खास जानकारी
Android ने मूल रूप से Android 2.2 में मोबाइल डिवाइस के प्रबंधन के लिए सहायता देने की शुरुआत की थी. तब से, एंटरप्राइज़ की ज़रूरतें बढ़ गई हैं. Android के ओरिजनल डिवाइस एडमिन एपीआई की तुलना में, डिवाइसों में गोपनीय रिसॉर्स को तेज़ी से ऐक्सेस किया जा रहा है और इनका इस्तेमाल कई तरह के मामलों में किया जा रहा है. जानकारी के इस्तेमाल के कुछ उदाहरण यहां दिए गए हैं:
- मिले-जुले इस्तेमाल या 'ऑफ़िस में निजी डिवाइस का इस्तेमाल' डिप्लॉयमेंट के दौरान, निजी डेटा से काम से जुड़े डेटा को अलग करना.
- Google Play के ज़रिए कारोबार से जुड़े ऐप्लिकेशन का डिस्ट्रिब्यूशन और उनके डेटा को मैनेज करना और इसके लिए ज़रूरी Google खातों को मैनेज करना.
- डिवाइसों को कीऑस्क में लॉक करना, ताकि ऐप्लिकेशन के खास इस्तेमाल के हिसाब से उन्हें बनाया जा सके.
- पीकेआई से सुरक्षित संसाधनों का ऐक्सेस देने के लिए सर्टिफ़िकेट मैनेजमेंट.
- निजता की सुरक्षा के साथ, रिमोट एंटरप्राइज़ ऐप्लिकेशन के साथ काम करने के लिए, हर ऐप्लिकेशन और हर प्रोफ़ाइल वाले वीपीएन सेट अप करना.
साथ ही, एंटरप्राइज़ ने सहायता के लिए बनाए गए डिवाइस एडमिन के मुकाबले, ज़्यादा भरोसेमंद होने की मांग की है. डिवाइस एडमिन को ऐसे किसी भी ऐप्लिकेशन से चालू किया जा सकता है जिसे उपयोगकर्ता ने अनुमति दी हो, इसलिए इस पर एंटरप्राइज़ से जुड़े कई तरह के मामले काम नहीं करते. जैसे:
- यह पक्का करने के लिए फ़ैक्ट्री रीसेट सुरक्षा (FRP) सेट की गई है कि डिवाइस मैनेज किए जा सकें और कर्मचारियों के काम छोड़ने के बाद उन्हें वापस पाया जा सके.
- एन्क्रिप्ट (सुरक्षित) किए गए डिवाइसों पर, डिवाइस के पासवर्ड को सुरक्षित तरीके से रीसेट किया जा सकता है.
- डिवाइस एडमिन को हटाने से रोकें (सुरक्षा वजहों से Nougat में हटाया गया).
- उपयोगकर्ता को डिवाइस से लॉक करने के लिए एडमिन की ओर से तय किए गए पासवर्ड सेट करना (सुरक्षा वजहों से Android 7.0 Nougat में हटाया गया).
डिवाइस एडमिन को लेगसी मैनेजमेंट का तरीका माना जाता है. ऐसा इसलिए, क्योंकि Android के मैनेज किए जा रहे डिवाइस (डिवाइस का मालिक) और वर्क प्रोफ़ाइल (प्रोफ़ाइल का मालिक) मोड को Android 5.0 में लॉन्च किया गया था. डिवाइस एडमिन, आज की एंटरप्राइज़ शर्तों को पूरा करने के लिए सही नहीं है. इसलिए, हमारा सुझाव है कि ग्राहक और पार्टनर अपने डिवाइस अब से मैनेज करने के लिए, मैनेज किए गए डिवाइस और वर्क प्रोफ़ाइल मोड का इस्तेमाल करें. इस ट्रांज़िशन को बेहतर बनाने और अपने संसाधनों को Android की मौजूदा मैनेजमेंट सुविधाओं पर फ़ोकस करने के लिए, हमने Android 9.0 रिलीज़ में एंटरप्राइज़ इस्तेमाल के लिए, डिवाइस एडमिन की सुविधा बंद कर दी है. साथ ही, हम Android 10.0 और उसके बाद के वर्शन में इन सुविधाओं को हटा देंगे.
