На этой странице представлен полный набор функций Android Enterprise.
Если вы планируете управлять более чем 500 устройствами, ваше решение EMM должно поддерживать все стандартные функции ( ) хотя бы одного набора решений, прежде чем оно станет коммерчески доступным. Решения EMM, прошедшие стандартную проверку функций, перечислены в каталоге корпоративных решений Android как предлагающие стандартный набор управления .
Для каждого набора решений доступен дополнительный набор расширенных функций. Эти функции обозначены на каждой странице набора решений: рабочий профиль на личном устройстве , рабочий профиль на корпоративном устройстве , полностью управляемом устройстве и выделенном устройстве . Решения EMM, прошедшие расширенную проверку функций, перечислены в каталоге корпоративных решений Android как предлагающие расширенный набор управления .
Ключ
| стандартная функция | расширенная функция | дополнительная функция | неприменимо |
1. Подготовка устройства
1.1. Предоставление рабочего профиля DPC-first
Вы можете предоставить рабочий профиль после загрузки ЦОД EMM из Google Play.
1.1.1. ЦОД EMM должен быть общедоступным в Google Play, чтобы пользователи могли установить ЦОД на личной стороне устройства.
1.1.2. После установки ЦОД должен провести пользователя через процесс подготовки рабочего профиля.
1.1.3. После завершения подготовки на личной стороне устройства не может оставаться никакого присутствия руководства .
- Любые политики, введенные во время подготовки, должны быть удалены.
- Привилегии приложения должны быть отозваны.
- ЦОД EMM должен быть как минимум отключен на персональной стороне устройства.
1.2. Предоставление устройства с идентификатором DPC
ИТ-администраторы могут предоставить полностью управляемое или выделенное устройство, используя идентификатор DPC («afw#»), в соответствии с рекомендациями по реализации, определенными в документации для разработчиков Play EMM API .
1.2.1. ЦОД EMM должен быть общедоступным в Google Play. DPC должен быть установлен с помощью мастера настройки устройства путем ввода идентификатора DPC.
1.2.2. После установки ЦОД EMM должен провести пользователя через процесс подготовки полностью управляемого или выделенного устройства.
1.3. Предоставление устройств NFC
Теги NFC могут использоваться ИТ-администраторами для подготовки новых устройств или устройств с заводскими настройками в соответствии с рекомендациями по внедрению, определенными в документации для разработчиков Play EMM API .
1.3.1. EMM должны использовать теги NFC Forum Type 2 с объемом памяти не менее 888 байт. При подготовке необходимо использовать дополнительные возможности подготовки для передачи неконфиденциальных регистрационных данных, таких как идентификаторы серверов и идентификаторы регистрации, на устройство. Регистрационные данные не должны включать конфиденциальную информацию, такую как пароли или сертификаты.
1.3.2. После того как ЦОД EMM назначит себя владельцем устройства, ЦОД должен немедленно открыться и зафиксироваться на экране до тех пор, пока устройство не будет полностью подготовлено. 1.3.3. Мы рекомендуем использовать теги NFC для Android 10 и более поздних версий, поскольку поддержка NFC Beam (также известной как NFC Bump) устарела.
1.4. Предоставление устройства с помощью QR-кода
ИТ-администраторы могут использовать новое устройство или устройство с восстановленными заводскими настройками для сканирования QR-кода, сгенерированного консолью EMM, для подготовки устройства в соответствии с рекомендациями по реализации, определенными в документации для разработчиков Play EMM API .
1.4.1. QR-код должен использовать дополнительные возможности для передачи неконфиденциальных регистрационных данных, таких как идентификаторы серверов и идентификаторы регистрации, на устройство. Регистрационные данные не должны включать конфиденциальную информацию, такую как пароли или сертификаты.
1.4.2. После того как ЦОД EMM настроит устройство, ЦОД должен немедленно открыться и зафиксироваться на экране до тех пор, пока устройство не будет полностью подготовлено.
1,5. Регистрация без участия пользователя
ИТ-администраторы могут предварительно настраивать устройства, приобретенные у авторизованных реселлеров , и управлять ими с помощью консоли EMM.
1.5.1. ИТ-администраторы могут подготавливать корпоративные устройства с помощью метода автоматической регистрации, описанного в разделе Автоматическая регистрация для ИТ-администраторов .
1.5.2. При первом включении устройства автоматически переводятся настройки, определенные ИТ-администратором.
1.6. Расширенная автоматическая настройка
ИТ-администраторы могут автоматизировать большую часть процесса регистрации устройств, развертывая сведения о регистрации ЦОД посредством автоматической регистрации. ЦОД EMM поддерживает ограничение регистрации определенными учетными записями или доменами в соответствии с параметрами конфигурации, предлагаемыми EMM.
1.6.1. ИТ-администраторы могут подготовить принадлежащее компании устройство, используя метод автоматической регистрации, описанный в разделе «Автоматическая регистрация для ИТ-администраторов» .
1.6.2. После того как ЦОД EMM настроит устройство, ЦОД EMM должен немедленно открыться и зафиксироваться на экране до тех пор, пока устройство не будет полностью подготовлено.
- Это требование не применяется к устройствам, которые используют регистрационные данные автоматической регистрации для полной автоматической подготовки (например, при развертывании выделенного устройства).
1.6.3. Используя регистрационные данные, ЦОД EMM должен гарантировать, что неавторизованные пользователи не смогут продолжить активацию после вызова ЦОД. Как минимум, активация должна быть доступна только пользователям данного предприятия.
1.6.4. Используя регистрационные данные, ЦОД EMM должен предоставить ИТ-администраторам возможность предварительно заполнить регистрационные данные (например, идентификаторы сервера, идентификаторы регистрации), помимо уникальной информации о пользователе или устройстве (например, имя пользователя/пароль, токен активации), чтобы пользователям не нужно вводить данные при активации устройства.
- EMM не должны включать конфиденциальную информацию, такую как пароли или сертификаты, в конфигурацию автоматической регистрации.
1.7. Настройка рабочего профиля аккаунта Google
Для предприятий, использующих управляемый домен Google , эта функция помогает пользователям настроить рабочий профиль после ввода своих корпоративных учетных данных Workspace во время настройки устройства или на уже активированном устройстве. В обоих случаях корпоративный идентификатор Workspace будет перенесен в рабочий профиль.
1.7.1. Метод подготовки учетной записи Google предоставляет рабочий профиль в соответствии с определенными рекомендациями по реализации .
1.8. Подготовка устройства для аккаунта Google
Для предприятий, использующих Workspace, эта функция помогает пользователям выполнить установку ЦОД EMM после того, как они введут свои корпоративные учетные данные Workspace во время первоначальной настройки устройства. После установки ЦОД завершает настройку устройства, принадлежащего компании.
1.8.1. Метод подготовки аккаунта Google подготавливает корпоративное устройство в соответствии с определенными рекомендациями по внедрению .
1.8.2. Если EMM не сможет однозначно идентифицировать устройство как корпоративный актив, они не смогут предоставить устройство без запроса в процессе подготовки. Это приглашение должно выполнять действие, отличное от стандартного, например установку флажка или выбор пункта меню, отличного от заданного по умолчанию. Рекомендуется, чтобы EMM мог идентифицировать устройство как корпоративный актив, поэтому запрос не требуется.
1.9. Прямая автоматическая настройка
ИТ-администраторы могут использовать консоль EMM для настройки устройств с автоматическим управлением с помощью iframe с автоматическим управлением .
