Auf dieser Seite werden alle Android Enterprise-Funktionen aufgeführt.
Wenn Sie mehr als 500 Geräte verwalten möchten, muss Ihre EMM-Lösung dies unterstützen. alle Standardfunktionen () von mindestens einem Lösungssatz festgelegt, bevor er kommerziell verfügbar gemacht werden kann. EMM-Lösungen, die die die Standardfunktionsprüfung bestehen, sind in der Android-Hilfe für Enterprise Solutions Verzeichnis Standardverwaltungsgruppe.
Für jede Lösungssammlung sind zusätzliche erweiterte Funktionen verfügbar. Diese sind auf jeder Seite des Lösungssatzes aufgeführt: Arbeitsprofil , vollständig verwaltetes Gerät und dediziertes Gerät. EMM-Lösungen, die die Überprüfung der erweiterten Funktionen bestehen, werden in der Unternehmenslösungsverzeichnis als erweiterte Verwaltung.
Schlüssel
| -Standard Funktion | (erweitert) Funktion | optionale Funktion | nicht zutreffend |
1. Gerätebereitstellung
1.1. Bereitstellung von DPC-First-Arbeitsprofilen
Sie können ein Arbeitsprofil bereitstellen, nachdem Sie den DPC des EMM von Google Play
1.1.1. Der DPC des EMM muss bei Google Play öffentlich verfügbar sein, damit Nutzer Installieren Sie den DPC auf der privaten Seite des Geräts.
1.1.2. Nach der Installation muss der DPC den Nutzer durch den Prozess führen, Bereitstellung eines Arbeitsprofils.
1.1.3. Nach der Bereitstellung kann keine Verwaltungspräsenz mehr auf dem die persönliche Seite des Geräts.
- Alle während der Bereitstellung eingerichteten Richtlinien müssen entfernt werden.
- Die App-Berechtigungen müssen widerrufen werden.
- Der DPC des EMM muss mindestens auf der persönlichen Seite des .
1.2. Bereitstellung von DPC-Kennungen für Geräte
IT-Administratoren können ein vollständig verwaltetes oder dediziertes Gerät über einen DPC bereitstellen Kennung ("afw#") gemäß den Implementierungsrichtlinien unter in der Entwicklerdokumentation für die Play EMM API
1.2.1. Der DPC des EMM muss öffentlich bei Google Play verfügbar sein. Der DPC muss kann über den Geräteeinrichtungsassistenten durch Eingabe einer DPC-spezifischen Kennung installiert werden.
1.2.2. Nach der Installation muss der DPC des EMM den Nutzer durch den Prozess führen die Bereitstellung eines vollständig verwalteten oder dedizierten Geräts.
1.3. NFC-Gerätebereitstellung
Mit NFC-Tags können IT-Administratoren neue oder auf den Werkszustand zurückgesetzte Geräte bereitstellen. entsprechend der Implementierung die in den Entwicklerdokumentation für die EMM API von Google Play
1.3.1. EMMs müssen NFC-Forumstyp-2-Tags mit mindestens 888 Byte des Arbeitsspeichers verwenden. Bei der Bereitstellung müssen Bereitstellungsextras verwendet werden, um eine nicht vertrauliche Registrierung zu übergeben wie Server-IDs und Registrierungs-IDs für ein Gerät. Registrierungsdetails sollte keine vertraulichen Informationen wie Passwörter oder Zertifikate enthalten.
1.3.2. Nachdem sich der DPC der EMM als Geräteeigentümer festgelegt hat, muss er sich sofort öffnen und sich auf dem Display sperren, bis das Gerät vollständig bereitgestellt ist. 1.3.3. Wir empfehlen die Verwendung von NFC-Tags ab Android 10 aufgrund der Einstellung von NFC Beam (auch bekannt als NFC Bump).
1.4 Bereitstellung von QR-Code-Geräten
IT-Administratoren können ein neues oder auf die Werkseinstellungen zurückgesetztes Gerät verwenden, um einen von der EMM-Konsole generierten QR-Code zu scannen und das Gerät gemäß den Implementierungsrichtlinien in der Entwicklerdokumentation der Play EMM API zu provisionieren.
1.4.1. Der QR-Code muss die Bereitstellung von Extras verwenden, um nicht vertrauliche Informationen zu übergeben wie Server-IDs und Registrierungs-IDs für ein Gerät. Registrierung dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate.
1.4.2. Nachdem der DPC des EMM das Gerät eingerichtet hat, muss der DPC geöffnet werden und sperren sich so lange auf dem Bildschirm, bis das Gerät vollständig bereitgestellt ist.
1.5 Zero-Touch-Registrierung
IT-Administratoren können Geräte, die bei autorisierten Resellern gekauft wurden, vorkonfigurieren und verwalten. über die EMM-Konsole.
1.5.1. IT-Administratoren können unternehmenseigene Geräte mit der Zero-Touch-Registrierung bereitstellen. Registrierungsmethode, die unter Zero-Touch-Registrierung für IT-Administratoren beschrieben wird.
1.5.2. Beim ersten Einschalten eines Geräts wird automatisch Folgendes erzwungen: die vom IT-Administrator festgelegten Einstellungen.
1.6 Erweiterte Zero-Touch-Bereitstellung
IT-Administratoren können einen Großteil des Geräteregistrierungsprozesses automatisieren, indem sie DPC-Registrierungsdetails über die Zero-Touch-Registrierung bereitstellen. Der DPC des EMM unterstützt die Registrierung auf bestimmte Konten oder Domains zu beschränken, Konfigurationsoptionen des EMM-Anbieters.
1.6.1. IT-Administratoren können unternehmenseigene Geräte mit der Zero-Touch-Registrierung bereitstellen. Zero-Touch-Registrierung für IT-Administratoren beschrieben.
1.6.2. Nachdem der DPC des EMM das Gerät eingerichtet hat, muss der DPC des EMM sofort geöffnet und sich selbst am Bildschirm fixieren, bis das Gerät vollständig bereitgestellt.
- Bei Geräten mit Zero-Touch-Registrierung wird auf diese Anforderung verzichtet um sich lautlos einzurichten (z. B. in Bereitstellung zweckbestimmter Geräte)
1.6.3. Mithilfe der Registrierungsdetails muss der DPC des EMM-Anbieters sicherstellen, Unbefugte Nutzer können die Aktivierung nicht fortsetzen, nachdem der DPC aufgerufen wurde. Bei muss die Aktivierung auf die Nutzer des jeweiligen Unternehmens beschränkt sein.
1.6.4. Mithilfe der Registrierungsdetails muss der DPC des EMM es ermöglichen, IT-Administratoren, die Registrierungsdetails vorausfüllen (z. B. Server-IDs, Registrierungs-IDs) abgesehen von Informationen zu einzelnen Nutzern oder Geräten (z. B. Nutzername/Passwort, Aktivierungstoken), damit Nutzer keine Details eingeben müssen. wenn ein Gerät aktiviert wird.
- EMM-Anbieter dürfen keine vertraulichen Informationen wie Passwörter oder Zertifikate finden Sie in der Konfiguration der Zero-Touch-Registrierung.
1.7 Arbeitsprofil für Google-Konten bereitstellen
Für Unternehmen, die eine verwaltete Google-Domain verwenden: Diese Funktion führt Nutzer durch die Einrichtung eines Arbeitsprofils, nachdem sie ihre geschäftlichen Workspace-Anmeldedaten bei der Geräteeinrichtung oder auf einem Gerät, bereits aktiviert. In beiden Fällen wird die Workspace-Identität des Unternehmens in das Arbeitsprofil migriert.
1.7.1. Bei der Bereitstellungsmethode für ein Google-Konto wird ein Arbeitsprofil bereitgestellt. gemäß der definierten Implementierung Richtlinien .
1.8. Gerätebereitstellung über das Google-Konto
In Unternehmen, die Workspace verwenden, werden Nutzer mit dieser Funktion durch die Installation des DPC ihres EMM-Anbieters nach dem Aufrufen des Arbeitsbereichs des Unternehmens Anmeldedaten zu verwenden. Nach der Installation schließt der DPC die Einrichtung eines unternehmenseigenen Geräts.
1.8.1. Bei der Bereitstellungsmethode für ein Google-Konto wird ein unternehmenseigenes Gerät bereitgestellt, gemäß der definierten Implementierung Richtlinien .
1.8.2. Sofern der EMM-Anbieter das Gerät nicht eindeutig als Unternehmen identifizieren kann kann ein Gerät nicht ohne Nachfrage während des Bereitstellungsprozess. Diese Aufforderung muss eine nicht standardmäßige Aktion ausführen, z. B. ein Kästchen anklicken oder eine nicht standardmäßige Menüauswahl auswählen. Empfehlung kann das EMM das Gerät als Unternehmenselement identifizieren, keine Aufforderung erforderlich.
1.9 Direkte Zero-Touch-Konfiguration
IT-Administratoren können die EMM-Konsole verwenden, um Zero-Touch-Geräte mit dem Zero-Touch-iFrame einzurichten.
1:10. Arbeitsprofile auf unternehmenseigenen Geräten
EMM-Anbieter können unternehmenseigene Geräte mit Arbeitsprofil registrieren.
