Cette page liste l'ensemble complet des fonctionnalités Android Enterprise.
Si vous souhaitez gérer plus de 500 appareils, votre solution EMM doit prendre en charge toutes les fonctionnalités standards (Répertoire des solutions d'entreprise d'Android comme proposant un ensemble de gestion standard.
) d'au moins un ensemble de solutions avant de pouvoir être commercialisée. Les solutions EMM qui passent la validation des fonctionnalités standards sont listées dans leUn ensemble supplémentaire de fonctionnalités avancées est disponible pour chaque ensemble de solutions. Ces fonctionnalités sont indiquées sur chaque page de la solution: profil professionnel sur un appareil personnel, profil professionnel sur un appareil détenu par l'entreprise, appareil entièrement géré et appareil dédié. Les solutions EMM qui réussissent la vérification des fonctionnalités avancées sont répertoriées dans le répertoire des solutions d'entreprise d'Android en tant qu'ensemble de gestion avancée.
Clé
Fonctionnalité standard | fonctionnalité avancée | fonctionnalité facultative | non applicable |
1. Provisionnement de l'appareil
1.1. Provisionnement du profil professionnel en priorité par le DPC
Après avoir téléchargé Android Device Policy à partir de Google Play, les utilisateurs peuvent provisionner un profil professionnel.
1.1.1. L'EMM fournit à un administrateur informatique un code QR ou un code d'activation pour prendre en charge cette méthode de provisionnement (consultez Enregistrer et provisionner un appareil).
1.2. Provisionnement de l'appareil avec identifiant DPC
Saisissez "afw#" dans l'assistant de configuration de l'appareil pour provisionner un appareil entièrement géré ou dédié.
1.2.1. L'EMM fournit à un administrateur informatique un code QR ou un code d'activation pour prendre en charge cette méthode de provisionnement (consultez la section Enregistrer et provisionner un appareil).
1.3. Provisionnement d'appareils NFC
Les administrateurs informatiques peuvent utiliser des tags NFC pour provisionner des appareils neufs ou dont la configuration d'usine a été rétablie, conformément aux consignes d'implémentation définies dans la documentation destinée aux développeurs de l'API EMM Play.
1.3.1. Les EMM doivent utiliser des tags de type 2 du Forum NFC avec au moins 888 octets de mémoire. Le provisionnement doit utiliser des éléments supplémentaires de provisionnement pour transmettre à un appareil des informations d'enregistrement non sensibles telles que des ID de serveur et des ID d'enregistrement. Les informations d'enregistrement ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats.
1.3.2. Nous vous recommandons d'utiliser des tags NFC pour Android 10 et versions ultérieures, car Android Beam (également appelé "NFC Bump") est en cours d'abandon.
1.4. Provisionnement d'appareils avec un code QR
La console de l'EMM peut générer un code QR que les administrateurs informatiques peuvent scanner pour provisionner un appareil entièrement géré ou dédié, conformément aux consignes d'implémentation définies dans la documentation destinée aux développeurs de l' API Android Management.
1.4.1. Le code QR doit utiliser des éléments supplémentaires de provisionnement pour transmettre des informations d'enregistrement non sensibles (telles que des ID de serveur, des ID d'enregistrement) à un appareil. Les informations d'enregistrement ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats.
1.5. Inscription sans contact
Les administrateurs informatiques peuvent préconfigurer les appareils achetés auprès de revendeurs agréés et les gérer à l'aide de votre console EMM.
1.5.1. Les administrateurs informatiques peuvent configurer les appareils appartenant à l'entreprise à l'aide de la méthode d'enregistrement sans contact, décrite dans Enregistrement sans contact pour les administrateurs informatiques.
1.5.2. Lorsqu'un appareil est allumé pour la première fois, il est automatiquement soumis aux paramètres définis par l'administrateur informatique.
1.6. Provisionnement sans contact avancé
Les administrateurs informatiques peuvent automatiser une grande partie du processus d'enregistrement des appareils grâce à l'enregistrement sans contact. Combiné aux URL de connexion, les administrateurs informatiques peuvent limiter l'inscription à des comptes ou des domaines spécifiques, en fonction des options de configuration proposées par l'EMM.
1.6.1. Les administrateurs informatiques peuvent configurer un appareil détenu par l'entreprise à l'aide de la méthode d'enregistrement sans contact.
1.6.2. Cette exigence est obsolète.
1.6.3. À l'aide de l'URL de connexion, l'EMM doit s'assurer que les utilisateurs non autorisés ne peuvent pas procéder à l'activation. Au minimum, l'activation doit être limitée aux utilisateurs d'une entreprise donnée.
1.6.4. À l'aide de l'URL de connexion, l'EMM doit permettre aux administrateurs informatiques de préremplir les informations d'enregistrement (par exemple, les ID de serveur, les ID d'enregistrement) en plus des informations uniques sur l'utilisateur ou l'appareil (par exemple, le nom d'utilisateur/mot de passe, le jeton d'activation), afin que les utilisateurs n'aient pas à saisir d'informations lorsqu'ils activent un appareil.
- Les EMM ne doivent pas inclure d'informations sensibles, telles que des mots de passe ou des certificats, dans la configuration de l'enregistrement sans contact.
1,7. Provisionnement du profil professionnel du compte Google
Pour les entreprises qui utilisent un domaine Google géré, cette fonctionnalité guide les utilisateurs lors de la configuration d'un profil professionnel après avoir saisi leurs identifiants Workspace professionnels lors de la configuration de l'appareil ou sur un appareil déjà activé. Dans les deux cas, l'identité Workspace professionnelle sera migrée vers le profil professionnel.
1.8. Provisionnement d'appareils pour le compte Google
L'API Android Management n'est pas compatible avec cette fonctionnalité.
1,9. Configuration d'enregistrement sans contact direct
Les administrateurs informatiques peuvent utiliser la console de l'EMM pour configurer des appareils sans contact à l'aide de l'iFrame sans contact.
1.10. Profils professionnels sur les appareils détenus par l'entreprise
Les EMM peuvent enregistrer les appareils détenus par l'entreprise sur lesquels est installé un profil professionnel en définissant AllowPersonalUsage.
1.10.1. Laisser le champ vide délibérément
1.10.2. Les administrateurs informatiques peuvent définir des actions de conformité pour les profils professionnels sur les appareils appartenant à l'entreprise via PersonalUsagePolicies.
1.10.3. Les administrateurs informatiques peuvent désactiver la caméra dans le profil professionnel ou sur l'ensemble de l'appareil via PersonalUsagePolicies.
1.10.4. Les administrateurs informatiques peuvent désactiver la capture d'écran dans le profil professionnel ou sur l'ensemble d'un appareil via PersonalUsagePolicies.
1.10.5. Les administrateurs informatiques peuvent définir une liste d'autorisation ou de blocage d'applications pouvant ou non être installées dans le profil personnel via PersonalApplicationPolicy.
1.10.6. Les administrateurs informatiques peuvent renoncer à la gestion d'un appareil détenu par l'entreprise en supprimant le profil professionnel ou en effaçant tout l'appareil.
1.11. Provisionnement d'appareils dédiés
Les solutions EMM peuvent enregistrer des appareils dédiés sans que l'utilisateur soit invité à s'authentifier avec un compte Google.
