Ritiro di Amministrazione dispositivo

Riepilogo

Android ha introdotto in origine il supporto per la gestione dei dispositivi mobili in Android 2.2. Da allora, le esigenze delle aziende si sono evolute. I dispositivi accedono sempre più a risorse più riservate e vengono usati in una gamma più ampia di casi d'uso rispetto all'API di amministrazione dei dispositivi originale di Android. Alcuni di questi casi d'uso includono:

• Separazione dei dati di lavoro dai dati personali nei deployment mista o BYOD (Bring your own device, Porta il tuo dispositivo).
• Distribuzione delle applicazioni aziendali e gestione dei propri dati tramite Google Play e gestione degli Account Google necessari.
• Blocco dei dispositivi in un kiosk per personalizzarli per usi specifici delle applicazioni.
• Gestione dei certificati per consentire l'accesso alle risorse protette tramite PKI.
• Creazione di VPN per app e per profilo a supporto delle applicazioni aziendali remote, proteggendo al contempo la privacy.

Contemporaneamente, le aziende hanno richiesto una relazione di attendibilità più elevata di quella che l'amministratore dei dispositivi era progettato per supportare. L'amministratore di un dispositivo può essere abilitato da qualsiasi applicazione che l'utente autorizza, pertanto non supporta diversi casi d'uso aziendali, tra cui:

• Impostare la protezione ripristino dati di fabbrica per garantire che i dispositivi rimangano gestiti e possano essere recuperati quando i dipendenti lasciano l'azienda.
• Reimpostazione sicura delle password dei dispositivi criptati.
• Impedisci la rimozione dell'amministratore del dispositivo (rimosso in Nougat per motivi di sicurezza).
• Definizione di passcode definiti dall'amministratore per escludere l'utente da un dispositivo (rimossi in Android 7.0 Nougat per motivi di sicurezza).

L'amministrazione del dispositivo è stata considerata un approccio di gestione precedente dall'introduzione delle modalità dispositivo Android (proprietario del dispositivo) e profilo di lavoro (proprietario del profilo) in Android 5.0. Poiché l'amministratore del dispositivo non è adatto a supportare i requisiti aziendali odierni, consigliamo a clienti e partner di adottare le modalità del dispositivo gestito e del profilo di lavoro per gestire i dispositivi d'ora in poi. Per supportare questa transizione e concentrare le nostre risorse sulle funzionalità di gestione attuali di Android, abbiamo deprecato l'amministratore dei dispositivi per l'utilizzo aziendale nella release di Android 9.0 e rimuoveremo queste funzioni nella release di Android 10.0.

Criteri ritirati

Con la release di Android 9.0, i seguenti criteri sono contrassegnati come deprecati quando richiamati da un amministratore del dispositivo, ma le API continuano a funzionare.

• USES_POLICY_DISABLE_CAMERA
• USES_POLICY_DISABLE_KEYGUARD_FEATURES
• USES_POLICY_EXPIRE_PASSWORD
• USES_POLICY_LIMIT_PASSWORD

A partire dalla release di Android 10.0, i criteri sopra citati lanciareno un SecurityException quando vengono richiamati da un amministratore del dispositivo nelle app destinate al livello API 29.

Con la release di Android 11.0, USES_POLICY_RESET_PASSWORD è contrassegnato come obsoleto quando viene richiamato da un amministratore del dispositivo e smette di funzionare. Verrà visualizzato un elemento SecurityException nelle app destinate al livello API 24 e superiori.

Alcune applicazioni utilizzano l'amministratore del dispositivo per l'amministrazione dei dispositivi consumer, ad esempio il blocco e la cancellazione dei dati di un dispositivo smarrito. I criteri seguenti continueranno a essere disponibili:

• USES_POLICY_WIPE_DATA
• USES_POLICY_FORCE_LOCK

Aggiorna l'implementazione

Per sostituire i criteri di blocco delle password e delle password contrassegnati come obsoleti nella sezione precedente, le app, incluse quelle che gestiscono i deployment di Exchange ActiveSync, devono utilizzare il metodo descritto in Controllo qualità del blocco schermo.