1.10.1. Absichtlich leer
1.10.2. IT-Administratoren können Compliance-Aktionen für Arbeitsprofile im Unternehmen festlegen Geräte.
1.10.3. IT-Administratoren können die Kamera entweder im Arbeitsprofil oder im auf dem gesamten Gerät.
1.10.4. IT-Administratoren können die Bildschirmaufnahme im Arbeitsprofil oder in einem auf dem gesamten Gerät.
1.10.5. IT-Administratoren können eine Zulassungs- oder Sperrliste für Anwendungen festlegen, kann im privaten Profil nicht installiert werden.
1.10.6. IT-Administratoren können die Verwaltung eines unternehmenseigenen Geräts aufgeben, indem sie oder das gesamte Gerät auf Werkseinstellungen zurücksetzen.
1.11. Bereitstellung dedizierter Geräte
Absichtlich leer
2. Gerätesicherheit
2.1. Sicherheitsherausforderung des Geräts
IT-Administratoren können die Identitätsbestätigung für Geräte (PIN/Muster/Passwort) festlegen und erzwingen auf verwalteten Geräten aus einer Auswahl von drei Komplexitätsstufen.
2.1.1. Die Richtlinie muss Einstellungen zur Verwaltung von Identitätsbestätigungen für die Gerätesicherheit erzwingen (parentProfilePasswordrequirements für das Arbeitsprofil, passwordrequirements für vollständig verwalteten und zweckbestimmten Geräten).
2.1.2. Die Passwortkomplexität muss den folgenden Komplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW – Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen
- PASSWORD_COMPLEXITY_MEDIUM - PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen Alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4 Zeichen
- PASSWORD_COMPLEXITY_HIGH - PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und eine 8 oder alphanumerische oder alphanumerische Passwörter mit einer Länge von mindestens mindestens 6
2.2. Herausforderung für die Sicherheit bei der Arbeit
IT-Administratoren können Sicherheitsherausforderungen für Apps und Daten bei der Arbeit festlegen und erzwingen Profil, das separat ist und andere Anforderungen als die Gerätesicherheit hat Herausforderung (2.1).
2.2.1. Die Richtlinie muss die Sicherheitsherausforderung für das Arbeitsprofil erzwingen. Standardmäßig sollten IT-Administratoren Einschränkungen nur für das Arbeitsprofil festlegen, wenn kein Umfang angegeben ist. Sie können diese geräteweit festlegen, indem Sie den Umfang angeben (siehe Anforderung 2.1).
2.1.2. Die Passwortkomplexität sollte folgenden Komplexitäten entsprechen:
- PASSWORD_COMPLEXITY_LOW – Muster oder PIN mit sich wiederholenden (4444) oder geordneten (1234, 4321, 2468) Sequenzen
- PASSWORD_COMPLEXITY_MEDIUM - PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen Alphabetisches oder alphanumerisches Passwort mit einer Länge von mindestens 4 Zeichen
- PASSWORD_COMPLEXITY_HIGH - PIN ohne sich wiederholende (4444) oder geordnete (1234, 4321, 2468) Sequenzen und eine 8 oder alphanumerische oder alphanumerische Passwörter mit einer Länge von mindestens mindestens 6
2.3. Erweiterte Sicherheitscodeverwaltung
2.3.1. Absichtlich leer.
2.3.2. Absichtlich leer
2.3.3. Die folgenden Einstellungen für den Passwortlebenszyklus können für jeden Sperrbildschirm festgelegt werden auf einem Gerät verfügbar:
- Absichtlich leer
- Absichtlich leer
- Maximale Anzahl fehlgeschlagener Passwörter zum Löschen der Gerätedaten : Gibt an, wie oft Nutzer ein falsches Passwort eingeben können, bevor werden Unternehmensdaten vom Gerät gelöscht. IT-Administratoren müssen die Möglichkeit haben, für diese Funktion.
2.4 Smart Lock-Verwaltung
IT-Administratoren können in Smart Lock von Android festlegen, welche Trust Agents verwaltet werden. dürfen Geräte entsperren. IT-Administratoren können bestimmte Entsperrungen deaktivieren vertrauenswürdigen Bluetooth-Geräten, Gesichtserkennung und Spracherkennung, oder die Funktion ganz deaktivieren.
2.4.1. IT-Administratoren können Smart Lock-Trust Agents deaktivieren. für jeden auf dem Gerät verfügbaren Sperrbildschirm.
2.4.2. IT-Administratoren können Smart Lock Trusts selektiv zulassen und einrichten. Kundenservicemitarbeiter , unabhängig für jeden auf dem Gerät verfügbaren Sperrbildschirm, für Folgendes: Trust Agents: Bluetooth, NFC, Places, Gesicht, Trage- und Spracheingabe
- IT-Administratoren können die verfügbaren Trust Agent-Konfigurationsparameter.
2.5 Löschen und sperren
IT-Administratoren können über die EMM-Konsole Unternehmensdaten aus der Ferne sperren und löschen verwaltete Geräte.
2.5.1. Die EMM DPC muss Geräte sperren.
2.5.2. Der DPC des EMM muss die Geräte auf die Werkseinstellungen zurücksetzen.
2.6 Compliance erzwingen
Verstößt ein Gerät gegen die Sicherheitsrichtlinien, werden die Unternehmensdaten automatisch eingeschränkt.
2.6.1. Die auf einem Gerät erzwungenen Sicherheitsrichtlinien müssen mindestens Folgendes enthalten: Passwortrichtlinie.
2.7 Standardsicherheitsrichtlinien
EMMs müssen die angegebenen Sicherheitsrichtlinien standardmäßig auf Geräten erzwingen. ohne dass IT-Administratoren Einstellungen im EMM-Dienst einrichten oder anpassen müssen. . EMM-Anbietern wird empfohlen (aber nicht erforderlich), es IT-Administratoren nicht zu erlauben, Änderungen vorzunehmen. für diese Sicherheitsfunktionen.
2.7.1. Der DPC von EMM muss die Installation von Apps aus unbekannten Quellen blockieren, einschließlich privater Apps von beliebigen Gerät mit Android 8.0 oder höher und Arbeitsprofil
2.7.2. Die EMM DPC müssen Debugging-Funktionen blockieren.
2.8 Sicherheitsrichtlinien für spezielle Geräte
Zweckbestimmte Geräte werden ohne Escapezeichen gesperrt, um andere Aktionen zuzulassen.
2.8.1. Der DPC des EMM muss das Starten im abgesicherten Modus standardmäßig deaktivieren.
2.8.2. Der DPC des EMM muss sofort geöffnet und gesperrt werden, wenn beim ersten Start während der Bereitstellung, um eine Interaktion mit dem Gerät zu vermeiden irgendetwas anderes tun.
2.8.3. Der DPC des EMM muss als Standard-Launcher festgelegt werden, damit er zulässig ist Apps werden beim Starten gemäß der definierten Implementierung .
2.9 Play Integrity-Support
Der EMM-Anbieter verwendet die Play Integrity API. um sicherzustellen, dass es sich bei den Geräten um gültige Android-Geräte handelt.
2.9.1. Der DPC des EMM implementiert die Play Integrity API während und schließt standardmäßig nur die Bereitstellung des Geräts mit Unternehmensdaten, wenn als Geräteintegrität MEETS_STRONG_INTEGRITY zurückgegeben wird .
2.9.2. Der DPC des EMM führt jedes Mal eine weitere Play-Integritätsprüfung durch, wenn ein Das Gerät meldet sich beim Server des EMM-Anbieters an. Dies kann vom IT-Administrator konfiguriert werden. EMM die APK-Informationen in der Antwort zur Integritätsprüfung und die vor der Aktualisierung der Unternehmensrichtlinie auf dem Gerät.
2.9.3. IT-Administratoren können je nach Ergebnis der Play Integrity-Prüfung unterschiedliche Richtlinienantworten einrichten, z. B. die Bereitstellung blockieren, Unternehmensdaten löschen und die Registrierung zulassen.
- Der EMM-Dienst erzwingt diese Richtlinienantwort für das Ergebnis jeder Integritätsprüfung.
2.9.4. Wenn die erste Play Integrity-Prüfung fehlschlägt oder ein Ergebnis zurückgibt, nicht die starke Integrität erfüllen, wenn der DPC des EMM noch nicht aufgerufen hat ensureWorkingEnvironment muss er dies tun und die Prüfung wiederholen, bevor die Bereitstellung abgeschlossen ist.
2:10. Erzwingung von "Apps überprüfen"
IT-Administratoren können Apps überprüfen auf Geräten aktivieren. Bei der Einstellung „Apps überprüfen“ werden auf Android-Geräten installierte Apps auf schädliche Inhalte geprüft der Software vor und nach der Installation. So wird sichergestellt, Apps dürfen Unternehmensdaten nicht gefährden.
2.10.1. Die DPC der EMM muss die App-Überprüfung standardmäßig aktivieren.
2:11 Direct Boot-Unterstützung
Auf Geräten mit Android 7.0 oder höher können Apps erst ausgeführt werden, nachdem das Gerät entsperrt wurde. Durch die Unterstützung von Direct Boot ist der DPC des EMM immer aktiv und kann Richtlinien auch dann erzwingen, wenn das Gerät nicht entsperrt wurde.
2.11.1. Der DPC des EMM nutzt geräteverschlüsselten Speicher, bevor der Anmeldedaten-verschlüsselte Speicher des DPCs entschlüsselt werden. Zu den Verwaltungsfunktionen, die während des direkten Starts verfügbar sein müssen, gehören unter anderem:
- Löschen von Unternehmensdaten, einschließlich der Möglichkeit, Daten zum Schutz für zurückgesetzte Geräte löschen als angemessen sein.