1.10. Рабочие профили на корпоративных устройствах
EMM могут регистрировать принадлежащие компании устройства, имеющие рабочий профиль.
1.10.1. Намеренно пусто.
1.10.2. ИТ-администраторы могут устанавливать действия по обеспечению соответствия требованиям для рабочих профилей на корпоративных устройствах.
1.10.3. ИТ-администраторы могут отключить камеру либо в рабочем профиле, либо на всем устройстве.
1.10.4. ИТ-администраторы могут отключить захват экрана либо в рабочем профиле, либо на всем устройстве.
1.10.5. ИТ-администраторы могут установить список разрешенных или заблокированных приложений, которые можно или нельзя устанавливать в личном профиле.
1.10.6. ИТ-администраторы могут отказаться от управления корпоративным устройством, удалив рабочий профиль или очистив все устройство.
1.11. Выделенная подготовка устройств
Намеренно пусто.
2. Безопасность устройства
2.1. Проблема безопасности устройства
ИТ-администраторы могут задавать и применять проверку безопасности устройства (ПИН-код/шаблон/пароль) из трех предварительно заданных уровней сложности на управляемых устройствах.
2.1.1. Политика должна обеспечивать соблюдение настроек, управляющих проблемами безопасности устройств (parentProfilePasswordRequirements для рабочего профиля, парольRequirements для полностью управляемых и выделенных устройств).
2.1.2. Сложность пароля должна соответствовать следующим уровням сложности пароля:
- PASSWORD_COMPLEXITY_LOW — шаблон или пин-код с повторяющимися (4444) или упорядоченными (1234, 4321, 2468) последовательностями.
- PASSWORD_COMPLEXITY_MEDIUM - ПИН-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей, буквенный или буквенно-цифровой пароль длиной не менее 4.
- PASSWORD_COMPLEXITY_HIGH — ПИН-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей длиной не менее 8 или буквенные или буквенно-цифровые пароли длиной не менее 6.
2.2. Проблема безопасности труда
ИТ-администраторы могут устанавливать и применять проверку безопасности для приложений и данных в рабочем профиле, который является отдельным и имеет другие требования, чем задача безопасности устройства (2.1.).
2.2.1. Политика должна обеспечить соблюдение требований безопасности для рабочего профиля. По умолчанию ИТ-администраторы должны устанавливать ограничения только для рабочего профиля, если область действия не указана. ИТ-администраторы могут установить эти ограничения для всего устройства, указав область (см. требование 2.1).
2.1.2. Сложность пароля должна соответствовать следующим уровням сложности пароля:
- PASSWORD_COMPLEXITY_LOW — шаблон или пин-код с повторяющимися (4444) или упорядоченными (1234, 4321, 2468) последовательностями.
- PASSWORD_COMPLEXITY_MEDIUM - ПИН-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей, буквенный или буквенно-цифровой пароль длиной не менее 4.
- PASSWORD_COMPLEXITY_HIGH — ПИН-код без повторяющихся (4444) или упорядоченных (1234, 4321, 2468) последовательностей длиной не менее 8 или буквенные или буквенно-цифровые пароли длиной не менее 6.
2.3. Расширенное управление паролями
2.3.1. Намеренно пусто.
2.3.2. Намеренно пусто.
2.3.3. Следующие настройки жизненного цикла пароля можно установить для каждого экрана блокировки, доступного на устройстве:
- Намеренно пустой
- Намеренно пустой
- Максимальное количество неудачных паролей для очистки : указывает, сколько раз пользователи могут ввести неверный пароль, прежде чем корпоративные данные будут удалены с устройства. ИТ-администраторы должны иметь возможность отключить эту функцию.
2.4. Умное управление замком
ИТ-администраторы могут управлять тем, каким доверенным агентам в функции Smart Lock Android разрешено разблокировать устройства. ИТ-администраторы могут отключить определенные методы разблокировки, такие как доверенные устройства Bluetooth, распознавание лиц и голоса, или, при желании, полностью отключить эту функцию.
2.4.1. ИТ-администраторы могут отключать агенты доверия Smart Lock независимо для каждого экрана блокировки, доступного на устройстве.
2.4.2. ИТ-администраторы могут выборочно разрешать и настраивать агенты доверия Smart Lock независимо для каждого экрана блокировки, доступного на устройстве, для следующих агентов доверия: Bluetooth, NFC, места, лица, тела и голоса.
- ИТ-администраторы могут изменять доступные параметры конфигурации доверенного агента.
2.5. Очистить и заблокировать
ИТ-администраторы могут использовать консоль EMM для удаленной блокировки и удаления рабочих данных с управляемого устройства.
2.5.1. ЦОД EMM должен блокировать устройства.
2.5.2. ЦОД EMM должен стереть данные с устройств.
2.6. Обеспечение соблюдения требований
Если устройство не соответствует политикам безопасности, рабочие данные автоматически ограничиваются.
2.6.1. Как минимум, политики безопасности, применяемые на устройстве, должны включать политику паролей.
2.7. Политики безопасности по умолчанию
EMM должны применять указанные политики безопасности на устройствах по умолчанию , не требуя от ИТ-администраторов устанавливать какие-либо параметры в консоли EMM. EMM рекомендуется (но не обязательно) не разрешать ИТ-администраторам изменять состояние этих функций безопасности по умолчанию.
2.7.1. ЦОД EMM должен блокировать установку приложений из неизвестных источников, включая приложения, установленные на личной стороне любого устройства Android 8.0+ с рабочим профилем.
2.7.2. ЦОД EMM должен блокировать функции отладки.
2.8. Политики безопасности для выделенных устройств
Выделенные устройства блокируются без выхода, позволяющего выполнять другие действия.
2.8.1. ЦОД EMM по умолчанию должен отключить загрузку в безопасном режиме.
2.8.2. ЦОД EMM должен быть открыт и заблокирован на экране сразу при первой загрузке во время подготовки, чтобы гарантировать отсутствие взаимодействия с устройством каким-либо другим способом.
2.8.3. ЦОД EMM должен быть установлен в качестве средства запуска по умолчанию, чтобы гарантировать блокировку разрешенных приложений на экране при загрузке в соответствии с определенными рекомендациями по реализации .
2.9. Поддержка честности игры
EMM использует Play Integrity API , чтобы убедиться, что устройства являются действительными устройствами Android.
2.9.1. ЦОД EMM реализует Play Integrity API во время подготовки и по умолчанию завершает предоставление устройства корпоративными данными только тогда, когда возвращенная целостность устройства равна MEETS_STRONG_INTEGRITY .
2.9.2. ЦОД EMM будет выполнять еще одну проверку целостности Play каждый раз, когда устройство регистрируется на сервере EMM, настраиваемом ИТ-администратором. Сервер EMM проверит информацию APK в ответе на проверку целостности и сам ответ перед обновлением корпоративной политики на устройстве.
2.9.3. ИТ-администраторы могут настраивать различные ответные меры политики в зависимости от результатов проверки целостности Play, включая блокировку подготовки, удаление корпоративных данных и разрешение продолжить регистрацию.
- Служба EMM будет применять этот ответ политики для результата каждой проверки целостности.
2.9.4. Если первоначальная проверка целостности воспроизведения завершается неудачно или возвращает результат, который не соответствует строгой целостности, и если DPC EMM еще не вызвал метод обеспечения WorkingEnvironment , он должен сделать это и повторить проверку до завершения подготовки.
