Android Enterprise – lista funkcji

1.1.1. Numer DPC dostawcy usług EMM musi być dostępny publicznie w Google Play, aby użytkownicy mogli go zainstalować po swojej stronie.

1.1.2. Po zainstalowaniu DPC musi przeprowadzić użytkownika przez proces udostępniania profilu służbowego.

1.1.3. Po zakończeniu obsługi administracyjnej urządzenia żadne funkcje zarządzania nie mogą pozostać po stronie osobistej urządzenia.

• Wszystkie zasady zastosowane podczas obsługi administracyjnej muszą zostać usunięte.
• Uprawnienia aplikacji muszą zostać unieważnione.
• Obraz DPC dostawcy usług EMM musi być co najmniej wyłączony po stronie użytkownika.

1.2.1. Numer DPC dostawcy usług EMM musi być publicznie dostępny w Google Play. DPC musi być możliwe do zainstalowania z poziomu kreatora konfiguracji urządzenia. Aby to zrobić, wpisz identyfikator DPC.

1.3.1. Dostawcy usług EMM muszą używać tagów forum NFC typu 2 z co najmniej 888 bajtami pamięci. Obsługa administracyjna musi używać dodatków, aby przekazywać do urządzenia niewrażliwe szczegóły rejestracji, takie jak identyfikatory serwera i rejestracje. Dane rejestracji nie powinny zawierać informacji poufnych, takich jak hasła czy certyfikaty.

1.3.2. Gdy DPC dostawcy usług EMM ustawi siebie jako właściciela urządzenia, DPC musi natychmiast się otworzyć i zablokować ekran, dopóki urządzenie nie zostanie w pełni udostępnione.

1.4.1. Kod QR musi używać dodatków do obsługi administracyjnej, aby przekazywać do urządzenia niewrażliwe szczegóły rejestracji, takie jak identyfikatory serwera i rejestracji. Dane rejestracyjne nie mogą zawierać informacji poufnych, takich jak hasła czy certyfikaty.

1.4.2. Po skonfigurowaniu urządzenia przez kontroler DPC dostawcy usług DPC musi on od razu się otworzyć i zablokować ekran, dopóki urządzenie nie zostanie w pełni udostępnione.

1.5.1. Administratorzy IT mogą udostępniać urządzenia należące do firmy za pomocą metody rejestracji typu zero-touch, opisanej w artykule Rejestracja typu zero-touch dla administratorów IT.

1.6.1. Administratorzy IT mogą udostępnić urządzenia należące do firmy za pomocą metody rejestracji typu zero-touch, opisanej w artykule Rejestracja typu zero-touch dla administratorów IT.

1.6.2. Po skonfigurowaniu urządzenia przez DPC dostawcy usług EMM musi on natychmiast się otworzyć i zablokować ekran do czasu pełnego udostępnienia urządzenia.

• Nie dotyczy to urządzeń, które używają szczegółów rejestracji typu zero-touch do pełnego udostępniania w trybie dyskretnym (na przykład we wdrożeniu urządzeń specjalnych).

1.6.3. Korzystając ze szczegółów rejestracji, kontroler DPC dostawcy usług EMM musi zagwarantować, że niepowołani użytkownicy nie będą mogli przeprowadzić aktywacji po wywołaniu DPC. Aktywację należy ograniczyć do użytkowników w danej firmie.

1.6.4. Korzystając ze szczegółów rejestracji, DPC dostawcy usług EMM musi umożliwić administratorom IT wstępne wypełnienie danych rejestracyjnych (np. identyfikatorów serwera czy identyfikatorów rejestracji) oprócz informacji o unikalnych użytkownikach lub urządzeniach (np. nazwa użytkownika, hasło, token aktywacji), aby użytkownicy nie musieli podawać tych informacji podczas aktywacji urządzenia.

• Dostawcy usług EMM nie mogą uwzględniać w konfiguracji rejestracji typu zero-touch informacji poufnych, takich jak hasła czy certyfikaty.

1.8.1. Metoda obsługi administracyjnej konta Google zapewnia obsługę urządzenia należącego do firmy zgodnie ze zdefiniowanymi wskazówkami dotyczącymi implementacji.

1.8.2. Jeśli dostawca usług EMM nie może jednoznacznie zidentyfikować urządzenia jako zasobu firmowego, nie może udostępnić urządzenia bez pytania o zgodę podczas procesu obsługi administracyjnej. Ten prompt musi wymagać działania innego niż domyślne, np. zaznaczenia pola wyboru lub wybrania opcji menu innej niż domyślna. Zalecamy, aby dostawca usług EMM był w stanie zidentyfikować urządzenie jako zasób firmowy, więc prośba nie jest potrzebna.

1.10.1 Administratorzy IT mogą udostępnić urządzenie jako profil służbowy na urządzeniu należącym do firmy za pomocą kodu QR lub rejestracji typu zero-touch.

1.10.2 Administratorzy IT mogą ustawiać działania związane z zgodnością profili służbowych na urządzeniach należących do firmy.

