Questa pagina elenca l'insieme completo di funzionalità di Android Enterprise.
Se intendi gestire più di 500 dispositivi, la tua soluzione EMM deve supportare tutte le funzionalità standard () di almeno un set di soluzioni prima di poter essere resa disponibile commercialmente. Le soluzioni EMM che superano la verifica delle funzionalità standard sono elencate nell'Enterprise Solutions Directory di Android come offerte di un set di gestione standard.
Per ogni set di soluzioni è disponibile un ulteriore insieme di funzionalità avanzate. Queste funzionalità sono indicate in ogni pagina del set di soluzioni: profilo di lavoro su dispositivo di proprietà personale, profilo di lavoro su dispositivo di proprietà dell'azienda, dispositivo completamente gestito e dispositivo dedicato. Le soluzioni EMM che superano la verifica delle funzionalità avanzate sono elencate nella directory di soluzioni aziendali di Android come offerte di un set di gestione avanzato.
Chiave
| funzionalità standard | funzionalità avanzata | funzionalità facoltativa | non applicabile |
1. Provisioning del dispositivo
1.1. Provisioning del profilo di lavoro incentrato sul DPC (controller criteri dispositivi)
Puoi eseguire il provisioning di un profilo di lavoro dopo aver scaricato il DPC (controller criteri dispositivi) dell'EMM da Google Play.
1.1.1. Il DPC dell'EMM deve essere disponibile pubblicamente su Google Play in modo che gli utenti possano installarlo sul lato personale del dispositivo.
1.1.2. Una volta installato, il DPC deve guidare l'utente nella procedura di provisioning di un profilo di lavoro.
1.1.3. Al termine del provisioning, non può rimanere alcuna presenza di gestione sul lato personale del dispositivo.
- Tutti i criteri implementati durante il provisioning devono essere rimossi.
- I privilegi dell'app devono essere revocati.
- Il DPC dell'EMM deve essere, almeno, disattivato sul lato personale del dispositivo.
1.2. Provisioning dei dispositivi identificatore DPC
Gli amministratori IT possono eseguire il provisioning di un dispositivo completamente gestito o dedicato utilizzando un identificatore DPC ("afw#"), in base alle linee guida per l'implementazione definite nella documentazione per gli sviluppatori dell'API EMM di Google Play.
1.2.1. Il DPC dell'EMM deve essere disponibile pubblicamente su Google Play. Il DPC deve essere installabile dalla configurazione guidata del dispositivo inserendo un identificatore specifico del DPC.
1.2.2. Una volta installato, il DPC dell'EMM deve guidare l'utente nella procedura di provisioning di un dispositivo completamente gestito o dedicato.
1.3. Provisioning dei dispositivi NFC
Gli amministratori IT possono utilizzare i tag NFC per eseguire il provisioning di dispositivi nuovi o di cui sono stati ripristinati i dati di fabbrica in base alle linee guida di implementazione definite nella documentazione per sviluppatori dell'API Play EMM.
1.3.1. Gli EMM devono utilizzare tag NFC Forum di tipo 2 con almeno 888 byte di memoria. Il provisioning deve utilizzare gli extra di provisioning per trasmettere a un dispositivo dettagli di registrazione non sensibili, come ID server e ID registrazione. I dettagli della registrazione non devono includere informazioni sensibili, come password o certificati.
1.3.2. Dopo che il DPC dell'EMM si è impostato come proprietario del dispositivo, deve aprirsi immediatamente e bloccarsi sullo schermo finché il provisioning del dispositivo non è completato. 1.3.3. Consigliamo di utilizzare i tag NFC per Android 10 e versioni successive a causa del ritiro di NFC Beam (noto anche come NFC Bump).
1.4. Provisioning del dispositivo tramite codice QR
Gli amministratori IT possono utilizzare un dispositivo nuovo o di cui è stato ripristinato i dati di fabbrica per scansionare un codice QR generato dalla console EMM al fine di eseguire il provisioning del dispositivo, in base alle linee guida di implementazione definite nella documentazione per gli sviluppatori dell'API Play EMM.
1.4.1. Il codice QR deve utilizzare gli extra di provisioning per trasmettere a un dispositivo dettagli di registrazione non sensibili, come ID server e ID registrazione. I dettagli di registrazione non devono includere informazioni sensibili, come password o certificati.
1.4.2. Dopo che il DPC dell'EMM ha configurato il dispositivo, deve aprirsi immediatamente e bloccarsi sullo schermo finché il provisioning del dispositivo non è completato.
1.5. Registrazione zero-touch
Gli amministratori IT possono preconfigurare i dispositivi acquistati da rivenditori autorizzati e gestirli utilizzando la console EMM.
1.5.1. Gli amministratori IT possono eseguire il provisioning dei dispositivi di proprietà dell'azienda utilizzando il metodo di registrazione zero-touch descritto in Registrazione zero-touch per gli amministratori IT.
1.5.2. Quando un dispositivo viene acceso per la prima volta, viene impostato automaticamente sulle impostazioni definite dall'amministratore IT.
1.6. Provisioning zero-touch avanzato
Gli amministratori IT possono automatizzare gran parte della procedura di registrazione dei dispositivi implementando i dettagli di registrazione del DPC tramite la registrazione zero-touch. Il DPC dell'EMM supporta la limitazione della registrazione ad account o domini specifici, in base alle opzioni di configurazione offerte dall'EMM.
1.6.1. Gli amministratori IT possono eseguire il provisioning di un dispositivo di proprietà dell'azienda utilizzando il metodo di registrazione zero-touch descritto nella pagina Registrazione zero-touch per gli amministratori IT.
1.6.2. Dopo che il DPC dell'EMM ha configurato il dispositivo, il DPC dell'EMM deve aprirsi immediatamente e bloccarsi sullo schermo fino al completamento del provisioning del dispositivo.
- Questo requisito non è necessario per i dispositivi che utilizzano i dettagli di registrazione zero-touch per eseguire il provisioning completo in modalità silenziosa (ad esempio, in un deployment di dispositivi dedicati).
1.6.3. Utilizzando i dettagli di registrazione, il DPC dell'EMM deve assicurarsi che gli utenti non autorizzati non possano procedere con l'attivazione una volta invocato il DPC. Come minimo, l'attivazione deve essere bloccata per gli utenti di una determinata azienda.
1.6.4. Utilizzando i dettagli di registrazione, il DPC dell'EMM deve consentire agli amministratori IT di precompilare i dettagli di registrazione (ad esempio, ID server, ID di registrazione), oltre alle informazioni univoche sull'utente o sul dispositivo (ad esempio nome utente/password, token di attivazione), in modo che gli utenti non debbano inserire dettagli quando attivano un dispositivo.
- Le soluzioni EMM non devono includere informazioni sensibili, come password o certificati, nella configurazione della registrazione zero-touch.
1.7. Provisioning del profilo di lavoro dell'Account Google
Per le aziende che utilizzano un dominio Google gestito, questa funzionalità guida gli utenti nella configurazione di un profilo di lavoro dopo aver inserito le credenziali di Workspace aziendali durante la configurazione del dispositivo o su un dispositivo già attivato. In entrambi i casi, l'identità Workspace aziendale verrà migrata nel profilo di lavoro.
1.7.1. Il metodo di provisioning dell'Account Google esegue il provisioning di un profilo di lavoro, in base alle linee guida per l'implementazione definite.
1.8. Provisioning dei dispositivi con l'Account Google
Per le aziende che utilizzano Workspace, questa funzionalità guida gli utenti durante l'installazione del DPC del loro provider EMM dopo che hanno inserito le credenziali di Workspace aziendali durante la configurazione iniziale del dispositivo. Una volta installato, il DPC completa la configurazione di un dispositivo di proprietà dell'azienda.
1.8.1. Il metodo di provisioning dell'Account Google esegue il provisioning di un dispositivo di proprietà dell'azienda, in base alle linee guida di implementazione definite.
1.8.2. A meno che l'EMM non possa identificare in modo inequivocabile il dispositivo come risorsa aziendale, non può eseguire il provisioning di un dispositivo senza una richiesta durante la procedura di provisioning. Questa richiesta deve richiedere un'azione non predefinita, ad esempio la selezione di una casella di controllo o di un'opzione di menu non predefinita. È consigliabile che l'EMM sia in grado di identificare il dispositivo come risorsa aziendale, in modo che non sia necessaria la richiesta.
1,9 Configurazione zero-touch diretta
Gli amministratori IT possono utilizzare la console del provider EMM per configurare i dispositivi zero-touch utilizzando l'iframe zero-touch.
1.10. Profili di lavoro sui dispositivi di proprietà dell'azienda
I provider EMM possono registrare i dispositivi di proprietà dell'azienda che hanno un profilo di lavoro.
