Penghentian admin perangkat

Ringkasan

Android awalnya memperkenalkan dukungan untuk pengelolaan perangkat seluler di Android 2.2. Sejak saat itu, kebutuhan perusahaan telah berkembang. Semakin banyak perangkat yang mengakses resource rahasia dan digunakan dalam berbagai kasus penggunaan yang lebih luas daripada yang dirancang untuk API admin perangkat asli Android. Beberapa kasus penggunaan tersebut mencakup:

• Pemisahan data pekerjaan dari data pribadi dalam penggunaan campuran atau deployment BYOD.
• Distribusi aplikasi bisnis dan pengelolaan datanya melalui Google Play serta pengelolaan Akun Google yang diperlukan untuk hal ini.
• Mengunci perangkat di dalam kios agar dapat disesuaikan dengan penggunaan aplikasi tertentu.
• Manajemen sertifikat untuk mengizinkan akses ke sumber daya yang dilindungi IKP.
• Pembuatan VPN per aplikasi dan per profil untuk mendukung aplikasi perusahaan jarak jauh sekaligus melindungi privasi.

Sementara itu, perusahaan menuntut hubungan kepercayaan yang lebih tinggi dibandingkan yang dirancang untuk didukung oleh admin perangkat. Karena dapat diaktifkan oleh aplikasi apa pun yang diizinkan pengguna, admin perangkat tidak mendukung beberapa kasus penggunaan perusahaan, seperti:

• Menyetel perlindungan reset ke setelan pabrik (FRP) untuk memastikan perangkat tetap terkelola dan dapat dipulihkan saat karyawan keluar dari perusahaan.
• Reset sandi perangkat dengan aman pada perangkat terenkripsi.
• Mencegah penghapusan administrator perangkat (dihapus di Nougat untuk alasan keamanan).
• Pembuatan kode sandi yang ditentukan admin untuk mengunci pengguna dari perangkat (dihapus di Android 7.0 Nougat karena alasan keamanan).

Admin perangkat telah dianggap sebagai pendekatan pengelolaan lama sejak mode perangkat terkelola (pemilik perangkat) dan profil kerja (pemilik profil) Android diperkenalkan di Android 5.0. Karena admin perangkat tidak begitu cocok untuk mendukung persyaratan perusahaan saat ini, sebaiknya pelanggan dan partner mengadopsi mode perangkat terkelola dan profil kerja untuk mengelola perangkat mereka mulai sekarang. Untuk mendukung transisi ini dan memfokuskan resource pada fitur pengelolaan Android saat ini, kami menghentikan penggunaan admin perangkat untuk penggunaan perusahaan dalam rilis Android 9.0 dan kami akan menghapus fungsi ini dalam rilis Android 10.0.

Kebijakan yang tidak digunakan lagi

Dengan dirilisnya Android 9.0, kebijakan berikut ditandai sebagai tidak digunakan lagi saat dipanggil oleh admin perangkat, tetapi jika tidak, API akan terus berfungsi.

• USES_POLICY_DISABLE_CAMERA
• USES_POLICY_DISABLE_KEYGUARD_FEATURES
• USES_POLICY_EXPIRE_PASSWORD
• USES_POLICY_LIMIT_PASSWORD

Mulai rilis Android 10.0, kebijakan yang disebutkan di atas akan menampilkan SecurityException saat dipanggil oleh admin perangkat pada aplikasi yang menargetkan API level 29.

Dengan dirilisnya Android 11.0, USES_POLICY_RESET_PASSWORD ditandai sebagai tidak digunakan lagi saat dipanggil oleh admin perangkat dan berhenti berfungsi. Aplikasi ini akan menampilkan SecurityException di aplikasi yang menargetkan API level 24 dan yang lebih baru.

Beberapa aplikasi menggunakan admin perangkat untuk administrasi perangkat konsumen, misalnya mengunci dan menghapus total perangkat yang hilang. Kebijakan berikut akan terus tersedia untuk memungkinkan hal ini:

• USES_POLICY_WIPE_DATA
• USES_POLICY_FORCE_LOCK

Memperbarui penerapan Anda

Untuk mengganti kebijakan keyguard dan sandi yang ditandai sebagai tidak digunakan lagi di bagian di atas, aplikasi—termasuk yang mengelola deployment Exchange ActiveSync—harus menggunakan metode yang dijelaskan dalam Pemeriksaan kualitas kunci layar.

