Halaman ini mencantumkan kumpulan lengkap fitur Android Enterprise.
Jika Anda ingin mengelola lebih dari 500 perangkat, solusi EMM Anda harus mendukung semua fitur standar () dari setidaknya satu set solusi sebelum dapat tersedia secara komersial. Solusi EMM yang lulus verifikasi fitur standar tercantum di Direktori Solusi Enterprise Android sebagai menawarkan Set Pengelolaan Standar.
Rangkaian fitur lanjutan tambahan tersedia untuk setiap set solusi. Fitur ini ditunjukkan di setiap halaman set solusi: profil kerja di perangkat milik pribadi , profil kerja di perangkat milik perusahaan, perangkat terkelola sepenuhnya, dan perangkat khusus. Solusi EMM yang lulus verifikasi fitur lanjutan tercantum di Direktori Solusi Enterprise Android sebagai menawarkan Rangkaian Pengelolaan Lanjutan.
Kunci
| Fitur standar | Fitur lanjutan | fitur opsional | tidak berlaku |
1. Penyediaan perangkat
1.1. Penyediaan profil kerja DPC-first
Anda dapat menyediakan profil kerja setelah mendownload DPC EMM dari Google Play.
1.1.1. DPC EMM harus tersedia secara publik di Google Play agar pengguna dapat menginstal DPC di sisi pribadi perangkat.
1.1.2. Setelah diinstal, DPC harus memandu pengguna melalui proses penyediaan profil kerja.
1.1.3. Setelah penyediaan selesai, tidak ada kehadiran pengelolaan yang dapat tetap ada di sisi pribadi perangkat.
- Semua kebijakan yang diterapkan selama penyediaan harus dihapus.
- Hak istimewa aplikasi harus dicabut.
- DPC EMM minimal harus dinonaktifkan di sisi pribadi perangkat.
1.2. Penyediaan perangkat ID DPC
Admin IT dapat menyediakan perangkat khusus atau terkelola sepenuhnya menggunakan ID DPC ("afw#"), sesuai dengan panduan penerapan yang ditetapkan dalam dokumentasi developer Play EMM API.
1.2.1. DPC EMM harus tersedia untuk publik di Google Play. DPC harus dapat diinstal dari wizard penyiapan perangkat dengan memasukkan ID khusus DPC.
1.2.2. Setelah diinstal, DPC EMM harus memandu pengguna melalui proses penyediaan perangkat terkelola sepenuhnya atau khusus.
1.3. Penyediaan perangkat NFC
Tag NFC dapat digunakan oleh admin IT untuk menyediakan perangkat baru atau yang direset ke setelan pabrik sesuai dengan panduan implementasi yang ditentukan dalam dokumentasi developer Play EMM API.
1.3.1. EMM harus menggunakan Tag NFC Forum Jenis 2 dengan memori minimal 888 byte. Penyediaan harus menggunakan tambahan penyediaan untuk meneruskan detail pendaftaran yang tidak sensitif seperti ID server dan ID pendaftaran ke perangkat. Detail pendaftaran tidak boleh menyertakan informasi sensitif, seperti sandi atau sertifikat.
1.3.2. Setelah DPC EMM menetapkan dirinya sebagai pemilik perangkat, DPC harus segera terbuka dan mengunci sendiri ke layar sampai perangkat disediakan sepenuhnya. 1.3.3. Sebaiknya gunakan tag NFC untuk Android 10 dan yang lebih baru karena penghentian NFC Beam (juga dikenal sebagai NFC Bump).
1.4. Penyediaan perangkat kode QR
Admin IT dapat menggunakan perangkat baru atau yang direset ke setelan pabrik untuk memindai kode QR yang dihasilkan oleh konsol EMM untuk menyediakan perangkat, sesuai dengan panduan penerapan yang ditentukan dalam dokumentasi developer Play EMM API.
1.4.1. Kode QR harus menggunakan tambahan penyediaan untuk meneruskan detail pendaftaran yang tidak sensitif seperti ID server dan ID pendaftaran ke perangkat. Detail pendaftaran tidak boleh menyertakan informasi sensitif, seperti sandi atau sertifikat.
1.4.2. Setelah DPC EMM menyiapkan perangkat, DPC harus segera terbuka dan mengunci dirinya ke layar hingga perangkat disediakan sepenuhnya.
1.5. Pendaftaran zero-touch
Admin IT dapat melakukan pra-konfigurasi perangkat yang dibeli dari reseller resmi dan mengelolanya menggunakan konsol EMM.
1.5.1. Admin IT dapat menyediakan perangkat milik perusahaan menggunakan metode pendaftaran zero-touch, yang diuraikan dalam Pendaftaran zero-touch untuk admin IT.
1.5.2. Saat pertama kali diaktifkan, perangkat akan otomatis dipaksa ke setelan yang ditentukan oleh admin IT.
1.6. Penyediaan zero-touch lanjutan
Admin IT dapat mengotomatiskan sebagian besar proses pendaftaran perangkat dengan men-deploy detail pendaftaran DPC melalui pendaftaran zero-touch. DPC EMM mendukung pembatasan pendaftaran ke akun atau domain tertentu, sesuai dengan opsi konfigurasi yang ditawarkan oleh EMM.
1.6.1. Admin IT dapat menyediakan perangkat milik perusahaan menggunakan metode pendaftaran zero-touch, yang diuraikan dalam Pendaftaran zero-touch untuk admin IT.
1.6.2. Setelah DPC EMM menyiapkan perangkat, DPC EMM harus segera terbuka dan mengunci dirinya ke layar hingga perangkat sepenuhnya disediakan.
- Persyaratan ini dihapus untuk perangkat yang menggunakan detail pendaftaran pendaftaran zero-touch untuk menyediakannya secara otomatis sepenuhnya (misalnya, dalam pen-deployment perangkat khusus).
1.6.3. Dengan menggunakan detail pendaftaran, DPC EMM harus memastikan bahwa pengguna yang tidak sah tidak dapat melanjutkan aktivasi setelah DPC dipanggil. Setidaknya, aktivasi harus dikunci untuk pengguna perusahaan tertentu.
1.6.4. Dengan menggunakan detail pendaftaran, DPC EMM harus memungkinkan admin IT mengisi otomatis detail pendaftaran (misalnya ID server, ID pendaftaran) selain informasi pengguna atau perangkat unik (misalnya nama pengguna/sandi, token aktivasi), sehingga pengguna tidak perlu memasukkan detail saat mengaktifkan perangkat.
- EMM tidak boleh menyertakan informasi sensitif, seperti sandi atau sertifikat, dalam konfigurasi pendaftaran zero-touch.
1.7. Penyediaan profil kerja Akun Google
Untuk perusahaan yang menggunakan Managed Google Domains, fitur ini memandu pengguna menyiapkan profil kerja setelah memasukkan kredensial Workspace perusahaan mereka selama penyiapan perangkat atau di perangkat yang sudah diaktifkan. Dalam kedua kasus tersebut, identitas Workspace perusahaan akan dimigrasikan ke profil kerja.
1.7.1. Metode penyediaan Akun Google menyediakan profil kerja, sesuai dengan panduan penerapan yang ditentukan .
1.8. Penyediaan perangkat Akun Google
Untuk perusahaan yang menggunakan Workspace, fitur ini memandu pengguna melalui penginstalan DPC EMM setelah mereka memasukkan kredensial Workspace perusahaan selama penyiapan perangkat awal. Setelah diinstal, DPC akan menyelesaikan penyiapan perangkat milik perusahaan.
1.8.1. Metode penyediaan Akun Google menyediakan perangkat milik perusahaan, sesuai dengan panduan penerapan yang ditentukan .
1.8.2. Kecuali jika EMM dapat mengidentifikasi perangkat sebagai aset perusahaan dengan jelas, EMM tidak dapat menyediakan perangkat tanpa perintah selama proses penyediaan. Perintah ini harus melakukan tindakan non-default seperti mencentang kotak atau memilih pilihan menu non-default. Sebaiknya EMM dapat mengidentifikasi perangkat sebagai aset perusahaan sehingga tidak perlu meminta izin.
1.9. Konfigurasi zero-touch langsung
Admin IT dapat menggunakan konsol EMM untuk menyiapkan perangkat zero-touch menggunakan iframe zero-touch.
1.10. Profil kerja di perangkat milik perusahaan
EMM dapat mendaftarkan perangkat milik perusahaan yang memiliki profil kerja.
1.10.1. Sengaja kosong.
1.10.2. Admin IT dapat menetapkan tindakan kepatuhan untuk profil kerja di perangkat milik perusahaan.
1.10.3. Admin IT dapat menonaktifkan kamera di profil kerja atau seluruh perangkat.
1.10.4. Admin IT dapat menonaktifkan screenshot di profil kerja atau seluruh perangkat.
1.10.5. Admin IT dapat menetapkan daftar aplikasi yang diizinkan atau tidak diizinkan yang dapat atau tidak dapat diinstal di profil pribadi.
