Ta strona zawiera pełny zestaw funkcji Androida Enterprise.
Jeśli chcesz zarządzać ponad 500 urządzeniami, przed udostępnieniem rozwiązania na potrzeby komercyjne musi ono obsługiwać wszystkie funkcje standardowe () co najmniej jednego zbioru funkcji. Rozwiązania EMM, które przeszły weryfikację funkcji standardowych, są wymienione w katalogu rozwiązań dla firm na Androidzie jako oferujące standardowy zestaw funkcji zarządzania.
W przypadku każdego zestawu rozwiązań dostępny jest dodatkowy zestaw funkcji zaawansowanych. Te funkcje są oznaczone na każdej stronie zestawu rozwiązań: profil służbowy na urządzeniu należącym do użytkownika, profil służbowy na urządzeniu należącym do firmy, urządzenie w pełni zarządzane i urządzenie dedykowane. Rozwiązania EMM, które przeszły weryfikację funkcji zaawansowanych, są wymienione w katalogu rozwiązań Android Enterprise jako oferujące zbiór funkcji zaawansowanych.
Klucz
| standardowa funkcja | zaawansowana funkcja | Funkcja opcjonalna | nie dotyczy |
1. Obsługa administracyjna urządzenia
1.1. Obsługa administracyjna profilu służbowego z użyciem DPC
Profil służbowy możesz skonfigurować po pobraniu z Google Play aplikacji DPC dostawcy usług EMM.
1.1.1. Kontroler zasad dotyczących urządzeń EMM musi być publicznie dostępny w Google Play, aby użytkownicy mogli zainstalować go na urządzeniu osobistym.
1.1.2. Po zainstalowaniu aplikacji DPC musi poprowadzić użytkownika przez proces tworzenia profilu służbowego.
1.1.3. Po zakończeniu obsługi administracyjnej nie ma możliwości zarządzania na stronie osobistej urządzenia.
- Wszystkie zasady wprowadzone podczas tworzenia muszą zostać usunięte.
- Należy cofnąć uprawnienia aplikacji.
- Usługa DPC EMM musi być co najmniej wyłączona po stronie osobistej urządzenia.
1.2. Wdrażanie identyfikatora DPC na urządzeniu
Administratorzy IT mogą skonfigurować w pełni zarządzane lub dedykowane urządzenie, używając identyfikatora DPC („afw#”), zgodnie ze wskazówkami implementacji określonymi w dokumentacji dla deweloperów interfejsu Play EMM API.
1.2.1. EMM DPC musi być dostępny publicznie w Google Play. DPC musi być możliwy do zainstalowania z poziomu kreatora konfiguracji urządzenia po wpisaniu identyfikatora DPC.
1.2.2. Po zainstalowaniu DPC EMM musi poprowadzić użytkownika przez proces konfiguracji urządzenia w pełni zarządzanego lub dedykowanego.
1.3. Obsługa administracyjna urządzenia NFC
Tagi NFC mogą być używane przez administratorów IT do konfigurowania nowych urządzeń lub urządzeń z przywróconymi ustawieniami fabrycznymi zgodnie ze wskazówkami implementacyjnymi podanymi w dokumentacji interfejsu Play EMM API dla deweloperów.
1.3.1. EMM muszą używać tagów NFC Forum typu 2 z co najmniej 888 bajtami pamięci. W ramach obsługi administracyjnej należy używać dodatkowych informacji, aby przekazać na urządzenie szczegóły rejestracji, które nie są poufne, takie jak identyfikatory serwera i identyfikatory rejestracji. Szczegóły rejestracji nie powinny zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.3.2. Gdy DPC EMM ustawi się jako właściciel urządzenia, musi natychmiast otworzyć DPC i zablokować ekran, dopóki urządzenie nie zostanie w pełni skonfigurowane. 1.3.3. Zalecamy używanie tagów NFC w przypadku Androida 10 i nowszych ze względu na wycofanie funkcji NFC Beam (zwanej też NFC Bump).
1.4. Wdrażanie urządzenia za pomocą kodu QR
Administratorzy IT mogą zeskanować kod QR wygenerowany przez konsolę dostawcy usług EMM na nowym urządzeniu lub takim, na którym przywrócono ustawienia fabryczne, aby skonfigurować urządzenie zgodnie ze wskazówkami implementacji określonymi w dokumentacji interfejsu Play EMM API dla deweloperów.
1.4.1. Kod QR musi używać dodatkowych informacji o provisioningu, aby przekazać na urządzenie szczegóły rejestracji, które nie są poufne, takie jak identyfikatory serwera i identyfikatory rejestracji. Szczegóły rejestracji nie mogą zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.4.2. Gdy kontroler zasad dotyczących urządzeń EMM skonfiguruje urządzenie, musi ono się natychmiast otworzyć i zablokować ekran do czasu pełnego wdrożenia urządzenia.
1.5. Rejestracja typu zero-touch
Administratorzy IT mogą wstępnie skonfigurować urządzenia kupione od autoryzowanych sprzedawców i zarządzać nimi za pomocą konsoli EMM.
1.5.1. Administratorzy IT mogą konfigurować urządzenia należące do firmy za pomocą metody rejestracji typu zero-touch opisanej w artykule Rejestracja typu zero-touch dla administratorów IT.
1.5.2. Gdy urządzenie jest włączane po raz pierwszy, automatycznie przypisuje się do niego ustawienia zdefiniowane przez administratora IT.
1.6. Zaawansowane rejestrowanie typu zero-touch
Administratorzy IT mogą zautomatyzować większość procesu rejestracji urządzenia, wdrażając szczegóły rejestracji DPC za pomocą rejestracji typu zero-touch. DPC usługi EMM obsługuje ograniczanie rejestracji do określonych kont lub domen zgodnie z opcjami konfiguracji oferowanymi przez EMM.
1.6.1. Administratorzy IT mogą skonfigurować urządzenie należące do firmy za pomocą metody rejestracji typu zero-touch, opisanej w artykule Rejestracja typu zero-touch dla administratorów IT.
1.6.2. Gdy kontroler zasad dotyczących urządzeń EMM skonfiguruje urządzenie, musi ono się natychmiast otworzyć i zablokować ekran do czasu pełnego wdrożenia urządzenia.
- Wymóg ten nie dotyczy urządzeń, które korzystają z rejestracji typu zero-touch, aby w pełni automatycznie udostępniać szczegóły rejestracji (np. w ramach wdrożenia dedykowanego urządzenia).
1.6.3. Korzystając z danych rejestracji, DPC operatora usługi zarządzania urządzeniami mobilnymi musi zadbać o to, aby po wywołaniu DPC niedozwolone osoby nie mogły aktywować urządzenia. Aktywacja musi być ograniczona do użytkowników danej firmy.
1.6.4. Korzystając z danych rejestracji, administratorzy EMM muszą umożliwić administratorom IT wstępne wypełnianie danych rejestracji (np. identyfikatorów serwera i identyfikatorów rejestracji) z wyjątkiem unikalnych informacji o użytkowniku lub urządzeniu (np. nazwy użytkownika/hasła lub tokenu aktywacyjnego), aby użytkownicy nie musieli wpisywać tych danych podczas aktywacji urządzenia.
- W ramach konfiguracji rejestracji bezdotykowej systemy EMM nie mogą zawierać informacji poufnych, takich jak hasła czy certyfikaty.
1.7. Obsługa administracyjna profilu służbowego na koncie Google
W przypadku firm korzystających z zarządzanej domeny Google ta funkcja przeprowadzi użytkowników przez konfigurowanie profilu służbowego po wprowadzeniu danych logowania do firmowego konta Workspace podczas konfigurowania urządzenia lub na urządzeniu, które zostało już aktywowane. W obu przypadkach tożsamość korporacyjna Workspace zostanie przeniesiona do profilu służbowego.
1.7.1. Metoda dostarczania konta Google umożliwia tworzenie profili służbowych zgodnie z określonymi wytycznymi implementacji.
1.8. Obsługa administracyjna urządzenia na koncie Google
W przypadku firm korzystających z Workspace ta funkcja prowadzi użytkowników przez proces instalacji DPC EMM po wprowadzeniu firmowych danych logowania Workspace podczas początkowej konfiguracji urządzenia. Po zainstalowaniu DPC kończy konfigurowanie urządzenia należącego do firmy.
1.8.1. Metoda obsługi konta Google umożliwia skonfigurowanie urządzenia należącego do firmy zgodnie z określonymi wytycznymi implementacji.
1.8.2. Jeśli EMM nie może jednoznacznie zidentyfikować urządzenia jako zasobu firmowego, nie może go wdrożyć bez prośby podczas procesu wdrażania. Ten prompt musi wymagać wykonania działania niestandardowego, takiego jak zaznaczenie pola wyboru lub wybranie niestandardowej opcji menu. Zalecamy, aby EMM mógł zidentyfikować urządzenie jako zasób firmowy, aby nie wyświetlać monitu.
1.9. Konfiguracja bezpośrednia typu zero-touch
Administratorzy IT mogą korzystać z konsoli EMM do konfigurowania urządzeń z rejestracją typu zero-touch za pomocą elementu iframe do rejestracji typu zero-touch.
1.10. Profile służbowe na urządzeniach należących do firmy
Usługi EMM mogą rejestrować urządzenia należące do firmy, które mają profil służbowy.
1.10.1. celowo pusty,
1.10.2. Administratorzy IT mogą konfigurować działania związane z przestrzeganiem zasad na profilach służbowych na urządzeniach należących do firmy.
