Auf dieser Seite finden Sie eine vollständige Liste der Android Enterprise-Funktionen.
Wenn Sie mehr als 500 Geräte verwalten möchten, muss Ihre EMM-Lösung alle Standardfunktionen () von mindestens einem Lösungssatz unterstützen, bevor sie kommerziell verfügbar gemacht werden kann. EMM-Lösungen, die die Überprüfung der Standardfunktionen bestehen, sind im Enterprise Solutions Directory von Android als Anbieter eines Standard-Verwaltungssets aufgeführt.
Für jede Lösungssammlung sind zusätzliche erweiterte Funktionen verfügbar. Diese Features sind auf jeder Seite für den Lösungssatz beschrieben: Arbeitsprofil auf einem privaten Gerät, Arbeitsprofil auf einem unternehmenseigenen Gerät, vollständig verwaltetes Gerät und dediziertem Gerät. EMM-Lösungen, die die Überprüfung erweiterter Funktionen bestehen, sind im Android Enterprise-Lösungsverzeichnis als Anbieter eines erweiterten Verwaltungssets aufgeführt.
Schlüssel
| Standardfunktion | erweiterte Funktion | Optionale Funktion | nicht zutreffend |
1. Gerätebereitstellung
1.1. Bereitstellung von Arbeitsprofilen über den Dienstanbieter
Sie können ein Arbeitsprofil bereitstellen, nachdem Sie den DPC des EMM bei Google Play heruntergeladen haben.
1.1.1. Der DPC des EMM muss öffentlich bei Google Play verfügbar sein, damit Nutzer ihn auf der privaten Seite des Geräts installieren können.
1.1.2. Nach der Installation muss der DPC den Nutzer durch die Bereitstellung eines Arbeitsprofils führen.
1.1.3. Nach Abschluss der Bereitstellung darf keine Verwaltungspräsenz auf der privaten Seite des Geräts vorhanden sein.
- Alle während der Bereitstellung eingerichteten Richtlinien müssen entfernt werden.
- App-Berechtigungen müssen widerrufen werden.
- Die Datenschutzrichtlinien-Kontrolle des EMM-Anbieters muss mindestens auf der privaten Seite des Geräts deaktiviert sein.
1.2. Bereitstellung von DPC-Kennungen für Geräte
IT-Administratoren können ein vollständig verwaltetes oder dediziertes Gerät mit einer DPC-ID („afw#“) gemäß den Implementierungsrichtlinien bereitstellen, die in der Entwicklerdokumentation der Play EMM API definiert sind.
1.2.1. Der DPC des EMM muss bei Google Play öffentlich verfügbar sein. Der DPC muss über den Einrichtungsassistenten des Geräts installiert werden können, indem eine DPC-spezifische Kennung eingegeben wird.
1.2.2. Nach der Installation muss der DPC des EMM den Nutzer durch die Bereitstellung eines vollständig verwalteten oder dedizierten Geräts führen.
1.3. NFC-Gerätebereitstellung
NFC-Tags können von IT-Administratoren verwendet werden, um neue oder auf die Werkseinstellungen zurückgesetzte Geräte gemäß den Implementierungsrichtlinien einzurichten, die in der Entwicklerdokumentation zur Play EMM API definiert sind.
1.3.1. EMMs müssen NFC Forum Type 2-Tags mit mindestens 888 Byte Arbeitsspeicher verwenden. Für die Bereitstellung müssen Bereitstellungs-Extras verwendet werden, um nicht vertrauliche Registrierungsdetails wie Server-IDs und Registrierungs-IDs an ein Gerät weiterzugeben. Die Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.3.2. Nachdem sich der DPC des EMM als Geräteeigentümer festgelegt hat, muss er sich sofort öffnen und sich auf dem Display sperren, bis das Gerät vollständig bereitgestellt ist. 1.3.3. Wir empfehlen die Verwendung von NFC-Tags ab Android 10, da NFC Beam (auch NFC-Bump genannt) eingestellt wird.
1.4 Gerätebereitstellung per QR-Code
IT-Administratoren können ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät verwenden, um einen QR-Code zu scannen, der von der EMM-Konsole generiert wurde, um das Gerät gemäß den Implementierungsrichtlinien in der Entwicklerdokumentation der Play EMM API zu provisionieren.
1.4.1. Der QR-Code muss Bereitstellungsextras verwenden, um nicht vertrauliche Registrierungsdetails wie Server-IDs und Registrierungs-IDs an ein Gerät zu übergeben. Die Registrierungsdetails dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.4.2. Nachdem der DPC der EMM das Gerät eingerichtet hat, muss er sich sofort öffnen und sich auf dem Display sperren, bis das Gerät vollständig bereitgestellt ist.
1.5 Zero-Touch-Registrierung
IT-Administratoren können Geräte vorkonfigurieren, die bei autorisierten Resellern erworben wurden, und sie über die EMM-Konsole verwalten.
1.5.1. IT-Administratoren können unternehmenseigene Geräte mit der Zero-Touch-Registrierungsmethode bereitstellen, die im Hilfeartikel Zero-Touch-Registrierung für IT-Administratoren beschrieben wird.
1.5.2. Wenn ein Gerät zum ersten Mal eingeschaltet wird, werden automatisch die vom IT-Administrator festgelegten Einstellungen übernommen.
1.6 Erweiterte Zero-Touch-Bereitstellung
IT-Administratoren können einen Großteil des Geräteregistrierungsprozesses automatisieren, indem sie DPC-Registrierungsdetails über die Zero-Touch-Registrierung bereitstellen. Der DPC des EMM unterstützt die Beschränkung der Registrierung auf bestimmte Konten oder Domains entsprechend den vom EMM angebotenen Konfigurationsoptionen.
1.6.1. IT-Administratoren können ein unternehmenseigenes Gerät mit der Zero-Touch-Registrierung bereitstellen, wie unter Zero-Touch-Registrierung für IT-Administratoren beschrieben.
1.6.2. Nachdem der DPC des EMM das Gerät eingerichtet hat, muss er sich sofort öffnen und sich auf dem Display sperren, bis das Gerät vollständig bereitgestellt ist.
- Diese Anforderung gilt nicht für Geräte, die sich mithilfe von Zero-Touch-Registrierungsdetails automatisch und ohne Benutzereingriff vollständig bereitstellen (z. B. bei einer speziellen Gerätebereitstellung).
1.6.3. Anhand der Registrierungsdetails muss der DPC des EMM sicherstellen, dass nicht autorisierte Nutzer die Aktivierung nicht fortsetzen können, sobald der DPC aufgerufen wurde. Die Aktivierung muss mindestens auf die Nutzer eines bestimmten Unternehmens beschränkt sein.
1.6.4. Mithilfe der Registrierungsdetails muss der DPC des EMM es IT-Administratoren ermöglichen, neben eindeutigen Nutzer- oder Geräteinformationen (z. B. Nutzername/Passwort, Aktivierungstoken) auch Registrierungsdetails (z. B. Server-IDs, Registrierungs-IDs) vorab auszufüllen, damit Nutzer bei der Aktivierung eines Geräts keine Details eingeben müssen.
- EMMs dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate in die Konfiguration der Zero-Touch-Registrierung aufnehmen.
1.7. Bereitstellung von Arbeitsprofilen für Google-Konten
Unternehmen, die eine verwaltete Google-Domain verwenden, können mit dieser Funktion Nutzer durch die Einrichtung eines Arbeitsprofils führen, nachdem sie während der Geräteeinrichtung oder auf einem bereits aktivierten Gerät ihre Workspace-Anmeldedaten für das Unternehmen eingegeben haben. In beiden Fällen wird die Workspace-Identität des Unternehmens in das Arbeitsprofil migriert.
1.7.1. Mit der Google-Kontobereitstellungsmethode wird ein Arbeitsprofil gemäß den definierten Implementierungsrichtlinien bereitgestellt.
1.8. Gerätebereitstellung über das Google-Konto
Für Unternehmen, die Workspace verwenden, führt diese Funktion Nutzer durch die Installation des DPC ihres EMM, nachdem sie ihre Workspace-Anmeldedaten bei der Ersteinrichtung des Geräts eingegeben haben. Nach der Installation führt der DPC die Einrichtung eines unternehmenseigenen Geräts durch.
1.8.1. Mit der Google-Kontobereitstellungsmethode wird ein unternehmenseigenes Gerät gemäß den definierten Implementierungsrichtlinien bereitgestellt.
1.8.2. Sofern der EMM das Gerät nicht eindeutig als unternehmenseigenes Asset identifizieren kann, kann er es während des Bereitstellungsvorgangs nicht ohne Aufforderung bereitstellen. Diese Aufforderung muss eine nicht standardmäßige Aktion ausführen, z. B. das Anklicken eines Kästchens oder die Auswahl einer nicht standardmäßigen Menüauswahl. Es wird empfohlen, dass die EMM das Gerät als Unternehmenseigentum identifizieren kann, damit die Aufforderung nicht erforderlich ist.
1.9. Direkte Zero-Touch-Konfiguration
IT-Administratoren können in der EMM-Konsole Zero-Touch-Geräte mit dem Zero-Touch-iFrame einrichten.
1.10. Arbeitsprofile auf unternehmenseigenen Geräten
EMMs können unternehmenseigene Geräte mit einem Arbeitsprofil registrieren.