1.10.3 Administratorzy IT mogą wyłączyć kamerę w profilu służbowym lub na całym urządzeniu.

1.10.4 Administratorzy IT mogą wyłączyć zrzuty ekranu w profilu służbowym lub na całym urządzeniu.

1.10.5 Administratorzy IT mogą tworzyć listy dozwolonych i blokowanych aplikacji, których nie można instalować w profilu osobistym.

2.1.1. Zasady muszą egzekwować ustawienia zarządzania funkcjami zabezpieczającymi urządzenia (parentProfilePasswordRequirements w przypadku profilu służbowego, wymagania dotyczące haseł w przypadku w pełni zarządzanych i dedykowanych urządzeń).

2.1.2. Złożoność haseł musi odpowiadać następującym złożonościom haseł:

• PASSWORD_COMPLEXITY_LOW – wzór lub kod PIN z powtarzającymi się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencjami.
• PASSWORD_COMPLEXITY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, haseł alfabetycznych lub alfanumerycznych o długości co najmniej 4
• PASSWORD_COMPLEXITY_HIGH – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, o długości co najmniej 8 lub haseł alfabetycznych i alfanumerycznych o długości co najmniej 6

2.2.1. Zasada musi wymuszać test zabezpieczający logowanie w profilu służbowym. Domyślnie administratorzy IT powinni ustawiać ograniczenia dla profilu służbowego tylko wtedy, gdy nie określono zakresu. Administratorzy IT mogą ustawiać to urządzenie na całym urządzeniu, określając zakres (patrz wymaganie 2.1)

2.1.2. Złożoność haseł powinna być zmapowana na następujące złożoność:

• PASSWORD_COMPLEXITY_LOW – wzór lub kod PIN z powtarzającymi się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencjami.
• PASSWORD_COMPLEXITY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, haseł alfabetycznych lub alfanumerycznych o długości co najmniej 4
• PASSWORD_COMPLEXITY_HIGH – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, o długości co najmniej 8 lub haseł alfabetycznych i alfanumerycznych o długości co najmniej 6

2.3.2. [celowo pusta]

2.3.3. Dla każdego ekranu blokady dostępnego na urządzeniu można skonfigurować następujące ustawienia cyklu życia hasła:

1. [celowo pusta]
2. [celowo pusta]
3. Maksymalna liczba nieudanych haseł przy wyczyszczeniu pamięci: określa, ile razy użytkownicy mogą wpisać nieprawidłowe hasło, zanim dane firmowe zostaną wyczyszczone z urządzenia. Administratorzy IT muszą mieć możliwość wyłączenia tej funkcji.

2.3.4. (Android 8.0 i nowsze) Czas oczekiwania na silne uwierzytelnianie: po okresie oczekiwania ustawionym przez administratora IT musi zostać podane silne hasło uwierzytelniające (np. kod PIN lub hasło). Po upływie tego czasu niesilne metody uwierzytelniania (np. odcisk palca czy rozpoznawanie twarzy) są wyłączone, dopóki urządzenie nie zostanie odblokowane silnym hasłem.

2.4.1. Administratorzy IT mogą wyłączać agenty zaufania Smart Lock niezależnie od tego, czy jest wyświetlana na każdym ekranie blokady urządzenia.

2.4.2. Administratorzy IT mogą selektywnie dopuszczać i konfigurować agenty zaufania Smart Lock, niezależnie dla każdego ekranu blokady dostępnego na urządzeniu, dla tych agentów zaufania: Bluetooth, NFC, miejsc, rozpoznawania twarzy, kontaktu z ciałem i głosu.

• Administratorzy IT mogą zmieniać dostępne parametry konfiguracji agenta zaufania.

2.5.1. DPC dostawcy usług EMM musi blokować urządzenia.

2.7.1. DPC dostawcy usług EMM musi blokować instalowanie aplikacji z nieznanych źródeł, w tym aplikacji zainstalowanych po stronie osobistych na każdym urządzeniu z Androidem 8.0 lub nowszym z profilem służbowym.

2.8.1. DPC dostawcy usług EMM musi domyślnie wyłączać uruchamianie w trybie awaryjnym.

2.8.2. Aby nie zakłócać działania urządzenia w żaden inny sposób, kontroler DPC EMM musi być od razu otwarty i zablokowany na ekranie podczas pierwszego uruchomienia podczas obsługi administracyjnej.

Aby zapewnić, że urządzenia z Androidem są prawidłowe, dostawca usług EMM używa interfejsu Play Integrity API.

2.9.1. DPC dostawcy usług EMM wdraża interfejs Play Integrity API podczas obsługi administracyjnej urządzenia i domyślnie udostępnia firmowe dane urządzenia dopiero wtedy, gdy zwrócona integralność urządzenia to MEETS_STRONG_INTEGRITY.

2.9.2. DPC EMM przeprowadza kolejną kontrolę Play Integrity za każdym razem, gdy urządzenie łączy się z serwerem EMM (konfigurowanym przez administratora IT). Serwer EMM sprawdzi informacje o pliku APK w odpowiedzi testu integralności oraz samej odpowiedzi, zanim zaktualizujesz zasady firmy na urządzeniu.

