การเลิกใช้งานผู้ดูแลระบบอุปกรณ์

สรุป

Android เปิดตัวการรองรับการจัดการอุปกรณ์เคลื่อนที่ใน Android 2.2 แล้ว ตั้งแต่นั้นเป็นต้นมา ความต้องการขององค์กรต่างๆ เปลี่ยนแปลงไป อุปกรณ์ต่างๆ เข้าถึงทรัพยากรที่เป็นความลับมากขึ้นและมีการใช้งานในกรณีการใช้งานที่หลากหลายมากกว่า API ผู้ดูแลระบบอุปกรณ์เดิมของ Android ตัวอย่างการใช้งานบางส่วนมีดังนี้

• การแยกข้อมูลงานจากข้อมูลส่วนตัวในการใช้งานแบบผสมผสานหรือการนําอุปกรณ์มาใช้เอง
• การแจกจ่ายแอปพลิเคชันทางธุรกิจและการจัดการข้อมูลผ่าน Google Play และจัดการบัญชี Google ที่จําเป็นสําหรับการดําเนินการนี้
• การล็อกอุปกรณ์ไว้ในคีออสก์เพื่อปรับแต่งให้เหมาะกับการใช้งานแอปพลิเคชันหนึ่งๆ
• การจัดการใบรับรองเพื่ออนุญาตให้เข้าถึงทรัพยากรที่ปลอดภัยของ PKI
• การสร้าง VPN สําหรับแต่ละแอปและต่อโปรไฟล์เพื่อรองรับแอปพลิเคชันระยะไกลขององค์กรพร้อมปกป้องความเป็นส่วนตัว

ในขณะเดียวกัน องค์กรต่างๆ ก็มีความต้องการในความไว้วางใจสูงกว่าผู้ดูแลระบบอุปกรณ์ที่ออกแบบมาเพื่อรองรับ เนื่องจากแอปพลิเคชันอุปกรณ์เปิดใช้ผู้ใช้อุปกรณ์ได้ เนื่องจากผู้ดูแลระบบให้สิทธิ์ดังกล่าว จึงไม่รองรับกรณีการใช้งานขององค์กรหลายกรณี เช่น

• การตั้งค่าการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น (FRP) เพื่อให้แน่ใจว่าอุปกรณ์จะยังได้รับการจัดการอยู่ และจะกู้คืนได้เมื่อพนักงานออก
• รีเซ็ตรหัสผ่านของอุปกรณ์ในอุปกรณ์ที่เข้ารหัสอย่างปลอดภัย
• ป้องกันไม่ให้นําผู้ดูแลระบบอุปกรณ์ออก (นําเหตุผลออกจาก Nougat ด้วยเหตุผลด้านความปลอดภัย)
• การสร้างรหัสผ่านที่ผู้ดูแลระบบกําหนดเพื่อล็อกผู้ใช้ไม่ให้ใช้อุปกรณ์ (นําออกจาก Android 7.0 Nougat เพื่อความปลอดภัย)

ผู้ดูแลระบบอุปกรณ์ถือเป็นวิธีการจัดการแบบเดิม เนื่องจากมีการใช้โหมดอุปกรณ์ที่มีการจัดการ (เจ้าของอุปกรณ์) และโปรไฟล์งาน (เจ้าของโปรไฟล์) ของ Android ใน Android 5.0 เนื่องจากผู้ดูแลระบบของอุปกรณ์ไม่เหมาะที่จะรองรับข้อกําหนดระดับองค์กรในปัจจุบัน เราจึงแนะนําให้ลูกค้าและพาร์ทเนอร์ใช้โหมดอุปกรณ์ที่มีการจัดการและโปรไฟล์งานเพื่อจัดการอุปกรณ์ของตนตั้งแต่นี้เป็นต้นไป เพื่อรองรับการเปลี่ยนแปลงนี้และมุ่งเน้นที่ทรัพยากรของเราสําหรับฟีเจอร์การจัดการในปัจจุบันของ Android เราจึงเลิกใช้งานผู้ดูแลระบบอุปกรณ์สําหรับการใช้งานระดับองค์กรใน Android 9.0 และนําฟังก์ชันเหล่านี้ออกใน Android 10.0

นโยบายที่เลิกใช้งาน

เมื่อเปิดตัว Android 9.0 นโยบายต่อไปนี้จะถูกทําเครื่องหมายว่าเลิกใช้งานแล้วเมื่อผู้ดูแลระบบอุปกรณ์เรียกใช้ แต่ API จะยังคงทํางานต่อไป

• USES_POLICY_DISABLE_CAMERA
• USES_POLICY_DISABLE_KEYGUARD_FEATURES
• USES_POLICY_EXPIRE_PASSWORD
• USES_POLICY_LIMIT_PASSWORD