1.10.3. Administratorzy IT mogą dezaktywować kamerę na profilu służbowym lub na całym urządzeniu.
1.10.4. Administratorzy IT mogą dezaktywować zrzuty ekranu na profilu służbowym lub na całym urządzeniu.
1.10.5. Administratorzy IT mogą tworzyć listy blokowania aplikacji, których nie można zainstalować na profilu osobistym.
1.10.6. Administratorzy IT mogą zrezygnować z zarządzania urządzeniem należącym do firmy, usuwając profil służbowy lub wymazując całe urządzenie.
1.11. Obsługa administracyjna urządzenia specjalnego
celowo pusty,
2. Zabezpieczenia urządzeń
2.1. Test zabezpieczeń urządzenia
Administratorzy IT mogą ustawić i wymusić zabezpieczenie urządzenia (kod PIN, wzór lub hasło) na jednym z 3 zdefiniowanych poziomów złożoności na zarządzanych urządzeniach.
2.1.1. Zasady muszą wymuszać ustawienia zarządzania wyzwaniami dotyczącymi zabezpieczeń urządzenia (parentProfilePasswordRequirements dla profilu służbowego, passwordRequirements dla w pełni zarządzanych i dedykowanych urządzeń).
2.1.2. Złożoność hasła musi być zgodna z tymi poziomami złożoności:
- PASSWORD_COMPLEXITY_LOW - wzór lub kod PIN w formie powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji.
- PASSWORD_COMPLEXITY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, hasło alfabetyczne lub alfanumeryczne o długości co najmniej 4;
- PASSWORD_COMPLEXITY_HIGH - kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji o długości co najmniej 8 znaków albo hasło alfabetyczne lub alfanumeryczne o długości co najmniej 6 znaków
2.2. Test bezpieczeństwa w zawodowej sieci VPN
Administratorzy IT mogą ustawiać i wymuszać wyzwanie dotyczące zabezpieczeń dla aplikacji i danych na profilu służbowym.Wyzwanie to jest oddzielne i ma inne wymagania niż wyzwanie dotyczące zabezpieczeń urządzenia (2.1).
2.2.1. Zasada musi egzekwować zadanie służbowe w profilu służbowym. Domyślnie administratorzy IT powinni ustawić ograniczenia tylko dla profilu służbowego, jeśli nie określono zakresu. Administratorzy IT mogą ustawić te ograniczenia na całym urządzeniu, określając zakres (patrz wymóg 2.1).
2.1.2. Złożoność hasła powinna odpowiadać tym wartościom:
- PASSWORD_COMPLEXITY_LOW - wzór lub kod PIN w formie powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji.
- PASSWORD_COMPLEXITY_MEDIUM – kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji, hasło alfabetyczne lub alfanumeryczne o długości co najmniej 4;
- PASSWORD_COMPLEXITY_HIGH - kod PIN bez powtarzających się (4444) lub uporządkowanych (1234, 4321, 2468) sekwencji o długości co najmniej 8 znaków albo hasło alfabetyczne lub alfanumeryczne o długości co najmniej 6 znaków
2.3. Zaawansowane zarządzanie hasłami
2.3.1. celowo puste,
2.3.2. celowo pusty,
2.3.3. W przypadku każdego ekranu blokady dostępnego na urządzeniu można ustawić te ustawienia cyklu życia hasła:
- celowo pusty,
- celowo pusty,
- Maksymalna liczba nieudanych prób podania hasła, po której następuje wymazanie: określa liczbę razy, ile użytkownicy mogą podać nieprawidłowe hasło, zanim dane firmowe zostaną wymazane z urządzenia. Administratorzy IT muszą mieć możliwość wyłączenia tej funkcji.
2.4. Zarządzanie Smart Lock
Administratorzy IT mogą zarządzać tym, które agenty zaufania w funkcji Smart Lock w Androidzie mogą odblokowywać urządzenia. Administratorzy IT mogą wyłączyć określone metody odblokowywania, takie jak zaufane urządzenia Bluetooth, rozpoznawanie twarzy czy głosu, lub całkowicie wyłączyć tę funkcję.
2.4.1. Administratorzy IT mogą wyłączyć agentów zaufania Smart Lock niezależnie na każdym ekranie blokady dostępnym na urządzeniu.
2.4.2. Administratorzy IT mogą wybrać i skonfigurować agentów zaufania Smart Lock niezależnie dla każdego ekranu blokady dostępnego na urządzeniu w przypadku tych agentów zaufania: Bluetooth, NFC, miejsca, twarz, na ciele i głos.
- Administratorzy IT mogą modyfikować dostępne parametry konfiguracji agenta zaufania.
2,5. Wyczyść i zablokuj
Administratorzy IT mogą używać konsoli EMM do zdalnego blokowania i usuwania danych służbowych z urządzenia zarządzanego.
2.5.1. DPC EMM musi blokować urządzenia.
2.5.2. Kontroler zasad dotyczących urządzeń EMM musi wymazać dane z urządzeń.
2.6. egzekwowanie zgodności,
Jeśli urządzenie nie spełnia zasad dotyczących zabezpieczeń, dane służbowe są automatycznie ograniczane.
2.6.1. Zasady zabezpieczeń egzekwowane na urządzeniu muszą co najmniej obejmować zasady dotyczące haseł.
2.7. Domyślne zasady zabezpieczeń
EMM muszą wymuszać określone zasady zabezpieczeń na urządzeniach domyślnie, bez konieczności konfigurowania lub dostosowywania ustawień w konsoli EMM przez administratorów IT. EMM są zachęcane (ale nie jest to wymagane), aby nie zezwalać administratorom IT na zmianę domyślnego stanu tych funkcji bezpieczeństwa.
2.7.1. DPC EMM musi blokować instalowanie aplikacji z nieznanych źródeł, w tym aplikacji zainstalowanych w profilu osobistym na dowolnym urządzeniu z Androidem w wersji 8.0 lub nowszej z profilem służbowym.
2.7.2. DPC operatora musi blokować funkcje debugowania.
2.8. Zasady zabezpieczeń dotyczące urządzeń specjalnych
Urządzenia specjalne są zablokowane i nie można na nich wykonywać innych działań.
2.8.1. DPC operatora EMM musi domyślnie wyłączyć uruchamianie w trybie awaryjnym.
2.8.2. EMM DPC musi zostać otwarty i zamknięty na ekranie natychmiast po pierwszym uruchomieniu podczas obsługi, aby zapewnić brak interakcji z urządzeniem w dowolny inny sposób.
2.8.3. DPC EMM musi być ustawiony jako domyślny program uruchamiający, aby zapewnić, że dozwolone aplikacje będą blokowane na ekranie podczas uruchamiania zgodnie z określonymi wytycznymi dotyczącymi implementacji.
2.9. Pomoc dotycząca Play Integrity
EMM używa interfejsu Play Integrity API, aby sprawdzić, czy urządzenia są prawidłowymi urządzeniami z Androidem.
2.9.1. Usługa DPC dostawcy usług mobilnych implementuje interfejs Play Integrity API podczas obsługi, a domyślnie kończy tworzenie profilu tylko wtedy, gdy integralność urządzenia zwracana jest jako MEETS_STRONG_INTEGRITY.
2.9.2. Kontroler zasad dotyczących urządzeń EMM będzie przeprowadzać kolejne testy integralności Google Play za każdym razem, gdy urządzenie skontaktuje się z serwerem EMM. Administrator IT może skonfigurować tę funkcję. Serwer EMM zweryfikuje informacje o pliku APK w odpowiedzi na sprawdzenie integralności i w samej odpowiedzi, zanim zaktualizuje zasady korporacyjne na urządzeniu.
2.9.3. Administratorzy IT mogą konfigurować różne odpowiedzi na podstawie wyników kontroli integralności w Google Play, w tym blokowanie obsługi, kasowanie danych firmowych i zezwalanie na kontynuowanie rejestracji.
- Usługa EMM będzie egzekwować tę odpowiedź zgodnie z zasadami w przypadku każdego wyniku kontroli integralności.
2.9.4. Jeśli początkowe sprawdzenie integralności w Google Play zakończy się niepowodzeniem lub zwróci wynik niezgodny z wymaganiami dotyczącymi integralności, a usługa DPC nie została jeszcze wywołana przez EMM, należy ją wywołać i powtórzyć sprawdzenie przed zakończeniem obsługi. ensureWorkingEnvironment
2.10. Wymuszanie weryfikowania aplikacji
Administratorzy IT mogą włączyć Weryfikację aplikacji na urządzeniach. Weryfikacja aplikacji skanuje aplikacje zainstalowane na urządzeniach z Androidem pod kątem szkodliwego oprogramowania przed instalacją i po niej, aby zapewnić bezpieczeństwo danych firmowych.
2.10.1. DPC EMM musi domyślnie włączyć funkcję Weryfikacja aplikacji.
2.11. Obsługa bezpośredniego rozruchu
Aplikacje nie mogą działać na urządzeniach z Androidem 7.0 lub nowszym, które zostały właśnie włączone, dopóki nie zostaną odblokowane. Uruchamianie bezpośrednie: obsługa zapewnia, że DPC EMM jest zawsze aktywny i może egzekwować zasady, nawet jeśli urządzenie nie zostało odblokowane.
2.11.1. DPC EMM korzysta z zaszyfrowanego miejsca na urządzeniu do wykonywania kluczowych funkcji zarządzania, zanim zaszyfrowane miejsce na dane uwierzytelniające DPC zostanie odszyfrowane. Funkcje zarządzania dostępne podczas bezpośredniego uruchamiania muszą obejmować (ale nie tylko):
- Czyszczenie w firmie, w tym możliwość wyczyszczenia danych z zabezpieczenia przed przywróceniem do ustawień fabrycznych w odpowiednich przypadkach.