2.9.3. Administratorzy IT mogą konfigurować różne odpowiedzi związane z zasadami w zależności od wyniku kontroli integralności w Play, w tym blokowania obsługi administracyjnej, czyszczenia danych firmowych i umożliwiania kontynuacji rejestracji.

• Usługa EMM będzie egzekwować tę odpowiedź związaną z zasadą w przypadku każdej kontroli integralności.

2.11.1. DPC EMM wykorzystuje pamięć szyfrowaną na urządzeniu do wykonywania kluczowych funkcji zarządzania, zanim pamięć szyfrowana danymi logowania DPC zostanie odszyfrowana. Funkcje zarządzania dostępne podczas uruchamiania bezpośredniego muszą obejmować między innymi:

• Czyszczenie danych firmowych, w tym możliwość wyczyszczenia danych związanych z przywracaniem do ustawień fabrycznych.

2.11.2. Karta DPC EMM nie może udostępniać danych firmowych w pamięci szyfrowanej na urządzeniu.

2.12.1. Administratorzy IT mogą blokować użytkownikom możliwość podłączenia fizycznych nośników zewnętrznych na urządzeniach.

2.12.2. Administratorzy IT mogą blokować użytkownikom możliwość udostępniania danych z urządzenia za pomocą wiązki NFC. Ta podfunkcja jest opcjonalna, ponieważ funkcja wiązek NFC nie jest już obsługiwana w Androidzie 10 i nowszych.

2.13.1. Administratorzy IT mogą włączyć logowanie zabezpieczeń dla określonych urządzeń, a DPC dostawcy usług EMM musi mieć możliwość automatycznego pobierania dzienników zabezpieczeń i dzienników zabezpieczeń przed ponownym uruchomieniem.

2.13.2. Administratorzy IT mogą przeglądać dzienniki zabezpieczeń firmy dotyczące danego urządzenia i konfigurowalnego przedziału czasu w konsoli EMM.

3.1.1. Zarejestruj grupę kont zarządzanego Sklepu Google Play przy użyciu interfejsu Play EMM API.

3.1.2. Konsola EMM musi cicho udostępniać i konfigurować unikalny ESA dla każdej grupy.

3.2.1. DPC dostawcy usług EMM może dyskretnie udostępniać i aktywować konto zarządzanego Sklepu Google Play zgodnie ze zdefiniowanymi wskazówkami dotyczącymi implementacji. W ten sposób:

• Do urządzenia zostanie dodane konto zarządzanego Sklepu Google Play typu userAccount.
• Zarządzane konto Google Play typu userAccount musi mieć mapowanie 1:1 z rzeczywistymi użytkownikami w konsoli EMM.

3.4.1. DPC dostawcy usług EMM może dyskretnie udostępniać i aktywować konto zarządzanego Sklepu Google Play zgodnie ze zdefiniowanymi wskazówkami dotyczącymi implementacji. W ten sposób:

1. Do urządzenia zostanie dodane konto zarządzanego Sklepu Google Play typu userAccount.
2. Zarządzane konto Google Play typu userAccount musi mieć mapowanie 1:1 z rzeczywistymi użytkownikami w konsoli EMM.

3.5.1. Konsola EMM musi używać interfejsu Play EMM API, aby umożliwić administratorom IT instalowanie aplikacji służbowych na urządzeniach zarządzanych.

3.5.2. Konsola EMM musi używać interfejsu Play EMM API, aby umożliwić administratorom IT aktualizowanie aplikacji służbowych na urządzeniach zarządzanych.

3.6.1. Konsola EMM musi mieć możliwość pobierania i wyświetlania ustawień konfiguracji zarządzanej dowolnej aplikacji Google Play.

• Dostawcy usług EMM mogą wywołać metodę Products.getAppRestrictionsSchema , aby pobrać schemat konfiguracji zarządzanych aplikacji lub umieścić element iframe konfiguracji zarządzanych w konsoli EMM.

3.6.2. Konsola EMM musi pozwalać administratorom IT na ustawianie dowolnego typu konfiguracji (zgodnie z definicją w platformie Android) dla dowolnej aplikacji Google Play przy użyciu interfejsu Play EMM API.

3.6.3. Konsola EMM musi zezwalać administratorom IT na ustawianie symboli wieloznacznych (np. $username$ lub %emailAddress%), aby pojedyncza konfiguracja aplikacji, na przykład Gmail, mogła zostać zastosowana do wielu użytkowników. Element iframe konfiguracji zarządzanych automatycznie obsługuje to wymaganie.

3.7.1. W konsoli EMM można wyświetlić listę aplikacji zatwierdzonych do dystrybucji, takich jak:

• Aplikacje kupione w zarządzanym Sklepie Google Play
• Aplikacje prywatne widoczne dla administratorów IT
• Aplikacje zatwierdzone automatycznie

3.10.1. Administratorzy IT mogą wykonywać w konsoli EMM te czynności, aby dostosowywać układ zarządzanego Sklepu Google Play:

• Utwórz do 100 stron układu sklepu. Strony mogą mieć dowolną liczbę zlokalizowanych nazw stron.
• Utwórz do 30 klastrów dla każdej strony. Klastry mogą mieć dowolną liczbę zlokalizowanych nazw klastrów.
• Przypisz do każdego klastra maksymalnie 100 aplikacji.
• Do każdej strony dodaj maksymalnie 10 szybkich linków.
• Określ kolejność sortowania aplikacji w klastrze i klastrach na stronie.

