Descontinuação para administradores do dispositivo

Resumo

O Android lançou originalmente o suporte ao gerenciamento de dispositivos móveis no Android 2.2. Desde então, as necessidades das empresas evoluíram. Os dispositivos acessam cada vez mais recursos confidenciais e são usados em uma variedade maior de casos de uso do que a API de administração de dispositivo original do Android foi projetada. Alguns desses casos de uso incluem:

  • Separação de dados de trabalho de dados pessoais em implantações de uso misto ou BYOD.
  • Distribuição de aplicativos de negócios e gerenciamento dos dados deles pelo Google Play e pelo gerenciamento das Contas do Google necessárias para isso.
  • Bloquear dispositivos em um quiosque para adaptá-los a usos específicos de aplicativos.
  • Gerenciamento de certificados para permitir acesso a recursos protegidos por ICP.
  • Estabelecimento de VPNs por app e por perfil para dar suporte a aplicativos empresariais remotos e proteger a privacidade.

Ao mesmo tempo, as empresas exigiram uma relação de confiança maior do que o administrador de dispositivos foi projetado para oferecer suporte. Como um administrador de dispositivo pode ser ativado por qualquer aplicativo autorizado pelo usuário, ele não é compatível com vários casos de uso corporativos, como:

  • Definir a proteção contra redefinição para a configuração original (FRP, na sigla em inglês) para garantir que os dispositivos permaneçam gerenciados e possam ser recuperados quando os funcionários saem.
  • Redefinição segura de senhas em dispositivos criptografados.
  • Impede a remoção do administrador do dispositivo (removido no Nougat por motivos de segurança).
  • Estabelecimento de senhas definidas pelo administrador para bloquear o usuário de um dispositivo (removido no Android 7.0 Nougat por motivos de segurança).

O administrador de dispositivo é considerado uma abordagem de gerenciamento legada desde que os modos de dispositivo gerenciado (proprietário do dispositivo) e perfil de trabalho (proprietário do perfil) do Android foram introduzidos no Android 5.0. Como o administrador de dispositivos não é adequado para atender aos requisitos empresariais atuais, recomendamos que os clientes e parceiros adotem os modos de dispositivo gerenciado e de perfil de trabalho para gerenciar os dispositivos a partir de agora. Para oferecer suporte a essa transição e concentrar nossos recursos nos recursos de gerenciamento atuais do Android, suspendemos o uso da seção "Administrador de dispositivos" para uso empresarial na versão 9.0 do Android e removeremos essas funções na versão do Android 10.0.

Políticas descontinuadas

Com o lançamento do Android 9.0, as políticas abaixo são marcadas como descontinuadas quando invocadas por um administrador do dispositivo, mas as APIs continuam funcionando.

A partir do lançamento do Android 10.0, as políticas mencionadas acima vão gerar uma SecurityException quando invocadas por um administrador de dispositivo em apps destinados ao nível 29 da API.

Com o lançamento do Android 11.0, o USES_POLICY_RESET_PASSWORD é marcado como descontinuado quando invocado por um administrador de dispositivo e para de funcionar. Ele gera uma SecurityException em apps destinados ao nível 24 da API e versões mais recentes.

Alguns aplicativos usam o administrador do dispositivo para a administração do dispositivo do consumidor, por exemplo, para bloquear e excluir permanentemente um dispositivo perdido. As políticas a seguir continuarão disponíveis para ativar esse recurso:

Atualizar sua implementação

Para substituir as políticas de proteção de teclado e senha marcadas como descontinuadas na seção acima, os apps, inclusive os que gerenciam implantações do Exchange ActiveSync, precisam usar o método descrito em Verificação de qualidade do bloqueio de tela.

Cronogramas

Android 9.0: o administrador do dispositivo foi marcado como descontinuado para uso empresarial por meio de atualizações na documentação. A funcionalidade existente continua funcionando para apps direcionados à API de nível 28, embora não seja recomendável usar esse recurso. Todos os parceiros e clientes precisam migrar para perfis de trabalho ou dispositivos totalmente gerenciados antes do lançamento do Android 10.0.

Android 10.0: as políticas acima não estarão mais disponíveis para DPCs direcionados ao nível 29 da API.

O que isso significa para os administradores de TI

Recomendamos que parceiros e clientes se preparem para essa mudança. O uso do administrador do dispositivo pode ser identificado por uma tela (consulte a Figura 1 para ver um exemplo) ao ativar o gerenciamento do dispositivo:

Exemplo de ativação do administrador do dispositivo
Figura 1. Uma atividade como essa é mostrada pelo sistema quando o administrador do dispositivo é ativado.

Se você usa o administrador para gerenciar seus dispositivos, há duas estratégias disponíveis para migrar para as APIs de gerenciamento atuais do Android. Para registrar um dispositivo no gerenciamento, você precisa de um provedor de gerenciamento de mobilidade empresarial (EMM) que oferece suporte ao modo de perfil de trabalho (proprietário do perfil) do Android ou do dispositivo gerenciado (proprietário do dispositivo). Os clientes precisam escolher o modo de gerenciamento mais adequado à implantação. Em alguns casos, as duas estratégias podem ser empregadas simultaneamente.

Uma lista de ofertas compatíveis está disponível aqui. Seu provedor de software de EMM pode fornecer orientações específicas sobre as ofertas de produtos.

