנהלי IT שרכיבי IME של המערכת מוחרגים ניהול במכשירים עם פרופילים של עבודה.
4.13. ניהול מתקדם של IME
מנהלי IT יכולים לקבוע אילו שיטות קלט (IME) משתמשים יכולים להגדיר במכשיר. ניהול מתקדם של IME מרחיב את התכונה הבסיסית על ידי מתן הרשאה למנהלי IT כדי לנהל גם את השימוש ברכיבי IME של המערכת, איזה יצרן מכשירים או הספק של המכשיר בדרך כלל.
4.13.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME (מעבר אל permitted_input_methods) באורך שרירותי (לא כולל רשימה ריקה, שחוסמת את כל ה-IME, כולל ה-IME של המערכת), שיכולה להכיל חבילות IME שרירותיות.
- יכול להיות שמסוף ה-EMM יציע עורכי שיטות קלט (IME) מוכרים או מומלצים, לכלול ברשימת ההיתרים, אבל חייבים לאפשר לאדמינים ב-IT לבחור מתוך הרשימה מהאפליקציות הזמינות להתקנה, למשתמשים הרלוונטיים.
4.13.2. ה-EMM חייב למנוע מאדמינים ב-IT להגדיר רשימת היתרים ריקה, כי כך תחסום את כל רכיבי ה-IME, כולל רכיבי IME של המערכת, מהאפשרות להגדיר במכשיר.
4.13.3. על ספק EMM לוודא שאם רשימת היתרים של IME לא מכילה IME של המערכת, רכיבי ה-IME של צד שלישי מותקנים באופן שקט לפני שרשימת ההיתרים הוחלה במכשיר.
4.14. ניהול שירותי נגישות
אדמינים ב-IT יכולים לקבוע אילו שירותי נגישות שהמשתמשים יכולים לאפשר במכשירים. שירותי נגישות הם כלים רבי עוצמה למשתמשים אנשים עם מוגבלויות או כאלה שבאופן זמני לא יכולים לקיים אינטראקציה מלאה עם במכשיר. עם זאת, הם עשויים לקיים אינטראקציה עם נתונים ארגוניים בדרכים לא תואם למדיניות התאגיד. התכונה הזו מאפשרת לאדמינים ב-IT להשבית כל שירות נגישות שאינו מערכת.
4.14.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של שירותי נגישות (מעבר אל permittedAccessibilityServices) באורך שרירותי (כולל רשימה ריקה, שחוסמת שירותי נגישות שאינם מערכתיים), שיכולה להכיל כל חבילת שירותי נגישות שרירותית. כשמחילים את ההגדרה הזו על פרופיל עבודה,
משפיעה גם על הפרופיל האישי וגם על פרופיל העבודה.
- המסוף יכול להציע שירותי נגישות מוכרים או מומלצים. לכלול ברשימת ההיתרים, אבל צריך לאפשר לאדמין ב-IT לבחור רשימת האפליקציות הזמינות להתקנה, למשתמשים הרלוונטיים.
4.15. ניהול של שיתוף מיקום
אדמיני IT יכולים למנוע ממשתמשים לשתף נתוני מיקום עם אפליקציות בפרופיל העבודה. אחרת, אפשר לקבוע את הגדרת המיקום בפרופיל העבודה הגדרות.
4.15.1. אדמינים ב-IT יכולים להשבית את שירותי המיקום
(יש להיכנס אל shareLocationDisabled) בפרופיל העבודה.
4.16. ניהול מתקדם של שיתוף מיקום
מנהלי IT יכולים לאכוף הגדרה נתונה של שיתוף מיקום במכשיר מנוהל. בעזרת התכונה הזו, האפליקציות של החברה תמיד ממוקמות ברמת דיוק גבוהה. . התכונה הזו יכולה גם לוודא שהסוללה לא צורכת יותר חשמל הגבלת הגדרות המיקום למצב חיסכון בסוללה.
4.16.1. מנהלי IT יכולים להגדיר את שירותי המיקום של המכשיר בכל אחד מהמצבים הבאים:
- רמת דיוק גבוהה.
- חיישנים בלבד, למשל GPS, אבל לא כולל נתונים מהרשת המיקום.
- חיסכון בסוללה, שמגביל את תדירות העדכון.
