หน้านี้มีรายการฟีเจอร์ Android Enterprise ทั้งหมด
หากต้องการจัดการอุปกรณ์มากกว่า 500 เครื่อง โซลูชัน EMM ของคุณต้องรองรับฟีเจอร์มาตรฐานทั้งหมด () ของชุดโซลูชันอย่างน้อย 1 ชุดก่อนจึงจะพร้อมให้บริการในเชิงพาณิชย์ได้ โซลูชัน EMM ที่ผ่านการยืนยันฟีเจอร์มาตรฐานจะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ว่าเป็นโซลูชันที่เสนอชุดการจัดการมาตรฐาน
ฟีเจอร์ขั้นสูงชุดเพิ่มเติมมีให้ใช้งานสำหรับชุดโซลูชันแต่ละชุด ฟีเจอร์เหล่านี้จะแสดงอยู่ในหน้าชุดโซลูชันแต่ละหน้า ได้แก่ โปรไฟล์งานในอุปกรณ์ส่วนตัว โปรไฟล์งานในอุปกรณ์ของบริษัท อุปกรณ์ที่มีการจัดการครบวงจร และอุปกรณ์เฉพาะ โซลูชัน EMM ที่ผ่านการยืนยันฟีเจอร์ขั้นสูงจะแสดงอยู่ในไดเรกทอรี Enterprise Solutions ของ Android ว่าเป็นโซลูชันที่เสนอชุดการจัดการขั้นสูง
คีย์
| ฟีเจอร์มาตรฐาน รายการ | ฟีเจอร์ขั้นสูง | ฟีเจอร์ที่ไม่บังคับ | ไม่เกี่ยวข้อง |
1. การจัดเตรียมอุปกรณ์
1.1 การจัดสรรโปรไฟล์งานแบบ DPC เป็นหลัก
หลังจากดาวน์โหลด Android Device Policy จาก Google Play แล้ว ผู้ใช้จะจัดสรรโปรไฟล์งานได้
1.1.1. EMM จะมอบคิวอาร์โค้ดหรือรหัสเปิดใช้งานให้แก่ผู้ดูแลระบบไอทีเพื่อรองรับวิธีการจัดสรรอุปกรณ์นี้ (ไปที่ การลงทะเบียนและการจัดสรรอุปกรณ์)
1.2 การจัดเตรียมอุปกรณ์ที่มีตัวระบุ DPC
การป้อน "afw#" ในวิซาร์ดการตั้งค่าของอุปกรณ์จะจัดสรรอุปกรณ์ที่มีการจัดการครบวงจรหรืออุปกรณ์เฉพาะ
1.2.1. EMM จะมอบคิวอาร์โค้ดหรือรหัสเปิดใช้งานให้ผู้ดูแลระบบไอทีเพื่อรองรับวิธีจัดสรรนี้ (ไปที่การลงทะเบียนและการจัดสรรอุปกรณ์)
1.3 การจัดเตรียมอุปกรณ์ NFC
ผู้ดูแลระบบไอทีสามารถใช้แท็ก NFC เพื่อจัดสรรอุปกรณ์ใหม่หรืออุปกรณ์ที่รีเซ็ตเป็นค่าเริ่มต้นได้ โดยเป็นไปตามหลักเกณฑ์การใช้งานที่ระบุไว้ในเอกสารประกอบสำหรับนักพัฒนาแอปของ Play EMM API
1.3.1. EMM ต้องใช้แท็ก NFC Forum ประเภท 2 ที่มีหน่วยความจำอย่างน้อย 888 ไบต์ การจัดสรรต้องใช้ส่วนเสริมการจัดสรรเพื่อส่งรายละเอียดการลงทะเบียนที่ไม่สำคัญ เช่น รหัสเซิร์ฟเวอร์และรหัสลงทะเบียนไปยังอุปกรณ์ รายละเอียดการลงทะเบียนไม่ควรมีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง
1.3.2. เราขอแนะนำให้ใช้แท็ก NFC สำหรับ Android 10 ขึ้นไปเนื่องจากมีการเลิกใช้งาน NFC Beam (หรือที่เรียกว่า NFC Bump)
1.4. การจัดสรรอุปกรณ์ด้วยคิวอาร์โค้ด
คอนโซลของ EMM สามารถสร้างคิวอาร์โค้ดที่ผู้ดูแลระบบไอทีสามารถสแกนเพื่อจัดสรรอุปกรณ์ที่มีการจัดการครบวงจรหรืออุปกรณ์เฉพาะได้ ตามหลักเกณฑ์การใช้งานที่ระบุไว้ในเอกสารประกอบสำหรับนักพัฒนาซอฟต์แวร์ของ Android Management API
1.4.1. คิวอาร์โค้ดต้องใช้การจัดสรรเพิ่มเติมเพื่อส่งรายละเอียดการลงทะเบียนที่ไม่ละเอียดอ่อน (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) ไปยังอุปกรณ์ รายละเอียดการลงทะเบียนต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง
1.5. การตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
ผู้ดูแลระบบไอทีสามารถกำหนดค่าอุปกรณ์ที่ซื้อจากตัวแทนจำหน่ายที่ได้รับอนุญาตล่วงหน้าและจัดการอุปกรณ์เหล่านั้นโดยใช้คอนโซล EMM
1.5.1. ผู้ดูแลระบบไอทีสามารถจัดสรรอุปกรณ์ของบริษัทได้โดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มที่ระบุไว้ในการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มสำหรับผู้ดูแลระบบไอที
1.5.2. เมื่อเปิดอุปกรณ์เป็นครั้งแรก ระบบจะบังคับให้อุปกรณ์ใช้การตั้งค่าที่นักดูแลระบบไอทีกำหนดไว้โดยอัตโนมัติ
1.6. การจัดสรรอุปกรณ์พร้อมใช้แบบรวมกลุ่มขั้นสูง
ผู้ดูแลระบบไอทีสามารถทำให้กระบวนการลงทะเบียนอุปกรณ์ส่วนใหญ่เป็นแบบอัตโนมัติได้ด้วยการลงทะเบียนการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม เมื่อใช้ร่วมกับ URL การลงชื่อเข้าใช้ ผู้ดูแลระบบไอทีสามารถจำกัดการลงทะเบียนไว้เฉพาะบัญชีหรือโดเมนที่ต้องการได้ ตามตัวเลือกการกำหนดค่าที่ EMM นำเสนอ
1.6.1. ผู้ดูแลระบบไอทีสามารถจัดเตรียมอุปกรณ์ของบริษัทได้โดยใช้วิธีการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.6.2. ข้อกำหนดนี้เลิกใช้งานแล้ว
1.6.3. เมื่อใช้ URL การลงชื่อเข้าใช้ EMM ต้องตรวจสอบว่าผู้ใช้ที่ไม่ได้รับอนุญาตไม่สามารถดําเนินการเปิดใช้งานต่อได้ อย่างน้อยที่สุด การเปิดใช้งานต้องจำกัดไว้สำหรับผู้ใช้ขององค์กรหนึ่งๆ
1.6.4. เมื่อใช้ URL การลงชื่อเข้าใช้ EMM จะต้องให้ผู้ดูแลระบบไอทีป้อนรายละเอียดการลงทะเบียนล่วงหน้าได้ (เช่น รหัสเซิร์ฟเวอร์ รหัสการลงทะเบียน) นอกเหนือจากข้อมูลผู้ใช้หรืออุปกรณ์ที่ไม่ซ้ำกัน (เช่น ผู้ใช้/รหัสผ่าน โทเค็นการเปิดใช้งาน) เพื่อไม่ให้ผู้ใช้ต้องป้อนรายละเอียดเมื่อเปิดใช้งานอุปกรณ์
- EMM ต้องไม่มีข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่านหรือใบรับรอง ในการกำหนดค่าของการตั้งค่าอุปกรณ์พร้อมใช้
1.7 การจัดสรรโปรไฟล์งานของบัญชี Google
สำหรับองค์กรที่ใช้โดเมน Google ที่มีการจัดการ ฟีเจอร์นี้จะแนะนำผู้ใช้ในการตั้งค่าโปรไฟล์งานหลังจากป้อนข้อมูลเข้าสู่ระบบ Workspace ขององค์กรระหว่างการตั้งค่าอุปกรณ์หรือในอุปกรณ์ที่เปิดใช้งานแล้ว ไม่ว่าในกรณีใด ระบบจะย้ายข้อมูลข้อมูลประจำตัวของ Workspace ขององค์กรไปยังโปรไฟล์งาน
1.8. การจัดสรรอุปกรณ์บัญชี Google
Android Management API ไม่รองรับฟีเจอร์นี้
1.9. การกำหนดค่าการตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยตรง
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อตั้งค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่มโดยใช้iframe อุปกรณ์พร้อมใช้แบบรวมกลุ่ม
1.10. โปรไฟล์งานในอุปกรณ์ของบริษัท
EMM สามารถลงทะเบียนอุปกรณ์ของบริษัทที่มีโปรไฟล์งานได้โดยการตั้งค่าAllowPersonalUsage
1.10.1. จงใจเว้นว่างไว้
1.10.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าการดำเนินการเพื่อปฏิบัติตามข้อกำหนดสำหรับโปรไฟล์งานในอุปกรณ์ของบริษัทผ่านPersonalUsagePolicies
1.10.3. ผู้ดูแลระบบไอทีสามารถปิดใช้งานกล้องในโปรไฟล์งานหรือทั้งอุปกรณ์ผ่าน PersonalUsagePolicies
1.10.4. ผู้ดูแลระบบไอทีสามารถปิดใช้งานการจับภาพหน้าจอในโปรไฟล์งานหรือทั้งอุปกรณ์ผ่าน PersonalUsagePolicies
1.10.5. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่บล็อกของแอปพลิเคชันที่ติดตั้งในโปรไฟล์ส่วนตัวไม่ได้ผ่าน PersonalApplicationPolicy
1.10.6. ผู้ดูแลระบบไอทีสามารถสละสิทธิ์การจัดการอุปกรณ์ของบริษัทได้โดยการนำโปรไฟล์งานออกหรือล้างข้อมูลทั้งอุปกรณ์
1.11. การจัดเตรียมอุปกรณ์เฉพาะ
EMM สามารถลงทะเบียนอุปกรณ์เฉพาะได้โดยไม่ต้องแจ้งให้ผู้ใช้ตรวจสอบสิทธิ์ด้วยบัญชี Google
2. ความปลอดภัยของอุปกรณ์
2.1 มาตรการรักษาความปลอดภัยของอุปกรณ์
ผู้ดูแลระบบไอทีสามารถตั้งค่าและบังคับใช้มาตรการรักษาความปลอดภัยของอุปกรณ์ (PIN/รูปแบบ/รหัสผ่าน) จากตัวเลือกระดับความซับซ้อน 3 ระดับที่กำหนดไว้ล่วงหน้าในอุปกรณ์ที่มีการจัดการ
2.1.1. นโยบายต้องบังคับใช้การตั้งค่าที่จัดการปัญหาด้านความปลอดภัยของอุปกรณ์ (parentProfilePasswordRequirements สำหรับโปรไฟล์งาน, passwordRequirements สำหรับอุปกรณ์ที่มีการจัดการครบวงจรและอุปกรณ์เฉพาะ)
2.1.2. ความซับซ้อนของรหัสผ่านควรจับคู่กับความซับซ้อนของรหัสผ่านต่อไปนี้
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) รหัสผ่านตัวอักษร หรือรหัสผ่านตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) และมีความยาวอย่างน้อย 8 หรือรหัสผ่านตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6
2.1.3. นอกจากนี้ คุณยังบังคับใช้ข้อจำกัดเพิ่มเติมเกี่ยวกับรหัสผ่านเป็นการตั้งค่าเดิมในอุปกรณ์ของบริษัทได้ด้วย
2.2 มาตรการรักษาความปลอดภัยของงาน
ผู้ดูแลระบบไอทีสามารถตั้งค่าและบังคับใช้มาตรการลงชื่อเข้าใช้เพื่อตรวจสอบความปลอดภัยสำหรับแอปและข้อมูลในโปรไฟล์งานแยกต่างหากและมีข้อกำหนดแตกต่างจากมาตรการลงชื่อเข้าใช้เพื่อตรวจสอบความปลอดภัยของอุปกรณ์ (2.1.)