2. Sécurité des appareils
2.1. Défi de sécurité de l'appareil
Les administrateurs informatiques peuvent définir et appliquer un défi de sécurité de l'appareil (code/motif/mot de passe) à partir d'une sélection prédéfinie de trois niveaux de complexité sur les appareils gérés.
2.1.1. La règle doit appliquer les paramètres de gestion des défis de sécurité des appareils (parentProfilePasswordRequirements pour le profil professionnel, passwordRequirements pour les appareils entièrement gérés et dédiés).
2.1.2. La complexité du mot de passe doit correspondre aux niveaux suivants:
- PASSWORD_COMPLEXITY_LOW : schéma ou code d'accès constitué d'une séquence de chiffres répétés (4444) ou ordonnés (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM : code d'accès dont les chiffres ne sont ni répétés (4444), ni ordonnés (1234, 4321, 2468), mot de passe alphabétique ou alphanumérique d'au moins quatre caractères
- PASSWORD_COMPLEXITY_HIGH : code d'accès dont les chiffres ne sont ni répétés (4444), ni ordonnés (1234, 4321, 2468), et dont la longueur est d'au moins huit caractères, ou mot de passe alphabétique ou alphanumérique d'au moins six caractères
2.1.3. Des restrictions de mot de passe supplémentaires peuvent également être appliquées en tant qu'anciens paramètres sur les appareils appartenant à l'entreprise.
2.2. Question d'authentification professionnelle
Les administrateurs informatiques peuvent définir et appliquer un défi de sécurité pour les applications et les données du profil professionnel, qui est distinct et présente des exigences différentes de celles du défi de sécurité de l'appareil (2.1.).
2.2.1. La règle doit appliquer le défi de sécurité pour le profil professionnel.
- Par défaut, les administrateurs informatiques ne doivent définir des restrictions que pour le profil professionnel si aucun champ d'application n'est spécifié.
- Les administrateurs informatiques peuvent définir ce paramètre pour l'ensemble des appareils en spécifiant la portée (voir l'exigence 2.1).
2.2.2. La complexité du mot de passe doit correspondre aux niveaux prédéfinis suivants:
- PASSWORD_COMPLEXITY_LOW : schéma ou code d'accès constitué d'une séquence de chiffres répétés (4444) ou ordonnés (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM : code d'accès dont les chiffres ne sont ni répétés (4444), ni ordonnés (1234, 4321, 2468), mot de passe alphabétique ou alphanumérique d'au moins quatre caractères
- PASSWORD_COMPLEXITY_HIGH : code d'accès dont les chiffres ne sont ni répétés (4444), ni ordonnés (1234, 4321, 2468), et dont la longueur est d'au moins huit caractères, ou mot de passe alphabétique ou alphanumérique d'au moins six caractères
2.2.3. Des restrictions de mot de passe supplémentaires peuvent également être appliquées en tant qu'anciens paramètres.
2.3. Gestion avancée des mots de passe
Les administrateurs informatiques peuvent configurer des paramètres de mot de passe avancés sur les appareils.
2.3.1. Délibérément vide.
2.3.2. Délibérément vide.
2.3.3. Les paramètres de cycle de vie du mot de passe suivants peuvent être définis pour chaque écran de verrouillage disponible sur un appareil:
- Vide délibérément
- Vide délibérément
- Nombre maximal de mots de passe incorrects avant l'effacement: indique le nombre de fois où les utilisateurs peuvent saisir un mot de passe incorrect avant que les données d'entreprise ne soient effacées de l'appareil. Les administrateurs informatiques doivent pouvoir désactiver cette fonctionnalité.
2.3.4. (Android 8.0 et versions ultérieures) Délai d'expiration de l'authentification forte obligatoire: un code d'authentification forte (tel qu'un code secret ou un mot de passe) doit être saisi après un délai d'expiration défini par un administrateur informatique. Après la période d'inactivité, les méthodes d'authentification peu fortes (comme l'empreinte digitale et le déverrouillage par reconnaissance faciale) sont désactivées jusqu'à ce que l'appareil soit déverrouillé avec un code d'authentification fort.
2.4. Gestion des serrures connectées
Les administrateurs informatiques peuvent gérer si les agents de confiance de la fonctionnalité Smart Lock d'Android sont autorisés à prolonger le déverrouillage de l'appareil jusqu'à quatre heures.
2.4.1. Les administrateurs informatiques peuvent désactiver les agents de confiance sur l'appareil.
2.5. Effacer et verrouiller
Les administrateurs informatiques peuvent utiliser la console de l'EMM pour verrouiller et effacer à distance les données professionnelles d'un appareil géré.
2.5.1. Les appareils doivent être verrouillés à l'aide de l'API Android Management.
2.5.2. Les appareils doivent être effacés à l'aide de l'API Android Management.
2.6. Appliquer les critères de conformité
Si un appareil n'est pas conforme aux règles de sécurité, les règles de conformité mises en place par l'API Android Management limitent automatiquement l'utilisation des données professionnelles.
2.6.1. Au minimum, les règles de sécurité appliquées à un appareil doivent inclure une règle de mot de passe.
2.7. Stratégies de sécurité par défaut
Les EMM doivent appliquer les règles de sécurité spécifiées sur les appareils par défaut, sans exiger des administrateurs informatiques qu'ils aient à configurer ou à personnaliser des paramètres dans leur console EMM. Les EMM sont encouragés (mais pas obligés) à ne pas autoriser les administrateurs informatiques à modifier l'état par défaut de ces fonctionnalités de sécurité.
2.7.1. L'installation d'applications provenant de sources inconnues doit être bloquée, y compris les applications installées sur le côté personnel de tout appareil Android 8.0 ou version ultérieure doté d'un profil professionnel. Cette sous-fonctionnalité est disponible par défaut.
2.7.2. Les fonctionnalités de débogage doivent être bloquées. Cette sous-fonctionnalité est compatible par défaut.
2.8. Règles de sécurité pour les appareils dédiés
Aucune autre action n'est autorisée pour un appareil dédié verrouillé.
2.8.1. Le démarrage en mode sans échec doit être désactivé par défaut à l'aide d'une règle (accédez à safeBootDisabled
).
2.9. Assistance Play Integrity
Les vérifications de Play Integrity sont effectuées par défaut. Aucune implémentation supplémentaire n'est requise.
2.9.1. Laisser le champ vide délibérément
2.9.2. Laisser le champ vide
2.9.3. Les administrateurs informatiques peuvent configurer différentes réponses de stratégie en fonction de la valeur de SecurityRisk de l'appareil, y compris le blocage du provisionnement, l'effacement des données d'entreprise et l'autorisation de l'enregistrement.
- Le service EMM appliquera cette réponse de stratégie pour le résultat de chaque vérification de l'intégrité.
2.9.4. Laisser le champ vide délibérément
2.10. Applications vérifiées
Les administrateurs informatiques peuvent activer Vérifier les applications sur les appareils. La fonctionnalité Vérifier les applications analyse les applications installées sur les appareils Android pour détecter les logiciels dangereux avant et après leur installation, afin de s'assurer que les applications malveillantes ne peuvent pas compromettre les données d'entreprise.