ในการเปิดตัว Android 10.0 เป็นต้นไป นโยบายที่กล่าวถึงข้างต้นจะแสดง SecurityException เมื่อผู้ดูแลระบบอุปกรณ์เรียกใช้แอปที่กําหนดเป้าหมาย API ระดับ 29

เมื่อเปิดตัว Android 11.0 ระบบจะทําเครื่องหมาย USES_POLICY_RESET_PASSWORD ว่าเลิกใช้งานแล้วเมื่อผู้ดูแลระบบอุปกรณ์เรียกใช้และหยุดทํางาน ระบบจะส่ง SecurityException ไปยังแอปที่กําหนดเป้าหมาย API ระดับ 24 ขึ้นไป

แอปพลิเคชันบางอย่างใช้ผู้ดูแลระบบอุปกรณ์สําหรับการดูแลอุปกรณ์ของผู้บริโภค เช่น การล็อกและล้างข้อมูลอุปกรณ์ที่สูญหาย นโยบายต่อไปนี้จะยังคงเปิดใช้อยู่เพื่อเปิดใช้

• USES_POLICY_WIPE_DATA
• USES_POLICY_FORCE_LOCK

อัปเดตการใช้งาน

หากต้องการแทนที่นโยบายคีย์การ์ดและรหัสผ่านที่ทําเครื่องหมายว่าเลิกใช้งานแล้วในส่วนด้านบน แอปรวมถึงแอปที่จัดการการทําให้ใช้งานได้ของ Exchange ActiveSync ควรใช้วิธีการที่อธิบายไว้ในการตรวจสอบคุณภาพการล็อกหน้าจอ

เส้นเวลา

Android 9.0: ผู้ดูแลระบบอุปกรณ์จะทําเครื่องหมายว่าเลิกใช้งานแล้วเพื่อใช้ในองค์กรผ่านการอัปเดตเอกสารประกอบ ฟังก์ชันการทํางานที่มีอยู่ยังคงทํางานต่อไปสําหรับแอปพลิเคชันที่กําหนดเป้าหมายเป็น API ระดับ 28 แม้ว่าจะไม่แนะนําให้ใช้ก็ตาม พาร์ทเนอร์และลูกค้าทุกคนควรย้ายข้อมูลไปยังโปรไฟล์งานหรืออุปกรณ์ที่มีการจัดการครบวงจร ก่อนเผยแพร่ Android 10.0

Android 10.0: นโยบายข้างต้นจะใช้กับ DPC ที่กําหนดเป้าหมาย API ระดับ 29 ไม่ได้อีกต่อไป

ผลกระทบต่อผู้ดูแลระบบไอที

เราขอแนะนําให้พาร์ทเนอร์และลูกค้าเริ่มเตรียมตัวให้พร้อมสําหรับการเปลี่ยนแปลงนี้ หน้าจอระบุการใช้งานผู้ดูแลระบบอุปกรณ์ (ดูตัวอย่างในรูปที่ 1) เมื่อเปิดใช้งานการจัดการอุปกรณ์

หากคุณกําลังใช้ผู้ดูแลระบบอุปกรณ์เพื่อจัดการอุปกรณ์ กลยุทธ์ 2 แบบที่ย้ายไปยัง API การจัดการปัจจุบันของ Android ได้ หากต้องการลงทะเบียนอุปกรณ์สําหรับการจัดการ คุณจะต้องมีผู้ให้บริการ Enterprise Mobility Management (EMM) ที่รองรับโหมดโปรไฟล์งาน (เจ้าของโปรไฟล์) ของ Android หรือโหมดอุปกรณ์ที่มีการจัดการ (เจ้าของอุปกรณ์) ลูกค้าควรเลือกโหมดการจัดการที่เหมาะกับการติดตั้งใช้งานมากที่สุด ในบางกรณี ระบบอาจใช้กลยุทธ์ทั้ง 2 อย่างพร้อมกัน

ดูรายการข้อเสนอที่เข้ากันได้ที่นี่ ผู้ให้บริการซอฟต์แวร์ EMM จะให้คําแนะนําเฉพาะสําหรับข้อเสนอผลิตภัณฑ์ได้

การจัดการอุปกรณ์ส่วนตัว (ที่คุณเป็นเจ้าของ)