2.10. Проверьте соблюдение требований к приложениям
ИТ-администраторы могут включить проверку приложений на устройствах. Verify Apps сканирует приложения, установленные на устройствах Android, на наличие вредоносного программного обеспечения до и после их установки, помогая гарантировать, что вредоносные приложения не смогут поставить под угрозу корпоративные данные.
2.10.1. ЦОД EMM должен включить проверку приложений по умолчанию.
2.11. Поддержка прямой загрузки
Приложения не могут работать на только что включенных устройствах Android 7.0 и более поздних версий, пока устройство не будет сначала разблокировано. Поддержка прямой загрузки гарантирует, что ЦОД EMM всегда активен и способен применять политику, даже если устройство не было разблокировано.
2.11.1. ЦОД EMM использует зашифрованное хранилище устройства для выполнения критически важных функций управления до того, как зашифрованное хранилище учетных данных ЦОД будет расшифровано. Функции управления, доступные во время прямой загрузки, должны включать (но не ограничиваться):
- Корпоративная очистка , включая возможность очистки данных защиты от сброса настроек при необходимости.
2.11.2. ЦОД EMM не должен раскрывать корпоративные данные в зашифрованном хранилище устройства.
2.11.3. EMM могут установить и активировать токен , чтобы включить кнопку «Я забыл пароль» на экране блокировки рабочего профиля. Эта кнопка используется для запроса ИТ-администраторов безопасно сбросить пароль рабочего профиля.
2.12. Управление безопасностью оборудования
ИТ-администраторы могут заблокировать аппаратные элементы корпоративного устройства, чтобы предотвратить потерю данных.
2.12.1. ИТ-администраторы могут запретить пользователям подключать физические внешние носители к своим устройствам.
2.12.2. ИТ-администраторы могут запретить пользователям обмениваться данными со своих устройств с помощью NFC-луча . Эта подфункция является необязательной, поскольку функция NFC-луча больше не поддерживается в Android 10 и более поздних версиях.
2.12.3. ИТ-администраторы могут запретить пользователям передавать файлы через USB со своих устройств.
2.13. Ведение журнала безопасности предприятия
ИТ-администраторы могут собирать данные об использовании устройств, которые можно анализировать и программно оценивать на предмет вредоносного или рискованного поведения. Зарегистрированные действия включают активность Android Debug Bridge (adb), открытие приложений и разблокировку экрана.
2.13.1. ИТ-администраторы могут включить ведение журнала безопасности для определенных устройств, а ЦОД EMM должен иметь возможность автоматически получать как журналы безопасности , так и журналы безопасности перед перезагрузкой .
2.13.2. ИТ-администраторы могут просматривать журналы безопасности предприятия для определенного устройства и настраиваемого временного окна в консоли EMM.
2.13.3. ИТ-администраторы могут экспортировать журналы безопасности предприятия из консоли EMM.
3. Управление учетной записью и приложениями
3.1. Корпоративная привязка
ИТ-администраторы могут привязать EMM к своей организации, что позволит EMM использовать управляемый Google Play для распространения приложений на устройствах.
3.1.1. Администратор с существующим управляемым доменом Google может привязать свой домен к EMM.
3.1.2. Консоль EMM должна автоматически предоставить и настроить уникальный ESA для каждого предприятия.
3.1.3. Отмените регистрацию предприятия с помощью Play EMM API .
3.1.4. Консоль EMM предлагает администратору ввести свой рабочий адрес электронной почты в процессе регистрации Android и не рекомендует ему использовать учетную запись Gmail.
3.1.5. EMM предварительно заполняет адрес электронной почты администратора в процессе регистрации Android.
3.2. Управляемая подготовка учетной записи Google Play
EMM может автоматически предоставлять корпоративные учетные записи пользователей , называемые управляемыми учетными записями Google Play. Эти учетные записи идентифицируют управляемых пользователей и допускают уникальные правила распространения приложений для каждого пользователя.
3.2.1. ЦОД EMM может автоматически подготовить и активировать управляемую учетную запись Google Play в соответствии с определенными рекомендациями по реализации . При этом:
- На устройство добавляется управляемая учетная запись Google Play типа
userAccount. - Управляемый аккаунт Google Play типа
userAccountдолжен иметь однозначное сопоставление с реальными пользователями в консоли EMM.
3.3. Предоставление управляемой учетной записи устройства Google Play
EMM может создавать и предоставлять управляемые учетные записи устройств Google Play. Учетные записи устройств поддерживают автоматическую установку приложений из управляемого магазина Google Play и не привязываются к одному пользователю. Вместо этого учетная запись устройства используется для идентификации одного устройства для поддержки правил распространения приложений для каждого устройства в сценариях с выделенными устройствами.
3.3.1. ЦОД EMM может автоматически подготовить и активировать управляемую учетную запись Google Play в соответствии с определенными рекомендациями по реализации . При этом на устройство необходимо добавить управляемую учетную запись Google Play типа deviceAccount .
3.4. Управляемая подготовка учетной записи Google Play для устаревших устройств.
EMM может автоматически предоставлять учетные записи корпоративных пользователей, называемые управляемыми учетными записями Google Play. Эти учетные записи идентифицируют управляемых пользователей и допускают уникальные правила распространения приложений для каждого пользователя.
3.4.1. ЦОД EMM может автоматически подготовить и активировать управляемую учетную запись Google Play в соответствии с определенными рекомендациями по реализации . При этом:
- На устройство добавляется управляемая учетная запись Google Play типа
userAccount. - Управляемый аккаунт Google Play типа
userAccountдолжен иметь однозначное сопоставление с реальными пользователями в консоли EMM.
3.5. Тихое распространение приложений
ИТ-администраторы могут незаметно распространять рабочие приложения на устройствах пользователей без какого-либо взаимодействия с пользователем.
3.5.1. Консоль EMM должна использовать Play EMM API , чтобы ИТ-администраторы могли устанавливать рабочие приложения на управляемые устройства.
3.5.2. Консоль EMM должна использовать Play EMM API , чтобы ИТ-администраторы могли обновлять рабочие приложения на управляемых устройствах.
3.5.3. Консоль EMM должна использовать Play EMM API , чтобы ИТ-администраторы могли удалять приложения на управляемых устройствах.
3.6. Управляемое управление конфигурацией
ИТ-администраторы могут просматривать и автоматически настраивать управляемые конфигурации или любое приложение, поддерживающее управляемые конфигурации.
3.6.1. Консоль EMM должна иметь возможность получать и отображать параметры управляемой конфигурации любого приложения Play.
- EMM могут вызвать
Products.getAppRestrictionsSchema, чтобы получить схему управляемых конфигураций приложения или встроить фрейм управляемых конфигураций в свою консоль EMM.
3.6.2. Консоль EMM должна позволять ИТ-администраторам устанавливать любой тип конфигурации (как определено платформой Android) для любого приложения Play с помощью API EMM Play .
3.6.3. Консоль EMM должна позволять ИТ-администраторам устанавливать подстановочные знаки (например, $username$ или %emailAddress%), чтобы одну конфигурацию для приложения, такого как Gmail, можно было применять к нескольким пользователям. Управляемая конфигурация iframe автоматически поддерживает это требование.
3.7. Управление каталогом приложений
ИТ-администраторы могут импортировать список приложений, одобренных для их предприятия, из управляемого Google Play ( play.google.com/work ).