2.10.1. La fonctionnalité Vérifier les applications doit être activée par défaut à l'aide d'une règle (accédez à ensureVerifyAppsEnabled
).
2.11. Compatibilité avec le démarrage direct
L'API Android Management est compatible avec cette fonctionnalité par défaut. Aucune implémentation supplémentaire n'est requise.
2.12. Gestion de la sécurité matérielle
Les administrateurs informatiques peuvent verrouiller les éléments matériels d'un appareil détenu par l'entreprise pour éviter la perte de données.
2.12.1. Les administrateurs informatiques peuvent empêcher les utilisateurs d'installer des supports externes physiques à l'aide d'une règle (accédez à mountPhysicalMediaDisabled
).
2.12.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données depuis leur appareil à l'aide du faisceau NFC à l'aide d'une règle (accédez à outgoingBeamDisabled
). Cette sous-fonctionnalité est facultative, car la fonction de faisceau NFC n'est plus prise en charge sous Android 10 et versions ultérieures.
2.12.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de transférer des fichiers via USB à l'aide d'une règle (accédez à usbFileTransferDisabled
).
2.13. Journalisation de la sécurité d'entreprise
L'API Android Management n'est pas compatible avec cette fonctionnalité.
3. Gestion des comptes et des applications
3.1. Liaison d'entreprise
Les administrateurs informatiques peuvent associer l'EMM à leur organisation, ce qui lui permet d'utiliser Google Play d'entreprise pour distribuer des applications sur les appareils.
3.1.1. Un administrateur disposant d'un domaine Google géré existant peut lier son domaine à l'EMM.
3.1.2. Laisser le champ vide délibérément
3.1.3. Laisser le champ vide délibérément
3.1.4. La console EMM invite l'administrateur à saisir son adresse e-mail professionnelle dans le parcours d'inscription Android et le dissuade d'utiliser un compte Gmail.
3.1.5. Le fournisseur EMM préremplit l'adresse e-mail de l'administrateur lors du processus d'inscription Android.
3.2. Provisionnement de comptes Google Play d'entreprise
L'EMM peut provisionner de manière silencieuse des comptes utilisateur d'entreprise, appelés comptes Google Play d'entreprise. Ces comptes identifient les utilisateurs gérés et autorisent des règles de distribution d'applications uniques et par utilisateur.
3.2.1. Les comptes Google Play d'entreprise (comptes utilisateur) sont créés automatiquement lors du provisionnement des appareils.
L'API Android Management est compatible avec cette fonctionnalité par défaut. Aucune implémentation supplémentaire n'est requise.
3.3. Provisionnement de comptes d'appareils Google Play d'entreprise
L'EMM peut créer et provisionner des comptes d'appareil Google Play d'entreprise. Les comptes d'appareils permettent d'installer silencieusement des applications à partir du Google Play Store d'entreprise et ne sont pas liés à un seul utilisateur. À la place, un compte d'appareil permet d'identifier un seul appareil pour prendre en charge les règles de distribution d'applications par appareil dans des scénarios d'appareil dédiés.
3.3.1. Les comptes Google Play d'entreprise sont créés automatiquement lorsque les appareils sont provisionnés.
L'API Android Management est compatible avec cette fonctionnalité par défaut. Aucune implémentation supplémentaire n'est requise.
3.4. Provisionnement des comptes Google Play d'entreprise pour les anciens appareils
Cette fonctionnalité est obsolète.
3.5. Distribution d'applications silencieuse
Les administrateurs informatiques peuvent distribuer des applications professionnelles de manière silencieuse sur les appareils sans aucune interaction avec l'utilisateur.
3.5.1. La console de l'EMM doit utiliser l'API Android Management pour permettre aux administrateurs informatiques d'installer des applications professionnelles sur les appareils gérés.
3.5.2. La console de l'EMM doit utiliser l'API Android Management pour permettre aux administrateurs informatiques de mettre à jour les applications professionnelles sur les appareils gérés.
3.5.3. La console de l'EMM doit utiliser l'API Android Management pour permettre aux administrateurs informatiques de désinstaller des applications sur les appareils gérés.
3.6. Gestion de la configuration gérée
Les administrateurs informatiques peuvent afficher et définir de manière silencieuse des configurations gérées pour toute application compatible avec les configurations gérées.
3.6.1. La console de l'EMM doit pouvoir récupérer et afficher les paramètres de configuration gérés de n'importe quelle application Play.
3.6.2. La console de l'EMM doit permettre aux administrateurs informatiques de définir n'importe quel type de configuration (tel que défini par le framework Android Enterprise) pour n'importe quelle application Play à l'aide de l'API Android Management.
3.6.3. La console de l'EMM doit permettre aux administrateurs informatiques de définir des caractères génériques (tels que $username$ ou %emailAddress%) afin qu'une seule configuration pour une application telle que Gmail puisse être appliquée à plusieurs utilisateurs.
3.7. Gestion du catalogue d'applications
L'API Android Management est compatible avec cette fonctionnalité par défaut. Aucune implémentation supplémentaire n'est requise.
3.8. Approbation des applications programmatique
La console de l'EMM utilise l'iFrame Google Play d'entreprise pour prendre en charge les fonctionnalités de découverte et d'approbation des applications de Google Play. Les administrateurs informatiques peuvent rechercher des applications, les approuver et approuver de nouvelles autorisations d'applications sans quitter la console EMM.
3.8.1. Les administrateurs informatiques peuvent rechercher des applications et les approuver dans la console de l'EMM à l'aide de l'iFrame Google Play d'entreprise.
3.9. Gestion de base de la mise en page de la fiche Play Store
L'application Google Play Store d'entreprise permet d'installer et de mettre à jour des applications professionnelles. Par défaut, le Google Play Store d'entreprise affiche les applications approuvées pour un utilisateur dans une seule liste. Cette mise en page est appelée mise en page de base de la boutique.
3.9.1. La console EMM doit permettre aux administrateurs informatiques de gérer les applications visibles dans la disposition de base du magasin d'un utilisateur final.
3.10. Configuration avancée de la mise en page de la boutique
3.10.1. Les administrateurs informatiques peuvent personnaliser la mise en page de la plate-forme de téléchargement d'applications dans l'application Google Play Store d'entreprise.
3.11. Gestion des licences d'application
Cette fonctionnalité est obsolète.
3.12. Gestion des applications privées hébergées par Google
Les administrateurs informatiques peuvent mettre à jour les applications privées hébergées par Google via la console EMM plutôt que via la Google Play Console.
3.12.1. Les administrateurs informatiques peuvent importer de nouvelles versions d'applications déjà publiées en mode privé pour l'entreprise à l'aide de la commande suivante:
3.13. Gestion des applications privées auto-hébergées
Les administrateurs informatiques peuvent configurer et publier des applications privées hébergées sur leurs propres serveurs. Contrairement aux applications privées hébergées par Google, Google Play n'héberge pas les APK. À la place, l'EMM aide les administrateurs informatiques à héberger eux-mêmes les APK et à protéger les applications auto-hébergées en veillant à ce qu'elles ne puissent être installées que lorsqu'elles sont autorisées par Google Play d'entreprise.