2.11.2. Usługa DPC usługi EMM nie może ujawniać danych firmowych na urządzeniu zaszyfrowanym.
2.11.3. EMM mogą ustawić i aktywować token, aby włączyć przycisk Nie pamiętam hasła na ekranie blokady profilu służbowego. Ten przycisk służy do wysyłania prośby do administratorów IT o bezpieczne zresetowanie hasła do profilu służbowego.
2.12. Zarządzanie zabezpieczeniami sprzętowymi
Administratorzy IT mogą blokować elementy sprzętowe urządzeń należących do firmy, aby zapobiec utracie danych.
2.12.1. Administratorzy IT mogą zablokować użytkownikom możliwość podłączania zewnętrznych nośników danych na urządzeniu.
2.12.2. Administratorzy IT mogą zablokować użytkownikom udostępnianie danych z urządzenia za pomocą NFC beamingu. Ta funkcja jest opcjonalna, ponieważ funkcja NFC Beam nie jest już obsługiwana w Androidzie 10 i nowszych.
2.12.3. Administratorzy IT mogą zablokować użytkownikom możliwość przesyłania plików przez USB z ich urządzeń.
2.13. Rejestrowanie zabezpieczeń w firmie
Administratorzy IT mogą zbierać dane o korzystaniu z urządzeń, które można przeanalizować i sprawdzić programowo pod kątem nieprawidłowego lub ryzykownego działania. Zapisane aktywności obejmują aktywność Android Debug Bridge (adb), otwieranie aplikacji i odblokowywanie ekranu.
2.13.1. Administratorzy IT mogą włączać rejestrowanie zabezpieczeń na określonych urządzeniach, a DPC EMM musi mieć możliwość automatycznego pobierania zarówno dzienników zabezpieczeń, jak i dzienników zabezpieczeń przed ponownym uruchomieniem.
2.13.2. Administratorzy IT mogą przeglądać dzienniki zabezpieczeń korporacyjnych dotyczące danego urządzenia i określonego okna czasowego w konsoli EMM.
2.13.3. Administratorzy IT mogą eksportować dzienniki zabezpieczeń w firmie z konsoli EMM.
3. Zarządzanie kontem i aplikacjami
3.1. Powiązanie z firmą
Administratorzy IT mogą powiązać EMM z organizacją, umożliwiając mu korzystanie z zarządzanego Sklepu Google Play do rozpowszechniania aplikacji na urządzenia.
3.1.1. Administrator, który ma zarządzaną domenę Google, może powiązać swoją domenę z usługą EMM.
3.1.2. Konsola EMM musi bezgłośnie udostępniać i konfigurować unikalne ESA dla każdej organizacji.
3.1.3. Wyrejestrowanie firmy za pomocą interfejsu EMM API Google Play.
3.1.4. Konsola EMM prowadzi administratora przez proces rejestracji w Androidzie, w którym prosi o podanie służbowego adresu e-mail, i zniechęca do korzystania z konta Gmail.
3.1.5. EMM wstępnie wypełnia pole z adresem e-mail administratora w procesie rejestracji w Androidzie.
3.2. Obsługa administracyjna zarządzanego konta Google Play
EMM może w sposób cichy udostępniać konta użytkowników w organizacji, czyli konta w zarządzanym Sklepie Google Play. Te konta identyfikują zarządzanych użytkowników i umożliwiają stosowanie unikalnych reguł dystrybucji aplikacji dla poszczególnych użytkowników.
3.2.1. Administrator danych osobowych w ramach EMM może w trybie cichym skonfigurować i aktywować zarządzane konto Google Play zgodnie ze wskazówkami dotyczącymi wdrażania. W tym celu:
- Na urządzeniu dodano zarządzane konto Google Play typu
userAccount. - Zarządzane konto Google Play typu
userAccountmusi być zmapowane 1:1 z kontami rzeczywistych użytkowników w konsoli EMM.
3.3 Obsługa administracyjna konta urządzenia w zarządzanym Sklepie Google Play
EMM może tworzyć i konfigurować konta urządzeń w zarządzanym Sklepie Google Play. Konta urządzeń umożliwiają dyskretne instalowanie aplikacji ze sklepu zarządzanego Google Play i nie są powiązane z pojedynczym użytkownikiem. Zamiast tego do identyfikowania pojedynczego urządzenia w ramach obsługi reguł dystrybucji aplikacji na poszczególnych urządzeniach w przypadku specjalnych scenariuszy używa się konta urządzenia.
3.3.1. Administrator danych osobowych w ramach EMM może w trybie cichym skonfigurować i aktywować zarządzane konto Google Play zgodnie ze wskazówkami dotyczącymi wdrażania.
W tym celu na urządzeniu musisz dodać zarządzane konto Google typu deviceAccount.
3.4. Wdrażanie kont zarządzanego Sklepu Google Play na urządzeniach starszej generacji
EMM może automatycznie udostępniać konta użytkowników w organizacji, czyli konta zarządzanego Sklepu Google Play. Te konta identyfikują zarządzanych użytkowników i umożliwiają stosowanie osobnych reguł dystrybucji aplikacji dla poszczególnych użytkowników.
3.4.1. Administrator danych osobowych w EMM może w trybie cichym skonfigurować i aktywować zarządzane konto Google Play zgodnie ze wskazówkami dotyczącymi wdrażania. W tym celu:
- Na urządzeniu dodano zarządzane konto Google Play typu
userAccount. - Zarządzane konto Google Play typu
userAccountmusi być bezpośrednio powiązane z kontami rzeczywistych użytkowników w konsoli EMM.
3.5 Dyskretne rozpowszechnianie aplikacji
Administratorzy IT mogą dyskretnie rozpowszechniać aplikacje służbowe na urządzeniach użytkowników bez ich udziału.
3.5.1. Konsolę EMM musi obsługiwać interfejs EMM API w Google Play, aby umożliwić administratorom IT instalowanie aplikacji firmowych na urządzeniach zarządzanych.
3.5.2. Konsola EMM musi używać interfejsu Play EMM API, aby umożliwić administratorom IT aktualizowanie aplikacji służbowych na urządzeniach zarządzanych.
3.5.3. Konsolę EMM musi używać interfejsu EMM Sklepu Play, aby umożliwić administratorom IT odinstalowywanie aplikacji na zarządzanych urządzeniach.
3.6 Zarządzanie konfiguracją zarządzaną
Administratorzy IT mogą wyświetlać i cicho ustawiać konfiguracje zarządzane lub dowolną aplikację, która obsługuje konfiguracje zarządzane.
3.6.1. Konsolę EMM musi być można wywołać i wyświetlić ustawienia konfiguracji zarządzanej dowolnej aplikacji w Google Play.
- Dostawcy usług EMM mogą wywołać
Products.getAppRestrictionsSchema, aby pobrać schemat zarządzanych konfiguracji aplikacji, lub osadzać ramkę zarządzanych konfiguracji w konsoli EMM.
3.6.2. Konsolę EMM musi być możliwe skonfigurować tak, aby administratorzy IT mogli ustawić dowolny typ konfiguracji (zdefiniowany przez platformę Android) dla dowolnej aplikacji w Google Play korzystającej z interfejsu API EMM Google Play.
3.6.3. Konsola EMM musi umożliwiać administratorom IT konfigurowanie symboli wieloznacznych (np. $username$ lub %emailAddress%), aby można było stosować jedną konfigurację aplikacji, np. Gmaila, dla wielu użytkowników. Iframe konfiguracji zarządzanej automatycznie spełnia to wymaganie.
3.7. Zarządzanie katalogiem aplikacji
Administratorzy IT mogą importować listę aplikacji zatwierdzonych dla ich firmy z zarządzanego Sklepu Google Play (play.google.com/work).
3.7.1. Konsola EMM może wyświetlać listę aplikacji zatwierdzonych do dystrybucji, w tym:
- Aplikacje kupione w zarządzanym Sklepie Google Play
- Aplikacje prywatne widoczne dla administratorów IT
- Aplikacje zatwierdzone automatycznie
3.8. Zatwierdzanie aplikacji w ramach automatyzacji
Konsola EMM używa elementu iframe zarządzanego Sklepu Google Play, aby obsługiwać funkcje wyszukiwania i zatwierdzania aplikacji w Sklepie Google Play. Administratorzy IT mogą wyszukiwać aplikacje, zatwierdzać aplikacje i zatwierdzać nowe uprawnienia aplikacji bez wychodzenia z konsoli EMM.
3.8.1. Administratorzy IT mogą wyszukiwać aplikacje i zatwierdzać je w konsoli EMM za pomocą elementu iframe zarządzanego Sklepu Google Play.
3.9. Podstawowe zarządzanie układem sklepu
Zarządzanego Sklepu Google Play można używać na urządzeniach do instalowania i aktualizowania aplikacji służbowych. Domyślnie wyświetlany jest podstawowy układ sklepu, w którym znajdują się aplikacje zatwierdzone dla firmy. Menedżerowie EMM filtrują je na podstawie użytkowników zgodnie z zasadami.
3.9.1. Administratorzy IT mogą [zarządzać dostępnymi zestawami produktów użytkowników]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) w celu umożliwienia wyświetlania i instalowania aplikacji ze zarządzanego Sklepu Google Play w sekcji „Sklep – strona główna”.