2.2.1. นโยบายต้องบังคับใช้คำถามเพื่อความปลอดภัยสำหรับโปรไฟล์งาน
- โดยค่าเริ่มต้น ผู้ดูแลระบบไอทีควรตั้งค่าข้อจำกัดสำหรับโปรไฟล์งานเท่านั้นหากไม่ได้ระบุขอบเขต
- ผู้ดูแลระบบไอทีสามารถตั้งค่านี้ในอุปกรณ์ทั้งหมดโดยระบุขอบเขต (ดูข้อกําหนด 2.1)
2.2.2. ความซับซ้อนของรหัสผ่านควรจับคู่กับความซับซ้อนของรหัสผ่านที่กำหนดไว้ล่วงหน้าต่อไปนี้
- PASSWORD_COMPLEXITY_LOW - รูปแบบหรือ PIN ที่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลำดับ (1234, 4321, 2468)
- PASSWORD_COMPLEXITY_MEDIUM - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) รหัสผ่านตัวอักษร หรือรหัสผ่านตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 4
- PASSWORD_COMPLEXITY_HIGH - PIN ที่ไม่มีตัวเลขที่ซ้ำกัน (4444) หรือตัวเลขที่เรียงลําดับ (1234, 4321, 2468) และมีความยาวอย่างน้อย 8 หรือรหัสผ่านตัวอักษรหรือตัวอักษรและตัวเลขคละกันที่มีความยาวอย่างน้อย 6
2.2.3. นอกจากนี้ คุณยังบังคับใช้ข้อจำกัดเพิ่มเติมเกี่ยวกับรหัสผ่านเป็นการตั้งค่าเดิมได้ด้วย
2.3 การจัดการรหัสผ่านขั้นสูง
ผู้ดูแลระบบไอทีสามารถตั้งค่ารหัสผ่านขั้นสูงในอุปกรณ์ได้
2.3.1. จงใจเว้นว่างไว้
2.3.2. จงใจเว้นว่างไว้
2.3.3. คุณตั้งการตั้งค่าวงจรการใช้งานรหัสผ่านต่อไปนี้สำหรับหน้าจอล็อกแต่ละหน้าจอที่มีในอุปกรณ์ได้
- จงใจเว้นว่าง
- จงใจเว้นว่าง
- จำนวนครั้งที่ป้อนรหัสผ่านไม่สำเร็จสูงสุดสำหรับการล้างข้อมูล: ระบุจำนวนครั้งที่ผู้ใช้ป้อนรหัสผ่านที่ไม่ถูกต้องได้ก่อนที่จะมีการล้างข้อมูลของบริษัทออกจากอุปกรณ์ ผู้ดูแลระบบไอทีต้องปิดฟีเจอร์นี้ได้
2.3.4. (Android 8.0 ขึ้นไป) ระยะหมดเวลาที่ต้องใช้การตรวจสอบสิทธิ์ที่รัดกุม: คุณต้องป้อนรหัสผ่านการตรวจสอบสิทธิ์ที่รัดกุม (เช่น PIN หรือรหัสผ่าน) หลังจากระยะเวลาหมดเวลาที่ผู้ดูแลระบบไอทีกำหนด หลังจากหมดระยะเวลาดังกล่าว ระบบจะปิดวิธีการตรวจสอบสิทธิ์ที่ไม่เข้มงวด (เช่น ลายนิ้วมือ ปลดล็อกด้วยใบหน้า) จนกว่าจะมีการปลดล็อกอุปกรณ์ด้วยรหัสผ่านการตรวจสอบสิทธิ์ที่รัดกุม
2.4 การจัดการล็อกอัจฉริยะ
ผู้ดูแลระบบไอทีสามารถจัดการได้ว่าจะให้เอเจนต์ความน่าเชื่อถือในฟีเจอร์ Smart Lock ของ Android ขยายเวลาปลดล็อกอุปกรณ์ได้นานถึง 4 ชั่วโมงหรือไม่
2.4.1. ผู้ดูแลระบบไอทีสามารถปิดใช้ตัวแทนความน่าเชื่อถือในอุปกรณ์
2.5 ล้างข้อมูลและล็อก
ผู้ดูแลระบบไอทีสามารถใช้คอนโซลของ EMM เพื่อล็อกและล้างข้อมูลงานออกจากอุปกรณ์ที่มีการจัดการจากระยะไกล
2.5.1. อุปกรณ์ต้องล็อกโดยใช้ Android Management API
2.5.2. ต้องล้างข้อมูลอุปกรณ์โดยใช้ Android Management API
2.6 การบังคับใช้เพื่อให้เป็นไปตามข้อกำหนด
หากอุปกรณ์ไม่เป็นไปตามนโยบายด้านความปลอดภัย กฎการปฏิบัติตามข้อกำหนดที่ Android Management API กำหนดไว้จะจำกัดการใช้ข้อมูลงานโดยอัตโนมัติ
2.6.1. นโยบายความปลอดภัยที่บังคับใช้ในอุปกรณ์ต้องมีนโยบายรหัสผ่านเป็นอย่างน้อย
2.7 นโยบายความปลอดภัยเริ่มต้น
EMM ต้องบังคับใช้นโยบายการรักษาความปลอดภัยที่ระบุในอุปกรณ์โดยค่าเริ่มต้น โดยที่ผู้ดูแลระบบไอทีไม่จําเป็นต้องตั้งค่าหรือปรับแต่งการตั้งค่าใดๆ ในคอนโซลของ EMM เราขอแนะนำให้ EMM (แต่ไม่ได้บังคับ) ไม่อนุญาตให้ผู้ดูแลระบบไอทีเปลี่ยนแปลงสถานะเริ่มต้นของฟีเจอร์ความปลอดภัยเหล่านี้
2.7.1. คุณต้องบล็อกการติดตั้งแอปจากแหล่งที่มาที่ไม่รู้จัก ซึ่งรวมถึงแอปที่ติดตั้งในฝั่งส่วนตัวของอุปกรณ์ Android 8.0 ขึ้นไปที่มีโปรไฟล์งาน ฟีเจอร์ย่อยนี้รองรับโดยค่าเริ่มต้น
2.7.2. ต้องบล็อกฟีเจอร์การแก้ไขข้อบกพร่อง ฟีเจอร์ย่อยนี้รองรับโดยค่าเริ่มต้น
2.8. นโยบายความปลอดภัยสำหรับอุปกรณ์เฉพาะ
ไม่อนุญาตให้ดำเนินการอื่นๆ ในอุปกรณ์เฉพาะที่ล็อกไว้
2.8.1. การบูตเข้าสู่โหมดปลอดภัยต้องปิดอยู่โดยค่าเริ่มต้นโดยใช้นโยบาย (ไปที่ safeBootDisabled)
2.9. การสนับสนุน Play Integrity
ระบบจะดำเนินการตรวจสอบความสมบูรณ์ของ Play โดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งานเพิ่มเติม
2.9.1. จงใจเว้นว่างไว้
2.9.2. จงใจเว้นว่างไว้
2.9.3. ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบสนองนโยบายต่างๆ ตามค่าของ SecurityRisk ของอุปกรณ์ ซึ่งรวมถึงการบล็อกการจัดสรร การล้างข้อมูลของบริษัท และการอนุญาตให้ลงทะเบียนต่อไป
- บริการ EMM จะบังคับใช้การตอบกลับนโยบายนี้กับผลการตรวจสอบความสมบูรณ์แต่ละครั้ง
2.9.4. จงใจเว้นว่างไว้
2.10. การบังคับใช้การยืนยันแอป
ผู้ดูแลระบบไอทีสามารถเปิดยืนยันแอปในอุปกรณ์ได้ ฟีเจอร์ยืนยันแอปจะสแกนแอปที่ติดตั้งในอุปกรณ์ Android เพื่อหาซอฟต์แวร์ที่เป็นอันตรายทั้งก่อนและหลังการติดตั้ง ซึ่งช่วยให้มั่นใจได้ว่าแอปที่เป็นอันตรายจะไม่สามารถเข้าถึงข้อมูลของบริษัทได้
2.10.1. คุณต้องเปิดใช้ "ยืนยันแอป" โดยค่าเริ่มต้นโดยใช้นโยบาย (ไปที่ ensureVerifyAppsEnabled)
2.11. การรองรับ Direct Boot
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งานเพิ่มเติม
2.12. การจัดการความปลอดภัยของฮาร์ดแวร์
ผู้ดูแลระบบไอทีสามารถล็อกองค์ประกอบฮาร์ดแวร์ของอุปกรณ์ของบริษัทเพื่อป้องกันการสูญเสียข้อมูล
2.12.1. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้ต่อเชื่อมสื่อภายนอกแบบมีตัวตนได้โดยใช้นโยบาย (ไปที่ mountPhysicalMediaDisabled)
2.12.2. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้แชร์ข้อมูลจากอุปกรณ์โดยใช้โหมดแผ่รังสี NFC ได้โดยใช้นโยบาย (ไปที่ outgoingBeamDisabled) ฟีเจอร์ย่อยนี้ไม่บังคับเนื่องจาก Android 10 ขึ้นไปไม่รองรับฟังก์ชันโหมดแผ่รังสี NFC อีกต่อไป
2.12.3. ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้โอนไฟล์ผ่าน USB ได้โดยใช้นโยบาย (ไปที่ usbFileTransferDisabled)
2.13. การบันทึกการรักษาความปลอดภัยระดับองค์กร
Android Management API ไม่รองรับฟีเจอร์นี้
3. การจัดการบัญชีและแอป
3.1 การเชื่อมโยงองค์กร
ผู้ดูแลระบบไอทีสามารถเชื่อมโยง EMM กับองค์กรได้ ซึ่งจะช่วยให้ EMM ใช้ Managed Google Play เพื่อเผยแพร่แอปไปยังอุปกรณ์ได้