La console EMM doit aider les administrateurs informatiques à héberger l'APK de l'application en offrant les deux options suivantes:
- Héberger l'APK sur le serveur de l'EMM. Le serveur peut être sur site ou dans le cloud.
- Hébergement de l'APK en dehors du serveur de l'EMM, à la discrétion de l'entreprise. L'administrateur informatique doit spécifier dans la console EMM l'emplacement de l'APK.
La console de l'EMM doit générer un fichier de définition d'APK approprié à l'aide de l'APK fourni et doit guider les administrateurs informatiques tout au long du processus de publication.
3.13.3. Les administrateurs informatiques peuvent mettre à jour les applications privées auto-hébergées, et la console de l'EMM peut publier de manière silencieuse les fichiers de définition de l'APK mis à jour à l'aide de l'API Google Play Developer Publishing.
Le serveur de l'EMM répond aux requêtes de téléchargement de l'APK auto-hébergé qui contient un jeton JWT valide dans le cookie de la requête, comme vérifié par la clé publique de l'application privée.
- Pour faciliter ce processus, le serveur de l'EMM doit guider les administrateurs informatiques pour qu'ils téléchargent la clé publique de licence de l'application auto-hébergée à partir de la Play Console Google Play, puis importent cette clé dans la console EMM.
3.14. Notifications d'extraction EMM
Cette fonctionnalité ne s'applique pas à l'API Android Management. Configurez plutôt des notifications Pub/Sub.
3.15. Conditions d'utilisation de l'API
L'EMM implémente les API Android Management à grande échelle, en évitant les modèles de trafic qui pourraient nuire à la capacité des entreprises à gérer les applications dans les environnements de production.
L'EMM doit respecter les limites d'utilisation de l'API Android Management. Si vous ne corrigez pas tout comportement non conforme à ces consignes, Google peut, à la seule discrétion de Google, suspendre l'utilisation de l'API.
3.15.2. L'EMM doit distribuer le trafic de différentes entreprises tout au long de la journée, plutôt que de regrouper le trafic d'entreprise à des heures spécifiques ou similaires. Un comportement correspondant à ce modèle de trafic, comme des opérations par lot planifiées pour chaque appareil enregistré, peut entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.
3.15.3. L'EMM ne doit pas envoyer de requêtes cohérentes, incomplètes ou délibérément incorrectes qui n'essaient pas de récupérer ou de gérer des données d'entreprise réelles. Un comportement correspondant à ce schéma de trafic peut entraîner la suspension de l'utilisation de l'API, à la discrétion de Google.
3.16. Gestion avancée des configurations gérées
L'EMM est compatible avec les fonctionnalités avancées de gestion des configurations gérées suivantes:
3.16.1. La console de l'EMM doit pouvoir récupérer et afficher les paramètres de configuration gérés imbriqués sur quatre niveaux maximum de n'importe quelle application Play, à l'aide des éléments suivants:
- L'iFrame Google Play d'entreprise, ou
- une UI personnalisée.
3.16.2. La console EMM doit pouvoir récupérer et afficher tous les commentaires renvoyés par le canal de commentaires d'une application, une fois configurée par un administrateur informatique.
- La console de l'EMM doit permettre aux administrateurs informatiques d'associer un élément de commentaires spécifique à l'appareil et à l'application d'où il provient.
- La console EMM doit permettre aux administrateurs informatiques de s'abonner aux alertes ou aux rapports de types de messages spécifiques (tels que des messages d'erreur).
3.16.3. La console de l'EMM ne doit envoyer que des valeurs qui ont une valeur par défaut ou qui sont définies manuellement par l'administrateur à l'aide des éléments suivants:
- L'iFrame de configurations gérées, ou
- Une UI personnalisée.
3.17. Gestion des applications Web
Les administrateurs informatiques peuvent créer et distribuer des applications Web dans la console EMM.
3.17.1. La console EMM permet aux administrateurs informatiques de distribuer des raccourcis vers des applications Web à l'aide des éléments suivants:
3.18. Gestion du cycle de vie des comptes Google Play d'entreprise
L'EMM peut créer, mettre à jour et supprimer des comptes Google Play d'entreprise pour le compte des administrateurs informatiques, ainsi qu'effectuer une récupération automatique après expiration du compte.
Cette fonctionnalité est prise en charge par défaut. Aucune implémentation EMM supplémentaire n'est requise.
3.19. Gestion des canaux d'application
3.19.1. Les administrateurs informatiques peuvent extraire la liste des ID de canal définis par un développeur pour une application spécifique.
3.19.2. Les administrateurs informatiques peuvent configurer les appareils pour qu'ils utilisent un canal de développement particulier pour une application.
3.20. Gestion avancée des mises à jour des applications
Les administrateurs informatiques peuvent autoriser les applications à être mises à jour immédiatement ou à être mises à jour dans 90 jours.
3.20.1. Les administrateurs informatiques peuvent autoriser la mise à jour des mises à jour prioritaires lorsqu'une mise à jour est disponible. 3.20.2. Les administrateurs informatiques peuvent autoriser la mise à jour des applications pendant 90 jours.
3.21. Gestion des méthodes de provisionnement
L'EMM peut générer des configurations de provisionnement et les présenter à l'administrateur informatique sous une forme prête à être distribuée aux utilisateurs finaux (par exemple, code QR, configuration sans contact, URL du Play Store).
4. Gestion des appareils
4.1. Gestion des règles d'autorisation d'exécution
Les administrateurs informatiques peuvent définir de manière silencieuse une réponse par défaut aux demandes d'autorisation d'exécution effectuées par les applications professionnelles.
4.1.1. Les administrateurs informatiques doivent pouvoir choisir parmi les options suivantes lorsqu'ils définissent une règle d'autorisation d'exécution par défaut pour leur organisation:
- invite (permet aux utilisateurs de choisir)
- allow
- deny
L'EMM doit appliquer ces paramètres à l'aide d'une règle.
4.2. Gestion de l'état des attributions d'autorisations d'exécution
Après avoir défini une stratégie d'autorisation d'exécution par défaut (passez à la section 4.1.), Les administrateurs informatiques peuvent définir de manière silencieuse des réponses pour des autorisations spécifiques à partir de n'importe quelle application professionnelle basée sur l'API 23 ou version ultérieure.
4.2.1. Les administrateurs informatiques doivent pouvoir définir l'état d'attribution (par défaut, accord ou refus) de toute autorisation demandée par une application professionnelle basée sur l'API 23 ou version ultérieure. L'EMM doit appliquer ces paramètres à l'aide d'une règle.
4.3. Gestion de la configuration Wi-Fi
Les administrateurs informatiques peuvent provisionner en mode silencieux des configurations Wi-Fi d'entreprise sur des appareils gérés, y compris:
4.3.1. SSID, à l'aide d'une règle.
4.3.2. Mot de passe, à l'aide de policy.
4.4. Gestion de la sécurité Wi-Fi
Les administrateurs informatiques peuvent provisionner des configurations Wi-Fi d'entreprise sur des appareils qui incluent les fonctionnalités de sécurité avancées suivantes:
4.4.1. Identité
4.4.2. Certificats d'autorisation client
4.4.3. Certificats CA
4.5. Gestion avancée du Wi-Fi
Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi sur les appareils gérés afin d'empêcher les utilisateurs de créer ou de modifier des configurations d'entreprise.