1.10.1. Deliberatamente vuoto.
1.10.2. Gli amministratori IT possono impostare azioni di conformità per i profili di lavoro sui dispositivi di proprietà dell'azienda.
1.10.3. Gli amministratori IT possono disattivare la videocamera nel profilo di lavoro o sull'intero dispositivo.
1.10.4. Gli amministratori IT possono disattivare l'acquisizione di schermate nel profilo di lavoro o nell'intero dispositivo.
1.10.5. Gli amministratori IT possono impostare una lista consentita o una lista bloccata di applicazioni che possono o meno essere installate nel profilo personale.
1.10.6. Gli amministratori IT possono cedere la gestione di un dispositivo di proprietà dell'azienda rimuovendo il profilo di lavoro o cancellando i dati dell'intero dispositivo.
1/11 Provisioning di dispositivi dedicati
Deliberatamente vuoto.
2. Sicurezza del dispositivo
2.1. Verifica di sicurezza del dispositivo
Gli amministratori IT possono impostare e applicare una verifica di sicurezza del dispositivo (PIN/sequenza/password) da una selezione predefinita di 3 livelli di complessità sui dispositivi gestiti.
2.1.1. I criteri devono applicare le impostazioni di gestione delle sfide di sicurezza del dispositivo (parentProfilePasswordRequirements per il profilo di lavoro, passwordRequirements per dispositivi completamente gestiti e dedicati).
2.1.2. La complessità della password deve corrispondere alle seguenti complessità:
- PASSWORD_COMPLEXITY_LOW - sequenza o PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468), sequenze alfabetiche o alfanumeriche di almeno 4 caratteri,
- PASSWORD_COMPLEXITY_HIGH - PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468) e con una lunghezza di almeno 8 caratteri oppure password alfabetiche o alfanumeriche con una lunghezza di almeno 6 caratteri
2.2. Verifica di sicurezza di Work
Gli amministratori IT possono impostare e applicare una verifica di sicurezza per le app e i dati nel profilo di lavoro che è separata e ha requisiti diversi dalla verifica di sicurezza del dispositivo (2.1.).
2.2.1. Il criterio deve applicare la verifica di sicurezza per il profilo di lavoro. Per impostazione predefinita, gli amministratori IT devono impostare le restrizioni solo per il profilo di lavoro. Se non viene specificato alcun ambito, gli amministratori IT possono impostare le restrizioni per l'intero dispositivo specificando l'ambito (vedi requisito 2.1).
2.1.2. La complessità della password deve corrispondere alle seguenti complessità:
- PASSWORD_COMPLEXITY_LOW - sequenza o PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468), password alfabetica o alfanumerica con una lunghezza di almeno 4
- PASSWORD_COMPLEXITY_HIGH - PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468) e con una lunghezza di almeno 8 caratteri oppure password alfabetiche o alfanumeriche con una lunghezza di almeno 6 caratteri
2.3. Gestione avanzata dei passcode
2.3.1. Deliberatamente vuoto.
2.3.2. Deliberatamente vuoto.
2.3.3. Per ogni schermata di blocco disponibile su un dispositivo è possibile impostare le seguenti impostazioni del ciclo di vita della password:
- Vuoto deliberatamente
- Deliberatamente vuoto
- Numero massimo di password non riuscite per la cancellazione: specifica il numero di volte in cui gli utenti possono inserire una password errata prima che i dati aziendali vengano cancellati dal dispositivo. Gli amministratori IT devono essere in grado di disattivare questa funzionalità.
2.4. Gestione delle serrature smart
Gli amministratori IT possono gestire il tipo di agenti di attendibilità autorizzati nella funzionalità Smart Lock di Android a sbloccare i dispositivi. Gli amministratori IT possono disattivare metodi di sblocco specifici, come dispositivi Bluetooth attendibili, riconoscimento del volto e riconoscimento vocale, o disattivare del tutto la funzionalità.
2.4.1. Gli amministratori IT possono disattivare gli agenti di attendibilità Smart Lock, in modo indipendente per ogni schermata di blocco disponibile sul dispositivo.
2.4.2. Gli amministratori IT possono autorizzare e configurare in modo selettivo gli agenti di attendibilità Smart Lock, in modo indipendente per ogni schermata di blocco disponibile sul dispositivo, per i seguenti agenti di attendibilità: Bluetooth, NFC, luoghi, volto, Dispositivo con te e voce.
- Gli amministratori IT possono modificare i parametri di configurazione agenti di attendibilità disponibili.
2.5. Cancellazione e blocco
Gli amministratori IT possono utilizzare la console EMM per bloccare e cancellare i dati di lavoro da remoto da un dispositivo gestito.
2.5.1. Il DPC della EMM deve bloccare i dispositivi.
2.5.2. Il DPC dell'EMM deve resettare i dispositivi.
2.6. Applicazione della conformità
Se un dispositivo non è conforme ai criteri di sicurezza, i dati di lavoro vengono limitati automaticamente.
2.6.1. Come minimo, i criteri di sicurezza applicati su un dispositivo devono includere i criteri per le password.
2.7. Criteri di sicurezza predefiniti
Le EMM devono applicare i criteri di sicurezza specificati sui dispositivi per impostazione predefinita, senza richiedere agli amministratori IT di configurare o personalizzare alcuna impostazione nella console EMM. È consigliabile (ma non obbligatorio) che i fornitori EMM non consentano agli amministratori IT di modificare lo stato predefinito di queste funzionalità di sicurezza.
2.7.1. Il DPC (controller criteri dispositivi) dell'EMM deve bloccare l'installazione di app da origini sconosciute, incluse le app installate sul lato personale di qualsiasi dispositivo Android 8.0 o versioni successive con un profilo di lavoro.
2.7.2. Il DPC della EMM deve bloccare le funzionalità di debug.
2.8. Criteri di sicurezza per i dispositivi dedicati
I dispositivi dedicati vengono bloccati senza un escape per consentire altre azioni.
2.8.1. Il DPC dell'EMM deve disattivare l'avvio in modalità provvisoria per impostazione predefinita.
2.8.2. Il DPC dell'EMM deve essere aperto e bloccato sullo schermo immediatamente al primo avvio durante il provisioning, per garantire che non vi sia alcuna interazione con il dispositivo in nessun altro modo.
2.8.3. Il DPC dell'EMM deve essere impostato come Avvio app predefinito per garantire che le app consentite siano bloccate sullo schermo all'avvio, in base alle linee guida di implementazione definite.
2.9. Assistenza di Play Integrity
L'EMM utilizza l'API Play Integrity per verificare che i dispositivi siano Android validi.
2.9.1. Il DPC dell'EMM implementa l'API Play Integrity durante il provisioning e, per impostazione predefinita, completa il provisioning del dispositivo con i dati aziendali solo quando l'integrità del dispositivo restituita è MEETS_STRONG_INTEGRITY.
2.9.2. Il DPC dell'EMM eseguirà un altro controllo di Play Integrity ogni volta che un dispositivo si connette al server EMM, configurabile dall'amministratore IT. Il server EMM verificherà le informazioni APK nella risposta al controllo dell'integrità e la risposta stessa prima di aggiornare i criteri aziendali sul dispositivo.
2.9.3. Gli amministratori IT possono configurare diverse risposte ai criteri in base al risultato del controllo di integrità di Google Play, ad esempio bloccare il provisioning, cancellare i dati aziendali e consentire la prosecuzione della registrazione.
- Il servizio EMM applicherà questa risposta ai criteri per il risultato di ogni controllo di integrità.
2.9.4. Se il controllo iniziale di Play Integrity non va a buon fine o restituisce un risultato che non soddisfa solide condizioni di integrità, se il DPC dell'EMM non ha già chiamato ensureWorkingEnvironment dovrà farlo e ripetere il controllo prima di completare il provisioning.
2.10. Applicazione forzata di Verifica app
Gli amministratori IT possono attivare la Verifica app sui dispositivi. Verifica app analizza le app installate sui dispositivi Android per rilevare software dannosi prima e dopo l'installazione, contribuendo a garantire che le app dannose non possano compromettere i dati aziendali.
2.10.1. Il controller di policy dei dispositivi dell'EMM deve attivare la Verifica app per impostazione predefinita.
2.11. Supporto di Avvio diretto
Le app non possono essere eseguite sui dispositivi con Android 7.0 e versioni successive appena accesi finché il dispositivo non viene sbloccato per la prima volta. Il supporto del boot diretto garantisce che il DPC dell'EMM sia sempre attivo e in grado di applicare i criteri, anche se il dispositivo non è stato sbloccato.