3.1.1. ผู้ดูแลระบบที่มีโดเมน Google ที่มีการจัดการอยู่แล้วจะเชื่อมโยงโดเมนกับ EMM ได้
3.1.2. จงใจเว้นว่างไว้
3.1.3. จงใจเว้นว่างไว้
3.1.4. คอนโซล EMM จะแนะนำผู้ดูแลระบบให้ป้อนอีเมลงานในขั้นตอนการลงชื่อสมัครใช้ Android และแนะนำให้หลีกเลี่ยงการใช้บัญชี Gmail
3.1.5. EMM จะป้อนอีเมลของผู้ดูแลระบบล่วงหน้าในขั้นตอนการลงชื่อสมัครใช้ Android
3.2 การจัดสรรบัญชี Managed Google Play
EMM สามารถจัดสรรบัญชีผู้ใช้ขององค์กรที่เรียกว่าบัญชี Managed Google Play ได้แบบเงียบๆ บัญชีเหล่านี้จะระบุผู้ใช้ที่มีการจัดการและอนุญาตให้ใช้กฎการเผยแพร่แอปที่ไม่ซ้ำกันต่อผู้ใช้แต่ละราย
3.2.1. ระบบจะสร้างบัญชี Managed Google Play (บัญชีผู้ใช้) โดยอัตโนมัติเมื่อจัดสรรอุปกรณ์
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งานเพิ่มเติม
3.3. การจัดสรรบัญชีอุปกรณ์ Managed Google Play
EMM สามารถสร้างและจัดสรรบัญชีอุปกรณ์ Managed Google Play ได้ บัญชีอุปกรณ์รองรับการติดตั้งแอปจาก Managed Google Play Store โดยอัตโนมัติ และไม่ได้เชื่อมโยงกับผู้ใช้รายเดียว แต่จะใช้บัญชีอุปกรณ์เพื่อระบุอุปกรณ์เครื่องเดียวเพื่อรองรับกฎการจัดจำหน่ายแอปต่ออุปกรณ์ในสถานการณ์อุปกรณ์เฉพาะ
3.3.1. ระบบจะสร้างบัญชี Managed Google Play โดยอัตโนมัติเมื่อจัดสรรอุปกรณ์
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งานเพิ่มเติม
3.4. การจัดสรรบัญชี Managed Google Play สำหรับอุปกรณ์รุ่นเดิม
เราเลิกใช้งานฟีเจอร์นี้แล้ว
3.5. การเผยแพร่แอปแบบเงียบ
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปงานในอุปกรณ์แบบเงียบโดยไม่ต้องมีการโต้ตอบจากผู้ใช้
3.5.1. คอนโซลของ EMM ต้องใช้ Android Management API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีติดตั้งแอปงานในอุปกรณ์ที่มีการจัดการ
3.5.2. คอนโซลของ EMM ต้องใช้ Android Management API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีอัปเดตแอปงานในอุปกรณ์ที่มีการจัดการ
3.5.3. คอนโซลของ EMM ต้องใช้ Android Management API เพื่ออนุญาตให้ผู้ดูแลระบบไอทีถอนการติดตั้งแอปในอุปกรณ์ที่จัดการได้
3.6. การจัดการการกำหนดค่าที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถดูและตั้งค่าการกำหนดค่าที่มีการจัดการโดยอัตโนมัติสำหรับแอปที่รองรับการกำหนดค่าที่มีการจัดการ
3.6.1. คอนโซลของ EMM ต้องสามารถดึงข้อมูลและแสดงการตั้งค่าการกำหนดค่าที่มีการจัดการของแอป Play
3.6.2. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีกำหนดค่าประเภทใดก็ได้ (ตามที่เฟรมเวิร์กของ Android Enterprise กำหนด) สำหรับแอป Play โดยใช้ Android Management API
3.6.3. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าไวลด์การ์ด (เช่น $username$ หรือ %emailAddress%) เพื่อให้ใช้การกำหนดค่าเดียวสำหรับแอป เช่น Gmail กับผู้ใช้หลายคนได้
3.7. การจัดการแคตตาล็อกแอป
Android Management API รองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งานเพิ่มเติม
3.8. การอนุมัติแอปแบบเป็นโปรแกรม
คอนโซลของ EMM ใช้ iframe ของ Managed Google Play เพื่อรองรับความสามารถในการค้นพบและอนุมัติแอปของ Google Play ผู้ดูแลระบบไอทีสามารถค้นหาแอป อนุมัติแอป และอนุมัติสิทธิ์ใหม่ของแอปได้โดยไม่ต้องออกจากคอนโซลของ EMM
3.8.1. ผู้ดูแลระบบไอทีสามารถค้นหาและอนุมัติแอปภายในคอนโซลของ EMM ได้โดยใช้ Managed Google Play iframe
3.9. การจัดการเลย์เอาต์ร้านค้าขั้นพื้นฐาน
คุณใช้แอป Managed Google Play Store เพื่อติดตั้งและอัปเดตแอปงานได้ โดยค่าเริ่มต้น Managed Google Play Store จะแสดงแอปที่ได้รับอนุมัติสำหรับผู้ใช้ในรายการเดียว เลย์เอาต์นี้เรียกว่าเลย์เอาต์ร้านค้าพื้นฐาน
3.9.1. คอนโซลของ EMM ควรอนุญาตให้ผู้ดูแลระบบไอทีจัดการแอปที่แสดงในเลย์เอาต์ Store พื้นฐานของผู้ใช้ปลายทาง
3.10. การกำหนดค่าเลย์เอาต์ร้านค้าขั้นสูง
3.10.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งเลย์เอาต์ของ Store ที่แสดงในแอป Managed Google Play Store ได้
3.11. การจัดการใบอนุญาตแอป
เราเลิกใช้งานฟีเจอร์นี้แล้ว
3.12. การจัดการแอปส่วนตัวที่โฮสต์โดย Google
ผู้ดูแลระบบไอทีสามารถอัปเดตแอปส่วนตัวที่ฝากไว้กับ Google ผ่านคอนโซล EMM แทนที่จะอัปเดตผ่าน Google Play Console
3.12.1. ผู้ดูแลระบบไอทีสามารถอัปโหลดแอปเวอร์ชันใหม่ที่เผยแพร่แล้วแบบส่วนตัวไปยังองค์กรได้โดยใช้สิ่งต่อไปนี้
3.13. การจัดการแอปส่วนตัวที่โฮสต์เอง
ผู้ดูแลระบบไอทีสามารถตั้งค่าและเผยแพร่แอปส่วนตัวที่โฮสต์เองได้ Google Play ไม่ได้โฮสต์ APK ต่างจากแอปส่วนตัวที่โฮสต์โดย Google แต่ EMM จะช่วยผู้ดูแลระบบไอทีโฮสต์ APK ด้วยตนเอง และช่วยปกป้องแอปที่โฮสต์เองโดยตรวจสอบว่าแอปจะติดตั้งได้ก็ต่อเมื่อได้รับอนุญาตจาก Managed Google Play
3.13.1. คอนโซลของ EMM ต้องช่วยให้ผู้ดูแลระบบไอทีโฮสต์ APK ของแอปได้โดยเสนอตัวเลือกต่อไปนี้ทั้ง 2 รายการ
- การโฮสต์ APK บนเซิร์ฟเวอร์ของ EMM เซิร์ฟเวอร์อาจเป็นเซิร์ฟเวอร์ภายในองค์กรหรือเซิร์ฟเวอร์ระบบคลาวด์ก็ได้
- โฮสต์ APK นอกเซิร์ฟเวอร์ของ EMM โดยองค์กรจะเป็นผู้ตัดสินใจ ผู้ดูแลระบบไอทีต้องระบุในคอนโซล EMM ว่าโฮสต์ APK ไว้ที่ใด
3.13.2. คอนโซลของ EMM จะต้องสร้างไฟล์คําจํากัดความ APK ที่เหมาะสมโดยใช้ APK ที่ระบุ และจะต้องแนะนําผู้ดูแลระบบไอทีตลอดกระบวนการเผยแพร่
3.13.3. ผู้ดูแลระบบไอทีสามารถอัปเดตแอปส่วนตัวที่โฮสต์เองได้ และคอนโซลของ EMM จะเผยแพร่ไฟล์คําจํากัดความ APK ที่อัปเดตแล้วโดยอัตโนมัติได้โดยใช้ Google Play Developer Publishing API
3.13.4. เซิร์ฟเวอร์ของ EMM จะให้บริการคำขอดาวน์โหลดสำหรับ APK ที่โฮสต์เองซึ่งมี JWT ที่ถูกต้องภายในคุกกี้ของคำขอ ตามที่ยืนยันโดยคีย์สาธารณะของแอปส่วนตัว
- เซิร์ฟเวอร์ของ EMM ต้องแนะนำผู้ดูแลระบบไอทีให้ดาวน์โหลดคีย์สาธารณะของใบอนุญาตแอปที่โฮสต์เองจาก Google Play Console และอัปโหลดคีย์นี้ไปยังคอนโซล EMM เพื่อให้กระบวนการนี้สะดวกขึ้น
3.14 การแจ้งเตือนแบบดึงของ EMM