ऐसी नीतियां जो अब काम नहीं करतीं
Android 9.0 रिलीज़ होने के बाद, डिवाइस एडमिन जब भी इन नीतियों को लागू करता है, तब इन्हें 'अब सेवा में नहीं है' के तौर पर मार्क कर दिया जाता है. हालांकि, एपीआई काम करना जारी रखते हैं.
USES_POLICY_DISABLE_CAMERA
USES_POLICY_DISABLE_KEYGUARD_FEATURES
USES_POLICY_EXPIRE_PASSWORD
USES_POLICY_LIMIT_PASSWORD
Android 10.0 के रिलीज़ होने से पहले, ऊपर बताई गई नीतियों को
एपीआई लेवल 29 को टारगेट करने वाले ऐप्लिकेशन पर लागू किए जाने पर, SecurityException
का इस्तेमाल किया जाएगा.
Android 11.0 की रिलीज़ के साथ, USES_POLICY_RESET_PASSWORD
को 'बंद है' के तौर पर मार्क कर दिया गया है. ऐसा तब किया जाता है, जब डिवाइस एडमिन ने इसे चालू किया हो और यह काम करना बंद कर दे.
यह एपीआई लेवल 24 और उसके बाद के वर्शन को टारगेट करने वाले ऐप्लिकेशन पर SecurityException
दिखाएगा.
कुछ ऐप्लिकेशन, उपभोक्ता के डिवाइस को मैनेज करने के लिए, डिवाइस एडमिन का इस्तेमाल करते हैं. जैसे, खोए हुए डिवाइस को लॉक करना और उसमें मौजूद डेटा को वाइप करना. इन्हें चालू करने के लिए, नीचे दी गई नीतियां लागू रहेंगी:
लागू करने की प्रोसेस को अपडेट करें
ऊपर दिए गए सेक्शन में, 'कीगार्ड और पासवर्ड' नीतियों को 'अब काम नहीं करता' के तौर पर मार्क करने के लिए, ऐप्लिकेशन को स्क्रीन लॉक क्वालिटी की जांच में बताए गए तरीके का इस्तेमाल करना चाहिए. इनमें वे ऐप्लिकेशन भी शामिल हैं जो ExchangeEnabled डिप्लॉयमेंट को मैनेज करते हैं.
समयावधि
Android 9.0: दस्तावेज़ में अपडेट देकर, डिवाइस एडमिन को एंटरप्राइज़ इस्तेमाल के लिए 'अब काम नहीं करता' के तौर पर मार्क किया गया है. मौजूदा फ़ंक्शन, एपीआई लेवल 28 को टारगेट करने वाले ऐप्लिकेशन में काम करते रहते हैं. हालांकि, इसके इस्तेमाल की सलाह नहीं दी जाती है. Android 10.0 के रिलीज़ होने से पहले, सभी पार्टनर और ग्राहकों को वर्क प्रोफ़ाइल या पूरी तरह से मैनेज किए जा रहे डिवाइसों पर माइग्रेट कर लेना चाहिए.
Android 10.0: ऊपर बताई गई नीतियां, एपीआई लेवल 29 को टारगेट करने वाले DPC के लिए उपलब्ध नहीं होंगी.
आईटी एडमिन के लिए इसका क्या मतलब है
हमारा सुझाव है कि पार्टनर और ग्राहक, इस बदलाव के लिए अभी से तैयारी कर लें. डिवाइस एडमिन के इस्तेमाल को स्क्रीन की मदद से पहचाना जा सकता है (उदाहरण के लिए पहली इमेज देखें).