1.10.1. Absichtlich leer.
1.10.2. IT-Administratoren können Compliance-Aktionen für Arbeitsprofile auf unternehmenseigenen Geräten festlegen.
1.10.3. IT-Administratoren können die Kamera entweder im Arbeitsprofil oder auf dem gesamten Gerät deaktivieren.
1.10.4. IT-Administratoren können die Bildschirmaufnahme entweder im Arbeitsprofil oder auf dem gesamten Gerät deaktivieren.
1.10.5. IT-Administratoren können eine Zulassungs- oder Sperrliste mit Apps festlegen, die im privaten Profil installiert werden dürfen oder nicht.
1.10.6. IT-Administratoren können die Verwaltung eines unternehmenseigenen Geräts aufgeben, indem sie das Arbeitsprofil entfernen oder das gesamte Gerät löschen.
1.11. Bereitstellung für spezielle Geräte
Bewusst leer.
2. Gerätesicherheit
2.1. Sicherheitsherausforderung für Geräte
IT-Administratoren können auf verwalteten Geräten eine Gerätesicherheitsabfrage (PIN/Muster/Passwort) aus einer vordefinierten Auswahl von drei Komplexitätsstufen festlegen und erzwingen.
2.1.1. Die Richtlinie muss Einstellungen zur Verwaltung von Identitätsbestätigungen für Geräte erzwingen (parentProfilePasswordrequirements für Arbeitsprofil, passwordrequirements für vollständig verwaltete und zweckbestimmte Geräte).
2.1.2. Die Passwortkomplexität muss den folgenden Komplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW: Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen.
- PASSWORD_COMPLEXITY_MEDIUM: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphanumerisches Passwort mit einer Länge von mindestens 4 Zeichen
- PASSWORD_COMPLEXITY_HIGH: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und einer Länge von mindestens 8 oder alphabetische oder alphanumerische Passwörter mit einer Länge von mindestens 6
2.2. Sicherheitsmaßnahme für die Arbeit
IT-Administratoren können eine Sicherheitsanfrage für Apps und Daten im Arbeitsprofil festlegen und erzwingen, die unabhängig ist und andere Anforderungen als die Gerätesicherheitsanfrage (2.1) hat.
2.2.1. Die Richtlinie muss die Sicherheitsanfrage für das Arbeitsprofil erzwingen. Standardmäßig sollten IT-Administratoren Einschränkungen nur für das Arbeitsprofil festlegen, wenn kein Bereich angegeben ist. IT-Administratoren können dies für das gesamte Gerät festlegen, indem sie den Bereich angeben (siehe Anforderung 2.1).
2.1.2. Die Passwortkomplexität sollte den folgenden Passwortkomplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW: Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen.
- PASSWORD_COMPLEXITY_MEDIUM: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen, alphanumerisches Passwort mit einer Länge von mindestens 4 Zeichen
- PASSWORD_COMPLEXITY_HIGH: PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und einer Länge von mindestens 8 oder alphabetische oder alphanumerische Passwörter mit einer Länge von mindestens 6
2.3. Erweiterte Sicherheitscodeverwaltung
2.3.1. Bewusst leer.
2.3.2. Bewusst leer.
2.3.3. Für jeden Sperrbildschirm auf einem Gerät können die folgenden Einstellungen für den Passwortlebenszyklus festgelegt werden:
- Absichtlich leer
- Absichtlich leer
- Maximale Anzahl fehlgeschlagener Passwörter für das Löschen der Gerätedaten: Gibt an, wie oft Nutzer ein falsches Passwort eingeben können, bevor Unternehmensdaten vom Gerät gelöscht werden. IT-Administratoren müssen diese Funktion deaktivieren können.
2.4 Smart Lock-Verwaltung
IT-Administratoren können festlegen, welche Trust Agents in der Smart Lock-Funktion von Android Geräte entsperren dürfen. IT-Administratoren können bestimmte Entsperrmethoden wie vertrauenswürdige Bluetooth-Geräte, Gesichtserkennung und Spracherkennung deaktivieren oder die Funktion vollständig deaktivieren.
2.4.1. IT-Administratoren können Smart Lock-Trust Agents unabhängig für jeden auf dem Gerät verfügbaren Sperrbildschirm deaktivieren.
2.4.2. IT-Administratoren können Smart Lock-Trust Agents selektiv zulassen und einrichten, unabhängig für jeden auf dem Gerät verfügbaren Sperrbildschirm, für die folgenden Trust Agents: Bluetooth, NFC, Orte, Gesicht, am Körper und Sprache.
- IT-Administratoren können die verfügbaren Konfigurationsparameter für Trust Agents ändern.
2.5 Löschen und sperren
IT-Administratoren können über die EMM-Konsole geschäftliche Daten auf einem verwalteten Gerät per Fernzugriff sperren und löschen.
2.5.1. Der DPC des EMM muss die Geräte sperren.
2.5.2. Der DPC von EMM muss die Gerätedaten löschen.
2.6. Compliance erzwingen
Wenn ein Gerät nicht den Sicherheitsrichtlinien entspricht, werden geschäftliche Daten automatisch eingeschränkt.
2.6.1. Die auf einem Gerät erzwungenen Sicherheitsrichtlinien müssen mindestens eine Passwortrichtlinie enthalten.
2.7 Standard-Sicherheitsrichtlinien
EMMs müssen die angegebenen Sicherheitsrichtlinien standardmäßig auf Geräten erzwingen, ohne dass IT-Administratoren Einstellungen in der EMM-Konsole einrichten oder anpassen müssen. EMMs werden empfohlen (aber nicht verpflichtet), IT-Administratoren nicht zu erlauben, den Standardstatus dieser Sicherheitsfunktionen zu ändern.
2.7.1. Der DPC der EMM muss die Installation von Apps aus unbekannten Quellen blockieren, einschließlich Apps, die auf der privaten Seite installiert sind, auf allen Geräten mit Android 8.0 oder höher mit einem Arbeitsprofil.
2.7.2. Der DPC des EMM muss Debug-Funktionen blockieren.
2.8 Sicherheitsrichtlinien für zweckbestimmte Geräte
Zweckbestimmte Geräte sind gesperrt, ohne dass es eine Möglichkeit gibt, die Sperrung zu umgehen, um andere Aktionen auszuführen.
2.8.1. Der DPC des EMM muss das Starten im abgesicherten Modus standardmäßig deaktivieren.
2.8.2. Der DPC des EMM muss beim ersten Start während der Bereitstellung sofort geöffnet und auf dem Display gesperrt werden, damit keine andere Interaktion mit dem Gerät möglich ist.
2.8.3. Der DPC des EMM muss als Standard-Launcher festgelegt werden, damit zulässige Apps beim Starten gemäß den definierten Implementierungsrichtlinien auf dem Display gesperrt werden.
2.9. Play Integrity-Support
Der EMM verwendet die Play Integrity API, um sicherzustellen, dass es sich bei den Geräten um gültige Android-Geräte handelt.
2.9.1. Der DPC der EMM implementiert während der Bereitstellung die Play Integrity API und führt die Bereitstellung des Geräts mit Unternehmensdaten standardmäßig nur dann durch, wenn die zurückgegebene Geräteintegrität MEETS_STRONG_INTEGRITY ist.
2.9.2. Der DPC der EMM führt jedes Mal, wenn ein Gerät sich beim Server der EMM anmeldet, eine weitere Play Integrity-Prüfung durch, die vom IT-Administrator konfiguriert werden kann. Der EMM-Server prüft die APK-Informationen in der Antwort der Integritätsprüfung und die Antwort selbst, bevor die Unternehmensrichtlinie auf dem Gerät aktualisiert wird.
2.9.3. IT-Administratoren können je nach Ergebnis der Play Integrity-Prüfung unterschiedliche Richtlinienantworten einrichten, z. B. die Bereitstellung blockieren, Unternehmensdaten löschen und die Registrierung zulassen.
- Der EMM-Dienst erzwingt diese Richtlinienantwort für das Ergebnis jeder Integritätsprüfung.
2.9.4. Wenn die anfängliche Play-Integritätsprüfung fehlschlägt oder ein Ergebnis zurückgibt, das nicht den strikten Integritätsanforderungen entspricht, und der DPC des EMM noch nicht ensureWorkingEnvironment aufgerufen hat, muss er dies tun und die Prüfung wiederholen, bevor die Bereitstellung abgeschlossen ist.
2.10. Funktion „Apps überprüfen“ erzwingen
IT-Administratoren können Apps überprüfen auf Geräten aktivieren. Mit der Funktion „Apps überprüfen“ werden auf Android-Geräten installierte Apps vor und nach der Installation auf schädliche Software geprüft. So wird verhindert, dass bösartige Apps Unternehmensdaten gefährden.
2.10.1. Der DPC von EMM muss die Funktion „Apps überprüfen“ standardmäßig aktivieren.
2.11. Unterstützung für Direct Boot
Auf Geräten mit Android 7.0 oder höher können Apps erst ausgeführt werden, nachdem das Gerät entsperrt wurde. Durch die Unterstützung von Direct Boot ist der DPC des EMM immer aktiv und kann Richtlinien auch dann erzwingen, wenn das Gerät nicht entsperrt wurde.
2.11.1. Der DPC des EMM nutzt den verschlüsselten Gerätespeicher, um wichtige Verwaltungsfunktionen auszuführen, bevor der verschlüsselte Anmeldedatenspeicher des DPC entschlüsselt wurde. Verwaltungsfunktionen, die während des Direct Boot-Modus verfügbar sind, müssen unter anderem Folgendes umfassen:
- Datenlöschung für Unternehmen, einschließlich der Möglichkeit, bei Bedarf Daten zum Schutz vor dem Zurücksetzen auf die Werkseinstellungen zu löschen.