2.11.2. Der DPC des EMM darf keine Unternehmensdaten im verschlüsselten Gerätespeicher offenlegen.
2.11.3. EMM-Anbieter können ein Token festlegen und aktivieren, um die Option Ich habe mein Passwort vergessen zu aktivieren. auf dem Sperrbildschirm des Arbeitsprofils. Mit dieser Schaltfläche können Sie Die IT-Administratoren setzen das Passwort für das Arbeitsprofil sicher zurück.
2:12 Verwaltung der Hardwaresicherheit
IT-Administratoren können Hardwareelemente eines unternehmenseigenen Geräts sperren, um Datenverluste zu verhindern.
2.12.1. IT-Administratoren können Nutzer daran hindern, physische externe Medien auf ihrem Gerät bereitzustellen.
2.12.2. IT-Administratoren können verhindern, dass Nutzer Daten über NFC-Beam von ihrem Gerät freigeben. Diese Unterfunktion ist optional, da die NFC-Beam-Funktion unter Android 10 und höher nicht mehr unterstützt wird.
2.12.3. IT-Administratoren können Nutzer daran hindern, Dateien zu übertragen. USB-Kabel von ihrem Gerät aus.
2:13 Sicherheits-Logging für Unternehmen
IT-Administratoren können Nutzungsdaten von Geräten erfassen, die geparst und programmatisch auf bösartiges oder riskantes Verhalten geprüft werden. Protokollierte Aktivitäten ADB-Aktivitäten (Android Debug Bridge), App-Starts und Bildschirmentsperrungen enthalten.
2.13.1. IT-Administratoren können das Sicherheits-Logging aktivieren. für bestimmte Geräte und der DPC des EMM muss in der Lage sein, sowohl Sicherheit Protokolle und Sicherheitsprotokolle vor dem Neustart.
2.13.2. IT-Administratoren können Sicherheitsprotokolle des Unternehmens überprüfen. für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster in der EMM-Konsole.
2.13.3. IT-Administratoren können Sicherheitsprotokolle für Unternehmen über die EMM-Konsole exportieren.
3. Konto- und App-Verwaltung
3.1. Unternehmensbindung
IT-Administratoren können den EMM an ihre Organisation binden, damit der EMM Apps über Managed Google Play auf Geräten bereitstellen kann.
3.1.1. Ein Administrator mit einer vorhandenen verwalteten Google-Domain kann seine Domain an den EMM binden.
3.1.2. Die EMM-Konsole muss im Hintergrund eine eindeutige ESA für jedes Unternehmen.
3.1.3. Melden Sie ein Unternehmen mithilfe der Play EMM API ab.
3.1.4. In der EMM-Konsole wird der Administrator aufgefordert, seine geschäftliche E-Mail-Adresse in den Android-Registrierungsvorgang einzugeben. Die Verwendung eines Gmail-Kontos wird nicht empfohlen.
3.1.5. Die EMM-Konsole füllt die E-Mail-Adresse des Administrators im Android-Registrierungsprozess vorab aus.
3.2. Bereitstellung von Managed Google Play-Konten
Der EMM kann Unternehmensnutzerkonten im Hintergrund bereitstellen. Managed Google Play-Konten. Diese Konten identifizieren verwaltete Nutzer und ermöglichen individuelle App-Bereitstellungsregeln pro Nutzer.
3.2.1. Über den DPC des EMM kann ein Managed Google Play im Hintergrund bereitgestellt und aktiviert werden. müssen Sie die Implementierungsrichtlinien einhalten. Dabei geschieht Folgendes:
- Ein Managed Google Play-Konto vom Typ
userAccountwird hinzugefügt . - Das Managed Google Play-Konto vom Typ „
userAccount“ muss eine 1:1-Beziehung haben die Zuordnung zu tatsächlichen Nutzern in der EMM-Konsole vornehmen.
3.3 Bereitstellung von Managed Google Play-Gerätekonten
Der EMM kann Managed Google Play-Gerätekonten erstellen und bereitstellen. . Gerätekonten unterstützen die unbeaufsichtigte Installation von Apps aus Managed Google Play. speichern und nicht an einen einzelnen Nutzer gebunden sind. Stattdessen wird ein Gerätekonto verwendet, Ein einzelnes Gerät identifizieren, um die Regeln für die App-Bereitstellung pro Gerät zu unterstützen Szenarien für dedizierte Geräte.
3.3.1. Der DPC der EMM kann ein verwaltetes Google Play-Konto gemäß den definierten Implementierungsrichtlinien automatisch bereitstellen und aktivieren.
Dazu muss ein Managed Google Play-Konto vom Typ deviceAccount hinzugefügt werden
auf das Gerät übertragen.
3.4. Bereitstellung von Managed Google Play-Konten für ältere Geräte
Der EMM kann Unternehmensnutzerkonten, sogenannte verwaltete Google-Konten, automatisch bereitstellen. Google Play-Konten. Diese Konten identifizieren verwaltete Nutzer und ermöglichen eindeutige Regeln für die App-Bereitstellung.
3.4.1. Über den DPC des EMM kann ein Managed Google Play im Hintergrund bereitgestellt und aktiviert werden. müssen Sie die Implementierungsrichtlinien einhalten. Dabei geschieht Folgendes:
- Ein Managed Google Play-Konto vom Typ
userAccountwird hinzugefügt . - Das Managed Google Play-Konto vom Typ „
userAccount“ muss eine 1:1-Beziehung haben die Zuordnung zu tatsächlichen Nutzern in der EMM-Konsole vornehmen.
3.5 Automatische App-Bereitstellung
IT-Administratoren können geschäftliche Apps unbemerkt auf den auf denen keine Nutzer Interaktion.
3.5.1. Die EMM-Konsole muss die Play EMM API verwenden, damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten installieren können.
3.5.2. In der EMM-Konsole muss die Play EMM API verwendet werden. , damit IT-Administratoren geschäftliche Apps auf verwalteten Geräten aktualisieren können.
3.5.3. In der EMM-Konsole muss die Play EMM API verwendet werden. um es IT-Administratoren zu ermöglichen, Apps auf verwalteten Geräten zu deinstallieren.
3.6 Verwaltete Konfigurationsverwaltung
IT-Administratoren können verwaltete Konfigurationen für jede App, die unterstützt verwaltete Konfigurationen.
3.6.1. Die EMM-Konsole muss die verwalteten Daten abrufen und anzeigen können. Konfigurationseinstellungen einer beliebigen Play-App.
- EMM-Anbieter können
Products.getAppRestrictionsSchemaanrufen, um das Schema für verwaltete Konfigurationen der App erstellen oder den iFrame für verwaltete Konfigurationen in die App einbetten EMM-Konsole
3.6.2. In der EMM-Konsole müssen IT-Administratoren einen beliebigen Konfigurationstyp (z. B. vom Android-Framework definiert) für jede Play-App, die das Google Play-EMM verwendet wird API hinzu.
3.6.3. In der EMM-Konsole müssen IT-Administratoren die Möglichkeit haben, Platzhalter wie $username$ oder %emailAddress%), sodass eine einzelne Konfiguration für eine Anwendung wie Gmail kann für mehrere Nutzer eingerichtet werden. Der iFrame der verwalteten Konfiguration diese Anforderung automatisch unterstützt.
3.7 App-Katalogverwaltung
IT-Administratoren können eine Liste der für ihr Unternehmen genehmigten Apps aus Managed Google Play (play.google.com/work)
3.7.1. In der EMM-Konsole kann eine Liste der genehmigten Apps angezeigt werden. Vertrieb, einschließlich:
- Über Managed Google Play gekaufte Apps
- Private Apps für IT-Administratoren sichtbar
- Programmatisch genehmigte Apps
3.8 Programmatische App-Genehmigung
In der EMM-Konsole wird der iFrame von Managed Google Play zur Unterstützung des Funktionen zum Auffinden und Genehmigen von Apps. IT-Administratoren können nach Apps, Apps und neue App-Berechtigungen genehmigen, ohne die EMM-Konsole zu verlassen.
3.8.1. IT-Administratoren können über den iFrame von Managed Google Play in der EMM-Konsole nach Apps suchen und diese genehmigen.
3.9. Einfache Verwaltung des Store-Layouts
Die Managed Google Play Store App kann auf Geräten zur Installation verwendet werden und geschäftliche Apps aktualisieren. Standardmäßig wird das grundlegende Layout des Geschäfts angezeigt und Für das Unternehmen genehmigte Apps, die EMMs nach Nutzer filtern gemäß der Richtlinie.
3.9.1. IT-Administratoren können Nutzer verfügbare Produktgruppen um Apps aus dem Managed Play Store aufrufen und installieren zu können „Play Store“ klicken.
3:10. Erweiterte Konfiguration des Store-Layouts
IT-Administratoren können das Store-Layout im Managed Play Store anpassen App auf Geräten speichern.
3.10.1. IT-Administratoren können in der EMM-Konsole die folgenden Aktionen ausführen, um das Layout des verwalteten Google Play Store anzupassen:
- Sie können bis zu 100 Geschäftslayoutseiten erstellen. Seiten können beliebig viele lokalisierte Seitennamen haben.