3.11.1. W przypadku płatnych aplikacji zatwierdzonych dla firm konsola EMM musi wyświetlać:

• Liczba kupionych licencji.
• Liczba wykorzystanych licencji i liczba użytkowników korzystających z licencji.
• Liczba licencji dostępnych do dystrybucji.

3.11.2. Administratorzy IT mogą przypisywać licencje użytkownikom w sposób dyskretny bez wymuszania instalacji tej aplikacji na urządzeniach użytkowników.

3.12.1. Administratorzy IT mogą przesyłać nowe wersje aplikacji, które zostały już opublikowane prywatnie w firmie, przy użyciu:

Szczegółowe informacje dla administratorów IT znajdują się w artykule Pomoc dla aplikacji prywatnych.

3.13.1. Konsola EMM musi pomagać administratorom IT w hostowaniu pakietu APK aplikacji, udostępniając obie te opcje:

• Umieszczenie pakietu APK na serwerze EMM. Serwer może być lokalny lub działający w chmurze.
• Hostowanie pakietu APK poza serwerem EMM według uznania administratora IT. Administrator IT musi określić w konsoli EMM, gdzie jest hostowany plik APK.

3.13.2. Konsola EMM musi wygenerować odpowiedni plik definicji pakietu APK przy użyciu dostarczonego pliku APK i przeprowadzić administratorów IT przez proces publikowania.

3.13.3. Administratorzy IT mogą aktualizować własne aplikacje prywatne, a konsola EMM może dyskretnie publikować zaktualizowane pliki definicji pakietu APK przy użyciu interfejsu Google Play Developer Publishing API.

3.13.4. Serwer EMM obsługuje tylko żądania pobrania hostowanego pliku APK, który zawiera prawidłowy token JWT w pliku cookie żądania zweryfikowanym za pomocą klucza publicznego aplikacji prywatnej.

• Aby usprawnić ten proces, serwer EMM musi poprosić administratorów IT o pobranie klucza publicznego licencji Twojej aplikacji hostowanej z konsoli Google Play i przesłanie tego klucza do konsoli EMM.

3.14.1. Do pobierania zestawów powiadomień dostawca usług EMM musi używać powiadomień EMM z Google Play.

3.14.2. Usługi EMM muszą automatycznie powiadamiać administratora IT (na przykład w formie automatycznego e-maila) o tych zdarzeniach powiadomień:

• newPermissionEvent: wymaga, aby administrator IT zatwierdził nowe uprawnienia aplikacji, zanim będzie można ją dyskretnie zainstalować lub zaktualizować na urządzeniach użytkowników.
• appRestrictionsSchemaChangeEvent: może wymagać od administratora IT zaktualizowania konfiguracji zarządzanej aplikacji w celu zachowania odpowiednich funkcji.
• appUpdateEvent: to może być interesujące dla administratorów IT, którzy chcą sprawdzić, czy aktualizacja aplikacji nie wpływa na podstawowe funkcje przepływu pracy.
• productAvailabilityChangeEvent: może wpływać na możliwość instalowania aplikacji i pobierania aktualizacji.
• installFailureEvent: Google Play nie może dyskretnie zainstalować aplikacji na urządzeniu, co sugeruje, że coś w konfiguracji urządzenia uniemożliwia instalację. Dostawcy usług EMM nie powinni od razu ponawiać próby przeprowadzenia dyskretnej instalacji po otrzymaniu tego powiadomienia, ponieważ mechanizm ponawiania próby w Google Play już nie zadziałał.

3.14.3. EMM automatycznie podejmuje odpowiednie działania na podstawie następujących zdarzeń powiadomień:

• newDeviceEvent: podczas obsługi administracyjnej urządzenia dostawcy usług EMM muszą poczekać newDeviceEvent na kolejne wywołania interfejsu Play EMM API dla nowego urządzenia. Obejmuje to m.in. ciche instalacje aplikacji i konfigurowanie zarządzanych konfiguracji.
• productApprovalEvent: po otrzymaniu powiadomienia productApprovalEvent usługi EMM muszą automatycznie zaktualizować listę zatwierdzonych aplikacji zaimportowanych do konsoli EMM, aby umożliwić rozpowszechnianie ich na urządzeniach w przypadku aktywnej sesji administratora IT lub w przypadku, gdy lista zatwierdzonych aplikacji nie zostanie automatycznie ponownie wczytana na początku każdej sesji administratora IT.

3.15.1. Dostawca usług EMM musi przestrzegać limitów wykorzystania interfejsu Play EMM API. Jeśli nie poprawisz sposobu działania, które będzie niezgodne z wytycznymi, Google może według własnego uznania zawiesić korzystanie z interfejsu API.