2.11.1. Il DPC dell'EMM sfrutta lo spazio di archiviazione criptato del dispositivo per eseguire funzioni di gestione fondamentali prima che lo spazio di archiviazione criptato delle credenziali del DPC sia stato decriptato. Le funzioni di gestione disponibili durante il boot diretto devono includere (a titolo esemplificativo):
- Cancellazione dei dati aziendali, inclusa la possibilità di cancellare i dati di protezione del ripristino dei dati di fabbrica come opportuno.
2.11.2. Il DPC del fornitore EMM non deve esporre i dati aziendali all'interno dello spazio di archiviazione criptato del dispositivo.
2.11.3. I provider EMM possono impostare e attivare un token per attivare un pulsante Ho dimenticato la password nella schermata di blocco del profilo di lavoro. Questo pulsante viene utilizzato per richiedere agli amministratori IT di reimpostare in modo sicuro la password del profilo di lavoro.
2.12. Gestione della sicurezza hardware
Gli amministratori IT possono bloccare gli elementi hardware di un dispositivo di proprietà dell'azienda per garantire la prevenzione della perdita di dati.
2.12.1. Gli amministratori IT possono impedire agli utenti di montare supporti esterni fisici sul proprio dispositivo.
2.12.2. Gli amministratori IT possono impedire agli utenti di condividere dati dal proprio dispositivo utilizzando il raggio NFC. Questa sottofunzionalità è facoltativa poiché la funzionalità di trasmissione NFC non è più supportata su Android 10 e versioni successive.
2.12.3. Gli amministratori IT possono impedire agli utenti di trasferire file tramite USB dal loro dispositivo.
2.13. Logging di sicurezza aziendale
Gli amministratori IT possono raccogliere dati sull'utilizzo da dispositivi che possono essere analizzati e valutati in modo programmatico per rilevare eventuali comportamenti dannosi o rischiosi. Le attività registrate includono attività di Android Debug Bridge (ADB), apertura di app e sblocchi dello schermo.
2.13.1. Gli amministratori IT possono abilitare il logging di sicurezza per dispositivi specifici e il DPC dell'EMM deve essere in grado di recuperare automaticamente sia i log di sicurezza sia i log di sicurezza pre-riavvio.
2.13.2. Gli amministratori IT possono esaminare i log di sicurezza aziendali per un determinato dispositivo e una finestra temporale configurabile nella console dell'EMM.
2.13.3. Gli amministratori IT possono esportare i log di sicurezza aziendali dalla console EMM.
3. Gestione dell'account e delle app
3.1. Associazione aziendale
Gli amministratori IT possono associare la soluzione EMM alla propria organizzazione, consentendo a quest'ultima di utilizzare la versione gestita di Google Play per distribuire le app sui dispositivi.
3.1.1. Un amministratore con un dominio Google gestito esistente può associare il proprio dominio all'EMM.
3.1.2. La console EMM deve eseguire il provisioning e configurare in modalità silenziosa un ESA unico per ogni azienda.
3.1.3. Annullare la registrazione di un'azienda utilizzando l'API Play EMM.
3.1.4. La console EMM guida l'amministratore a inserire il proprio indirizzo email di lavoro nel flusso di registrazione di Android e lo sconsiglia a utilizzare un account Gmail.
3.1.5. L'EMM precompila l'indirizzo email dell'amministratore nel flusso di registrazione di Android.
3.2. Provisioning degli account della versione gestita di Google Play
Il provider EMM può eseguire il provisioning in silenzio degli account utente aziendali, chiamati account Google Play gestiti. Questi account identificano gli utenti gestiti e consentono regole di distribuzione delle app univoche per utente.
3.2.1. Il DPC dell'EMM può eseguire automaticamente il provisioning e attivare un account Google Play gestito in base alle linee guida di implementazione definite. A questo scopo:
- Al
dispositivo viene aggiunto un Account Google Play gestito di tipo
userAccount. - L'account della versione gestita di Google Play di tipo
userAccountdeve avere una mappatura 1:1 con gli utenti effettivi nella console di EMM.
3.3 Provisioning dell'account del dispositivo della versione gestita di Google Play
Il provider EMM può creare e eseguire il provisioning degli account dispositivo della versione gestita di Google Play. Gli account dispositivo supportano l'installazione automatica delle app dalla versione gestita del Google Play Store e non sono associati a un singolo utente. Viene invece utilizzato un account dispositivo per identificare un singolo dispositivo al fine di supportare le regole di distribuzione delle app per dispositivo in scenari di dispositivi dedicati.
3.3.1. Il DPC dell'EMM può eseguire il provisioning e attivare in silenzio un account Google Play gestito in base alle linee guida di implementazione definite.
A questo scopo, è necessario aggiungere al dispositivo un account Google Play gestito di tipo deviceAccount.
3.4. Provisioning dell'account della versione gestita di Google Play per i dispositivi precedenti
Il provider EMM può eseguire il provisioning in silenzio degli account utente aziendali, chiamati account Google Play gestiti. Questi account identificano gli utenti gestiti e consentono regole di distribuzione delle app univoche per utente.
3.4.1. Il DPC dell'EMM può eseguire il provisioning e attivare in silenzio un account Google Play gestito in base alle linee guida di implementazione definite. In questo modo:
- Al
dispositivo viene aggiunto un Account Google Play gestito di tipo
userAccount. - L'account della versione gestita di Google Play di tipo
userAccountdeve avere una mappatura 1:1 con gli utenti effettivi nella console di EMM.
3.5. Distribuzione silenziosa delle app
Gli amministratori IT possono distribuire in modo invisibile le app di lavoro sui dispositivi degli utenti senza alcuna interazione da parte degli utenti.
3.5.1. La console EMM deve utilizzare l'API Play EMM per consentire agli amministratori IT di installare app di lavoro sui dispositivi gestiti.
3.5.2. La console EMM deve utilizzare l'API Play EMM per consentire agli amministratori IT di aggiornare le app di lavoro sui dispositivi gestiti.
3.5.3. La console EMM deve utilizzare l'API Play EMM per consentire agli amministratori IT di disinstallare le app sui dispositivi gestiti.
3.6. Gestione della configurazione gestita
Gli amministratori IT possono visualizzare e impostare in modalità silenziosa le configurazioni gestite o qualsiasi app che supporta le configurazioni gestite.
3.6.1. La console EMM deve essere in grado di recuperare e visualizzare le impostazioni di configurazione gestita di qualsiasi app Google Play.
- I provider EMM possono chiamare
Products.getAppRestrictionsSchemaper recuperare lo schema delle configurazioni gestite di un'app o incorporare il frame delle configurazioni gestite nella console EMM.
3.6.2. La console EMM deve consentire agli amministratori IT di impostare qualsiasi tipo di configurazione (come definito dal framework Android) per qualsiasi app Play che utilizza l'API Play EMM.
3.6.3. La console dell'EMM deve consentire agli amministratori IT di impostare caratteri jolly (come $username$ o %emailAddress%) in modo da poter applicare un'unica configurazione per un'app come Gmail a più utenti. L'iframe della configurazione gestita supporta automaticamente questo requisito.
3.7. Gestione del catalogo di app
Gli amministratori IT possono importare un elenco di app approvate per la loro azienda dalla versione gestita di Google Play (play.google.com/work).
3.7.1. La console EMM può mostrare un elenco di app approvate per la distribuzione, tra cui:
- App acquistate nella versione gestita di Google Play
- App private visibili agli amministratori IT
- App approvate in modo programmatico
3.8. Approvazione di app programmatiche
La console EMM utilizza l'iframe della versione gestita di Google Play per supportare le funzionalità di scoperta e approvazione delle app di Google Play. Gli amministratori IT possono cercare app, approvarle e approvare nuove autorizzazioni per le app senza uscire dalla console EMM.
3.8.1. Gli amministratori IT possono cercare le app e approvarle all'interno della console EMM utilizzando l'iframe della versione gestita di Google Play.
3.9. Gestione di base del layout del negozio
L'app Google Play Store gestita può essere utilizzata sui dispositivi per installare e aggiornare le app di lavoro. Il layout di base del Play Store viene visualizzato per impostazione predefinita e elenca le app approvate per l'azienda, che gli EMM filtrano in base agli utenti PE in base alle norme.
3.9.1. Gli amministratori IT possono [gestire i set di prodotti disponibili dagli utenti]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) per consentire la visualizzazione e l'installazione di applicazioni dalla versione gestita di Google Play Store nella sezione "Home page dello Store".
3.10. Configurazione avanzata del layout del negozio
Gli amministratori IT possono personalizzare il layout dello store visualizzato nella versione gestita dell'app Google Play Store sui dispositivi.