- Erstellen Sie bis zu 30 Cluster für jede Seite. Cluster können eine beliebige Anzahl lokalisierter Clusternamen
- Weisen Sie jedem Cluster bis zu 100 Anwendungen zu.
- Fügen Sie jeder Seite bis zu zehn Quick Links hinzu.
- Sortierreihenfolge für Anwendungen innerhalb eines Clusters und Cluster in einem Seite.
3.11. App-Lizenzverwaltung
IT-Administratoren können im Managed Play Store erworbene App-Lizenzen aufrufen und verwalten über die EMM-Konsole.
3.11.1. Bei kostenpflichtigen Apps, die für ein Unternehmen genehmigt wurden, muss die EMM-Konsole Display:
- Die Anzahl der erworbenen Lizenzen.
- Die Anzahl der verbrauchten Lizenzen und der Nutzer, die die Lizenzen nutzen.
- Die Anzahl der Lizenzen, die für den Vertrieb verfügbar sind.
3.11.2. IT-Administratoren können Lizenzen Nutzern automatisch zuweisen, ohne dass die App auf den Geräten der Nutzer installiert werden muss.
3.11.3. IT-Administratoren können die Zuweisung einer App-Lizenz zu einem Nutzer.
3:12. Von Google gehostete private Apps verwalten
IT-Administratoren können von Google gehostete private Apps stattdessen über die EMM-Konsole aktualisieren über die Google Play Console.
3.12.1. IT-Administratoren können neue Versionen von Apps, die bereits privat veröffentlicht wurden, mit folgenden Methoden in das Unternehmen hochladen:
3:13. Selbst gehostete private Apps verwalten
IT-Administratoren können selbst gehostete private Apps einrichten und veröffentlichen. Im Gegensatz zu von Google gehosteten privaten Apps werden die APKs nicht von Google Play gehostet. Stattdessen Mit EMM können IT-Administratoren APKs selbst hosten und selbst gehostete APKs schützen. Apps, indem sichergestellt wird, dass sie nur mit Autorisierung durch den verwalteten Google-Dienst installiert werden können. Spielen.
Weitere Informationen finden Sie unter Unterstützung für interne Apps.
3.13.1. Die EMM-Konsole muss IT-Administratoren beim Hosten des App-APKs unterstützen, indem sie sowohl der folgenden Optionen:
- Das APK auf dem Server des EMM hosten Bei dem Server kann es sich um einen cloudbasiert sein.
- Hosting des APK außerhalb des EMM-Servers nach Ermessen des IT-Administrator. Der IT-Administrator muss in der EMM-Konsole angeben, wo APK wird gehostet.
3.13.2. Die EMM-Konsole muss eine geeignete APK-Definition generieren Datei mit dem angegebenen APK und IT-Administratoren durch den Veröffentlichungsprozess leiten müssen.
3.13.3. IT-Administratoren können selbst gehostete private Apps und die EMM-Konsole aktualisieren. können aktualisierte APK-Definitionsdateien mithilfe der Funktion Google Play Developer Publishing API
3.13.4. Der Server des EMM bedient nur Downloadanfragen für das selbst gehostete APK, das ein gültiges JWT im Cookie der Anfrage enthält, wie vom öffentlichen Schlüssel der privaten App bestätigt.
- Um diesen Prozess zu vereinfachen, müssen IT-Administratoren auf dem Server des EMM-Anbieters angewiesen werden, den öffentlichen Lizenzschlüssel der selbst gehosteten App aus der Google Play Console herunterzuladen und in die EMM-Konsole hochzuladen.
3:14. EMM-Pull-Benachrichtigungen
Anstatt Google Play regelmäßig abzufragen, um frühere Ereignisse wie eine App zu identifizieren Update, das neue Berechtigungen oder verwaltete Konfigurationen enthält, EMM-Pull Benachrichtigungen EMMs proaktiv in Echtzeit über solche Ereignisse informieren, EMMs können automatisierte Aktionen ausführen und benutzerdefinierte Administratorbenachrichtigungen bereitstellen. basierend auf diesen Ereignissen.
3.14.1. Der EMM-Anbieter muss die EMM-Benachrichtigungen von Google Play verwenden, um Benachrichtigungssätze abzurufen.
3.14.2. EMM muss einen IT-Administrator automatisch benachrichtigen (z. B. durch einen automatische E-Mail) folgende Benachrichtigungen erhalten:
newPermissionEvent: Neue App muss von einem IT-Administrator genehmigt werden Berechtigungen, bevor die App im Hintergrund installiert oder auf den Geräte.appRestrictionsSchemaChangeEvent: Möglicherweise muss der IT-Administrator ein Update durchführen der verwalteten Konfiguration einer App, damit die gewünschte Funktionalität erhalten bleibt.appUpdateEvent: Dies könnte für IT-Administratoren interessant sein, die Prüfen Sie, ob die Hauptfunktionen des Workflows nicht durch App-Updates beeinträchtigt werden.productAvailabilityChangeEvent: Kann sich auf die Installationsfähigkeit des oder App-Updates vornehmen.installFailureEvent: Play kann eine App nicht automatisch auf einem Gerät, was darauf hindeutet, dass es sich um etwas am Gerät handelt Konfiguration, die die Installation verhindert. EMMs sollten nicht sofort versuchen Sie nach Erhalt dieser Benachrichtigung erneut, im Hintergrund installiert zu werden. Wiederholungslogik fehlgeschlagen ist.
3.14.3. EMM ergreift auf Grundlage der folgenden Kriterien automatisch geeignete Maßnahmen Benachrichtigungsereignisse:
newDeviceEvent: Während der Gerätebereitstellung müssen EMMs aufnewDeviceEventvor nachfolgenden Play EMM API-Aufrufen für das neue einschließlich der Installation von Apps im Hintergrund und der Einrichtung verwalteter Konfigurationen.productApprovalEvent: nach Erhalt einerproductApprovalEventBenachrichtigung: EMM muss die Liste der importierten Apps automatisch aktualisieren. in der EMM-Konsole für die Bereitstellung auf Geräten, wenn es einen aktiven IT-Administrator gibt oder die Liste der genehmigten Apps im Beginn jeder IT-Administratorsitzung.
3:15. Anforderungen an die API-Nutzung
Das EMM implementiert die APIs von Google im großen Maßstab und verhindert Traffic-Muster, die sich negativ auf die Fähigkeit von IT-Administratoren auswirken könnten, Apps in Produktionsumgebungen zu verwalten.
3.15.1. Der EMM-Anbieter muss die Play EMM API einhalten. Nutzungslimits. Wenn Verhaltensweisen, die diese Richtlinien nicht überschreiten, nicht korrigiert werden, kann das nach dem Ermessen von Google zur Aussetzung der API-Nutzung führen.
3.15.2. Der EMM sollte den Traffic von verschiedenen Unternehmen über den Tag verteilen, anstatt den Traffic von Unternehmen zu bestimmten oder ähnlichen Zeiten zu konsolidieren. Verhalten, das diesem Traffic-Muster entspricht, z. B. geplante Batches Vorgänge für jedes registrierte Gerät können zur Unterbrechung der API-Nutzung führen, im Ermessen von Google.
3.15.3. Der EMM-Anbieter sollte keine einheitlichen, unvollständigen oder absichtlichen Falsche Anfragen, mit denen nicht versucht wird, das tatsächliche Unternehmen abzurufen oder zu verwalten Daten. Ein Verhalten, das diesem Traffic-Muster entspricht, kann zur Sperrung der API-Nutzung führen. im Ermessen von Google.
3:16. Erweiterte verwaltete Konfigurationsverwaltung
3.16.1. Die EMM-Konsole muss die verwalteten Daten abrufen und anzeigen können. Konfigurationseinstellungen (auf bis zu vier Ebenen verschachtelt) jeder Play-App mit:
- iFrame für Managed Google Play oder
- eine benutzerdefinierte UI.
3.16.2. Die EMM-Konsole muss Feedback abrufen und anzeigen können können. vom Feedbackkanal einer App zurückgegeben , bei der Einrichtung durch einen IT-Administrator.
- Die EMM-Konsole muss es IT-Administratoren ermöglichen, ein bestimmtes Feedbackelement zu verknüpfen mit dem Gerät und der App, von der sie stammen.
- Die EMM-Konsole muss es IT-Administratoren ermöglichen, Benachrichtigungen oder Berichte zu bestimmte Arten von Meldungen (z. B. Fehlermeldungen)
3.16.3. Die EMM-Konsole darf nur Werte senden, die entweder einen Standardwert haben oder manuell vom Administrator festgelegt werden. mit:
- Der iFrame für verwaltete Konfigurationen oder
- Eine benutzerdefinierte UI.
3:17. Web-App-Verwaltung
IT-Administratoren können Web-Apps in der EMM-Konsole erstellen und bereitstellen.
3.17.1. IT-Administratoren können über die EMM-Konsole Verknüpfungen an Web-Apps verteilen mit:
- Der iFrame von Managed Google Play oder
- Play EMM API .
3:18. Verwaltung des Lebenszyklus von Managed Google Play-Konten
Der EMM-Anbieter kann im Namen von IT-Administratoren.
3.18.1. EMM-Anbieter können den Lebenszyklus eines Managed Google Play-Kontos verwalten gemäß den Implementierungsrichtlinien, die in der Entwicklerdokumentation für die Play EMM API definiert sind.