- כבוי.
4.17. ניהול ההגנה מפני איפוס להגדרות המקוריות
התכונה מאפשרת לאדמינים ב-IT להגן על מכשירים בבעלות החברה מפני גניבה על ידי משתמשים לא מורשים לא יכולים לאפס מכשירים להגדרות המקוריות. אם ההגנה מפני איפוס להגדרות המקוריות יוצרת מורכבות תפעולית כשהמכשירים מוחזרים ל-IT, האדמינים ב-IT יכולים להשבית את ההגנה הזו לגמרי.
4.17.1. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את המכשיר להגדרות המקוריות
(עוברים אל factoryResetDisabled) דרך המכשיר בהגדרות.
4.17.2. מנהלי IT יכולים לציין חשבונות לביטול נעילה של הארגון שקיבלו הרשאה
מכשירים לניהול הקצאות
(עוברים אל frpAdminEmails) לאחר איפוס להגדרות המקוריות.
- אפשר לקשר את החשבון הזה לאדם פרטי או להשתמש בו לכל הארגון כדי לבטל את נעילת המכשירים.
4.17.3. אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות
(עוברים אל 0 factoryResetDisabled) בשביל המכשירים שצוינו.
4.17.4. אדמינים ב-IT יכולים להתחיל איפוס נתונים של מכשיר מרחוק שאפשר לאפס את נתוני ההגנה שלה, וכך להסיר את האיפוס להגדרות המקוריות במכשיר המאופס.
4.18. שליטה מתקדמת באפליקציות
מנהלי IT יכולים למנוע מהמשתמשים להסיר את ההתקנה או לשנות את ההגדרות המנוהלות באופן אחר דרך 'הגדרות'. לדוגמה, מניעת סגירה מאולצת של האפליקציה, ניקוי מטמון הנתונים של אפליקציה.
4.18.1. מנהלי IT יכולים לחסום הסרה של כל אפליקציה מנוהלת שרירותית, או כל
אפליקציות מנוהלות (צריך לעבור אל
uninstallAppsDisabled).
4.18.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות נתוני אפליקציות בהגדרות. (Android Management API לא תומך בתכונת המשנה הזו)
4.19. ניהול של צילום מסך
אדמינים ב-IT יכולים לחסום את האפשרות של משתמשים ליצור צילומי מסך כשהם משתמשים באפליקציות מנוהלות. ההגדרה הזו כוללת חסימה של אפליקציות לשיתוף המסך ואפליקציות דומות (כמו Google Assistant) המשתמשים ביכולות צילום המסך של המערכת.
4.19.1. אדמינים ב-IT יכולים למנוע ממשתמשים לצלם צילומי מסך
(עוברים אל screenCaptureDisabled).
4.20. השבת מצלמות
אדמינים ב-IT יכולים להשבית את השימוש במצלמות של מכשירים באפליקציות מנוהלות.
4.20.1. אדמינים ב-IT יכולים להשבית את השימוש במצלמות במכשיר
(עוברים אל cameraDisabled) לפי אפליקציות מנוהלות.
4.21. איסוף נתונים סטטיסטיים ברשת
Android Management API לא תומך בתכונה הזו.
4.22. איסוף סטטיסטיקות רשת מתקדמות
Android Management API לא תומך בתכונה הזו.
4.23. הפעלת המכשיר מחדש
אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשירים מנוהלים.
4.23.1. אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשיר מנוהל.
4.24. ניהול רדיו של מערכת
מספק לאדמינים ב-IT ניהול מפורט של רשתות הרדיו של המערכת מדיניות שימוש משויכת באמצעות מדיניות
4.24.1. מנהלי IT יכולים להשבית שידורים סלולריים שנשלחים על ידי שירות
ספקים (מעבר אל cellBroadcastsConfigDisabled).
4.24.2. מנהלי IT יכולים למנוע ממשתמשים לשנות את הגדרות הרשת הסלולרית
הגדרות (עוברים אל mobileNetworksConfigDisabled).
4.24.3. מנהלי IT יכולים למנוע ממשתמשים לאפס את כל הגדרות הרשת של
הגדרות. (עוברים אל networkResetDisabled).