3.10. Zaawansowana konfiguracja układu sklepu
Administratorzy IT mogą dostosowywać układ sklepu w aplikacji Sklep Google Play na urządzeniach.
3.10.1. Aby spersonalizować układ zarządzanego Sklepu Google Play, administratorzy IT mogą wykonać w konsoli EMM te czynności:
- Utwórz maksymalnie 100 stron z schematem sklepu. Strony mogą mieć dowolną liczbę zlokalizowanych nazw.
- Możesz utworzyć maksymalnie 30 klastrów na stronę. Klaster może mieć dowolną liczbę zlokalizowanych nazw.
- Przypisz do każdego klastra maksymalnie 100 aplikacji.
- Do każdej strony możesz dodać maksymalnie 10 szybkich linków.
- Określ kolejność sortowania aplikacji w klastrze i klastrów na stronie.
3.11. Zarządzanie licencjami na aplikacje
Administratorzy IT mogą wyświetlać licencje na aplikacje zakupione w zarządzanym Sklepie Google Play i zarządzać nimi w konsoli EMM.
3.11.1. W przypadku płatnych aplikacji zatwierdzonych dla firmy konsola EMM musi wyświetlać:
- Liczba kupionych licencji.
- Liczba wykorzystanych licencji i użytkownicy, którzy je wykorzystali.
- Liczba licencji dostępnych do dystrybucji.
3.11.2. Administratorzy IT mogą przypisywać licencje użytkownikom bez ich powiadamiania, nie narzucając przy tym instalowania aplikacji na urządzeniach użytkowników.
3.11.3. Administratorzy IT mogą usunąć przypisanie licencji na aplikację użytkownikowi.
3.12. Zarządzanie aplikacjami prywatnymi hostowanymi przez Google
Administratorzy IT mogą aktualizować aplikacje prywatne hostowane przez Google w konsoli EMM, a nie w Konsoli Google Play.
3.12.1. Administratorzy IT mogą przesyłać nowe wersje aplikacji, które zostały już opublikowane, prywatnie do przedsiębiorstwa, korzystając z:
3.13. Zarządzanie prywatnymi aplikacjami hostowanymi lokalnie
Administratorzy IT mogą konfigurować i publikować własne aplikacje prywatne. W odróżnieniu od aplikacji prywatnych hostowanych przez Google, Google Play nie hostuje plików APK. Zamiast tego usługa EMM pomaga administratorom IT hostować pakiety APK i chronić aplikacje hostowane samodzielnie, zapewniając, że można je zainstalować tylko wtedy, gdy zezwoli na to zarządzany Sklep Google Play.
Administratorzy IT mogą uzyskać więcej informacji na ten temat na stronie Pomoc dotycząca aplikacji prywatnych.
3.13.1. Konsola EMM musi ułatwiać administratorom IT hostowanie pliku APK aplikacji, oferując te opcje:
- Hostowanie pliku APK na serwerze EMM. Serwer może znajdować się w siedzibie organizacji lub w chmurze.
- Hostowanie pliku APK poza serwerem EMM według uznania administratora IT. Administrator IT musi określić w konsoli EMM, gdzie znajduje się pakiet APK.
3.13.2. Konsola EMM musi wygenerować odpowiedni plik definicji APK na podstawie przesłanego pliku APK i przeprowadzić administratorów IT przez proces publikowania.
3.13.3. Administratorzy IT mogą aktualizować prywatne aplikacje hostowane lokalnie, a konsola EMM może publikować zaktualizowane pliki definicji APK bez powiadamiania o tym użytkowników za pomocą interfejsu Google Play Developer Publishing API.
3.13.4. Serwer EMM obsługuje tylko żądania pobierania pakietów APK hostowanych lokalnie, które zawierają prawidłowy token JWT w pliku cookie żądania, co zostało zweryfikowane przez klucz publiczny aplikacji prywatnej.
- Aby ułatwić ten proces, serwer EMM musi pokazać administratorom IT, jak pobrać klucz publiczny licencji aplikacji hostowanej samodzielnie z Konsoli Google Play i przesłać ten klucz do konsoli EMM.
3.14. Powiadomienia o wybieraniu EMM
Zamiast okresowo wysyłać zapytania do Google Play w celu identyfikowania przeszłych zdarzeń, takich jak aktualizacja aplikacji zawierająca nowe uprawnienia lub konfiguracje zarządzane, EMM pull notifications będą proaktywnie informować EMM o takich zdarzeniach w czasie rzeczywistym, umożliwiając im podejmowanie automatycznych działań i wysyłanie niestandardowych powiadomień administracyjnych na podstawie tych zdarzeń.
3.14.1. EMM musi używać powiadomień EMM w Google Play, aby pobierać zestawy powiadomień.
3.14.2. EMM musi automatycznie powiadamiać administratora IT (np. za pomocą automatycznego e-maila) o tych zdarzeniach:
newPermissionEvent: wymaga, aby administrator IT zatwierdził nowe uprawnienia aplikacji, zanim będzie można ją bezgłośnie zainstalować lub zaktualizować na urządzeniach użytkowników.appRestrictionsSchemaChangeEvent: może wymagać od administratora IT zaktualizowania konfiguracji zarządzanej aplikacji w celu zachowania wydajności.appUpdateEvent: może być interesujący dla administratorów IT, którzy chcą sprawdzić, czy aktualizacja aplikacji nie ma wpływu na wydajność głównego procesu roboczego.productAvailabilityChangeEvent: może mieć wpływ na możliwość zainstalowania aplikacji lub pobrania jej aktualizacji.installFailureEvent: Google Play nie może bezgłośnie zainstalować aplikacji na urządzeniu. Może to oznaczać, że coś w konfiguracji urządzenia uniemożliwia instalację. EMM nie powinny ponownie próbować przeprowadzić instalację w tle po otrzymaniu tego powiadomienia, ponieważ logika ponownego próbowania w Google Play już się nie powiedzie.
3.14.3. EMM automatycznie podejmuje odpowiednie działania na podstawie tych zdarzeń powiadomienia:
newDeviceEvent: podczas obsługiwania urządzenia dostawca EMM musi zaczekać, ażnewDeviceEvent, zanim wykona kolejne wywołania interfejsu EMM API w Google Play na nowym urządzeniu, w tym ciemne instalacje aplikacji i ustawienia konfiguracji zarządzanej.productApprovalEvent: po otrzymaniu powiadomieniaproductApprovalEventEMM musi automatycznie zaktualizować listę zatwierdzonych aplikacji zaimportowanych do konsoli EMM na potrzeby dystrybucji na urządzenia, jeśli trwa aktywna sesja administratora IT lub jeśli lista zatwierdzonych aplikacji nie jest automatycznie ponownie wczytywana na początku każdej sesji administratora IT.
3.15. Wymagania dotyczące korzystania z interfejsu API
EMM wdraża interfejsy API Google na dużą skalę, unikając wzorców ruchu, które mogłyby negatywnie wpłynąć na zdolność administratorów IT do zarządzania aplikacjami w środowiskach produkcyjnych.
3.15.1. Usługa EMM musi przestrzegać limitów użycia interfejsu Play EMM API. Nieskorygowanie działania wykraczającego poza te wytyczne może skutkować zawieszeniem korzystania z interfejsu API według uznania Google.
3.15.2. EMM powinien rozprowadzać ruch z różnych firm w ciągu dnia, a nie konsolidować ruch firmowy w określonych lub podobnych momentach. Zachowanie pasujące do tego wzorca ruchu, takie jak zaplanowane operacje zbiorcze na każdym zarejestrowanym urządzeniu, może skutkować zawieszeniem korzystania z interfejsu API według uznania Google.
3.15.3. Dostawca usług EMM nie powinien wysyłać żądań, które są spójne, niepełne lub celowo nieprawidłowe, ponieważ nie próbują one pobierać ani zarządzać rzeczywistymi danymi przedsiębiorstwa. Zachowanie pasujące do tego wzorca ruchu może skutkować zawieszeniem korzystania z interfejsu API według uznania Google.
3.16. Zaawansowane zarządzanie konfiguracją zarządzaną
3.16.1. Konsola EMM musi mieć możliwość pobierania i wyświetlania zarządzanych ustawień konfiguracji (zagnieżdżonych do 4 poziomów) dowolnej aplikacji w Google Play za pomocą:
- element iframe zarządzanego Sklepu Google Play,
- interfejs niestandardowy.
3.16.2. Konsola EMM musi mieć możliwość pobierania i wyświetlania wszelkich opinii zwracanych przez kanał opinii o aplikacji, gdy został on skonfigurowany przez administratora IT.
- Konsola EMM musi umożliwiać administratorom IT powiązanie konkretnego elementu opinii z urządzeniem i aplikacją, z której pochodzi.
- Konsola EMM musi umożliwiać administratorom IT subskrybowanie alertów lub raportów dotyczących określonych typów wiadomości (np. komunikatów o błędach).
3.16.3. Konsola EMM musi wysyłać tylko wartości, które mają wartość domyślną lub są ustawiane ręcznie przez administratora za pomocą:
- Element iframe w konfiguracjach zarządzanych lub
- niestandardowy interfejs;
3.17. Zarządzanie aplikacjami internetowymi
Administratorzy IT mogą tworzyć i rozpowszechniać aplikacje internetowe w konsoli EMM.
3.17.1. Administratorzy IT mogą używać konsoli EMM do rozpowszechniania skrótów do aplikacji internetowych za pomocą:
3.18. Zarządzanie cyklem życia konta zarządzanego Sklepu Google Play
Usługi EMM mogą tworzyć, aktualizować i usuwać zarządzane konta Google Play w imieniu administratorów IT.