3.10.1. Gli amministratori IT possono eseguire le seguenti azioni nella console del provider EMM per personalizzare il layout della versione gestita del Google Play Store:
- Creare fino a 100 pagine di layout del negozio. Le pagine possono avere un numero arbitrario di nomi localizzati.
- Crea fino a 30 cluster per ogni pagina. I cluster possono avere un numero arbitrario di nomi localizzati.
- Assegna fino a 100 app a ogni cluster.
- Aggiungi fino a 10 link rapidi a ogni pagina.
- Specifica l'ordinamento delle app all'interno di un cluster e dei cluster all'interno di una pagina.
3.11. Gestione delle licenze delle app
Gli amministratori IT possono visualizzare e gestire le licenze delle app acquistate nella versione gestita di Google Play dalla console EMM.
3.11.1. Per le app a pagamento approvate per un'azienda, la console EMM deve mostrare:
- Il numero di licenze acquistate.
- Il numero di licenze utilizzate e gli utenti che le utilizzano.
- Il numero di licenze disponibili per la distribuzione.
3.11.2. Gli amministratori IT possono assegnare le licenze agli utenti in modalità silenziosa senza forzare l'installazione dell'app su nessuno dei dispositivi degli utenti.
3.11.3. Gli amministratori IT possono annullare l'assegnazione di una licenza di app a un utente.
3.12. Gestione delle app private ospitate da Google
Gli amministratori IT possono aggiornare le app private ospitate da Google tramite la console EMM anziché tramite Google Play Console.
3.12.1. Gli amministratori IT possono caricare nuove versioni di app già pubblicate privatamente nell'azienda utilizzando:
3.13. Gestione delle app private in self-hosting
Gli amministratori IT possono configurare e pubblicare app private ospitate autonomamente. A differenza delle app private ospitate da Google, Google Play non ospita gli APK. Al contrario, la soluzione EMM aiuta gli amministratori IT a ospitare gli APK e a proteggere le app auto-ospitate assicurando che possano essere installate solo se autorizzate dalla versione gestita di Google Play.
Gli amministratori IT possono visitare la pagina Supportare le app private per maggiori dettagli.
3.13.1. La console del provider EMM deve aiutare gli amministratori IT a ospitare l'APK dell'app, offrendo entrambe le seguenti opzioni:
- Ospitare l'APK sul server dell'EMM. Il server può essere on-premise o basato su cloud.
- Hosting dell'APK al di fuori del server EMM, a discrezione dell'amministratore IT. L'amministratore IT deve specificare nella console EMM in cui è ospitato l'APK.
3.13.2. La console EMM deve generare un file di definizione APK appropriato utilizzando l'APK fornito e deve guidare gli amministratori IT nella procedura di pubblicazione.
3.13.3. Gli amministratori IT possono aggiornare le app private self-hosted e la console EMM può pubblicare in silenzio i file di definizione APK aggiornati utilizzando l'API Google Play Developer Publishing.
3.13.4. Il server EMM gestisce solo le richieste di download per l'APK self-hosted che contiene un JWT valido all'interno del cookie della richiesta, come verificato dalla chiave pubblica dell'app privata.
- Per semplificare questa procedura, il server EMM deve guidare gli amministratori IT a scaricare la chiave pubblica della licenza dell'app auto-ospitata da Google Play Console e caricarla nella console EMM.
3.14. Notifiche pull EMM
Anche se non esegui query periodicamente su Google Play per identificare eventi passati come un aggiornamento dell'app che contiene nuove autorizzazioni o configurazioni gestite, le notifiche pull EMM informano in modo proattivo gli EMM di questi eventi in tempo reale, consentendo loro di eseguire azioni automatiche e di fornire notifiche amministrative personalizzate in base a questi eventi.
3.14.1. L'EMM deve utilizzare le notifiche EMM di Google Play per estrarre insiemi di notifiche.
3.14.2. La soluzione EMM deve notificare automaticamente a un amministratore IT (ad esempio tramite un'email automatica) i seguenti eventi di notifica:
newPermissionEvent: richiede l'approvazione di un amministratore IT per le nuove autorizzazioni dell'app prima che l'app possa essere installata o aggiornata silenziosamente sui dispositivi degli utenti.appRestrictionsSchemaChangeEvent: potrebbe essere necessario che l'amministratore IT aggiorni la configurazione gestita di un'app per mantenere l'efficienza prevista.appUpdateEvent: potrebbe interessare gli amministratori IT che vogliono verificare che le prestazioni principali del flusso di lavoro non siano interessate dall'aggiornamento dell'app.productAvailabilityChangeEvent: potrebbe influire sulla possibilità di installare l'app o di eseguire aggiornamenti dell'app.installFailureEvent: Google Play non è in grado di installare automaticamente un'app su un dispositivo, il che significa che potrebbe esserci qualcosa nella configurazione del dispositivo che impedisce l'installazione. Gli EMM non devono provare nuovamente immediatamente un'installazione silenziosa dopo aver ricevuto questa notifica, poiché la logica di ripetizione di Play avrà già avuto esito negativo.
3.14.3. La soluzione EMM esegue automaticamente le azioni appropriate in base ai seguenti eventi di notifica:
newDeviceEvent: durante il provisioning del dispositivo, le soluzioni EMM devono attenderenewDeviceEventprima di effettuare chiamate successive all'API Play EMM per il nuovo dispositivo, incluse le installazioni silenziose delle app e l'impostazione delle configurazioni gestite.productApprovalEvent: alla ricezione di una notificaproductApprovalEvent, il provider EMM deve aggiornare automaticamente l'elenco di app approvate importate nella console EMM per la distribuzione sui dispositivi se è presente una sessione di amministratore IT attiva o se l'elenco di app approvate non viene ricaricato automaticamente all'inizio di ogni sessione di amministrazione IT.
3.15. Requisiti per l'utilizzo delle API
La soluzione EMM implementa le API di Google su larga scala, evitando modelli di traffico che potrebbero influire negativamente sulla capacità degli amministratori IT di gestire le app negli ambienti di produzione.
3.15.1. Il provider EMM deve rispettare i limiti di utilizzo dell'API EMM di Google Play. Il mancato correzionamento di comportamenti che superano queste linee guida può comportare la sospensione dell'utilizzo dell'API, a discrezione di Google.
3.15.2. L'EMM deve distribuire il traffico di diverse aziende durante la giornata, anziché consolidare il traffico aziendale in momenti specifici o simili. Un comportamento che si adatta a questo pattern di traffico, ad esempio operazioni collettive pianificate per ogni dispositivo registrato, potrebbe comportare la sospensione dell'utilizzo dell'API, a discrezione di Google.
3.15.3. L'EMM non deve effettuare richieste coerenti, incomplete o deliberatamente errate che non tentano di recuperare o gestire i dati aziendali effettivi. Un comportamento che corrisponde a questo pattern di traffico può comportare la sospensione dell'utilizzo dell'API, a discrezione di Google.
3.16. Gestione avanzata della configurazione gestita
3.16.1. La console EMM deve essere in grado di recuperare e visualizzare le impostazioni di configurazione gestite (nidificate fino a quattro livelli) di qualsiasi app Google Play utilizzando:
- L'iframe della versione gestita di Google Play o
- un'interfaccia utente personalizzata.
3.16.2. La console EMM deve essere in grado di recuperare e visualizzare eventuali feedback restituito da un canale per i feedback dell'app , se configurato da un amministratore IT.
- La console del provider EMM deve consentire agli amministratori IT di associare un feedback specifico al dispositivo e all'app da cui ha avuto origine.
- La console dell'EMM deve consentire agli amministratori IT di sottoscrivere avvisi o report relativi a tipi di messaggi specifici (come i messaggi di errore).
3.16.3. La console EMM deve inviare solo valori che hanno un valore predefinito o che sono impostati manualmente dall'amministratore utilizzando:
- L'iframe delle configurazioni gestite
- Un'interfaccia utente personalizzata.
3.17. Gestione delle app web
Gli amministratori IT possono creare e distribuire app web nella console EMM.
3.17.1. Gli amministratori IT possono utilizzare la console EMM per distribuire le scorciatoie alle app web utilizzando:
3.18. Gestione del ciclo di vita degli account della versione gestita di Google Play
Il provider EMM può creare, aggiornare ed eliminare account Google Play gestiti per conto degli amministratori IT.
3.18.1. I provider EMM possono gestire il ciclo di vita di un account Google Play gestito in base alle linee guida di implementazione definite nella documentazione per gli sviluppatori dell'API Play EMM.
3.18.2. I provider EMM possono autenticare nuovamente gli account della versione gestita di Google Play senza l'interazione dell'utente.
3.19. Gestione dei canali delle applicazioni
3.19.1. Gli amministratori IT possono estrarre un elenco di ID traccia impostati da uno sviluppatore per una determinata app.