3.7.1. Консоль EMM может отображать список приложений, одобренных для распространения, в том числе:
- Приложения, приобретенные в корпоративном Google Play
- Частные приложения видны ИТ-администраторам
- Программно одобренные приложения
3.8. Программное одобрение приложения
Консоль EMM использует управляемый iframe Google Play для поддержки возможностей обнаружения и утверждения приложений Google Play. ИТ-администраторы могут искать приложения, утверждать приложения и утверждать разрешения для новых приложений, не покидая консоли EMM.
3.8.1. ИТ-администраторы могут искать приложения и утверждать их в консоли EMM с помощью управляемого iframe Google Play .
3.9. Базовое управление планировкой магазина
Управляемое приложение Google Play Store можно использовать на устройствах для установки и обновления рабочих приложений. Базовый макет магазина отображается по умолчанию и содержит список приложений, одобренных для предприятия, которые EMM фильтрует по отдельным пользователям в соответствии с политикой.
3.9.1. ИТ-администраторы могут [управлять доступными для пользователей наборами продуктов]/android/work/play/emm-api/samples#grant_a_user_access_to_apps), чтобы разрешить просмотр и установку приложений из управляемого магазина Google Play в разделе «Домашний магазин».
3.10. Расширенная конфигурация макета магазина
ИТ-администраторы могут настроить макет магазина, отображаемый в управляемом приложении магазина Google Play на устройствах.
3.10.1. ИТ-администраторы могут выполнять следующие действия в консоли EMM, чтобы настроить макет управляемого магазина Google Play :
- Создайте до 100 страниц макета магазина. Страницы могут иметь произвольное количество локализованных имен страниц.
- Создавайте до 30 кластеров для каждой страницы. Кластеры могут иметь произвольное количество локализованных имен кластеров.
- Назначьте до 100 приложений в каждый кластер.
- Добавьте до 10 быстрых ссылок на каждую страницу.
- Укажите порядок сортировки приложений в кластере и кластеров на странице.
3.11. Управление лицензиями приложений
ИТ-администраторы могут просматривать и управлять лицензиями на приложения, приобретенными в управляемом Google Play, с консоли EMM.
3.11.1. Для платных приложений, одобренных для предприятия, в консоли EMM должно отображаться :
- Количество приобретенных лицензий.
- Количество использованных лицензий и пользователей, использующих лицензии.
- Количество лицензий, доступных для распространения.
3.11.2. ИТ-администраторы могут незаметно назначать лицензии пользователям, не принуждая устанавливать это приложение на какое-либо из устройств пользователей.
3.11.3. ИТ-администраторы могут отменить назначение лицензии на приложение пользователю .
3.12. Управление частными приложениями, размещенными в Google
ИТ-администраторы могут обновлять частные приложения, размещенные в Google, через консоль EMM, а не через консоль Google Play.
3.12.1. ИТ-администраторы могут загружать новые версии приложений, которые уже опубликованы на предприятии в частном порядке, используя:
3.13. Самостоятельное управление частными приложениями
ИТ-администраторы могут настраивать и публиковать самостоятельные частные приложения. В отличие от частных приложений, размещенных в Google, Google Play не размещает APK-файлы. Вместо этого EMM помогает ИТ-администраторам самостоятельно размещать APK-файлы и помогает защитить самостоятельно размещаемые приложения, гарантируя, что их можно будет установить только после авторизации управляемого Google Play.
ИТ-администраторы могут получить подробную информацию в разделе «Поддержка частных приложений» .
3.13.1. Консоль EMM должна помогать ИТ-администраторам размещать APK приложения, предлагая оба следующих варианта:
- Размещение APK на сервере EMM. Сервер может быть локальным или облачным.
- Размещение APK за пределами сервера EMM по усмотрению ИТ-администратора. ИТ-администратор должен указать в консоли EMM место размещения APK.
3.13.2. Консоль EMM должна создать соответствующий файл определения APK, используя предоставленный APK, и должна помогать ИТ-администраторам в процессе публикации.
3.13.3. ИТ-администраторы могут обновлять частные приложения, размещаемые самостоятельно, а консоль EMM может автоматически публиковать обновленные файлы определений APK с помощью API публикации разработчиков Google Play .
3.13.4. Сервер EMM обслуживает только запросы на загрузку самостоятельно размещенного APK, который содержит действительный JWT в файле cookie запроса, что подтверждается открытым ключом частного приложения.
- Чтобы облегчить этот процесс, сервер EMM должен помочь ИТ-администраторам загрузить открытый ключ лицензии локального приложения из консоли Play Google Play и загрузить этот ключ в консоль EMM.
3.14. Уведомления об извлечении EMM
Вместо периодических запросов к Play для выявления прошлых событий, таких как обновление приложения, содержащее новые разрешения или управляемые конфигурации, уведомления EMM заблаговременно уведомляют EMM о таких событиях в режиме реального времени, позволяя EMM предпринимать автоматические действия и предоставлять персонализированные административные уведомления на основе этих событий. .
3.14.1. EMM должен использовать уведомления EMM Play для получения наборов уведомлений .
3.14.2. EMM должна автоматически уведомлять ИТ-администратора (например, по электронной почте) о следующих событиях уведомления:
-
newPermissionEvent: требуется, чтобы ИТ-администратор утвердил новые разрешения приложения, прежде чем приложение можно будет автоматически установить или обновить на устройствах пользователей. -
appRestrictionsSchemaChangeEvent: может потребовать от ИТ-администратора обновить управляемую конфигурацию приложения для поддержания запланированной эффективности. -
appUpdateEvent: может представлять интерес для ИТ-администраторов, которые хотят убедиться, что обновление приложения не влияет на производительность основного рабочего процесса. -
productAvailabilityChangeEvent: может повлиять на возможность установки приложения или получения обновлений приложения. -
installFailureEvent: Play не может автоматически установить приложение на устройство, что позволяет предположить, что в конфигурации устройства что-то препятствует установке. EMM не следует сразу же пытаться снова выполнить автоматическую установку после получения этого уведомления, поскольку собственная логика повторной попытки Play уже не удалась.
3.14.3. EMM автоматически предпринимает соответствующие действия на основе следующих событий уведомления:
-
newDeviceEvent: во время подготовки устройства EMM должны дождатьсяnewDeviceEventпрежде чем выполнять последующие вызовы API Play EMM для нового устройства, включая автоматическую установку приложений и настройку управляемых конфигураций. -
productApprovalEvent: при получении уведомленияproductApprovalEventEMM должна автоматически обновить список одобренных приложений, импортированных в консоль EMM для распространения на устройства, если есть активный сеанс ИТ-администратора или если список одобренных приложений не перезагружается автоматически в начале каждого из них. Сессия ИТ-администратора.
3.15. Требования к использованию API
EMM реализует API-интерфейсы Google в широком масштабе, избегая шаблонов трафика, которые могут негативно повлиять на способность ИТ-администраторов управлять приложениями в производственных средах.
3.15.1. EMM должен соблюдать ограничения на использование Play EMM API . Если не исправить поведение, выходящее за рамки этих правил, использование API может быть приостановлено по усмотрению Google.
3.15.2. EMM должен распределять трафик от разных предприятий в течение дня, а не консолидировать корпоративный трафик в определенное или одинаковое время. Поведение, которое соответствует этой схеме трафика, такого как запланированные пакетные операции для каждого зарегистрированного устройства, может привести к приостановке использования API по усмотрению Google.
3.15.3. EMM не должен делать последовательные, неполные или преднамеренно неверные запросы, которые не пытаются извлечь или управлять фактическими корпоративными данными. Поведение, которое соответствует этой схеме трафика, может привести к приостановке использования API по усмотрению Google.
