En esta página, se muestra el conjunto completo de funciones de Android Enterprise.
Si tienes la intención de administrar más de 500 dispositivos, tu solución de EMM debe admitir todas las funciones estándar () de al menos un conjunto de soluciones antes de que esté disponible comercialmente. Las soluciones de EMM que aprueban la verificación de funciones estándar se enumeran en el Directorio de soluciones empresariales de Android como una oferta de un conjunto de administración estándar.
Hay un conjunto adicional de funciones avanzadas disponibles para cada conjunto de soluciones. Estas funciones se indican en cada página del conjunto de soluciones: perfil de trabajo en dispositivo personal, perfil de trabajo en dispositivo de la empresa, dispositivo completamente administrado y dispositivo dedicado. Las soluciones de EMM que pasan la verificación de funciones avanzadas se incluyen en el Directorio de soluciones empresariales de Android como una oferta de un conjunto de administración avanzado.
Clave
| Función estándar de | Función avanzada de | función opcional | no aplicable |
1. Aprovisionamiento de dispositivos
1.1. Aprovisionamiento de perfiles de trabajo centrado en el DPC
Puedes aprovisionar un perfil de trabajo después de descargar el DPC del EMM desde Google Play.
1.1.1. El DPC del EMM debe estar disponible públicamente en Google Play para que los usuarios puedan instalarlo en el lado personal del dispositivo.
1.1.2. Una vez instalado, el DPC debe guiar al usuario a través del proceso de aprovisionamiento de un perfil de trabajo.
1.1.3. Una vez que se complete el aprovisionamiento, no podrá quedar presencia de administración en el lado personal del dispositivo.
- Se deben quitar todas las políticas implementadas durante el aprovisionamiento.
- Se deben revocar los privilegios de la app.
- El DPC de la EMM debe estar, como mínimo, desactivado en el lado personal del dispositivo.
1.2. Aprovisionamiento de dispositivos con identificador de DPC
Los administradores de TI pueden aprovisionar un dispositivo dedicado o completamente administrado con un identificador de DPC ("afw#"), según los lineamientos de implementación definidos en la documentación para desarrolladores de la API de Play EMM.
1.2.1. El DPC de la EMM debe estar disponible de forma pública en Google Play. El DPC se debe poder instalar desde el asistente de configuración del dispositivo ingresando un identificador específico del DPC.
1.2.2. Una vez instalado, el DPC del EMM debe guiar al usuario a través del proceso de aprovisionamiento de un dispositivo dedicado o completamente administrado.
1.3. Provisión de dispositivos NFC
Los administradores de TI pueden usar etiquetas NFC para aprovisionar dispositivos nuevos o con la configuración de fábrica según los lineamientos de implementación definidos en la documentación para desarrolladores de la API de Play EMM.
1.3.1. Los EMM deben usar etiquetas NFC Forum Tipo 2 con al menos 888 bytes de memoria. El aprovisionamiento debe usar extras de aprovisionamiento para pasar detalles de registro no sensibles, como IDs de servidor y IDs de inscripción, a un dispositivo. Los detalles del registro no deben incluir información sensible, como contraseñas o certificados.
1.3.2. Después de que el DPC del EMM se configure como propietario del dispositivo, el DPC debe abrirse de inmediato y bloquearse en la pantalla hasta que el dispositivo se aprovisione por completo. 1.3.3. Recomendamos el uso de etiquetas NFC a partir de Android 10 debido a la baja de NFC Beam (también conocido como NFC Bump).
1.4. Aprovisionamiento de dispositivos con código QR
Los administradores de TI pueden usar un dispositivo nuevo o con la configuración de fábrica para escanear un código QR que genera la consola de EMM y aprovisionar el dispositivo, de acuerdo con los lineamientos de implementación definidos en la documentación para desarrolladores de la API de Play EMM.
1.4.1. El código QR debe usar extras de aprovisionamiento para pasar detalles de registro no sensibles, como IDs de servidor y IDs de inscripción, a un dispositivo. Los detalles del registro no deben incluir información sensible, como contraseñas o certificados.
1.4.2. Después de que el DPC del EMM configure el dispositivo, el DPC debe abrirse de inmediato y bloquearse en la pantalla hasta que el dispositivo se aprovisione por completo.
1.5. Inscripción automática
Los administradores de TI pueden preconfigurar los dispositivos que se compraron a revendedores autorizados y administrarlos con la consola de EMM.
1.5.1. Los administradores de TI pueden aprovisionar dispositivos de la empresa con el método de inscripción automática, que se describe en Inscripción automática para administradores de TI.
1.5.2. Cuando se enciende un dispositivo por primera vez, se aplica automáticamente la configuración que definió el administrador de TI.
1.6. Aprovisionamiento avanzado de inscripción automática
Los administradores de TI pueden automatizar gran parte del proceso de inscripción de dispositivos implementando los detalles de registro de la DPC a través de la inscripción sin intervención. El DPC del EMM admite limitar la inscripción a cuentas o dominios específicos, según las opciones de configuración que ofrezca el EMM.
1.6.1. Los administradores de TI pueden aprovisionar un dispositivo de la empresa con el método de inscripción automática, que se describe en Inscripción automática para administradores de TI.
1.6.2. Después de que el DPC del EMM configure el dispositivo, el DPC del EMM debe abrirse de inmediato y bloquearse en la pantalla hasta que el dispositivo esté aprovisionado por completo.
- Este requisito se renuncia para los dispositivos que usan los detalles de registro de inscripción automática para aprovisionarse por completo de forma silenciosa (por ejemplo, en una implementación de dispositivos dedicada).
1.6.3. Con los detalles de registro, el DPC del EMM debe garantizar que los usuarios no autorizados no puedan continuar con la activación una vez que se invoque el DPC. Como mínimo, la activación debe estar bloqueada para los usuarios de una empresa determinada.
1.6.4. Con los detalles de registro, el DPC de la AEE debe permitir que los administradores de TI propaguen previamente los detalles de registro (por ejemplo, los IDs de servidor y de inscripción), además de la información única del usuario o del dispositivo (por ejemplo, el nombre de usuario o la contraseña, el token de activación), de modo que los usuarios no tengan que ingresar detalles cuando activen un dispositivo.
- Las EMM no deben incluir información sensible, como contraseñas o certificados, en la configuración de la inscripción automática.
1.7. Aprovisionamiento del perfil de trabajo de la Cuenta de Google
En el caso de las empresas que usan un dominio de Google administrado, esta función guía a los usuarios a través de la configuración de un perfil de trabajo después de ingresar sus credenciales corporativas de Workspace durante la configuración del dispositivo o en un dispositivo que ya está activado. En ambos casos, la identidad corporativa de Workspace se migrará al perfil de trabajo.
1.7.1. El método de aprovisionamiento de la Cuenta de Google aprovisiona un perfil de trabajo según los lineamientos de implementación definidos.
1.8. Aprovisionamiento de dispositivos con la Cuenta de Google
En el caso de las empresas que usan Workspace, esta función guía a los usuarios a través de la instalacin del DPC de su EMM después de que ingresan sus credenciales de Workspace corporativo durante la configuracin inicial del dispositivo. Una vez instalado, el DPC completa la configuración de un dispositivo propiedad de la empresa.
1.8.1. El método de aprovisionamiento de la Cuenta de Google aprovisiona un dispositivo de la empresa según los lineamientos de implementación definidos.
1.8.2. A menos que el EMM pueda identificar inequívocamente el dispositivo como un activo de la empresa, no puede aprovisionarlo sin una solicitud durante el proceso de aprovisionamiento. Este mensaje debe realizar una acción no predeterminada, como marcar una casilla de verificación o seleccionar una opción de menú que no sea la predeterminada. Se recomienda que el EMM pueda identificar el dispositivo como un activo corporativo para que no sea necesario el mensaje.
1.9. Configuración directa de inscripción automática
Los administradores de TI pueden usar la consola de EMM para configurar dispositivos de inscripción automática con el iframe de inscripción automática.
1.10. Perfiles de trabajo en dispositivos empresariales
Las EMM pueden inscribir los dispositivos de la empresa que tengan un perfil de trabajo.
1.10.1. Se dejó en blanco de forma intencional.
1.10.2. Los administradores de TI pueden establecer acciones de cumplimiento para los perfiles de trabajo en dispositivos de la empresa.
1.10.3. Los administradores de TI pueden desactivar la cámara en el perfil de trabajo o en todo el dispositivo.
1.10.4. Los administradores de TI pueden desactivar la captura de pantalla en el perfil de trabajo o en todo el dispositivo.