2.11.2. Der DPC des EMM darf keine Unternehmensdaten im verschlüsselten Gerätespeicher offenlegen.
2.11.3. EMMs können ein Token festlegen und aktivieren, um die Schaltfläche Passwort vergessen auf dem Sperrbildschirm des Arbeitsprofils zu aktivieren. Über diese Schaltfläche können Sie den IT-Administratoren das Zurücksetzen des Passworts für das Arbeitsprofil anfordern.
2.12. Hardwaresicherheitsverwaltung
IT-Administratoren können Hardwareelemente eines unternehmenseigenen Geräts sperren, um Datenverluste zu verhindern.
2.12.1. IT-Administratoren können Nutzer daran hindern, physische externe Medien auf ihrem Gerät bereitzustellen.
2.12.2. IT-Administratoren können verhindern, dass Nutzer Daten über NFC-Beam von ihrem Gerät freigeben. Diese Unterfunktion ist optional, da die NFC-Beam-Funktion unter Android 10 und höher nicht mehr unterstützt wird.
2.12.3. IT-Administratoren können Nutzer daran hindern, Dateien über USB von ihrem Gerät zu übertragen.
2.13. Logging für Enterprise Security
IT-Administratoren können Nutzungsdaten von Geräten erfassen, die analysiert und programmatisch auf schädliches oder riskantes Verhalten geprüft werden können. Zu den protokollierten Aktivitäten gehören Android Debug Bridge-Aktivitäten (adb), App-Öffnungen und Displayentsperren.
2.13.1. IT-Administratoren können das Sicherheitsprotokollieren für bestimmte Geräte aktivieren. Der DPC des EMM muss sowohl Sicherheitsprotokolle als auch Sicherheitsprotokolle vor dem Neustart automatisch abrufen können.
2.13.2. IT-Administratoren können in der EMM-Konsole Sicherheitsprotokolle für Unternehmen für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster prüfen.
2.13.3. IT-Administratoren können Sicherheitsprotokolle für Unternehmen aus der EMM-Konsole exportieren.
3. Konto- und App-Verwaltung
3.1. Unternehmensbindung
IT-Administratoren können den EMM an ihre Organisation binden, damit der EMM Apps über Managed Google Play auf Geräten bereitstellen kann.
3.1.1. Ein Administrator mit einer vorhandenen verwalteten Google-Domain kann seine Domain an den EMM binden.
3.1.2. Über die EMM-Konsole muss für jedes Unternehmen im Hintergrund eine eindeutige ESA bereitgestellt und eingerichtet werden.
3.1.3. Entfernen Sie ein Unternehmen mit der Play EMM API aus der Registrierung.
3.1.4. In der EMM-Konsole wird der Administrator aufgefordert, seine geschäftliche E-Mail-Adresse in den Android-Registrierungsvorgang einzugeben. Die Verwendung eines Gmail-Kontos wird nicht empfohlen.
3.1.5. Der EMM füllt die E-Mail-Adresse des Administrators bei der Android-Registrierung vorab aus.
3.2. Bereitstellung von Managed Google Play-Konten
Der EMM-Anbieter kann Nutzerkonten für Unternehmen, sogenannte Managed Google Play-Konten, im Hintergrund bereitstellen. Diese Konten identifizieren verwaltete Nutzer und ermöglichen individuelle App-Bereitstellungsregeln pro Nutzer.
3.2.1. Der DPC der EMM kann ein verwaltetes Google Play-Konto gemäß den definierten Implementierungsrichtlinien automatisch bereitstellen und aktivieren. Dabei gilt Folgendes:
- Dem Gerät wird ein verwaltetes Google Play-Konto vom Typ
userAccounthinzugefügt. - Das verwaltete Google Play-Konto vom Typ
userAccountmuss 1:1 mit den tatsächlichen Nutzern in der EMM-Konsole verknüpft sein.
3.3 Bereitstellung von Gerätekonten für Managed Google Play
Der EMM kann Managed Google Play-Gerätekonten erstellen und bereitstellen. Gerätekonten unterstützen das automatische Installieren von Apps aus dem Managed Google Play Store und sind nicht an einen einzelnen Nutzer gebunden. Stattdessen wird ein Gerätekonto verwendet, um ein einzelnes Gerät zu identifizieren, um Regeln für die App-Bereitstellung pro Gerät in speziellen Geräteszenarien zu unterstützen.
3.3.1. Der DPC des EMM kann gemäß den definierten Implementierungsrichtlinien ein Managed Google Play-Konto im Hintergrund bereitstellen und aktivieren.
Dabei muss dem Gerät ein verwaltetes Google Play-Konto vom Typ deviceAccount hinzugefügt werden.
3.4. Bereitstellung von Managed Google Play-Konten für ältere Geräte
Der EMM kann Unternehmensnutzerkonten, sogenannte Managed Google Play-Konten, im Hintergrund bereitstellen. Diese Konten identifizieren verwaltete Nutzer und ermöglichen individuelle App-Bereitstellungsregeln pro Nutzer.
3.4.1. Der DPC des EMM kann gemäß den definierten Implementierungsrichtlinien ein Managed Google Play-Konto im Hintergrund bereitstellen und aktivieren. Dabei gilt Folgendes:
- Dem Gerät wird ein verwaltetes Google Play-Konto vom Typ
userAccounthinzugefügt. - Das verwaltete Google Play-Konto vom Typ
userAccountmuss 1:1 mit den tatsächlichen Nutzern in der EMM-Konsole verknüpft sein.
3.5 App-Bereitstellung im Hintergrund
IT-Administratoren können Arbeits-Apps ohne Nutzerinteraktion automatisch auf den Geräten der Nutzer bereitstellen.
3.5.1. In der EMM-Konsole muss die Play EMM API verwendet werden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten installieren können.
3.5.2. Die EMM-Konsole muss die Play EMM API verwenden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten aktualisieren können.
3.5.3. In der EMM-Konsole muss die Play EMM API verwendet werden, damit IT-Administratoren Apps auf verwalteten Geräten deinstallieren können.
3.6 Verwaltete Konfigurationen verwalten
IT-Administratoren können verwaltete Konfigurationen oder Apps, die verwaltete Konfigurationen unterstützen, ansehen und in der Hintergrund festlegen.
3.6.1. Die Konsole des EMM muss die Einstellungen für die verwaltete Konfiguration jeder Play-App abrufen und anzeigen können.
- EMM-Anbieter können
Products.getAppRestrictionsSchemaaufrufen, um das Schema für verwaltete Konfigurationen einer App abzurufen, oder den Frame für verwaltete Konfigurationen in ihre EMM-Konsole einbetten.
3.6.2. In der EMM-Konsole müssen IT-Administratoren einen beliebigen Konfigurationstyp (wie durch das Android-Framework definiert) für jede Play-App mit der Play EMM API festlegen können.
3.6.3. Die Konsole der EMM-Lösung muss es IT-Administratoren ermöglichen, Platzhalter wie $username$ oder %emailAddress% festzulegen, damit eine einzelne Konfiguration für eine App wie Gmail auf mehrere Nutzer angewendet werden kann. Der Iframe für die verwaltete Konfiguration unterstützt diese Anforderung automatisch.
3.7. App-Katalogverwaltung
IT-Administratoren können eine Liste der für ihr Unternehmen genehmigten Apps aus Managed Google Play (play.google.com/work) importieren.
3.7.1. In der EMM-Konsole kann eine Liste der für die Bereitstellung genehmigten Apps angezeigt werden, darunter:
- In Managed Google Play gekaufte Apps
- Private Apps, die für IT-Administratoren sichtbar sind
- Programmatisch genehmigte Apps
3.8. Programmatische App-Genehmigung
In der EMM-Konsole wird der iFrame von Managed Google Play verwendet, um die Funktionen zum Erkennen und Genehmigen von Apps von Google Play zu unterstützen. IT-Administratoren können nach Apps suchen, Apps genehmigen und neue App-Berechtigungen genehmigen, ohne die EMM-Konsole zu verlassen.
3.8.1. IT-Administratoren können über den iFrame von Managed Google Play in der EMM-Konsole nach Apps suchen und diese genehmigen.
3.9. Einfache Verwaltung des Store-Layouts
Mit der Managed Google Play Store App können Sie auf Geräten Apps für die Arbeit installieren und aktualisieren. Standardmäßig wird das grundlegende Store-Layout angezeigt und es werden für das Unternehmen genehmigte Apps aufgelistet, die EMMs je nach Richtlinie auf Nutzerbasis filtern.
3.9.1. IT-Administratoren können [die verfügbaren Produktsätze der Nutzer verwalten]/android/work/play/emm-api/samples#grant_a_user_access_to_apps, um im Abschnitt „Store-Startseite“ die Anzeige und Installation von Apps aus dem Managed Google Play Store zuzulassen.
3:10. Erweiterte Konfiguration des Store-Layouts
IT-Administratoren können das Store-Layout anpassen, das in der Managed Google Play Store App auf Geräten angezeigt wird.
3.10.1. IT-Administratoren können die folgenden Aktionen in der EMM-Konsole ausführen, um das Layout des verwalteten Google Play Store zu anpassen:
- Sie können bis zu 100 Seiten mit Store-Layouts erstellen. Seiten können beliebig viele lokalisierte Seitennamen haben.
- Sie können für jede Seite bis zu 30 Cluster erstellen. Cluster können eine beliebige Anzahl von lokalisierten Clusternamen haben.
- Sie können jedem Cluster bis zu 100 Apps zuweisen.
