Ritiro dell'amministrazione del dispositivo

Riepilogo

Inizialmente, Android supportava la gestione dei dispositivi mobili in Android 2.2. Da allora, le esigenze delle aziende si sono evolute. I dispositivi accedono sempre più spesso a risorse più riservate e vengono utilizzati in una gamma più ampia di casi d'uso rispetto a quella per cui è stata progettata l'API di amministrazione dei dispositivi originale di Android. Ecco alcuni di questi casi d'uso:

  • Separazione dei dati di lavoro dai dati personali in deployment con uso misto o BYOD (Bring your own device, Porta il tuo dispositivo).
  • Distribuzione di applicazioni aziendali e gestione dei loro dati tramite Google Play, nonché gestione degli Account Google necessari.
  • Blocco dei dispositivi in un kiosk per personalizzarli per applicazioni specifiche.
  • Gestione dei certificati per consentire l'accesso alle risorse protette da PKI.
  • Istituzione di VPN per app e profilo per supportare le applicazioni aziendali remote, proteggendo al contempo la privacy.

Allo stesso tempo, le aziende hanno chiesto un rapporto di fiducia più elevato rispetto a quello che l'amministratore dei dispositivi era stato progettato per supportare. Poiché un amministratore del dispositivo può essere abilitato da qualsiasi applicazione autorizzata dall'utente, non supporta diversi casi d'uso aziendali, ad esempio:

  • Impostazione della protezione ripristino dati di fabbrica (FRP) per garantire che i dispositivi rimangano gestiti e possano essere recuperati quando i dipendenti lasciano l'azienda.
  • Ripristino sicuro delle password dei dispositivi criptati.
  • Impedisci la rimozione dell'amministratore del dispositivo (rimosso in Nougat per motivi di sicurezza).
  • Implementazione di passcode definiti dall'amministratore per impedire l'accesso all'utente a un dispositivo (rimossi in Android 7.0 Nougat per motivi di sicurezza).

L'amministrazione del dispositivo è considerata un approccio di gestione precedente da quando sono state introdotte in Android 5.0 le modalità dispositivo gestito (proprietario del dispositivo) e profilo di lavoro (proprietario del profilo). Poiché l'amministrazione dei dispositivi non è adatta a supportare i requisiti aziendali di oggi, consigliamo a clienti e partner di adottare le modalità dispositivo gestito e profilo di lavoro per gestire i propri dispositivi d'ora in poi. Per supportare questa transizione e concentrare le nostre risorse sulle attuali funzionalità di gestione di Android, abbiamo ritirato l'amministrazione dei dispositivi per l'uso aziendale nella release Android 9.0 e rimuoveremo queste funzioni nella release 10.0 di Android.

Criteri ritirati

Con il rilascio di Android 9.0, i seguenti criteri sono contrassegnati come obsoleti quando vengono richiamati da un amministratore del dispositivo, ma le API continuano a funzionare.

A partire dal rilascio di Android 10.0, i criteri menzionati sopra genereranno un elemento SecurityException quando richiamato da un amministratore del dispositivo per app che hanno come target il livello API 29.

Con la release 11.0 di Android, USES_POLICY_RESET_PASSWORD viene contrassegnato come deprecato quando viene richiamato da un amministratore del dispositivo e smette di funzionare. Verrà generata una SecurityException per le app che hanno come target il livello API 24 e versioni successive.

Alcune applicazioni utilizzano l'amministratore del dispositivo per l'amministrazione dei dispositivi consumer, ad esempio per bloccare ed eliminare i dati di un dispositivo smarrito. I seguenti criteri continueranno a essere disponibili per attivare questa funzionalità:

Aggiorna l'implementazione

Per sostituire i criteri relativi a blocco tastiera e password contrassegnati come deprecati nella sezione precedente, le app, incluse quelle che gestiscono i deployment di Exchange ActiveSync, devono utilizzare il metodo descritto in Controllo qualità del blocco schermo.

