In questa pagina è elencato il set completo di funzionalità di Android Enterprise.
Se intendi gestire più di 500 dispositivi, la tua soluzione EMM deve supportare tutte le funzionalità standard () di almeno uno prima che possa essere resa disponibile in commercio. soluzioni EMM che superare la verifica delle funzionalità standard sono indicate nel sito Enterprise Solutions di Android Google Cloud come offerta Set di gestione standard.
Per ogni insieme di soluzioni è disponibile una serie aggiuntiva di funzionalità avanzate. Questi Le funzionalità sono indicate in ogni pagina dell'insieme di soluzioni: profilo di lavoro , dispositivo completamente gestito e dispositivo dedicato. Le soluzioni EMM che superano la verifica delle funzionalità avanzate sono elencate nel Directory Soluzioni aziendali di Google come offrire un set di gestione avanzata.
Chiave
| Standard funzionalità | avanzata funzionalità | funzionalità facoltativa | non applicabile |
1. Provisioning dei dispositivi
1.1. Provisioning del profilo di lavoro incentrato sul DPC (controller criteri dispositivi)
Puoi eseguire il provisioning di un profilo di lavoro dopo aver scaricato il DPC (controller criteri dispositivi) dell'EMM da Google Play.
1.1.1. Il DPC dell'EMM deve essere disponibile pubblicamente su Google Play affinché gli utenti possano installa il DPC sul lato personale del dispositivo.
1.1.2. Una volta installato, il DPC deve guidare l'utente nel processo di il provisioning di un profilo di lavoro.
1.1.3. Una volta completato il provisioning, non può rimanere alcuna presenza di gestione nella il lato personale del dispositivo.
- Tutti i criteri implementati durante il provisioning devono essere rimossi.
- I privilegi per le app devono essere revocati.
- Il DPC dell'EMM deve essere almeno disattivato sul lato personale del dispositivo.
1.2. Provisioning dei dispositivi identificatore DPC
Gli amministratori IT possono eseguire il provisioning di un dispositivo completamente gestito o dedicato utilizzando un DPC (controller criteri dispositivi). identificatore ("afw#"), in base alle linee guida di implementazione definite in la documentazione per gli sviluppatori relativa all'API Play EMM.
1.2.1. Il DPC dell'EMM deve essere disponibile pubblicamente su Google Play. Il DPC deve essere installabile dalla configurazione guidata del dispositivo inserendo un identificatore specifico del DPC.
1.2.2. Una volta installato, il DPC dell'EMM deve guidare l'utente nella procedura di provisioning di un dispositivo completamente gestito o dedicato.
1.3. Provisioning dei dispositivi NFC
Gli amministratori IT possono usare i tag NFC per eseguire il provisioning di dispositivi nuovi o di cui sono stati ripristinati i dati di fabbrica in base all'implementazione linee guida definite nel Documentazione per gli sviluppatori dell'API EMM di Google Play.
1.3.1. I provider EMM devono utilizzare tag NFC Forum di tipo 2 con almeno 888 byte di memoria. Il provisioning deve utilizzare gli extra di provisioning per trasmettere a un dispositivo dettagli di registrazione non sensibili, come ID server e ID registrazione. Dettagli registrazione non deve includere informazioni sensibili, come password o certificati.
1.3.2. Dopo che il DPC dell'EMM si è impostato come proprietario del dispositivo, deve aprirsi immediatamente e bloccarsi sullo schermo finché il provisioning del dispositivo non è completato. 1.3.3. Ti consigliamo di utilizzare i tag NFC da Android 10 in poi a causa delle ritiro di NFC Beam (noto anche come NFC Bump). di Gemini Advanced.
1.4. Provisioning del dispositivo con codice QR
Gli amministratori IT possono utilizzare un dispositivo nuovo o di cui hai ripristinato i dati di fabbrica per scansionare un codice QR generato console dell'EMM per eseguire il provisioning del dispositivo, in base all'implementazione linee guida definite in Documentazione per gli sviluppatori dell'API EMM di Play.
1.4.1. Il codice QR deve usare componenti extra di provisioning per trasmettere contenuti dettagli di registrazione come ID server e ID di registrazione a un dispositivo. Registrazione Questi dettagli non devono includere informazioni sensibili, come password o certificati.
1.4.2. Dopo che il DPC dell'EMM ha configurato il dispositivo, deve aprirsi immediatamente e bloccarsi sullo schermo finché il provisioning del dispositivo non è stato completato.
1.5. Registrazione zero-touch
Gli amministratori IT possono preconfigurare i dispositivi acquistati da rivenditori autorizzati e gestirli usando la tua console EMM.
1.5.1. Gli amministratori IT possono eseguire il provisioning dei dispositivi di proprietà dell'azienda utilizzando la registrazione zero-touch metodo di registrazione, descritto in Registrazione zero-touch per gli amministratori IT.
1.5.2. Quando un dispositivo viene acceso per la prima volta, viene forzato automaticamente le impostazioni definite dall'amministratore IT. di Gemini Advanced.
1.6. Provisioning zero-touch avanzato
Gli amministratori IT possono automatizzare gran parte del processo di registrazione dei dispositivi implementando DPC (controller criteri dispositivi) tramite la registrazione zero-touch. Il DPC dell'EMM supporta limitare la registrazione ad account o domini specifici, in base alle di configurazione offerte dall'EMM.
1.6.1. Gli amministratori IT possono eseguire il provisioning di un dispositivo di proprietà dell'azienda utilizzando la registrazione zero-touch metodo di registrazione, descritto in Registrazione zero-touch per gli amministratori IT.
1.6.2. Dopo che il DPC dell'EMM ha configurato il dispositivo, il DPC dell'EMM deve si apre immediatamente e si blocca sullo schermo finché il dispositivo non è completamente di cui è stato eseguito il provisioning.
- Questo requisito non è approvato per i dispositivi che utilizzano la registrazione zero-touch dati di registrazione per eseguire il provisioning completamente automatico (ad esempio, un'implementazione dedicata del dispositivo).
1.6.3. Utilizzando i dettagli di registrazione, il DPC dell'EMM deve assicurarsi che gli utenti non autorizzati non possano procedere con l'attivazione una volta invocato il DPC. Presso l'attivazione deve essere bloccata per gli utenti di una determinata azienda.
1.6.4. Usando i dettagli di registrazione, il DPC dell'EMM deve permettere agli amministratori IT di precompilare i dettagli di registrazione (ad esempio ID server, ID di registrazione), a parte le informazioni univoche sull'utente o sul dispositivo (ad esempio nome utente/password, token di attivazione), in modo che gli utenti non debbano inserire dettagli quando si attiva un dispositivo.
- I provider EMM non devono includere informazioni sensibili come password o nella configurazione della registrazione zero-touch.
1.7. Provisioning del profilo di lavoro per l'Account Google
Per le aziende che utilizzano un dominio Google gestito, questa funzionalità guida gli utenti nella configurazione di un profilo di lavoro dopo aver inserito le credenziali di Workspace aziendali durante la configurazione del dispositivo o su un dispositivo già attivato. In entrambi i casi, l'identità aziendale di Workspace è stata eseguita la migrazione al profilo di lavoro.
1.7.1. Il metodo di provisioning dell'Account Google prevede un profilo di lavoro, in base alle linee guida di implementazione chiarite.
1.8. Provisioning dei dispositivi con l'Account Google
Per le aziende che utilizzano Workspace, questa funzionalità guida gli utenti attraverso installazione del DPC (controller criteri dispositivi) dell'EMM dopo l'accesso all'area di lavoro durante la configurazione iniziale del dispositivo. Una volta installato, il DPC completa configurazione di un dispositivo di proprietà dell'azienda.
1.8.1. Il metodo di provisioning dell'Account Google esegue il provisioning di un dispositivo di proprietà dell'azienda, in base all'implementazione definita linee guida di Google.
1.8.2. A meno che l'EMM non possa identificare in modo inequivocabile il dispositivo come risorsa aziendale, non può eseguire il provisioning di un dispositivo senza una richiesta durante la procedura di provisioning. Questo prompt deve eseguire un'azione non predefinita come selezionando una casella di controllo o scegliendo un'opzione di menu non predefinita. Consigliato l'EMM è in grado di identificare il dispositivo come asset aziendale per senza bisogno del prompt.
1,9 Configurazione zero-touch diretta
Gli amministratori IT possono utilizzare la console EMM per configurare i dispositivi zero-touch utilizzando l'iframe zero-touch.
1.10. Profili di lavoro sui dispositivi di proprietà dell'azienda
I provider EMM possono registrare i dispositivi di proprietà dell'azienda che hanno un profilo di lavoro.