Sequenze temporali

Android 9.0: l'amministratore del dispositivo è contrassegnato come deprecato per l'utilizzo aziendale tramite aggiornamenti alla documentazione. Le funzionalità esistenti continuano a funzionare per le applicazioni destinate al livello API 28, anche se sconsigliamo l'utilizzo. Tutti i partner e i clienti devono eseguire la migrazione a profili di lavoro o dispositivi completamente gestiti prima del rilascio di Android 10.0.

Android 10.0: i criteri riportati sopra non saranno più disponibili per i DPC che hanno come target il livello API 29.

Che cosa significa per gli amministratori IT

Consigliamo a partner e clienti di iniziare subito a prepararsi a questo cambiamento. L'utilizzo dell'amministratore del dispositivo può essere identificato da una schermata (vedi la Figura 1 per un esempio), quando attivi la gestione del tuo dispositivo:

Se al momento utilizzi l'amministratore dei dispositivi per gestire i tuoi dispositivi, sono disponibili due strategie per passare alle API di gestione di Android attuali. Per registrare un dispositivo per la gestione, devi avere un provider per la gestione della mobilità aziendale (Enterprise Mobility Management, EMM) che supporti la modalità di lavoro del profilo Android (proprietario del profilo) o del dispositivo gestito (proprietario del dispositivo). I clienti dovrebbero scegliere la modalità di gestione più adatta al loro deployment. In alcuni casi, entrambe le strategie possono essere utilizzate contemporaneamente.

Un elenco delle offerte compatibili è disponibile qui. Il tuo fornitore di software EMM può fornirti indicazioni specifiche sulle offerte relative al suo prodotto.

Gestire i dispositivi personali (bring-your-own)

I dispositivi personali sono supportati con la modalità Profilo di lavoro di Android. Il deployment di un profilo di lavoro viene eseguito da un EMM per fornire un container a livello di sistema operativo che offra una separazione tra le applicazioni di lavoro e personali di un utente e i dati sui suoi dispositivi. Le organizzazioni traggono vantaggio dalla possibilità di eseguire il deployment delle applicazioni utilizzando la versione gestita di Google Play nonché una maggiore garanzia che i dati non vengano accidentalmente o condivisi intenzionalmente con applicazioni non autorizzate. Gli amministratori IT possono anche cancellare selettivamente i dati aziendali indipendentemente dai file dell'utente se devono lasciare l'organizzazione.

Gestione dei dispositivi di proprietà dell'azienda

I dispositivi Android di proprietà dell'azienda sono supportati implementando i dispositivi in modalità gestita. Un dispositivo gestito viene registrato utilizzando un EMM, che è in grado di fornire la gestione completa del ciclo di vita sul dispositivo Android e sui relativi dati. Questo include il blocco delle funzionalità hardware, la protezione contro il ripristino dei dati di fabbrica e l'annullamento della registrazione, la cancellazione e il ripristino da remoto dei dati dell'intero dispositivo e la personalizzazione delle applicazioni, incluso il supporto per il deployment di kiosk o applicazioni singole. In generale, le organizzazioni che utilizzano la modalità dispositivo gestito amministreranno almeno uno di tre tipi di deployment, anche se possono essere misti e abbinati in tutto il parco risorse di un'organizzazione, a seconda dei requisiti:

• Solo lavoro: i deployment solo per il lavoro in genere si rivolgono ai lavoratori che utilizzano un dispositivo per una varietà di applicazioni. L'utilizzo personale non è supportato con questo metodo.
• Abilitato a livello personale: in genere, i deployment abilitati al personale hanno come target i lavoratori che hanno un dispositivo fornito dal datore di lavoro, ma vogliono la flessibilità di utilizzare anche applicazioni personali sul dispositivo. Il deployment di un profilo di lavoro su un dispositivo gestito consente al dipendente di eseguire applicazioni di lavoro insieme ad applicazioni personali senza compromettere i dati aziendali.
• Dispositivo dedicato: i deployment di dispositivi dedicati in genere includono dispositivi gestiti, detta anche "di proprietà aziendale, monouso" o "COSU", che bloccano l'hardware e le applicazioni per personalizzare il dispositivo in base alle specifiche funzioni di lavoro che deve svolgere.