ฟีเจอร์นี้ใช้ไม่ได้กับ Android Management API ตั้งค่าการแจ้งเตือน Pub/Sub แทน
3.15. ข้อกำหนดในการใช้งาน API
EMM ใช้ Android Management API ในระดับที่ใหญ่ขึ้น เพื่อหลีกเลี่ยงรูปแบบการเข้าชมที่อาจส่งผลเสียต่อความสามารถขององค์กรในการจัดการแอปในสภาพแวดล้อมเวอร์ชันที่ใช้งานจริง
3.15.1. EMM ต้องปฏิบัติตามขีดจํากัดการใช้งาน Android Management API การไม่แก้ไขลักษณะการทำงานที่ขัดต่อหลักเกณฑ์เหล่านี้อาจส่งผลให้มีการระงับการใช้ API โดย Google จะเป็นผู้พิจารณา
3.15.2. EMM ควรกระจายการเข้าชมจากองค์กรต่างๆ ตลอดทั้งวัน แทนที่จะรวมการเข้าชมขององค์กรในเวลาที่เจาะจงหรือคล้ายกัน ลักษณะการทำงานที่ตรงกับรูปแบบการเข้าชมนี้ เช่น การดำเนินการแบบเป็นกลุ่มตามกำหนดเวลาสำหรับอุปกรณ์แต่ละเครื่องที่ลงทะเบียนไว้ อาจส่งผลให้มีการระงับการใช้ API โดย Google จะเป็นผู้พิจารณา
3.15.3. EMM ไม่ควรส่งคำขอที่ไม่สอดคล้องกัน ไม่สมบูรณ์ หรือจงใจให้ไม่ถูกต้อง ซึ่งไม่ได้พยายามดึงข้อมูลหรือจัดการข้อมูลจริงขององค์กร ลักษณะการทำงานที่ตรงกับรูปแบบการเข้าชมนี้อาจส่งผลให้มีการระงับการใช้ API โดยขึ้นอยู่กับการพิจารณาของ Google
3.16. การจัดการการกำหนดค่าที่มีการจัดการขั้นสูง
EMM รองรับฟีเจอร์การจัดการการกำหนดค่าที่มีการจัดการขั้นสูงต่อไปนี้
3.16.1. คอนโซลของ EMM ต้องดึงข้อมูลและแสดงการตั้งค่าการกำหนดค่าที่มีการจัดการซึ่งซ้อนกันได้สูงสุด 4 ระดับของแอป Play โดยใช้สิ่งต่อไปนี้
- iframe ของ Managed Google Play หรือ
- UI ที่กําหนดเอง
3.16.2. คอนโซลของ EMM ต้องสามารถเรียกข้อมูลและแสดงความคิดเห็นที่ช่องทางแสดงความคิดเห็นของแอปส่งคืนได้ เมื่อผู้ดูแลระบบไอทีเป็นผู้ตั้งค่า
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเชื่อมโยงรายการความคิดเห็นที่เฉพาะเจาะจงกับอุปกรณ์และแอปที่เป็นแหล่งที่มา
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีสมัครรับการแจ้งเตือนหรือรายงานของข้อความประเภทที่เฉพาะเจาะจง (เช่น ข้อความแสดงข้อผิดพลาด)
3.16.3. คอนโซลของ EMM ต้องส่งเฉพาะค่าที่มีค่าเริ่มต้นหรือผู้ดูแลระบบเป็นผู้กำหนดค่าด้วยตนเองโดยใช้
- iframe การกำหนดค่าที่มีการจัดการ หรือ
- UI ที่กําหนดเอง
3.17. การจัดการเว็บแอป
ผู้ดูแลระบบไอทีสามารถสร้างและเผยแพร่เว็บแอปในคอนโซล EMM ได้
3.17.1. คอนโซล EMM ช่วยให้ผู้ดูแลระบบไอทีสามารถเผยแพร่ทางลัดไปยังเว็บแอปได้โดยใช้สิ่งต่อไปนี้
3.18. การจัดการวงจรบัญชี Managed Google Play
EMM สามารถสร้าง อัปเดต และลบบัญชี Managed Google Play ในนามของผู้ดูแลระบบไอที รวมถึงกู้คืนจากบัญชีที่หมดอายุโดยอัตโนมัติ
ระบบรองรับฟีเจอร์นี้โดยค่าเริ่มต้น ไม่ต้องมีการติดตั้งใช้งาน EMM เพิ่มเติม
3.19. การจัดการแทร็กแอปพลิเคชัน
3.19.1. ผู้ดูแลระบบไอทีสามารถดึงรายการรหัสแทร็กที่กำหนดโดยนักพัฒนาแอปสำหรับแอปหนึ่งๆ ได้
3.19.2. ผู้ดูแลระบบไอทีสามารถตั้งค่าอุปกรณ์ให้ใช้แทร็กการพัฒนาที่เฉพาะเจาะจงสำหรับแอปพลิเคชันได้
3.20. การจัดการการอัปเดตแอปพลิเคชันขั้นสูง
ผู้ดูแลระบบไอทีสามารถอนุญาตให้อัปเดตแอปทันทีหรือเลื่อนการอัปเดตแอปเป็นเวลา 90 วัน
3.20.1. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปใช้การอัปเดตแอปที่มีลําดับความสําคัญสูงเพื่ออัปเดตเมื่อการอัปเดตพร้อมใช้งาน 3.20.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปเลื่อนการอัปเดตแอปได้เป็นเวลา 90 วัน
3.21. การจัดการวิธีการจัดสรร
EMM สามารถสร้างการกำหนดค่าการจัดสรรและนำเสนอต่อผู้ดูแลระบบไอทีในรูปแบบที่พร้อมเผยแพร่ต่อผู้ใช้ปลายทาง (เช่น คิวอาร์โค้ด การกำหนดค่าอุปกรณ์พร้อมใช้แบบรวมกลุ่ม URL ของ Play Store)
4. การจัดการอุปกรณ์
4.1 การจัดการนโยบายสิทธิ์รันไทม์
ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบกลับเริ่มต้นสำหรับคำขอสิทธิ์รันไทม์ที่แอปงานส่งมาได้
4.1.1. ผู้ดูแลระบบไอทีต้องเลือกจากตัวเลือกต่อไปนี้เมื่อตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้นสําหรับองค์กร
- ข้อความแจ้ง (อนุญาตให้ผู้ใช้เลือก)
- allow
- ปฏิเสธ
EMM ควรบังคับใช้การตั้งค่าเหล่านี้โดยใช้นโยบาย
4.2 การจัดการสถานะการให้สิทธิ์รันไทม์
หลังจากตั้งค่านโยบายสิทธิ์รันไทม์เริ่มต้น (ไปที่ 4.1.) ผู้ดูแลระบบไอทีสามารถตั้งค่าการตอบกลับสำหรับสิทธิ์ที่เฉพาะเจาะจงจากแอปงานใดก็ได้ที่สร้างขึ้นบน API ระดับ 23 ขึ้นไป
4.2.1. ผู้ดูแลระบบไอทีต้องสามารถตั้งค่าสถานะการให้สิทธิ์ (เริ่มต้น ให้สิทธิ์ หรือปฏิเสธ) ของสิทธิ์ที่แอปงานซึ่งสร้างขึ้นจาก API ระดับ 23 ขึ้นไปขอ EMM ควรบังคับใช้การตั้งค่าเหล่านี้โดยใช้นโยบาย
4.3 การจัดการการกำหนดค่า Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ขององค์กรในอุปกรณ์ที่มีการจัดการได้โดยอัตโนมัติ ซึ่งรวมถึง
4.3.1. SSID โดยใช้นโยบาย
4.3.2. รหัสผ่านโดยใช้นโยบาย
4.4 การจัดการความปลอดภัยของ Wi-Fi
ผู้ดูแลระบบไอทีสามารถจัดสรรการกำหนดค่า Wi-Fi ขององค์กรในอุปกรณ์ที่มีฟีเจอร์การรักษาความปลอดภัยขั้นสูงต่อไปนี้
4.4.1. Identity
4.4.2. ใบรับรองสำหรับการให้สิทธิ์ไคลเอ็นต์
4.4.3. ใบรับรอง CA
4.5 การจัดการ Wi-Fi ขั้นสูง
ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ในอุปกรณ์ที่มีการจัดการเพื่อป้องกันไม่ให้ผู้ใช้สร้างการกำหนดค่าหรือแก้ไขการกำหนดค่าของบริษัท
4.5.1. ผู้ดูแลระบบไอทีสามารถล็อกการกำหนดค่า Wi-Fi ขององค์กรได้โดยใช้นโยบายในการกำหนดค่าต่อไปนี้
- ผู้ใช้จะแก้ไขการกำหนดค่า Wi-Fi ที่ EMM จัดสรรไว้ไม่ได้ (ไปที่
wifiConfigsLockdownEnabled) แต่สามารถเพิ่มและแก้ไขเครือข่ายที่ผู้ใช้กำหนดค่าได้เอง (เช่น เครือข่ายส่วนตัว) - ผู้ใช้จะเพิ่มหรือแก้ไขเครือข่าย Wi-Fi ในอุปกรณ์ไม่ได้ (ไปที่
wifiConfigDisabled) ซึ่งจะจำกัดการเชื่อมต่อ Wi-Fi ไว้เฉพาะเครือข่ายที่ EMM จัดสรรไว้
4.6 การจัดการบัญชี