1.10.1. Deliberatamente vuoto.
1.10.2. Gli amministratori IT possono impostare azioni di conformità per i profili di lavoro sui dispositivi di proprietà dell'azienda.
1.10.3. Gli amministratori IT possono disattivare la videocamera nel profilo di lavoro o nel l'intero dispositivo.
1.10.4. Gli amministratori IT possono disattivare l'acquisizione di schermate nel profilo di lavoro o nell'intero dispositivo.
1.10.5. Gli amministratori IT possono impostare una lista consentita o una lista bloccata di applicazioni che possono non può essere installato nel profilo personale.
1.10.6. Gli amministratori IT possono rinunciare alla gestione di un dispositivo di proprietà dell'azienda rimuovendo del profilo di lavoro o cancellare i dati dell'intero dispositivo. di Gemini Advanced.
1.11. Provisioning dei dispositivi dedicato
Deliberatamente vuoto.
2. Sicurezza dispositivo
2.1. Verifica della sicurezza del dispositivo
Gli amministratori IT possono impostare e applicare una verifica di sicurezza del dispositivo (PIN/sequenza/password) da una selezione predefinita di 3 livelli di complessità sui dispositivi gestiti.
2.1.1. Il criterio deve applicare le impostazioni che gestiscono le verifiche di sicurezza dei dispositivi (parentProfilePasswordStatus per il profilo di lavoro, passwordrequirements per dispositivi completamente gestiti e dedicati).
2.1.2. La complessità della password deve corrispondere alle seguenti complessità:
- PASSWORD_COMPLEXITY_LOW - sequenza o spillo con sequenze ripetute (4444) o ordinate (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468), Password alfabetica o alfanumerica di almeno 4 caratteri
- PASSWORD_COMPLEXITY_HIGH - PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468) e un 8 oppure password alfabetiche o alfanumeriche della lunghezza di almeno 8 caratteri, almeno 6
2.2. Verifica della sicurezza del lavoro
Gli amministratori IT possono impostare e applicare una sfida di sicurezza per le app e i dati sul lavoro un profilo separato che presenta requisiti diversi da quelli di sicurezza verifica (2.1.).
2.2.1. Il criterio deve applicare la verifica di sicurezza per il profilo di lavoro. Per impostazione predefinita, gli amministratori IT devono impostare limitazioni solo per il profilo di lavoro, se non sono presenti l'ambito è specificato Gli amministratori IT possono impostare questo a livello di dispositivo specificando l'ambito (vedi il requisito 2.1)
2.1.2. La complessità della password deve corrispondere alle complessità inerenti:
- PASSWORD_COMPLEXITY_LOW - sequenza o spillo con sequenze ripetute (4444) o ordinate (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468), password alfabetica o alfanumerica con una lunghezza di almeno 4
- PASSWORD_COMPLEXITY_HIGH - PIN senza sequenze ripetute (4444) o ordinate (1234, 4321, 2468) e un 8 oppure password alfabetiche o alfanumeriche della lunghezza di almeno 8 caratteri, almeno 6
2.3. Gestione avanzata dei passcode
2.3.1. deliberatamente vuoto.
2.3.2. Deliberatamente vuoto.
2.3.3. Per ogni schermata di blocco è possibile configurare le seguenti impostazioni del ciclo di vita delle password disponibili su un dispositivo:
- Vuoto deliberatamente
- Vuoto deliberatamente
- Numero massimo di password non riuscite per la cancellazione dei dati : specifica il numero di volte in cui gli utenti possono inserire una password errata prima vengono cancellati definitivamente i dati aziendali. Gli amministratori IT devono essere in grado di disattivare questa funzionalità.
2.4. Gestione Smart Lock
Gli amministratori IT possono gestire il tipo di agenti di attendibilità in Smart Lock di Android funzionalità per sbloccare i dispositivi. Gli amministratori IT possono disattivare sblocco specifici come dispositivi Bluetooth attendibili, riconoscimento del volto e riconoscimento vocale, o, se vuoi, disattivare completamente la funzionalità.
2.4.1. Gli amministratori IT possono disattivare gli agenti di attendibilità Smart Lock. in modo indipendente per ogni schermata di blocco disponibile sul dispositivo.
2.4.2. Gli amministratori IT possono consentire e configurare selettivamente l'attendibilità di Smart Lock agenti , indipendentemente per ogni schermata di blocco disponibile sul dispositivo, per le seguenti agenti di attendibilità: Bluetooth, NFC, luoghi, volto, sul corpo e voce.
- Gli amministratori IT possono modificare attendibilità disponibile di configurazione degli agenti.
2.5. Cancellazione e blocco
Gli amministratori IT possono utilizzare la console del provider EMM per bloccare e cancellare da remoto i dati di lavoro da un dispositivo gestito.
2.5.1. L'EMM DPC devono bloccare i dispositivi.
2.5.2. Il DPC dell'EMM deve resettare i dispositivi.
2.6. Applicazione della conformità
Se un dispositivo non è conforme ai criteri di sicurezza, i dati di lavoro: con limitazioni automatiche.
2.6.1. Come minimo, i criteri di sicurezza applicati a un dispositivo devono includere il criterio relativo alle password. di Gemini Advanced.
2.7. Criteri di sicurezza predefiniti
I provider EMM devono applicare i criteri di sicurezza specificati sui dispositivi per impostazione predefinita. senza richiedere agli amministratori IT di configurare o personalizzare le impostazioni del provider EMM Google Cloud. Consigliamo ai provider EMM (ma non obbligatori) di non consentire agli amministratori IT di cambiare lo stato predefinito di queste funzionalità di sicurezza.
2.7.1. Il DPC dell'EMM Deve bloccare l'installazione di app da fonti sconosciute, incluse le app installate sul lato personale di qualsiasi Dispositivo Android 8.0 o versioni successive con un profilo di lavoro.
2.7.2. Il DPC dell'EMM deve bloccare le funzionalità di debug.
2.8. Criteri di sicurezza per i dispositivi dedicati
I dispositivi dedicati sono bloccati senza possibilità di uscire per consentire altre azioni.
2.8.1. Il DPC dell'EMM disattivare l'avvio in modalità provvisoria.
2.8.2. Il DPC dell'EMM deve essere aperto e bloccato sullo schermo immediatamente primo avvio durante il provisioning, per garantire che non ci sia alcuna interazione con il dispositivo in altro modo.
2.8.3. Per essere consentito, il DPC dell'EMM deve essere impostato come Avvio app predefinito le app sono bloccate nella schermata all'avvio, in base all'implementazione definita linee guida.
2.9. Assistenza di Play Integrity
L'EMM utilizza l'API Play Integrity per assicurarti che i dispositivi siano dispositivi Android validi.
2.9.1. Il DPC dell'EMM implementa l'API Play Integrity durante il provisioning e, per impostazione predefinita, completa il provisioning del dispositivo con i dati aziendali solo quando l'integrità del dispositivo restituita è MEETS_STRONG_INTEGRITY.
2.9.2. Il DPC dell'EMM eseguirà un altro controllo di Play Integrity ogni volta che il dispositivo esegue la verifica con il server EMM, configurabile dall'amministratore IT. L'EMM il server web verifica le informazioni sull'APK nella risposta del controllo di integrità e prima di aggiornare i criteri aziendali sul dispositivo.
2.9.3. Gli amministratori IT possono configurare diverse risposte ai criteri in base al risultato il controllo di Play Integrity, inclusi il blocco del provisioning, la cancellazione dei dati aziendali e consentire il proseguimento della registrazione.
- Il servizio EMM applicherà questa risposta alle norme per il risultato di ogni controllo di integrità.
2.9.4. Se il controllo iniziale di Play Integrity non va a buon fine o restituisce un risultato che non soddisfano una elevata integrità, se il DPC dell'EMM non ha già chiamato ensureWorkingEnvironment deve farlo e ripetere il controllo prima del completamento del provisioning.
2.10. Applicazione forzata di Verifica app
Gli amministratori IT possono attivare Verifica app sui dispositivi. Verifica app analizza le app installate sui dispositivi Android per rilevare software dannosi prima e dopo l'installazione, contribuendo a garantire che le app dannose non possano compromettere i dati aziendali.
2.10.1. Il DPC dell'EMM attivare Verifica app per impostazione predefinita.
2.11. Supporto per l'avvio diretto
Le app non possono essere eseguite su dispositivi Android 7.0 e versioni successive che sono stati accesi solo dopo la il dispositivo viene sbloccato per primo. Avvio diretto assicura che il DPC dell'EMM sia sempre attivo e in grado di applicare criteri, anche se il dispositivo non è stato sbloccato.
