设备管理弃用

摘要

Android 最初在 Android 2.2 中引入了对移动设备管理的支持。从那时起,企业的需求发生了变化。与最初设计 Android 原始设备管理 API 时相比,设备访问的机密资源越来越多,并且可用于更广泛的用例。其中一些用例包括:

  • 在混合使用或自带设备部署中,将工作数据与个人数据分离。
  • 通过 Google Play 分发业务应用并对其数据进行管理,并管理执行此操作所需的 Google 帐号。
  • 将设备锁定到自助服务终端,以便针对特定应用用途定制设备。
  • 允许访问受 PKI 保护的资源的证书管理服务。
  • 按应用和配置文件建立 VPN,以便在保护隐私的同时支持远程企业应用。

同时,企业要求的信任关系比设备管理员设计的信任关系要高。由于设备管理员可由用户授权的任何应用启用,因此它不支持多种企业用例,例如:

  • 设置恢复出厂设置保护 (FRP) 以确保设备保持受管理状态,并且可以在员工离职时恢复设备。
  • 在加密设备上安全地重置设备密码。
  • 阻止移除设备管理员(出于安全考虑,已在 Nougat 中移除)。
  • 建立管理员定义的密码,使用户无法访问设备(出于安全考虑,我们已在 Android 7.0 Nougat 中将其移除)。

自从 Android 5.0 中引入了 Android 的受管设备(设备所有者)和工作资料(资料所有者)模式以来,设备管理员就一直被视为一种传统管理方法。由于设备管理功能并非很适合满足当今的企业要求,因此我们建议客户和合作伙伴从现在开始采用受管设备和工作资料模式来管理其设备。为了支持这种转换并将我们的资源集中在 Android 当前的管理功能上,我们在 Android 9.0 版本中弃用了用于企业用途的设备管理员,并在 Android 10.0 版本中移除这些功能。

已弃用的政策

随着 Android 9.0 的发布,设备管理员调用以下政策时会被标记为已弃用,但这些 API 仍可继续正常运行。

从 Android 10.0 版本开始,当设备管理者对以 API 级别 29 为目标平台的应用调用上述政策时,系统会抛出 SecurityException

随着 Android 11.0 的发布,设备管理员调用 USES_POLICY_RESET_PASSWORD 时会被标记为已废弃,并停止运行。它会对以 API 级别 24 及更高级别为目标的应用抛出 SecurityException

一些应用使用设备管理服务进行用户设备管理,例如锁定和擦除丢失的设备。为支持此功能,下列政策仍可使用:

更新您的实现

如需替换上部分中标记为已废弃的锁屏和密码政策,应用(包括管理 Exchange ActiveSync 部署的应用)应使用屏幕锁定质量检查中所述的方法。

时间表

Android 9.0:通过文档更新,设备管理被标记为已弃用,可供企业使用。现有功能继续适用于以 API 级别 28 为目标平台的应用,但不建议使用该功能。在 Android 10.0 发布之前,所有合作伙伴和客户都应迁移到工作资料或全代管式设备。

Android 10.0:以 API 级别 29 为目标平台的 DPC 将无法再使用上述政策。

对 IT 管理员的影响

我们建议合作伙伴和客户立即开始为此次变更做好准备。在启用设备管理功能时,可以通过屏幕识别设备管理员的使用情况(请参阅图 1 查看示例):

启用设备管理功能示例
图 1.激活设备管理员后,系统会显示此类 activity。

如果您目前使用设备管理员来管理设备,则可以使用两种策略来移至 Android 的当前管理 API。如需注册设备以便进行管理,您需要支持 Android 工作资料(资料所有者)或受管设备(设备所有者)模式的企业移动管理 (EMM) 提供商。客户应选择最适合其部署的管理模式。在某些情况下,可以同时使用这两种策略。