ผู้ดูแลระบบไอทีสามารถตรวจสอบว่ามีเพียงบัญชีบริษัทที่ได้รับอนุญาตเท่านั้นที่โต้ตอบกับข้อมูลของบริษัทได้สำหรับบริการต่างๆ เช่น พื้นที่เก็บข้อมูล SaaS และแอปด้านประสิทธิภาพการทำงาน หรืออีเมล หากไม่มีฟีเจอร์นี้ ผู้ใช้จะเพิ่มบัญชีส่วนตัวลงในแอปขององค์กรที่รองรับบัญชีผู้บริโภคได้ด้วย ซึ่งจะช่วยให้ผู้ใช้แชร์ข้อมูลขององค์กรกับบัญชีส่วนตัวเหล่านั้นได้
4.6.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้เพิ่มหรือแก้ไขบัญชีได้ (ดู modifyAccountsDisabled)
- เมื่อบังคับใช้นโยบายนี้ในอุปกรณ์ EMM จะต้องตั้งค่าข้อจำกัดนี้ก่อนที่จะจัดสรรให้เสร็จสมบูรณ์ เพื่อให้มั่นใจว่าผู้ใช้ไม่สามารถหลบเลี่ยงนโยบายนี้ด้วยการเพิ่มบัญชีก่อนที่นโยบายจะมีผล
4.7 การจัดการบัญชี Workspace
Android Management API ไม่รองรับฟีเจอร์นี้
4.8. การจัดการใบรับรอง
ช่วยให้ผู้ดูแลระบบไอทีสามารถติดตั้งใช้งานใบรับรองข้อมูลประจำตัวและผู้ออกใบรับรองในอุปกรณ์เพื่ออนุญาตให้ใช้ทรัพยากรของบริษัท
4.8.1. ผู้ดูแลระบบไอทีสามารถติดตั้งใบรับรองข้อมูลประจำตัวของผู้ใช้ที่ PKI สร้างขึ้นต่อผู้ใช้แต่ละราย คอนโซลของ EMM ต้องผสานรวมกับ PKI อย่างน้อย 1 รายการ และกระจายใบรับรองที่สร้างขึ้นจากโครงสร้างพื้นฐานนั้น
4.8.2. ผู้ดูแลระบบไอทีสามารถติดตั้งหน่วยงานที่รับรองใบรับรอง (ดู caCerts) ในคีย์สโตร์ที่จัดการได้ อย่างไรก็ตาม ระบบไม่รองรับฟีเจอร์ย่อยนี้
4.9. การจัดการใบรับรองขั้นสูง
ช่วยให้ผู้ดูแลระบบไอทีเลือกใบรับรองที่แอปที่มีการจัดการบางแอปควรใช้ได้โดยอัตโนมัติ นอกจากนี้ ฟีเจอร์นี้ยังช่วยให้ผู้ดูแลระบบไอทีนำ CA และใบรับรองข้อมูลประจำตัวออกจากอุปกรณ์ที่ใช้งานอยู่ และป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลเข้าสู่ระบบที่จัดเก็บไว้ในคีย์สโตร์ที่มีการจัดการ
4.9.1. สําหรับแอปที่เผยแพร่ไปยังอุปกรณ์ ผู้ดูแลระบบไอทีสามารถระบุใบรับรองได้ ซึ่งแอปจะได้รับสิทธิ์เข้าถึงโดยอัตโนมัติระหว่างรันไทม์ (ไม่รองรับฟีเจอร์ย่อยนี้)
- การเลือกใบรับรองต้องเป็นแบบทั่วไปพอที่จะใช้การกําหนดค่าเดียวกับผู้ใช้ทุกคน ซึ่งผู้ใช้แต่ละรายอาจมีใบรับรองระบุตัวตนเฉพาะผู้ใช้
4.9.2. ผู้ดูแลระบบไอทีสามารถนำใบรับรองออกจากที่เก็บคีย์ที่มีการจัดการได้โดยที่ผู้ใช้ไม่รู้
4.9.3. ผู้ดูแลระบบไอทีสามารถถอนการติดตั้งใบรับรอง CA โดยที่ผู้ใช้ไม่รู้ตัว (ระบบไม่รองรับฟีเจอร์ย่อยนี้)
4.9.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้กำหนดค่าข้อมูลเข้าสู่ระบบ (ไปที่ credentialsConfigDisabled) ในคีย์สโตร์ที่จัดการได้
4.9.5. ผู้ดูแลระบบไอทีสามารถมอบหมายใบรับรองล่วงหน้าสำหรับแอปงานได้โดยใช้ ChoosePrivateKeyRule
4.10. การจัดการใบรับรองที่มอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถเผยแพร่แอปการจัดการใบรับรองของบุคคลที่สามไปยังอุปกรณ์และให้สิทธิพิเศษแก่แอปนั้นในการติดตั้งใบรับรองลงในคีย์สโตร์ที่มีการจัดการ
4.10.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจการจัดการใบรับรอง (ไปที่ delegatedCertInstallerPackage) เพื่อตั้งค่าเป็นแอปการจัดการใบรับรองที่มอบสิทธิ์
- EMM อาจแนะนำแพ็กเกจการจัดการใบรับรองที่รู้จัก (ไม่บังคับ) แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.11. การจัดการ VPN ขั้นสูง
ช่วยให้ผู้ดูแลระบบไอทีระบุ VPN แบบเปิดตลอดเวลาเพื่อให้มั่นใจว่าข้อมูลจากแอปที่มีการจัดการที่ระบุจะผ่านการตั้งค่า VPN เสมอ
4.11.1. ผู้ดูแลระบบไอทีสามารถระบุแพ็กเกจ VPN ที่ต้องการเพื่อตั้งค่าเป็น VPN แบบเปิดตลอดเวลา
- คอนโซลของ EMM อาจแนะนำแพ็กเกจ VPN ที่รู้จักซึ่งรองรับ VPN แบบเปิดตลอดเวลา แต่ไม่สามารถจำกัด VPN ที่พร้อมใช้งานสำหรับการกำหนดค่า "เปิดใช้งาน VPN เสมอ" ให้เป็นรายการที่กำหนดเอง
4.11.2. ผู้ดูแลระบบไอทีสามารถใช้การกำหนดค่าที่มีการจัดการเพื่อระบุการตั้งค่า VPN สําหรับแอปได้
4.12. การจัดการ IME
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ตั้งค่าให้กับอุปกรณ์ได้ เนื่องจาก IME จะใช้ร่วมกันทั้งในโปรไฟล์งานและโปรไฟล์ส่วนตัว การบล็อกการใช้ IME จะป้องกันไม่ให้ผู้ใช้อนุญาต IME เหล่านั้นเพื่อการใช้งานส่วนตัวด้วย อย่างไรก็ตาม ผู้ดูแลระบบไอทีไม่สามารถบล็อกการใช้ IME ของระบบในโปรไฟล์งานได้ (ดูรายละเอียดเพิ่มเติมได้ที่การจัดการ IME ขั้นสูง)
4.12.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาต IME (ไปที่ permitted_input_methods) ให้มีความยาวเท่าใดก็ได้ (รวมถึงรายการว่าง ซึ่งจะบล็อก IME ที่ไม่ใช่ระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำให้รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.12.2. EMM ต้องแจ้งให้ผู้ดูแลระบบไอทีทราบว่า IME ของระบบจะได้รับการยกเว้นจากการจัดการในอุปกรณ์ที่มีโปรไฟล์งาน
4.13. การจัดการ IME ขั้นสูง
ผู้ดูแลระบบไอทีสามารถจัดการวิธีการป้อนข้อมูล (IME) ที่ผู้ใช้ตั้งค่าในอุปกรณ์ได้ การจัดการ IME ขั้นสูงจะขยายฟีเจอร์พื้นฐานโดยอนุญาตให้ผู้ดูแลระบบไอทีจัดการการใช้ IME ของระบบด้วย ซึ่งโดยทั่วไปผู้ผลิตอุปกรณ์หรือผู้ให้บริการของอุปกรณ์จะเป็นผู้จัดหา
4.13.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาต IME (ไปที่ permitted_input_methods) ที่มีความยาวตามต้องการ (ยกเว้นรายการว่าง ซึ่งจะบล็อก IME ทั้งหมด รวมถึง IME ของระบบ) ซึ่งอาจมีแพ็กเกจ IME ใดก็ได้
- คอนโซลของ EMM อาจแนะนำ IME ที่รู้จักหรือแนะนำให้รวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.13.2. EMM ต้องป้องกันไม่ให้ผู้ดูแลระบบไอทีตั้งค่ารายการที่อนุญาตว่างเปล่า เนื่องจากการตั้งค่านี้จะบล็อกไม่ให้ตั้งค่า IME ทั้งหมด รวมถึง IME ของระบบในอุปกรณ์
4.13.3. EMM ต้องตรวจสอบว่าหากรายการที่อนุญาต IME ไม่มี IME ของระบบ ระบบจะติดตั้ง IME ของบุคคลที่สามโดยอัตโนมัติก่อนที่จะใช้รายการที่อนุญาตในอุปกรณ์
4.14 การจัดการบริการการช่วยเหลือพิเศษ
ผู้ดูแลระบบไอทีสามารถจัดการบริการการช่วยเหลือพิเศษที่ผู้ใช้อนุญาตในอุปกรณ์ได้ บริการการช่วยเหลือพิเศษเป็นเครื่องมือที่มีประสิทธิภาพสำหรับผู้ใช้ที่มีความพิการหรือไม่สามารถโต้ตอบกับอุปกรณ์ได้อย่างเต็มที่ชั่วคราว อย่างไรก็ตาม ผู้ใช้อาจโต้ตอบกับข้อมูลของบริษัทในลักษณะที่ไม่เป็นไปตามนโยบายของบริษัท ฟีเจอร์นี้ช่วยให้ผู้ดูแลระบบไอทีปิดบริการการช่วยเหลือพิเศษที่ไม่ใช่ระบบได้