2.11.1. Il DPC (controller criteri dispositivi) dell'EMM utilizza lo spazio di archiviazione criptato del dispositivo per eseguire operazioni prima che l'archiviazione crittografata delle credenziali del DPC decriptato. Le funzioni di gestione disponibili durante l'avvio diretto devono includere (ma non si limitano a:
- Cancellazione aziendale, inclusa la possibilità di cancella i dati della protezione ripristino dati di fabbrica come appropriato.
2.11.2. Il DPC dell'EMM non deve esporre i dati aziendali all'interno del dispositivo criptato archiviazione.
2.11.3. I provider EMM possono impostare e attivare un token per attivare l'opzione Password dimenticata? nella schermata di blocco del profilo di lavoro. Questo pulsante viene utilizzato per richiedere gli amministratori IT reimposteranno in sicurezza la password del profilo di lavoro. di Gemini Advanced.
2.12. Gestione della sicurezza hardware
Gli amministratori IT possono bloccare gli elementi hardware di un dispositivo di proprietà dell'azienda per garantire la prevenzione della perdita di dati.
2.12.1. Gli amministratori IT possono impedire agli utenti di installare componenti esterni fisici contenuti multimediali sul loro dispositivo.
2.12.2. Gli amministratori IT possono impedire agli utenti di condividere dati dal proprio dispositivo utilizzando la tecnologia NFC. trasmissione di Google. Questa sottofunzionalità è facoltativa poiché la funzionalità di trasmissione NFC non è più supportata su Android 10 e versioni successive.
2.12.3. Gli amministratori IT possono impedire agli utenti di trasferire i file USB dal proprio dispositivo.
2.13. Logging di sicurezza aziendale
Gli amministratori IT possono raccogliere dati sull'utilizzo dai dispositivi che possono essere analizzati e valutati in modo programmatico per rilevare eventuali comportamenti dannosi o rischiosi. Attività registrate includono l'attività di Android Debug Bridge (adb), le aperture delle app e gli sblocchi schermo.
2.13.1. Gli amministratori IT possono abilitare il logging della sicurezza per dispositivi specifici e il DPC dell'EMM deve essere in grado di recuperare automaticamente sia i log di sicurezza sia i log di sicurezza pre-riavvio.
2.13.2. Gli amministratori IT possono esaminare i log di sicurezza aziendali per un determinato dispositivo e periodo di tempo configurabile nella console EMM.
2.13.3. Gli amministratori IT possono esportare i log di sicurezza aziendale dalla console EMM. di Gemini Advanced.
3. Gestione di app e account
3.1. Associazione aziendale
Gli amministratori IT possono associare la soluzione EMM alla propria organizzazione, consentendo a quest'ultima di utilizzare la versione gestita di Google Play per distribuire le app sui dispositivi.
3.1.1. Un amministratore con un dominio Google gestito esistente può associare il proprio dominio all'EMM.
3.1.2. La console dell'EMM deve eseguire in modalità silenziosa il provisioning e la configurazione di un ESA per ogni azienda.
3.1.3. Annullare la registrazione di un'azienda utilizzando l'API EMM di Play.
3.1.4. La console EMM indica all'amministratore di inserire il proprio indirizzo email di lavoro nel Flusso di registrazione di Android e dissuaderlo dall'utilizzare un account Gmail.
3.1.5. L'EMM precompila l'indirizzo email dell'amministratore nel flusso di registrazione di Android. di Gemini Advanced.
3.2. Provisioning degli account della versione gestita di Google Play
L'EMM può eseguire automaticamente il provisioning di account utente aziendali, chiamati account della versione gestita di Google Play. Questi account identificano gli utenti gestiti consentono regole di distribuzione delle app univoche per utente.
3.2.1. Il DPC dell'EMM può eseguire automaticamente il provisioning e attivare una versione gestita di Google Play l'account in base alle linee guida di implementazione definite. In questo modo:
- Un account Google Play gestito di tipo
userAccountè stato aggiunto al dispositivo. - L'account Google Play gestito di tipo
userAccountdeve avere un rapporto 1:1 con gli utenti effettivi nella console EMM.
3.3 Provisioning degli account del dispositivo della versione gestita di Google Play
L'EMM può creare ed eseguire il provisioning di account del dispositivo della versione gestita di Google Play. di Google. Gli account dispositivo supportano l'installazione invisibile delle app dal Google Play Store gestito e non sono legati a un singolo utente. Un account dispositivo viene invece utilizzato identificare un singolo dispositivo per supportare le regole di distribuzione delle app per dispositivo di dispositivi dedicati.
3.3.1. Il DPC dell'EMM può eseguire automaticamente il provisioning e attivare una versione gestita di Google Play
l'account in base alle linee guida di implementazione definite.
È necessario aggiungere un account della versione gestita di Google Play di tipo deviceAccount
al dispositivo.
.
3.4. Provisioning degli account della versione gestita di Google Play per dispositivi legacy
L'EMM può eseguire automaticamente il provisioning degli account utente aziendali, chiamati account utente gestiti Account Google Play. Questi account identificano gli utenti gestiti e consentono regole di distribuzione delle app univoche per utente.
3.4.1. Il DPC dell'EMM può eseguire automaticamente il provisioning e attivare una versione gestita di Google Play l'account in base alle linee guida di implementazione definite. A questo scopo:
- Un account Google Play gestito di tipo
userAccountè stato aggiunto al dispositivo. - L'account Google Play gestito di tipo
userAccountdeve avere un rapporto 1:1 con gli utenti effettivi nella console EMM.
3.5. Distribuzione silenziosa delle app
Gli amministratori IT possono distribuire in modalità invisibile le app di lavoro sui dispositivi degli utenti senza alcuna interazione da parte loro.
3.5.1. La console EMM deve utilizzare l'API EMM di Play per consentire agli amministratori IT di installare app di lavoro sui dispositivi gestiti.
3.5.2. La console EMM deve utilizzare l'API EMM di Play per consentire agli amministratori IT di aggiornare le app di lavoro sui dispositivi gestiti.
3.5.3. La console EMM deve utilizzare l'API EMM di Play per consentire agli amministratori IT di disinstallare le app sui dispositivi gestiti.
3.6. Gestione della configurazione gestita
Gli amministratori IT possono visualizzare e impostare automaticamente le configurazioni gestite per qualsiasi app che supporta le configurazioni gestite.
3.6.1. La console EMM deve essere in grado di recuperare e visualizzare le impostazioni di configurazione gestita di qualsiasi app Google Play.
- I provider EMM possono chiamare
Products.getAppRestrictionsSchemaper recuperare un lo schema delle configurazioni gestite dell'app oppure incorpora l'iframe delle configurazioni gestite nel loro Console EMM.
3.6.2. La console EMM deve consentire agli amministratori IT di impostare qualsiasi tipo di configurazione (come definito dal framework Android) per qualsiasi app Play utilizzando l'API Play EMM.
3.6.3. La console dell'EMM deve consentire agli amministratori IT di impostare caratteri jolly (come $username$ o %emailAddress%) in modo che una singola configurazione per un'app come Gmail può essere applicato a più utenti. L'iframe della configurazione gestita supporta automaticamente questo requisito.
3.7. Gestione del catalogo di app
Gli amministratori IT possono importare un elenco di app approvate per la propria azienda da versione gestita di Google Play (play.google.com/work).
3.7.1. La console del provider EMM può visualizzare un elenco di app approvate distribuzione, tra cui:
- App acquistate nella versione gestita di Google Play
- App private visibili agli amministratori IT
- In modo programmatico app approvate
3.8. Approvazione di app di pubblicità programmatica
La console EMM utilizza l'iframe della versione gestita di Google Play per supportare di rilevamento e approvazione delle app. Gli amministratori IT possono cercare app, approva app e approva nuove autorizzazioni app senza uscire dalla console EMM.
3.8.1. Gli amministratori IT possono cercare app e approvarle all'interno della console EMM utilizzando l'iframe della versione gestita di Google Play.
3.9. Gestione di base del layout del negozio
L'app Google Play Store gestita può essere utilizzata sui dispositivi per installare e aggiornare le app di lavoro. Per impostazione predefinita viene visualizzato il layout di base del negozio e elenca le app approvate per l'azienda, che i provider EMM filtrano in base agli utenti in base alle norme.
3.9.1. Gli amministratori IT possono gestire set di prodotti disponibili per consentire la visualizzazione e l'installazione di applicazioni dalla versione gestita di Google Play negozio nella sezione "Home page Store".
3.10. Configurazione avanzata del layout del negozio
Gli amministratori IT possono personalizzare il layout dello store visualizzato nella versione gestita di Google Play di Google Cloud sui dispositivi.
3.10.1. Gli amministratori IT possono eseguire le seguenti azioni nella console EMM per personalizzare il layout della versione gestita di Google Play Store:
- Crea fino a 100 pagine di layout del negozio. Le pagine possono avere un numero arbitrario di nomi di pagine localizzati.
