בדף הזה מופיעה הרשימה המלאה של התכונות של Android Enterprise.
אם אתם מתכוונים לנהל יותר מ-500 מכשירים, פתרון ה-EMM שלכם צריך לתמוך בכל התכונות הסטנדרטיות () של קבוצת פתרונות אחת לפחות כדי שתוכלו להציע אותו באופן מסחרי. פתרונות EMM שעומדים בבדיקת התכונות הסטנדרטיות מופיעים במאגר הפתרונות לארגונים של Android כפתרונות עם חבילת ניהול סטנדרטית.
לכל חבילה של פתרונות יש קבוצה נוספת של תכונות מתקדמות. התכונות האלה מסומנות בכל דף של קבוצת פתרונות: פרופיל עבודה במכשיר בבעלות אישית, פרופיל עבודה במכשיר בבעלות החברה, מכשיר מנוהל ומכשיר ייעודי. פתרונות EMM שעוברים אימות תכונות מתקדמות מפורטים בספריית הפתרונות לארגונים של Android, והם כוללים ערכת ניהול מתקדם.
מפתח
| תכונה רגילה | תכונה מתקדמת | תכונה אופציונלית | לא רלוונטי |
1. הקצאת מכשיר
1.1. הקצאת פרופיל עבודה דרך DPC-first
אפשר להקצות פרופיל עבודה אחרי שמורידים את ה-DPC של ה-EMM מ-Google Play.
1.1.1. ה-DPC של ה-EMM צריך להיות זמין לכולם ב-Google Play כדי שמשתמשים יוכלו להתקין אותו בצד האישי של המכשיר.
1.1.2. לאחר ההתקנה, בקר ה-DPC צריך להנחות את המשתמש בתהליך הקצאת פרופיל עבודה.
1.1.3. אחרי השלמת ההקצאה, לא יכול להישאר נוכחות ניהול בצד האישי של המכשיר.
- צריך להסיר כל מדיניות שהוגדרה במהלך ההקצאה.
- צריך לבטל את הרשאות האפליקציה.
- בקר ה-DPC של ה-EMM חייב להיות כבוי, לכל הפחות, בצד האישי של המכשיר.
1.2. הקצאת מכשיר באמצעות מזהה DPC
אדמיני IT יכולים להקצות מכשיר מנוהל או ייעודי באמצעות מזהה DPC ('afw#'), בהתאם להנחיות ההטמעה שמוגדרות במסמכי התיעוד למפתחים של Play EMM API.
1.2.1. ה-DPC של ה-EMM חייב להיות זמין לכולם ב-Google Play. צריך להיות אפשר להתקין את ה-DPC באמצעות האשף להגדרת המכשיר, על ידי הזנת מזהה ספציפי ל-DPC.
1.2.2. לאחר ההתקנה, בקר ה-DPC של ה-EMM צריך להנחות את המשתמש בתהליך ההקצאה של מכשיר מנוהל או ייעודי באופן מלא.
1.3. הקצאה של מכשיר NFC
אדמינים ב-IT יכולים להשתמש בתגי NFC כדי להקצות מכשירים חדשים או מכשירים שמאפסים להגדרות המקוריות, בהתאם להנחיות ההטמעה שמוגדרות במסמכי התיעוד למפתחים של Play EMM API.
1.3.1. ספקי EMM חייבים להשתמש בתגים מסוג פורום NFC 2 (סוג 2) עם זיכרון של 888 בייטים לפחות. ניהול ההקצאה צריך לכלול תוספות של הקצאות כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרתים ומזהי רישום. פרטי הרישום לא צריכים לכלול מידע רגיש כמו סיסמאות או אישורים.
1.3.2. אחרי שה-DPC של ה-EMM מגדיר את עצמו כבעלים של המכשיר, ה-DPC צריך להיפתח באופן מיידי ולהינעל למסך עד שהמכשיר יוקצה במלואו. 1.3.3. מומלץ להשתמש בתגי NFC בגרסאות Android 10 ואילך, בגלל ההוצאה משימוש של NFC Beam (נקרא גם NFC Bump).
1.4. הקצאת מכשיר באמצעות קוד QR
מנהלי IT יכולים להשתמש במכשיר חדש או במכשיר שחזר להגדרות המקוריות כדי לסרוק קוד QR שנוצר על ידי מסוף ה-EMM, כדי להקצות את המכשיר בהתאם להנחיות להטמעה שמפורטות במסמכי התיעוד למפתחים של Play EMM API.
1.4.1. קוד ה-QR חייב להשתמש בתוספים לניהול כדי להעביר למכשיר פרטי רישום לא רגישים, כמו מזהי שרת ומזהי הרשמה. אסור לכלול פרטי רישום שמכילים מידע רגיש, כמו סיסמאות או אישורים.
1.4.2. אחרי שה-DPC של ה-EMM מגדיר את המכשיר, ה-DPC צריך להיפתח באופן מיידי ולהינעל למסך עד שהמכשיר יוקצה במלואו.
1.5. הרשמה דרך הארגון
אדמיני IT יכולים להגדיר מראש מכשירים שנרכשו ממפיצים מורשים ולנהל אותם באמצעות מסוף ה-EMM.
1.5.1. מנהלי IT יכולים להקצות מכשירים בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, כפי שמתואר במאמר הרשמה דרך הארגון למנהלי IT.
1.5.2. כשמפעילים מכשיר בפעם הראשונה, הוא מוגדר באופן אוטומטי להגדרות שהוגדרו על ידי האדמין ב-IT.
1.6. ניהול הקצאות מתקדם דרך הארגון
אדמיני IT יכולים להפוך חלק גדול מתהליך ההרשמה של המכשירים לאוטומטי על ידי פריסה של פרטי הרישום של DPC באמצעות הרשמה ללא מגע. ה-DPC של ה-EMM תומך בהגבלת ההרשמה לחשבונות או לדומיינים ספציפיים, בהתאם לאפשרויות ההגדרה שמוצעות על ידי ה-EMM.
1.6.1. אדמינים ב-IT יכולים להקצות מכשיר בבעלות החברה באמצעות שיטת ההרשמה דרך הארגון, שמתוארת במאמר הרשמה דרך הארגון לאדמינים ב-IT.
1.6.2. אחרי שה-DPC של ה-EMM מגדיר את המכשיר, ה-DPC של ה-EMM צריך להיפתח באופן מיידי ולהינעל למסך עד שהמכשיר יוקצה במלואו.
- אפשר לוותר על הדרישה הזו במכשירים שמשתמשים בפרטי ההרשמה של הרשמה דרך הארגון כדי להקצות את עצמם באופן מלא בשקט (לדוגמה, בפריסה של מכשיר ייעודי).
1.6.3. באמצעות פרטי ההרשמה, ה-DPC של ה-EMM צריך לוודא שמשתמשים לא מורשים לא יוכלו להמשיך בתהליך ההפעלה אחרי הקריאה ל-DPC. לפחות, ההפעלה צריכה להיות נעולה למשתמשים של ארגון נתון.
1.6.4. באמצעות פרטי הרישום, ה-DPC של ה-EMM צריך לאפשר לאדמינים ב-IT לאכלס מראש את פרטי הרישום (למשל מזהי שרתים, מזהי הרשמה) בנוסף למידע ייחודי על המשתמש או על המכשיר (למשל שם משתמש/סיסמה, אסימון הפעלה), כדי שהמשתמשים לא יצטרכו להזין פרטים כשהם מפעילים מכשיר.
- אסור שספקי EMM יכללו מידע רגיש, כמו סיסמאות או אישורים, בהגדרות של ההרשמה דרך הארגון.
1.7. הקצאה של פרופיל עבודה בחשבון Google
בארגונים שמשתמשים בדומיין מנוהל של Google, התכונה הזו מנחה את המשתמשים בהגדרת פרופיל עבודה אחרי שהם מזינים את פרטי הכניסה ל-Workspace הארגוני במהלך הגדרת המכשיר או במכשיר שכבר הופעל. בשני המקרים, הזהות הארגונית ב-Workspace תועבר לפרופיל העבודה.
1.7.1. שיטת ההקצאה של חשבון Google מקצה פרופיל עבודה, בהתאם להנחיות ההטמעה המוגדרות.
1.8. הקצאת מכשיר לחשבון Google
בארגונים שמשתמשים ב-Workspace, התכונה הזו מנחה את המשתמשים בתהליך התקנת ה-DPC של ה-EMM אחרי שהם מזינים את פרטי הכניסה ל-Workspace העסקי במהלך ההגדרה הראשונית של המכשיר. לאחר ההתקנה, בקר ה-DPC משלים את ההגדרה של מכשיר בבעלות החברה.
1.8.1. שיטת הקצאת חשבון Google מקצה מכשיר בבעלות החברה, בהתאם להנחיות להטמעה.
1.8.2. אלא אם ל-EMM יש אפשרות לזהות באופן חד-משמעי את המכשיר כנכס ארגוני, הוא לא יכול להקצות מכשיר בלי שתוצג בקשה בתהליך ההקצאה. ההנחיה הזו צריכה לכלול פעולה שאינה ברירת המחדל, כמו סימון של תיבת סימון או בחירה של אפשרות בתפריט שאינה ברירת המחדל. מומלץ שה-EMM יוכל לזהות את המכשיר כנכס של הארגון, כדי שלא תהיה צורך בהודעה.
1.9. הגדרה ישירה ללא מגע
אדמיני IT יכולים להשתמש במסוף של ה-EMM כדי להגדיר מכשירים ללא מגע באמצעות iframe ללא מגע.
1.10. פרופילים של עבודה במכשירים בבעלות החברה
פתרונות EMM יכולים לרשום מכשירים בבעלות החברה שיש להם פרופיל עבודה.
1.10.1. ריק מכוון.
1.10.2. אדמינים ב-IT יכולים להגדיר פעולות תאימות לפרופילי עבודה במכשירים שבבעלות החברה.
1.10.3. אדמינים ב-IT יכולים להשבית את המצלמה בפרופיל העבודה או בכל המכשיר.
1.10.4. אדמינים ב-IT יכולים להשבית את יכולת הצילום במסך בפרופיל העבודה או במכשיר כולו.