4.14.1. ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการที่อนุญาตบริการการช่วยเหลือพิเศษ (ไปที่ permittedAccessibilityServices) ให้มีความยาวเท่าใดก็ได้ (รวมถึงรายการว่าง ซึ่งจะบล็อกบริการการช่วยเหลือพิเศษที่ไม่ใช่ระบบ) ซึ่งอาจมีแพ็กเกจบริการการช่วยเหลือพิเศษใดก็ได้ เมื่อใช้กับโปรไฟล์งาน การตั้งค่านี้จะส่งผลต่อทั้งโปรไฟล์ส่วนตัวและโปรไฟล์งาน
- คอนโซลอาจแนะนำบริการการช่วยเหลือพิเศษที่รู้จักหรือแนะนำเพื่อรวมไว้ในรายการที่อนุญาต แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
4.15 การจัดการการแชร์ตำแหน่ง
ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แชร์ข้อมูลตำแหน่งกับแอปในโปรไฟล์งานได้ หรือจะกำหนดการตั้งค่าตำแหน่งในโปรไฟล์งานใน "การตั้งค่า" ก็ได้
4.15.1. ผู้ดูแลระบบไอทีสามารถปิดใช้บริการหาตำแหน่ง (ไปที่ shareLocationDisabled) ภายในโปรไฟล์งาน
4.16. การจัดการการแชร์ตำแหน่งขั้นสูง
ผู้ดูแลระบบไอทีสามารถบังคับใช้การตั้งค่าการแชร์ตำแหน่งที่กำหนดในอุปกรณ์ที่มีการจัดการได้ ฟีเจอร์นี้ช่วยให้มั่นใจได้ว่าแอปขององค์กรจะมีข้อมูลตำแหน่งที่มีความแม่นยำสูงเสมอ นอกจากนี้ ฟีเจอร์นี้ยังช่วยประหยัดแบตเตอรี่ด้วยโดยจำกัดการตั้งค่าตำแหน่งเป็นโหมดประหยัดแบตเตอรี่
4.16.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าบริการตำแหน่งของอุปกรณ์เป็นโหมดต่อไปนี้
- ความแม่นยำสูง
- เซ็นเซอร์เท่านั้น เช่น GPS แต่ไม่รวมตำแหน่งที่เครือข่ายระบุ
- โหมดประหยัดแบตเตอรี่ ซึ่งจะจำกัดความถี่ในการอัปเดต
- ปิด
4.17. การจัดการการป้องกันการรีเซ็ตเป็นค่าเริ่มต้น
ช่วยให้ผู้ดูแลระบบไอทีปกป้องอุปกรณ์ของบริษัทจากการถูกขโมยได้ด้วยการทำให้ผู้ใช้ที่ไม่ได้รับอนุญาตรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นไม่ได้ หากการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นทําให้เกิดความซับซ้อนในการใช้งานเมื่อส่งคืนอุปกรณ์ไปยังฝ่ายไอที ผู้ดูแลระบบไอทีสามารถปิดการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นทั้งหมดได้
4.17.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตอุปกรณ์เป็นค่าเริ่มต้น (ไปที่ factoryResetDisabled) จากการตั้งค่า
4.17.2. ผู้ดูแลระบบไอทีสามารถระบุบัญชีการปลดล็อกของบริษัทที่ได้รับอนุญาตให้จัดสรรอุปกรณ์ (ไปที่ frpAdminEmails) หลังจากการรีเซ็ตเป็นค่าเริ่มต้น
- บัญชีนี้อาจเชื่อมโยงกับบุคคลธรรมดา หรือใช้โดยทั้งองค์กรเพื่อปลดล็อกอุปกรณ์ก็ได้
4.17.3. ผู้ดูแลระบบไอทีสามารถปิดใช้การป้องกันการรีเซ็ตเป็นค่าเริ่มต้น (ไปที่ factoryResetDisabled) สำหรับอุปกรณ์ที่ระบุ
4.17.4. ผู้ดูแลระบบไอทีสามารถเริ่มการล้างข้อมูลในอุปกรณ์จากระยะไกลซึ่งจะล้างข้อมูลการป้องกันการรีเซ็ต (หากต้องการ) ซึ่งจะนําการป้องกันการรีเซ็ตเป็นค่าเริ่มต้นออกจากอุปกรณ์ที่รีเซ็ต
4.18. การควบคุมแอปขั้นสูง
ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ถอนการติดตั้งหรือแก้ไขแอปที่มีการจัดการผ่านการตั้งค่า เช่น การป้องกันการบังคับปิดแอปหรือการล้างแคชข้อมูลของแอป
4.18.1. ผู้ดูแลระบบไอทีสามารถบล็อกการถอนการติดตั้งแอปที่จัดการแบบกำหนดเองหรือแอปที่จัดการทั้งหมด (ไปที่ uninstallAppsDisabled)
4.18.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขข้อมูลแอปพลิเคชันจากการตั้งค่าได้ (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.19. การจัดการการจับภาพหน้าจอ
ผู้ดูแลระบบไอทีสามารถบล็อกไม่ให้ผู้ใช้จับภาพหน้าจอเมื่อใช้แอปที่มีการจัดการ การตั้งค่านี้รวมถึงการบล็อกแอปการแชร์หน้าจอและแอปที่คล้ายกัน (เช่น Google Assistant) ที่ใช้ความสามารถในการจับภาพหน้าจอของระบบ
4.19.1. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้จับภาพหน้าจอได้ (ไปที่ screenCaptureDisabled)
4.20 ปิดใช้งานกล้องถ่ายรูป
ผู้ดูแลระบบไอทีสามารถปิดใช้กล้องของอุปกรณ์โดยแอปที่มีการจัดการ
4.20.1. ผู้ดูแลระบบไอทีสามารถปิดใช้กล้องของอุปกรณ์ (ไปที่ cameraDisabled) ได้โดยแอปที่มีการจัดการ
4.21. การเก็บรวบรวมสถิติเครือข่าย
Android Management API ไม่รองรับฟีเจอร์นี้
4.22. การเก็บรวบรวมสถิติเครือข่ายขั้นสูง
Android Management API ไม่รองรับฟีเจอร์นี้
4.23. รีบูตอุปกรณ์
ผู้ดูแลระบบไอทีสามารถรีสตาร์ทอุปกรณ์ที่มีการจัดการจากระยะไกลได้
4.23.1. ผู้ดูแลระบบไอทีสามารถรีบูตจากระยะไกลอุปกรณ์ที่มีการจัดการได้
4.24. การจัดการวิทยุของระบบ
ช่วยให้ผู้ดูแลระบบไอทีจัดการวิทยุเครือข่ายของระบบและนโยบายการใช้งานที่เกี่ยวข้องได้อย่างละเอียดโดยใช้นโยบาย
4.24.1. ผู้ดูแลระบบไอทีสามารถปิดการออกอากาศจากเครือข่ายมือถือที่ส่งโดยผู้ให้บริการ (ไปที่ cellBroadcastsConfigDisabled)
4.24.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าเครือข่ายมือถือได้ในการตั้งค่า (ไปที่ mobileNetworksConfigDisabled)
4.24.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้รีเซ็ตการตั้งค่าเครือข่ายทั้งหมดได้ในการตั้งค่า (ไปที่ networkResetDisabled)
4.24.4. ผู้ดูแลระบบไอทีสามารถตั้งค่าได้ว่าจะให้อุปกรณ์ใช้อินเทอร์เน็ตมือถือขณะโรมมิ่งหรือไม่ (ไปที่ dataRoamingDisabled)
4.24.5. ผู้ดูแลระบบไอทีสามารถตั้งค่าได้ว่าจะให้อุปกรณ์โทรออกได้หรือไม่ ยกเว้นการโทรฉุกเฉิน (ไปที่ outGoingCallsDisabled)
4.24.6. ผู้ดูแลระบบไอทีสามารถตั้งค่าได้ว่าจะให้อุปกรณ์ส่งและรับข้อความได้หรือไม่ (ไปที่ smsDisabled)
4.24.7. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ใช้อุปกรณ์เป็นฮอตสปอตแบบพกพาด้วยการเทอร์มินัล (ไปที่ tetheringConfigDisabled)
4.24.8. ผู้ดูแลระบบไอทีสามารถตั้งค่าการหมดเวลาของ Wi-Fi เป็นค่าเริ่มต้น ขณะเสียบปลั๊ก หรือไม่เคย (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.24.9. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ตั้งค่าหรือแก้ไขการเชื่อมต่อบลูทูธที่มีอยู่ (ไปที่ bluetoothConfigDisabled)