1.10.6. Admin IT dapat melepaskan pengelolaan perangkat milik perusahaan dengan menghapus profil kerja atau menghapus total seluruh perangkat.
1.11. Penyediaan perangkat khusus
Sengaja dikosongkan.
2. Keamanan perangkat
2.1. Tantangan keamanan perangkat
Admin IT dapat menetapkan dan menerapkan tantangan keamanan perangkat (PIN/pola/sandi) dari pilihan 3 tingkat kompleksitas yang telah ditentukan sebelumnya di perangkat terkelola.
2.1.1. Kebijakan harus menerapkan setelan yang mengelola tantangan keamanan perangkat (parentProfilePasswordrequirements untuk profil kerja, persyaratan sandi untuk perangkat yang terkelola sepenuhnya dan khusus).
2.1.2. Kerumitan sandi harus dipetakan ke kerumitan sandi berikut:
- PASSWORD_COMPLEXITY_LOW - pola atau pin dengan urutan berulang (4444) atau yang diurutkan (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN bukan merupakan urutan berulang (4444) atau yang berurutan (1234, 4321, 2468), sandi alfabet, atau alfanumerik dengan panjang minimal 4
- PASSWORD_COMPLEXITY_HIGH - PIN bukan merupakan urutan berulang (4444) atau yang berurutan (1234, 4321, 2468) dan panjangnya minimal 8 atau sandi alfabetis atau alfanumerik dengan panjang minimal 6
2.2. Tantangan keamanan kerja
Admin IT dapat menetapkan dan menerapkan verifikasi keamanan untuk aplikasi dan data di profil kerja yang terpisah dan memiliki persyaratan yang berbeda dari tantangan keamanan perangkat (2.1.).
2.2.1. Kebijakan harus menerapkan pertanyaan keamanan untuk profil kerja. Secara default, admin IT harus menetapkan batasan hanya untuk profil kerja jika tidak ada cakupan yang ditentukan. Admin IT dapat menetapkan batasan ini di seluruh perangkat dengan menentukan cakupan (lihat persyaratan 2.1)
2.1.2. Kerumitan sandi harus dipetakan ke kerumitan sandi berikut:
- PASSWORD_COMPLEXITY_LOW - pola atau pin dengan urutan berulang (4444) atau yang berurutan (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - PIN tanpa urutan, sandi alfabet, atau alfanumerik yang berulang (4444) atau yang diurutkan (1234, 4321, 2468), dengan panjang minimal 4
- PASSWORD_COMPLEXITY_HIGH - PIN bukan merupakan urutan berulang (4444) atau yang berurutan (1234, 4321, 2468) dan panjangnya minimal 8 atau sandi alfabetis atau alfanumerik dengan panjang minimal 6
2.3. Pengelolaan kode sandi lanjutan
2.3.1. Kosong secara sengaja.
2.3.2. Sengaja dikosongkan.
2.3.3. Setelan siklus proses sandi berikut dapat ditetapkan untuk setiap layar kunci yang tersedia di perangkat:
- Sengaja dikosongkan
- Kosong secara sengaja
- Sandi gagal maksimum untuk penghapusan total : Menentukan jumlah kali pengguna dapat memasukkan sandi yang salah sebelum data perusahaan dihapus total dari perangkat. Admin IT harus dapat menonaktifkan fitur ini.
2.4. Pengelolaan smart lock
Admin IT dapat mengelola perangkat dipercaya di fitur Smart Lock Android yang diizinkan untuk membuka kunci perangkat. Admin IT dapat menonaktifkan metode buka kunci tertentu seperti perangkat Bluetooth tepercaya, pengenalan wajah, dan pengenalan suara, atau secara opsional menonaktifkan fitur sepenuhnya.
2.4.1. Admin IT dapat menonaktifkan agen tepercaya Smart Lock, secara terpisah untuk setiap layar kunci yang tersedia di perangkat.
2.4.2. Admin IT dapat mengizinkan dan menyiapkan agen tepercaya Smart Lock secara terpisah untuk setiap layar kunci yang tersedia di perangkat, untuk agen tepercaya berikut: Bluetooth, NFC, tempat, wajah, pada tubuh, dan suara.
- Admin IT dapat mengubah parameter konfigurasi Agen kepercayaan yang tersedia.
2.5. Menghapus total dan mengunci
Admin IT dapat menggunakan konsol EMM untuk mengunci dan menghapus total data kerja dari perangkat terkelola dari jarak jauh.
2.5.1. DPC EMM harus mengunci perangkat.
2.5.2. DPC EMM harus menghapus total perangkat.
2.6. Menerapkan kepatuhan
Jika perangkat tidak mematuhi kebijakan keamanan, data kerja akan otomatis dibatasi.
2.6.1. Setidaknya, kebijakan keamanan yang diterapkan di perangkat harus menyertakan kebijakan sandi.
2.7. Kebijakan keamanan default
EMM harus menerapkan kebijakan keamanan yang ditentukan di perangkat secara default, tanpa mengharuskan admin IT menyiapkan atau menyesuaikan setelan apa pun di konsol EMM. EMM disarankan (tetapi tidak diwajibkan) untuk tidak mengizinkan admin IT mengubah status default fitur keamanan ini.
2.7.1. DPC EMM harus memblokir penginstalan aplikasi dari sumber tidak dikenal, termasuk aplikasi yang diinstal di sisi pribadi perangkat Android 8.0+ apa pun dengan profil kerja.
2.7.2. DPC EMM harus memblokir fitur proses debug.
2.8. Kebijakan keamanan untuk perangkat khusus
Perangkat khusus dikunci tanpa opsi keluar untuk mengizinkan tindakan lain.
2.8.1. DPC EMM harus menonaktifkan booting ke mode aman secara default.
2.8.2. DPC EMM harus segera dibuka dan dikunci ke layar saat booting pertama selama penyediaan, untuk memastikan tidak ada interaksi dengan perangkat dengan cara lain.
2.8.3. DPC EMM harus ditetapkan sebagai peluncur default untuk memastikan aplikasi yang diizinkan dikunci ke layar saat booting, sesuai dengan panduan penerapan yang ditentukan.
2.9. Dukungan Play Integrity
EMM menggunakan Play Integrity API untuk memastikan perangkat adalah perangkat Android yang valid.
2.9.1. DPC EMM menerapkan Play Integrity API selama penyediaan, dan secara default hanya menyelesaikan penyediaan perangkat dengan data perusahaan jika integritas perangkat yang ditampilkan adalah MEETS_STRONG_INTEGRITY .
2.9.2. DPC EMM akan melakukan pemeriksaan Play Integrity lagi setiap kali perangkat melakukan pemeriksaan dengan server EMM, yang dapat dikonfigurasi oleh admin IT. Server EMM akan memverifikasi informasi APK dalam respons pemeriksaan integritas dan respons itu sendiri sebelum memperbarui kebijakan perusahaan di perangkat.
2.9.3. Admin IT dapat menyiapkan respons kebijakan yang berbeda berdasarkan hasil pemeriksaan Play Integrity, termasuk pemblokiran penyediaan, penghapusan data perusahaan, dan mengizinkan pendaftaran untuk dilanjutkan.
- Layanan EMM akan menerapkan respons kebijakan ini untuk hasil setiap pemeriksaan integritas.
2.9.4. Jika pemeriksaan Play Integrity awal gagal atau menampilkan hasil yang tidak memenuhi integritas yang kuat, jika DPC EMM belum memanggil ensureWorkingEnvironment, DPC harus melakukannya dan mengulangi pemeriksaan sebelum penyediaan selesai.
2.10. Penerapan Verifikasi Aplikasi
Admin IT dapat mengaktifkan Verifikasi Aplikasi di perangkat. Verifikasi Aplikasi memindai aplikasi yang diinstal di perangkat Android untuk menemukan software berbahaya sebelum dan sesudah diinstal, sehingga membantu memastikan bahwa aplikasi jahat tidak dapat membahayakan data perusahaan.
2.10.1. DPC EMM harus mengaktifkan Verifikasi Aplikasi secara default.
2.11. Dukungan Direct Boot
Aplikasi tidak dapat berjalan di perangkat Android 7.0+ yang baru saja dinyalakan hingga perangkat dibuka kuncinya pertama kali. Dukungan Direct Boot memastikan bahwa DPC EMM selalu aktif dan dapat menerapkan kebijakan, meskipun perangkat belum dibuka kuncinya.