3.16. Усовершенствованное управление конфигурацией
3.16.1. Консоль EMM должна иметь возможность извлечь и отображать настройки управляемой конфигурации (вложенные до четырех уровней) любого приложения Play, используя:
- Управляемый Google Play iframe , или
- пользовательский интерфейс.
3.16.2. Консоль EMM должна быть в состоянии получить и отображать любую обратную связь , возвращаемую каналом обратной связи приложения , при установке администратором ИТ.
- Консоль EMM должна позволить ему администратора связывать конкретный элемент обратной связи с устройством и приложением, из которого он возник.
- Консоль EMM должна позволить ей администратора подписаться на оповещения или отчеты о конкретных типах сообщений (например, сообщения об ошибках).
3.16.3. Консоль EMM должна отправлять только значения, которые имеют значение по умолчанию, либо установлены вручную администратором, использующим:
- Управляемые конфигурации iframe, или
- Пользовательский интерфейс.
3.17. Управление веб -приложениями
Это администраторы могут создавать и распространять веб -приложения в консоли EMM.
3.17.1. Администраторы могут использовать консоль EMM для распространения ярлыков в веб -приложениях, используя:
3.18. Управление управлением учетной записи Google Play Lifecycle
EMM может создавать, обновлять и удалять управляемые учетные записи Google Play от имени его администраторов.
3.18.1. EMM может управлять жизненным циклом управляемой учетной записи Google Play в соответствии с руководящими принципами реализации, определенными в документации Play EMM API Developer.
3.18.2. EMM могут повторно повторно управлять учетными записями Google Play без взаимодействия с пользователем.
3.19. Управление треками приложений
3.19.1. Администраторы могут получить список идентификаторов треков, установленных разработчиком для конкретного приложения.
3.19.2. Администраторы могут устанавливать устройства для использования конкретной дорожки разработки для приложения.
3.20. Управление обновлением приложений
3.20.1. Администраторы могут позволить приложениям использовать обновления высокоприоритетных приложений, когда обновление будет готово.
3.20.2. Администраторы могут позволить приложениям откладывать обновления приложений на 90 дней.
3.21. Управление методами обеспечения
EMM может генерировать конфигурации обеспечения и представлять их для ИТ-администратора в форме, готовой к распространению для конечных пользователей (таких как QR-код, конфигурация с нулевым ударом, Play Store URL).
4. Управление устройствами
4.1. Управление политикой разрешения на выполнение
Это администраторы могут молча установить ответ по умолчанию на запросы на разрешение времени выполнения, сделанные рабочими приложениями.
4.1.1. Администраторы должны иметь возможность выбирать из следующих параметров при установке политики разрешения на выполнение выполнения по умолчанию для своей организации:
- Приглашение (позволяет пользователям выбирать)
- позволять
- отрицать
EMM должен обеспечить соблюдение этих настроек, используя DPC EMM .
4.2. Управление государственным управлением разрешений на время выполнения
После установки Политики разрешения на выполнение по умолчанию (перейдите к 4.1.), Администраторы могут молча установить ответы для конкретных разрешений из любого рабочего приложения, построенного на API 23 или выше.
4.2.1. Администраторы должны быть в состоянии установить государство гранта (дефолт, грант или отказ) от любого разрешения, запрашиваемого любым рабочим приложением, построенным на API 23 или выше. EMM должен обеспечить соблюдение этих настроек, используя DPC EMM .
4.3. Управление конфигурацией Wi-Fi
Администраторы могут молча предоставить корпоративные конфигурации Wi-Fi на управляемых устройствах, включая:
4.3.1. SSID, используя DPC EMM .
4.3.2. Пароль, используя DPC EMM .
4.4. Управление безопасности Wi-Fi
ИТ-администраторы могут предоставить корпоративные конфигурации Wi-Fi на управляемых устройствах, которые включают следующие расширенные функции безопасности:
4.4.1. Личность, используя DPC EMM .
4.4.2. Сертификат для разрешения клиентов, используя DPC EMM .
4.4.3. Сертификат CA, используя DPC EMM .
4.5. Усовершенствованное управление Wi-Fi
ИТ-администраторы могут заблокировать конфигурации Wi-Fi на управляемых устройствах, чтобы пользователи не могли создавать конфигурации или изменять корпоративные конфигурации.
4.5.1. Администраторы могут заблокировать корпоративные конфигурации Wi-Fi в любой из следующих конфигураций:
- Пользователи не могут изменить любые конфигурации Wi-Fi, предоставленные EMM , но могут добавить и изменять свои собственные пользовательские сети (например, личные сети).
- Пользователи не могут добавлять или изменять какую-либо сеть Wi-Fi на устройстве , ограничивая подключение к Wi-Fi только для тех сетей, предоставленных EMM.
4.6. Управление аккаунтом
ИТ -администраторы могут гарантировать, что несанкционированные корпоративные учетные записи не могут взаимодействовать с корпоративными данными, для таких услуг, как приложения для хранения и производительности SaaS или электронная почта. Без этой функции личные учетные записи могут быть добавлены в те корпоративные приложения, которые также поддерживают учетные записи потребителей, что позволяет им обмениваться корпоративными данными с этими личными учетными записями.
4.6.1. Это администраторы могут предотвратить добавление или изменение учетных записей .
- При соблюдении этой политики на устройстве EMM должны установить это ограничение до завершения обеспечения, чтобы убедиться, что вы не можете обойти эту политику, добавив учетные записи до принятия политики.
4.7. Управление учетной записью рабочей области
Он может гарантировать, что несанкционированные учетные записи Google не могут взаимодействовать с корпоративными данными. Без этой функции личные учетные записи Google могут быть добавлены в корпоративные приложения Google (например, Google Docs или Google Drive), что позволяет им обмениваться корпоративными данными с этими личными учетными записями.
4.7.1. ИТ -администраторы могут указывать учетные записи Google для активации во время обеспечения после заблокирования управления учетной записью .
4.7.2. DPC EMM должен попросить активировать учетную запись Google и убедиться, что только конкретная учетная запись может быть активирована, указав добавленную учетную запись .
- На устройствах ниже, чем Android 7.0, DPC должен временно отключить ограничение управления учетной записью, прежде чем побудить пользователя .
4.8. Управление сертификатами
Позволяет им администраторов развернуть сертификаты идентификации и органы сертификатов для устройств, чтобы разрешить доступ к корпоративным ресурсам.
4.8.1. Это администраторы могут устанавливать сертификаты пользователей , сгенерированные их PKI на основе каждого пользователя. Консоль EMM должна интегрироваться по крайней мере с одним PKI и распространять сертификаты, полученные из этой инфраструктуры.
4.8.2. Администраторы могут установить сертификат власти в управляемом магазине ключей.
4.9. Расширенное управление сертификатами
Позволяет ему молча выбирать сертификаты, которые должны использовать конкретные управляемые приложения. Эта функция также предоставляет его администрированию способности удалять CAS и идентификационные сертификаты с активных устройств. Эта функция не позволяет пользователям изменять учетные данные, хранящиеся в управляемом магазине ключей.
4.9.1. Для любого приложения, распределенного по устройствам, его администраторы могут указать сертификат, к которому приложение будет предоставлено, к которому будет предоставлена доступ во время выполнения.
- Выбор сертификата должен быть достаточно общим, чтобы разрешить одну конфигурацию, которая применяется ко всем пользователям, каждая из которых может иметь сертификат пользователя.