4.25 การจัดการเสียงของระบบ
ผู้ดูแลระบบไอทีสามารถควบคุมฟีเจอร์เสียงของอุปกรณ์แบบเงียบ ซึ่งรวมถึงการปิดเสียงอุปกรณ์ การป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าระดับเสียง และการป้องกันไม่ให้ผู้ใช้เลิกปิดเสียงไมโครโฟนของอุปกรณ์
4.25.1. ผู้ดูแลระบบไอทีสามารถปิดเสียงอุปกรณ์ที่มีการจัดการได้โดยที่ผู้ใช้ไม่รู้ (Android Management API ไม่รองรับฟีเจอร์ย่อยนี้)
4.25.2. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าระดับเสียงของอุปกรณ์ (ไปที่ adjustVolumeDisabled) ซึ่งจะเป็นการปิดเสียงอุปกรณ์ด้วย
4.25.3. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้ผู้ใช้ยกเลิกการปิดเสียงไมโครโฟนของอุปกรณ์ (ไปที่ unmuteMicrophoneDisabled) ได้
4.26. การจัดการนาฬิกาของระบบ
ผู้ดูแลระบบไอทีสามารถจัดการการตั้งค่านาฬิกาและเขตเวลาของอุปกรณ์ รวมถึงป้องกันไม่ให้ผู้ใช้แก้ไขการตั้งค่าอัตโนมัติของอุปกรณ์
4.26.1. ผู้ดูแลระบบไอทีสามารถบังคับใช้เวลาอัตโนมัติของระบบและเขตเวลาอัตโนมัติ ซึ่งจะป้องกันไม่ให้ผู้ใช้ตั้งค่าวันที่ เวลา และเขตเวลาของอุปกรณ์ได้
4.27 ฟีเจอร์ขั้นสูงสำหรับอุปกรณ์ที่ใช้เพื่อวัตถุประสงค์เฉพาะ
สำหรับอุปกรณ์เฉพาะ ผู้ดูแลระบบไอทีสามารถจัดการฟีเจอร์ต่อไปนี้โดยใช้นโยบายเพื่อรองรับกรณีการใช้งานคีออสก์ที่หลากหลาย
4.27.1. ผู้ดูแลระบบไอทีสามารถปิดการป้องกันหน้าจอเมื่อล็อกของอุปกรณ์ได้ (ไปที่ keyguardDisabled)
4.27.2. ผู้ดูแลระบบไอทีสามารถปิดแถบสถานะของอุปกรณ์ การบล็อกการแจ้งเตือน และการตั้งค่าด่วน (ไปที่ statusBarDisabled)
4.27.3. ผู้ดูแลระบบไอทีสามารถบังคับให้หน้าจอของอุปกรณ์เปิดอยู่ขณะเสียบปลั๊กอุปกรณ์ (ไปที่ stayOnPluggedModes)
4.27.4. ผู้ดูแลระบบไอทีสามารถป้องกันไม่ให้UI ของระบบต่อไปนี้แสดง (ไปที่ createWindowsDisabled)
- ข้อความโทสต์
- การซ้อนทับแอปพลิเคชัน
4.27.5. ผู้ดูแลระบบไอทีสามารถอนุญาตให้ระบบแนะนำแอปให้ข้ามบทแนะนำผู้ใช้และคำแนะนำเบื้องต้นอื่นๆ เมื่อเปิดใช้งานครั้งแรก (ไปที่ skip_first_use_hints)
4.28. การจัดการขอบเขตที่รับมอบสิทธิ์
ผู้ดูแลระบบไอทีสามารถมอบสิทธิ์เพิ่มเติมให้กับแต่ละแพ็กเกจได้
4.28.1. ผู้ดูแลระบบไอทีสามารถจัดการขอบเขตต่อไปนี้
- การติดตั้งและการจัดการใบรับรอง
- จงใจเว้นว่าง
- การบันทึกกิจกรรมของเครือข่าย
- การบันทึกความปลอดภัย (ไม่รองรับโปรไฟล์งานในอุปกรณ์ส่วนตัว)
4.29 การรองรับรหัสเฉพาะสำหรับการลงทะเบียน
ตั้งแต่ Android 12 เป็นต้นไป โปรไฟล์งานจะไม่มีสิทธิ์เข้าถึงตัวระบุเฉพาะฮาร์ดแวร์อีกต่อไป ผู้ดูแลระบบไอทีสามารถติดตามวงจรชีวิตของอุปกรณ์ที่มีโปรไฟล์งานผ่านรหัสเฉพาะการลงทะเบียน ซึ่งจะยังคงอยู่แม้รีเซ็ตเป็นค่าเริ่มต้น
4.29.1. ผู้ดูแลระบบไอทีสามารถรับรหัสเฉพาะการลงทะเบียนได้
4.29.2. รหัสเฉพาะสำหรับการลงทะเบียนนี้ต้องคงอยู่หลังจากการรีเซ็ตเป็นค่าเริ่มต้น
5. ความสามารถในการใช้งานอุปกรณ์
5.1 การปรับแต่งการจัดสรรที่มีการจัดการ
ผู้ดูแลระบบไอทีสามารถแก้ไข UX ของขั้นตอนการตั้งค่าเริ่มต้นให้รวมฟีเจอร์เฉพาะองค์กรได้ ผู้ดูแลระบบไอทีสามารถแสดงการสร้างแบรนด์ที่ EMM มีให้ในระหว่างการจัดสรรได้ (ไม่บังคับ)
5.1.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งกระบวนการจัดสรรได้โดยระบุข้อกำหนดในการให้บริการและข้อจำกัดความรับผิดอื่นๆ ที่เจาะจงสำหรับองค์กร (ไปที่ termsAndConditions)
5.1.2. ผู้ดูแลระบบไอทีสามารถdeployข้อกำหนดในการให้บริการและข้อจำกัดความรับผิดอื่นๆ ของ EMM ที่ไม่สามารถกำหนดค่าได้ (ไปที่ termsAndConditions)
- EMM อาจตั้งค่าการปรับแต่งเฉพาะ EMM ที่ไม่สามารถกําหนดค่าได้เป็นค่าเริ่มต้นสําหรับการติดตั้งใช้งาน แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าการปรับแต่งของตนเอง
5.1.3. primaryColor เลิกใช้งานแล้วสำหรับทรัพยากรขององค์กรใน Android 10 ขึ้นไป
5.2 การปรับแต่งสำหรับองค์กร
Android Management API ไม่รองรับฟีเจอร์นี้
5.3 การปรับแต่งขั้นสูงสำหรับองค์กร
Android Management API ไม่รองรับฟีเจอร์นี้
5.4. ข้อความบนหน้าจอล็อก
ผู้ดูแลระบบไอทีสามารถตั้งค่าข้อความที่กำหนดเองที่จะแสดงบนหน้าจอล็อกของอุปกรณ์เสมอ และไม่จำเป็นต้องปลดล็อกอุปกรณ์เพื่อดูข้อความ
5.4.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าข้อความในหน้าจอล็อกที่กำหนดเอง (ไปที่ deviceOwnerLockScreenInfo)
5.5. การจัดการความโปร่งใสของนโยบาย
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความความช่วยเหลือที่แสดงต่อผู้ใช้เมื่อพยายามแก้ไขการตั้งค่าที่มีการจัดการในอุปกรณ์ หรือใช้ข้อความการสนับสนุนทั่วไปที่ EMM ให้มา คุณสามารถปรับแต่งข้อความการสนับสนุนทั้งแบบสั้นและแบบยาวได้ และข้อความจะแสดงในบางกรณี เช่น พยายามถอนการติดตั้งแอปที่มีการจัดการซึ่งผู้ดูแลระบบไอทีบล็อกการถอนการติดตั้งไว้แล้ว
5.5.1. ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความสนับสนุนที่แสดงต่อผู้ใช้แบบสั้นและแบบยาว
5.5.2. ผู้ดูแลระบบไอทีสามารถทำให้ข้อความสนับสนุนแบบสั้นและแบบยาวสำหรับ EMM โดยเฉพาะซึ่งไม่สามารถกำหนดค่าได้ใช้งานได้ (ไปที่ shortSupportMessage และ longSupportMessage ใน policies)
- EMM อาจตั้งค่าข้อความการสนับสนุนเฉพาะ EMM ที่ไม่สามารถกําหนดค่าได้เป็นค่าเริ่มต้นสําหรับการติดตั้งใช้งาน แต่ต้องอนุญาตให้ผู้ดูแลระบบไอทีตั้งค่าข้อความของตนเอง
5.6. การจัดการรายชื่อติดต่อข้ามโปรไฟล์
5.6.1. ผู้ดูแลระบบไอทีสามารถปิดใช้การแสดงรายชื่อติดต่อสำหรับงานในโปรไฟล์ส่วนตัว การค้นหารายชื่อติดต่อ และสายเรียกเข้า
5.6.2. ผู้ดูแลระบบไอทีสามารถปิดใช้การแชร์รายชื่อติดต่อผ่านบลูทูธของรายชื่อติดต่อสำหรับงาน เช่น การโทรแบบแฮนด์ฟรีในรถยนต์หรือชุดหูฟัง
5.7. การจัดการข้อมูลข้ามโปรไฟล์
ช่วยให้ผู้ดูแลระบบไอทีจัดการประเภทข้อมูลที่แชร์ระหว่างโปรไฟล์งานและโปรไฟล์ส่วนตัวได้ ซึ่งช่วยให้ผู้ดูแลระบบสามารถปรับสมดุลระหว่างความสามารถในการใช้งานและความปลอดภัยของข้อมูลได้ตามต้องการ