3.18.2. EMMs können Managed Google Play-Konten ohne Nutzerinteraktion neu authentifizieren.
3.19. Verwaltung von Anwendungs-Tracks
3.19.1. IT-Administratoren können eine Liste mit Track-IDs abrufen, die von einem Entwickler für eine App suchen.
3.19.2. IT-Administratoren können festlegen, dass auf Geräten ein bestimmter Entwicklungspfad für eine Anwendung verwendet wird.
3:20. Erweiterte Verwaltung von App-Updates
3.20.1. IT-Administratoren können zulassen, dass Apps mit hoher Priorität aktualisiert werden, sobald ein Update verfügbar ist.
3.20.2. IT-Administratoren können zulassen, dass App-Updates für Apps um 90 Tage verschoben werden.
3:21. Verwaltung von Bereitstellungsmethoden
Der EMM kann Bereitstellungskonfigurationen generieren und der IT-Abteilung präsentieren Admin in einem Formular zur Weitergabe an Endnutzer (z. B. QR-Code, Zero-Touch-Konfiguration, Play Store-URL).
4. Geräteverwaltung
4.1. Verwaltung von Richtlinien für Laufzeitberechtigungen
IT-Administratoren können eine Standardantwort auf Laufzeitberechtigungsanfragen von Arbeits-Apps festlegen.
4.1.1. IT-Administratoren müssen bei der Einstellung eine der folgenden Optionen auswählen können eine Standardrichtlinie für Laufzeitberechtigungen für ihre Organisation:
- Aufforderung (Auswahlmöglichkeit für Nutzer)
- allow
- deny
Der EMM sollte diese Einstellungen über den DPC des EMM erzwingen.
4.2. Verwaltung des Status der Laufzeitberechtigungserteilung
Nachdem Sie eine Standardrichtlinie für Laufzeitberechtigungen festgelegt haben (siehe Version 4.1), IT-Administratoren können Sie können von jeder auf API basierenden geschäftlichen App aus Antworten für bestimmte Berechtigungen festlegen. 23 oder höher.
4.2.1. IT-Administratoren müssen den Status der Erteilung festlegen können (Standard, gewähren oder ablehnen). über alle Berechtigungen, die von geschäftlichen Apps mit API 23 oder höher angefordert werden. EMM Diese Einstellungen sollten mithilfe des DPC von EMM erzwungen werden .
4.3. WLAN-Konfigurationsverwaltung
IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf verwalteten Geräten im Hintergrund bereitstellen. Geräte, darunter:
4.3.1. SSID über den DPC des EMM
4.3.2. Passwort unter Verwendung des DPC von EMM.
4.4. WLAN-Sicherheitsverwaltung
IT-Administratoren können Unternehmens-WLAN-Konfigurationen auf verwalteten Geräten bereitstellen, die die folgenden erweiterten Sicherheitsfunktionen umfassen:
4.4.1. Identität mit dem DPC des EMM
4.4.2. Zertifikat für die Autorisierung von Kunden mithilfe des DPC der EMM.
4.4.3. CA-Zertifikate mit dem DPC der EMM.
4.5. Erweiterte WLAN-Verwaltung
IT-Administratoren können WLAN-Konfigurationen auf verwalteten Geräten sperren, Nutzer daran hindern, Konfigurationen zu erstellen oder Unternehmenskonfigurationen zu ändern.
4.5.1. IT-Administratoren können die WLAN-Konfigurationen des Unternehmens in einer der folgende Konfigurationen:
- Nutzer können WLANs nicht ändern, Konfigurationen, die vom EMM bereitgestellt werden, können aber eigene hinzufügen und ändern. vom Nutzer konfigurierbare Netzwerke (z. B. persönliche Netzwerke)
- Nutzer können WLAN-Netzwerke auf der Gerät und beschränkt die WLAN-Verbindung nur auf die bereitgestellten Netzwerke. durch das EMM.
4.6. Kontoverwaltung
IT-Administratoren können verhindern, dass unbefugte Unternehmenskonten Unternehmensdaten, für Dienste wie SaaS-Speicher und Produktivitäts-Apps oder E-Mail. Ohne diese Funktion können private Konten Unternehmens-Apps, die auch Privatnutzerkonten unterstützen, sodass diese mit diesen privaten Konten verknüpfen.
4.6.1. IT-Administratoren können verhindern, dass Konten hinzugefügt oder geändert werden.
- Wenn diese Richtlinie auf einem Gerät erzwungen wird, müssen EMMs diese Einschränkung festlegen bevor die Bereitstellung abgeschlossen ist, damit Sie diesen Fehler nicht umgehen können. indem Sie Konten hinzufügen, bevor die Richtlinie in Kraft tritt.
4.7. Workspace-Konten verwalten
IT-Administratoren können verhindern, dass unbefugte Google-Konten mit Unternehmensdaten. Ohne diese Funktion können private Google-Konten geschäftliche Google-Apps wie Google Docs oder Google Drive, um Unternehmensdaten für private Konten freizugeben.
4.7.1. IT-Administratoren können Google-Konten zur Aktivierung angeben während der Bereitstellung, nach der Kontoverwaltung Sperren vorhanden ist.
4.7.2. Der DPC des EMM muss auffordern, die Google Konto, und sicherzustellen, dass nur das jeweilige Konto aktiviert werden kann, indem Sie Angabe das Konto, das hinzugefügt werden soll.
- Auf Geräten unter Android 7.0 muss der DPC die Einschränkung der Kontoverwaltung vorübergehend deaktivieren, bevor Sie Nutzer.
4.8. Zertifikatsverwaltung
Ermöglicht es IT-Administratoren, Identitätszertifikate und Zertifizierungsstellen bereitzustellen, um den Zugriff auf Unternehmensressourcen zu ermöglichen.
4.8.1. IT-Administratoren können von ihrer PKI generierte Nutzeridentitätszertifikate auf einer pro Nutzer. Die Konsole der EMM muss mit mindestens einer PKI integriert sein und von dieser Infrastruktur generierte Zertifikate verteilen.
4.8.2. IT-Administratoren können Zertifizierungsstellen im verwalteten Schlüsselspeicher installieren.
4.9. Erweiterte Zertifikatsverwaltung
Ermöglicht es IT-Administratoren, die Zertifikate, die von bestimmten verwalteten Apps verwendet werden sollen, automatisch auszuwählen. Mit dieser Funktion können IT-Administratoren auch Zertifizierungsstellen und Identitätszertifikate von aktiven Geräten entfernen. Diese Funktion verhindert, dass Nutzer Anmeldedaten, die im verwalteten Schlüsselspeicher gespeichert sind.
4.9.1. Für jede App, die auf Geräten bereitgestellt wird, können IT-Administratoren ein Zertifikat angeben der App ohne Ton Zugriff gewährt wird während der Laufzeit verfügbar sind.
- Die Zertifikatsauswahl muss generisch genug sein, um eine einzelne Konfiguration zu ermöglichen die für alle Nutzer gilt. Jede davon kann ein benutzerspezifisches Identitätszertifikat.
4.9.2. IT-Administratoren können Zertifikate automatisch entfernen, aus dem verwalteten Schlüsselspeicher.
4.9.3. IT-Administratoren können ein CA-Zertifikat automatisch deinstallieren, oder alle CA-Zertifikate, die keine System-CAs sind.
4.9.4. IT-Administratoren können verhindern, dass Nutzer Anmeldedaten im verwalteten Schlüsselspeicher konfigurieren.
4.9.5. IT-Administratoren können Zertifikate für geschäftliche Apps.
4:10. Delegierte Zertifikatverwaltung
IT-Administratoren können eine Drittanbieter-App zur Zertifikatsverwaltung auf Geräten bereitstellen. und dieser App privilegierten Zugriff zum Installieren von Zertifikaten im verwalteten Keystore.
4.10.1. IT-Administratoren legen ein Zertifikatverwaltungspaket fest, das als delegierte Zertifikatsverwaltungs-App durch den DPC.
- Die Console kann optional bekannte Zertifikatsverwaltungspakete vorschlagen, Er muss jedoch zulassen, dass der IT-Administrator aus der Liste der verfügbaren Apps die richtigen Nutzer installieren.
4:11. Erweiterte VPN-Verwaltung
IT-Administratoren können ein durchgehend aktives VPN festlegen, damit die Daten aus werden verwaltete Apps immer durch ein eingerichtetes VPN geschützt.
4.11.1. IT-Administratoren können ein beliebiges VPN-Paket festlegen. wird als durchgehend aktives VPN festgelegt.
- Die Konsole des EMM kann optional bekannte VPN-Pakete vorschlagen, die durchgehend aktives VPN unterstützen. Die für die durchgehend aktive Konfiguration verfügbaren VPNs können jedoch nicht auf eine beliebige Liste beschränkt werden.
4.11.2. IT-Administratoren können mit verwalteten Konfigurationen VPN-Einstellungen für eine App.
4:12. IME-Verwaltung
IT-Administratoren können festlegen, für welche Eingabemethoden (IMEs) Geräte. Da die Eingabemethode sowohl für beruflich genutzte als auch für private Profile verwendet wird, können Sie die Verwendung von Eingabemethoden nicht nur für die berufliche Nutzung blockieren, sondern auch für die private Nutzung. IT-Administratoren dürfen jedoch System-IMEs bei der Arbeit nicht blockieren. Profilen (weitere Informationen finden Sie in der erweiterten IME-Verwaltung).