4.9.2. Это администраторы могут молча удалить сертификаты из управляемого магазина ключей.
4.9.3. Это администраторы могут молча удалить сертификат CA или все несистемные сертификаты CA.
4.9.4. ИТ -администраторы могут помешать пользователям настраивать учетные данные в управляемом хранилище ключей.
4.9.5. Администраторы могут предварительно получить сертификаты для приложений для работы.
4.10. Делегированное управление сертификатами
ИТ-администраторы могут распространять стороннее приложение по управлению сертификатами на устройства и предоставить этот привилегированный доступ к приложениям для установки сертификатов в управляемый магазин ключей.
4.10.1. ИТ -администраторы указывают пакет управления сертификатами, который будет установлен в качестве приложения для управления делегированным сертификатами DPC.
- Консоль может необязательно предложить известные пакеты управления сертификатами, но должны позволить ИТ -администратору выбирать из списка приложений, доступных для установки, для применимых пользователей.
4.11. Усовершенствованное управление VPN
Позволяет ИТ -администраторам указать всегда на VPN, чтобы гарантировать, что данные из указанных управляемых приложений всегда будут проходить настройку VPN.
4.11.1. Это администраторы могут указать произвольный пакет VPN , который будет установлен как всегда на VPN.
- Консоль EMM может при желании предложить известные пакеты VPN, которые всегда поддерживают в VPN, но не могут ограничить VPN, доступные для всегда на конфигурации в любом произвольном списке.
4.11.2. Он может использовать управляемые конфигурации, чтобы указать настройки VPN для приложения.
4.12. IME Management
Он может управлять тем, какие методы ввода (IME) могут быть настроены для устройств. Поскольку IME распространяется как по работе, так и на личных профилях, блокирование использования IME не позволит этим IME для личного использования. Это, однако, не могут не блокировать системные IME на профилях работы (перейдите в Advanced IME Management для получения более подробной информации).
4.12.1. Администраторы могут настроить IME Allistlist от произвольной длины (включая пустой список, который блокирует несистемные IMES), который может содержать любые произвольные пакеты IME.
- Консоль EMM может при желании предложить известные или рекомендованные IMES для включения в AlluctList, но должны позволить им администратора выбирать из списка приложений, доступных для установки, для применимых пользователей.
4.12.2. EMM должен сообщить им администратора, что системные IME исключены из управления на устройствах с профилями работы.
4.13. Advanced Ime Management
Он может управлять тем, какие методы ввода (IME) могут быть настроены для устройств. Advanced Ime Management расширяет основную функцию, позволяя ИТ -администраторам управлять ими, которые также обычно предоставляются производителем устройства или носителем устройства.
4.13.1. Администраторы могут настроить IME Allistlist от произвольной длины (за исключением пустого списка, который блокирует все IME, включая системные IME), которые могут содержать любые произвольные пакеты IME.
- Консоль EMM может при желании предложить известные или рекомендованные IMES для включения в AlluctList, но должны позволить им администратора выбирать из списка приложений, доступных для установки, для применимых пользователей.
4.13.2. EMM должны предотвратить настройку пустого списка Allucts, так как этот настройка будет блокировать все IME, включая системные IME, настраиваться на устройство.
4.13.3. EMM должны убедиться, что если IME AlluctList не содержит системных IME, сторонние IMEs молча устанавливаются до того, как на устройство будет применено alluctList.
4.14. Управление услугами доступности
ИТ -администраторы могут управлять тем, какие услуги доступности могут быть разрешены на устройствах пользователей. Хотя услуги доступности являются мощными инструментами для пользователей с ограниченными возможностями или тех, которые временно не могут полностью взаимодействовать со своим устройством, они могут взаимодействовать с корпоративными данными способами, которые не соответствуют корпоративной политике. Эта функция позволяет им администратора отключать любую услугу доступности, несистемных.
4.14.1. ИТ-администраторы могут настроить службу доступности AllistList от произвольной длины (включая пустой список, который блокирует несистемные службы доступности), который может содержать любой произвольный пакет услуг доступности. Применительно к рабочему профилю, это влияет как на личный профиль, так и на рабочую профиль.
- Консоль может необязательно предложить известные или рекомендуемые службы доступности для включения в AlluctList, но должны позволить им администратора выбирать из списка приложений, доступных для установки, для применимых пользователей.
4.15. Управление обменом местоположением
ИТ -администраторы могут помешать пользователям обмена данными местоположения с приложениями в рабочем профиле. В противном случае, настройка местоположения для профилей работы настраивается в настройках.
4.15.1. Это администраторы могут отключить услуги местоположения в рамках рабочего профиля.
4.16. Управление обменом расширенным местоположением
Администраторы могут обеспечить заданный настройку обмена местоположением на управляемом устройстве. Эта функция может гарантировать, что корпоративные приложения всегда имеют доступ к данным высокой точности. Эта функция также может гарантировать, что дополнительная батарея не используется путем ограничения настроек местоположения в режиме сохранения батареи.
4.16.1. Администраторы могут установить службы местоположения устройства на каждый из следующих режимов:
- Высокая точность.
- Только датчики, например, GPS, но не включая местное местоположение.
- Экономия батареи, которая ограничивает частоту обновления.
- Выключенный.
4.17. Управление защитой сброса завода
Позволяет ИТ-администратору защищать принадлежащие компании устройства от кражи, обеспечивая, чтобы несанкционированные пользователи не могут сбросить устройства сброса. Если защита от сброса заводов вводит оперативные сложности при возвращении устройств, его администраторы также могут полностью отключить защиту от сброса заводской.
4.17.1. Это администраторы могут помешать пользователям сбросить настройки настройки настройки.
4.17.2. ИТ -администраторы могут указать учетные записи корпоративного разблокировки, уполномоченные для предоставления устройств после сброса заводской фабрики.
- Эта учетная запись может быть привязана к человеку или используется всем предприятием для разблокировки устройств.
4.17.3. Администраторы могут отключить защиту от сброса заводской для указанных устройств.
4.17.4. Администраторы могут запустить удаленное устройство, которое необходимо протирать, необходимые для сброса данных, сбросившись , снимая, таким образом, снимая защиту от сброса на заводских сбросах на устройстве сброса.
4.18. Усовершенствованное управление приложениями
ИТ -администраторы могут помешать пользователю удалять или иным образом изменять управляемые приложения с помощью настройки, например, заставляя закрыть приложение или очистить кеш данных приложения.
4.18.1. Это администраторы могут блокировать удаление любых произвольных управляемых приложений или всех управляемых приложений .
4.18.2. ИТ -администраторы могут помешать пользователям изменять настройки данных приложения .
4.19. Управление захватом экрана
Администраторы могут блокировать пользователям снимать скриншоты при использовании управляемых приложений. Эта настройка включает в себя блокирующие приложения для обмена экранами и аналогичные приложения (такие как Google Assistant), которые используют возможности экрана системы.
4.19.1. Это администраторы могут помешать пользователям снимать скриншоты .
4.20. Отключить камеры
Администраторы могут отключить использование устройств -камер с помощью управляемых приложений.
4.20.1. Администраторы могут отключить использование устройств -камер с помощью управляемых приложений.
4.21. Сборная статистика сети
Это администраторы могут запросить статистику использования сети из рабочего профиля устройства. Собранная статистика отражает данные об использовании, общие с пользователями в разделе « Использование данных ». Собранная статистика применима к использованию приложений в рабочем профиле.