- Fügen Sie jeder Seite bis zu zehn Schnellinfos hinzu.
- Legen Sie die Sortierreihenfolge von Apps innerhalb eines Clusters und Clustern innerhalb einer Seite fest.
3.11. App-Lizenzverwaltung
IT-Administratoren können in der EMM-Konsole App-Lizenzen ansehen und verwalten, die in Managed Google Play gekauft wurden.
3.11.1. Bei kostenpflichtigen Apps, die für ein Unternehmen genehmigt wurden, muss die EMM-Konsole Folgendes anzeigen:
- Die Anzahl der erworbenen Lizenzen.
- Die Anzahl der genutzten Lizenzen und die Nutzer, die die Lizenzen nutzen.
- Die Anzahl der für den Vertrieb verfügbaren Lizenzen.
3.11.2. IT-Administratoren können Lizenzen Nutzern automatisch zuweisen, ohne dass die App auf den Geräten der Nutzer installiert werden muss.
3.11.3. IT-Administratoren können die Zuweisung einer Anwendungslizenz zu einem Nutzer aufheben.
3.12. Von Google gehostete private Apps verwalten
IT-Administratoren können von Google gehostete interne Apps über die EMM-Konsole statt über die Google Play Console aktualisieren.
3.12.1. IT-Administratoren können neue Versionen von Apps, die bereits privat veröffentlicht wurden, mit folgenden Methoden in das Unternehmen hochladen:
3.13. Verwaltung selbst gehosteter privater Apps
IT-Administratoren können selbst gehostete private Apps einrichten und veröffentlichen. Im Gegensatz zu von Google gehosteten privaten Apps werden die APKs nicht von Google Play gehostet. Stattdessen unterstützt die EMM-Lösung IT-Administratoren beim Hosten von APKs und beim Schutz selbst gehosteter Apps, indem sichergestellt wird, dass sie nur installiert werden können, wenn sie von Managed Google Play autorisiert wurden.
Weitere Informationen finden IT-Administratoren unter Unterstützung für interne Apps.
3.13.1. Die Konsole des EMM-Anbieters muss IT-Administratoren beim Hosten des App-APK unterstützen und mindestens eine der folgenden Optionen bieten:
- Das APK auf dem Server des EMM hosten Der Server kann lokal oder cloudbasiert sein.
- Hosting des APK außerhalb des EMM-Servers nach Ermessen des IT-Administrators. Der IT-Administrator muss in der EMM-Konsole angeben, wo das APK gehostet wird.
3.13.2. Die Konsole des EMM muss eine entsprechende APK-Definitiondatei mit dem bereitgestellten APK generieren und IT-Administratoren durch den Veröffentlichungsprozess führen.
3.13.3. IT-Administratoren können selbst gehostete interne Apps aktualisieren und die Konsole des EMM kann aktualisierte APK-Definitionen mithilfe der Google Play Developer Publishing API im Hintergrund veröffentlichen.
3.13.4. Der EMM-Server stellt nur Downloadanfragen für das selbst gehostete APK bereit, das ein gültiges JWT im Cookie der Anfrage enthält, wie durch den öffentlichen Schlüssel der privaten App verifiziert.
- Um diesen Prozess zu vereinfachen, müssen IT-Administratoren auf dem EMM-Server angewiesen werden, den öffentlichen Lizenzschlüssel der selbst gehosteten App aus der Google Play Console herunterzuladen und in die EMM-Konsole hochzuladen.
3.14. EMM-Pull-Benachrichtigungen
Anstatt Play regelmäßig zu fragen, ob es vergangene Ereignisse wie ein App-Update mit neuen Berechtigungen oder verwalteten Konfigurationen gibt, werden EMMs proaktiv in Echtzeit über EMM-Pull-Benachrichtigungen über solche Ereignisse informiert. So können EMMs automatisierte Aktionen ausführen und benutzerdefinierte Benachrichtigungen für die Verwaltung basierend auf diesen Ereignissen senden.
3.14.1. Der EMM-Anbieter muss die EMM-Benachrichtigungen von Google Play verwenden, um Benachrichtigungssätze abzurufen.
3.14.2. Die EMM-Lösung muss einen IT-Administrator automatisch über die folgenden Benachrichtigungsereignisse informieren (z. B. per automatisierter E-Mail):
newPermissionEvent: Ein IT-Administrator muss neue App-Berechtigungen genehmigen, bevor die App auf den Geräten der Nutzer automatisch installiert oder aktualisiert werden kann.appRestrictionsSchemaChangeEvent: Der IT-Administrator muss möglicherweise die verwaltete Konfiguration einer App aktualisieren, um die angestrebte Effizienz aufrechtzuerhalten.appUpdateEvent: Kann für IT-Administratoren interessant sein, die prüfen möchten, ob die Leistung des Hauptworkflows durch das App-Update nicht beeinträchtigt wird.productAvailabilityChangeEvent: Kann die Installation der App oder die Installation von App-Updates beeinträchtigen.installFailureEvent: Play kann eine App nicht automatisch auf einem Gerät installieren. Dies lässt darauf schließen, dass die Installation möglicherweise durch die Gerätekonfiguration verhindert wird. EMMs sollten nach Erhalt dieser Benachrichtigung nicht sofort wieder eine Installation im Hintergrund versuchen, da die Wiederhollogik von Google Play bereits fehlgeschlagen ist.
3.14.3. Das EMM ergreift automatisch die entsprechenden Maßnahmen, wenn eines der folgenden Benachrichtigungsereignisse auftritt:
newDeviceEvent: Während der Gerätebereitstellung müssen EMMs aufnewDeviceEventwarten, bevor sie weitere Play EMM API-Aufrufe für das neue Gerät starten. Dazu zählen auch App-Installationen im Hintergrund und das Festlegen verwalteter Konfigurationen.productApprovalEvent: Wenn eineproductApprovalEvent-Benachrichtigung empfangen wird, muss die EMM-Konsole die Liste der genehmigten Apps, die zum Verteilen auf Geräte importiert wurden, automatisch aktualisieren, wenn eine aktive IT-Administratorsitzung vorhanden ist oder die Liste der genehmigten Apps nicht automatisch zu Beginn jeder IT-Administratorsitzung neu geladen wird.
3:15. Anforderungen an die API-Nutzung
Das EMM implementiert die APIs von Google im großen Maßstab und verhindert Traffic-Muster, die sich negativ auf die Fähigkeit von IT-Administratoren auswirken könnten, Apps in Produktionsumgebungen zu verwalten.
3.15.1. Der EMM-Anbieter muss die Nutzungslimits der Play EMM API einhalten. Wenn Sie ein Verhalten, das gegen diese Richtlinien verstößt, nicht korrigieren, kann die API-Nutzung nach Ermessen von Google ausgesetzt werden.
3.15.2. Der EMM sollte den Traffic von verschiedenen Unternehmen über den Tag verteilen, anstatt den Traffic von Unternehmen zu bestimmten oder ähnlichen Zeiten zu konsolidieren. Ein Verhalten, das zu diesem Traffic-Muster passt, z. B. geplante Batch-Vorgänge für jedes registrierte Gerät, kann dazu führen, dass die API-Nutzung nach Ermessen von Google ausgesetzt wird.
3.15.3. Die EMM darf keine regelmäßigen, unvollständigen oder absichtlich falschen Anfragen stellen, bei denen nicht versucht wird, tatsächliche Unternehmensdaten abzurufen oder zu verwalten. Ein Verhalten, das diesem Traffic-Muster entspricht, kann nach Ermessen von Google zur Sperrung der API-Nutzung führen.
3.16. Erweiterte Verwaltung verwalteter Konfigurationen
3.16.1. Die Konsole des EMM muss die verwalteten Konfigurationseinstellungen (bis zu vier verschachtelte Ebenen) jeder Play-App mithilfe der folgenden Methoden abrufen und anzeigen können:
- den iFrame für Managed Google Play oder
- eine benutzerdefinierte Benutzeroberfläche.
3.16.2. Die Konsole des EMM muss in der Lage sein, alles Feedback abzurufen und anzuzeigen, das vom Feedbackkanal einer App zurückgegeben wird, wenn es von einem IT-Administrator eingerichtet wurde.
- Die EMM-Konsole muss es IT-Administratoren ermöglichen, ein bestimmtes Feedbackelement mit dem Gerät und der App zu verknüpfen, von dem bzw. der es stammt.
- Die Konsole der EMM-Lösung muss es IT-Administratoren ermöglichen, Benachrichtigungen oder Berichte zu bestimmten Nachrichtentypen (z. B. Fehlermeldungen) zu abonnieren.
3.16.3. Die EMM-Konsole darf nur Werte senden, die entweder einen Standardwert haben oder manuell vom Administrator festgelegt werden. Verwenden Sie dazu Folgendes:
- den iFrame für verwaltete Konfigurationen oder
- Eine benutzerdefinierte UI.
3.17. Web-App-Verwaltung
IT-Administratoren können Web-Apps in der EMM-Konsole erstellen und verteilen.
3.17.1. IT-Administratoren können über die EMM-Konsole Verknüpfungen zu Web-Apps verteilen:
3.18. Lebenszyklusverwaltung für Managed Google Play-Konten
Der EMM kann Managed Google Play-Konten im Namen von IT-Administratoren erstellen, aktualisieren und löschen.
3.18.1. EMMs können den Lebenszyklus eines verwalteten Google Play-Kontos gemäß den Implementierungsrichtlinien verwalten, die in der Entwicklerdokumentation der Play EMM API definiert sind.