- Creare fino a 30 cluster per ogni pagina. I cluster possono avere un valore arbitrario il numero di nomi localizzati dei cluster.
- Assegna fino a 100 app a ogni cluster.
- Aggiungi fino a 10 link rapidi a ogni pagina.
- Specifica l'ordinamento delle app all'interno di un cluster e dei cluster all'interno di un .
3.11. Gestione delle licenze delle app
Gli amministratori IT possono visualizzare e gestire le licenze delle app acquistate nella versione gestita di Google Play dalla console EMM.
3.11.1. Per le app a pagamento approvate per un'azienda, la console del provider EMM deve Display:
- Il numero di licenze acquistate.
- Il numero di licenze utilizzate e gli utenti che le utilizzano.
- Il numero di licenze disponibili per la distribuzione.
3.11.2. Gli amministratori IT possono assegnare le licenze agli utenti in modalità invisibile senza forzare l'installazione dell'app sui dispositivi degli utenti.
3.11.3. Gli amministratori IT possono annullare l'assegnazione di una licenza dell'app da un utente.
3.12. Gestione delle app private ospitate da Google
Gli amministratori IT possono aggiornare le app private ospitate da Google tramite la console EMM tramite Google Play Console.
3.12.1. Gli amministratori IT possono caricare nuove versioni di app già pubblicate privatamente nell'azienda utilizzando:
- L'iframe della versione gestita di Google Play o
- L'API Developer Publishing di Google Play di Google.
3.13. Gestione delle app private in self-hosting
Gli amministratori IT possono configurare e pubblicare app private ospitate autonomamente. Non mi piace Le app private ospitate da Google, Google Play non ospita gli APK. Al contrario, la soluzione EMM aiuta gli amministratori IT a ospitare gli APK e a proteggere le app auto-hosted assicurando che possano essere installate solo se autorizzate dalla versione gestita di Google Play.
Gli amministratori IT possono consultare l'articolo Fornire assistenza per le app private. per maggiori dettagli.
3.13.1. La console del provider EMM deve aiutare gli amministratori IT a ospitare l'APK dell'app, offrendo sia una delle seguenti opzioni:
- Ospitare l'APK sul server dell'EMM. Il server può essere on-premise o basato su cloud.
- Hosting dell'APK al di fuori del server EMM, a discrezione dei amministratore IT. L'amministratore IT deve specificare nella console EMM dove è ospitato l'APK.
3.13.2. La console del provider EMM deve generare una definizione di APK appropriata utilizzando l'APK fornito e devono guidare gli amministratori IT durante il processo di pubblicazione.
3.13.3. Gli amministratori IT possono aggiornare le app private ospitate autonomamente e la console EMM può pubblicare automaticamente file di definizione degli APK aggiornati utilizzando l'app Google Play API Developer Publishing.
3.13.4. Il server EMM gestisce solo le richieste di download dell'APK auto-hosted che contiene un JWT valido all'interno del cookie della richiesta, come verificato dalla chiave pubblica dell'app privata.
- Per semplificare questa procedura, il server EMM deve guidare gli amministratori IT a scaricare la chiave pubblica della licenza dell'app auto-ospitata da Google Play Console e caricarla nella console EMM.
3.14. Notifiche pull EMM
Anziché eseguire periodicamente query su Google Play per identificare eventi passati come un'app aggiornamento che contiene nuove autorizzazioni o configurazioni gestite, pull EMM notifiche avvisano in modo proattivo gli eventi di tali eventi in tempo reale, consentendo I provider EMM intraprendono azioni automatiche e forniscono notifiche amministrative personalizzate in base a questi eventi.
3.14.1. L'EMM deve usare le notifiche EMM di Google Play. per recuperare i set di notifiche.
3.14.2. La soluzione EMM deve notificare automaticamente a un amministratore IT (ad esempio tramite un'email automatica) i seguenti eventi di notifica:
newPermissionEvent: richiede l'approvazione di una nuova app da parte di un amministratore IT autorizzazioni prima che l'app possa essere installata o aggiornata automaticamente sui dispositivi mobili.appRestrictionsSchemaChangeEvent: potrebbe richiedere l'aggiornamento da parte di un amministratore IT la configurazione gestita di un'app per mantenere la funzionalità prevista.appUpdateEvent: potrebbe interessare agli amministratori IT che vogliono verificare che la funzionalità di base del flusso di lavoro non sia interessata dall'aggiornamento dell'app.productAvailabilityChangeEvent: potrebbe influire sulla possibilità di installare o gestire gli aggiornamenti delle app.installFailureEvent: Google Play non può installare automaticamente un'app su un dispositivo, suggerendo che potrebbe esserci qualcosa che impedisce l'installazione. I provider EMM non devono immediatamente prova a eseguire di nuovo un'installazione silenziosa dopo aver ricevuto questa notifica, come proprietà di Google Play la logica dei nuovi tentativi non sarà riuscita.
3.14.3. L'EMM intraprende automaticamente le azioni appropriate in base a quanto segue: eventi di notifica:
newDeviceEvent: durante il provisioning del dispositivo, i provider EMM devono attenderenewDeviceEventprima di effettuare chiamate API Play EMM successive per il nuovo dispositivo mobile, incluse le installazioni automatiche di app e l'impostazione di configurazioni gestite.productApprovalEvent: alla ricezione di unproductApprovalEventl'EMM deve aggiornare automaticamente l'elenco di app approvate importate alla console EMM per la distribuzione sui dispositivi, se è presente un amministratore IT attivo o se l'elenco delle app approvate non viene ricaricato automaticamente all'inizio di ogni sessione di amministrazione IT.
3.15. Requisiti per l'utilizzo delle API
L'EMM implementa le API di Google su larga scala, evitando i pattern di traffico che ciò potrebbe influire negativamente sugli amministratori IT possibilità di gestire le app in produzione in ambienti cloud.
3.15.1. L'EMM deve ottemperare all'API Play EMM limiti di utilizzo. La mancata correzione di comportamenti che superano queste linee guida può comportano la sospensione dell'uso dell'API, a discrezione di Google.
3.15.2. L'EMM deve distribuire il traffico di diverse aziende durante la giornata, anziché consolidare il traffico aziendale in momenti specifici o simili. Un comportamento che si adatta a questo pattern di traffico, ad esempio operazioni collettive pianificate per ogni dispositivo registrato, potrebbe comportare la sospensione dell'utilizzo dell'API, a discrezione di Google.
3.15.3. L'EMM non deve rendere coerenti, incompleti o deliberatamente richieste errate che non tentano di recuperare o gestire l'azienda effettiva e i dati di Google Cloud. Un comportamento che corrisponde a questo pattern di traffico può comportare la sospensione dell'uso dell'API. a discrezione di Google. di Gemini Advanced.
3.16. Gestione avanzata della configurazione gestita
3.16.1. La console dell'EMM deve essere in grado di recuperare e visualizzare l'oggetto gestito impostazioni di configurazione (nidificate fino a quattro livelli) di qualsiasi app su Google Play, utilizzando:
- L'iframe della versione gestita di Google Play o
- un'interfaccia utente personalizzata.
3.16.2. La console dell'EMM deve essere in grado di recuperare e visualizzare qualsiasi feedback. restituiti dal canale per i feedback di un'app , quando è configurata da un amministratore IT.
- La console del provider EMM deve consentire agli amministratori IT di associare un elemento di feedback specifico con il dispositivo e l'app da cui ha avuto origine.
- La console EMM deve consentire agli amministratori IT di iscriversi ad avvisi o report di tipi di messaggi specifici (ad esempio messaggi di errore).
3.16.3. La console dell'EMM deve inviare solo valori che hanno un valore predefinito o che sono impostati manualmente dall'amministratore. con:
- L'iframe delle configurazioni gestite
- Un'interfaccia utente personalizzata.
3.17. Gestione delle app web
Gli amministratori IT possono creare e distribuire app web nella console EMM.
3.17.1. Gli amministratori IT possono utilizzare la console EMM per distribuire scorciatoie alle app web con:
3.18. Gestione del ciclo di vita degli account Google Play gestiti
L'EMM può creare, aggiornare ed eliminare gli account della versione gestita di Google Play per conto di amministratori IT.
3.18.1. I provider EMM possono gestire il ciclo di vita di un account Google Play gestito in base alle linee guida di implementazione definite nella documentazione per gli sviluppatori relativa all'API EMM di Play.
3.18.2. I provider EMM possono autenticare nuovamente gli account della versione gestita di Google Play senza l'interazione dell'utente.