3.15.2. Usługi EMM powinny rozprowadzać ruch z różnych firm w ciągu dnia, a nie konsolidować ruch przedsiębiorstwa o określonych lub podobnych porach. Zachowanie pasujące do tego wzorca ruchu, takie jak zaplanowane operacje zbiorcze dla każdego zarejestrowanego urządzenia, może spowodować zawieszenie korzystania z interfejsu API, według własnego uznania Google.

• element iframe w zarządzanym Sklepie Google Play,
• niestandardowy interfejs użytkownika.

3.16.2. Jeśli skonfigurujesz ją przez administratora IT, konsola EMM musi mieć możliwość pobierania i wyświetlania wszystkich opinii zwróconych przez kanał opinii o aplikacji.

• Konsola EMM musi pozwalać administratorom IT na powiązanie konkretnego elementu opinii z urządzeniem i aplikacją, z którego on pochodzi.
• Konsola EMM musi pozwalać administratorom IT na subskrybowanie alertów lub raportów dotyczących określonych typów komunikatów (np. komunikatów o błędach).

3.16.3. Konsola EMM może wysyłać tylko wartości, które mają wartość domyślną lub są ustawiane ręcznie przez administratora przy użyciu:

• element iframe konfiguracji zarządzanych;
• Niestandardowy interfejs użytkownika.

3.17.1. Administratorzy IT mogą używać konsoli EMM do rozpowszechniania skrótów do aplikacji internetowych, używając:

3.18.1. Dostawcy usług EMM mogą zarządzać cyklem życia zarządzanego konta Google Play zgodnie ze wskazówkami dotyczącymi implementacji określonymi w dokumentacji dla deweloperów interfejsu Play EMM API.

3.18.2. Dostawcy usług EMM mogą ponownie uwierzytelniać konta w zarządzanym Sklepie Google Play bez udziału użytkownika.

3.20.2. Administratorzy IT mogą zezwolić na odkładanie aktualizacji aplikacji o 90 dni.

4.1.1. Podczas ustawiania domyślnych zasad dotyczących uprawnień czasu działania w swojej organizacji administratorzy IT muszą mieć możliwość wyboru jednej z tych opcji:

• prompt (pozwala użytkownikom wybrać)
• allow
• odmów

4.3.1. Identyfikator SSID przez DPC dostawcy usług EMM.

4.4.1. Tożsamość przez DPC firmy EMM.

4.4.2. Certyfikat do autoryzacji klientów za pomocą platformy DPC dostawcy usług EMM.

4.5.1. Administratorzy IT mogą blokować firmowe konfiguracje Wi-Fi w jednej z tych konfiguracji:

• Użytkownicy nie mogą modyfikować żadnych konfiguracji Wi-Fi udostępnianych przez dostawcę usług EMM, ale mogą dodawać i modyfikować własne sieci (na przykład sieci osobiste).
• Użytkownicy nie mogą dodawać ani modyfikować żadnej sieci Wi-Fi na urządzeniu, ograniczając możliwość połączenia Wi-Fi tylko do tych sieci udostępnianych przez dostawcę usług EMM.

4.6.1. Administratorzy IT mogą uniemożliwiać dodawanie i modyfikowanie kont.

• Gdy egzekwujesz tę zasadę na urządzeniu, dostawcy usług EMM muszą ustawić to ograniczenie przed ukończeniem obsługi administracyjnej, aby uniknąć obejścia tej zasady przez dodanie kont przed wprowadzeniem zasady.

4.7.1. Administratorzy IT mogą określić konta Google, które mają być aktywowane podczas obsługi administracyjnej, gdy włączona zostanie blokada zarządzania kontami.

4.7.2. DPC dostawcy usług EMM musi poprosić o aktywację konta Google i upewnić się, że tylko konkretne konto można aktywować, wskazując konto do dodania.

• Na urządzeniach z Androidem w wersji starszej niż 7.0 DPC musi tymczasowo wyłączyć ograniczenie zarządzania kontem, zanim wyświetli użytkownikowi prośbę.

4.8.1. Administratorzy IT mogą instalować certyfikaty tożsamości użytkowników wygenerowane przez infrastrukturę klucza publicznego dla poszczególnych użytkowników. Konsola EMM musi zostać zintegrowana z co najmniej 1 infrastrukturą klucza publicznego i rozpowszechnia certyfikaty wygenerowane na jej podstawie.

4.9.1. W przypadku każdej aplikacji rozpowszechnianej na urządzenia administratorzy IT mogą określić certyfikat, do którego będą przyznawane dyskretnie dostęp w czasie działania.

• Wybór certyfikatu musi być na tyle ogólny, aby umożliwić zastosowanie jednej konfiguracji dla wszystkich użytkowników, z których każdy może mieć certyfikat tożsamości konkretnego użytkownika.

4.9.2. Administratorzy IT mogą dyskretnie usuwać certyfikaty z zarządzanego magazynu kluczy.

4.9.3. Administratorzy IT mogą dyskretnie odinstalować certyfikat CA lub wszystkie certyfikaty CA niesystemowe.

4.9.4. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie danych logowania w zarządzanym magazynie kluczy.