3.18.2. EMM-Anbieter können Managed Google Play-Konten ohne Nutzerinteraktion noch einmal authentifizieren.
3.19. Verwaltung von Anwendungs-Tracks
3.19.1. IT-Administratoren können eine Liste der Track-IDs abrufen, die von einem Entwickler für eine bestimmte App festgelegt wurden.
3.19.2. IT-Administratoren können festlegen, dass auf Geräten ein bestimmter Entwicklungspfad für eine Anwendung verwendet wird.
3.20. Erweiterte Verwaltung von Anwendungsupdates
3.20.1. IT-Administratoren können festlegen, dass Apps mit hoher Priorität aktualisiert werden, sobald ein Update verfügbar ist.
3.20.2. IT-Administratoren können zulassen, dass App-Updates für Apps um 90 Tage verschoben werden.
3.21. Verwaltung der Bereitstellungsmethoden
Der EMM kann Bereitstellungskonfigurationen generieren und dem IT-Administrator in einem für die Verteilung an Endnutzer geeigneten Format präsentieren (z. B. QR-Code, Zero-Touch-Konfiguration, Play Store-URL).
4. Geräteverwaltung
4.1. Verwaltung von Richtlinien für Laufzeitberechtigungen
IT-Administratoren können im Hintergrund eine Standardantwort auf Anfragen zu Laufzeitberechtigungen festlegen, die von geschäftlichen Anwendungen gestellt werden.
4.1.1. IT-Administratoren müssen beim Festlegen einer standardmäßigen Richtlinie für Laufzeitberechtigungen für ihre Organisation eine der folgenden Optionen auswählen können:
- Prompt (Nutzer können auswählen)
- allow
- deny
Der EMM sollte diese Einstellungen mithilfe des DPC des EMM erzwingen.
4.2. Verwaltung des Status der Laufzeitberechtigung
Nachdem Sie eine Standardrichtlinie für Laufzeitberechtigungen festgelegt haben (siehe 4.1.), IT-Administratoren können für jede geschäftliche App, die auf API 23 oder höher basiert, im Hintergrund Antworten für bestimmte Berechtigungen festlegen.
4.2.1. IT-Administratoren müssen in der Lage sein, den Erteilungsstatus (Standard, Gewähren oder Ablehnen) für jede Berechtigung festzulegen, die von jeder Arbeits-App mit API 23 oder höher angefordert wird. Der EMM sollte diese Einstellungen mithilfe des DPC des EMM erzwingen.
4.3. WLAN-Konfigurationsverwaltung
IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf verwalteten Geräten im Hintergrund bereitstellen, darunter:
4.3.1. SSID über den DPC des EMM
4.3.2. Passwort, mit dem DPC des EMM.
4.4. WLAN-Sicherheitsverwaltung
IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf verwalteten Geräten bereitstellen, die die folgenden erweiterten Sicherheitsfunktionen enthalten:
4.4.1. Identität mit dem DPC des EMM
4.4.2. Zertifikat für die Clientautorisierung mit dem DPC von EMM.
4.4.3. CA-Zertifikate mit dem DPC der EMM.
4.5. Erweiterte WLAN-Verwaltung
IT-Administratoren können WLAN-Konfigurationen auf verwalteten Geräten sperren, um zu verhindern, dass Nutzer Konfigurationen erstellen oder Unternehmenskonfigurationen ändern.
4.5.1. IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf eine der folgenden Arten sperren:
- Nutzer können keine WLAN-Konfigurationen ändern, die vom EMM bereitgestellt wurden, aber eigene von Nutzern konfigurierbare Netzwerke hinzufügen und ändern (z. B. private Netzwerke).
- Nutzer können kein WLAN auf dem Gerät hinzufügen oder ändern. Die WLAN-Verbindung ist also auf die Netzwerke beschränkt, die vom EMM bereitgestellt werden.
4.6. Kontoverwaltung
IT-Administratoren können dafür sorgen, dass nicht autorisierte Unternehmenskonten nicht mit Unternehmensdaten interagieren können, z. B. für Dienste wie SaaS-Speicher, Produktivitäts-Apps oder E-Mail. Ohne diese Funktion können Unternehmens-Apps, die auch Privatnutzerkonten unterstützen, private Konten hinzugefügt werden, um Unternehmensdaten mit diesen privaten Konten zu teilen.
4.6.1. IT-Administratoren können verhindern, dass Konten hinzugefügt oder geändert werden.
- Wenn diese Richtlinie auf einem Gerät erzwungen wird, müssen EMMs diese Einschränkung vor Abschluss der Bereitstellung festlegen, damit diese Richtlinie nicht durch Hinzufügen von Konten vor Inkrafttreten umgangen werden kann.
4.7. Workspace-Konten verwalten
IT-Administratoren können dafür sorgen, dass nicht autorisierte Google-Konten nicht mit Unternehmensdaten interagieren können. Ohne diese Funktion können privaten Google-Konten Unternehmens-Google-Apps (z. B. Google Docs oder Google Drive) hinzugefügt werden, sodass Unternehmensdaten für diese privaten Konten freigegeben werden können.
4.7.1. IT-Administratoren können Google-Konten angeben, die während der Bereitstellung aktiviert werden sollen, nachdem die Sperrung der Kontoverwaltung eingerichtet wurde.
4.7.2. Der DPC der EMM muss zum Aktivieren des Google-Kontos auffordern und dafür sorgen, dass nur das betreffende Konto aktiviert werden kann, indem das hinzuzufügende Konto angegeben wird.
- Auf Geräten mit einer älteren Android-Version als 7.0 muss der DPC die Einschränkung der Kontoverwaltung vorübergehend deaktivieren, bevor er den Nutzer auffordert.
4.8. Zertifikatsverwaltung
Ermöglicht es IT-Administratoren, Identitätszertifikate und Zertifizierungsstellen auf Geräten bereitzustellen, um den Zugriff auf Unternehmensressourcen zu ermöglichen.
4.8.1. IT-Administratoren können von ihrer PKI generierte Zertifikate für die Nutzeridentität pro Nutzer installieren. Die Konsole der EMM muss mit mindestens einer PKI integriert sein und von dieser Infrastruktur generierte Zertifikate verteilen.
4.8.2. IT-Administratoren können Zertifizierungsstellen im verwalteten Schlüsselspeicher installieren.
4.9. Erweiterte Zertifikatsverwaltung
Ermöglicht es IT-Administratoren, die Zertifikate, die bestimmte verwaltete Apps verwenden sollen, automatisch auszuwählen. Mit dieser Funktion können IT-Administratoren auch Zertifizierungsstellen und Identitätszertifikate von aktiven Geräten entfernen. Diese Funktion verhindert, dass Nutzer Anmeldedaten ändern, die im verwalteten Schlüsselspeicher gespeichert sind.
4.9.1. Für jede App, die auf Geräten bereitgestellt wird, können IT-Administratoren ein Zertifikat angeben, dem die App während der Laufzeit stillschweigend Zugriff gewährt wird.
- Die Zertifikatsauswahl muss allgemein genug sein, um eine einzelne Konfiguration zu ermöglichen, die für alle Nutzer gilt, von denen jeder ein nutzerspezifisches Identitätszertifikat haben kann.
4.9.2. IT-Administratoren können im Hintergrund aus dem verwalteten Schlüsselspeicher Zertifikate entfernen.
4.9.3. IT-Administratoren können ein CA-Zertifikat oder alle nicht systemeigenen CA-Zertifikate im Hintergrund deinstallieren.
4.9.4. IT-Administratoren können verhindern, dass Nutzer im verwalteten Schlüsselspeicher Anmeldedaten konfigurieren.
4.9.5. IT-Administratoren können Zertifikate für geschäftliche Anwendungen vorab gewähren.
4.10. Delegierte Zertifikatsverwaltung
IT-Administratoren können die Zertifikatsverwaltungs-App eines Drittanbieters an Geräte verteilen und dieser App privilegierten Zugriff gewähren, um Zertifikate im verwalteten Schlüsselspeicher zu installieren.
4.10.1. IT-Administratoren geben ein Zertifikatverwaltungspaket an, das vom DPC als delegierte Zertifikatsverwaltungs-App festgelegt wird.
- Die Console kann optional bekannte Pakete für die Zertifikatverwaltung vorschlagen, muss aber zulassen, dass der IT-Administrator aus der Liste der zur Installation verfügbaren Apps für die entsprechenden Nutzer eine Auswahl treffen kann.
4.11. Erweiterte VPN-Verwaltung
IT-Administratoren können ein durchgehend aktives VPN angeben, damit die Daten aus bestimmten verwalteten Apps immer über ein eingerichtetes VPN übertragen werden.
4.11.1. IT-Administratoren können ein beliebiges VPN-Paket angeben, das als Always On-VPN eingerichtet werden soll.
- Die Konsole des EMM kann optional bekannte VPN-Pakete vorschlagen, die durchgehend aktives VPN unterstützen. Die für die durchgehend aktive Konfiguration verfügbaren VPNs können jedoch nicht auf eine beliebige Liste beschränkt werden.
4.11.2. IT-Administratoren können mit verwalteten Konfigurationen die VPN-Einstellungen für eine App angeben.
4.12. IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (IMEs) für Geräte eingerichtet werden können. Da die Eingabemethode sowohl für beruflich genutzte als auch für private Profile verwendet wird, kann die Verwendung von Eingabemethoden nicht nur für die berufliche Nutzung, sondern auch für die private Nutzung blockiert werden. IT-Administratoren dürfen jedoch keine System-IMEs in Arbeitsprofilen blockieren. Weitere Informationen finden Sie unter „Erweiterte IME-Verwaltung“.