5.7.1. ผู้ดูแลระบบไอทีสามารถกำหนดค่านโยบายการแชร์ข้อมูลข้ามโปรไฟล์เพื่อให้แอปส่วนตัวสามารถแก้ไข Intent จากโปรไฟล์งานได้ เช่น การแชร์ Intent หรือเว็บลิงก์
5.7.2. ผู้ดูแลระบบไอทีสามารถอนุญาตให้แอปพลิเคชันจากโปรไฟล์งานสร้างและแสดงวิดเจ็ตบนหน้าจอหลักของโปรไฟล์ส่วนตัวได้ ความสามารถนี้จะปิดอยู่โดยค่าเริ่มต้น แต่สามารถตั้งค่าให้อนุญาตได้โดยใช้ช่อง workProfileWidgets และ workProfileWidgetsDefault
5.7.3. ผู้ดูแลระบบไอทีสามารถควบคุมความสามารถในการคัดลอก/วางระหว่างโปรไฟล์งานและโปรไฟล์ส่วนตัวได้
5.8. นโยบายการอัปเดตระบบ
ผู้ดูแลระบบไอทีสามารถตั้งค่าและใช้การอัปเดตระบบผ่านอากาศ (OTA) กับอุปกรณ์
5.8.1. คอนโซลของ EMM อนุญาตให้ผู้ดูแลระบบไอทีกำหนดค่า OTA ต่อไปนี้
- อัตโนมัติ: อุปกรณ์จะติดตั้งการอัปเดต OTA เมื่อพร้อมใช้งาน
- เลื่อน: ผู้ดูแลระบบไอทีต้องสามารถเลื่อนการอัปเดต OTA ได้สูงสุด 30 วัน นโยบายนี้ไม่มีผลกับการอัปเดตความปลอดภัย (เช่น แพตช์ด้านความปลอดภัยรายเดือน)
- กำหนดเวลาได้: ผู้ดูแลระบบไอทีต้องกำหนดเวลาการอัปเดต OTA ภายในช่วงเวลาบำรุงรักษาประจำวันได้
5.8.2. ระบบจะนำการกำหนดค่า OTA ไปใช้กับอุปกรณ์โดยใช้นโยบาย
5.9. การจัดการโหมดล็อกงาน
ผู้ดูแลระบบไอทีสามารถล็อกแอปหรือชุดแอปให้อยู่ในหน้าจอตลอดและไม่ให้ผู้ใช้ออกจากแอป
5.9.1. คอนโซลของ EMM ช่วยให้ผู้ดูแลระบบไอทีสามารถอนุญาตแอปชุดใดก็ได้ให้ติดตั้งและล็อกลงในอุปกรณ์โดยอัตโนมัติ นโยบายอนุญาตให้ตั้งค่าอุปกรณ์เฉพาะ
5.10. การจัดการกิจกรรมที่ต้องการแบบถาวร
ช่วยให้ผู้ดูแลระบบไอทีตั้งค่าแอปเป็นตัวจัดการ Intent เริ่มต้นสำหรับ Intent ที่ตรงกับตัวกรอง Intent บางรายการได้ ตัวอย่างเช่น ฟีเจอร์นี้จะช่วยให้ผู้ดูแลระบบไอทีเลือกแอปเบราว์เซอร์ที่จะเปิดเว็บลิงก์โดยอัตโนมัติได้ ฟีเจอร์นี้สามารถจัดการแอป Launcher ที่จะใช้เมื่อแตะปุ่มหน้าแรก
5.10.1. ผู้ดูแลระบบไอทีสามารถตั้งค่าแพ็กเกจใดก็ได้เป็นตัวจัดการ Intent เริ่มต้นสำหรับตัวกรอง Intent ที่กำหนดเอง
- คอนโซลของ EMM อาจแนะนำ Intent ที่รู้จักหรือแนะนำสำหรับการกำหนดค่า แต่ไม่สามารถจำกัด Intent ไว้ที่รายการที่กำหนดเอง
- คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีเลือกจากรายการแอปที่พร้อมให้ติดตั้งสำหรับผู้ใช้ที่เกี่ยวข้อง
5.11. การจัดการฟีเจอร์การป้องกันหน้าจอ
ผู้ดูแลระบบไอทีสามารถจัดการฟีเจอร์ที่พร้อมให้บริการแก่ผู้ใช้ก่อนที่จะปลดล็อกตัวล็อกอุปกรณ์ (หน้าจอล็อก) และตัวล็อกแบบให้โจทย์งาน (หน้าจอล็อก)
5.11.1.นโยบาย สามารถปิดฟีเจอร์การป้องกันด้วยปุ่มบนอุปกรณ์ต่อไปนี้
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
- การแจ้งเตือนที่ไม่มีการปกปิด
5.11.2. คุณสามารถปิดฟีเจอร์การป้องกันหน้าจอล็อกต่อไปนี้ของโปรไฟล์งานได้โดยใช้นโยบาย
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
5.12. การจัดการฟีเจอร์การป้องกันหน้าจอขั้นสูง
- กล้องที่ปลอดภัย
- การแจ้งเตือนทั้งหมด
- ไม่ได้ปกปิด
- เอเจนต์ความน่าเชื่อถือ
- การปลดล็อกด้วยลายนิ้วมือ
- ฟีเจอร์ทั้งหมดของ Keyguard
5.13. การซ่อมแซมรีโมต
Android Management API ไม่รองรับฟีเจอร์นี้
5.14. การเรียกข้อมูลที่อยู่ MAC
EMM สามารถดึงข้อมูลที่อยู่ MAC ของอุปกรณ์โดยอัตโนมัติเพื่อใช้ระบุอุปกรณ์ในส่วนอื่นๆ ของโครงสร้างพื้นฐานขององค์กร (เช่น เมื่อระบุอุปกรณ์สำหรับการควบคุมการเข้าถึงเครือข่าย)
5.14.1. EMM สามารถดึงข้อมูลที่อยู่ MAC ของอุปกรณ์โดยอัตโนมัติ และเชื่อมโยงที่อยู่ดังกล่าวกับอุปกรณ์ในคอนโซลของ EMM ได้
5.15. การจัดการโหมดล็อกงานขั้นสูง
เมื่อใช้อุปกรณ์เฉพาะ ผู้ดูแลระบบไอทีจะใช้คอนโซลของ EMM เพื่อทำงานต่อไปนี้ได้
5.15.1. อนุญาตให้แอปเดียวติดตั้งและล็อกกับอุปกรณ์โดยอัตโนมัติ
5.15.2. เปิดหรือปิดฟีเจอร์ UI ระบบต่อไปนี้
- ปุ่มหน้าแรก
- ภาพรวม
- การดำเนินการแบบรวม
- การแจ้งเตือน
- ข้อมูลระบบ / แถบสถานะ
- การป้องกันหน้าจอ (หน้าจอล็อก) ฟีเจอร์ย่อยนี้จะเปิดอยู่โดยค่าเริ่มต้นเมื่อติดตั้งใช้งาน 5.15.1
5.15.3. ปิดกล่องโต้ตอบข้อผิดพลาดของระบบ
5.16. นโยบายการอัปเดตระบบขั้นสูง
ผู้ดูแลระบบไอทีสามารถตั้งค่าช่วงหยุดทำงานที่ระบุไว้เพื่อบล็อกการอัปเดตระบบในอุปกรณ์
5.16.1. คอนโซลของ EMM ต้องอนุญาตให้ผู้ดูแลระบบไอทีบล็อกการอัปเดตระบบผ่านอากาศ (OTA) เป็นเวลาช่วงหยุดทำงานที่ระบุ
5.17. การจัดการความโปร่งใสของนโยบายโปรไฟล์งาน
ผู้ดูแลระบบไอทีสามารถปรับแต่งข้อความที่แสดงต่อผู้ใช้เมื่อนำโปรไฟล์งานออกจากอุปกรณ์
5.17.1. ผู้ดูแลระบบไอทีสามารถระบุข้อความที่กำหนดเองเพื่อแสดง (ไปที่ wipeReasonMessage) เมื่อล้างโปรไฟล์งาน
5.18. การรองรับแอปที่เชื่อมต่อ
ผู้ดูแลระบบไอทีสามารถตั้งค่ารายการแพ็กเกจที่สื่อสารข้ามขอบเขตโปรไฟล์งานได้โดยการตั้งค่า ConnectedWorkAndPersonalApp
5.19. การอัปเดตระบบด้วยตนเอง
Android Management API ไม่รองรับฟีเจอร์นี้
6. การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
6.1 การเลิกใช้งานผู้ดูแลระบบอุปกรณ์
EMM จะต้องโพสต์แผนภายในสิ้นปี 2022 เพื่อยุติการสนับสนุนลูกค้าสำหรับ Device Admin ในอุปกรณ์ GMS ภายในสิ้นไตรมาส 1 ปี 2023
7. การใช้ API
7.1. ตัวควบคุมนโยบายมาตรฐานสำหรับการเชื่อมโยงใหม่
โดยค่าเริ่มต้น อุปกรณ์ต้องได้รับการจัดการโดยใช้ Android Device Policy สําหรับการเชื่อมโยงใหม่ EMM อาจให้ตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กําหนดเองในพื้นที่การตั้งค่าในส่วนหัว "ขั้นสูง" หรือคําศัพท์ที่คล้ายกัน ลูกค้าใหม่ต้องไม่พบตัวเลือกสแต็กเทคโนโลยีที่เลือกเองในระหว่างเวิร์กโฟลว์การเริ่มต้นใช้งานหรือการตั้งค่า
7.2. เครื่องมือควบคุมนโยบายมาตรฐานสำหรับอุปกรณ์ใหม่
โดยค่าเริ่มต้น อุปกรณ์ต้องได้รับการจัดการโดยใช้ Android Device Policy สำหรับการลงทะเบียนอุปกรณ์ใหม่ทั้งหมด ทั้งการเชื่อมโยงที่มีอยู่และการเชื่อมโยงใหม่ EMM อาจให้ตัวเลือกในการจัดการอุปกรณ์โดยใช้ DPC ที่กําหนดเองในพื้นที่การตั้งค่าในส่วนหัว "ขั้นสูง" หรือคําศัพท์ที่คล้ายกัน