إيقاف مشرف الجهاز نهائيًا

ملخّص

قدم Android في الأصل دعمًا لإدارة الأجهزة المحمولة في Android 2.2. منذ ذلك الحين، تطوّرت احتياجات المؤسسات. تصل الأجهزة بشكل متزايد إلى الموارد الأكثر سرية ويتم استخدامها في مجموعة متنوعة من حالات الاستخدام أوسع مما تم تصميم واجهة برمجة التطبيقات لمشرف الجهاز الأصلية في Android من أجله. وتشمل بعض حالات الاستخدام هذه ما يلي:

• فصل بيانات العمل عن البيانات الشخصية في عمليات الاستخدام المختلط أو عمليات نشر "جلب الجهاز الشخصي" (BYOD).
• توزيع تطبيقات الأنشطة التجارية وإدارة بياناتها من خلال Google Play وإدارة حسابات Google اللازمة لذلك.
• قفل الأجهزة في وضع Kiosk لتخصيصها لاستخدامات معيّنة للتطبيقات.
• إدارة الشهادات للسماح بالوصول إلى الموارد الآمنة للبنية التحتية للمفاتيح العامة (PKI)
• إنشاء شبكات VPN لكل تطبيق ولكل ملف شخصي لدعم تطبيقات المؤسسات البعيدة مع حماية الخصوصية في الوقت نفسه.

في الوقت نفسه، طلبت المؤسسات علاقة ثقة أعلى مما صُمِّم مشرف الجهاز لدعمه. ونظرًا لإمكانية تفعيل مشرف الجهاز من خلال أي تطبيق يسمح به المستخدم، فهو لا يدعم العديد من حالات الاستخدام على مستوى المؤسسات، مثل:

• إعداد حماية إعادة الضبط على الإعدادات الأصلية (FRP) لضمان استمرار إدارة الأجهزة وإمكانية استردادها عندما يغادر الموظفون الشركة.
• إعادة ضبط كلمات مرور الأجهزة بأمان على الأجهزة المشفّرة
• منع إزالة مشرف الجهاز (تمت إزالته في Nougat لأسباب أمنية).
• إنشاء رموز مرور محدّدة من قِبل المشرف لقفل دخول المستخدم إلى الجهاز (تمت إزالتها في Android 7.0 Nougat لأسباب أمنية).

يُعد مشرف الجهاز أحد مناهج الإدارة القديمة منذ تقديم وضعي جهاز Android المُدار (مالك الجهاز) والملف الشخصي للعمل (مالك الملف الشخصي) في Android 5.0. نظرًا لأنّ مشرف الجهاز ليس ملائمًا بشكل كبير لتلبية متطلبات المؤسسات في الوقت الحالي، ننصح العملاء والشركاء باستخدام أوضاع الجهاز المُدار والملف الشخصي للعمل لإدارة الأجهزة من الآن فصاعدًا. لدعم عملية النقل هذه وتركيز مواردنا على ميزات الإدارة الحالية في Android، أوقفنا نهائيًا مشرف الجهاز لاستخدام المؤسسة في إصدار Android 9.0 وسنزيل هذه الوظائف في إصدار Android 10.0.

سياسات متوقّفة نهائيًا

مع إصدار Android 9.0، تم وضع علامة على السياسات التالية تشير إلى أنها متوقّفة نهائيًا عند استدعائها من قِبل أحد مشرفي الجهاز، لكن واجهات برمجة التطبيقات تستمر في العمل.

• USES_POLICY_DISABLE_CAMERA
• USES_POLICY_DISABLE_KEYGUARD_FEATURES
• USES_POLICY_EXPIRE_PASSWORD
• USES_POLICY_LIMIT_PASSWORD

بدءًا من إصدار Android 10.0، ستطرح السياسات المذكورة أعلاه SecurityException عند استدعاء مشرف الجهاز على التطبيقات التي تستهدف مستوى واجهة برمجة التطبيقات 29.

مع إصدار Android 11.0، يتم وضع علامة على USES_POLICY_RESET_PASSWORD على أنه تم إيقافه نهائيًا عند استدعائه من قِبل مشرف الجهاز وإيقاف عمله. سيؤدي ذلك إلى طرح علامة SecurityException على التطبيقات التي تستهدف المستوى 24 من واجهة برمجة التطبيقات والمستويات الأعلى.

وتستخدم بعض التطبيقات مشرف الجهاز لإدارة أجهزة المستهلك، مثل قفل جهاز مفقود ومحو بياناته. ستظل السياسات التالية متاحة لتفعيل هذا:

• USES_POLICY_WIPE_DATA
• USES_POLICY_FORCE_LOCK

تعديل عملية التنفيذ

لاستبدال سياسات قفل المفاتيح وكلمة المرور التي تم وضع علامة عليها تفيد بأنّها متوقفة في القسم أعلاه، يجب أن تستخدم التطبيقات، بما في ذلك التطبيقات التي تدير عمليات نشر Exchange ActiveSync، الطريقة الموضّحة في فحص جودة قفل الشاشة.