1.10.5. Los administradores de TI pueden establecer una lista de entidades permitidas o bloqueadas de aplicaciones que pueden o no instalarse en el perfil personal.
1.10.6. Los administradores de TI pueden renunciar a la administración de un dispositivo de la empresa quitando el perfil de trabajo o limpiando todo el dispositivo.
1.11. Aprovisionamiento exclusivo de dispositivos
Se dejó en blanco de forma deliberada.
2. Seguridad del dispositivo
2.1. Desafío de seguridad del dispositivo
Los administradores de TI pueden establecer y aplicar un desafío de seguridad del dispositivo (PIN, patrón o contraseña) a partir de una selección predefinida de 3 niveles de complejidad en los dispositivos administrados.
2.1.1. La política debe aplicar la configuración que administra los desafíos de seguridad del dispositivo (parentProfilePasswordRequirements para el perfil de trabajo y passwordRequirements para dispositivos dedicados y completamente administrados).
2.1.2. La complejidad de la contraseña debe asignarse a las siguientes complejidades:
- PASSWORD_COMPLEXITY_LOW: Patrón o PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM: PIN sin secuencias repetidas (4444) ni ordenadas (1234, 4321, 2468), contraseña alfabética o alfanumérica con una longitud de al menos 4
- PASSWORD_COMPLEXITY_HIGH: PIN sin secuencias repetidas (4444) ni ordenadas (1234, 4321, 2468) y una longitud de al menos 8 caracteres, o bien contraseñas alfabéticas o alfanuméricas con una longitud de al menos 6 caracteres
2.2. Desafío de seguridad de trabajo
Los administradores de TI pueden establecer y aplicar de manera forzosa un desafío de seguridad para apps y datos en el perfil de trabajo que es independiente y tiene requisitos diferentes a los del desafío de seguridad del dispositivo (2.1.).
2.2.1. La política debe aplicar el desafío de seguridad para el perfil de trabajo. De forma predeterminada, los administradores de TI deben establecer restricciones solo para el perfil de trabajo si no se especifica un alcance. Los administradores de TI pueden establecer este dispositivo en todo el dispositivo si especifican el alcance (consulta el requisito 2.1).
2.1.2. La complejidad de la contraseña debe asignarse a las siguientes complejidades:
- PASSWORD_COMPLEXITY_LOW: Patrón o PIN con secuencias repetidas (4444) o ordenadas (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM: PIN sin secuencias repetidas (4444) ni ordenadas (1234, 4321, 2468), contraseña alfabética o alfanumérica con una longitud de al menos 4
- PASSWORD_COMPLEXITY_HIGH: PIN sin secuencias repetidas (4444) ni ordenadas (1234, 4321, 2468) y una longitud de al menos 8 caracteres, o bien contraseñas alfabéticas o alfanuméricas con una longitud de al menos 6 caracteres
2.3. Administración avanzada de contraseñas
2.3.1. Dejar en blanco de forma deliberada
2.3.2. Deliberadamente en blanco.
2.3.3. Se pueden establecer los siguientes parámetros de configuración del ciclo de vida de las contraseñas para cada pantalla de bloqueo disponible en un dispositivo:
- En blanco de forma deliberada
- En blanco de forma deliberada
- Máxima cantidad de contraseñas incorrectas para la limpieza: Especifica la cantidad de veces que los usuarios pueden ingresar una contraseña incorrecta antes de que se borren los datos corporativos del dispositivo. Los administradores de TI deben poder desactivar esta función.
2.4. Administración de cerraduras inteligentes
Los administradores de TI pueden administrar qué agentes de confianza en la función de Smart Lock de Android pueden desbloquear dispositivos. Los administradores de TI pueden desactivar métodos de desbloqueo específicos, como dispositivos Bluetooth de confianza, reconocimiento facial y reconocimiento de voz, o bien desactivar la función por completo.
2.4.1. Los administradores de TI pueden inhabilitar los agentes de confianza de Smart Lock, independientemente para cada pantalla de bloqueo disponible en el dispositivo.
2.4.2. Los administradores de TI pueden permitir y configurar de forma selectiva los agentes de confianza de Smart Lock, de forma independiente para cada pantalla de bloqueo disponible en el dispositivo, para los siguientes agentes de confianza: Bluetooth, NFC, lugares, rostro, sobre el cuerpo y voz.
- Los administradores de TI pueden modificar los parámetros de configuración del agente de confianza disponibles.
2.5. Limpieza y bloqueo
Los administradores de TI pueden usar la consola de EMM para bloquear y limpiar de forma remota los datos laborales de un dispositivo administrado.
2.5.1. El DPC de EMM debe bloquear los dispositivos.
2.5.2. El DPC de la EMM debe limpiar los dispositivos.
2.6. Aplicación del cumplimiento
Si un dispositivo no cumple con las políticas de seguridad, los datos de trabajo se restringen automáticamente.
2.6.1. Como mínimo, las políticas de seguridad que se aplican en un dispositivo deben incluir la política de contraseñas.
2.7. Políticas de seguridad predeterminadas
Los EMM deben aplicar las políticas de seguridad especificadas en los dispositivos de forma predeterminada, sin que los administradores de TI deban configurar o personalizar ningún parámetro de configuración en la consola del EMM. Se recomienda (pero no es obligatorio) que los EMM no permitan que los administradores de TI cambien el estado predeterminado de estas funciones de seguridad.
2.7.1. El DPC de EMM debe bloquear la instalación de apps de fuentes desconocidas, incluidas las apps instaladas en el lado personal de cualquier dispositivo con Android 8.0 o versiones posteriores que tenga un perfil de trabajo.
2.7.2. El DPC del EMM debe bloquear las funciones de depuración.
2.8. Políticas de seguridad para dispositivos dedicados
Los dispositivos dedicados están bloqueados sin una acción de escape para permitir otras acciones.
2.8.1. El DPC de EMM debe desactivar el inicio en modo seguro de forma predeterminada.
2.8.2. El DPC de EMM debe abrirse y bloquearse en la pantalla inmediatamente durante el primer inicio durante el aprovisionamiento para garantizar que no haya interacción con el dispositivo de ninguna otra manera.
2.8.3. El DPC de EMM debe configurarse como el selector predeterminado para garantizar que las apps permitidas estén bloqueadas en la pantalla durante el inicio, según los lineamientos de implementación definidos.
2.9. Asistencia de Play Integrity
El EMM usa la API de Play Integrity para garantizar que los dispositivos sean dispositivos Android válidos.
2.9.1. El DPC del EMM implementa la API de Play Integrity durante el aprovisionamiento y, de forma predeterminada, solo completa el aprovisionamiento del dispositivo con datos corporativos cuando la integridad del dispositivo que se muestra es MEETS_STRONG_INTEGRITY.
2.9.2. El DPC de EMM realizará otra verificación de Play Integrity cada vez que un dispositivo se registre en el servidor de EMM, que el administrador de TI puede configurar. El servidor de EMM verificará la información del APK en la respuesta de la verificación de integridad y la respuesta en sí antes de actualizar la política corporativa en el dispositivo.
2.9.3. Los administradores de TI pueden configurar diferentes respuestas de políticas según el resultado de la verificación de Play Integrity, lo que incluye bloquear el aprovisionamiento, borrar los datos corporativos y permitir que se realice la inscripción.
- El servicio de EMM aplicará esta respuesta de política para el resultado de cada verificación de integridad.
2.9.4. Si la verificación inicial de Play Integrity falla o muestra un resultado que no cumple con la integridad estricta, si el DPC del EMM aún no llamó a ensureWorkingEnvironment, debe hacerlo y repetir la verificación antes de que se complete el aprovisionamiento.
2.10. Aplicación forzosa de Verificar aplicaciones
Los administradores de TI pueden activar la opción Verificar aplicaciones en los dispositivos. Verifica apps escanea las apps instaladas en dispositivos Android en busca de software dañino antes y después de su instalación, lo que ayuda a garantizar que las apps maliciosas no puedan vulnerar los datos corporativos.
2.10.1. El DPC del EMM debe activar Verificar apps de forma predeterminada.
2.11. Compatibilidad con el inicio directo
Las apps no se pueden ejecutar en dispositivos con Android 7.0 y versiones posteriores que se acaban de encender hasta que el dispositivo se desbloquea por primera vez. La compatibilidad con el inicio directo garantiza que el DPC de EMM siempre esté activo y pueda aplicar la política, incluso si el dispositivo no se desbloqueó.