3.18.1. Usługi EMM mogą zarządzać cyklem życia zarządzanego konta Google Play zgodnie ze wskazówkami implementacji określonymi w dokumentacji dla deweloperów interfejsu Play EMM API.
3.18.2. Systemy EMM mogą ponownie uwierzytelniać zarządzane konta Google Play bez interakcji z użytkownikiem.
3.19. Zarządzanie ścieżką aplikacji
3.19.1. Administratorzy IT mogą pobrać listę identyfikatorów ścieżek ustawionych przez dewelopera w przypadku danej aplikacji.
3.19.2. Administratorzy IT mogą skonfigurować urządzenia tak, aby używały określonej ścieżki rozwoju aplikacji.
3,20. Zaawansowane zarządzanie aktualizacjami aplikacji
3.20.1. Administratorzy IT mogą zezwolić aplikacjom na korzystanie z aktualizacji o wysokim priorytecie, aby były one aktualizowane, gdy tylko będą dostępne.
3.20.2. Administratorzy IT mogą zezwolić na opóźnianie aktualizacji aplikacji przez 90 dni.
3.21. Zarządzanie metodami obsługi administracyjnej
EMM może generować konfiguracje obsługi administracyjnej i prezentować je administratorowi IT w formie gotowej do dystrybucji dla użytkowników końcowych (np. kod QR, konfiguracja typu zero-touch, adres URL Sklepu Play).
4. Zarządzanie urządzeniami
4.1. Zarządzanie zasadami dotyczącymi uprawnień w czasie działania
Administratorzy IT mogą bez udziału użytkownika ustawić domyślną odpowiedź na prośby o przyznanie uprawnień w czasie działania wysyłane przez aplikacje służbowe.
4.1.1. Podczas konfigurowania domyślnych zasad dotyczących uprawnień w czasie wykonywania dla swojej organizacji administratorzy IT muszą mieć możliwość wyboru spośród tych opcji:
- prompt (umożliwia użytkownikom wybór)
- allow
- odmowa
EMM powinien wymusić te ustawienia za pomocą DPC EMM.
4.2. Zarządzanie stanem przypisania uprawnień w czasie działania
Po ustawieniu domyślnych zasad dotyczących uprawnień czasu działania (patrz punkt 4.1), Administratorzy IT mogą ustawiać odpowiedzi na żądania określonych uprawnień z dowolnej aplikacji służbowej opartej na poziomie interfejsu API 23 lub nowszym.
4.2.1. Administratorzy IT muszą mieć możliwość ustawienia stanu zgody (domyślny, zgoda lub odmowa) dla dowolnego uprawnienia żądanego przez dowolną aplikację służbową utworzoną na podstawie poziomu API 23 lub nowszego. EMM powinien stosować te ustawienia za pomocą DPC EMM.
4.3. Zarządzanie konfiguracją Wi-Fi
Administratorzy IT mogą w sposób cichy udostępniać konfiguracje sieci Wi-Fi w przypadku zarządzanych urządzeń, w tym:
4.3.1. SSID, używając DPC usługi EMM.
4.3.2. Hasło za pomocą DPC klienta EMM.
4.4. Zarządzanie zabezpieczeniami Wi-Fi
Administratorzy IT mogą udostępniać konfiguracje sieci Wi-Fi w firmie na zarządzanych urządzeniach, które obejmują te zaawansowane funkcje zabezpieczeń:
4.4.1. tożsamości, używając DPC usługi EMM.
4.4.2. Certyfikat autoryzacji klientów, który wykorzystuje DPC usługi EMM.
4.4.3. certyfikat(y) urzędu certyfikacji, korzystając z DPC EMM;
4,5. Zaawansowane zarządzanie Wi-Fi
Administratorzy IT mogą zablokować konfiguracje Wi-Fi na urządzeniach zarządzanych, aby uniemożliwić użytkownikom tworzenie konfiguracji lub modyfikowanie konfiguracji firmowych.
4.5.1. Administratorzy IT mogą zablokować konfiguracje sieci Wi-Fi firmy w jednej z tych konfiguracji:
- Użytkownicy nie mogą modyfikować żadnych konfiguracji Wi-Fi udostępnionych przez dostawcę usług EMM, ale mogą dodawać i modyfikować własne sieci konfigurowane przez użytkownika (np. sieci osobiste).
- Użytkownicy nie mogą dodawać ani modyfikować żadnych sieci Wi-Fi na urządzeniu, co ogranicza łączność Wi-Fi tylko do sieci udostępnionych przez EMM.
4.6. Zarządzanie kontem
Administratorzy IT mogą zadbać o to, aby nieautoryzowane konta firmowe nie miały dostępu do danych firmowych w usługach takich jak oprogramowanie jako usługa (SaaS) do przechowywania danych i aplikacji zwiększających produktywność czy poczta e-mail. Bez tej funkcji do aplikacji korporacyjnych, które obsługują też konta użytkowników, można dodawać konta osobiste, co umożliwia udostępnianie danych firmowych tym kontom.
4.6.1. Administratorzy IT mogą uniemożliwić dodawanie i modyfikowanie kont.
- Aby wdrożyć tę zasadę na urządzeniu, EMM muszą ustawić to ograniczenie przed zakończeniem obsługi, aby nie można było obejść tej zasady przez dodanie kont przed jej wdrożeniem.
4,7. Zarządzanie kontem Workspace
Administratorzy IT mogą zadbać o to, aby nieautoryzowane konta Google nie mogły korzystać z danych firmowych. Bez tej funkcji można dodawać osobiste konta Google do aplikacji Google dla firm (np. Dokumentów Google lub Dysku Google), co pozwala na udostępnianie danych firmowych tym kontom osobistym.
4.7.1. Administratorzy IT mogą określić konta Google, które mają zostać aktywowane podczas obsługi, po wprowadzeniu blokady zarządzania kontem.
4.7.2. Usługa zarządzania urządzeniami mobilnymi (EMM) dostawcy treści musi wyświetlać prośbę o aktywowanie konta Google i zapewnić, aby można było aktywować tylko określone konto, określając konto, które ma zostać dodane.
- Na urządzeniach z wersją Androida niższą niż 7.0 administrator urządzenia musi tymczasowo wyłączyć ograniczenie zarządzania kontem przed wyświetleniem użytkownikowi prośby.
4.8. Zarządzanie certyfikatami
Pozwala administratorom IT wdrażać na urządzeniach certyfikaty tożsamości i urzędy certyfikacji, aby zapewnić dostęp do firmowych zasobów.
4.8.1. Administratorzy IT mogą instalować certyfikaty tożsamości użytkownika wygenerowane przez ich PKI na podstawie danych poszczególnych użytkowników. Konsola EMM musi być zintegrowana z co najmniej jedną infrastrukturą PKI i rozpowszechniać certyfikaty wygenerowane w tej infrastrukturze.
4.8.2. Administratorzy IT mogą instalować urzędy certyfikacji w zarządzanym magazynie kluczy.
4.9. Zaawansowane zarządzanie certyfikatami
Umożliwia administratorom IT wybranie certyfikatów, których powinny używać określone aplikacje zarządzane. Ta funkcja umożliwia też administratorom IT usuwanie certyfikatów CA i certyfikatów tożsamości z aktywnych urządzeń. Ta funkcja uniemożliwia użytkownikom modyfikowanie danych logowania przechowywanych w zarządzanym magazynie kluczy.
4.9.1. W przypadku każdej aplikacji rozpowszechnianej na urządzenia administratorzy IT mogą określić certyfikat, do którego aplikacja będzie automatycznie uzyskiwać dostęp w czasie działania.
- Wybrany certyfikat musi być na tyle uniwersalny, aby można było zastosować jedną konfigurację dla wszystkich użytkowników, z których każdy może mieć własny certyfikat tożsamości.
4.9.2. Administratorzy IT mogą usuwać certyfikaty z zarządzanego magazynu kluczy.
4.9.3. Administratorzy IT mogą bezgłośnie odinstalować certyfikat CA lub wszystkie niesystemowe certyfikaty CA.
4.9.4. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie poświadczeń w zarządzanym magazynie kluczy.
4.9.5. Administratorzy IT mogą wstępnie przyznawać certyfikaty dla aplikacji służbowych.
4.10. Zarządzanie certyfikatami przez administratora delegowanego
Administratorzy IT mogą rozpowszechniać na urządzeniach aplikację do zarządzania certyfikatami innej firmy i przyznawać jej uprawnienia do instalowania certyfikatów w zarządzanym magazynie kluczy.
4.10.1. Administratorzy IT określają pakiet zarządzania certyfikatami, który zostaje skonfigurowany jako delegowana aplikacja do zarządzania certyfikatami przez DPC.
- Konsola może opcjonalnie sugerować znane pakiety do zarządzania certyfikatami, ale musi umożliwić administratorowi IT wybranie z listy aplikacji do zainstalowania dla odpowiednich użytkowników.
4.11. Zaawansowane zarządzanie siecią VPN
Pozwala administratorom IT określić stałą sieć VPN, aby mieć pewność, że dane z określonych zarządzanych aplikacji zawsze będą przechodzić przez skonfigurowaną sieć VPN.
4.11.1. Administratorzy IT mogą wybrać dowolny pakiet VPN, który ma być ustawiony jako stały VPN.
- Konsola EMM może opcjonalnie sugerować znane pakiety VPN obsługujące funkcję stania VPN, ale nie może ograniczać sieci VPN dostępnych dla konfiguracji Always On do dowolnej listy.