1.10.5. אדמינים ב-IT יכולים להגדיר רשימת היתרים או רשימת חסימות של אפליקציות שאפשר או אי אפשר להתקין בפרופיל האישי.
1.10.6. אדמינים ב-IT יכולים להסיר את פרופיל העבודה או לאפס את כל הנתונים במכשיר שלהם, כדי לוותר על ניהול של מכשיר בבעלות החברה.
1.11. הקצאת מכשיר ייעודי
השארת השדה ריק בכוונה.
2. אבטחת המכשיר
2.1. אתגר אבטחת המכשיר
אדמינים ב-IT יכולים להגדיר ולאכוף אתגר אבטחת מכשירים (קוד אימות/קו ביטול נעילה/סיסמה) מבחירה מוגדרת מראש של 3 רמות מורכבות במכשירים מנוהלים.
2.1.1. המדיניות חייבת לאכוף הגדרות לניהול האתגרים של אבטחת המכשיר (parentProfilePasswordRequirements לפרופיל העבודה, passwordRequirements למכשירים מנוהלים ומכשירים ייעודיים).
2.1.2. מורכבות הסיסמה חייבת להתאים למורכבות הסיסמה הבאה:
- PASSWORD_COMPLEXITY_LOW - תבנית או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH - קוד אימות ללא רצפים חוזרים (4444) או רצפים לפי סדר (1234, 4321, 2468) ואורך של לפחות 8 סיסמאות, או סיסמאות אלפאנומריות או סיסמאות, באורך של 6 לפחות
2.2. אתגר אבטחה בעבודה
אדמיני IT יכולים להגדיר ולאכוף אתגר אבטחה לאפליקציות ולנתונים בפרופיל העבודה, שהוא נפרד ומציג דרישות שונות מהאתגר לאבטחת המכשיר (2.1).
2.2.1. המדיניות חייבת לאכוף את האתגר האבטחה בפרופיל העבודה. כברירת מחדל, אדמינים ב-IT צריכים להגדיר הגבלות רק לפרופיל העבודה, אם לא צוין היקף. אדמינים ב-IT יכולים להגדיר את ההגבלות האלה ברמת המכשיר על ידי ציון ההיקף (ראו דרישה 2.1).
2.1.2. מורכבות הסיסמה צריכה להתבסס על המורכבות הבאה של סיסמאות:
- PASSWORD_COMPLEXITY_LOW - תבנית או קוד אימות עם רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468).
- PASSWORD_COMPLEXITY_MEDIUM - קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468), סיסמה אלפביתית או אלפאנומרית באורך של 4 תווים לפחות
- PASSWORD_COMPLEXITY_HIGH - קוד אימות ללא רצפים חוזרים (4444) או מסודרים (1234, 4321, 2468) באורך של 8 תווים לפחות, או סיסמאות אלפביתיות או אלפאנומריות באורך של 6 תווים לפחות
2.3. ניהול מתקדם של קודי גישה
2.3.1. ריק מכוון.
2.3.2. השארת השדה ריק בכוונה.
2.3.3. אפשר להגדיר את ההגדרות הבאות של מחזור החיים של הסיסמאות לכל מסך נעילה שזמין במכשיר:
- טופס ריק בכוונה
- ריק מכוון
- מספר הסיסמה השגויה המקסימלי לאיפוס: קובע את מספר הפעמים שהמשתמשים יכולים להזין סיסמה שגויה לפני שנתוני הארגון יימחקו מהמכשיר. אדמינים ב-IT צריכים להיות מסוגלים להשבית את התכונה הזו.
2.4. ניהול של Smart Lock
מנהלי IT יכולים לקבוע אילו סוכני אמון בתכונה Smart Lock של Android מורשים לבטל את נעילת המכשירים. אדמינים ב-IT יכולים להשבית שיטות ספציפיות לביטול הנעילה, כמו מכשירי Bluetooth מהימנים, זיהוי פנים וזיהוי קולי, או להשבית את התכונה לגמרי.
2.4.1. אדמינים ב-IT יכולים להשבית את סוכני האמון של Smart Lock בנפרד לכל מסך נעילה שזמין במכשיר.
2.4.2. מנהלי IT יכולים לאפשר ולהגדיר באופן סלקטיבי סוכני אמינות של Smart Lock, בנפרד לכל מסך נעילה שזמין במכשיר, לסוכני האמינות הבאים: Bluetooth , NFC, מקומות, זיהוי פנים, נשיאה על הגוף וקול.
- אדמינים ב-IT יכולים לשנות את פרמטרי התצורה הזמינים של סוכן האמון.
2.5. מחיקה ונעילה
אדמיני IT יכולים להשתמש במסוף של ה-EMM כדי לנעול מרחוק ולמחוק נתוני עבודה ממכשיר מנוהל.
2.5.1. ה-DPC של ה-EMM חייב לנעול את המכשירים.
2.5.2. ה-DPC של ה-EMM צריך למחוק את המכשירים.
2.6. אכיפת תאימות
אם מכשיר לא תואם למדיניות האבטחה, נתוני העבודה יוגבלו אוטומטית.
2.6.1. מדיניות האבטחה שחלה על המכשיר חייבת לכלול לפחות מדיניות סיסמאות.
2.7. מדיניות ברירת המחדל בנושא אבטחה
ספק ה-EMM חייב לאכוף את כללי מדיניות האבטחה שצוינו במכשירים כברירת מחדל, בלי לחייב את אדמיני ה-IT להגדיר או להתאים אישית הגדרות במסוף של ה-EMM. אנחנו ממליצים לספקי EMM (אבל לא חובה) שלא לאפשר לאדמינים ב-IT לשנות את מצב ברירת המחדל של תכונות האבטחה האלה.
2.7.1. ה-DPC של ה-EMM חייב לחסום את ההתקנה של אפליקציות ממקורות לא מוכרים, כולל אפליקציות שמותקנות בצד האישי של כל מכשיר Android מגרסה 8.0 ואילך עם פרופיל עבודה.
2.7.2. ה-DPC של ה-EMM חייב לחסום את תכונות ניפוי הבאגים.
2.8. מדיניות אבטחה למכשירים ייעודיים
כדי לאפשר פעולות אחרות, מכשירים ייעודיים נעולים בלי צורך בתו בריחה (escape).
2.8.1. ה-DPC של ה-EMM חייב להשבית את האתחול למצב בטוח כברירת מחדל.
2.8.2. צריך לפתוח את ה-DPC של ה-EMM ולנעול אותו למסך באופן מיידי בהפעלה הראשונה במהלך ההקצאה, כדי לוודא שלא תהיה אינטראקציה עם המכשיר בשום דרך אחרת.
2.8.3. צריך להגדיר את ה-DPC של ה-EMM כמרכז האפליקציות שמוגדר כברירת מחדל, כדי לוודא שהאפליקציות המורשות יהיו נעולות למסך במהלך האתחול, בהתאם להנחיות להטמעה.
2.9. תמיכה ב-Play Integrity
ה-EMM משתמש ב-Play Integrity API כדי לוודא שהמכשירים הם מכשירי Android חוקיים.
2.9.1. ה-DPC של ה-EMM מטמיע את Play Integrity API במהלך ההקצאה, ועל ברירת המחדל הוא משלים את ההקצאה של המכשיר לנתונים ארגוניים רק כאשר ערך תקינות המכשיר המוחזר הוא MEETS_STRONG_INTEGRITY.
2.9.2. ה-DPC של ה-EMM יבצע בדיקה נוספת של תקינות הנתונים ב-Play בכל פעם שמכשיר יבצע צ'ק-אין עם השרת של ה-EMM, והאדמין ב-IT יוכל להגדיר את התדירות. שרת ה-EMM יאמת את פרטי ה-APK בתשובה לבדיקת השלמות ואת התשובה עצמה, לפני שהוא יעדכן את המדיניות הארגונית במכשיר.
2.9.3. אדמינים ב-IT יכולים להגדיר תגובות שונות למדיניות על סמך התוצאה של בדיקת התקינות ב-Play, כולל חסימה של הקצאת הרשאות ידנית, מחיקת נתונים של הארגון ולאפשר את המשך ההרשמה.
- שירות ה-EMM יאכוף את תגובת המדיניות הזו על התוצאה של כל בדיקת תקינות.
2.9.4. אם בדיקת התקינות הראשונית של Play נכשלת או מחזירה תוצאה שלא עומדת בדרישות של התקינות המחמירה, ואם ה-DPC של ה-EMM עדיין לא קרא לפונקציה ensureWorkingEnvironment, הוא צריך לעשות זאת וחזור על הבדיקה לפני השלמת ההקצאה.
2.10. אכיפה של אימות אפליקציות
אדמינים ב-IT יכולים להפעיל את האפשרות אימות אפליקציות במכשירים. התכונה'אימות אפליקציות' סורקת אפליקציות שמותקנות במכשירי Android כדי לאתר תוכנות מזיקות לפני ואחרי ההתקנה שלהן, וכך עוזרת לוודא שאפליקציות זדוניות לא יכולות לסכן את הנתונים של הארגון.
2.10.1. ה-DPC של ה-EMM חייב להפעיל את התכונה 'אימות אפליקציות' כברירת מחדל.
2.11. תמיכה בהפעלה ישירה
אי אפשר להריץ אפליקציות במכשירי Android מגרסה 7.0 ואילך שרק הופעלו, עד שמבטלים את הנעילה של המכשיר בפעם הראשונה. התמיכה בהפעלה ישירה מבטיחה שה-DPC של ה-EMM תמיד פעיל ויכול לאכוף את המדיניות, גם אם המכשיר לא נעול.
2.11.1. ה-DPC של ה-EMM משתמש באחסון המוצפן במכשיר כדי לבצע פונקציות ניהול קריטיות לפני שהאחסון המוצפן של פרטי הכניסה ב-DPC פוענח. פונקציות הניהול שזמינות במהלך הפעלה ישירה חייבות לכלול (בין היתר):
- איפוס נתוני הארגון, כולל אפשרות לאפס את נתוני ההגנה מפני איפוס להגדרות המקוריות לפי הצורך.
2.11.2. אסור שמערכת ה-DPC של ה-EMM תחשוף את נתוני הארגון באחסון המוצפן במכשיר.