Consigliamo di eseguire il deployment dei dispositivi di proprietà dell'azienda come dispositivo gestito, per la gestione dell'intero ciclo di vita dei dispositivi, inclusi i criteri di protezione completa e la cancellazione dei dati dei dispositivi.

Indicazioni per la migrazione per i clienti

BYOD: amministrazione del dispositivo per i deployment di un profilo di lavoro

Consigliamo di utilizzare i profili di lavoro per tutti i dispositivi di proprietà personale. La migrazione dall'amministratore del dispositivo precedente a un profilo di lavoro può essere gestita con interruzioni minime. Per gestire questa situazione, puoi eseguire il push dei dispositivi personali per installare un profilo di lavoro o consentire ai nuovi dispositivi di registrarsi con un profilo di lavoro man mano che i dispositivi esistenti esauriscono il parco risorse.

Dispositivi di proprietà dell'azienda: dal ruolo di amministratore del dispositivo a quello gestito.

Consigliamo di configurare i dispositivi di proprietà dell'azienda come dispositivi completamente gestiti. La migrazione di un dispositivo dall'amministratore del dispositivo al dispositivo gestito richiede il ripristino dei dati di fabbrica. Dal momento che questo comportamento è più incisivo per gli utenti, suggeriamo un'adozione graduale, in cui i nuovi dispositivi vengono registrati come dispositivi completamente gestiti, ma l'amministrazione dei dispositivi rimane lasciata su questi dispositivi.

Tipi di migrazione

Alcune strategie di migrazione generali sono definite brevemente:

• Big bang: a un numero elevato di utenti esistenti viene chiesto di eseguire l'upgrade a un dispositivo gestito o a un profilo di lavoro in una o più grandi onde di upgrade.

• Adozione graduale: i nuovi utenti e i nuovi dispositivi vengono configurati con le nuove modalità di gestione man mano che vengono registrati. I dispositivi di amministrazione dei dispositivi meno recenti non sono più accessibili con l'abbandono naturale.

Domande frequenti

E i dispositivi meno recenti?

Quando verrà rilasciato Android 10.0, ci aspettiamo che tutti i dispositivi su cui viene eseguito supporti le modalità del profilo gestito o di lavoro. È possibile eseguire la migrazione dei dispositivi meno recenti come descritto in precedenza o gestire i dispositivi utilizzando l'amministratore dei dispositivi fino a quando non verranno sostituiti.

Che cosa succede se ho app non EMM che utilizzano l'amministrazione del dispositivo?

A volte, applicazioni come un'email possono diventare amministratori di dispositivi in risposta a criteri aziendali applicati ai server email. Queste applicazioni saranno soggette alle stesse limitazioni della release di Android 10.0: potrebbero diventare amministratori di dispositivi, ma non potranno applicare criteri relativi alle password o restrizioni hardware. A seconda dei casi d'uso, queste applicazioni possono:

• Contribuisci all'aumento di un profilo di lavoro (ossia diventa un DPC).
• Richiedi all'utente di configurare l'applicazione in un altro EMM (sotto il controllo di un altro DPC, se necessario).
• Scegliere di implementare le proprie restrizioni relative alle password (in-app).

Consigliamo che queste app abbiano un meccanismo per rilevare se un dispositivo è gestito da un provider EMM e rimandare al provider EMM per la gestione. Questo rilevamento può essere ottenuto tramite uno scambio di token tramite Gestione della configurazione di dispositivi mobili (MCM).

Cosa succede quando viene rilasciato Android 10.0?

I comportamenti deprecati smetteranno di funzionare e restituiranno un'eccezione per la sicurezza delle app che eseguono Android 10.0 e hanno come target il livello API pertinente.