3,19. Gestione del canale di applicazione
3.19.1. Gli amministratori IT possono estrarre un elenco di ID monitoraggio impostati da uno sviluppatore per un una determinata app.
3.19.2. Gli amministratori IT possono impostare i dispositivi in modo che utilizzino un canale di sviluppo specifico per un'applicazione.
3,20. Gestione avanzata degli aggiornamenti delle applicazioni
3.20.1. Gli amministratori IT possono consentire alle app di utilizzare gli aggiornamenti delle app ad alta priorità da aggiornare quando sono pronti.
3.20.2. Gli amministratori IT possono consentire il rinvio degli aggiornamenti delle app di 90 giorni.
3:21 Gestione dei metodi di provisioning
L'EMM può generare configurazioni di provisioning e presentarle all'IT in un modulo pronto per essere distribuito agli utenti finali (ad es. codice QR, configurazione zero-touch, URL del Play Store). .
4. Gestione dispositivi
4.1. Gestione dei criteri di autorizzazione di runtime
Gli amministratori IT possono impostare in modo silenzioso una risposta predefinita alle richieste di autorizzazione di runtime fatte dalle app di lavoro.
4.1.1. Gli amministratori IT devono essere in grado di scegliere tra le seguenti opzioni durante l'impostazione un criterio di autorizzazione di runtime predefinito per l'organizzazione:
- prompt (consente agli utenti di scegliere)
- allow
- deny
L'EMM deve applicare queste impostazioni utilizzando il DPC dell'EMM.
4.2. Gestione dello stato di concessione delle autorizzazioni di runtime
Dopo aver impostato un criterio di autorizzazione di runtime predefinito (vai alla 4.1), Gli amministratori IT possono impostare automaticamente risposte per autorizzazioni specifiche da qualsiasi app di lavoro basata sull'API 23 o successiva.
4.2.1. Gli amministratori IT devono essere in grado di impostare lo stato di concessione (predefinito, concessione o rifiuto) di qualsiasi autorizzazione richiesta da qualsiasi app di lavoro basata sull'API 23 o versioni successive. L'EMM deve applicare queste impostazioni utilizzando il DPC dell'EMM.
4.3. Gestione della configurazione Wi-Fi
Gli amministratori IT possono eseguire automaticamente il provisioning delle configurazioni Wi-Fi aziendali tra cui:
4.3.1. SSID, utilizzando il DPC del provider EMM.
4.3.2. Password, utilizzando il DPC del provider EMM.
4.4. Gestione della sicurezza Wi-Fi
Gli amministratori IT possono eseguire il provisioning di configurazioni Wi-Fi aziendali su dispositivi gestiti che include le seguenti funzionalità di sicurezza avanzate:
4.4.1. Identità, utilizzando il DPC del provider EMM.
4.4.2. Certificato per l'autorizzazione dei client, utilizzando il DPC dell'EMM.
4.4.3. I certificati CA, utilizzando il DPC dell'EMM.
4.5. Gestione avanzata del Wi-Fi
Gli amministratori IT possono bloccare le configurazioni Wi-Fi sui dispositivi gestiti, per impedire agli utenti di creare configurazioni o modificare le configurazioni aziendali.
4.5.1. Gli amministratori IT possono bloccare le configurazioni Wi-Fi aziendali in entrambe le modalità le seguenti configurazioni:
- Gli utenti non possono modificare nessuna rete Wi-Fi configurazioni di cui è stato eseguito il provisioning da parte dell'EMM, ma che possono aggiungere e modificare le proprie reti configurabili dall'utente (ad esempio le reti personali).
- Gli utenti non possono aggiungere o modificare alcuna rete Wi-Fi sul dispositivo, limitando la connettività Wi-Fi alle sole reti di cui è stato eseguito il provisioning da parte dell'EMM.
4.6. Gestione account
Gli amministratori IT possono impedire l'interazione con account aziendali non autorizzati Dati aziendali per servizi quali app di produttività e archiviazione SaaS, oppure email. Senza questa funzionalità, è possibile aggiungere account personali a questi app aziendali che supportano anche gli account consumer, consentendo loro di condividere dati aziendali con gli account personali.
4.6.1. Gli amministratori IT possono impedire l'aggiunta o la modifica degli account.
- Quando si applica questo criterio su un dispositivo, i provider EMM devono impostare questa limitazione prima del completamento del provisioning, per assicurarti di non poter aggirare aggiungendo account prima dell'applicazione della norma.
4.7. Gestione dell'account Workspace
Gli amministratori IT possono impedire l'interazione tra Account Google non autorizzati e i dati aziendali. Senza questa funzionalità, gli Account Google personali possono essere aggiunti a le app Google aziendali (ad esempio Documenti Google o Google Drive), consentendo loro per condividere i dati aziendali con questi account personali.
4.7.1. Gli amministratori IT possono specificare gli Account Google da attivare durante il provisioning, dopo la configurazione blocco sia attiva.
4.7.2. Il DPC del provider EMM deve chiedere di attivare l'Account Google e assicurarsi che possa essere attivato solo l'account specifico specificando l'account da aggiungere.
- Sui dispositivi precedenti ad Android 7.0, il DPC deve disattivare temporaneamente la limitazione relativa alla gestione dell'account prima di richiedere utente.
4.8. Gestione dei certificati
Consente agli amministratori IT di eseguire il deployment dei certificati di identità e delle autorità di certificazione per per consentire l'accesso alle risorse aziendali.
4.8.1. Gli amministratori IT possono installare certificati di identità utente generati dalla loro infrastruttura a chiave pubblica su un per utente. La console dell'EMM deve integrarsi con almeno un'infrastruttura a chiave pubblica distribuire i certificati generati da quell'infrastruttura.
4.8.2. Gli amministratori IT possono installare le autorità di certificazione nell'archivio chiavi gestito.
4.9. Gestione avanzata dei certificati
Consente agli amministratori IT di selezionare automaticamente i certificati di specifiche app gestite che dovrebbe usare. Questa funzionalità consente inoltre agli amministratori IT di rimuovere CA e certificati di identità da dispositivi attivi. Questa funzionalità impedisce agli utenti di modificare le credenziali memorizzate nell'archivio chiavi gestito.
4.9.1. Per qualsiasi app distribuita sui dispositivi, gli amministratori IT possono specificare un certificato all'app verrà concesso l'accesso in modalità silenziosa durante il runtime.
- La selezione dei certificati deve essere sufficientemente generica da consentire una singola configurazione applicata a tutti gli utenti, ognuno dei quali può avere un certificato di identità specifico.
4.9.2. Gli amministratori IT possono rimuovere i certificati automaticamente. dall'archivio chiavi gestito.
4.9.3. Gli amministratori IT possono disinstallare un certificato CA automaticamente, o tutti i certificati CA non di sistema.
4.9.4. Gli amministratori IT possono impedire agli utenti di configurare le credenziali. nell'archivio chiavi gestito.
4.9.5. Gli amministratori IT possono pre-concedere certificati per app di lavoro.
4.10. Gestione delega dei certificati
Gli amministratori IT possono distribuire un'app di gestione dei certificati di terze parti sui dispositivi e concedere all'app l'accesso privilegiato per installare i certificati nel un archivio chiavi.
4.10.1. Gli amministratori IT specificano un pacchetto di gestione dei certificati da impostare come delegata dal DPC (controller criteri dispositivi).
- La console può facoltativamente suggerire pacchetti di gestione dei certificati noti, ma deve consentire all'amministratore IT di scegliere dall'elenco di app disponibili per l'installazione per gli utenti applicabili.
4.11. Gestione avanzata della VPN
Consente agli amministratori IT di specificare una VPN sempre attiva per garantire che i dati per le app gestite specificate verrà sempre configurata una VPN.
4.11.1. Gli amministratori IT possono specificare un pacchetto VPN arbitrario da impostare come VPN sempre attiva.
- La console del provider EMM può facoltativamente suggerire pacchetti VPN noti che supportano VPN sempre attiva, ma non può limitare le VPN disponibili per la configurazione sempre attiva a qualsiasi elenco arbitrario.
4.11.2. Gli amministratori IT possono utilizzare le configurazioni gestite per specificare le impostazioni VPN per un'app.
4.12. Gestione IME
Gli amministratori IT possono gestire i metodi di immissione (IME) configurabili dispositivi mobili. Poiché l'IME è condiviso tra i profili di lavoro e personali, il blocco dell'utilizzo degli IME impedirà di utilizzarli anche per uso personale. Tuttavia, gli amministratori IT non possono bloccare gli IME di sistema sul lavoro profili (vai alla gestione avanzata IME per maggiori dettagli).
4.12.1. Gli amministratori IT possono configurare una lista consentita di IME di lunghezza arbitraria (incluso un elenco vuoto, che blocca gli IME non di sistema), che possono contenere pacchetti IME arbitrari.