4.5.1. Les administrateurs informatiques peuvent verrouiller les configurations Wi-Fi d'entreprise à l'aide d'une règle dans l'une des configurations suivantes:
- Les utilisateurs ne peuvent pas modifier les configurations Wi-Fi provisionnées par l'EMM (accédez à
wifiConfigsLockdownEnabled
), mais ils peuvent ajouter et modifier leurs propres réseaux configurables par l'utilisateur (par exemple, des réseaux personnels). - Les utilisateurs ne peuvent pas ajouter ni modifier de réseau Wi-Fi sur l'appareil (accédez à
wifiConfigDisabled
). La connectivité Wi-Fi est donc limitée aux seuls réseaux provisionnés par l'EMM.
4.6. Gestion des comptes
Les administrateurs informatiques peuvent s'assurer que seuls les comptes d'entreprise autorisés peuvent interagir avec les données d'entreprise, pour des services tels que les applications de productivité et de stockage SaaS, ou les e-mails. Sans cette fonctionnalité, les utilisateurs peuvent ajouter des comptes personnels à ces applications d'entreprise qui acceptent également les comptes client, ce qui leur permet de partager des données d'entreprise avec ces comptes personnels.
4.6.1. Les administrateurs informatiques peuvent empêcher les utilisateurs d'ajouter ou de modifier des comptes (voir modifyAccountsDisabled
).
- Lorsque vous appliquez cette règle sur un appareil, les EMM doivent définir cette restriction avant la fin du provisionnement pour s'assurer que les utilisateurs ne peuvent pas contourner cette règle en ajoutant des comptes avant qu'elle ne soit appliquée.
4.7. Gestion des comptes Workspace
L'API Android Management n'est pas compatible avec cette fonctionnalité.
4.8. Gestion des certificats
Permet aux administrateurs informatiques de déployer des certificats d'identité et des autorités de certification sur les appareils pour permettre l'utilisation des ressources de l'entreprise.
4.8.1. Les administrateurs informatiques peuvent installer des certificats d'identité utilisateur générés par leur PKI par utilisateur. La console de l'EMM doit s'intégrer à au moins une PKI et distribuer les certificats générés à partir de cette infrastructure.
4.8.2. Les administrateurs informatiques peuvent installer des autorités de certification (voir caCerts
) dans le keystore géré. Toutefois, cette sous-fonctionnalité n'est pas prise en charge.
4.9. Gestion avancée des certificats
Permet aux administrateurs informatiques de sélectionner de manière silencieuse les certificats que des applications gérées spécifiques doivent utiliser. Cette fonctionnalité permet également aux administrateurs informatiques de supprimer les CA et les certificats d'identité des appareils actifs, et d'empêcher les utilisateurs de modifier les identifiants stockés dans le keystore géré.
4.9.1. Les administrateurs informatiques peuvent spécifier un certificat pour toute application distribuée sur des appareils. L'application recevra un accès en mode silencieux pendant l'exécution. (Cette sous-fonctionnalité n'est pas prise en charge)
- La sélection de certificats doit être suffisamment générique pour permettre une seule configuration qui s'applique à tous les utilisateurs, chacun pouvant disposer d'un certificat d'identité spécifique à l'utilisateur.
4.9.2. Les administrateurs informatiques peuvent supprimer des certificats de manière silencieuse du keystore géré.
4.9.3. Les administrateurs informatiques peuvent désinstaller un certificat CA en mode silencieux. (Cette sous-fonctionnalité n'est pas disponible)
4.9.4. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer des identifiants (accédez à credentialsConfigDisabled
) dans le keystore géré.
4.9.5. Les administrateurs informatiques peuvent pré-accorder des certificats pour les applications professionnelles à l'aide de ChoosePrivateKeyRule.
4.10. Gestion déléguée des certificats
Les administrateurs informatiques peuvent distribuer une application de gestion de certificats tierce sur des appareils et accorder à cette application un accès privilégié pour installer des certificats dans le keystore géré.
4.10.1. Les administrateurs informatiques peuvent spécifier un package de gestion des certificats (accédez à delegatedCertInstallerPackage
) à définir comme application de gestion des certificats déléguée.
- Les EMM peuvent éventuellement suggérer des packages de gestion de certificats connus, mais doivent permettre à l'administrateur informatique de choisir parmi la liste des applications disponibles à l'installation pour les utilisateurs concernés.
4.11. Gestion VPN avancée
Permet aux administrateurs informatiques de spécifier un VPN permanent pour s'assurer que les données des applications gérées spécifiées passent toujours par une configuration du VPN.
Les administrateurs informatiques peuvent spécifier un package VPN arbitraire à définir comme VPN permanent.
- La console EMM peut éventuellement suggérer des packages VPN connus compatibles avec le VPN permanent, mais ne peut pas limiter les VPN disponibles pour la configuration du mode Always-on à une liste arbitraire.
4.11.2. Les administrateurs informatiques peuvent utiliser des configurations gérées pour spécifier les paramètres VPN d'une application.
4.12. Gestion des IME
Les administrateurs informatiques peuvent gérer les modes de saisie (IME) pouvant être configurés pour les appareils. Étant donné que l'IME est partagé entre les profils professionnel et personnel, le blocage de l'utilisation des IME empêche également les utilisateurs d'autoriser ces IME pour un usage personnel. Toutefois, les administrateurs informatiques ne peuvent pas bloquer l'utilisation des IME système sur les profils professionnels (pour en savoir plus, consultez la gestion avancée des IME).
4.12.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation IME (accédez à permitted_input_methods
) de longueur arbitraire (y compris une liste vide, qui bloque les IME autres que système), qui peut contenir n'importe quel package IME arbitraire.
- La console de l'EMM peut éventuellement suggérer des IME connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.
4.12.2. L'EMM doit informer les administrateurs informatiques que les IME système sont exclus de la gestion sur les appareils dotés de profils professionnels.
4.13. Gestion avancée de l'IME
Les administrateurs informatiques peuvent gérer les modes de saisie (IME) que les utilisateurs peuvent configurer sur un appareil. La gestion avancée de l'IME étend la fonctionnalité de base en permettant aux administrateurs informatiques de gérer également l'utilisation des IME système, qui sont généralement fournis par le fabricant ou l'opérateur de l'appareil.
Les administrateurs informatiques peuvent configurer une liste d'autorisation IME (accédez à permitted_input_methods
) de longueur arbitraire (à l'exception d'une liste vide, qui bloque tous les IME, y compris les IME système), qui peut contenir n'importe quel package IME arbitraire.
- La console de l'EMM peut suggérer des IME connus ou recommandés à inclure dans la liste d'autorisation, mais doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.
4.13.2. Un fournisseur EMM doit empêcher les administrateurs informatiques de configurer une liste d'autorisation vide, car ce paramètre empêche la configuration de tous les IME, y compris les IME système, sur l'appareil.
4.13.3. Un fournisseur EMM doit s'assurer que si une liste d'autorisation d'IME ne contient pas d'IME système, les IME tiers sont installés silencieusement avant que la liste d'autorisation ne soit appliquée sur l'appareil.