2.11.3. פלטפורמות EMM יכולות להגדיר ולהפעיל אסימון כדי להפעיל את הלחצן שכחתי את הסיסמה במסך הנעילה של פרופיל העבודה. הלחצן הזה משמש לבקשה מאדמיני ה-IT לאפס באופן מאובטח את הסיסמה של פרופיל העבודה.
2.12. ניהול אבטחת החומרה
אדמיני IT יכולים לנעול רכיבי חומרה של מכשיר בבעלות החברה כדי למנוע אובדן נתונים.
2.12.1. אדמינים ב-IT יכולים לחסום משתמשים מהתקנת מדיה חיצונית פיזית במכשיר שלהם.
2.12.2. אדמינים ב-IT יכולים לחסום משתמשים מלשתף נתונים מהמכשיר שלהם באמצעות הקרנת NFC. התכונה המשנית הזו היא אופציונלית, כי הפונקציה NFC beam כבר לא נתמכת ב-Android מגרסה 10 ואילך.
2.12.3. אדמינים ב-IT יכולים לחסום משתמשים כך שלא יוכלו להעביר קבצים דרך USB מהמכשיר שלהם.
2.13. רישום ביומן של אבטחת הארגון
אדמיני IT יכולים לאסוף נתוני שימוש ממכשירים, שאפשר לנתח ולבצע הערכה פרוגרמטית שלהם כדי לזהות התנהגות זדונית או מסוכנת. הפעילויות שמתועדות ביומן כוללות פעילות של ממשק הגישור של Android (adb), פתיחת אפליקציות וביטול נעילת המסך.
2.13.1. אדמינים ב-IT יכולים להפעיל את הרישום ביומן האבטחה במכשירים ספציפיים, ו-DPC של ה-EMM צריך להיות מסוגל לאחזר באופן אוטומטי גם יומני אבטחה וגם יומני אבטחה לפני הפעלה מחדש.
2.13.2. אדמינים ב-IT יכולים לבדוק את יומני האבטחה של הארגון במסוף של ה-EMM, עבור מכשיר נתון וחלון זמן שניתן להגדרה.
2.13.3. אדמינים ב-IT יכולים לייצא יומני אבטחה ארגוניים מהמסוף של ה-EMM.
3. ניהול החשבון והאפליקציות
3.1. קישור לארגון
אדמיני IT יכולים לקשר את ה-EMM לארגון שלהם, וכך לאפשר ל-EMM להשתמש ב-Google Play לארגונים כדי להפיץ אפליקציות למכשירים.
3.1.1. אדמין עם דומיין מנוהל קיים ב-Google יכול לקשר את הדומיין שלו ל-EMM.
3.1.2. צריך להקצות ולהגדיר ESA ייחודי במסוף ה-EMM לכל ארגון.
3.1.3. לבטל את ההרשמה של הארגון באמצעות Play EMM API.
3.1.4. מסוף ה-EMM מנחה את האדמין להזין את כתובת האימייל בעבודה בתהליך ההרשמה ל-Android, ומעודד אותו לא להשתמש בחשבון Gmail.
3.1.5. ה-EMM ממלא מראש את כתובת האימייל של האדמין בתהליך ההרשמה ל-Android.
3.2. הקצאה של חשבון Google Play מנוהל
ה-EMM יכול להקצות באופן אוטומטי חשבונות משתמשים לארגון, שנקראים 'חשבונות Google Play מנוהלים'. החשבונות האלו מזהים משתמשים מנוהלים ומאפשרים כללי הפצת אפליקציות ייחודיים לכל משתמש.
3.2.1. ה-DPC של ה-EMM יכול להקצות ולהפעיל חשבון Google Play מנוהל באופן אוטומטי, בהתאם להנחיות ההטמעה המוגדרות. כך תוכלו:
- חשבון Google Play מנוהל מסוג
userAccountנוסף למכשיר. - חשבון Google Play המנוהל מסוג
userAccountחייב לכלול מיפוי של '1 ל-1' עם המשתמשים בפועל במסוף ה-EMM.
3.3. הקצאה של חשבון מכשיר מנוהל ב-Google Play
מערכת ה-EMM יכולה ליצור ולהקצות חשבונות מכשיר ב-Google Play לארגונים. חשבונות המכשיר תומכים בהתקנה שקטה של אפליקציות מחנות Google Play המנוהלת, והם לא קשורים למשתמש יחיד. במקום זאת, חשבון המכשיר משמש לזיהוי מכשיר יחיד כדי לתמוך בכללים להפצת אפליקציות לכל מכשיר בתרחישים ייעודיים של מכשיר.
3.3.1. ה-DPC של ה-EMM יכול להקצות ולהפעיל חשבון Google Play מנוהל באופן אוטומטי, בהתאם להנחיות ההטמעה המוגדרות.
כדי לעשות זאת, צריך להוסיף למכשיר חשבון Google Play מנוהל מסוג deviceAccount.
3.4. הקצאה של חשבון Google Play מנוהל למכשירים מדור קודם
ה-EMM יכול להקצות באופן שקט חשבונות משתמשים ארגוניים, שנקראים 'חשבונות Google Play מנוהלים'. החשבונות האלה מזהים משתמשים מנוהלים ומאפשרים להגדיר כללים ייחודיים להפצת אפליקציות לכל משתמש.
3.4.1. ה-DPC של ה-EMM יכול להקצות ולהפעיל חשבון Google Play מנוהל באופן אוטומטי, בהתאם להנחיות ההטמעה המוגדרות. כך תוכלו:
- חשבון Google Play מנוהל מסוג
userAccountנוסף למכשיר. - לחשבון Google Play המנוהל מסוג
userAccountצריך להיות מיפוי אחד-לאחד למשתמש בפועל במסוף של ה-EMM.
3.5. הפצת אפליקציות בשקט
אדמיני IT יכולים להפיץ אפליקציות עבודה במכשירים של המשתמשים ללא אינטראקציה מצד המשתמשים.
3.5.1. כדי לאפשר למנהלי IT להתקין אפליקציות עבודה במכשירים מנוהלים, מסוף ה-EMM צריך להשתמש ב-Play EMM API.
3.5.2. כדי לאפשר למנהלי IT לעדכן אפליקציות עבודה במכשירים מנוהלים, מסוף ה-EMM צריך להשתמש ב-Play EMM API.
3.5.3. כדי לאפשר לאדמינים ב-IT להסיר אפליקציות ממכשירים מנוהלים, מסוף ה-EMM צריך להשתמש ב-Play EMM API.
3.6. ניהול של הגדרות מנוהלות
אדמינים ב-IT יכולים להציג ולהגדיר בצורה שקטה הגדרות מנוהלות או כל אפליקציה שתומכת בהגדרות מנוהלות.
3.6.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את הגדרות התצורה המנוהלות של כל אפליקציה ב-Play.
- ספקי EMM יכולים להתקשר למספר
Products.getAppRestrictionsSchemaכדי לאחזר את סכימת ההגדרות המנוהלות של האפליקציה, או להטמיע את מסגרת ההגדרות המנוהלות במסוף ה-EMM.
3.6.2. המסוף של ה-EMM חייב לאפשר למנהלי IT להגדיר כל סוג הגדרה (כפי שמוגדר במסגרת Android) לכל אפליקציה ב-Play באמצעות Play EMM API.
3.6.3. מסוף ה-EMM צריך לאפשר לאדמינים ב-IT להגדיר תווים כלליים (כמו $username$ או %emailAddress%) כדי שאפשר יהיה להחיל הגדרה אחת לאפליקציה כמו Gmail על כמה משתמשים. ה-iframe של ההגדרה המנוהלת תומך באופן אוטומטי בדרישה הזו.
3.7. ניהול של קטלוג האפליקציות
אדמינים ב-IT יכולים לייבא רשימה של אפליקציות שאושרו לארגון שלהם מ-Google Play לארגונים (play.google.com/work).
3.7.1. במסוף ה-EMM אפשר להציג רשימה של אפליקציות שאושרו להפצה, כולל:
- אפליקציות שנרכשו ב-Google Play לארגונים
- אפליקציות פרטיות שגלויות לאדמינים ב-IT
- אפליקציות שאושרו באופן פרוגרמטי
3.8. אישור אפליקציות באופן פרוגרמטי
במסוף ה-EMM נעשה שימוש ב-iframe של Google Play לארגונים כדי לתמוך ביכולות של Google Play לגלות אפליקציות ולאשר אותן. אדמינים ב-IT יכולים לחפש אפליקציות, לאשר אפליקציות ולאשר הרשאות חדשות לאפליקציות בלי לצאת מהמסוף של ה-EMM.
3.8.1. אדמינים ב-IT יכולים לחפש אפליקציות ולאשר אותן במסוף ה-EMM באמצעות ה-iframe של Google Play לארגונים.
3.9. ניהול בסיסי של פריסת החנות
אפשר להשתמש באפליקציה המנוהלת של חנות Google Play במכשירים כדי להתקין ולעדכן אפליקציות לעבודה. פריסת החנות הבסיסית מוצגת כברירת מחדל ומציגה רשימה של האפליקציות שאושרו לארגון. פלטפורמות ה-EMM מסננות את האפליקציות האלה לפי משתמש, בהתאם למדיניות.
3.9.1. אדמינים ב-IT יכולים [לנהל את קבוצות המוצרים הזמינות למשתמשים]/android/work/play/emm-api/samples#grant_a_user_access_to_apps) כדי לאפשר צפייה והתקנה של אפליקציות מחנות Google Play המנוהלת בקטע 'דף הבית של החנות'.
3.10. הגדרה מתקדמת של פריסת החנות
אדמיני IT יכולים להתאים אישית את פריסת החנות שמוצגת באפליקציית חנות Google Play לארגונים במכשירים.
3.10.1. אדמינים ב-IT יכולים לבצע את הפעולות הבאות במסוף ה-EMM כדי להתאים אישית את הפריסה של חנות Google Play לארגונים:
- אפשר ליצור עד 100 דפים בפריסת חנויות. דפים יכול לכלול מספר שרירותי של שמות דפים שהותאמו לשוק המקומי.
- ליצור עד 30 אשכולות לכל דף. אפשר לתת לאשכולות מספר בלתי מוגבל של שמות מותאמים לשוק המקומי.