4.12.1. IT-Administratoren können eine IME-Zulassungsliste beliebiger Länge einrichten (einschließlich einer leeren Liste, die nicht systemeigene IMEs blockiert). Diese Liste kann beliebige IME-Pakete enthalten.
- In der EMM-Konsole können optional bekannte oder empfohlene IMEs zur Aufnahme in die Zulassungsliste vorgeschlagen werden. IT-Administratoren müssen jedoch zulassen, dass die entsprechenden Nutzer aus der Liste der zur Installation verfügbaren Apps auswählen.
4.12.2. Der EMM-Anbieter muss IT-Administratoren darüber informieren, dass System-IMEs von der Verwaltung auf Geräten mit Arbeitsprofilen ausgeschlossen sind.
4.13. Erweiterte IME-Verwaltung
IT-Administratoren können festlegen, welche Eingabemethoden (IMEs) für Geräte eingerichtet werden können. Die erweiterte IME-Verwaltung erweitert die grundlegende Funktion, indem IT-Administratoren auch die Verwendung von System-IMEs verwalten können, die in der Regel vom Gerätehersteller oder Mobilfunkanbieter des Geräts bereitgestellt werden.
4.13.1. IT-Administratoren können eine IME-Zulassungsliste beliebiger Länge einrichten. Mit Ausnahme einer leeren Liste, die alle IMEs einschließlich System-IMEs blockiert, können beliebige IME-Pakete enthalten sein.
- Die EMM-Konsole kann optional bekannte oder empfohlene Eingabemethoden vorschlagen, die auf die Zulassungsliste gesetzt werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, für die entsprechenden Nutzer aus der Liste der zur Installation verfügbaren Apps auszuwählen.
4.13.2. EMMs müssen verhindern, dass IT-Administratoren eine leere Zulassungsliste einrichten, da dadurch die Einrichtung aller Eingabemethoden, einschließlich der System-IMEs, auf dem Gerät blockiert wird.
4.13.3. EMMs müssen dafür sorgen, dass, wenn eine IME-Zulassungsliste keine System-IMEs enthält, die Drittanbieter-IMEs automatisch installiert werden, bevor die Zulassungsliste auf das Gerät angewendet wird.
4.14. Bedienungshilfen verwalten
IT-Administratoren können festlegen, welche Bedienungshilfen auf den Geräten der Nutzer zugelassen werden dürfen. Bedienungshilfen sind zwar leistungsstarke Tools für Nutzer mit Beeinträchtigungen oder solche, die vorübergehend nicht vollständig mit ihrem Gerät interagieren können, aber sie interagieren möglicherweise auf eine Weise mit Unternehmensdaten, die nicht den Unternehmensrichtlinien entspricht. Mit dieser Funktion können IT-Administratoren alle nicht systemeigenen Bedienungshilfen deaktivieren.
4.14.1. IT-Administratoren können eine Zulassungsliste für Dienste zur Barrierefreiheit beliebiger Länge einrichten (einschließlich einer leeren Liste, die Dienste zur Barrierefreiheit blockiert, die nicht zum System gehören). Diese Liste kann beliebige Pakete für Dienste zur Barrierefreiheit enthalten. Wenn diese Einstellung auf ein Arbeitsprofil angewendet wird, wirkt sie sich sowohl auf das private als auch auf das Arbeitsprofil aus.
- Die Console kann optional bekannte oder empfohlene Dienste zur Barrierefreiheit vorschlagen, die in die Zulassungsliste aufgenommen werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, für die entsprechenden Nutzer aus der Liste der zum Installieren verfügbaren Apps auszuwählen.
4.15. Verwaltung der Standortfreigabe
IT-Administratoren können verhindern, dass Nutzer Standortdaten für Apps im Arbeitsprofil freigeben. Andernfalls kann die Standorteinstellung für Arbeitsprofile in den Einstellungen konfiguriert werden.
4.15.1. IT-Administratoren können die Standortdienste im Arbeitsprofil deaktivieren.
4.16. Erweiterte Standortfreigabeverwaltung
IT-Administratoren können eine bestimmte Einstellung für die Standortfreigabe auf einem verwalteten Gerät erzwingen. Mit dieser Funktion können Unternehmens-Apps immer auf hochpräzise Standortdaten zugreifen. Außerdem kann diese Funktion dafür sorgen, dass der Akku nicht unnötig belastet wird, indem die Standorteinstellungen auf den Energiesparmodus beschränkt werden.
4.16.1. IT-Administratoren können die Standortdienste des Geräts auf einen der folgenden Modi festlegen:
- Hohe Genauigkeit.
- Nur Sensoren, z. B. GPS, aber keine vom Netzwerk bereitgestellten Standorte.
- Akkusparmodus, der die Aktualisierungshäufigkeit einschränkt.
- Deaktiviert.
4.17. Verwaltung des Schutzes vor Zurücksetzen auf Werkseinstellungen
Ermöglicht es IT-Administratoren, unternehmenseigene Geräte vor Diebstahl zu schützen, indem nicht autorisierte Nutzer Geräte nicht auf die Werkseinstellungen zurücksetzen können. Wenn der Schutz vor Zurücksetzen auf die Werkseinstellungen zu operativen Komplikationen führt, wenn Geräte an die IT zurückgegeben werden, können IT-Administratoren den Schutz vor Zurücksetzen auf die Werkseinstellungen auch vollständig deaktivieren.
4.17.1. IT-Administratoren können verhindern, dass Nutzer ihr Gerät über die Einstellungen auf die Werkseinstellungen zurücksetzen.
4.17.2. IT-Administratoren können Unternehmensentsperrkonten angeben, die zum Bereitstellen von Geräten nach einem Zurücksetzen auf die Werkseinstellungen berechtigt sind.
- Dieses Konto kann mit einer Person verknüpft oder vom gesamten Unternehmen zum Entsperren von Geräten verwendet werden.
4.17.3. IT-Administratoren können den Schutz für zurückgesetzte Geräte für bestimmte Geräte deaktivieren.
4.17.4. IT-Administratoren können eine Remote-Löschung von Geräten starten, bei der optional die Schutzdaten für zurückgesetzte Geräte gelöscht werden. Dadurch wird der Schutz vor Zurücksetzen auf die Werkseinstellungen auf dem zurückgesetzten Gerät entfernt.
4.18. Erweiterte App-Steuerung
IT-Administratoren können verhindern, dass Nutzer verwaltete Apps über die Einstellungen deinstallieren oder anderweitig ändern, z. B. die App erzwingen, geschlossen zu werden, oder den Datencache einer App leeren.
4.18.1. IT-Administratoren können die Deinstallation beliebiger oder aller verwalteten Apps blockieren.
4.18.2. IT-Administratoren können verhindern, dass Nutzer in den Einstellungen Anwendungsdaten ändern.
4.19. Verwaltung von Screenshots
IT-Administratoren können verhindern, dass Nutzer Screenshots aufnehmen, wenn sie verwaltete Apps verwenden. Diese Einstellung blockiert auch Apps zur Bildschirmfreigabe und ähnliche Apps (z. B. Google Assistant), die die Screenshot-Funktionen des Systems verwenden.
4.19.1. IT-Administratoren können verhindern, dass Nutzer Screenshots erstellen.
4:20. Kameras deaktivieren
IT-Administratoren können die Nutzung von Gerätekameras durch verwaltete Apps deaktivieren.
4.20.1. IT-Administratoren können die Nutzung der Gerätekameras durch verwaltete Apps deaktivieren.
4:21. Netzwerkstatistiken erfassen
IT-Administratoren können Statistiken zur Netzwerknutzung über das Arbeitsprofil eines Geräts abfragen. Die erhobenen Statistiken spiegeln die Nutzungsdaten wider, die in den Einstellungen im Abschnitt Datennutzung mit den Nutzern geteilt werden. Die erhobenen Statistiken gelten für die Nutzung von Apps im Arbeitsprofil.
4.21.1. IT-Administratoren können die Zusammenfassung der Netzwerkstatistiken für ein Arbeitsprofil für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster abfragen und diese Details in der EMM-Konsole ansehen.
4.21.2. IT-Administratoren können eine Zusammenfassung einer App in den Statistiken zur Netzwerknutzung des Arbeitsprofils für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster abrufen und sich diese Details in der EMM-Konsole nach UID sortiert ansehen.
4.21.3. IT-Administratoren können für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster das Netzwerk eines Arbeitsprofils anhand von Verlaufsdaten abfragen und diese Details in der EMM-Konsole nach UID sortiert ansehen.
4:22. Erweiterte Erfassung von Netzwerkstatistiken
IT-Administratoren können Statistiken zur Netzwerknutzung für ein gesamtes verwaltetes Gerät abfragen. Die erhobenen Statistiken spiegeln die Nutzungsdaten wider, die im Abschnitt Datennutzung der Einstellungen mit Nutzern geteilt werden. Die erhobenen Statistiken gelten für die Nutzung von Apps auf dem Gerät.
4.22.1. IT-Administratoren können die Zusammenfassung der Netzwerkstatistiken für ein gesamtes Gerät für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster abfragen und sich diese Details in der EMM-Konsole ansehen.
4.22.2. IT-Administratoren können eine Zusammenfassung der Statistiken zur App-Netzwerknutzung für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster abrufen und sich diese Details in der EMM-Konsole nach UID sortiert ansehen.
4.22.3. IT-Administratoren können Nutzungsdaten des Netzwerks für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster abfragen und sich diese Details in der EMM-Konsole nach UID sortiert ansehen.