2.11.1. DPC EMM memanfaatkan penyimpanan yang dienkripsi dengan perangkat untuk melakukan fungsi pengelolaan penting sebelum penyimpanan yang dienkripsi dengan kredensial DPC didekripsi. Fungsi pengelolaan yang tersedia selama Direct Boot harus mencakup (tetapi tidak terbatas pada):
- Penghapusan total oleh perusahaan, termasuk kemampuan untuk menghapus total data perlindungan reset ke setelan pabrik jika diperlukan.
2.11.2. DPC EMM tidak boleh mengekspos data perusahaan dalam penyimpanan terenkripsi perangkat.
2.11.3. EMM dapat menyetel dan mengaktifkan token untuk mengaktifkan tombol lupa sandi saya di layar kunci profil kerja. Tombol ini digunakan untuk meminta admin IT mereset sandi profil kerja dengan aman.
2.12. Pengelolaan keamanan hardware
Admin IT dapat mengunci elemen hardware perangkat milik perusahaan untuk memastikan pencegahan kehilangan data.
2.12.1. Admin IT dapat memblokir pengguna agar tidak memasang media eksternal fisik di perangkat mereka.
2.12.2. Admin IT dapat memblokir pengguna agar tidak membagikan data dari perangkat mereka menggunakan fitur NFC beam . Sub-fitur ini bersifat opsional karena fungsi transmisi NFC tidak lagi didukung di Android 10 dan yang lebih baru.
2.12.3. Admin IT dapat memblokir pengguna agar tidak mentransfer file melalui USB dari perangkat mereka.
2.13. Logging keamanan perusahaan
Admin IT dapat mengumpulkan data penggunaan dari perangkat yang dapat diuraikan dan dievaluasi secara terprogram untuk mengetahui adanya perilaku berbahaya atau berisiko. Aktivitas yang dicatat ke dalam log meliputi aktivitas Android Debug Bridge (adb), aplikasi terbuka, dan layar dibuka.
2.13.1. Admin IT dapat mengaktifkan logging keamanan untuk perangkat tertentu, dan DPC EMM harus dapat mengambil log keamanan dan log keamanan pra-memulai ulang secara otomatis.
2.13.2. Admin IT dapat meninjau log keamanan perusahaan untuk perangkat tertentu dan periode waktu yang dapat dikonfigurasi, di konsol EMM.
2.13.3. Admin IT dapat mengekspor log keamanan perusahaan dari konsol EMM.
3. Pengelolaan akun dan aplikasi
3.1. Binding perusahaan
Admin IT dapat mengikat EMM ke organisasinya, sehingga EMM dapat menggunakan Google Play terkelola untuk mendistribusikan aplikasi ke perangkat.
3.1.1. Admin dengan Managed Google Domains yang sudah ada dapat mengikat domainnya ke EMM.
3.1.2. Konsol EMM harus menyediakan dan menyiapkan ESA unik secara diam-diam untuk setiap perusahaan.
3.1.3. Batalkan pendaftaran perusahaan menggunakan Play EMM API.
3.1.4. Konsol EMM memandu admin untuk memasukkan alamat email kantor mereka dalam alur pendaftaran Android dan menyarankan mereka untuk tidak menggunakan akun Gmail.
3.1.5. EMM akan mengisi otomatis alamat email admin di alur pendaftaran Android.
3.2. Penyediaan akun Google Play Terkelola
EMM dapat menyediakan akun pengguna perusahaan secara otomatis, yang disebut Akun Google Play terkelola. Akun ini mengidentifikasi pengguna terkelola dan memungkinkan aturan distribusi aplikasi unik per pengguna.
3.2.1. DPC EMM dapat otomatis menyediakan dan mengaktifkan akun Google Play terkelola sesuai dengan panduan penerapan yang ditentukan. Dalam melakukannya:
- Akun Google Play terkelola dengan jenis
userAccountditambahkan ke perangkat. - Akun Google Play terkelola jenis
userAccountharus memiliki pemetaan 1:1 dengan pengguna sebenarnya di konsol EMM.
3.3. Penyediaan akun perangkat Google Play terkelola
EMM dapat membuat dan menyediakan akun perangkat Google Play terkelola . Akun perangkat mendukung penginstalan aplikasi secara otomatis dari Google Play Store terkelola, dan tidak terikat dengan satu pengguna. Sebagai gantinya, akun perangkat digunakan untuk mengidentifikasi satu perangkat guna mendukung aturan distribusi aplikasi per perangkat dalam skenario perangkat khusus.
3.3.1. DPC EMM dapat menyediakan dan mengaktifkan akun Google Play terkelola
secara otomatis sesuai dengan panduan penerapan yang ditentukan.
Dengan demikian, akun Google Play terkelola jenis deviceAccount harus ditambahkan
ke perangkat.
3.4. Penyediaan akun Google Play Terkelola untuk perangkat lama
EMM dapat menyediakan akun pengguna perusahaan secara otomatis, yang disebut akun Google Play terkelola. Akun ini mengidentifikasi pengguna terkelola dan mengizinkan aturan distribusi aplikasi per pengguna yang unik.
3.4.1. DPC EMM dapat otomatis menyediakan dan mengaktifkan akun Google Play terkelola sesuai dengan panduan penerapan yang ditentukan . Dengan demikian:
- Akun Google Play terkelola dengan jenis
userAccountditambahkan ke perangkat. - Akun Google Play terkelola dari jenis
userAccountharus memiliki pemetaan 1-ke-1 dengan pengguna sebenarnya di konsol EMM.
3.5. Distribusi aplikasi otomatis
Admin IT dapat mendistribusikan aplikasi kerja di perangkat pengguna secara otomatis tanpa interaksi pengguna.
3.5.1. Konsol EMM harus menggunakan Play EMM API agar admin IT dapat menginstal aplikasi kerja di perangkat terkelola.
3.5.2. Konsol EMM harus menggunakan Play EMM API agar admin IT dapat mengupdate aplikasi kerja di perangkat terkelola.
3.5.3. Konsol EMM harus menggunakan Play EMM API agar admin IT dapat meng-uninstal aplikasi di perangkat terkelola.
3.6. Pengelolaan konfigurasi terkelola
Admin IT dapat melihat dan menyetel konfigurasi terkelola atau aplikasi apa pun yang mendukung konfigurasi terkelola secara diam-diam.
3.6.1. Konsol EMM harus dapat mengambil dan menampilkan setelan konfigurasi terkelola dari aplikasi Play apa pun.
- EMM dapat memanggil
Products.getAppRestrictionsSchemauntuk mengambil skema konfigurasi terkelola aplikasi atau menyisipkan frame konfigurasi terkelola di konsol EMM.
3.6.2. Konsol EMM harus mengizinkan admin IT menetapkan jenis konfigurasi apa pun (seperti yang ditentukan oleh framework Android) untuk aplikasi Play apa pun yang menggunakan Play EMM API.
3.6.3. Konsol EMM harus mengizinkan admin IT menetapkan karakter pengganti (seperti $username$ atau %emailAddress%) sehingga satu konfigurasi untuk aplikasi seperti Gmail dapat diterapkan ke beberapa pengguna. Iframe konfigurasi terkelola otomatis mendukung persyaratan ini.
3.7. Pengelolaan katalog aplikasi
Admin IT dapat mengimpor daftar aplikasi yang disetujui untuk perusahaan mereka dari Google Play terkelola (play.google.com/work).
3.7.1. Konsol EMM dapat menampilkan daftar aplikasi yang disetujui untuk distribusi, termasuk:
- Aplikasi yang dibeli di Google Play terkelola
- Aplikasi pribadi dapat dilihat oleh admin IT
- Aplikasi yang disetujui secara terprogram
3.8. Persetujuan aplikasi terprogram
Konsol EMM menggunakan iframe Google Play terkelola untuk mendukung kemampuan penemuan dan persetujuan aplikasi Google Play. Admin IT dapat menelusuri aplikasi, menyetujui aplikasi, dan menyetujui izin aplikasi baru tanpa keluar dari konsol EMM.
3.8.1. Admin IT dapat menelusuri aplikasi dan menyetujuinya dalam konsol EMM menggunakan iframe Google Play terkelola.
3.9. Pengelolaan tata letak toko dasar
Aplikasi Google Play Store terkelola dapat digunakan di perangkat untuk menginstal dan mengupdate aplikasi kerja. Tata letak Play Store dasar ditampilkan secara default dan mencantumkan aplikasi yang disetujui untuk perusahaan, yang difilter oleh EMM berdasarkan pengguna sesuai dengan kebijakan.
3.9.1. Admin IT dapat [manage users' available product sets]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) untuk mengizinkan tampilan dan penginstalan aplikasi dari Google Play Store terkelola di bagian 'Beranda Play Store'.
3.10. Konfigurasi tata letak toko lanjutan
Admin IT dapat menyesuaikan tata letak Play Store yang terlihat di aplikasi Google Play Store terkelola di perangkat.