4.9.5. Administratorzy IT mogą wstępnie przyznawać certyfikaty do aplikacji służbowych.

4.10.1. Administratorzy IT określają pakiet do zarządzania certyfikatami, który DPC ma ustawić jako delegowaną aplikację do zarządzania certyfikatami.

• Konsola może opcjonalnie proponować znane pakiety do zarządzania certyfikatami, ale musi umożliwiać administratorowi IT wybór aplikacji z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.

4.11.1. Administratorzy IT mogą określić dowolny pakiet VPN, który ma być ustawiony jako stały VPN.

• Konsola EMM może opcjonalnie proponować znane pakiety VPN, które obsługują stały VPN, ale nie może ograniczać dostępu do sieci VPN dostępnych w przypadku takiej konfiguracji do dowolnej listy.

4.11.2. Administratorzy IT mogą używać konfiguracji zarządzanych do określania ustawień VPN dla aplikacji.

4.12.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME o dowolnej długości (w tym pustą listę, która blokuje edytory IME spoza systemu), która może zawierać dowolne pakiety IME.

• Konsola EMM może opcjonalnie zasugerować znane lub zalecane edytory do dodania do listy dozwolonych, ale musi umożliwić administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.

4.13.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME o dowolnej długości (z wyjątkiem pustej listy, która blokuje wszystkie IME, w tym systemowe IME), która może zawierać dowolne pakiety IME.

• Konsola EMM może opcjonalnie zasugerować znane lub zalecane edytory do dodania do listy dozwolonych, ale musi umożliwić administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.

4.13.2. Dostawcy usług EMM muszą uniemożliwiać administratorom IT konfigurowanie pustej listy dozwolonych, ponieważ to ustawienie blokuje konfigurowanie na urządzeniu wszystkich IME, w tym systemowych IME.

4.14.1. Administratorzy IT mogą skonfigurować listę dozwolonych usług ułatwień dostępu o dowolnej długości (w tym pustą listę, która blokuje usługi ułatwień dostępu niesystemowe), która może zawierać dowolne pakiety usług ułatwień dostępu. Jeśli zastosujesz konfigurację do profilu służbowego, będzie to miało wpływ zarówno na profil osobisty, jak i służbowy.

• Konsola może opcjonalnie zasugerować znane lub zalecane usługi ułatwień dostępu do umieszczenia na liście dozwolonych, ale musi umożliwić administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.

• Wysoka dokładność.
• Tylko czujniki, np. GPS, bez uwzględniania lokalizacji podawanej przez sieć.
• oszczędzanie baterii, które ogranicza częstotliwość aktualizacji;
• Wyłączone.

4.17.1. Administratorzy IT mogą uniemożliwić użytkownikom przywrócenie urządzeń do ustawień fabrycznych w Ustawieniach.

4.17.2. Po przywróceniu ustawień fabrycznych administratorzy IT mogą określać konta odblokowywane przez firmę, które mają uprawnienia do obsługi administracyjnej urządzeń.

• To konto może być powiązane z konkretną osobą lub może być używane przez całą firmę do odblokowywania urządzeń.

4.17.3. Administratorzy IT mogą wyłączyć ochronę przywracania ustawień fabrycznych na wybranych urządzeniach.

4.17.4. Administratorzy IT mogą rozpocząć zdalne czyszczenie pamięci urządzenia, które opcjonalnie wymazuje dane zabezpieczające resetowanie, co spowoduje usunięcie ochrony przywracania ustawień fabrycznych.

4.18.1. Administratorzy IT mogą zablokować odinstalowanie dowolnych lub wszystkich zarządzanych aplikacji.

4.21.1. Administratorzy IT mogą wysyłać zapytania o podsumowanie statystyk sieci dla profilu służbowego dla danego urządzenia i konfigurowalnego przedziału czasu, a następnie wyświetlać te szczegóły w konsoli EMM.

4.21.2. Administratorzy IT mogą wysyłać zapytania o podsumowanie aplikacji w sieci w profilu służbowym dla danego urządzenia i konfigurowanego przedziału czasu, a potem wyświetlać te szczegóły uporządkowane według identyfikatorów UID w konsoli EMM.

4.21.3. Administratorzy IT mogą wysyłać zapytania o dane historyczne używane w profilu służbowym dla danego urządzenia i konfigurowanego przedziału czasu, a także wyświetlać te szczegóły uporządkowane według identyfikatorów UID w konsoli EMM.

4.22.1. Administratorzy IT mogą wysyłać zapytania o podsumowanie statystyk sieci dla całego urządzenia dla danego urządzenia i konfigurowalnego przedziału czasu, a także wyświetlać te szczegóły w konsoli EMM.

4.22.2. Administratorzy IT mogą wysyłać zapytania o podsumowanie statystyk korzystania z sieci aplikacji dla danego urządzenia i konfigurowalnego przedziału czasu, a potem wyświetlać te szczegóły uporządkowane według identyfikatora UID w konsoli EMM.

Administratorzy IT mogą zdalnie ponownie uruchamiać zarządzane urządzenia.