المخطّطات الزمنية

Android 9.0: تم وضع علامة على مشرف الجهاز تشير إلى أنه متوقف نهائيًا لاستخدام المؤسسة من خلال تحديثات المستندات. ولا تزال الوظائف الحالية تعمل مع التطبيقات التي تستهدف المستوى 28 من واجهة برمجة التطبيقات، على الرغم من عدم يُنصح باستخدامها. على جميع الشركاء والعملاء نقل البيانات إلى الملفات الشخصية للعمل أو الأجهزة المُدارة بالكامل قبل طرح الإصدار Android 10.0.

Android 10.0: لن تكون السياسات المذكورة أعلاه متاحة لوحدات التحكّم بسياسة الجهاز (DPC) التي تستهدف مستوى واجهة برمجة التطبيقات 29.

تأثير هذا التغيير على مشرفي تكنولوجيا المعلومات

وننصح الشركاء والعملاء بالبدء الآن لهذا التغيير. يمكن تحديد استخدام مشرف الجهاز من خلال شاشة (راجع الشكل 1 للاطّلاع على مثال)، عند تفعيل إدارة جهازك:

إذا كنت تستخدم حاليًا مشرف الجهاز لإدارة أجهزتك، تتوفّر استراتيجيتان للانتقال إلى واجهات برمجة تطبيقات الإدارة الحالية في Android. ولتسجيل جهاز للإدارة، يجب أن يتوفّر لديك موفّر خدمة "إدارة الخدمات الجوّالة للمؤسسات" (EMM) يتوافق مع الملف الشخصي للعمل (مالك الملف الشخصي) أو وضع الجهاز المُدار (مالك الجهاز). يجب على العملاء اختيار وضع الإدارة الذي يناسب نشرهم بشكل أفضل. وفي بعض الحالات، يمكن استخدام الاستراتيجيتين معًا.

تتوفر قائمة بالعروض المتوافقة هنا. يمكن لموفّر برامج إدارة الخدمات الجوّالة للمؤسسات تقديم إرشادات محدّدة حول عروض منتجاته.

إدارة الأجهزة الشخصية (إحضارك إلى الهاتف)

تتوافق الأجهزة الشخصية مع وضع الملف الشخصي للعمل في Android. تنشر "إدارة الخدمات الجوّالة للمؤسسات" الملف الشخصي للعمل لتوفير حاوية على مستوى نظام التشغيل تفصل بين تطبيقات عمل المستخدم والتطبيقات الشخصية والبيانات على أجهزتهم. تستفيد المؤسسات من القدرة على نشر التطبيقات باستخدام "Google Play للأعمال" مع ضمان أكبر بأنّ البيانات لا تتم عن طريق الخطأ أو تتم مشاركتها عمدًا مع التطبيقات غير المصرَّح بها. يمكن لمشرفي تكنولوجيا المعلومات أيضًا حجب بيانات المؤسسة بشكل انتقائي بشكل مستقل عن ملفات المستخدم في حال مغادرة المؤسسة.

إدارة الأجهزة المملوكة للشركة

أجهزة Android المملوكة للشركة متوافقة مع نشر الأجهزة في وضع الجهاز المُدار. يتم تسجيل الجهاز المُدار باستخدام إدارة الخدمات الجوّالة للمؤسسات (EMM) التي توفّر إدارة كاملة لمراحل النشاط في جهاز Android وبياناته. ويشمل ذلك إغلاق ميزات الأجهزة والحماية من إعادة الضبط على الإعدادات الأصلية وإلغاء التسجيل، ومحو البيانات الإدارية عن بُعد وإعادة ضبط الجهاز بالكامل، وتصميم التطبيقات بما في ذلك دعم عمليات نشر التطبيقات في وضع Kiosk أو التطبيقات الفردية. بشكل عام، ستشرف المؤسسات التي تستخدم وضع الجهاز المُدار على نوع واحد على الأقل من أنواع النشر الثلاثة، على الرغم من إمكانية مزج هذه الأنواع ومطابقتها على مستوى مجموعة الأجهزة في المؤسسة وفقًا لمتطلباتها:

• العمل فقط: بشكل عام، عمليات النشر في "العمل" فقط تستهدف العاملين الذين يستخدمون أجهزة لمجموعة متنوعة من التطبيقات. الاستخدام الشخصي غير متاح مع هذه الطريقة.
• إتاحة التخصيص: بشكل عام، تستهدف عمليات النشر المفعّلة بشكل شخصي الموظفين الذين لديهم أجهزة يوفّرها لهم صاحب العمل، ولكنهم يريدون أيضًا استخدام التطبيقات الشخصية على تلك الأجهزة بالمرونة. إنّ نشر ملف شخصي للعمل على جهاز مُدار يتيح للموظف تشغيل تطبيقات العمل جنبًا إلى جنب مع التطبيقات الشخصية بدون المساس ببيانات الشركة.
• الأجهزة المخصّصة: تشمل عمليات نشر الأجهزة المخصّصة بوجه عام الأجهزة المُدارة، والتي يُطلق عليها أحيانًا اسم "الأجهزة المملوكة للمؤسسة أو للاستخدام الفردي" أو "COSU"، والتي تعمل على قفل الأجهزة والتطبيقات لتخصيص الجهاز وفقًا لوظائف العمل المحددة التي يجب أن يؤديها الموظف.