- אפשר להקצות עד 100 אפליקציות לכל אשכול.
- אפשר להוסיף עד 10 קישורים מהירים לכל דף.
- אפשר לציין את סדר המיון של האפליקציות בתוך אשכול ואת סדר האשכולות בדף.
3.11. ניהול רישיונות לאפליקציות
אדמיני IT יכולים להציג ולנהל רישיונות לאפליקציות שנרכשו ב-Google Play לארגונים דרך מסוף ה-EMM.
3.11.1. באפליקציות בתשלום שאושרו לארגון, במסוף של ה-EMM צריך להציג:
- מספר הרישיונות שנרכשו.
- מספר הרישיונות שנצרכו והמשתמשים שמנצלים את הרישיונות.
- מספר הרישיונות שזמינים להפצה.
3.11.2. אדמינים ב-IT יכולים להקצות רישיונות למשתמשים באופן שקט בלי לאלץ את התקנת האפליקציה באף אחד מהמכשירים של המשתמשים.
3.11.3. אדמינים ב-IT יכולים לבטל את ההקצאה של רישיון אפליקציה למשתמש.
3.12. ניהול אפליקציות פרטיות באירוח של Google
אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות באירוח של Google דרך מסוף ה-EMM במקום דרך Google Play Console.
3.12.1. מנהלי IT יכולים להעלות גרסאות חדשות של אפליקציות שכבר פורסמו באופן פרטי לארגון באמצעות:
3.13. ניהול אפליקציות פרטיות באירוח עצמי
אדמינים ב-IT יכולים להגדיר ולפרסם אפליקציות פרטיות באירוח עצמי. בניגוד לאפליקציות פרטיות שמתארחות ב-Google, Google Play לא מארחת את חבילות ה-APK. במקום זאת, ה-EMM עוזר לאדמינים ב-IT לארח חבילות APK בעצמם, ומגן על אפליקציות שמתארחות באופן עצמאי על ידי הבטחת האפשרות להתקין אותן רק לאחר אישור מ-Google Play המנוהל.
אדמינים ב-IT יכולים לעבור למאמר תמיכה באפליקציות פרטיות כדי לקבל פרטים נוספים.
3.13.1. מסוף ה-EMM צריך לעזור לאדמינים ב-IT לארח את קובץ ה-APK של האפליקציה, על ידי הצעת שתי האפשרויות הבאות:
- אירוח קובץ ה-APK בשרת של ה-EMM. השרת יכול להיות מקומי או מבוסס-ענן.
- אירוח קובץ ה-APK מחוץ לשרת של ה-EMM, לפי שיקול דעתו של אדמין ה-IT. האדמין צריך לציין במסוף ה-EMM את המיקום שבו מתארח קובץ ה-APK.
3.13.2. מסוף ה-EMM צריך ליצור קובץ הגדרה מתאים של APK באמצעות קובץ ה-APK שסופק, ולהנחות את מנהלי ה-IT בתהליך הפרסום.
3.13.3. אדמינים ב-IT יכולים לעדכן אפליקציות פרטיות באירוח עצמי, והמסוף של ה-EMM יכול לפרסם באופן שקט קבצים מעודכנים של הגדרות APK באמצעות Google Play Publishing API.
3.13.4. השרת של ה-EMM משרת רק בקשות להורדה של קובץ ה-APK המתארח בעצמו, שמכיל JWT תקין בקובץ ה-cookie של הבקשה, כפי שאומת על ידי המפתח הציבורי של האפליקציה הפרטית.
- כדי לאפשר את התהליך הזה, השרת של ה-EMM צריך להנחות את האדמינים ב-IT להוריד את המפתח הציבורי של הרישיון לאפליקציה באירוח עצמי מ-Play Google Play Console ולהעלות את המפתח הזה למסוף ה-EMM.
3.14. התראות משיכה של EMM
במקום לשלוח שאילתות מדי פעם ל-Play כדי לזהות אירועים קודמים, כמו עדכון אפליקציה שמכיל הרשאות חדשות או הגדרות מנוהלות, התראות של EMM pull מעדכנות את פלטפורמות ה-EMM על אירועים כאלה בזמן אמת, ומאפשרות להן לבצע פעולות אוטומטיות ולספק התראות ניהוליות בהתאמה אישית על סמך האירועים האלה.
3.14.1. מערכת ה-EMM צריכה להשתמש בהתראות EMM של Play כדי לשלוף קבוצות של התראות.
3.14.2. מערכת ה-EMM חייבת לשלוח באופן אוטומטי התראה לאדמין IT (לדוגמה, באימייל אוטומטי) על אירועי ההתראות הבאים:
newPermissionEvent: נדרש אדמין IT לאשר הרשאות חדשות לאפליקציה כדי שאפשר יהיה להתקין או לעדכן אותה באופן אוטומטי במכשירים של המשתמשים.appRestrictionsSchemaChangeEvent: ייתכן שאדמין ב-IT יעדכן את ההגדרות המנוהלות של האפליקציה כדי לשמור על היעילות הרצויה.appUpdateEvent: יכולה לעניין אדמינים ב-IT שרוצים לוודא שהביצועים של תהליך העבודה העיקרי לא מושפעים מעדכון האפליקציה.productAvailabilityChangeEvent: יכולה להשפיע על היכולת להתקין את האפליקציה או לקבל עדכונים לאפליקציה.installFailureEvent: Play לא מצליח להתקין אפליקציה במכשיר באופן אוטומטי, מה שמצביע על כך שיכול להיות שיש משהו בהגדרות המכשיר שמונע את ההתקנה. אסור ל-EMM לנסות שוב לבצע התקנה שקטה לאחר קבלת ההתראה הזו, כי הלוגיקה של הניסיונות החוזרים של Play כבר תיכשל.
3.14.3. מערכת ה-EMM מבצעת באופן אוטומטי את הפעולות המתאימות על סמך אירועי ההתראות הבאים:
newDeviceEvent: במהלך הקצאת המכשיר, פלטפורמות EMM צריכות להמתין ל-newDeviceEventלפני שהן מבצעות קריאות נוספות ל-Play EMM API במכשיר החדש, כולל התקנות שקשות לזיהוי של אפליקציות והגדרת הגדרות מנוהלות.productApprovalEvent: עם קבלת ההתראה עלproductApprovalEvent, ספק EMM צריך לעדכן אוטומטית את רשימת האפליקציות המאושרות שיובאו למסוף ה-EMM כדי להפיץ אותן למכשירים, אם במהלך סשן פעיל של אדמין ב-IT או אם רשימת האפליקציות שאושרו לא תיטען מחדש באופן אוטומטי בתחילת כל סשן של אדמין ב-IT.
3.15. דרישות לשימוש ב-API
מערכת ה-EMM מטמיעה את ממשקי ה-API של Google בקנה מידה נרחב, ומונעת דפוסי תנועה שעשויים להשפיע לרעה על היכולת של אדמינים ב-IT לנהל אפליקציות בסביבות ייצור.
3.15.1. מערכת ה-EMM חייבת לפעול בהתאם למגבלות השימוש של Play EMM API. אם לא מתקנים התנהגות שחורגת מההנחיות האלו, Google עשויה להשעות את השימוש ב-API, לפי שיקול דעתה.
3.15.2. מערכת ה-EMM צריכה לחלק את התנועה מעסקים שונים במהלך היום, במקום לרכז את התנועה הארגונית בזמנים ספציפיים או דומים. התנהגות שתואמת לדפוס תעבורת הנתונים הזה, כמו פעולות מתוזמנות באצווה לכל מכשיר שרשום, עלולה לגרום להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.15.3. מערכת ה-EMM לא צריכה לשלוח בקשות עקביות, חלקיות או מכוונות שגויות, שלא מנסות לאחזר או לנהל נתונים אמיתיים של הארגון. התנהגות שתתאים לדפוס התנועה הזה עשויה להוביל להשעיית השימוש ב-API, לפי שיקול דעתה של Google.
3.16. ניהול מתקדם של הגדרות מנוהלות
3.16.1. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג את הגדרות התצורה המנוהלות (מוטמעות עד ארבע רמות) של כל אפליקציה ב-Play, באמצעות:
- iFrame של Google Play לארגונים, או
- ממשק משתמש מותאם אישית.
3.16.2. מסוף ה-EMM צריך להיות מסוגל לאחזר ולהציג כל משוב שהוחזר על ידי ערוץ משוב של אפליקציה, כאשר הוא מוגדר על ידי אדמין ב-IT.
- מסוף ה-EMM חייב לאפשר לאדמינים ב-IT לשייך פריט משוב ספציפי למכשיר ולאפליקציה שמהם הוא הגיע.
- במסוף של ה-EMM צריכה להיות אפשרות לאדמינים ב-IT להירשם להתראות או לדוחות של סוגי הודעות ספציפיים (כמו הודעות שגיאה).
3.16.3. מסוף ה-EMM חייב לשלוח רק ערכים שיש להם ערך ברירת מחדל או שהאדמין הגדיר אותם באופן ידני באמצעות:
- ה-iframe של ההגדרות המנוהלות, או
- ממשק משתמש בהתאמה אישית.
3.17. ניהול אפליקציות אינטרנט
אדמיני IT יכולים ליצור ולהפיץ אפליקציות אינטרנט במסוף EMM.
3.17.1. אדמינים ב-IT יכולים להשתמש במסוף של ה-EMM כדי להפיץ קיצורי דרך לאפליקציות אינטרנט באמצעות:
3.18. ניהול מחזור החיים של חשבון Google Play המנוהל
ה-EMM יכול ליצור, לעדכן ולמחוק חשבונות Google Play מנוהלים מטעם אדמינים ב-IT.
3.18.1. ספקי EMM יכולים לנהל את מחזור החיים של חשבון Google Play מנוהל בהתאם להנחיות ההטמעה המפורטות במסמכי התיעוד למפתחים של Play EMM API.
3.18.2. ספקי EMM יכולים לאמת מחדש חשבונות Google Play מנוהלים ללא אינטראקציה של המשתמשים.