4:23. Gerät neu starten
IT-Administratoren können verwaltete Geräte aus der Ferne neu starten.
4.23.1. IT-Administratoren können ein verwaltetes Gerät per Fernzugriff neu starten.
4.24. Systemradioverwaltung
Ermöglicht IT-Administratoren eine detaillierte Verwaltung der Systemnetzwerkfunkschnittstellen und der zugehörigen Nutzungsrichtlinien.
4.24.1. IT-Administratoren können von Dienstanbietern gesendete Mobilfunk-Broadcasts deaktivieren, z. B. AMBER-Warnungen.
4.24.2. IT-Administratoren können verhindern, dass Nutzer die Einstellungen für Mobilfunknetze in den Einstellungen ändern.
4.24.3. IT-Administratoren können verhindern, dass Nutzer in den Einstellungen die Netzwerkeinstellungen zurücksetzen.
4.24.4. IT-Administratoren können mobile Daten im Roaming zulassen oder deaktivieren.
4.24.5. IT-Administratoren können festlegen, ob das Gerät ausgehende Anrufe starten kann, ausgenommen Notrufe.
4.24.6. IT-Administratoren können festlegen, ob das Gerät SMS senden und empfangen kann.
4.24.7. IT-Administratoren können verhindern, dass Nutzer ihr Gerät durch Tethering als mobilen Hotspot verwenden.
4.24.8. IT-Administratoren können das WLAN-Zeitlimit auf Standardeinstellung, nur während der Stromversorgung oder Nie festlegen.
4.24.9. IT-Administratoren können verhindern, dass Nutzer bestehende Bluetooth-Verbindungen einrichten oder ändern.
4.25. Systemaudioverwaltung
IT-Administratoren können die Audiofunktionen von Geräten im Hintergrund verwalten, z. B. das Gerät stummschalten, verhindern, dass Nutzer die Lautstärkeeinstellungen ändern, und verhindern, dass Nutzer das Mikrofon des Geräts entsperren.
4.25.1. IT-Administratoren können verwaltete Geräte stummschalten.
4.25.2. IT-Administratoren können verhindern, dass Nutzer die Lautstärkeeinstellungen des Geräts ändern.
4.25.3. IT-Administratoren können verhindern, dass Nutzer das Mikrofon des Geräts entsperren.
4.26. Verwaltung der Systemuhr
IT-Administratoren können die Einstellungen für die Geräteuhr und die Zeitzone verwalten und verhindern, dass Nutzer automatische Geräteeinstellungen ändern.
4.26.1. IT-Administratoren können die automatische Systemzeit erzwingen und so verhindern, dass Nutzer Datum und Uhrzeit des Geräts festlegen.
4.26.2. IT-Administratoren können sowohl die automatische Uhrzeit als auch die automatische Zeitzone stummschalten oder aktivieren.
4.27. Erweiterte Funktionen für zweckbestimmte Geräte
IT-Administratoren können spezielle Gerätefunktionen detaillierter verwalten, um verschiedene Kioskanwendungsfälle zu unterstützen.
4.27.1. IT-Administratoren können den Keyguard des Geräts deaktivieren.
4.27.2. IT-Administratoren können die Gerätestatusleiste deaktivieren, wodurch Benachrichtigungen und die Schnelleinstellungen blockiert werden.
4.27.3. IT-Administratoren können festlegen, dass das Display des Geräts eingeschaltet bleiben muss, solange das Gerät angeschlossen ist.
4.27.4. IT-Administratoren können verhindern, dass die folgenden System-UIs angezeigt werden:
- Toasts
- App-Overlays
4.27.5. IT-Administratoren können festlegen, dass die Einstiegshilfe und andere Einführungshinweise beim ersten Starten der App übersprungen werden.
4.28. Delegiertes Verwaltungsrecht
IT-Administratoren können einzelnen Paketen zusätzliche Berechtigungen zuweisen.
4.28.1. IT-Administratoren können die folgenden Bereiche verwalten:
- Zertifikatinstallation und ‑verwaltung
- Absichtlich leer
- Netzwerkprotokollierung
- Sicherheitsprotokollierung (nicht unterstützt für Arbeitsprofile auf privaten Geräten)
4.29. Unterstützung für studiengangsspezifische Ausweise
Ab Android 12 haben Arbeitsprofile keinen Zugriff mehr auf hardwarespezifische Kennungen. IT-Administratoren können den Lebenszyklus eines Geräts mit einem Arbeitsprofil anhand der Registrierungsspezifischen ID verfolgen, die auch nach dem Zurücksetzen auf die Werkseinstellungen erhalten bleibt.
4.29.1. IT-Administratoren können eine Registrierungsspezifische ID festlegen und abrufen.
4.29.2. Diese Registrierungsspezifische ID muss auch nach einem Zurücksetzen auf die Werkseinstellungen erhalten bleiben.
5. Nutzerfreundlichkeit von Geräten
5.1. Verwaltete Bereitstellung anpassen
IT-Administratoren können die UX des standardmäßigen Einrichtungsvorgangs ändern, um unternehmensspezifische Funktionen einzubinden. Optional können IT-Administratoren bei der Bereitstellung von EMM bereitgestelltes Branding verwenden.
5.1.1. IT-Administratoren können den Bereitstellungsprozess anpassen, indem sie die folgenden unternehmensspezifischen Details angeben: Unternehmensfarbe, Unternehmenslogo und Nutzungsbedingungen und andere Haftungsausschlüsse des Unternehmens.
5.1.2. IT-Administratoren können eine nicht konfigurierbare, EMM-spezifische Anpassung bereitstellen, die die folgenden Details enthält: EMM-Farbe, EMM-Logo und EMM-Nutzungsbedingungen und andere Haftungsausschlüsse.
5.1.3 [primaryColor] wurde für die Enterprise-Ressource unter Android 10 und höher eingestellt.
- EMMs müssen die Nutzungsbedingungen und anderen Haftungsausschlüsse für ihren Bereitstellungsablauf im Bundle mit Haftungsausschlüssen für die Systembereitstellung angeben, auch wenn die EMM-spezifische Anpassung nicht verwendet wird.
- EMMs können ihre nicht konfigurierbaren, EMM-spezifischen Anpassungen als Standard für alle Bereitstellungen festlegen, müssen aber IT-Administratoren die Möglichkeit geben, ihre eigenen Anpassungen einzurichten.
5.2. Unternehmensanpassung
IT-Administratoren können Aspekte des Arbeitsprofils mit Corporate Branding anpassen. IT-Administratoren können beispielsweise das Nutzersymbol im Arbeitsprofil auf das Unternehmenslogo festlegen. Ein weiteres Beispiel ist die Hintergrundfarbe der Arbeitsherausforderung.
5.2.1. IT-Administratoren können die Farbe der Organisation festlegen, die als Hintergrundfarbe für die Arbeitsherausforderung verwendet werden soll.
5.2.2. IT-Administratoren können den Anzeigenamen des Arbeitsprofils festlegen.
5.2.3. IT-Administratoren können das Nutzersymbol des Arbeitsprofils festlegen.
5.2.4. IT-Administratoren können verhindern, dass der Nutzer das Nutzersymbol des Arbeitsprofils ändert.
5.3. Erweiterte Anpassungen für Unternehmen
IT-Administratoren können verwaltete Geräte mit dem Corporate Branding des Unternehmens personalisieren. IT-Administratoren können beispielsweise das primäre Nutzersymbol auf das Unternehmenslogo oder den Gerätehintergrund festlegen.
5.3.1. IT-Administratoren können den Anzeigenamen für das verwaltete Gerät festlegen.
5.3.2. IT-Administratoren können das Nutzersymbol des verwalteten Geräts festlegen.
5.3.3. IT-Administratoren können verhindern, dass der Nutzer das Nutzersymbol des Geräts ändert.
5.3.4. IT-Administratoren können den Hintergrund des Geräts festlegen.
5.3.5. IT-Administratoren können verhindern, dass Nutzer den Gerätehintergrund ändern.
5.4. Nachrichten auf dem Sperrbildschirm
IT-Administratoren können eine benutzerdefinierte Nachricht festlegen, die immer auf dem Sperrbildschirm des Geräts angezeigt wird und nicht erst nach dem Entsperren des Geräts sichtbar wird.
5.4.1. IT-Administratoren können eine benutzerdefinierte Nachricht auf dem Sperrbildschirm festlegen.
5.5. Management der Richtlinientransparenz
IT-Administratoren können den Hilfetext anpassen, der Nutzern angezeigt wird, wenn sie verwaltete Einstellungen auf ihrem Gerät ändern, oder eine von der EMM-Lösung bereitgestellte allgemeine Supportmitteilung bereitstellen. Sowohl kurze als auch lange Supportmitteilungen können angepasst werden. Diese Meldungen werden beispielsweise angezeigt, wenn Sie versuchen, eine verwaltete App zu deinstallieren, für die die Deinstallation bereits von einem IT-Administrator blockiert wurde.
5.5.1. IT-Administratoren können sowohl die kurze als auch die lange Supportnachricht anpassen.
5.5.2. IT-Administratoren können nicht konfigurierbare, EMM-spezifische kurze und lange Supportnachrichten bereitstellen.
- EMM kann nicht konfigurierbare, EMM-spezifische Supportnachrichten als Standard für alle Bereitstellungen festlegen, muss es aber IT-Administratoren ermöglichen, ihre eigenen Nachrichten einzurichten.