4.14. Gestion des services d'accessibilité
Les administrateurs informatiques peuvent gérer les services d'accessibilité que les utilisateurs peuvent autoriser sur les appareils. Les services d'accessibilité sont des outils puissants pour les utilisateurs ayant un handicap ou qui ne peuvent temporairement pas interagir pleinement avec un appareil. Toutefois, ils peuvent interagir avec les données de l'entreprise de manière non conforme aux règles de l'entreprise. Cette fonctionnalité permet aux administrateurs informatiques de désactiver tout service d'accessibilité non système.
4.14.1. Les administrateurs informatiques peuvent configurer une liste d'autorisation de services d'accessibilité (accédez à permittedAccessibilityServices
) de longueur arbitraire (y compris une liste vide, qui bloque les services d'accessibilité hors système), qui peut contenir n'importe quel package de service d'accessibilité arbitraire. Lorsqu'il est appliqué à un profil professionnel, cela affecte à la fois le profil personnel et le profil professionnel.
- La console peut éventuellement suggérer des services d'accessibilité connus ou recommandés à inclure dans la liste d'autorisation, mais elle doit permettre à l'administrateur informatique de choisir parmi la liste des applications pouvant être installées pour les utilisateurs concernés.
4.15. Gestion du partage de position
Les administrateurs informatiques peuvent empêcher les utilisateurs de partager des données de localisation avec les applications du profil professionnel. Sinon, le paramètre de localisation du profil professionnel est configurable dans "Paramètres".
Les administrateurs informatiques peuvent désactiver les services de localisation (accédez à shareLocationDisabled
) dans le profil professionnel.
4.16. Gestion avancée du partage de position
Les administrateurs informatiques peuvent appliquer un paramètre de partage de position donné sur un appareil géré. Cette fonctionnalité permet de s'assurer que les applications d'entreprise disposent toujours de données de localisation très précises. Cette fonctionnalité peut également vous assurer que la batterie n'est pas consommée en limitant les paramètres de localisation au mode Économiseur de batterie.
4.16.1. Les administrateurs informatiques peuvent définir les services de localisation de l'appareil sur chacun des modes suivants:
- Haute précision.
- Capteurs uniquement, par exemple GPS, mais sans inclure la position fournie par le réseau.
- Économiseur de batterie, qui limite la fréquence des mises à jour.
- Désactivé.
4.17. Gestion de la protection après rétablissement de la configuration d'usine
Permet aux administrateurs informatiques de protéger les appareils détenus par l'entreprise contre le vol en s'assurant que les utilisateurs non autorisés ne peuvent pas rétablir la configuration d'usine des appareils. Si la protection après rétablissement de la configuration d'usine entraîne des complexités opérationnelles lorsque les appareils sont renvoyés à l'équipe IT, les administrateurs informatiques peuvent désactiver complètement la protection après rétablissement de la configuration d'usine.
4.17.1. Les administrateurs informatiques peuvent empêcher les utilisateurs de rétablir la configuration d'usine (accédez à factoryResetDisabled
) de leur appareil dans les paramètres.
4.17.2. Les administrateurs informatiques peuvent spécifier le ou les comptes de déverrouillage d'entreprise autorisés à provisionner des appareils (accédez à frpAdminEmails
) après une réinitialisation.
- Ce compte peut être associé à une personne ou utilisé par l'ensemble de l'entreprise pour déverrouiller les appareils.
4.17.3. Les administrateurs informatiques peuvent désactiver la protection après rétablissement de la configuration d'usine (accédez à factoryResetDisabled
) pour les appareils spécifiés.
4.17.4. Les administrateurs informatiques peuvent lancer un effacement à distance de l'appareil qui efface éventuellement les données de protection après rétablissement de la configuration d'usine, ce qui supprime la protection après rétablissement de la configuration d'usine sur l'appareil réinitialisé.
4.18. Contrôle avancé des applications
Les administrateurs informatiques peuvent empêcher l'utilisateur de désinstaller ou de modifier les applications gérées dans les paramètres. Par exemple, en empêchant l'arrêt forcé de l'application ou en vidant le cache de données d'une application.
4.18.1. Les administrateurs informatiques peuvent bloquer la désinstallation de toute application gérée arbitraire, ou de toutes les applications gérées (accédez à uninstallAppsDisabled
).
4.18.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les données d'application dans les paramètres. (L'API Android Management n'est pas compatible avec cette sous-fonctionnalité)
4.19. Gestion des captures d'écran
Les administrateurs informatiques peuvent empêcher les utilisateurs de prendre des captures d'écran lorsqu'ils utilisent des applications gérées. Ce paramètre inclut le blocage des applications de partage d'écran et des applications similaires (telles que l'Assistant Google) qui utilisent les fonctionnalités de capture d'écran du système.
4.19.1. Les administrateurs informatiques peuvent empêcher les utilisateurs de effectuer des captures d'écran (accédez à screenCaptureDisabled
).
4.20. Désactiver les appareils photo
Les administrateurs informatiques peuvent désactiver l'utilisation des appareils photo des appareils par les applications gérées.
4.20.1. Les administrateurs informatiques peuvent désactiver l'utilisation des caméras de l'appareil (accédez à cameraDisabled
) par les applications gérées.
4.21. Collecte des statistiques réseau
L'API Android Management n'est pas compatible avec cette fonctionnalité.
4.22. Collecte des statistiques réseau avancées
L'API Android Management n'est pas compatible avec cette fonctionnalité.
4,23. Redémarrer l'appareil
Les administrateurs informatiques peuvent redémarrer à distance les appareils gérés.
4.23.1. Les administrateurs informatiques peuvent redémarrer à distance un appareil géré.
4.24. Gestion du système radio
Fournit aux administrateurs informatiques une gestion précise des options du réseau système et des règles d'utilisation associées à l'aide de règles.
4.24.1. Les administrateurs informatiques peuvent désactiver les diffusions cellulaires envoyées par les fournisseurs de services (accédez à cellBroadcastsConfigDisabled
).
4.24.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les paramètres de réseau mobile dans Paramètres (accédez à mobileNetworksConfigDisabled
).
Les administrateurs informatiques peuvent empêcher les utilisateurs de réinitialiser tous les paramètres réseau dans "Paramètres". (accédez à networkResetDisabled
).
4.24.4. Les administrateurs informatiques peuvent configurer si l'appareil autorise les données mobiles en itinérance (accédez à dataRoamingDisabled
).
4.24.5. Les administrateurs informatiques peuvent configurer si l'appareil peut passer des appels téléphoniques sortants, à l'exception des appels d'urgence (accédez à outGoingCallsDisabled
).
4.24.6. Les administrateurs informatiques peuvent configurer si l'appareil peut envoyer et recevoir des messages texte (accédez à smsDisabled
).
4.24.7. Les administrateurs informatiques peuvent empêcher les utilisateurs d'utiliser leur appareil en tant que point d'accès mobile en utilisant le partage de connexion (accédez à tetheringConfigDisabled
).