4.21.1. Администраторы могут запросить сводку статистики сети для рабочего профиля , для данного устройства и настраиваемого временного окна и просмотреть эти детали в консоли EMM.
4.21.2. Администраторы могут запросить сводку приложения в статистике сети рабочего профиля , для данного устройства и настраиваемого временного окна и просмотреть эти детали, организованные UID в консоли EMM.
4.21.3. Администраторы могут запросить сеть рабочего профиля использовать исторические данные для данного устройства и настраиваемого временного окна и просмотреть эти детали, организованные UID в консоли EMM.
4.22. Сбор расширенных статистики сети
Это администраторы могут запросить статистику использования сети для всего управляемого устройства. Собранная статистика отражает данные использования данных, используемых пользователями в разделе «Использование данных ». Собранная статистика применима к использованию приложений на устройстве.
4.22.1. Администраторы могут запросить сводку статистики сети для всего устройства , для данного устройства и настраиваемого временного окна и просмотреть эти детали в консоли EMM.
4.22.2. Администраторы могут запросить сводную информацию о статистике сети приложений , для данного устройства и настраиваемого временного окна и просмотреть эти детали, организованные UID в консоли EMM.
4.22.3. Администраторы могут запросить сеть Использовать исторические данные для данного устройства и настраиваемого временного окна и просмотреть эти детали, организованные UID в консоли EMM.
4.23. Перезагрузить устройство
Администраторы могут удаленно перезагрузить управляемые устройства.
4.23.1. Это администраторы могут удаленно перезагрузить управляемое устройство.
4.24. Системное радио управление
Позволяет ему администратора по административным управлению по сравнению с системными сетевыми радиоприемниками и соответствующими политиками использования.
4.24.1. Администраторы могут отключать клеточные трансляции , отправленные поставщиками услуг (например, AMBER Alerts).
4.24.2. ИТ -администраторы могут помешать пользователям изменять настройки мобильной сети в настройках .
4.24.3. Это администраторы могут помешать пользователям сбросить настройки сети в настройках .
4.24.4. Администраторы могут разрешать или запретить мобильные данные во время роуминга .
4.24.5. Это администраторы могут настроить, может ли устройство выполнять отключенные телефонные звонки , за исключением экстренных звонков.
4.24.6. Он может настроить, может ли устройство отправлять и получать текстовые сообщения .
4.24.7. Это администраторы могут помешать пользователям использовать свое устройство в качестве портативной точки доступа, привязываясь .
4.24.8. Администраторы могут установить тайм-аут Wi-Fi по умолчанию , только во время подключения или никогда .
4.24.9. Это администраторы могут помешать пользователям настраивать или изменять существующие Bluetooth -соединения .
4.25. Системное управление звуком
ИТ -администраторы могут молча управлять аудио функциями устройства, включая приглушение устройства, предотвращение изменения настройки громкости и предотвращение того, чтобы пользователи не удавали микрофон устройства.
4.25.1. Это администраторы могут молча отключить управляемые устройства .
4.25.2. Это администраторы могут помешать пользователям изменять настройки громкости устройства .
4.25.3. Это администраторы могут помешать пользователям не удалять микрофон устройства .
4.26. Управление системными часами
ИТ -администраторы могут управлять настройками часов и часового пояса и не позволяют пользователям изменять автоматические настройки устройства.
4.26.1. Администраторы могут обеспечить автоматическое время системы , не давая пользователю установить дату и время устройства.
4.26.2. Администраторы могут молча выключаться или на автозатреле Auto и Auto Timezone .
4.27. Расширенные специальные функции устройства
Предоставляет администратору возможности управлять более детальными функциями выделенного устройства для поддержки различных вариантов использования киоска.
4.27.1. Это администраторы могут отключить ключевой квадрат устройства .
4.27.2. Администраторы могут отключить строку состояния устройства , блокировать уведомления и быстрые настройки.
4.27.3. Администраторы могут заставить экран устройства оставаться включенным , пока устройство подключено.
4.27.4. Это администраторы могут предотвратить отображение следующей системной интерфейсы :
- тосты
- Прикладные наложения.
4.27.5. Это администраторы могут позволить системной рекомендации для приложений пропустить уроки пользователя и другие вступительные подсказки на первое запуск.
4.28. Делегированное управление области
Это администраторы могут делегировать дополнительные привилегии в отдельные пакеты.
4.28.1. Администраторы могут управлять следующими областями:
- Установка и управление сертификатом
- Намеренно пустой
- Сетевая регистрация
- Регистрация безопасности (не поддерживается для рабочего профиля на лично принадлежащем устройству)
4.29. Специфичная для регистрации поддержка ID
Начиная с Android 12, профили работы больше не будут иметь доступа к идентификаторам, специфичным для оборудования. Это администраторы могут следовать жизненному циклу устройства с рабочим профилем через идентификатор, специфичный для регистрации, который будет сохраняться посредством сброса фабрики.
4.29.1. Администраторы могут установить и получить идентификатор, специфичный для регистрации
4.29.2. Этот идентификатор, специфичный для участия
5. Устройство удобства использования
5.1. Управляемая настройка настройки
Администраторы могут изменить поток по умолчанию UX, чтобы включить функции предприятия. Необязательно, это администраторы могут отображать брендинг EMM во время обеспечения.
5.1.1. ИТ-администраторы могут настроить процесс обеспечения, указав следующие детали для предприятия: Цвет предприятия , логотип предприятия , корпоративные условия обслуживания и другие отказы от ответственности .
5.1.2. ИТ-администраторы могут развернуть неконфигурируемую, специальную настройку EMM, которая включает в себя следующие детали: EMM Color , логотип EMM , Условия обслуживания EMM и другие отказы от ответственности .
5.1.3 [ primaryColor ] был устарел для корпоративного ресурса на Android 10 и выше.
- EMM должны включать в себя условия обслуживания и другие отказы от ответственности за их поток обеспечения в системе, предоставляющий отказ от ответственности, даже если настройка EMM-специфическая настройка не используется.
- EMM могут установить свою неконфигурируемую, специфическую для EMM настройку в качестве по умолчанию для всех развертываний, но должны позволить им администратора настроить свою собственную настройку.
5.2. Настройка предприятия
Администраторы могут настроить аспекты рабочего профиля с корпоративным брендингом. Например, его администраторы могут установить значок пользователя в рабочем профиле в корпоративный логотип. Другим примером является настройка цвета фона рабочей задачи.
5.2.1. Это администраторы могут установить цвет организации , который будет использоваться в качестве фонового цвета работы.
5.2.2. Это администраторы могут установить отображающее имя рабочего профиля .
5.2.3. Администраторы могут установить значок пользователя рабочего профиля .
5.2.4. Это администраторы могут помешать пользователю изменить значок пользователя рабочего профиля .
5.3. Усовершенствованная настройка предприятия
Администраторы могут настроить управляемые устройства с корпоративным брендинг. Например, его администраторы могут установить значок основного пользователя в корпоративный логотип или установить обои устройства.
5.3.1. Администраторы могут установить имя отображения для управляемого устройства .
5.3.2. Администраторы могут установить значок пользователя управляемого устройства .
5.3.3. Это администраторы могут помешать пользователю изменять значок пользователя устройства .
5.3.4. Это администраторы могут установить обои устройства .
5.3.5. Это администраторы могут помешать пользователю изменять обои устройства .
5.4. Заблокируйте сообщения экрана
Администраторы могут установить пользовательское сообщение, которое всегда отображается на экране блокировки устройства, и не требует просмотра устройства.