2.11.1. El DPC del EMM aprovecha el almacenamiento encriptado del dispositivo para realizar funciones de administración críticas antes de que se desencripte el almacenamiento encriptado de credenciales del DPC. Las funciones de administración disponibles durante el inicio directo deben incluir lo siguiente (sin limitaciones):
- Limpiado empresarial, incluida la capacidad de borrar los datos de protección de restablecimiento de la configuración de fábrica según corresponda
2.11.2. El DPC de la AEE no debe exponer datos corporativos dentro del almacenamiento encriptado del dispositivo.
2.11.3. Los EMM pueden configurar y activar un token para activar un botón Olvidé mi contraseña en la pantalla de bloqueo del perfil de trabajo. Este botón se usa para solicitar a los administradores de TI que restablezcan la contraseña del perfil de trabajo de forma segura.
2.12. Administración de la seguridad de hardware
Los administradores de TI pueden bloquear los elementos de hardware de un dispositivo de la empresa para garantizar la prevención de la pérdida de datos.
2.12.1. Los administradores de TI pueden bloquear a los usuarios para que no activen medios externos físicos en sus dispositivos.
2.12.2. Los administradores de TI pueden evitar que los usuarios compartan datos desde sus dispositivos con la función NFC Beam. Esta subfunción es opcional, ya que la función de haz de NFC ya no es compatible con Android 10 y versiones posteriores.
2.12.3. Los administradores de TI pueden bloquear a los usuarios para que no transfieran archivos por USB desde sus dispositivos.
2.13. Registro de seguridad empresarial
Los administradores de TI pueden recopilar datos de uso de dispositivos que se pueden analizar y evaluar de manera programática para buscar comportamientos maliciosos o riesgosos. Las actividades registradas incluyen la actividad de Android Debug Bridge (adb), la apertura de apps y el desbloqueo de pantallas.
2.13.1. Los administradores de TI pueden habilitar el registro de seguridad para dispositivos específicos, y el DPC del EMM debe poder recuperar automáticamente los registros de seguridad y los registros de seguridad previos al reinicio.
2.13.2. Los administradores de TI pueden revisar los registros de seguridad de la empresa para un dispositivo determinado y una ventana de tiempo configurable en la consola de EMM.
2.13.3. Los administradores de TI pueden exportar registros de seguridad empresarial desde la consola de EMM.
3. Administración de cuentas y apps
3.1. Vinculación empresarial
Los administradores de TI pueden vincular la EMM a su organización, lo que permite que la EMM use Google Play administrado para distribuir apps a los dispositivos.
3.1.1. Un administrador con un Managed Google Domains existente puede vincular su dominio a la EMM.
3.1.2. La consola de EMM debe aprovisionar y configurar de forma silenciosa una ESA única para cada empresa.
3.1.3. Da de baja una empresa con la API de EMM de Play.
3.1.4. La consola de EMM guía al administrador para que ingrese su dirección de correo electrónico laboral en el flujo de registro de Android y le desaconseja el uso de una cuenta de Gmail.
3.1.5. La EMM completa previamente la dirección de correo electrónico del administrador en el flujo de registro de Android.
3.2. Aprovisionamiento de cuentas de Google Play administrado
La EMM puede aprovisionar de manera silenciosa cuentas de usuario empresariales, denominadas cuentas administradas de Google Play. Estas cuentas identifican a los usuarios administrados y permiten reglas de distribución de apps únicas por usuario.
3.2.1. El DPC de EMM puede aprovisionar y activar de forma silenciosa una cuenta administrada de Google Play según los lineamientos de implementación definidos. De esta manera, se logra lo siguiente:
- Se agrega una Cuenta de Google Play administrada de tipo
userAccountal dispositivo. - La Cuenta de Google Play administrada de tipo
userAccountdebe tener una asignación 1:1 con los usuarios reales en la consola del EMM.
3.3. Aprovisionamiento de cuentas de dispositivos de Google Play administrado
La EMM puede crear y aprovisionar cuentas de dispositivos administradas por Google Play. Las cuentas de dispositivos admiten la instalación silenciosa de apps desde Google Play Store administrado y no están vinculadas a un solo usuario. En cambio, se usa una cuenta de dispositivo para identificar un solo dispositivo y admitir las reglas de distribución de apps por dispositivo en situaciones de dispositivos dedicados.
3.3.1. El DPC de la AUA puede aprovisionar y activar una cuenta de Google Play administrada de forma silenciosa según los lineamientos de implementación definidos.
De esta manera, se debe agregar una cuenta administrada de Google Play de tipo deviceAccount al dispositivo.
3.4. Aprovisionamiento de cuentas de Google Play administrado para dispositivos heredados
La EMM puede aprovisionar de forma silenciosa cuentas de usuario empresarial, denominadas cuentas administradas de Google Play. Estas cuentas identifican a los usuarios administrados y permiten reglas de distribución de apps únicas y por usuario.
3.4.1. El DPC de EMM puede aprovisionar y activar de forma silenciosa una cuenta administrada de Google Play según los lineamientos de implementación definidos. De esta manera, se logra lo siguiente:
- Se agrega una Cuenta de Google Play administrada de tipo
userAccountal dispositivo. - La cuenta de Google Play administrada de tipo
userAccountdebe tener una asignación de 1 a 1 con los usuarios reales en la consola de EMM.
3.5. Distribución de apps silenciosa
Los administradores de TI pueden distribuir apps de trabajo en segundo plano en los dispositivos de los usuarios sin ninguna interacción del usuario.
3.5.1. La consola de EMM debe usar la API de EMM de Play para permitir que los administradores de TI instalen apps de trabajo en dispositivos administrados.
3.5.2. La consola de EMM debe usar la API de EMM de Play para permitir que los administradores de TI actualicen las apps de trabajo en los dispositivos administrados.
3.5.3. La consola de EMM debe usar la API de EMM de Play para permitir que los administradores de TI desinstalen apps en dispositivos administrados.
3.6. Administración de configuraciones administradas
Los administradores de TI pueden ver y configurar de forma silenciosa parámetros de configuración administrados o cualquier app que admita parámetros de configuración administrados.
3.6.1. La consola del EMM debe poder recuperar y mostrar la configuración administrada de cualquier app de Play.
- Los EMM pueden llamar a
Products.getAppRestrictionsSchemapara recuperar el esquema de configuraciones administradas de una app o incorporar el marco de configuraciones administradas en su consola de EMM.
3.6.2. La consola de la EMM debe permitir que los administradores de TI establezcan cualquier tipo de configuración (como lo define el framework de Android) para cualquier app de Play con la API de EMM de Play.
3.6.3. La consola del EMM debe permitir que los administradores de TI establezcan comodines (como $username$ o %emailAddress%) para que se pueda aplicar una sola configuración de una app como Gmail a varios usuarios. El iframe de configuración administrada admite automáticamente este requisito.
3.7. Administración del catálogo de apps
Los administradores de TI pueden importar una lista de apps aprobadas para su empresa desde Google Play administrado (play.google.com/work).
3.7.1. En la consola de EMM, se puede mostrar una lista de apps aprobadas para su distribución, como la siguiente:
- Apps compradas en Google Play administrado
- Apps privadas visibles para los administradores de TI
- Apps aprobadas de manera programática
3.8. Aprobación de apps programáticas
La consola del EMM usa el iframe de Google Play administrado para admitir las funciones de aprobación y descubrimiento de apps de Google Play. Los administradores de TI pueden buscar apps, aprobarlas y aprobar permisos nuevos sin salir de la consola del EMM.
3.8.1. Los administradores de TI pueden buscar apps y aprobarlas en la consola de EMM con el iframe de Google Play administrado.
3.9. Administración básica del diseño de la tienda
La app de Google Play Store administrada se puede usar en dispositivos para instalar y actualizar apps de trabajo. El diseño básico de la tienda se muestra de forma predeterminada y muestra las apps aprobadas para la empresa, que los EMM filtran por usuario según la política.
3.9.1. Los administradores de TI pueden [administrar los conjuntos de productos disponibles de los usuarios]/android/work/play/emm-api/samples#grant_a_user_access_to_apps para permitir la visualización e instalación de aplicaciones desde la tienda de Google Play administrada en la sección "Página principal de Play".
3.10. Configuración avanzada del diseño de la tienda
Los administradores de TI pueden personalizar el diseño de la tienda que se ve en la app de Google Play Store administrado en los dispositivos.