Sequenze temporali

Android 9.0: l'amministratore del dispositivo è contrassegnato come deprecato per l'uso aziendale tramite gli aggiornamenti alla documentazione. Le funzionalità esistenti continuano a funzionare per le applicazioni che hanno come target il livello API 28, anche se il loro utilizzo è sconsigliato. Tutti i partner e i clienti devono eseguire la migrazione ai profili di lavoro o ai dispositivi completamente gestiti prima del rilascio di Android 10.0.

Android 10.0: le norme precedenti non saranno più disponibili per i DPC che hanno come target il livello API 29.

Cosa comporta tutto ciò per gli amministratori IT

Consigliamo ai partner e ai clienti di iniziare subito a prepararsi a questo cambiamento. L'utilizzo dell'amministratore del dispositivo può essere identificato da una schermata (vedi la Figura 1 per un esempio) quando attivi la gestione del dispositivo:

Esempio di attivazione dell'amministrazione del dispositivo
Figura 1. Un'attività come questa viene mostrata dal sistema quando l'amministratore del dispositivo è attivato.

Se al momento utilizzi l'amministrazione dei dispositivi per gestire i dispositivi, sono disponibili due strategie per il passaggio alle API di gestione attuali di Android. Per registrare un dispositivo per la gestione, devi avere un provider per la gestione della mobilità aziendale (EMM) che supporti la modalità profilo di lavoro Android (proprietario del profilo) o dispositivo gestito (proprietario del dispositivo). I clienti dovrebbero scegliere la modalità di gestione più adatta al loro deployment. In alcuni casi, entrambe le strategie possono essere impiegate contemporaneamente.

Un elenco delle offerte compatibili è disponibile qui. Il tuo provider di software EMM può fornire indicazioni specifiche sulle sue offerte di prodotti.

Gestione dei dispositivi personali

I dispositivi personali sono supportati con la modalità profilo di lavoro di Android. Un profilo di lavoro viene implementato da un EMM per fornire un container a livello di sistema operativo che separa le applicazioni di lavoro e personali di un utente e i dati presenti sui suoi dispositivi. Le organizzazioni traggono vantaggio dalla possibilità di eseguire il deployment delle applicazioni utilizzando la versione gestita di Google Play, con una maggiore garanzia che i dati non vengono condivisi accidentalmente o volutamente con applicazioni non autorizzate. Gli amministratori IT possono anche cancellare selettivamente i dati aziendali in modo indipendente dai file dell'utente nel caso in cui lasciasse l'organizzazione.

Gestione dei dispositivi di proprietà dell'azienda

I dispositivi Android di proprietà dell'azienda sono supportati eseguendo il deployment dei dispositivi in modalità dispositivo gestito. Un dispositivo gestito viene registrato utilizzando un provider EMM, che è in grado di fornire la gestione dell'intero ciclo di vita del dispositivo Android e dei relativi dati. Ciò include il blocco delle funzionalità hardware, la protezione contro il ripristino dei dati di fabbrica e l'annullamento della registrazione, la cancellazione e il ripristino da remoto amministrativo dell'intero dispositivo e la personalizzazione delle applicazioni, inclusa il supporto per i deployment di singole applicazioni o kiosk. In genere, le organizzazioni che utilizzano la modalità dispositivo gestito amministreranno almeno uno dei tre tipi di deployment, anche se possono essere combinati e abbinati in tutto il parco risorse di un'organizzazione a seconda dei requisiti:

  • Solo lavoro: le implementazioni Solo lavoro hanno come target i lavoratori che utilizzano un dispositivo per una varietà di applicazioni. L'uso personale non è supportato con questo metodo.
  • Abilitate personalmente: le implementazioni personalizzate sono generalmente rivolte ai lavoratori che hanno un dispositivo fornito loro dal datore di lavoro, ma vogliono la flessibilità per utilizzare anche applicazioni personali sul dispositivo. Il deployment di un profilo di lavoro su un dispositivo gestito consente al dipendente di eseguire applicazioni di lavoro insieme ad applicazioni personali senza compromettere i dati aziendali.
  • Dispositivo dedicato: le implementazioni di dispositivi dedicati comprendono in genere dispositivi gestiti, a volte chiamati "di proprietà dell'azienda, per uso singolo" o "COSU", che bloccano hardware e applicazioni per adattare il dispositivo alle specifiche funzioni di lavoro che un dipendente deve eseguire.