5.6. Profilübergreifende Kontaktverwaltung
IT-Administratoren können festlegen, welche Kontaktdaten das Arbeitsprofil verlassen dürfen. Sowohl Telefonie- als auch Messaging-Apps (SMS) müssen im privaten Profil ausgeführt werden und benötigen Zugriff auf die Kontaktdaten des Arbeitsprofils, um die Effizienz von geschäftlichen Kontakten zu verbessern. Administratoren können diese Funktionen jedoch deaktivieren, um Arbeitsdaten zu schützen.
5.6.1. IT-Administratoren können die profilübergreifende Kontaktsuche für private Apps deaktivieren, die den Systemkontaktanbieter verwenden.
5.6.2. IT-Administratoren können die profilübergreifende Anrufer-ID-Suche für private Telefon-Apps deaktivieren, die den Anbieter von Systemkontakten verwenden.
5.6.3. IT-Administratoren können die Freigabe von Bluetooth-Kontakten für Bluetooth-Geräte deaktivieren, die den Systemkontaktanbieter verwenden, z. B. Freisprecheinrichtungen in Autos oder Headsets.
5.7. Profilübergreifende Datenverwaltung
Ermöglicht es IT-Administratoren, über die Standardsicherheitsfunktionen des Arbeitsprofils hinaus zu verwalten, welche Daten das Arbeitsprofil verlassen dürfen. Mit dieser Funktion können IT-Administratoren die Freigabe bestimmter profilübergreifender Daten zulassen, um die Nutzerfreundlichkeit bei wichtigen Anwendungsfällen zu verbessern. IT-Administratoren können Unternehmensdaten auch durch weitere Sperrungen besser schützen.
5.7.1. IT-Administratoren können profilübergreifende Intent-Filter konfigurieren, damit private Apps Intents aus dem Arbeitsprofil verarbeiten können, z. B. Freigabe-Intents oder Weblinks.
- Die Console kann optional bekannte oder empfohlene Intent-Filter für die Konfiguration vorschlagen. Intent-Filter können jedoch nicht auf eine beliebige Liste beschränkt werden.
5.7.2. IT-Administratoren können verwaltete Apps zulassen, die Widgets anzeigen können.
- Die EMM-Konsole muss IT-Administratoren die Möglichkeit bieten, aus der Liste der Apps auszuwählen, die den entsprechenden Nutzern zur Installation zur Verfügung stehen.
5.7.3. IT-Administratoren können das Kopieren und Einfügen zwischen Arbeits- und privaten Profilen blockieren.
5.7.4. IT-Administratoren können verhindern, dass Nutzer Daten aus dem Arbeitsprofil per NFC-Beam teilen.
5.7.5. IT-Administratoren können privaten Apps erlauben, Weblinks aus dem Arbeitsprofil zu öffnen.
5.8. Richtlinie für Systemupdates
IT-Administratoren können OTA-Systemupdates (Over The Air) für Geräte einrichten und anwenden.
5.8.1. Über die Konsole des EMM können IT-Administratoren die folgenden OTA-Konfigurationen festlegen:
- Automatisch: OTA-Updates werden auf den Geräten installiert, sobald sie verfügbar sind.
- Verschieben: IT-Administratoren müssen OTA-Updates um bis zu 30 Tage verschieben können. Diese Richtlinie hat keine Auswirkungen auf Sicherheitsupdates (z.B. monatliche Sicherheitspatches).
- Zeitfenster: IT-Administratoren müssen OTA-Updates innerhalb eines täglichen Wartungsfensters planen können.
5.8.2. Der DPC von EMM wendet OTA-Konfigurationen auf Geräte an.
5.9. Verwaltung des Modus „Gesperrte Aufgabe“
IT-Administratoren können eine App oder mehrere Apps auf dem Display sperren und dafür sorgen, dass Nutzer die App nicht schließen können.
5.9.1. Über die EMM-Konsole können IT-Administratoren die Installation und Sperrung beliebiger Apps auf einem Gerät automatisch zulassen. Die DPC des EMM erlaubt den dedizierten Gerätemodus.
5.10. Verwaltung der bevorzugten Aktivitäten
Ermöglicht es IT-Administratoren, eine App als Standard-Intent-Handler für Intents festzulegen, die einem bestimmten Intent-Filter entsprechen. So können IT-Administratoren beispielsweise festlegen, welche Browser-App Weblinks automatisch öffnet oder welche Launcher-App verwendet wird, wenn auf die Startbildschirmtaste getippt wird.
5.10.1. IT-Administratoren können beliebige Pakete als Standard-Intent-Handler für beliebige Intent-Filter festlegen.
- Die EMM-Konsole kann optional bekannte oder empfohlene Intents für die Konfiguration vorschlagen, aber nicht auf eine beliebige Liste beschränken.
- In der EMM-Konsole müssen IT-Administratoren Apps aus der Liste auswählen können, die für die Installation für die entsprechenden Nutzer verfügbar sind.
5.11. Verwaltung der Sperrbildschirmfunktionen
- Trust Agents
- Entsperren mit Fingerabdruck
- ungeschwärzte Benachrichtigungen
5.11.2. Der DPC des EMM kann die folgenden Funktionen des Sperrbildschirms im Arbeitsprofil deaktivieren:
- Trust Agents
- Entsperren mit Fingerabdruck
5.12. Erweiterte Verwaltung der Sperrbildschirmfunktionen
- Sichere Kamera
- Alle Benachrichtigungen
- Ungekürzte Benachrichtigungen
- Trust Agents
- Entsperrung per Fingerabdruck
- Alle Funktionen des Keyguards
5.13. Remote-Debugging
IT-Administratoren können Ressourcen zur Fehlerbehebung von Geräten abrufen, ohne zusätzliche Schritte ausführen zu müssen.
5.13.1. IT-Administratoren können Fehlerberichte aus der Ferne anfordern, sich Fehlerberichte in der EMM-Konsole ansehen und Fehlerberichte aus der EMM-Konsole herunterladen.
5.14. Abrufen der MAC-Adresse
EMMs können die MAC-Adresse eines Geräts im Hintergrund abrufen. Die MAC-Adresse kann verwendet werden, um Geräte in anderen Teilen der Unternehmensinfrastruktur zu identifizieren (z. B. bei der Identifizierung von Geräten für die Netzwerkzugriffssteuerung).
5.14.1. Der EMM-Anbieter kann die MAC-Adresse eines Geräts ohne Meldung abrufen und sie dem Gerät in der EMM-Konsole zuordnen.
5.15. Erweiterte Verwaltung des Modus „Gesperrte Aufgabe“
Wenn ein Gerät als dediziertes Gerät eingerichtet ist, können IT-Administratoren über die Konsole des EMM-Anbieters die folgenden Aufgaben ausführen:
5.15.1. Sie können über den Device Policy Controller (DPC) des EMM einer einzelnen App erlauben, sich automatisch auf einem Gerät zu sperren.
5.15.2. Aktivieren oder deaktivieren Sie die folgenden Funktionen der System-UI über den DPC von EMM:
- Startbildschirmtaste
- Übersicht
- Globale Aktionen
- Benachrichtigungen
- Systeminformationen / Statusleiste
- Sperrbildschirm
5.15.3. Deaktivieren Sie die Dialogfelder für Systemfehler mit dem DPC des EMM.
5.16. Erweiterte Richtlinie für Systemupdates
IT-Administratoren können Systemupdates auf einem Gerät für eine bestimmte Zeit sperren.
5.16.1. Der DPC des EMM kann OTA-Systemupdates (Over-the-Air) für einen bestimmten Zeitraum auf Geräte anwenden.
5.17. Transparenzverwaltung für Arbeitsprofil-Richtlinien
IT-Administratoren können die Nachricht anpassen, die Nutzern angezeigt wird, wenn das Arbeitsprofil von einem Gerät entfernt wird.
5.17.1. IT-Administratoren können einen benutzerdefinierten Text angeben, der angezeigt wird, wenn ein Arbeitsprofil gelöscht wird.
5.18. Unterstützung für verbundene Apps
IT-Administratoren können eine Liste von Paketen festlegen, die über die Grenze des Arbeitsprofils hinweg kommunizieren können.
5:19. Manuelle Systemupdates
IT-Administratoren können ein Systemupdate manuell installieren, indem sie einen Pfad angeben.
6. Einstellung von Device Admin
6.1. Einstellung von Device Admin
EMMs müssen bis Ende 2022 einen Plan veröffentlichen, durch den der Kundensupport für Device Admin auf GMS-Geräten bis Ende des ersten Quartals 2023 eingestellt wird.
7. API-Nutzung
7.1. Standard-Policy Controller für neue Bindungen
Standardmäßig müssen Geräte für alle neuen Bindungen über die Android Device Policy verwaltet werden. EMMs bieten möglicherweise die Möglichkeit, Geräte mit einem benutzerdefinierten DPC in einem Bereich mit Einstellungen unter der Überschrift „Erweitert“ oder einer ähnlichen Bezeichnung zu verwalten. Neue Kunden dürfen während des Onboardings oder der Einrichtung nicht zwischen verschiedenen Technologie-Stacks wählen.
7.2. Standard-Richtliniencontroller für neue Geräte
Standardmäßig müssen Geräte für alle neuen Geräteregistrierungen mit Android Device Policy verwaltet werden, sowohl für bestehende als auch für neue Bindungen. EMMs können die Möglichkeit bieten, Geräte mit einem benutzerdefinierten DPC in einem Bereich mit Einstellungen unter der Überschrift „Erweitert“ oder einer ähnlichen Bezeichnung zu verwalten.