3.19.2. Gli amministratori IT possono impostare i dispositivi in modo che utilizzino un canale di sviluppo specifico per un'applicazione.
3.20. Gestione avanzata degli aggiornamenti delle applicazioni
3.20.1. Gli amministratori IT possono consentire alle app di utilizzare gli aggiornamenti delle app ad alta priorità per essere aggiornate quando è disponibile un aggiornamento.
3.20.2. Gli amministratori IT possono consentire di rimandare gli aggiornamenti delle app per 90 giorni.
3.21. Gestione dei metodi di provisioning
L'EMM può generare configurazioni di provisioning e presentarle all'amministratore IT in un modulo pronto per la distribuzione agli utenti finali (ad esempio codice QR, configurazione zero-touch, URL del Play Store).
4. Gestione dispositivi
4.1. Gestione dei criteri di autorizzazione di runtime
Gli amministratori IT possono impostare automaticamente una risposta predefinita alle richieste di autorizzazione di runtime effettuate dalle app di lavoro.
4.1.1. Quando impostano un criterio di autorizzazione di runtime predefinito per la propria organizzazione, gli amministratori IT devono essere in grado di scegliere tra le seguenti opzioni:
- prompt (consente agli utenti di scegliere)
- allow
- deny
L'EMM deve applicare queste impostazioni utilizzando il DPC dell'EMM.
4.2. Gestione dello stato di concessione delle autorizzazioni di runtime
Dopo aver impostato un criterio di autorizzazione di runtime predefinito (vai a 4.1.), Gli amministratori IT possono impostare in silenzio le risposte per autorizzazioni specifiche da qualsiasi app di lavoro creata sull'API 23 o versioni successive.
4.2.1. Gli amministratori IT devono essere in grado di impostare lo stato di approvazione (predefinito, concessa o rifiutata) di qualsiasi autorizzazione richiesta da qualsiasi app di lavoro creata sull'API 23 o versioni successive. L'EMM deve applicare queste impostazioni utilizzando il DPC dell'EMM.
4.3. Gestione della configurazione Wi-Fi
Gli amministratori IT possono eseguire il provisioning in silenzio delle configurazioni Wi-Fi aziendali sui dispositivi gestiti, tra cui:
4.3.1. SSID, utilizzando il DPC del provider EMM.
4.3.2. Password, utilizzando il DPC del provider EMM.
4.4. Gestione della sicurezza Wi-Fi
Gli amministratori IT possono eseguire il provisioning di configurazioni Wi-Fi aziendali sui dispositivi gestiti che includono le seguenti funzionalità di sicurezza avanzate:
4.4.1. Identity, utilizzando il DPC del provider EMM.
4.4.2. Certificato per l'autorizzazione dei client, utilizzando il DPC della EMM.
4.4.3. I certificati CA, utilizzando il DPC dell'EMM.
4.5. Gestione avanzata del Wi-Fi
Gli amministratori IT possono bloccare le configurazioni Wi-Fi sui dispositivi gestiti per impedire agli utenti di creare configurazioni o modificare quelle aziendali.
4.5.1. Gli amministratori IT possono bloccare le configurazioni Wi-Fi aziendali in una delle seguenti configurazioni:
- Gli utenti non possono modificare nessuna configurazione Wi-Fi di cui è stato eseguito il provisioning da parte dell'EMM, ma possono aggiungere e modificare le proprie reti configurabili dall'utente (ad esempio le reti personali).
- Gli utenti non possono aggiungere o modificare alcuna rete Wi-Fi sul dispositivo, limitando la connettività Wi-Fi solo alle reti provisionate dalla soluzione EMM.
4.6. Gestione account
Gli amministratori IT possono assicurarsi che gli account aziendali non autorizzati non possano interagire con i dati aziendali, per servizi come archiviazione SaaS, app di produttività o email. Senza questa funzionalità, gli account personali possono essere aggiunti alle app aziendali che supportano anche gli account consumer, consentendo di condividere i dati aziendali con questi account personali.
4.6.1. Gli amministratori IT possono impedire l'aggiunta o la modifica degli account.
- Quando viene applicato questo criterio su un dispositivo, gli EMM devono impostare questa limitazione prima del completamento del provisioning, per assicurarsi che non sia possibile aggirare questo criterio aggiungendo account prima dell'applicazione.
4.7. Gestione dell'account Workspace
Gli amministratori IT possono assicurarsi che gli Account Google non autorizzati non possano interagire con i dati aziendali. Senza questa funzionalità, gli Account Google personali possono essere aggiunti alle app Google aziendali (ad esempio Documenti Google o Google Drive), consentendo loro di condividere i dati aziendali con gli account personali.
4.7.1. Gli amministratori IT possono specificare gli Account Google da attivare durante il provisioning, dopo l'applicazione del blocco della gestione dell'account.
4.7.2. Il DPC del provider EMM deve chiedere di attivare l'Account Google e assicurarsi che possa essere attivato solo l'account specifico specificando l'account da aggiungere.
- Sui dispositivi precedenti ad Android 7.0, il PDC deve disattivare temporaneamente la limitazione di gestione dell'account prima di chiedere conferma all'utente.
4.8. Gestione dei certificati
Consente agli amministratori IT di eseguire il deployment di certificati di identità e autorità di certificazione sui dispositivi per consentire l'accesso alle risorse aziendali.
4.8.1. Gli amministratori IT possono installare i certificati di identità utente generati dalla loro PKI su base per utente. La console EMM deve essere integrata con almeno una PKI e distribuire i certificati generati da quell'infrastruttura.
4.8.2. Gli amministratori IT possono installare le autorità di certificazione nell'archivio chiavi gestito.
4.9. Gestione avanzata dei certificati
Consente agli amministratori IT di selezionare automaticamente i certificati che devono essere utilizzati da specifiche app gestite. Questa funzionalità consente inoltre agli amministratori IT di rimuovere le CA e le certificazioni di identità dai dispositivi attivi. Questa funzionalità impedisce agli utenti di modificare le credenziali archiviate nell'archivio chiavi gestito.
4.9.1. Per qualsiasi app distribuita su dispositivi, gli amministratori IT possono specificare un certificato a cui verrà concesso in modalità silenziosa l'accesso all'app durante il runtime.
- La selezione dei certificati deve essere sufficientemente generica da consentire una singola configurazione applicata a tutti gli utenti, ognuno dei quali può avere un certificato di identità specifico.
4.9.2. Gli amministratori IT possono rimuovere i certificati in modo silenzioso dal keystore gestito.
4.9.3. Gli amministratori IT possono disinstallare un certificato CA o tutti i certificati CA non di sistema in modalità silenziosa.
4.9.4. Gli amministratori IT possono impedire agli utenti di configurare le credenziali nel keystore gestito.
4.9.5. Gli amministratori IT possono pre-concedere certificati per le app di lavoro.
4.10. Gestione dei certificati delegata
Gli amministratori IT possono distribuire un'app di gestione dei certificati di terze parti sui dispositivi e concedere all'app l'accesso privilegiato per installare i certificati nell'archivio chiavi gestito.
4.10.1. Gli amministratori IT specificano un pacchetto di gestione dei certificati da impostare come app di gestione dei certificati delegata dal DPC.
- La console può facoltativamente suggerire pacchetti di gestione dei certificati noti, ma deve consentire all'amministratore IT di scegliere dall'elenco di app disponibili per l'installazione per gli utenti applicabili.
4.11. Gestione VPN avanzata
Consente agli amministratori IT di specificare una VPN sempre attiva per garantire che i dati di app gestite specificate passino sempre attraverso una VPN configurata.
4.11.1. Gli amministratori IT possono specificare un pacchetto VPN arbitrario da impostare come VPN sempre attiva.
- La console EMM può, facoltativamente, suggerire pacchetti VPN noti che supportano la VPN sempre attiva, ma non può limitare le VPN disponibili per la configurazione della VPN sempre attiva a un elenco arbitrario.
4.11.2. Gli amministratori IT possono utilizzare le configurazioni gestite per specificare le impostazioni VPN per un'app.
4.12. Gestione dell'IME
Gli amministratori IT possono gestire i metodi di immissione (IME) configurabili per i dispositivi. Poiché l'IME è condiviso tra i profili di lavoro e personali, il blocco dell'utilizzo degli IME impedirà di utilizzarli anche per uso personale. Tuttavia, gli amministratori IT non possono bloccare gli IME di sistema nei profili di lavoro (per maggiori dettagli, vai alla gestione avanzata dell'IME).
4.12.1. Gli amministratori IT possono configurare una lista consentita di IME di lunghezza arbitraria (incluso un elenco vuoto che blocca gli IME non di sistema), che può contenere pacchetti IME arbitrari.