4.12.1. IT-Administratoren können eine Zulassungsliste für IMEs einrichten. von beliebiger Länge (einschließlich einer leeren Liste, mit der Nicht-System-IMEs blockiert werden), die beliebige IME-Pakete enthalten kann.
- Die EMM-Konsole kann optional bekannte oder empfohlene Eingabemethoden vorschlagen, die auf die Zulassungsliste gesetzt werden sollen. IT-Administratoren müssen jedoch die Möglichkeit haben, für die entsprechenden Nutzer aus der Liste der zum Installieren verfügbaren Apps auszuwählen.
4.12.2. Der EMM-Anbieter muss IT-Administratoren darüber informieren, dass System-IMEs von auf Geräten mit Arbeitsprofilen verwalten.
4:13. Erweiterte IME-Verwaltung
IT-Administratoren können festlegen, für welche Eingabemethoden (IMEs) Geräte. Die erweiterte IME-Verwaltung erweitert die Basisfunktion, indem IT-Administratoren die Möglichkeit erhalten, auch die Verwendung von System-IMEs verwalten, die in der Regel vom Gerätehersteller oder Mobilfunkanbieter des Geräts.
4.13.1. IT-Administratoren können eine Zulassungsliste für IMEs einrichten. von beliebiger Länge (mit Ausnahme einer leeren Liste, die alle IMEs blockiert, einschließlich System-IMEs), die beliebige IME-Pakete enthalten können.
- In der EMM-Konsole können optional bekannte oder empfohlene IMEs in die Zulassungsliste aufnehmen, muss aber es IT-Administratoren ermöglichen, aus der Liste auszuwählen der Apps, die zur Installation verfügbar sind, für die entsprechenden Nutzer.
4.13.2. EMMs müssen verhindern, dass IT-Administratoren eine leere Zulassungsliste einrichten, da dies verhindert, dass alle IMEs, einschließlich System-IMEs, auf dem .
4.13.3. EMMs müssen dafür sorgen, dass, wenn eine Zulassungsliste für Eingabemethoden nicht die System-IMEs enthält, die IMEs von Drittanbietern automatisch installiert werden, bevor die Zulassungsliste auf dem Gerät angewendet wird.
4:14. Verwaltung von Bedienungshilfen
IT-Administratoren können festlegen, welche Bedienungshilfen auf der Seite Geräte. Bedienungshilfen sind zwar leistungsstark, Tools für Nutzende mit Beeinträchtigungen oder solche, die vorübergehend nicht in der Lage sind, mit ihrem Gerät interagieren, können sie so mit Unternehmensdaten interagieren, gegen die Unternehmensrichtlinien verstoßen. Mit dieser Funktion können IT-Administratoren alle nicht systemeigenen Bedienungshilfen deaktivieren.
4.14.1. IT-Administratoren können eine Zulassungsliste für Dienste zur Barrierefreiheit beliebiger Länge einrichten (einschließlich einer leeren Liste, die Dienste zur Barrierefreiheit blockiert, die nicht zum System gehören). Diese Liste kann beliebige Pakete für Dienste zur Barrierefreiheit enthalten. Bei Anwendung auf ein Arbeitsprofil betrifft dies sowohl das private Profil und das Arbeitsprofil.
- Die Console kann optional bekannte oder empfohlene Bedienungshilfen vorschlagen müssen in die Zulassungsliste aufgenommen werden, müssen aber den IT-Administratoren die Auswahl aus Liste der Apps, die zur Installation verfügbar sind (für die entsprechenden Nutzer)
4:15. Verwaltung der Standortfreigabe
IT-Administratoren können verhindern, dass Nutzer Standortdaten mit Apps im Unternehmen teilen. zu erstellen. Andernfalls können Sie die Standorteinstellung für Arbeitsprofile in den Einstellungen konfigurieren.
4.15.1. IT-Administratoren können Standortdienste deaktivieren. im Arbeitsprofil.
4.16. Erweiterte Verwaltung der Standortfreigabe
IT-Administratoren können eine bestimmte Standortfreigabeeinstellung auf einem verwalteten Gerät erzwingen. Mit dieser Funktion haben Unternehmens-Apps immer Zugriff auf hochqualitative Dateien Genauigkeit von Standortdaten. Diese Funktion sorgt außerdem dafür, dass der Akku wird nicht verbraucht, wenn die Standorteinstellungen auf den Energiesparmodus beschränkt werden.
4.16.1. IT-Administratoren können die Standortdienste des Geräts auf einen der folgenden Modi festlegen:
- Hohe Genauigkeit.
- Nur Sensoren, z. B. GPS, aber ohne Netzwerkverbindung Standort.
- Energiesparmodus: Dadurch wird die Aktualisierungshäufigkeit begrenzt.
- Deaktiviert.
4:17. Verwaltung des Schutzes vor Zurücksetzen auf Werkseinstellungen
IT-Administratoren können unternehmenseigene Geräte vor Diebstahl schützen, indem sie sicherstellen, Unbefugte Nutzer können Geräte nicht auf die Werkseinstellungen zurücksetzen. Schutz vor Zurücksetzen auf Werkseinstellungen bringt die betrieblichen Komplexität bei der Rückgabe von Geräten an die IT, IT-Administratoren kann den Schutz vor Zurücksetzen auf die Werkseinstellungen auch vollständig deaktivieren.
4.17.1. IT-Administratoren können verhindern, dass Nutzer das Zurücksetzen auf die Werkseinstellungen verhindern. über die Einstellungen ihr Gerät.
4.17.2. IT-Administratoren können Unternehmensentsperrkonten angeben, die zum Bereitstellen von Geräten nach einem Zurücksetzen auf die Werkseinstellungen berechtigt sind.
- Dieses Konto kann mit einer Person verknüpft oder vom gesamten Unternehmen verwendet werden um Geräte zu entsperren.
4.17.3. IT-Administratoren können den Schutz vor Zurücksetzen auf Werkseinstellungen deaktivieren. für bestimmte Geräte.
4.17.4. IT-Administratoren können eine Remote-Löschung von Geräten starten, bei der optional die Schutzdaten für zurückgesetzte Geräte gelöscht werden. Dadurch wird der Schutz für zurückgesetzte Geräte entfernt.
4.18. Erweiterte App-Steuerung
IT-Administratoren können Nutzer daran hindern, verwaltete Apps über die Einstellungen verwalten, z. B. das Schließen der App erzwingen oder die Daten-Cache.
4.18.1. IT-Administratoren können die Deinstallation beliebiger verwalteter Apps oder aller verwalteten Apps blockieren.
4.18.2. IT-Administratoren können verhindern, dass Nutzer Anwendungsdaten ändern. in den Einstellungen.
4.19. Verwaltung von Bildschirmaufnahmen
IT-Administratoren können Nutzer daran hindern, Screenshots zu erstellen, wenn sie verwaltete Apps verwenden. Dieses ist das Blockieren von Apps zur Bildschirmfreigabe und ähnlichen Apps wie Google Assistant) verwenden, die die Screenshot-Funktion des Systems verwenden.
4.19.1. IT-Administratoren können verhindern, dass Nutzer Screenshots erstellen.
4:20. Kameras deaktivieren
IT-Administratoren können die Nutzung von Gerätekameras durch verwaltete Apps deaktivieren.
4.20.1. IT-Administratoren können die Nutzung von Gerätekameras deaktivieren. durch verwaltete Apps.
4:21. Erfassung von Netzwerkstatistiken
IT-Administratoren können Statistiken zur Netzwerknutzung über das Arbeitsprofil eines Geräts abfragen. Die Die erfassten Statistiken spiegeln die Nutzungsdaten wider, die mit Nutzern im Datennutzung in den Einstellungen. Die gesammelten Statistiken gelten für die Nutzung von Apps innerhalb des Arbeitsprofils.
4.21.1. IT-Administratoren können die Zusammenfassung der Netzwerkstatistiken für ein Arbeitsprofil abfragen, für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster. Diese Details finden Sie in der EMM-Konsole
4.21.2. IT-Administratoren können eine Zusammenfassung einer App in der Netzwerknutzung des Arbeitsprofils abfragen. Statistiken, für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster und diese Details ansehen in der EMM-Konsole nach UID sortiert.
4.21.3. IT-Administratoren können Verlaufsdaten im Netzwerk eines Arbeitsprofils abfragen, für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster und diese Details ansehen in der EMM-Konsole nach UID sortiert.
4:22. Erweiterte Erfassung von Netzwerkstatistiken
IT-Administratoren können Statistiken zur Netzwerknutzung für ein gesamtes verwaltetes Gerät abfragen. Die Die erhobenen Statistiken spiegeln die Nutzungsdaten wider, die für Nutzer im Bereich Datennutzung freigegeben wurden. der Einstellungen. Die erhobenen Statistiken gelten für die Nutzung von Apps auf dem Gerät.
4.22.1. IT-Administratoren können die Zusammenfassung der Netzwerkstatistiken für ein gesamtes Gerät abfragen. , für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster und rufen Sie diese Details in der EMM-Konsole
4.22.2. IT-Administratoren können eine Zusammenfassung der Netzwerknutzung durch Apps abfragen. Statistiken, für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster und diese Details ansehen in der EMM-Konsole nach UID sortiert.