4.23.1. Administratorzy IT mogą zdalnie restartować zarządzane urządzenia.

4.24.1. Administratorzy IT mogą wyłączyć komunikaty z sieci komórkowej wysyłane przez dostawców usług (na przykład alerty AMBER).

4.24.2. Administratorzy IT mogą uniemożliwiać użytkownikom modyfikowanie ustawień sieci komórkowej w Ustawieniach.

4.24.3. Administratorzy IT mogą uniemożliwiać użytkownikom resetowanie ustawień sieci w Ustawieniach.

4.24.4. Administratorzy IT mogą zezwolić na mobilną transmisję danych w roamingu lub ją zablokować.

4.24.5. Administratorzy IT mogą określić, czy urządzenie może wykonywać wychodzące połączenia telefoniczne (z wyjątkiem połączeń alarmowych).

4.24.6. Administratorzy IT mogą określić, czy urządzenie może wysyłać i odbierać SMS-y.

4.24.7. Administratorzy IT mogą uniemożliwić użytkownikom korzystanie z urządzenia jako mobilnego hotspotu przez tethering.

4.24.8. Administratorzy IT mogą ustawić limit czasu oczekiwania na Wi-Fi na domyślny, tylko wtedy, gdy urządzenie jest podłączone lub nigdy.

4.25.1. Administratorzy IT mogą dyskretnie wyciszać zarządzane urządzenia.

4.25.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień głośności urządzenia.

4.25.3. Administratorzy IT mogą uniemożliwić użytkownikom wyłączanie wyciszenia mikrofonu urządzenia.

4.26.1. Administratorzy IT mogą wymuszać stosowanie automatycznego czasu w systemie, uniemożliwiając użytkownikowi ustawienie daty i godziny na urządzeniu.

4.26.2. Administratorzy IT mogą dyskretnie włączać i wyłączać automatyczny czas i automatyczną strefę czasową.

4.27.1. Administratorzy IT mogą wyłączyć blokadę klawiszy urządzenia.

4.27.2. Administratorzy IT mogą wyłączyć pasek stanu urządzenia, blokując powiadomienia i szybkie ustawienia.

4.27.3. Administratorzy IT mogą wymusić pozostawienie ekranu urządzenia, gdy urządzenie jest podłączone do zasilania.

4.27.4. Administratorzy IT mogą uniemożliwić wyświetlanie tych interfejsów systemu:

• Tosty
• Nakładki aplikacji.

Administratorzy IT mogą przekazywać dodatkowe uprawnienia do poszczególnych pakietów.

4.28.1. Administratorzy IT mogą zarządzać tymi zakresami:

• Instalacja certyfikatów i zarządzanie nimi
• Zarządzanie konfiguracjami zarządzanymi
• Rejestrowanie sieciowe
• Logowanie zabezpieczeń

Od Androida 12 profile służbowe nie będą już miały dostępu do identyfikatorów sprzętowych. Administratorzy IT mogą śledzić cykl życia urządzenia z profilem służbowym za pomocą identyfikatora rejestracji, który zostanie zachowany po przywróceniu ustawień fabrycznych.

4.29.1. Administratorzy IT mogą ustawić i obtain identyfikator rejestracji

4.29.2. Ten identyfikator powiązany z rejestracją musi zostać zachowany po przywróceniu ustawień fabrycznych

5.1.1. Administratorzy IT mogą dostosowywać proces obsługi administracyjnej przez podanie tych informacji związanych z firmą: kolor firmy, logo firmy, warunki korzystania z usługi dla firm i inne wyłączenia odpowiedzialności.

5.1.2. Administratorzy IT mogą wdrożyć niekonfigurowalne dla usług EMM niestandardowe dostosowanie, które obejmuje następujące szczegóły: kolor EMM, logo usług EMM, warunki korzystania z usług EMM i inne wyłączenia odpowiedzialności.

Wersja 5.1.3 [primaryColor] została wycofana w przypadku zasobów firmowych na Androidzie 10 i nowszych.

• Dostawcy usług EMM muszą uwzględnić warunki obsługi administracyjnej i inne wyłączenia odpowiedzialności dotyczące procesu obsługi administracyjnej w pakiecie wyłączeń odpowiedzialności dotyczących obsługi administracyjnej systemu, nawet jeśli nie korzystasz z dostosowywania usług EMM.
• Dostawcy usług EMM mogą ustawić swoje niekonfigurowalne, specyficzne dla usług EMM ustawienia jako domyślne dla wszystkich wdrożeń, ale muszą zezwolić administratorom IT na stosowanie własnych dostosowań.