4.24.8. Les administrateurs informatiques peuvent définir le délai avant expiration du Wi-Fi par défaut, lorsqu'il est branché ou jamais. (L'API Android Management n'est pas compatible avec cette sous-fonctionnalité)
4.24.9. Les administrateurs informatiques peuvent empêcher les utilisateurs de configurer ou de modifier des connexions Bluetooth existantes (accédez à bluetoothConfigDisabled
).
4.25. Gestion audio du système
Les administrateurs informatiques peuvent contrôler silencieusement les fonctionnalités audio de l'appareil, y compris en désactivant le son de l'appareil, en empêchant les utilisateurs de modifier les paramètres de volume et en les empêchant de réactiver le micro de l'appareil.
4.25.1. Les administrateurs informatiques peuvent couper le son des appareils gérés de manière silencieuse. (L'API Android Management n'est pas compatible avec cette sous-fonctionnalité.)
4.25.2. Les administrateurs informatiques peuvent empêcher les utilisateurs de modifier les paramètres de volume de l'appareil (accédez à adjustVolumeDisabled
). Cela met également les appareils en mode silencieux.
4.25.3. Les administrateurs informatiques peuvent empêcher les utilisateurs de réactiver le micro de l'appareil (accédez à unmuteMicrophoneDisabled
).
4.26. Gestion de l'horloge système
Les administrateurs informatiques peuvent gérer les paramètres d'horloge et de fuseau horaire de l'appareil, et empêcher les utilisateurs de modifier les paramètres automatiques des appareils.
4.26.1. Les administrateurs informatiques peuvent appliquer l'heure et le fuseau horaire automatiques du système, ce qui empêche l'utilisateur de définir la date, l'heure et le fuseau horaire de l'appareil.
4.27. Fonctionnalités avancées des appareils dédiés
Pour les appareils dédiés, les administrateurs informatiques peuvent gérer les fonctionnalités suivantes à l'aide de règles afin de prendre en charge différents cas d'utilisation des kiosques.
4.27.1. Les administrateurs informatiques peuvent désactiver le clavier de l'appareil (accédez à keyguardDisabled
).
4.27.2. Les administrateurs informatiques peuvent désactiver la barre d'état de l'appareil, ce qui bloque les notifications et les paramètres rapides (accédez à statusBarDisabled
).
4.27.3. Les administrateurs informatiques peuvent forcer l'écran de l'appareil à rester allumé lorsque l'appareil est branché (accédez à stayOnPluggedModes
).
4.27.4. Les administrateurs informatiques peuvent empêcher l'affichage des UI système suivantes (accédez à createWindowsDisabled
):
- Notifications toast
- Superpositions d'application.
4.27.5. Les administrateurs informatiques peuvent autoriser la recommandation du système pour que les applications ignorent leur tutoriel utilisateur et d'autres conseils d'introduction lors du premier démarrage (accédez à skip_first_use_hints
).
4.28. Gestion des champs d'application délégués
Les administrateurs informatiques peuvent déléguer des droits supplémentaires à des packages individuels.
4.28.1. Les administrateurs informatiques peuvent gérer les champs d'application suivants:
- Installation et gestion des certificats
- Vide délibérément
- Journalisation réseau
- Journalisation de sécurité (non disponible pour le profil professionnel sur un appareil personnel)
4.29. Assistance liée aux identifiants spécifiques à l'inscription
À partir d'Android 12, les profils professionnels n'auront plus accès aux identifiants spécifiques au matériel. Les administrateurs informatiques peuvent suivre le cycle de vie d'un appareil doté d'un profil professionnel grâce à l'ID spécifique à l'enregistrement, qui sera conservé lors des réinitialisations.
4.29.1. Les administrateurs informatiques peuvent obtenir un ID spécifique à l'enregistrement
Cet identifiant spécifique à l'enregistrement doit persister lors du rétablissement de la configuration d'usine
5. Facilité d'utilisation des appareils
5.1. Personnalisation du provisionnement géré
Les administrateurs informatiques peuvent modifier l'expérience utilisateur du flux de configuration par défaut pour inclure des fonctionnalités propres à l'entreprise. Les administrateurs informatiques peuvent éventuellement afficher le branding fourni par l'EMM lors du provisionnement.
5.1.1. Les administrateurs informatiques peuvent personnaliser le processus de provisionnement en spécifiant des conditions d'utilisation et d'autres clauses de non-responsabilité spécifiques à l'entreprise (accédez à termsAndConditions
).
5.1.2. Les administrateurs informatiques peuvent déployer des conditions d'utilisation et d'autres clauses de non-responsabilité non configurables, spécifiques à l'EMM (accédez à termsAndConditions
).
- Les EMM peuvent définir leur personnalisation non configurable, spécifique à l'EMM, comme valeur par défaut pour les déploiements, mais doivent permettre aux administrateurs informatiques de configurer leur propre personnalisation.
5.1.3. primaryColor
est obsolète pour la ressource Enterprise sur Android 10 ou version ultérieure.
5.2. Personnalisation d'entreprise
L'API Android Management n'est pas compatible avec cette fonctionnalité.
5.3. Personnalisation avancée pour les entreprises
L'API Android Management n'est pas compatible avec cette fonctionnalité.
5.4. Messages sur l'écran de verrouillage
Les administrateurs informatiques peuvent définir un message personnalisé qui s'affiche toujours sur l'écran de verrouillage de l'appareil et qui ne nécessite pas de déverrouiller l'appareil pour être consulté.
5.4.1. Les administrateurs informatiques peuvent définir un message personnalisé sur l'écran de verrouillage (accédez à deviceOwnerLockScreenInfo
).
5.5. Gestion de la transparence des règles
Les administrateurs informatiques peuvent personnaliser le texte d'aide fourni aux utilisateurs lorsqu'ils tentent de modifier les paramètres gérés sur leur appareil, ou déployer un message d'assistance générique fourni par l'EMM. Les messages d'assistance courts et longs peuvent être personnalisés et s'affichent dans des cas tels que la tentative de désinstallation d'une application gérée pour laquelle un administrateur informatique a déjà bloqué la désinstallation.
5.5.1. Les administrateurs informatiques peuvent personnaliser les messages d'assistance destinés aux utilisateurs, courts ou longs.
5.5.2. Les administrateurs informatiques peuvent déployer des messages d'assistance courts et longs, non configurables, spécifiques à l'EMM (accédez à shortSupportMessage
et longSupportMessage
dans policies
).
- L'EMM peut définir ses messages d'assistance non configurables et spécifiques à l'EMM comme paramètres par défaut pour les déploiements, mais doit permettre aux administrateurs informatiques de configurer leurs propres messages.
5.6. Gestion des contacts interprofils
5.6.1. Les administrateurs informatiques peuvent désactiver l'affichage des contacts professionnels dans les recherches de contacts du profil personnel et les appels entrants.
5.6.2. Les administrateurs informatiques peuvent désactiver le partage des contacts Bluetooth pour les contacts professionnels, par exemple les appels mains libres dans les voitures ou les casques.
5.7. Gestion des données interprofils
Permet aux administrateurs informatiques de gérer les types de données pouvant être partagés entre les profils professionnel et personnel, ce qui leur permet d'équilibrer l'usabilité et la sécurité des données en fonction de leurs exigences.