4.11.2. Administratorzy IT mogą używać konfiguracji zarządzanych, aby określić ustawienia VPN dla aplikacji.
4.12. Zarządzanie IME
Administratorzy IT mogą zarządzać tym, jakie metody wprowadzania (IME) mogą być konfigurowane na urządzeniach. Metoda IME jest współdzielona przez profile służbowe i osobiste, więc zablokowanie jej użycia spowoduje, że nie będzie można jej używać również do celów osobistych. Administratorzy IT nie mogą jednak blokować systemowych IME na profilach służbowych (więcej informacji znajdziesz w sekcji poświęconej zaawansowanemu zarządzaniu IME).
4.12.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME o dowolnej długości (w tym pustą listę, która blokuje niesystemowe IME), która może zawierać dowolne pakiety IME.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane metody wprowadzania, które można dodać do listy dozwolonych, ale musi umożliwiać administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania przez odpowiednich użytkowników.
4.12.2. EMM musi poinformować administratorów IT, że systemowe klawiatury IME są wykluczone z zarządzania na urządzeniach z profilami służbowymi.
4.13. Zaawansowane zarządzanie IME
Administratorzy IT mogą zarządzać tym, jakie metody wprowadzania (IME) mogą być konfigurowane na urządzeniach. Zaawansowane zarządzanie IME rozszerza podstawową funkcję, umożliwiając administratorom IT zarządzanie systemowymi IME, które są zwykle dostarczane przez producenta urządzenia lub operatora.
4.13.1. Administratorzy IT mogą skonfigurować listę dozwolonych IME o dowolnej długości (z wyjątkiem pustej listy, która blokuje wszystkie IME, w tym IME systemowe), która może zawierać dowolne pakiety IME.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane metody wprowadzania, które można dodać do listy dozwolonych, ale musi umożliwiać administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania przez odpowiednich użytkowników.
4.13.2. Konsole EMM muszą uniemożliwiać administratorom IT konfigurowanie pustej listy dozwolonych, ponieważ to ustawienie spowoduje zablokowanie konfigurowania na urządzeniu wszystkich IME, w tym IME systemowych.
4.13.3. EMM muszą zadbać o to, aby w przypadku, gdy lista dozwolonych metod wejściowych nie zawiera systemowych metod wejściowych, systemowe metody wejściowe były instalowane bez powiadamiania użytkownika przed zastosowaniem listy dozwolonych na urządzeniu.
4.14. Zarządzanie usługami ułatwień dostępu
Administratorzy IT mogą zarządzać tym, które usługi ułatwień dostępu mogą być dozwolone na urządzeniach użytkowników. Usługi ułatwień dostępu to potężne narzędzia dla użytkowników niepełnosprawnych lub takich, którzy tymczasowo nie mogą w pełni korzystać ze swojego urządzenia. Mogą one jednak wchodzić w interakcje z danymi firmowymi w sposób niezgodny z zasadami firmy. Ta funkcja pozwala administratorom IT wyłączać wszelkie usługi ułatwień dostępu, które nie są systemowe.
4.14.1. Administratorzy IT mogą skonfigurować listę dozwolonych usług ułatwień dostępu o dowolnej długości (w tym pustą listę, która blokuje niesystemowe usługi ułatwień dostępu). Lista może zawierać dowolny pakiet usług ułatwień dostępu. Gdy zastosujesz to na profilu służbowym, wpłynie to zarówno na profil osobisty, jak i służbowy.
- Konsola może opcjonalnie sugerować znane lub zalecane usługi ułatwień dostępu do uwzględnienia na liście dozwolonych, ale musi umożliwić administratorom IT wybranie aplikacji z listy aplikacji dostępnych do zainstalowania przez odpowiednich użytkowników.
4.15. Zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą uniemożliwić użytkownikom udostępnianie danych o lokalizacji aplikacjom na profilu służbowym. W przeciwnym razie ustawienie lokalizacji dla profili służbowych można skonfigurować w ustawieniach.
4.15.1. Administratorzy IT mogą wyłączyć usługi lokalizacyjne w profilu służbowym.
4.16. Zaawansowane zarządzanie udostępnianiem lokalizacji
Administratorzy IT mogą wymusić określone ustawienie udostępniania lokalizacji na urządzeniu zarządzanym. Ta funkcja może zapewnić aplikacjom firmowym stały dostęp do danych o lokalizacji o wysokiej dokładności. Ta funkcja może też zapewnić oszczędność baterii przez ograniczenie ustawień lokalizacji do trybu oszczędzania baterii.
4.16.1. Administratorzy IT mogą ustawić usługi lokalizacyjne urządzenia w jednym z tych trybów:
- Wysoka dokładność.
- Tylko czujniki, np. GPS, ale nie lokalizacja zapewniana przez sieć.
- Oszczędzanie baterii, które ogranicza częstotliwość aktualizacji.
- Wyłączone.
4.17. Zarządzanie ochroną przywracania do ustawień fabrycznych
Pozwala administratorom IT chronić urządzenia należące do firmy przed kradzieżą, zapewniając, że nieupoważnione osoby nie będą mogły przywrócić urządzeń do ustawień fabrycznych. Jeśli ochrona przed przywracaniem do ustawień fabrycznych powoduje komplikacje operacyjne, gdy urządzenia są zwracane do działu IT, administratorzy IT mogą całkowicie wyłączyć tę ochronę.
4.17.1. Administratorzy IT mogą zapobiegać przywracaniu ustawień fabrycznych przez użytkowników w Ustawieniach.
4.17.2. Administratorzy IT mogą określić konta firmowe do odblokowywania, które mogą konfigurować urządzenia po przywróceniu ustawień fabrycznych.
- To konto może być powiązane z konkretną osobą lub używane przez całą firmę do odblokowywania urządzeń.
4.17.3. Administratorzy IT mogą wyłączyć ochronę przed przywróceniem do ustawień fabrycznych na określonych urządzeniach.
4.17.4. Administratorzy IT mogą zdalnie wymazać dane z urządzenia, co opcjonalnie wymaże dane ochrony przed przywróceniem do ustawień fabrycznych, a tym samym spowoduje usunięcie tej ochrony na urządzeniu.
4.18. Zaawansowana kontrola aplikacji
Administratorzy IT mogą uniemożliwić użytkownikowi odinstalowanie lub zmodyfikowanie zarządzanych aplikacji w ustawieniach, na przykład wymuszając zamknięcie aplikacji lub wyczyszczając pamięć podręczną danych aplikacji.
4.18.1. Administratorzy IT mogą zablokować odinstalowanie dowolnej aplikacji zarządzanej lub wszystkich aplikacji zarządzanych.
4.18.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie danych aplikacji w Ustawieniach.
4.19. Zarządzanie zrzutami ekranu
Administratorzy IT mogą zablokować użytkownikom możliwość robienia zrzutów ekranu podczas korzystania z aplikacji zarządzanych. To ustawienie obejmuje blokowanie aplikacji do udostępniania ekranu i podobnych aplikacji (takich jak Asystent Google), które korzystają z możliwości systemu do robienia zrzutów ekranu.
4.19.1. Administratorzy IT mogą uniemożliwić użytkownikom robienie zrzutów ekranu.
4,20. Wyłączanie aparatów
Administratorzy IT mogą wyłączyć stosowanie aparatów urządzeń przez aplikacje zarządzane.
4.20.1. Administratorzy IT mogą wyłączyć korzystanie z aparatu urządzenia przez aplikacje zarządzane.
4.21. Zbieranie statystyk sieci
Administratorzy IT mogą wysyłać zapytania o statystyki dotyczące użytkowania sieci na profilu służbowym urządzenia. Zbierane statystyki odzwierciedlają dane o korzystaniu udostępnione użytkownikom w sekcji Korzystanie z danych w Ustawieniach. Zbierane statystyki dotyczą korzystania z aplikacji w profilu służbowym.
4.21.1. Administratorzy IT mogą wysyłać zapytanie o podsumowanie statystyk sieci dla profilu służbowego na danym urządzeniu w określonym oknie czasowym i wyświetlać te informacje w konsoli EMM.
4.21.2. Administratorzy IT mogą wysyłać zapytanie o podsumowanie statystyk dotyczących wykorzystania sieci przez aplikację w profilu służbowym na danym urządzeniu w określonym oknie czasowym. Mogą też wyświetlać te informacje pogrupowane według identyfikatora UID w konsoli EMM.
4.21.3. Administratorzy IT mogą wysyłać zapytania o historyczne dane o użyciu sieci przez profil służbowy dotyczące danego urządzenia i określonego okna czasowego. Mogą też wyświetlać te szczegóły w konsoli EMM, pogrupowane według identyfikatora UID.
4.22. Zaawansowane zbieranie statystyk sieci
Administratorzy IT mogą wysyłać zapytania o statystyki dotyczące użytkowania sieci na całym zarządzanym urządzeniu. Zebrane statystyki odzwierciedlają dane o użytkowaniu udostępnione użytkownikom w sekcji Użycie danych w Ustawieniach. Zbierane statystyki dotyczą korzystania z aplikacji na urządzeniu.
4.22.1. Administratorzy IT mogą wysyłać zapytania o podsumowanie statystyk sieci dla całego urządzenia w przypadku danego urządzenia i konfigurowalnego przedziału czasu, a następnie wyświetlać te informacje w konsoli EMM.
4.22.2. Administratorzy IT mogą wysyłać zapytania o podsumowanie statystyk dotyczących wykorzystania sieci przez aplikacje na danym urządzeniu w określonym oknie czasowym. Mogą też wyświetlać te szczegóły uporządkowane według identyfikatora UID w konsoli EMM.