3.10.1. Los administradores de TI pueden realizar las siguientes acciones en la consola de la AEE para personalizar el diseño de la tienda de Google Play administrado:
- Crea hasta 100 páginas de diseño de tienda. Las páginas pueden tener una cantidad arbitraria de nombres de páginas localizados.
- Crea hasta 30 clústeres por cada página. Los clústeres pueden tener una cantidad arbitraria de nombres localizados.
- Asigna hasta 100 apps a cada clúster.
- Agrega hasta 10 vínculos directos a cada página.
- Especifica el orden de las apps dentro de un clúster y los clústeres dentro de una página.
3.11. Administración de licencias de apps
Los administradores de TI pueden ver y administrar las licencias de apps que se compraron en Google Play administrado desde la consola del EMM.
3.11.1. En el caso de las apps pagadas aprobadas para una empresa, la consola del EMM debe mostrar lo siguiente:
- Es la cantidad de licencias compradas.
- La cantidad de licencias consumidas y los usuarios que las consumen.
- Es la cantidad de licencias disponibles para la distribución.
3.11.2. Los administradores de TI pueden asignar licencias de manera silenciosa a los usuarios sin forzar que se instale la app en ninguno de los dispositivos de los usuarios.
3.11.3. Los administradores de TI pueden anular la asignación de una licencia de app a un usuario.
3.12. Administración de apps privadas alojadas por Google
Los administradores de TI pueden actualizar las apps privadas alojadas por Google a través de la consola de EMM en lugar de hacerlo a través de Google Play Console.
3.12.1. Los administradores de TI pueden subir versiones nuevas de apps que ya se publicaron de forma privada a la empresa con las siguientes opciones:
3.13. Administración de apps privadas alojadas
Los administradores de TI pueden configurar y publicar apps privadas alojadas por el usuario. A diferencia de las apps privadas alojadas por Google, Google Play no aloja los APKs. En cambio, el EMM ayuda a los administradores de TI a alojar los APK por su cuenta y a proteger las apps alojadas por sí mismas, ya que garantiza que solo se puedan instalar cuando Google Play administrado lo autorice.
Los administradores de TI pueden consultar Cómo admitir apps privadas para obtener más información.
3.13.1. La consola del EMM debe ayudar a los administradores de TI a alojar el APK de la app, ya que ofrece las siguientes opciones:
- Aloja el APK en el servidor de EMM. El servidor puede ser local o basado en la nube.
- Alojamiento del APK fuera del servidor de EMM, a discreción del administrador de TI El administrador de TI debe especificar en la consola de EMM donde se aloja el APK.
3.13.2. La consola de EMM debe generar un archivo de definición de APK apropiado con el APK proporcionado y guiar a los administradores de TI a través del proceso de publicación.
3.13.3. Los administradores de TI pueden actualizar las apps privadas alojadas por sí mismas, y la consola del EMM puede publicar en silencio los archivos de definición de APK actualizados con la API de Google Play Developer Publishing.
3.13.4. El servidor de EMM solo entrega solicitudes de descarga para el APK autoalojado que contiene un JWT válido dentro de la cookie de la solicitud, según lo verificado por la clave pública de la app privada.
- Para facilitar este proceso, el servidor del EMM debe guiar a los administradores de TI para que descarguen la clave pública de la licencia de la app alojada en sí misma desde Google Play Console y la suban a la consola del EMM.
3.14. Notificaciones de extracción de EMM
En lugar de consultar Play periódicamente para identificar eventos anteriores, como una actualización de una app que contiene permisos nuevos o configuraciones administradas, las notificaciones de extracción de la EMM notifican de forma proactiva a las EMM sobre esos eventos en tiempo real, lo que les permite a las EMM realizar acciones automatizadas y proporcionar notificaciones administrativas personalizadas basadas en estos eventos.
3.14.1. El EMM debe usar las notificaciones del EMM de Play para extraer conjuntos de notificaciones.
3.14.2. El EMM debe notificar automáticamente a un administrador de TI (por ejemplo, por correo electrónico automatizado) sobre los siguientes eventos de notificación:
newPermissionEvent: Un administrador de TI debe aprobar los nuevos permisos de la app para que esta se pueda instalar o actualizar de manera silenciosa en los dispositivos de los usuarios.appRestrictionsSchemaChangeEvent: Es posible que el administrador de TI deba actualizar la configuración administrada de una app para mantener la eficiencia deseada.appUpdateEvent: Puede resultar de interés para los administradores de TI que deseen validar que el rendimiento del flujo de trabajo principal no se vea afectado por la actualización de la app.productAvailabilityChangeEvent: Puede afectar la capacidad de instalar la app o aplicar actualizaciones.installFailureEvent: Play no puede instalar una app de forma silenciosa en un dispositivo, lo que sugiere que puede haber algo en la configuración del dispositivo que impide la instalación. Los EMM no deben volver a intentar una instalación silenciosa de inmediato después de recibir esta notificación, ya que la lógica de reintento de Play ya falló.
3.14.3. EMM realiza automáticamente las acciones adecuadas en función de los siguientes eventos de notificación:
newDeviceEvent: Durante el aprovisionamiento de dispositivos, las EMM deben esperar anewDeviceEventantes de realizar llamadas posteriores a la API de Play EMM para el dispositivo nuevo, incluidas las instalaciones de apps silenciosas y la configuración de parámetros administrados.productApprovalEvent: Cuando se recibe una notificación deproductApprovalEvent, EMM debe actualizar automáticamente la lista de apps aprobadas importadas a la consola de EMM para distribuirla a los dispositivos si hay una sesión de administrador de TI activa o si la lista de apps aprobadas no se vuelve a cargar automáticamente al inicio de cada sesión de administrador de TI.
3.15. Requisitos de uso de la API
La EMM implementa las APIs de Google a gran escala y evita los patrones de tráfico que podrían afectar negativamente la capacidad de los administradores de TI para administrar apps en entornos de producción.
3.15.1. El EMM debe cumplir con los límites de uso de la API de Play EMM. Si no se corrigen los comportamientos que excedan estos lineamientos, Google podría suspender el uso de la API, a su discreción.
3.15.2. EMM debe distribuir el tráfico de diferentes empresas a lo largo del día, en lugar de consolidar el tráfico empresarial en horarios específicos o similares. El comportamiento que se ajuste a este patrón de tráfico, como las operaciones por lotes programadas para cada dispositivo inscrito, puede provocar la suspensión del uso de la API, a discreción de Google.
3.15.3. El EMM no debe realizar solicitudes coherentes, incompletas o deliberadamente incorrectas que no intenten recuperar ni administrar datos reales de la empresa. El comportamiento que se ajuste a este patrón de tráfico puede provocar la suspensión del uso de la API, a discreción de Google.
3.16. Administración avanzada de la configuración administrada
3.16.1. La consola del EMM debe poder recuperar y mostrar la configuración administrada (anidada hasta en cuatro niveles) de cualquier app de Play con lo siguiente:
- El iFrame de Google Play administrado
- una IU personalizada.
3.16.2. La consola de la AEE debe poder recuperar y mostrar cualquier comentario que devuelva el canal de comentarios de una app cuando lo configure un administrador de TI.
- La consola de la AEE debe permitir que los administradores de TI asocien un elemento de comentarios específico con el dispositivo y la app de los que se originó.
- La consola de la AEE debe permitir que los administradores de TI se suscriban a alertas o informes de tipos de mensajes específicos (como mensajes de error).
3.16.3. La consola de la AEE solo debe enviar valores que tengan un valor predeterminado o que el administrador configure de forma manual con lo siguiente:
- El iframe de configuraciones administradas
- Una IU personalizada
3.17. Administración de apps web
Los administradores de TI pueden crear y distribuir aplicaciones web en la consola de EMM.
3.17.1. Los administradores de TI pueden usar la consola de EMM para distribuir accesos directos a aplicaciones web con lo siguiente:
3.18. Administración del ciclo de vida de las cuentas de Google Play administrado
El EMM puede crear, actualizar y borrar cuentas de Google Play administradas en nombre de los administradores de TI.
3.18.1. Los EMM pueden administrar el ciclo de vida de una cuenta de Google Play administrada según los lineamientos de implementación definidos en la documentación para desarrolladores de la API de EMM de Play.