4.24.4. מנהלי IT יכולים להגדיר אם המכשיר יאפשר שימוש בחבילת הגלישה
בזמן נדידה (עוברים אל dataRoamingDisabled).
4.24.5. מנהלי IT יכולים להגדיר אם המכשיר יוכל לבצע שיחות טלפון יוצאות
שיחות, לא כולל שיחות חירום (יש לעבור אל outGoingCallsDisabled).
4.24.6. מנהלי IT יכולים להגדיר אם המכשיר יוכל לשלוח ולקבל הודעות טקסט
הודעות (מעבר אל smsDisabled).
4.24.7. מנהלי IT יכולים למנוע ממשתמשים להשתמש במכשיר שלהם כמכשיר נייד
נקודה לשיתוף אינטרנט באמצעות שיתוף אינטרנט בין מכשירים (עוברים אל tetheringConfigDisabled).
4.24.8. אדמינים ב-IT יכולים להגדיר את זמן הקצאת הזמן ל-Wi-Fi לברירת המחדל, בזמן החיבור לחשמל או אף פעם. (Android Management API לא תומך בתכונת המשנה הזו)
4.24.9. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר מודעות קיימות או לשנות קיימות
חיבורי Bluetooth (צריך לעבור אל bluetoothConfigDisabled).
4.25. ניהול אודיו במערכת
מנהלי IT יכולים לשלוט באופן שקט בתכונות האודיו במכשירים, כולל השתקת המכשיר, מניעה מהמשתמשים לשנות את הגדרות עוצמת הקול, ומונעת מהמשתמשים לבטל את ההשתקה של המיקרופון במכשיר.
4.25.1. מנהלי IT יכולים להשתיק מכשירים מנוהלים באופן שקט. (Android Management API לא תומך בתכונת המשנה הזו)
4.25.2. מנהלי IT יכולים למנוע ממשתמשים לשנות את נפח המכשירים
הגדרות (עוברים אל adjustVolumeDisabled). הפעולה הזו תשתיק גם את המכשירים.
4.25.3. אדמינים ב-IT יכולים למנוע ממשתמשים לבטל את ההשתקה של המכשיר
מיקרופון (מעבר אל unmuteMicrophoneDisabled).
4.26. ניהול שעון המערכת
מנהלי IT יכולים לנהל את ההגדרות של שעון המכשיר ואזור הזמן, ולמנוע ממשתמשים שינוי של הגדרות המכשיר האוטומטיות.
4.26.1. מנהלי IT יכולים לאכוף את הזמן האוטומטי ואזור הזמן האוטומטי של המערכת, מונע מהמשתמש להגדיר את התאריך, השעה ואזור הזמן של במכשיר.
4.27. תכונות מתקדמות של מכשיר ייעודי
במכשירים ייעודיים, מנהלי IT יכולים לנהל את התכונות הבאות באמצעות policy כדי לקבל תמיכה תרחישים שונים לדוגמה של קיוסק.
4.27.1. מנהלי IT יכולים להשבית את נעילת המקשים במכשיר (עוברים אל keyguardDisabled).
4.27.2. מנהלי IT יכולים לכבות את שורת הסטטוס של המכשיר, לחסום את ההתראות
הגדרות מהירות (עוברים אל statusBarDisabled).
4.27.3. מנהלי IT יכולים לאלץ את מסך המכשיר להישאר דלוק כשהמכשיר
מחובר לחשמל (עבור אל stayOnPluggedModes).
4.27.4. אדמינים ב-IT יכולים למנוע את השימוש בממשקי המשתמש של המערכת הבאים
מהצגה (מעבר אל createWindowsDisabled):
- טוסטים
- שכבות-על של אפליקציה.
4.27.5. מנהלי IT יכולים לאפשר את המלצת המערכת לאפליקציות לדלג על
ורמזים אחרים למבוא בהפעלה הראשונה (עוברים אל
skip_first_use_hints).
4.28. הקצאת הרשאות ניהול היקף
מנהלי IT יכולים להעניק הרשאות נוספות לחבילות בודדות.