4.22.3. Administratorzy IT mogą wysyłać zapytania o historyczne dane dotyczące wykorzystania sieci dotyczące danego urządzenia i określonego okna czasowego. Mogą też wyświetlać te szczegóły pogrupowane według identyfikatora UID w konsoli EMM.
4.23. Uruchom urządzenie ponownie
Administratorzy IT mogą zdalnie uruchamiać ponownie zarządzane urządzenia.
4.23.1. Administratorzy IT mogą zdalnie ponownie uruchomić zarządzane urządzenie.
4.24. Zarządzanie radiem systemowym
Pozwala administratorom IT na szczegółowe zarządzanie systemem radiowym sieci i powiązanymi z nim zasadami użytkowania.
4.24.1. Administratorzy IT mogą wyłączyć transmisje komórkowe wysyłane przez dostawców usług (np. alerty AMBER).
4.24.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień sieci komórkowej w Ustawieniach.
4.24.3. Administratorzy IT mogą uniemożliwić użytkownikom resetowanie ustawień sieci w Ustawieniach.
4.24.4. Administratorzy IT mogą zezwolić na mobilną transmisję danych w roamingu lub ją zablokować.
4.24.5. Administratorzy IT mogą ustawić, czy urządzenie może nawiązywać połączenia wychodzące, z wyjątkiem połączeń alarmowych.
4.24.6. Administratorzy IT mogą skonfigurować, czy urządzenie może wysyłać i odbierać SMS-y.
4.24.7. Administratorzy IT mogą uniemożliwić użytkownikom korzystanie z ich urządzenia jako mobilnego hotspota za pomocą tetheringu.
4.24.8. Administratorzy IT mogą ustawić czas oczekiwania na Wi-Fi na domyślny, tylko podczas ładowania lub nigdy.
4.24.9. Administratorzy IT mogą uniemożliwić użytkownikom konfigurowanie lub modyfikowanie istniejących połączeń Bluetooth.
4,25. Zarządzanie systemowym dźwiękiem
Administratorzy IT mogą bezgłośnie zarządzać funkcjami audio urządzenia, w tym wyciszyć urządzenie, uniemożliwić użytkownikom zmianę ustawień głośności i uniemożliwić użytkownikom odblokowanie mikrofonu urządzenia.
4.25.1. Administratorzy IT mogą wyciszyć zarządzane urządzenia.
4.25.2. Administratorzy IT mogą uniemożliwić użytkownikom modyfikowanie ustawień głośności urządzenia.
4.25.3. Administratorzy IT mogą uniemożliwić użytkownikom wyłączenie wyciszenia mikrofonu urządzenia.
4,26. Zarządzanie zegarem systemowym
Administratorzy IT mogą zarządzać ustawieniami zegara i strefy czasowej urządzenia oraz uniemożliwiać użytkownikom modyfikowanie automatycznych ustawień urządzenia.
4.26.1. Administratorzy IT mogą narzucać automatyczny czas systemowy, uniemożliwiając użytkownikowi ustawienie daty i godziny na urządzeniu.
4.26.2. Administratorzy IT mogą w cichości wyłączać i włączać automatyczny czas oraz automatyczny czas strefy czasowej.
4.27. Zaawansowane funkcje urządzeń specjalnych
Daje administratorom IT możliwość zarządzania bardziej szczegółowymi funkcjami dedykowanych urządzeń w celu obsługi różnych zastosowań kiosków.
4.27.1. Administratorzy IT mogą wyłączyć blokadę ekranu.
4.27.2. Administratorzy IT mogą wyłączyć pasek stanu urządzenia, blokując powiadomienia i Szybkie ustawienia.
4.27.3. Administratorzy IT mogą wymusić pozostanie włączonego ekranu urządzenia, gdy jest ono podłączone do zasilania.
4.27.4. Administratorzy IT mogą uniemożliwić wyświetlanie tych interfejsów systemu:
- Toasty
- Nakładki aplikacji.
4.27.5. Administratorzy IT mogą zezwolić na to, aby rekomendacje systemowe dotyczące aplikacji pominięły samouczek dla użytkownika i inne wskazówki wprowadzające podczas pierwszego uruchamiania.
4.28. Zarządzanie zakresem delegowanym
Administratorzy IT mogą przyznawać dodatkowe uprawnienia poszczególnym pakietom.
4.28.1. Administratorzy IT mogą zarządzać tymi zakresami:
- Instalowanie certyfikatów i zarządzanie nimi
- celowo pusty,
- Rejestrowanie sieciowe
- Rejestrowanie zabezpieczeń (nieobsługiwane na profilu służbowym na urządzeniu osobistym)
4.29. Pomoc dotycząca identyfikatorów związanych z rejestracją
Od Androida 12 profile służbowe nie będą już miały dostępu do identyfikatorów powiązanych z konkretnym sprzętem. Administratorzy IT mogą śledzić cykl życia urządzenia z profilem służbowym za pomocą identyfikatora rejestracji, który będzie zachowany po przywracaniu urządzenia do ustawień fabrycznych.
4.29.1. Administratorzy IT mogą ustawić i uzyskać identyfikator dotyczący rejestracji.
4.29.2. Ten identyfikator rejestracji musi być zachowany po przywróceniu urządzenia do ustawień fabrycznych.
5. Wykorzystanie urządzenia
5.1. Dostosowywanie zarządzanego udostępniania
Administratorzy IT mogą zmodyfikować domyślny interfejs procesu konfiguracji, aby uwzględnić funkcje przeznaczone dla firm. Opcjonalnie administratorzy IT mogą wyświetlać podczas obsługi administracyjnej elementy marki dostarczone przez EMM.
5.1.1. Administratorzy IT mogą dostosować proces provisionowania, podając te informacje o firmie: kolor firmy, logo firmy, warunki korzystania z usługi i inne zastrzeżenia.
5.1.2. Administratorzy IT mogą wdrożyć niestandardowe ustawienia EMM, które obejmują te informacje: kolor EMM, logo EMM i Warunki korzystania z usługi EMM i inne zastrzeżenia.
5.1.3 [primaryColor] został wycofany w przypadku zasobu dla przedsiębiorstw w Androidzie 10 i nowszych.
- Usługi EMM muszą zawierać Warunki korzystania z usługi i inne wyłączenia odpowiedzialności dotyczące procesu obsługi w pakiecie wyłączenia odpowiedzialności dotyczącego obsługi, nawet jeśli nie używasz dostosowań związanych z usługą EMM.
- Usługi EMM mogą ustawić niestandardowe ustawienia, które nie mogą być konfigurowane, jako domyślne dla wszystkich wdrożeń, ale muszą zezwolić administratorom IT na konfigurowanie własnych ustawień.
5.2. Dostosowywanie wersji Enterprise
Administratorzy IT mogą dostosować elementy profilu służbowego, dodając firmowe logotypy. Na przykład administratorzy IT mogą ustawić ikonę użytkownika na profilu służbowym na logo firmy. Innym przykładem jest ustawienie koloru tła zadania w projektach.
5.2.1. Administratorzy IT mogą ustawić kolor organizacji, który będzie używany jako kolor tła wyzwania służbowego.
5.2.2. Administratorzy IT mogą ustawić wyświetlaną nazwę profilu służbowego.
5.2.3. Administratorzy IT mogą ustawić ikonę użytkownika profilu służbowego.
5.2.4. Administratorzy IT mogą uniemożliwić użytkownikowi modyfikowanie ikony profilu służbowego użytkownika.
5.3. Zaawansowane opcje dostosowywania dla firm
Administratorzy IT mogą dostosować urządzenia zarządzane do potrzeb firmy. Na przykład administratorzy IT mogą ustawić ikonę głównego użytkownika jako logo firmy lub tapetę na urządzeniu.
5.3.1. Administratorzy IT mogą ustawić wyświetlaną nazwę urządzenia zarządzanego.
5.3.2. Administratorzy IT mogą ustawić ikonę użytkownika zarządzanego urządzenia.
5.3.3. Administratorzy IT mogą uniemożliwić użytkownikowi modyfikowanie ikony użytkownika urządzenia.
5.3.4. Administratorzy IT mogą ustawić tapetę na urządzeniu.
5.3.5. Administratorzy IT mogą uniemożliwić użytkownikowi modyfikowanie tapety urządzenia.
5.4. Wiadomości na ekranie blokady
Administratorzy IT mogą ustawić niestandardowy komunikat, który zawsze wyświetla się na ekranie blokady urządzenia i nie wymaga odblokowania urządzenia.
5.4.1. Administratorzy IT mogą ustawić niestandardowy komunikat na ekranie blokady.
5.5. Zarządzanie przejrzystością zasad
Administratorzy IT mogą dostosować tekst pomocy wyświetlany użytkownikom, gdy modyfikują zarządzane ustawienia na urządzeniu, lub wdrożyć ogólny komunikat pomocy dostarczony przez EMM. Zarówno krótkie, jak i długie komunikaty pomocy można dostosowywać. Te komunikaty są wyświetlane w przypadkach takich jak próba odinstalowania aplikacji zarządzanej, której administrator IT zablokował odinstalowanie.
5.5.1. Administratorzy IT mogą dostosowywać krótkie i długie wiadomości pomocy.
5.5.2. Administratorzy IT mogą wdrażać niestandardowe krótkie i długie komunikaty pomocy dotyczące EMM.
- Usługa EMM może ustawić niestandardowe wiadomości pomocy jako domyślne dla wszystkich wdrożeń, ale musi zezwolić administratorom IT na konfigurowanie własnych wiadomości.