3.10.1. Admin IT dapat melakukan tindakan berikut di konsol EMM untuk menyesuaikan tata letak Google Play Store terkelola:
- Buat hingga 100 halaman tata letak Play Store. Halaman dapat memiliki nama halaman yang dilokalkan dalam jumlah arbitrer.
- Buat hingga 30 cluster untuk setiap halaman. Cluster dapat memiliki jumlah nama cluster yang dilokalkan secara arbitrer.
- Tetapkan hingga 100 aplikasi ke setiap cluster.
- Tambahkan maksimal 10 link cepat ke setiap halaman.
- Tentukan tata urutan aplikasi dalam sebuah cluster dan cluster di dalam halaman.
3.11. Pengelolaan lisensi aplikasi
Admin IT dapat melihat dan mengelola lisensi aplikasi yang dibeli di Google Play terkelola dari konsol EMM.
3.11.1. Untuk aplikasi berbayar yang disetujui untuk perusahaan, konsol EMM harus menampilkan:
- Jumlah lisensi yang dibeli.
- Jumlah lisensi yang digunakan dan pengguna yang menggunakan lisensi.
- Jumlah lisensi yang tersedia untuk didistribusikan.
3.11.2. Admin IT dapat memberikan lisensi secara diam-diam kepada pengguna tanpa memaksa aplikasi tersebut untuk diinstal di perangkat pengguna mana pun.
3.11.3. Admin IT dapat membatalkan penetapan lisensi aplikasi dari pengguna.
3.12. Pengelolaan aplikasi pribadi yang dihosting Google
Admin IT dapat mengupdate aplikasi pribadi yang dihosting Google melalui konsol EMM, bukan melalui Konsol Google Play.
3.12.1. Admin IT dapat mengupload versi baru aplikasi yang sudah dipublikasikan secara pribadi ke perusahaan menggunakan:
3.13. Pengelolaan aplikasi pribadi yang dihosting sendiri
Admin IT dapat menyiapkan dan memublikasikan aplikasi pribadi yang dihosting sendiri. Tidak seperti aplikasi pribadi yang dihosting Google, Google Play tidak menghosting APK. Sebagai gantinya, EMM membantu admin IT menghosting APK sendiri, dan membantu melindungi aplikasi yang dihosting sendiri dengan memastikan aplikasi tersebut hanya dapat diinstal jika diotorisasi oleh Google Play terkelola.
Admin IT dapat membuka Mendukung aplikasi pribadi untuk mengetahui detailnya.
3.13.1. Konsol EMM harus membantu admin IT menghosting APK aplikasi, dengan menawarkan opsi berikut:
- Menghosting APK di server EMM. Server dapat berupa server lokal atau berbasis cloud.
- Menghosting APK di luar server EMM, sesuai kebijaksanaan admin IT. Admin IT harus menentukan di konsol EMM tempat APK dihosting.
3.13.2. Konsol EMM harus membuat file definisi APK yang sesuai menggunakan APK yang disediakan dan harus memandu admin IT melalui proses publikasi.
3.13.3. Admin IT dapat mengupdate aplikasi pribadi yang dihosting sendiri, dan konsol EMM dapat memublikasikan file definisi APK yang telah diupdate secara otomatis menggunakan Google Play Developer Publishing API.
3.13.4. Server EMM hanya menayangkan permintaan download untuk APK yang dihosting sendiri yang berisi JWT yang valid dalam cookie permintaan, seperti yang diverifikasi oleh kunci publik aplikasi pribadi.
- Untuk memfasilitasi proses ini, server EMM harus memandu admin IT untuk mendownload kunci publik lisensi aplikasi yang dihosting sendiri dari Konsol Google Play, dan mengupload kunci ini ke konsol EMM.
3.14. Notifikasi pull EMM
Alih-alih mengkueri Play secara berkala untuk mengidentifikasi peristiwa sebelumnya seperti update aplikasi yang berisi izin baru atau konfigurasi terkelola, notifikasi pull EMM secara proaktif memberi tahu EMM tentang peristiwa tersebut secara real time, yang memungkinkan EMM mengambil tindakan otomatis dan memberikan notifikasi administratif kustom berdasarkan peristiwa ini.
3.14.1. EMM harus menggunakan notifikasi EMM Play untuk menarik set notifikasi.
3.14.2. EMM harus otomatis memberi tahu admin IT (misalnya melalui email otomatis) tentang peristiwa notifikasi berikut:
newPermissionEvent: Memerlukan admin IT untuk menyetujui izin aplikasi baru sebelum aplikasi dapat diinstal atau diupdate secara otomatis di perangkat pengguna.appRestrictionsSchemaChangeEvent: Mungkin mengharuskan admin IT memperbarui konfigurasi terkelola aplikasi untuk mempertahankan efisiensi yang diinginkan.appUpdateEvent: Mungkin menarik bagi admin IT yang ingin memvalidasi bahwa performa alur kerja inti tidak terpengaruh oleh update aplikasi.productAvailabilityChangeEvent: Dapat memengaruhi kemampuan untuk menginstal aplikasi atau mengambil update aplikasi.installFailureEvent: Play tidak dapat menginstal aplikasi secara otomatis di perangkat, yang menunjukkan bahwa mungkin ada sesuatu tentang konfigurasi perangkat yang mencegah penginstalan. EMM tidak boleh langsung mencoba penginstalan senyap lagi setelah menerima notifikasi ini, karena logika percobaan ulang Play sendiri akan gagal.
3.14.3. EMM akan otomatis mengambil tindakan yang sesuai berdasarkan peristiwa notifikasi berikut:
newDeviceEvent: Selama penyediaan perangkat, EMM harus menunggunewDeviceEventsebelum melakukan panggilan Play EMM API berikutnya untuk perangkat baru, termasuk penginstalan aplikasi senyap dan menyetel konfigurasi terkelola.productApprovalEvent: setelah menerima notifikasiproductApprovalEvent, EMM harus otomatis memperbarui daftar aplikasi yang disetujui yang diimpor ke konsol EMM untuk didistribusikan ke perangkat jika ada sesi admin IT yang aktif, atau jika daftar aplikasi yang disetujui tidak otomatis dimuat ulang di awal setiap sesi admin IT.
3.15. Persyaratan penggunaan API
EMM menerapkan API Google dalam skala besar sehingga menghindari pola traffic yang dapat berdampak negatif terhadap kemampuan admin IT untuk mengelola aplikasi di lingkungan produksi.
3.15.1. EMM harus mematuhi batas penggunaan Play EMM API. Tidak memperbaiki perilaku yang melebihi pedoman ini dapat menyebabkan penangguhan penggunaan API, atas pertimbangan Google.
3.15.2. EMM harus mendistribusikan traffic dari berbagai perusahaan sepanjang hari, bukan menggabungkan traffic perusahaan pada waktu tertentu atau yang serupa. Perilaku yang sesuai dengan pola traffic ini, seperti operasi batch terjadwal untuk setiap perangkat yang terdaftar, dapat mengakibatkan penangguhan penggunaan API, atas pertimbangan Google.
3.15.3. EMM tidak boleh membuat permintaan yang konsisten, tidak lengkap, atau sengaja salah yang tidak berusaha mengambil atau mengelola data perusahaan yang sebenarnya. Perilaku yang sesuai dengan pola traffic ini dapat mengakibatkan penangguhan penggunaan API, atas pertimbangan Google.
3.16. Manajemen konfigurasi terkelola lanjutan
3.16.1. Konsol EMM harus dapat mengambil dan menampilkan setelan konfigurasi terkelola (bertingkat hingga empat tingkat) dari aplikasi Play apa pun, menggunakan:
- iFrame Google Play Terkelola , atau
- UI kustom.
3.16.2. Konsol EMM harus dapat mengambil dan menampilkan masukan apa pun yang ditampilkan oleh saluran masukan aplikasi , saat disiapkan oleh admin IT.
- Konsol EMM harus mengizinkan admin IT mengaitkan item masukan tertentu dengan perangkat dan aplikasi asalnya.
- Konsol EMM harus mengizinkan admin IT berlangganan pemberitahuan atau laporan jenis pesan tertentu (seperti pesan error).
3.16.3. Konsol EMM hanya boleh mengirim nilai yang memiliki nilai default atau ditetapkan secara manual oleh admin menggunakan:
- Iframe konfigurasi terkelola, atau
- UI kustom.
3.17 Pengelolaan aplikasi web
Admin IT dapat membuat dan mendistribusikan aplikasi web di konsol EMM.
3.17.1. Admin IT dapat menggunakan konsol EMM untuk mendistribusikan pintasan ke aplikasi web menggunakan:
- Iframe Google Play Terkelola , atau
- Play EMM API .
3.18. Pengelolaan siklus proses akun Google Play terkelola
EMM dapat membuat, memperbarui, dan menghapus Akun Google Play terkelola atas nama admin IT.