- La console del provider EMM può facoltativamente suggerire IME noti o consigliati per includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco di app disponibili per l'installazione per gli utenti interessati.
4.12.2. L'EMM deve comunicare agli amministratori IT che gli IME di sistema sono esclusi sui dispositivi con profili di lavoro. di Gemini Advanced.
4.13. Gestione avanzata dell'IME
Gli amministratori IT possono gestire i metodi di immissione (IME) configurabili dispositivi mobili. La gestione avanzata dell'IME estende la funzionalità di base consentendo agli amministratori IT anche per gestire l'uso degli IME di sistema, che in genere vengono forniti dal produttore o dall'operatore del dispositivo.
4.13.1. Gli amministratori IT possono configurare una lista consentita di IME di lunghezza arbitraria (escludendo un elenco vuoto, che blocca tutti gli IME, tra cui IME di sistema), che possono contenere pacchetti IME arbitrari.
- La console del provider EMM può facoltativamente suggerire IME noti o consigliati per includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco di app disponibili per l'installazione per gli utenti interessati.
4.13.2. I provider EMM devono impedire agli amministratori IT di configurare una lista consentita vuota, poiché bloccherà l'impostazione di tutti gli IME, inclusi gli IME di sistema nella dispositivo.
4.13.3. Gli EMM devono assicurarsi che, se una lista consentita di IME non contiene IME di sistema, gli IME di terze parti vengano installati in modalità silenziosa prima che la lista consentita venga applicata sul dispositivo.
4.14. Gestione dei servizi di accessibilità
Gli amministratori IT possono gestire i servizi di accessibilità possono essere consentite dispositivi mobili. Sebbene i servizi di accessibilità siano potenti strumenti per utenti con disabilità o per coloro che al momento non possono interagiscono con il proprio dispositivo, possono interagire con i dati aziendali in modo non sono conformi alle norme aziendali. Questa funzionalità consente agli amministratori IT di disattivare qualsiasi servizio di accessibilità non di sistema.
4.14.1. Gli amministratori IT possono configurare una lista consentita di servizi di accessibilità di lunghezza arbitraria (incluso un elenco vuoto, che blocca le di accessibilità di Google), che possono contenere qualsiasi servizio di accessibilità arbitrario pacchetto. Se applicata a un profilo di lavoro, influisce sia sul profilo personale e il profilo di lavoro.
- Se vuoi, la console può suggerire servizi di accessibilità noti o consigliati da includere nella lista consentita, ma deve consentire agli amministratori IT di scegliere dall'elenco di app disponibili per l'installazione per gli utenti applicabili.
4.15. Gestione della Condivisione della posizione
Gli amministratori IT possono impedire agli utenti di condividere dati sulla posizione con le app al lavoro profilo. Altrimenti, l'impostazione della località per i profili di lavoro può essere configurata in Impostazioni.
4.15.1. Gli amministratori IT possono disattivare i servizi di geolocalizzazione all'interno del profilo di lavoro.
4.16. Gestione avanzata della Condivisione della posizione
Gli amministratori IT possono applicare una determinata impostazione di Condivisione della posizione su un dispositivo gestito. Questa funzionalità garantisce che le app aziendali abbiano sempre accesso ad alta disponibilità la precisione dei dati sulla posizione. Questa funzione assicura anche che la batteria in più non consumato limitando le impostazioni di geolocalizzazione alla modalità di risparmio energetico.
4.16.1. Gli amministratori IT possono impostare i servizi di geolocalizzazione del dispositivo su ciascuna delle seguenti modalità:
- Alta precisione.
- Solo sensori, ad esempio GPS, ma non forniti dalla rete in ogni località.
- Basso consumo, che limita la frequenza di aggiornamento.
- Disattivato.
4.17. Gestione della protezione del ripristino dei dati di fabbrica
Consente agli amministratori IT di proteggere i dispositivi di proprietà dell'azienda dai furti garantendo gli utenti non autorizzati non possono ripristinare i dispositivi ai dati di fabbrica. Se la protezione ripristino dati di fabbrica introduce complessità operative quando i dispositivi vengono restituiti all'IT, gli amministratori IT possono anche disattivarla del tutto.
4.17.1. Gli amministratori IT possono impedire il ripristino dei dati di fabbrica da parte degli utenti il proprio dispositivo dalle Impostazioni.
4.17.2. Gli amministratori IT possono specificare gli account di sblocco aziendale autorizzati a eseguire il provisioning dei dispositivi dopo un ripristino dei dati di fabbrica.
- Questo account può essere associato a un privato o utilizzato dall'intera azienda per sbloccare i dispositivi.
4.17.3. Gli amministratori IT possono disattivare la protezione ripristino dati di fabbrica. per i dispositivi specificati.
4.17.4. Gli amministratori IT possono avviare una cancellazione da remoto dei dati dei dispositivi che, facoltativamente, possono cancellare i dati di reimpostazione dei dati di protezione, rimuovendo così la protezione ripristino dati di fabbrica.
4.18. Controllo avanzato delle app
Gli amministratori IT possono impedire all'utente di disinstallare o modificare in altro modo app tramite le Impostazioni, ad esempio forzarne la chiusura o cancellare i dati Cache.
4.18.1. Gli amministratori IT possono bloccare la disinstallazione di app gestite arbitrarie o di tutte le app gestite.
4.18.2. Gli amministratori IT possono impedire agli utenti di modificare i dati dell'applicazione da Impostazioni.
4,19. Gestione acquisizione schermo
Gli amministratori IT possono impedire agli utenti di acquisire screenshot quando utilizzano app gestite. Questo include il blocco delle app di condivisione schermo e di app simili (come Google l'assistente) che usano le funzionalità per gli screenshot di sistema.
4.19.1. Gli amministratori IT possono impedire agli utenti di acquisire screenshot. di Google.
4,20. Disattivare le fotocamere
Gli amministratori IT possono disattivare l'uso delle fotocamere dei dispositivi da parte delle app gestite.
4.20.1. Gli amministratori IT possono disattivare l'uso delle fotocamere dei dispositivi da parte delle app gestite.
4,21. Raccolta delle statistiche di rete
Gli amministratori IT possono eseguire query sulle statistiche sull'utilizzo della rete dal profilo di lavoro di un dispositivo. Le statistiche raccolte riflettono i dati sull'utilizzo condivisi con gli utenti nella sezione Utilizzo dei dati delle Impostazioni. Le statistiche raccolte sono applicabili Utilizzo delle app all'interno del profilo di lavoro.
4.21.1. Gli amministratori IT possono eseguire query sul riepilogo delle statistiche di rete per un profilo di lavoro, per un determinato dispositivo e nella finestra temporale configurabile, nonché nella della console EMM.
4.21.2. Gli amministratori IT possono eseguire query sul riepilogo di un'app nell'utilizzo di rete del profilo di lavoro statistiche, per un determinato dispositivo e periodo di tempo configurabile, nonché visualizzare questi dettagli organizzata dall'UID nella console EMM.
4.21.3. Gli amministratori IT possono eseguire query sulla rete di un profilo di lavoro sull'utilizzo dei dati storici, per un determinato dispositivo e periodo di tempo configurabile, nonché visualizzare questi dettagli organizzata dall'UID nella console EMM.
4.22. Raccolta avanzata delle statistiche di rete
Gli amministratori IT possono eseguire query sulle statistiche di utilizzo della rete per un intero dispositivo gestito. La Le statistiche raccolte riflettono i dati sull'utilizzo condivisi con gli utenti nell'articolo Utilizzo dei dati di Impostazioni. Le statistiche raccolte riguardano l'utilizzo delle app sul dispositivo.
4.22.1. Gli amministratori IT possono eseguire query sul riepilogo delle statistiche di rete per un intero dispositivo, per un determinato dispositivo e per una finestra temporale configurabile, e visualizzare questi dettagli nella console dell'EMM.
4.22.2. Gli amministratori IT possono eseguire query di riepilogo sull'utilizzo della rete di app statistiche, per un determinato dispositivo e periodo di tempo configurabile, nonché visualizzare questi dettagli organizzata dall'UID nella console EMM.
4.22.3. Gli amministratori IT possono eseguire query sulla rete sull'utilizzo dei dati storici, per un determinato dispositivo e periodo di tempo configurabile, nonché visualizzare questi dettagli organizzata dall'UID nella console EMM.
4,23 Riavvia il dispositivo
Gli amministratori IT possono riavviare i dispositivi gestiti da remoto.
4.23.1. Gli amministratori IT possono riavviare da remoto un dispositivo gestito.
4,24. Gestione della radio del sistema
Consente agli amministratori IT di gestire in modo granulare le radio di rete di sistema e i criteri di utilizzo associati.