5.4.1. Это администраторы могут установить пользовательское сообщение экрана блокировки .
5.5. Управление прозрачностью политики
Он может настроить текст справки, предоставляемый пользователям, когда они изменяют управляемые настройки на своем устройстве, или развернуть общее сообщение о поддержке EMM. Как короткие, так и длинные сообщения поддержки могут быть настроены. Эти сообщения отображаются в таких случаях, как попытка удалить управляемое приложение, для которого ИТ -администратор уже заблокировал удаление.
5.5.1. Это администраторы настраивают как короткие , так и длинные поддержки.
5.5.2. ИТ-администраторы могут развернуть неконфигурируемые, специфичные для EMM короткие и длинные поддержки.
- EMM может установить свои неконфигурируемые, EMM-специфические сообщения поддержки в качестве по умолчанию для всех развертываний, но должны позволить им администратора настраивать свои собственные сообщения.
5.6. Поперечное управление контактами
Это администраторы могут контролировать, какие контактные данные могут покинуть рабочий профиль. Приложения для телефона и обмена сообщениями (SMS) должны работать в личном профиле и требовать доступа к контактным данным профиля рабочего профиля, чтобы обеспечить эффективность для рабочих контактов, но администраторы могут отключить эти функции для защиты рабочих данных.
5.6.1. Администраторы могут отключить перекрестный поиск контактов для персональных приложений, которые используют поставщика системных контактов.
5.6.2. Администраторы могут отключить перекрестный идентификатор вызывающего абонента для персональных приложений для номеровых приложений, которые используют поставщика системных контактов.
5.6.3. Это администраторы могут отключить обмен контактами Bluetooth с устройствами Bluetooth , которые используют поставщика системных контактов, например, звонки без рук в автомобилях или гарнитурах.
5.7. Поперечное управление данными
Предоставляет управление его администрацией по поводу того, какие данные могут покинуть рабочий профиль, помимо функций безопасности по умолчанию рабочего профиля. С помощью этой функции администраторы могут разрешить выбранные типы перекрестного обмена данными для улучшения удобства использования в вариантах использования ключей. Он также может дополнительно защитить корпоративные данные с помощью большего количества блокировки.
5.7.1. ИТ-администраторы могут настроить межпрофильные фильтры намерения , чтобы личные приложения могли разрешить намерение из рабочего профиля, таких как обмен намерениями или веб-ссылками.
- Консоль может предположить известные или рекомендуемые фильтры намерения для настройки, но не может ограничить намерения фильтров в любом произвольном списке.
5.7.2. Администраторы могут разрешать управляемые приложения, которые могут отображать виджеты на Homestreen.
- Консоль EMM должна предоставить ему администратора возможность выбирать из списка приложений, которые доступны для установки для применимых пользователей.
5.7.3. Администраторы могут блокировать использование копирования/вставки между работой и личными профилями .
5.7.4. Администраторы могут блокировать пользователей от обмена данными из рабочего профиля с помощью BEAM NFC .
5.7.5. Администраторы могут разрешить личные приложения открывать веб -ссылки из рабочего профиля .
5.8. Политика обновления системы
Это администраторы могут настроить и применять обновления системы в эфире (OTA) для устройств.
5.8.1. Консоль EMM позволяет ему администратора устанавливать следующие конфигурации OTA:
- Автоматическое: устройства устанавливают обновления OTA, когда они становятся доступными.
- Отложение: это администраторы должны быть в состоянии отложить обновление OTA на срок до 30 дней. Эта политика не влияет на обновления безопасности (например, ежемесячные исправления безопасности).
- Windowed: Это администраторы должны иметь возможность планировать обновления OTA в рамках ежедневного окна технического обслуживания.
5.8.2. DPC EMM применяет конфигурации OTA на устройства.
5.9. Управление режимом задачи блокировки
Это администраторы могут заблокировать приложение или набор приложений на экране и гарантировать, что пользователи не могут выйти из приложения.
5.9.1. Консоль EMM позволяет ему молча разрешать произвольный набор приложений для установки и блокировки на устройство. DPC EMM допускает выделенный режим устройства.
5.10. Постоянное управление деятельностью
Позволяет ему администратора установить приложение в качестве обработчика намерений по умолчанию для намерений, которые соответствуют определенным намеренным фильтру. Например, позволяя им администратора выбирать, какое приложение браузера автоматически открывает веб -ссылки или какое приложение запуска используется при нажатии на кнопку «Домой».
5.10.1. Администраторы могут установить любой пакет в качестве обработчика намерения по умолчанию для любого произвольного фильтра намерения.
- Консоль EMM может при желании предложить известные или рекомендованные намерения для конфигурации, но не может ограничить намерения любого произвольного списка.
- Консоль EMM должна позволить ИТ -администраторам выбирать из списка приложений, которые доступны для установки для применимых пользователей.
5.11. Управление функциями Keyguard
- отпечатки траста отпечатка пальца
- Неотредактированные
- уведомления
5.11.2. DPC EMM может отключить следующие функции Keyguard в рабочем профиле:
- Trust Agents
- Отпечаток пальцев разблокировки
5.12. Advanced Keyguard управление функциями
- Secure camera
- All notifications
- Unredacted notifications
- Trust agents
- Fingerprint unlock
- All keyguard features
5.13. Remote debugging
IT admins can retrieve debugging resources from devices without requiring extra steps.
5.13.1. IT admins can remotely request bug reports , view bug reports from the EMM's console, and download bug reports from the EMM's console.
5.14. MAC address retrieval
EMMs can silently fetch a device's MAC address. The MAC address can be used to identify devices in other parts of the enterprise infrastructure (for example when identifying devices for network access control).
5.14.1. The EMM can silently retrieve a device's MAC address and can associate it with the device in the EMM's console.
5.15. Advanced lock task mode management
When a device is set up as a dedicated device, IT admins can use the EMM's console to perform the following tasks:
5.15.1. Silently allow a single app to lock to a device using the EMM's DPC .
5.15.2. Turn on or turn off the following System UI features using the EMM's DPC :
- Home button
- Обзор
- Global actions
- Уведомления
- System info / Status bar
- Keyguard (lock screen)
5.15.3. Turn off System Error dialogs using the EMM's DPC .
5.16. Advanced system update policy
IT admins can block system updates on a device for a specified freeze period.
5.16.1. The EMM's DPC can apply over-the-air (OTA) system updates to devices for a specified freeze period.
5.17. Work profile policy transparency management
IT admins can customize the message displayed to users when removing the work profile from a device.
5.17.1. IT admins can provide custom text to display when a work profile is wiped.
5.18. Connected app support
IT admins can set a list of packages that can communicate across the work profile boundary.
5.19. Manual System Updates
IT admins can manually install a system update by providing a path.
6. Device Admin Deprecation
6.1. Device Admin Deprecation
EMMs are required to post a plan by the end of 2022 ending customer support for Device Admin on GMS devices by the end of Q1 2023.
7. API usage
7.1. Standard policy controller for new bindings
By default devices must be managed using Android Device Policy for any new bindings. EMMs may provide the option to manage devices using a custom DPC in a settings area under a heading 'Advanced' or similar terminology. New customers must not be exposed to an arbitrary choice between technology stacks during any onboarding or setup workflows.
7.2. Standard policy controller for new devices
By default devices must be managed using Android Device Policy for all new device enrollments, for both existing and new bindings. EMMs may provide the option to manage devices using a custom DPC in a settings area under a heading 'Advanced' or similar terminology.