3.18.1. EMM dapat mengelola siklus proses Akun Google Play terkelola sesuai dengan panduan penerapan yang ditentukan dalam dokumentasi developer Play EMM API.
3.18.2. EMM dapat mengautentikasi ulang Akun Google Play terkelola tanpa interaksi pengguna.
3.19. Pengelolaan jalur aplikasi
3.19.1. Admin IT dapat mengambil daftar ID jalur yang ditetapkan oleh developer untuk aplikasi tertentu.
3.19.2. Admin IT dapat menetapkan perangkat untuk menggunakan jalur pengembangan tertentu untuk aplikasi.
3.20. Pengelolaan update aplikasi lanjutan
3.20.1. Admin IT dapat mengizinkan aplikasi menggunakan update aplikasi prioritas tinggi untuk diupdate saat update siap.
3.20.2. Admin IT dapat mengizinkan aplikasi untuk menunda update aplikasi selama 90 hari.
3.21. Pengelolaan metode penyediaan
EMM dapat membuat konfigurasi penyediaan dan menampilkannya kepada admin IT dalam bentuk yang siap didistribusikan kepada pengguna akhir (seperti kode QR, konfigurasi zero-touch, URL Play Store).
4. Pengelolaan perangkat
4.1. Pengelolaan kebijakan izin runtime
Admin IT dapat menyetel respons default secara diam-diam terhadap permintaan izin runtime yang dibuat oleh aplikasi kerja.
4.1.1. Admin IT harus dapat memilih dari opsi berikut saat menetapkan kebijakan izin runtime default untuk organisasi mereka:
- perintah (memungkinkan pengguna memilih)
- izinkan
- tolak
EMM harus menerapkan setelan ini menggunakan DPC EMM.
4.2. Pengelolaan status pemberian izin runtime
Setelah menetapkan kebijakan izin runtime default (buka 4.1.), Admin IT dapat menyetel respons secara diam-diam untuk izin tertentu dari aplikasi kerja apa pun yang dibuat di API 23 atau yang lebih tinggi.
4.2.1. Admin IT harus dapat menetapkan status pemberian (default, berikan, atau tolak) izin apa pun yang diminta oleh aplikasi kerja apa pun yang dibuat di API 23 atau yang lebih tinggi. EMM harus menerapkan setelan ini menggunakan DPC EMM .
4.3. Pengelolaan konfigurasi Wi-Fi
Admin IT dapat menyediakan konfigurasi Wi-Fi perusahaan secara otomatis di perangkat terkelola, termasuk:
4.3.1. SSID, menggunakan DPC EMM.
4.3.2. Sandi, menggunakan DPC EMM.
4.4. Pengelolaan keamanan Wi-Fi
Admin IT dapat menyediakan konfigurasi Wi-Fi perusahaan di perangkat terkelola yang menyertakan fitur keamanan lanjutan berikut:
4.4.1. Identity, menggunakan DPC EMM.
4.4.2. Sertifikat untuk otorisasi klien, menggunakan DPC EMM.
4.4.3. Sertifikat CA, menggunakan DPC EMM.
4.5. Pengelolaan Wi-Fi lanjutan
Admin IT dapat mengunci konfigurasi Wi-Fi di perangkat terkelola untuk mencegah pengguna membuat konfigurasi atau memodifikasi konfigurasi perusahaan.
4.5.1. Admin IT dapat mengunci konfigurasi Wi-Fi perusahaan dalam salah satu konfigurasi berikut:
- Pengguna tidak dapat mengubah konfigurasi Wi-Fi apa pun yang disediakan oleh EMM, tetapi dapat menambahkan dan mengubah jaringan mereka sendiri yang dapat dikonfigurasi pengguna (misalnya, jaringan pribadi).
- Pengguna tidak dapat menambahkan atau mengubah jaringan Wi-Fi apa pun di perangkat, sehingga membatasi konektivitas Wi-Fi hanya ke jaringan yang disediakan oleh EMM.
4.6. Pengelolaan akun
Admin IT dapat memastikan bahwa akun perusahaan yang tidak sah tidak dapat berinteraksi dengan data perusahaan, untuk layanan seperti aplikasi produktivitas dan penyimpanan SaaS, atau email. Tanpa fitur ini, akun pribadi dapat ditambahkan ke aplikasi perusahaan tersebut yang juga mendukung akun konsumen, sehingga memungkinkan mereka membagikan data perusahaan dengan akun pribadi tersebut.
4.6.1. Admin IT dapat mencegah penambahan atau perubahan akun.
- Saat menerapkan kebijakan ini di perangkat, EMM harus menetapkan batasan ini sebelum penyediaan selesai, untuk memastikan Anda tidak dapat mengakali kebijakan ini dengan menambahkan akun sebelum kebijakan diberlakukan.
4.7. Pengelolaan akun Workspace
Admin IT dapat memastikan bahwa Akun Google yang tidak sah tidak dapat berinteraksi dengan data perusahaan. Tanpa fitur ini, Akun Google pribadi dapat ditambahkan ke aplikasi Google perusahaan (misalnya Google Dokumen atau Google Drive), sehingga memungkinkan mereka berbagi data perusahaan dengan akun pribadi tersebut.
4.7.1. Admin IT dapat menentukan Akun Google yang akan diaktifkan selama penyediaan, setelah pembatasan manajemen akun diberlakukan.
4.7.2. DPC EMM harus meminta untuk mengaktifkan akun Google, dan memastikan bahwa hanya akun tertentu yang dapat diaktifkan dengan menentukan akun yang akan ditambahkan.
- Pada perangkat yang lebih rendah dari Android 7.0, DPC harus menonaktifkan pembatasan pengelolaan akun untuk sementara sebelum meminta pengguna.
4.8. Pengelolaan sertifikat
Memungkinkan admin IT men-deploy sertifikat identitas dan certificate authority ke perangkat untuk mengizinkan akses ke resource perusahaan.
4.8.1. Admin IT dapat menginstal sertifikat identitas pengguna yang dihasilkan oleh PKI mereka berdasarkan per pengguna. Konsol EMM harus terintegrasi dengan setidaknya satu IKP dan mendistribusikan sertifikat yang dihasilkan dari infrastruktur tersebut.
4.8.2. Admin IT dapat menginstal otoritas sertifikasi di keystore terkelola.
4.9. Pengelolaan sertifikat lanjutan
Memungkinkan admin IT memilih sertifikat yang harus digunakan aplikasi terkelola tertentu secara otomatis. Fitur ini juga memberi admin IT kemampuan untuk menghapus CA dan sertifikat identitas dari perangkat yang aktif. Fitur ini mencegah pengguna mengubah kredensial yang disimpan di keystore terkelola.
4.9.1. Untuk aplikasi apa pun yang didistribusikan ke perangkat, admin IT dapat menentukan sertifikat yang akan diberi akses secara diam-diam ke aplikasi selama runtime.
- Pemilihan sertifikat harus cukup umum untuk memungkinkan satu konfigurasi yang berlaku untuk semua pengguna, yang masing-masing mungkin memiliki sertifikat identitas khusus pengguna.
4.9.2. Admin IT dapat menghapus sertifikat secara otomatis dari keystore terkelola.
4.9.3. Admin IT dapat menguninstal sertifikat CA, atau semua sertifikat CA non-sistem secara diam-diam.
4.9.4. Admin IT dapat mencegah pengguna mengonfigurasi kredensial di keystore terkelola.
4.9.5. Admin IT dapat memberikan sertifikat pra-pemberian untuk aplikasi kerja.
4.10. Pengelolaan sertifikat yang didelegasikan
Admin IT dapat mendistribusikan aplikasi pengelolaan sertifikat pihak ketiga ke perangkat dan memberikan akses istimewa ke aplikasi tersebut untuk menginstal sertifikat ke keystore terkelola.
4.10.1. Admin IT menentukan paket pengelolaan sertifikat untuk ditetapkan sebagai aplikasi pengelolaan sertifikat yang didelegasikan oleh DPC.
- Konsol dapat secara opsional menyarankan paket pengelolaan sertifikat yang diketahui, tetapi harus mengizinkan admin IT memilih dari daftar aplikasi yang tersedia untuk diinstal, bagi pengguna yang berlaku.
4.11. Pengelolaan VPN lanjutan
Memungkinkan admin IT menentukan VPN Selalu Aktif untuk memastikan bahwa data dari aplikasi terkelola yang ditentukan akan selalu melewati VPN yang disiapkan.
4.11.1. Admin IT dapat menentukan paket VPN arbitrer untuk ditetapkan sebagai VPN Selalu Aktif.
- Konsol EMM dapat secara opsional menyarankan paket VPN yang diketahui yang mendukung VPN Selalu Aktif, tetapi tidak dapat membatasi VPN yang tersedia untuk konfigurasi Selalu Aktif ke daftar arbitrer apa pun.