4.28.1. אדמינים ב-IT יכולים לנהל את היקפי ההרשאות הבאים:
- התקנה וניהול של אישורים
- ריקים בכוונה
- רישום התנועה ברשת
- רישום ביומן אבטחה (לא נתמך בפרופיל עבודה מסוג BYOD)
4.29. תמיכה בתעודה מזהה ספציפית להרשמה
החל מגרסה 12 של Android, לפרופילים של עבודה לא תהיה יותר גישה אל מזהים ספציפיים לחומרה. מנהלי IT יכולים לעקוב אחר מחזור החיים של מכשיר עם פרופיל עבודה באמצעות המזהה הספציפי להרשמה, שיישמר דרך איפוס להגדרות המקוריות.
4.29.1. אדמינים ב-IT יכולים לקבל מזהה ספציפי להרשמה
4.29.2. המזהה הספציפי להרשמה צריך להישאר גם אחרי איפוס להגדרות המקוריות
5. נוחות השימוש במכשיר
5.1. התאמה אישית של ניהול הקצאות מנוהל
אדמינים ב-IT יכולים לשנות את חוויית ברירת המחדל של תהליך ההגדרה כך שהיא תכלול לתכונות ספציפיות לארגונים. אדמינים ב-IT יכולים גם להציג מיתוג של EMM במהלך הקצאת ההרשאות.
5.1.1. אדמינים ב-IT יכולים להתאים אישית את תהליך ההקצאה על ידי ציון תנאי שירות ספציפיים לארגון כתבי ויתור אחרים (מעבר אל termsAndConditions).
5.1.2. מנהלי IT יכולים לפרוס
תנאים והגבלות ספציפיים ל-EMM שאינם ניתנים להגדרה וכתבי ויתור אחרים
(עוברים אל termsAndConditions).
- ייתכן שספקי EMM מגדירים את ההתאמה האישית הספציפית ל-EMM שלא ניתנת להגדרה כברירת מחדל לפריסות, אבל חייבים לאפשר למנהלי IT להגדיר בהתאמה אישית.
5.1.3. האפשרות primaryColor הוצאה משימוש למשאב הארגוני ב-Android
10 ומעלה.
5.2. התאמה אישית לארגון
Android Management API לא תומך בתכונה הזו.
5.3. התאמה אישית מתקדמת לארגונים
Android Management API לא תומך בתכונה הזו.
5.4. הודעות במסך הנעילה
מנהלי IT יכולים להגדיר הודעה מותאמת אישית שתמיד תוצג בנעילת המכשיר במסך. לא נדרשת נעילת המכשיר כדי לצפות בו.
5.4.1. אדמינים ב-IT יכולים להגדיר הודעה מותאמת אישית במסך נעילה
(עוברים אל deviceOwnerLockScreenInfo).
5.5. ניהול שקיפות המדיניות
אדמיני IT יכולים להתאים אישית את טקסט העזרה שמוצג למשתמשים כשהם מנסים לשנות את ההגדרות המנוהלות במכשיר, או לפרוס הודעת תמיכה גנרית שסופקה על ידי ה-EMM. אפשר להתאים אישית הודעות תמיכה קצרות וארוכות, והן מוצגות במקרים כמו ניסיון להסיר אפליקציה מנוהלת שכבר נחסמה על ידי אדמין IT.
5.5.1. אדמינים ב-IT יכולים להתאים אישית תמיכה לקהל קצר או ארוך הודעות.
5.5.2. אדמינים ב-IT יכולים לפרוס פרטים ל-EMM שלא ניתנים להגדרה, לפרוסות קצרות וארוכות
הודעות תמיכה (יש לעבור אל shortSupportMessage ואל longSupportMessage ב-
policies).
- מערכת ה-EMM יכולה להגדיר את הודעות התמיכה הספציפיות שלה, שלא ניתן לשנות, כברירת המחדל לפריסות, אבל היא חייבת לאפשר לאדמינים ב-IT להגדיר הודעות משלהם.
5.6. ניהול אנשי קשר במספר פרופילים
5.6.1. מנהלי IT יכולים להשבית את הצגת אנשי הקשר בעבודה בחיפושים של אנשי קשר בפרופיל האישי ובשיחות נכנסות.
5.6.2. אדמינים ב-IT יכולים להשבית את שיתוף אנשי הקשר ב-Bluetooth של אנשי הקשר בעבודה, למשל שיחות ללא ידיים ברכב או באוזניות.