3.18.2. Los EMM pueden volver a autenticar las Cuentas de Google Play administradas sin la interacción del usuario.
3.19. Administración de segmentos de aplicaciones
3.19.1. Los administradores de TI pueden extraer una lista de los IDs de segmento que estableció un desarrollador para una app en particular.
3.19.2. Los administradores de TI pueden configurar dispositivos para que usen un pista de desarrollo particular para una aplicación.
3.20. Administración avanzada de actualizaciones de aplicaciones
3.20.1. Los administradores de TI pueden permitir que las apps usen actualizaciones de alta prioridad para que se actualicen cuando haya una disponible.
3.20.2. Los administradores de TI pueden permitir que las actualizaciones de las apps se pospongan durante 90 días.
3.21. Administración de métodos de aprovisionamiento
El EMM puede generar configuraciones de aprovisionamiento y presentarlas al administrador de TI en un formulario listo para su distribución a los usuarios finales (como un código QR, una configuración de inscripción automática o una URL de Play Store).
4. Administración de dispositivos
4.1. Administración de políticas de permisos de tiempo de ejecución
Los administradores de TI pueden establecer de manera silenciosa una respuesta predeterminada a las solicitudes de permisos de tiempo de ejecución que realizan las apps de trabajo.
4.1.1. Los administradores de TI deben poder elegir entre las siguientes opciones cuando configuren una política de permisos de tiempo de ejecución predeterminada para su organización:
- instrucción (permite que los usuarios elijan)
- allow
- deny
El EMM debe aplicar esta configuración con el DPC del EMM.
4.2. Administración del estado de otorgamiento de permisos de tiempo de ejecución
Después de configurar una política de permisos de tiempo de ejecución predeterminada (ve a la versión 4.1), Los administradores de TI pueden configurar respuestas de forma silenciosa para permisos específicos desde cualquier app de trabajo compilada en el nivel de API 23 o versiones posteriores.
4.2.1. Los administradores de TI deben poder establecer el estado de otorgamiento (predeterminado, otorgado o denegado) de cualquier permiso que solicite una app de trabajo compilada en el nivel de API 23 o versiones posteriores. El EMM debe aplicar esta configuración con el DPC del EMM.
4.3. Administración de la configuración de Wi-Fi
Los administradores de TI pueden aprovisionar de forma silenciosa parámetros de configuración de Wi-Fi empresarial en dispositivos administrados, incluidos los siguientes:
4.3.1. SSID, con el DPC de EMM
4.3.2. Contraseña, con el DPC del EMM.
4.4. Administración de la seguridad de Wi-Fi
Los administradores de TI pueden aprovisionar parámetros de configuración de Wi-Fi empresariales en dispositivos administrados que incluyan las siguientes funciones de seguridad avanzadas:
4.4.1. Identidad con el DPC de EMM
4.4.2. Certificado para la autorización de clientes, mediante el DPC de EMM
4.4.3. Certificados de AC, con el DPC del EMM.
4.5. Administración avanzada de Wi-Fi
Los administradores de TI pueden bloquear la configuración de Wi-Fi en los dispositivos administrados para evitar que los usuarios creen configuraciones o modifiquen las configuraciones corporativas.
4.5.1. Los administradores de TI pueden bloquear la configuración de Wi-Fi corporativa en cualquiera de las siguientes opciones:
- Los usuarios no pueden modificar ninguna configuración de Wi-Fi aprovisionada por el EMM, pero pueden agregar y modificar sus propias redes configurables por el usuario (por ejemplo, redes personales).
- Los usuarios no pueden agregar ni modificar ninguna red Wi-Fi en el dispositivo, lo que limita la conectividad Wi-Fi solo a aquellas redes aprovisionadas por el EMM.
4.6. Administración de la cuenta
Los administradores de TI pueden garantizar que las cuentas corporativas no autorizadas no puedan interactuar con los datos corporativos, para servicios como el almacenamiento de SaaS, las apps de productividad o el correo electrónico. Sin esta función, se pueden agregar cuentas personales a aquellas apps corporativas que también admiten cuentas de consumidor, lo que les permite compartir datos corporativos con esas cuentas personales.
4.6.1. Los administradores de TI pueden evitar agregar o modificar cuentas.
- Cuando se aplica esta política en un dispositivo, los EMM deben establecer esta restricción antes de que se complete el aprovisionamiento, a fin de garantizar que no puedas eludir esta política agregando cuentas antes de que se implemente la política.
4.7. Administración de cuentas de Workspace
Los administradores de TI pueden garantizar que las Cuentas de Google no autorizadas no puedan interactuar con los datos corporativos. Sin esta función, se pueden agregar Cuentas de Google personales a las apps de Google corporativas (por ejemplo, Documentos de Google o Drive de Google), lo que les permite compartir datos corporativos con esas cuentas personales.
4.7.1. Los administradores de TI pueden especificar las Cuentas de Google que se activarán durante el aprovisionamiento, una vez que se implemente el bloqueo de la administración de cuentas.
4.7.2. El DPC del EMM debe solicitar que se active la cuenta de Google y asegurarse de que solo se pueda activar la cuenta específica especificando la cuenta que se agregará.
- En dispositivos anteriores a Android 7.0, el DPC debe desactivar temporalmente la restricción de administración de cuentas antes de solicitarle al usuario que la acepte.
4.8. Administración de certificados
Permite que los administradores de TI implementen certificados de identidad y autoridades certificadoras en los dispositivos para permitir el acceso a los recursos corporativos.
4.8.1. Los administradores de TI pueden instalar certificados de identidad del usuario que genera su PKI por usuario. La consola de EMM debe integrarse con al menos una PKI y distribuir los certificados generados a partir de esa infraestructura.
4.8.2. Los administradores de TI pueden instalar autoridades certificadoras en el almacén de claves administrado.
4.9. Administración avanzada de certificados
Permite que los administradores de TI seleccionen de forma silenciosa los certificados que deben usar apps administradas específicas. Esta función también otorga a los administradores de TI la capacidad de quitar las AC y los certificados de identidad de los dispositivos activos. Esta función evita que los usuarios modifiquen las credenciales almacenadas en el almacén de claves administrado.
4.9.1. Para cualquier app que se distribuya a dispositivos, los administradores de TI pueden especificar un certificado al que se le otorgará acceso de forma silenciosa a la app durante el tiempo de ejecución.
- La selección de certificados debe ser lo suficientemente genérica como para permitir una única configuración que se aplique a todos los usuarios, cada uno de los cuales puede tener un certificado de identidad específico del usuario.
4.9.2. Los administradores de TI pueden quitar certificados de forma silenciosa del almacén de claves administrado.
4.9.3. Los administradores de TI pueden desinstalar un certificado de la AC de forma silenciosa o todos los certificados de AC que no sean del sistema.
4.9.4. Los administradores de TI pueden impedir que los usuarios configuren credenciales en el almacén de claves administrado.
4.9.5. Los administradores de TI pueden otorgar certificados previamente para las apps de trabajo.
4.10. Administración de certificados delegada
Los administradores de TI pueden distribuir una app de administración de certificados de terceros a los dispositivos y otorgarle acceso con privilegios para instalar certificados en el almacén de claves administrado.
4.10.1. Los administradores de TI especifican un paquete de administración de certificados para que el DPC lo configure como la app de administración de certificados delegada.
- De manera opcional, Console puede sugerir paquetes de administración de certificados conocidos, pero debe permitir que el administrador de TI elija entre la lista de apps disponibles para instalar para los usuarios correspondientes.
4.11. Administración avanzada de VPN
Permite que los administradores de TI especifiquen una VPN siempre activada para garantizar que los datos de las apps administradas especificadas siempre pasen por una VPN configurada.
4.11.1. Los administradores de TI pueden especificar un paquete de VPN arbitrario para configurarlo como una VPN siempre activa.
- De manera opcional, la consola del EMM puede sugerir paquetes de VPN conocidos que admitan la VPN siempre activa, pero no puede restringir las VPN disponibles para la configuración de la VPN siempre activa a ninguna lista arbitraria.
4.11.2. Los administradores de TI pueden usar las configuraciones administradas para especificar la configuración de la VPN de una app.
4.12. Administración de IME
Los administradores de TI pueden administrar los métodos de entrada (IME) que se pueden configurar para los dispositivos. Dado que el IME se comparte en los perfiles de trabajo y personales, bloquear el uso de los IME impedirá que se permitan esos IME para uso personal. Sin embargo, los administradores de TI no pueden bloquear los IME del sistema en los perfiles de trabajo (consulta la administración avanzada de IME para obtener más detalles).