5,6. Zarządzanie kontaktami na różnych profilach
Administratorzy IT mogą kontrolować, jakie dane kontaktowe mogą być udostępniane poza profil służbowy. Aplikacje do obsługi połączeń i komunikacji (SMS-ów) muszą działać na profilu osobistym i wymagać dostępu do danych kontaktów na profilu służbowym, aby zapewniać efektywność kontaktów służbowych. Administratorzy mogą jednak wyłączyć te funkcje, aby chronić dane służbowe.
5.6.1. Administratorzy IT mogą wyłączyć wyszukiwanie kontaktów na różnych profilach w przypadku aplikacji osobistych, które korzystają z systemowego dostawcy kontaktów.
5.6.2. Administratorzy IT mogą wyłączyć wyszukiwanie identyfikatora dzwoniącego na podstawie profilu w przypadku aplikacji do obsługi telefonu, które korzystają z systemowego dostawcy kontaktów.
5.6.3. Administratorzy IT mogą wyłączyć udostępnianie kontaktów przez Bluetooth na urządzeniach Bluetooth, które korzystają z systemowego dostawcy kontaktów, na przykład w przypadku zestawów głośnomówiących w samochodach lub słuchawek.
5.7. Zarządzanie danymi w różnych profilach
Pozwala administratorom IT zarządzać tym, jakie dane mogą opuścić profil służbowy, poza domyślnymi funkcjami bezpieczeństwa profilu służbowego. Dzięki tej funkcji administratorzy IT mogą zezwalać na wybrane rodzaje udostępniania danych między profilami w celu poprawy użyteczności w kluczowych przypadkach użycia. Administratorzy IT mogą też dodatkowo chronić dane firmowe, stosując więcej blokad.
5.7.1. Administratorzy IT mogą konfigurować filtry intencji na różnych profilach, aby aplikacje osobiste mogły rozpoznawać intencje z profilu służbowego, np. intencje udostępniania czy linki internetowe.
- Konsola może opcjonalnie sugerować znane lub zalecane filtry intencji do konfiguracji, ale nie może ograniczać filtrów intencji do dowolnej listy.
5.7.2. Administratorzy IT mogą zezwolić na wyświetlanie widżetów na ekranie głównym w przypadku zarządzanych aplikacji.
- Konsola EMM musi umożliwiać administratorom IT wybór aplikacji z listy aplikacji dostępnych do zainstalowania przez odpowiednich użytkowników.
5.7.3. Administratorzy IT mogą zablokować kopiowanie i wklejanie danych między profilem służbowym a osobistym.
5.7.4. Administratorzy IT mogą zablokować użytkownikom udostępnianie danych z profilu służbowego za pomocą promienia NFC.
5.7.5. Administratorzy IT mogą zezwolić aplikacjom osobistym na otwieranie linków internetowych na profilu służbowym.
5,8. Zasady aktualizacji systemu
Administratorzy IT mogą konfigurować i stosować bezprzewodowe (OTA) aktualizacje systemu na urządzeniach.
5.8.1. Konsola usługi EMM umożliwia administratorom IT konfigurowanie tych ustawień OTA:
- Automatycznie: urządzenia instalują aktualizacje OTA, gdy tylko są dostępne.
- Odłożenie: administratorzy IT muszą mieć możliwość odłożenia aktualizacji OTA na okres do 30 dni. Te zasady nie mają wpływu na aktualizacje zabezpieczeń (np. comiesięczne poprawki zabezpieczeń).
- Okresowy: administratorzy IT muszą mieć możliwość zaplanowania aktualizacji OTA w ramach dziennego okresu konserwacji.
5.8.2. DPC EMM stosuje konfiguracje OTA na urządzeniach.
5,9. Zarządzanie trybem blokowania zadań
Administratorzy IT mogą zablokować aplikację lub zestaw aplikacji na ekranie, aby użytkownicy nie mogli ich zamknąć.
5.9.1. Konsola EMM umożliwia administratorom IT zezwalanie na instalację dowolnego zbioru aplikacji i blokowanie ich na urządzeniu. EMM's DPC umożliwia korzystanie z trybu dedykowanego urządzenia.
5.10. Trwałe zarządzanie preferowanymi działaniami
Pozwala administratorom IT ustawić aplikację jako domyślny moduł obsługi intencji dla intencji pasujących do określonego filtra intencji. Na przykład administratorzy IT mogą wybrać, która przeglądarka ma automatycznie otwierać linki, lub która aplikacja ma być używana po naciśnięciu przycisku Home.
5.10.1. Administratorzy IT mogą ustawić dowolny pakiet jako domyślny moduł obsługi intencji dla dowolnego filtra intencji.
- Konsola EMM może opcjonalnie sugerować znane lub zalecane intencje do konfiguracji, ale nie może ograniczać intencji do dowolnej listy.
- Konsola EMM musi umożliwiać administratorom IT wybór aplikacji z listy aplikacji dostępnych do zainstalowania dla odpowiednich użytkowników.
5.11. Zarządzanie funkcją Keyguard
- agentów zaufania
- odblokowywanie odciskiem palca
- nieocenzurowane powiadomienia
5.11.2. DPC dostawcy EMM może wyłączyć w profilu służbowym te funkcje ekranu blokady:
- agentów zaufania
- odblokowywanie odciskiem palca
5.12. Zaawansowane zarządzanie funkcją blokady ekranu
- Bezpieczna kamera
- Wszystkie powiadomienia
- Nieocenzurowane powiadomienia
- Agenty zaufania
- Odblokowywanie odciskiem palca
- Wszystkie funkcje ekranu blokady
5.13. Debugowanie zdalne
Administratorzy IT mogą pobierać zasoby debugowania z urządzeń bez konieczności wykonywania dodatkowych czynności.
5.13.1. Administratorzy IT mogą zdalnie prosić o zgłoszenia błędów, wyświetlać zgłoszenia błędów w konsoli EMM oraz pobierać zgłoszenia błędów z konsoli EMM.
5.14. Pobieranie adresu MAC
EMM mogą pobierać adres MAC urządzenia bez powiadamiania. Adres MAC może służyć do identyfikowania urządzeń w innych częściach infrastruktury korporacyjnej (np. podczas identyfikowania urządzeń na potrzeby kontroli dostępu do sieci).
5.14.1. Usługa EMM może po cichu pobierać adres MAC urządzenia i kojarzyć go z urządzeniem w konsoli usługi EMM.
5.15. Zaawansowane zarządzanie trybem blokowania zadań
Gdy urządzenie jest skonfigurowane jako urządzenie dedykowane, administratorzy IT mogą używać konsoli EMM do wykonywania tych czynności:
5.15.1. Ciche zezwolenie na zablokowanie aplikacji na urządzeniu za pomocą zasad dotyczących urządzeń w EMM.
5.15.2. Włącz lub wyłącz te funkcje interfejsu System UI, korzystając z DPC EMM:
- Przycisk Ekran główny
- Omówienie
- Działania globalne
- Powiadomienia
- Informacje o systemie / Pasek stanu
- Blokada klawiszy (ekran blokady)
5.15.3. Wyłącz okno błędu systemu za pomocą DPC w EMM.
5.16. Zaawansowana zasada aktualizacji systemu
Administratorzy IT mogą blokować aktualizacje systemu na urządzeniu przez określony okres blokady.
5.16.1. DPC EMM może stosować bezprzewodowe (OTA) aktualizacje systemu na urządzeniach przez określony okres blokady.
5.17. Zarządzanie przejrzystością zasad profilu służbowego
Administratorzy IT mogą dostosowywać komunikat wyświetlany użytkownikom podczas usuwania profilu służbowego z urządzenia.
5.17.1. Administratorzy IT mogą podać niestandardowy tekst, który będzie wyświetlany po wyczyszczeniu profilu służbowego.
5.18. Pomoc dotycząca połączonych aplikacji
Administratorzy IT mogą ustawić listę pakietów, które mogą komunikować się przez granicę profilu służbowego.
5.19. Ręczne aktualizacje systemu
Administratorzy IT mogą ręcznie zainstalować aktualizację systemu, podając ścieżkę.
6. Wycofanie aplikacji do zarządzania urządzeniem
6.1. Wycofanie aplikacji do zarządzania urządzeniem
EMM muszą opublikować plan zakończenia obsługi klienta Device Admin na urządzeniach GMS do końca I kwartału 2023 r.
7. Korzystanie z interfejsu API
7.1. Standardowy kontroler zasad dla nowych powiązań
Domyślnie zarządzanie urządzeniami przy użyciu Android Device Policy musi być włączone w przypadku wszystkich nowych powiązań. EMM mogą udostępniać opcję zarządzania urządzeniami za pomocą niestandardowego DPC w obszarze ustawień pod nagłówkiem „Zaawansowane” lub podobnym. Nowi klienci nie mogą mieć możliwości wyboru dowolnego zbioru technologii podczas procesu rejestracji lub konfiguracji.
7.2. Standardowy kontroler zasad dla nowych urządzeń
Domyślnie zarządzanie urządzeniami przy użyciu aplikacji Android Device Policy musi być włączone w przypadku wszystkich nowych rejestracji urządzeń, zarówno w przypadku istniejących, jak i nowych powiązań. Systemy EMM mogą udostępniać opcję zarządzania urządzeniami za pomocą niestandardowych zasad dotyczących urządzeń w obszarze ustawień pod nagłówkiem „Zaawansowane” lub podobnym.