अगर अभी अपने डिवाइसों को मैनेज करने के लिए, डिवाइस एडमिन का इस्तेमाल किया जा रहा है, तो Android के मौजूदा मैनेजमेंट एपीआई पर जाने के लिए दो रणनीतियां उपलब्ध हैं. किसी डिवाइस को मैनेजमेंट के लिए रजिस्टर करने के लिए, आपको एंटरप्राइज़ मोबिलिटी मैनेजमेंट (ईएमएम) की सेवा देने वाली ऐसी कंपनी की ज़रूरत होगी जो Android की वर्क प्रोफ़ाइल (प्रोफ़ाइल का मालिक) या मैनेज किए जा रहे डिवाइस (डिवाइस का मालिक) मोड के साथ काम करती हो. ग्राहकों को ऐसा मैनेजमेंट मोड चुनना चाहिए जो उनके डिप्लॉयमेंट के लिए सबसे सही हो. कुछ मामलों में, दोनों रणनीतियां एक साथ इस्तेमाल की जा सकती हैं.
साथ काम करने वाले ऑफ़र की सूची यहां दी गई है. ईएमएम सॉफ़्टवेयर की सेवा देने वाली कंपनी अपने प्रॉडक्ट के बारे में खास दिशा-निर्देश दे सकती है.
निजी डिवाइसों को मैनेज करना
Android के वर्क प्रोफ़ाइल मोड का इस्तेमाल, निजी डिवाइसों पर किया जा सकता है. ईएमएम के ज़रिए वर्क प्रोफ़ाइल इस्तेमाल की जाती है, ताकि ओएस लेवल का कंटेनर उपलब्ध कराया जा सके. इस कंटेनर की मदद से, उपयोगकर्ता के काम और निजी ऐप्लिकेशन और उनके डिवाइसों पर मौजूद डेटा के बीच अंतर किया जा सकता है. संगठनों को 'कारोबार के लिए Google Play' का इस्तेमाल करके ऐप्लिकेशन डिप्लॉय करने की सुविधा मिलती है. साथ ही, यह इस बात का भी भरोसा दिलाता है कि यह डेटा गलती से या बिना अनुमति वाले ऐप्लिकेशन के साथ जान-बूझकर शेयर नहीं किया जाता. आईटी एडमिन, संगठन से बाहर निकलने पर, उपयोगकर्ता की फ़ाइलों से स्वतंत्र रूप से एंटरप्राइज़ डेटा को भी मिटा सकते हैं.
कंपनी के मालिकाना हक वाले डिवाइसों को मैनेज करना
कंपनी के मालिकाना हक वाले Android डिवाइस में, मैनेज किए गए डिवाइस मोड में डिवाइसों को डिप्लॉय किया जा सकता है. मैनेज किए जा रहे डिवाइस को ईएमएम का इस्तेमाल करके रजिस्टर किया जाता है. ईएमएम, Android डिवाइस और उसके डेटा का पूरा लाइफ़साइकल मैनेजमेंट देता है. इसमें हार्डवेयर सुविधाओं का लॉकडाउन, फ़ैक्ट्री रीसेट और रजिस्ट्रेशन रद्द करना, पूरे डिवाइस को एडमिन के तौर पर रिमोट वाइप और रीसेट करना, और कीऑस्क या एक ऐप्लिकेशन डिप्लॉयमेंट के लिए सहायता के साथ-साथ ऐप्लिकेशन की ब्रैंडिंग शामिल है. आम तौर पर, मैनेज किए जा रहे डिवाइस मोड का इस्तेमाल करने वाले संगठन, तीन डिप्लॉयमेंट में से कम से कम एक तरह के डिप्लॉयमेंट को मैनेज करेंगे. हालांकि, संगठन की सभी ज़रूरतों के हिसाब से, इन्हें अलग-अलग तरह से मिलाया जा सकता है और मैच किया जा सकता है:
- सिर्फ़ काम के लिए: सिर्फ़ काम पर करने वाले डिप्लॉयमेंट, आम तौर पर उन कर्मचारियों को टारगेट करते हैं जो कई तरह के ऐप्लिकेशन के लिए डिवाइस का इस्तेमाल करते हैं. इस तरीके में, निजी तौर पर इस्तेमाल नहीं किया जा सकता.