โหมดโปรไฟล์งานของ Android รองรับอุปกรณ์ส่วนตัว EMM จะติดตั้งใช้งานโปรไฟล์งานเพื่อให้คอนเทนเนอร์ระดับระบบปฏิบัติการที่แยกการทํางานระหว่างแอปพลิเคชันส่วนตัวกับข้อมูลของผู้ใช้เข้ากับอุปกรณ์ของผู้ใช้ องค์กรจะได้รับประโยชน์จากความสามารถในการทําให้แอปพลิเคชันใช้งานได้โดยใช้ Managed Google Play ควบคู่ไปกับการให้ความมั่นใจมากขึ้นว่าข้อมูลจะไม่บังเอิญหรือแชร์กับแอปพลิเคชันที่ไม่ได้รับอนุญาตโดยเจตนา ผู้ดูแลระบบไอทียังเลือกล้างข้อมูลองค์กรแบบอิสระจากไฟล์ของผู้ใช้เองได้หากเลือกออกจากองค์กร

การจัดการอุปกรณ์ของบริษัท

อุปกรณ์ Android ของบริษัทรองรับการทําให้อุปกรณ์ใช้งานในโหมดอุปกรณ์ที่มีการจัดการได้ อุปกรณ์ที่มีการจัดการจะได้รับการลงทะเบียนโดยใช้ EMM ซึ่งสามารถจัดการวงจรการใช้งานอุปกรณ์ Android และข้อมูลของอุปกรณ์ได้อย่างเต็มรูปแบบ ซึ่งรวมถึงการปิดล็อกฟีเจอร์ฮาร์ดแวร์ การป้องกันการรีเซ็ตเป็นค่าเริ่มต้นและการยกเลิกการลงทะเบียน การล้างข้อมูลและการรีเซ็ตจากระยะไกลทั้งอุปกรณ์ ตลอดจนการปรับแต่งแอปพลิเคชัน ซึ่งรวมถึงการรองรับการทําให้คีออสก์ใช้งานได้หรือแอปพลิเคชันเดียว โดยทั่วไป องค์กรที่ใช้โหมดอุปกรณ์ที่มีการจัดการจะดูแลจัดการการติดตั้งใช้งานอย่างน้อย 1 ใน 3 ประเภท แม้ว่าอาจมีการผสมและจับคู่ได้ทั่วทั้งกลุ่มองค์กร ทั้งนี้ขึ้นอยู่กับข้อกําหนดต่อไปนี้

• ทํางานเท่านั้น: โดยทั่วไปการทําให้ใช้งานได้จะใช้ได้กับการกําหนดเป้าหมายผู้ปฏิบัติงานที่ใช้อุปกรณ์สําหรับแอปพลิเคชันที่หลากหลายเท่านั้น วิธีการนี้ไม่รองรับการใช้งานส่วนบุคคล
• เปิดใช้ด้วยตนเอง: โดยทั่วไปการติดตั้งใช้งานที่เปิดใช้ส่วนตัวจะกําหนดเป้าหมายเป็นผู้ปฏิบัติงานที่ได้รับอุปกรณ์จากนายจ้าง แต่ก็ต้องการความยืดหยุ่นในการใช้แอปพลิเคชันส่วนตัวในอุปกรณ์ด้วย การทําให้โปรไฟล์งานใช้งานได้ในอุปกรณ์ที่มีการจัดการช่วยให้พนักงานเรียกใช้แอปพลิเคชันงานควบคู่ไปกับแอปพลิเคชันส่วนตัวได้โดยไม่ส่งผลกระทบต่อข้อมูลองค์กร
• อุปกรณ์ที่จัดไว้โดยเฉพาะ: โดยทั่วไปการติดตั้งใช้งานอุปกรณ์เฉพาะมักจะรวมอุปกรณ์ที่มีการจัดการ ซึ่งบางครั้งเรียกว่า "เป็นองค์กรเดียว ใช้งานครั้งเดียว" หรือ "COSU" ที่ล็อกฮาร์ดแวร์และแอปพลิเคชันเพื่อปรับแต่งอุปกรณ์ให้เหมาะกับฟังก์ชันการทํางานที่พนักงานต้องดําเนินการ

เราขอแนะนําให้ทําให้อุปกรณ์ขององค์กรเป็นอุปกรณ์ที่มีการจัดการ เนื่องจากช่วยให้จัดการวงจรทั้งอุปกรณ์ได้ รวมถึงการล้างข้อมูลเต็มรูปแบบและนโยบายการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น

คําแนะนําในการย้ายข้อมูลสําหรับลูกค้า

การนําอุปกรณ์มาใช้เอง: ผู้ดูแลระบบอุปกรณ์ในการทําให้โปรไฟล์งานใช้งานได้

เราขอแนะนําให้ใช้โปรไฟล์งานสําหรับอุปกรณ์ที่คุณเป็นเจ้าของทั้งหมด การย้ายข้อมูลจากผู้ดูแลระบบอุปกรณ์เดิมไปยังโปรไฟล์งานสามารถจัดการได้โดยการหยุดชะงักเพียงเล็กน้อย ซึ่งจะจัดการได้โดยพุชอุปกรณ์ส่วนตัวเพื่อติดตั้งโปรไฟล์งาน หรือกําหนดให้อุปกรณ์ใหม่ลงทะเบียนด้วยโปรไฟล์งานเมื่ออุปกรณ์ที่มีอยู่ออกจากกลุ่ม