Jadwal

Android 9.0: Admin perangkat ditandai sebagai tidak digunakan lagi untuk penggunaan perusahaan melalui update pada dokumentasi. Fungsionalitas yang ada akan terus berfungsi untuk aplikasi yang menargetkan API level 28, meskipun penggunaannya tidak disarankan. Semua partner dan pelanggan harus bermigrasi ke profil kerja atau perangkat terkelola sepenuhnya sebelum rilis Android 10.0.

Android 10.0: Kebijakan di atas tidak akan tersedia lagi untuk DPC yang menargetkan API level 29.

Apa artinya ini bagi admin IT

Sebaiknya partner dan pelanggan mulai bersiap sekarang untuk menghadapi perubahan ini. Penggunaan admin perangkat dapat diidentifikasi dengan layar (Lihat Gambar 1 untuk contoh), saat mengaktifkan pengelolaan perangkat:

Jika saat ini Anda menggunakan admin perangkat untuk mengelola perangkat, tersedia dua strategi untuk berpindah ke API pengelolaan Android saat ini. Guna mendaftarkan perangkat untuk pengelolaan, Anda memerlukan penyedia Pengelolaan Mobilitas Perusahaan (EMM) yang mendukung mode profil kerja (pemilik profil) atau perangkat terkelola (pemilik perangkat) Android. Pelanggan harus memilih mode pengelolaan yang paling sesuai dengan deployment mereka. Dalam beberapa kasus, kedua strategi tersebut dapat digunakan secara bersamaan.

Daftar penawaran yang kompatibel tersedia di sini. Penyedia software EMM Anda dapat memberikan panduan khusus terkait penawaran produknya.

Mengelola perangkat pribadi (bawa sendiri)

Perangkat pribadi didukung dengan mode profil kerja Android. Profil kerja di-deploy oleh EMM untuk menyediakan penampung tingkat OS yang memberikan pemisahan antara aplikasi dan data kerja dan pribadi pengguna di perangkatnya. Organisasi mendapatkan manfaat dari kemampuan untuk men-deploy aplikasi menggunakan Google Play terkelola serta jaminan yang lebih besar bahwa data tidak dibagikan secara tidak sengaja atau dengan sengaja ke aplikasi yang tidak sah. Admin IT juga dapat secara selektif menghapus total data perusahaan secara independen dari file pengguna jika mereka keluar dari organisasi.

Mengelola perangkat milik perusahaan

Perangkat Android milik perusahaan didukung dengan men-deploy perangkat dalam mode perangkat terkelola. Perangkat terkelola didaftarkan menggunakan EMM, yang dapat menyediakan pengelolaan siklus proses penuh atas perangkat Android dan datanya. Hal ini mencakup penguncian fitur hardware, perlindungan terhadap reset ke setelan pabrik dan pencabutan pendaftaran; penghapusan dan reset jarak jauh administratif seluruh perangkat; serta penyesuaian aplikasi termasuk dukungan untuk deployment aplikasi tunggal atau kios. Umumnya, organisasi yang menggunakan mode perangkat terkelola akan mengelola setidaknya satu dari tiga jenis deployment, meskipun jenis deployment dapat dicampur dan dicocokkan di seluruh fleet organisasi, bergantung pada persyaratan mereka:

• Hanya kerja: Deployment khusus kerja umumnya menargetkan pekerja yang menggunakan perangkat untuk berbagai aplikasi. Penggunaan pribadi tidak didukung dengan metode ini.
• Diaktifkan secara pribadi: Deployment yang diaktifkan secara pribadi umumnya menarget pekerja yang memiliki perangkat yang disediakan oleh perusahaan, tetapi menginginkan fleksibilitas untuk juga menggunakan aplikasi pribadi di perangkat. Deployment profil kerja di perangkat terkelola memungkinkan karyawan menjalankan aplikasi kerja bersama aplikasi pribadi tanpa mengorbankan data perusahaan.
• Perangkat khusus: Deployment perangkat khusus umumnya mencakup perangkat terkelola, yang terkadang disebut "milik perusahaan, sekali pakai", atau "COSU", yang mengunci hardware dan aplikasi untuk menyesuaikan perangkat dengan fungsi kerja tertentu yang harus dilakukan karyawan.