4.12.1. Los administradores de TI pueden configurar una lista de entidades permitidas de IME de longitud arbitraria (incluida una lista vacía, que bloquea los IME que no son del sistema), que puede contener cualquier paquete de IME arbitrario.
- De manera opcional, la consola del EMM puede sugerir IME conocidos o recomendados para incluir en la lista de entidades permitidas, pero debe permitir que los administradores de TI elijan entre la lista de apps disponibles para instalar para los usuarios correspondientes.
4.12.2. El EMM debe informar a los administradores de TI que los IME del sistema se excluyen de la administración en dispositivos con perfiles de trabajo.
4.13. Administración avanzada del IME
Los administradores de TI pueden administrar los métodos de entrada (IME) que se pueden configurar para los dispositivos. La administración avanzada de IME extiende la función básica, ya que permite a los administradores de TI administrar también el uso de los IME del sistema, que suelen proporcionar el fabricante o el operador del dispositivo.
4.13.1. Los administradores de TI pueden configurar una lista de entidades permitidas de IME de longitud arbitraria (excepto una lista vacía, que bloquea todos los IME, incluidos los IME del sistema), que puede contener paquetes de IME arbitrarios.
- De manera opcional, la consola del EMM puede sugerir IME conocidos o recomendados para incluir en la lista de entidades permitidas, pero debe permitir que los administradores de TI elijan entre la lista de apps disponibles para instalar para los usuarios correspondientes.
4.13.2. Los EMM deben evitar que los administradores de TI configuren una lista de entidades permitidas vacía, ya que esta configuración bloqueará todos los IME, incluidos los del sistema, para que no se configuren en el dispositivo.
4.13.3. Los EMM deben asegurarse de que, si una lista de entidades permitidas de IME no contiene IME del sistema, los IME de terceros se instalen de forma silenciosa antes de que se aplique la lista de entidades permitidas en el dispositivo.
4.14. Administración de servicios de accesibilidad
Los administradores de TI pueden administrar qué servicios de accesibilidad se permiten en los dispositivos de los usuarios. Si bien los servicios de accesibilidad son herramientas poderosas para los usuarios con discapacidades o aquellos que no pueden interactuar por completo con su dispositivo de forma temporal, pueden interactuar con los datos corporativos de maneras que no cumplen con la política corporativa. Esta función permite que los administradores de TI desactiven cualquier servicio de accesibilidad que no sea del sistema.
4.14.1. Los administradores de TI pueden configurar una lista de entidades permitidas de servicios de accesibilidad de longitud arbitraria (incluida una lista vacía, que bloquea los servicios de accesibilidad que no son del sistema), que puede contener cualquier paquete de servicio de accesibilidad arbitrario. Cuando se aplica a un perfil de trabajo, esto afecta tanto al perfil personal como al de trabajo.
- De manera opcional, Console puede sugerir servicios de accesibilidad conocidos o recomendados para incluir en la lista de entidades permitidas, pero debe permitir que los administradores de TI elijan entre la lista de apps disponibles para instalar para los usuarios correspondientes.
4.15. Administración de Compartir ubicación
Los administradores de TI pueden evitar que los usuarios compartan datos de ubicación con las apps en el perfil de trabajo. De lo contrario, la configuración de ubicación de los perfiles de trabajo se puede configurar en Configuración.
4.15.1. Los administradores de TI pueden inhabilitar los servicios de ubicación dentro del perfil de trabajo.
4.16. Administración avanzada de Compartir ubicación
Los administradores de TI pueden aplicar una configuración determinada de Compartir ubicación en un dispositivo administrado. Esta función puede garantizar que las apps corporativas siempre tengan acceso a datos de ubicación de alta precisión. Esta función también puede garantizar que no se consuma batería adicional, ya que restringe la configuración de ubicación al modo de ahorro de batería.
4.16.1. Los administradores de TI pueden configurar los servicios de ubicación del dispositivo en cada uno de los siguientes modos:
- Precisión alta.
- Solo sensores, por ejemplo, GPS, pero sin incluir la ubicación proporcionada por la red
- Ahorro de batería, que limita la frecuencia de actualización.
- Desactivado
4.17. Administración de la protección contra el restablecimiento de la configuración de fábrica
Permite que los administradores de TI protejan los dispositivos de la empresa contra robos, ya que garantiza que los usuarios no autorizados no puedan restablecer la configuración de fábrica de los dispositivos. Si la protección contra el restablecimiento de la configuración de fábrica introduce complejidades operativas cuando se devuelven los dispositivos a TI, los administradores de TI también pueden desactivarla por completo.
4.17.1. Los administradores de TI pueden evitar que los usuarios restablezcan la configuración de fábrica de sus dispositivos desde Configuración.
4.17.2. Los administradores de TI pueden especificar cuentas de desbloqueo corporativas autorizadas para aprovisionar dispositivos después de un restablecimiento de la configuración de fábrica.
- Esta cuenta puede vincularse a una persona o puede usarse toda la empresa para desbloquear dispositivos.
4.17.3. Los administradores de TI pueden inhabilitar la protección contra el restablecimiento de la configuración de fábrica para dispositivos específicos.
4.17.4. Los administradores de TI pueden iniciar una limpieza remota del dispositivo que, de manera opcional, borra los datos de protección del restablecimiento, lo que quita la protección del restablecimiento de la configuración de fábrica en el dispositivo restablecido.
4.18. Control avanzado de apps
Los administradores de TI pueden evitar que el usuario desinstale o modifique las apps administradas desde la Configuración, por ejemplo, forzar el cierre de la app o borrar la caché de datos de una app.
4.18.1. Los administradores de TI pueden bloquear la desinstalación de cualquier app administrada de forma arbitraria o de todas las apps administradas.
4.18.2. Los administradores de TI pueden impedir que los usuarios modifiquen datos de aplicaciones desde Configuración.
4.19. Administración de capturas de pantalla
Los administradores de TI pueden impedir que los usuarios tomen capturas de pantalla cuando usan apps administradas. Esta configuración incluye el bloqueo de apps para compartir pantalla y apps similares (como Asistente de Google) que usan las capacidades de captura de pantalla del sistema.
4.19.1. Los administradores de TI pueden evitar que los usuarios tomen capturas de pantalla.
4.20. Desactivar cámaras
Los administradores de TI pueden desactivar el uso de las cámaras de los dispositivos por parte de las apps administradas.
4.20.1. Los administradores de TI pueden desactivar el uso de las cámaras de los dispositivos por parte de las apps administradas.
4.21. Recopilación de estadísticas de red
Los administradores de TI pueden consultar las estadísticas de uso de red desde el perfil de trabajo de un dispositivo. Las estadísticas recopiladas reflejan los datos de uso que se comparten con los usuarios en la sección Uso de datos de Configuración. Las estadísticas recopiladas se aplican al uso de apps dentro del perfil de trabajo.
4.21.1. Los administradores de TI pueden consultar el resumen de estadísticas de la red de un perfil de trabajo de un dispositivo determinado y un período configurable, y ver estos detalles en la consola de EMM.
4.21.2. Los administradores de TI pueden consultar un resumen de una app en las estadísticas de uso de red del perfil de trabajo para un dispositivo determinado y un período configurable, y ver estos detalles organizados por UID en la consola del EMM.
4.21.3. Los administradores de TI pueden consultar los datos históricos de uso de red de un perfil de trabajo para un dispositivo determinado y un período configurable, y ver estos detalles organizados por UID en la consola del EMM.
4.22. Recopilación avanzada de estadísticas de red
Los administradores de TI pueden consultar las estadísticas de uso de red de un dispositivo administrado completo. Las estadísticas recopiladas reflejan los datos de uso que se comparten con los usuarios en la sección Uso de datos de Configuración. Las estadísticas recopiladas se aplican al uso de las apps en el dispositivo.
4.22.1. Los administradores de TI pueden consultar el resumen de estadísticas de red de un dispositivo completo, de un dispositivo determinado y de un período configurable, y ver estos detalles en la consola de EMM.
4.22.2. Los administradores de TI pueden consultar un resumen de las estadísticas de uso de red de la app para un dispositivo determinado y un período configurable, y ver estos detalles organizados por UID en la consola del EMM.
4.22.3. Los administradores de TI pueden consultar los datos históricos de uso de la red para un dispositivo determinado y un período configurable, y ver estos detalles organizados por UID en la consola de la AEE.
4.23. Reiniciar el dispositivo
Los administradores de TI pueden reiniciar de forma remota los dispositivos administrados.