อุปกรณ์ของบริษัท: ผู้ดูแลระบบของอุปกรณ์ไปยังอุปกรณ์ที่มีการจัดการ

เราขอแนะนําให้ตั้งค่าอุปกรณ์ของบริษัทให้เป็นอุปกรณ์ที่มีการจัดการครบวงจร คุณต้องรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นเพื่อย้ายข้อมูลอุปกรณ์จากผู้ดูแลระบบอุปกรณ์ไปยังอุปกรณ์ที่มีการจัดการ เนื่องจากสิ่งนี้จะรบกวนผู้ใช้ได้มากขึ้น เราจึงขอแนะนําให้ทยอยใช้เป็นระยะที่อุปกรณ์ใหม่จะได้รับการลงทะเบียนเป็นอุปกรณ์ที่มีการจัดการเต็มรูปแบบ ส่วนอุปกรณ์ที่มีอยู่จะยังคงอยู่ในผู้ดูแลระบบอุปกรณ์

ประเภทการย้ายข้อมูล

กลยุทธ์การย้ายข้อมูลทั่วไปบางส่วนได้รับการกําหนดคร่าวๆ ว่า

• Big bang: ผู้ใช้กลุ่มใหญ่ที่มีอยู่ขอให้อัปเกรดไปใช้อุปกรณ์ที่มีการจัดการหรือโปรไฟล์งาน

• การใช้งานแบบกลุ่ม: ผู้ใช้ใหม่และอุปกรณ์ใหม่ได้รับการกําหนดค่าด้วยโหมดการจัดการใหม่ขณะลงทะเบียน อุปกรณ์ของผู้ดูแลระบบรุ่นเก่ามีอายุใช้งานน้อยลง

คำถามที่พบบ่อย

แล้วอุปกรณ์รุ่นเก่าๆ ล่ะ

เมื่อ Android 10.0 เปิดตัว เราคาดหวังว่าอุปกรณ์ทั้งหมดที่ใช้ Android จะรองรับโหมดอุปกรณ์ที่มีการจัดการหรือโหมดโปรไฟล์งาน คุณสามารถย้ายข้อมูลอุปกรณ์รุ่นเก่าดังที่อธิบายไว้ก่อนหน้านี้หรือจัดการได้โดยใช้ผู้ดูแลระบบอุปกรณ์จนกว่าจะมีการเปลี่ยนอุปกรณ์

จะเกิดอะไรขึ้นหากฉันมีแอปที่ไม่ใช่ของ EMM ซึ่งใช้ผู้ดูแลระบบอุปกรณ์

บางครั้งแอปพลิเคชัน เช่น แอปพลิเคชันอีเมล อาจกลายเป็นผู้ดูแลระบบอุปกรณ์เพื่อตอบสนองต่อนโยบายองค์กรที่บังคับใช้ในเซิร์ฟเวอร์อีเมล แอปพลิเคชันเหล่านี้จะอยู่ภายใต้ข้อจํากัดเดียวกันจากการเปิดตัว Android 10.0 โดยจะเป็นผู้ดูแลระบบอุปกรณ์ แต่จะบังคับใช้นโยบายรหัสผ่านหรือข้อจํากัดของฮาร์ดแวร์ไม่ได้ แอปพลิเคชันเหล่านี้อาจทําสิ่งต่อไปนี้โดยขึ้นอยู่กับกรณีการใช้งาน

• เพิ่มโปรไฟล์งานให้ตัวเอง (เป็น DPC)
• แสดงข้อความแจ้งให้ผู้ใช้ตั้งค่าแอปพลิเคชันเป็น EMM อื่น (ภายใต้การควบคุมของ DPC อื่น หากจําเป็น)
• เลือกใช้ข้อจํากัดรหัสผ่านของตนเอง (ในแอป)

เราขอแนะนําให้แอปเหล่านี้มีกลไกในการตรวจหาว่าอุปกรณ์ได้รับการจัดการโดย EMM หรือไม่ และเลื่อนไปที่ผู้ให้บริการ EMM สําหรับการจัดการ การตรวจหานี้ทําได้ผ่านการแลกเปลี่ยนโทเค็นผ่านการจัดการอุปกรณ์เคลื่อนที่ (MCM)

จะเกิดอะไรขึ้นเมื่อเปิดตัว Android 10.0

ลักษณะการทํางานที่เลิกใช้งานแล้วจะหยุดทํางานและจะส่งข้อยกเว้นด้านความปลอดภัยสําหรับแอปที่ใช้ Android 10.0 และการกําหนดเป้าหมายระดับ API นั้น