Sebaiknya perangkat milik perusahaan di-deploy sebagai perangkat terkelola karena memungkinkan pengelolaan seluruh siklus proses perangkat, termasuk kebijakan penghapusan total perangkat lengkap dan perlindungan reset ke setelan pabrik.

Panduan migrasi untuk pelanggan

BYOD: Admin perangkat untuk deployment profil kerja

Sebaiknya profil kerja digunakan untuk semua perangkat milik pribadi. Migrasi dari admin perangkat lama ke profil kerja dapat ditangani dengan gangguan minimal. Hal ini dapat ditangani dengan mendorong perangkat pribadi untuk menginstal profil kerja, atau dengan meminta perangkat baru didaftarkan dengan profil kerja saat perangkat yang sudah ada tidak lagi tersedia dari fleet.

Perangkat milik perusahaan: Admin perangkat ke perangkat terkelola

Sebaiknya perangkat milik perusahaan disiapkan sebagai perangkat terkelola sepenuhnya. Migrasi perangkat dari admin perangkat ke perangkat terkelola memerlukan reset ke setelan pabrik. Karena hal ini lebih mengganggu pengguna, kami menyarankan adopsi bertahap, dengan perangkat baru didaftarkan sebagai perangkat terkelola sepenuhnya, tetapi perangkat yang sudah ada tetap dibiarkan di admin perangkat.

Jenis migrasi

Beberapa strategi migrasi umum secara singkat didefinisikan sebagai:

• Big Bang: Populasi besar pengguna yang sudah ada diminta untuk melakukan upgrade ke perangkat terkelola atau profil kerja dalam satu atau beberapa gelombang upgrade yang besar.

• Adopsi bertahap: Pengguna baru dan perangkat baru dikonfigurasi dengan mode pengelolaan baru saat mereka terdaftar. Perangkat admin perangkat yang lebih lama mengalami kehilangan secara alamiah dari perangkat.

FAQ

Bagaimana dengan perangkat yang lebih lama?

Saat Android 10.0 dirilis, kami memperkirakan semua perangkat yang menjalankannya dapat mendukung mode perangkat terkelola atau profil kerja. Perangkat lama dapat dimigrasikan seperti yang dijelaskan sebelumnya atau dikelola menggunakan admin perangkat hingga perangkat diganti.

Bagaimana jika saya memiliki aplikasi yang disediakan non-EMM yang menggunakan admin perangkat?

Terkadang, aplikasi seperti aplikasi email dapat menjadi admin perangkat sebagai respons terhadap kebijakan perusahaan yang diterapkan pada server email. Aplikasi ini akan tunduk pada batasan yang sama sejak rilis Android 10.0: Aplikasi dapat menjadi admin perangkat, tetapi tidak dapat menerapkan kebijakan sandi atau pembatasan hardware. Bergantung pada kasus penggunaan, aplikasi ini dapat:

• Meng-inflate profil kerja sendiri (menjadi DPC).
• Minta pengguna untuk menyiapkan aplikasi ke EMM lain (di bawah kontrol DPC lain jika diperlukan).
• Memilih untuk menerapkan batasan sandinya sendiri (dalam aplikasi).

Sebaiknya aplikasi ini memiliki mekanisme untuk mendeteksi apakah perangkat dikelola oleh EMM dan menyerahkan pengelolaan kepada penyedia EMM. Deteksi ini dapat dilakukan melalui pertukaran token melalui Pengelolaan Konfigurasi Seluler (MCM).

Apa yang terjadi saat Android 10.0 dirilis?

Perilaku yang tidak digunakan lagi akan berhenti berfungsi dan akan menampilkan pengecualian keamanan untuk aplikasi yang menjalankan Android 10.0 dan menargetkan API level tersebut.