4.22.3. IT-Administratoren können Verlaufsdaten im Netzwerk abfragen, für ein bestimmtes Gerät und ein konfigurierbares Zeitfenster und diese Details ansehen in der EMM-Konsole nach UID sortiert.
4:23. Gerät neu starten
IT-Administratoren können verwaltete Geräte aus der Ferne neu starten.
4.23.1. IT-Administratoren können ein verwaltetes Gerät per Fernzugriff neu starten.
4.24. Systemradioverwaltung
Ermöglicht IT-Administratoren eine detaillierte Verwaltung über Systemnetzwerkfunkschnittstellen und zugehörige Richtlinien verwenden.
4.24.1. IT-Administratoren können Cell Broadcasts deaktivieren. von Dienstanbietern gesendet werden (z. B. AMBER Alerts).
4.24.2. IT-Administratoren können verhindern, dass Nutzer in den Einstellungen Einstellungen für Mobilfunknetze ändern .
4.24.3. IT-Administratoren können verhindern, dass Nutzer die Netzwerkeinstellungen in den Einstellungen zurücksetzen.
4.24.4. IT-Administratoren können mobile Daten beim Roaming zulassen oder nicht zulassen. .
4.24.5. IT-Administratoren können festlegen, ob über das Gerät ausgehende Anrufe getätigt werden können , ausgenommen Notrufe.
4.24.6. IT-Administratoren können festlegen, ob über das Gerät SMS gesendet und empfangen werden können. .
4.24.7. IT-Administratoren können verhindern, dass Nutzer ihr Gerät durch Tethering als mobilen Hotspot verwenden. .
4.24.8. IT-Administratoren können das WLAN-Zeitlimit festlegen. auf die Standardeinstellung , nur im Netzbetrieb oder nie .
4.24.9. IT-Administratoren können verhindern, dass Nutzer bestehende Bluetooth-Verbindungen einrichten oder ändern .
4.25. Audioverwaltung des Systems
IT-Administratoren können Audiofunktionen von Geräten automatisch verwalten, einschließlich der Stummschaltung der und verhindert, dass Nutzer die Lautstärkeeinstellungen ändern die Stummschaltung des Gerätemikrofons aufheben.
4.25.1. IT-Administratoren können verwaltete Geräte automatisch stummschalten.
4.25.2. IT-Administratoren können verhindern, dass Nutzer die Einstellungen für die Gerätelautstärke ändern.
4.25.3. IT-Administratoren können verhindern, dass Nutzer das Mikrofon des Geräts entsperren.
4:26. Verwaltung der Systemuhr
IT-Administratoren können die Einstellungen für die Uhrzeit und Zeitzone des Geräts verwalten und verhindern, dass Nutzer automatische Geräteeinstellungen ändern.
4.26.1. IT-Administratoren können die automatische Systemzeit erzwingen, hindert den Nutzer daran, Datum und Uhrzeit des Geräts festzulegen.
4.26.2. IT-Administratoren können die automatische Zeit automatisch aktivieren oder deaktivieren. und Automatische Zeitzone.
4:27. Erweiterte Funktionen für zweckbestimmte Geräte
Bietet IT-Administratoren die Möglichkeit, zweckbestimmte Geräte im Detail zu verwalten Funktionen zur Unterstützung verschiedener Kiosk-Anwendungsfälle.
4.27.1. IT-Administratoren können den Geräte-Keyguard deaktivieren.
4.27.2. IT-Administratoren können die Statusleiste des Geräts deaktivieren und so Benachrichtigungen und Schnelleinstellungen blockieren.
4.27.3. IT-Administratoren können erzwingen, dass der Gerätebildschirm eingeschaltet bleibt. während das Gerät angeschlossen ist.
4.27.4. IT-Administratoren können die folgenden System-UIs verhindern. nicht angezeigt werden:
- Toast
- Anwendungs-Overlays
4.27.5. IT-Administratoren können den Systemempfehlungen für Apps erlauben, die Nutzeranleitung und andere einführende Hinweise zu überspringen. beim ersten Start.
4:28. Delegierte Bereichsverwaltung
IT-Administratoren können zusätzliche Berechtigungen an einzelne Pakete delegieren.
4.28.1. IT-Administratoren können die Verwaltung die folgenden Bereiche:
- Installation und Verwaltung von Zertifikaten
- Absichtlich leer
- Netzwerk-Logging
- Sicherheitsprotokollierung (wird für BYOD-Arbeitsprofile nicht unterstützt)
4:29. Unterstützung für registrierungsspezifische IDs
Ab Android 12 haben Arbeitsprofile keinen Zugriff mehr auf hardwarespezifischen Kennzeichnungen. IT-Administratoren können den Lebenszyklus eines Geräts mit einem Arbeitsprofil anhand der Registrierungsspezifischen ID verfolgen, die auch nach dem Zurücksetzen auf die Werkseinstellungen erhalten bleibt.
4.29.1. IT-Administratoren können eine Registrierungsspezifische ID festlegen und abrufen.
4.29.2. Diese registrierungsspezifische ID muss durch das Zurücksetzen auf die Werkseinstellungen bestehen bleiben
5. Nutzerfreundlichkeit von Geräten
5.1. Verwaltete Bereitstellung anpassen
IT-Administratoren können den standardmäßigen UX-Einrichtungsablauf so ändern, unternehmensspezifischen Funktionen. Optional können IT-Administratoren von EMM bereitgestellte Branding während der Bereitstellung.
5.1.1. IT-Administratoren können den Bereitstellungsprozess anpassen, indem sie die folgende unternehmensspezifische Details: enterprise color, Unternehmenslogo, Nutzungsbedingungen und andere Haftungsausschlüsse für Unternehmen.
5.1.2. IT-Administratoren können eine nicht konfigurierbare, EMM-spezifische Anpassung implementieren, die enthält die folgenden Details: EMM-Farbe, EMM-Logo, EMM-Nutzungsbedingungen und andere Haftungsausschlüsse.
5.1.3 [primaryColor] wurde für die Unternehmensressource eingestellt am
Android 10 oder höher.
- EMM-Anbieter müssen die Nutzungsbedingungen und andere Haftungsausschlüsse für die Bereitstellung angeben für ihren Bereitstellungsablauf im System Paket mit Haftungsausschlüssen für die Bereitstellung, auch wenn die EMM-spezifische Anpassung nicht verwendet werden.
- EMM-Anbieter können ihre nicht konfigurierbare, EMM-spezifische Anpassung als Standardeinstellung für alle Bereitstellungen, muss aber es IT-Administratoren ermöglichen, eigene Personalisierung.
5.2. Unternehmensanpassung
IT-Administratoren können Aspekte des Arbeitsprofils mit dem Corporate Branding des Unternehmens anpassen. IT-Administratoren können z. B. das Nutzersymbol im Arbeitsprofil auf das Unternehmenslogo. Ein weiteres Beispiel ist das Festlegen der Hintergrundfarbe beruflichen Herausforderung
5.2.1. IT-Administratoren können die Organisationsfarbe festlegen, die als Hintergrundfarbe der Challenge verwendet werden soll.
5.2.2. IT-Administratoren können den Anzeigenamen des Arbeitsprofils festlegen.
5.2.3. IT-Administratoren können das Nutzersymbol für das Arbeitsprofil festlegen. .
5.2.4. IT-Administratoren können verhindern, dass der Nutzer das Nutzersymbol des Arbeitsprofils ändert.
5.3. Erweiterte Unternehmensanpassung
IT-Administratoren können verwaltete Geräte mit Corporate Branding anpassen. IT-Administratoren können beispielsweise das primäre Nutzersymbol auf das Unternehmenslogo oder den Gerätehintergrund festlegen.
5.3.1. IT-Administratoren können den Anzeigenamen für das verwaltete Gerät festlegen. .
5.3.2. IT-Administratoren können das Nutzersymbol des verwalteten Geräts festlegen.
5.3.3. IT-Administratoren können verhindern, dass Nutzer Änderungen am Gerätenutzer vornehmen können. Symbol .
5.3.4. IT-Administratoren können den Gerätehintergrund festlegen. .
5.3.5. IT-Administratoren können verhindern, dass Nutzer Änderungen am Gerät vornehmen können. Hintergrund .
5.4. Nachrichten auf dem Sperrbildschirm
IT-Administratoren können eine benutzerdefinierte Nachricht festlegen, die immer auf der Gerätesperre angezeigt wird Display. Das Gerät muss dazu nicht entsperrt werden.
5.4.1. IT-Administratoren können eine benutzerdefinierte Nachricht auf dem Sperrbildschirm einrichten.
5.5. Verwaltung der Richtlinientransparenz
IT-Administratoren können den Hilfetext anpassen, der Nutzern angezeigt wird, wenn sie verwaltete Einstellungen auf ihrem Gerät ändern, oder eine von der EMM-Lösung bereitgestellte allgemeine Supportmitteilung bereitstellen. Sowohl kurze als auch lange Supportnachrichten können angepasst werden. Diese Nachrichten werden z. B. bei dem Versuch angezeigt, eine verwaltete App für Der IT-Administrator hat die Deinstallation bereits blockiert.
5.5.1. IT-Administratoren passen sowohl die kurze und langen Supportnachrichten.
5.5.2. IT-Administratoren können nicht konfigurierbare, EMM-spezifische kurze und lange Supportnachrichten.
- EMM kann seine nicht konfigurierbaren, EMM-spezifischen Supportnachrichten als Standardeinstellung für alle Bereitstellungen, muss aber es IT-Administratoren ermöglichen, eigene Nachrichten.