如需查看兼容的产品列表,请点击此处。您的 EMM 软件提供商可以提供有关其产品的具体指导。

管理个人(自带)设备

Android 的工作资料模式支持个人设备。工作资料由 EMM 部署,以提供操作系统级容器,将用户的工作应用与个人应用及其设备上的数据分隔开来。组织能够受益于使用 Google Play 企业版部署应用的功能,同时更好地确保数据不会意外发生或有意与未经授权的应用共享。IT 管理员还可以选择性地从用户自己的文件中擦除企业数据,以便在用户离开组织时清除这些数据。

管理公司自有设备

在受管设备模式下部署设备即可支持公司自有 Android 设备。受管设备使用 EMM 进行注册,EMM 能够提供对 Android 设备及其数据的全生命周期管理。这包括锁定硬件功能、防止恢复出厂设置和取消注册;对整个设备执行管理员远程擦除和重置;以及定制应用(包括支持自助服务终端或单个应用部署)。通常,使用受管设备模式的组织将管理三种部署类型中的至少一种,但根据需求,这些部署类型可以在组织的整个舰队中混合和匹配:

  • 仅限工作:仅限工作的部署通常针对使用设备实现各种应用的工作器。此方法无法用于个人用途。
  • 个人启用:启用个人启用的部署通常面向符合以下条件的工作人员:使用其雇主提供的设备,但希望能够灵活地使用设备上的个人应用。通过在受管设备上部署工作资料,员工可以同时运行工作应用和个人应用,同时不会影响公司数据。
  • 专用设备:专用设备部署通常包括受管设备,有时也称为“企业所有、单一用途”或“COSU”,这些设备可锁定硬件和应用,以便根据员工必须执行的特定工作功能调整设备。

我们建议将公司自有设备部署为受管设备,以便管理整个设备生命周期,包括完整设备擦除和恢复出厂设置保护政策。

面向客户的迁移指南

自带设备:工作资料部署的设备管理员

我们建议为所有个人设备使用工作资料。从旧版设备管理服务迁移到工作资料可以最大限度地减少中断。为此,您可以推送个人设备以安装工作资料,也可以让新设备使用工作资料注册(在现有设备逐步淘汰设备群时)。

公司自有设备:受管设备的设备管理员

我们建议将公司自有设备设置为完全受管设备。 将设备从设备管理服务迁移到受管设备需要恢复出厂设置。 由于这对用户的干扰更大,因此我们建议分阶段采用,即新设备会注册为全代管式设备,但现有设备会保留在设备管理中。

迁移类型

部分常规迁移策略的简要定义如下:

  • 大爆发:大量现有用户需要在一波或多次大规模升级中升级到受管设备或工作资料。

  • 分阶段采用:新用户和新设备会在注册时采用新管理模式进行配置。较旧的设备管理设备会通过自然流失从舰队中淘汰。

FAQ

旧款设备会怎么样?

Android 10.0 发布后,我们希望所有运行 Android 10.0 的设备都支持受管设备或工作资料模式。旧设备可以如前所述进行迁移,也可以在被替换之前通过设备管理员进行管理。

如果我有非 EMM 提供的应用使用了设备管理功能,该怎么办?

有时,电子邮件应用等应用可能会成为设备管理员,以响应电子邮件服务器上强制执行的企业政策。自 Android 10.0 发布起,这些应用将受到相同限制:它们可能会成为设备管理员,但无法强制执行密码政策或硬件限制。根据具体用例,这些应用可能会:

  • 自行膨胀工作资料(成为 DPC)。
  • 提示用户将应用设置到另一个 EMM(如有需要,由另一个 DPC 控制)。
  • 选择实施自己的(应用内)密码限制。

我们建议这些应用采用某种机制来检测设备是否由 EMM 管理,并交由 EMM 提供商进行管理。这种检测可以通过移动配置管理 (MCM) 工具通过令牌交换来实现。

Android 10.0 发布后会发生什么?

对于搭载 Android 10.0 且以该 API 级别为目标平台的应用,已废弃的行为将停止运行,并将返回安全异常。