Gerenciar dispositivos pessoais (traga seu próprio)

Os dispositivos pessoais são compatíveis com o modo de perfil de trabalho do Android. Um perfil de trabalho é implantado por um EMM para fornecer um contêiner no nível do SO que separa os aplicativos e os dados pessoais dos usuários nos dispositivos. As organizações se beneficiam da capacidade de implantar aplicativos usando o Google Play gerenciado, além de garantir que os dados não sejam acidentalmente ou compartilhados intencionalmente com aplicativos não autorizados. Os administradores de TI também podem limpar seletivamente os dados da empresa, independentemente dos arquivos do usuário, caso saiam da organização.

Gerenciamento de dispositivos da empresa

Os dispositivos Android da empresa são compatíveis com a implantação no modo de dispositivo gerenciado. Um dispositivo gerenciado é registrado usando um EMM, que pode fornecer gerenciamento completo do ciclo de vida no dispositivo Android e nos dados dele. Isso inclui o bloqueio de recursos de hardware, proteção contra redefinição para a configuração original e cancelamento de registro, a limpeza remota e reativa administrativa de todo o dispositivo e a personalização de aplicativos, incluindo suporte a implantações de quiosque ou aplicativo único. Geralmente, as organizações que usam o modo de dispositivo gerenciado administram pelo menos um dos três tipos de implantação, mas eles podem ser combinados em toda a frota de uma organização, dependendo dos requisitos:

  • Somente trabalho:as implantações "trabalhar" geralmente segmentam workers que usam um dispositivo para vários aplicativos. O uso pessoal não é compatível com esse método.
  • Ativadas pessoalmente:as implantações ativadas geralmente são destinadas a funcionários que têm um dispositivo fornecido pelo empregador, mas que querem a flexibilidade de também usar aplicativos pessoais no dispositivo. A implantação de um perfil de trabalho em um dispositivo gerenciado permite que o funcionário execute aplicativos de trabalho junto de aplicativos pessoais sem comprometer os dados corporativos.
  • Dispositivo dedicado:as implantações de dispositivos dedicados geralmente abrangem dispositivos gerenciados, às vezes chamados de "uso único da empresa" ou "COSU", que bloqueiam hardware e aplicativos para personalizar o dispositivo de acordo com as funções de trabalho específicas que um funcionário precisa realizar.

Recomendamos que os dispositivos da empresa sejam implantados como gerenciados. Isso permite o gerenciamento de todo o ciclo de vida do dispositivo, incluindo políticas de proteção contra exclusão permanente e redefinição de fábrica para a configuração original.

Orientações de migração para clientes

BYOD: administrador de dispositivos para implantações de um perfil de trabalho

Recomendamos que os perfis de trabalho sejam usados em todos os dispositivos pessoais. A migração do administrador de dispositivos legados para um perfil de trabalho pode ser processada com o mínimo de interrupções. Isso pode ser tratado enviando dispositivos pessoais para instalar um perfil de trabalho ou fazendo com que novos dispositivos sejam registrados com um perfil de trabalho como dispositivos existentes gradualmente.

Dispositivos da empresa: administrador para dispositivo gerenciado

Recomendamos que os dispositivos da empresa sejam configurados como totalmente gerenciados. A migração de um dispositivo de administrador para um dispositivo gerenciado exige uma redefinição para a configuração original. Como isso é mais prejudicial para os usuários, sugerimos uma adoção em fases, em que os novos dispositivos são registrados como totalmente gerenciados, mas os dispositivos atuais são mantidos no administrador do dispositivo.

Tipos de migração

Algumas estratégias gerais de migração são definidas brevemente como:

  • Big bang:grandes populações de usuários atuais precisam fazer upgrade para um dispositivo gerenciado ou perfil de trabalho em uma ou mais grandes ondas de upgrades.

  • Adoção em fases:novos usuários e dispositivos são configurados com os novos modos de gerenciamento à medida que são registrados. Os dispositivos mais antigos de administração de dispositivos ficam fora da frota devido ao desgaste natural.

Perguntas frequentes

E quanto aos dispositivos mais antigos?

Quando o Android 10.0 for lançado, esperamos que todos os dispositivos que o executam oferecem suporte aos modos de dispositivo gerenciado ou perfil de trabalho. Dispositivos mais antigos podem ser migrados conforme descrito anteriormente ou gerenciados pelo administrador do dispositivo até que sejam substituídos.

E se eu tiver apps não fornecidos por EMM que usem o administrador do dispositivo?

Às vezes, aplicativos como o de e-mail podem se tornar administradores de dispositivos em resposta a políticas empresariais aplicadas em servidores de e-mail. Esses aplicativos estarão sujeitos às mesmas restrições da versão do Android 10.0: eles podem se tornar administradores do dispositivo, mas não poderão aplicar políticas de senha ou restrições de hardware. Dependendo do caso de uso, esses aplicativos podem:

  • Inflar um perfil de trabalho por conta própria (tornar-se um DPC).
  • Solicite que o usuário configure o aplicativo em outro EMM (sob o controle de outro DPC, se necessário).
  • optar por implementar as próprias restrições de senha no app;

Recomendamos que esses apps tenham um mecanismo para detectar se um dispositivo é gerenciado por um EMM e transferir o gerenciamento para o provedor. Essa detecção pode ser feita por uma troca de tokens pelo Gerenciamento de configuração de dispositivos móveis (GMC).

O que acontece quando o Android 10.0 é lançado?

Os comportamentos descontinuados deixarão de funcionar e retornarão uma exceção de segurança para apps com o Android 10.0 direcionados a esse nível de API.