5.7.1. Les administrateurs informatiques peuvent configurer des règles de partage des données entre les profils afin que les applications personnelles puissent résoudre les intents du profil professionnel, tels que les intents de partage ou les liens Web.
5.7.2. Les administrateurs informatiques peuvent autoriser les applications du profil professionnel à créer et à afficher des widgets sur l'écran d'accueil du profil personnel. Cette fonctionnalité est désactivée par défaut, mais peut être autorisée à l'aide des champs workProfileWidgets
et workProfileWidgetsDefault
.
5.7.3. Les administrateurs informatiques peuvent contrôler la possibilité de copier/coller entre les profils professionnel et personnel.
5.8. Règle de mise à jour du système
Les administrateurs informatiques peuvent configurer et appliquer des mises à jour système Over The Air (OTA) aux appareils.
5.8.1. La console de l'EMM permet aux administrateurs informatiques de définir les configurations OTA suivantes:
- Automatique: les appareils installent les mises à jour OTA lorsqu'elles sont disponibles.
- Reporter: les administrateurs informatiques doivent pouvoir reporter la mise à jour OTA jusqu'à 30 jours. Cette règle n'affecte pas les mises à jour de sécurité (par exemple, les correctifs de sécurité mensuels).
- Fenêtré: les administrateurs informatiques doivent pouvoir planifier les mises à jour OTA dans un intervalle de maintenance quotidien.
5.8.2. Les configurations OTA sont appliquées aux appareils à l'aide d'une règle.
5.9. Gestion du mode tâches verrouillées
Les administrateurs informatiques peuvent verrouiller une application ou un ensemble d'applications à l'écran et s'assurer que les utilisateurs ne peuvent pas les quitter.
5.9.1. La console EMM permet aux administrateurs informatiques d'autoriser silencieusement un ensemble arbitraire d'applications à installer un appareil et à s'y verrouiller. Règle permet de configurer des appareils dédiés.
5.10. Gestion persistante des activités préférées
Permet aux administrateurs informatiques de définir une application comme gestionnaire d'intent par défaut pour les intents correspondant à un certain filtre d'intent. Par exemple, cette fonctionnalité permettrait aux administrateurs informatiques de choisir l'application de navigateur qui ouvre automatiquement les liens Web. Cette fonctionnalité peut gérer l'application de lanceur utilisée lorsque vous appuyez sur le bouton d'accueil.
Les administrateurs informatiques peuvent définir n'importe quel package comme gestionnaire d'intent par défaut pour n'importe quel filtre d'intent arbitraire.
- La console EMM peut éventuellement suggérer des intents connus ou recommandés pour la configuration, mais ne peut pas limiter les intents à une liste arbitraire.
- La console de l'EMM doit permettre aux administrateurs informatiques de choisir parmi la liste des applications disponibles à installer pour les utilisateurs concernés.
5.11. Gestion des fonctionnalités du clavier de verrouillage
Les administrateurs informatiques peuvent gérer les fonctionnalités disponibles pour les utilisateurs avant de déverrouiller le verrouillage de l'appareil (écran de verrouillage) et le verrouillage de l'authentification professionnelle (écran de verrouillage).
5.11.1.Règle : vous pouvez désactiver les fonctionnalités suivantes du clavier de verrouillage de l'appareil :
- agents de confiance
- déverrouillage par empreinte digitale
- notifications non masquées
5.11.2. Les fonctionnalités de protection du clavier suivantes du profil professionnel peuvent être désactivées à l'aide de policy :
- agents de confiance
- déverrouillage par empreinte digitale
5.12. Gestion avancée des fonctionnalités de verrouillage du clavier
- Caméra sécurisée
- Toutes les notifications
- Non masquées
- Agents de confiance
- Fingerprint Unlock
- Toutes les fonctionnalités du clavier de protection
5.13. Débogage à distance
L'API Android Management n'est pas compatible avec cette fonctionnalité.
5.14. Récupération de l'adresse MAC
Les EMM peuvent récupérer de manière silencieuse l'adresse MAC d'un appareil pour l'utiliser afin d'identifier les appareils dans d'autres parties de l'infrastructure de l'entreprise (par exemple, lors de l'identification des appareils pour la gestion des accès réseau).
5.14.1. L'EMM peut récupérer de manière silencieuse l'adresse MAC d'un appareil et l'associer à l'appareil dans la console de l'EMM.
5.15. Gestion avancée du mode tâches verrouillées
Avec un appareil dédié, les administrateurs informatiques peuvent utiliser la console EMM pour effectuer les tâches suivantes:
5.15.1. Autorisez en mode silencieux une seule application à s'installer sur un appareil et à s'y verrouiller.
5.15.2. Activez ou désactivez les fonctionnalités d'interface utilisateur système suivantes:
- Bouton "Accueil"
- Présentation
- Actions générales
- Notifications
- Informations système / Barre d'état
- Verrouillage des touches (écran de verrouillage) Cette sous-fonctionnalité est activée par défaut lorsque la version 5.15.1 est implémentée.
5.15.3. Désactivez Boîtes de dialogue d'erreur système.
5.16. Règle de mise à jour du système avancée
Les administrateurs informatiques peuvent définir une période de blocage pour bloquer les mises à jour du système sur un appareil.
5.16.1. La console de l'EMM doit permettre aux administrateurs informatiques de bloquer les mises à jour du système Over The Air (OTA) pendant une période de blocage spécifiée.
5.17. Gestion de la transparence des règles du profil professionnel
Les administrateurs informatiques peuvent personnaliser le message affiché aux utilisateurs lorsqu'ils suppriment le profil professionnel d'un appareil.
5.17.1. Les administrateurs informatiques peuvent fournir un texte personnalisé à afficher (accédez à wipeReasonMessage
) lorsqu'un profil professionnel est effacé.
5.18. Assistance pour les applications connectées
Les administrateurs informatiques peuvent définir une liste de packages pouvant communiquer au-delà de la limite du profil professionnel en définissant ConnectedWorkAndPersonalApp.
5.19. Mise à jour manuelle du système
L'API Android Management n'est pas compatible avec cette fonctionnalité.
6. Abandon de Device Administration
6.1. Abandon de Device Administration
Les EMM doivent publier un plan d'arrêt de la prise en charge client de Device Admin sur les appareils GMS d'ici la fin du premier trimestre 2023.
7. Utilisation de l'API
7.1. Policy Controller standard pour les nouvelles liaisons
Par défaut, les appareils doivent être gérés à l'aide d'Android Device Policy pour toute nouvelle liaison. Les EMM peuvent proposer la possibilité de gérer les appareils à l'aide d'un DPC personnalisé dans une zone de paramètres sous l'en-tête "Avancé" ou une terminologie similaire. Les nouveaux clients ne doivent pas être exposés à un choix arbitraire entre des piles technologiques lors de tout processus d'intégration ou de configuration.
7.2. Outil de contrôle des règles standard pour les nouveaux appareils
Par défaut, les appareils doivent être gérés à l'aide d'Android Device Policy pour tous les nouveaux enregistrements d'appareils, pour les liaisons existantes et nouvelles. Les EMM peuvent proposer la possibilité de gérer les appareils à l'aide d'un DPC personnalisé dans une zone de paramètres sous l'en-tête "Avancé" ou une terminologie similaire.