ننصح بنشر الأجهزة المملوكة للشركة كجهاز مُدار، لأنّ ذلك يسمح بإدارة دورة حياة الجهاز بالكامل، بما في ذلك سياسات حجب بيانات الجهاز بالكامل وحماية إعادة الضبط على الإعدادات الأصلية.

إرشادات نقل البيانات للعملاء

"جلب الجهاز الشخصي": مشرف الجهاز لعمليات نشر الملف الشخصي للعمل

وننصح باستخدام الملفات الشخصية للعمل على جميع الأجهزة المملوكة بشكل شخصي. يمكن إجراء عملية النقل من مشرف الجهاز القديم إلى الملف الشخصي للعمل بأقل قدر من الانقطاعات. يمكن التعامل مع ذلك إما عن طريق دفع الأجهزة الشخصية لتثبيت ملف شخصي للعمل، أو تسجيل أجهزة جديدة باستخدام ملف شخصي للعمل عندما يتم إيقاف الأجهزة الحالية تدريجيًا.

الأجهزة المملوكة للشركة: مشرف الجهاز على الجهاز المُدار

ننصح بإعداد الأجهزة المملوكة للشركة كأجهزة مُدارة بالكامل. يتطلب نقل جهاز من مشرف الجهاز إلى جهاز مُدار إعادة الضبط على الإعدادات الأصلية. ونظرًا لأن هذا الإجراء أكثر إزعاجًا للمستخدمين، نقترح عليك اعتماد اعتماد مرحلي يتم من خلاله تسجيل الأجهزة الجديدة كأجهزة مُدارة بالكامل، ولكن تُترك الأجهزة الحالية على مشرف الجهاز.

أنواع نقل البيانات

يتم تعريف بعض استراتيجيات نقل البيانات العامة باختصار على النحو التالي:

• الانفجار الكبير: يُطلب من مجموعة كبيرة من المستخدمين الحاليين الترقية إلى جهاز مُدار أو ملف شخصي للعمل في مرحلة واحدة أو أكثر من عمليات الترقية.

• الاستخدام المرحلي: يتم ضبط المستخدمين الجدد والأجهزة الجديدة باستخدام أوضاع الإدارة الجديدة عند تسجيلها. وبالتالي، تكون أجهزة مشرفي الأجهزة القديمة قديمة خارج أسطولها بسبب التناقص الطبيعي.

الأسئلة الشائعة

ماذا عن الأجهزة القديمة؟

عند طرح الإصدار Android 10.0، نتوقع أن تتوافق جميع الأجهزة التي تعمل به مع أوضاع الأجهزة المُدارة أو أوضاع الملف الشخصي للعمل. يمكن ترحيل الأجهزة القديمة كما هو موضح سابقًا أو إدارتها باستخدام مشرف الجهاز حتى يتم استبدالها.

ماذا لو كانت لديّ تطبيقات غير موفّرة لخدمة إدارة الخدمات الجوّالة للمؤسسات (EMM) وتستخدم مشرف الجهاز؟

في بعض الأحيان، يمكن أن تصبح تطبيقات مثل تطبيق البريد الإلكتروني مشرف جهاز استجابة لسياسات المؤسسة المفروضة على خوادم البريد الإلكتروني. وستخضع هذه التطبيقات للقيود نفسها الواردة في إصدار Android 10.0: فقد تصبح مشرفي الجهاز ولكن لن يتمكنوا من فرض سياسات كلمة المرور أو قيود الأجهزة. وبناءً على حالة الاستخدام، قد:

• تضخيم الملف الشخصي للعمل بنفسه (أصبح وحدة التحكّم بسياسة الجهاز)
• الطلب من المستخدم إعداد التطبيق في مجموعة أخرى من "إدارة الخدمات الجوّالة للمؤسسات" (تحت سيطرة وحدة التحكّم بسياسة الجهاز (DPC) الأخرى إذا لزم الأمر)
• اختيار تنفيذ قيود كلمة المرور الخاصة بهم (داخل التطبيق).

نقترح أن تتضمن هذه التطبيقات آلية لاكتشاف ما إذا كان الجهاز مُدارًا بواسطة إدارة الخدمات الجوّالة للمؤسسات (EMM) والتأجيل إلى موفّر إدارة الخدمات الجوّالة للمؤسسات (EMM) للإدارة. ويمكن إجراء هذا الاكتشاف من خلال تبادل الرموز المميّزة من خلال "إدارة إعداد الأجهزة الجوّالة" (MCM).

ماذا يحدث عند إصدار Android 10.0؟

ستتوقف السلوكيات التي تم إيقافها نهائيًا، وستعرِض استثناء أمان للتطبيقات التي تعمل بنظام التشغيل Android 10.0 والتي تستهدف مستوى واجهة برمجة التطبيقات هذا.