4.11.2. Admin IT dapat menggunakan konfigurasi terkelola untuk menentukan setelan VPN bagi aplikasi.
4.12. Pengelolaan IME
Admin IT dapat mengelola metode input (IME) yang dapat disiapkan untuk perangkat. Karena IME dibagikan di profil kerja dan pribadi, memblokir penggunaan IME akan mencegah IME tersebut diizinkan untuk penggunaan pribadi. Namun, admin IT tidak boleh memblokir IME sistem di profil kerja (buka pengelolaan IME lanjutan untuk detail selengkapnya).
4.12.1. Admin IT dapat menyiapkan daftar IME yang diizinkan dengan durasi arbitrer (termasuk daftar kosong, yang memblokir IME non-sistem), yang mungkin berisi paket IME arbitrer.
- Konsol EMM dapat secara opsional menyarankan IME yang diketahui atau direkomendasikan untuk disertakan dalam daftar yang diizinkan, tetapi harus mengizinkan admin IT memilih dari daftar aplikasi yang tersedia untuk diinstal, bagi pengguna yang berlaku.
4.12.2. EMM harus memberi tahu admin IT bahwa IME sistem dikecualikan dari pengelolaan di perangkat dengan profil kerja.
4.13. Pengelolaan IME lanjutan
Admin IT dapat mengelola metode input (IME) yang dapat disiapkan untuk perangkat. Pengelolaan IME lanjutan memperluas fitur dasar dengan mengizinkan admin IT mengelola penggunaan IME sistem juga, yang biasanya disediakan oleh produsen perangkat atau operator perangkat.
4.13.1. Admin IT dapat menyiapkan daftar yang diizinkan IME dengan panjang arbitrer (tidak termasuk daftar kosong, yang memblokir semua IME termasuk IME sistem), yang dapat berisi paket IME arbitrer.
- Secara opsional, konsol EMM dapat menyarankan IME yang dikenal atau direkomendasikan untuk disertakan dalam daftar yang diizinkan, tetapi harus mengizinkan admin IT memilih dari daftar aplikasi yang tersedia untuk diinstal, untuk pengguna yang relevan.
4.13.2. EMM harus mencegah admin IT menyiapkan daftar yang diizinkan kosong, karena setelan ini akan memblokir semua IME termasuk IME sistem agar tidak disiapkan di perangkat.
4.13.3. EMM harus memastikan bahwa jika daftar yang diizinkan IME tidak berisi IME sistem, IME pihak ketiga diinstal secara otomatis sebelum daftar yang diizinkan diterapkan di perangkat.
4.14. Pengelolaan layanan aksesibilitas
Admin IT dapat mengelola layanan aksesibilitas yang dapat diizinkan di perangkat pengguna. Meskipun layanan aksesibilitas adalah alat yang efektif untuk pengguna difabel atau pengguna yang untuk sementara tidak dapat sepenuhnya berinteraksi dengan perangkat mereka, layanan tersebut dapat berinteraksi dengan data perusahaan dengan cara yang tidak mematuhi kebijakan perusahaan. Fitur ini memungkinkan admin IT menonaktifkan layanan aksesibilitas non-sistem.
4.14.1. Admin IT dapat menyiapkan daftar yang diizinkan layanan aksesibilitas dengan panjang arbitrer (termasuk daftar kosong, yang memblokir layanan aksesibilitas non-sistem), yang dapat berisi paket layanan aksesibilitas arbitrer apa pun. Jika diterapkan ke profil kerja, tindakan ini akan memengaruhi profil pribadi dan profil kerja.
- Konsol dapat secara opsional menyarankan layanan aksesibilitas yang diketahui atau direkomendasikan untuk disertakan dalam daftar yang diizinkan, tetapi harus mengizinkan admin IT untuk memilih dari daftar aplikasi yang tersedia untuk diinstal, bagi pengguna yang relevan.
4.15. Pengelolaan Berbagi Lokasi
Admin IT dapat mencegah pengguna berbagi data lokasi dengan aplikasi di profil kerja. Jika tidak, setelan lokasi untuk profil kerja dapat dikonfigurasi di Setelan.
4.15.1. Admin IT dapat menonaktifkan layanan lokasi dalam profil kerja.
4.16. Pengelolaan Berbagi Lokasi lanjutan
Admin IT dapat menerapkan setelan Berbagi Lokasi tertentu di perangkat terkelola. Fitur ini dapat memastikan bahwa aplikasi perusahaan selalu memiliki akses ke data lokasi dengan akurasi tinggi. Fitur ini juga dapat memastikan bahwa baterai tambahan tidak terpakai dengan membatasi setelan lokasi ke mode hemat baterai.
4.16.1. Admin IT dapat menetapkan layanan lokasi perangkat ke setiap mode berikut:
- Akurasi tinggi.
- Hanya sensor, misalnya GPS, tetapi tidak termasuk lokasi yang disediakan jaringan.
- Hemat baterai, yang membatasi frekuensi update.
- Nonaktif.
4.17. Pengelolaan perlindungan reset ke setelan pabrik
Memungkinkan admin IT melindungi perangkat milik perusahaan dari pencurian dengan memastikan pengguna yang tidak sah tidak dapat mereset perangkat ke setelan pabrik. Jika perlindungan reset ke setelan pabrik menyebabkan kerumitan operasional saat perangkat dikembalikan ke IT, admin IT juga dapat menonaktifkan perlindungan reset ke setelan pabrik sepenuhnya.
4.17.1. Admin IT dapat mencegah pengguna mereset perangkat ke setelan pabrik dari Setelan.
4.17.2. Admin IT dapat menentukan akun buka kunci perusahaan yang diberi otorisasi untuk menyediakan perangkat setelah reset ke setelan pabrik.
- Akun ini dapat dikaitkan dengan individu, atau digunakan oleh seluruh perusahaan untuk membuka kunci perangkat.
4.17.3. Admin IT dapat menonaktifkan perlindungan reset ke setelan pabrik untuk perangkat tertentu.
4.17.4. Admin IT dapat memulai penghapusan total perangkat jarak jauh yang secara opsional menghapus total data perlindungan reset, sehingga menghapus perlindungan reset ke setelan pabrik di perangkat yang direset.
4.18. Kontrol aplikasi lanjutan
Admin IT dapat mencegah pengguna meng-uninstal atau mengubah aplikasi terkelola melalui Setelan, misalnya menutup paksa aplikasi atau menghapus cache data aplikasi.
4.18.1. Admin IT dapat memblokir uninstal aplikasi terkelola arbitrer, atau semua aplikasi terkelola.
4.18.2. Admin IT dapat mencegah pengguna mengubah data aplikasi dari Setelan.
4.19. Pengelolaan screenshot
Admin IT dapat memblokir pengguna agar tidak mengambil screenshot saat menggunakan aplikasi terkelola. Setelan ini mencakup pemblokiran aplikasi berbagi layar dan aplikasi serupa (seperti Asisten Google) yang menggunakan kemampuan screenshot sistem.
4.19.1. Admin IT dapat mencegah pengguna mengambil screenshot .
4.20. Nonaktifkan kamera
Admin IT dapat menonaktifkan penggunaan kamera perangkat oleh aplikasi terkelola.
4.20.1. Admin IT dapat menonaktifkan penggunaan kamera perangkat oleh aplikasi terkelola.
4.21. Pengumpulan statistik jaringan
Admin IT dapat mengkueri statistik penggunaan jaringan dari profil kerja perangkat. Statistik yang dikumpulkan mencerminkan data penggunaan yang dibagikan kepada pengguna di bagian Penggunaan data di Setelan. Statistik yang dikumpulkan berlaku untuk penggunaan aplikasi dalam profil kerja.
4.21.1. Admin IT dapat mengkueri ringkasan statistik jaringan untuk profil kerja, untuk perangkat tertentu dan jangka waktu yang dapat dikonfigurasi, serta melihat detail ini di konsol EMM.
4.21.2. Admin IT dapat mengajukan kueri ringkasan aplikasi dalam statistik penggunaan jaringan profil kerja, untuk perangkat tertentu dan periode waktu yang dapat dikonfigurasi, serta melihat detail ini yang diatur menurut UID di konsol EMM.
4.21.3. Admin IT dapat melakukan kueri penggunaan data historis penggunaan jaringan profil kerja, untuk perangkat tertentu dan jangka waktu yang dapat dikonfigurasi, serta melihat detail ini yang diatur berdasarkan UID di konsol EMM.
4.22. Pengumpulan statistik jaringan lanjutan
Admin IT dapat membuat kueri statistik penggunaan jaringan untuk seluruh perangkat terkelola. Statistik yang dikumpulkan mencerminkan data penggunaan yang dibagikan kepada pengguna di bagian Penggunaan Data di Setelan. Statistik yang dikumpulkan berlaku untuk penggunaan aplikasi di perangkat.