4.24.1. Gli amministratori IT possono disattivare il cell broadcast. inviate dai fornitori di servizi (ad esempio le allerte AMBER).
4.24.2. Gli amministratori IT possono impedire agli utenti di modificare le impostazioni della rete mobile nelle Impostazioni. di Google.
4.24.3. Gli amministratori IT possono impedire agli utenti di reimpostare le impostazioni di rete nelle Impostazioni. di Google.
4.24.4. Gli amministratori IT possono consentire o non consentire i dati mobili durante il roaming di Google.
4.24.5. Gli amministratori IT possono configurare se il dispositivo può effettuare chiamate in uscita, escluse le chiamate di emergenza.
4.24.6. Gli amministratori IT possono scegliere se un dispositivo può inviare e ricevere SMS. di Google.
4.24.7. Gli amministratori IT possono impedire agli utenti di utilizzare il proprio dispositivo come hotspot portatile tramite tethering. di Google.
4.24.8. Gli amministratori IT possono impostare il timeout del Wi-Fi su quello predefinito, solo quando è collegato alla corrente o mai.
4.24.9. Gli amministratori IT possono impedire agli utenti di configurare o modificare le connessioni Bluetooth esistenti.
4,25. Gestione dell'audio del sistema
Gli amministratori IT possono gestire in modalità invisibile le funzionalità audio dei dispositivi, compresa la disattivazione dell'audio dispositivo, impedendo agli utenti di modificare le impostazioni del volume e impedendo agli utenti di riattivare il microfono del dispositivo.
4.25.1. Gli amministratori IT possono disattivare l'audio dei dispositivi gestiti in modalità silenziosa.
4.25.2. Gli amministratori IT possono impedire agli utenti di modificare le impostazioni del volume dei dispositivi.
4.25.3. Gli amministratori IT possono impedire agli utenti di riattivare il microfono del dispositivo.
4,26. Gestione dell'orologio di sistema
Gli amministratori IT possono gestire le impostazioni relative all'orologio del dispositivo e al fuso orario e impedire agli utenti di modifica delle impostazioni automatiche del dispositivo.
4.26.1. Gli amministratori IT possono applicare il tempo di spegnimento automatico del sistema, impedendo all'utente di impostare la data e l'ora del dispositivo.
4.26.2. Gli amministratori IT possono disattivare o attivare entrambi in modalità automatica l'orario. e il fuso orario automatico.
4,27. Funzionalità avanzate del dispositivo dedicate
Offre agli amministratori IT la possibilità di gestire dispositivi dedicati più granulari per supportare vari casi d'uso dei kiosk.
4.27.1. Gli amministratori IT possono disattivare la schermata di blocco del dispositivo.
4.27.2. Gli amministratori IT possono disattivare la barra di stato del dispositivo, il blocco delle notifiche e le Impostazioni rapide.
4.27.3. Gli amministratori IT possono forzare lo schermo del dispositivo a rimanere attivo mentre il dispositivo è collegato alla corrente.
4.27.4. Gli amministratori IT possono impedire la visualizzazione delle seguenti interfacce utente di sistema:
- Toast
- Overlay delle applicazioni.
4.27.5. Gli amministratori IT possono consentire al sistema di suggerire alle app di saltare i tutorial per gli utenti e altri suggerimenti introduttivi al primo avvio.
4.28. Gestione degli ambiti delegata
Gli amministratori IT possono delegare privilegi aggiuntivi a singoli pacchetti.
4.28.1. Gli amministratori IT possono gestire i seguenti ambiti:
- Installazione e gestione dei certificati
- Deliberatamente vuoto
- Logging di rete
- Logging di sicurezza (non supportato per il profilo di lavoro BYOD)
4,29. Supporto dell'ID specifico per la registrazione
A partire da Android 12, i profili di lavoro non avranno più accesso a specifici dell'hardware. Gli amministratori IT possono seguire il ciclo di vita di un dispositivo con un profilo di lavoro tramite l'ID specifico della registrazione, che rimane invariato anche dopo i ripristini dei dati di fabbrica.
4.29.1. Gli amministratori IT possono impostare e ottenere un ID specifico per la registrazione
4.29.2. Questo ID specifico di registrazione deve essere mantenuto anche dopo un ripristino dei dati di fabbrica di Gemini Advanced.
5. Usabilità del dispositivo
5.1. Personalizzazione del provisioning gestito
Gli amministratori IT possono modificare la UX del flusso di configurazione predefinito in modo da includere specifiche per l'impresa. Facoltativamente, gli amministratori IT possono mostrare gli provider EMM durante il provisioning.
5.1.1. Gli amministratori IT possono personalizzare il processo di provisioning specificando seguenti dettagli specifici per l'azienda: colore aziendale, logo aziendale, termini di servizio di Enterprise e altri disclaimer.
5.1.2. Gli amministratori IT possono implementare una personalizzazione specifica per l'EMM non configurabile include i seguenti dettagli: colore EMM, logo EMM, Termini di servizio EMM e altri disclaimer.
La versione 5.1.3 [primaryColor] è stata ritirata per la risorsa aziendale su Android 10 e versioni successive.
- I provider EMM devono includere i Termini di servizio di provisioning e altre limitazioni di responsabilità del flusso di provisioning nel sistema pacchetto di disclaimer sul provisioning, anche se la personalizzazione specifica per EMM è non utilizzato.
- I provider EMM possono impostare la personalizzazione non configurabile specifica per l'EMM come predefinita per tutti i deployment, ma deve consentire agli amministratori IT di configurare personalizzazione.
5.2. Personalizzazione aziendale
Gli amministratori IT possono personalizzare aspetti del profilo di lavoro con il branding aziendale. Ad esempio, gli amministratori IT possono impostare l'icona utente nel profilo di lavoro su logo aziendale. Un altro esempio è l'impostazione del colore di sfondo sfida lavorativa.
5.2.1. Gli amministratori IT possono impostare il colore dell'organizzazione da utilizzare come colore di sfondo della sfida di lavoro.
5.2.2. Gli amministratori IT possono impostare il nome visualizzato del profilo di lavoro di Google.
5.2.3. Gli amministratori IT possono impostare l'icona utente del profilo di lavoro di Google.
5.2.4. Gli amministratori IT possono impedire all'utente di modificare l'utente del profilo di lavoro icona di Google.
5.3. Personalizzazione aziendale avanzata
Gli amministratori IT possono personalizzare i dispositivi gestiti con il branding aziendale. Ad esempio: Gli amministratori IT possono impostare l'icona utente principale sul logo aziendale oppure sfondo del dispositivo.
5.3.1. Gli amministratori IT possono impostare il nome visualizzato per il dispositivo gestito di Google.
5.3.2. Gli amministratori IT possono impostare l'icona utente del dispositivo gestito di Google.
5.3.3. Gli amministratori IT possono impedire all'utente di modificare l'utente del dispositivo icona di Google.
5.3.4. Gli amministratori IT possono impostare lo sfondo del dispositivo di Google.
5.3.5. Gli amministratori IT possono impedire all'utente di modificare il dispositivo sfondo di Google.
5.4. Messaggi della schermata di blocco
Gli amministratori IT possono impostare un messaggio personalizzato che viene sempre visualizzato nella schermata di blocco del dispositivo e che non richiede lo sblocco del dispositivo per essere visualizzato.
5.4.1. Gli amministratori IT possono impostare un messaggio della schermata di blocco personalizzato.
5.5. Gestione della trasparenza delle norme
Gli amministratori IT possono personalizzare il testo della guida fornito agli utenti quando modificano per gestire le impostazioni gestite sul proprio dispositivo o implementare un supporto generico fornito da EMM per creare un nuovo messaggio email. I messaggi di assistenza brevi e lunghi possono essere personalizzati. Questi messaggi vengono visualizzati, ad esempio, quando si tenta di disinstallare un'app gestita per la quale un amministratore IT ha già bloccato la disinstallazione.
5.5.1. Gli amministratori IT personalizzano sia lo breve e messaggi di supporto lunghi.
5.5.2. Gli amministratori IT possono distribuire soluzioni non configurabili, specifiche per EMM messaggi di assistenza brevi e lunghi.
- L'EMM può impostare i messaggi di assistenza non configurabili, specifici dell'EMM come predefinita per tutti i deployment, ma deve consentire agli amministratori IT di configurare messaggi.
5.6. Gestione dei contatti tra più profili
Gli amministratori IT possono stabilire quali dati di contatto possono lasciare il profilo di lavoro. Entrambi le app di telefonia e messaggistica (SMS) devono essere eseguite nel profilo personale e richiedono l'accesso ai dati di contatto del profilo di lavoro per offrire funzionalità per il lavoro contatti, ma gli amministratori possono scegliere di disattivare queste funzionalità per proteggere i dati di lavoro.