3.19. ניהול של מעקב אחר אפליקציות
3.19.1. אדמינים ב-IT יכולים לשלוף רשימה של מזהי מסלולים שהוגדרו על ידי המפתח לאפליקציה מסוימת.
3.19.2. אדמינים ב-IT יכולים להגדיר מכשירים כך שישתמשו במסלול פיתוח מסוים לאפליקציה.
3.20. ניהול מתקדם של עדכוני אפליקציות
3.20.1. אדמינים ב-IT יכולים לאפשר לאפליקציות להשתמש בעדכוני אפליקציות בעדיפות גבוהה כדי להתעדכן כשהעדכון מוכן.
3.20.2. אדמינים ב-IT יכולים לאפשר דחיית עדכוני האפליקציות למשך 90 יום.
3.21. ניהול שיטות הקצאת הרשאות ידנית
מערכת ה-EMM יכולה ליצור הגדרות להקצאה ולהציג אותן לאדמין ה-IT בפורמט שזמין להפצה למשתמשי הקצה (למשל, קוד QR, הגדרה ללא מגע, כתובת URL של חנות Play).
4. ניהול מכשירים
4.1. ניהול המדיניות בנושא הרשאות בסביבת זמן ריצה
אדמיני IT יכולים להגדיר תשובה שתישלח באופן אוטומטי לבקשות גישה בזמן ריצה מאפליקציות עבודה.
4.1.1. אדמינים ב-IT צריכים להיות מסוגלים לבחור מבין האפשרויות הבאות כשהם מגדירים מדיניות הרשאות ברירת מחדל בסביבת זמן הריצה לארגון שלהם:
- הנחיה (מאפשרת למשתמשים לבחור)
- לאפשר
- דחייה
המערכת לניהול מכשירים ניידים בארגון (EMM) צריכה לאכוף את ההגדרות האלה באמצעות ה-DPC של ה-EMM.
4.2. ניהול המצב של מתן הרשאה בזמן ריצה
אחרי שמגדירים מדיניות ברירת מחדל להרשאות בסביבת זמן ריצה (מעבר לקטע 4.1.), אדמינים ב-IT יכולים להגדיר תשובות ללא ידיעת המשתמשים להרשאות ספציפיות מכל אפליקציה לעבודה שנוצרה על סמך API מגרסה 23 ואילך.
4.2.1. אדמינים ב-IT צריכים להיות מסוגלים להגדיר את מצב ההענקה (ברירת המחדל, הענקה או דחייה) של כל הרשאה שמבוקשת על ידי אפליקציית עבודה שנוצרה על API מגרסה 23 ואילך. מערכת ה-EMM צריכה לאכוף את ההגדרות האלה באמצעות ה-DPC של ה-EMM.
4.3. ניהול הגדרות Wi-Fi
אדמינים ב-IT יכולים להקצות באופן שקט הגדרות Wi-Fi לארגונים במכשירים מנוהלים, כולל:
4.3.1. SSID, באמצעות ה-DPC של ה-EMM.
4.3.2. הסיסמה באמצעות בקר ה-DPC של ה-EMM.
4.4. ניהול אבטחת Wi-Fi
אדמינים ב-IT יכולים להקצות הגדרות Wi-Fi לארגונים במכשירים מנוהלים שכוללים את תכונות האבטחה המתקדמות הבאות:
4.4.1. זהות, באמצעות ה-DPC של ה-EMM.
4.4.2. אישור להרשאה של לקוחות באמצעות בקר ה-DPC של ה-EMM.
4.4.3. אישורי CA, באמצעות ה-DPC של ה-EMM.
4.5. ניהול מתקדם של Wi-Fi
אדמיני IT יכולים לנעול את הגדרות ה-Wi-Fi במכשירים מנוהלים, כדי למנוע ממשתמשים ליצור הגדרות או לשנות הגדרות ארגוניות.
4.5.1. אדמינים ב-IT יכולים לנעול את הגדרות ה-Wi-Fi הארגוניות באחת מההגדרות הבאות:
- המשתמשים לא יכולים לשנות הגדרות Wi-Fi שהוקצו על ידי ה-EMM, אבל הם יכולים להוסיף ולשנות רשתות משלהם שהם יכולים להגדיר (לדוגמה, רשתות אישיות).
- המשתמשים לא יכולים להוסיף או לשנות רשת Wi-Fi במכשיר, כך שהחיבור ל-Wi-Fi מוגבל רק לרשתות שהוקצו על ידי ה-EMM.
4.6. ניהול חשבון
אדמינים ב-IT יכולים לוודא שחשבונות ארגוניים לא מורשים לא יכולים לקיים אינטראקציה עם נתונים ארגוניים, בשירותים כמו אחסון ב-SaaS, אפליקציות פרודוקטיביות או אימייל. בלי התכונה הזו, אפשר להוסיף חשבונות אישיים לאפליקציות ארגוניות שתומכות גם בחשבונות של צרכנים, וכך לשתף נתונים ארגוניים עם החשבונות האישיים האלה.
4.6.1. אדמינים ב-IT יכולים למנוע הוספה או שינוי של חשבונות.
- כשאוכפים את המדיניות הזו במכשיר, פלטפורמות ה-EMM צריכות להגדיר את ההגבלה הזו לפני השלמת ההקצאה, כדי לוודא שלא תוכלו לעקוף את המדיניות הזו על ידי הוספת חשבונות לפני שהמדיניות תופעל.
4.7. ניהול חשבון Workspace
אדמיני IT יכולים לוודא שחשבונות Google לא מורשים לא יכולים לקיים אינטראקציה עם נתונים ארגוניים. בלי התכונה הזו, אפשר להוסיף חשבונות Google אישיים לאפליקציות Google ארגוניות (למשל Google Docs או Google Drive), וכך לשתף נתונים ארגוניים עם החשבונות האישיים האלה.
4.7.1. אדמינים ב-IT יכולים לציין חשבונות Google שיופעלו במהלך ההקצאה, אחרי שהנעילה של ניהול החשבון תהיה בתוקף.
4.7.2. בקר ה-DPC של ה-EMM צריך לשלוח בקשה להפעלת חשבון Google, ולוודא שאפשר להפעיל רק את החשבון הספציפי על ידי ציון החשבון שרוצים להוסיף.
- במכשירים עם גרסת Android ישנה יותר מ-7.0, ה-DPC צריך להשבית באופן זמני את ההגבלה על ניהול החשבון לפני שהוא מציג את ההודעה למשתמש.
4.8. ניהול אישורים
אדמינים ב-IT יכולים לפרוס במכשירים אישורי זהות ורשויות אישורים כדי לאפשר גישה למשאבים ארגוניים.
4.8.1. אדמינים ב-IT יכולים להתקין אישורי זהות של משתמשים שנוצרו על ידי ה-PKI שלהם לכל משתמש בנפרד. מסוף ה-EMM חייב להתמזג עם רשת PKI אחת לפחות ולחלק אישורים שנוצרו מהתשתית הזו.
4.8.2. אדמינים ב-IT יכולים להתקין רשויות אישורים במאגר המפתחות המנוהל.
4.9. ניהול מתקדם של אישורים
מאפשר לאדמינים ב-IT לבחור בחשאי את האישורים שבהם אפליקציות מנוהלות ספציפיות צריכות להשתמש. התכונה הזו גם מאפשרת לאדמינים ב-IT להסיר רשויות אישור ומסמכי אימות זהות ממכשירים פעילים. התכונה הזו מונעת ממשתמשים לשנות את פרטי הכניסה שמאוחסנים במאגר המפתחות המנוהל.
4.9.1. לאפליקציות שמופצות למכשירים, אדמינים ב-IT יכולים לציין אישור שאפליקציות יקבלו גישה אליו בשקט במהלך זמן הריצה.
- בחירת האישור צריכה להיות כללית מספיק כדי לאפשר הגדרה אחת שתחול על כל המשתמשים, ולכל אחד מהם עשוי להיות אישור זהות ספציפי למשתמש.
4.9.2. אדמינים ב-IT יכולים להסיר אישורים ממאגר המפתחות המנוהל.
4.9.3. אדמינים ב-IT יכולים להסיר אישור CA או את כל אישורי ה-CA שאינם של המערכת בשקט.
4.9.4. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר פרטי כניסה במאגר המפתחות המנוהל.
4.9.5. אדמינים ב-IT יכולים להקצות מראש אישורים לאפליקציות לעבודה.
4.10. ניהול אישורים שהועברו
אדמיני IT יכולים להפיץ אפליקציה לניהול אישורים של צד שלישי למכשירים, ולהעניק לאפליקציה הזו הרשאות גישה להתקנת אישורים במאגר המפתחות המנוהל.
4.10.1. אדמינים ב-IT מציינים חבילת ניהול אישורים שה-DPC מגדיר בתור אפליקציית ניהול האישורים.
- במסוף יכולות להופיע הצעות לחבילות ידועות לניהול אישורי SSL, אבל האדמין צריך לאפשר למשתמשים הרלוונטיים לבחור מתוך רשימת האפליקציות הזמינות להתקנה.
4.11. ניהול VPN מתקדם
מנהלי IT יכולים לציין VPN שפועל כל הזמן כדי לוודא שהנתונים מאפליקציות מנוהלות מסוימות יעברו תמיד דרך VPN שהוגדר.
4.11.1. אדמינים ב-IT יכולים לציין חבילת VPN שרירותית להגדרה כ-VPN בחיבור תמידי.
- במסוף של ה-EMM יכולות להופיע הצעות לחבילות VPN מוכרות שתומכות ב-VPN שפועל כל הזמן, אבל אי אפשר להגביל את רשימת ה-VPN שזמינות להגדרה של VPN שפועל כל הזמן.
4.11.2. אדמינים ב-IT יכולים להשתמש בהגדרות מנוהלות כדי לציין את הגדרות ה-VPN של אפליקציה.
4.12. ניהול IME
אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר במכשירים. מאחר ש-IME משותף בין הפרופיל האישי לפרופיל העבודה, חסימה של השימוש ב-IMEs תמנע גם את ההרשאה לשימוש אישי ב-IMEs האלה. עם זאת, אדמינים ב-IT לא יכולים לחסום IME של מערכת בפרופילים של עבודה (פרטים נוספים זמינים במאמר בנושא ניהול מתקדם של IME).