- La console EMM può facoltativamente suggerire IME noti o consigliati da includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco delle app disponibili per l'installazione per gli utenti applicabili.
4.12.2. L'EMM deve comunicare agli amministratori IT che gli IME di sistema sono esclusi dalla gestione sui dispositivi con profili di lavoro.
4.13. Gestione IME avanzata
Gli amministratori IT possono gestire i metodi di immissione (IME) che possono essere configurati per i dispositivi. La gestione avanzata dell'IME estende la funzionalità di base consentendo agli amministratori IT di gestire anche l'utilizzo degli IME di sistema, che in genere vengono forniti dal produttore o dall'operatore del dispositivo.
4.13.1. Gli amministratori IT possono configurare una lista consentita di IME di lunghezza arbitraria (escluso un elenco vuoto, che blocca tutti gli IME, inclusi quelli di sistema), che può contenere pacchetti IME arbitrari.
- La console dell'EMM può facoltativamente suggerire IME noti o consigliati da includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco di app disponibili per l'installazione per gli utenti interessati.
4.13.2. I fornitori EMM devono impedire agli amministratori IT di configurare una lista consentita vuota, poiché questa impostazione impedirà la configurazione di tutti gli IME, inclusi quelli di sistema, sul dispositivo.
4.13.3. Se una lista consentita di IME non contiene IME di sistema, gli EMM devono garantire che questi vengano installati automaticamente prima che la lista consentita venga applicata al dispositivo.
4.14. Gestione dei servizi di accessibilità
Gli amministratori IT possono gestire i servizi di accessibilità consentiti sui dispositivi degli utenti. Sebbene i servizi di accessibilità siano strumenti efficaci per gli utenti con disabilità o per coloro che non sono temporaneamente in grado di interagire completamente con il proprio dispositivo, potrebbero interagire con i dati aziendali in modi non conformi alle norme aziendali. Questa funzionalità consente agli amministratori IT di disattivare qualsiasi servizio di accessibilità non di sistema.
4.14.1. Gli amministratori IT possono configurare una lista consentita di servizi di accessibilità di lunghezza arbitraria (incluso un elenco vuoto, che blocca i servizi di accessibilità non di sistema), che può contenere qualsiasi pacchetto arbitrario di servizi di accessibilità. Se applicata a un profilo di lavoro, influisce sia sul profilo personale sia sul profilo di lavoro.
- Se vuoi, la console può suggerire servizi di accessibilità noti o consigliati da includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco di app disponibili per l'installazione per gli utenti applicabili.
4.15. Gestione della Condivisione della posizione
Gli amministratori IT possono impedire agli utenti di condividere i dati sulla posizione con le app nel profilo di lavoro. In caso contrario, l'impostazione relativa alla località per i profili di lavoro può essere configurata in Impostazioni.
4.15.1. Gli amministratori IT possono disattivare i servizi di geolocalizzazione all'interno del profilo di lavoro.
4.16. Gestione avanzata della Condivisione della posizione
Gli amministratori IT possono applicare una determinata impostazione di Condivisione della posizione su un dispositivo gestito. Questa funzionalità può garantire che le app aziendali abbiano sempre accesso a dati sulla posizione di elevata precisione. Questa funzionalità può anche garantire che la batteria aggiuntiva non venga consumata limitando le impostazioni di geolocalizzazione alla modalità di risparmio energetico.
4.16.1. Gli amministratori IT possono impostare i servizi di geolocalizzazione del dispositivo su ciascuna delle seguenti modalità:
- Alta precisione.
- Solo sensori, ad esempio GPS, ma esclusa la posizione fornita dalla rete.
- Risparmio batteria, che limita la frequenza di aggiornamento.
- Disattivato.
4.17. Ripristino dei dati di fabbrica della gestione della protezione
Consente agli amministratori IT di proteggere i dispositivi di proprietà dell'azienda dal furto garantendo che gli utenti non autorizzati non possano ripristinare i dati di fabbrica dei dispositivi. Se la protezione ripristino dati di fabbrica comporta complessità operative quando i dispositivi vengono restituiti al reparto IT, gli amministratori IT possono anche disattivare completamente la protezione ripristino dati di fabbrica.
4.17.1. Gli amministratori IT possono impedire agli utenti di ripristinare le impostazioni di fabbrica del dispositivo dalle Impostazioni.
4.17.2. Gli amministratori IT possono specificare gli account di sblocco aziendale autorizzati a eseguire il provisioning dei dispositivi dopo un ripristino dei dati di fabbrica.
- Questo account può essere associato a una persona o utilizzato dall'intera azienda per sbloccare i dispositivi.
4.17.3. Gli amministratori IT possono disattivare la protezione ripristino dati di fabbrica per dispositivi specifici.
4.17.4. Gli amministratori IT possono avviare una cancellazione dei dati del dispositivo da remoto che, facoltativamente, cancella i dati della protezione ripristino,rimuovendo così la protezione ripristino dei dati di fabbrica sul dispositivo di ripristino.
4.18. Controllo avanzato delle app
Gli amministratori IT possono impedire all'utente di disinstallare o modificare in altro modo le app gestite tramite le Impostazioni, ad esempio forzando la chiusura dell'app o svuotando la cache dei dati dell'app.
4.18.1. Gli amministratori IT possono bloccare la disinstallazione di app gestite arbitrarie o di tutte le app gestite.
4.18.2. Gli amministratori IT possono impedire agli utenti di modificare i dati delle applicazioni da Impostazioni.
4.19. Gestione delle acquisizioni dello schermo
Gli amministratori IT possono impedire agli utenti di acquisire screenshot quando utilizzano app gestite. Questa impostazione include il blocco delle app di condivisione schermo e di app simili (come l'Assistente Google) che utilizzano le funzionalità di screenshot di sistema.
4.19.1. Gli amministratori IT possono impedire agli utenti di acquisire screenshot.
4,20. Disattivare le fotocamere
Gli amministratori IT possono disattivare l'utilizzo delle fotocamere dei dispositivi da parte delle app gestite.
4.20.1. Gli amministratori IT possono disattivare l'uso delle fotocamere dei dispositivi da parte delle app gestite.
4.21. Raccolta delle statistiche di rete
Gli amministratori IT possono eseguire query sulle statistiche sull'utilizzo della rete dal profilo di lavoro di un dispositivo. Le statistiche raccolte riflettono i dati sull'utilizzo condivisi con gli utenti nella sezione Utilizzo dei dati di Impostazioni. Le statistiche raccolte sono applicabili all'utilizzo delle app all'interno del profilo di lavoro.
4.21.1. Gli amministratori IT possono eseguire query sul riepilogo delle statistiche di rete relative a un profilo di lavoro per un determinato dispositivo e a una finestra temporale configurabile, nonché visualizzare questi dettagli nella console EMM.
4.21.2. Gli amministratori IT possono eseguire query su un riepilogo di un'app nelle statistiche sull'utilizzo della rete del profilo di lavoro, per un determinato dispositivo e una finestra temporale configurabile, nonché visualizzare questi dettagli organizzati per UID nella console EMM.
4.21.3. Gli amministratori IT possono eseguire query sui dati storici relativi all'utilizzo della rete di un profilo di lavoro per un determinato dispositivo e una finestra temporale configurabile e visualizzare questi dettagli organizzati per UID nella console EMM.
4.22. Raccolta di statistiche di rete avanzate
Gli amministratori IT possono eseguire query sulle statistiche sull'utilizzo della rete per un intero dispositivo gestito. Le statistiche raccolte riflettono i dati di utilizzo condivisi con gli utenti nella sezione Utilizzo dei dati delle Impostazioni. Le statistiche raccolte si applicano all'utilizzo delle app sul dispositivo.
4.22.1. Gli amministratori IT possono eseguire query sul riepilogo delle statistiche di rete per un intero dispositivo, per un determinato dispositivo e per una finestra temporale configurabile, e visualizzare questi dettagli nella console dell'EMM.
4.22.2. Gli amministratori IT possono eseguire query su un riepilogo delle statistiche sull'utilizzo della rete delle app per un determinato dispositivo e una finestra temporale configurabile e visualizzare questi dettagli organizzati per UID nella console EMM.
4.22.3. Gli amministratori IT possono eseguire query sui dati storici relativi all'utilizzo della rete per un determinato dispositivo e una finestra temporale configurabile e visualizzare questi dettagli organizzati per UID nella console EMM.
4.23. Riavvia il dispositivo
Gli amministratori IT possono riavviare da remoto i dispositivi gestiti.