4.22.1. Admin IT dapat mengkueri ringkasan statistik jaringan untuk seluruh perangkat, untuk perangkat tertentu dan periode waktu yang dapat dikonfigurasi, serta melihat detail ini di konsol EMM.
4.22.2. Admin IT dapat membuat kueri ringkasan penggunaan statistik jaringan aplikasi, untuk perangkat tertentu dan jangka waktu yang dapat dikonfigurasi, serta melihat detail ini yang diatur berdasarkan UID di konsol EMM.
4.22.3. Admin IT dapat mengkueri data historis penggunaan jaringan, untuk perangkat tertentu dan jangka waktu yang dapat dikonfigurasi, serta melihat detail ini yang diatur menurut UID di konsol EMM.
4.23. Reboot perangkat
Admin IT dapat memulai ulang perangkat terkelola dari jarak jauh.
4.23.1. Admin IT dapat memulai ulang dari jarak jauh perangkat terkelola.
4.24. Pengelolaan radio sistem
Memungkinkan admin IT mengelola radio jaringan sistem dan kebijakan penggunaan terkait secara terperinci.
4.24.1. Admin IT dapat menonaktifkan siaran seluler yang dikirim oleh penyedia layanan (misalnya, pemberitahuan AMBER).
4.24.2. Admin IT dapat mencegah pengguna mengubah setelan jaringan seluler di Setelan.
4.24.3. Admin IT dapat mencegah pengguna mereset setelan jaringan di Setelan.
4.24.4. Admin IT dapat mengizinkan atau melarang data seluler saat roaming.
4.24.5. Admin IT dapat menyiapkan apakah perangkat dapat melakukan panggilan telepon keluar, tidak termasuk panggilan darurat.
4.24.6. Admin IT dapat menyiapkan apakah perangkat dapat mengirim dan menerima pesan teks.
4.24.7. Admin IT dapat mencegah pengguna menggunakan perangkat mereka sebagai hotspot portabel dengan tethering .
4.24.8. Admin IT dapat menyetel waktu tunggu Wi-Fi ke default , hanya saat dicolokkan , atau tidak pernah .
4.24.9. Admin IT dapat mencegah pengguna menyiapkan atau mengubah koneksi Bluetooth yang ada .
4,25. Pengelolaan audio sistem
Admin IT dapat mengelola fitur audio perangkat secara diam-diam, termasuk membisukan perangkat, mencegah pengguna mengubah setelan volume, dan mencegah pengguna membatalan bisukan mikrofon perangkat.
4.25.1. Admin IT dapat menonaktifkan suara perangkat terkelola secara diam-diam.
4.25.2. Admin IT dapat mencegah pengguna mengubah setelan volume perangkat.
4.25.3. Admin IT dapat mencegah pengguna membunyikan mikrofon perangkat.
4.26. Pengelolaan jam sistem
Admin IT dapat mengelola setelan jam dan zona waktu perangkat, serta mencegah pengguna mengubah setelan perangkat otomatis.
4.26.1. Admin IT dapat menerapkan waktu otomatis sistem, sehingga pengguna tidak dapat menyetel tanggal dan waktu perangkat.
4.26.2. Admin IT dapat menonaktifkan atau mengaktifkan waktu otomatis dan zona waktu otomatis secara diam-diam.
4.27. Fitur perangkat khusus lanjutan
Memberikan kemampuan kepada admin IT untuk mengelola fitur perangkat khusus yang lebih terperinci untuk mendukung berbagai kasus penggunaan kios.
4.27.1. Admin IT dapat menonaktifkan kunci layar perangkat.
4.27.2. Admin IT dapat menonaktifkan status bar perangkat, yang memblokir notifikasi dan Setelan Cepat.
4.27.3. Admin IT dapat memaksa layar perangkat tetap menyala saat perangkat dicolokkan.
4.27.4. Admin IT dapat mencegah UI sistem berikut ditampilkan:
- Toast
- Overlay aplikasi.
4.27.5. Admin IT dapat mengizinkan rekomendasi sistem untuk aplikasi agar melewati tutorial pengguna dan petunjuk pengantar lainnya saat pertama kali dimulai.
4.28. Pengelolaan cakupan yang didelegasikan
Admin IT dapat mendelegasikan hak istimewa tambahan ke setiap paket.
4.28.1. Admin IT dapat mengelola cakupan berikut:
- Pengelolaan dan penginstalan sertifikat
- Kosong secara sengaja
- Logging jaringan
- Logging keamanan (tidak didukung untuk profil kerja di perangkat milik pribadi)
4.29. Dukungan tanda pengenal khusus pendaftaran
Mulai Android 12, profil kerja tidak akan lagi memiliki akses ke ID khusus hardware. Admin IT dapat mengikuti siklus proses perangkat dengan profil kerja melalui ID khusus pendaftaran, yang akan tetap ada melalui reset ke setelan pabrik.
4.29.1. Admin IT dapat menetapkan dan mendapatkan ID khusus pendaftaran
4.29.2. ID khusus pendaftaran ini harus tetap ada setelah reset ke setelan pabrik
5. Kegunaan perangkat
5.1. Penyesuaian penyediaan terkelola
Admin IT dapat mengubah UX alur penyiapan default untuk menyertakan fitur khusus perusahaan. Secara opsional, admin IT dapat menampilkan branding yang disediakan EMM selama penyediaan.
5.1.1. Admin IT dapat menyesuaikan proses penyediaan dengan menentukan detail khusus perusahaan berikut: warna perusahaan, logo perusahaan, persyaratan layanan perusahaan dan pernyataan penyangkalan lainnya.
5.1.2. Admin IT dapat men-deploy penyesuaian khusus EMM yang tidak dapat dikonfigurasi yang mencakup detail berikut: Warna EMM, logo EMM, Persyaratan layanan EMM, dan pernyataan penyangkalan lainnya.
5.1.3 [primaryColor] tidak digunakan lagi untuk resource perusahaan di
Android 10 dan yang lebih tinggi.
- EMM harus menyertakan Persyaratan Layanan penyediaan dan pernyataan penyangkalan lainnya untuk alur penyediaannya di paket pernyataan penyangkalan penyediaan sistem, meskipun penyesuaian khusus EMM tidak digunakan.
- EMM dapat menetapkan penyesuaian khusus EMM yang tidak dapat dikonfigurasi sebagai default untuk semua deployment, tetapi harus memungkinkan admin IT menyiapkan penyesuaian mereka sendiri.
5.2. Penyesuaian perusahaan
Admin IT dapat menyesuaikan aspek profil kerja dengan branding perusahaan. Misalnya, admin IT dapat menetapkan ikon pengguna di profil kerja ke logo perusahaan. Contoh lainnya adalah menyiapkan warna latar belakang tantangan kerja.
5.2.1. Admin IT dapat menetapkan warna organisasi, yang akan digunakan sebagai warna latar belakang tantangan kerja.
5.2.2. Admin IT dapat menetapkan nama tampilan profil kerja .
5.2.3. Admin IT dapat menetapkan ikon pengguna profil kerja .
5.2.4. Admin IT dapat mencegah pengguna mengubah ikon pengguna profil kerja .
5.3. Penyesuaian perusahaan lanjutan
Admin IT dapat menyesuaikan perangkat terkelola dengan branding perusahaan. Misalnya, admin IT dapat menetapkan ikon pengguna utama ke logo perusahaan, atau menetapkan wallpaper perangkat.
5.3.1. Admin IT dapat menetapkan nama tampilan untuk perangkat terkelola.
5.3.2. Admin IT dapat menetapkan ikon pengguna perangkat terkelola.
5.3.3. Admin IT dapat mencegah pengguna mengubah ikon pengguna perangkat .
5.3.4. Admin IT dapat menyetel wallpaper perangkat .
5.3.5. Admin IT dapat mencegah pengguna mengubah wallpaper perangkat .
5.4. Pesan layar kunci
Admin IT dapat menetapkan pesan khusus yang selalu ditampilkan di layar kunci perangkat, dan tidak mengharuskan pembukaan kunci perangkat agar dapat dilihat.
5.4.1. Admin IT dapat menyetel pesan layar kunci kustom.
5.5. Pengelolaan transparansi kebijakan
Admin IT dapat menyesuaikan teks bantuan yang diberikan kepada pengguna saat mereka mengubah setelan yang dikelola di perangkat, atau men-deploy pesan dukungan umum yang disediakan EMM. Pesan dukungan singkat dan panjang dapat disesuaikan. Pesan ini ditampilkan dalam kasus seperti mencoba meng-uninstal aplikasi terkelola yang uninstalnya telah diblokir oleh admin IT.