- निजी तौर पर चालू: निजी तौर पर चालू किए गए डिप्लॉयमेंट, आम तौर पर उन कर्मचारियों को टारगेट करते हैं जिन्हें उनके नियोक्ता ने डिवाइस दिया है, लेकिन वे चाहते हैं कि डिवाइस पर निजी ऐप्लिकेशन का भी इस्तेमाल किया जा सके. मैनेज किए जा रहे डिवाइस पर वर्क प्रोफ़ाइल डिप्लॉय करने से, कर्मचारी कॉर्पोरेट डेटा से समझौता किए बिना निजी ऐप्लिकेशन के साथ वर्क ऐप्लिकेशन चला सकता है.
- खास डिवाइस: खास तौर पर डिवाइस पर डिप्लॉयमेंट में, आम तौर पर मैनेज किए जा रहे डिवाइस शामिल होते हैं. इन्हें कभी-कभी "कॉर्पोरेट के मालिकाना हक वाला, एक बार इस्तेमाल किया जाने वाला" या "COSU" भी कहा जाता है. इसमें कर्मचारी को किए जाने वाले खास काम के हिसाब से हार्डवेयर और ऐप्लिकेशन लॉक हो जाते हैं.
हम कॉर्पोरेट के मालिकाना हक वाले डिवाइसों को मैनेज किए जा रहे डिवाइस के तौर पर डिप्लॉय करने का सुझाव देते हैं. ऐसा करने से, डिवाइस के पूरे लाइफ़साइकल को मैनेज किया जा सकता है. इसमें, पूरी तरह से डिवाइस वाइप करने और फ़ैक्ट्री रीसेट करने से जुड़ी सुरक्षा नीतियां भी शामिल हैं.
ग्राहकों के लिए, प्रॉपर्टी को माइग्रेट करने से जुड़े दिशा-निर्देश
ऑफ़िस में निजी डिवाइस का इस्तेमाल (BYOD): वर्क प्रोफ़ाइल के डिप्लॉयमेंट के लिए डिवाइस एडमिन
हमारा सुझाव है कि निजी मालिकाना हक वाले सभी डिवाइसों पर, वर्क प्रोफ़ाइलों का इस्तेमाल किया जा सकता है. लेगसी डिवाइस एडमिन से वर्क प्रोफ़ाइल पर माइग्रेट करने में, कम से कम रुकावट होगी. ऐसा करने के लिए, निजी डिवाइसों का इस्तेमाल करके वर्क प्रोफ़ाइल इंस्टॉल की जा सकती है या नए डिवाइसों को वर्क प्रोफ़ाइल से रजिस्टर किया जा सकता है, क्योंकि मौजूदा डिवाइसों को फ़्लीट से हटा दिया जाता है.
कंपनी के मालिकाना हक वाले डिवाइस: डिवाइस एडमिन से मैनेज किया जा रहा डिवाइस
हमारा सुझाव है कि कंपनी के मालिकाना हक वाले डिवाइसों को, पूरी तरह से मैनेज किए जा रहे डिवाइसों के तौर पर सेट अप किया जाना चाहिए. किसी डिवाइस को डिवाइस एडमिन से मैनेज किए जा रहे डिवाइस पर माइग्रेट करने के लिए, फ़ैक्ट्री रीसेट करना ज़रूरी है. इससे उपयोगकर्ताओं को ज़्यादा परेशानी होती है, इसलिए हम डिवाइसों को अलग-अलग चरणों में इस्तेमाल करने का सुझाव देते हैं. इसमें नए डिवाइसों को पूरी तरह से मैनेज किए जा रहे डिवाइसों के तौर पर रजिस्टर किया जाता है, लेकिन मौजूदा डिवाइसों को डिवाइस एडमिन पर छोड़ दिया जाता है.