5.7. ניהול נתונים במספר פרופילים
מאפשרת לאדמינים ב-IT לנהל את סוגי הנתונים שניתן לשתף בין העבודה ופרופילים אישיים, כך שאדמינים יכולים לאזן בין נוחות השימוש ואבטחת נתונים. בהתאם לדרישות שלהם.
5.7.1. אדמינים ב-IT יכולים להגדיר מדיניות של שיתוף נתונים בין פרופילים כדי שאפליקציות לשימוש אישי יוכלו לפענח כוונות מפרופיל העבודה, כמו שיתוף את הכוונות שלכם או את הקישורים לדפי אינטרנט אחרים.
5.7.2. מנהלי IT יכולים לאפשר לאפליקציות מפרופיל העבודה ליצור
להציג ווידג'טים במסך הבית של הפרופיל האישי. הפונקציונליות הזו
מושבת כברירת מחדל, אבל אפשר להגדיר אותו כך שיתיר את השימוש באמצעות השדות workProfileWidgets ו-workProfileWidgetsDefault.
5.7.3. אדמינים ב-IT יכולים לקבוע אם להעתיק ולהדביק בין הפרופילים של העבודה לפרופיל האישי.
5.8. מדיניות בנושא עדכון מערכת
מנהלי IT יכולים להגדיר ולהחיל עדכוני מערכת אלחוטיים (OTA) מכשירים.
5.8.1. מסוף ה-EMM מאפשר לאדמינים ב-IT להגדיר את ה-OTA הבא ההגדרות האישיות:
- אוטומטי: התקנת עדכוני OTA כשהם יהיו זמינים.
- דחייה: מנהלי IT צריכים להיות מסוגלים לדחות עדכון OTA לפרק זמן של עד 30 ימים. המדיניות הזו לא משפיעה על עדכוני אבטחה (למשל תיקוני אבטחה חודשיים).
- חלון יחיד: מנהלי IT חייבים להיות מסוגלים לתזמן עדכוני OTA תוך שימוש יומי חלון התחזוקה.
5.8.2. הגדרות OTA חלות על מכשירים שמשתמשים בהם policy הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
5.9. ניהול מצב משימות נעולות
אדמיני IT יכולים לנעול אפליקציה או קבוצת אפליקציות למסך, וכך לוודא שהמשתמשים לא יוכלו לצאת מהאפליקציה.
5.9.1. מסוף ה-EMM מאפשר למנהלי IT לאפשר בשקט קבוצה שרירותית של להתקנה ולנעילה במכשיר. בעזרת המדיניות אפשר להגדיר מכשירים ייעודיים.
5.10. ניהול פעילות מועדפת מתמיד
מאפשרת לאדמינים ב-IT להגדיר אפליקציה כ-Intent כברירת מחדל עבור Intents שתואמים מסנן Intent מסוים. לדוגמה, התכונה הזו מאפשרת לאדמינים ב-IT לבחור איזו אפליקציית דפדפן פותחת קישורים לדפי אינטרנט אחרים באופן אוטומטי. התכונה הזו יכולה לקבוע באיזו אפליקציית מרכז האפליקציות ייעשה שימוש כשמקישים על הלחצן הראשי.
5.10.1. אדמינים ב-IT יכולים להגדיר כל חבילה כ-handler שמוגדר כברירת מחדל ל-Intent לכל מסנן Intent שרירותי.
- המסוף של ה-EMM עשוי להציע כוונות מוכרות או מומלצות עבור אבל לא יכול להגביל כוונות לרשימה שרירותית כלשהי.
- מסוף ה-EMM חייב לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינים להתקנה למשתמשים רלוונטיים.
5.11. ניהול תכונות של מגן מקשים
מנהלי IT יכולים לנהל את התכונות הזמינות למשתמשים לפני ביטול הנעילה של מגן מקשים במכשיר (מסך נעילה) ומנעול מפתח לאתגר העבודה (מסך נעילה).
5.11.1.Policy יכול לכבות את התכונות הבאות של מגן המקשים במכשיר:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
- התראות שלא מצונזרות
5.11.2. ניתן להשבית את התכונות הבאות של מגן המקשים בפרופיל העבודה באמצעות policy:
- סוכני אמינות
- ביטול נעילה באמצעות טביעת אצבע
5.12. ניהול מתקדם של תכונות ב-KeyGuard
- אבטחת המצלמה
- כל ההודעות
- לא מצונזרים
- סביבות אמינות
- ביטול הנעילה בטביעת אצבע
- כל התכונות של מסך הנעילה
5.13. ניקוי באגים מרחוק
Android Management API לא תומך בתכונה הזו.