5.5.1. Admin IT menyesuaikan pesan dukungan singkat dan panjang.
5.5.2. Admin IT dapat men-deploy pesan dukungan singkat dan panjang khusus EMM yang tidak dapat dikonfigurasi.
- EMM dapat menetapkan pesan dukungan khusus EMM yang tidak dapat dikonfigurasi sebagai default untuk semua deployment, tetapi harus mengizinkan admin IT menyiapkan pesan mereka sendiri.
5.6. Pengelolaan kontak antar-profil
Admin IT dapat mengontrol data kontak yang dapat keluar dari profil kerja. Aplikasi telepon dan pesan (SMS) harus berjalan di profil pribadi, dan memerlukan akses ke data kontak profil kerja untuk menawarkan efisiensi bagi kontak kerja, tetapi admin dapat memilih untuk menonaktifkan fitur ini guna melindungi data kerja.
5.6.1. Admin IT dapat menonaktifkan penelusuran kontak lintas profil untuk aplikasi pribadi yang menggunakan penyedia kontak sistem.
5.6.2. Admin IT dapat menonaktifkan pencarian ID penelepon lintas profil untuk aplikasi telepon pribadi yang menggunakan penyedia kontak sistem.
5.6.3. Admin IT dapat menonaktifkan berbagi kontak Bluetooth dengan perangkat Bluetooth yang menggunakan penyedia kontak sistem, misalnya panggilan handsfree di mobil atau headset.
5.7. Pengelolaan data lintas profil
Memberikan pengelolaan kepada admin IT terkait data yang dapat keluar dari profil kerja, di luar fitur keamanan default profil kerja. Dengan fitur ini, admin IT dapat mengizinkan jenis berbagi data lintas profil tertentu untuk meningkatkan kegunaan dalam kasus penggunaan utama. Admin IT juga dapat lebih melindungi data perusahaan dengan lebih banyak pembatasan.
5.7.1. Admin IT dapat mengonfigurasi filter intent lintas profil sehingga aplikasi pribadi dapat me-resolve intent dari profil kerja seperti berbagi intent atau link web.
- Console dapat secara opsional menyarankan filter intent yang diketahui atau direkomendasikan untuk konfigurasi, tetapi tidak dapat membatasi filter intent ke daftar arbitrer apa pun.
5.7.2. Admin IT dapat mengizinkan aplikasi terkelola yang dapat menampilkan widget di layar utama.
- Konsol EMM harus memberi admin IT kemampuan untuk memilih dari daftar aplikasi yang tersedia untuk diinstal oleh pengguna yang berlaku.
5.7.3. Admin IT dapat memblokir penggunaan salin/tempel antara profil kerja dan pribadi.
5.7.4. Admin IT dapat memblokir pengguna agar tidak membagikan data dari profil kerja menggunakan beam NFC.
5.7.5. Admin IT dapat mengizinkan aplikasi pribadi membuka link web dari profil kerja.
5.8. Kebijakan update sistem
Admin IT dapat menyiapkan dan menerapkan update sistem over-the-air (OTA) untuk perangkat.
5.8.1. Konsol EMM memungkinkan admin IT menetapkan konfigurasi OTA berikut:
- Otomatis: Perangkat menginstal update OTA saat tersedia.
- Tunda: Admin IT harus dapat menunda update OTA hingga 30 hari. Kebijakan ini tidak memengaruhi update keamanan (mis. patch keamanan bulanan).
- Berjangka waktu: Admin IT harus dapat menjadwalkan update OTA dalam masa pemeliharaan harian.
5.8.2. DPC EMM menerapkan konfigurasi OTA ke perangkat.
5.9. Mengunci pengelolaan mode tugas
Admin IT dapat mengunci aplikasi atau sekumpulan aplikasi ke layar, dan memastikan pengguna tidak dapat keluar dari aplikasi.
5.9.1. Konsol EMM memungkinkan admin IT mengizinkan sekumpulan aplikasi arbitrer untuk diinstal dan dikunci ke perangkat secara diam-diam. DPC EMM memungkinkan mode perangkat khusus.
5.10. Pengelolaan aktivitas pilihan yang persisten
Memungkinkan admin IT menetapkan aplikasi sebagai pengendali intent default untuk intent yang cocok dengan filter intent tertentu. Misalnya, mengizinkan admin IT memilih aplikasi browser yang otomatis membuka link web, atau aplikasi peluncur yang digunakan saat mengetuk tombol layar utama.
5.10.1. Admin IT dapat menetapkan paket apa pun sebagai pengendali intent default untuk filter intent arbitrer.
- Konsol EMM dapat secara opsional menyarankan intent yang diketahui atau direkomendasikan untuk konfigurasi, tetapi tidak dapat membatasi intent ke daftar arbitrer.
- Konsol EMM harus memungkinkan admin IT memilih dari daftar aplikasi yang tersedia untuk diinstal bagi pengguna yang berlaku.
5.11. Pengelolaan fitur kunci layar
- agen tepercaya
- buka kunci dengan sidik jari
- notifikasi yang tidak disamarkan
5.11.2. DPC EMM dapat menonaktifkan fitur kunci layar berikut di profil kerja:
- agen tepercaya
- buka kunci dengan sidik jari
5.12. Pengelolaan fitur kunci layar lanjutan
- Kamera aman
- Semua notifikasi
- Notifikasi yang tidak disamarkan
- Agen tepercaya
- Buka dengan Sidik Jari
- Semua fitur keyguard
5.13. Proses debug jarak jauh
Admin IT dapat mengambil resource proses debug dari perangkat tanpa memerlukan langkah tambahan.
5.13.1. Admin IT dapat meminta laporan bug dari jarak jauh, melihat laporan bug dari konsol EMM, dan mendownload laporan bug dari konsol EMM.
5.14. Pengambilan alamat MAC
EMM dapat mengambil alamat MAC perangkat secara diam-diam. Alamat MAC dapat digunakan untuk mengidentifikasi perangkat di bagian lain infrastruktur perusahaan (misalnya saat mengidentifikasi perangkat untuk kontrol akses jaringan).
5.14.1. EMM dapat mengambil alamat MAC perangkat secara diam-diam dan dapat mengaitkannya dengan perangkat di konsol EMM.
5.15. Pengelolaan mode mengunci tugas lanjutan
Saat perangkat disiapkan sebagai perangkat khusus, admin IT dapat menggunakan konsol EMM untuk melakukan tugas berikut:
5.15.1. Mengizinkan satu aplikasi untuk mengunci perangkat secara diam-diam menggunakan DPC EMM.
5.15.2. Aktifkan atau nonaktifkan fitur UI Sistem berikut menggunakan DPC EMM :
- Tombol beranda
- Ringkasan
- Tindakan global
- Notifikasi
- Info sistem / Status bar
- Pengaman tombol (layar kunci)
5.15.3. Nonaktifkan dialog Error Sistem menggunakan DPC EMM.
5.16. Kebijakan update sistem lanjutan
Admin IT dapat memblokir update sistem di perangkat selama periode pembekuan yang ditentukan.
5.16.1. DPC EMM dapat menerapkan update sistem over-the-air (OTA) ke perangkat selama periode pembekuan yang ditentukan.
5.17. Pengelolaan transparansi kebijakan profil kerja
Admin IT dapat menyesuaikan pesan yang ditampilkan kepada pengguna saat menghapus profil kerja dari perangkat.
5.17.1. Admin IT dapat memberikan teks kustom untuk ditampilkan saat profil kerja dihapus total.
5.18. Dukungan aplikasi terhubung
Admin IT dapat menetapkan daftar paket yang dapat berkomunikasi di seluruh batas profil kerja.
5.19. Update Sistem Manual
Admin IT dapat menginstal update sistem secara manual dengan memberikan jalur.
6. Penghentian Penggunaan Admin Perangkat
6.1. Penghentian Admin Perangkat
EMM diwajibkan untuk memposting rencana paling lambat akhir tahun 2022 yang mengakhiri dukungan pelanggan untuk Pengelola Perangkat di perangkat GMS paling lambat akhir K1 2023.
7. Penggunaan API
7.1. Pengontrol kebijakan standar untuk binding baru
Secara default, perangkat harus dikelola menggunakan Android Device Policy untuk binding baru. EMM dapat memberikan opsi untuk mengelola perangkat menggunakan DPC kustom di area setelan pada judul 'Lanjutan' atau terminologi serupa. Pelanggan baru tidak boleh diberi pilihan arbitrer antara technology stack selama alur kerja orientasi atau penyiapan.
7.2. Pengontrol kebijakan standar untuk perangkat baru
Secara default, perangkat harus dikelola menggunakan Android Device Policy untuk semua pendaftaran perangkat baru, baik untuk binding yang ada maupun yang baru. EMM dapat menyediakan opsi untuk mengelola perangkat menggunakan DPC kustom di area setelan pada bagian judul 'Lanjutan' atau terminologi serupa.