4.12.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של IME באורך שרירותי (כולל רשימה ריקה, שחוסמת IMEs שאינם מערכתיים), שיכולה להכיל חבילות IME שרירותיות.
- במסוף ה-EMM יכולות להופיע הצעות ל-IME מוכרים או מומלצים שאפשר לכלול ברשימת ההיתרים, אבל האדמינים ב-IT חייבים לאפשר למשתמשים הרלוונטיים לבחור מתוך רשימת האפליקציות שזמינות להתקנה.
4.12.2. ספק ה-EMM חייב להודיע לאדמינים ב-IT ש-IMEs של מערכת לא נכללים בניהול במכשירים עם פרופילי עבודה.
4.13. ניהול מתקדם של IME
אדמינים ב-IT יכולים לקבוע אילו שיטות קלט (IME) אפשר להגדיר במכשירים. ניהול מתקדם של IME מרחיב את התכונה הבסיסית ומאפשר לאדמינים ב-IT לנהל גם את השימוש ב-IME של המערכת, שספק המכשיר או יצרן המכשיר מספקים בדרך כלל.
4.13.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים ל-IME באורך שרירותי (לא כולל רשימה ריקה, שחוסמת את כל ה-IMEs, כולל IME של המערכת), שעשויה להכיל חבילות IME שרירותיות.
- במסוף ה-EMM יכולות להופיע הצעות ל-IME מוכרים או מומלצים שאפשר לכלול ברשימת ההיתרים, אבל האדמינים ב-IT חייבים לאפשר למשתמשים הרלוונטיים לבחור מתוך רשימת האפליקציות שזמינות להתקנה.
4.13.2. ספקי EMM חייבים למנוע מאדמינים ב-IT להגדיר רשימת היתרים ריקה, כי ההגדרה הזו תחסום את כל ה-IMEs, כולל עורכי IME של המערכת, לא להגדיר במכשיר.
4.13.3. ספקי EMM חייבים לוודא שאם רשימת היתרים של IME לא מכילה IME של המערכת, רכיבי ה-IME של צד שלישי יותקנו באופן שקט לפני שרשימת ההיתרים מיושמת במכשיר.
4.14. ניהול שירותי הנגישות
אדמיני IT יכולים לקבוע אילו שירותי נגישות יהיו זמינים במכשירים של המשתמשים. שירותי נגישות הם כלים חזקים במיוחד למשתמשים עם מוגבלויות או למשתמשים שבאופן זמני לא יכולים לתקשר באופן מלא עם המכשיר, אבל הם עשויים ליצור אינטראקציה עם הנתונים של הארגון בדרכים שלא עומדות בדרישות המדיניות של החברה. התכונה הזו מאפשרת לאדמינים ב-IT להשבית כל שירות נגישות שהוא לא מערכת.
4.14.1. אדמינים ב-IT יכולים להגדיר רשימת היתרים של שירותי נגישות באורך שרירותי (כולל רשימה ריקה, שחוסמת שירותי נגישות שאינם מערכתיים), שיכולה להכיל כל חבילת שירותי נגישות שרירותית. כשהיא חלה על פרופיל עבודה, היא משפיעה גם על הפרופיל האישי וגם על פרופיל העבודה.
- במסוף יכולות להופיע הצעות לשירותי נגישות מוכרים או מומלצים שאפשר לכלול ברשימת ההיתרים, אבל האדמינים ב-IT חייבים לאפשר למשתמשים הרלוונטיים לבחור מתוך רשימת האפליקציות שזמינות להתקנה.
4.15. ניהול של שיתוף המיקום
אדמיני IT יכולים למנוע ממשתמשים לשתף נתוני מיקום עם אפליקציות בפרופיל העבודה. אחרת, אפשר לשנות את הגדרת המיקום לפרופילים של עבודה בהגדרות.
4.15.1. אדמינים ב-IT יכולים להשבית את שירותי המיקום בפרופיל העבודה.
4.16. ניהול מתקדם של שיתוף המיקום
אדמיני IT יכולים לאכוף הגדרה מסוימת של שיתוף המיקום במכשיר מנוהל. התכונה הזו יכולה להבטיח לאפליקציות ארגוניות תמיד גישה לנתוני מיקום ברמת דיוק גבוהה. התכונה הזו יכולה גם למנוע צריכת אנרגיה נוספת מהסוללה על ידי הגבלת הגדרות המיקום למצב חיסכון בסוללה.
4.16.1. אדמינים ב-IT יכולים להגדיר את שירותי המיקום של המכשיר לכל אחד מהמצבים הבאים:
- רמת דיוק גבוהה.
- מחיישנים בלבד, לדוגמה GPS, אבל לא כולל מיקום שהרשת מספקת.
- חיסכון בסוללה, שמגביל את תדירות העדכונים.
- כבוי.
4.17. ניהול ההגנה מפני איפוס להגדרות המקוריות
התכונה מאפשרת לאדמינים ב-IT להגן על מכשירים בבעלות החברה מפני גניבה, על ידי מניעת האפשרות של משתמשים לא מורשים לאפס את המכשירים להגדרות המקוריות. אם ההגנה מפני איפוס להגדרות המקוריות יוצרת מורכבות תפעולית כשהמכשירים מוחזרים ל-IT, אדמינים ב-IT יכולים גם להשבית את ההגנה הזו לגמרי.
4.17.1. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את המכשיר שלהם להגדרות המקוריות דרך ההגדרות.
4.17.2. אדמינים ב-IT יכולים לציין חשבונות נעילה ארגוניים מורשים להקצאת מכשירים אחרי איפוס להגדרות היצרן.
- אפשר לקשר את החשבון הזה לאדם מסוים, או להשתמש בו על ידי כל הארגון כדי לבטל את נעילת המכשירים.
4.17.3. אדמינים ב-IT יכולים להשבית את ההגנה מפני איפוס להגדרות המקוריות במכשירים מסוימים.
4.17.4. אדמינים ב-IT יכולים להתחיל מחיקה מרחוק של המכשיר, שכוללת אפשרות למחוק את נתוני ההגנה מפני איפוס, וכך להסיר את ההגנה מפני איפוס להגדרות המקוריות במכשיר שבו בוצע האיפוס.
4.18. בקרה מתקדמת על אפליקציות
אדמיני IT יכולים למנוע מהמשתמשים להסיר אפליקציות מנוהלות או לשנות אותן בדרכים אחרות דרך ההגדרות, למשל סגירת האפליקציה בכוח או ניקוי המטמון של נתוני האפליקציה.
4.18.1. אדמינים ב-IT יכולים לחסום את הסרת כל אפליקציה מנוהלת שרירותית, או את כל האפליקציות המנוהלות.
4.18.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות נתוני אפליקציות דרך ההגדרות.
4.19. ניהול צילומי מסך
אדמיני IT יכולים למנוע ממשתמשים לצלם צילומי מסך כשהם משתמשים באפליקציות מנוהלות. ההגדרה הזו כוללת חסימה של אפליקציות לשיתוף מסך ואפליקציות דומות (כמו Google Assistant) שמשתמשות ביכולות של המערכת לצלם את המסך.
4.19.1. אדמינים ב-IT יכולים למנוע ממשתמשים לצלם צילומי מסך.
4.20. השבת מצלמות
אדמיני IT יכולים להשבית את השימוש במצלמות של המכשיר על ידי אפליקציות מנוהלות.
4.20.1. אדמינים ב-IT יכולים להשבית את השימוש במצלמות של המכשיר על ידי אפליקציות מנוהלות.
4.21. איסוף נתונים סטטיסטיים של רשתות
אדמיני IT יכולים להריץ שאילתות על נתונים סטטיסטיים של שימוש ברשת מפרופיל העבודה של המכשיר. הנתונים הסטטיסטיים שנאספים משקפים את נתוני השימוש ששותפו עם המשתמשים בקטע שימוש בנתונים בהגדרות. הנתונים הסטטיסטיים שנאספים רלוונטיים לשימוש באפליקציות בפרופיל העבודה.
4.21.1. אדמינים ב-IT יכולים לשלוח שאילתה לסיכום הנתונים הסטטיסטיים של הרשת בפרופיל עבודה, במכשיר נתון ובחלון זמן שניתן להגדרה, ולהציג את הפרטים האלה במסוף של ה-EMM.
4.21.2. אדמינים ב-IT יכולים להריץ שאילתות על סיכום של אפליקציה בנתונים הסטטיסטיים של השימוש ברשת בפרופיל העבודה, במכשיר נתון ובחלון זמן שניתן להגדרה, ולהציג את הפרטים האלה לפי מזהה משתמש ייחודי (UID) במסוף של ה-EMM.
4.21.3. אדמינים ב-IT יכולים להריץ שאילתות על נתונים היסטוריים של שימוש ברשת בפרופיל עבודה, במכשיר נתון ובחלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי מזהה משתמש ייחודי (UID) במסוף של ה-EMM.
4.22. איסוף סטטיסטיקות רשת מתקדמות
אדמיני IT יכולים להריץ שאילתות על סטטיסטיקות השימוש ברשת של מכשיר מנוהל שלם. הנתונים הסטטיסטיים שנאספים משקפים את נתוני השימוש ששותפו עם המשתמשים בקטע שימוש בנתונים בהגדרות. הנתונים הסטטיסטיים שנאספים רלוונטיים לשימוש באפליקציות במכשיר.
4.22.1. אדמינים ב-IT יכולים לבצע שאילתות בסיכום הנתונים הסטטיסטיים של הרשת במכשיר אחד, לגבי מכשיר מסוים וחלון זמן שניתן להגדרה, ולראות את הפרטים האלה במסוף של ה-EMM.
4.22.2. אדמינים ב-IT יכולים לבצע שאילתה על סיכום של נתונים סטטיסטיים לגבי השימוש של אפליקציות ברשת, למכשיר נתון ולחלון זמן שניתן להגדרה, ולראות את הפרטים האלה מאורגנים לפי מזהה משתמש ייחודי (UID) במסוף של ה-EMM.
4.22.3. אדמינים ב-IT יכולים לבצע שאילתות ברשת על שימוש בנתונים היסטוריים לגבי מכשיר מסוים וחלון זמן מוגדר, ולראות את הפרטים האלה מסודרים לפי UID במסוף של ה-EMM.