5.14. אחזור כתובת MAC
ספקי EMM יכולים לאחזר באופן שקט כתובות MAC של מכשירים כדי לזהות מכשירים בחלקים אחרים של התשתית הארגונית (לדוגמה, כאשר מכשירים לבקרת גישה לרשת).
5.14.1. ה-EMM יכול לאחזר באופן שקט כתובת MAC של מכשיר ולשייך אותו למכשיר שבמסוף ה-EMM.
5.15. ניהול מתקדם של מצב הנעילה
עם מכשיר ייעודי, מנהלי IT יכולים להשתמש המסוף כדי לבצע את המשימות הבאות:
5.15.1. אישור שקט להתקנה של אפליקציה אחת במכשיר ונעילה שלו הקצר הזה. התשובות שלך יעזרו לנו להשתפר.
5.15.2. מפעילים או משביתים את התכונות הבאות של ממשק המשתמש של המערכת:
- לחצן דף הבית
- סקירה כללית
- פעולות גלובליות
- התראות
- פרטי מערכת / שורת סטטוס
- מגן מקשים (מסך נעילה). התכונה המשנית הזו מופעלת כברירת מחדל כשמפעילים את הגרסה 5.15.1.
5.15.3. משביתים את האפשרות תיבות דו-שיח של שגיאת מערכת.
5.16. מדיניות מתקדמת של עדכוני מערכת
אדמינים ב-IT יכולים להגדיר תקופת הקפאה מוגדרת לחסימה של עדכוני מערכת במכשיר.
5.16.1. מסוף ה-EMM חייב לאפשר לאדמינים ב-IT לחסום שידורים אלחוטיים (OTA) עדכוני מערכת לתקופת הקפאה שצוינה.
5.17. ניהול שקיפות למדיניות של פרופיל העבודה
אדמינים ב-IT יכולים להתאים אישית את ההודעה שמוצגת למשתמשים כשהם מסירים את העבודה את הפרופיל במכשיר.
5.17.1. אדמינים ב-IT יכולים לספק טקסט בהתאמה אישית להצגה
(עוברים אל wipeReasonMessage) כשנתוני פרופיל העבודה אופסו.
5.18. תמיכה באפליקציות המקושרות
אדמינים ב-IT יכולים להגדיר רשימה של חבילות שיכולות לתקשר מעבר לגבולות פרופיל העבודה באמצעות ההגדרה ConnectedWorkAndPersonalApp.
5.19. עדכון מערכת ידני
Android Management API לא תומך בתכונה הזו.
6. הוצאה משימוש של מנהל מכשירים
6.1. הוצאה משימוש של מנהל מכשירים
ספקי EMM נדרשים לפרסם תוכנית של תמיכת הלקוחות לסיום שנת 2022 עבור אדמינים של מכשירים במכשירי GMS עד סוף הרבעון הראשון של 2023.
7. שימוש ב-API
7.1. נאמן מידע של מדיניות רגילה לקישורים חדשים
כברירת מחדל, צריך לנהל את המכשירים באמצעות Android Device Policy בכל קישור חדש. יכול להיות שספקי EMM יספקו אפשרות לנהל מכשירים באמצעות בקר DPC מותאם אישית אזור ההגדרות, מתחת לכותרת 'מתקדם' או מונחים דומים. לקוחות חדשים אסור להיחשף לבחירה שרירותית בין ערימות טכנולוגיות בכל את תהליך ההצטרפות או ההגדרה.
7.2. בקר מדיניות רגיל למכשירים חדשים
כברירת מחדל, צריך לנהל את המכשירים באמצעות Android Device Policy בכל ההרשמות של מכשירים חדשים, גם לקישורים קיימים וגם לקישורים חדשים. ספקי EMM עשויים לספק אפשרות לנהל מכשירים באמצעות בקר DPC בהתאמה אישית באזור ההגדרות מתחת לכותרת 'מתקדם' או מונחים דומים.