5.6. Profilübergreifende Kontaktverwaltung
IT-Administratoren können festlegen, welche Kontaktdaten das Arbeitsprofil verlassen können. Beide Telefonie- und Messaging-Apps (SMS) müssen im privaten Profil ausgeführt werden. Zugriff auf die Kontaktdaten des Arbeitsprofils erforderlich, um Funktionen für die Arbeit anzubieten Kontakte, Administratoren können diese Funktionen jedoch deaktivieren, um Unternehmensdaten zu schützen.
5.6.1. IT-Administratoren können die profilübergreifende Kontaktsuche deaktivieren. für private Apps, die den Anbieter für Systemkontakte verwenden.
5.6.2. IT-Administratoren können die profilübergreifende Suche nach der Anrufer-ID für private Telefon-Apps deaktivieren, die den Systemkontaktanbieter verwenden.
5.6.3. IT-Administratoren können die Bluetooth-Kontaktfreigabe für Bluetooth-Geräte deaktivieren. die den Anbieter von Systemkontakten verwenden, z. B. Freisprechfunktion in Autos oder Headsets.
5.7. Profilübergreifende Datenverwaltung
Gewährt IT-Administratoren die Verwaltung darüber, welche Daten das Arbeitsprofil verlassen können Standard-Sicherheitsfunktionen des Arbeitsprofils. Mit dieser Funktion können IT-Administratoren können ausgewählte Arten der profilübergreifenden Datenfreigabe zur Verbesserung der Nutzerfreundlichkeit in wichtigen Anwendungsfälle. IT-Administratoren können Unternehmensdaten auch mit zu schützen.
5.7.1. IT-Administratoren können profilübergreifende Intent-Filter konfigurieren. damit private Apps Absichten im Arbeitsprofil auflösen, z. B. das Teilen von Absichten oder Weblinks.
- Die Console kann optional bekannte oder empfohlene Intent-Filter für die Konfiguration vorschlagen. Intent-Filter können jedoch nicht auf eine beliebige Liste beschränkt werden.
5.7.2. IT-Administratoren können verwaltete Apps zulassen, die Widgets auf dem Startbildschirm anzeigen können.
- Die EMM-Konsole muss IT-Administratoren die Möglichkeit bieten, aus der Liste auszuwählen von Apps, die für die entsprechenden Nutzer zur Installation verfügbar sind.
5.7.3. IT-Administratoren können die Verwendung von Kopieren und Einfügen zwischen Arbeits- und privaten Profilen blockieren.
5.7.4. IT-Administratoren können Nutzer daran hindern, Daten aus dem Arbeitsprofil freizugeben: NFC-Beam
5.7.5. IT-Administratoren können privaten Apps erlauben, Weblinks aus dem Arbeitsprofil zu öffnen.
5.8. Richtlinie für Systemupdates
IT-Administratoren können OTA-Systemupdates (Over The Air) für Geräte.
5.8.1. Über die EMM-Konsole können IT-Administratoren das folgende OTA-Konto festlegen Konfigurationen:
- Automatisch: OTA-Updates werden auf den Geräten installiert, sobald sie verfügbar sind.
- Verschieben: IT-Administratoren müssen OTA-Updates um bis zu 30 Tage verschieben können. Diese Richtlinie wirkt sich nicht auf Sicherheitsupdates aus (z.B. monatliche Sicherheitsupdates) Patches).
- Mit Zeitfenster: IT-Administratoren müssen OTA-Updates innerhalb eines Tages planen können. Wartungsfensters.
5.8.2. Der DPC von EMM wendet OTA-Konfigurationen auf Geräte an.
5.9. Modusverwaltung für Aufgaben sperren
IT-Administratoren können Apps oder Apps auf dem Bildschirm sperren und so dafür sorgen, kann die App nicht beenden.
5.9.1. Über die EMM-Konsole können IT-Administratoren im Hintergrund eine beliebige Reihe von Apps, die du auf einem Gerät installieren und sperren kannst. Die EMM DPC ermöglicht dedizierte Gerätemodus.
5.10. Dauerhafte Verwaltung bevorzugter Aktivitäten
Ermöglicht es IT-Administratoren, eine App als Standard-Intent-Handler für Intents festzulegen, die einem bestimmten Intent-Filter entsprechen. Beispielsweise können IT-Administratoren auswählen, Browser-App öffnet automatisch Weblinks oder welche Launcher-App verwendet wird, auf die Startbildschirmtaste.
5.10.1. IT-Administratoren können für jeden beliebigen Intent-Filter jedes Paket als Standard-Intent-Handler festlegen.
- Die EMM-Konsole kann optional bekannte oder empfohlene Intents für Konfiguration, darf aber Intents nicht auf eine beliebige Liste beschränken.
- In der EMM-Konsole müssen IT-Administratoren Apps aus der Liste der Apps auswählen können die allen Nutzern zur Installation zur Verfügung stehen.
5:11. Verwaltung von Keyguard-Funktionen
- Trust Agents
- Entsperren mit Fingerabdruck
- nicht entfernte Benachrichtigungen
5.11.2. Der DPC von EMM kann die folgenden Keyguard-Funktionen im Arbeitsprofil deaktivieren:
- Trust Agents
- Entsperren mit Fingerabdruck
5:12. Erweiterte Keyguard-Funktionsverwaltung
- Sichere Kamera
- Alle Benachrichtigungen
- Ungekürzte Benachrichtigungen
- Trust Agents
- Entsperrung per Fingerabdruck
- Alle Keyguard-Funktionen
5:13. Remote-Debugging
IT-Administratoren können Debugging-Ressourcen von Geräten abrufen, ohne dass zusätzliche Schritte ausführen.
5.13.1. IT-Administratoren können Fehlerberichte per Fernzugriff anfordern, Fehlerberichte in der EMM-Konsole ansehen und Fehlerberichte von der EMM-Konsole herunterladen .
5:14. Abrufen der MAC-Adresse
EMM-Anbieter können die MAC-Adresse eines Geräts im Hintergrund abrufen. Mit der MAC-Adresse können Sie Geräte in anderen Teilen der Unternehmensinfrastruktur identifizieren (z. B. wenn Geräte für die Netzwerkzugriffssteuerung identifiziert werden).
5.14.1. Der EMM kann die MAC-Adresse eines Geräts unbemerkt abrufen und mit dem Gerät in der EMM-Konsole verknüpfen.
5.15. Erweiterte Verwaltung des Modus zum Sperren von Aufgaben
Wenn ein Gerät als zweckbestimmtes Gerät eingerichtet wird, können IT-Administratoren die Konsole zum Ausführen der folgenden Aufgaben:
5.15.1. Zulassen, dass sich eine einzelne App mit dem DPC von EMM mit einem Gerät sperren lässt.
5.15.2. Folgende Funktionen der System-UI über den DPC von EMM aktivieren oder deaktivieren :
- Startbildschirmtaste
- Übersicht
- Globale Aktionen
- Benachrichtigungen
- Systeminformationen / Statusleiste
- Keyguard (Sperrbildschirm)
5.15.3. Deaktivieren Sie die Dialogfelder zu Systemfehlern über den DPC von EMM.
5.16. Richtlinie für erweiterte Systemupdates
IT-Administratoren können Systemupdates auf einem Gerät für eine bestimmte Zeit sperren.
5.16.1. Der DPC von EMM kann für einen bestimmten Zeitraum OTA-Systemupdates (Over The Air) auf Geräte anwenden Punkt.
5:17. Transparenzverwaltung für Arbeitsprofil-Richtlinien
IT-Administratoren können die Mitteilung anpassen, die Nutzern beim Entfernen einer Arbeit angezeigt wird von einem Gerät aus.
5.17.1. IT-Administratoren können benutzerdefinierten Text zur Verfügung stellen, der angezeigt wird, wenn ein Arbeitsprofil gelöscht wird.
5.18. Unterstützung verbundener Apps
IT-Administratoren können eine Liste mit Paketen erstellen, über die Arbeitsprofil-Grenze zu kommunizieren.
5:19. Manuelle Systemupdates
IT-Administratoren können ein Systemupdate manuell installieren, indem sie einen Pfad angeben.
6. Einstellung von Device Admin
6.1. Einstellung von Device Admin
EMMs müssen bis Ende 2022 einen Plan veröffentlichen, durch den der Kundensupport für Device Admin auf GMS-Geräten bis Ende des ersten Quartals 2023 eingestellt wird.
7. API-Nutzung
7.1. Standard-Policy Controller für neue Bindungen
Standardmäßig müssen Geräte für alle neuen Geräte Bindungen. EMMs bieten möglicherweise die Möglichkeit, Geräte mit einem benutzerdefinierten DPC in einem Bereich mit Einstellungen unter der Überschrift „Erweitert“ oder einer ähnlichen Bezeichnung zu verwalten. Neukunden dürfen während eines beliebigen Zeitraums oder die Einrichtung von Workflows.
7.2. Standard Policy Controller für neue Geräte
Standardmäßig müssen Geräte für alle Nutzer über neue Geräteregistrierungen für vorhandene und neue Bindungen. EMM-Anbieter können Option zur Verwaltung von Geräten mit einem benutzerdefinierten DPC in einem Einstellungsbereich unter einer Überschrift „Erweitert“ oder eine ähnliche Terminologie.