4.23. הפעלת המכשיר מחדש
אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשירים מנוהלים.
4.23.1. אדמינים ב-IT יכולים להפעיל מחדש מרחוק מכשיר מנוהל.
4.24. ניהול רדיו במערכת
אדמינים ב-IT יכולים לנהל באופן מפורט את רשתות הרדיו של המערכת ואת כללי המדיניות שקשורים לשימוש.
4.24.1. אדמינים ב-IT יכולים להשבית שידורים סלולריים שנשלחים על ידי ספקי שירות (לדוגמה, התרעות AMBER).
4.24.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את הגדרות הרשת הסלולרית בהגדרות.
4.24.3. אדמינים ב-IT יכולים למנוע ממשתמשים לאפס את הגדרות הרשת בהגדרות.
4.24.4. אדמינים ב-IT יכולים לאפשר או לאסור שימוש בחבילת גלישה בזמן נדידה.
4.24.5. אדמינים ב-IT יכולים להגדיר אם המכשיר יוכל לבצע שיחות טלפון יוצאות, לא כולל שיחות חירום.
4.24.6. אדמינים ב-IT יכולים להגדיר אם המכשיר יוכל לשלוח ולקבל הודעות טקסט.
4.24.7. אדמינים ב-IT יכולים למנוע ממשתמשים להשתמש במכשיר שלהם כנקודה ניידת לשיתוף אינטרנט (Hotspot) באמצעות חיבור.
4.24.8. אדמינים ב-IT יכולים להגדיר את זמן הקצאת הזמן ל-Wi-Fi לברירת המחדל, רק כשהמכשיר מחובר או אף פעם.
4.24.9. אדמינים ב-IT יכולים למנוע ממשתמשים להגדיר או לשנות חיבורי Bluetooth קיימים.
4.25. ניהול אודיו במערכת
אדמיני IT יכולים לנהל את תכונות האודיו של המכשיר בשקט, כולל השבתת המכשיר, מניעת שינוי הגדרות עוצמת הקול ומניעת ביטול ההשתקה של המיקרופון במכשיר.
4.25.1. אדמינים ב-IT יכולים להשתיק מכשירים מנוהלים בצורה שקטה.
4.25.2. אדמינים ב-IT יכולים למנוע ממשתמשים לשנות את הגדרות עוצמת הקול במכשיר.
4.25.3. אדמינים ב-IT יכולים למנוע ממשתמשים לבטל את ההשתקה של המיקרופון במכשיר.
4.26. ניהול שעון המערכת
אדמינים ב-IT יכולים לנהל את ההגדרות של השעון ואזור הזמן במכשיר, ולמנוע מהמשתמשים לשנות את ההגדרות האוטומטיות במכשיר.
4.26.1. אדמינים ב-IT יכולים לאכוף את השעון האוטומטי של המערכת, כדי למנוע מהמשתמשים להגדיר את התאריך והשעה במכשיר.
4.26.2. אדמינים ב-IT יכולים להשבית או להפעיל בשקט גם את השעה האוטומטית וגם את השעון האוטומטי.
4.27. תכונות מתקדמות של מכשיר ייעודי
לאדמינים ב-IT יש אפשרות לנהל תכונות ייעודיות יותר של מכשירים כדי לתמוך במגוון תרחישים לדוגמה של קיוסק.
4.27.1. אדמינים ב-IT יכולים להשבית את מנעול המסך של המכשיר.
4.27.2. אדמינים ב-IT יכולים להשבית את שורת המצב של המכשיר, וכך לחסום את ההתראות ואת ההגדרות המהירות.
4.27.3. אדמינים ב-IT יכולים לאלץ את המסך של המכשיר להישאר מופעל בזמן שהמכשיר מחובר לחשמל.
4.27.4. אדמינים ב-IT יכולים למנוע את ההצגה של ממשקי המשתמש של המערכת:
- הודעות קופצות
- שכבות-על של אפליקציה.
4.27.5. אדמינים ב-IT יכולים לאפשר להמלצות של המערכת לדלג על המדריך למשתמשים ורמזים אחרים במבוא בהפעלה הראשונה.
4.28. ניהול היקף של הענקת גישה
אדמינים ב-IT יכולים להקצות הרשאות נוספות לחבילות ספציפיות.
4.28.1. אדמינים ב-IT יכולים לנהל את ההיקפים הבאים:
- התקנה וניהול של אישורים
- ריק מכוון
- רישום התנועה ברשת
- רישום ביומן אבטחה (לא נתמך בפרופיל עבודה במכשיר בבעלות אישית)
4.29. תמיכה במזהה ספציפי להרשמה
החל מגרסה 12 של Android, לפרופילים של עבודה לא תהיה יותר גישה למזהים ספציפיים לחומרה. אדמינים ב-IT יכולים לעקוב אחרי מחזור החיים של מכשיר עם פרופיל עבודה באמצעות המזהה הספציפי להרשמה, שיישאר גם אחרי איפוס להגדרות המקוריות.
4.29.1. אדמינים ב-IT יכולים להגדיר ולקבל מזהה ספציפי להרשמה
4.29.2. המזהה הספציפי להרשמה צריך להישאר גם אחרי איפוס להגדרות המקוריות.
5. נוחות השימוש במכשיר
5.1. התאמה אישית של ניהול תצורה מנוהל
אדמיני IT יכולים לשנות את ממשק המשתמש של תהליך ההגדרה שמוגדר כברירת מחדל כך שיכלול תכונות ספציפיות לארגון. אדמינים ב-IT יכולים גם להציג מיתוג של EMM במהלך הקצאת ההרשאות.
5.1.1. מנהלי IT יכולים להתאים אישית את תהליך ההקצאה על ידי ציון הפרטים הבאים שספציפיים לארגון: הצבע של הארגון, הלוגו של הארגון, התנאים וההגבלות של הארגון וכתבי ויתור אחרים.
5.1.2. אדמינים ב-IT יכולים לפרוס התאמה אישית ספציפית ל-EMM שלא ניתן להגדיר, שכוללת את הפרטים הבאים: צבע EMM, לוגו EMM, התנאים וההגבלות של EMM כתבי ויתור אחרים.
הגרסה 5.1.3 [primaryColor] הוצאה משימוש במשאב הארגוני ב-Android מגרסה 10 ואילך.
- פלטפורמות EMM חייבות לכלול את התנאים וההגבלות של הקצאת המשאבים ואת כתבי הוויתור האחרים של תהליך הקצאת המשאבים שלהן בחבילת כתבי הוויתור של הקצאת המשאבים למערכת, גם אם לא נעשה שימוש בהתאמה האישית הספציפית ל-EMM.
- ספקי EMM יכולים להגדיר את ההתאמה האישית הספציפית ל-EMM שלהם, שלא ניתן לשנות אותה, כברירת מחדל לכל הפריסות, אבל הם חייבים לאפשר לאדמינים ב-IT להגדיר התאמה אישית משלהם.
5.2. התאמה אישית לארגון
אדמיני IT יכולים להתאים אישית היבטים של פרופיל העבודה באמצעות מיתוג עסקי. לדוגמה, אדמינים ב-IT יכולים להגדיר את סמל המשתמש בפרופיל העבודה ללוגו הארגוני. דוגמה נוספת היא הגדרת צבע הרקע של אתגר העבודה.
5.2.1. אדמינים ב-IT יכולים להגדיר את צבע הארגון, שיהיה צבע הרקע של האתגרים בעבודה.
5.2.2. אדמינים ב-IT יכולים להגדיר את שם התצוגה של פרופיל העבודה.
5.2.3. אדמינים ב-IT יכולים להגדיר את סמל המשתמש של פרופיל העבודה.
5.2.4. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות את סמל המשתמש בפרופיל העבודה.
5.3. התאמה אישית מתקדמת לארגונים
אדמיני IT יכולים להתאים אישית מכשירים מנוהלים עם מיתוג של החברה. לדוגמה, אדמינים ב-IT יכולים להגדיר את סמל המשתמש הראשי כלוגו של החברה, או להגדיר את טפט המכשיר.
5.3.1. אדמינים ב-IT יכולים להגדיר את השם המוצג של המכשיר המנוהל.
5.3.2. אדמינים ב-IT יכולים להגדיר את סמל המשתמש של המכשיר המנוהל.
5.3.3. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות את סמל המשתמש במכשיר.
5.3.4. מנהלי IT יכולים להגדיר את הטפט של המכשיר .
5.3.5. אדמינים ב-IT יכולים למנוע מהמשתמשים לשנות את טפט המכשיר.
5.4. הודעות במסך הנעילה
אדמיני IT יכולים להגדיר הודעה בהתאמה אישית שתמיד תוצג במסך הנעילה של המכשיר, בלי צורך לבטל את הנעילה של המכשיר כדי לראות אותה.
5.4.1. אדמינים ב-IT יכולים להגדיר הודעה בהתאמה אישית במסך הנעילה.
5.5. ניהול השקיפות בנושא מדיניות
אדמינים ב-IT יכולים להתאים אישית את טקסט העזרה שמוצג למשתמשים כשהם משנים הגדרות מנוהלות במכשיר שלהם או פורסים הודעת תמיכה גנרית של EMM. אפשר להתאים אישית הודעות תמיכה קצרות וארוכות. ההודעות האלה מופיעות במקרים כמו ניסיון להסיר אפליקציה מנוהלת שכבר נחסמה על ידי מנהל IT.
5.5.1. אדמינים ב-IT יכולים להתאים אישית את הודעות התמיכה הקצרות וגם את הודעות התמיכה הארוכות.
5.5.2. אדמינים ב-IT יכולים לפרוס הודעות תמיכה קצרות וארוכות שספציפיות ל-EMM ולא ניתנות להגדרה.
- מערכת ה-EMM יכולה להגדיר את הודעות התמיכה הספציפיות שלה, שלא ניתן לשנות, כברירת מחדל לכל הפריסות, אבל היא חייבת לאפשר לאדמינים ב-IT להגדיר הודעות משלהם.