4.23.1. Gli amministratori IT possono riavviare da remoto un dispositivo gestito.
4.24. Gestione della radio di sistema
Consente agli amministratori IT di gestire in modo granulare le radio di rete di sistema e i criteri di utilizzo associati.
4.24.1. Gli amministratori IT possono disattivare le trasmissioni su rete mobile inviate dai fornitori di servizi (ad esempio gli avvisi AMBER).
4.24.2. Gli amministratori IT possono impedire agli utenti di modificare le impostazioni della rete mobile nelle Impostazioni.
4.24.3. Gli amministratori IT possono impedire agli utenti di reimpostare le impostazioni di rete in Impostazioni.
4.24.4. Gli amministratori IT possono consentire o non consentire i dati mobili durante il roaming .
4.24.5. Gli amministratori IT possono stabilire se il dispositivo può effettuare chiamate in uscita, escluse le chiamate di emergenza.
4.24.6. Gli amministratori IT possono scegliere se un dispositivo può inviare e ricevere SMS.
4.24.7. Gli amministratori IT possono impedire agli utenti di utilizzare il proprio dispositivo come hotspot portatile tramite tethering.
4.24.8. Gli amministratori IT possono impostare il timeout del Wi-Fi su quello predefinito, solo quando è collegato alla corrente o mai.
4.24.9. Gli amministratori IT possono impedire agli utenti di configurare o modificare le connessioni Bluetooth esistenti.
4,25. Gestione dell'audio di sistema
Gli amministratori IT possono gestire in modo invisibile le funzionalità audio dei dispositivi, ad esempio disattivando l'audio del dispositivo, impedendo agli utenti di modificare le impostazioni del volume e impedendo agli utenti di riattivare il microfono del dispositivo.
4.25.1. Gli amministratori IT possono disattivare l'audio dei dispositivi gestiti in modo silenzioso.
4.25.2. Gli amministratori IT possono impedire agli utenti di modificare le impostazioni del volume dei dispositivi.
4.25.3. Gli amministratori IT possono impedire agli utenti di attivare il microfono del dispositivo.
4.26. Gestione dell'orologio di sistema
Gli amministratori IT possono gestire le impostazioni dell'orologio e del fuso orario del dispositivo e impedire agli utenti di modificare le impostazioni automatiche del dispositivo.
4.26.1. Gli amministratori IT possono applicare l'ora automatica del sistema, impedendo all'utente di impostare la data e l'ora del dispositivo.
4.26.2. Gli amministratori IT possono disattivare o attivare in silenzio sia l'ora automatica sia il fuso orario automatico.
4.27. Funzionalità avanzate per dispositivi dedicati
Offre agli amministratori IT la possibilità di gestire funzionalità dei dispositivi dedicati più granulari per supportare vari casi d'uso dei chioschi.
4.27.1. Gli amministratori IT possono disattivare il blocco della tastiera del dispositivo.
4.27.2. Gli amministratori IT possono disattivare la barra di stato del dispositivo, bloccando le notifiche e le Impostazioni rapide.
4.27.3. Gli amministratori IT possono forzare lo schermo del dispositivo a rimanere attivo mentre il dispositivo è collegato alla corrente.
4.27.4. Gli amministratori IT possono impedire la visualizzazione delle seguenti UI di sistema:
- Auguri
- Overlay delle applicazioni.
4.27.5. Gli amministratori IT possono consentire al consiglio del sistema per le app di saltare il tutorial per l'utente e altri suggerimenti introduttivi alla prima esecuzione.
4.28. Gestione dell'ambito con delega
Gli amministratori IT possono delegare privilegi aggiuntivi a singoli pacchetti.
4.28.1. Gli amministratori IT possono gestire i seguenti ambiti:
- Installazione e gestione dei certificati
- Vuoto deliberatamente
- Log di rete
- Log di sicurezza (non supportato per il profilo di lavoro su dispositivo di proprietà personale)
4.29. Supporto per l'ID specifico per l'iscrizione
A partire da Android 12, i profili di lavoro non avranno più accesso agli identificatori specifici dell'hardware. Gli amministratori IT possono seguire il ciclo di vita di un dispositivo con un profilo di lavoro tramite l'ID specifico della registrazione, che rimane invariato anche dopo i ripristini dei dati di fabbrica.
4.29.1. Gli amministratori IT possono impostare e ottenere un ID specifico per la registrazione
4.29.2. Questo ID specifico per la registrazione deve essere mantenuto anche dopo un ripristino dei dati di fabbrica.
5. Usabilità del dispositivo
5.1. Personalizzazione del provisioning gestito
Gli amministratori IT possono modificare l'esperienza utente del flusso di configurazione predefinito per includere funzionalità specifiche dell'azienda. Se vuoi, gli amministratori IT possono mostrare il branding fornito dall'EMM durante il provisioning.
5.1.1. Gli amministratori IT possono personalizzare la procedura di provisioning specificando i seguenti dettagli specifici dell'azienda: colore dell'azienda, logo dell'azienda, termini di servizio dell'azienda e altri disclaimer.
5.1.2. Gli amministratori IT possono implementare una personalizzazione non configurabile specifica per l'EMM che include i seguenti dettagli: colore EMM, logo EMM, termini di servizio EMM e altri disclaimer.
La versione 5.1.3 [primaryColor] è stata ritirata per la risorsa aziendale su Android 10 e versioni successive.
- Gli EMM devono includere i Termini di servizio per il provisioning e altri disclaimer per il flusso di provisioning nel bundle di disclaimer per il provisioning del sistema, anche se la personalizzazione specifica per l'EMM non viene utilizzata.
- Gli EMM possono impostare la propria personalizzazione non configurabile specifica per l'EMM come predefinita per tutti i deployment, ma devono consentire agli amministratori IT di configurare la propria personalizzazione.
5.2. Personalizzazione aziendale
Gli amministratori IT possono personalizzare aspetti del profilo di lavoro con il branding aziendale. Ad esempio, gli amministratori IT possono impostare l'icona utente nel profilo di lavoro sul logo aziendale. Un altro esempio è l'impostazione del colore di sfondo della sfida lavorativa.
5.2.1. Gli amministratori IT possono impostare il colore dell'organizzazione da utilizzare come colore di sfondo della sfida di lavoro.
5.2.2. Gli amministratori IT possono impostare il nome visualizzato del profilo di lavoro.
5.2.3. Gli amministratori IT possono impostare l'icona utente del profilo di lavoro.
5.2.4. Gli amministratori IT possono impedire all'utente di modificare l'icona dell'utente del profilo di lavoro.
5.3. Personalizzazione aziendale avanzata
Gli amministratori IT possono personalizzare i dispositivi gestiti con il branding aziendale. Ad esempio, gli amministratori IT possono impostare l'icona dell'utente principale sul logo aziendale o impostare lo sfondo del dispositivo.
5.3.1. Gli amministratori IT possono impostare il nome visualizzato per il dispositivo gestito.
5.3.2. Gli amministratori IT possono impostare l'icona utente del dispositivo gestito.
5.3.3. Gli amministratori IT possono impedire all'utente di modificare l'icona utente del dispositivo.
5.3.4. Gli amministratori IT possono impostare lo sfondo del dispositivo.
5.3.5. Gli amministratori IT possono impedire all'utente di modificare lo sfondo del dispositivo.
5.4. Messaggi della schermata di blocco
Gli amministratori IT possono impostare un messaggio personalizzato che viene sempre visualizzato nella schermata di blocco del dispositivo e che non richiede lo sblocco del dispositivo per essere visualizzato.
5.4.1. Gli amministratori IT possono impostare un messaggio personalizzato per la schermata di blocco.
5.5. Gestione della trasparenza delle norme
Gli amministratori IT possono personalizzare il testo di aiuto fornito agli utenti quando modificano le impostazioni gestite sul proprio dispositivo oppure eseguire il deployment di un messaggio di assistenza generico fornito dall'EMM. I messaggi di assistenza brevi e lunghi possono essere personalizzati. Questi messaggi vengono visualizzati in situazioni come i tentativi di disinstallazione di un'app gestita per cui un amministratore IT ha già bloccato la disinstallazione.
5.5.1. Gli amministratori IT possono personalizzare sia i messaggi di assistenza brevi che lunghi.
5.5.2. Gli amministratori IT possono implementare messaggi di assistenza brevi e lunghi non configurabili specifici per EMM.
- L'EMM può impostare come predefiniti per tutti i deployment i propri messaggi di assistenza non configurabili specifici per l'EMM, ma deve consentire agli amministratori IT di configurare i propri messaggi.