5.6.1. Gli amministratori IT possono disattivare la ricerca di contatti tra profili. per le app personali che usano il fornitore dei contatti di sistema.
5.6.2. Gli amministratori IT possono disattivare la ricerca dell'ID chiamante tra più profili. per le app tastiera personale che utilizzano il fornitore dei contatti di sistema.
5.6.3. Gli amministratori IT possono disattivare la condivisione dei contatti tramite Bluetooth con i dispositivi Bluetooth che utilizzano il fornitore dei contatti di sistema, ad esempio le chiamate in vivavoce in auto o cuffie.
5.7. Gestione dei dati tra più profili
Concede agli amministratori IT la gestione dei dati che possono uscire dal profilo di lavoro, oltre alle funzionalità di sicurezza predefinite del profilo di lavoro. Con questa funzionalità, gli amministratori IT può consentire determinati tipi di condivisione dei dati tra profili per migliorare l'usabilità nella chiave e casi d'uso specifici. Gli amministratori IT possono anche proteggere ulteriormente i dati aziendali con blocchi.
5.7.1. Gli amministratori IT possono configurare filtri di intent tra profili in modo che le app personali possano risolvere gli intent dal profilo di lavoro, ad esempio intent di condivisione o link web.
- Se vuoi, la console può suggerire filtri di intent noti o consigliati per la configurazione, ma non può limitare i filtri di intent a un elenco arbitrario.
5.7.2. Gli amministratori IT possono consentire le app gestite che possono visualizzare widget sulla schermata Home.
- La console del provider EMM deve fornire agli amministratori IT la possibilità di scegliere dall'elenco di app disponibili per l'installazione da parte degli utenti interessati.
5.7.3. Gli amministratori IT possono bloccare l'uso di copia/incolla tra i profili di lavoro e personali.
5.7.4. Gli amministratori IT possono impedire agli utenti di condividere dati dal profilo di lavoro utilizzando: Trave NFC.
5.7.5. Gli amministratori IT possono consentire alle app personali di aprire link web dal profilo di lavoro.
5.8 Criterio di aggiornamento di sistema
Gli amministratori IT possono configurare e applicare aggiornamenti di sistema over-the-air (OTA) per dispositivi mobili.
5.8.1. La console EMM consente agli amministratori IT di impostare le seguenti configurazioni OTA:
- Automatica: i dispositivi installano gli aggiornamenti OTA non appena diventano disponibili.
- Rimanda: gli amministratori IT devono poter posticipare l'aggiornamento OTA fino a un massimo di 30 giorni. Questo criterio non influisce sugli aggiornamenti della sicurezza (ad esempio la sicurezza mensile ).
- Con finestra: gli amministratori IT devono essere in grado di pianificare gli aggiornamenti OTA in un periodo di manutenzione giornaliero.
5.8.2. Il DPC dell'EMM applica configurazioni OTA ai dispositivi.
5.9 Gestione della modalità di blocco attività
Gli amministratori IT possono bloccare un'app o un insieme di app sullo schermo e assicurarsi che gli utenti non possono uscire dall'app.
5.9.1. La console del provider EMM consente agli amministratori IT di consentire automaticamente un insieme arbitrario di app da installare e bloccare su un dispositivo. L'EMM Il DPC consente l'uso di modalità dispositivo.
5.10. Gestione dell'attività preferita permanente
Consente agli amministratori IT di impostare un'app come gestore predefinito di intent per gli intent che corrispondono a un determinato filtro per intent. Ad esempio, consentire agli amministratori IT di scegliere l'app browser apre automaticamente link web o l'app Avvio app utilizzata quando toccare il pulsante Home.
5.10.1. Gli amministratori IT possono impostare qualsiasi pacchetto come gestore di intent predefinito per qualsiasi filtro per intent arbitrario.
- La console dell'EMM può facoltativamente suggerire intent noti o consigliati per configurazione, ma non può limitare gli intent a un elenco arbitrario.
- La console EMM deve consentire agli amministratori IT di scegliere dall'elenco di app disponibili per l'installazione per gli utenti idonei.
5.11. Gestione delle funzionalità di KeyGuard
- agenti di attendibilità
- sblocco con l'impronta
- notifiche non oscurate
5.11.2. Il DPC dell'EMM può disattivare le seguenti funzionalità di blocco della tastiera nel profilo di lavoro:
- agenti di attendibilità
- sblocco con l'impronta
5.12. Gestione avanzata delle funzionalità di blocco della tastiera
- Proteggi la videocamera
- Tutte le notifiche
- Non oscurato notifiche
- Agenti di attendibilità
- Sblocco con l'impronta
- Tutte le funzionalità di blocco della tastiera
5.13. Debug remoto
Gli amministratori IT possono recuperare le risorse di debug dai dispositivi senza richiedere passaggi.
5.13.1. Gli amministratori IT possono richiedere da remoto segnalazioni di bug, visualizzare le segnalazioni di bug dalla console EMM e scaricare le segnalazioni di bug dal provider EMM Google Cloud.
5.14. Recupero dell'indirizzo MAC
Gli EMM possono recuperare in silenzio l'indirizzo MAC di un dispositivo. L'indirizzo MAC può essere utilizzato identificare i dispositivi in altre parti dell'infrastruttura aziendale (ad esempio, durante l'identificazione dei dispositivi per il controllo dell'accesso alla rete).
5.14.1. L'EMM può recuperare l'attività in modalità silenziosa l'indirizzo MAC di un dispositivo e può associarlo al dispositivo nell'EMM Google Cloud.
5.15. Gestione avanzata della modalità di blocco attività
Quando un dispositivo è configurato come dispositivo dedicato, gli amministratori IT possono utilizzare la console del fornitore EMM per eseguire le seguenti attività:
5.15.1. Consenti il blocco di una singola app su un dispositivo utilizzando il DPC della EMM.
5.15.2. Attiva o disattiva le seguenti funzionalità dell'interfaccia utente di sistema utilizzando il DPC dell'EMM
- Pulsante Home
- Panoramica
- Azioni globali
- Notifiche
- Informazioni sul sistema / barra di stato
- Keyguard (schermata di blocco)
5.15.3. Disattiva le finestre di dialogo di errore di sistema utilizzando il DPC dell'EMM.
5.16. Criterio di aggiornamento di sistema avanzato
Gli amministratori IT possono bloccare gli aggiornamenti di sistema su un dispositivo per un periodo di tempo di blocco specificato.
5.16.1. Il DPC dell'EMM possibilità di applicare aggiornamenti di sistema over-the-air (OTA) ai dispositivi per un congelamento specifico punto.
5.17. Gestione della trasparenza delle norme del profilo di lavoro
Gli amministratori IT possono personalizzare il messaggio mostrato agli utenti quando rimuovono il lavoro profilo da un dispositivo.
5.17.1. Gli amministratori IT possono fornire testo personalizzato da visualizzare quando un profilo di lavoro viene cancellato.
5.18. Assistenza per le app collegate
Gli amministratori IT possono impostare un elenco di pacchetti per possono comunicare attraverso il confine del profilo di lavoro.
5,19. Aggiornamenti di sistema manuali
Gli amministratori IT possono installare un aggiornamento di sistema manualmente fornendo un percorso.
6. Ritiro amministratore dispositivo
6.1. Ritiro di Amministrazione dispositivo
I provider EMM devono pubblicare un piano entro la fine del 2022 per interrompere l'assistenza clienti per Amministratore dispositivo sui dispositivi GMS entro la fine del primo trimestre del 2023.
7. Utilizzo delle API
7.1. Policy Controller standard per le nuove associazioni
Per impostazione predefinita, i dispositivi devono essere gestiti tramite Android Device Policy per tutti i nuovi e associazioni di contenuti. I provider EMM possono offrire la possibilità di gestire i dispositivi utilizzando un DPC personalizzato in un'area delle impostazioni sotto l'intestazione "Avanzate" o una terminologia simile. Nuovi clienti non devono essere esposti a una scelta arbitraria tra gli stack tecnologici durante l'onboarding e l'impostazione dei flussi di lavoro. di Gemini Advanced.
7.2. Policy Controller standard per i nuovi dispositivi
Per impostazione predefinita, i dispositivi devono essere gestiti tramite Android Device Policy per tutti registrazioni di nuovi dispositivi, sia per le associazioni esistenti sia per quelle nuove. Le soluzioni EMM possono offrire la possibilità di gestire i dispositivi utilizzando un DPC personalizzato in un'area delle impostazioni sotto la voce "Avanzate" o una terminologia simile.