5.6. ניהול אנשי קשר במספר פרופילים
אדמיני IT יכולים לקבוע אילו פרטי אנשי קשר יוכלו לצאת מפרופיל העבודה. אפליקציות הטלפון וההודעות (SMS) צריכות לפעול בפרופיל האישי, והן זקוקות לגישה לפרטי אנשי הקשר בפרופיל העבודה כדי לספק יעילות לאנשי הקשר בעבודה. עם זאת, האדמינים יכולים להשבית את התכונות האלה כדי להגן על הנתונים העסקיים.
5.6.1. אדמינים ב-IT יכולים להשבית את החיפוש של אנשי קשר בכמה פרופילים באפליקציות אישיות שמשתמשות בספק אנשי הקשר של המערכת.
5.6.2. אדמינים ב-IT יכולים להשבית את החיפוש של מזהה מבצע השיחה בכמה פרופילים באפליקציות אישיות של חיוג שמשתמשות בספק אנשי הקשר של המערכת.
5.6.3. אדמינים ב-IT יכולים להשבית את שיתוף אנשי הקשר ב-Bluetooth עם מכשירי Bluetooth שמשתמשים בספק אנשי הקשר של המערכת, למשל שיחות דיבורית ברכב או אוזניות.
5.7. ניהול נתונים בכמה פרופילים
נותנת לאדמינים ב-IT אפשרות לקבוע אילו נתונים יוכלו לצאת מפרופיל העבודה, מעבר למאפייני האבטחה שמוגדרים כברירת מחדל בפרופיל העבודה. בעזרת התכונה הזו, אדמינים ב-IT יכולים לאפשר סוגים נבחרים של שיתוף נתונים בין פרופילים כדי לשפר את נוחות השימוש בתרחישי שימוש מרכזיים. אדמינים ב-IT יכולים גם להגן על נתוני הארגון באמצעות עוד אמצעי נעילה.
5.7.1. אדמינים ב-IT יכולים להגדיר מסנני כוונות בפרופילים שונים כדי שאפליקציות אישיות יוכלו לפתור כוונות מפרופיל העבודה, כמו כוונות שיתוף או קישורים לאתרים.
- מסוף Google יכול להציע מסנני כוונה מוכרים או מומלצים להגדרה, אבל הוא לא יכול להגביל את מסנני הכוונה לרשימת כוונה שרירותית כלשהי.
5.7.2. אדמינים ב-IT יכולים לאפשר אפליקציות מנוהלות שיכולות להציג ווידג'טים במסך הבית.
- מסוף ה-EMM צריך לאפשר לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה למשתמשים הרלוונטיים.
5.7.3. אדמינים ב-IT יכולים לחסום את השימוש בהעתקה והדבקה בין פרופיל העבודה לפרופיל האישי.
5.7.4. אדמינים ב-IT יכולים לחסום את היכולת של משתמשים לשתף נתונים מפרופיל העבודה באמצעות העברת NFC.
5.7.5. אדמינים ב-IT יכולים לאפשר לאפליקציות אישיות לפתוח קישורי אינטרנט מפרופיל העבודה.
5.8. המדיניות בנושא עדכוני מערכת
אדמיני IT יכולים להגדיר וליישם עדכוני מערכת אוויריים (OTA) למכשירים.
5.8.1. במסוף של ה-EMM, אדמינים ב-IT יכולים להגדיר את ההגדרות הבאות של OTA:
- אוטומטית: המכשירים מתקינים עדכוני OTA כשהם זמינים.
- דחייה: אדמינים ב-IT צריכים להיות מסוגלים לדחות עדכון OTA למשך עד 30 ימים. המדיניות הזו לא משפיעה על עדכוני אבטחה (למשל, תיקוני אבטחה חודשיים).
- בחלון זמן: אדמינים ב-IT צריכים להיות מסוגלים לתזמן עדכוני OTA בחלון זמן יומי לתחזוקה.
5.8.2. ה-DPC של ה-EMM מחיל הגדרות OTA על מכשירים.
5.9. ניהול מצב משימות נעולות
אדמיני IT יכולים לנעול אפליקציה או קבוצת אפליקציות למסך, וכך לוודא שהמשתמשים לא יוכלו לצאת מהאפליקציה.
5.9.1. מסוף ה-EMM מאפשר לאדמינים ב-IT לאפשר ללא אישור מפורש התקנה של קבוצה שרירותית של אפליקציות ונעילה שלהן במכשיר. ה-DPC של ה-EMM מאפשר מצב מכשיר ייעודי.
5.10. ניהול מתמיד של הפעילויות המועדפות
מאפשרת לאדמינים ב-IT להגדיר אפליקציה בתור handler ברירת מחדל של Intent לאובייקטים של Intent שתואמים למסנן Intent מסוים. לדוגמה, לאפשר לאדמינים ב-IT לבחור איזו אפליקציית דפדפן תפתח קישורי אינטרנט באופן אוטומטי, או איזו אפליקציית מרכז אפליקציות תופעל כשמקישים על לחצן הבית.
5.10.1. אדמינים ב-IT יכולים להגדיר כל חבילה כ-Intent Handler שמוגדר כברירת מחדל לכל מסנן כוונה שרירותי.
- במסוף של ה-EMM יכולות להופיע הצעות ל-Intents מוכרים או מומלצים להגדרה, אבל אי אפשר להגביל את ה-Intents לרשימה שרירותית כלשהי.
- במסוף ה-EMM צריך להיות אפשרות לאדמינים ב-IT לבחור מתוך רשימת האפליקציות שזמינות להתקנה למשתמשים הרלוונטיים.
5.11. ניהול תכונות של מגן מקשים
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
- התראות ללא צנזור
5.11.2. ה-DPC של ה-EMM יכול להשבית את התכונות הבאות של מסך הנעילה בפרופיל העבודה:
- סביבות אמינות
- ביטול נעילה באמצעות טביעת אצבע
5.12. ניהול מתקדם של התכונות של מסך הנעילה
- מצלמה מאובטחת
- כל ההתראות
- התראות לא מצונזרות
- סביבות אמינות
- ביטול הנעילה בטביעת אצבע
- כל התכונות של נעילת המקשים
5.13. ניקוי באגים מרחוק
אדמיני IT יכולים לאחזר משאבים לניפוי באגים ממכשירים בלי לבצע שלבים נוספים.
5.13.1. אדמינים ב-IT יכולים לבקש דוחות באגים מרחוק, להציג דוחות באגים במסוף של ה-EMM ולהוריד דוחות באגים מהמסוף של ה-EMM.
5.14. אחזור כתובת MAC
פלטפורמות EMM יכולות לאחזר כתובת MAC של מכשיר באופן שקוף. אפשר להשתמש בכתובת ה-MAC כדי לזהות מכשירים בחלקים אחרים בתשתית הארגון (לדוגמה, כשמזוהים מכשירים לצורך בקרת גישה לרשת).
5.14.1. ה-EMM יכול לאחזר באופן שקט את כתובת ה-MAC של המכשיר ולשייך אותה למכשיר במסוף ה-EMM.
5.15. ניהול מתקדם של מצב משימות נעולות (lock task mode)
כשמכשיר מוגדר כמכשיר ייעודי, אדמינים ב-IT יכולים להשתמש במסוף ה-EMM כדי לבצע את המשימות הבאות:
5.15.1. הרשאה שקטה לאפליקציה אחת להינעל במכשיר באמצעות בקר ה-DPC של ה-EMM.
5.15.2. מפעילים או משביתים את התכונות הבאות של ממשק המשתמש של המערכת באמצעות בקר ה-DPC של ה-EMM:
- לחצן 'דף הבית'
- סקירה כללית
- פעולות גלובליות
- התראות
- נתוני המערכת / שורת המצב
- מגן מקלדת (מסך הנעילה)
5.15.3. משביתים את תיבות הדו-שיח 'שגיאת מערכת' באמצעות בקר ה-DPC של ה-EMM.
5.16. מדיניות מתקדמת של עדכוני מערכת
אדמינים ב-IT יכולים לחסום עדכוני מערכת במכשיר למשך תקופת הקפאה מסוימת.
5.16.1. ה-DPC של ה-EMM יכול להחיל עדכוני מערכת אוויריים (OTA) על מכשירים במשך תקופת הקפאה מסוימת.
5.17. ניהול שקיפות למדיניות של פרופיל העבודה
אדמיני IT יכולים להתאים אישית את ההודעה שתוצג למשתמשים כשהם מסירים את פרופיל העבודה מהמכשיר.
5.17.1. אדמינים ב-IT יכולים לספק טקסט מותאם אישית להצגה כשפרופיל העבודה נמחק.
5.18. תמיכה באפליקציות מקושרות
אדמיני IT יכולים להגדיר רשימת חבילות שיכולות לתקשר מעבר לגבולות פרופיל העבודה.
5.19. עדכוני מערכת ידניים
אדמיני IT יכולים להתקין עדכון מערכת באופן ידני על ידי ציון נתיב.
6. הוצאה משימוש של מנהל מכשירים
6.1. הוצאה משימוש של מנהל מכשירים
ספקי EMM נדרשים לפרסם תוכנית של תמיכת הלקוחות המסתיימת ב-2022 עבור ניהול מכשירים במכשירי GMS עד סוף הרבעון הראשון של 2023.
7. שימוש ב-API
7.1. בקר מדיניות רגיל לקישורים חדשים
כברירת מחדל, צריך לנהל את המכשירים באמצעות Android Device Policy לכל קישור חדש. יכול להיות שספקי EMM יוכלו לנהל מכשירים באמצעות בקר DPC מותאם אישית באזור ההגדרות, תחת הכותרת Advanced (מתקדם) או מונחים דומים. אסור לחשוף לקוחות חדשים לבחירה שרירותית בין סטאקים טכנולוגיים במהלך תהליכי ההצטרפות או ההגדרה.
7.2. בקרת מדיניות רגילה למכשירים חדשים
כברירת מחדל, צריך לנהל את המכשירים באמצעות Android Device Policy בכל ההרשמות של מכשירים חדשים, גם לקישורים קיימים וגם לקישורים חדשים. יכול להיות שמערכת ניהול המכשירים (EMM) תספק את האפשרות לנהל את המכשירים באמצעות DPC מותאם אישית באזור ההגדרות, בקטע 'מתקדם' או בתיאור דומה.