4.23.1. Los administradores de TI pueden reiniciar de forma remota un dispositivo administrado.
4.24. Administración de radio del sistema
Permite que los administradores de TI administren de forma detallada las radios de red del sistema y las políticas de uso asociadas.
4.24.1. Los administradores de TI pueden inhabilitar las transmisiones móviles que envían los proveedores de servicios (por ejemplo, las alertas AMBER).
4.24.2. Los administradores de TI pueden evitar que los usuarios modifiquen la configuración de la red móvil en Configuración.
4.24.3. Los administradores de TI pueden evitar que los usuarios restablezcan la configuración de red en Configuración.
4.24.4. Los administradores de TI pueden permitir o no los datos móviles durante el roaming.
4.24.5. Los administradores de TI pueden configurar si el dispositivo puede realizar llamadas telefónicas salientes, excepto las llamadas de emergencia.
4.24.6. Los administradores de TI pueden configurar si el dispositivo puede enviar y recibir mensajes de texto.
4.24.7. Los administradores de TI pueden evitar que los usuarios usen su dispositivo como hotspot portátil mediante la conexión.
4.24.8. Los administradores de TI pueden configurar el tiempo de espera de Wi-Fi en el valor predeterminado, solo mientras el dispositivo está conectado o nunca.
4.24.9. Los administradores de TI pueden evitar que los usuarios configuren o modifiquen conexiones Bluetooth existentes.
4.25. Administración de audio del sistema
Los administradores de TI pueden administrar de manera silenciosa las funciones de audio del dispositivo, lo que incluye silenciarlo, evitar que los usuarios cambien la configuración de volumen y activar el sonido del micrófono del dispositivo.
4.25.1. Los administradores de TI pueden silenciar dispositivos administrados de forma silenciosa.
4.25.2. Los administradores de TI pueden impedir que los usuarios modifiquen la configuración de volumen del dispositivo.
4.25.3. Los administradores de TI pueden impedir que los usuarios activen el sonido del micrófono del dispositivo.
4.26. Administración del reloj del sistema
Los administradores de TI pueden administrar la configuración del reloj y la zona horaria del dispositivo, y evitar que los usuarios modifíquen la configuración automática del dispositivo.
4.26.1. Los administradores de TI pueden aplicar la hora automática del sistema, lo que evita que el usuario configure la fecha y la hora del dispositivo.
4.26.2. Los administradores de TI pueden activar o desactivar de forma silenciosa la hora automática y la zona horaria automática.
4.27. Funciones avanzadas de dispositivos de uso específico
Proporciona a los administradores de TI la capacidad de administrar funciones de dispositivos dedicados más detalladas para admitir varios casos de uso de kioscos.
4.27.1. Los administradores de TI pueden inhabilitar el protector de pantalla del dispositivo.
4.27.2. Los administradores de TI pueden desactivar la barra de estado del dispositivo y bloquear las notificaciones y la Configuración rápida.
4.27.3. Los administradores de TI pueden forzar la pantalla del dispositivo para que permanezca encendida mientras el dispositivo está enchufado.
4.27.4. Los administradores de TI pueden evitar que se muestren las siguientes IU del sistema:
- Avisos
- Superposiciones de aplicaciones
4.27.5. Los administradores de TI pueden permitir que la recomendación del sistema para las apps omita el instructivo para el usuario y otras sugerencias introductorias durante el primer inicio.
4.28. Administración del alcance delegado
Los administradores de TI pueden delegar privilegios adicionales a paquetes individuales.
4.28.1. Los administradores de TI pueden administrar los siguientes permisos:
- Instalación y administración de certificados
- En blanco de forma deliberada
- Registro de red
- Registro de seguridad (no se admite para el perfil de trabajo en dispositivos personales)
4.29. Compatibilidad con el ID específico de inscripción
A partir de Android 12, los perfiles de trabajo ya no tendrán acceso a los identificadores específicos de hardware. Los administradores de TI pueden seguir el ciclo de vida de un dispositivo con un perfil de trabajo a través del ID específico de inscripción, que persistirá en los restablecimientos de la configuración de fábrica.
4.29.1. Los administradores de TI pueden configurar y obtener un ID específico de la inscripción.
4.29.2. Este ID específico de inscripción debe persistir después de un restablecimiento de la configuración de fábrica.
5. Usabilidad del dispositivo
5.1. Personalización del aprovisionamiento administrado
Los administradores de TI pueden modificar la UX del flujo de configuración predeterminada para incluir funciones específicas de la empresa. De manera opcional, los administradores de TI pueden mostrar el desarrollo de la marca proporcionado por la EMM durante el aprovisionamiento.
5.1.1. Los administradores de TI pueden personalizar el proceso de aprovisionamiento especificando los siguientes detalles específicos de la empresa: color de la empresa, logotipo de la empresa y condiciones del servicio de la empresa y otras renuncias de responsabilidad.
5.1.2. Los administradores de TI pueden implementar una personalización no configurable y específica de EMM que incluya los siguientes detalles: color de EMM, logotipo de EMM, Condiciones del Servicio de EMM y otras renuncias de responsabilidad.
5.1.3 [primaryColor] dejó de estar disponible para el recurso empresarial en Android 10 y versiones posteriores.
- Las EMM deben incluir las Condiciones del Servicio de aprovisionamiento y otras renuncias de responsabilidad para su flujo de aprovisionamiento en el paquete de renuncias de responsabilidad de aprovisionamiento del sistema, incluso si no se usa la personalización específica de EMM.
- Los EMM pueden establecer su personalización específica del EMM no configurable como la predeterminada para todas las implementaciones, pero deben permitir que los administradores de TI configuren su propia personalización.
5.2. Personalización empresarial
Los administradores de TI pueden personalizar aspectos del perfil de trabajo con el desarrollo de la marca corporativo. Por ejemplo, los administradores de TI pueden establecer el ícono de usuario en el perfil de trabajo como el logotipo corporativo. Otro ejemplo es configurar el color de fondo del desafío de trabajo.
5.2.1. Los administradores de TI pueden configurar el color de la organización, que se usará como color de fondo del desafío laboral.
5.2.2. Los administradores de TI pueden establecer el nombre visible del perfil de trabajo.
5.2.3. Los administradores de TI pueden configurar el ícono de usuario del perfil de trabajo.
5.2.4. Los administradores de TI pueden evitar que el usuario modifique el ícono del usuario del perfil de trabajo.
5.3. Personalización empresarial avanzada
Los administradores de TI pueden personalizar los dispositivos administrados con el desarrollo de la marca corporativa. Por ejemplo, los administradores de TI pueden establecer el ícono de usuario principal en el logotipo corporativo o configurar el fondo de pantalla del dispositivo.
5.3.1. Los administradores de TI pueden configurar el nombre visible del dispositivo administrado.
5.3.2. Los administradores de TI pueden configurar el ícono de usuario del dispositivo administrado.
5.3.3. Los administradores de TI pueden evitar que el usuario modifique el ícono del usuario del dispositivo.
5.3.4. Los administradores de TI pueden establecer el fondo de pantalla del dispositivo.
5.3.5. Los administradores de TI pueden evitar que el usuario modifique el fondo de pantalla del dispositivo.
5.4. Mensajes en pantalla bloqueada
Los administradores de TI pueden establecer un mensaje personalizado que siempre se muestra en la pantalla de bloqueo del dispositivo y que no requiere que se desbloquee el dispositivo para verlo.
5.4.1. Los administradores de TI pueden configurar un mensaje personalizado en la pantalla de bloqueo.
5.5. Administración de la transparencia de las políticas
Los administradores de TI pueden personalizar el texto de ayuda que se proporciona a los usuarios cuando modifican la configuración administrada en sus dispositivos o implementan un mensaje de asistencia genérico proporcionado por la EMM. Puedes personalizar los mensajes de asistencia cortos y largos. Estos mensajes se muestran en casos como cuando se intenta desinstalar una app administrada para la que un administrador de TI ya bloqueó la desinstalación.
5.5.1. Los administradores de TI personalizan los mensajes de asistencia cortos y largos.
5.5.2. Los administradores de TI pueden implementar mensajes de asistencia cortos y largos no configurables y específicos de EMM.
- La EMM puede establecer sus mensajes de asistencia específicos no configurables como los predeterminados para todas las implementaciones, pero debe permitir que los administradores de TI configuren sus propios mensajes.