Consigliamo di implementare i dispositivi di proprietà dell'azienda come dispositivi gestiti, in quanto consente la gestione dell'intero ciclo di vita dei dispositivi, inclusi i criteri di protezione completi per la cancellazione dei dati e il ripristino dei dati di fabbrica.

Indicazioni sulla migrazione per i clienti

BYOD: amministratore del dispositivo nei deployment di un profilo di lavoro

Consigliamo di utilizzare i profili di lavoro per tutti i dispositivi di proprietà personale. La migrazione dall'amministratore del dispositivo legacy a un profilo di lavoro può essere gestita con interruzioni minime. Per gestire questo problema, puoi forzare l'installazione di un profilo di lavoro sui dispositivi personali o la registrazione di nuovi dispositivi con un profilo di lavoro, poiché i dispositivi esistenti non saranno più inclusi nel parco risorse.

Dispositivi di proprietà dell'azienda: dall'amministratore del dispositivo al dispositivo gestito

Consigliamo di configurare i dispositivi di proprietà dell'azienda come completamente gestiti. La migrazione di un dispositivo da amministratore del dispositivo a dispositivo gestito richiede il ripristino dei dati di fabbrica. Poiché ciò rappresenta un problema maggiore per gli utenti, consigliamo un'adozione graduale, in cui i nuovi dispositivi vengono registrati come dispositivi completamente gestiti, mentre quelli esistenti vengono lasciati nell'amministratore dei dispositivi.

Tipi di migrazione

Alcune strategie di migrazione generali sono definite brevemente come:

  • Big bang: a grandi popolazioni di utenti esistenti viene chiesto di eseguire l'upgrade a un dispositivo gestito o a un profilo di lavoro in una o più grandi ondate di upgrade.

  • Adozione graduale: i nuovi utenti e i nuovi dispositivi vengono configurati con le nuove modalità di gestione quando vengono registrati. I dispositivi di amministrazione meno recenti non rientrano più nel parco dispositivi per attrito naturale.

Domande frequenti

E i dispositivi meno recenti?

Al momento del rilascio di Android 10.0, prevediamo che tutti i dispositivi su cui è in esecuzione supporteranno le modalità dispositivo gestito o profilo di lavoro. È possibile eseguire la migrazione dei dispositivi meno recenti come descritto in precedenza o gestirli utilizzando l'amministratore del dispositivo finché non vengono sostituiti.

Che cosa succede se ho app non fornite da EMM che utilizzano l'amministrazione del dispositivo?

A volte, applicazioni come le applicazioni di posta possono diventare amministratori dei dispositivi in risposta ai criteri aziendali applicati sui server email. Queste applicazioni saranno soggette alle stesse limitazioni a partire dal rilascio di Android 10.0: potrebbero diventare amministratori dei dispositivi, ma non potranno applicare criteri relativi alle password o restrizioni hardware. A seconda del caso d'uso, queste applicazioni potrebbero:

  • Aumentare autonomamente un profilo di lavoro (diventando un DPC).
  • Chiedi all'utente di configurare l'applicazione in un altro EMM (sotto il controllo di un altro DPC, se necessario).
  • Scegliere di implementare le proprie limitazioni per le password (nell'app).

Consigliamo che queste app dispongano di un meccanismo per rilevare se un dispositivo è gestito da un EMM e rimandare al provider EMM per la gestione. Questo rilevamento può essere ottenuto tramite uno scambio di token tramite MCM (Mobile Configuration Management).

Cosa succede quando viene rilasciato Android 10.0?

I comportamenti deprecati smetteranno di funzionare e restituiranno un'eccezione di sicurezza per le app con Android 10.0 e che hanno come target quel livello API.