5.2.1. Administratorzy IT mogą ustawić kolor organizacji, który będzie używany jako kolor tła wyzwania w pracy.

5.2.2. Administratorzy IT mogą ustawić wyświetlaną nazwę profilu służbowego.

5.2.3. Administratorzy IT mogą ustawić ikonę użytkownika profilu służbowego.

5.2.4. Administratorzy IT mogą uniemożliwić użytkownikowi modyfikowanie ikony użytkownika profilu służbowego.

5.3.1. Administratorzy IT mogą ustawić wyświetlaną nazwę zarządzanego urządzenia.

5.3.2. Administratorzy IT mogą ustawić ikonę użytkownika zarządzanego urządzenia.

5.3.3. Administratorzy IT mogą uniemożliwić użytkownikowi modyfikowanie ikony użytkownika urządzenia.

5.3.4. Administratorzy IT mogą ustawić tapetę na urządzeniu.

5.3.5. Administratorzy IT mogą uniemożliwić użytkownikowi modyfikowanie tapety urządzenia.

5.5.1. Administratorzy IT dostosowują zarówno krótkie, jak i długie wiadomości do zespołu pomocy.

5.5.2. Administratorzy IT mogą wdrażać niekonfigurowalne, dostosowane do usług EMM krótkie i długie wiadomości do zespołu pomocy dotyczące usług EMM.

• Usługi EMM mogą ustawić jako domyślne niekonfigurowalne wiadomości pomocy związane z usługami EMM, ale muszą zezwalać administratorom IT na konfigurowanie własnych wiadomości.

5.6.1. Administratorzy IT mogą wyłączyć wyszukiwanie kontaktów na różnych profilach w przypadku aplikacji osobistych, które korzystają z dostawcy kontaktów systemowych.

5.6.2. Administratorzy IT mogą wyłączyć wyszukiwanie identyfikatorów rozmówcy na różnych profilach w przypadku osobistych aplikacji telefonu, które korzystają z dostawcy kontaktów systemowych.

5.6.3. Administratorzy IT mogą wyłączyć udostępnianie kontaktów przez Bluetooth urządzeniom Bluetooth, które korzystają z dostawcy kontaktów systemowych. Na przykład mogą wykonywać połączenia bez użycia rąk w samochodach lub zestawy słuchawkowe.

5.7.1. Administratorzy IT mogą konfigurować filtry intencji obejmujących różne profile tak, aby aplikacje osobiste mogły rozwiązywać intencje z profilu służbowego, takie jak intencje udostępniania czy linki internetowe.

• Konsola może opcjonalnie proponować znane lub zalecane filtry intencji na potrzeby konfiguracji, ale nie może ograniczać filtrów intencji do dowolnej listy.

5.7.2. Administratorzy IT mogą zezwolić na aplikacje zarządzane, które mogą wyświetlać widżety na ekranie głównym.

• Konsola EMM musi umożliwiać administratorom IT wybór z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.

5.7.3. Administratorzy IT mogą zablokować możliwość kopiowania i wklejania danych między profilem służbowym a osobistym.

5.7.4. Administratorzy IT mogą blokować użytkownikom możliwość udostępniania danych z profilu służbowego za pomocą łącza NFC.

5.7.5. Administratorzy IT mogą zezwolić aplikacjom osobistym na otwieranie linków internetowych z profilu służbowego.

5.8.1. Konsola EMM umożliwia administratorom IT ustawienie tych konfiguracji internetowych aktualizacji:

• Automatycznie: urządzenia otrzymują aktualizacje OTA, gdy staną się dostępne.
• Odłóż: administratorzy IT muszą mieć możliwość odroczenia aktualizacji OTA o maksymalnie 30 dni. Ta zasada nie ma wpływu na aktualizacje zabezpieczeń (np. comiesięczne poprawki zabezpieczeń).
• Okno: administratorzy IT muszą mieć możliwość planowania aktualizacji OTA w ciągu codziennego okresu konserwacji.

5.10.1. Administratorzy IT mogą ustawić dowolny pakiet jako domyślny moduł obsługi intencji w przypadku dowolnego filtra intencji.

• Konsola EMM może opcjonalnie proponować znane lub zalecane intencje konfiguracji, ale nie może ograniczać intencji do dowolnej listy.
• Konsola EMM musi umożliwiać administratorom IT wybór z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.

• agenty zaufania
• odblokowywanie odciskiem palca
• niezredagowane powiadomienia

5.11.2. Karta DPC dostawcy usług EMM może wyłączyć te funkcje blokady ekranu w profilu służbowym:

• agenty zaufania
• odblokowywanie odciskiem palca

• Bezpieczna kamera
• Wszystkie powiadomienia
• Niezmodyfikowane powiadomienia
• Agenty zaufania
• Odblokowywanie odciskiem palca
• Wszystkie funkcje blokady

5.14.1. Usługi EMM mogą cicho pobierać adres MAC urządzenia i powiązać go z urządzeniem w konsoli EMM.

5.15.1. Możesz dyskretnie blokować pojedynczą aplikację na urządzeniu przez DPC dostawcy usług EMM.

5.15.2. Włącz lub wyłącz te funkcje interfejsu systemu za pomocą karty DPC dostawcy usług EMM:

• Przycisk Ekran główny
• Przegląd
• Działania globalne
• Powiadomienia
• Informacje systemowe / pasek stanu
• Blokada klawiszy (ekran blokady)

5.15.3. Wyłącz okna błędów systemu za pomocą karty DPC dostawcy usług EMM.

5.17.1. Administratorzy IT mogą udostępnić niestandardowy tekst wyświetlany po wyczyszczeniu profilu służbowego.