5.6. Gestione dei contatti tra più profili
Gli amministratori IT possono stabilire quali dati di contatto possono lasciare il profilo di lavoro. Sia le app di telefonia sia quelle di messaggistica (SMS) devono essere eseguite nel profilo personale e richiedono l'accesso ai dati di contatto del profilo di lavoro per offrire efficienza ai contatti di lavoro, ma gli amministratori possono scegliere di disattivare queste funzionalità per proteggere i dati di lavoro.
5.6.1. Gli amministratori IT possono disattivare la ricerca dei contatti tra profili per le app personali che utilizzano il provider di contatti di sistema.
5.6.2. Gli amministratori IT possono disattivare la ricerca dell'ID chiamante tra profili per le app di tastiera personale che utilizzano il provider di contatti di sistema.
5.6.3. Gli amministratori IT possono disattivare la condivisione dei contatti Bluetooth con i dispositivi Bluetooth che utilizzano il provider dei contatti di sistema, ad esempio le chiamate in vivavoce nelle auto o negli auricolari.
5.7. Gestione dei dati tra più profili
Consente agli amministratori IT di gestire i dati che possono lasciare il profilo di lavoro, oltre alle funzionalità di sicurezza predefinite del profilo. Con questa funzionalità, gli amministratori IT possono consentire tipi selezionati di condivisione dei dati tra profili per migliorare l'usabilità nei casi d'uso principali. Gli amministratori IT possono anche proteggere ulteriormente i dati aziendali con altri bloccati.
5.7.1. Gli amministratori IT possono configurare filtri di intent tra profili in modo che le app personali possano risolvere gli intent dal profilo di lavoro, ad esempio intent di condivisione o link web.
- Se vuoi, la console può suggerire filtri di intent noti o consigliati per la configurazione, ma non può limitare i filtri di intent a un elenco arbitrario.
5.7.2. Gli amministratori IT possono consentire le app gestite che possono mostrare i widget nella schermata Home.
- La console EMM deve fornire agli amministratori IT la possibilità di scegliere dall'elenco delle app disponibili per l'installazione per gli utenti idonei.
5.7.3. Gli amministratori IT possono bloccare l'utilizzo del copia/incolla tra il profilo di lavoro e quello personale.
5.7.4. Gli amministratori IT possono impedire agli utenti di condividere dati dal profilo di lavoro utilizzando la trasmissione NFC.
5.7.5. Gli amministratori IT possono consentire alle app personali di aprire link web dal profilo di lavoro.
5.8. Criterio di aggiornamento di sistema
Gli amministratori IT possono configurare e applicare aggiornamenti di sistema over-the-air (OTA) per i dispositivi.
5.8.1. La console EMM consente agli amministratori IT di impostare le seguenti configurazioni OTA:
- Automatico: i dispositivi installano gli aggiornamenti OTA quando diventano disponibili.
- Rimanda: gli amministratori IT devono essere in grado di posticipare l'aggiornamento OTA fino a un massimo di 30 giorni. Questo criterio non influisce sugli aggiornamenti della sicurezza (ad esempio le patch di sicurezza mensili).
- Con finestra temporale: gli amministratori IT devono essere in grado di pianificare gli aggiornamenti OTA entro un periodo di manutenzione giornaliera.
5.8.2. Il DPC dell'EMM applica le configurazioni OTA ai dispositivi.
5.9. Gestione della modalità di blocco attività
Gli amministratori IT possono bloccare un'app o un insieme di app sullo schermo e assicurarsi che gli utenti non possano uscire dall'app.
5.9.1. La console EMM consente agli amministratori IT di consentire in modo silenzioso l'installazione e il blocco di un insieme arbitrario di app su un dispositivo. Il PDP dell'EMM consente la modalità del dispositivo dedicato.
5.10. Gestione delle attività preferite permanenti
Consente agli amministratori IT di impostare un'app come gestore dell'intent predefinito per gli intent che corrisponde a un determinato filtro per intent. Ad esempio, consentire agli amministratori IT di scegliere quale app browser apre automaticamente i link web o quale app Avvio app viene utilizzata quando si tocca il pulsante Home.
5.10.1. Gli amministratori IT possono impostare qualsiasi pacchetto come gestore dell'intent predefinito per qualsiasi filtro dell'intent arbitrario.
- La console EMM può facoltativamente suggerire intent noti o consigliati per la configurazione, ma non può limitarli a un elenco arbitrario.
- La console EMM deve consentire agli amministratori IT di scegliere dall'elenco di app disponibili per l'installazione per gli utenti idonei.
5.11. Gestione delle funzionalità della schermata di blocco
- agenti di attendibilità
- sblocco con l'impronta
- notifiche non oscurate
5.11.2. Il DPC del provider EMM può disattivare le seguenti funzionalità di blocco della tastiera nel profilo di lavoro:
- agenti di attendibilità
- sblocco con l'impronta
5.12. Gestione avanzata delle funzionalità di blocco della tastiera
- Videocamera sicura
- Tutte le notifiche
- Notifiche non oscurate
- Agenti di attendibilità
- Sblocco con l'impronta
- Tutte le funzionalità della schermata di blocco
5.13. Debug remoto
Gli amministratori IT possono recuperare le risorse di debug dai dispositivi senza richiedere passaggi aggiuntivi.
5.13.1. Gli amministratori IT possono richiedere segnalazioni di bug da remoto, visualizzarle dalla console EMM e scaricarle dalla console EMM.
5.14. Recupero dell'indirizzo MAC
Gli EMM possono recuperare in silenzio l'indirizzo MAC di un dispositivo. L'indirizzo MAC può essere utilizzato per identificare i dispositivi in altre parti dell'infrastruttura aziendale (ad esempio per identificare i dispositivi per il controllo dell'accesso alla rete).
5.14.1. L'EMM può recuperare automaticamente l'indirizzo MAC di un dispositivo e può associarlo al dispositivo nella console dell'EMM.
5.15. Gestione avanzata della modalità di blocco attività
Quando un dispositivo è configurato come dispositivo dedicato, gli amministratori IT possono utilizzare la console del fornitore EMM per eseguire le seguenti attività:
5.15.1. Consenti in silenzio a una singola app di bloccarsi su un dispositivo utilizzando il DPC dell'EMM.
5.15.2. Attiva o disattiva le seguenti funzionalità dell'interfaccia utente di sistema utilizzando il DPC dell'EMM:
- Pulsante Home
- Panoramica
- Azioni globali
- Notifiche
- Informazioni sul sistema / barra di stato
- Keyguard (schermata di blocco)
5.15.3. Disattiva le finestre di dialogo di errore di sistema utilizzando il DPC dell'EMM.
5.16. Criterio di aggiornamento di sistema avanzato
Gli amministratori IT possono bloccare gli aggiornamenti di sistema su un dispositivo per un periodo di blocco specificato.
5.16.1. Il DPC dell'EMM può applicare aggiornamenti di sistema over-the-air (OTA) ai dispositivi per un periodo di blocco specificato.
5.17. Gestione della trasparenza delle norme del profilo di lavoro
Gli amministratori IT possono personalizzare il messaggio visualizzato agli utenti quando viene rimosso il profilo di lavoro da un dispositivo.
5.17.1. Gli amministratori IT possono fornire un testo personalizzato da visualizzare quando viene cancellato un profilo di lavoro.
5.18. Supporto delle app collegate
Gli amministratori IT possono impostare un elenco di pacchetti che possono comunicare oltre il confine del profilo di lavoro.
5.19. Aggiornamenti di sistema manuali
Gli amministratori IT possono installare un aggiornamento di sistema manualmente fornendo un percorso.
6. Ritiro di Amministrazione dispositivo
6.1. Ritiro di Amministrazione dispositivo
Gli EMM sono tenuti a pubblicare un piano entro la fine del 2022 per terminare l'assistenza clienti per Device Admin su dispositivi GMS entro la fine del primo trimestre del 2023.
7. Utilizzo delle API
7.1. Policy Controller standard per le nuove associazioni
Per impostazione predefinita, i dispositivi devono essere gestiti utilizzando Android Device Policy per eventuali nuove associazioni. I provider EMM possono offrire la possibilità di gestire i dispositivi utilizzando un DPC personalizzato in un'area delle impostazioni, con l'intestazione "Avanzate" o una terminologia simile. I nuovi clienti non devono essere esposti a una scelta arbitraria tra gli stack tecnologici durante qualsiasi flusso di lavoro di onboarding o configurazione.
7.2. Controller dei criteri standard per i nuovi dispositivi
Per impostazione predefinita, i dispositivi devono essere gestiti utilizzando Android Device Policy per tutte le registrazioni di nuovi dispositivi, sia per le associazioni esistenti che per quelle nuove. Le soluzioni EMM possono offrire la possibilità di gestire i dispositivi utilizzando un DPC personalizzato in un'area delle impostazioni sotto la voce "Avanzate" o una terminologia simile.