माइग्रेशन के टाइप
माइग्रेशन की कुछ सामान्य रणनीतियों के बारे में यहां बताया गया है:
शानदार: मौजूदा उपयोगकर्ताओं की बड़ी आबादी को अपग्रेड के एक या एक से ज़्यादा बड़े लेवल में, मैनेज किए जा रहे डिवाइस या वर्क प्रोफ़ाइल पर अपग्रेड करने के लिए कहा जाता है.
अलग-अलग चरणों में इस्तेमाल: नए उपयोगकर्ताओं और नए डिवाइसों को रजिस्टर करने के बाद, मैनेजमेंट के नए मोड के साथ कॉन्फ़िगर किया जाता है. पुराने डिवाइस के एडमिन डिवाइस, स्वाभाविक रूप से गिरावट के कारण पुराने हो जाते हैं.
अक्सर पूछे जाने वाले सवाल
पुराने डिवाइसों का क्या होगा?
Android 10.0 के रिलीज़ होने के बाद, हम उम्मीद करते हैं कि इसे चलाने वाले सभी डिवाइस, मैनेज किए जा रहे डिवाइस या वर्क प्रोफ़ाइल मोड के साथ काम करेंगे. पुराने डिवाइस को पहले बताए गए तरीके से माइग्रेट किया जा सकता है या डिवाइस एडमिन का इस्तेमाल करके, उन्हें तब तक मैनेज किया जा सकता है, जब तक उन्हें बदला नहीं जाता.
अगर मेरे पास ऐसे ऐप्लिकेशन हैं जो ईएमएम के तहत नहीं दिए गए हैं और डिवाइस एडमिन का इस्तेमाल करते हैं, तो क्या होगा?
कभी-कभी, ईमेल सर्वर पर लागू की गई एंटरप्राइज़ नीतियों के जवाब में, ई-मेल ऐप्लिकेशन जैसे ऐप्लिकेशन डिवाइस एडमिन बन सकते हैं. इन ऐप्लिकेशन पर Android 10.0 के रिलीज़ होने वाली वही पाबंदियां लागू होंगी: वे डिवाइस के एडमिन बन सकते हैं, लेकिन पासवर्ड से जुड़ी नीतियां या हार्डवेयर से जुड़ी पाबंदियां लागू नहीं कर पाएंगे. इस्तेमाल के उदाहरण के आधार पर, ये ऐप्लिकेशन:
- खुद ही किसी वर्क प्रोफ़ाइल को इनफ़्लेट करें (डीपीसी बनें).
- उपयोगकर्ता को किसी दूसरे ईएमएम (अगर ज़रूरी हो, तो किसी दूसरे DPC के नियंत्रण के तहत) में ऐप्लिकेशन सेट अप करने का निर्देश दें.
- खुद के (ऐप्लिकेशन में) पासवर्ड से जुड़ी पाबंदियां लागू करने का विकल्प चुनना.
हमारा सुझाव है कि इन ऐप्लिकेशन में कोई ऐसा तरीका होना चाहिए जिससे यह पता लगाया जा सके कि डिवाइस को ईएमएम से मैनेज किया जा रहा है या नहीं. साथ ही, इन ऐप्लिकेशन को मैनेज करने के लिए, ईएमएम की सेवा देने वाली कंपनी को मंज़ूरी दें. इस पहचान को मोबाइल कॉन्फ़िगरेशन मैनेजमेंट (एमसीएम) की मदद से टोकन एक्सचेंज से हासिल किया जा सकता है.
Android 10.0 के रिलीज़ होने पर क्या होगा?
काम करना बंद कर दिया जाएगा. साथ ही, Android 10.0 वर्शन पर काम करने वाले और उस एपीआई लेवल को टारगेट करने वाले ऐप्लिकेशन के लिए, सुरक्षा से जुड़ा अपवाद भी दिखेगा.