5.6. Administración de contactos de perfil sincronizado
Los administradores de TI pueden controlar qué datos de contacto pueden salir del perfil de trabajo. Las apps de telefonía y mensajería (SMS) deben ejecutarse en el perfil personal y requieren acceso a los datos de contacto del perfil de trabajo para ofrecer eficiencia a los contactos laborales, pero los administradores pueden inhabilitar estas funciones para proteger los datos laborales.
5.6.1. Los administradores de TI pueden inhabilitar la búsqueda de contactos en varios perfiles para las apps personales que usan el proveedor de contactos del sistema.
5.6.2. Los administradores de TI pueden inhabilitar la búsqueda de identificador de llamadas en varios perfiles para las apps de marcado personal que usan el proveedor de contactos del sistema.
5.6.3. Los administradores de TI pueden inhabilitar el uso compartido de contactos por Bluetooth con dispositivos Bluetooth que usan el proveedor de contactos del sistema, por ejemplo, llamadas con manos libres en automóviles o auriculares.
5.7. Administración de datos en varios perfiles
Otorga a los administradores de TI la administración sobre los datos que pueden salir del perfil de trabajo, más allá de las funciones de seguridad predeterminadas del perfil de trabajo. Con esta función, los administradores de TI pueden permitir tipos seleccionados de uso compartido de datos entre perfiles para mejorar la usabilidad en casos de uso clave. Los administradores de TI también pueden proteger aún más los datos corporativos con más bloqueos.
5.7.1. Los administradores de TI pueden configurar filtros de intents de perfiles sincronizados para que las apps personales puedan resolver intents del perfil de trabajo, como intents de uso compartido o vínculos web.
- De manera opcional, Console puede sugerir filtros de intents conocidos o recomendados para la configuración, pero no puede restringir los filtros de intents a ninguna lista arbitraria.
5.7.2. Los administradores de TI pueden permitir apps administradas que puedan mostrar widgets en la pantalla principal.
- La consola del EMM debe proporcionar a los administradores de TI la capacidad de elegir entre la lista de apps que están disponibles para instalar en los usuarios correspondientes.
5.7.3. Los administradores de TI pueden bloquear el uso de copiar y pegar entre los perfiles personal y de trabajo.
5.7.4. Los administradores de TI pueden impedir que los usuarios compartan datos del perfil de trabajo con NFC.
5.7.5. Los administradores de TI pueden permitir que las apps personales abran vínculos web desde el perfil de trabajo.
5.8. Política de actualización del sistema
Los administradores de TI pueden configurar y aplicar actualizaciones inalámbricas del sistema (OTA) para los dispositivos.
5.8.1. La consola de la EMM permite que los administradores de TI establezcan las siguientes configuraciones OTA:
- Automática: Los dispositivos instalan actualizaciones OTA cuando están disponibles.
- Posponer: Los administradores de TI deben poder posponer la actualización inalámbrica hasta por 30 días. Esta política no afecta las actualizaciones de seguridad (p.ej., parches de seguridad mensuales).
- Con ventanas: Los administradores de TI deben poder programar actualizaciones inalámbricas dentro de un período de mantenimiento diario.
5.8.2. El DPC de EMM aplica configuraciones inalámbricas a los dispositivos.
5.9. Bloqueo de la administración del modo de tareas
Los administradores de TI pueden bloquear una app o un conjunto de apps en la pantalla y asegurarse de que los usuarios no puedan salir de la app.
5.9.1. La consola de EMM permite que los administradores de TI permitan de forma silenciosa que un conjunto arbitrario de apps se instale y bloquee en un dispositivo. El DPC del EMM permite el modo de dispositivo dedicado.
5.10. Administración de actividades preferidas persistentes
Permite que los administradores de TI establezcan una app como el controlador de intents predeterminado para los intents que coinciden con un filtro de intents determinado. Por ejemplo, permite que los administradores de TI elijan qué app de navegador abre automáticamente vínculos web o qué app de selector se usa cuando se presiona el botón de inicio.
5.10.1. Los administradores de TI pueden establecer cualquier paquete como el controlador de intents predeterminado para cualquier filtro de intents arbitrario.
- De manera opcional, la consola del EMM puede sugerir intents conocidos o recomendados para la configuración, pero no puede restringir los intents a ninguna lista arbitraria.
- La consola de la AEE debe permitir que los administradores de TI elijan entre la lista de apps que están disponibles para instalar para los usuarios correspondientes.
5.11. Administración de funciones del bloqueo de pantalla
- agentes de confianza
- desbloqueo con huella dactilar
- notificaciones sin ocultar
5.11.2. El DPC del EMM puede desactivar las siguientes funciones del protector de pantalla en el perfil de trabajo:
- agentes de confianza
- desbloqueo con huella dactilar
5.12. Administración avanzada de las funciones de bloqueo del teclado
- Cámara segura
- Todas las notificaciones
- Notificaciones sin ocultar
- Agentes de confianza
- Desbloqueo con huellas dactilares
- Todas las funciones del protector de pantalla
5.13. Depuración remota
Los administradores de TI pueden recuperar recursos de depuración de los dispositivos sin necesidad de pasos extras.
5.13.1. Los administradores de TI pueden solicitar informes de errores de forma remota, ver informes de errores desde la consola del EMM y descargar informes de errores desde la consola del EMM.
5.14. Recuperación de direcciones MAC
Los EMM pueden recuperar de forma silenciosa la dirección MAC de un dispositivo. La dirección MAC se puede usar para identificar dispositivos en otras partes de la infraestructura empresarial (por ejemplo, cuando se identifican dispositivos para el control de acceso a la red).
5.14.1. El EMM puede recuperar de forma silenciosa la dirección MAC de un dispositivo y asociarla con el dispositivo en la consola del EMM.
5.15. Administración avanzada del modo de tareas bloqueadas
Cuando un dispositivo se configura como dedicado, los administradores de TI pueden usar la consola de la EMM para realizar las siguientes tareas:
5.15.1. Permite que una sola app se bloquee en un dispositivo de manera silenciosa con el DPC de EMM.
5.15.2. Activa o desactiva las siguientes funciones de la IU del sistema con el DPC del EMM:
- Botón Home
- Descripción general
- Acciones generales
- Notificaciones
- Información del sistema / Barra de estado
- Bloqueo de teclado (pantalla de bloqueo)
5.15.3. Desactiva los diálogos de error del sistema usando el DPC de EMM.
5.16. Política de actualización del sistema avanzada
Los administradores de TI pueden bloquear las actualizaciones del sistema en un dispositivo durante un período sin actualización especificado.
5.16.1. El DPC de EMM puede aplicar actualizaciones inalámbricas del sistema (OTA) a los dispositivos durante un período sin actualización específico.
5.17. Administración de la transparencia de las políticas del perfil de trabajo
Los administradores de TI pueden personalizar el mensaje que se muestra a los usuarios cuando se quita el perfil de trabajo de un dispositivo.
5.17.1. Los administradores de TI pueden proporcionar texto personalizado para mostrar cuando se borra un perfil de trabajo.
5.18. Compatibilidad con apps conectadas
Los administradores de TI pueden establecer una lista de paquetes que se puedan comunicar a través del límite del perfil de trabajo.
5.19. Actualizaciones manuales del sistema
Los administradores de TI pueden instalar una actualización del sistema de forma manual proporcionando una ruta de acceso.
6. Baja del Administrador de dispositivos
6.1. Baja del Administrador de dispositivos
Los EMM deben publicar un plan a fines de 2022 para finalizar la asistencia al cliente para el Administrador de dispositivos en dispositivos con GMS a fines del primer trimestre de 2023.
7. Uso de la API
7.1. Controlador de políticas estándar para vinculaciones nuevas
De forma predeterminada, los dispositivos deben administrarse con Android Device Policy para cualquier vinculación nueva. Los EMM pueden proporcionar la opción de administrar dispositivos con un DPC personalizado en un área de configuración con el encabezado "Configuración avanzada" o una terminología similar. Los clientes nuevos no deben estar expuestos a una elección arbitraria entre pilas de tecnología durante los flujos de trabajo de integración o configuración.
7.2. Controlador de políticas estándar para dispositivos nuevos
De forma predeterminada, los dispositivos deben administrarse con Android Device Policy para todas las inscripciones de dispositivos nuevos, tanto para las vinculaciones existentes como para las nuevas. Los EMM pueden proporcionar la opción de administrar dispositivos con un DPC personalizado en un área de configuración con el encabezado "Configuración avanzada" o una terminología similar.